Compartilhar via

Considerações sobre cobrança do Azure e locatário do Active Directory para AKS (opcional)

  • Artigo

O registro empresarial não é um requisito para o acelerador de zona de destino do AKS. Para a maioria das implementações do cliente, as melhores práticas padrão em torno do registro empresarial e dos locatários do Active Directory permanecem inalteradas quando da implantação de zonas de destino do Azure para o AKS. Raramente há considerações ou recomendações específicas que afetariam o registro empresarial ou as decisões de locatário do Active Directory. Confira as considerações a seguir para determinar se os requisitos do AKS afetariam as decisões de locatário existentes.

No entanto, pode ser importante entender as decisões tomadas anteriormente pela equipe de plataforma de nuvem para estar ciente das decisões sobre registro empresarial ou sobre locatário do Active Directory existentes.

Talvez você também queira revisar as considerações sobre gerenciamento de identidade e acesso para entender como o locatário do Active Directory é aplicado no design de soluções de autenticação e autorização. Talvez você também queira avaliar as considerações sobre organização de recursos para entender como o registro pode ser organizado em grupos de gerenciamento, assinaturas e grupos de recursos.

Considerações sobre o design

A maioria dos clientes identificará seu locatário principal do Microsoft Entra como seu locatário do Microsoft Entra do RBAC (controle de acesso baseado em função) do Kubernetes. Mas, o Kubernetes permite diferentes elevações do gerenciamento de RBAC. Há situações em que talvez você queira estabelecer um locatário do Kubernetes RBAC Microsoft Entra diferente do locatário, que governa a identidade para a zona de aterrissagem. Isso pode levar a algumas considerações específicas ao estabelecer zonas de destino do Azure para AKS. Veja a seguir os indicadores que podem levá-lo a considerar essa abordagem alternativa para a atribuição de locatário:

  • A zona de destino ou os hosts de Kubernetes serão usados como parte do desenvolvimento de sala livre?
  • Existem requisitos de conformidade superiores, que especificam a separação de tarefas entre as pessoas que operam o host e as contas que operam o ambiente de zona de destino?
  • Em um ambiente gerenciado centralmente com vários hosts em uma única zona de destino, há a necessidade de controle de raio de impacto estendido para identidades comprometidas?

O gerenciamento de vários locatários do Microsoft Entra tem um custo de gerenciamento que deve ser pesado em relação aos benefícios obtidos com essa topologia. Existem casos esporádicos com vários locatários que fariam parte de qualquer recomendação da Microsoft. Mas as perguntas acima poderiam indicar a necessidade de considerar essa opção.