この記事では、 Azure Kubernetes Service (AKS) 自動クラスターのマネージド システム ノード プール (プレビュー) 機能について説明します。 この機能により、AKS は、構成、スケーリング、メンテナンスなど、クラスター内のシステム ノード プールを自動的に管理します。
マネージド システム ノード プールを使用して AKS 自動クラスターを作成するには、「マネージド システム ノード プールを使用 した Azure Kubernetes Service (AKS) 自動クラスターの作成 (プレビュー)」 クイック スタートを参照してください。
Important
AKS のプレビュー機能は、セルフサービスのオプトイン単位で利用できます。 プレビューは、"現状有姿のまま" および "利用可能な限度" で提供され、サービス レベル アグリーメントおよび限定保証から除外されるものとします。 AKS プレビューは、ベストエフォート ベースでカスタマー サポートによって部分的にカバーされます。 そのため、これらの機能は運用環境での使用を目的としていません。 詳細については、次のサポート記事を参照してください。
主な機能と利点
マネージド システム ノード プール機能を使用すると、アプリケーションに集中できます。一方、AKS Automatic を使用すると、基になるインフラストラクチャがパフォーマンスと信頼性のために最適化されます。 主な機能と利点は次のとおりです。
- 運用上のオーバーヘッドなし: AKS はシステム ノード プールを自動的にプロビジョニング、アップグレード、スケーリングするため、手動による介入は不要です。
- クラスターの作成の簡略化: AKS がこれを処理するため、システム ノード プールのコンピューティング クォータを追跡または割り当てる必要はありません。
- コスト効率: システム ノード プールで実行されている仮想マシン (VM) は顧客のサブスクリプションに課金されないため、高いパフォーマンスを維持しながらコストを最適化できます。
- パフォーマンスの向上: お客様のアプリケーションからシステム ワークロードを分離することで、信頼性が向上し、 サービス レベル アグリーメント (SLA) に基づく一貫したパフォーマンスが保証されます。
マネージド システム ノード プールのコンポーネント
次の表は、マネージド システム ノード プールで AKS によって管理されるコンポーネントの概要を示しています。 AKS は、これらのコンポーネントが実行されるシステム ノードの作成、アップグレード、スケーリングを処理します。
| コンポーネント | Namespace | デプロイメント |
|---|---|---|
| Azure Monitor | kube-system |
ama-logs、 ama-metrics、 ama-metrics-ksm、 ama-metrics-operator-targets |
| ワークロードアイデンティティ | kube-system |
azure-wi-webhook-controller-manager |
| CoreDNS | kube-system |
coredns、coredns-autoscaler |
| 消しゴム | kube-system |
eraser-controller-manager |
| Kubernetes イベント駆動自動スケーリング (KEDA) | kube-system |
keda-admission-webhooks、 keda-operator、 keda-operator-metrics-apiserver |
| Konnectivity | kube-system |
konnectivity-agent、konnectivity-agent-autoscaler |
| Metrics Server | kube-system |
metrics-server |
| 垂直ポッド自動スケーリング (VPA) | kube-system |
vpa-admission-controller、 vpa-recommender、 vpa-updater |
その他のアドオンや拡張機能は、aks-system-surge ノードで実行され、スケーリングはノード自動プロビジョニング(NAP)によって処理されます。
DaemonSets は、サブスクリプション内のマネージド システム ノード プールおよび aks-system-surge ノードを含むノードの両方で実行されます。
マネージド システム ノード プールのセキュリティ制限
AKS はユーザーに代わってシステム ノード プールを管理するため、AKS は組み込みのポリシー、ベースライン ポッドのセキュリティ標準、および受付時間ポリシーを通じて複数のセキュリティ制限レイヤーを適用します。 これらの制限は、マネージド システム コンポーネントを保護し、顧客のワークロードと AKS で管理されるインフラストラクチャの間の境界を維持するのに役立ちます。
| 制限 | AKS で防止される内容 | 共同作業の重要性 |
|---|---|---|
| マネージド システム リソースの変更 | AKS マネージド システム名前空間でのリソースの作成、更新、または削除。 | 顧客が開始した変更から AKS で管理されるコンポーネントを保護するのに役立ちます。 |
| システム ポッドへの対話型アクセス | AKS で管理されるシステム ポッドに対してポッド exec、 attach、または port-forward を使用する。 |
マネージド システム ノード プールで実行されているシステム ワークロードへの直接アクセスを防ぐのに役立ちます。 |
| マネージド システム ノードの変更 | マネージド システム ノードの変更、または通常のノードをマネージド システム ノードとしてラベル付けする。 | カスタマー マネージド ノードと AKS マネージド システム ノードの間の境界を維持するのに役立ちます。 |
| マネージド システム ノードでのワークロードの配置 | 予約済みの許容、広範なワイルドカード許容、またはカスタム スケジューラを含む、顧客ワークロードを AKS が管理するシステム ノードでスケジュールまたは実行する。 | お客様のワークロードが専用システム ノードで実行されるのを防ぐのに役立ちます。 |
| 特権クラスターアクセス パス | 機密性の高いノード プロキシへのアクセス許可の付与。 | 通常の制御をバイパスしたり、クラスター リソースへのアクセスをエスカレートしたりする可能性のあるパスを減らします。 |
| 保護された ID の偽装 | 保護された AKS、Kubernetes、またはシステム サービス アカウント ID の偽装。 | 呼び出し元が信頼されたシステム コンポーネントによって使用される ID を想定できないようにするのに役立ちます。 |
| AKS で管理されるセキュリティ制御の変更 | AKS で管理されるセキュリティ ポリシーとアドミッションコントロールの変更。 | マネージド システム ノード プールを保護するコントロールの弱化または無効化を防ぐのに役立ちます。 |
サポートされていない AKS API 操作
次の AKS API 操作は サポートされていません。
- マネージド システム ノード プールのアップグレード。
- マネージド システム ノード プールの削除。
- マネージド システム ノード プールを使用してクラスターを停止する。
- クラスター上のエージェント プールの一覧表示には、マネージド システム ノード プールは含まれません。