Azure Kubernetes Fleet Manager ハブクラスターの Kubernetes API にアクセスする

適用対象: ✔️ ハブクラスターを含む Fleet Manager

Azure Kubernetes Fleet Manager (Kubernetes Fleet) リソースがハブクラスターを使って作成された場合は、それを使って Kubernetes リソースの伝達などのシナリオを一元的に制御できます。この記事では、Kubernetes Fleet ハブクラスターの Kubernetes API にアクセスする方法を説明します。

開始する前に

Azure アカウントをお持ちでない場合は、開始する前に無料アカウントを作成してください。
ハブクラスターとメンバークラスターを含む Kubernetes Fleet リソースが必要です。お持ちでない場合は、「Azure CLI を使用して Azure Kubernetes Fleet Manager リソースを作成し、メンバークラスターを参加させる」を参照してください。
お使いの ID (ユーザーまたはサービスプリンシパル) には、Kubernetes Fleet リソースに対する Microsoft.ContainerService/fleets/listCredentials/action アクセス許可が必要です。

Azure Kubernetes Fleet Manager (Kubernetes Fleet) リソースがプライベートハブクラスターで作成された場合は、それを使用して、Kubernetes リソースの伝達などのシナリオを一元的に制御できます。この記事では、Azure Bastion のネイティブクライアントトンネリング機能を使用して、プライベート Kubernetes Fleet ハブクラスターの Kubernetes API に安全にアクセスする方法について説明します。

Azure Bastion を使用すると、セキュリティで保護されたアクセスを提供しながら、プライベートハブクラスターが外部にエンドポイントを公開しないように保護します。詳細については、「Azure Bastion とは」を参照してください。

開始する前に

Azure アカウントをお持ちでない場合は、開始する前に無料アカウントを作成してください。
ハブクラスターとメンバークラスターを含む Kubernetes Fleet リソースが必要です。お持ちでない場合は、「Azure CLI を使用して Azure Kubernetes Fleet Manager リソースを作成し、メンバークラスターを参加させる」を参照してください。
Bastion ホストが既にインストールされている仮想ネットワークが必要です。
- Fleet Manager が配置されている仮想ネットワーク用に Azure Bastion ホストを設定していることを確認します。 Azure Bastion ホストを設定するには、「クイックスタート: 既定の設定で Bastion をデプロイする」を参照してください。
- Bastion は Standard または Premium SKU であり、構成設定でネイティブクライアントサポートが有効になっている必要があります。
使用している ID (ユーザーまたはサービスプリンシパル) には、次のものが必要です。
- Kubernetes Fleet リソースに対する Microsoft.ContainerService/fleets/listCredentials/action アクセス許可。
- Microsoft.Network/bastionHosts/read を Bastion リソースで使用する。
- プライベートハブクラスターの仮想ネットワーク上の Microsoft.Network/virtualNetworks/read。

Kubernetes API にアクセスする

サブスクリプション ID、リソースグループ、Kubernetes Fleet リソースのための次の環境変数を設定します。
```
export SUBSCRIPTION_ID=<subscription-id>
export GROUP=<resource-group-name>
export FLEET=<fleet-name>
```
az account set コマンドを使って、既定の Azure サブスクリプションを設定します。
```
az account set --subscription ${SUBSCRIPTION_ID}
```
az fleet get-credentials コマンドを使って、Kubernetes Fleet ハブクラスターの kubeconfig ファイルを取得します。
```
az fleet get-credentials --resource-group ${GROUP} --name ${FLEET}
```
出力は次の例のようになります。
```
Merged "hub" as current context in /home/fleet/.kube/config
```

ハブクラスターの Kubernetes Fleet リソースの FLEET_ID の値に、次の環境変数を設定します。

export FLEET_ID=/subscriptions/${SUBSCRIPTION_ID}/resourceGroups/${GROUP}/providers/Microsoft.ContainerService/fleets/${FLEET}

次のコマンドを使って、お使いの ID が Kubernetes Fleet ハブクラスターにアクセスするのを認可します。

ROLE 環境変数に対して、次の 4 つの組み込みロールの定義のいずれかを値として使用できます。

Azure Kubernetes Fleet Manager RBAC リーダー
Azure Kubernetes Fleet Manager RBAC ライター
Azure Kubernetes Fleet Manager RBAC 管理者
Azure Kubernetes Fleet Manager RBAC クラスター管理者

export IDENTITY=$(az ad signed-in-user show --query "id" --output tsv)
export ROLE="Azure Kubernetes Fleet Manager RBAC Cluster Admin"
az role assignment create --role "${ROLE}" --assignee ${IDENTITY} --scope ${FLEET_ID}

出力は次の例のようになります。

{
  "canDelegate": null,
  "condition": null,
  "conditionVersion": null,
  "description": null,
  "id": "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<GROUP>/providers/Microsoft.ContainerService/fleets/<FLEET>/providers/Microsoft.Authorization/roleAssignments/<assignment>",
  "name": "<name>",
  "principalId": "<id>",
  "principalType": "User",
  "resourceGroup": "<GROUP>",
  "roleDefinitionId": "/subscriptions/<SUBSCRIPTION_ID>/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
  "scope": "/subscriptions/<SUBSCRIPTION_ID>/resourceGroups/<GROUP>/providers/Microsoft.ContainerService/fleets/<FLEET>",
  "type": "Microsoft.Authorization/roleAssignments"
}

kubectl get memberclusters コマンドを使って、API サーバーにアクセスできることを確認します。
```
kubectl get memberclusters
```
コマンドが成功した場合、出力は次の例のようになります。
```
NAME           JOINED   AGE
aks-member-1   True     2m
aks-member-2   True     2m
aks-member-3   True     2m
```

プライベートフリートマネージャーのハブクラスターへのトンネルを開ける。

export HUB_CLUSTER_ID=<hub-cluster-id-in-FL_resourceGroup>
az network bastion tunnel --name <BastionName> --resource-group ${GROUP} --target-resource-id ${HUB_CLUSTER_ID}$ --resource-port 443 --port <LocalMachinePort>

新しいターミナルウィンドウで、Bastion トンネルを介してハブクラスターに接続し、API サーバーのアクセスを確認します。
```
kubectl get memberclusters --server=https://localhost:<LocalMachinePort>
```
コマンドが成功した場合、出力は次の例のようになります。
```
NAME           JOINED   AGE
aks-member-1   True     2m
aks-member-2   True     2m
aks-member-3   True     2m
```

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-11-19

次の方法で共有

Azure Kubernetes Fleet Manager ハブ クラスターの Kubernetes API にアクセスする

開始する前に

開始する前に

Kubernetes API にアクセスする

関連コンテンツ

フィードバック

その他のリソース

Azure Kubernetes Fleet Manager ハブクラスターの Kubernetes API にアクセスする