Compartir a través de

Consideraciones sobre la facturación de Azure y el inquilino de Active Directory para AKS (opcional)

  • Artículo

La inscripción empresarial no es un requisito para el acelerador de zonas de aterrizaje de AKS. Para la mayoría de las implementaciones de clientes, los procedimientos recomendados estándar en torno a la inscripción empresarial y los inquilinos de Active Directory no se modifican al implementar zonas de aterrizaje de Azure para AKS. Apenas existen consideraciones o recomendaciones específicas que puedan afectar a las decisiones de inscripción empresarial o inquilinos de Active Directory. Consulte las siguientes consideraciones para determinar si los requisitos de AKS afectarían a las decisiones de inquilino existentes.

Sin embargo, podría ser importante comprender las decisiones tomadas anteriormente por el equipo de la plataforma en la nube para conocer las decisiones sobre inscripción empresarial o inquilinos de Active Directory existentes.

También puede revisar las consideraciones sobre la administración de identidades y acceso para comprender cómo se aplica el inquilino de Active Directory en el diseño de soluciones de autenticación y autorización. También puede evaluar las consideraciones sobre la organización de recursos para comprender cómo se puede organizar la inscripción en grupos de administración, suscripciones y grupos de recursos.

Consideraciones de diseño

La mayoría de los clientes identificarán su inquilino de Microsoft Entra principal como su inquilino de control de acceso basado en rol (RBAC) de Kubernetes de Microsoft Entra. No obstante, Kubernetes permite diferentes elevaciones de la administración de RBAC. Hay situaciones en las que es posible que desee establecer un inquilino de control de acceso basado en rol (RBAC) de Kubernetes de Microsoft Entra distinto del inquilino, que controla la identidad de la zona de aterrizaje. Esto puede dar lugar a algunas consideraciones específicas al establecer zonas de aterrizaje de Azure para AKS. Los siguientes son indicadores que pueden llevar a considerar este enfoque alternativo para la asignación de inquilinos:

  • ¿Se usarán la zona de aterrizaje o los hosts de Kubernetes como parte del desarrollo en sala limpia?
  • ¿Existen requisitos de cumplimiento mayores, que especifiquen la separación de obligaciones entre las personas que operan el host y las cuentas que operan en el entorno de la zona de aterrizaje?
  • En un entorno administrado centralmente con varios hosts en una sola zona de aterrizaje, ¿es necesario un mayor control del radio de impacto para las identidades comprometidas?

La administración de varios inquilinos de Microsoft Entra tiene un costo de administración que se debe sopesar con respecto a las ventajas obtenidas de dicha topología. Existen pocos casos en los que varios inquilinos formen parte de una recomendación de Microsoft. Sin embargo, las preguntas anteriores podrían indicar la necesidad de considerar esta opción.