Verbinden Ihres Azure Kubernetes Service (AKS)-Clusters mit KI-Agents mithilfe des MCP-Servers (Model Context Protocol)

Der AKS Model Context Protocol (MCP)-Server ermöglicht KI-Assistenten die Interaktion mit Azure Kubernetes Service (AKS)-Clustern mit Klarheit, Sicherheit und Kontrolle. Es dient als Brücke zwischen KI-Tools (z. B. GitHub Copilot, Claude und anderen MCP-kompatiblen KI-Assistenten) und AKS, der Übersetzung natürlicher Sprachanforderungen in AKS-Vorgänge und die Rückgabe der Ergebnisse in einem Format, das die KI-Tools verstehen können.

Der AKS MCP-Server stellt mithilfe des Azure SDK eine Verbindung mit Azure und stellt eine Reihe von Tools bereit, mit denen KI-Assistenten mit AKS-Ressourcen interagieren können. Mit diesen Tools können KI-Agenten Aufgaben ausführen, solche wie:

Problembehandlung und Diagnose
Analysieren Sie die Gesundheit Ihres Clusters
Verwalten von AKS-Ressourcen (CRUD)
Abrufen von Details zu AKS-Clustern (VNets, Subnetze, Netzwerksicherheitsgruppen (NSGs), Routingtabellen usw.)
Aktivieren bewährter Methoden und empfohlener Features
Verwaltung der Azure Fleet-Vorgänge für Multi-Cluster-Szenarien

Der AKS MCP-Server ist ein vollständig open sourced-Projekt mit Beispielvorlagen und Helmkonfigurationen, die im GitHub-Repository verfügbar sind.

Wann der AKS MCP-Server verwendet werden soll

Der AKS MCP-Server kann mit jedem kompatiblen KI-Assistenten verwendet werden, einschließlich der agentischen CLI für AKS und Microsoft Copilot. Zu den gängigen Anwendungsfällen gehören:

Stellen Sie KI-Assistenten Fragen wie:
- "Warum stehen Pods in diesem Cluster aus?"
- "Was ist die Netzwerkkonfiguration meines AKS-Clusters?"
- "Erstellen Sie eine Platzierung zum Bereitstellen von nginx-Workloads in Clustern mit app=frontend-Bezeichnung."
Erlauben von KI-Tools:
- Cluster-Status und Konfiguration lesen
- Überprüfen von Metriken, Ereignissen und Protokollen
- Korrelieren von Signalen in Kubernetes und Azure-Ressourcen
- Anwenden von Änderungen und Aktivieren neuer Features direkt auf Ihrem Cluster

Alle Aktionen, die über den AKS MCP-Server ausgeführt werden, werden durch die rollenbasierte Zugriffssteuerung von Kubernetes (RBAC) und Azure RBAC eingeschränkt. Standardmäßig erbt der AKS MCP-Server die Berechtigungen des Benutzers beim Zugriff auf Cluster- und Azure-Ressourcen. Um die Rollen und Berechtigungen des AKS MCP-Servers anzupassen, stellen Sie den Remote-AKS MCP-Servermodus mit integriertem RBAC-Steuerelement bereit.

Verfügbare Tools

Der AKS MCP-Server bietet einen umfassenden Satz von Tools für die Interaktion mit AKS-Clustern und zugehörigen Ressourcen. Standardmäßig verwendet der Server einheitliche Tools (call_az für Azure-Vorgänge und call_kubectl für Kubernetes-Vorgänge), die eine flexiblere Schnittstelle für die Interaktion mit Kubernetes und Azure-Ressourcen bieten.

Es gibt drei Gruppen von Berechtigungen, die Sie für den AKS MCP-Server aktivieren können: schreibgeschützt (Standard), Lese-/Schreibzugriff und Administrator. Einige Tools erfordern Lese-/Schreibzugriff oder Administratorberechtigungen, um Aktionen wie das Bereitstellen von Debug-Pods oder CRUD-Aktionen auf Ihrem Cluster auszuführen. Um Lese-/Schreib- oder Administratorberechtigungen für den AKS-MCP-Server zu aktivieren, fügen Sie der MCP-Konfigurationsdatei den Parameter auf Zugriffsebene hinzu:

Navigieren Sie zu Ihrer mcp.json Datei, oder wechseln Sie zu MCP: List Servers -> AKS-MCP -> Show Configuration Details in der Command Palette (Für VS Code; Ctrl+Shift+P unter Windows/Linux oder Cmd+Shift+P unter macOS).
Fügen Sie im Abschnitt "args" von AKS-MCP die folgenden Parameter hinzu: "--access-level", "readwrite" oder "admin"

Beispiel:

"args": [
  "--transport",
  "stdio",
  "--access-level",
  "readwrite"
]

Diese Tools sind darauf ausgelegt, umfassende Funktionen über einheitliche Schnittstellen bereitzustellen:

Azure CLI-Vorgänge (Unified Tool)

Werkzeug:call_az

Einheitliches Tool zum direkten Ausführen von Azure CLI-Befehlen. Dieses Tool bietet eine flexible Schnittstelle zum Ausführen eines beliebigen Azure CLI-Befehls.

Parameter:

cli_command: Der vollständige auszuführende Azure CLI-Befehl. Zum Beispiel: az aks list --resource-group myRG oder az vm list --subscription <sub-id>.
timeout: Optionales Timeout in Sekunden (Standard: 120)

Beispielverwendung:

{
  "cli_command": "az aks list --resource-group myResourceGroup --output json"
}

Zugriffskontrolle:

readonly: Nur Lesevorgänge sind zulässig
readwrite/admin: Sowohl Lese- als auch Schreibvorgänge sind zulässig.

Von Bedeutung

Befehle müssen einfache Azure CLI-Aufrufe ohne Shell-Features wie Pipes (|), Umleitungen (>, <), Befehlsersetzung oder Semikolons (;) sein.

Kubernetes-Vorgänge (Einheitliches Tool)

Einheitliches Kubectl-Tool

Werkzeug:call_kubectl

Einheitliches Tool zum direkten Ausführen von Kubectl-Befehlen. Dieses Tool bietet eine flexible Schnittstelle zum Ausführen eines beliebigen kubectl Befehls mit vollständiger Argumentunterstützung.

Parameter:

args: Die Kubectl-Befehlsargumente. Beispiel: get pods, describe node mynode oder apply -f deployment.yaml.

Beispielverwendung:

{
  "args": "get pods -n kube-system -o wide"
}

Zugriffssteuerung: Vorgänge werden basierend auf der konfigurierten Zugriffsebene eingeschränkt:

readonly: Nur Lesevorgänge (Abrufen, Beschreiben, Protokolle usw.) sind zulässig.
readwrite/admin: Alle Vorgänge einschließlich Änderung von Befehlen (Erstellen, Anwenden, Löschen usw.)

Helm

Werkzeug:call_helm

Helm-Paketmanager für Kubernetes.

Cilium

Werkzeug:call_cilium

Cilium CLI für eBPF-basierte Netzwerke und Sicherheit.

Hubble

Werkzeug:call_hubble

Hubble Netzwerk-Überwachbarkeit für Cilium.

Netzwerkressourcenverwaltung

Werkzeug:aks_network_resources

Einheitliches Tool zum Abrufen von Azure-Netzwerkressourceninformationen, die von AKS-Clustern verwendet werden.

Verfügbare Ressourcentypen:

all: Abrufen von Informationen zu allen Netzwerkressourcen
vnet: Informationen zum virtuellen Netzwerk
subnet: Subnetzinformationen
nsg: Netzwerksicherheitsgruppeninformationen
route_table: Informationen zur Routentabelle
load_balancer: Informationen zum Lastenausgleich
private_endpoint: Private Endpunktinformationen

Überwachung und Diagnose

Werkzeug:aks_monitoring

Einheitliches Tool für Azure-Überwachungs- und Diagnosevorgänge für AKS-Cluster.

Verfügbare Vorgänge:

metrics: Listen von Metrikwerten für Ressourcen
resource_health: Abrufen von Resource Health-Ereignissen für AKS-Cluster
app_insights: Ausführen von KQL-Abfragen für Telemetriedaten von Application Insights
diagnostics: Überprüfen, ob AKS-Cluster Diagnoseeinstellungen konfiguriert hat
control_plane_logs: Abfrage von AKS-Kontrollbereich-Protokollen mit Sicherheitseinschränkungen und Zeitraumvalidierung

Computeressourcen

Werkzeug:get_aks_vmss_info

Detaillierte Konfiguration Ihrer Virtual Machine Scale Sets (Knotenpools) im AKS-Cluster erhalten

Flottenmanagement

Werkzeug:az_fleet

Umfassende Azure-Flottenverwaltung für Multiclusterszenarien.

Verfügbare Vorgänge:

Flottenbetrieb: auflisten, anzeigen, erstellen, aktualisieren, löschen, Anmeldeinformationen abrufen
Memberoperationen: auflisten, anzeigen, erstellen, aktualisieren, löschen
Ausführungsoperationen aktualisieren: listen, anzeigen, erstellen, starten, beenden, löschen
Strategieoperationen aktualisieren: Liste, Anzeigen, Erstellen, Löschen
ClusterResourcePlacement-Vorgänge: Liste, Anzeigen, Abrufen, Erstellen, Löschen

Unterstützt sowohl Azure Fleet Management als auch Kubernetes ClusterResourcePlacement CRD-Vorgänge.

Diagnosedetektoren

Werkzeug:aks_detector

Einheitliches Tool zum Ausführen von AKS-Diagnosedetektorvorgängen.

Verfügbare Vorgänge:

list: Alle verfügbaren AKS-Clusterdetektoren auflisten
run: Einen bestimmten AKS-Diagnosedetektor ausführen
run_by_category: Alle Detektoren in einer bestimmten Kategorie ausführen

Parameter:

operation (erforderlich): Auszuführender Vorgang (list, runoder run_by_category)
aks_resource_id (erforderlich): AKS-Clusterressourcen-ID
detector_name (erforderlich für run den Betrieb): Name des zu laufenden Detektors
category (erforderlich für den run_by_category Betrieb): Detektorkategorie
start_time (erforderlich für run und run_by_category Vorgänge): Startzeit im UTC-ISO-Format (innerhalb der letzten 30 Tage)
end_time (erforderlich für run und run_by_category Vorgänge): Endzeit im UTC-ISO-Format (innerhalb der letzten 30 Tage, max. 24 Stunden ab Start)

Verfügbare Kategorien:

Bewährte Methoden
Verfügbarkeit und Leistung von Cluster- und Steuerungsebenen
Konnektivitätsprobleme
Erstellen, Aktualisieren, Löschen und Skalieren
Veraltete Funktionen
Identität und Sicherheit
Knotengesundheit
Lagerung

Beispielverwendung:

Werkzeug:run_detectors_by_category

{
  "operation": "list",
  "aks_resource_id": "/subscriptions/xxx/resourceGroups/xxx/providers/Microsoft.ContainerService/managedClusters/xxx"
}

{
  "operation": "run",
  "aks_resource_id": "/subscriptions/xxx/resourceGroups/xxx/providers/Microsoft.ContainerService/managedClusters/xxx",
  "detector_name": "node-health-detector",
  "start_time": "2025-01-15T10:00:00Z",
  "end_time": "2025-01-15T12:00:00Z"
}

Azure Advisor

Werkzeug:aks_advisor_recommendation

Abrufen und Verwalten von Azure Advisor-Empfehlungen für AKS-Cluster.

Verfügbare Vorgänge:

list: Empfehlungen mit Filteroptionen auflisten
report: Generieren von Empfehlungsberichten
Filteroptionen: resource_group, cluster_names, Kategorie (Kosten, Hohe Verfügbarkeit, Leistung, Sicherheit), Schweregrad (Hoch, Mittel, Niedrig)

Echtzeit-Observability

Werkzeug:inspektor_gadget_observability

Echtzeit-Observability-Tool für Azure Kubernetes Service (AKS)-Cluster mit eBPF.

Verfügbare Aktionen:

deploy: Inspektor Gadget im Cluster bereitstellen
undeploy: Entfernen des Inspektor Gadgets aus dem Cluster
is_deployed: Überprüfen des Bereitstellungsstatus
run: Einmal-Gadgets ausführen
start: Starten fortlaufender Gadgets
stop: Beenden der Ausführung von Gadgets
get_results: Gadget-Ergebnisse abrufen
list_gadgets: Verfügbare Gadgets auflisten

Verfügbare Gadgets:

observe_dns: Überwachen von DNS-Anforderungen und -Antworten
observe_tcp: Überwachen von TCP-Verbindungen
observe_file_open: Überwachen von Dateisystemvorgängen
observe_process_execution: Überwachen der Prozessausführung
observe_signal: Überwachen der Signalübermittlung
observe_system_calls: Überwachen von Systemanrufen
top_file: Wichtigste Dateien nach E/A-Vorgängen
top_tcp: Top TCP-Verbindungen nach Datenverkehr
tcpdump: Erfassen von Netzwerkpaketen

Erste Schritte mit dem AKS MCP-Server

Der AKS MCP-Server verfügt über zwei Modi: lokal und remote. In diesem Abschnitt behandeln wir die Anwendungsfälle und Installationsprozesse für beide Modi.

Lokaler MCP-Server

Im lokalen Modus wird der MCP-Server auf dem lokalen Computer eines Entwicklers ausgeführt und stellt mithilfe der vorhandenen Berechtigungen des Entwicklers eine Verbindung mit AKS her. Dieser Modus eignet sich am besten für das schnelle Einrichten Ihres lokalen KI-Agents mit AKS-Know-how und Tools, ohne dass clusterseitige Komponenten erforderlich sind. Der lokale Modus kann den aktuellen Clusterkontext verwenden und die Kubernetes- und Azure RBAC-Berechtigungen des Entwicklers erzwingen. Standardmäßig unterstützt der lokale AKS MCP-Server die STDIO- und SSE-Transportmodi.

Voraussetzungen

Richten Sie vor der Installation des AKS MCP-Servers Azure CLI ein und authentifizieren Sie:

az login

Die einfachste Möglichkeit, mit AKS-MCP zu beginnen, ist die Azure Kubernetes-Diensterweiterung für VS Code. Die AKS-Erweiterung verarbeitet binäre Downloads, Updates und Konfiguration automatisch, um sicherzustellen, dass Sie immer über die neueste Version mit optimalen Einstellungen verfügen.

Schritt 1: Installieren der AKS-Erweiterung

Öffnen Sie VS Code, und wechseln Sie zu Erweiterungen (Ctrl+Shift+X unter Windows/Linux oder Cmd+Shift+X unter macOS).
Suchen Sie nach Azure Kubernetes Service.
Installieren Sie die offizielle Microsoft AKS-Erweiterung.

Schritt 2: Starten des AKS-MCP Servers

Öffnen Sie die Befehlspalette (Ctrl+Shift+P unter Windows/Linux oder Cmd+Shift+P unter macOS).
Suchen und ausführen: AKS: AKS-MCP-Server einrichten.

Nach erfolgreicher Installation wird der Server in MCP: Listenserver (über Befehlspalette) angezeigt. Von dort aus können Sie den MCP-Server starten oder dessen Status anzeigen.

Schritt 3: Starten der Verwendung von AKS-MCP

Nach dem Start wird der MCP-Server in der Dropdown-Liste "Copilot Chat: Konfigurieren von Tools" unter MCP Server: AKS MCP angezeigt, um kontextbezogene Aufforderungen basierend auf Ihrer AKS-Umgebung zu optimieren. Standardmäßig sind alle AKS-MCP Servertools aktiviert. Sie können die Liste der verfügbaren Tools überprüfen und alle deaktivieren, die für Ihr Szenario nicht erforderlich sind.

Versuchen Sie eine Eingabeaufforderung wie "Alle meine AKS-Cluster auflisten", um mit der Verwendung von Tools vom AKS-MCP-Server zu beginnen.

Tipp

WSL-Konfiguration: Wenn Sie VS-Code unter Windows mit WSL verwenden, rufen Sie "command": "wsl" die WSL-Binärdatei auf. Wenn VS Code in WSL (Remote-WSL) ausgeführt wird, rufen Sie die Binärdatei direkt auf, oder verwenden Sie stattdessen einen Bashwrapper.

Für die direkte binäre Verwendung ohne die VS Code-Erweiterung:

Schritt 1: Herunterladen der Binärdatei

Wählen Sie Ihre Plattform aus, und laden Sie die neueste AKS-MCP Binärdatei herunter:

Plattform	Architektur	Link herunterladen
Windows	AMD64	aks-mcp-windows-amd64.exe
	ARM64	aks-mcp-windows-arm64.exe
macOS	Intel (AMD64)	aks-mcp-darwin-amd64
	Apple Silicon (ARM64)	aks-mcp-darwin-arm64
Linux	AMD64	aks-mcp-linux-amd64
	ARM64	aks-mcp-linux-arm64

Schritt 2: Konfigurieren von VS-Code

Erstellen Sie im Stammverzeichnis Ihres Arbeitsbereichs eine .vscode/mcp.json Datei mit dem Pfad zur heruntergeladenen Binärdatei.

Arbeitsbereichspezifische Konfiguration (empfohlen für projektspezifische Verwendung):

{
  "servers": {
    "aks-mcp-server": {
      "type": "stdio",
      "command": "<path-to-binary>",
      "args": [
        "--transport", "stdio"
      ]
    }
  }
}

Konfiguration auf Benutzerebene (dauerhaft für alle Arbeitsbereiche):

Fügen Sie Ihren VS Code User Settings JSON hinzu (Ctrl+, oder Cmd+,, suchen Sie dann nach "mcp"):

{
  "github.copilot.chat.mcp.servers": {
    "aks-mcp-server": {
      "type": "stdio",
      "command": "<path-to-binary>",
      "args": [
        "--transport", "stdio"
      ]
    }
  }
}

Schritt 3: Laden der AKS-MCP Servertools

Starten Sie VS Code neu, um die neue MCP-Serverkonfiguration zu laden.
Öffnen Sie GitHub Copilot in VS Code, und wechseln Sie zum Agentmodus.
Wählen Sie die Schaltfläche "Extras " aus, um die Liste der verfügbaren Tools anzuzeigen.
Stellen Sie sicher, dass die AKS-MCP Tools in der Liste angezeigt werden.
Versuchen Sie eine Eingabeaufforderung wie: "Alle meine AKS-Cluster im Abonnement xxx auflisten".

Tipp

Wenn die AKS-MCP Tools nach dem Neustart nicht angezeigt werden, überprüfen Sie den Ausgabebereich für VS-Code auf alle MCP-Serververbindungsfehler, und überprüfen Sie den binären Pfad in .vscode/mcp.json.

Sie können den AKS-MCP-Server mit dem offiziellen Docker-Image aus dem Docker MCP Toolkit oder als containerisierte MCP-Konfiguration ausführen.

Option 1: Docker MCP Toolkit

Öffnen Sie Docker Desktop.
Wählen Sie das MCP-Toolkit in der linken Randleiste aus.
Suchen Sie auf der Registerkarte "Katalog" nach "aks".
Wählen Sie die AKS-MCP Serverkarte aus.
Aktivieren Sie den Server, indem Sie in der oberen rechten Ecke auswählen + .
Konfigurieren Sie den Server mithilfe der Registerkarte "Konfiguration ":
- [REQUIRED]azure_dir: Absoluter Pfad zu Ihrem Azure-Anmeldeinformationsverzeichnis (z. B/home/user/.azure. )
- kubeconfig: Absoluter Pfad zu Ihrer Kubeconfig-Datei [REQUIRED](z. B/home/user/.kube/config. )
- access_level[REQUIRED]: Auf readonly, readwrite oder admin nach Bedarf einstellen
- [OPTIONAL]container_user: Benutzername oder UID zum Ausführen des Containers als (Standard istmcp). Verwenden Sie Ihre Hostbenutzer-ID (z. B 1000. bei Ausführung des Docker-Moduls unter Linux).

Hinweis

Unter Windows funktionieren Azure-Anmeldeinformationen nicht standardmäßig. Konfigurieren Sie ein benutzerdefiniertes Azure-Verzeichnis mit deaktivierter Tokencacheverschlüsselung, oder verwenden Sie die Option "Langlebige Server", um sich innerhalb des Containers zu authentifizieren.

Option 2: Containerisierte MCP-Konfiguration

Bereitstellen von Anmeldeinformationen vom Host (empfohlen):

{
  "mcpServers": {
    "aks": {
      "type": "stdio",
      "command": "docker",
      "args": [
        "run", "-i", "--rm",
        "--user", "<your-user-id>",
        "-v", "~/.azure:/home/mcp/.azure",
        "-v", "~/.kube:/home/mcp/.kube",
        "ghcr.io/azure/aks-mcp:latest",
        "--transport", "stdio"
      ]
    }
  }
}

Wenn Sie stattdessen Anmeldeinformationen im Container abrufen möchten, lassen Sie die Volume mounts aus, und führen Sie die folgenden Befehle aus, nachdem sie den Container gestartet haben:

# Login to Azure CLI
docker exec -it <container-id> az login --use-device-code

# Get kubeconfig
docker exec -it <container-id> az aks get-credentials -g <resource-group> -n <cluster-name>

Konfigurieren Sie für andere MCP-kompatible KI-Clients wie Claude Desktop den Server in Ihrer MCP-Konfiguration:

{
  "mcpServers": {
    "aks": {
      "command": "<path-to-binary>",
      "args": [
        "--transport", "stdio"
      ]
    }
  }
}

Sie können den Server auch direkt über die Befehlszeile ausführen:

./aks-mcp --transport stdio

Befehlszeilenoptionen:

Option	Description	Standard
`--access-level`	Zugriffsebene (`readonly`, `readwrite`, `admin`)	`readonly`
`--enabled-components`	Durch Trennzeichen getrennte Liste der aktivierten Komponenten	alle
`--allow-namespaces`	Durch Trennzeichen getrennte Liste zulässiger Kubernetes-Namespaces	alle
`--host`	Host zum Empfangen (nur SSE/HTTP-Transport)	`127.0.0.1`
`--port`	Port zum Hören (nur SSE/HTTP-Transport)	`8000`
`--transport`	Transportmechanismus (`stdio`, `sse`, `streamable-http`)	`stdio`
`--timeout`	Timeout für die Ausführung von Befehlen in Sekunden	`600`
`--log-level`	Protokollebene (`debug`, `info`, `warn`, `error`)	`info`

Umgebungsvariablen:

USE_LEGACY_TOOLS: Legen Sie fest, dass true ältere spezialisierte Tools anstelle von einheitlichen Tools verwendet werden (Standard: false)
Standardmäßige Azure-Authentifizierungsumgebungsvariablen werden unterstützt (AZURE_TENANT_ID, AZURE_CLIENT_ID, AZURE_CLIENT_SECRET, AZURE_SUBSCRIPTION_ID)

Remote-MCP-Server

Im Remotemodus wird der MCP-Server als Workload innerhalb des AKS-Clusters oder einer beliebigen Berechnung Ihrer Wahl ausgeführt. Dieser Modus eignet sich am besten für Produktionsumgebungen mit gemeinsam genutzten Tools, konsistenten Berechtigungen für Benutzer und vollständige Zugriffssteuerung mithilfe von Kubernetes ServiceAccount und Workload Identity. Der Remote-AKS MCP-Server verwendet das HTTP-Protokoll, um Interaktionen zwischen Ihrem KI-Assistenten und dem AKS-Cluster zu erleichtern.

Voraussetzungen

AKS-Cluster mit Kubernetes 1.19+
Helm 3.8+
Azure CLI installiert und authentifiziert (az login)

Installieren mit dem Helm-Diagramm

Klonen Sie das Repository, und installieren Sie das AKS-MCP Helm-Diagramm:

git clone https://github.com/Azure/aks-mcp.git
cd aks-mcp/chart

helm install aks-mcp . --namespace aks-mcp --create-namespace

Die vollständige Liste der Konfigurationsparameter finden Sie in der Helm-Diagrammdokumentation.

Konfigurieren der Authentifizierung

Wählen Sie eine Authentifizierungsmethode basierend auf Ihrer Umgebung und Sicherheitsanforderungen aus:

Workload Identity bietet kennwortlose Authentifizierung, indem ein Kubernetes ServiceAccount mit einer azure Managed Identity verknüpft wird.

1. Aktivieren von OIDC auf Ihrem AKS-Cluster

az aks update \
  --resource-group <your-resource-group> \
  --name <your-aks-cluster> \
  --enable-oidc-issuer \
  --enable-workload-identity

2. Erstellen einer verwalteten Identität und Zuweisen von RBAC-Berechtigungen

# Create identity
az identity create --resource-group <your-resource-group> --name aks-mcp-identity --location <your-location>

# Get IDs
IDENTITY_CLIENT_ID=$(az identity show --resource-group <your-resource-group> --name aks-mcp-identity --query "clientId" -o tsv)
IDENTITY_PRINCIPAL_ID=$(az identity show --resource-group <your-resource-group> --name aks-mcp-identity --query "principalId" -o tsv)

# Assign Reader role (use Contributor for readwrite access)
az role assignment create --role "Reader" --assignee-object-id $IDENTITY_PRINCIPAL_ID --assignee-principal-type ServicePrincipal --scope "/subscriptions/<subscription-id>"

3. Erstellen von Anmeldeinformationen für eine Verbundidentität

AKS_OIDC_ISSUER=$(az aks show --resource-group <your-resource-group> --name <your-aks-cluster> --query "oidcIssuerProfile.issuerUrl" -o tsv)

az identity federated-credential create \
  --name "aks-mcp-federated-credential" \
  --identity-name aks-mcp-identity \
  --resource-group <your-resource-group> \
  --issuer $AKS_OIDC_ISSUER \
  --subject "system:serviceaccount:aks-mcp:aks-mcp" \
  --audience api://AzureADTokenExchange

Von Bedeutung

Erstellen Sie die Verbundanmeldeinformationen, bevor Sie das Helm-Diagramm installieren.

4. Installation mit aktivierter Workload-Identität

helm install aks-mcp . \
  --namespace aks-mcp \
  --create-namespace \
  --set workloadIdentity.enabled=true \
  --set azure.clientId=$IDENTITY_CLIENT_ID \
  --set azure.subscriptionId=<your-subscription-id>

Aktivieren Sie die OAuth-Authentifizierung, um die Benutzeranmeldung für Lese-/Schreibzugriffs- oder Administratorvorgänge zu erfordern:

helm install aks-mcp . \
  --namespace aks-mcp \
  --create-namespace \
  --set app.accessLevel=readwrite \
  --set oauth.enabled=true \
  --set oauth.tenantId=<your-tenant-id> \
  --set oauth.clientId=<your-oauth-client-id> \
  --set azure.subscriptionId=<your-subscription-id>

Verwenden Sie ein Kubernetes Secret, das Anmeldeinformationen des Dienstprinzipals enthält:

# Create secret first
kubectl create secret generic azure-credentials \
  --namespace aks-mcp \
  --from-literal=tenant-id=<your-tenant-id> \
  --from-literal=client-id=<your-client-id> \
  --from-literal=client-secret=<your-client-secret> \
  --from-literal=subscription-id=<your-subscription-id>

# Install with existing secret
helm install aks-mcp . \
  --namespace aks-mcp \
  --set app.accessLevel=readonly \
  --set azure.existingSecret=azure-credentials

Übergeben Sie Anmeldeinformationen direkt über Helm Values (nicht für die Produktion empfohlen):

helm install aks-mcp . \
  --namespace aks-mcp \
  --create-namespace \
  --set azure.tenantId=<your-tenant-id> \
  --set azure.clientId=<your-client-id> \
  --set azure.clientSecret=<your-client-secret>

Aktivieren von "Ingress" mit Azure App Routing

Verfügbarmachen des MCP-Servers extern mithilfe von Azure App Routing:

# Enable App Routing on your cluster
az aks approuting enable --resource-group <your-resource-group> --name <your-cluster-name>

# Install with Ingress enabled
helm install aks-mcp . \
  --namespace aks-mcp \
  --create-namespace \
  --set ingress.enabled=true \
  --set ingress.hosts[0].host=aks-mcp.example.com \
  --set ingress.hosts[0].paths[0].path=/ \
  --set ingress.hosts[0].paths[0].pathType=Prefix \
  --set azure.existingSecret=azure-credentials

Verbinden Sie den MCP-Client

Verbinden Sie nach der Bereitstellung Ihren KI-Assistenten mit dem Remote-MCP-Server:

# Port forward for local testing
kubectl port-forward svc/aks-mcp 8000:8000 -n aks-mcp

Konfigurieren Sie Ihren MCP-Client für die Verbindung:

{
  "mcpServers": {
    "aks-mcp": {
      "url": "http://localhost:8000",
      "transport": "streamable-http"
    }
  }
}

Verwenden Sie für den In-Cluster-Zugriff Folgendes: http://aks-mcp.aks-mcp.svc.cluster.local:8000

Helmkonfigurationsreferenz

Parameter	Description	Standard
`workloadIdentity.enabled`	Aktivieren der Azure Workload Identity	`false`
`azure.clientId`	Azure-Client-ID	`""`
`azure.tenantId`	Azur-Mandanten-ID	`""`
`azure.clientSecret`	Azure-Clientgeheimnis	`""`
`azure.subscriptionId`	Azure-Abonnement-ID	`""`
`azure.existingSecret`	Verwenden eines vorhandenen Kubernetes-Schlüssels	`""`
`app.accessLevel`	Zugriffsebene: `readonly`, , `readwriteadmin`	`readonly`
`app.transport`	Transport: `stdio`, `sse`, `streamable-http`	`streamable-http`
`oauth.enabled`	Aktivieren der OAuth-Authentifizierung	`false`
`ingress.enabled`	Eingehend aktivieren	`false`

Deinstallieren des AKS MCP-Servers

Der Prozess der Deinstallation des AKS MCP-Servers hängt vom Bereitstellungsmodus und dem aktuellen Ausführungsort ab.

Lokale Installation
Remoteinstallation

VS-Code mit AKS-Erweiterung

Öffnen Sie die Befehlspalette (Ctrl+Shift+P unter Windows/Linux oder Cmd+Shift+P unter macOS).
Führen Sie MCP aus: Listenserver.
Wählen Sie AKS MCP aus der Liste aus.
Wählen Sie "Server beenden" aus, um den ausgeführten Server zu beenden.
Um die Konfiguration zu entfernen, wählen Sie "Serverkonfiguration löschen" aus.

Alternativ können Sie die Serverkonfiguration manuell entfernen:

Öffnen Sie Ihre .vscode/mcp.json Datei oder vs Code-Benutzereinstellungen.
Löschen Sie den aks-mcp-server Eintrag aus dem Objekt servers oder github.copilot.chat.mcp.servers.
Löschen Sie die AKS-MCP Binärdatei aus Ihrem System (der Speicherort variiert je nach Installationsmethode).

Docker

Bei Verwendung des Docker MCP Toolkits:

Öffnen Sie Docker Desktop.
Wählen Sie das MCP-Toolkit in der linken Randleiste aus.
Suchen Sie den AKS-MCP-Server, und deaktivieren Sie ihn.

Wenn Sie eine containerisierte Konfiguration verwenden, beenden und entfernen Sie den Container.

docker stop <container-id>
docker rm <container-id>

Andere MCP-Clients

Entfernen Sie den Eintrag aks oder aks-mcp aus Ihrer MCP-Clientkonfigurationsdatei, z. B. bei Claude Desktop claude_desktop_config.json.

Entfernen des Helm-Loslassens

helm uninstall aks-mcp --namespace aks-mcp

Bereinigen des Namespaces (optional)

kubectl delete namespace aks-mcp

Bereinigen von Azure-Ressourcen (nur Workload-Identität)

Wenn Sie Workload Identity konfiguriert haben, entfernen Sie die zugeordneten Azure-Ressourcen:

# Delete the federated credential
az identity federated-credential delete \
  --name "aks-mcp-federated-credential" \
  --identity-name aks-mcp-identity \
  --resource-group <your-resource-group>

# Remove role assignments
IDENTITY_PRINCIPAL_ID=$(az identity show --resource-group <your-resource-group> --name aks-mcp-identity --query "principalId" -o tsv)
az role assignment delete --assignee $IDENTITY_PRINCIPAL_ID --scope "/subscriptions/<subscription-id>"

# Delete the managed identity
az identity delete --resource-group <your-resource-group> --name aks-mcp-identity

Löschen Sie das Kubernetes-Secret (nur Dienstprinzipal)

Wenn Sie ein Secret für Service Principal-Anmeldeinformationen erstellt haben:

kubectl delete secret azure-credentials --namespace aks-mcp

Häufige Probleme und Problembehandlungen

In diesem Abschnitt werden allgemeine Setup- und Laufzeitprobleme, ihre Symptome und deren Behebung beschrieben.

AKS MCP-Server kann nicht auf den Cluster zugreifen

Symptome:

Tools geben Autorisierungsfehler zurück
Es sind keine Ressourcen sichtbar.

Wahrscheinliche Ursachen:

Benutzer- oder MCP-Identität verfügt nicht über ausreichende Berechtigungen
Falsche ServiceAccount-Bindung
Falsch konfigurierter Kubeconfig-Kontext (lokaler Modus)

Lösung:

Lokaler Modus: Überprüfen Sie, ob Sie über ausreichende Berechtigungen für den Zugriff auf den Cluster verfügen. Stellen Sie sicher, dass Sie sich im richtigen Cluster- und Abonnementkontext befinden.
Remotemodus: Überprüfen der ClusterRole-Bindungen für das vom MCP-Server verwendete ServiceAccount

Azure-API-Aufrufe schlagen fehl

Symptome:

call_az Tools geben Authentifizierungs- oder Autorisierungsfehler zurück.

Wahrscheinliche Ursachen:

Workload-Identität ist für Ihren Cluster nicht aktiviert.
ServiceAccount nicht verbundiert
Fehlende Azure RBAC-Zuordnungen

Lösung:

Überprüfen Sie, ob die Workloadidentität auf Ihrem Cluster aktiviert ist.
Überprüfen der Verbundidentitätskonfiguration
Zuweisen geeigneter Azure-Rollen zur verwalteten Identität

Nächste Schritte

Erfahren Sie mehr über die intelligenten Features, die nativ für AKS erstellt wurden:

Über die Agenten-CLI für AKS
Installieren und verwenden Sie die Agentic-CLI für AKS

Feedback

War diese Seite hilfreich?

Last updated on 2026-02-18

Freigeben über

Verbinden Ihres Azure Kubernetes Service (AKS)-Clusters mit KI-Agents mithilfe des MCP-Servers (Model Context Protocol)

Wann der AKS MCP-Server verwendet werden soll

Verfügbare Tools

Einheitliches Kubectl-Tool

Helm

Cilium

Hubble

Erste Schritte mit dem AKS MCP-Server

Lokaler MCP-Server

Voraussetzungen

Remote-MCP-Server

Voraussetzungen

Installieren mit dem Helm-Diagramm

Konfigurieren der Authentifizierung

Aktivieren von "Ingress" mit Azure App Routing

Verbinden Sie den MCP-Client

Helmkonfigurationsreferenz

Deinstallieren des AKS MCP-Servers

VS-Code mit AKS-Erweiterung

Docker

Andere MCP-Clients

Häufige Probleme und Problembehandlungen

AKS MCP-Server kann nicht auf den Cluster zugreifen

Azure-API-Aufrufe schlagen fehl

Nächste Schritte

Feedback

Zusätzliche Ressourcen