Azure Arc 対応 Kubernetes のコスト ガバナンス

コスト ガバナンスは、Azure で使用するサービスのコストを管理するためのポリシーを実装する継続的なプロセスです。 このドキュメントでは、Azure Arc 対応 Kubernetes の使用時に留意すべきコスト ガバナンスに関する考慮事項と推奨事項について説明します。

Azure Arc 対応 Kubernetes のコスト

Azure Arc 対応 Kubernetes には 2 種類のサービスが用意されています。

• Azure Arc コントロール プレーンの機能は、追加コストなしで提供され、以下のものが含まれます。

  • Azure の管理グループとタグを使用したリソース組織。
  • Azure Resource Graph を使用した検索とインデックス作成。
  • サブスクリプションまたはリソース グループ レベルでの Azure ロールベースのアクセス制御 (RBAC) によるアクセス制御。
  • テンプレートと拡張機能を使用した自動化。

• Azure Arc 対応 Kubernetes と共に使用される Azure サービスには、その使用量に応じてコストが発生します。 次のようなサービスがあります。

  • Kubernetes GitOps の構成
  • Kubernetes 用の Azure Policy
  • Azure Monitor Container Insights
  • Microsoft Defender for Containers
  • Microsoft Sentinel
  • Azure Key Vault

Note

Azure Arc 対応 Kubernetes と組み合わせて使用される Azure サービスの課金は、Azure Kubernetes Service の課金と同様です。

注意

Azure Arc 対応 Kubernetes クラスターが AKS on Azure Stack HCI 上にある場合、Kubernetes GitOps の構成は追加料金なしで含まれます。

設計上の考慮事項

• ガバナンス: Azure のポリシー、タグ、命名規則、および最小限の特権コントロールに変換される、ハイブリッド クラスターのガバナンス プランを定義します。

• Azure Monitor Container Insights: Azure Monitor Container Insights では、Metrics API を介して Kubernetes で使用できるコントローラー、ノード、コンテナーからパフォーマンス メトリックを収集することで、テレメトリを可視化できます。 コンテナーのログも収集されます。 これは、データ インジェスト、保有期間、およびエクスポートによって課金されます。

• Microsoft Defender for Cloud: Microsoft Defender for Cloud は 2 つのモードで提供されます。

  強化されたセキュリティ機能なし (無料) - Microsoft Defender for Cloud は、Azure portal 内のワークロード保護ダッシュボードに初めてアクセスしたとき、または API を介してプログラムで有効にした場合に、すべての Azure サブスクリプションで無料で有効になります。 この無料モードでは、セキュリティ スコアとそれに関連する機能 (セキュリティ ポリシー、継続的なセキュリティ評価、Azure リソース向けの実践的なセキュリティの推奨事項) が提供されます。

  強化されたすべてのセキュリティ機能あり (有料) - Microsoft Defender for Cloud の強化されたセキュリティを有効にすると、無料モードの機能が、プライベートおよび他のパブリック クラウドで実行されるワークロードまで拡張され、ハイブリッド クラウド ワークロード全体に統合されたセキュリティ管理と脅威防止機能が提供されます。

• Kubernetes GitOps の構成: Kubernetes GitOps の構成では、GitOps を使用して構成管理とアプリケーションのデプロイが提供されます。 管理者は、Git でクラスター構成とアプリケーションを宣言できます。 開発チームは、プル要求やその他の使い慣れたツール (既存の Azure Pipelines、Git、Kubernetes マニフェスト、Helm チャート) を使用して、Azure Arc 対応 Kubernetes クラスターにアプリケーションを簡単にデプロイし、運用環境で更新を行うことができます。 課金額は毎月請求され、クラスター内の vCPU/時間の数に基づきます。 クラスターでは、接続されているリポジトリの数に関係なく、構成管理に対する単独の料金が発生します。

  Note

  クラスターは、Azure に常時接続していなくても機能できます。 切断されると、各クラスターの料金は、Azure Arc に登録されていた既知の vCPU の最新の数に基づいて決定されます。クラスターが Azure に接続されている間、vCPU の数は 5 分ごとに更新されます。 各クラスターの最初の 6 個の vCPU は、コストなしで含まれます。

  クラスターが Azure から切断されたため、Kubernetes の構成に対して課金されないようにする必要がある場合は、構成を削除できます。

• Azure Policy for Kubernetes: Azure Policy for Kubernetes では、Open Policy Agent (OPA) 用のアドミッション コントローラー Webhook である Gatekeeper v3 を拡張して、一元化された一貫した方法で、大規模な強制と保護をクラスターに適用します。 Azure Policy を使用すると、Kubernetes クラスターのコンプライアンスの状態を 1 か所から管理し、レポートすることができます。 現在、パブリック プレビュー中の Azure Policy for Kubernetes にはコストは発生しません。

• Microsoft Sentinel: Microsoft Sentinel は、インテリジェントなセキュリティ分析を企業に提供します。 その分析のデータは、Azure Monitor Log Analytics ワークスペースに格納されます。 Microsoft Sentinel の課金は、分析のために Microsoft Sentinel に取り込まれ、Azure Arc 対応 Kubernetes クラスターの Azure Monitor Log Analytics ワークスペースに格納されたデータの量に基づいて行われます。

• Azure Key Vault: シークレット ストア CSI ドライバーに Azure Key Vault プロバイダーを使用すると、CSI ボリューム経由で Azure Key Vault をシークレットのストアとして Kubernetes クラスターと統合できます。 Azure Key Vault は、証明書、キー、シークレットに対して実行された操作ごとに課金されます。

設計の推奨事項

以下のセクションでは、Azure Arc 対応 Kubernetes のコスト ガバナンスの設計に関する推奨事項について説明します。

Note

提供されているスクリーンショットで示されている料金情報は例であり、Azure Calculator のデモンストレーションのために提供されています。独自の Azure Arc デプロイで表示される可能性のある実際の料金情報を反映するものではありません。

ガバナンス

• リソースの編成とガバナンスの規範の重要な設計領域の推奨事項を確認して、ガバナンス戦略を実装し、コスト管理と可視性を向上させるためにリソースを整理し、オンボードと管理に最小限の特権アクセス モデルを使用して不要なコストを回避します。

Azure Monitor for Containers

• 管理と監視の重要な設計領域を確認して監視戦略を計画し、Azure Arc 対応 Kubernetes クラスターを監視するための要件を決定してコストを最適化します。

• Azure Monitor for Containers の価格を確認します。

• Azure Log Analytics インジェスト、アラート、通知に対する Azure Arc 対応 Kubernetes 監視コストを見積もるには、Azure 料金計算ツールを使用します。

  

  

• Microsoft Cost Management を使用して、Azure Monitor for Containers のコストを表示します。

  

• Log Analytics ワークスペース分析情報ソリューションを使用して、監視対象の Azure Kubernetes クラスター、収集されたログ、およびそれらの統合率に関する分析情報を取得し、不要なインジェスト コストを回避できます。

  

• 組み込みの Azure Monitor ブックを 使用して、クラスターの課金対象の監視データを把握します。

  

• データ インジェストを適切に構成するのに役立つ「Log Analytics インジェスト データ 量を減らすためのヒント」を確認してください。

• Log Analytics でデータを保持する必要のある期間を検討します。 Log Analytics ワークスペースに取り込まれたデータは、最初の 31 日間まで無料で保持できます。 Log Analytics ワークスペース レベルの既定の保有期間を構成する際の一般的なニーズと、データの種類別のデータ保有期間を構成する際の特定のニーズを検討します。この期間は最短 4 日にすることができます。 たとえば、パフォーマンス データは短時間しか保持する必要がないかもしれませんが、セキュリティ ログは、長く保持しなければならない場合が多いです。

• 730 日を超えてデータを保持するには、Log Analytics ワークスペースのデータのエクスポートを使用することを検討してください。

• データ インジェストの量に基づくコミットメント レベルの価格の使用を検討します。

Microsoft Defender for Cloud (以前の Azure Security Center)

• セキュリティ、ガバナンス、コンプライアンスの重要な設計領域を確認して、Microsoft Defender for Cloud を使用して Azure Arc 対応 Kubernetes クラスターを保護し、セキュリティで安全を確保する方法を理解します。
• Microsoft Defender for Containers の価格情報を確認します。
• Microsoft Defender for Containers を使用して Azure Arc 対応 Kubernetes クラスターを保護するためのコスト見積もりを把握するために、Microsoft Defender for Containers の コスト見積もりブック をデプロイすることを検討します。

Kubernetes GitOps の構成

• Kubernetes GitOps の構成の価格を確認します。

• CI/CD ワークフローの重要な設計領域を確認して、Azure Arc 対応 Kubernetes クラスターで Kubernetes GitOps の構成を管理および監視するためのベスト プラクティスと推奨事項を確認します。

• Azure Policy for Kubernetes を使用して、すべての Azure Arc 対応 Kubernetes クラスターに対して一貫した構成を適用および確保します。

• Azure Resource Graph クエリを使用して、Azure Arc 対応 Kubernetes クラスターのコア数を確認し、Kubernetes GitOps の構成を有効にするコストを見積もります。

  Resources
  | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount)
  | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount
  | where type =~ 'Microsoft.Kubernetes/connectedClusters'
  | order by TotalCoreCount
  

• Microsoft Cost Management を使用して、Kubernetes GitOps の構成のコストを把握します。

  

Kubernetes 用の Azure Policy

• Azure Policy for Kubernetes の価格を確認します。
• セキュリティ、ガバナンス、コンプライアンスの重要な設計領域を確認して、Azure Policy for Kubernetes を実装するためのベスト プラクティスと推奨事項を確認します。 これらのベスト プラクティスを次に示します。
  • クラスター全体のコストの可視性を高めるためのタグ付けを適用する
  • Kubernetes GitOps の構成を適用する
  • Azure サービスの有効化を制御する。

Microsoft Sentinel

• Microsoft Sentinel の価格を確認します。
• 組織の Microsoft Sentinel のコストを見積もるには、Azure 料金計算ツールを使用します。

• Microsoft Sentinel Cost Management and Billing を使用して、Microsoft Sentinel 分析のコストを把握します。

  

• Microsoft Sentinel で使用される Log Analytics ワークスペースに取り込まれたデータのデータ保有コストを確認します。

• Log Analytics ワークスペースで収集される、Azure Arc 対応 Kubernetes クラスターの適切なレベルのログとイベントをフィルター処理します。

• Log Analytics クエリとワークスペース使用状況レポート ブックを使用して、データ インジェストの傾向を把握します。

• Microsoft Sentinel ワークスペースが予算を超えている場合は、通知を送信するためのコスト管理プレイブックを作成します。

• Microsoft Sentinel は、強化された機能を提供するため、他の Azure サービスと統合されます。 これらのサービスの価格の詳細を確認します。

• データ インジェストの量に基づくコミットメント レベルの価格の使用を検討します。

• 別の Azure Log Analytics ワークスペースにセキュリティ以外の運用データを分離することを検討します。

Azure Key Vault

• Azure Key Vault の価格を確認します。

• セキュリティとガバナンスに関する推奨事項を確認して、Azure Key Vault を使用して Azure Arc 対応 Kubernetes クラスター上のシークレットと証明書を管理する方法を理解します。

• Azure Key Vault 分析情報を使用してシークレットの操作を監視します。

  

次の手順

ハイブリッドとマルチクラウドでのクラウドの取り組みの詳細については、次の記事を参照してください。

• Azure Arc 対応 Kubernetes の前提条件を検討します。
• Azure Arc 対応 Kubernetes の検証済み Kubernetes ディストリビューションを確認します。
• ハイブリッドおよびマルチクラウド環境を管理する方法について学習します。
• Azure Arc Jumpstart を使用して、Azure Arc 対応 Kubernetes の自動化シナリオを体験します。
• Azure Arc ラーニング パスを使用して Azure Arc の詳細を確認します。
• クラウド導入フレームワークのベスト プラクティスと推奨事項を確認して、クラウド コストを効率よく管理します。
• よく寄せられる質問に対する回答を見つけるには、よく寄せられる質問 - Azure Arc 対応に関するページを参照してください。