Freigeben über

Azure-Abrechnung und Active Directory-Mandant – Überlegungen für AKS (optional)

  • Artikel

Die Enterprise-Registrierung ist keine Voraussetzung für den AKS-Zielzonenbeschleuniger. Bei den meisten Kundenimplementierungen werden die bewährten Standardmethoden im Zusammenhang mit der Unternehmensregistrierung und den Active Directory-Mandanten nicht verändert, wenn Azure-Zielzonen für AKS bereitgestellt werden. Nur selten gibt es spezifische Überlegungen oder Empfehlungen, die sich auf die Entscheidungen hinsichtlich der Unternehmensregistrierung oder der Active Directory-Mandanten auswirken würden. Im folgenden Abschnitt erfahren Sie, ob sich AKS-Anforderungen auf vorhandene Mandantenentscheidungen auswirken würden.

Möglicherweise ist es wichtig, alle bisherigen Entscheidungen des Cloudplattformteams zu verstehen, um sich über vorhandene Unternehmensregistrierungs- oder Active Directory-Mandantenentscheidungen zu informieren.

Sie sollten ebenfalls den Abschnitt mit den Überlegungen zur Identitäts- und Zugriffsverwaltung lesen, um zu verstehen, wie der Active Directory-Mandant bei der Planung von Authentifizierungs- und Autorisierungslösungen angewendet werden kann. Darüber hinaus sollten Sie die Überlegungen zur Ressourcenorganisation auswerten, um zu verstehen, wie die Registrierung in Verwaltungsgruppen, Abonnements und Ressourcengruppen gegliedert werden kann.

Überlegungen zum Entwurf

Die meisten Kunden identifizieren ihren primären Microsoft Entra-Mandanten als ihren Kubernetes-Microsoft Entra-Mandanten für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). Kubernetes ermöglicht jedoch unterschiedliche Erweiterungen der RBAC-Verwaltung. Es gibt Situationen, in denen Sie möglicherweise einen Kubernetes-Microsoft Entra-Mandanten für die rollenbasierte Zugriffssteuerung einrichten möchten, der sich von dem Mandanten unterscheidet, der die Zielzonenidentität regelt. Dafür sind möglicherweise einige spezifische Überlegungen während des Einrichtens der Azure-Zielzonen für AKS notwendig. Folgende Punkte weisen darauf hin, dass Sie bei der Mandantenzuweisung diesen alternativen Ansatz in Betracht ziehen sollten:

  • Werden Zielzone oder Kubernetes-Hosts im Rahmen der Entwicklung von Reinräumen genutzt?
  • Gibt es erhöhte Compliance-Anforderungen, die eine Aufgabentrennung zwischen den Personen, die den Host betreiben, und den Konten, die die Zielzonenumgebung betreiben, vorschreiben?
  • Gibt es in einer zentral verwalteten Umgebung mit mehreren Hosts in einer einzelnen Zielzone einen erweiterten Steuerungsbedarf im Zusammenhang mit dem Auswirkungsradius von kompromittierten Identitäten?

Die Verwaltung mehrerer Microsoft Entra-Mandanten zieht höhere Verwaltungskosten nach sich, die im Vergleich zu den Vorteilen einer solchen Topologie abgewogen werden müssen. Nur in seltenen Fällen empfiehlt Microsoft die Verwendung mehrerer Mandanten. Die vorstehenden Fragen können jedoch darauf hinweisen, ob diese Option in Betracht gezogen werden sollte.