次の方法で共有

Azure Kubernetes Service (AKS) ロード バランサーで静的パブリック IP アドレスと DNS ラベルを使用する

  • [アーティクル]

Azure Kubernetes Service (AKS) クラスターでロード バランサー リソースを作成する場合、割り当てられたパブリック IP アドレスは、そのリソースの有効期間中のみ有効です。 Kubernetes サービスを削除すると、関連付けられているロード バランサーと IP アドレスも削除されます。 デプロイし直された Kubernetes サービスに対して特定の IP アドレスを割り当てるか、あるいは IP アドレスを保持する場合は、静的パブリック IP アドレスを作成して、使用することができます。

この記事では、静的パブリック IP アドレスを作成して、Kubernetes サービスに割り当てる方法を示します。

開始する前に

  • Azure CLI バージョン 2.0.59 以降がインストールされて構成されている必要があります。 バージョンを確認するには、az --version を実行します。 インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。
  • この記事では、Standard SKU IP を Standard SKU ロード バランサーと共に使用する方法について説明します。 詳しくは、「Azure における IP アドレスの種類と割り当て方法」をご覧ください。

AKS クラスターを作成する

  1. az group create コマンドを使用して、Azure リソース グループを作成します。

    az group create --name myNetworkResourceGroup --location eastus

  2. az aks create コマンドを使用して、AKS クラスターを作成します。

    az aks create --name myAKSCluster --resource-group myNetworkResourceGroup --generate-ssh-keys

静的 IP アドレスを作成する

  1. az aks show コマンドと nodeResourceGroup プロパティのクエリを使用し、ノード リソース グループの名前を取得します。

    az aks show --name myAKSCluster --resource-group myNetworkResourceGroup --query nodeResourceGroup -o tsv

  2. az network public ip create コマンドを使って、ノード リソース グループに静的パブリック IP アドレスを作成します。

    az network public-ip create \
    --resource-group <node resource group name> \
    --name myAKSPublicIP \
    --sku Standard \
    --allocation-method static

    Note

    AKS クラスターで Basic SKU ロード バランサーを使用している場合は、パブリック IP を定義するときに パラメーターに Basic--sku を使用します。 Basic SKU IP のみが Basic SKU ロード バランサーで動作し、Standard SKU IP のみが Standard SKU ロード バランサーで動作します。

  3. az network public-ip list コマンドを使用して静的パブリック IP アドレスを取得します。 ノードのリソース グループ名と作成したパブリック IP アドレスを指定して、ipAddress に対するクエリを指定します。

    az network public-ip show --resource-group <node resource group name> --name myAKSPublicIP --query ipAddress --output tsv

静的 IP アドレスを使用してサービスを作成する

  1. まず、AKS クラスターが使用しているマネージド ID の種類がシステム割り当てとユーザー割り当てのどちらであるかを確認します。 不明な場合は、az aks show コマンドを呼び出し、ID の type プロパティに対してクエリを実行します。

    az aks show \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --query identity.type \
    --output tsv

    クラスターがマネージド ID を使用している場合、type プロパティの値は、SystemAssigned または UserAssigned になります。

    クラスターがサービス プリンシパルを使用している場合、type プロパティの値は null になります。 クラスターをアップグレードしてマネージド ID を使用することを検討してください。

  2. AKS クラスターがシステム割り当てマネージド ID を使用している場合、次のようにマネージド ID のプリンシパル ID に対してクエリを実行します。

    # Get the principal ID for a system-assigned managed identity.
CLIENT_ID=$(az aks show \
    --name myAKSCluster \
    --resource-group myNetworkResourceGroup \
    --query identity.principalId \
    --output tsv)

    AKS クラスターがユーザー割り当てマネージド ID を使用している場合、プリンシパル ID は null になります。 代わりにユーザー割り当てマネージド ID のクライアント ID に対してクエリを実行します。

    # Get the client ID for a user-assigned managed identity.
CLIENT_ID=$(az aks show \
    --name myAKSCluster \
    --resource-group myNetworkResourceGroup \
    --query identity.userAssignedIdentities.*.clientId \
    --output tsv

  3. az role assignment create コマンドを呼び出して、パブリック IP のリソース グループ用として AKS クラスターで使用されるマネージド ID に委任されたアクセス許可を割り当てます。

    # Get the resource ID for the node resource group.
RG_SCOPE=$(az group show \
    --name <node resource group> \
    --query id \
    --output tsv)

# Assign the Network Contributor role to the managed identity,
# scoped to the node resource group.
az role assignment create \
    --assignee ${CLIENT_ID} \
    --role "Network Contributor" \
    --scope ${RG_SCOPE}

    重要

    送信 IP をカスタマイズした場合は、クラスター ID に、送信パブリック IP と受信パブリック IP の両方に対するアクセス許可があることを確認します。

  4. load-balancer-service.yaml という名前のファイルを作成し、次の YAML ファイルの内容にコピーし、前の手順で作成した独自のパブリック IP アドレスとノード リソース グループ名を指定します。

    重要

    ロード バランサー YAML マニフェストに loadBalancerIP プロパティを追加することは、アップストリームの Kubernetes に続いて非推奨となっています。 現在の使用方法は変わらず、既存のサービスは変更せずに動作することが期待されますが、代わりにサービス注釈を設定することを強くお勧めします。 サービス注釈を設定する場合、YAML 例のように、パブリック IP 名に service.beta.kubernetes.io/azure-pip-name を使うか、IPv4 アドレスには service.beta.kubernetes.io/azure-load-balancer-ipv4、IPv6 アドレスには service.beta.kubernetes.io/azure-load-balancer-ipv6 を使うことができます。

    apiVersion: v1
kind: Service
metadata:
  annotations:
    service.beta.kubernetes.io/azure-load-balancer-resource-group: <node resource group name>
    service.beta.kubernetes.io/azure-pip-name: myAKSPublicIP
  name: azure-load-balancer
spec:
  type: LoadBalancer
  ports:
  - port: 80
  selector:
    app: azure-load-balancer

    Note

    service.beta.kubernetes.io/azure-pip-name 注釈を追加することで、最も効率的な LoadBalancer が確実に作成されます。調整の可能性があるため、それを回避するために強く推奨されます。

  5. service.beta.kubernetes.io/azure-dns-label-name サービス注釈を使用し、公開 DNS ラベルをサービスに設定します。 これにより、Azure のパブリック DNS サーバーとトップ レベル ドメインを使用して、サービスの完全修飾ドメイン名 (FQDN) が発行されます。 注釈の値は Azure の場所内で一意である必要があるため、十分に修飾されたラベルを使用することをお勧めします。 指定した名前に、選択した場所 (<location>.cloudapp.azure.com など) の既定のサフィックスが自動的に追加され、FQDN が作成されます。

    Note

    独自のドメインでサービスを発行する場合、Azure DNS外部 DNS プロジェクトをご参照ください。

    apiVersion: v1
kind: Service
metadata:
  annotations:
    service.beta.kubernetes.io/azure-load-balancer-resource-group: <node resource group name>
    service.beta.kubernetes.io/azure-pip-name: myAKSPublicIP
    service.beta.kubernetes.io/azure-dns-label-name: <unique-service-label>
  name: azure-load-balancer
spec:
  type: LoadBalancer
  ports:
  - port: 80
  selector:
    app: azure-load-balancer

  6. kubectl apply コマンドを使用してサービスとデプロイを作成します。

    kubectl apply -f load-balancer-service.yaml

  7. ロード バランサーの DNS ラベルを表示するには、kubectl describe service コマンドを使用します。

    kubectl describe service azure-load-balancer

    DNS ラベルは、次の要約された出力例に示すように、Annotations の下に一覧表示されます。

    Name:                    azure-load-balancer
Namespace:               default
Labels:                  <none>
Annotations:             service.beta.kuberenetes.io/azure-dns-label-name: <unique-service-label>

トラブルシューティング

Kubernetes のサービス マニフェストの loadBalancerIP プロパティに定義されている静的 IP アドレスが存在しないか、ノード リソース グループ内に作成されておらず、他の委任も構成されていない場合、ロード バランサーのサービスの作成は失敗します。 トラブルシューティングを行うには、kubectl describe コマンドを使用してサービス作成イベントを確認します。 次の例に示すように、YAML マニフェストで指定されているサービス名を指定します。

kubectl describe service azure-load-balancer

出力には、Kubernetes サービス リソースに関する情報が表示されます。 次の出力例は、Events: "user supplied IP address was not found" 内の Warning を示しています。このシナリオでは、ノード リソース グループに静的パブリック IP アドレスを作成し、Kubernetes サービス マニフェストで指定された IP アドレスが正しいことを確認します。

Name:                     azure-load-balancer
Namespace:                default
Labels:                   <none>
Annotations:              <none>
Selector:                 app=azure-load-balancer
Type:                     LoadBalancer
IP:                       10.0.18.125
IP:                       40.121.183.52
Port:                     <unset>  80/TCP
TargetPort:               80/TCP
NodePort:                 <unset>  32582/TCP
Endpoints:                <none>
Session Affinity:         None
External Traffic Policy:  Cluster
Events:
  Type     Reason                      Age               From                Message
  ----     ------                      ----              ----                -------
  Normal   CreatingLoadBalancer        7s (x2 over 22s)  service-controller  Creating load balancer
  Warning  CreatingLoadBalancerFailed  6s (x2 over 12s)  service-controller  Error creating load balancer (will retry): Failed to create load balancer for service default/azure-load-balancer: user supplied IP Address 40.121.183.52 was not found

次のステップ

アプリケーションへのネットワーク トラフィックをより詳細に制御するには、AKS 用のアプリケーション ルーティング アドオンを使います。 アプリ ルーティング アドオンについて詳しくは、「アプリケーション ルーティング アドオンでのマネージド NGINX イングレス」をご覧ください。