Kostengovernance für Server mit Azure Arc-Unterstützung

Die Kostengovernance ist der kontinuierliche Prozess der Implementierung von Richtlinien, um die Kosten der Dienste zu kontrollieren, die Sie in Azure verwenden. Dieses Dokument führt Sie durch die verschiedenen Überlegungen zur Kostengovernance und Empfehlungen, wenn Sie Server mit Azure Arc-Unterstützung verwenden.

Wie viel kosten Server mit Azure Arc-Unterstützung?

Server mit Azure Arc-Unterstützung bieten zwei Arten von Diensten:

• Die Funktionalität der Steuerungsebene von Azure Arc, die ohne zusätzliche Kosten bereitgestellt wird, umfasst:

  • Ressourcenorganisation über Azure-Verwaltungsgruppen und -Tags.
  • Suche und Indizierung über Azure Resource Graph.
  • Zugriffssteuerung durch rollenbasierte Zugriffssteuerung (RBAC) in Azure auf Abonnement- oder Ressourcengruppenebene.
  • Umgebungen und Automatisierung über Vorlagen und Erweiterungen.

• Zu den Azure-Diensten, die in Verbindung mit Servern mit Azure Arc-Unterstützung (aber nicht beschränkt darauf) verwendet werden und die Kosten entsprechend ihrer Nutzung verursachen, gehören:

  • Azure Monitor
  • Microsoft Defender für Server
  • Microsoft Sentinel
  • Azure Update Manager
  • Azure Policy (Computerkonfiguration)
  • Azure Automation State Configuration, Änderungsnachverfolgung und Bestand
  • Azure Automation – Hybrid-Runbook-Worker
  • Azure-Schlüsseltresor
  • Azure Private Link

Überlegungen zum Entwurf

• Governance: Definieren Sie ein Governancemodell für Ihre Hybridserver, das in Azure-Richtlinien, Tags, Benennungsstandards und Steuerungen mit geringsten Rechten umgesetzt wird.

• Azure Monitor: Azure Monitor umfasst Funktionen für die Erfassung und Analyse von Protokolldaten Ihrer Server mit Azure Arc-Unterstützung (abgerechnet nach Datenerfassung, Aufbewahrung und Export), die Erfassung von Metriken, die Systemüberwachung sowie Warnungen und Benachrichtigungen. Features von Azure Monitor, die automatisch aktiviert sind, werden kostenlos zur Verfügung gestellt, z. B. die Sammlung von Standardmetriken, Aktivitätsprotokollen und Erkenntnissen.

• Microsoft Defender für Cloud (ehemals Azure Security Center): Microsoft Defender für Cloud wird in zwei Modi angeboten:

  Ohne erweiterte Sicherheitsfunktionen (Kostenlos) - Defender für Cloud wird kostenlos für alle Ihre Azure-Abonnements aktiviert, wenn Sie das Dashboard für den Workloadschutz im Azure-Portal zum ersten Mal besuchen oder wenn die Aktivierung programmgesteuert über die API erfolgt. Mit diesem kostenlosen Modus erhalten Sie die Sicherheitsbewertung und die damit verbundenen Funktionen: Sicherheitsrichtlinien, kontinuierliche Sicherheitsbewertung und umsetzbare Sicherheitsempfehlungen, die Sie beim Schutz Ihrer Azure-Ressourcen unterstützen.

  Defender für Cloud mit allen erweiterten Sicherheitsfunktionen (Bezahlt) – Die Aktivierung der erweiterten Sicherheitsfunktionen von Microsoft Defender für Cloud erweitert die Funktionen des kostenlosen Modus auf Workloads, die in privaten und anderen öffentlichen Clouds ausgeführt werden, und bietet ein einheitliches Sicherheitsmanagement und Schutz vor Bedrohungen für Ihre Hybrid Cloud-Workloads.

• Microsoft Sentinel: Microsoft Sentinel bietet intelligente Sicherheitsanalysen für Ihr gesamtes Unternehmen. Die Daten für diese Analysen werden in einem Log Analytics-Arbeitsbereich in Azure Monitor gespeichert. Microsoft Sentinel wird auf der Grundlage des Datenvolumens abgerechnet, das zur Analyse in Microsoft Sentinel aufgenommen und im Azure Monitor Log Analytics-Arbeitsbereich für Ihre Server mit Azure Arc-Unterstützung gespeichert wird.

• Azure Update Manager: Azure Update Manager ist ein einheitlicher Dienst zur Verwaltung und Steuerung von Updates für alle Ihre Computer. Sie können die Compliance von Windows- und Linux-Updates für Ihre Bereitstellungen in Azure, lokal und auf anderen Cloudplattformen über ein einzelnes Dashboard überwachen. Azure Update Manager wird pro Server und Tag abgerechnet.

• Azure Policy-Computerkonfiguration: Mit der Azure Policy-Computerkonfiguration können Betriebssystem- und Anwendungseinstellungen für Ihre vorhandenen Server überwacht und erzwungen werden. Die Azure Policy-Computerkonfiguration wird pro Server und Monat abgerechnet und umfasst Nutzungsrechte für Azure Automation State Configuration, Änderungsnachverfolgung und Inventur.

• Azure Automation-Konfigurationsverwaltung: Die Konfigurationsverwaltung von Azure Automation umfasst die Nachverfolgung von Softwareänderungen und den Bestand Ihrer Server sowie die Statuskonfiguration, um Ihre Server mit der PowerShell Desired State Configuration im großen Stil zu konfigurieren. Die Azure Automation-Konfigurationsverwaltung wird pro Server und Monat abgerechnet und umfasst Nutzungsrechte für die Azure Policy-Computerkonfiguration.

• Azure Key Vault: Die Azure Key Vault-VM-Erweiterung ermöglicht Ihnen die Verwaltung des Lebenszyklus von Zertifikaten auf Windows- und Linux-Servern mit Azure Arc-Unterstützung. Azure Key Vault wird nach den Vorgängen abgerechnet, die mit den Zertifikaten, Schlüsseln und Geheimnissen durchgeführt werden.

• Azure Private Link: Sie können Azure Private Link verwenden, um sicherzustellen, dass der Zugriff auf Daten, die von Ihren Servern mit Azure Arc-Unterstützung stammen, nur über autorisierte private Netzwerke erfolgt. Azure Private Link wird nach Endpunkt und verarbeiteten ein-/ausgehenden Daten abgerechnet.

Entwurfsempfehlungen

Im Folgenden finden Sie einige allgemeine Entwurfsempfehlungen für Server mit Azure Arc-Unterstützung zur Kostengovernance:

Hinweis

In diesem Abschnitt sind die in den angegebenen Screenshots beschriebenen Preisinformationen Beispiele und werden bereitgestellt, um die Verwendung des Azure-Preisrechners zu veranschaulichen. Es handelt sich nicht um die tatsächlichen Preisinformationen, die Sie möglicherweise in Ihren eigenen Azure Arc-Bereitstellungen sehen.

Governance

• Stellen Sie sicher, dass alle Server mit Azure Arc-Unterstützung den richtigen Konventionen zur Benennung und Kennzeichnung folgen.
• Verwenden Sie Azure RBAC mit geringsten Rechten, indem Sie die Rolle Onboarding von Azure Connected Machine nur Administratoren zuweisen, die das Onboarding nur für Server mit Azure Arc-Unterstützung durchführen, um unnötige Kosten zu vermeiden.
• Verwenden Sie Azure RBAC mit geringsten Rechten, indem Sie Ressourcenadministrator für Azure Connected Machine nur Administratoren zuweisen, die Azure Connected Machine-Instanzen lesen, schreiben, löschen und das Onboarding erneut durchführen müssen.

Azure Monitor

• Überprüfen Sie die Empfehlungen für die Überwachung, um über Ihre Überwachungsanforderungen zu entscheiden, und prüfen Sie die Preise von Azure Monitor.
• Bestimmen Sie die erforderlichen Protokolle und Ereignisse für Azure Arc-fähige Windows- und Linux-Server, die im Log Analytics-Arbeitsbereich gesammelt werden sollen.
• Verwenden Sie den Azure-Preisrechner, um die Kosten für die Überwachung von Servern mit Azure Arc-Unterstützung, für die Azure Log Analytics-Erfassung sowie für Warnungen und Benachrichtigungen abzuschätzen.

• Verwenden Sie Microsoft Cost Management, um einen Überblick über die Kosten von Azure Monitor zu erhalten.

• Verwenden Sie die Insights-Lösung für Log Analytics-Arbeitsbereiche, um die gesammelten Protokolle und ihre Erfassungsrate im Log Analytics-Arbeitsbereich zu verstehen und zu überwachen.

• Erwägen Sie eine mögliche Reduzierung des Datenerfassungsvolumens. Informationen zum ordnungsgemäßen Konfigurieren der Datenerfassung finden Sie unter Tipps zum Reduzieren der Datenmenge.
• Überlegen Sie, wie lange Sie die Daten in Log Analytics aufbewahren möchten. Im Log Analytics-Arbeitsbereich erfasste Daten können die ersten 31 Tage ohne zusätzliche Kosten aufbewahrt werden. Beachten Sie allgemeine Überlegungen bei der Konfiguration der Standardaufbewahrung auf der Ebene des Protokollanalyse-Arbeitsbereichs und spezielle Anforderung bei der Konfiguration der Datenaufbewahrung nach Datentyp, die so kurz wie vier Tage sein kann. Beispiel: Leistungsdaten müssen in der Regel nicht über lange Zeiträume aufbewahrt werden, aber Sicherheitsprotokolle müssen möglicherweise über längere Zeiträume aufbewahrt werden.
• Um Daten länger als 730 Tage aufzubewahren, können Sie den Export von Daten aus dem Log Analytics-Arbeitsbereich in Erwägung ziehen.
• Ziehen Sie in Erwägung, Mindestabnahmepreise zu verwenden, die auf Ihrem Volumen der Datenerfassung basieren.

Microsoft Defender für Cloud (ehemals Azure Security Center)

Überprüfen Sie die Empfehlungen für Sicherheit und Compliance und die Preise für Microsoft Defender für Server.

Microsoft Sentinel

Hinweis

Diese Bilder zeigen nur Preisbeispiele.

• Überprüfen Sie die Preise für Microsoft Sentinel.
• Verwenden Sie den Azure-Preisrechner, um die Kosten für Microsoft Sentinel zu schätzen.

• Verwenden Sie Cost Management, um einen Überblick über die Kosten der Microsoft Sentinel-Analyse zu erhalten.

• Überprüfen Sie die Datenaufbewahrungskosten für Daten, die in den von Microsoft Sentinel verwendeten Log Analytics-Arbeitsbereich erfasst werden.
• Filtern Sie die richtige Ebene der Protokolle und Ereignisse für die Azure Arc-fähigen Windows- und Linux-Server, die im Log Analytics-Arbeitsbereich gesammelt werden sollen.
• Verwenden Sie Log Analytics-Abfragen und die Arbeitsmappe Bericht zur Arbeitsbereichsnutzung, um die Trends Ihrer Datenerfassung zu verstehen.
• Erstellen Sie ein Playbook zur Kostenverwaltung, um Benachrichtigungen zu senden, wenn Ihr Microsoft Sentinel-Arbeitsbereich Ihr Budget überschreitet.
• Microsoft Sentinel kann in andere Azure-Dienste integriert werden, um erweiterte Funktionen bereitzustellen. Überprüfen Sie die Preisdetails für diese Dienste.
• Ziehen Sie in Erwägung, Mindestabnahmepreise zu verwenden, die auf Ihrem Volumen der Datenerfassung basieren.
• Erwägen Sie das Trennen von nicht sicherheitsrelevanten Betriebsdaten in einen anderen Azure Log Analytics-Arbeitsbereich.

Azure Update Manager

• Lesen Sie die Empfehlungen für die Verwaltung und Überwachung und überprüfen Sie die Preise für Azure Update Manager.

Azure Policy (Computerkonfiguration)

• Lesen Sie die Empfehlungen für Governance und Compliance und überprüfen Sie die Azure Policy-Computerkonfiguration.
• Verwenden Sie Cost Management, um die Kosten für die Azure Policy-Computerkonfiguration zu verstehen, indem Sie den Ressourcentyp Microsoft.HybridCompute/machines filtern.
• Alle integrierten Richtlinien der Computerkonfiguration enthalten einen Parameter, der steuert, ob die Richtlinie Servercomputern mit Azure Arc-Unterstützung zugewiesen wird. Überprüfen Sie Ihre Richtlinienzuweisungen, und legen Sie diesen Parameter für Richtlinien, die nicht auf Ihren Hybridservern ausgewertet werden müssen, auf „false“ fest.

Azure Automation-Konfigurationsverwaltung

Überprüfen Sie Empfehlungen für die Automatisierung und die Preise für Azure Automation.

Azure-Schlüsseltresor

• Überprüfen Sie die Preise für Azure Key Vault.
• Verwenden Sie Azure Key Vault-Erkenntnisse, um Zertifikatsverlängerungen und geheimnisbezogene Vorgänge auf Ihren Servern mit Azure Arc-Unterstützung zu überwachen.

Azure Private Link

• Überprüfen Sie die Empfehlungen für Konnektivität und die Preise für Azure Private Link.
• Verwenden Sie Cost Management, um die Verwendung von Private Link zu überwachen, das mit Servern mit Azure Arc-Unterstützung verwendet wird.

Nächste Schritte

Weitere Hinweise zur Einführung der Hybrid Cloud finden Sie in den folgenden Ressourcen:

• Sehen Sie sich Szenarien für den Einstieg in Azure Arc an.
• Machen Sie sich mit den Voraussetzungen für Server mit Azure Arc-Unterstützung vertraut.
• Planen Sie eine Bereitstellung im großen Stil von Servern mit Azure Arc-Unterstützung.
• Lesen Sie die bewährten Methoden und Empfehlungen für das Cloud Adoption Framework, um Ihre Cloudkosten effizient zu verwalten.
• Informieren Sie sich anhand des Azure Arc-Lernpfads ausführlicher über Azure Arc.