Azure Kubernetes Service (AKS) でパブリック Standard Load Balancer を使用する

[アーティクル]
01/23/2024

Azure Load Balancer は、受信と送信の両方のシナリオがサポートされる開放型システム間相互接続 (OSI) モデルのレイヤー 4 上で動作します。これにより、ロードバランサーのフロントエンドに到着した受信フローが、バックエンドプールのインスタンスに分配されます。

パブリック ロードバランサーを AKS と統合すると、次の 2 つの目的を達成することができます。

プライベート IP アドレスをそのアウトバウンドプールのパブリック IP アドレス部分に変換することによって、AKS 仮想ネットワーク内のクラスターノードへのアウトバウンド接続を提供します。
タイプがLoadBalancer の Kubernetes サービスを介してアプリケーションにアクセスできるようにするため、アプリケーションを容易にスケーリングし、高可用性サービスを作成できるようにします。

内部 (プライベート) ロードバランサーは、プライベート IP "のみ" がフロントエンドとして許可される場合に使用されます。内部ロードバランサーは、仮想ネットワーク内でトラフィックを負荷分散させるために使用されます。ハイブリッドシナリオでは、オンプレミスのネットワークからもロードバランサーのフロントエンドにアクセスできます。

この記事では、AKS でのパブリックロードバランサーとの統合について説明します。内部ロードバランサーの統合については、「AKS で内部ロードバランサーを使用する」を参照してください。

開始する前に

Azure Load Balancer は、Basic と Standard の 2 つの SKU で使用できます。 Standard SKU は、既定では AKS クラスターを作成するときに使用します。 Standard SKU を使用すると、より大きなバックエンドプール、複数のノードプール、Availability Zones などの追加機能にアクセスでき、既定でセキュリティ保護されます。 AKS の場合、この Load Balancer SKU が推奨されます。 Basic と Standard SKU の詳細については、「Azure Load Balancer の SKU の比較」をご覧ください。
型 LoadBalancerを持つ Kubernetes サービスでサポートされている注釈の完全なリストについては、「LoadBalancer 注釈」を参照してください。
この記事では、Standard SKU Azure Load Balancer を持つ AKS クラスターがあることを前提としています。 AKS クラスターが必要な場合は、Azure CLI、Azure PowerShell、または Azure portal を使用して作成できます。
AKS は、エージェントノードのライフサイクルと操作を管理します。エージェントノードに関連付けられている IaaS リソースの変更はサポートされていません。サポートされていない操作の例として、ロードバランサーリソースグループに手動で変更を加えるというものがあります。

重要

独自のゲートウェイ、ファイアウォールまたはプロキシを使用してアウトバウンド接続を行いたい場合は、アウトバウンドの種類を UserDefinedRouting (UDR) として使用することで、ロードバランサーのアウトバウンドプールとそれぞれのフロントエンド IP の作成をスキップできます。送信の種類では、クラスターのエグレス方法を定義します。既定の種類は、LoadBalancer です。

パブリック Standard Load Balancer を使用する

アウトバウンドのタイプとして LoadBalancer (既定) に設定して AKS クラスターを作成した後に、クラスターは、ロードバランサーを使用してサービスを公開できるようになります。

public-svc.yaml という名前のサービスマニフェストを作成します。これにより、タイプが LoadBalancer のパブリックサービスが作成されます。

apiVersion: v1
kind: Service
metadata:
  name: public-svc
spec:
  type: LoadBalancer
  ports:
  - port: 80
  selector:
    app: public-app

ロードバランサーの IP アドレスを指定する

特定の IP アドレスをロードバランサーで使用する場合は、次の 2 つの方法があります。

重要

ロードバランサー YAML マニフェストに LoadBalancerIP プロパティを追加することは、アップストリームの Kubernetes に続いて非推奨となっています。現在の使用方法は変わらず、既存のサービスは変更せずに動作することが期待されますが、代わりにサービス注釈を設定することを強くお勧めします。

サービス注釈の設定: IPv 4 アドレスの場合は service.beta.kubernetes.io/azure-load-balancer-ipv4、IPv 6 アドレスの場合は service.beta.kubernetes.io/azure-load-balancer-ipv6 を使用します。
LoadBalancerIP プロパティをロードバランサー YAML マニフェストに追加する: Service.Spec.LoadBalancerIP プロパティをロードバランサー YAML マニフェストに追加します。このフィールドはアップストリームの Kubernetes に続いて非推奨となっており、デュアルスタックをサポートできません。現在の使用方法は変わらず、既存のサービスは変更せずに動作することが期待されます。

サービスマニフェストを展開する

kubectl apply を使用してパブリックサービスマニフェストをデプロイし、YAML マニフェストの名前を指定します。

kubectl apply -f public-svc.yaml

Azure Load Balancer は、新しいサービスのフロントとなる新しいパブリック IP を使用して構成されます。 Azure Load Balancer では複数のフロントエンド IP を持つことができるため、デプロイされるそれぞれの新しいサービスによって、一意にアクセスされる新しい専用のフロントエンド IP が取得されます。

サービスが作成され、ロードバランサーが構成されたことを、次のコマンドを使用して確認します。

kubectl get service public-svc

NAMESPACE     NAME          TYPE           CLUSTER-IP     EXTERNAL-IP     PORT(S)         AGE
default       public-svc    LoadBalancer   10.0.39.110    52.156.88.187   80:32068/TCP    52s

サービスの詳細を表示すると、ロードバランサー上のこのサービス用に作成されたパブリック IP アドレスが、EXTERNAL-IP 列に表示されます。 IP アドレスが "<保留中>" から実際のパブリック IP アドレスに変わるまで、数分かかることがあります。

サービスに関する詳細な情報を見るには、次のコマンドを使用します。

kubectl describe service public-svc

次の出力例は、kubectl describe service を実行した後の出力の圧縮バージョンです。 "LoadBalancer イングレス" には、サービスによって公開される外部 IP アドレスが表示されます。 IP には内部アドレスが表示されます。

Name:                        public-svc
Namespace:                   default
Labels:                      <none>
Annotations:                 <none>
Selector:                    app=public-app
...
IP:                          10.0.39.110
...
LoadBalancer Ingress:        52.156.88.187
...
TargetPort:                  80/TCP
NodePort:                    32068/TCP
...
Session Affinity:            None
External Traffic Policy:     Cluster
...

パブリック Standard Load Balancer を構成する

クラスターの作成時や、あるいはクラスターを更新することにより、標準パブリックロードバランサーのさまざまな設定をカスタマイズできます。これらのカスタマイズオプションを使用すると、お客様のワークロードのニーズを満たすロードバランサーを作成できます。 Standard ロードバランサーを使用すると、次の操作を行うことができます。

マネージドアウトバウンド IP の数を設定またはスケーリングする。
独自のカスタムアウトバウンド IP またはアウトバウンド IP プレフィックスを使用する。
クラスターの各ノードに割り当てられるアウトバウンドポートの数をカスタマイズする。
アイドル状態の接続のタイムアウト設定を構成する。

重要

特定の時点では、1 つの送信 IP オプションのみ (マネージド IP、独自の IP を使用する、または IP プレフィックス) を使用できます。

受信プールの種類を変更する

AKS ノードをロードバランサーバックエンドプールで参照する場合は、IP 構成 (Azure Virtual Machine Scale Sets ベースのメンバーシップ) か IP アドレスのみ使用できます。 IP アドレスベースのバックエンドプールメンバーシップを使用すると、サービスの更新とロードバランサーのプロビジョニングの効率が向上します (特にノード数が多い場合)。 IP ベースのバックエンドプールを使用した新しいクラスターのプロビジョニングと既存のクラスターの変換ができるようになりました。 NAT Gateway またはユーザー定義のルーティングエグレスの種類と組み合わせると、新しいノードとサービスのプロビジョニングのパフォーマンスが向上します。

2 つの異なるプールメンバーシップの種類を使用できます。

nodeIPConfiguration - レガシ Virtual Machine Scale Sets IP 構成ベースのプールメンバーシップの種類
nodeIP - IP ベースのメンバーシップの種類

要件

AKS クラスターはバージョン 1.23 以降である必要があります。
AKS クラスターは、標準ロードバランサーと仮想マシンスケールセットを使用している必要があります。

IP ベースの受信プールメンバーシップを使用して新しい AKS クラスターを作成する

az aks create \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --load-balancer-backend-pool-type=nodeIP

既存の AKS クラスターを更新することで、IP ベースの受信プールメンバーシップを使用する

警告

この操作により、クラスター内の受信サービストラフィックが一時的に中断します。多数のノードを持つ大規模なクラスターでは、影響時間が長くなります。

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --load-balancer-backend-pool-type=nodeIP

マネージド送信パブリック IP の数のスケーリング

Azure Load Balancer は、仮想ネットワークからのアウトバウンドおよびインバウンド接続も提供します。アウトバウンド規則を使用すると、パブリック Standard ロードバランサーのネットワークアドレス変換の構成を簡素化できます。

アウトバウンド規則は、負荷分散規則およびインバウンド NAT 規則と同じ構文に従います。

フロントエンド IP + パラメーター + バックエンドプール

アウトバウンド規則では、フロントエンドに変換され、バックエンドプールによって識別されるすべての仮想マシンの送信 NAT を構成します。パラメーターを使用すると、アウトバウンド NAT アルゴリズムをより制御できます。

パブリック IP アドレスが 1 つのアウトバウンド規則を使用できますが、アウトバウンド規則がアウトバウンド NAT のスケーリングに適しているのは、構成の負担を軽減するからです。複数の IP アドレスを使用して大規模なシナリオを計画したり、アウトバウンド規則を使用して SNAT の枯渇しやすいパターンを緩和したりすることもできます。フロントエンドが提供する IP アドレスごとに、ロードバランサーで SNAT ポートとして使用される 64,000 個の一時的なポートが提供されます。

既定で作成されるマネージドアウトバウンドパブリック IP で Standard SKU ロードバランサーを使用する場合、--load-balancer-managed-outbound-ip-count パラメーターを使用して、マネージド送信パブリック IP の数をスケーリングすることができます。

次のコマンドを使用して、既存のクラスターを更新します。また、このパラメーターは、マネージドアウトバウンドパブリック IP を複数持つように設定することもできます。

重要

Azure portal を使用してアウトバウンド規則に変更を加えることはお勧めしません。これらの変更を行うときは、Load Balancer リソースに直接ではなく、AKS クラスターを経由して行う必要があります。

Load Balancer リソースに対して直接行われたアウトバウンド規則の変更は、クラスターが停止、開始、アップグレード、スケーリングされたときなど、調整されるたびに削除されます。

Azure CLI を、例に示すように使用します。 az aks CLI コマンドを使用して行なったアウトバウンド規則の変更は、クラスターのダウンタイムに関係なく永続的です。

詳細については、「Azure Load Balancer のアウトバウンド規則」を参照してください。

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --load-balancer-managed-outbound-ip-count 2

上の例では、myResourceGroup の myAKSCluster クラスターに対して、管理対象の送信パブリック IP の数が 2 に設定されます。

クラスター作成時に、--load-balancer-managed-outbound-ip-count パラメーターを追加し、それを希望する値に設定することでマネージドアウトバウンドパブリック IP の初期数を設定することも可能です。管理対象の送信パブリック IP の既定数は 1 です。

独自の送信パブリック IP またはプレフィックスを提供する

Standard SKU ロードバランサーを使用する場合、AKS クラスターにより AKS で管理されるインフラストラクチャリソースグループに、パブリック IP が自動的に作成され、それがロードバランサーの送信プールに既定で割り当てられます。

AKS によって作成されたパブリック IP は、AKS によって管理されるリソースです。つまり、AKS はそのパブリック IP のライフサイクルを管理し、パブリック IP リソースに対するユーザーの直接の操作を必要としません。代わりに、クラスターの作成時に独自のカスタムパブリック IP またはパブリック IP プレフィックスを割り当てることもできます。また、既存のクラスターのロードバランサーのプロパティでカスタム IP を更新することもできます。

独自のパブリック IP またはプレフィックスを使用するための要件は以下の通りです。

ユーザーはカスタムパブリック IP アドレスを作成して所有する必要があります。管理の競合が発生するため、AKS によって作成されるマネージドパブリック IP アドレスを「独自のカスタム IP」として再使用することはできません。
送信 IP にアクセスするためのアクセス許可が AKS クラスター ID (サービスプリンシパルまたはマネージド ID) に付与されていることを確認する必要があります (必要なパブリック IP アクセス許可リストに従います)。
送信 IP または送信 IP プレフィックスを構成するために必要な前提条件と制約を満たしていることをご確認ください。

クラスターを独自の送信パブリック IP で更新する

az network public-ip show コマンドを使用すると、パブリック IP の ID が一覧表示されます。

az network public-ip show --resource-group myResourceGroup --name myPublicIP --query id -o tsv

上のコマンドでは、myResourceGroup リソースグループの myPublicIP パブリック IP の IP が表示されます。

お使いのパブリック IP でクラスターを更新するには、 load-balancer-outbound-ips パラメーターを指定した az aks update コマンドを使用します。

次の例では、前のコマンドで得られた ID を指定した load-balancer-outbound-ips パラメーターを使用しています。

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --load-balancer-outbound-ips <publicIpId1>,<publicIpId2>

独自の送信パブリック IP プレフィックスでクラスターを更新する

Standard SKU ロードバランサーと共に、エグレス用のパブリック IP プレフィックスを使用することもできます。次の例では、az network public-ip prefix show コマンドを使用し、パブリック IP プレフィックスの ID が一覧表示されます。

az network public-ip prefix show --resource-group myResourceGroup --name myPublicIPPrefix --query id -o tsv

上のコマンドでは、myResourceGroup リソースグループの myPublicIPPrefix パブリック IP プレフィックスの IP が表示されます。

次の例では、load-balancer-outbound-ip-prefixes パラメーターと前のコマンドからの ID が使用されています。

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --load-balancer-outbound-ip-prefixes <publicIpPrefixId1>,<publicIpPrefixId2>

独自のパブリック IP またはプレフィックスでクラスターを作成する

クラスターを作成するとき、エグレスエンドポイントを許可リストに追加するといったシナリオをサポートする目的でエグレス用に独自の IP アドレスや IP プレフィックスを導入することができます。クラスター作成時に独自のパブリック IP と IP プレフィックスを定義するには、前のコマンドに示したのと同じパラメーターを追加します。

load-balancer-outbound-ips パラメーターを指定した az aks create コマンドを使用して、お使いのパブリック IP で新しいクラスターを作成します。

az aks create \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --load-balancer-outbound-ips <publicIpId1>,<publicIpId2>

load-balancer-outbound-ip-prefixes パラメーターを指定した az aks create コマンドを使用して、お使いのパブリック IP プレフィックスで新しいクラスターを作成します。

az aks create \
    --resource-group myResourceGroup \
    --load-balancer-outbound-ip-prefixes <publicIpPrefixId1>,<publicIpPrefixId2>

割り当てられた送信ポートを構成する

重要

小規模な宛先セットへの多数の接続を確立できるアプリケーション (データベースに接続するフロントエンドアプリケーションの多くのインスタンスなど) がクラスター上にある場合、SNAT ポートの枯渇に遭遇しやすいシナリオが考えられます。 SNAT ポートの枯渇は、アプリケーションが別のアプリケーションまたはホストへの接続を確立するために使用する送信ポートを使い果たした場合に発生します。 SNAT ポートの枯渇が懸念される場合は、ロードバランサーで割り当てられるアウトバウンドポートとアウトバウンドフロントエンド IP を増やすことを強くお勧めします。

SNAT の詳細については、「送信接続に SNAT を使用する」を参照してください。

既定では、AKS によってロードバランサーの AllocatedOutboundPorts は 0 に設定されています。これにより、クラスターの作成時に、バックエンドプールのサイズに基づく送信ポートの自動割り当てが有効になります。たとえば、クラスターのノード数が 50 以下の場合、各ノードには 1024 個のポートが割り当てられます。クラスター内のノードの数が増えるほど、ノードあたりの使用可能なポート数が少なくなります。

重要

ノードサイズが 50 以下 (1 から 50) の場合にフロントエンド IP が追加されるかどうかに関係なく、1024 ポートのハード制限があります。

AKS クラスターロードバランサーの AllocatedOutboundPorts 値を表示するには、az network lb outbound-rule list を使用します。

NODE_RG=$(az aks show --resource-group myResourceGroup --name myAKSCluster --query nodeResourceGroup -o tsv)
az network lb outbound-rule list --resource-group $NODE_RG --lb-name kubernetes -o table

次の出力例は、バックエンドプールのサイズに基づく送信ポートの自動割り当てがクラスターに対して有効になっている場合を示しています。

AllocatedOutboundPorts    EnableTcpReset    IdleTimeoutInMinutes    Name             Protocol    ProvisioningState    ResourceGroup
------------------------  ----------------  ----------------------  ---------------  ----------  -------------------  -------------
0                         True              30                      aksOutboundRule  All         Succeeded            MC_myResourceGroup_myAKSCluster_eastus

クラスターの作成時または更新時に AllocatedOutboundPorts と送信 IP アドレスに特定の値を構成するには、load-balancer-outbound-ports と load-balancer-managed-outbound-ip-count、load-balancer-outbound-ips、load-balancer-outbound-ip-prefixes のいずれかを使用します。アウトバウンドポートとアウトバウンド IP アドレスのいずれかに特定の値を設定したり、既存の値を増やしたりする前に、適切な数のアウトバウンドポートと IP アドレスを計算する必要があります。この計算を最も近い整数に丸めるには、次の式 64,000 ports per IP / <outbound ports per node> * <number of outbound IPs> = <maximum number of nodes in the cluster> を使用します。

アウトバウンドポートと IP の数を計算し、値を設定するときは、以下の内容に留意してください。

ノードあたりのアウトバウンドポートの数は、設定する値に基づいて固定されます。
送信ポートの値は必ず 8 の倍数とします。
IP を追加しても、どのノードにもポートが追加されるわけではありませんが、クラスター内のより多くのノードのための容量が提供されます。
必ずアップグレードの一環として追加される可能性があるノード (maxSurge 値で指定されたノードの数を含む) を考慮してください。

次の例は、設定した値が送信ポートと IP アドレスの数にどのような影響を与えるかを示しています。

既定値が使用され、クラスターに 48 個のノードがある場合、各ノードでは 1024 個のポートを使用できます。
既定値が使用され、クラスターのノードが 48 個から 52 個にスケーリングされている場合、各ノードで使用できるポートは 1024 個から 512 個に更新されます。
アウトバウンドポートの数が 1,000 に設定され、アウトバウンド IP 数が 2 に設定されている場合、クラスターでは最大 128 個のノードをサポートできます: 64,000 ports per IP / 1,000 ports per node * 2 IPs = 128 nodes。
アウトバウンドポートの数が 1,000 に設定され、アウトバウンド IP 数が 7 に設定されている場合、クラスターでは最大 448 個のノードをサポートできます: 64,000 ports per IP / 1,000 ports per node * 7 IPs = 448 nodes。
アウトバウンドポートの数が 4,000 に設定され、アウトバウンド IP 数が 2 に設定されている場合、クラスターでは最大 32 個のノードをサポートできます: 64,000 ports per IP / 4,000 ports per node * 2 IPs = 32 nodes。
アウトバウンドポートの数が 4,000 に設定され、アウトバウンド IP 数が 7 に設定されている場合、クラスターでは最大 112 個のノードをサポートできます: 64,000 ports per IP / 4,000 ports per node * 7 IPs = 112 nodes。

重要

送信ポートと IP の数を計算した後、アップグレード中のノードのサージを処理するための追加の送信ポート容量があることを確認します。アップグレードやその他の操作に必要な追加ノードに、十分な余剰ポートを割り当てることが重要です。既定では、AKS でアップグレード操作に 1 つのバッファーノードが使用されます。 maxSurge 値を使用する場合、ノードあたりの送信ポート数に maxSurge 値を乗算して、必要なポートの数を求めます。たとえば、最大 100 ノードがあり、最大サージ値が 2 のクラスターで、ノードあたり 4,000 のポートと 7 個の IP アドレスが必要であるとします。

2 サージノード * ノードあたり 4,000 ポート = 8,000 ポート (アップグレード中のノードのサージに必要な数)。
100 ノード * ノードあたり 4,000 ポート = 400,000 ポート (クラスターに必要な数)。
7 個の IP * IP あたり 64,000 ポート = 448,000 ポート (クラスターで使用可能な数)。

上の例では、クラスターの余剰容量が 48,000 ポート存在することを示しています。これは、アップグレード中のノードのサージに必要な 8,000 ポートを処理するのに十分です。

値を計算して検証したら、クラスターの作成時または更新時に、load-balancer-outbound-ports と load-balancer-managed-outbound-ip-count、load-balancer-outbound-ips、load-balancer-outbound-ip-prefixes のいずれかを使用してこれらの値を適用できます。

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --load-balancer-managed-outbound-ip-count 7 \
    --load-balancer-outbound-ports 4000

ロードバランサーのアイドルタイムアウトを構成する

SNAT ポートリソースがなくなると、既存のフローによって SNAT ポートが解放されない限り、送信フローは失敗します。 Load Balancer は、フローが終了すると SNAT ポートを回収します。また、AKS で構成されたロードバランサーは、30 分間のアイドルタイムアウトを使用して、アイドルフローから SNAT ポートを回収します。

さらに、トランスポート (たとえば、TCP keepalives や application-layer keepalives) を使用して、アイドルフローを更新し、必要に応じて、このアイドルタイムアウトをリセットすることもできます。このタイムアウトは、次の例で示すように構成することができます。

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --load-balancer-idle-timeout 4

存続期間の短い接続が多数存在することが想定される場合で、存続期間の長い接続に、アイドル時間が長くなる可能性のあるものがない場合 (kubectl proxy や kubectl port-forward を使用するなどの場合) は、"4 分間" のような短いタイムアウト値を使用することを検討してください。 TCP キープアライブを使用するときは、接続の一方の側で有効にすれば十分です。たとえば、フローのアイドルタイマーをリセットするには、TCP keepalives をサーバー側でのみ有効にすれば十分です。両側で開始する必要はありません。データベースのクライアント/サーバー構成など、アプリケーションレイヤーにも同様の概念があります。サーバー側で、アプリケーション固有のキープアライブのどのようなオプションが存在するかを確認します。

重要

AKS では、既定で、アイドル時の "TCP リセット" が有効になっています。この構成を維持し、ご自分のシナリオでのアプリケーションの動作をより予測可能にするために活用することをお勧めします。

TCP RST は、ESTABLISHED 状態の TCP 接続時のみ送信されます。詳細については、こちらを参照してください。

IdleTimeoutInMinutes を既定の 30 分とは異なる値に設定する場合は、ワークロードで送信接続が必要な時間を考慮します。また、AKS の外部で使用される Standard SKU ロードバランサーの既定のタイムアウト値が 4 分であることを考慮します。特定の AKS ワークロードをより正確に反映するように IdleTimeoutInMinutes の値を設定すると、使用されなくなった接続と関連付けられることによる SNAT の枯渇を減らすのに役立ちます。

警告

AllocatedOutboundPorts と IdleTimeoutInMinutes の値を変更すると、ロードバランサーに対するアウトバウンド規則の動作が大きく変化する可能性があるので、安易に変更することは避けてください。これらの値を更新する場合は、まず SNAT のトラブルシューティングに関するセクションを確認し、ロードバランサーのアウトバウンド規則と Azure のアウトバウンド接続に関する記事を確認して、変更の影響を完全に理解するようにしてください。

受信トラフィックを特定の IP 範囲に制限する

次のマニフェストでは loadBalancerSourceRanges を使用して、受信外部トラフィックの新しい IP 範囲を指定します。

apiVersion: v1
kind: Service
metadata:
  name: azure-vote-front
spec:
  type: LoadBalancer
  ports:
  - port: 80
  selector:
    app: azure-vote-front
  loadBalancerSourceRanges:
  - MY_EXTERNAL_IP_RANGE

この例では、MY_EXTERNAL_IP_RANGE の範囲からの受信外部トラフィックのみを許可するように規則を更新します。 MY_EXTERNAL_IP_RANGE を内部サブネットの IP アドレスに置き換えると、トラフィックはクラスターの内部 IP のみに制限されます。トラフィックがクラスターの内部 IP に制限されている場合、Kubernetes クラスターの外部のクライアントはロードバランサーにアクセスできません。

Note

受信外部トラフィックは、ロードバランサーから AKS クラスターの仮想ネットワークに流れます。この仮想ネットワークには、ロードバランサーからのすべての受信トラフィックを許可するネットワークセキュリティグループ (NSG) があります。この NSG は LoadBalancer という種類のサービスタグを使用して、ロードバランサーからのトラフィックを許可します。
バージョン v1.25 以上のクラスターのサービスの LoadBalancer IP にアクセスする必要があるポッドがある場合は、ポッド CIDR を loadBalancerSourceRanges に追加する必要があります。

インバウンド接続時にクライアントの IP を維持する

既定では、Kubernetes および AKS 内の LoadBalancer 型のサービスは、ポッドへの接続時にクライアントの IP アドレスを保持しません。ポッドに配信されるパケットの送信元 IP は、ノードのプライベート IP になります。クライアントの IP アドレスを維持するには、サービス定義で service.spec.externalTrafficPolicy を local に設定する必要があります。次のマニフェストに例を示します。

apiVersion: v1
kind: Service
metadata:
  name: azure-vote-front
spec:
  type: LoadBalancer
  externalTrafficPolicy: Local
  ports:
  - port: 80
  selector:
    app: azure-vote-front

Kubernetes 注釈によるカスタマイズ

次の注釈は、種類が LoadBalancer の Kubernetes サービスでサポートされており、INBOUND フローだけに適用されます。

Annotation	値	説明
`service.beta.kubernetes.io/azure-load-balancer-internal`	`true` または `false`	ロードバランサーが内部である必要があるかどうかを指定します。設定されていない場合は、既定でパブリックになります。
`service.beta.kubernetes.io/azure-load-balancer-internal-subnet`	サブネットの名前	内部ロードバランサーをバインドする必要があるサブネットを指定します。設定されていない場合、既定で、クラウド構成ファイルで構成されているサブネットに設定されます。
`service.beta.kubernetes.io/azure-dns-label-name`	パブリック IP 上の DNS ラベルの名前	パブリックサービスの DNS ラベル名を指定します。空の文字列に設定すると、パブリック IP の DNS エントリは使用されません。
`service.beta.kubernetes.io/azure-shared-securityrule`	`true` または `false`	ネットワークセキュリティグループの Azure 拡張セキュリティ規則を利用して、共有される可能性のある Azure セキュリティ規則を使用してサービスの公開を指定し、サービスの公開を増やします。
`service.beta.kubernetes.io/azure-load-balancer-resource-group`	リソースグループの名前	クラスターインフラストラクチャと同一のリソースグループ (ノードリソースグループ) 内にないロードバランサーのパブリック IP のリソースグループを指定します。
`service.beta.kubernetes.io/azure-allowed-service-tags`	許可されるサービスタグの一覧	許可されるサービスタグをコンマで区切った一覧を指定します。
`service.beta.kubernetes.io/azure-load-balancer-tcp-idle-timeout`	TCP アイドルタイムアウト (分)	ロードバランサーで TCP 接続のアイドルタイムアウトが発生するまでの時間を分数で指定します。既定値は 4 で、これが最小値です。最大値は 30 です。この値は、整数にする必要があります。
`service.beta.kubernetes.io/azure-load-balancer-disable-tcp-reset`	`true` または `false`	ロードバランサーがアイドルタイムアウト時に TCP リセットを無効にするかどうかを指定します。
`service.beta.kubernetes.io/azure-load-balancer-ipv4`	IPv4 アドレス	ロードバランサーに割り当てる IPv4 アドレスを指定します。
`service.beta.kubernetes.io/azure-load-balancer-ipv6`	IPv6 アドレス	ロードバランサーに割り当てる IPv6 アドレスを指定します。

ロードバランサーの正常性プローブをカスタマイズする

Annotation	値	説明
`service.beta.kubernetes.io/azure-load-balancer-health-probe-interval`	正常性プローブの間隔
`service.beta.kubernetes.io/azure-load-balancer-health-probe-num-of-probe`	正常性プローブの異常な応答の最小数
`service.beta.kubernetes.io/azure-load-balancer-health-probe-request-path`	正常性プローブの要求パス
`service.beta.kubernetes.io/port_{port}_no_lb_rule`	true/false	{port} はサービスポート番号です。 true に設定すると、このポートの lb ルールまたは正常性プローブルールは生成されません。正常性チェックサービスをパブリックインターネットに公開しないでください (例: istio/envoy 正常性チェックサービス)
`service.beta.kubernetes.io/port_{port}_no_probe_rule`	true/false	{port} はサービスポート番号です。 true に設定すると、このポートの正常性プローブ規則は生成されません。
`service.beta.kubernetes.io/port_{port}_health-probe_protocol`	正常性プローブプロトコル	{port} はサービスポート番号です。サービスポート {port} の正常性プローブのための明示的なプロトコル。設定されている場合は port.appProtocol をオーバーライドします。
`service.beta.kubernetes.io/port_{port}_health-probe_port`	サービスマニフェスト内のポート番号またはポート名	{port} はサービスポート番号です。サービスポート {port} の正常性プローブの明示的なポート。既定値をオーバーライドします。
`service.beta.kubernetes.io/port_{port}_health-probe_interval`	正常性プローブの間隔	{port} はサービスポート番号です。
`service.beta.kubernetes.io/port_{port}_health-probe_num-of-probe`	正常性プローブの異常な応答の最小数	{port} はサービスポート番号です。
`service.beta.kubernetes.io/port_{port}_health-probe_request-path`	正常性プローブの要求パス	{port} はサービスポート番号です。

こちらに記載されているように、ロードバランサーサービスがサポートするプロトコルは Tcp、Http、Https の 3 つです。

現在、正常性プローブの既定のプロトコルは、トランスポートプロトコル、アプリプロトコル、注釈、外部トラフィックポリシーが異なれば、サービスによって異なります。

ローカルサービスの場合、HTTP と /healthz が使われます。正常性プローブは、実際のバックエンドサービスではなく、NodeHealthPort に対してクエリを実行します
クラスター TCP サービスの場合は、TCP が使われます。
クラスター UDP サービスの場合、正常性プローブはありません。

Note

PLS 統合と PLS プロキシプロトコルが有効なローカルサービスの場合、既定の HTTP+/healthz 正常性プローブは機能しません。そのため、このシナリオをサポートするために、クラスターサービスと同じ方法で正常性プローブをカスタマイズできます。

v1.20 以降、正常性プローブの動作を決定するためにサービスの注釈 service.beta.kubernetes.io/azure-load-balancer-health-probe-request-path が導入されました。

クラスター <=1.23 の場合、service.beta.kubernetes.io/azure-load-balancer-health-probe-request-path も設定されている場合にのみ、spec.ports.appProtocol はプローブプロトコルとして使われます。
クラスター >1.24 の場合、spec.ports.appProtocol がプローブプロトコルとして使われ、/ が既定のプローブ要求パスとして使われます (service.beta.kubernetes.io/azure-load-balancer-health-probe-request-path を使って別の要求パスに変更できます)。

TCP を使う場合または spec.ports.appProtocol が空の場合、要求パスは無視されることに注意してください。具体的には次のとおりです。

loadbalancer sku	`externalTrafficPolicy`	spec.ports.Protocol	spec.ports.AppProtocol	`service.beta.kubernetes.io/azure-load-balancer-health-probe-request-path`	LB プローブプロトコル	LB プローブ要求パス
standard	ローカル	任意	任意	任意	http	`/healthz`
standard	cluster	udp	任意	任意	null	null
standard	cluster	tcp		(無視されます)	tcp	null
standard	cluster	tcp	tcp	(無視されます)	tcp	null
standard	cluster	tcp	http/https		TCP(<=1.23) または http/https(>=1.24)	null(<=1.23) または `/`(>=1.24)
standard	cluster	tcp	http/https	`/custom-path`	http/https	`/custom-path`
standard	cluster	tcp	サポートされていないプロトコル	`/custom-path`	tcp	null
基本	ローカル	任意	任意	任意	http	`/healthz`
基本	cluster	tcp		(無視されます)	tcp	null
基本	cluster	tcp	tcp	(無視されます)	tcp	null
基本	cluster	tcp	http		TCP(<=1.23) または http/https(>=1.24)	null(<=1.23) または `/`(>=1.24)
基本	cluster	tcp	http	`/custom-path`	http	`/custom-path`
基本	cluster	tcp	サポートされていないプロトコル	`/custom-path`	tcp	null

v1.21 以降、正常性プローブの構成をカスタマイズする 2 つのサービス注釈 service.beta.kubernetes.io/azure-load-balancer-health-probe-interval と load-balancer-health-probe-num-of-probe が導入されました。 service.beta.kubernetes.io/azure-load-balancer-health-probe-interval が設定されていない場合、既定値の 5 が適用されます。 load-balancer-health-probe-num-of-probe が設定されていない場合、既定値の 2 が適用されます。また、プローブの合計は 120 秒未満にする必要があります。

ポートのカスタムの Load Balancer 正常性プローブ

サービスのポートごとに、異なる正常性プローブ構成が必要になる場合があります。これは、サービスの設計 (複数のポートを制御する単一の正常性エンドポイントなど) や Kubernetes の機能 (MixedProtocolLBService など) が理由である可能性があります。

次の注釈を使うと、サービスポートごとのプローブ構成をカスタマイズできます。

ポート固有の注釈	グローバルプローブ注釈	使用法
service.beta.kubernetes.io/port_{port}_no_lb_rule	N/A (グローバルに相当するものはありません)	true に設定すると、LB ルールとプローブルールは生成されません
service.beta.kubernetes.io/port_{port}_no_probe_rule	N/A (グローバルに相当するものはありません)	true に設定すると、プローブルールは生成されません
service.beta.kubernetes.io/port_{port}_health-probe_protocol	N/A (グローバルに相当するものはありません)	このサービスポートの正常性プローブプロトコル (Http、Https、Tcp など) を設定します
service.beta.kubernetes.io/port_{port}_health-probe_port	N/A (グローバルに相当するものはありません)	このサービスポートの正常性プローブポートを設定します (例: 15021)
service.beta.kubernetes.io/port_{port}_health-probe_request-path	service.beta.kubernetes.io/azure-load-balancer-health-probe-request-path	Http または Https の場合は、正常性プローブ要求パスを設定します。既定値は / です
service.beta.kubernetes.io/port_{port}_health-probe_num-of-probe	service.beta.kubernetes.io/azure-load-balancer-health-probe-num-of-probe	超えた場合にポートを異常と見なすプローブの連続エラー回数
service.beta.kubernetes.io/port_{port}_health-probe_interval	service.beta.kubernetes.io/azure-load-balancer-health-probe-interval	プローブの試行の間隔

次のマニフェストでは、ポート httpsserver に注釈が指定されているため、ポート httpsserver に対するプローブルールは httpserver に対するものとは異なります。

apiVersion: v1
kind: Service
metadata:
  name: appservice
  annotations:
    service.beta.kubernetes.io/azure-load-balancer-health-probe-num-of-probe: "5"
    service.beta.kubernetes.io/port_443_health-probe_num-of-probe: "4"
spec:
  type: LoadBalancer
  selector:
    app: server
  ports:
    - name: httpserver
      protocol: TCP
      port: 80
      targetPort: 30102
    - name: httpsserver
      protocol: TCP
      appProtocol: HTTPS
      port: 443
      targetPort: 30104

このマニフェストで、https ポートは別のノードポートを使い、/healthz (kube-proxy の healthz エンドポイント) のポート 10256 で HTTP 準備チェックを行います。

apiVersion: v1
kind: Service
metadata:
  name: istio
  annotations:
    service.beta.kubernetes.io/azure-load-balancer-internal: "true"
    service.beta.kubernetes.io/port_443_health-probe_protocol: "http"
    service.beta.kubernetes.io/port_443_health-probe_port: "10256"
    service.beta.kubernetes.io/port_443_health-probe_request-path: "/healthz"
spec:
  ports:
    - name: https
      protocol: TCP
      port: 443
      targetPort: 8443
      nodePort: 30104
      appProtocol: https
  selector:
    app: istio-ingressgateway
    gateway: istio-ingressgateway
    istio: ingressgateway
  type: LoadBalancer
  sessionAffinity: None
  externalTrafficPolicy: Local
  ipFamilies:
    - IPv4
  ipFamilyPolicy: SingleStack
  allocateLoadBalancerNodePorts: true
  internalTrafficPolicy: Cluster

このマニフェストで、https ポートは別の正常性プローブエンドポイントを使い、/healthz/ready のポート 30000 で HTTP 正常性チェックを行います。

apiVersion: v1
kind: Service
metadata:
  name: istio
  annotations:
    service.beta.kubernetes.io/azure-load-balancer-internal: "true"
    service.beta.kubernetes.io/port_443_health-probe_protocol: "http"
    service.beta.kubernetes.io/port_443_health-probe_port: "30000"
    service.beta.kubernetes.io/port_443_health-probe_request-path: "/healthz/ready"
spec:
  ports:
    - name: https
      protocol: TCP
      port: 443
      targetPort: 8443
      appProtocol: https
  selector:
    app: istio-ingressgateway
    gateway: istio-ingressgateway
    istio: ingressgateway
  type: LoadBalancer
  sessionAffinity: None
  externalTrafficPolicy: Local
  ipFamilies:
    - IPv4
  ipFamilyPolicy: SingleStack
  allocateLoadBalancerNodePorts: true
  internalTrafficPolicy: Cluster

SNAT のトラブルシューティング

同じ宛先 IP アドレスとポートに対して多数の TCP アウトバウンド接続または UDP アウトバウンド接続が開始されることがわかっている場合、送信接続エラーが発生する場合、または SNAT ポート (PAT によって使用される一時的なポート) が不足しているとサポートから知らされた場合、一般的な軽減策としていくつかの選択肢があります。それらをよく吟味して、実際のシナリオに最適な選択肢を判断してください。それらを 1 つまたは複数組み合わせることが状況改善に役立つ場合もあります。詳細については、アウトバウンド接続のトラブルシューティングガイドに関するページをご確認ください。

SNAT が枯渇する根本的な原因は、多くの場合、アウトバウンド接続の確立方法と管理方法、または構成可能なタイマーの既定値に対する変更のアンチパターンです。このセクションの内容を慎重に検討してください。

手順

接続のアイドル状態が長時間続いているかどうか、および既定のアイドルタイムアウトに基づいてそのポートが解放されているかどうかを確認します。そうである場合は、ご使用のシナリオのタイムアウト値を既定の 30 分より短くする必要があります。
対象のアプリケーションでアウトバウンド接続がどのようにつくられているかを調査しましょう (たとえば、コードレビューやパケットキャプチャ)。
このアクティビティが予期される動作であるかどうか、またはアプリケーションが誤動作しているかどうかを判断します。 Azure Monitor でメトリックとログを使用して、調査結果を実証します。たとえば、SNAT 接続メトリックの "失敗" カテゴリを使用します。
適切なパターンに従っているかどうかを評価します。
SNAT ポートの枯渇が、アウトバウンド IP アドレスを増やし、割り当てアウトバウンドポート数を増やすことで軽減されるかどうかを評価します。

設計パターン

接続の再利用と接続プールを、可能な場合に利用してください。これらのパターンは、リソース枯渇の問題を回避するのに役立ち、結果として予測可能な動作をもたらします。これらのパターンのプリミティブは、多くの開発ライブラリとフレームワークに含まれています。

アトミック要求 (接続ごとに 1 つの要求) は、一般には設計の選択肢として適切ではありません。そのようなアンチパターンにより規模が制限され、パフォーマンスと信頼性が低下します。代わりに、HTTP/S 接続を再利用し、接続と関連付けられている SNAT ポートの数を減らします。 TLS を利用すると、ハンドシェイク、オーバーヘッド、暗号化操作による代償が減るため、アプリケーションのスケールとパフォーマンスが向上します。
クラスター外、またはカスタム DNS を使用している場合、または coreDNS 上でカスタムアップストリームサーバーを使用している場合は、クライアントが DNS リゾルバーの結果をキャッシュしていないときに、DNS で大量の個別フローが発生する可能性があることにご注意ください。カスタム DNS サーバーを使用する代わりに、まず coreDNS をカスタマイズして、適切なキャッシュ値を定義してください。
UDP フロー (DNS 参照など) によって、アイドルタイムアウト時に、SNAT ポートが割り当てられます。アイドル時間が長くなると、SNAT ポートにかかる圧力がそれだけ高くなります。短いアイドルタイムアウト (たとえば 4 分) を使用します。
接続プールを使用し、接続ボリュームを形成します。
警告なしで TCP フローを破棄し、TCP タイマーに依存してフローを消去することは決してしないでください。 TCP で明示的に接続を閉じなかった場合、中間システムとエンドポイントで状態が割り当てられたままになり、他の接続に SNAT ポートを利用できなくなります。このパターンによって、アプリケーションエラーと SNAT 枯渇がトリガーされる可能性があります。
OS レベルの TCP 終了関連のタイマー値は、影響が専門的にわからない場合、変更しないでください。 TCP スタックの復旧中、接続のエンドポイントで期待値が一致しない場合、アプリケーションのパフォーマンスが低下する可能性があります。タイマーの変更が必要になる場合、通常、基になる設計に問題があることを示しています。次の推奨事項をご確認ください。

ロードバランサーを Basic SKU から Standard SKU に移行する

既存のクラスターに Basic SKU ロードバランサーが与えられている場合、Standard SKU ロードバランサーへ移行するときに注意すべき重大な違いがあります。

たとえば、クラスターを移行するための blue/green デプロイの作成は、load-balancer-sku のタイプのクラスターを考えると一般的な方法であり、クラスターの作成時にのみ定義することが可能です。ただし、Basic SKU ロードバランサーは Basic SKU IP アドレスを使用し、Standard SKU ロードバランサーと互換性がありません。 Standard SKU ロードバランサーには Standard SKU IP アドレスが必要です。ロードバランサー SKU をアップグレードするためにクラスターを移行するとき、互換性のある IP アドレス SKU を持つ新しい IP アドレスが必要となります。

クラスターの移行方法に関して他に注意すべき事項については、移行時の考慮事項に関するドキュメントを参照してください。

制限事項

Standard SKU を使用するロードバランサーをサポートする AKS クラスターを作成し、管理する場合、次の制限が適用されます。

AKS クラスターからのエグレストラフィックを許可するために、パブリック IP または IP プレフィックスが少なくとも 1 つ必要です。パブリック IP または IP プレフィックスは、コントロールプレーンとエージェントノードの間の接続を維持し、前のバージョンの AKS との互換性を維持するために必要です。 Standard SKU ロードバランサーでパブリック IP または IP プレフィックスを指定するための次のオプションがあります:
- 独自のパブリック IP を指定する。
- 独自のパブリック IP プレフィックスを指定する。
- 最大 100 までの数字を指定し、それだけの数の Standard SKU パブリック IP を、AKS クラスターと同じリソースグループで作成することを AKS クラスターに許可します。このリソースグループは、通常、名前の先頭に MC_ が付いています。 AKS により、パブリック IP が Standard SKU ロードバランサーに割り当てられます。既定では、パブリック IP、パブリック IP プレフィックス、または IP の数が指定されていない場合、同じリソースグループでパブリック IP が 1 つ自動的に作成されます。また、パブリックアドレスを許可する必要があり、IP 作成を禁止する Azure ポリシーは作成しないようにする必要があります。
AKS によって作成されるパブリック IP は、独自のカスタムパブリック IP アドレスとして再使用することはできません。ユーザーはすべてのカスタム IP アドレスを作成および管理する必要があります。
ロードバランサー SKU は、AKS クラスターの作成時にのみ定義できます。 AKS クラスターが作成された後にロードバランサー SKU を変更することはできません。
1 つのクラスターで使用できるロードバランサー SKU (Basic または Standard) の種類は 1 つのみです。
Standard SKU ロードバランサーでは、Standard SKU IP アドレスのみがサポートされています。

次のステップ

Kubernetes サービスについて学習するには、Kubernetes サービスのドキュメントを参照してください。

内部ロードバランサーをインバウンドトラフィックで使用する方法の詳細については、AKS の内部ロードバランサーに関するドキュメントを参照してください。