It's Automatic〜7回目のベルでアラートを取った君へ〜/ignite-aks-automate

by AEON

Slide 1

Slide 1 text

It’s Automatic 〜7回⽬のベルでアラートを取った君へ〜イオンスマートテクノロジー株式会社 DevSecOps Div. 齋藤光第57回 Tokyo Jazug Night 2025年12⽉22⽇

Slide 2

Slide 2 text

⾃⼰紹介

Slide 3

Slide 3 text

⾃⼰紹介齋藤光( @hikkie13 ) イオンスマートテクノロジー株式会社(2022/5⼊社） DevSecOps Div ディレクター⼊社以来、SREを組織にインストールすることに従事 SRE NEXT 2025に登壇しました

Slide 4

Slide 4 text

Microsoft Ignite 2025に参加しました！

Slide 5

Slide 5 text

そんなIgniteから、AKS Automaticのお話をします

Slide 6

Slide 6 text

AKSとは？ • AKSに限らず、Kubernetesの運⽤には⾊々な課題がつきまとう • そのための学習コストも⾼い o 適切な設定(manifest file) o スケール、安全な停⽌ o アップグレード運⽤ o セキュリティ設定 Azure Kubernetes Serviceの略で、AzureのマネージドKubernetesサービス

Slide 7

Slide 7 text

そこでAKS Automaticですよ • 2025/9にGA • Microsoft社の考えるベストプラクティスが事前設定済みのAKSクラスターを提供 Microso' Ignite 2025のまとめ〜AKS編〜

Slide 8

Slide 8 text

そこでAKS Automaticですよ参考: クラスター作成時の画⾯の違い Standard Automatic 選択肢がほぼないUpgradeの設定認証認可の選択肢はない

Slide 9

Slide 9 text

そこでAKS Automaticですよ⾊々な機能が発表されているが、ここでは語りきれないので‧‧‧ Microsoft Ignite 2025のまとめ〜AKS編〜 Microso' Ignite 2025のまとめ〜AKS編2〜

Slide 10

Slide 10 text

具体的な設定やポリシーをちょっとだけ覗いてみよう🫣

Slide 11

Slide 11 text

AKS Automaticのアップグレード stableで固定 none: 何もしない patch: 最新patchバージョンの⾃動適⽤ stable: 最新-1 minorバージョンの⾃動適⽤ rapid: 最新 minorバージョンの⾃動適⽤ node-images: 最新Node Imageの⾃動適⽤クラスターの自動アップグレードチャネル

Slide 12

Slide 12 text

Deployment Safeguards • 個々のノード編集不可 • CPU/memoryのlimits設定必須 o 設定がない場合はCPU: 500m、memory: 500Mi に⾃動修正 • anti-affinity / topologySpreadConstraints の必須 • AKS固有ラベル禁⽌ • 許可されたイメージのみpull可能に • System Pool Taintの保護(CriticalAddonsOnly ) o ユーザーノードプールから特定のtaintを削除することで、ワークロードとAKSのコンポーネントを分離 • Readiness probe/ Liveness probe必須 • CSI Driver Storage Classの利⽤ • Service Selectorの⼀意性 • latest タグの禁⽌展開セーフガードを使用して Azure Kubernetes Service (AKS) にベストプラクティスを強制する ※warnかenforceの⼆択。個別設定は不可

Slide 13

Slide 13 text

これがあったら‧‧‧ • 個々のノード編集不可 • CPU/memoryのlimits設定必須 o 設定がない場合はCPU: 500m、memory: 500Mi に⾃動修正 • anti-aﬃnity / topologySpreadConstraints の必須 • AKS固有ラベル禁⽌ • 許可されたイメージのみpull可能に • System Pool Taintの保護(CriticalAddonsOnly ) o ユーザーノードプールから特定のtaintを削除することで、ワークロードとAKSのコンポーネントを分離 • Readiness probe/ Liveness probe必須 • CSI Driver Storage Classの利⽤ • Service Selectorの⼀意性 • latest タグの禁⽌ [CNDT2023]イオンがKubernetesを採用してどうなった? 初期構築の設定不備を⾊々回避できた!!

Slide 14

Slide 14 text

Baseline Pod Security Standards（PSS） AKS AutomaticではOFFにすることができない Baseline PSSの代表例: • 特権コンテナの禁⽌ o ノード、クラスター全体の侵害を防⽌ • 禁⽌CAPABILITYの付与 o NET_ADMIN、SYS_ADMINなど • hostPathボリュームの禁⽌ o コンテナからノード上のファイルへのアクセスを防⽌ • hostNetwork / hostPID / hostIPC o ノードを分離して守るデプロイセーフガードのポッドセキュリティ標準 Pod Security Standards

Slide 15

Slide 15 text

Enjoy AKS Automatic!

Slide 16

Slide 16 text

• AKS Engineering Blog • AKS Roadmap • AKS Youtube • Microsoft Ignite 2025のまとめ〜AKS編〜 • Microsoft Ignite 2025のまとめ〜AKS編2〜参考資料

Slide 17

Slide 17 text

告知

Slide 18

Slide 18 text

告知: 初のカンファレンススポンサーをやります！ https://2026.srekaigi.net/session/hall-1420

Slide 19

Slide 19 text

募集しています！