Zásady správného řízení nákladů pro Kubernetes s podporou Služby Azure Arc

Zásady správného řízení nákladů jsou průběžným procesem implementace zásad pro řízení nákladů na služby, které používáte v Azure. Tento dokument obsahuje důležité informace o zásadách správného řízení nákladů a doporučení, které byste měli mít na paměti při používání Kubernetes s podporou Azure Arc.

Náklady na Kubernetes s podporou Azure Arc

Kubernetes s podporou Azure Arc poskytuje dva typy služeb:

• Funkce řídicí roviny Azure Arc, která je poskytována bez dalších poplatků a zahrnuje:

  • Organizace prostředků prostřednictvím skupin pro správu a značek Azure
  • Vyhledávání a indexování prostřednictvím Azure Resource Graphu
  • Řízení přístupu prostřednictvím řízení přístupu na základě role v Azure (RBAC) na úrovni předplatného nebo skupiny prostředků.
  • Automatizace prostřednictvím šablon a rozšíření

• Služby Azure používané společně s Kubernetes s podporou Azure Arc účtují náklady podle jejich využití. Jsou to například tyto služby:

  • Konfigurace Kubernetes GitOps
  • Azure Policy pro Kubernetes
  • Azure Monitor Container Insights
  • Microsoft Defender for Containers
  • Microsoft Sentinel
  • Azure Key Vault

Poznámka:

Fakturace služeb Azure používaných ve spojení s Kubernetes s podporou Azure Arc je stejná jako fakturace služby Azure Kubernetes Service.

Poznámka:

Pokud je váš cluster Kubernetes s podporou Služby Azure Arc v AKS ve službě Azure Stack HCI, konfigurace Kubernetes GitOps se bez dalších poplatků zahrne.

Aspekty návrhu

• Zásady správného řízení: Definujte plán zásad správného řízení pro vaše hybridní clustery, který se překládá na zásady Azure, značky, standardy pojmenování a ovládací prvky s nejnižšími oprávněními.

• Azure Monitor Container Insights: Azure Monitor Container Insights poskytuje přehled telemetrie shromažďováním metrik výkonu z kontrolerů, uzlů a kontejnerů dostupných v Kubernetes prostřednictvím rozhraní API metrik. Shromažďují se také protokoly kontejnerů. To se účtuje příjmem, uchováváním a exportem dat.

• Microsoft Defender for Cloud: Microsoft Defender for Cloud se nabízí ve dvou režimech:

  Bez vylepšených funkcí zabezpečení (Free) - Microsoft Defender for Cloud je povolený zdarma pro všechna předplatná Azure, když poprvé navštívíte řídicí panel ochrany úloh na webu Azure Portal nebo pokud ho povolíte prostřednictvím kódu programu prostřednictvím rozhraní API. Tento bezplatný režim poskytuje bezpečnostní skóre a související funkce: zásady zabezpečení, průběžné hodnocení zabezpečení a doporučení k zabezpečení pro vaše prostředky Azure s možností akcí.

  Díky všem rozšířeným funkcím zabezpečení (placeným) – Povolení rozšířeného zabezpečení v programu Microsoft Defender pro cloud rozšiřuje možnosti bezplatného režimu na úlohy běžící v privátních a jiných veřejných cloudech a poskytuje jednotnou správu zabezpečení a ochranu před hrozbami napříč hybridními cloudovými úlohami.

• Konfigurace Kubernetes GitOps: Konfigurace Kubernetes GitOps zajišťuje správu konfigurace a nasazení aplikací pomocí GitOps. Správci můžou deklarovat konfiguraci clusteru a aplikace v Gitu. Vývojové týmy pak můžou k snadnému nasazování aplikací do clusterů Kubernetes s podporou Azure Arc a provádění aktualizací v produkčním prostředí používat žádosti o přijetí změn a další nástroje, které jsou známé (existující manifesty Azure Pipelines, Git, Manifesty Kubernetes, Helm). Fakturace se účtuje měsíčně a je založená na počtu vCPU za hodinu ve vašem clusteru. Clustery účtují za správu konfigurace jednu platbu bez ohledu na to, kolik úložišť je připojených.

  Poznámka:

  Clustery mohou fungovat bez trvalého připojení k Azure. Při odpojení se poplatky za jednotlivé clustery určují na základě posledního známého počtu virtuálních procesorů zaregistrovaných ve službě Azure Arc. Počet vCPU se aktualizuje každých 5 minut, když je cluster připojený k Azure. Prvních 6 vCPU každého clusteru je zahrnuto bez poplatků.

  Pokud se váš cluster odpojí od Azure a nechcete se účtovat za konfigurace Kubernetes, můžete tyto konfigurace odstranit.

• Azure Policy pro Kubernetes: Azure Policy pro Kubernetes rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby se v clusterech použily vynucování ve velkém měřítku a bezpečnostní opatření centralizovaným a konzistentním způsobem. Azure Policy umožňuje spravovat a hlásit stav dodržování předpisů clusterů Kubernetes z jednoho místa. Služba Azure Policy pro Kubernetes v současné době nemá žádné náklady ve verzi Public Preview.

• Microsoft Sentinel: Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení ve vašem podniku. Data pro analýzu se ukládají v pracovním prostoru služby Azure Monitor Log Analytics. Služba Microsoft Sentinel se účtuje na základě objemu přijatých dat pro analýzu v Microsoft Sentinelu a ukládá se do pracovního prostoru služby Azure Monitor Log Analytics pro clustery Kubernetes s podporou Služby Azure Arc.

• Azure Key Vault: Zprostředkovatel služby Azure Key Vault pro ovladač CSI úložiště tajných kódů umožňuje integraci služby Azure Key Vault jako úložiště tajných kódů s clusterem Kubernetes prostřednictvím svazku CSI. Služba Azure Key Vault se fakturuje operacemi prováděnými s certifikáty, klíči a tajnými klíči.

Doporučení k návrhu

Následující části obsahují doporučení návrhu pro zásady správného řízení nákladů Kubernetes s podporou Azure Arc.

Poznámka:

Informace o cenách zobrazené na zadaných snímcích obrazovky jsou příklady a poskytují se, aby bylo možné demonstrovat kalkulačku Azure a neodráží skutečné informace o cenách, které se můžou zobrazit ve vlastních nasazeních Azure Arc.

Řízení

• Projděte si doporučení v oblasti návrhu organizace prostředků a disciplín zásad správného řízení a implementujte strategii zásad správného řízení, uspořádejte prostředky pro lepší kontrolu nákladů a viditelnost a vyhněte se zbytečným nákladům pomocí modelu s nejnižším privilegovaným přístupem pro onboarding a správu.

Azure Monitor pro kontejnery

• Projděte si oblast pro správu a monitorování kritického návrhu a naplánujte strategii monitorování a rozhodněte se o požadavcích na monitorování clusterů Kubernetes s podporou služby Azure Arc za účelem optimalizace nákladů.

• Projděte si ceny služby Azure Monitor for Containers.

• Pomocí cenové kalkulačky Azure získáte odhad nákladů na monitorování Kubernetes s podporou Služby Azure Arc pro příjem dat, upozornění a oznámení služby Azure Log Analytics.

  

  

• Pomocí služby Microsoft Cost Management můžete zobrazit náklady služby Azure Monitor pro kontejnery.

  

• Využijte řešení Přehledy pracovního prostoru služby Log Analytics k získání přehledů o monitorovaných clusterech Azure Kubernetes, shromážděných protokolech a jejich míře integrace, abyste se vyhnuli zbytečným nákladům na příjem dat.

  

• Pomocí integrovaných sešitů Azure Monitoru můžete porozumět fakturovatelným datům monitorování clusterů.

  

• Projděte si tipy pro snížení objemu dat ingestování log Analytics, abyste mohli správně nakonfigurovat příjem dat.

• Zvažte, jak dlouho byste měli uchovávat data v Log Analytics. Data přijatá do pracovního prostoru služby Log Analytics se dají uchovávat bez dalších poplatků až do prvních 31 dnů. Při konfiguraci výchozího uchovávání a konkrétních potřeb na úrovni pracovního prostoru služby Log Analytics zvažte obecné potřeby při konfiguraci uchovávání dat podle datového typu, což může být až čtyři dny. I když se například data o výkonu můžou uchovávat jen na krátkou dobu, je často potřeba uchovávat protokoly zabezpečení déle.

• Zvažte použití exportu dat pracovního prostoru služby Log Analytics k uchovávání dat po dobu delší než 730 dnů.

• Zvažte použití cen úrovně závazku na základě objemu příjmu dat.

Microsoft Defender for Cloud (dříve Azure Security Center)

• Projděte si oblast návrhu, která je důležitá pro zabezpečení, zásady správného řízení a dodržování předpisů, abyste pochopili, jak používat Microsoft Defender pro cloud k ochraně a zabezpečení clusterů Kubernetes s podporou Azure Arc.
• Projděte si informace o cenách služby Microsoft Defender for Containers.
• Zvažte nasazení sešitu odhadu nákladů v programu Microsoft Defender for Containers, abyste porozuměli odhadům nákladů pro použití Microsoft Defenderu pro kontejnery k ochraně clusterů Kubernetes s podporou Služby Azure Arc.

Konfigurace Kubernetes GitOps

• Projděte si ceny konfigurace GitOps v Kubernetes.

• Projděte si oblast návrhu kritické pro pracovní postupy CI/CD a vyhledejte osvědčené postupy a doporučení pro správu a monitorování konfigurace Kubernetes v clusterech Kubernetes s podporou Azure Arc.

• Azure Policy pro Kubernetes můžete použít k vynucení a zajištění konzistentní konfigurace ve všech clusterech Kubernetes s podporou Azure Arc.

• Pomocí dotazů Azure Resource Graph zkontrolujte počet jader, která máte pro clustery Kubernetes s podporou Azure Arc, a odhadněte náklady na povolení konfigurace GitOps Kubernetes.

  Resources
  | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount)
  | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount
  | where type =~ 'Microsoft.Kubernetes/connectedClusters'
  | order by TotalCoreCount
  

• Využijte Microsoft Cost Management k pochopení nákladů na konfiguraci Kubernetes GitOps.

  

Azure Policy pro Kubernetes

• Projděte si ceny služby Azure Policy pro Kubernetes.
• Projděte si oblast kritického návrhu zabezpečení, zásad správného řízení a dodržování předpisů a seznamte se s osvědčenými postupy a doporučeními pro implementaci služby Azure Policy pro Kubernetes. Mezi tyto osvědčené postupy patří:
  • Vynucení označování za účelem lepší viditelnosti nákladů napříč clustery
  • Vynucení konfigurace GitOps Kubernetes
  • Řízení povolení služeb Azure

Microsoft Sentinel

• Projděte si ceny služby Microsoft Sentinel.
• Pomocí cenové kalkulačky Azure můžete odhadnout náklady na Microsoft Sentinel pro vaši organizaci.

• Využijte Microsoft Sentinel Cost Management a fakturaci , abyste porozuměli nákladům na analýzu Microsoft Sentinelu.

  

• Zkontrolujte náklady na uchovávání dat ingestované do pracovního prostoru služby Log Analytics, který Microsoft Sentinel používá.

• Vyfiltrujte správnou úroveň protokolů a událostí pro clustery Kubernetes s podporou Služby Azure Arc, které se mají shromažďovat v pracovním prostoru služby Log Analytics.

• K pochopení trendů příjmu dat použijte dotazy Log Analytics a sešit sestavy využití pracovního prostoru.

• Pokud pracovní prostor Microsoft Sentinelu překročí váš rozpočet, vytvořte playbook pro správu nákladů, který bude posílat oznámení.

• Microsoft Sentinel se integruje s dalšími službami Azure za účelem zajištění vylepšených možností. Projděte si podrobnosti o cenách těchto služeb.

• Zvažte použití cen úrovně závazku na základě objemu příjmu dat.

• Zvažte oddělení provozních dat nesouvisených se zabezpečením do jiného pracovního prostoru služby Azure Log Analytics.

Azure Key Vault

• Projděte si ceny služby Azure Key Vault.

• Projděte si doporučení týkající se zabezpečení a zásad správného řízení a zjistěte, jak můžete pomocí služby Azure Key Vault spravovat tajné kódy a certifikáty v clusterech Kubernetes s podporou Služby Azure Arc.

• Pomocí přehledů služby Azure Key Vault můžete monitorovat operace tajných kódů.

  

Další kroky

Další informace o cestě k hybridnímu a multicloudovém cloudu najdete v následujících článcích:

• Projděte si požadavky pro Kubernetes s podporou Azure Arc.
• Projděte si ověřené distribuce Kubernetes pro Kubernetes s podporou Azure Arc.
• Zjistěte, jak spravovat hybridní a multicloudová prostředí.
• Vyzkoušejte automatizované scénáře Kubernetes s podporou Služby Azure Arc pomocí jumpstartu Azure Arc.
• Další informace o Azure Arc najdete ve studijním programu Azure Arc.
• Projděte si osvědčené postupy a doporučení architektury přechodu na cloud, které vám umožní efektivně spravovat náklady na cloud.
• Odpovědi na nejčastější dotazy najdete v tématu Nejčastější dotazy s podporou služby Azure Arc.