Governança de custos do Kubernetes habilitado para Azure Arc

A governança de custos é o processo contínuo de implementação de políticas para controlar os custos dos serviços que você usa no Azure. Este documento fornece considerações e recomendações de governança de custos para que você os tenha em mente ao usar o Kubernetes habilitado para Azure Arc.

Custo do Kubernetes habilitado para Azure Arc

O Kubernetes habilitado para Azure Arc fornece dois tipos de serviços:

• A funcionalidade do painel de controle do Azure Arc, que é fornecida sem custo adicional e inclui:

  • Organização de recursos por meio de marcas e grupos de gerenciamento do Azure.
  • Pesquisa e indexação por meio do Azure Resource Graph.
  • Controle de acesso por meio do RBAC (controle de acesso baseado em função) do Azure no nível da assinatura ou do grupo de recursos.
  • Automação por meio de modelos e extensões.

• Os serviços do Azure usados em conjunto com o Kubernetes habilitado para Azure Arc geram custos de acordo com o uso. Esses serviços incluem:

  • Configuração de GitOps do Kubernetes
  • Política do Azure para Kubernetes
  • Insights de Contêiner do Azure Monitor
  • Microsoft Defender para Contêineres
  • Microsoft Sentinel
  • Azure Key Vault

Observação

A cobrança dos serviços do Azure usados em conjunto com o Kubernetes habilitado para Azure Arc é igual à cobrança do Serviço de Kubernetes do Azure.

Observação

Se o cluster do Kubernetes habilitado para Azure Arc estiver no AKS no Azure Stack HCI, a configuração de GitOps do Kubernetes será incluída sem custo adicional.

Considerações sobre o design

• Governança: defina um plano de governança para seus clusters híbridos que se converta em políticas do Azure, marcas, padrões de nomenclatura e controles de privilégios mínimos.

• Azure Monitor Container Insights: o Azure Monitor Container Insights fornece visibilidade de telemetria coletando métricas de desempenho de controladores, nós e contêineres disponíveis no Kubernetes por meio da API de métricas. Os logs do contêiner também são coletados. Isso é cobrado pela ingestão, retenção e exportações de dados.

• Microsoft Defender para Nuvem: o Microsoft Defender para Nuvem é oferecido em dois modos:

  Sem os recursos de segurança aprimorada (Gratuito) - O Microsoft Defender para Nuvem é habilitado gratuitamente em todas as suas assinaturas do Azure quando você acessa o painel de proteção de cargas de trabalho no portal do Azure pela primeira vez ou se ele é habilitado de maneira programática por meio da API. Esse modo gratuito fornece a classificação de segurança e recursos relacionados: política de segurança, avaliação de segurança contínua e recomendações de segurança práticas para seus recursos do Azure.

  Com todos os recursos de segurança aprimorada (Pago) – A habilitação da segurança aprimorada do Microsoft Defender para Nuvem amplia as funcionalidades do modo gratuito para as cargas de trabalho em execução em nuvens privadas e em outras nuvens públicas, fornecendo gerenciamento de segurança e proteção contra ameaças unificados para todas as cargas de trabalho de nuvem híbrida.

• Configuração do Kubernetes GitOps: a configuração do Kubernetes GitOps oferece gerenciamento de configuração e implantação de aplicativos usando GitOps. Os administradores podem declarar a configuração de cluster e os aplicativos no Git. As equipes de desenvolvimento podem usar solicitações de pull e outras ferramentas com as quais estão familiarizadas (os pipelines existentes do Azure, o Git, os manifestos do Kubernetes, os gráficos do Helm) para implantar com facilidade os aplicativos em clusters do Kubernetes habilitado para Azure Arc e fazer atualizações em produção. A cobrança é feita mensalmente e se baseia no número de vCPUs/hora no cluster. Os clusters geram uma só cobrança para o gerenciamento de configuração, seja qual for o número de repositórios conectados.

  Observação

  Os clusters podem funcionar sem uma conexão constante com o Azure. Quando eles estão desconectados, a cobrança de cada cluster é determinada com base no último número conhecido de vCPUs que foram registradas no Azure Arc. A contagem de vCPUs é atualizada a cada cinco minutos enquanto o cluster está conectado ao Azure. As primeiras seis vCPUs de cada cluster são incluídas sem nenhum custo.

  Se o cluster for desconectado do Azure e você não quiser ser cobrado pelas configurações do Kubernetes, exclua as configurações.

• Política do Azure para Kubernetes: a Política do Azure para Kubernetes estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. O Azure Policy possibilita gerenciar e relatar o estado de conformidade de seus clusters do Kubernetes de um único lugar. No momento, não há nenhum custo pelo uso do Azure Policy para Kubernetes durante a versão prévia pública.

• Microsoft Sentinel: O Microsoft Sentinel fornece análises de segurança inteligentes em toda a sua empresa. Os dados dessa análise são armazenados em um workspace do Log Analytics no Azure Monitor. O Microsoft Sentinel é cobrado com base no volume de dados ingeridos para análise no Microsoft Sentinel e é armazenado no workspace do Log Analytics no Azure Monitor para seus clusters habilitados para Azure Arc.

• Azure Key Vault: o Provedor do Azure Key Vault para Driver de CSI do Repositório de Segredos permite a integração de um cofre de chaves do Azure como um repositório de segredos a um cluster do Kubernetes por meio de um volume de CSI. O Azure Key Vault é cobrado pelas operações executadas em certificados, chaves e segredos.

Recomendações sobre design

As seções a seguir contêm recomendações de design para a governança de custos do Kubernetes habilitado para Azure Arc.

Observação

As informações de preços mostradas nas capturas de tela fornecidas são exemplos e são apresentadas para permitir uma demonstração da Calculadora do Azure, não refletindo as informações reais de preços que você poderá ver nas suas implantações do Azure Arc.

Governança

• Revise as recomendações na área de design crítica de disciplinas de governança e de organização de recursos para implementar uma estratégia de governança, organizar seus recursos para obter um melhor controle de custo e visibilidade e evitar custos desnecessários usando o modelo de acesso com privilégios mínimos para integração e gerenciamento.

Azure Monitor para Contêineres

• Revise a área de design crítica de gerenciamento e monitoramento para planejar sua estratégia de monitoramento e tomar decisões sobre seus requisitos para monitorar clusters do Kubernetes habilitado para Azure Arc a fim de otimizar os custos.

• Revise os preços do Azure Monitor para Contêineres.

• Use a Calculadora de Preços do Azure para obter uma estimativa dos custos de monitoramento do Kubernetes habilitado para Azure Arc para ingestão, alertas e notificações do Azure Log Analytics.

  

  

• Use o Gerenciamento de Custos da Microsoft para exibir os custos do Azure Monitor para Contêineres.

  

• Use a solução de insights do workspace do Log Analytics para obter insights sobre os clusters monitorados do Kubernetes do Azure, os logs coletados e a taxa de integração deles para evitar custos desnecessários de ingestão.

  

• Use as pastas de trabalho internas do Azure Monitor para entender os dados de monitoramento faturáveis dos seus clusters.

  

• Revise as dicas para reduzir o volume de dados de ingestão do Log Analytics a fim de ajudar na configuração correta da ingestão de dados.

• Considere quanto tempo você deve manter os dados no Log Analytics. Os dados ingeridos no workspace do Log Analytics podem ser mantidos sem custos extras nos primeiros 31 dias. Considere as necessidades gerais ao configurar a retenção padrão do nível do workspace do Log Analytics e as necessidades específicas ao configurar a retenção de dados por tipo de dados, que pode ter um nível baixo de quatro dias. Por exemplo, embora os dados de desempenho só precisem ser mantidos por um curto período, os logs de segurança geralmente precisam ser mantidos por mais tempo.

• Considere o uso da exportação de dados do workspace do Log Analytics para manter os dados por mais de 730 dias.

• Considere o uso de preços do nível de compromisso com base no seu volume de ingestão de dados.

Microsoft Defender para Nuvem (antiga Central de Segurança do Azure)

• Revise a área de design crítica de segurança, de governança e de conformidade para entender como usar o Microsoft Defender para Nuvem para proteger os clusters do Kubernetes habilitado para Azure Arc.
• Revise as informações de preços do Microsoft Defender para Contêineres.
• Considere a implantação da pasta de trabalho de estimativas de custo do Microsoft Defender para Contêineres para entender as estimativas de custo de uso do Microsoft Defender para Contêineres a fim de proteger os clusters do Kubernetes habilitado para Azure Arc.

Configuração de GitOps do Kubernetes

• Revise os preços da configuração de GitOps do Kubernetes.

• Revise a área de design crítica de fluxo de trabalho de CI/CD para encontrar as melhores práticas e recomendações para gerenciar e monitorar a configuração de GitOps do Kubernetes nos seus clusters do Kubernetes habilitado para Azure Arc.

• Use o Azure Policy para Kubernetes para impor e garantir uma configuração consistente em todos os clusters do Kubernetes habilitado para Azure Arc.

• Use as consultas do Azure Resource Graph para revisar o número de núcleos que você tem para os clusters do Kubernetes habilitado para Azure Arc e estimar o custo da habilitação da configuração de GitOps do Kubernetes.

  Resources
  | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount)
  | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount
  | where type =~ 'Microsoft.Kubernetes/connectedClusters'
  | order by TotalCoreCount
  

• Use o Microsoft Cost Management para entender os custos de configuração do Kubernetes GitOps.

  

Azure Policy para Kubernetes

• Revise os preços do Azure Policy para Kubernetes.
• Revise a área de design crítica de segurança, de governança e de conformidade para conhecer as melhores práticas e as recomendações para implementar o Azure Policy para Kubernetes. Essas práticas recomendadas incluem:
  • Impor a marcação para obter uma melhor visibilidade de custo entre os clusters
  • Impor a configuração de GitOps do Kubernetes
  • Controlar a habilitação dos serviços do Azure.

Microsoft Sentinel

• Revise os preços do Microsoft Sentinel.
• Use a Calculadora de Preços do Azure para estimar os custos do Microsoft Sentinel para sua organização.

• Use o Gerenciamento de Custos e Cobrança do Microsoft Sentinel para entender os custos de análise do Microsoft Sentinel.

  

• Revise os custos de retenção de dados para os dados ingeridos no workspace do Log Analytics usado pelo Microsoft Sentinel.

• Filtre o nível certo de logs e eventos para os clusters do Kubernetes habilitado para Azure Arc a serem coletados no workspace do Log Analytics.

• Use as consultas do Log Analytics e a pasta de trabalho Relatório de Uso do Workspace para entender suas tendências de ingestão de dados.

• Crie um guia estratégico de gerenciamento de custos para enviar notificações caso o workspace do Microsoft Sentinel exceda seu orçamento.

• O Microsoft Sentinel é integrado a muitos outros serviços do Azure para fornecer funcionalidades aprimoradas. Examine os detalhes de preços desses serviços.

• Considere o uso de preços do nível de compromisso com base no seu volume de ingestão de dados.

• Considere a separação de dados operacionais não relacionados à segurança em um workspace diferente do Azure Log Analytics.

Cofre de Chave do Azure

• Revise os preços do Azure Key Vault.

• Revise as recomendações de segurança e de governança para entender como você pode usar o Azure Key Vault para gerenciar segredos e certificados nos seus clusters do Kubernetes habilitado para Azure Arc.

• Use os insights do Azure Key Vault para monitorar as operações de segredos.

  

Próximas etapas

Para obter mais informações sobre seu percurso na nuvem híbrida e multinuvem, confira os seguintes artigos:

• Examine os pré-requisitos do Kubernetes habilitado para Azure Arc.
• Examine as distribuições validadas do Kubernetes para Kubernetes habilitado para Azure Arc.
• Saiba como Gerenciar ambientes híbridos e multicloud.
• Experimente cenários automatizados do Kubernetes habilitado para Azure Arc com o Azure Arc Jumpstart.
• Saiba mais sobre o Azure Arc por meio do caminho de aprendizado do Azure Arc.
• Revise as melhores práticas e as recomendações do Cloud Adoption Framework para gerenciar com eficiência seus custos com a nuvem.
• Confira as perguntas frequentes – habilitado para Azure Arc para encontrar respostas para as perguntas mais comuns.