Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Регистрация предприятия не является обязательной для ускорителя посадочной зоны AKS. Для большинства клиентских реализаций стандартные лучшие практики в отношении корпоративной подписки и арендаторов Entra остаются неизменными при развертывании зон размещения Azure для AKS. Существуют редко особые соображения или рекомендации, которые повлияют на регистрацию предприятия или решения арендатора Entra. Ознакомьтесь со следующими рекомендациями, чтобы определить, влияют ли требования AKS к существующим решениям клиента.
Однако важно понимать любые решения, ранее принятые командой облачной платформы, чтобы узнать о существующей корпоративной регистрации или решениях клиента Microsoft Entra.
Вы можете также рассмотреть рекомендации по управлению удостоверениями и доступом, чтобы понять, как тенант Entra применяется в проектировании решений для проверки подлинности и авторизации. Также может потребоваться оценить рекомендации по организации ресурсов , чтобы понять, как регистрация может быть организована в группы управления, подписки и группы ресурсов.
Рекомендации по проектированию
Большинство клиентов определит свой основной клиент Microsoft Entra как их клиент для управления доступом на основе ролей (RBAC) для Kubernetes через Microsoft Entra. Но Kubernetes позволяет выполнять различные повышения уровня управления RBAC. Существуют ситуации, когда может потребоваться установить другого арендатора RBAC Microsoft Entra Kubernetes, отличного от арендатора, управляющего удостоверением для целевой зоны. Это может привести к некоторым конкретным соображениям при создании посадочных зон Azure для AKS. Ниже приведены индикаторы, которые могут подтолкнуть вас к рассмотрению этого альтернативного метода назначения арендатора:
- Будут ли зоны высадки или узлы Kubernetes использоваться в рамках разработки в изолированной среде?
- Существуют ли повышенные требования к соответствию, которые требуют разделения обязанностей между людьми, управляющими хост-системой, и учетными записями, управляющими средой посадочной зоны?
- В централизованно управляемой среде с несколькими узлами в одной целевой зоне требуется расширенный контроль области поражения в случае компрометации идентификационных данных?
Управление несколькими клиентами Microsoft Entra имеет управленческие издержки, которые необходимо взвешивать против преимуществ, получаемых от такой топологии. Редки случаи, когда несколько арендаторов будут частью какой-либо рекомендации Майкрософт. Но приведенные выше вопросы могут указывать на необходимость рассмотреть этот вариант.