Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Kostengovernance ist der fortlaufende Prozess der Implementierung von Richtlinien, um die Kosten der Dienste zu steuern, die Sie in Azure verwenden. Dieses Dokument führt Sie durch die verschiedenen Überlegungen und Empfehlungen zur Kostengovernance bei der Verwendung von Azure Arc-fähigen Servern.
Wie viel kostet Azure Arc-fähige Server?
Azure Arc-fähige Server bieten zwei Arten von Diensten:
Die Funktionalität der Azure Arc-Steuerungsebene, die ohne zusätzliche Kosten bereitgestellt wird, umfasst:
- Ressourcenorganisation über Azure-Verwaltungsgruppen und -tags.
- Suchen und Indizieren über Azure Resource Graph.
- Zugriffssteuerung über die rollenbasierte Azure-Zugriffssteuerung (RBAC) auf Abonnement- oder Ressourcengruppenebene.
- Umgebungen und Automatisierung durch Vorlagen und Erweiterungen.
Azure-Dienste, die zusammen mit Azure Arc-fähigen Servern verwendet werden (sind jedoch nicht darauf beschränkt) und deren Nutzung Kosten verursacht:
- Azure Monitor
- Microsoft Defender für Server
- Microsoft Sentinel
- Azure Update Manager
- Azure-Richtliniencomputerkonfiguration
- Azure Automation State Configuration, Änderungsverfolgung und Inventur
- Azure Automation Hybrid-Runbook-Arbeiter
- Azure Key Vault (ein Dienst zur sicheren Verwaltung kryptografischer Schlüssel)
- Azure Private Link
Entwurfsüberlegungen
Governance: Definieren Sie ein Governancemodell für Ihre Hybridserver, die in Azure-Richtlinien, Tags, Benennungsstandards und Steuerelemente mit den geringsten Berechtigungen übersetzt werden.
Azure Monitor:Azure Monitor umfasst Funktionen für die Sammlung und Analyse von Protokolldaten Ihrer Azure Arc-fähigen Server (abgerechnet nach Datenaufnahme, Aufbewahrung und Export), Sammlungen von Metriken, Gesundheitsüberwachung, Warnungen und Benachrichtigungen. Features von Azure Monitor, die automatisch aktiviert werden, werden kostenlos bereitgestellt , z. B. die Sammlung von Standardmetriken, Aktivitätsprotokollen und Erkenntnissen.
Microsoft Defender für Cloud (früher azure Security Center genannt): Microsoft Defender für Cloud wird in zwei Modi angeboten:
Ohne erweiterte Sicherheitsfeatures (kostenlos) - Defender for Cloud ist für alle Azure-Abonnements kostenlos aktiviert, wenn Sie das Workload-Schutz-Dashboard im Azure-Portal zum ersten Mal besuchen oder wenn sie programmgesteuert über DIE API aktiviert werden. Die Verwendung dieses kostenlosen Modus bietet die Sicherheitsbewertung und die zugehörigen Features: Sicherheitsrichtlinie, kontinuierliche Sicherheitsbewertung und handlungsrelevante Sicherheitsempfehlungen, um Ihre Azure-Ressourcen zu schützen.
Defender für Cloud mit allen erweiterten Sicherheitsfeatures (kostenpflichtig) – Die Aktivierung von Microsoft Defender für Cloud verbesserter Sicherheit erweitert die Funktionen des kostenlosen Modus auf Arbeitslasten, die in privaten und anderen öffentlichen Clouds ausgeführt werden, und bietet einheitliche Sicherheitsverwaltung und Bedrohungsschutz für Ihre hybriden Cloud-Workloads.
Microsoft Sentinel: Microsoft Sentinel bietet intelligente Sicherheitsanalysen in Ihrem Unternehmen. Die Daten für diese Analyse werden in einem Azure Monitor Log Analytics-Arbeitsbereich gespeichert. Microsoft Sentinel wird basierend auf dem Datenvolumen berechnet, das für die Analyse in Microsoft Sentinel aufgenommen wurde und im Azure Monitor Log Analytics-Arbeitsbereich für Ihre Azure Arc-fähigen Server gespeichert ist.
Azure Update Manager: Azure Update Manager ist ein einheitlicher Dienst, der hilft, Updates für alle Ihre Maschinen zu verwalten und zu steuern. Sie können die Compliance von Windows- und Linux-Updates für Ihre Bereitstellungen in Azure, lokal und auf anderen Cloudplattformen über ein einzelnes Dashboard überwachen. Azure Update Manager wird pro Server pro Tag in Rechnung gestellt.
Azure-Richtliniencomputerkonfiguration: Die Azure-Richtliniencomputerkonfiguration kann Betriebssystem- und Anwendungseinstellungen auf Ihrer Serverflotte auditieren und durchsetzen. Die Azure-Richtliniencomputerkonfiguration wird pro Server pro Monat abgerechnet und umfasst Nutzungsrechte für die Azure Automation State Configuration, die Änderungsnachverfolgung und den Bestand.
Azure Automation Configuration Management: Die Azure Automation-Konfigurationsverwaltung umfasst die Änderungsnachverfolgung von Software und das Inventar für Ihre Server sowie die umfangreiche Zustandskonfiguration, um Ihre Server mit PowerShell Desired State Configuration zu konfigurieren. Die Azure Automation-Konfigurationsverwaltung wird pro Server pro Monat abgerechnet und umfasst Nutzungsrechte für die Azure-Richtliniencomputerkonfiguration.
Azure Key Vault: Mit der Azure Key Vault-VM-Erweiterung können Sie den Zertifikatlebenszyklus auf Windows - und Linux Azure Arc-fähigen Servern verwalten. Azure Key Vault wird von den Vorgängen abgerechnet, die für die Zertifikate, Schlüssel und geheimen Schlüssel ausgeführt werden.
Azure Private Link: Sie können Azure Private Link verwenden, um sicherzustellen, dass Daten, die von Ihren Azure Arc-fähigen Servern stammen, nur über autorisierte private Netzwerke aufgerufen werden. Azure Private Link wird nach Endpunkt und für verarbeitete eingehende/ausgehende Daten in Rechnung gestellt.
Designempfehlungen
Hier sind einige allgemeine Entwurfsempfehlungen für das Kostenmanagement von Azure Arc-fähigen Servern.
Hinweis
In diesem Abschnitt sind die Preisinformationen, die in den bereitgestellten Screenshots beschrieben werden, Beispiele, die bereitgestellt werden, damit die Verwendung des Azure-Rechners demonstriert werden kann und spiegeln nicht die tatsächlichen Preisinformationen wider, die in Ihren eigenen Azure Arc-Bereitstellungen möglicherweise angezeigt werden.
Verwaltung
- Stellen Sie sicher, dass alle Azure Arc-fähigen Server den richtigen Benennungs- und Taggingkonventionen entsprechen.
- Verwenden Sie die geringsten Berechtigungen für Azure RBAC, indem Sie nur Administratoren, die Azure Arc-fähige Server integrieren, eine Rolle "Azure Connected Machine Onboarding " zuweisen, um unnötige Kosten zu vermeiden.
- Verwenden Sie die geringsten Berechtigungen für Azure RBAC, indem Sie den Azure Connected Machine Resource Administrator nur Administratoren zuweisen, die mit Azure verbundene Computer lesen, schreiben, löschen und erneut integrieren müssen.
Azure Monitor
- Überprüfen Sie Empfehlungen für die Überwachung , um Ihre Überwachungsanforderungen zu bestimmen, und überprüfen Sie die Preise von Azure Monitor.
- Entscheiden Sie sich für die erforderlichen Protokolle und Ereignisse für Azure Arc-fähige Windows- und Linux-Server, die im Log Analytics-Arbeitsbereich erfasst werden sollen.
- Verwenden Sie den Azure-Preisrechner, um die Kosten für die Überwachung von Azure Arc-aktivierten Servern im Hinblick auf die Erfassung, Warnmeldungen und Benachrichtigungen durch Azure Log Analytics zu schätzen.
- Verwenden Sie Microsoft Cost Management, um Einsicht in die Azure Monitor-Kosten zu erhalten.
- Verwenden Sie die Insights-Lösung für Log Analytics-Arbeitsbereiche , um die gesammelten Protokolle und deren Erfassungsrate im Log Analytics-Arbeitsbereich zu verstehen und zu überwachen.
- Auswerten möglicher Datenaufnahmevolumenreduzierung. Verweisen Sie auf die Dokumentation Tipps zum Verringern des Datenvolumens, um die Datenaufnahme ordnungsgemäß zu konfigurieren.
- Überlegen Sie, wie lange Sie Daten in Log Analytics aufbewahren möchten. Daten, die in den Log Analytics-Arbeitsbereich aufgenommen werden, können ohne zusätzliche Kosten bis zu den ersten 31 Tagen aufbewahrt werden. Berücksichtigen Sie allgemeine Aspekte zum Konfigurieren der Standardaufbewahrung auf Log Analytics-Arbeitsbereichsebene und spezifische Anforderungen zum Konfigurieren der Datenaufbewahrung nach Datentyp, die so minimal wie vier Tage sein können. Beispiel: Leistungsdaten müssen in der Regel nicht länger aufbewahrt werden, aber Sicherheitsprotokolle müssen möglicherweise für längere Zeiträume aufbewahrt werden.
- Wenn Daten länger als 730 Tage aufbewahrt werden sollen, sollten Sie den Datenexport des Log Analytics-Arbeitsbereichs in Betracht ziehen.
- Erwägen Sie die Nutzung einer Preisgestaltung basierend auf Commitment-Tier gemäß Ihrem Datenaufnahmevolumen.
Microsoft Defender für Cloud (früher Azure Security Center)
Überprüfen Sie die Empfehlungen für Sicherheit und Compliance und die Preisgestaltung für Microsoft Defender für Server.
Microsoft Sentinel
Hinweis
Diese Bilder zeigen nur Preisbeispiele.
- Überprüfen Sie die Preise von Microsoft Sentinel.
- Verwenden Sie den Azure-Preisrechner, um die Kosten von Microsoft Sentinel zu schätzen.
- Verwenden Sie die Kostenverwaltung , um Sichtbarkeit für Microsoft Sentinel-Analysekosten zu erhalten.
- Überprüfen Sie die Datenaufbewahrungskosten für Daten, die in den log Analytics-Arbeitsbereich aufgenommen wurden, der von Microsoft Sentinel verwendet wird.
- Filtern Sie die richtige Ebene von Protokollen und Ereignissen für die Azure Arc-fähigen Windows- und Linux-Server, die im Log Analytics-Arbeitsbereich erfasst werden sollen.
- Verwenden Sie Log Analytics-Abfragen und die Arbeitsmappe des Arbeitsbereichsnutzungsberichts , um Ihre Datenaufnahmetrends zu verstehen.
- Erstellen Sie ein Kostenverwaltungs-Playbook zum Senden von Benachrichtigungen, wenn Ihr Microsoft Sentinel-Arbeitsbereich Ihr Budget überschreitet.
- Microsoft Sentinel ist in andere Azure-Dienste integriert, um erweiterte Funktionen bereitzustellen. Überprüfen Sie die Preisdetails für diese Dienste.
- Erwägen Sie die Nutzung einer Preisgestaltung basierend auf Commitment-Tier gemäß Ihrem Datenaufnahmevolumen.
- Erwägen Sie, nicht sicherheitsrelevante Betriebsdaten in einen anderen Azure Log Analytics-Arbeitsbereich zu trennen .
Azure Update Manager
- Überprüfen Sie die Empfehlungen für die Verwaltung und Überwachung und die Azure Update Manager-Preise.
Azure-Richtliniencomputerkonfiguration
- Überprüfen Sie die Empfehlungen für Verwaltungs- und Einhaltung sowie die Preise der Azure Policy Maschinenkonfiguration.
- Verwenden Sie die Kostenverwaltung, um die Azure-Richtliniencomputerkonfigurationskosten zu verstehen, indem Sie den Ressourcentyp "Microsoft.HybridCompute/machines " filtern.
- Alle integrierten Computerkonfigurationsrichtlinien enthalten einen Parameter, der steuert, ob die Richtlinie Azure Arc-fähigen Servercomputern zugewiesen wird. Überprüfen Sie Ihre Richtlinienzuweisungen, und legen Sie diesen Parameter auf "false" für Richtlinien fest, die nicht auf Ihren Hybridservern ausgewertet werden müssen.
Azure Automation Konfigurationsmanagement
Überprüfen Sie Empfehlungen zur Automatisierung und Preise für Azure Automation.
Azure Key Vault (ein Dienst zur sicheren Verwaltung kryptografischer Schlüssel)
- Überprüfen Sie die Preise für Azure Key Vault.
- Verwenden Sie Azure Key Vault Insights , um Zertifikaterneuerungs- und geheime Vorgänge auf Ihren Azure Arc-fähigen Servern zu überwachen.
Azure Private Link
- Überprüfen Sie Empfehlungen für konnektivitäts- und Azure Private Link-Preise.
- Verwenden Sie die Kostenverwaltung , um die Verwendung privater Verknüpfungen zu überwachen, die mit Azure Arc-fähigen Servern verwendet werden.
Nächste Schritte
Weitere Anleitungen für Ihre Hybrid-Cloud-Einführungsreise erhalten Sie in den folgenden Ressourcen:
- Sehen Sie sich Szenarien für den Einstieg in Azure Arc an.
- Machen Sie sich mit den Voraussetzungen für Server mit Azure Arc-Unterstützung vertraut.
- Planen Sie eine Bereitstellung im großen Stil von Servern mit Azure Arc-Unterstützung.
- Informieren Sie sich anhand des Azure Arc-Lernpfads ausführlicher über Azure Arc.