MicrosoftはAKS(Azure Kubernetes Service)の2026年5月29日付リリースノートを公開し、AKS AutomaticのマネージドシステムノードプールがGA(一般提供)に昇格した。LocalDNSが新クラスターでデフォルト必須となるなど運用自動化が前進した一方、Flatcar Container Linuxの廃止期限が目前に迫っており、既存利用者には早急な移行対応が求められる。

マネージドシステムノードプール GA化の何が変わるか

AKS AutomaticにおけるマネージドシステムノードプールがGAとなり、システムコンポーネント(kube-system 等)が動作するノードプールをAzureが完全管理する形が標準化された。

セキュリティ観点での変更点は大きい。GAとともに以下の制限が自動適用される:

  • 新クラスターでは顧客提供のSSHキーをブロック(既存クラスターは保持するが追加不可)
  • 複数レイヤーのセキュリティ制限が自動的に有効化
  • ノードへの直接アクセス経路が制限される

重要な注意点:マネージドシステムノードプールを持たない既存のAKS Automaticクラスターは、インプレースアップグレードで対応できない。クラスターを再作成してワークロードを移行する必要があるため、移行計画の立案が必須だ。

LocalDNS が新クラスターで必須化

新規作成するAKS Automaticクラスター、および既存クラスターへ追加する新ノードプールでは、LocalDNSモードが Required にデフォルト設定される。

LocalDNSはノードローカルのDNSキャッシュを利用して名前解決を行う。kube-dnsやCoreDNSのPodへの依存を削減し、クラスター内DNS応答速度と信頼性が向上する。マイクロサービス環境でDNS解決がボトルネックになるケースへの現実的な対処だ。

既存ノードプールへの変更はなく、新クラスター・新ノードプール追加時から有効となる。

Microsoft Defender for Containers にマルウェアスキャンが追加

Microsoft Defender for Containersにマルウェアスキャン機能が追加された。コンテナイメージや実行中ワークロードへの悪意あるコード混入を検知する。

サプライチェーン攻撃がKubernetes環境でも現実的な脅威となっている今、コンテナレイヤーでのスキャンは多層防御の重要な一手だ。Defender for Containersを既に有効化している環境では、ポリシーへの組み込みを検討したい。

廃止タイムライン:今すぐ対応が必要なもの

ノードOS / 機能 廃止開始 完全削除 移行先

Flatcar Container Linux 2026年6月8日 2026年9月8日 Azure Container Linux for AKS

Windows Server Annual Channel 2026年5月15日 2027年5月15日 LTSC(Long Term Servicing Channel)

Windows Server 2019 2026年3月1日 2027年4月1日 Windows Server 2022以降

Istio revision asm-1-27 廃止済み — revision 1.28以降

特に注意が必要なのはFlatcar Container Linux。2026年9月8日に既存ノードイメージも削除される。この日を過ぎると、スケールアウトやノードの再イメージ・再デプロイ操作が失敗するようになる。現時点でFlatcarを使用しているクラスターは、今すぐ移行計画を着手すべきだ。

実務での活用ポイント

即時対応が必要:

  • Flatcar Container Linux使用クラスター → Azure Container Linux for AKSへ移行(期限:9月8日)
  • Istio asm-1-27使用中 → revision 1.28以降へアップグレード

新規クラスター設計時の考慮点:

  • AKS Automaticを選択する場合、マネージドシステムノードプールがデフォルトになった前提で設計する(SSH鍵不可の制約を含む)
  • LocalDNS RequiredモードはDNSトラフィックパターンに影響するため、切り替え後のモニタリング設定を確認する
  • Defender for Containersのマルウェアスキャンを既存ポリシーに組み込む

運用コスト観点: マネージドシステムノードプールはAzureが管理するため、パッチ適用やノードアップグレードの手間が削減される。長期的なTCO(総所有コスト)低減への貢献は無視できない。

筆者の見解

マネージドシステムノードプールのGA化は、Kubernetesの「操作ミスによる障害」を構造的に減らす取り組みだ。システムノードプールへの不用意なアクセスや設定変更がクラスター全体の安定性を損なう事例は後を絶たない。「管理者が直接触れない」構成はゼロトラストの考え方とも一致しており、正しい方向性だと思う。

LocalDNSの標準化も同様で、「DNS障害でサービスダウン」というありがちなパターンを予防するためのデフォルト変更だ。設定を賢く統一することでトラブルシューティングコストを下げるアプローチは、大規模環境では特に効果が大きい。

Flatcar廃止については、移行コストが発生するのは事実だ。ただ、Azure Container Linuxへの統一はサポートライフサイクル管理をシンプルにする。ノードOS構成が散らかってしまっている環境を整理する良い機会として前向きに捉えてほしい。

AKSはリリースごとに運用負荷を地道に下げる改善が積み重なっている。派手な機能発表ではないが、GA化・デフォルト変更・廃止の着実な実行こそがプラットフォームの成熟を示す。今回はその典型的なリリースだ。

出典: この記事は AKS Release 2026-05-29 — Managed System Node Pools GA, LocalDNS, Defender Malware Scanning の内容をもとに、筆者の見解を加えて独自に執筆したものです。