Zarządzanie kosztami dla platformy Kubernetes z obsługą usługi Azure Arc

Zarządzanie kosztami to ciągły proces implementowania zasad w celu kontrolowania kosztów usług używanych na platformie Azure. Ten dokument zawiera zagadnienia i zalecenia dotyczące ładu kosztów, które należy wziąć pod uwagę podczas korzystania z platformy Kubernetes z obsługą usługi Azure Arc.

Koszt platformy Kubernetes z obsługą usługi Azure Arc

Platforma Kubernetes z obsługą usługi Azure Arc oferuje dwa typy usług:

• Funkcje płaszczyzny sterowania usługi Azure Arc, które są dostępne bez dodatkowych kosztów i obejmują:

  • Organizacja zasobów za pomocą grup zarządzania i tagów platformy Azure.
  • Wyszukiwanie i indeksowanie za pomocą usługi Azure Resource Graph.
  • Kontrola dostępu za pośrednictwem kontroli dostępu na podstawie ról (RBAC) na poziomie subskrypcji lub grupy zasobów.
  • Automatyzacja za pomocą szablonów i rozszerzeń.

• Usługi platformy Azure używane razem z platformą Kubernetes z obsługą usługi Azure Arc generują koszty zgodnie z ich użyciem. Usługi te obejmują:

  • Konfiguracja usługi GitOps platformy Kubernetes
  • Usługa Azure Policy dla platformy Kubernetes
  • Azure Monitor Container Insights
  • Usługa Microsoft Defender dla kontenerów
  • Microsoft Sentinel
  • Azure Key Vault

Uwaga

Rozliczenia usług platformy Azure używanych w połączeniu z platformą Kubernetes z włączoną usługą Azure Arc są takie same jak rozliczenia dla usługi Azure Kubernetes Service.

Uwaga

Jeśli klaster Kubernetes z włączoną usługą Azure Arc znajduje się w usłudze AKS w usłudze Azure Stack HCI, konfiguracja rozwiązania Kubernetes GitOps nie jest uwzględniana za dodatkową opłatą.

Uwagi dotyczące projektowania

• Ład: zdefiniuj plan ładu dla klastrów hybrydowych, który przekłada się na zasady platformy Azure, tagi, standardy nazewnictwa i mechanizmy kontroli najniższych uprawnień.

• Azure Monitor Container Insights: usługa Azure Monitor Container Insights zapewnia widoczność danych telemetrycznych, zbierając metryki wydajności z kontrolerów, węzłów i kontenerów dostępnych na platformie Kubernetes za pośrednictwem interfejsu API metryk. Gromadzone są też dzienniki kontenerów. Opłaty są naliczane za pozyskiwanie, przechowywanie i eksporty danych.

• Microsoft Defender dla Chmury: Microsoft Defender dla Chmury jest oferowana w dwóch trybach:

  Bez rozszerzonych funkcji zabezpieczeń (bezpłatna) - Microsoft Defender dla Chmury jest włączona bezpłatnie we wszystkich subskrypcjach platformy Azure podczas odwiedzania pulpitu nawigacyjnego ochrony obciążenia w witrynie Azure Portal po raz pierwszy lub jeśli włączysz ją programowo za pośrednictwem interfejsu API. Ten tryb bezpłatny zapewnia wskaźnik bezpieczeństwa i powiązane z nią funkcje: zasady zabezpieczeń, ciągłą ocenę zabezpieczeń i zalecenia dotyczące zabezpieczeń umożliwiające podejmowanie działań dla zasobów platformy Azure.

  Dzięki wszystkim rozszerzonym funkcjom zabezpieczeń (płatne) — włączenie Microsoft Defender dla Chmury zwiększonych zabezpieczeń rozszerza możliwości trybu bezpłatnego na obciążenia działające w prywatnych i innych chmurach publicznych, zapewniając ujednolicone zarządzanie zabezpieczeniami i ochronę przed zagrożeniami w ramach obciążeń chmury hybrydowej.

• Konfiguracja metodyki GitOps platformy Kubernetes: konfiguracja usługi GitOps platformy Kubernetes zapewnia zarządzanie konfiguracją i wdrażanie aplikacji przy użyciu metodyki GitOps. Administratorzy mogą zadeklarować konfigurację klastra i aplikacje w usłudze Git. Zespoły programistyczne mogą następnie używać żądań ściągnięcia i innych narzędzi, które znają (istniejące manifesty usługi Azure Pipelines, Git, Kubernetes, wykresy Helm), aby łatwo wdrażać aplikacje w klastrach Kubernetes z włączoną usługą Azure Arc i wprowadzać aktualizacje w środowisku produkcyjnym. Opłaty są naliczane co miesiąc i są oparte na liczbie procesorów wirtualnych/godzin w klastrze. Klastry generują jedną opłatę za zarządzanie konfiguracją niezależnie od liczby połączonych repozytoriów.

  Uwaga

  Klastry mogą działać bez stałego połączenia z platformą Azure. Po rozłączeniu opłaty za każdy klaster są określane na podstawie ostatniej znanej liczby procesorów wirtualnych zarejestrowanych w usłudze Azure Arc. Liczba procesorów wirtualnych jest aktualizowana co 5 minut, gdy klaster jest połączony z platformą Azure. Pierwsze 6 procesorów wirtualnych każdego klastra są uwzględniane bez ponoszenia kosztów.

  Jeśli klaster zostanie odłączony od platformy Azure i nie chcesz pobierać opłat za konfiguracje platformy Kubernetes, możesz usunąć konfiguracje.

• Usługa Azure Policy dla platformy Kubernetes: usługa Azure Policy dla platformy Kubernetes rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy (OPA), aby zastosować wymuszanie na dużą skalę i zabezpieczenia w klastrach w sposób scentralizowany i spójny. Usługa Azure Policy umożliwia zarządzanie stanem zgodności klastrów Kubernetes i raportowanie go z jednego miejsca. Obecnie nie ma kosztów usługi Azure Policy dla platformy Kubernetes w publicznej wersji zapoznawczej.

• Microsoft Sentinel: Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń w całym przedsiębiorstwie. Dane na potrzeby analizy są przechowywane w obszarze roboczym usługi Azure Monitor Log Analytics. Usługa Microsoft Sentinel jest rozliczana na podstawie ilości danych pozyskanych do analizy w usłudze Microsoft Sentinel i przechowywanych w obszarze roboczym usługi Log Analytics usługi Azure Monitor dla klastrów Kubernetes z włączoną usługą Azure Arc.

• Azure Key Vault: dostawca usługi Azure Key Vault dla sterownika CSI magazynu wpisów tajnych umożliwia integrację usługi Azure Key Vault jako magazynu wpisów tajnych z klastrem Kubernetes za pośrednictwem woluminu CSI. Usługa Azure Key Vault jest rozliczana przez operacje wykonywane na certyfikatach, kluczach i wpisach tajnych.

Zalecenia dotyczące projektowania

W poniższych sekcjach znajdują się zalecenia projektowe dotyczące ładu kosztów platformy Kubernetes z obsługą usługi Azure Arc.

Uwaga

Informacje o cenach wyświetlane na udostępnionych zrzutach ekranu to przykłady i udostępnione w celu umożliwienia demonstrowania kalkulatora platformy Azure i nie odzwierciedlają rzeczywistych informacji o cenach, które mogą być widoczne we własnych wdrożeniach usługi Azure Arc.

Ład korporacyjny

• Zapoznaj się z zaleceniami w organizacji zasobów i dyscyplinach ładu krytycznych w celu zaimplementowania strategii ładu, organizowania zasobów w celu lepszej kontroli kosztów i widoczności oraz unikania niepotrzebnych kosztów przy użyciu najmniej uprzywilejowanego modelu dostępu do dołączania i zarządzania.

Usługa Azure Monitor dla kontenerów

• Przejrzyj obszar projektowania Krytyczne zarządzanie i monitorowanie, aby zaplanować strategię monitorowania i zdecydować o wymaganiach dotyczących monitorowania klastrów Kubernetes z obsługą usługi Azure Arc w celu zoptymalizowania kosztów.

• Zapoznaj się z cennikiem usługi Azure Monitor dla kontenerów.

• Skorzystaj z kalkulatora cen platformy Azure, aby uzyskać oszacowanie kosztów monitorowania platformy Kubernetes z obsługą usługi Azure Arc dla pozyskiwania, alertów i powiadomień usługi Azure Log Analytics.

  

  

• Użyj usługi Microsoft Cost Management , aby wyświetlić koszty usługi Azure Monitor dla kontenerów.

  

• Skorzystaj z rozwiązania Szczegółowe informacje o obszarze roboczym usługi Log Analytics, aby uzyskać szczegółowe informacje na temat monitorowanych klastrów usługi Azure Kubernetes, zebranych dzienników i ich szybkości integracji, aby uniknąć niepotrzebnych kosztów pozyskiwania.

  

• Użyj wbudowanych skoroszytów usługi Azure Monitor, aby poznać rozliczane dane monitorowania klastrów.

  

• Zapoznaj się z poradami dotyczącymi zmniejszania ilości danych pozyskiwania usługi Log Analytics, aby ułatwić prawidłowe konfigurowanie pozyskiwania danych.

• Zastanów się, jak długo należy przechowywać dane w usłudze Log Analytics. Dane pozyskane w obszarze roboczym usługi Log Analytics można przechowywać bez dodatkowych opłat w ciągu pierwszych 31 dni. Podczas konfigurowania domyślnego przechowywania na poziomie obszaru roboczego usługi Log Analytics należy wziąć pod uwagę ogólne potrzeby podczas konfigurowania przechowywania danych według typu danych, które mogą być nawet cztery dni. Na przykład chociaż dane wydajności mogą być przechowywane tylko przez krótki czas, dzienniki zabezpieczeń często muszą być przechowywane dłużej.

• Rozważ użycie eksportu danych obszaru roboczego usługi Log Analytics, aby zachować dane dłużej niż 730 dni.

• Rozważ użycie cen warstwy zobowiązania na podstawie ilości pozyskiwania danych.

Microsoft Defender dla Chmury (wcześniej znana jako Azure Security Center)

• Zapoznaj się z obszarem projektowania Krytyczne zabezpieczenia, ład i zgodność, aby dowiedzieć się, jak używać Microsoft Defender dla Chmury do ochrony i zabezpieczania klastrów Kubernetes z obsługą usługi Azure Arc.
• Zapoznaj się z informacjami o cenach usługi Microsoft Defender for Containers.
• Rozważ wdrożenie skoroszytu szacowania kosztów usługi Microsoft Defender for Containers, aby zrozumieć szacowane koszty użycia usługi Microsoft Defender for Containers w celu ochrony klastrów Kubernetes z włączoną usługą Azure Arc.

Konfiguracja usługi GitOps platformy Kubernetes

• Zapoznaj się z cennikiem konfiguracji usługi GitOps platformy Kubernetes.

• Zapoznaj się z obszarem projektowania krytycznym dla przepływu pracy ciągłej integracji/ciągłego wdrażania, aby znaleźć najlepsze rozwiązania i zalecenia dotyczące zarządzania konfiguracją usługi GitOps platformy Kubernetes z obsługą usługi Azure Arc.

• Użyj usługi Azure Policy dla platformy Kubernetes , aby wymusić i zapewnić spójną konfigurację we wszystkich klastrach Kubernetes z obsługą usługi Azure Arc.

• Użyj zapytań usługi Azure Resource Graph , aby przejrzeć liczbę rdzeni używanych w klastrach Kubernetes z obsługą usługi Azure Arc i oszacować koszt włączenia konfiguracji usługi GitOps platformy Kubernetes.

  Resources
  | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount)
  | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount
  | where type =~ 'Microsoft.Kubernetes/connectedClusters'
  | order by TotalCoreCount
  

• Skorzystaj z usługi Microsoft Cost Management , aby zrozumieć koszty konfiguracji usługi GitOps platformy Kubernetes.

  

Azure Policy dla platformy Kubernetes

• Zapoznaj się z cennikiem usługi Azure Policy dla platformy Kubernetes.
• Zapoznaj się z obszarem projektowania krytycznego dla zabezpieczeń, ładu i zgodności, aby poznać najlepsze rozwiązania i zalecenia dotyczące implementowania usługi Azure Policy dla platformy Kubernetes. Te najlepsze rozwiązania obejmują:
  • Wymuszanie tagowania w celu uzyskania lepszej widoczności kosztów w klastrach
  • Wymuszanie konfiguracji metodyki GitOps platformy Kubernetes
  • Kontrolowanie włączania usług platformy Azure.

Microsoft Sentinel

• Przejrzyj cennik usługi Microsoft Sentinel.
• Skorzystaj z kalkulatora cen platformy Azure, aby oszacować koszty usługi Microsoft Sentinel dla organizacji.

• Użyj usługi Microsoft Sentinel Cost Management and Billing , aby zrozumieć koszty analizy usługi Microsoft Sentinel.

  

• Przejrzyj koszty przechowywania danych pozyskanych do obszaru roboczego usługi Log Analytics używanego przez usługę Microsoft Sentinel.

• Filtruj odpowiedni poziom dzienników i zdarzeń dla klastrów Kubernetes z włączoną usługą Azure Arc, które mają być zbierane w obszarze roboczym usługi Log Analytics.

• Użyj zapytań usługi Log Analytics i skoroszytu raportu użycia obszaru roboczego, aby zrozumieć trendy pozyskiwania danych.

• Utwórz podręcznik zarządzania kosztami, aby wysyłać powiadomienia, jeśli obszar roboczy usługi Microsoft Sentinel przekracza budżet.

• Usługa Microsoft Sentinel integruje się z innymi usługami platformy Azure w celu zapewnienia rozszerzonych możliwości. Przejrzyj szczegóły cennika tych usług.

• Rozważ użycie cen warstwy zobowiązania na podstawie ilości pozyskiwania danych.

• Rozważ rozdzielenie danych operacyjnych niezwiązanych z zabezpieczeniami do innego obszaru roboczego usługi Azure Log Analytics.

Azure Key Vault

• Zapoznaj się z cennikiem usługi Azure Key Vault.

• Zapoznaj się z zaleceniami dotyczącymi zabezpieczeń i ładu , aby dowiedzieć się, jak za pomocą usługi Azure Key Vault zarządzać wpisami tajnymi i certyfikatami w klastrach Kubernetes z obsługą usługi Azure Arc.

• Użyj szczegółowych informacji usługi Azure Key Vault, aby monitorować operacje wpisów tajnych.

  

Następne kroki

Aby uzyskać więcej informacji na temat hybrydowej i wielochmurowej podróży w chmurze, zobacz następujące artykuły:

• Zapoznaj się z wymaganiami wstępnymi dotyczącymi platformy Kubernetes z obsługą usługi Azure Arc.
• Przejrzyj zweryfikowane dystrybucje platformy Kubernetes dla platformy Kubernetes z obsługą usługi Azure Arc.
• Dowiedz się, jak zarządzać środowiskami hybrydowymi i wielochmurowymi.
• Poznaj zautomatyzowane scenariusze platformy Kubernetes z obsługą usługi Azure Arc dzięki usłudze Azure Arc Jumpstart.
• Dowiedz się więcej o usłudze Azure Arc za pośrednictwem ścieżki szkoleniowej usługi Azure Arc.
• Zapoznaj się z najlepszymi rozwiązaniami i zaleceniami dotyczącymi przewodnika Cloud Adoption Framework, aby efektywnie zarządzać kosztami chmury.
• Zobacz często zadawane pytania — usługa Azure Arc z obsługą usługi Azure Arc, aby znaleźć odpowiedzi na najczęściej zadawane pytania.