この記事では、Microsoft Azure Kubernetes Service (AKS) クラスターを作成しようとしたときに見つからないか無効なサービス プリンシパルのトラブルシューティング方法について説明します。
[前提条件]
この記事のコマンドを実行するには、Azure CLI バージョン 2.0.81 以降を使用してください。
原因
AKS クラスターを作成する場合、AKS には、ユーザーに代わってリソースを管理するためのサービス プリンシパルまたはマネージド ID が必要です。 既定では、AKS はシステム割り当てマネージド ID を使用します。 代わりにサービス プリンシパルを使用する場合は、AKS によって自動的に作成されないことに注意してください。 独自のサービス プリンシパルを指定し、クラスターの作成時にそれを参照する必要があります。 詳細については、「 Azure Kubernetes Service (AKS) でサービス プリンシパルを使用する」を参照してください。
AKS 認証ではサービス プリンシパルがサポートされていますが、システム割り当てマネージド ID を使用することをお勧めします。 この ID は資格情報の管理を簡略化でき、新しいクラスターの既定のオプションです。
さらに、サービス プリンシパルを作成するときは、Microsoft Entra ID によってすべてのリージョンに伝達されていることを確認します。 この伝達に時間がかかりすぎると、AKS でサービス プリンシパルが見つからないため、クラスターの検証が失敗する可能性があります。
ソリューション
有効な検索可能なサービス プリンシパルがあることを確認します。 これを行うには、以下のいずれかの方法を使用します。
AKS クラスターを作成するときは、リージョン間で既に伝達されている既存のサービス プリンシパルの使用を検討してください。 伝達状態を直接確認する方法はありませんが、以前にデプロイしたサービス プリンシパルを使用して機能を確認できます。 または、新しいプリンシパルを使用している場合は、クラスターの作成を開始する前にプリンシパルが反映されるまで 5 ~ 10 分かかります。
サービス プリンシパルの準備ができていることを確認するには、
az ad sp show --id <appId>コマンドを実行し、AKS クラスターの作成に進む前に出力を確認します。自動化スクリプトを使用する場合は、サービス プリンシパルの作成と AKS クラスターの作成の間に時間の遅延を追加します。 5 ~ 10 分の遅延をお勧めします。
Azure ポータルを使用する場合は、クラスターの作成後にクラスター設定に戻り、数分後に検証ページを再試行します。
お問い合わせはこちらから
ご質問がある場合は、 Azure コミュニティサポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。