azure-kubernetes
本番運用に対応したAzure Kubernetes Service(AKS)クラスターの計画・作成・設定を行うスキルです。Day-0チェックリスト、SKU選択(AutomaticとStandardの比較)、ネットワーク設定(プライベートAPIサーバー、Azure CNI Overlay、Egressの構成)、セキュリティ、オートスケーリングやアップグレード戦略・コスト分析などの運用管理まで幅広くカバーします。AKS環境の構築・プロビジョニング、ネットワーク設計、SKU選定、セキュリティ強化、Podのリソース最適化、スポットノードやCluster Autoscalerの活用時にご利用ください。
description の原文を見る
Plan, create, and configure production-ready Azure Kubernetes Service (AKS) clusters. Covers Day-0 checklist, SKU selection (Automatic vs Standard), networking options (private API server, Azure CNI Overlay, egress configuration), security, and operations (autoscaling, upgrade strategy, cost analysis). WHEN: create AKS environment, provision AKS environment, enable AKS observability, design AKS networking, choose AKS SKU, secure AKS, optimize AKS, rightsize AKS pod, AKS spot nodes, AKS cluster-autoscaler.
SKILL.md 本文
Azure Kubernetes Service
権威的なガイダンス — 必須コンプライアンス
このスキルはユーザーの要件に基づいて 推奨 AKS クラスター設定を生成し、Day-0 決定(ネットワーク、API サーバー — 後から変更が困難)と Day-1 機能(作成後に有効化可能)を区別します。
CLI リファレンスでコマンドを確認してください。
クイックリファレンス
| プロパティ | 値 |
|---|---|
| 最適用途 | AKS クラスター計画と Day-0 決定 |
| MCP ツール | mcp_azure_mcp_aks |
| CLI | az aks create, az aks show, kubectl get, kubectl describe |
| 関連スキル | azure-diagnostics(AKS トラブルシューティング)、azure-validate(準備状況チェック)、azure-kubernetes-automatic-readiness(既存クラスターを AKS Automatic に移行) |
このスキルを使用する時機
以下の場合にこのスキルを実行してください:
- 新しい AKS クラスターを作成する
- 本番ワークロード向けの AKS クラスター設定を計画する
- AKS ネットワークを設計する(API サーバーアクセス、Pod IP モデル、エグレス)
- AKS アイデンティティとシークレット管理をセットアップする
- AKS ガバナンスを設定する(Azure Policy、Deployment Safeguards)
- AKS 可視性を有効化する(Container Insights、Managed Prometheus、Grafana)
- AKS アップグレードおよびパッチ戦略を定義する
- AKS Automatic vs Standard SKU の違いを理解する
- AKS クラスター設定と構成の Day-0 チェックリストを取得する
ルール
- コンピュート、ネットワーク、セキュリティ、その他の設定のプロビジョニングに関するユーザーの要件から始めます。
azureMCP サーバーを使用し、最初にmcp_azure_mcp_aksを選択して、クライアントが公開している正確な AKS 固有の MCP ツールを確認します。タスクに適合する最小の検出 AKS ツールを選択し、必要な機能が AKS MCP サーフェスを通じて公開されていない場合のみ Azure CLI(az aks)にフォールバックしてください。- ユーザーが制御の必要性と利便性のどちらを優先するかに基づいて、AKS Automatic または Standard SKU がより適切かを判断します。特定のカスタマイズが必要な場合を除き、AKS Automatic がデフォルトです。
- クラスター設定の選択肢とその根拠、特に後から変更が困難な Day-0 決定(ネットワーク、API サーバーアクセス)をドキュメント化してください。
必須入力(必要なもののみを質問してください)
ユーザーが不確実な場合は、安全なデフォルトを使用してください。
- AKS 環境タイプ:dev/test または production
- リージョン、アベイラビリティーゾーン、推奨ノード VM サイズ
- 予想スケール(ノード/クラスター数、ワークロードサイズ)
- ネットワーク要件(API サーバーアクセス、Pod IP モデル、イングレス/エグレス制御)
- セキュリティおよびアイデンティティ要件(イメージレジストリを含む)
- アップグレードおよび可視性の設定
- コスト制約
ワークフロー
1. クラスタータイプ
- AKS Automatic(デフォルト):ほとんどの本番ワークロードに最適。セキュリティ、信頼性、パフォーマンスのベストプラクティスが事前設定されたキュレーション体験を提供します。Node Auto-Provisioning(NAP)がサポートしていないネットワーク、オートスケーリング、ノードプール設定の特定のカスタマイズ要件がない限り使用してください。
- AKS Standard:環境設定を完全に制御する必要があり、セットアップと管理に追加のオーバーヘッドが必要な場合に使用してください。
2. ネットワーク(Pod IP、エグレス、イングレス、データプレーン)
Pod IP モデル(重要な Day-0 決定):
- Azure CNI Overlay(推奨):Pod IP はプライベートオーバーレイ範囲から取得、VNet ルーティング対象外。大規模環境にスケールし、ほとんどのワークロードに適しています
- Azure CNI(VNet ルーティング対象):Pod IP は VNet から直接取得(Pod サブネットまたはノードサブネット)。Pod が VNet または On-Prem から直接アドレス指定可能である必要がある場合に使用
データプレーンおよびネットワークポリシー:
- Azure CNI powered by Cilium(推奨):eBPF ベースの高性能パケット処理、ネットワークポリシー、可視性
エグレス:
- Static Egress Gateway で安定した予測可能なアウトバウンド IP
- エグレス制限が必要な場合:UDR + Azure Firewall または NVA
イングレス:
- App Routing addon with Gateway API — HTTP/HTTPS ワークロードの推奨デフォルト
- Istio service mesh with Gateway API — 高度なトラフィック管理、mTLS、カナリアリリース用
- Application Gateway for Containers — WAF 統合を備えた L7 ロードバランシング用
DNS:
- すべてのノードプールで LocalDNS を有効化し、信頼性の高いパフォーマンス DNS 解決を実現
3. セキュリティ
- Microsoft Entra ID をすべての場所で使用(コントロールプレーン、Pod 用 Workload Identity、ノードアクセス)。静的認証情報は避けてください。
- Secrets Store CSI Driver 経由で Azure Key Vault を使用
- Azure Policy + Deployment Safeguards を有効化
- etcd/API サーバーの 保存時暗号化、ノード間通信の 転送中暗号化 を有効化
- 署名済みのポリシー承認イメージのみを許可(Azure Policy + Ratify)、Azure Container Registry を優先
- 隔離:名前空間、ネットワークポリシー、スコープ付きログを使用
4. 可視性
- AKS 可視性用に Managed Prometheus と Container Insights を Grafana で使用(ログ+メトリクス)。
- Diagnostic Settings を有効化して、コントロールプレーンログと監査ログを Log Analytics ワークスペースに収集し、セキュリティ監視とトラブルシューティングを実現。
- その他の監視およびトラブルシューティングツール用に、AKS 用 Agentic CLI、Application Insights、Resource Health Center、AppLens detectors、Azure Advisors などのフィーチャーを使用。
5. アップグレードおよびパッチ
- 制御されたアップグレードタイミング用に Maintenance Windows を設定
- コントロールプレーンとノード OS の 自動アップグレード を有効化し、セキュリティパッチと Kubernetes バージョンを最新に保つ
- エンタープライズの安定性向け LTS バージョン を検討(2 年間サポート)。AKS 環境を Premium 階層にアップグレード
- Fleet アップグレード:AKS Fleet Manager でテストから本番環境まで段階的ロールアウト
6. パフォーマンス
- Ephemeral OS ディスク を使用(
--node-osdisk-type Ephemeral)してノード起動を高速化 - ノード OS として Azure Linux を選択(フットプリント小、高速ブート)
- HPA を超えたイベント駆動オートスケーリング用に KEDA を有効化
7. ノードプールおよびコンピュート
- 専用システムノードプール:最少 2 ノード。システムワークロードのみ用にテイント(
CriticalAddonsOnly) - コスト削減とレスポンシブスケーリング用にすべてのプールで Node Auto Provisioning(NAP) を有効化
- ホストレベル最適化用に 最新世代 SKU(v5/v6) を使用
- B-シリーズ VM を避ける — バースト可能 SKU でパフォーマンス/信頼性の問題を引き起こす
- 本番ワークロード用に 少なくとも 4 vCPU の SKU を使用
- SLO に基づいてホスト/ゾーン間に Pod を分散するよう トポロジースプレッド制約 を設定
8. 信頼性
- 3 つのアベイラビリティーゾーン にデプロイ(
--zones 1 2 3) - コントロールプレーンのゾーン冗長性と API サーバー可用性 99.95% SLA 用に Standard 階層 を使用
- ランタイム保護用に Microsoft Defender for Containers を有効化
- すべての本番ワークロード用に PodDisruptionBudgets を設定
- トポロジースプレッド制約 を使用して障害ドメイン間に Pod 分散を確保
9. コスト制御
- バッチ/割り込み可能ワークロード用に Spot ノードプール を使用(最大 90% 削減)
- Dev/test クラスターを 停止/開始:
az aks stop/start - 定常状態ワークロード用に Reserved Instances または Savings Plans を検討
深掘りシナリオ — 関連リファレンスファイルのみをロード:
| シナリオ | トリガーキーワード | リファレンス |
|---|---|---|
| Pod サイズ最適化 | over-provisioned pods、CPU requests、memory requests、rightsize workloads | azure-aks-rightsizing.md |
| VPA セットアップ | vertical pod autoscaler、VPA recommendations、VPA enable | azure-aks-vpa.md |
| Cluster Autoscaler | idle nodes、CAS off、enable autoscaler、scale-down profile、node utilization | azure-aks-autoscaler.md |
| Spot ノードプール | Spot VMs、Spot nodes、batch workloads、cheaper nodes | azure-aks-spot.md |
曖昧性の排除:プロンプトが複数の行に合致する場合(例:「cheaper nodes」は Spot とオートスケーラーの両方を示唆する可能性)、最も具体的なマッチを優先してください。曖昧な場合は、リファレンスファイルをロードする前にユーザーに意図の説明を求めてください。
ガードレール/セーフティ
- シークレット(トークン、キー)をリクエストまたは出力しないでください。
- サブスクリプション ID を貼り付けるようユーザーに要求しないでください。MCP ツール(例:リスト購読、リソースグループをリスト)または
az account show/az account listを通じて購読とリソーススコープを発見し、識別子を公開することなくエージェントがコンテキストを解決できるようにしてください。 - Day-0 重大決定の要件が曖昧な場合は、ユーザーに明確化質問をしてください。Day-1 有効化機能については、トレードオフ付きで 2~3 個の安全な選択肢を提案し、保守的なデフォルトを選択してください。
- ゼロダウンタイムを約束しないでください。ワークロードセーフガード(PDB、プローブ、レプリカ)と段階的アップグレード、および信頼性とパフォーマンスのベストプラクティスをアドバイスしてください。
MCP ツール
| ツール | 目的 | 主要パラメータ |
|---|---|---|
mcp_azure_mcp_aks | クライアントが公開している正確な AKS 固有ツールを発見するために使用される AKS MCP エントリーポイント | 呼び出し可能な AKS ツールを最初に発見し、そのツールのパラメータを使用 |
エラーハンドリング
| エラー/症状 | 考えられる原因 | 対処法 |
|---|---|---|
| MCP ツール呼び出しが失敗またはタイムアウト | 無効な認証情報、購読、AKS コンテキスト | az login を確認。az account show でアクティブな購読コンテキストを確認。ターゲットリソースグループをユーザーに購読識別子を返さずに確認 |
| クォータ超過 | 地域の vCPU またはリソース制限 | クォータ増加をリクエスト、または異なるリージョン/VM SKU を選択 |
| ネットワーク競合(IP 枯渇) | Pod サブネットがオーバーレイ/CNI に対して小さすぎる | IP 範囲を再計画。クラスター再作成が必要な可能性がある(Day-0) |
| Workload Identity が機能しない | OIDC 発行者またはフェデレーション認証情報が不足 | --enable-oidc-issuer --enable-workload-identity を有効化、フェデレーション ID を設定 |
ライセンス: MIT(寛容ライセンスのため全文を引用しています) · 原本リポジトリ
詳細情報
- 作者
- microsoft
- ライセンス
- MIT
- 最終更新
- 不明
Source: https://github.com/microsoft/azure-skills / ライセンス: MIT
関連スキル
doubt-driven-development
重要な判断はすべて、本番環境への展開前に新しい視点から対抗的レビューを実施します。速度より正確性が重要な場合、不慣れなコードを扱う場合、本番環境・セキュリティに関わるロジック・取り消し不可の操作など影響度が高い場合、または後でバグを修正するよりも今検証する方が効率的な場合に活用してください。
apprun-skills
TypeScriptを使用したAppRunアプリケーションのMVU設計に関する総合的なガイダンスが得られます。コンポーネントパターン、イベントハンドリング、状態管理(非同期ジェネレータを含む)、パラメータと保護機能を備えたルーティング・ナビゲーション、vistestを使用したテストに対応しています。AppRunコンポーネントの設計・レビュー、ルートの配線、状態フローの管理、AppRunテストの作成時に活用してください。
desloppify
コードベースのヘルスチェックと技術負債の追跡ツールです。コード品質、技術負債、デッドコード、大規模ファイル、ゴッドクラス、重複関数、コードスメル、命名規則の問題、インポートサイクル、結合度の問題についてユーザーが質問した場合に使用してください。また、ヘルススコアの確認、次の改善項目の提案、クリーンアップ計画の作成をリクエストされた際にも対応します。29言語に対応しています。
debugging-and-error-recovery
テストが失敗したり、ビルドが壊れたり、動作が期待と異なったり、予期しないエラーが発生したりした場合に、体系的な根本原因デバッグをガイドします。推測ではなく、根本原因を見つけて修正するための体系的なアプローチが必要な場合に使用してください。
test-driven-development
テスト駆動開発により実装を進めます。ロジックの実装、バグの修正、動作の変更など、あらゆる場面で活用できます。コードが正常に動作することを証明する必要がある場合、バグ報告を受けた場合、既存機能を修正する予定がある場合に使用してください。
incremental-implementation
変更を段階的に実施します。複数のファイルに影響する機能や変更を実装する場合に使用してください。大量のコードを一度に書こうとしている場合や、タスクが一度では完結できないほど大きい場合に活用します。