AKS の Azure 課金と Active Directory テナントに関する考慮事項 (省略可能)

エンタープライズ登録は、AKS ランディング ゾーン アクセラレータの要件ではありません。 ほとんどの顧客の実装では、AKS 用の Azure ランディング ゾーンをデプロイするときに、エンタープライズ登録と Active Directory テナントに関する標準的なベスト プラクティスは変更されません。 エンタープライズ登録または Active Directory テナントの決定に影響する可能性がある特定の考慮事項や推奨事項はあまり存在しません。 AKS の要件が既存のテナントの決定に影響するかどうかを判断するには、次の考慮事項を参照してください。

ただし、既存のエンタープライズ登録または Active Directory テナントの決定を認識するために、クラウド プラットフォーム チームが以前に行った決定を理解することが重要な場合があります。

また、ID およびアクセス管理の考慮事項を確認して、認証および認可のソリューションの設計で Active Directory テナントがどのように適用されるかを理解することもできます。 さらに、リソース編成の考慮事項を評価して、登録が管理グループ、サブスクリプション、およびリソース グループにどのように編成されるかを理解することもできます。

設計上の考慮事項

ほとんどのお客様は、プライマリ Microsoft Entra テナントを Kubernetes のロールベースのアクセス制御 (RBAC) Microsoft Entra テナントとして特定します。 しかし、Kubernetes では、RBAC 管理のさまざまな昇格を利用できます。 テナントとは別の Kubernetes RBAC Microsoft Entra テナントを確立して、ランディング ゾーンの ID を管理することが必要になる場合があります。 これにより、AKS 用の Azure ランディング ゾーンを確立するときに、いくつかの特定の考慮事項が発生する可能性があります。 次に示すのは、テナントの割り当てに対するこの代替アプローチの検討につながる可能性のある指標です。

• ランディング ゾーンまたは Kubernetes ホストが、クリーンルーム開発の一部として使用されるか。
• ホストを運用する担当者とランディング ゾーン環境を運用するアカウントの間の職務の分離を指定する、厳格なコンプライアンス要件が存在するか。
• 1 つのランディング ゾーンに複数のホストがある一元的に管理された環境で、侵害された ID に対する処理の範囲を拡張する必要があるか。

複数の Microsoft Entra テナントの管理には管理コストがかかるため、このようなトポロジから得られるメリットと比較して検討する必要があります。 複数のテナントが、Microsoft の推奨事項の一部となることはめったにありません。 ただし、上記の質問は、このオプションを検討する必要があることを示している可能性があります。