AKS の API Server VNet 統合とは?構成モード別の違いを解説
はじめに
Azure Kubernetes Service (AKS) の 「API Server VNet 統合」 の機能が一般提供 (GA) されました。
この記事では、Kubernetes API サーバーを Vnet 統合すると何が変わるのか、プライベート AKS クラスターと、プライベートクラスターモードの AKS の違いについてご紹介いたします。
API Server VNet 統合とは
通常、AKS のコントロールプレーンは、AKS の Node がデプロイされた仮想ネットワークとは、別の仮想ネットワークにデプロイされています。
AKS のコントロールプレーンがデプロイされた仮想ネットワークは、マネージドリソースであるため、利用者は Azure Portal などから Azure リソースとして確認できません。
API Server VNet 統合の機能を利用すると、Kubernetes API サーバーを Node がデプロイされている仮想ネットワークに直接投影することができます。
それによって、Node がプライベートリンクなしで API サーバーにアクセスすることができ、仮想ネットワークを跨がないため、よりセキュアな構成を実現できます。
API Server VNet 統合のメリット
- プライベートエンドポイントなしで、Node から API サーバーに通信できます。
- Node と API サーバー間の通信が、AKS の Vnet 内に留まるため、よりセキュリティが向上します。
- AKS の作成後に、パブリックモードとプライベートモードの切替が可能です。
AKS の考えられる構成について
- パブリック AKS クラスター
- パブリッククラスターモードの AKS 【Vnet 統合した AKS】
- プライベート AKS クラスター
- プライベートクラスターモードの AKS 【Vnet 統合した AKS】
パブリック AKS クラスターと、パブリッククラスターモードの AKS の違い
パブリッククラスターモードの AKS の場合、Node と API サーバー間の通信は AKS の Vnet 内に通信が留まります。
なお、パブリッククラスターモードの AKS とは、API Server Vnet 統合を使用した AKS において、プライベートクラスターモードを有効化していない状態のことを言います。
どちらも、Azure のデータセンターの IP アドレス範囲から、パブリック IP アドレスがコントロールプレーンに割り当てられるため、Node と API サーバー間の通信はパブリックインターネットは経由せず、Azure データセンター内で完結します。
プライベート AKS クラスターと、プライベートクラスターモードの AKS の違い
プライベートクラスターモードの AKS の場合、Node と API サーバー間の通信にプライベートエンドポイントは不要であり、Vnet 内で通信が留まります。
どちらも、仮想ネットワーク内のプライベート IP アドレスを使用するため、Node と API サーバー間の通信は Azure データセンター内で完結します。
参考リンク
まとめ
この記事では、「API Server VNet 統合」 の機能についてご紹介いたしました。
おわりに
もし、少しでもこの記事がお役に立てましたら、ぜひ "いいね" をお願いします。
また、今後も、AKS 関連の記事を書いていきますので、Zenn と X のフォローをどうぞよろしくお願いいたします。
Discussion