Condividi tramite

Governance dei costi per Kubernetes abilitato per Azure Arc

  • Articolo

La governance dei costi è il processo continuo di implementazione dei criteri per controllare i costi dei servizi usati in Azure. Questo documento fornisce considerazioni sulla governance dei costi e consigli da tenere presenti durante l'uso di Kubernetes con abilitazione di Azure Arc.

Costo di Kubernetes abilitato per Azure Arc

Kubernetes abilitato per Azure Arc offre due tipi di servizi:

Nota

La fatturazione per i servizi di Azure usati in combinazione con Kubernetes abilitato per Azure Arc equivale alla fatturazione per il servizio Azure Kubernetes.

Nota

Se il cluster Kubernetes abilitato per Azure Arc si trova nel servizio Azure Kubernetes in Azure Stack HCI, la configurazione di GitOps di Kubernetes è inclusa senza costi aggiuntivi.

Considerazioni relative alla progettazione

  • Governance: definire un piano di governance per i cluster ibridi che si traduce in Criteri di Azure, tag, standard di denominazione e controlli con privilegi minimi.

  • Informazioni dettagliate sui contenitori di Monitoraggio di Azure: Informazioni dettagliate sui contenitori di Monitoraggio di Azure offre visibilità dei dati di telemetria raccogliendo metriche sulle prestazioni da controller, nodi e contenitori disponibili in Kubernetes tramite l'API Metriche. Vengono raccolti anche i log dei contenitori. Questo viene fatturato dall'inserimento, dalla conservazione e dalle esportazioni dei dati.

  • Microsoft Defender per il cloud: Microsoft Defender per il cloud è disponibile in due modalità:

    Senza funzionalità di sicurezza avanzate (gratuito) - Microsoft Defender per il cloud è abilitato gratuitamente in tutte le sottoscrizioni di Azure quando si visita il dashboard di protezione del carico di lavoro nel portale di Azure per la prima volta o se lo si abilita a livello di codice tramite API. Questa modalità gratuita fornisce il punteggio di sicurezza e le relative funzionalità: criteri di sicurezza, valutazione della sicurezza continua e raccomandazioni sulla sicurezza pratica per le risorse di Azure.

    Con tutte le funzionalità di sicurezza avanzate (a pagamento): l'abilitazione di Microsoft Defender per il cloud sicurezza avanzata estende le funzionalità della modalità gratuita ai carichi di lavoro in esecuzione in cloud privati e altri cloud pubblici, fornendo una gestione unificata della sicurezza e la protezione dalle minacce nei carichi di lavoro cloud ibridi.

  • Configurazione di GitOps di Kubernetes: la configurazione di GitOps di Kubernetes offre la gestione della configurazione e la distribuzione di applicazioni usando GitOps. Gli amministratori possono dichiarare la configurazione del cluster e le applicazioni in Git. I team di sviluppo possono quindi usare le richieste pull e altri strumenti con cui hanno familiarità (Azure Pipelines, Git, manifesti Kubernetes, grafici Helm) per distribuire facilmente le applicazioni nei cluster Kubernetes abilitati per Azure Arc e apportare aggiornamenti nell'ambiente di produzione. La fatturazione viene addebitata mensilmente ed è basata sul numero di vCPU/ora nel cluster. I cluster comportano un solo addebito per la gestione della configurazione, indipendentemente dal numero di repository connessi.

    Nota

    I cluster possono funzionare correttamente senza una connessione costante ad Azure. Quando si disconnette, l'addebito di ogni cluster viene determinato in base all'ultimo numero noto di vCPU registrati con Azure Arc. Il numero di vCPU viene aggiornato ogni 5 minuti mentre il cluster è connesso ad Azure. Le prime 6 vCPU di ogni cluster sono incluse senza costi.

    Se il cluster verrà disconnesso da Azure e non si vuole pagare per le configurazioni kubernetes, è possibile eliminare le configurazioni.

  • Criteri di Azure per Kubernetes: Criteri di Azure per Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le imposizione e le misure di sicurezza su larga scala nei cluster in modo centralizzato e coerente. Con Criteri di Azure è possibile gestire i cluster Kubernetes e creare report sul loro stato di conformità da un'unica posizione. Attualmente non è previsto alcun costo per Criteri di Azure per Kubernetes durante l'anteprima pubblica.

  • Microsoft Sentinel: Microsoft Sentinel offre analisi intelligenti della sicurezza in tutta l'azienda. I dati per l'analisi vengono archiviati in un'area di lavoro Log Analytics di Monitoraggio di Azure. Microsoft Sentinel viene fatturato in base al volume di dati inseriti per l'analisi in Microsoft Sentinel e archiviati nell'area di lavoro Log Analytics di Monitoraggio di Azure per i cluster Kubernetes abilitati per Azure Arc.

  • Azure Key Vault: il provider di Azure Key Vault per il driver CSI dell'archivio segreti consente l'integrazione di un insieme di credenziali delle chiavi di Azure come archivio di segreti con un cluster Kubernetes tramite un volume CSI. Azure Key Vault viene fatturato dalle operazioni eseguite su certificati, chiavi e segreti.

Suggerimenti per la progettazione

Le sezioni seguenti contengono raccomandazioni sulla progettazione per la governance dei costi di Kubernetes abilitata per Azure Arc.

Nota

Le informazioni sui prezzi mostrate negli screenshot forniti sono esempi e fornite per consentire una dimostrazione di Azure Calculator e non riflettono le informazioni effettive sui prezzi visualizzate nelle distribuzioni di Azure Arc.

Governance

  • Esaminare le raccomandazioni nell'area di progettazione critica dell'organizzazione delle risorse e delle discipline di governance per implementare una strategia di governance, organizzare le risorse per migliorare il controllo dei costi e la visibilità ed evitare costi non necessari usando il modello di accesso con privilegi minimi per l'onboarding e la gestione.

Monitoraggio di Azure per contenitori

  • Esaminare l'area di progettazione critica di gestione e monitoraggio per pianificare la strategia di monitoraggio e decidere i requisiti per il monitoraggio dei cluster Kubernetes abilitati per Azure Arc per ottimizzare i costi.

  • Esaminare i prezzi di Monitoraggio di Azure per i contenitori.

  • Usare il Calcolatore prezzi di Azure per ottenere una stima dei costi di monitoraggio di Kubernetes abilitati per Azure Arc per l'inserimento, gli avvisi e le notifiche di Azure Log Analytics.

    Screenshot che mostra il Calcolatore prezzi di Azure.

    Screenshot che mostra Il calcolatore prezzi di Azure Monitoraggio di Azure.

  • Usare Gestione costi Microsoft per visualizzare i costi di Monitoraggio di Azure per i contenitori.

    Screenshot che mostra Gestione costi Microsoft.

  • Usare la soluzione Log Analytics workspace insights (Informazioni dettagliate sull'area di lavoro Log Analytics) per ottenere informazioni dettagliate sui cluster Azure Kubernetes monitorati, sui log raccolti e sulla velocità di integrazione, in modo da evitare costi di inserimento non necessari.

    Screenshot che mostra le informazioni dettagliate di Log Analytics.

  • Usare le cartelle di lavoro predefinite di Monitoraggio di Azure per comprendere i dati di monitoraggio fatturabili dei cluster.

    Screenshot che mostra la cartella di lavoro di Monitoraggio di Azure che mostra la fatturazione dello spazio dei nomi.

  • Esaminare i suggerimenti per ridurre il volume di dati di inserimento di Log Analytics per configurare correttamente l'inserimento dati.

  • Valutare per quanto tempo conservare i dati in Log Analytics. I dati inseriti nell'area di lavoro Log Analytics possono essere conservati senza costi aggiuntivi fino ai primi 31 giorni. Considerare le esigenze generali quando si configura la conservazione predefinita a livello di area di lavoro Log Analytics e esigenze specifiche quando si configura la conservazione dei dati in base al tipo di dati, che può essere inferiore a quattro giorni. Ad esempio, anche se i dati sulle prestazioni potrebbero essere conservati solo per un breve periodo di tempo, i log di sicurezza spesso devono essere conservati più a lungo.

  • È consigliabile usare l'esportazione dei dati dell'area di lavoro Log Analytics per conservare i dati per più di 730 giorni.

  • Prendere in considerazione l'uso dei prezzi del piano di impegno in base al volume di inserimento dati.

Microsoft Defender per il cloud (noto in precedenza come Centro sicurezza di Azure)

  • Esaminare l'area sicurezza, governance e progettazione critica per la conformità per comprendere come usare Microsoft Defender per il cloud per proteggere e proteggere i cluster Kubernetes abilitati per Azure Arc.
  • Esaminare le informazioni sui prezzi di Microsoft Defender per contenitori.
  • Valutare la possibilità di distribuire la cartella di lavoro di stima dei costi di Microsoft Defender per contenitori per comprendere le stime dei costi per l'uso di Microsoft Defender per contenitori per proteggere i cluster Kubernetes abilitati per Azure Arc.

Configurazione di GitOps di Kubernetes

  • Esaminare i prezzi di configurazione di GitOps di Kubernetes.

  • Esaminare l'area di progettazione critica del flusso di lavoro CI/CD per trovare le procedure consigliate e le raccomandazioni per la gestione e il monitoraggio della configurazione di GitOps di Kubernetes nei cluster Kubernetes abilitati per Azure Arc.

  • Usare Criteri di Azure per Kubernetes per applicare e garantire una configurazione coerente in tutti i cluster Kubernetes abilitati per Azure Arc.

  • Usare le query di Azure Resource Graph per esaminare il numero di core disponibili per i cluster Kubernetes abilitati per Azure Arc e stimare il costo dell'abilitazione della configurazione di GitOps di Kubernetes.

    Resources
| extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount)
| project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount
| where type =~ 'Microsoft.Kubernetes/connectedClusters'
| order by TotalCoreCount

  • Usare Gestione costi Microsoft per comprendere i costi di configurazione di GitOps di Kubernetes.

    Screenshot che mostra i costi di configurazione di GitOps di Kubernetes in portale di Azure.

Criteri di Azure per Kubernetes

  • Esaminare Criteri di Azure per i prezzi di Kubernetes.
  • Esaminare l'area sicurezza, governance e progettazione critica per la conformità per apprendere le procedure consigliate e le raccomandazioni per l'implementazione di Criteri di Azure per Kubernetes. Queste procedure consigliate includono:
    • Applicazione dell'assegnazione di tag per una migliore visibilità dei costi nei cluster
    • Applicazione della configurazione di GitOps di Kubernetes
    • Controllo dell'abilitazione dei servizi di Azure.

Microsoft Sentinel

  • Esaminare i prezzi di Microsoft Sentinel.
  • Usare il Calcolatore prezzi di Azure per stimare i costi di Microsoft Sentinel per l'organizzazione.

  • Usare Gestione costi e fatturazione di Microsoft Sentinel per comprendere i costi di analisi di Microsoft Sentinel.

    Screenshot che mostra l'analisi dei costi di Microsoft Sentinel.

  • Esaminare i costi di conservazione dei dati per i dati inseriti nell'area di lavoro Log Analytics usata da Microsoft Sentinel.

  • Filtrare il livello corretto di log ed eventi per i cluster Kubernetes abilitati per Azure Arc da raccogliere nell'area di lavoro Log Analytics.

  • Usare le query di Log Analytics e la cartella di lavoro Report sull'utilizzo dell'area di lavoro per comprendere le tendenze di inserimento dei dati.

  • Creare un playbook di gestione dei costi per inviare notifiche se l'area di lavoro di Microsoft Sentinel supera il budget.

  • Microsoft Sentinel si integra con altri servizi di Azure per offrire funzionalità avanzate. Esaminare i dettagli dei prezzi per questi servizi.

  • Prendere in considerazione l'uso dei prezzi del piano di impegno in base al volume di inserimento dati.

  • Prendere in considerazione la separazione dei dati operativi non relativi alla sicurezza in un'area di lavoro Log Analytics di Azure diversa.

Azure Key Vault

  • Esaminare i prezzi di Azure Key Vault.

  • Esaminare le raccomandazioni per la sicurezza e la governance per comprendere come usare Azure Key Vault per gestire segreti e certificati nei cluster Kubernetes abilitati per Azure Arc.

  • Usare le informazioni dettagliate di Azure Key Vault per monitorare le operazioni dei segreti.

    Screenshot che mostra le informazioni dettagliate di Azure Key Vault

Passaggi successivi

Per altre informazioni sul percorso cloud ibrido e multicloud, vedere gli articoli seguenti:

  • Esaminare i prerequisiti per Kubernetes abilitato per Azure Arc.
  • Esaminare le distribuzioni kubernetes convalidate per Kubernetes con abilitazione di Azure Arc.
  • Informazioni su come gestire ambienti ibridi e multicloud.
  • Provare gli scenari automatizzati di Kubernetes abilitati per Azure Arc con Azure Arc Jumpstart.
  • Altre informazioni su Azure Arc tramite il percorso di apprendimento di Azure Arc.
  • Esaminare le procedure consigliate e le raccomandazioni di Cloud Adoption Framework per gestire in modo efficiente i costi del cloud.
  • Per trovare le risposte alle domande più comuni, vedere Domande frequenti : Azure Arc abilitato per Trovare le risposte alle domande più comuni.