はじめに
Microsoft Tech Community の以下の記事をきっかけに、AKS 上に OpenClaw を載せて、Microsoft Foundry のモデルを安全に使う構成を試しました。
-
OpenClaw を AKS の Kata-isolated node pool 上で動かす
-
OpenClaw から Microsoft Foundry のモデルを Entra ID ベースで安全に呼ぶ
今回の構成
- Microsoft Foundry リソースと Project を作成
- Foundry 上に
gpt-5.2をデプロイする - OpenClaw 用の User Assigned Managed Identity を作成
- Managed Identity に Foundry リソースへのロールを付与
- OpenClaw から Foundry endpoint を Entra ID ベースで呼ぶ
全体像
- AKS クラスター
- User Assigned Managed Identity
- Microsoft Foundry リソース
- Microsoft Foundry Project
- Azure Files 用ストレージアカウント
1. Microsoft Foundry を作成してモデルをデプロイする
この部分は、基本的には公式ドキュメントどおりに進めるのがよいです。
- Microsoft Foundry リソースの作成
- Foundry Project の作成
- 利用するモデル deployment の作成
手順の詳細は以下を参照してください。
- Microsoft Foundry resources のクイックスタート
https://learn.microsoft.com/azure/foundry/tutorials/quickstart-create-foundry-resources - Azure OpenAI resource / deployment の作成
https://learn.microsoft.com/azure/ai-foundry/openai/how-to/create-resource
今回使ったモデルは gpt-5.2 で、最後に、OpenClaw 側から利用する endpoint とを用意します。
公式ドキュメントでは project endpoint を使う例が多く、たとえば Foundry Models の Responses API では https://<resource>.services.ai.azure.com/api/projects/<project>/openai/v1 の形が案内されています。
今回は account endpoint を OpenClaw 側の base URL として使いました。
FOUNDRY_ENDPOINT="$(az cognitiveservices account show \
--resource-group "${RG_NAME}" \
--name "${FOUNDRY_NAME}" \
--query properties.endpoint \
--output tsv)"
2. OpenClaw 用の User Assigned Managed Identity を作る
今回は User Assigned Managed Identity を使っています。
az identity create \
--resource-group "${RG_NAME}" \
--name "${UAMI_NAME}" \
--location "${LOCATION}"
作成後に最低限控えるのは次の 2 つです。
clientIdprincipalId
UAMI_CLIENT_ID="$(az identity show \
--resource-group "${RG_NAME}" \
--name "${UAMI_NAME}" \
--query clientId \
--output tsv)"
UAMI_PRINCIPAL_ID="$(az identity show \
--resource-group "${RG_NAME}" \
--name "${UAMI_NAME}" \
--query principalId \
--output tsv)"
clientId は Kubernetes ServiceAccount annotation で使い、principalId は RBAC 割り当てで使います。
3. OpenClaw から使う Managed Identity を関連付ける
今回は AKS 側で Microsoft Entra 連携と Managed Identity が使える前提で、OpenClaw から利用する User Assigned Managed Identity を整理しました。
AKS 側では、以下を有効にした状態でクラスターを作成しています。
- Microsoft Entra integration
- Azure RBAC
クラスター作成時のイメージは以下です。
az aks create \
--resource-group "${RG_NAME}" \
--name "${AKS_NAME}" \
--location "${LOCATION}" \
--enable-managed-identity \
--enable-aad \
--enable-azure-rbac
このあと、OpenClaw 側の実行主体がこの Managed Identity を使って Foundry にアクセスできるように RBAC を付けます。
4. Managed Identity に Foundry へのアクセス権を付与する
OpenClaw から Foundry を使うには、Managed Identity に Foundry リソースのロールを付ける必要があります。
このリポジトリでは、Foundry リソース ID を取得して、Cognitive Services User を割り当てています。
FOUNDRY_ID="$(az cognitiveservices account show \
--resource-group "${RG_NAME}" \
--name "${FOUNDRY_NAME}" \
--query id \
--output tsv)"
az role assignment create \
--assignee-object-id "${UAMI_PRINCIPAL_ID}" \
--assignee-principal-type ServicePrincipal \
--role "Cognitive Services User" \
--scope "${FOUNDRY_ID}"
今回は、Managed Identity に Cognitive Services User を割り当てました。
5. OpenClaw から Foundry のモデルを呼ぶ
OpenClaw から Foundry を使うときは、最終的に Foundry endpoint に対して認証付きでアクセスできればよいです。
OpenClaw の provider 設定を次のようにしています。
{
"models": {
"providers": {
"microsoft-foundry": {
"baseUrl": "${FOUNDRY_ENDPOINT}/openai/v1",
"api": "openai-responses",
"headers": {
"Authorization": "Bearer __FOUNDRY_ACCESS_TOKEN__"
}
}
}
}
}
6. 最終的に確認したこと
最終的には、次の流れまで確認できました。
- Foundry に
gpt-5.2をデプロイ - OpenClaw Pod が AKS 上で起動
- OpenClaw が Foundry provider をロード
-
/healthzと/readyzが OK - ローカルから Control UI に接続できる
まとめ
AKS 上の OpenClaw から Microsoft Foundry を安全に使ううえで、今回試した最小構成のポイントは次のとおりです。
- Foundry リソースに
Cognitive Services Userを付与 - OpenClaw から
Authorization: Bearer ...で Foundry endpoint を呼ぶ
OpenClaw 側の追加機能検証を進める予定です。
参考リンク
-
Microsoft Tech Community
https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/hardening-openclaw-on-aks-mitigating-container-escapes-with-kata-microvm-isolati/4516030 -
Azure AI Foundry / Azure OpenAI の Microsoft Entra ID 認証
https://learn.microsoft.com/azure/ai-foundry/openai/how-to/managed-identity -
Azure OpenAI / Foundry Models REST API authentication
https://learn.microsoft.com/azure/ai-foundry/openai/reference#authentication -
GitHub リポジトリ