次の方法で共有


チュートリアル: 既存の Application Gateway を使用して既存の AKS クラスターで Application Gateway イングレス コントローラー アドオンを有効にする

Azure CLI またはポータルを使用して、既存の Azure Kubernetes Services (AKS) クラスターの Application Gateway イングレス コントローラー (AGIC) アドオンを有効にすることができます。 このチュートリアルでは、AGIC アドオンを使用して、別の仮想ネットワークにデプロイされている既存の Application Gateway を介して既存の AKS クラスターに Kubernetes アプリケーションを公開する方法について説明します。 まず、1 つの仮想ネットワークに AKS クラスターを作成し、別の仮想ネットワークに Application Gateway を作成して、既存のリソースをシミュレートします。 次に、AGIC アドオンを有効にし、2 つの仮想ネットワークをピアリングして、AGIC アドオンを使用して Application Gateway を通じて公開されるサンプル アプリケーションをデプロイします。 同じ仮想ネットワーク内の既存の Application Gateway と既存の AKS クラスターに対して AGIC アドオンを有効にしている場合は、次のピアリング手順を省略できます。 このアドオンを使用すると、Helm を使用する方法よりもはるかに高速な方法で AKS クラスターに AGIC をデプロイでき、さらにフル マネージド エクスペリエンスを提供します。

このチュートリアルでは、次の作業を行う方法について説明します。

  • リソース グループを作成する。
  • 新しい AKS クラスターを作成する。
  • 新しいアプリケーション ゲートウェイを作成する。
  • Azure CLI を通して既存の AKS クラスターの AGIC アドオンを有効にする。
  • Azure portal を通して既存の AKS クラスターの AGIC アドオンを有効にする。
  • アプリケーション ゲートウェイ仮想ネットワークを AKS クラスター仮想ネットワークとピアリングする。
  • AKS クラスター上のイングレスに AGIC を使用するサンプル アプリケーションをデプロイする。
  • アプリケーションがアプリケーション ゲートウェイを介して到達可能であることを確認する。

Azure サブスクリプションをお持ちでない場合は、開始する前に Azure 無料アカウントを作成してください。

前提条件

  • Azure Cloud Shell で Bash 環境を使用します。 詳細については、「Azure Cloud Shell の Bash のクイックスタート」を参照してください。

  • CLI リファレンス コマンドをローカルで実行する場合、Azure CLI をインストールします。 Windows または macOS で実行している場合は、Docker コンテナーで Azure CLI を実行することを検討してください。 詳細については、「Docker コンテナーで Azure CLI を実行する方法」を参照してください。

    • ローカル インストールを使用する場合は、az login コマンドを使用して Azure CLI にサインインします。 認証プロセスを完了するには、ターミナルに表示される手順に従います。 その他のサインイン オプションについては、Azure CLI でのサインインに関するページを参照してください。

    • 初回使用時にインストールを求められたら、Azure CLI 拡張機能をインストールします。 拡張機能の詳細については、Azure CLI で拡張機能を使用する方法に関するページを参照してください。

    • az version を実行し、インストールされているバージョンおよび依存ライブラリを検索します。 最新バージョンにアップグレードするには、az upgrade を実行します。

リソース グループを作成する

Azure で、関連するリソースをリソース グループに割り当てます。 az group create を使用してリソース グループを作成します。 次の例では、myResourceGroup という名前のリソース グループを "米国東部" の場所 (リージョン) に作成します。

az group create --name myResourceGroup --location eastus

新しい AKS クラスターをデプロイする

ここでは、新しい AKS クラスターをデプロイして、AGIC アドオンを有効にする既存の AKS クラスターがあることをシミュレートします。

次の例では、作成したリソース グループ myResourceGroupAzure CNI および マネージド ID を使用して、myCluster という名前の新しい AKS クラスターをデプロイします。

az aks create --name myCluster --resource-group myResourceGroup --network-plugin azure --enable-managed-identity --generate-ssh-keys

上記のコマンドのその他のパラメーターを構成するには、「az aks create」を参照してください。

Note

ノード リソース グループは、MC_resource-group-name_cluster-name_location という名前で作成されます。

新しい Application Gateway のデプロイ

ここでは、myCluster という AKS クラスターへのトラフィックの負荷分散に使用する既存の Application Gateway があることをシミュレートするため、新しい Application Gateway をデプロイします。 アプリケーション ゲートウェイの名前は myApplicationGateway になりますが、最初に、myPublicIp という名前のパブリック IP リソースと、アドレス空間が 10.0.0.0/16 の myVnet という名前の新しい仮想ネットワークと、アドレス空間が 10.0.0.0/24 の mySubnet というサブネットを作成し、myPublicIp を使用してアプリケーション ゲートウェイを mySubnet にデプロイする必要があります。

注意事項

AKS クラスターと Application Gateway を別の仮想ネットワークで使用する場合、2 つの仮想ネットワークのアドレス空間が重複しないようにする必要があります。 AKS クラスターがデプロイされる既定のアドレス空間は 10.224.0.0/12 です。

az network public-ip create --name myPublicIp --resource-group myResourceGroup --allocation-method Static --sku Standard
az network vnet create --name myVnet --resource-group myResourceGroup --address-prefix 10.0.0.0/16 --subnet-name mySubnet --subnet-prefix 10.0.0.0/24 
az network application-gateway create --name myApplicationGateway --resource-group myResourceGroup --sku Standard_v2 --public-ip-address myPublicIp --vnet-name myVnet --subnet mySubnet --priority 100

Note

アプリケーション ゲートウェイ イングレス コントローラー (AGIC) アドオンでは、アプリケーション ゲートウェイ v2 SKU (Standard および WAF) のみがサポートされており、アプリケーション ゲートウェイ v1 SKU はサポートされません

Azure CLI を使用して既存の AKS クラスターの AGIC アドオンを有効にする

Azure CLI を引き続き使用する場合は、作成した AKS クラスター myCluster で AGIC アドオンを有効にし、作成した既存の Application Gateway myApplicationGateway を使用する AGIC アドオンを指定します。

appgwId=$(az network application-gateway show --name myApplicationGateway --resource-group myResourceGroup -o tsv --query "id") 
az aks enable-addons --name myCluster --resource-group myResourceGroup --addon ingress-appgw --appgw-id $appgwId

Azure portal を使用して既存の AKS クラスターの AGIC アドオンを有効にする

  1. Azure portal ホーム ページから、AKS クラスター リソースに移動します。
  2. サービス メニューの [設定] で、[ネットワーク]>[仮想ネットワーク統合] を選択します。
  3. [アプリケーション ゲートウェイ イングレス コントローラー] で、[管理] を選択します。
  4. [アプリケーション ゲートウェイ イングレス コントローラー] ページで、イングレス コントローラーを有効にするチェックボックスを選択した後、ドロップダウン リストから既存のアプリケーション ゲートウェイを選択します。
  5. [保存] を選択します。

重要

AKS クラスター リソース グループとは異なるリソース グループのアプリケーション ゲートウェイを使う場合は、作成されるマネージド ID ingressapplicationgateway-{AKSNAME} に、アプリケーション ゲートウェイ リソース グループでのネットワーク共同作成者閲覧者ロールを設定する必要があります。

2 つの仮想ネットワークを一緒にピアリングする

AKS クラスターを独自の仮想ネットワークにデプロイし、別の仮想ネットワークに Application Gateway をデプロイしたため、Application Gateway からクラスター内のポッドにトラフィックを流すには、2 つの仮想ネットワークを一緒にピアリングする必要があります。 2 つの仮想ネットワークをピアリングするには、接続が双方向になるよう、Azure CLI コマンドを 2 回個別に実行する必要があります。 最初のコマンドは、Application Gateway 仮想ネットワークから AKS 仮想ネットワークへのピアリング接続を作成します。2 番目のコマンドは、その逆方向にピアリング接続を作成します。

nodeResourceGroup=$(az aks show --name myCluster --resource-group myResourceGroup -o tsv --query "nodeResourceGroup")
aksVnetName=$(az network vnet list --resource-group $nodeResourceGroup -o tsv --query "[0].name")

aksVnetId=$(az network vnet show --name $aksVnetName --resource-group $nodeResourceGroup -o tsv --query "id")
az network vnet peering create --name AppGWtoAKSVnetPeering --resource-group myResourceGroup --vnet-name myVnet --remote-vnet $aksVnetId --allow-vnet-access

appGWVnetId=$(az network vnet show --name myVnet --resource-group myResourceGroup -o tsv --query "id")
az network vnet peering create --name AKStoAppGWVnetPeering --resource-group $nodeResourceGroup --vnet-name $aksVnetName --remote-vnet $appGWVnetId --allow-vnet-access

注意

Azure CNI を使用して AKS を作成した上記の "新しい AKS クラスターのデプロイ" 手順では、Kubenet モードを使用する既存の AKS クラスターがある場合は、ポッド IP 宛てのパケットがポッドをホストしているノードに到達できるようにルート テーブルを更新する必要があります。 これを実現する簡単な方法は、AKS によって作成された同じルート テーブルを Application Gateway のサブネットに関連付けることです。

AGIC を使用してサンプル アプリケーションをデプロイする

次に、作成した AKS クラスターにサンプル アプリケーションをデプロイします。このクラスターでは、AGIC アドオンをイングレスに使用し、AKS クラスターに Application Gateway を接続します。 まず、az aks get-credentials コマンドを実行して、デプロイした AKS クラスターの資格情報を取得します。

az aks get-credentials --name myCluster --resource-group myResourceGroup

作成したクラスターの資格情報を取得したら、次のコマンドを実行して、クラスターへのイングレスに AGIC を使用するサンプル アプリケーションをセットアップします。 AGIC によって、以前に設定した Application Gateway を、対応するルーティング規則で、デプロイした新しいサンプル アプリケーションに更新します。

kubectl apply -f https://raw.githubusercontent.com/Azure/application-gateway-kubernetes-ingress/master/docs/examples/aspnetapp.yaml 

アプリケーションに到達可能であることを確認する

これで、Application Gateway が AKS クラスターへのトラフィックを処理するように設定されたので、アプリケーションが到達可能であることを確認してみましょう。 最初に、イングレスの IP アドレスを取得します。

kubectl get ingress

先ほど作成したサンプル アプリケーションが稼働していることを確認するには、上記のコマンドを実行して取得した Application Gateway の IP アドレスを参照するか、curl で確認します。 Application Gateway で更新を取得するのに 1 分ほどかかる場合があるため、Azure portal の Application Gateway の状態が "更新中" のままになっている場合は、IP アドレスに到達する前に完了するようにしてください。

リソースをクリーンアップする

不要になったら、myResourceGroupMC_myResourceGroup_myCluster_eastus リソース グループを削除して、このチュートリアルで作成したすべてのリソースを削除します。

az group delete --name myResourceGroup 
az group delete --name MC_myResourceGroup_myCluster_eastus

次のステップ