Delen via

Overwegingen voor Azure-facturering en Active Directory-tenants voor AKS (optioneel)

  • Artikel

Enterprise-inschrijving is geen vereiste voor de AKS-landingszoneversneller. Voor de meeste implementaties van klanten zijn de standaard best practices voor enterprise-inschrijving en Active Directory-tenants ongewijzigd bij het implementeren van Azure-landingszones voor AKS. Er zijn zelden specifieke overwegingen of aanbevelingen die van invloed zijn op enterprise-inschrijving of Active Directory-tenantbeslissingen. Bekijk de volgende overwegingen om te bepalen of AKS-vereisten van invloed zijn op bestaande tenantbeslissingen.

Het kan echter belangrijk zijn om inzicht te hebben in eventuele beslissingen die eerder zijn genomen door het cloudplatformteam om op de hoogte te zijn van bestaande enterprise-inschrijvings- of Active Directory-tenantbeslissingen.

U kunt ook de overwegingen voor identiteits- en toegangsbeheer bekijken om te begrijpen hoe de Active Directory-tenant wordt toegepast in het ontwerp van verificatie- en autorisatieoplossingen. U kunt ook de overwegingen van de resourceorganisatie evalueren om te begrijpen hoe de inschrijving kan worden georganiseerd in beheergroepen, abonnementen en resourcegroepen.

Ontwerpoverwegingen

De meeste klanten identificeren hun primaire Microsoft Entra-tenant als hun Kubernetes RBAC-tenant (op rollen gebaseerd toegangsbeheer). Kubernetes biedt echter verschillende uitbreidingen van RBAC-beheer. Er zijn situaties waarin u mogelijk een andere Kubernetes RBAC Microsoft Entra-tenant wilt instellen vanuit de tenant, die de identiteit voor de landingszone regelt. Dit kan leiden tot een aantal specifieke overwegingen bij het maken van Azure-landingszones voor AKS. Hier volgen indicatoren die u kunnen leiden tot het overwegen van deze alternatieve benadering voor tenanttoewijzing:

  • Wordt de landingszone of Kubernetes-hosts gebruikt als onderdeel van de clean-room-ontwikkeling?
  • Zijn er verhoogde nalevingsvereisten, waarmee scheiding van taken wordt opgegeven tussen de personen die de host gebruiken en de accounts die de landingszoneomgeving gebruiken?
  • Is er in een centraal beheerde omgeving met meerdere hosts in één landingszone behoefte aan uitgebreide straalbesturing voor gecompromitteerde identiteiten?

Het beheren van meerdere Microsoft Entra-tenants heeft een kosten voor beheer die moeten worden afgewogen tegen de voordelen van een dergelijke topologie. Er zijn zelden gevallen met meerdere tenants die deel uitmaken van een Aanbeveling van Microsoft. Maar de bovenstaande vragen kunnen duiden op een noodzaak om deze optie te overwegen.