アプリケーション ルーティング アドオンでのマネージド NGINX イングレス

ハイパーテキスト転送プロトコル (HTTP) とセキュリティで保護された (HTTPS) トラフィックを、Azure Kubernetes Service (AKS) クラスターで実行されているアプリケーションにルーティングする 1 つの方法は、Kubernetes イングレス オブジェクトを使うことです。 アプリケーション ルーティング アドオンの NGINX イングレス クラスを使用するイングレス オブジェクトを作成すると、アドオンによって AKS クラスター内の 1 つ以上のイングレス コントローラーが作成、構成、管理されます。

この記事では、AKS クラスターに基本的なイングレス コントローラーをデプロイして構成する方法について説明します。

NGINX を使用するアプリケーション ルーティング アドオンの機能

NGINX を使用するアプリケーション ルーティング アドオンでは、次の機能が提供されます。

• Kubernetes NGINX イングレス コントローラーに基づくマネージド NGINX イングレス コントローラーの簡単な構成。
• パブリック ゾーンとプライベート ゾーンの管理のための Azure DNS との統合
• Azure Key Vault に格納されている証明書での SSL 終端。

その他の構成については、次を参照してください。

• DNS と SSL の構成
• アプリケーション ルーティング アドオンの構成
• Azure プライベート DNS ゾーンの内部 NGIX イングレス コントローラーの構成。

Cloud Native Computing Foundation (CNCF) による Open Service Mesh (OSM) の廃止に伴い、OSM を使用したアプリケーション ルーティング アドオンの使用は非推奨となっています。

前提条件

• Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、無料のアカウントを作成できます。
• Azure CLI バージョン 2.54.0 以降がインストールされ構成されていること。 バージョンを確認するには、az --version を実行します。 インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。
• aks-preview Azure CLI 拡張機能のバージョン 0.5.171 以降がインストールされていること

制限事項

• アプリケーション ルーティング アドオンでは、最大で 5 つの Azure DNS ゾーンがサポートされます。
• アドオンと統合されるすべてのグローバル Azure DNS ゾーンは、同じリソース グループ内にある必要があります。
• アドオンと統合されるすべてのプライベート Azure DNS ゾーンは、同じリソース グループ内にある必要があります。
• app-routing-system 名前空間での ingress-nginx ConfigMap の編集はサポートされていません。
• 次のスニペットの注釈はブロックされているため、イングレスを構成できません。load_module、lua_package、_by_lua、location、root、proxy_pass、serviceaccount、{、}、'。

Azure CLI を使用してアプリケーション ルーティングを有効にする

既定値

新しいクラスターで有効にする

新しいクラスターでアプリケーション ルーティングを有効にするには、--enable-app-routing フラグを指定して az aks create コマンドを使用します。

az aks create -g <ResourceGroupName> -n <ClusterName> -l <Location> --enable-app-routing

既存のクラスターで有効にする

既存のクラスターでアプリケーション ルーティングを有効にするには、az aks approuting enable コマンドを使用します。

az aks approuting enable -g <ResourceGroupName> -n <ClusterName>

Open Service Mesh (OSM) (廃止)

Note

OPEN Service Mesh (OSM) は CNCF によって廃止されました。 アプリケーション ルーティング アドオンと OSM 統合を使ってイングレスを作成することは推奨されず、廃止される予定です。

この構成をサポートするには、次のアドオンが必要です。

• open-service-mesh: NGINX イングレスとサービスの間のクラスター内トラフィックの暗号化が必要な場合は (推奨)、相互 TLS (mTLS) を提供する Open Service Mesh アドオンが必要です。

新しいクラスターで有効にする

--enable-app-routing フラグと --enable-addons パラメーターおよび open-service-mesh アドオンを指定して az aks create コマンドを使用し、新しい AKS クラスターでアプリケーション ルーティングを有効にします。

az aks create -g <ResourceGroupName> -n <ClusterName> -l <Location> --enable-app-routing --enable-addons open-service-mesh 

既存のクラスターで有効にする

既存のクラスターでアプリケーション ルーティングを有効にするには、az aks approuting enable コマンドと、--addons パラメーターを open-service-mesh に設定して az aks enable-addons コマンドを使用します。

az aks approuting enable -g <ResourceGroupName> -n <ClusterName>
az aks enable-addons -g <ResourceGroupName> -n <ClusterName> --addons open-service-mesh

Note

アドオンで Open Service Mesh を使用する場合は、osm コマンド ライン ツールをインストールする必要があります。 このコマンドライン ツールには、Open Service Mesh の構成と管理に必要なものがすべて含まれています。 最新のバイナリは、OSM GitHub リリース ページで入手できます。

サービス注釈 (廃止)

警告

サービス オブジェクトに注釈を追加してイングレスを構成することは廃止されています。 イングレス オブジェクトを使って構成することを検討してください。

新しいクラスターで有効にする

新しいクラスターでアプリケーション ルーティングを有効にするには、--enable-app-routing フラグを指定して az aks create コマンドを使用します。

az aks create -g <ResourceGroupName> -n <ClusterName> -l <Location> --enable-app-routing

既存のクラスターで有効にする

既存のクラスターでアプリケーション ルーティングを有効にするには、az aks approuting enable コマンドを使用します。

az aks approuting enable -g <ResourceGroupName> -n <ClusterName>

ご利用の AKS クラスターに接続する

お使いのローカル コンピューターから Kubernetes クラスターに接続するには、kubectl (Kubernetes コマンドライン クライアント) を使用します。 az aks install-cli コマンドを使用してローカルにインストールすることができます。 Azure Cloud Shell を使用している場合、kubectl は既にインストールされています。

az aks get-credentials コマンドを使用して、Kubernetes クラスターに接続するように kubectl を構成します。

az aks get-credentials -g <ResourceGroupName> -n <ClusterName>

アプリケーションをデプロイする

アプリケーション ルーティング アドオンは、Kubernetes イングレス オブジェクトの注釈を使って適切なリソースを作成します。

アプリケーション ルーティング アドオン

1. kubectl create namespace コマンドを使って、ポッドの例を実行するための hello-web-app-routing という名前のアプリケーション名前空間を作成します。

   kubectl create namespace hello-web-app-routing
   

2. deployment.yaml という名前の新しいファイルに次の YAML マニフェストをコピーしてデプロイを作成し、ローカル コンピューターにファイルを保存します。

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: aks-helloworld  
     namespace: hello-web-app-routing
   spec:
     replicas: 1
     selector:
       matchLabels:
         app: aks-helloworld
     template:
       metadata:
         labels:
           app: aks-helloworld
       spec:
         containers:
         - name: aks-helloworld
           image: mcr.microsoft.com/azuredocs/aks-helloworld:v1
           ports:
           - containerPort: 80
           env:
           - name: TITLE
             value: "Welcome to Azure Kubernetes Service (AKS)"
   

3. service.yaml という名前の新しいファイルに次の YAML マニフェストをコピーしてサービスを作成し、ローカル コンピューターにファイルを保存します。

   apiVersion: v1
   kind: Service
   metadata:
     name: aks-helloworld
     namespace: hello-web-app-routing
   spec:
     type: ClusterIP
     ports:
     - port: 80
     selector:
       app: aks-helloworld
   

イングレス オブジェクトを作成する

アプリケーション ルーティング アドオンにより、webapprouting.kubernetes.azure.com という名前のクラスターにイングレス クラスが作成されます。 このクラスを使ってイングレス オブジェクトを作成すると、アドオンがアクティブになります。

1. 次の YAML マニフェストを ingress.yaml という名前の新しいファイルにコピーし、ファイルをローカル コンピューターに保存します。

   apiVersion: networking.k8s.io/v1
   kind: Ingress
   metadata:
     name: aks-helloworld
     namespace: hello-web-app-routing
   spec:
     ingressClassName: webapprouting.kubernetes.azure.com
     rules:
     - host: <Hostname>
       http:
         paths:
         - backend:
             service:
               name: aks-helloworld
               port:
                 number: 80
           path: /
           pathType: Prefix
   

2. kubectl apply コマンドを使ってクラスター リソースを作成します。

   kubectl apply -f deployment.yaml -n hello-web-app-routing
   

   次の出力例では、作成されたリソースが示されています。

   deployment.apps/aks-helloworld created
   

   kubectl apply -f service.yaml -n hello-web-app-routing
   

   次の出力例では、作成されたリソースが示されています。

   service/aks-helloworld created
   

   kubectl apply -f ingress.yaml -n hello-web-app-routing
   

   次の出力例では、作成されたリソースが示されています。

   ingress.networking.k8s.io/aks-helloworld created
   

Open Service Mesh (廃止)

1. hello-web-app-routing という名前の名前空間を作成し、kubectl create namespace コマンドを使用してポッドの例を実行します。

   kubectl create namespace hello-web-app-routing
   

2. osm namespace add コマンドを使用して、OSM コントロール プレーンにアプリケーションの名前空間を追加します。

   osm namespace add hello-web-app-routing
   

3. deployment.yaml という名前の新しいファイルに次の YAML マニフェストをコピーしてデプロイを作成し、ローカル コンピューターにファイルを保存します。

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: aks-helloworld  
     namespace: hello-web-app-routing
   spec:
     replicas: 1
     selector:
       matchLabels:
         app: aks-helloworld
     template:
       metadata:
         labels:
           app: aks-helloworld
       spec:
         containers:
         - name: aks-helloworld
           image: mcr.microsoft.com/azuredocs/aks-helloworld:v1
           ports:
           - containerPort: 80
           env:
           - name: TITLE
             value: "Welcome to Azure Kubernetes Service (AKS)"
   

4. service.yaml という名前の新しいファイルに次の YAML マニフェストをコピーしてサービスを作成し、ローカル コンピューターにファイルを保存します。

   apiVersion: v1
   kind: Service
   metadata:
     name: aks-helloworld
     namespace: hello-web-app-routing
   spec:
     type: ClusterIP
     ports:
     - port: 80
     selector:
       app: aks-helloworld
   

イングレス オブジェクトを作成する

アプリケーション ルーティング アドオンにより、webapprouting.kubernetes.azure.com という名前のクラスターにイングレス クラスが作成されます。 このクラスを使ってイングレス オブジェクトを作成すると、アドオンがアクティブになります。 イングレス オブジェクトの kubernetes.azure.com/use-osm-mtls: "true" 注釈により、Open Service Mesh (OSM) IngressBackend が作成されて、信頼されたソースからのイングレス トラフィックを受け入れるようにバックエンド サービスが構成されます。

1. 次の YAML マニフェストを ingress.yaml という名前の新しいファイルにコピーし、ファイルをローカル コンピューターに保存します。

   apiVersion: networking.k8s.io/v1
   kind: Ingress
   metadata:
     annotations:
       kubernetes.azure.com/use-osm-mtls: "true"
       nginx.ingress.kubernetes.io/backend-protocol: HTTPS
       nginx.ingress.kubernetes.io/configuration-snippet: |2-
         proxy_ssl_name "default.hello-web-app-routing.cluster.local";
       nginx.ingress.kubernetes.io/proxy-ssl-secret: kube-system/osm-ingress-client-cert
       nginx.ingress.kubernetes.io/proxy-ssl-verify: "on"
     name: aks-helloworld
     namespace: hello-web-app-routing
   spec:
     ingressClassName: webapprouting.kubernetes.azure.com
     rules:
     - host: <Hostname>
       http:
         paths:
         - backend:
             service:
               name: aks-helloworld
               port:
                 number: 80
           path: /
           pathType: Prefix
   

2. kubectl apply コマンドを使ってクラスター リソースを作成します。

   kubectl apply -f deployment.yaml -n hello-web-app-routing
   

   次の出力例では、作成されたリソースが示されています。

   deployment.apps/aks-helloworld created
   

   kubectl apply -f service.yaml -n hello-web-app-routing
   

   次の出力例では、作成されたリソースが示されています。

   service/aks-helloworld created
   

   kubectl apply -f ingress.yaml -n hello-web-app-routing
   

   次の出力例では、作成されたリソースが示されています。

   ingress.networking.k8s.io/aks-helloworld created
   

サービス注釈 (廃止)

警告

サービス オブジェクトに注釈を追加してイングレスを構成することは廃止されています。 イングレス オブジェクトを使って構成することを検討してください。

アプリケーションの名前空間を作成する

1. hello-web-app-routing という名前の名前空間を作成し、kubectl create namespace コマンドを使用してポッドの例を実行します。

   kubectl create namespace hello-web-app-routing
   

2. osm namespace add コマンドを使用して、OSM コントロール プレーンにアプリケーションの名前空間を追加します。

   osm namespace add hello-web-app-routing
   

3. deployment.yaml という名前の新しいファイルに次の YAML マニフェストをコピーしてデプロイを作成し、ローカル コンピューターにファイルを保存します。

   apiVersion: apps/v1
   kind: Deployment
   metadata:
     name: aks-helloworld  
     namespace: hello-web-app-routing
   spec:
     replicas: 1
     selector:
       matchLabels:
         app: aks-helloworld
     template:
       metadata:
         labels:
           app: aks-helloworld
       spec:
         containers:
         - name: aks-helloworld
           image: mcr.microsoft.com/azuredocs/aks-helloworld:v1
           ports:
           - containerPort: 80
           env:
           - name: TITLE
             value: "Welcome to Azure Kubernetes Service (AKS)"
   

4. service.yaml という名前の新しいファイルに次の YAML マニフェストをコピーしてサービスを作成し、ローカル コンピューターにファイルを保存します。

   apiVersion: v1
   kind: Service
   metadata:
     name: aks-helloworld
     namespace: hello-web-app-routing
   spec:
     type: ClusterIP
     ports:
     - port: 80
     selector:
       app: aks-helloworld
   

5. kubectl apply コマンドを使ってクラスター リソースを作成します。

   kubectl apply -f deployment.yaml -n hello-web-app-routing
   

   次の出力例では、作成されたリソースが示されています。

   deployment.apps/aks-helloworld created
   

   kubectl apply -f service.yaml -n hello-web-app-routing
   

   次の出力例では、作成されたリソースが示されています。

   service/aks-helloworld created
   

マネージド イングレスが作成されたことを確認する

マネージド イングレスが作成されたことは、kubectl get ingress コマンドを使って確認できます。

kubectl get ingress -n hello-web-app-routing

次の出力例では、作成されたマネージド イングレスが示されています。

NAME             CLASS                                HOSTS               ADDRESS       PORTS     AGE
aks-helloworld   webapprouting.kubernetes.azure.com   myapp.contoso.com   20.51.92.19   80, 443   4m

アプリケーション ルーティング アドオンを削除する

関連付けられている名前空間を削除するには、kubectl delete namespace コマンドを使います。

kubectl delete namespace hello-web-app-routing

クラスターからアプリケーション ルーティング アドオンを削除するには、az aks approuting disable コマンドを使います。

az aks approuting disable --name myAKSCluster --resource-group myResourceGroup 

アプリケーション ルーティング アドオンが無効になっている場合は、一部の Kubernetes リソースがクラスターに残ることがあります。 これらのリソースには configMaps と secrets が含まれ、app-routing-system 名前空間で作成されます。 これらのリソースは、必要に応じて削除できます。

次のステップ

• カスタム イングレス構成の設定に関する記事には、Azure DNS を使って高度なイングレス構成を作成してカスタム ドメインを構成し、DNS ゾーンの管理と、セキュリティで保護されたイングレスの設定を行う方法が説明されています。

• Azure 内部ロード バランサーと統合し、プライベート エンドポイントの DNS 解決を有効にして、特定のドメインを解決するようにプライベート Azure DNS ゾーンを構成することについては、「Azure プライベート DNS ゾーンの内部 NGINX イングレス コントローラーの構成」を参照してください。

• アプリケーションのパフォーマンスと使用状況の分析の一環として、Grafana で Prometheus を使用して、アプリケーション ルーティング アドオンに含まれる ingress-nginx コントローラー メトリックを監視する (プレビュー) 方法について理解します。