已啟用 Azure Arc 的 Kubernetes 成本控管
成本控管是實作原則以控制您在 Azure 中使用的服務成本的持續程式。 本檔提供成本控管考慮和建議,讓您在使用已啟用 Azure Arc 的 Kubernetes 時牢記在心。
已啟用 Azure Arc 的 Kubernetes 成本
已啟用 Azure Arc 的 Kubernetes 提供兩種類型的服務:
Azure Arc 控制平面功能,不需額外費用提供,包括:
- 透過 Azure 管理群組 和 標籤的資源組織。
- 透過 Azure Resource Graph 搜尋和編製索引。
- 透過 訂用帳戶或資源群組層級的 Azure 角色型訪問控制 (RBAC) 進行訪問控制 。
- 透過範本和延伸模組進行自動化。
搭配已啟用 Azure Arc 的 Kubernetes 使用的 Azure 服務會根據其使用量產生成本。 這些服務包括:
注意
與已啟用 Azure Arc 的 Kubernetes 搭配使用的 Azure 服務計費,與 Azure Kubernetes Service 的計費方式相同。
注意
如果您的已啟用 Azure Arc 的 Kubernetes 叢集位於 Azure Stack HCI 上的 AKS 上,則免費包含 Kubernetes GitOps 設定。
設計考量
治理: 為您的混合式叢集定義治理計劃,以轉譯為 Azure 原則、標籤、命名標準和最低許可權控制件。
Azure 監視器 Container Insights:Azure 監視器 Container Insights 透過計量 API 從 Kubernetes 中提供的控制器、節點和容器收集效能計量,以提供遙測可見性。 容器記錄也會一併收集。 這會由數據擷取、保留和導出來計費。
適用於雲端的 Microsoft Defender:適用於雲端的 Microsoft Defender 提供兩種模式:
當您第一次流覽 Azure 入口網站 中的工作負載保護儀錶板時,或透過 API 以程式設計方式啟用工作負載保護儀錶板時,未啟用增強的安全性功能(免費) - 適用於雲端的 Microsoft Defender。 此免費模式提供安全分數及其相關功能:安全策略、持續安全性評量,以及 Azure 資源可採取動作的安全性建議。
使用所有增強的安全性功能 (付費) - 啟用 適用於雲端的 Microsoft Defender 增強的安全性,會將免費模式的功能延伸至私人和其他公用雲端中執行的工作負載,在整個混合式雲端工作負載中提供統一的安全性管理和威脅防護。
Kubernetes GitOps 組態:Kubernetes GitOps 組態會使用 GitOps 提供組態管理和應用程式部署。 系統管理員可以在 Git 中宣告其叢集組態和應用程式。 然後,開發小組可以使用他們熟悉的提取要求和其他工具(現有的 Azure Pipelines、Git、Kubernetes 指令清單、Helm 圖表)輕鬆地將應用程式部署到已啟用 Azure Arc 的 Kubernetes 叢集,並在生產環境中進行更新。 計費會每月收費,並根據叢集中的 vCPU/小時數目。 無論有多少存放庫連線,叢集都會產生單一組態管理費用。
注意
叢集不需要持續連線至 Azure 即可運作。 中斷連線時,會根據向 Azure Arc 註冊的最後一個已知 vCPU 數目來決定每個叢集的費用。當您的叢集連線到 Azure 時,vCPU 計數會每隔 5 分鐘更新一次。 每個叢集的前 6 個 vCPU 均不收費。
如果您的叢集與 Azure 中斷連線,而且您不想要支付 Kubernetes 設定的費用,您可以刪除設定。
適用於 Kubernetes 的 Azure 原則: 適用於 Kubernetes 的 Azure 原則 擴充 Gatekeeper v3,這是開放原則代理程式 (OPA) 的許可控制站 Webhook,以集中且一致的方式在您的叢集上套用大規模強制執行和保護。 Azure 原則可讓您從一個位置管理和報告 Kubernetes 叢集的合規性狀態。 在公開預覽版中,Kubernetes 目前不需要 Azure 原則。
Microsoft Sentinel:Microsoft Sentinel 在您的企業中提供智慧型手機安全性分析。 其分析的數據會儲存在 Azure 監視器 Log Analytics 工作區中。 Microsoft Sentinel 會根據擷取的數據量來計費,以在 Microsoft Sentinel 中進行分析,並儲存在已啟用 Azure Arc 的 Kubernetes 叢集的 Azure 監視器 Log Analytics 工作區中。
Azure 金鑰保存庫:適用於秘密存放區的 Azure 金鑰保存庫 提供者 CSI 驅動程式可讓您透過 CSI 磁碟區將 Azure 金鑰保存庫 整合為具有 Kubernetes 叢集的秘密存放區。 Azure 金鑰保存庫 是由在憑證、金鑰和秘密上執行的作業計費。
設計建議
下列各節包含已啟用 Azure Arc 的 Kubernetes 成本治理設計建議。
注意
提供的螢幕快照中顯示的定價資訊是範例,並提供來允許示範 Azure 計算機,而且不會反映您在自己的 Azure Arc 部署中可能看到的實際定價資訊。
治理
- 檢閱資源組織和治理專業領域中的重要設計領域的建議,以實作治理策略、組織您的資源以取得更好的成本控制和可見度,以及使用最低特殊許可權存取模型進行上線和管理,以避免不必要的成本。
適用於容器的 Azure 監視器
檢閱 管理和監視重要設計區域 ,以規劃監視策略,並決定監視已啟用 Azure Arc 的 Kubernetes 叢集以將成本優化的需求。
使用 Azure 定價計算機來估計已啟用 Azure Arc 的 Kubernetes 監視 Azure Log Analytics 擷取、警示和通知的成本。
使用 Microsoft成本管理 來檢視適用於容器的 Azure 監視器成本。
使用 Log Analytics 工作區深入解析解決方案來取得受監視的 Azure Kubernetes 叢集、收集的記錄及其整合率的深入解析,以便避免不必要的擷取成本。
使用內 建的 Azure 監視器活 頁簿來瞭解叢集的可計費監視數據。
檢閱 減少Log Analytics擷取數據磁碟 區的秘訣,以協助您正確設定數據擷取。
請考慮您應該在 Log Analytics 中保留數據的時間長度。 擷取到Log Analytics工作區的數據可以在前31天內不收取任何額外費用。 設定 Log Analytics 工作區層級預設保留時,請考慮一般需求,以及依數據類型設定數據保留時的特定需求,這可高達四天。 例如,雖然效能數據可能只需要保留一小段時間,但安全性記錄通常需要保留較長的時間。
請考慮使用 Log Analytics工作區數據匯出 來保留超過730天的數據。
請考慮根據您的數據擷取量使用 承諾層 定價。
適用於雲端的 Microsoft Defender(先前稱為 Azure 資訊安全中心)
- 檢閱安全性、治理和合規性關鍵設計區域,以瞭解如何使用 適用於雲端的 Microsoft Defender 來保護已啟用 Azure Arc 的 Kubernetes 叢集。
- 檢閱 適用於容器的Defender定價資訊Microsoft。
- 請考慮部署適用於容器的 Microsoft Defender 成本估計活頁簿,以瞭解使用適用於容器的 Microsoft Defender 來保護已啟用 Azure Arc 的 Kubernetes 叢集的成本預估。
Kubernetes GitOps 組態
檢閱 CI/CD 工作流程關鍵設計區域 ,以尋找在已啟用 Azure Arc 的 Kubernetes 叢集上管理及監視 Kubernetes GitOps 設定的最佳做法和建議。
使用適用於 Kubernetes 的 Azure 原則,在所有已啟用 Azure Arc 的 Kubernetes 叢集上強制執行並確保一致設定。
使用 Azure Resource Graph 查詢來檢閱已啟用 Azure Arc 的 Kubernetes 叢集的核心數目,並估計啟用 Kubernetes GitOps 設定的成本。
Resources | extend AgentVersion=properties.agentVersion, KubernetesVersion=properties.kubernetesVersion, Distribution= properties.distribution,Infrastructure=properties.infrastructure, NodeCount=properties.totalNodeCount,TotalCoreCount=toint(properties.totalCoreCount) | project id, subscriptionId, location, type,AgentVersion ,KubernetesVersion ,Distribution,Infrastructure ,NodeCount , TotalCoreCount | where type =~ 'Microsoft.Kubernetes/connectedClusters' | order by TotalCoreCount使用 Microsoft成本管理 來瞭解 Kubernetes GitOps 設定成本。
適用於 Kubernetes 的 Azure 原則
- 檢閱 Kubernetes 定價 Azure 原則。
- 檢閱安全性、治理和合規性關鍵設計區域,以了解實作 Kubernetes Azure 原則 的最佳做法和建議。 這些最佳做法包括:
- 強制執行標記,以提升叢集的成本可見度
- 強制執行 Kubernetes GitOps 設定
- 控制 Azure 服務的啟用。
Microsoft Sentinel
- 檢 閱Microsoft Sentinel 定價。
- 使用 Azure 定價計算機來估計 貴組織Microsoft Sentinel 成本 。
使用 Microsoft Sentinel 成本管理和計費 來瞭解 Sentinel 分析成本Microsoft。
檢閱 將數據擷取至Log Analytics工作區的數據保留成本 ,Microsoft Sentinel 使用。
篩選在 Log Analytics 工作區中收集已啟用 Azure Arc 的 Kubernetes 叢集的正確記錄和事件層級。
使用 Log Analytics 查詢 和 工作區使用報告活頁簿 來瞭解您的數據擷取趨勢。
如果您的Microsoft Sentinel 工作區超過預算,請建立 成本管理劇本 來傳送通知。
Microsoft Sentinel 與其他 Azure 服務整合,以提供增強的功能。 檢閱 這些服務的定價詳細數據 。
請考慮根據您的數據擷取量使用 承諾層 定價。
請考慮 將非安全性 作業數據分成不同的 Azure Log Analytics 工作區。
Azure Key Vault
檢閱 Azure 金鑰保存庫 定價。
檢閱 安全性與治理 的建議,以瞭解如何使用 Azure Key Vault 來管理已啟用 Azure Arc 的 Kubernetes 叢集上的秘密和憑證。
使用 Azure 金鑰保存庫 深入解析來監視秘密作業。
下一步
如需混合式和多雲端雲端旅程的詳細資訊,請參閱下列文章:
- 檢閱 已啟用 Azure Arc 的 Kubernetes 的必要條件 。
- 檢閱 已啟用 Azure Arc 之 Kubernetes 的已驗證 Kubernetes 散發 套件。
- 瞭解如何 管理混合式和多重雲端環境。
- 透過 Azure Arc Jumpstart 來體驗已啟用 Azure Arc 的 Kubernetes 自動化案例。
- 透過 Azure Arc 學習路徑深入瞭解 Azure Arc。
- 檢閱 雲端採用架構 最佳做法和建議,以有效率地管理您的雲端成本。
- 請參閱常見問題 - 已啟用 Azure Arc 以尋找最常見問題的答案。