AKS完全ガイド:Azure Kubernetes Serviceの設計・運用・最適化
エバープレイ編集部はじめに
AKS(Azure Kubernetes Service)は、Microsoft Azure が提供するマネージドな Kubernetes クラスターサービスです。Kubernetes の複雑なコントロールプレーン運用をマネージド化し、開発者はアプリケーションのデプロイやスケーリングに注力できます。本コラムでは AKS のアーキテクチャ、ネットワーキング、ストレージ、セキュリティ、スケーリング、運用・監視、コスト最適化、ベストプラクティス、他クラウドとの比較までを深堀して解説します。
AKS の概要とメリット
AKS はマネージドコントロールプレーン(API サーバー、etcd、コントローラマネージャー、スケジューラ)を提供し、ユーザーはワーカーノード(VM)を管理します。主なメリットは次の通りです。
コントロールプレーンの運用負荷軽減:パッチ適用や高可用性の管理は Azure 側が実施。
Azure サービスとの深い統合:Azure AD、Managed Identity、Azure Monitor、Azure Load Balancer、Azure Policy など。
スケールと可用性の柔軟性:複数のノードプール、スポットインスタンス、可用性ゾーン対応。
Windows コンテナや GPU ワークロードのサポート。
アーキテクチャの理解
AKS の主要コンポーネントは以下です。
コントロールプレーン(マネージド):ユーザーは直接管理しないが、Kubernetes API を通じて操作可能。
ノード(ワーカーノード):Azure VM 上で kubelet が稼働し、コンテナが実行される。ノードプールで構成。
ノードプール:システムノードプール(必須)とユーザーノードプールを分離してリソースやアップグレード戦略を最適化。
ネットワーク(Azure CNI / kubenet):Pod の IP 割り当てとネットワーキング方式が選択可能。
ストレージ(Azure Disks / Azure Files / CSI ドライバ):永続ボリュームを提供。
ノードプールとワークロード戦略
ノードプールを活用すると、ワークロードの特性に応じて VM サイズ、OS、スケール設定を分離できます。一般的な設計例:
システムノードプール:コアインフラ(kube-system)用、アップグレードの優先度を高く。
ユーザーノードプール:アプリケーション別に分離。CPU/メモリ最適化、GPU、Windows 用など。
スポットノードプール:バッチ処理やフォールバック可能なワークロードでコスト削減。
ネットワーク設計(Azure CNI vs kubenet)
AKS では大きく Azure CNI(フル L3 統合)と kubenet(軽量)を選べます。
Azure CNI:各 Pod に Azure 仮想ネットワークの IP を割り当て、ネットワークポリシーや NSG との統合が容易。大規模な Pod 数や複雑なネットワーク要件に向くが IP アドレスの事前設計が重要。
kubenet:ノード NAT を通して Pod が外部に出る方式で、IP 消費は抑えられるが、Service/Pod 間の直接ルーティングや一部の Azure ネットワーク機能とは非互換となる場合がある。
さらに、Azure CNI のバリエーションとして『Azure CNI overlay』などの選択肢や、ネットワークポリシー(Calico)を組み合わせたマイクロセグメンテーションも検討します。
ストレージと永続化
永続ストレージはアプリ要件に合ったストレージクラスを選びます。代表的なもの:
Azure Disk(ブロックストレージ): 高い IOPS と低レイテンシ。ReadWriteOnce のシナリオ向け。
Azure Files(ファイルストレージ): SMB/NFS を使用、共有アクセスが可能(ReadWriteMany)。
CSI ドライバ: Azure Disk CSI や Azure Files CSI を使用して StorageClass を作成し、動的プロビジョニングを利用。
注意点として、AZ(可用性ゾーン)を跨ぐストレージ設計やレプリケーション要件、バックアップ(Velero 等)を検討してください。
セキュリティとアイデンティティ
AKS におけるセキュリティは複数レイヤーで考えます。
認証・認可:Azure AD と Kubernetes RBAC を連携させることで、組織の ID 管理と統合できます。ユーザーやグループごとの権限管理を厳格に。
ワークロードアイデンティティ:従来の AAD Pod Identity は方向転換が進んでおり、Azure AD Workload Identity(Kubernetes Service Account に対する OIDC 流れを利用)へ移行することが推奨されます。
ネットワークポリシー:Calico などで Pod 間の通信を制限し、マイクロセグメンテーションを実装。
ノードセキュリティ:定期的な OS とカーネルの更新、イメージスキャン(Azure Container Registry のスキャンや外部ツール)、コンテナランタイムのセキュア設定。
シークレット管理:Azure Key Vault と連携したシークレット投影や、External Secrets Operator などでシークレットライフサイクルを管理。
スケーリングと可用性
AKS は複数のスケーリング手法を提供します。
クラスタオートスケーラー(Cluster Autoscaler):ノードプールのスケールアウト/インを自動化。
Horizontal Pod Autoscaler(HPA)/Vertical Pod Autoscaler(VPA):Pod レベルのスケーリング。
仮想ノード(Virtual Nodes)と Azure Container Instances:短期的なスパイク対応やサーバーレス的実行を可能にする。
可用性ゾーン:ゾーン冗長を利用して AZ 障害に耐性のあるデプロイが可能。
設計では、ステートレス/ステートフルそれぞれのスケーリング戦略と、PodDisruptionBudget(PDB)を組み合わせてローリングアップデート時の可用性を確保します。
運用・監視・ロギング
運用において監視は不可欠です。
Azure Monitor for Containers(Container Insights):ノード、コントローラー、コンテナメトリクスやログを収集する標準的な手段。
Prometheus/Grafana:アプリケーション指標やカスタムメトリクスには Prometheus の採用が一般的。Azure Monitor の Managed Prometheus や統合 Grafana サービスも選択肢。
ログ集約:Log Analytics ワークスペースへログを送る、あるいは Fluent Bit/Fluentd で外部 SIEM に転送。
トレーシング:OpenTelemetry を用いた分散トレーシングでパフォーマンスボトルネックを把握。
アラートと自動化:監視アラートから自動的にスケールやリカバリ操作をトリガーする設計。
アップグレードとバックアップ戦略
AKS は Kubernetes のマイナー/パッチアップデートをサポートしますが、運用者は次を検討すべきです。
ブルー/グリーンやカナリアによるアプリのローリングアップデート。
ノードプール単位での段階的アップグレード(システムとユーザーの分離が有効)。
etcd はマネージドだが、バックアップ方針と復旧手順(Velero 等を利用した PV バックアップや Namespace 単位のバックアップ)が必要。
アップグレード前の検証環境や自動テストの実行。
CI/CD と Infrastructure as Code
AKS を本番運用するには、インフラとアプリケーションの自動化が重要です。
Azure Resource Manager(ARM)テンプレート、Bicep、Terraform でクラスタ定義やノードプールをコード化。
GitOps(Flux、Argo CD)でマニフェストの宣言的デプロイを運用。
イメージビルド:Azure Container Registry (ACR) と Build Pipeline(GitHub Actions / Azure DevOps)での自動化。
コスト最適化のポイント
AKS のコストは主にワーカーノードと周辺リソースに由来します。最適化の手法:
必要なワークロードに応じた VM サイズ選定とノードプール分割。
スポットインスタンスの活用やスケジュールによるノード停止(非稼働時間帯のコスト削減)。
自動スケーリングの適切な設定で過剰プロビジョニングを防止。
Azure Hybrid Benefit や予約インスタンスで長期利用コストを削減。
トラブルシューティングの実践
運用でよくある問題と対処法:
Pod が Pending:リソース不足、ノードの taint、PV の割当問題を確認。
高いレイテンシ/CPU スパイク:Prometheus/Container Insights でメトリクスを確認し、Horizontal Pod Autoscaler の設定を見直す。
ネットワーク障害:NSG、ユーザーデファインドルート、Azure Load Balancer の設定、IP アドレス枯渇を確認。
認証エラー:Azure AD と Kubernetes RBAC のバインディングや証明書の有効期限を確認。
AKS と他クラウドの比較(EKS/GKE)
主要点の比較:
統合性:AKS は Azure の他サービスと密接に統合されるため、Azure 環境での選択に有利。
管理のしやすさ:各クラウドともマネージドプランを提供しており、差は機能や追加サービスの充実度に依存。
差別化機能:各社が監視、マネージド Prometheus、セキュリティ機能で差別化を図っているため、既存のクラウド投資や運用スキルで選定するのが実用的。
実践的なベストプラクティス
ノードプールを機能や可用性要件で分離する。
Azure AD Workload Identity を使い、Pod から Azure リソースへのアクセスを安全にする。
ネットワーク設計で IP アドレス付与を将来の拡張まで見越す(特に Azure CNI を採用する場合)。
監視は標準(Azure Monitor)とアプリ専用(Prometheus)を併用し、障害検出のカバレッジを高める。
GitOps による宣言的デプロイで変更管理を厳格に。
定期的なセキュリティスキャンとポリシー適用(Azure Policy / OPA Gatekeeper 等)。
まとめ
AKS は Azure のエコシステムと強く結びついた、スケーラブルで運用効率の高い Kubernetes マネージドサービスです。設計ではネットワーク、ストレージ、セキュリティ、スケーリング、監視を包括的に検討し、Infrastructure as Code と GitOps による自動化を進めることで信頼性と運用効率を向上できます。最新の推奨(例:Azure AD Workload Identity への移行や Managed Prometheus の活用)をキャッチアップしつつ、自組織の要件に合わせた最適化を行ってください。
参考文献
投稿者プロフィール
