Udostępnij za pośrednictwem

Zagadnienia dotyczące rozliczeń platformy Azure i dzierżawy usługi Active Directory dla usługi AKS (opcjonalnie)

  • Artykuł

Rejestracja w przedsiębiorstwie nie jest wymagana dla akceleratora strefy docelowej usługi AKS. W przypadku większości implementacji klientów standardowe najlepsze rozwiązania dotyczące rejestracji przedsiębiorstwa i dzierżaw usługi Active Directory są niezmienione podczas wdrażania stref docelowych platformy Azure dla usługi AKS. Rzadko istnieją konkretne zagadnienia lub zalecenia, które miałyby wpływ na rejestrację przedsiębiorstwa lub decyzje dotyczące dzierżawy usługi Active Directory. Zapoznaj się z poniższymi zagadnieniami, aby ustalić, czy wymagania dotyczące usługi AKS będą miały wpływ na istniejące decyzje dotyczące dzierżawy.

Jednak ważne może być zrozumienie wszelkich decyzji podjętych wcześniej przez zespół ds. platformy w chmurze, aby pamiętać o istniejącej rejestracji przedsiębiorstwa lub decyzjach dotyczących dzierżawy usługi Active Directory.

Warto również zapoznać się z zagadnieniami dotyczącymi zarządzania tożsamościami i dostępem, aby zrozumieć, jak dzierżawa usługi Active Directory jest stosowana w projektowaniu rozwiązań uwierzytelniania i autoryzacji. Warto również ocenić zagadnienia dotyczące organizacji zasobów, aby zrozumieć, w jaki sposób rejestracja może być zorganizowana w grupy zarządzania, subskrypcje i grupy zasobów.

Uwagi dotyczące projektowania

Większość klientów zidentyfikuje swoją podstawową dzierżawę firmy Microsoft Entra jako dzierżawę usługi Microsoft Entra opartą na rolach (RBAC) platformy Kubernetes. Jednak platforma Kubernetes umożliwia różne podniesienie uprawnień zarządzania kontrolą dostępu opartą na rolach. Istnieją sytuacje, w których możesz chcieć ustanowić inną dzierżawę RBAC microsoft Entra platformy Kubernetes z dzierżawy, która zarządza tożsamością strefy docelowej. Może to prowadzić do pewnych konkretnych kwestii podczas ustanawiania stref docelowych platformy Azure dla usługi AKS. Poniżej przedstawiono wskaźniki, które mogą prowadzić do rozważenia tego alternatywnego podejścia do przypisania dzierżawy:

  • Czy strefa docelowa lub hosty Kubernetes będą używane w ramach opracowywania pomieszczeń czystych?
  • Czy istnieją zwiększone wymagania dotyczące zgodności, które określają rozdzielenie obowiązków między osobami obsługującymi hosta i kontami, które działają w środowisku strefy docelowej?
  • Czy w centralnie zarządzanym środowisku z wieloma hostami w jednej strefie docelowej istnieje potrzeba rozszerzonej kontroli promienia wybuchu w przypadku tożsamości, których bezpieczeństwo zostało naruszone?

Zarządzanie wieloma dzierżawami firmy Microsoft Entra wiąże się z kosztami zarządzania, które muszą być ważone z korzyściami uzyskanymi z takiej topologii. Rzadko zdarza się, że wiele dzierżaw jest częścią dowolnego zalecenia firmy Microsoft. Powyższe pytania mogą jednak wskazywać na konieczność rozważenia tej opcji.