已啟用 Azure Arc 的 Kubernetes 成本控管

成本控管是實作原則以控制您在 Azure 中使用的服務成本的持續程式。 本檔提供成本控管考慮和建議，讓您在使用已啟用 Azure Arc 的 Kubernetes 時牢記在心。

已啟用 Azure Arc 的 Kubernetes 成本

已啟用 Azure Arc 的 Kubernetes 提供兩種類型的服務：

• Azure Arc 控制平面功能，不需額外費用提供，包括：

  • 透過 Azure 管理群組 和 標籤的資源組織。
  • 透過 Azure Resource Graph 搜尋和編製索引。
  • 透過 訂用帳戶或資源群組層級的 Azure 角色型訪問控制 （RBAC） 進行訪問控制 。
  • 透過範本和延伸模組進行自動化。

• 搭配已啟用 Azure Arc 的 Kubernetes 使用的 Azure 服務會根據其使用量產生成本。 這些服務包括：

  • Kubernetes GitOps 組態
  • 適用於 Kubernetes 的 Azure 原則
  • Azure 監視器容器深入解析
  • 適用於容器的 Microsoft Defender (部分機器翻譯)
  • Microsoft Sentinel
  • Azure Key Vault

注意

與已啟用 Azure Arc 的 Kubernetes 搭配使用的 Azure 服務計費，與 Azure Kubernetes Service 的計費方式相同。

注意

如果您的已啟用 Azure Arc 的 Kubernetes 叢集位於 Azure Stack HCI 上的 AKS 上，則免費包含 Kubernetes GitOps 設定。

設計考量

• 治理： 為您的混合式叢集定義治理計劃，以轉譯為 Azure 原則、標籤、命名標準和最低許可權控制件。

• Azure 監視器 Container Insights：Azure 監視器 Container Insights 透過計量 API 從 Kubernetes 中提供的控制器、節點和容器收集效能計量，以提供遙測可見性。 容器記錄也會一併收集。 這會由數據擷取、保留和導出來計費。

• 適用於雲端的 Microsoft Defender：適用於雲端的 Microsoft Defender 提供兩種模式：

  當您第一次流覽 Azure 入口網站 中的工作負載保護儀錶板時，或透過 API 以程式設計方式啟用工作負載保護儀錶板時，未啟用增強的安全性功能（免費） - 適用於雲端的 Microsoft Defender。 此免費模式提供安全分數及其相關功能：安全策略、持續安全性評量，以及 Azure 資源可採取動作的安全性建議。

  使用所有增強的安全性功能 （付費） - 啟用 適用於雲端的 Microsoft Defender 增強的安全性，會將免費模式的功能延伸至私人和其他公用雲端中執行的工作負載，在整個混合式雲端工作負載中提供統一的安全性管理和威脅防護。

• Kubernetes GitOps 組態：Kubernetes GitOps 組態會使用 GitOps 提供組態管理和應用程式部署。 系統管理員可以在 Git 中宣告其叢集組態和應用程式。 然後，開發小組可以使用他們熟悉的提取要求和其他工具（現有的 Azure Pipelines、Git、Kubernetes 指令清單、Helm 圖表）輕鬆地將應用程式部署到已啟用 Azure Arc 的 Kubernetes 叢集，並在生產環境中進行更新。 計費會每月收費，並根據叢集中的 vCPU/小時數目。 無論有多少存放庫連線，叢集都會產生單一組態管理費用。

  注意

  叢集不需要持續連線至 Azure 即可運作。 中斷連線時，會根據向 Azure Arc 註冊的最後一個已知 vCPU 數目來決定每個叢集的費用。當您的叢集連線到 Azure 時，vCPU 計數會每隔 5 分鐘更新一次。 每個叢集的前 6 個 vCPU 均不收費。

  如果您的叢集與 Azure 中斷連線，而且您不想要支付 Kubernetes 設定的費用，您可以刪除設定。

• 適用於 Kubernetes 的 Azure 原則： 適用於 Kubernetes 的 Azure 原則 擴充 Gatekeeper v3，這是開放原則代理程式 （OPA） 的許可控制站 Webhook，以集中且一致的方式在您的叢集上套用大規模強制執行和保護。 Azure 原則可讓您從一個位置管理和報告 Kubernetes 叢集的合規性狀態。 在公開預覽版中，Kubernetes 目前不需要 Azure 原則。

• Microsoft Sentinel：Microsoft Sentinel 在您的企業中提供智慧型手機安全性分析。 其分析的數據會儲存在 Azure 監視器 Log Analytics 工作區中。 Microsoft Sentinel 會根據擷取的數據量來計費，以在 Microsoft Sentinel 中進行分析，並儲存在已啟用 Azure Arc 的 Kubernetes 叢集的 Azure 監視器 Log Analytics 工作區中。

• Azure 金鑰保存庫：適用於秘密存放區的 Azure 金鑰保存庫 提供者 CSI 驅動程式可讓您透過 CSI 磁碟區將 Azure 金鑰保存庫 整合為具有 Kubernetes 叢集的秘密存放區。 Azure 金鑰保存庫 是由在憑證、金鑰和秘密上執行的作業計費。

設計建議

下列各節包含已啟用 Azure Arc 的 Kubernetes 成本治理設計建議。

注意

提供的螢幕快照中顯示的定價資訊是範例，並提供來允許示範 Azure 計算機，而且不會反映您在自己的 Azure Arc 部署中可能看到的實際定價資訊。

治理

• 檢閱資源組織和治理專業領域中的重要設計領域的建議，以實作治理策略、組織您的資源以取得更好的成本控制和可見度，以及使用最低特殊許可權存取模型進行上線和管理，以避免不必要的成本。

適用於容器的 Azure 監視器

• 檢閱 管理和監視重要設計區域 ，以規劃監視策略，並決定監視已啟用 Azure Arc 的 Kubernetes 叢集以將成本優化的需求。

• 檢閱 適用於容器的 Azure 監視器定價。

• 使用 Azure 定價計算機來估計已啟用 Azure Arc 的 Kubernetes 監視 Azure Log Analytics 擷取、警示和通知的成本。

  

  

• 使用 Microsoft成本管理 來檢視適用於容器的 Azure 監視器成本。

  

• 使用 Log Analytics 工作區深入解析解決方案來取得受監視的 Azure Kubernetes 叢集、收集的記錄及其整合率的深入解析，以便避免不必要的擷取成本。

  

• 使用內 建的 Azure 監視器活 頁簿來瞭解叢集的可計費監視數據。

  

• 檢閱 減少Log Analytics擷取數據磁碟 區的秘訣，以協助您正確設定數據擷取。

• 請考慮您應該在 Log Analytics 中保留數據的時間長度。 擷取到Log Analytics工作區的數據可以在前31天內不收取任何額外費用。 設定 Log Analytics 工作區層級預設保留時，請考慮一般需求，以及依數據類型設定數據保留時的特定需求，這可高達四天。 例如，雖然效能數據可能只需要保留一小段時間，但安全性記錄通常需要保留較長的時間。

• 請考慮使用 Log Analytics工作區數據匯出 來保留超過730天的數據。

• 請考慮根據您的數據擷取量使用 承諾層 定價。

適用於雲端的 Microsoft Defender（先前稱為 Azure 資訊安全中心）

• 檢閱安全性、治理和合規性關鍵設計區域，以瞭解如何使用 適用於雲端的 Microsoft Defender 來保護已啟用 Azure Arc 的 Kubernetes 叢集。
• 檢閱 適用於容器的Defender定價資訊Microsoft。
• 請考慮部署適用於容器的 Microsoft Defender 成本估計活頁簿，以瞭解使用適用於容器的 Microsoft Defender 來保護已啟用 Azure Arc 的 Kubernetes 叢集的成本預估。

Kubernetes GitOps 組態

• 檢閱 Kubernetes GitOps 組態定價。

• 檢閱 CI/CD 工作流程關鍵設計區域 ，以尋找在已啟用 Azure Arc 的 Kubernetes 叢集上管理及監視 Kubernetes GitOps 設定的最佳做法和建議。

• 使用適用於 Kubernetes 的 Azure 原則，在所有已啟用 Azure Arc 的 Kubernetes 叢集上強制執行並確保一致設定。

• 使用 Azure Resource Graph 查詢來檢閱已啟用 Azure Arc 的 Kubernetes 叢集的核心數目，並估計啟用 Kubernetes GitOps 設定的成本。

  Resources
  | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount)
  | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount
  | where type =~ 'Microsoft.Kubernetes/connectedClusters'
  | order by TotalCoreCount
  

• 使用 Microsoft成本管理 來瞭解 Kubernetes GitOps 設定成本。

  

適用於 Kubernetes 的 Azure 原則

• 檢閱 Kubernetes 定價 Azure 原則。
• 檢閱安全性、治理和合規性關鍵設計區域，以了解實作 Kubernetes Azure 原則 的最佳做法和建議。 這些最佳做法包括：
  • 強制執行標記，以提升叢集的成本可見度
  • 強制執行 Kubernetes GitOps 設定
  • 控制 Azure 服務的啟用。

Microsoft Sentinel

• 檢 閱Microsoft Sentinel 定價。
• 使用 Azure 定價計算機來估計 貴組織Microsoft Sentinel 成本 。

• 使用 Microsoft Sentinel 成本管理和計費 來瞭解 Sentinel 分析成本Microsoft。

  

• 檢閱 將數據擷取至Log Analytics工作區的數據保留成本 ，Microsoft Sentinel 使用。

• 篩選在 Log Analytics 工作區中收集已啟用 Azure Arc 的 Kubernetes 叢集的正確記錄和事件層級。

• 使用 Log Analytics 查詢 和 工作區使用報告活頁簿 來瞭解您的數據擷取趨勢。

• 如果您的Microsoft Sentinel 工作區超過預算，請建立 成本管理劇本 來傳送通知。

• Microsoft Sentinel 與其他 Azure 服務整合，以提供增強的功能。 檢閱 這些服務的定價詳細數據 。

• 請考慮根據您的數據擷取量使用 承諾層 定價。

• 請考慮 將非安全性 作業數據分成不同的 Azure Log Analytics 工作區。

Azure Key Vault

• 檢閱 Azure 金鑰保存庫 定價。

• 檢閱 安全性與治理 的建議，以瞭解如何使用 Azure Key Vault 來管理已啟用 Azure Arc 的 Kubernetes 叢集上的秘密和憑證。

• 使用 Azure 金鑰保存庫 深入解析來監視秘密作業。

  

下一步

如需混合式和多雲端雲端旅程的詳細資訊，請參閱下列文章：

• 檢閱 已啟用 Azure Arc 的 Kubernetes 的必要條件 。
• 檢閱 已啟用 Azure Arc 之 Kubernetes 的已驗證 Kubernetes 散發 套件。
• 瞭解如何 管理混合式和多重雲端環境。
• 透過 Azure Arc Jumpstart 來體驗已啟用 Azure Arc 的 Kubernetes 自動化案例。
• 透過 Azure Arc 學習路徑深入瞭解 Azure Arc。
• 檢閱 雲端採用架構 最佳做法和建議，以有效率地管理您的雲端成本。
• 請參閱常見問題 - 已啟用 Azure Arc 以尋找最常見問題的答案。