Partilhar via

Considerações sobre cobrança do Azure e locatário do Ative Directory para AKS (opcional)

  • Artigo

O registro corporativo não é um requisito para o acelerador de zona de pouso AKS. Para a maioria das implementações de clientes, as práticas recomendadas padrão em torno do registro corporativo e dos locatários do Ative Directory permanecem inalteradas ao implantar zonas de aterrissagem do Azure para AKS. Raramente há considerações ou recomendações específicas que possam afetar o registro corporativo ou as decisões de locatário do Ative Directory. Consulte as considerações a seguir para determinar se os requisitos do AKS afetariam as decisões existentes do locatário.

No entanto, pode ser importante entender todas as decisões tomadas anteriormente pela equipe da plataforma de nuvem para estar ciente das decisões existentes de inscrição corporativa ou locatário do Ative Directory.

Você também pode querer examinar as considerações de gerenciamento de identidade e acesso para entender como o locatário do Ative Directory é aplicado no design de soluções de autenticação e autorização. Você também pode querer avaliar as considerações da organização de recursos para entender como o registro pode ser organizado em grupos de gerenciamento, assinaturas e grupos de recursos.

Considerações de design

A maioria dos clientes identificará seu locatário principal do Microsoft Entra como seu locatário do Microsoft Entra de controle de acesso baseado em função (RBAC) do Kubernetes. Mas, o Kubernetes permite diferentes elevações de gerenciamento RBAC. Há situações em que você pode querer estabelecer um locatário do Kubernetes RBAC Microsoft Entra diferente do locatário, que governa a identidade para a zona de destino. Isso pode levar a algumas considerações específicas ao estabelecer zonas de aterrissagem do Azure para o AKS. A seguir estão indicadores que podem levá-lo a considerar essa abordagem alternativa para a atribuição de locatário:

  • A zona de pouso ou os hosts do Kubernetes serão usados como parte do desenvolvimento de salas limpas?
  • Existem requisitos de conformidade reforçados, que especificam a separação de funções entre as pessoas que operam o anfitrião e as contas que operam o ambiente da zona de desembarque?
  • Em um ambiente gerenciado centralmente com vários hosts em uma única zona de pouso, há necessidade de controle estendido do raio de explosão para identidades comprometidas?

O gerenciamento de vários locatários do Microsoft Entra tem um custo de gerenciamento que deve ser ponderado em relação aos benefícios obtidos com essa topologia. Raramente há casos em que vários locatários fariam parte de qualquer recomendação da Microsoft. Mas as perguntas acima podem indicar a necessidade de considerar esta opção.