Överväganden för Azure-fakturering och Active Directory-klientorganisation för AKS (valfritt)

  • Artikel

Företagsregistrering är inte ett krav för AKS-landningszonacceleratorn. För de flesta kundimplementeringar ändras standardmetodtipsen för företagsregistrering och Active Directory-klientorganisationer när du distribuerar Azure-landningszoner för AKS. Det finns sällan specifika överväganden eller rekommendationer som skulle påverka beslut om företagsregistrering eller Active Directory-klientorganisation. Se följande överväganden för att avgöra om AKS-kraven skulle påverka befintliga klientbeslut.

Det kan dock vara viktigt att förstå alla beslut som tidigare fattats av molnplattformsteamet för att vara medvetna om befintliga beslut om företagsregistrering eller Active Directory-klientorganisation.

Du kanske också vill granska övervägandena för identitets- och åtkomsthantering för att förstå hur Active Directory-klientorganisationen tillämpas i utformningen av autentiserings- och auktoriseringslösningar . Du kanske också vill utvärdera resursorganisationens överväganden för att förstå hur registreringen kan organiseras i hanteringsgrupper, prenumerationer och resursgrupper.

Tips för utformning

De flesta kunder identifierar sin primära Microsoft Entra-klientorganisation som sin Rollbaserade Åtkomstkontroll för Kubernetes (RBAC) Microsoft Entra-klientorganisation. Kubernetes tillåter dock olika utökade RBAC-hanteringsfunktioner. Det finns situationer där du kanske vill upprätta en annan Kubernetes RBAC Microsoft Entra-klientorganisation från klientorganisationen, som styr identiteten för landningszonen. Detta kan leda till vissa specifika överväganden när du upprättar Azure-landningszoner för AKS. Följande är indikatorer som kan leda till att du överväger den här alternativa metoden för klienttilldelning:

  • Kommer landningszonen eller Kubernetes-värdarna att användas som en del av utvecklingen av renrum?
  • Finns det ökade efterlevnadskrav som anger uppdelning av uppgifter mellan de personer som driver värden och de konton som driver landningszonens miljö?
  • Finns det något behov av utökad kontroll av explosionsradie för komprometterade identiteter i en centralt hanterad miljö med flera värdar i en enda landningszon?

Att hantera flera Microsoft Entra-klienter medför en hanteringskostnad som måste vägas mot fördelarna med en sådan topologi. Det finns sällan fall där flera klienter skulle vara en del av någon Microsoft-rekommendation. Men ovanstående frågor kan tyda på ett behov av att överväga det här alternativet.