Управление затратами для Kubernetes с поддержкой Azure Arc

Управление затратами — это непрерывный процесс реализации политик для управления затратами на службы, используемые в Azure. В этом документе содержатся рекомендации по управлению затратами и рекомендации, которые следует учитывать при использовании Kubernetes с поддержкой Azure Arc.

Стоимость Kubernetes с поддержкой Azure Arc

Kubernetes с поддержкой Azure Arc предоставляет два типа служб:

• Функциональность плоскости управления Azure Arc, которая предоставляется без дополнительных затрат и включает в себя:

  • Организация ресурсов с помощью групп управления Azure и тегов.
  • Поиск и индексирование с помощью Azure Resource Graph.
  • Управление доступом с помощью управления доступом на основе ролей Azure (RBAC) на уровне подписки или группы ресурсов.
  • Автоматизация с помощью шаблонов и расширений.

• Службы Azure, используемые вместе с Kubernetes с поддержкой Azure Arc, несут расходы в соответствии с их использованием. К этим службам относятся:

  • Конфигурация Kubernetes GitOps
  • Политика Azure для Kubernetes
  • Аналитика контейнеров Azure Monitor
  • Microsoft Defender для контейнеров
  • Microsoft Sentinel
  • Azure Key Vault

Рекомендации по проектированию

• Управление: Определите план управления для гибридных кластеров, который преобразуется в политики Azure, теги, стандарты именования и элементы управления наименьшими привилегиями.

• Azure Monitor Container Insights:Azure Monitor Container Insights обеспечивает видимость телеметрии, собирая метрики производительности с контроллеров, узлов и контейнеров, доступных в Kubernetes через API метрик. Журналы контейнеров также собираются. За это взимается плата за прием данных, хранение и экспорт.

• Microsoft Defender для облака: Microsoft Defender для облака предлагается в двух режимах:

  Без расширенных функций безопасности (бесплатно) - Microsoft Defender для облака предоставляется бесплатно во всех подписках Azure при первом посещении панели мониторинга защиты рабочей нагрузки на портале Azure или при программном включении через API. Этот бесплатный режим предоставляет оценку безопасности и связанные с ней функции: политику безопасности, непрерывную оценку безопасности и практические рекомендации по безопасности для ресурсов Azure.

  При использовании всех функций повышенной безопасности (платная версия) — включение расширенной безопасности Microsoft Defender для Cloud расширяет возможности бесплатного режима для рабочих нагрузок в частных и других общественных облаках, обеспечивая единое управление безопасностью и защиту от угроз для ваших рабочих нагрузок в гибридной облачной среде.

• Конфигурация Kubernetes GitOps:Конфигурация Kubernetes GitOps обеспечивает управление конфигурацией и развертывание приложений с помощью GitOps. Администраторы могут объявлять конфигурацию кластера и приложения в Git. Затем команды разработчиков могут использовать pull-запросы и другие средства, с которыми они знакомы (существующие Azure Pipelines, Git, манифесты Kubernetes, диаграммы Helm) для простого развертывания приложений в кластерах Kubernetes с поддержкой Azure Arc и обновления в рабочей среде. Плата взимается ежемесячно и зависит от количества виртуальных ЦП в час в кластере. Кластеры несут отдельную плату за управление конфигурацией, независимо от того, сколько репозиториев подключено.

  Замечание

  Кластеры могут функционировать без постоянного подключения к Azure. При отключении плата каждого кластера определяется на основе последнего известного числа виртуальных ЦП, зарегистрированных в Azure Arc. Количество виртуальных ЦП обновляется каждые 5 минут, пока кластер подключен к Azure. Первые 6 виртуальных ЦП каждого кластера включены без затрат.

  Если кластер будет отключен от Azure и вы не хотите взимать плату за конфигурации Kubernetes, можно удалить конфигурации.

• Политика Azure для Kubernetes:Политика Azure для Kubernetes расширяет Gatekeeper версии 3, веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованно и согласованно применять масштабируемые меры принудительного исполнения и защитные механизмы в кластерах. Политика Azure позволяет управлять и сообщать о состоянии соответствия кластеров Kubernetes из одного места. В настоящее время в общедоступной предварительной версии Azure Policy для Kubernetes предоставляется бесплатно.

• Microsoft Sentinel:Microsoft Sentinel предоставляет интеллектуальную аналитику безопасности в вашей организации. Данные для его анализа хранятся в рабочей области Azure Monitor Log Analytics. Плата за Microsoft Sentinel взимается на основе объема данных, которые передаются для анализа в Microsoft Sentinel и хранятся в рабочей области Azure Monitor Log Analytics для кластеров Kubernetes с поддержкой Azure Arc.

• Azure Key Vault: Сервис интеграции Azure Key Vault с драйвером CSI для хранения секретов позволяет интегрировать Azure Key Vault в качестве хранилища секретов в кластер Kubernetes через том CSI. Azure Key Vault оплачивается операциями, выполняемыми с сертификатами, ключами и секретами.

Рекомендации по проектированию

В следующих разделах содержатся рекомендации по проектированию для управления затратами в Kubernetes с поддержкой Azure Arc.

Управление

• Ознакомьтесь с рекомендациями в организации ресурсов и дисциплинах управления , критически важных областях проектирования, чтобы реализовать стратегию управления, упорядочить ресурсы для улучшения контроля затрат и видимости, и избежать ненужных затрат с помощью наименее привилегированной модели доступа для подключения и управления.

Azure Monitor для контейнеров

• Просмотрите критическую область разработки управления и мониторинга, чтобы спланировать стратегию мониторинга и определить ваши требования к мониторингу кластеров Kubernetes с поддержкой Azure Arc для оптимизации затрат.

• Просмотрите цены на Azure Monitor для контейнеров.

• Используйте калькулятор цен Azure , чтобы получить оценку затрат на мониторинг Kubernetes с поддержкой Azure Arc для приема, оповещений и уведомлений Azure Log Analytics.

  

  

• Используйте службу "Управление затратами Майкрософт", чтобы просмотреть затраты на Azure Monitor для контейнеров.

  

• Используйте решение аналитики рабочей области Log Analytics для получения аналитических сведений об отслеживаемых кластерах Azure Kubernetes, собранных журналов и их скорости интеграции, чтобы избежать ненужных затрат на прием.

  

• Используйте встроенные рабочие книги Azure Monitor для лучшего понимания оплачиваемых данных мониторинга кластеров.

  

• Ознакомьтесь с советами по сокращению объема данных при включении Log Analytics, чтобы помочь вам правильно настроить процесс приема данных.

• Рассмотрим, сколько времени следует хранить данные в Log Analytics. Данные, которые передаются в рабочую область Log Analytics, можно хранить без дополнительной платы за первые 31 дней. Учитывайте общие потребности при настройке уровня хранения рабочей области Log Analytics по умолчанию и конкретных потребностей при настройке хранения данных по типу данных, что может быть не более четырех дней. Например, хотя данные о производительности могут храниться только в течение короткого времени, журналы безопасности часто должны храниться дольше.

• Рекомендуется использовать экспорт данных рабочей области Log Analytics для хранения данных дольше 730 дней.

• Рассмотрите возможность использования цен на уровне обязательств на основе объема приема данных.

Microsoft Defender для облака (прежнее название — Центр безопасности Azure)

• Ознакомьтесь с критически важной областью проектирования безопасности, управления и соответствия требованиям , чтобы понять, как использовать Microsoft Defender для облака для защиты и защиты кластеров Kubernetes с поддержкой Azure Arc.
• Просмотрите сведения о ценах на Microsoft Defender для контейнеров.
• Рассмотрите возможность развертывания рабочей книги оценки затрат Microsoft Defender для контейнеров, чтобы понять оценки затрат на использование Microsoft Defender для контейнеров для защиты кластеров Kubernetes с поддержкой Azure Arc.

Конфигурация Kubernetes GitOps

• Просмотрите цены на конфигурацию Kubernetes GitOps.

• Ознакомьтесь с ключевой областью проектирования рабочей схемы CI/CD, чтобы найти наилучшие практики и рекомендации по управлению и мониторингу конфигурации Kubernetes GitOps на кластерах Kubernetes с поддержкой Azure Arc.

• Используйте политику Azure для Kubernetes, чтобы обеспечить согласованность конфигурации во всех кластерах Kubernetes с поддержкой Azure Arc.

• Используйте запросы Azure Resource Graph , чтобы просмотреть количество ядер, которые у вас есть для кластеров Kubernetes с поддержкой Azure Arc, и оценить стоимость включения конфигурации Kubernetes GitOps.

  Resources
  | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount)
  | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount
  | where type =~ 'Microsoft.Kubernetes/connectedClusters'
  | order by TotalCoreCount
  

• Используйте microsoft Cost Management, чтобы понять затраты на конфигурацию Kubernetes GitOps.

  

Политика Azure для Kubernetes

• Ознакомьтесь с ценами на политику Azure для Kubernetes.
• Ознакомьтесь с ключевой областью проектирования безопасности, управления и соответствия требованиям, чтобы изучить лучшие практики и справочную информацию по реализации политики Azure для Kubernetes. К лучшим практикам относятся:.
  • Применение тегов для повышения видимости затрат в кластерах
  • Применение конфигурации Kubernetes GitOps
  • Управление включением служб Azure.

Microsoft Sentinel

• Ознакомьтесь с ценами на Microsoft Sentinel.
• Используйте калькулятор цен Azure, чтобы оценить затраты Microsoft Sentinel для вашей организации.

• Используйте Управление затратами и выставление счетов Microsoft Sentinel, чтобы понять затраты на анализ Microsoft Sentinel.

  

• Просмотрите затраты на хранение данных для загрузки данных в рабочую область Log Analytics, используемую Microsoft Sentinel.

• Отфильтруйте правильный уровень журналов и событий, которые следует собирать для ваших кластеров Kubernetes с поддержкой Azure Arc в рабочей области Log Analytics.

• Используйте запросы Log Analytics и книгу отчета об использовании рабочей области , чтобы понять тенденции приема данных.

• Создайте сборник схем управления затратами для отправки уведомлений, если ваша рабочая область Microsoft Sentinel превышает бюджет.

• Microsoft Sentinel интегрируется с другими службами Azure, чтобы обеспечить расширенные возможности. Просмотрите сведения о ценах для этих служб.

• Рассмотрите возможность использования цен на уровне обязательств на основе объема приема данных.

• Рассмотрите возможность разделения операционных данных , не относящихся к безопасности , в другую рабочую область Azure Log Analytics.

Azure Key Vault

• Ознакомьтесь с ценами на Azure Key Vault.

• Ознакомьтесь с рекомендациями по безопасности и управлению , чтобы понять, как использовать хранилище ключей Azure для управления секретами и сертификатами в кластерах Kubernetes с поддержкой Azure Arc.

• Используйте аналитику Azure Key Vault для мониторинга операций с секретами.

  

Дальнейшие шаги

Для получения дополнительной информации о вашем пути к гибридной и мультиоблачной среде, см. в следующих статьях:

• Просмотрите предварительные требования для Kubernetes с поддержкой Azure Arc.
• Просмотрите сертифицированные дистрибутивы Kubernetes с поддержкой Azure Arc.
• Узнайте, как управлять гибридными и многооблачными средами.
• Испытайте автоматизированные сценарии Kubernetes, поддерживаемые Azure Arc, с помощью Azure Arc Jumpstart.
• Узнайте больше об Azure Arc, пройдя учебный курс Azure Arc .
• Ознакомьтесь с часто задаваемыми вопросами с поддержкой Azure Arc , чтобы найти ответы на наиболее распространенные вопросы.