Kostnadsstyrning för Azure Arc-aktiverade Kubernetes

Kostnadsstyrning är den kontinuerliga processen för att implementera principer för att kontrollera kostnaderna för tjänster som du använder i Azure. Det här dokumentet innehåller överväganden och rekommendationer för kostnadsstyrning som du kan tänka på när du använder Azure Arc-aktiverade Kubernetes.

Kostnad för Azure Arc-aktiverade Kubernetes

Azure Arc-aktiverade Kubernetes tillhandahåller två typer av tjänster:

• Azure Arc-kontrollplansfunktioner, som tillhandahålls utan extra kostnad och inkluderar:

  • Resursorganisation via Azure-hanteringsgrupper och taggar.
  • Söka och indexera via Azure Resource Graph.
  • Åtkomstkontroll via rollbaserad åtkomstkontroll i Azure (RBAC) på prenumerations- eller resursgruppsnivå.
  • Automatisering via mallar och tillägg.

• Azure-tjänster som används tillsammans med Azure Arc-aktiverade Kubernetes medför kostnader beroende på deras användning. Några exempel är:

  • Kubernetes GitOps-konfiguration
  • Azure Policy för Kubernetes
  • Azure Monitor Container Insights
  • Microsoft Defender för containrar
  • Microsoft Sentinel
  • Azure Key Vault

Kommentar

Fakturering för Azure-tjänster som används tillsammans med Azure Arc-aktiverade Kubernetes är samma som fakturering för Azure Kubernetes Service.

Kommentar

Om ditt Azure Arc-aktiverade Kubernetes-kluster finns på AKS i Azure Stack HCI ingår Kubernetes GitOps-konfiguration utan extra kostnad.

Utformningsbeaktanden

• Styrning: Definiera en styrningsplan för dina hybridkluster som översätts till Azure-principer, taggar, namngivningsstandarder och kontroller med lägsta behörighet.

• Azure Monitor Container Insights:Azure Monitor Container Insights ger telemetrisynlighet genom att samla in prestandamått från kontrollanter, noder och containrar som är tillgängliga i Kubernetes via Mått-API:et. Containerloggar samlas också in. Detta faktureras av datainmatning, kvarhållning och exporter.

• Microsoft Defender för molnet: Microsoft Defender för molnet erbjuds i två lägen:

  Utan förbättrade säkerhetsfunktioner (kostnadsfri) - Microsoft Defender för molnet är aktiverat kostnadsfritt för alla dina Azure-prenumerationer när du besöker instrumentpanelen för arbetsbelastningsskydd i Azure-portalen för första gången, eller om du aktiverar den programmatiskt via API. Det här kostnadsfria läget ger säkerhetspoängen och dess relaterade funktioner: säkerhetsprincip, kontinuerlig säkerhetsbedömning och användbara säkerhetsrekommendationer för dina Azure-resurser.

  Med alla förbättrade säkerhetsfunktioner (betald) – Om du aktiverar Microsoft Defender för molnet utökad säkerhet utökas funktionerna i det kostnadsfria läget till arbetsbelastningar som körs i privata och andra offentliga moln, vilket ger enhetlig säkerhetshantering och skydd mot hot i dina hybridmolnarbetsbelastningar.

• Kubernetes GitOps-konfiguration:Kubernetes GitOps-konfiguration ger konfigurationshantering och programdistribution med GitOps. Administratörer kan deklarera sin klusterkonfiguration och sina program i Git. Utvecklingsteam kan sedan använda pull-begäranden och andra verktyg som de är bekanta med (befintliga Azure Pipelines, Git, Kubernetes-manifest, Helm-diagram) för att enkelt distribuera program till Azure Arc-aktiverade Kubernetes-kluster och göra uppdateringar i produktion. Fakturering debiteras varje månad och baseras på antalet virtuella processorer/timme i klustret. Kluster medför en enda avgift för konfigurationshantering, oavsett hur många lagringsplatser som är anslutna.

  Kommentar

  Kluster kan fungera utan en konstant anslutning till Azure. När de kopplas från bestäms varje klusters debitering baserat på det senaste kända antalet vCPU:er som registrerades med Azure Arc. Antalet virtuella processorer uppdateras var femte minut medan klustret är anslutet till Azure. Varje klusters första 6 vCPU:er ingår utan kostnad.

  Om klustret kopplas från från Azure och du inte vill debiteras för Kubernetes-konfigurationer kan du ta bort konfigurationerna.

• Azure Policy for Kubernetes:Azure Policy for Kubernetes utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. Azure Policy gör det möjligt att hantera och rapportera om efterlevnadstillståndet för dina Kubernetes-kluster från en plats. För närvarande kostar det ingenting för Azure Policy för Kubernetes i den offentliga förhandsversionen.

• Microsoft Sentinel:Microsoft Sentinel tillhandahåller intelligent säkerhetsanalys i hela företaget. Data för analysen lagras på en Azure Monitor Log Analytics-arbetsyta. Microsoft Sentinel faktureras baserat på mängden data som matas in för analys i Microsoft Sentinel och lagras på Azure Monitor Log Analytics-arbetsytan för dina Azure Arc-aktiverade Kubernetes-kluster.

• Azure Key Vault:Azure Key Vault Provider for Secrets Store CSI Driver möjliggör integrering av ett Azure Key Vault som ett arkiv med hemligheter med ett Kubernetes-kluster via en CSI-volym. Azure Key Vault faktureras av de åtgärder som utförs på certifikat, nycklar och hemligheter.

Designrekommendationer

Följande avsnitt innehåller designrekommendationer för Azure Arc-aktiverad Kubernetes-kostnadsstyrning.

Kommentar

Prisinformation som visas i de angivna skärmbilderna är exempel och tillhandahålls för att tillåta en demonstrerande Azure-kalkylator och återspeglar inte den faktiska prisinformation som du kan se i dina egna Azure Arc-distributioner.

Kontroll

• Granska rekommendationerna i det kritiska designområdet för resursorganisation och styrningsområden för att implementera en styrningsstrategi, organisera dina resurser för bättre kostnadskontroll och synlighet och undvik onödiga kostnader genom att använda den minst privilegierade åtkomstmodellen för registrering och hantering.

Azure Monitor för containrar

• Granska området Hantering och övervakning av kritisk design för att planera din övervakningsstrategi och besluta om dina krav för övervakning av Azure Arc-aktiverade Kubernetes-kluster för att optimera kostnaderna.

• Granska prissättningen för Azure Monitor for Containers.

• Använd Priskalkylatorn för Azure för att få en uppskattning av Azure Arc-aktiverade Kubernetes-övervakningskostnader för Azure Log Analytics-inmatning, aviseringar och meddelanden.

  

  

• Använd Microsoft Cost Management för att visa kostnaderna för Azure Monitor för containrar.

  

• Använd Log Analytics-arbetsyteinsiktslösningen för att få insikter om övervakade Azure Kubernetes-kluster, insamlade loggar och deras integreringshastighet så att du kan undvika onödiga inmatningskostnader.

  

• Använd inbyggda Azure Monitor-arbetsböcker för att förstå dina klusters fakturerbara övervakningsdata.

  

• Granska tipsen för att minska Log Analytics-inmatningsdatavolymen så att du kan konfigurera datainmatning korrekt.

• Fundera på hur länge du ska behålla data i Log Analytics. Data som matas in på Log Analytics-arbetsytan kan behållas utan extra kostnad under de första 31 dagarna. Överväg allmänna behov när du konfigurerar standardkvarhållning på Log Analytics-arbetsyta och specifika behov när du konfigurerar datakvarhållning efter datatyp, vilket kan vara så lågt som fyra dagar. Även om prestandadata kanske bara behöver behållas under en kort tid, behöver säkerhetsloggar ofta behållas längre.

• Överväg att använda Log Analytics-dataexport för att behålla data i mer än 730 dagar.

• Överväg att använda priser på åtagandenivå baserat på din datainmatningsvolym.

Microsoft Defender för molnet (kallades tidigare Azure Security Center)

• Granska designområdet Säkerhet, styrning och efterlevnad för att förstå hur du använder Microsoft Defender för molnet för att skydda dina Azure Arc-aktiverade Kubernetes-kluster.
• Granska prisinformationen för Microsoft Defender för containrar.
• Överväg att distribuera kostnadsuppskattningsarbetsboken för Microsoft Defender for Containers för att förstå kostnadsuppskattningarna för att använda Microsoft Defender för containrar för att skydda dina Azure Arc-aktiverade Kubernetes-kluster.

Kubernetes GitOps-konfiguration

• Granska Kubernetes GitOps-konfigurationspriser.

• Granska det kritiska designområdet för CI/CD-arbetsflödet för att hitta metodtips och rekommendationer för att hantera och övervaka Kubernetes GitOps-konfiguration på dina Azure Arc-aktiverade Kubernetes-kluster.

• Använd Azure Policy för Kubernetes för att framtvinga och säkerställa konsekvent konfiguration i alla Dina Azure Arc-aktiverade Kubernetes-kluster.

• Använd Azure Resource Graph-frågor för att granska antalet kärnor som du har för Azure Arc-aktiverade Kubernetes-kluster och beräkna kostnaden för att aktivera Kubernetes GitOps-konfiguration.

  Resources
  | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount)
  | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount
  | where type =~ 'Microsoft.Kubernetes/connectedClusters'
  | order by TotalCoreCount
  

• Använd Microsoft Cost Management för att förstå Kubernetes GitOps-konfigurationskostnader.

  

Azure Policy för Kubernetes

• Granska prissättningen för Azure Policy for Kubernetes.
• Gå igenom det kritiska designområdet Säkerhet, styrning och efterlevnad för att lära dig metodtips och rekommendationer för att implementera Azure Policy för Kubernetes. Dessa metodtips är:
  • Framtvinga taggning för bättre kostnadssynlighet mellan kluster
  • Framtvinga Kubernetes GitOps-konfiguration
  • Kontrollera aktiveringen av Azure-tjänster.

Microsoft Sentinel

• Granska Priser för Microsoft Sentinel.
• Använd Priskalkylatorn för Azure för att beräkna Microsoft Sentinel-kostnader för din organisation.

• Använd Microsoft Sentinel Cost Management och fakturering för att förstå Microsoft Sentinel-analyskostnader.

  

• Granska kostnaderna för datakvarhållning för data som matas in på Log Analytics-arbetsytan som Microsoft Sentinel använder.

• Filtrera rätt nivå av loggar och händelser för dina Azure Arc-aktiverade Kubernetes-kluster som ska samlas in på Log Analytics-arbetsytan.

• Använd Log Analytics-frågor och arbetsytans användningsrapportarbetsbok för att förstå dina datainmatningstrender.

• Skapa en spelbok för kostnadshantering för att skicka meddelanden om din Microsoft Sentinel-arbetsyta överskrider din budget.

• Microsoft Sentinel integreras med andra Azure-tjänster för att tillhandahålla förbättrade funktioner. Granska prisinformationen för dessa tjänster.

• Överväg att använda priser på åtagandenivå baserat på din datainmatningsvolym.

• Överväg att separera driftdata som inte är säkerhetsrelaterade till en annan Azure Log Analytics-arbetsyta.

Azure Key Vault

• Granska prissättningen för Azure Key Vault.

• Granska rekommendationerna för säkerhet och styrning för att förstå hur du kan använda Azure Key Vault för att hantera hemligheter och certifikat i dina Azure Arc-aktiverade Kubernetes-kluster.

• Använd Azure Key Vault-insikter för att övervaka hemligheter.

  

Nästa steg

Mer information om din hybrid- och molnresa med flera moln finns i följande artiklar:

• Granska förutsättningarna för Azure Arc-aktiverade Kubernetes.
• Granska de verifierade Kubernetes-distributionerna för Azure Arc-aktiverade Kubernetes.
• Lär dig hur du hanterar hybridmiljöer och miljöer med flera moln.
• Upplev automatiserade Azure Arc-aktiverade Kubernetes-scenarier med Azure Arc Jumpstart.
• Läs mer om Azure Arc via utbildningsvägen Azure Arc.
• Granska bästa praxis och rekommendationer för Cloud Adoption Framework för att effektivt hantera dina molnkostnader.
• Se Vanliga frågor och svar – Azure Arc-aktiverad för att hitta svar på de vanligaste frågorna.