Megosztás a következőn keresztül:

Az Azure számlázási és Active Directory-bérlői szempontjai az AKS-hez (nem kötelező)

  • Cikk

A vállalati regisztráció nem követelmény az AKS célzónagyorsítójához. A legtöbb ügyfél-implementáció esetében a vállalati regisztráció és az Active Directory-bérlők általános ajánlott eljárásai nem változnak az Azure-beli kezdőzónák AKS-hez való telepítésekor. Ritkán vannak olyan konkrét szempontok vagy javaslatok, amelyek hatással lennének a vállalati regisztrációra vagy az Active Directory-bérlői döntésekre. Tekintse meg az alábbi szempontokat annak meghatározásához, hogy az AKS-követelmények hatással lennének-e a meglévő bérlői döntésekre.

Fontos lehet azonban megérteni a felhőplatform-csapat által korábban hozott döntéseket, hogy tisztában legyenek a meglévő vállalati regisztrációval vagy az Active Directory-bérlői döntésekkel.

Érdemes lehet áttekinteni az identitás- és hozzáférés-kezelési szempontokat is, hogy megértse, hogyan alkalmazza az Active Directory-bérlőt a hitelesítési és engedélyezési megoldások tervezése során. Érdemes lehet kiértékelni az erőforrás-szervezési szempontokat is, hogy megértse, hogyan rendezhető a regisztráció felügyeleti csoportokba, előfizetésekbe és erőforráscsoportokba.

Kialakítási szempontok

A legtöbb ügyfél a Kubernetes szerepköralapú hozzáférés-vezérlési (RBAC) Microsoft Entra-bérlőjeként azonosítja az elsődleges Microsoft Entra-bérlőt. A Kubernetes azonban lehetővé teszi az RBAC-felügyelet különböző emeléseit. Előfordulhat, hogy a bérlőtől eltérő Kubernetes RBAC Microsoft Entra-bérlőt szeretne létrehozni, amely a célzóna identitását szabályozza. Ez az Azure-beli kezdőzónák AKS-hez való létrehozásakor bizonyos szempontokhoz vezethet. Az alábbiakban olyan mutatókat mutatunk, amelyek alapján megfontolhatja a bérlői hozzárendelés alternatív megközelítését:

  • A célzóna vagy a Kubernetes-gazdagépek a tisztatér-fejlesztés részeként lesznek használatban?
  • Vannak-e fokozott megfelelőségi követelmények, amelyek meghatározzák a feladatok elkülönítését a gazdagépet üzemeltető személyek és a célzóna-környezetet üzemeltető fiókok között?
  • Egy központilag felügyelt környezetben, amelyben több gazdagép található egyetlen célzónában, szükség van-e kiterjesztett sugárvezérlésre a sérült identitások esetében?

Több Microsoft Entra-bérlő kezelése olyan felügyeleti költséggel jár, amelyet mérlegelni kell az ilyen topológia előnyeivel. Ritkán fordul elő, hogy több bérlő is része lenne a Microsoft javaslatainak. A fenti kérdések azonban azt jelezhetik, hogy meg kell fontolni ezt a lehetőséget.