Azure Kubernetes Service (AKS) のエージェント CLI のトラブルシューティング (プレビュー)

Docker 関連の問題

エラー: Docker デーモンが実行されていません

Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?

1. Docker デーモンが実行されていないことを示すエラーが表示された場合は、オペレーティング システムに適した手順を使用して Docker サービスを開始します。

   • macOS / Windows:

     • アプリケーションから Docker Desktop を起動します。
     • Docker が起動するまで待ちます。

   • Linux:

     • 次のコマンドを使用して Docker サービスを開始します。

       sudo systemctl start docker
       sudo systemctl enable docker  # Enable Docker to start on boot
       

2. 次のコマンドを使用して、Docker が実行されていることを確認します。

   docker info
   

エラー: Docker のアクセス許可が拒否されました

Got permission denied while trying to connect to the Docker daemon socket

Docker のアクセス許可の問題を解決するには、オペレーティング システムの手順を使用して、Docker デーモンにアクセスするために必要なアクセス許可をユーザーが持っていることを確認します。

• macOS / Windows:

  • Docker Desktop を再起動して、必要なアクセス許可があることを確認します。

• Linux:

  • 次のコマンドを使用して、Docker グループにユーザーを追加して、Docker への非ルート アクセスを許可します。

  sudo usermod -aG docker $USER
  newgrp docker  # Apply group changes immediately
  

エラー: Docker イメージの取得失敗

Error response from daemon: pull access denied for aks-agent, repository does not exist or may require 'docker login'

Docker イメージのプル エラーを解決するには、次の手順を試してください。

• インターネットに接続していることを確認します。
• 企業のファイアウォールが Docker レジストリ アクセスをブロックしているかどうかを確認します。
• az aks agent-initを使用してエージェントをもう一度初期化してみてください。

Azure 資格情報の問題

エラー: Azure 認証に失敗しました

Azure 認証の問題を解決するには、次の手順を使用して、Azure CLI が適切に認証され、必要なリソースにアクセスできることを確認します。

1. az account show コマンドを使用して、Azure 資格情報が正しく構成されていることを確認します。

   az account show
   

2. 必要に応じて、 az login コマンドを使用してもう一度サインインします。

   az login
   

サービス アカウントと RBAC の問題

エラー: サービス アカウントが見つかりません

Error: service account "aks-mcp" not found in namespace "default"

サービス アカウントの問題を解決するには、次の手順を使用して、Kubernetes サービス アカウントが正しく作成および構成されていることを確認します。

1. 次のコマンドを使用して、サービス アカウントが存在するかどうかを確認します。

   kubectl get serviceaccount aks-mcp --namespace $NAMESPACE
   

2. サービス アカウントが見つからない場合は、「サービス アカウントの作成」の手順を使用して作成 し、Azure Kubernetes Service (AKS) のエージェント CLI のワークロード ID を構成します (プレビュー)

エラー: アクセス許可が拒否されたエラー

Error: forbidden: User "system:serviceaccount:<namespace>:aks-mcp" cannot get resource "pods" in API group "" in the namespace "<namespace>"

アクセス許可拒否エラーを解決するには、次の手順を使用して、Kubernetes サービス アカウントに必要な RBAC アクセス許可があることを確認します。

1. 次のコマンドを使用して、RBAC アクセス許可が正しく構成されていることを確認します。

   kubectl get role aks-mcp-role --namespace $NAMESPACE
   kubectl get rolebinding aks-mcp-rolebinding --namespace $NAMESPACE
   

2. 次のコマンドを使用して、RoleBinding が正しいサービス アカウントをロールに関連付けるかどうかを確認します。

   kubectl describe rolebinding aks-mcp-rolebinding --namespace $NAMESPACE
   

ワークロード ID の問題

エラー: ワークロード ID が有効になっていません

Error: workload identity is not enabled on this cluster

ワークロード ID が有効になっていないことを示すエラーが表示された場合は、次の手順を使用して、AKS クラスターでワークロード ID が有効になっていることを確認します。

1. az aks show コマンドを使用して、AKS クラスターでワークロード ID が有効になっているかどうかを確認します。

   az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --query "securityProfile.workloadIdentity.enabled"
   

2. ワークロード ID が有効になっていない場合は、「サービス アカウントの作成」の手順に従って、 Azure Kubernetes Service (AKS) (プレビュー) のエージェント CLI のワークロード ID を構成して、クラスターでワークロード ID を有効にします。

エラー: 注釈がありません

Error: service account does not have workload identity annotation

不足している注釈エラーを解決するには、次の手順を使用して、Kubernetes サービス アカウントに正しいワークロード ID 注釈があることを確認します。

1. 次のコマンドを使用して、サービス アカウントに注釈が存在するかどうかを確認します。

   kubectl describe serviceaccount aks-mcp --namespace $NAMESPACE
   

2. 注釈がない場合は、次のコマンドを使用して追加します。 $CLIENT_IDは、フェデレーション ID 資格情報の実際のクライアント ID に置き換えてください。

   kubectl annotate serviceaccount aks-mcp --namespace $NAMESPACE azure.workload.identity/client-id="$CLIENT_ID" --overwrite
   

エラー: フェデレーション資格情報の伝達の遅延

フェデレーション ID 資格情報が見つからないか、認証エラーに関連するエラーが発生した場合は、Azure でフェデレーション ID 資格情報を作成した後の伝達の遅延が原因である可能性があります。 この問題を解決するには、次の手順を試してください。

1. フェデレーション ID 資格情報が Azure サービス全体に反映されるまで数分待ちます。
2. az identity federated-credential list コマンドを使用して、フェデレーション ID 資格情報が存在するかどうかを確認します。

az identity federated-credential list --identity-name $IDENTITY_NAME --resource-group $RESOURCE_GROUP