Sdílet prostřednictvím

Aspekty fakturace Azure a tenanta Active Directory pro AKS (volitelné)

  • Článek

Podniková registrace není požadavkem akcelerátoru cílové zóny AKS. U většiny implementací zákazníků se standardní osvědčené postupy týkající se podnikové registrace a tenantů Active Directory při nasazování cílových zón Azure pro AKS nemění. Existují jen zřídka specifické aspekty nebo doporučení, která by ovlivnila rozhodnutí o podnikové registraci nebo tenantovi Active Directory. Podívejte se na následující aspekty, abyste zjistili, jestli by požadavky AKS ovlivnily stávající rozhodnutí tenanta.

Je však důležité pochopit všechna rozhodnutí, která dříve provedl tým cloudové platformy, aby věděl o stávající podnikové registraci nebo rozhodnutích o tenantovi Active Directory.

Možná budete chtít také zkontrolovat aspekty správy identit a přístupu, abyste pochopili, jak se tenant Active Directory používá při návrhu řešení ověřování a autorizace. Můžete také zvážit aspekty organizace prostředků, abyste pochopili, jak může být registrace uspořádaná do skupin pro správu, předplatných a skupin prostředků.

Aspekty návrhu

Většina zákazníků identifikuje primárního tenanta Microsoft Entra jako tenanta Řízení přístupu na základě role (RBAC) Kubernetes Microsoft Entra. Kubernetes ale umožňuje různé zvýšení oprávnění správy RBAC. Existují situace, kdy můžete chtít vytvořit jiného tenanta RBAC Kubernetes Od tenanta Microsoft Entra, který řídí identitu cílové zóny. To může vést k určitým konkrétním aspektům při vytváření cílových zón Azure pro AKS. Tady jsou indikátory, které vás můžou vést k tomuto alternativnímu přístupu k přiřazení tenanta:

  • Použijí se cílové zóny nebo hostitelé Kubernetes jako součást vývoje čistých místností?
  • Existují zvýšené požadavky na dodržování předpisů, které určují oddělení povinností mezi lidmi, kteří provozují hostitele, a účty, které provozují prostředí cílové zóny?
  • V centrálně spravovaném prostředí s více hostiteli v jedné cílové zóně je potřeba rozšířené řízení poloměru výbuchu pro ohrožené identity?

Správa více tenantů Microsoft Entra má náklady na správu, které je potřeba zvážit oproti výhodám získaným z takové topologie. U více tenantů může být součástí doporučení Microsoftu jen zřídka. Výše uvedené otázky ale můžou znamenat, že je potřeba zvážit tuto možnost.