Governança de custos para Kubernetes habilitados para Azure Arc

A governança de custos é o processo contínuo de implementação de políticas para controlar os custos dos serviços que você usa no Azure. Este documento fornece considerações e recomendações de governança de custos para você ter em mente ao usar o Kubernetes habilitado para Azure Arc.

Custo do Kubernetes habilitado para Azure Arc

O Kubernetes habilitado para Azure Arc fornece dois tipos de serviços:

• A funcionalidade do plano de controle do Azure Arc, que é fornecida sem custo adicional e inclui:

  • Organização de recursos por meio de tags e grupos de gerenciamento do Azure.
  • Pesquisa e indexação através do Azure Resource Graph.
  • Controle de acesso por meio do RBAC (controle de acesso baseado em função) do Azure no nível de assinatura ou grupo de recursos.
  • Automação através de templates e extensões.

• Os serviços do Azure usados em conjunto com o Kubernetes habilitado para Azure Arc incorrem em custos de acordo com seu uso. Estes serviços incluem:

  • Configuração do Kubernetes GitOps
  • Política do Azure para Kubernetes
  • Azure Monitor Container Insights
  • Microsoft Defender para contêineres
  • Microsoft Sentinel
  • Azure Key Vault

Nota

A cobrança dos serviços do Azure usados em conjunto com o Kubernetes habilitado para Azure Arc é a mesma que a cobrança do Serviço Kubernetes do Azure.

Nota

Se o cluster do Kubernetes habilitado para Azure Arc estiver no AKS no Azure Stack HCI, a configuração do Kubernetes GitOps será incluída sem custo extra.

Considerações de design

• Governança: defina um plano de governança para seus clusters híbridos que se traduza em Políticas do Azure, tags, padrões de nomenclatura e controles de privilégios mínimos.

• Azure Monitor Container Insights: O Azure Monitor Container Insights fornece visibilidade de telemetria coletando métricas de desempenho de controladores, nós e contêineres disponíveis no Kubernetes por meio da API de métricas. Os registos do contentor também são recolhidos. Isso é cobrado pela ingestão, retenção e exportação de dados.

• Microsoft Defender for Cloud: O Microsoft Defender for Cloud é oferecido em dois modos:

  Sem recursos de segurança aprimorados (Gratuito) - O Microsoft Defender for Cloud é habilitado gratuitamente em todas as suas assinaturas do Azure quando você visita o painel de proteção de carga de trabalho no portal do Azure pela primeira vez ou se você habilitá-lo programaticamente via API. Esse modo gratuito fornece a pontuação segura e seus recursos relacionados: política de segurança, avaliação contínua de segurança e recomendações de segurança acionáveis para seus recursos do Azure.

  Com todos os recursos de segurança aprimorados (pagos) - Habilitar o Microsoft Defender for Cloud A segurança aprimorada estende os recursos do modo livre para cargas de trabalho executadas em nuvens privadas e outras nuvens públicas, fornecendo gerenciamento de segurança unificado e proteção contra ameaças em suas cargas de trabalho de nuvem híbrida.

• Configuração do Kubernetes GitOps: A configuração do Kubernetes GitOps oferece gerenciamento de configuração e implantação de aplicativos usando o GitOps. Os administradores podem declarar sua configuração de cluster e aplicativos no Git. As equipes de desenvolvimento podem usar solicitações pull e outras ferramentas com as quais estão familiarizadas (Pipelines do Azure existentes, Git, manifestos do Kubernetes, gráficos Helm) para implantar facilmente aplicativos em clusters Kubernetes habilitados para Azure Arc e fazer atualizações em produção. A cobrança é cobrada mensalmente e é baseada no número de vCPUs/hora no cluster. Os clusters incorrem em uma única cobrança pelo gerenciamento de configuração, não importa quantos repositórios estejam conectados.

  Nota

  Os clusters podem funcionar sem uma ligação constante ao Azure. Quando desconectado, a cobrança de cada cluster é determinada com base no último número conhecido de vCPUs que foram registradas no Azure Arc. A contagem de vCPU é atualizada a cada 5 minutos enquanto o cluster está conectado ao Azure. As primeiras 6 vCPUs de cada cluster são incluídas sem nenhum custo.

  Se o cluster for desconectado do Azure e você não quiser ser cobrado pelas configurações do Kubernetes, poderá excluir as configurações.

• Política do Azure para Kubernetes: a Política do Azure para Kubernetes estende o Gatekeeper v3, um webhook do controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. O Azure Policy torna possível gerenciar e relatar o estado de conformidade de seus clusters Kubernetes de um só lugar. Atualmente, não há custo para a Política do Azure para Kubernetes enquanto estiver na visualização pública.

• Microsoft Sentinel: O Microsoft Sentinel fornece análises de segurança inteligentes em toda a sua empresa. Os dados para sua análise são armazenados em um espaço de trabalho do Azure Monitor Log Analytics. O Microsoft Sentinel é cobrado com base no volume de dados ingeridos para análise no Microsoft Sentinel e armazenados no espaço de trabalho do Azure Monitor Log Analytics para seus clusters Kubernetes habilitados para Azure Arc.

• Azure Key Vault: O Azure Key Vault Provider for Secrets Store CSI Driver permite a integração de um Azure Key Vault como um armazenamento de segredos com um cluster Kubernetes por meio de um volume CSI. O Azure Key Vault é cobrado pelas operações executadas em certificados, chaves e segredos.

Recomendações de design

As seções a seguir contêm recomendações de design para a governança de custos do Kubernetes habilitado para Azure Arc.

Nota

As informações de preços mostradas nas capturas de tela fornecidas são exemplos e fornecidas para permitir uma demonstração da Calculadora do Azure e não refletem as informações reais de preços que você pode ver em suas próprias implantações do Azure Arc.

Governação

• Analise as recomendações na área de design crítico de organização de recursos e disciplinas de governança para implementar uma estratégia de governança, organizar seus recursos para melhor controle de custos e visibilidade e evitar custos desnecessários usando o modelo de acesso menos privilegiado para integração e gerenciamento.

Azure Monitor para Contentores

• Analise a área de design crítica de gerenciamento e monitoramento para planejar sua estratégia de monitoramento e decidir sobre seus requisitos para monitorar clusters Kubernetes habilitados para Azure Arc para otimizar custos.

• Analise os preços do Azure Monitor for Containers.

• Use a Calculadora de Preços do Azure para obter uma estimativa dos custos de monitoramento do Kubernetes habilitado para o Azure Arc para ingestão, alertas e notificações do Azure Log Analytics.

  

  

• Use o Microsoft Cost Management para exibir os custos do Azure Monitor for Containers.

  

• Use a solução de insights do espaço de trabalho do Log Analytics para obter informações sobre clusters Kubernetes do Azure monitorados, logs coletados e sua taxa de integração, para evitar custos de ingestão desnecessários.

  

• Use pastas de trabalho internas do Azure Monitor para entender os dados de monitoramento faturáveis de seus clusters.

  

• Revise as dicas para reduzir o volume de dados de ingestão do Log Analytics para ajudá-lo a configurar corretamente a ingestão de dados.

• Considere por quanto tempo você deve reter dados no Log Analytics. Os dados ingeridos no espaço de trabalho do Log Analytics podem ser retidos sem custo adicional durante os primeiros 31 dias. Considere as necessidades gerais ao configurar a retenção padrão no nível do espaço de trabalho do Log Analytics e as necessidades específicas ao configurar a retenção de dados por tipo de dados, que pode ser tão baixa quanto quatro dias. Por exemplo, embora os dados de desempenho precisem ser retidos apenas por um curto período de tempo, os logs de segurança geralmente precisam ser retidos por mais tempo.

• Considere usar a exportação de dados do espaço de trabalho do Log Analytics para reter dados por mais de 730 dias.

• Considere usar o preço do Nível de Compromisso com base no volume de ingestão de dados.

Microsoft Defender for Cloud (anteriormente conhecido como Central de Segurança do Azure)

• Analise a área de design crítica de segurança, governança e conformidade para entender como usar o Microsoft Defender for Cloud para proteger e proteger seus clusters Kubernetes habilitados para Azure Arc.
• Consulte as informações de preços do Microsoft Defender for Containers.
• Considere implantar a pasta de trabalho de estimativa de custos do Microsoft Defender for Containers para entender as estimativas de custo para usar o Microsoft Defender for Containers para proteger seus clusters Kubernetes habilitados para Azure Arc.

Configuração do Kubernetes GitOps

• Analise os preços de configuração do Kubernetes GitOps.

• Analise a área de design crítica do fluxo de trabalho de CI/CD para encontrar práticas recomendadas e recomendações para gerenciar e monitorar a configuração do Kubernetes GitOps em seus clusters Kubernetes habilitados para Azure Arc.

• Use a Política do Azure para Kubernetes para impor e garantir uma configuração consistente em todos os seus clusters Kubernetes habilitados para Azure Arc.

• Use as consultas do Azure Resource Graph para revisar o número de núcleos que você tem para clusters Kubernetes habilitados para Azure Arc e estimar o custo de habilitar a configuração do Kubernetes GitOps.

  Resources
  | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount)
  | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount
  | where type =~ 'Microsoft.Kubernetes/connectedClusters'
  | order by TotalCoreCount
  

• Use o Microsoft Cost Management para entender os custos de configuração do Kubernetes GitOps.

  

Azure Policy para o Kubernetes

• Analise a Política do Azure para preços do Kubernetes.
• Analise a área de design crítica de segurança, governança e conformidade para aprender as práticas recomendadas e recomendações para implementar a Política do Azure para Kubernetes. Essas práticas recomendadas incluem:
  • Impondo a marcação para melhor visibilidade de custos em clusters
  • Impondo a configuração do Kubernetes GitOps
  • Controlando a habilitação dos serviços do Azure.

Microsoft Sentinel

• Consulte os preços do Microsoft Sentinel.
• Use a Calculadora de Preços do Azure para estimar os custos do Microsoft Sentinel para sua organização.

• Use o Microsoft Sentinel Cost Management and Billing para entender os custos de análise do Microsoft Sentinel.

  

• Analise os custos de retenção de dados para dados ingeridos no espaço de trabalho do Log Analytics usado pelo Microsoft Sentinel.

• Filtre o nível certo de logs e eventos para seus clusters Kubernetes habilitados para Azure Arc a serem coletados no espaço de trabalho do Log Analytics.

• Use as consultas do Log Analytics e a pasta de trabalho Relatório de Uso do Espaço de Trabalho para entender suas tendências de ingestão de dados.

• Crie um manual de gerenciamento de custos para enviar notificações se seu espaço de trabalho do Microsoft Sentinel exceder seu orçamento.

• O Microsoft Sentinel integra-se com outros serviços do Azure para fornecer capacidades melhoradas. Analise os detalhes de preços desses serviços.

• Considere usar o preço do Nível de Compromisso com base no volume de ingestão de dados.

• Considere separar dados operacionais não relacionados à segurança em um espaço de trabalho diferente do Azure Log Analytics.

Azure Key Vault

• Reveja os preços do Azure Key Vault.

• Analise as recomendações de segurança e governança para entender como você pode usar o cofre da Chave do Azure para gerenciar segredos e certificados em seus clusters Kubernetes habilitados para Arco do Azure.

• Use as informações do Azure Key Vault para monitorar operações secretas.

  

Próximos passos

Para obter mais informações sobre sua jornada de nuvem híbrida e multicloud, consulte os seguintes artigos:

• Analise os pré-requisitos para o Kubernetes habilitado para Azure Arc.
• Analise as distribuições Kubernetes validadas para o Kubernetes habilitado para Azure Arc.
• Saiba como gerenciar ambientes híbridos e multicloud.
• Experimente cenários automatizados do Kubernetes habilitados para Azure Arc com o Azure Arc Jumpstart.
• Saiba mais sobre o Azure Arc através do caminho de aprendizagem do Azure Arc.
• Analise as práticas recomendadas e recomendações do Cloud Adoption Framework para gerenciar com eficiência seus custos de nuvem.
• Consulte as Perguntas Frequentes - Azure Arc-enabled para encontrar respostas para as perguntas mais comuns.