Управление затратами для Kubernetes с поддержкой Azure Arc
Управление затратами — это непрерывный процесс реализации политик для управления затратами на службы, используемые в Azure. В этом документе содержатся рекомендации по управлению затратами и рекомендации, которые следует учитывать при использовании Kubernetes с поддержкой Azure Arc.
Стоимость Kubernetes с поддержкой Azure Arc
Kubernetes с поддержкой Azure Arc предоставляет два типа служб:
Функциональность плоскости управления Azure Arc, которая предоставляется без дополнительных затрат и включает в себя:
- Организация ресурсов с помощью групп управления Azure и тегов.
- Поиск и индексирование с помощью Azure Resource Graph.
- Управление доступом с помощью управления доступом на основе ролей Azure (RBAC) на уровне подписки или группы ресурсов.
- Автоматизация с помощью шаблонов и расширений.
Службы Azure, используемые вместе с Kubernetes с поддержкой Azure Arc, несут расходы в соответствии с их использованием. К этим службам относятся:
Примечание.
Выставление счетов для служб Azure, используемых в сочетании с Kubernetes с поддержкой Azure Arc, совпадает с выставлением счетов для Служба Azure Kubernetes.
Примечание.
Если кластер Kubernetes с поддержкой Azure Arc включен в AKS в Azure Stack HCI, конфигурация Kubernetes GitOps включена без дополнительной платы.
Рекомендации по проектированию
Управление. Определите план управления для гибридных кластеров, который преобразуется в политики Azure, теги, стандарты именования и элементы управления наименьшими привилегиями.
Azure Monitor Container Insights: Azure Monitor Container Insights обеспечивает видимость телеметрии, собирая метрики производительности с контроллеров, узлов и контейнеров, доступных в Kubernetes через API метрик. Также собираются журналы контейнеров. За это взимается плата за прием данных, хранение и экспорт.
Microsoft Defender для облака: Microsoft Defender для облака предлагается в двух режимах:
Без расширенных функций безопасности (бесплатно) - Microsoft Defender для облака включен бесплатно для всех подписок Azure при первом посещении панели мониторинга защиты рабочей нагрузки в портал Azure или при программном включении через API. Этот бесплатный режим предоставляет оценку безопасности и связанные с ней функции: политику безопасности, непрерывную оценку безопасности и практические рекомендации по безопасности для ресурсов Azure.
С помощью всех функций расширенной безопасности (Платные) — включение Microsoft Defender для облака расширенной безопасности расширяет возможности бесплатного режима для рабочих нагрузок, работающих в частных и других общедоступных облаках, обеспечивая унифицированное управление безопасностью и защиту от угроз в гибридных облачных рабочих нагрузках.
Конфигурация Kubernetes GitOps: конфигурация Kubernetes GitOps обеспечивает управление конфигурацией и развертывание приложений с помощью GitOps. Администраторы могут объявлять конфигурацию кластера и приложения в Git. Затем команды разработчиков могут использовать запросы на вытягивание и другие средства, с которыми они знакомы (существующие манифесты Azure Pipelines, Git, Kubernetes, диаграммы Helm) для легкого развертывания приложений в кластерах Kubernetes с поддержкой Azure Arc и обновления в рабочей среде. Плата взимается ежемесячно и зависит от количества виртуальных ЦП в час в кластере. Кластеры несут отдельную плату за управление конфигурацией, независимо от того, сколько репозиториев подключено.
Примечание.
Кластеры могут работать без постоянного подключения к Azure. При отключении плата каждого кластера определяется на основе последнего известного числа виртуальных ЦП, зарегистрированных в Azure Arc. Количество виртуальных ЦП обновляется каждые 5 минут, пока кластер подключен к Azure. Первые 6 виртуальных ЦП каждого кластера включены без затрат.
Если кластер будет отключен от Azure и вы не хотите взимать плату за конфигурации Kubernetes, можно удалить конфигурации.
Политика Azure для Kubernetes: Политика Azure для Kubernetes расширяет gatekeeper версии 3, веб-перехватчик контроллера допуска для агента Open Policy (OPA), чтобы применять масштабируемые принудительное применение и защиту в кластерах централизованно, согласованно. Политика Azure позволяет управлять состоянием соответствия кластеров Kubernetes и сообщать о нем из одного места. В настоящее время нет затрат на Политика Azure для Kubernetes в общедоступной предварительной версии.
Microsoft Sentinel: Microsoft Sentinel предоставляет интеллектуальную аналитику безопасности в вашей организации. Данные для его анализа хранятся в рабочей области Azure Monitor Log Analytics. Плата за Microsoft Sentinel взимается на основе объема данных, которые передаются для анализа в Microsoft Sentinel и хранятся в рабочей области Azure Monitor Log Analytics для кластеров Kubernetes с поддержкой Azure Arc.
Azure Key Vault: поставщик Azure Key Vault для драйвера CSI хранилища секретов позволяет интегрировать Azure Key Vault в качестве хранилища секретов с кластером Kubernetes с помощью тома CSI. Azure Key Vault оплачивается операциями, выполняемыми с сертификатами, ключами и секретами.
Рекомендации по проектированию
В следующих разделах содержатся рекомендации по проектированию для управления затратами с поддержкой Azure Arc.
Примечание.
Сведения о ценах, показанные на приведенных снимках экрана, являются примерами и предоставляются для разрешения демонстрации калькулятора Azure и не отражают фактические сведения о ценах, которые могут отображаться в собственных развертываниях Azure Arc.
Система управления
- Ознакомьтесь с рекомендациями в организации ресурсов и дисциплинах управления, критически важных областях проектирования, чтобы реализовать стратегию управления, упорядочить ресурсы для улучшения контроля затрат и видимости, и избежать ненужных затрат с помощью наименее привилегированной модели доступа для подключения и управления.
Azure Monitor для контейнеров
Просмотрите область разработки управления и мониторинга, чтобы спланировать стратегию мониторинга и решить ваши требования к мониторингу кластеров Kubernetes с поддержкой Azure Arc для оптимизации затрат.
Просмотрите цены на Azure Monitor для контейнеров.
Используйте калькулятор цен Azure, чтобы получить оценку затрат на мониторинг Kubernetes с поддержкой Azure Arc для приема, оповещений и уведомлений Azure Log Analytics.
Используйте службу "Управление затратами Майкрософт" , чтобы просмотреть затраты на Azure Monitor для контейнеров.
Используйте решение аналитики рабочей области Log Analytics для получения аналитических сведений об отслеживаемых кластерах Azure Kubernetes, собранных журналов и их скорости интеграции, чтобы избежать ненужных затрат на прием.
Используйте встроенные книги Azure Monitor для понимания оплачиваемых данных мониторинга кластеров .
Ознакомьтесь с советами по сокращению объема данных приема log Analytics, чтобы помочь вам правильно настроить прием данных.
Рассмотрим, сколько времени следует хранить данные в Log Analytics. Данные, которые передаются в рабочую область Log Analytics, можно хранить без дополнительной платы за первые 31 дней. Учитывайте общие потребности при настройке уровня хранения рабочей области Log Analytics по умолчанию и конкретных потребностей при настройке хранения данных по типу данных, что может быть не более четырех дней. Например, хотя данные о производительности могут храниться только в течение короткого времени, журналы безопасности часто должны храниться дольше.
Рекомендуется использовать экспорт данных рабочей области Log Analytics для хранения данных дольше 730 дней.
Рассмотрите возможность использования цен на уровне обязательств на основе объема приема данных.
Microsoft Defender для облака (прежнее название — Центр безопасности Azure)
- Ознакомьтесь с критически важной областью проектирования безопасности, управления и соответствия требованиям, чтобы понять, как использовать Microsoft Defender для облака для защиты и защиты кластеров Kubernetes с поддержкой Azure Arc.
- Просмотрите сведения о ценах на Microsoft Defender для контейнеров.
- Рассмотрите возможность развертывания книги оценки затрат в Microsoft Defender для контейнеров, чтобы понять оценки затрат на использование Microsoft Defender для контейнеров для защиты кластеров Kubernetes с поддержкой Azure Arc.
Конфигурация Kubernetes GitOps
Просмотрите цены на конфигурацию Kubernetes GitOps.
Ознакомьтесь с критически важной областью разработки рабочего процесса CI/CD, чтобы найти рекомендации и рекомендации по управлению конфигурацией Kubernetes GitOps в кластерах Kubernetes с поддержкой Azure Arc.
Используйте Политика Azure для Kubernetes, чтобы обеспечить согласованность конфигурации во всех кластерах Kubernetes с поддержкой Azure Arc.
Используйте запросы Azure Resource Graph , чтобы просмотреть количество ядер, которые у вас есть для кластеров Kubernetes с поддержкой Azure Arc, и оценить стоимость включения конфигурации Kubernetes GitOps.
Resources | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount) | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount | where type =~ 'Microsoft.Kubernetes/connectedClusters' | order by TotalCoreCountИспользуйте microsoft Cost Management , чтобы понять затраты на конфигурацию Kubernetes GitOps.
Политика Azure для Kubernetes
- Просмотрите Политика Azure цен на Kubernetes.
- Просмотрите критически важные области проектирования безопасности, управления и соответствия требованиям, чтобы узнать о рекомендациях и рекомендациях по реализации Политика Azure для Kubernetes. К этим рекомендациям относятся следующие рекомендации.
- Применение тегов для повышения видимости затрат в кластерах
- Применение конфигурации Kubernetes GitOps
- Управление включением служб Azure.
Microsoft Sentinel
- Ознакомьтесь с ценами на Microsoft Sentinel.
- Используйте калькулятор цен Azure, чтобы оценить затраты Microsoft Sentinel для вашей организации.
Используйте Microsoft Sentinel Cost Management и Выставление счетов , чтобы понять затраты на анализ Microsoft Sentinel.
Просмотрите затраты на хранение данных для приема данных в рабочую область Log Analytics Microsoft Sentinel.
Отфильтруйте правильный уровень журналов и событий для кластеров Kubernetes с поддержкой Azure Arc, которые будут собираться в рабочей области Log Analytics.
Используйте запросы Log Analytics и книгу отчета об использовании рабочей области, чтобы понять тенденции приема данных.
Создайте сборник схем управления затратами для отправки уведомлений, если ваша рабочая область Microsoft Sentinel превышает бюджет.
Microsoft Sentinel интегрируется с другими службами Azure, чтобы обеспечить расширенные возможности. Просмотрите сведения о ценах для этих служб.
Рассмотрите возможность использования цен на уровне обязательств на основе объема приема данных.
Рассмотрите возможность разделения операционных данных, не относящихся к безопасности , в другую рабочую область Azure Log Analytics.
Azure Key Vault
Ознакомьтесь с ценами на Azure Key Vault.
Ознакомьтесь с рекомендациями по безопасности и управлению , чтобы понять, как использовать хранилище ключей Azure для управления секретами и сертификатами в кластерах Kubernetes с поддержкой Azure Arc.
Используйте аналитику Azure Key Vault для мониторинга операций секретов.
Следующие шаги
Дополнительные сведения о пути гибридного и многооблачного облака см. в следующих статьях:
- Просмотрите предварительные требования для Kubernetes с поддержкой Azure Arc.
- Просмотрите проверенные дистрибутивы Kubernetes для Kubernetes с поддержкой Azure Arc.
- Узнайте, как управлять гибридными и многооблачными средами.
- Использование автоматизированных сценариев Kubernetes с поддержкой Azure Arc с помощью Azure Arc Jumpstart.
- Дополнительные сведения о Azure Arc см. в схеме обучения Azure Arc.
- Ознакомьтесь с рекомендациями и рекомендациями cloud Adoption Framework для эффективного управления затратами на облако.
- Ознакомьтесь с часто задаваемыми вопросами с поддержкой Azure Arc, чтобы найти ответы на наиболее распространенные вопросы.