Condividi tramite

Considerazioni sulla fatturazione di Azure e sul tenant di Active Directory per il servizio Azure Kubernetes (facoltativo)

  • Articolo

La registrazione aziendale non è un requisito per l'acceleratore di zona di destinazione del servizio Azure Kubernetes. Per la maggior parte delle implementazioni dei clienti, le procedure consigliate standard per la registrazione aziendale e i tenant di Active Directory rimangono invariate durante la distribuzione delle zone di destinazione di Azure per AKS. Raramente sono presenti considerazioni o raccomandazioni specifiche che possono incidere sulle decisioni relative alla registrazione aziendale o ai tenant di Active Directory. Vedere le considerazioni seguenti per determinare se i requisiti di AKS possono incidere sulle decisioni relative ai tenant esistenti.

Tuttavia, può essere importante comprendere le decisioni prese precedentemente dal team della piattaforma cloud per essere consapevoli delle decisioni relative alla registrazione aziendale o ai tenant di Active Directory esistenti.

È inoltre consigliabile esaminare le considerazioni sulla gestione delle identità e degli accessi per comprendere come viene applicato il tenant di Active Directory nella progettazione di soluzioni di autenticazione e autorizzazione. È consigliabile anche valutare le considerazioni sull’organizzazione delle risorse per comprendere come la registrazione può essere organizzata in gruppi di gestione, sottoscrizioni e gruppi di risorse.

Considerazioni relative alla progettazione

La maggior parte dei clienti identificherà il tenant principale di Microsoft Entra come tenant Microsoft Entra (Role-Based Access Control) di Kubernetes. Kubernetes consente tuttavia elevazioni diverse della gestione del controllo degli accessi in base al ruolo. In alcune situazioni potrebbe essere necessario stabilire un tenant Di Controllo degli accessi in base al ruolo di Kubernetes diverso dal tenant, che regola l'identità per la zona di destinazione. Ciò può comportare alcune considerazioni specifiche quando si definiscono zone di destinazione di Azure per il servizio AKS. Di seguito sono riportati gli indicatori che possono portare a considerare questo approccio alternativo all'assegnazione del tenant:

  • La zona di destinazione o gli host Kubernetes verranno usati come parte dello sviluppo in ambiente sterile?
  • Esistono requisiti di conformità più alti, che specificano la separazione dei compiti tra le persone che gestiscono l'host e gli account che gestiscono l'ambiente della zona di destinazione?
  • In un ambiente gestito centralmente con più host in una singola zona di destinazione, è necessario un controllo esteso del raggio di attacco per le identità compromesse?

La gestione di più tenant di Microsoft Entra comporta un costo di gestione che deve essere ponderato rispetto ai vantaggi ottenuti da tale topologia. Raramente i casi con più tenant sono raccomandati da Microsoft. Le domande precedenti potrebbero tuttavia indicare la necessità di prendere in considerazione questa opzione.