Azure Arc 対応 Kubernetes エージェントの概要

Azure Arc 対応 Kubernetes では、さまざまな環境の Kubernetes クラスター全体でポリシー、ガバナンス、セキュリティを管理するための一元的で一貫性のあるコントロール プレーンが提供されます。

Azure Arc エージェントは、Azure Arc に接続する時に Kubernetes クラスターにデプロイされます。この記事では、これらのエージェントの概要について説明します。

クラスターにエージェントをデプロイする

ほとんどのオンプレミス データセンターにおいては、ネットワーク境界のファイアウォールで、受信通信を禁止する厳格なネットワーク規則が適用されます。 Azure Arc 対応 Kubernetes は、ファイアウォールで受信ポートを必要としないことによって、これらの制限と連携します。 Azure Arc エージェントでは、ネットワーク エンドポイントのセットの一覧への送信通信が必要です。

この図では、Azure Arc コンポーネントのハイレベル概要を示します。 オンプレミスのデータセンターまたは異なるクラウド内の Kubernetes クラスターは、Azure Arc エージェントを介して Azure に接続されます。 これにより、管理ツールと Azure サービスを使用して Azure でクラスターを管理できます。 クラスターには、オフライン管理ツールを使用してアクセスすることもできます。

Diagram showing an architectural overview of the Azure Arc-enabled Kubernetes agents.

Kubernetes クラスターを Azure Arc に接続するには、次の大まかな手順を実行します。

  1. 選択したインフラストラクチャ (VMware vSphere、アマゾン ウェブ サービス、Google Cloud Platform など) に、Kubernetes クラスターを作成します。 クラスターは、Azure Arc に接続する前に既に存在している必要があります。

  2. クラスターの Azure Arc 登録を開始します。

    • エージェント Helm Chart がクラスターにデプロイされます。

    • クラスター ノードにより、Microsoft Container Registry への送信通信が開始され、azure-arc 名前空間に次のエージェントを作成するために必要なイメージがプルされます。

      エージェント 説明
      deployment.apps/clusteridentityoperator 現在、Azure Arc 対応 Kubernetes によってサポートされているのは、システム割り当て ID のみです。 clusteridentityoperator によって最初の送信通信が開始されます。 この最初の通信によって、他のエージェントが Azure との通信に使用する管理サービス ID (MSI) 証明書が取り込まれます。
      deployment.apps/config-agent クラスターに適用されるソース管理構成リソースの接続されたクラスターを監視します。 コンプライアンスの状態を更新します。
      deployment.apps/controller-manager Azure Arc コンポーネント間の相互作用を調整する、オペレーターのオペレーターです。
      deployment.apps/metrics-agent 他の Arc エージェントのメトリックを収集して、パフォーマンスが最適であることを確認します。
      deployment.apps/cluster-metadata-operator クラスターのバージョン、ノード数、Azure Arc エージェントのバージョンなど、クラスターのメタデータを収集します。
      deployment.apps/resource-sync-agent 前述のクラスター メタデータを Azure に同期します
      deployment.apps/flux-logs-agent ソース管理構成の一部としてデプロイされる Flux オペレーターからログを収集します。
      deployment.apps/extension-manager 拡張 Helm チャートをインストールし、そのライフサイクルを管理します。
      deployment.apps/kube-aad-proxy クラスター接続を使用してクラスターに送信される要求の認証に使用されます。
      deployment.apps/clusterconnect-agent クラスターの apiserver へのアクセスを提供するクラスター接続機能を有効にするリバース プロキシ エージェント。 クラスター接続機能が有効な場合にのみデプロイされるオプション コンポーネント。
      deployment.apps/guard Microsoft Entra RBAC 機能に使用される認証および承認 Webhook サーバー。 クラスターで Azure RBAC が有効な場合にのみデプロイされるオプション コンポーネント。
  3. すべての Azure Arc 対応 Kubernetes エージェントのポッドが Running 状態になったら、クラスターが Azure Arc に接続されていることを確認します。次のものが表示されます。

    • Azure Resource Manager 内の Azure Arc 対応 Kubernetes リソース。 このリソースは、実際の Kubernetes クラスター自体ではなく、カスタマー マネージド Kubernetes クラスターのプロジェクションとして、Azure で追跡されます。
    • クラスターのメタデータ (Kubernetes のバージョン、エージェントのバージョン、ノードの数など) は、Azure Arc 対応 Kubernetes リソースのメタデータとして表示されます。

次のステップ