Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O registro empresarial não é um requisito para o acelerador de zona de destino do AKS. Para a maioria das implementações de clientes, as práticas recomendadas padrão em relação ao registro empresarial e aos locatários do Entra não são alteradas ao implantar zonas de destino do Azure para o AKS. Raramente há considerações ou recomendações específicas que afetariam o registro empresarial ou as decisões de locatário da Entra. Confira as considerações a seguir para determinar se os requisitos do AKS afetariam as decisões de locatário existentes.
No entanto, pode ser importante entender todas as decisões tomadas anteriormente pela equipe da plataforma de nuvem para estar ciente do registro empresarial existente ou das decisões de locatário do Microsoft Entra.
Talvez você também queira revisar as considerações sobre gerenciamento de identidade e acesso para entender como o tenant do Entra é aplicado no design de soluções de autenticação e autorização. Talvez você também queira avaliar as considerações da organização de recursos para entender como o registro pode ser organizado em grupos de gerenciamento, assinaturas e grupos de recursos.
Considerações sobre o design
A maioria dos clientes identificará seu locatário principal do Microsoft Entra como seu locatário do RbaC (controle de acesso baseado em função) do Kubernetes. No entanto, o Kubernetes permite diferentes elevações do gerenciamento de RBAC. Há situações em que talvez você queira estabelecer um locatário do RBAC do Kubernetes no Microsoft Entra diferente do locatário que governa a identidade da zona de destino. Isso pode levar a algumas considerações específicas ao estabelecer zonas de destino do Azure para o AKS. Veja a seguir os indicadores que podem levar você a considerar essa abordagem alternativa à atribuição de locatário:
- Os hosts da zona de pouso ou do Kubernetes serão usados como parte do desenvolvimento em ambiente controlado?
- Há requisitos de conformidade aprimorados, que especificam a separação de tarefas entre as pessoas que operam o host e as contas que operam o ambiente da zona de destino?
- Em um ambiente gerenciado centralmente com vários hosts em uma única zona de destino, há a necessidade de um controle de raio de explosão estendido para identidades comprometidas?
O gerenciamento de vários locatários do Microsoft Entra tem um custo de gerenciamento que deve ser ponderado em relação aos benefícios obtidos com essa topologia. Raramente, há casos com vários locatários que fazem parte de qualquer recomendação da Microsoft. Mas as perguntas acima podem indicar a necessidade de considerar essa opção.