Azure Kubernetes Service (AKS) は、Microsoft マネージドの Kubernetes クラスタサービスで、2026 年現在の Azure 主力コンピュートサービスの一つです。 マイクロサービス・CI/CD・スケーラブル Web アプリ・ML パイプライン基盤として広く採用され、新規開発プロジェクトの 30-40% が AKS をベースに構築されています。 本記事では、AKS の基本アーキテクチャ・Networking 選定・Ingress 戦略・セキュリティベストプラクティスを網羅的に整理します。
AKS は Control Plane (マネージド) と Node Pool (ユーザー管理) の二層構造です。
標準的な構成の月額目安:
| 方式 | Pod IP 範囲 | VNet IP 消費 | 状態 |
|---|---|---|---|
| Kubenet (旧) | 独立 (10.244.0.0/16) | 少 | レガシー、機能制約多 |
| Azure CNI (Classic) | VNet Subnet 直接 | 多 (1 Node 250 Pod 分) | 機能フルだが IP 消費激 |
| Azure CNI Overlay (推奨) | Overlay 範囲 | 少 (Node 数のみ) | 2023 GA、新規推奨 |
新規 AKS は Azure CNI Overlay 一択で、AKS の Networking 設計の標準パターンになっています。
| 選択肢 | 特徴 | 適用シーン |
|---|---|---|
| NGINX Ingress Controller | OSS 定番、軽量 | シンプル要件・コスト最小 |
| Application Gateway Ingress Controller (AGIC) | Azure Application Gateway WAF v2 を Ingress 化 | WAF 必要・Azure マネージド志向 |
| Application Gateway for Containers (AGC) | 2024 GA、Kubernetes Gateway API 準拠、AGIC 後継 | 新規・高パフォーマンス |
| Istio (Service Mesh) | マイクロサービス間通信制御・mTLS・Observability | マイクロサービス間複雑通信 |
AKS Pod から Azure リソースへの認証は AKS Workload Identity が現在の主力推奨です。
既存 AKS Pod Identity ユーザーは Workload Identity への移行が必須。詳細は Managed Identity vs Service Principal 記事を参照。
AKS では CSI Driver 経由で複数の Storage サービスを利用可能です。
AKS とは何ですか?
Azure Kubernetes Service (AKS) は、Microsoft マネージドの Kubernetes クラスタサービス。Kubernetes (k8s) のコントロールプレーン (etcd・kube-apiserver・kube-controller-manager・kube-scheduler) を Microsoft が完全マネージド (無料) で提供し、ユーザーはワーカーノード (VM) のみを管理。Azure 上で本格的なコンテナオーケストレーションを実現する標準サービスで、マイクロサービス・CI/CD・スケーラブル Web アプリ・ML パイプライン基盤として広く採用。2026 年現在、Azure の主力コンピュートサービスの一つで、新規開発プロジェクトの 30-40% が AKS をベースに構築されています。
AKS の料金体系は?
コントロールプレーンは Standard 階層なら無料 (Free SLA・99.5%)、Uptime SLA (99.95%) を有効化すると月 73 USD ≈ 1 万円 + ワーカーノードの VM コスト。ワーカーノードは通常の Azure VM 料金体系 (Pay-as-you-go・Reserved Instance・Spot 適用可)。ロードバランサ・Public IP・ストレージは別途課金。標準的な開発環境 (D2s_v5 × 3 ノード) なら月 3-5 万円、本番環境 (D4s_v5 × 5 ノード + Uptime SLA + LB + Premium SSD) で月 15-30 万円が目安。コスト最適化には Spot Node Pool・Reserved Instance・KEDA による Pod 自動スケール (アイドル時 0 スケール) が有効です。
AKS の主要コンポーネントは?
AKS クラスタは以下のコンポーネントから構成: 1) Control Plane (Microsoft マネージド): etcd・kube-apiserver・kube-controller-manager・kube-scheduler、2) Node Pool: 複数 VM をグループ化した Node 集合 (System Node Pool で kube-system Pod、User Node Pool でアプリ Pod)、3) Networking: Azure CNI (Pod が VNet IP を持つ) または Kubenet (NAT)、Azure CNI Overlay (Pod が Overlay IP、効率的)、4) Storage: Azure Disk CSI Driver (Premium SSD / Ultra Disk)・Azure File CSI Driver (SMB / NFS)・Azure Blob CSI Driver、5) Add-ons: HTTP Application Routing・Application Gateway Ingress Controller (AGIC)・Azure Policy・Azure Monitor for Containers・Microsoft Defender for Containers。
Networking モデル (Kubenet vs Azure CNI) はどちらを選ぶべき?
Azure CNI 推奨 (新規プロジェクトのほぼすべて)。Kubenet: 古い方式で、Pod は内部 IP 範囲 (10.244.0.0/16) を使い NAT で外部通信、IP 消費少ない・シンプルだが Pod 間通信に制約・Network Policy 機能限定。Azure CNI (Classic): Pod が VNet 内 Subnet から直接 IP を取得、VNet 内リソース・他 VNet・オンプレと直接通信可能、Network Policy フル機能、ただし IP 消費激しい (1 Node あたり最大 250 Pod × IP)。Azure CNI Overlay (2023 GA、現在の推奨): Pod は Overlay IP 範囲を使い VNet IP を消費しない、Azure CNI の柔軟性 + IP 効率の両立。新規 AKS は Azure CNI Overlay 一択で、AKS の Networking 設計の標準パターンになっています。
Ingress (Application Gateway / NGINX) はどう選びますか?
AKS Ingress の主要選択肢: 1) Application Gateway Ingress Controller (AGIC): Azure Application Gateway WAF v2 を Ingress として使用、WAF 統合・Azure マネージド・コスト中。2) NGINX Ingress Controller: OSS の定番、コミュニティサポート豊富・コスト最小 (Internal LB のみ)、3) Istio (Service Mesh): マイクロサービス間通信制御も含む、複雑だが mTLS・Observability で強力、4) Application Gateway for Containers (AGC、2024 GA): Application Gateway の次世代版、Kubernetes Gateway API 準拠・高機能・パフォーマンス改善。シンプル要件は NGINX、WAF が必要なら AGIC または AGC、マイクロサービス間通信が複雑なら Istio という選定軸。AGC は 2024 GA で AGIC の後継として今後の主流になる見込みです。
Workload Identity と Pod Identity の違いは?
AKS Pod から Azure リソース (Storage Account・Key Vault 等) への認証方式が進化してきました。AAD Pod Identity (旧): aad-pod-identity Add-on をクラスタにインストール、Pod の IP に基づいて Azure Identity 割り当て。2024-09 で廃止予定、レガシー方式。AKS Workload Identity (新、推奨): Kubernetes 標準 Service Account + Azure AD + OIDC 連携。Pod は Service Account の OIDC トークンを Azure AD に提示してアクセストークン取得。シンプル・スケーラブル・パフォーマンス改善。2026 年現在の AKS では Workload Identity 一択で、既存 AKS Pod Identity ユーザーは Workload Identity への移行が必須です。
AKS のセキュリティベストプラクティスは?
重要なセキュリティ施策: 1) Private Cluster (API Server を Private IP のみで公開、Public 経路遮断)、2) Microsoft Defender for Containers 有効化 (脆弱性スキャン・Runtime 検知)、3) Azure Policy for AKS で組織ポリシー強制 (例: Privileged Container 禁止)、4) Microsoft Entra Workload Identity で Pod 認証管理、5) Azure Container Registry (ACR) + Trivy / Microsoft Defender でイメージ脆弱性スキャン、6) Network Policy (Calico) でクラスタ内通信制限、7) RBAC for Kubernetes + Microsoft Entra ID 統合 で API Server アクセス制御、8) AKS Update / Node Image 自動更新有効化、9) Microsoft Sentinel への監査ログ送信、10) Kubernetes Secret の暗号化 (envelope encryption with Key Vault)。本番 AKS では SOC2 / ISO 27001 監査対応として必須の項目です。
関連認定試験は?
AZ-104 (Administrator) のドメイン 3 で AKS 基礎、AZ-204 (Developer Associate、2026-07 リタイア注意) で開発者視点での AKS デプロイ、AZ-400 (DevOps Engineer Expert) で AKS への CI/CD・GitOps (Argo CD / FluxCD)、AZ-305 (Solutions Architect Expert) でアーキテクチャ判断 (AKS vs Container Apps vs Functions)、SC-100 (Cybersecurity Architect Expert) で AKS セキュリティ。Microsoft 外の認定として CKA (Certified Kubernetes Administrator)・CKAD (Application Developer)・CKS (Security) との二刀流が DevOps エンジニアにとって強い武器。詳細は Azure DevOps エンジニア キャリアロードマップ を参照してください。
関連記事・技術深掘り
Azure Managed Identity vs Service Principal 完全比較|認証パターンの選定と実装ベストプラクティス【2026 年版】
Azure の認証エンティティ Managed Identity と Service Principal を完全比較。System-assigned / User-assigned の使い分け、Client Secret vs Certificate vs Workload Identity Federation の選定、AKS Workload Identity、Azure サービス対応状況、関連認定試験 (SC-300 / AZ-204 / AZ-400) を日本語で網羅。実装パターン集付き。
AKS Node Pool 戦略|System/User/Spot/GPU/Windows の使い分けとコスト最適化【2026 年版】
Azure Kubernetes Service (AKS) の Node Pool 設計戦略を完全解説。System / User / Spot / GPU / Windows Node Pool の使い分け、Cluster Autoscaler vs Node Auto Provisioning (NAP/Karpenter)、Pod の Affinity / Tolerations、コスト最適化、関連認定試験 (AZ-104 / AZ-400 / CKA) を日本語で網羅。
AZ-104 vs AZ-204 完全比較|Microsoft Azure Administrator vs Developer Associate の違いと選び方【2026 年版】
Microsoft Azure の 2 大 Associate 認定 AZ-104 (Administrator) と AZ-204 (Developer) を完全比較。対象ロール・出題範囲・難易度・学習時間・受験料・キャリアパスを表形式で整理。AZ-204 2026 年 7 月リタイア後の判断材料、両方取る価値、次の認定への進路まで日本語で網羅。
Azure Spot VM 詳細ガイド|Eviction Policy・Max Price・Placement Score・AKS Spot Node Pool【2026 年版】
Azure Spot VM の詳細ガイド。Eviction Policy (Deallocate / Delete) 選択・Max Price 戦略・Spot Placement Score・制約・AKS Spot Node Pool 構成・コスト効果・運用ベストプラクティス・関連認定試験 (AZ-104 / AZ-305 / AZ-400) を日本語で網羅。最大 90% コスト削減の実装パターン。
本記事の技術情報は Azure Kubernetes Service Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure は Microsoft group of companies の商標です。Kubernetes は Linux Foundation の登録商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...