Azure Arc 지원 Kubernetes에 대한 비용 거버넌스

비용 거버넌스는 Azure에서 사용하는 서비스의 비용을 제어하기 위해 정책을 구현하는 지속적인 프로세스입니다. 이 문서에서는 Azure Arc 지원 Kubernetes를 사용하는 동안 유의해야 할 비용 거버넌스 고려 사항 및 권장 사항을 제공합니다.

Azure Arc 지원 Kubernetes 비용

Azure Arc 지원 Kubernetes는 다음 두 가지 유형의 서비스를 제공합니다.

• 추가 비용 없이 제공되는 Azure Arc 컨트롤 플레인 기능에는 다음이 포함됩니다.

  • Azure 관리 그룹 및 태그를 통한 리소스 구성.
  • Azure Resource Graph를 통한 검색 및 인덱싱.
  • 구독 또는 리소스 그룹 수준에서 Azure RBAC(역할 기반 액세스 제어)를 통한 액세스 제어.
  • 템플릿과 확장을 통한 자동화.

• Azure Arc 지원 Kubernetes와 함께 사용되는 Azure 서비스는 사용량에 따라 비용이 발생합니다. 이러한 서비스는 다음과 같습니다.

  • Kubernetes GitOps 구성
  • Kubernetes용 Azure Policy
  • Azure Monitor Container Insights
  • 컨테이너용 Microsoft Defender
  • Microsoft Sentinel
  • Azure Key Vault

참고 항목

Azure Arc 지원 Kubernetes와 함께 사용되는 Azure 서비스에 대한 청구는 Azure Kubernetes Service에 대한 청구와 동일합니다.

참고 항목

Azure Arc 지원 Kubernetes 클러스터가 Azure Stack HCI의 AKS에 있는 경우 Kubernetes GitOps 구성은 추가 비용 없이 포함됩니다.

디자인 고려 사항

• 거버넌스: Azure 정책, 태그, 명명 표준 및 최소 권한 컨트롤로 변환되는 하이브리드 클러스터에 대한 거버넌스 계획을 정의합니다.

• Azure Monitor Container Insights: Azure Monitor Container Insights 는 메트릭 API를 통해 Kubernetes에서 사용할 수 있는 컨트롤러, 노드 및 컨테이너에서 성능 메트릭을 수집하여 원격 분석 가시성을 제공합니다. 컨테이너 로그도 수집됩니다. 데이터 수집, 보존 및 내보내기를 기준으로 비용이 청구됩니다.

• 클라우드용 Microsoft Defender: 클라우드용 Microsoft Defender는 두 가지 모드로 제공됩니다.

  향상된 보안 기능 사용 안 함(무료) - Azure Portal의 워크로드 보호 대시보드를 처음 방문하거나 API를 통해 프로그래밍 방식으로 사용하도록 설정한 경우 모든 Azure 구독에서 클라우드용 Microsoft Defender를 무료로 사용할 수 있습니다. 이 무료 모드에서는 보안 점수 및 관련 기능(보안 정책, 지속적인 보안 평가 및 Azure 리소스에 대한 실행 가능한 보안 권장 사항)이 제공됩니다.

  모든 향상된 보안 기능 사용(유료) - 클라우드용 Microsoft Defender 향상된 보안을 사용하도록 설정하면 무료 모드의 기능이 프라이빗 및 기타 퍼블릭 클라우드에서 실행되는 워크로드로 확장되어 하이브리드 클라우드 워크로드 전반에 걸쳐 통합된 보안 관리 및 위협 방어가 제공됩니다.

• Kubernetes GitOps 구성: Kubernetes GitOps 구성 은 GitOps를 사용하여 구성 관리 및 애플리케이션 배포를 제공합니다. 관리자는 Git에서 클러스터 구성 및 애플리케이션을 선언할 수 있습니다. 그런 다음, 개발 팀은 끌어오기 요청 및 익숙한 기타 도구(기존 Azure Pipelines, Git, Kubernetes 매니페스트, Helm 차트)를 사용하여 애플리케이션을 Azure Arc 지원 Kubernetes 클러스터에 쉽게 배포하고 프로덕션 환경에서 업데이트할 수 있습니다. 요금은 매월 청구되며 클러스터의 vCPU/시간 수를 기준으로 합니다. 클러스터는 연결된 리포지토리 수에 관계없이 구성 관리에 대해 단일 요금이 부과됩니다.

  참고 항목

  클러스터는 Azure에 지속적으로 연결하지 않고도 작동할 수 있습니다. 연결이 끊어지면 각 클러스터의 요금은 Azure Arc에 등록된 마지막으로 알려진 vCPU 수에 따라 결정됩니다. 클러스터가 Azure에 연결된 동안 vCPU 수는 5분마다 업데이트됩니다. 각 클러스터의 처음 6개 vCPU는 비용 없이 포함됩니다.

  클러스터가 Azure에서 연결이 끊어지고 Kubernetes 구성에 대한 요금이 청구되지 않도록 하려면 구성을 삭제하면 됩니다.

• Kubernetes용 Azure Policy: Kubernetes 용 Azure Policy는 OPA(Open Policy Agent)의 허용 컨트롤러 웹후크인 Gatekeeper v3를 확장하여 중앙 집중식으로 일관된 방식으로 클러스터에 대규모 적용 및 보호 장치를 적용합니다. Azure Policy를 사용하면 한 곳에서 Kubernetes 클러스터의 준수 상태를 관리하고 보고할 수 있습니다. 현재 공개 미리 보기로 제공되는 동안 Kubernetes용 Azure Policy에 대한 비용은 없습니다.

• Microsoft Sentinel: Microsoft Sentinel 은 기업 전체에서 지능형 보안 분석을 제공합니다. 분석용 데이터는 Azure Monitor Log Analytics 작업 영역에 저장됩니다. Microsoft Sentinel은 Microsoft Sentinel에서 분석을 위해 수집되고 Azure Arc 지원 Kubernetes 클러스터를 위해 Azure Monitor Log Analytics 작업 영역에 저장되는 데이터의 양을 기준으로 청구됩니다.

• Azure Key Vault: 비밀 저장소 CSI 드라이버용 Azure Key Vault 공급자를 사용하면 CSI 볼륨을 통해 Kubernetes 클러스터와 비밀 저장소로 Azure Key Vault를 통합할 수 있습니다. Azure Key Vault는 인증서, 키 및 비밀에 대해 수행되는 작업에 따라 요금이 청구됩니다.

디자인 권장 사항

다음 섹션에는 Azure Arc 지원 Kubernetes 비용 거버넌스에 대한 디자인 권장 사항이 포함되어 있습니다.

참고 항목

제공된 스크린샷에 표시된 가격 책정 정보는 예제이며 Azure 계산기를 시연할 수 있도록 제공되며, 자체 Azure Arc 배포에서 볼 수 있는 실제 가격 책정 정보를 반영하지 않습니다.

거버넌스

• 리소스 조직 및 거버넌스 분야 중요 디자인 영역의 권장 사항을 검토하여 거버넌스 전략을 구현하고, 더 나은 비용 제어 및 가시성을 위해 리소스를 구성하고, 온보딩 및 관리를 위해 최소 권한 액세스 모델을 사용하여 불필요한 비용을 방지합니다.

컨테이너용 Azure Monitor

• 관리 및 모니터링 중요 디자인 영역을 검토하여 모니터링 전략을 계획하고 Azure Arc 지원 Kubernetes 클러스터를 모니터링하여 비용을 최적화하기 위한 요구 사항을 결정합니다.

• 컨테이너용 Azure Monitor 가격 책정을 검토합니다.

• Azure 가격 계산기를 사용하여 Azure Log Analytics 수집, 경고 및 알림에 대한 Azure Arc 지원 Kubernetes 모니터링 비용을 예측할 수 있습니다.

  

  

• Microsoft Cost Management를 사용하여 컨테이너용 Azure Monitor의 비용을 확인합니다.

  

• Log Analytics 작업 영역 인사이트 솔루션을 사용하여 불필요한 수집 비용을 방지할 수 있도록 모니터링되는 Azure Kubernetes 클러스터, 수집된 로그 및 해당 통합 속도에 대한 인사이트를 얻습니다.

  

• 기본 제공 Azure Monitor 통합 문서를 사용하여 클러스터의 청구 가능 모니터링 데이터를 이해합니다.

  

• 데이터 수집을 올바르게 구성하는 데 도움이 되도록 Log Analytics 수집 데이터 볼륨을 줄이기 위한 팁을 검토합니다.

• Log Analytics에서 데이터를 보존해야 하는 기간을 고려합니다. Log Analytics 작업 영역에 수집된 데이터는 처음 31일까지 추가 비용 없이 보존할 수 있습니다. Log Analytics 작업 영역 수준 기본 보존을 구성할 때 일반적인 요구 사항을 고려하고 데이터 형식별 보존 데이터를 구성할 때 특정 요구 사항을 고려합니다(최소 4일). 예를 들어 성능 데이터는 짧은 시간 동안만 보존하면 되지만 보안 로그는 더 오래 보존해야 하는 경우가 많습니다.

• 730일을 초과하여 데이터를 보존하려면 Log Analytics 작업 영역 데이터 내보내기를 사용하는 것이 좋습니다.

• 데이터 수집 볼륨에 따라 약정 계층 가격 책정을 사용하는 것이 좋습니다.

클라우드용 Microsoft Defender(이전에는 Azure Security Center로 알려짐)

• 보안, 거버넌스 및 규정 준수 중요 디자인 영역을 검토하여 클라우드용 Microsoft Defender를 사용해 Azure Arc 지원 Kubernetes 클러스터를 보호하는 방법을 이해합니다.
• 컨테이너용 Microsoft Defender 가격 책정 정보를 검토합니다.
• 컨테이너용 Microsoft Defender 비용 예측 통합 문서를 배포하여 컨테이너용 Microsoft Defender를 사용해 Azure Arc 지원 Kubernetes 클러스터를 보호하기 위한 예상 비용을 파악하는 것이 좋습니다.

Kubernetes GitOps 구성

• Kubernetes GitOps 구성 가격 책정을 검토합니다.

• CI/CD 워크플로 중요 디자인 영역을 검토하여 Azure Arc 지원 Kubernetes 클러스터에서 Kubernetes GitOps 구성을 관리하고 모니터링하기 위한 모범 사례 및 권장 사항을 찾습니다.

• Kubernetes에 대한 Azure Policy를 사용하여 모든 Azure Arc 지원 Kubernetes 클러스터에서 일관된 구성을 적용하고 보장합니다.

• Azure Resource Graph 쿼리를 사용하여 Azure Arc 지원 Kubernetes 클러스터에 대해 보유한 코어 수를 검토하고 Kubernetes GitOps 구성을 사용하도록 설정하는 비용을 예측합니다.

  Resources
  | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount)
  | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount
  | where type =~ 'Microsoft.Kubernetes/connectedClusters'
  | order by TotalCoreCount
  

• Microsoft Cost Management를 사용하여 Kubernetes GitOps 구성 비용을 이해합니다.

  

Kubernetes에 대한 Azure Policy

• Kubernetes에 대한 Azure Policy 가격 책정을 검토합니다.
• 보안, 거버넌스 및 규정 준수 중요 디자인 영역을 검토하여 Kubernetes에 대한 Azure Policy를 구현하기 위한 모범 사례 및 권장 사항을 알아봅니다. 이러한 모범 사례는 다음과 같습니다.
  • 클러스터 전체에서 더 나은 비용 표시 유형을 위해 태그 지정 적용
  • Kubernetes GitOps 구성 적용
  • Azure 서비스의 사용 제어.

Microsoft Sentinel

• Microsoft Sentinel 가격 책정을 검토합니다.
• Azure 가격 계산기를 사용하여 조직의 Microsoft Sentinel 비용을 예측합니다.

• Microsoft Sentinel Cost Management 및 Billing을 사용하여 Microsoft Sentinel 분석 비용을 파악합니다.

  

• Microsoft Sentinel이 사용하는 Log Analytics 작업 영역으로 수집된 데이터에 대한 데이터 보존 비용을 검토합니다.

• Log Analytics 작업 영역에서 수집할 Azure Arc 지원 Kubernetes 클러스터에 대한 적절한 수준의 로그 및 이벤트를 필터링합니다.

• Log Analytics 쿼리 및 작업 영역 사용 현황 보고서 통합 문서를 사용하여 데이터 수집 추세를 이해합니다.

• Microsoft Sentinel 작업 영역이 예산을 초과하는 경우 비용 관리 플레이북을 만들어 알림을 보냅니다.

• Microsoft Sentinel은 다른 Azure 서비스와 통합되어 향상된 기능을 제공합니다. 이러한 서비스에 대한 가격 책정 세부 정보를 검토합니다.

• 데이터 수집 볼륨에 따라 약정 계층 가격 책정을 사용하는 것이 좋습니다.

• 비보안 분리 운영 데이터를 다른 Azure Log Analytics 작업 영역으로 분리하는 것이 좋습니다.

Azure Key Vault

• Azure Key Vault 가격 책정을 검토합니다.

• 보안 및 거버넌스에 대한 권장 사항을 검토하여 Azure Key Vault를 사용해 Azure Arc 지원 Kubernetes 클러스터에서 비밀 및 인증서를 관리하는 방법을 이해합니다.

• Azure Key Vault 인사이트를 사용하여 비밀 작업을 모니터링합니다.

  

다음 단계

하이브리드 및 다중 클라우드 클라우드 경험에 대한 자세한 내용은 다음 문서를 참조하세요.

• Azure Arc 지원 Kubernetes의 필수 조건을 검토합니다.
• Azure Arc 지원 Kubernetes에 대해 유효성이 검사된 Kubernetes 배포를 검토합니다.
• 하이브리드 및 다중 클라우드 환경을 관리하는 방법을 알아봅니다.
• Azure Arc Jumpstart를 사용하여 Azure Arc 지원 Kubernetes 자동화 시나리오를 경험하세요.
• Azure Arc 학습 경로를 통해 Azure Arc에 대해 자세히 알아봅니다.
• 클라우드 채택 프레임워크 모범 사례 및 권장 사항을 검토하여 클라우드 비용을 효율적으로 관리합니다.
• 가장 일반적인 질문에 대한 답변을 찾으려면 질문과 대답 - Azure Arc 지원을 참조하세요.