你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

已启用 Azure Arc 的 Kubernetes 的成本治理

成本治理是实施策略以控制你在 Azure 中使用的服务成本的持续过程。 本文档介绍了在使用已启用 Azure Arc 的 Kubernetes 时要记住的成本治理注意事项和建议。

已启用 Azure Arc 的 Kubernetes 的成本

已启用 Azure Arc 的 Kubernetes 提供两种类型的服务：

• 免费提供的 Azure Arc 控制平面功能，包括：

  • 通过 Azure 管理组和标记来组织资源。
  • 通过 Azure Resource Graph 进行搜索和索引编制。
  • 通过订阅或资源组级别的 Azure 基于角色的访问控制 (RBAC) 进行访问控制。
  • 通过模板和扩展实现自动化。

• 与已启用 Azure Arc 的 Kubernetes 一起使用的 Azure 服务根据其使用情况产生成本。 这些服务包括：

  • Kubernetes GitOps 配置
  • 适用于 Kubernetes 的 Azure Policy
  • Azure Monitor 容器见解
  • 适用于容器的 Microsoft Defender
  • Microsoft Sentinel
  • Azure Key Vault

注意

与已启用 Azure Arc 的 Kubernetes 一起使用的 Azure 服务的计费方式与 Azure Kubernetes 服务的计费方式相同。

注意

如果已启用 Azure Arc 的 Kubernetes 群集位于 Azure Stack HCI 上的 AKS 中，则已包含 Kubernetes GitOps 配置，你无需额外付费。

设计注意事项

• 治理：为混合群集定义一个治理计划，该计划将转化为 Azure 策略、标记、命名标准和最低特权控制。

• Azure Monitor 容器见解：Azure Monitor 容器见解通过指标 API 从 Kubernetes 中提供的控制器、节点和容器收集性能指标，从而提供遥测可见性。 容器日志也会被收集。 此服务按数据引入量、保留期和导出次数计费。

• Microsoft Defender for Cloud：Microsoft Defender for Cloud 以两种模式提供：

  未启用增强的安全性功能（免费） - 当你首次在 Azure 门户中访问工作负载保护仪表板时，或者通过 API 以编程方式启用后，会在你的所有 Azure 订阅上免费启用 Microsoft Defender for Cloud。 此免费模式提供安全分数及其相关功能：适用于 Azure 资源的安全策略、持续的安全评估和切实可行的安全建议。

  具有所有增强安全功能（付费）- 启用 Microsoft Defender for Cloud 增强安全功能可将免费模式的功能扩展到私有云和其他公有云中运行的工作负载，从而在混合云工作负载之间提供统一的安全管理和威胁防护。

• Kubernetes GitOps 配置：Kubernetes GitOps 配置使用 GitOps 提供配置管理和应用程序部署。 管理员可以在 Git 中声明他们的群集配置和应用程序。 然后，开发团队可以使用拉取请求和他们熟悉的其他工具（现有 Azure Pipelines、Git、Kubernetes 清单、Helm 图表）轻松地将应用程序部署到已启用 Azure Arc 的 Kubernetes 群集中，并在生产环境中进行更新。 费用按月计收，基于群集中每小时使用的 vCPU 数量。 无论连接了多少个存储库，群集都只产生一次配置管理费用。

  注意

  群集可以在未与 Azure 持续连接的情况下运行。 断开连接后，每个群集的费用将根据在 Azure Arc 中注册的 vCPU 的上次已知数量确定。当群集连接到 Azure 时，vCPU 计数每隔 5 分钟更新一次。 每个群集的前 6 个 vCPU 是免费附送的。

  如果群集将与 Azure 断开连接，并且你不想支付 Kubernetes 配置费用，可以删除这些配置。

• 适用于 Kubernetes 的 Azure Policy：适用于 Kubernetes 的 Azure Policy 扩展 Gatekeeper v3，这是开放策略代理（OPA）的允许控制器 Webhook，以集中一致的方式在群集上应用大规模强制措施和安全措施。 借助 Azure Policy，可以从一个位置管理和报告 Kubernetes 群集的符合性状态。 在公共预览版中，适用于 Kubernetes 的 Azure Policy 目前是免费的。

• Microsoft Sentinel：Microsoft Sentinel 在整个企业中提供智能安全分析。 其分析数据存储在 Azure Monitor Log Analytics 工作区中。 我们将根据 Microsoft Sentinel 中为分析引入的数据量和已启用 Azure Arc 的 Kubernetes 群集的 Azure Monitor Log Analytics 工作区中存储的数据量对 Microsoft Sentinel 进行计费。

• Azure 密钥保管库：Azure 密钥保管库使用适用于机密存储 CSI 驱动程序的 Azure 密钥保管库提供程序，可通过 CSI 卷将 Azure 密钥保管库作为机密存储与 Kubernetes 群集集成。 按照对证书、密钥和机密执行的操作进行 Azure 密钥保管库计费。

设计建议

以下部分包含适用于已启用 Azure Arc 的 Kubernetes 成本治理的设计建议。

注意

提供的屏幕截图中显示的定价信息是用于演示 Azure 计算器的示例，并不反映你可能在自己的 Azure Arc 部署中看到的实际定价信息。

调控

• 查看资源组织和治理规程关键设计领域中的建议，以实施治理策略、组织资源来更好地控制成本和提高可见性，并通过对加入和管理使用最低访问特权模型来避免不必要的成本。

用于容器的 Azure Monitor

• 查看管理和监视关键设计领域以规划监视策略，并确定监视已启用 Azure Arc 的 Kubernetes 群集以优化成本的要求。

• 查看 用于容器的 Azure Monitor 定价。

• 使用 Azure 定价计算器估算已启用 Azure Arc 的 Kubernetes 监视功能产生的 Azure Log Analytics 引入、警报和通知成本。

  

  

• 使用 Microsoft成本管理 查看用于容器的 Azure Monitor 的成本。

  

• 使用 Log Analytics 工作区见解解决方案深入了解监视的 Azure Kubernetes 群集、收集的日志及其集成率，从而避免不必要的引入成本。

  

• 使用内置的 Azure Monitor 工作簿了解群集的可计费监视数据。

  

• 查看有关减少 Log Analytics 引入数据量的提示，以帮助正确配置数据引入。

• 考虑要在 Log Analytics 中保留数据多长时间。 引入到 Log Analytics 工作区中的数据最初可以免费保留 31 天。 在配置 Log Analytics 工作区级别的默认保留期时考虑一般需求，在按数据类型配置数据保留期（最少四天）时考虑特定需求。 例如，虽然性能数据可能只需保留较短时间，但安全日志通常需要保留较长时间。

• 考虑使用 Log Analytics 工作区数据导出将数据保留 730 天以上。

• 考虑根据数据引入量使用承诺层级定价。

Microsoft Defender for Cloud（以前称为 Azure 安全中心）

• 查看安全、治理和合规性关键设计领域，了解如何使用 Microsoft Defender for Cloud 保护已启用 Azure Arc 的 Kubernetes 群集。
• 查看 Microsoft Defender for Containers 定价信息。
• 考虑部署 Microsoft Defender for Containers 成本估算工作簿，以了解使用 Microsoft Defender for Containers 保护已启用 Azure Arc 的 Kubernetes 群集所产生的大致成本。

Kubernetes GitOps 配置

• 查看 Kubernetes GitOps 配置定价。

• 查看 CI/CD 工作流关键设计领域，找到有关在已启用 Azure Arc 的 Kubernetes 群集上管理和监视 Kubernetes GitOps 配置的最佳做法和建议。

• 使用适用于 Kubernetes 的 Azure Policy 在所有已启用 Azure Arc 的 Kubernetes 群集中强制实施并确保一致的配置。

• 使用 Azure Resource Graph 查询来查看已启用 Azure Arc 的 Kubernetes 群集的核心数量，并估算启用 Kubernetes GitOps 配置的成本。

  Resources
  | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount)
  | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount
  | where type =~ 'Microsoft.Kubernetes/connectedClusters'
  | order by TotalCoreCount
  

• 使用 Microsoft成本管理 来了解 Kubernetes GitOps 配置成本。

  

适用于 Kubernetes 的 Azure Policy

• 查看适用于 Kubernetes 的 Azure Policy 定价。
• 查看安全、治理和合规性关键设计领域，了解有关实施适用于 Kubernetes 的 Azure Policy 的最佳做法和建议。 这些最佳做法包括：
  • 强制实施标记以提高跨群集的成本可见性
  • 强制实施 Kubernetes GitOps 配置
  • 控制 Azure 服务的启用。

Microsoft Sentinel

• 查看 Microsoft Sentinel 定价。
• 使用 Azure 定价计算器估算组织的 Microsoft Sentinel 成本。

• 使用 Microsoft Sentinel 成本管理和计费了解 Microsoft Sentinel 分析成本。

  

• 查看引入到 Microsoft Sentinel 所用 Log Analytics 工作区中的数据的数据保留成本。

• 筛选已启用 Azure Arc 的 Kubernetes 群集的、要在 Log Analytics 工作区中收集的正确级别的日志和事件。

• 使用 Log Analytics 查询和工作区使用情况报告工作簿了解数据引入趋势。

• 创建一个成本管理 playbook，以便在 Microsoft Sentinel 工作区超出预算时发送通知。

• Microsoft Sentinel 与其他 Azure 服务集成，以提供增强的功能。 查看这些服务的定价详细信息。

• 考虑根据数据引入量使用承诺层级定价。

• 考虑将非安全性操作数据隔离到不同的 Azure Log Analytics 工作区中。

Azure Key Vault

• 查看 Azure 密钥保管库定价。

• 查看安全和治理建议，了解如何使用 Azure 密钥保管库来管理已启用 Azure Arc 的 Kubernetes 群集上的机密和证书。

• 使用 Azure 密钥保管库见解来监视机密操作。

  

后续步骤

有关混合云和多云旅程的详细信息，请参阅以下文章：

• 查看已启用 Azure Arc 的 Kubernetes 的先决条件。
• 查看启用 Azure Arc 的 Kubernetes 的经过验证的 Kubernetes 发行版。
• 了解如何管理混合和多云环境。
• 使用 Azure Arc 快速入门体验已启用 Azure Arc 的 Kubernetes 自动化方案。
• 通过 Azure Arc 学习路径了解有关 Azure Arc 的详细信息。
• 查看云采用框架最佳做法和建议，以有效管理云成本。
• 参阅常见问题解答 - 已启用 Azure Arc，以获取最常见问题的解答。