Gouvernance des coûts de Kubernetes avec Azure Arc

La gouvernance des coûts est le processus continu d’implémentation de stratégies visant à contrôler les coûts des services que vous utilisez dans Azure. Ce document fournit des informations et des recommandations sur la gouvernance des coûts que vous devez garder à l’esprit lorsque vous utilisez Kubernetes avec Azure Arc.

Coût de Kubernetes avec Azure Arc

Kubernetes avec Azure Arc propose deux types de services :

• La fonctionnalité de plan de contrôle Azure Arc, qui est fournie sans frais supplémentaires et offre les avantages suivants :

  • Organisation des ressources par le biais des groupes d’administration et des étiquettes Azure.
  • Recherche et indexation via Azure Resource Graph.
  • Contrôle d’accès via le contrôle d’accès en fonction du rôle Azure (RBAC) au niveau de l’abonnement ou du groupe de ressources.
  • Automatisation grâce aux modèles et aux extensions.

• Les services Azure associés à Kubernetes avec Azure Arc engendrent des coûts liés à leur utilisation. Ces services comprennent :

  • Configuration de Kubernetes GitOps
  • Azure Policy pour Kubernetes
  • Azure Monitor Container Insights
  • Microsoft Defender pour les conteneurs
  • Microsoft Sentinel
  • Azure Key Vault

Notes

La facturation des services Azure associés à Kubernetes avec Azure Arc est identique à celle d’Azure Kubernetes Service.

Notes

Si votre cluster Kubernetes avec Azure Arc se trouve sur AKS sur Azure Stack HCI, la configuration de Kubernetes GitOps est incluse sans frais supplémentaires.

Remarques relatives à la conception

• Gouvernance : définissez pour vos clusters hybrides un plan de gouvernance qui se traduit par des stratégies Azure, des étiquettes, des normes d’attribution de noms et des contrôles de privilèges minimum.

• Azure Monitor Container Insights : Azure Monitor Container Insights fournit une visibilité sur les données de télémétrie en collectant les métriques de performance à partir des contrôleurs, des nœuds et des conteneurs disponibles dans Kubernetes via l’API Métriques. Les journaux d’activité de conteneur sont aussi collectés. La facturation repose sur l’ingestion, la conservation et l’exportation des données.

• Microsoft Defender pour le cloud :deux modes sont disponibles :

  Sans fonctionnalités de sécurité renforcée (gratuit) - Microsoft Defender pour le cloud est activé gratuitement sur tous vos abonnements Azure lorsque vous visitez le tableau de bord de protection des charges de travail pour la première fois sur le portail Azure, ou si vous l’activez par programmation via l’API. Ce mode gratuit vous donne accès au niveau de sécurité et aux fonctionnalités associées : stratégie de sécurité, évaluation continue de la sécurité et recommandations de sécurité actionnables pour vos ressources Azure.

  Avec toutes les fonctionnalités de sécurité renforcée (payant) : l’activation de la sécurité renforcée de Microsoft Defender pour le cloud étend les fonctionnalités du mode gratuit aux charges de travail exécutées dans des clouds privés et publics, pour une gestion unifiée de la sécurité et une protection contre les menaces sur l’ensemble des charges de travail cloud hybrides.

• Configuration de Kubernetes GitOps : la fonctionnalité Configuration de Kubernetes GitOps permet la gestion de la configuration et le déploiement d’applications à l’aide de GitOps. Les administrateurs peuvent déclarer la configuration de leur cluster et leurs applications dans Git. Les équipes de développement peuvent alors utiliser des demandes de tirage et d’autres outils qu’elles connaissent bien (Azure Pipelines, Git, manifestes Kubernetes, graphiques Helm) pour déployer facilement des applications dans des clusters Kubernetes avec Azure Arc et effectuer des mises à jour en production. La facturation est mensuelle et repose sur le nombre de processeurs virtuels/heure de votre cluster. Des frais uniques s’appliquent aux clusters pour la gestion de la configuration, quel que soit le nombre de référentiels connectés.

  Notes

  Les clusters peuvent fonctionner sans connexion constante à Azure. Lorsqu’ils sont déconnectés, les frais engendrés par chaque cluster dépendent du dernier nombre connu de processeurs virtuels inscrits auprès d’Azure Arc. Tant que votre cluster est connecté à Azure, le nombre de processeurs virtuels est mis à jour toutes les 5 minutes. Les six premiers processeurs virtuels de chaque cluster sont inclus gratuitement.

  Si votre cluster est déconnecté d’Azure et que vous ne souhaitez pas être facturé pour les configurations Kubernetes, vous pouvez supprimer celles-ci.

• Azure Policy pour Kubernetes : Azure Policy pour Kubernetes étend Gatekeeper v3, qui est webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mises en œuvre et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. Azure Policy vous permet de gérer vos clusters Kubernetes et de générer des rapports sur leur état de conformité à partir d’un seul emplacement. Aucuns frais ne s’appliquent actuellement à Azure Policy pour Kubernetes dans le cadre de la préversion publique.

• Microsoft Sentinel : Microsoft Sentinel fournit une analytique de sécurité intelligente dans toute votre entreprise. Les données d’analyse sont stockées dans un espace de travail Azure Monitor Log Analytics. Microsoft Sentinel est facturé en fonction du volume de données ingérées pour l’analyse dans Microsoft Sentinel et stocké dans l’espace de travail Azure Monitor Log Analytics pour vos clusters Kubernetes avec Azure Arc.

• Azure Key Vault : le fournisseur Azure Key Vault pour le pilote CSI du magasin de secrets permet d’intégrer Azure Key Vault comme magasin de secrets à un cluster Kubernetes via un volume CSI. Azure Key Vault est facturé en fonction des opérations effectuées sur les certificats, les clés et les secrets.

Recommandations de conception

Les sections suivantes contiennent des recommandations de conception pour la gouvernance des coûts de Kubernetes avec Azure Arc.

Notes

Les informations de tarification présentées dans les captures d’écran sont des exemples fournis à des fins de démonstration de la Calculatrice Azure et ne reflètent pas les informations de tarification réelles que vous pourriez voir dans vos propres déploiements Azure Arc.

Gouvernance

• Consultez les recommandations relatives au domaine de conception critique de l’organisation des ressources et des disciplines de gouvernance pour implémenter une stratégie de gouvernance, organiser vos ressources afin d’améliorer le contrôle et la visibilité des coûts, et éviter les frais inutiles en utilisant le modèle d’accès avec privilège minimal pour l’intégration et la gestion.

Azure Monitor pour conteneurs

• Examinez le domaine de conception critique de la gestion et de la surveillance pour planifier votre stratégie de surveillance et déterminer vos besoins en matière de surveillance des clusters Kubernetes avec Azure Arc afin d’optimiser les coûts.

• Consultez la tarification d’Azure Monitor pour les conteneurs.

• Utilisez la Calculatrice de prix Azure afin d’obtenir une estimation des coûts de surveillance de Kubernetes avec Azure Arc pour l’ingestion, les alertes et les notifications Azure Log Analytics.

  

  

• Utilisez Microsoft Cost Management pour voir les coûts d’Azure Monitor pour les conteneurs.

  

• Utilisez la solution Log Analytics Workspace Insights pour obtenir des insights sur les clusters Azure Kubernetes surveillés, les journaux collectés et leur taux d’intégration afin d’éviter les coûts d’ingestion inutiles.

  

• Utilisez les classeurs Azure Monitor intégrés pour examiner les données de surveillance facturables de vos clusters.

  

• Consultez Conseils pour réduire le volume de données d’ingestion de Log Analytics afin de configurer correctement l’ingestion des données.

• Déterminez la durée de conservation des données dans Log Analytics. Les données ingérées dans l’espace de travail Log Analytics peuvent être conservées sans frais supplémentaires pendant les 31 premiers jours. Tenez compte des besoins généraux lorsque vous configurez la conservation par défaut au niveau de l’espace de travail Log Analytics, ainsi que des besoins spécifiques lorsque vous configurez la conservation des données par type de données, qui peut être d’à peine quatre jours. Par exemple, il n’est peut-être pas nécessaire de conserver les données de performances très longtemps, contrairement aux journaux de sécurité.

• Pour conserver les données au-delà de 730 jours, vous devrez envisager d’avoir recours à une exportation des données de l’espace de travail Log Analytics.

• N’hésitez pas à utiliser la tarification par Niveau d’engagement basée sur votre volume de données ingérées.

Microsoft Defender pour le cloud (anciennement connu sous le nom d’Azure Security Center)

• Examinez le domaine de conception critique de la sécurité, de la gouvernance et de la conformité afin d’apprendre à utiliser Microsoft Defender pour le cloud pour protéger et sécuriser vos clusters Kubernetes avec Azure Arc.
• Consultez Informations sur la tarification de Microsoft Defender pour les conteneurs.
• Pensez à déployer le classeur d’estimation des coûts de Microsoft Defender pour les conteneurs afin d’estimer le coût de la protection de vos clusters Kubernetes avec Azure Arc à l’aide de Microsoft Defender pour les conteneurs.

Configuration de Kubernetes GitOps

• Consultez Tarification de la configuration de Kubernetes GitOps.

• Examinez le domaine de conception critique du flux de travail CI/CD afin de découvrir les meilleures pratiques et recommandations en matière de gestion et de surveillance de la configuration de Kubernetes GitOps sur vos clusters Kubernetes avec Azure Arc.

• Utilisez Azure Policy pour Kubernetes pour appliquer et garantir une configuration cohérente sur tous vos clusters Kubernetes avec Azure Arc.

• Utilisez les requêtes Azure Resource Graph pour examiner le nombre de cœurs dont vous disposez pour les clusters Kubernetes avec Azure Arc et estimer le coût de l’activation de la configuration de Kubernetes GitOps.

  Resources
  | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount)
  | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount
  | where type =~ 'Microsoft.Kubernetes/connectedClusters'
  | order by TotalCoreCount
  

• Utilisez Microsoft Cost Management pour connaître les coûts de configuration de Kubernetes GitOps.

  

Azure Policy pour Kubernetes

• Consultez Tarification d’Azure Policy pour Kubernetes.
• Examinez le domaine de conception critique de la sécurité, de la gouvernance et de la conformité pour découvrir les meilleures pratiques et recommandations en matière d’implémentation d’Azure Policy pour Kubernetes. Voici quelques-unes des meilleures pratiques :
  • Application de l’étiquetage pour une meilleure visibilité des coûts à l’échelle des clusters
  • Application de la configuration de Kubernetes GitOps
  • Contrôle de l’activation des services Azure

Microsoft Sentinel

• Consultez la Tarification de Microsoft Sentinel.
• Utilisez la Calculatrice de prix Azure afin d’estimer les coûts de Microsoft Sentinel pour votre organisation.

• Utilisez Microsoft Sentinel Cost Management + Billing pour connaître les coûts d’analyse de Microsoft Sentinel.

  

• Examinez les coûts de conservation des données pour les données ingérées dans l’espace de travail Log Analytics utilisé par Microsoft Sentinel.

• Filtrez le niveau approprié de journaux et d’événements pour que vos clusters Kubernetes avec Azure Arc soient collectés dans l’espace de travail Log Analytics.

• Utilisez des requêtes Log Analytics et le classeur Rapport sur l’utilisation de l’espace de travail pour connaître vos tendances d’ingestion de données.

• Créez un playbook de gestion des coûts pour envoyer des notifications si votre espace de travail Microsoft Sentinel dépasse votre budget.

• Microsoft Sentinel s’intègre à d’autres services Azure pour offrir des capacités améliorées. Consultez les détails de tarification de ces services.

• N’hésitez pas à utiliser la tarification par Niveau d’engagement basée sur votre volume de données ingérées.

• Envisagez de séparer les données opérationnelles hors sécurité dans un autre espace de travail Azure Log Analytics.

Azure Key Vault

• Consultez la Tarification d’Azure Key Vault.

• Consultez les recommandations relatives à la sécurité et à la gouvernance afin de savoir comment utiliser Azure Key Vault pour gérer les secrets et les certificats sur vos clusters Kubernetes avec Azure Arc.

• Utilisez les insights Azure Key Vault pour surveiller les opérations des secrets.

  

Étapes suivantes

Pour plus d’informations sur votre parcours cloud hybride et multicloud, consultez les articles suivants :

• Passez en revue les prérequis pour Kubernetes avec Azure Arc.
• Passez en revue les distributions Kubernetes validées pour Kubernetes avec Azure Arc.
• Apprenez à Gérer des environnements hybrides et multicloud.
• Découvrez des scénarios automatisés de Kubernetes avec Azure Arc grâce à Azure Arc Jumpstart.
• En savoir plus sur Azure Arc via le Parcours d’apprentissage Azure Arc.
• Passez en revue les meilleures pratiques et recommandations du Cloud Adoption Framework pour gérer efficacement vos coûts cloud.
• Consultez les Questions fréquentes (FAQ) sur Azure Arc pour trouver des réponses aux questions les plus courantes.