クイック スタート - Azure CLI を使用して AKS クラスターにサービス接続を作成する

このクイックスタートでは、Azure CLI と Service Connector を使って Azure Kubernetes Service (AKS) を他のクラウド リソースに接続する方法について説明します。 Service Connector を使用すると、接続の認証とネットワーク設定を管理しながら、コンピューティング サービスをクラウド サービスにすばやく接続できます。

Azure サブスクリプションをお持ちでない場合は、開始する前に Azure 無料アカウントを作成してください。

前提条件

• Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。

  

• CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。

  • ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、Azure CLI でのサインインに関するページを参照してください。

  • 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。

  • az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。

• このクイックスタートには、Azure CLI のバージョン 2.30.0 以降が必要です。 Azure Cloud Shell を使用している場合は、最新バージョンが既にインストールされています。
• このクイックスタートでは、既に AKS クラスターがあることを前提としています。 まだお持ちでない場合は、AKS クラスターを作成してください。
• このクイックスタートでは、既に Azure Storage アカウントがあることを前提としています。 まだない場合は、Azure Storage アカウントを作成してください。

初期セットアップ

1. サービス コネクタを初めて使用する場合は、まず、コマンド az provider register を実行して、サービス コネクタおよび Kubernetes Configuration リソース プロバイダーを登録します。

   az provider register -n Microsoft.ServiceLinker
   

   az provider register -n Microsoft.KubernetesConfiguration
   

   ヒント

   コマンド az provider show -n "Microsoft.ServiceLinker" --query registrationState と az provider show -n "Microsoft.KubernetesConfiguration" --query registrationState を実行することで、これらのリソース プロバイダーが既に登録されているかどうかを確認できます。

2. 必要に応じて、Azure CLI コマンドを使用して、AKS クラスターでサポートされているターゲット サービスの一覧を取得します。

   az aks connection list-support-types --output table
   

サービス接続を作成する

ワークロード ID の使用

重要

マネージド ID の使用には Microsoft Entra ID ロールの割り当てへのアクセス許可が必要です。 このアクセス許可がない場合、接続の作成は失敗します。 接続を作成するために、サブスクリプション所有者にアクセス許可またはアクセス キーの使用を依頼することができます。

Azure CLI のコマンドで次の情報を指定すると、ワークロード ID を使用して Blob Storage へのサービス接続を作成できます。

• ソース コンピューティング サービスのリソース グループ名: AKS クラスターのリソース グループ名。
• AKS クラスター名: ターゲット サービスに接続する AKS クラスターの名前。
• ターゲット サービスのリソース グループ名: Blob Storage のリソース グループ名。
• ストレージ アカウント名: Blob Storage のアカウント名。
• ユーザー割り当て ID リソース ID: ワークロード ID の作成に使用されるユーザー割り当て ID のリソース ID

az aks connection create storage-blob \
    --workload-identity <user-identity-resource-id>

Note

BLOB ストレージがない場合は、az aks connection create storage-blob --new --workload-identity <user-identity-resource-id>" を実行して新しいものをプロビジョニングし、関数アプリに直接接続することができます。

アクセス キーの使用

警告

Microsoft では、使用可能な最も安全な認証フローを使用することをお勧めします。 この手順で説明されている認証フローでは、アプリケーションで非常に高い信頼度が要求されるため、他のフローには存在しないリスクが伴います。 このフローは、マネージド ID など、より安全なフローが実行可能ではない場合にのみ使用してください。

Azure CLI のコマンドで次の情報を指定して、アクセス キーを使用した Azure Blob Storage へのサービス接続を作成します。

az aks connection create storage-blob --secret

入力を求められたら、次の情報を指定します。

• ソース コンピューティング サービスのリソース グループ名: AKS クラスターのリソース グループ名。
• AKS クラスター名: ターゲット サービスに接続する AKS クラスターの名前。
• ターゲット サービスのリソース グループ名: Blob Storage のリソース グループ名。
• ストレージ アカウント名: Blob Storage のアカウント名。

Note

Blob Storage がない場合は、az aks connection create storage-blob --new --secret を実行して新しいものをプロビジョニングし、お使いの AKS クラスターに接続できます。

接続の表示

Azure CLI az aks connection list コマンドで次の情報を提供して、AKS クラスターへの接続を一覧表示します。

• ソース コンピューティング サービスのリソース グループ名: AKS クラスターのリソース グループ名。
• AKS クラスター名: ターゲット サービスに接続する AKS クラスターの名前。

az aks connection list \
    -g "<your-aks-cluster-resource-group>" \
    -n "<your-aks-cluster-name>" \
    --output table

次のステップ

次のチュートリアルに進み、Service Connector を使用して AKS クラスターを Azure サービスに接続します。

チュートリアル: CSI ドライバーを使用して Azure Key Vault に接続する

チュートリアル: ワークロード ID を使用して Azure Storage に接続する