Pod の発信元 IP アドレスに関するメモ。

AKS のネットワーク構成では kubenet 方式(基本)と Azure CNI 方式(高度)が提供されている。

docs.microsoft.com

◆Kubenet (基本) ネットワークの場合、vNet 内外にかかわらず、ノードのプライマリ IP アドレスに NAT 変換される。

docs.microsoft.com

<抜枠>

4.トラフィックの発信元 IP アドレスは、ノードのプライマリ IP アドレスに変換されます。

◆Azure CNI の場合、vNet 内の通信か、vNet→外の通信かで発信元 IP アドレスが変わる。

・vNet 内・・・ポッドの IP

・vNet→外・・・ノードの IP 

github.com

<抜枠>
Azure CNI 対応ポッドで発生したトラフィックに対して、外部システムではどのソース IP が認識されますか。
AKS クラスターと同じ仮想ネットワーク内のシステムでは、ポッドの IP が、ポッドからのすべてのトラフィックの発信元アドレスとして認識されます。
AKS クラスター仮想ネットワークの外部にあるシステムでは、ノードの IP が、ポッドからのすべてのトラフィックの発信元アドレスとして認識されます。

k8s (kubernetes) の Pod で以下のような事象が発生した場合、確認すべきログのメモ

・Pod が起動しない

・Pod が ContainerCreating から先に進まない

・Pod が再起動を繰り返す

・Pod 内のコンテナが開始に失敗する など

1. 事象確認

コマンド「kubectl get po」

Pod が Ready ではないことや ContainerCreating から先に進んでいないことが分かる。

% kubectl get po                                                  

NAME                          READY   STATUS              RESTARTS   AGE

nfs-client-7ff95d88b-krt2z    0/1     ContainerCreating   0          2d9h

2. 原因調査

コマンド「kubectl get events | grep <Pod 名>」

エラーメッセージと Exit コードを確認する。以下ではボリュームをマウント出来ないことや、Exit コード 32 で終了したことが分かる。

% kubectl get events | grep nfs-client-7ff95d88b-krt2z

72s         Warning   FailedMount   pod/nfs-client-7ff95d88b-krt2z   Unable to attach or mount volumes: unmounted volumes=[nfs], unattached volumes=[nfs default-token-7pppr]: timed out waiting for the condition

6m10s       Warning   FailedMount   pod/nfs-client-7ff95d88b-krt2z   MountVolume.SetUp failed for volume "nfs-1" : mount failed: exit status 32

コマンド「kubectl describe po <Pod 名>」

本コマンドでも「kubectl get events | grep <Pod 名>」と同様に Pod の Exit コードが確認できる。

コマンド「kubeclt logs -f <Pod 名>」

本コマンドでも Pod のログを確認できる。Exit コードでエラーが発生した原因を確認する際に利用できる場合がある。

% kubectl logs -f nfs-client-7ff95d88b-krt2z      

Error from server (BadRequest): container "ubuntu" in pod "nfs-client-7ff95d88b-krt2z" is waiting to start: ContainerCreating

参考書籍

k8s の基礎からトラブルシュート、設計の考え方を学べるとても良い本です。

www.amazon.co.jp

サマリ

・条件付きアクセスで「Microsoft Teams」 だけを条件付きアクセスのブロックから除外しても、Teamsはブロックされる。

・Teams を利用する場合は「Office 365」もブロックから除外すること。あるいは、必要な機能に応じて「SharePoint」や「Exchange」も除外対象に追加する。

前提:

・条件付きアクセスで全てのアプリをブロックが設定されている

上記ポリシーに加えて、以下のポリシーを加えて除外設定を行う。

1.Teamsがブロックされる例

・Teams のみを除外

2.Teamsがブロックされない例

・Office 365を除外

詳細

・条件付きアクセスポリシーを利用する上ではTeamsは他のOffice365サービスと依存関係がある。例えば、Teams がファイル共有はSharePointと機能の依存性があるため、SharePointがブロックされてしまうとTeamsの機能が利用できない。

・事前バインディングポリシーと言い、Teamsなどのアプリにアクセスする前にSharePointなど関連するアプリにアクセスを可能にさせる必要がある。

条件付きアクセスのサービス依存関係 - Azure Active Directory | Microsoft Docs

• 事前バインディング ポリシー適用では、ユーザーが呼び出し元のアプリにアクセスする前に依存サービス ポリシーを満たす必要があります。 たとえば、ユーザーが MS Teams にサインインする前に SharePoint ポリシーを満たす必要があります。

以上

1.サービス正常性

Azure portalから利用できる機能。

・各種 Azure サブスクリプション配下のリソース (VM、SQL Database、Storageなど) で問題が発生している場合に、本機能で確認ができる。

・後述のリソース正常性は個別のVMなどの障害を検知するのに対し、サービス正常性はより広い障害やメンテナンスを確認する機能である。

・本機能を利用するためには、サブスクリプションレベルで"閲覧者"権限が必要であることは注意。

・メールなどにアラート通知も可能。

Azure Portal を使用したサービス正常性通知の表示 - Azure Service Health | Microsoft Docs

<引用ここから>

Service Health はお使いのリソースに影響を及ぼす可能性のある次の 4 つの種類の正常性に関するイベントを追跡します。

1. サービスの問題 - ユーザーに今すぐ影響を及ぼす Azure サービスの問題。
2. 定期的なメンテナンス - お使いのサービスの可用性に将来影響を及ぼす可能性のある今後のメンテナンス。
3. 正常性に関する勧告 - ユーザーが注目する必要のある Azure サービスの変化。 例としては、Azure の機能が非推奨となることやアップグレードの要件 (サポートされている PHP フレームワークへのアップグレードなど) が挙げられます。
4. セキュリティに関する勧告 - Azure サービスの可用性に影響する可能性があるセキュリティ関連の通知または違反。

<引用ここまで>

2.リソース正常性

Azure portalから利用できる機能。

・リソース正常性の概要や、アラートの構成方法は以下に記載がある。

・例えば個別のVMで再起動などが発生した場合にアラート通知ができる。

(2020年1月時点ではリソース正常性のアラートはPreviewらしいが、現在はGAされていないか情報が見つからず。。)

Azure Resource Health の概要 - Azure Service Health | Microsoft Docs

アラートの構成方法

リソース正常性（Resource Health）アラートの構成方法 | Japan Azure IaaS Core Support Blog

各種QA

Azure Resource Health の FAQ - Azure Service Health | Microsoft Docs

3. Azureの状態

・Azure portal にサインインが不要で、ブラウザより確認できる方法。

・Azureデータセンター側で、各種Azureサービスに影響する問題の発生の有無を確認できる。

・リージョンによるフィルタや、過去に発生した問題の履歴を確認可能。(ただし、過去の全ての履歴を確認できる訳ではなさそう)

Azure の状態