AAD Pod Identity の使用例 - AKS の Pod にマネージド ID で Azure リソースへのアクセス権を割り当てる

この記事は Microsoft Azure Tech Advent Calendar 2020 の 21 日目の記事になります。

こんにちは🎅 Azure テクニカル サポート チームの桐井です。

AKS 上のアプリケーション Pod から、 SQL Database や Key Vault、Blob Storage などの Azure サービスを利用する場合は、Pod に資格情報を渡し対象リソースへのアクセス権を付与する必要があります。

この記事では、AKS 上の Pod へ Azure AD Pod Identity を使ってマネージド ID を割り当てる方法を解説します。サンプル アプリケーションを動かしながら、マネージド ID の持つアクセス権で Azure Key Vault へアクセスする例をご紹介します。

🚩 Update: 2023/5/1
Pod にマネージド ID を割り当てるための新しい方法である Azure Workload IdentityGA となりました。AAD Pod Identity は Azure Workload Identity に置き換えられます
今後、新規に開発・構築をする際には Azure Workload Identity の利用をご検討ください。

Azure Kubernetes Service (AKS) で Azure AD ワークロード ID を使用する - Azure Kubernetes Service | Microsoft Learn

AAD Pod Identity から移行する場合は、次のドキュメントをご参照ください。

ポッド マネージド ID からワークロード ID に移行する - Azure Kubernetes Service | Microsoft Learn

Read More

誤って削除してしまったストレージ アカウントを復旧する

この記事は Microsoft Azure Tech Advent Calendar 2020 の 20 日目の記事になります。 こんにちは、Azure テクニカル サポート チームの安田です。 今回は誤って削除してしまったストレージ アカウントの復元を行う方法をご案内します。以前までは弊サポート部門にお問い合わせいただき、数営業日かけて復旧するという流れでしたが、最近のアップデートにてお客様にて迅速に復元を行うことができるようになりました。ただし、本手順を用いても復元が叶わない場合もありますので、予めご了承ください。 ■ご参考:削除されたストレージ アカウントを復旧しますhttps://learn.microsoft.com/ja-jp/azure/storage/common/storage-account-recover ストレージ アカウント復元時の注意点について 前提...

Read more

NSG と Azure Firewall の違い

こんにちは、Azure テクニカル サポート チームの薄井です。
今回は Network Security Group (NSG) と Azure Firewall の違いについて紹介します。

  • NSG と Azure Firewall ってどっちもアクセス制御できるけれど何が違うの?
  • どういう場面で使い分けたらいいの?

という、よくありそうな疑問に回答します。

Read More

Azure Marketplace から作成した Windows VM において SMB 1.0 が有効化できない事象について

こんにちは、Azure テクニカル サポート チームの菅澤です。

Azure Marketplace より作成した Windows Server 2012 R2 以降の VM について、SMB 1.0 がインストールしようとするとイメージファイルパスの指定を求められることがございます。
こちらの背景及び対処策についてご紹介いたします。

Read More

AKS の送信トラフィック - Load Balancer SKU と SNAT オプション

こんにちは! Azure テクニカル サポート チームの桐井です。

Azure Kubernetes Service (AKS) にデプロイされた Pod からインターネットへの送信トラフィックでは、 Azure VM で外部接続をする場合と同様に、仮想ネットワークのプライベート IP アドレスからグローバル IP アドレスへの SNAT が必要です。 AKS 上のアプリケーションから外部の連携サービスへアクセスするというシナリオで、リソース グループ内に存在するパブリック IP アドレスのうちどれが送信元の IP アドレスとして使用されるのか、疑問に思われた方もいらっしゃるのではないかと思います。

Azure では外部接続の SNAT オプションを複数提供しており、 AKS ではクラスター作成時に選択した Load Balancer の SKU によって、使用される SNAT オプションが異なることがございます。この記事では、送信トラフィックに Azure Load Balancer が使用されている [^1] ことを前提に、 AKS の外部接続で使用される SNAT オプションについて、関係する Azure リソースの構成とともにご紹介いたします。

Read More

VM の再作成により可用性ゾーンを変更する (PowerShell 編)

こんにちは、Azure テクニカル サポート チームの菅澤です。

Azure VM では、一部リージョンのみとはなりますが可用性ゾーンをサポートしています。

ただ、可用性ゾーンを利用した VM を作成したい場合には、これに利用するディスクも可用性ゾーンを利用している必要があり、一般に仮想マシンを新規デプロイする場合にのみこの利用有無を設定できます。

Read More

TLS 証明書の更新に関するアナウンスの補足説明

※ 2020 年 10 月 22 日更新: Windows のルート証明書に関する FAQ を追記しました。

こんにちは、Azure テクニカル サポート チームの飯塚です。

現在、Microsoft Azure では以下の公開資料のとおり、TLS 証明書の更新についてのアナウンスメントを行っております。

更新の内容やそれに伴う影響、また殆どのお客様に対しては影響がないということについても、上記の公開資料にてご説明させていただいております。しかし、現在のところ資料が英語版のみの公開となっており、わかりづらい可能性があるかと思いますので、本ブログ記事にて補足説明をさせていただきます。

以下の内容が参考になれば幸いです。

Read More

Application Gateway の散発的な 502 エラー

こんにちは、Azure サポート チームの檜山です。 今回は Application Gateway 経由で Web サイトへアクセスしている際にまれに 502 エラーが発生するという事象についてよくある事例を記載させていただきます。 まれに 502 エラーが発生するという事象についてよくある事例としては以下がございます。 バックエンドの Web サーバーにて HTTP KeepAlive が有効化されている 一時的な要因でバックエンドが TCP セッションを切断している 以下のブログにも記載されておりますが、Application Gateway が HTTP Status 502 を返す理由はいくつかございます。散発的に発生するような場合は本稿に記載した内容も一度ご確認いただけますと幸いです。 Application Gateway における 502 Erro...

Read more