AZ700-CORE#2
AKS Private Cluster をネットワーク観点で構築する手順を順序付けてください。
- 専用 VNet を作成、ノード用サブネット (Azure CNI で /22 等)、PE 用サブネット
- Private DNS Zone (privatelink.region.azmk8s.io) を作成、対象 VNet にリンク
- AKS Private Cluster を作成、API server を Private Endpoint 経由に、Network Plugin = Azure CNI
- Azure Bastion 経由でアクセス可能な Jump Box VM を VNet 内に配置
解説
【正しい順序】
- ステップ 1: VNet + サブネット
- ステップ 2: Private DNS Zone
- ステップ 3: AKS Private Cluster デプロイ
- ステップ 4: Jump Box VM
【各ステップの理由】
- ステップ 1: VNet: Azure CNI なら大規模サブネット (/22 = 1024 IP) 推奨。Pod ごとに IP 消費。
- ステップ 2: DNS: Private Cluster の API server FQDN (例:
aks-xxx.privatelink.eastus.azmk8s.io) を Private DNS で解決します。 - ステップ 3: AKS デプロイ: Private Cluster 有効化、API server を Public 公開せず PE 経由のみ。Network Plugin で CNI / CNI Overlay を選択します。
- ステップ 4: Jump Box: Private API server は VNet 内/ピアリング先からのみアクセス可能です。Bastion + Jump Box が標準アクセス手段。
【参考】
【AKS Private Cluster 接続方法】
| 方法 | 用途 |
|---|---|
| VNet 内 Jump Box VM | 標準、Bastion 経由 |
| VPN/ER 経由オンプレから kubectl | オンプレ管理者向け |
| Cloud Shell (VNet 統合) | Premium SKU |
| AKS Run Command | API 経由でクラスタ操作 |
【Private Cluster の制約】
- API server FQDN は Private DNS で解決
- az aks command invoke で Run Command 実行可
- Public IP 持つ Build Agent から アクセス不可
コメント