Gobernanza de costos para servidores habilitados para Azure Arc

La gobernanza de costos es el proceso continuo de implementación de directivas para controlar los costos de los servicios que usa en Azure. Este documento le guiará por las distintas recomendaciones y consideraciones de gobernanza de costos al usar servidores habilitados para Azure Arc.

¿Cuánto cuestan los servidores habilitados para Azure Arc?

Los servidores habilitados para Azure Arc proporcionan dos tipos de servicios:

• La funcionalidad del plano de control de Azure Arc, que se proporciona sin costo adicional, incluye:

  • Organización de recursos mediante etiquetas y grupos de administración de Azure.
  • Búsqueda e indexación mediante Azure Resource Graph.
  • Control de acceso a través del control de acceso basado en roles (RBAC) de Azure en el nivel de suscripción o del grupo de recursos.
  • Entornos y automatización mediante plantillas y extensiones.

• Los servicios de Azure que se utilizan junto con los servidores habilitados para Azure Arc (entre otros), que incurren en costes en función de su uso incluyen:

  • Azure Monitor
  • Microsoft Defender para servidores
  • Microsoft Sentinel
  • Administrador de actualizaciones de Azure
  • Configuración de máquina de Azure Policy
  • State Configuration de Azure Automation, el seguimiento de cambios y el inventario
  • Hybrid Runbook Workers de Azure Automation
  • Azure Key Vault
  • Azure Private Link

Consideraciones de diseño

• Gobernanza: Defina un modelo de gobernanza para los servidores híbridos que se traduzca en directivas, etiquetas, estándares de nomenclatura y controles con privilegios mínimos de Azure.

• Azure Monitor:Azure Monitor incluye una funcionalidad para la recopilación y el análisis de datos de registro de los servidores habilitados para Azure Arc (se facturan según la ingesta, retención y exportación de datos), la recopilación de métricas, la supervisión de estado, las alertas y las notificaciones. Las características de Azure Monitor que están habilitadas automáticamente, como la recopilación de métricas estándar, los registros de actividad y los detalles, se proporcionan sin costo alguno.

• Microsoft Defender for Cloud (anteriormente conocido como Azure Security Center): Microsoft Defender for Cloud se ofrece en dos modos:

  Sin características de seguridad mejoradas (gratis) - Defender for Cloud se habilita de forma gratuita en todas sus suscripciones de Azure cuando visita por primera vez el panel de protección de cargas de trabajo de Azure Portal o si lo habilita mediante programación utilizando las API. Mediante modo gratuito tendrá la puntuación segura y sus características relacionadas: la directiva de seguridad, la evaluación de seguridad continua y las recomendaciones de seguridad prácticas para que pueda proteger los recursos de Azure.

  Defender for Cloud con todas las características de seguridad mejoradas (de pago): habilitar la seguridad mejorada de Microsoft Defender for Cloud extiende las capacidades del modo gratuito a las cargas de trabajo que se ejecutan en otras nubes privadas y públicas, proporcionando así una administración de seguridad unificada y protección contra amenazas en todas las cargas de trabajo de la nube híbrida.

• Microsoft Sentinel: proporciona un análisis de seguridad inteligente en toda la empresa. Los datos de este análisis se almacenan en un área de trabajo de Log Analytics de Azure Monitor. Microsoft Sentinel se factura en función del volumen de datos ingeridos para el análisis en Microsoft Sentinel y almacenados en el área de trabajo de Log Analytics de Azure Monitor para los servidores habilitados para Azure Arc.

• Azure Update Manager: Azure Update Manager es un servicio unificado que ayuda a administrar y controlar las actualizaciones de todas las máquinas.. Puede supervisar el cumplimiento de las actualizaciones de Windows y Linux en las implementaciones de Azure, en el entorno local y en otras plataformas en la nube desde un único panel. Azure Update Manager se factura por servidor al día.

• Configuración de máquinas de Azure Policy: la configuración de máquinas de Azure Policy permite auditar y aplicar la configuración del sistema operativo y de las aplicaciones en toda la flota de servidores. La configuración de máquinas de Azure Policy se factura por servidor al mes e incluye derechos de uso para State Configuration de Azure Automation, el seguimiento de cambios y el inventario.

• Administración de configuración de Azure Automation: la administración de configuración de Azure Automation incluye el seguimiento de cambios e inventario de software para los servidores, así como la configuración de estado para configurar los servidores a escala con PowerShell Desired State Configuration. La administración de la configuración de Azure Automation se factura por servidor al mes e incluye derechos de uso para la configuración de máquinas de Azure Policy.

• Azure Key Vault: la extensión de VM de Azure Key Vault le permite administrar el ciclo de vida del certificado en servidores habilitados para Azure Arc de Windows y Linux. Azure Key Vault se factura mediante las operaciones realizadas en los certificados, las claves y los secretos.

• Azure Private Link: puede usar Azure Private Link, para asegurarse de que solo se accede a los datos procedentes de los servidores habilitados para Azure Arc a través de redes privadas autorizadas. Azure Private Link se factura por punto de conexión y según los datos entrantes o salientes procesados.

Recomendaciones de diseño

Estas son algunas recomendaciones generales de diseño para la gobernanza de costos de servidores habilitados para Azure Arc:

Nota

En esta sección, la información de precios descrita en las capturas de pantalla proporcionadas son ejemplos y se incluyen para poder mostrar el uso de la Calculadora de Azure, y no reflejan la información de precios real que pueda ver en sus propias implementaciones de Azure Arc.

Gobernanza

• Asegúrese de que todos los servidores habilitados para Azure Arc sigan las convenciones de nomenclatura y etiquetado adecuadas.
• Use la instancia de RBAC de Azure con privilegios mínimos; para ello, asigne el rol de incorporación de Azure Connected Machine únicamente a los administradores que incorporen los servidores habilitados para Azure Arc para evitar costos innecesarios.
• Use la instancia de RBAC de Azure con privilegios mínimos; para ello, asigne el rol de Administrador de recursos de Azure Connected Machine únicamente a los administradores que necesiten leer, escribir, eliminar y volver a incorporar las máquinas conectadas a Azure.

Azure Monitor

• Revise las recomendaciones de supervisión para decidir los requisitos de supervisión y revise los precios de Azure Monitor.
• Decida los registros y eventos necesarios para los servidores de Linux y Windows habilitados para Azure Arc, que se recopilarán en el área de trabajo de Log Analytics.
• Use la calculadora de precios de Azure para calcular los costos de supervisión de los servidores habilitados para Azure Arc para la ingesta, las alertas y las notificaciones de Azure Log Analytics.

• Use Azure Cost Management + Billing para tener visibilidad sobre los costos de Azure Monitor.

• Use la solución de conclusiones de las áreas de trabajo de Log Analytics para comprender y supervisar los registros recopilados y su tasa de ingesta en el área de trabajo de Log Analytics.

• Evalúe la posible reducción del volumen de ingesta de datos. Consulte la documentación de Sugerencias para reducir el volumen de datos para ayudar a configurar correctamente la ingesta de datos.
• Tenga en cuenta cuánto tiempo quiere que se conserven los datos en Log Analytics. Los datos ingeridos en el área de trabajo de Log Analytics se pueden conservar sin cargo adicional hasta los primeros 31 días. Tenga en cuenta los aspectos generales para configurar la retención predeterminada del nivel de área de trabajo de Log Analytics y las necesidades específicas para configurar la retención de datos según el tipo, que puede ser, como mínimo, de cuatro días. Ejemplo: no suele ser necesario conservar los datos de rendimiento durante largos períodos de tiempo, pero es posible que los registros de seguridad deban conservarse durante períodos prolongados.
• Para conservar los datos de más de 730 días, considere la posibilidad de usar la exportación de datos del área de trabajo de Log Analytics.
• Considere la posibilidad de usar los precios del nivel de compromiso en función del volumen de ingesta de datos.

Microsoft Defender for Cloud (anteriormente Azure Security Center)

Revise las recomendaciones de seguridad y cumplimiento y los precios de Microsoft Defender para servidores.

Microsoft Sentinel (anteriormente Azure Sentinel)

Nota

Estas imágenes solo muestran ejemplos de precios.

• Revise los Precios de Microsoft Sentinel.
• Use la calculadora de precios de Azure para calcular los costos de Microsoft Sentinel.

• Use Azure Cost Management + Billing para tener visibilidad sobre los costos de análisis de Microsoft Sentinel.

• Revise los costos de retención de datos para los datos ingeridos en el área de trabajo de Log Analytics que usa Microsoft Sentinel.
• Filtre el nivel adecuado de registros y eventos para que los servidores de Windows y Linux habilitados para Azure Arc se recopilen en el área de trabajo de Log Analytics.
• Use las consultas de Log Analytics y el libro del informe de uso del área de trabajo para comprender las tendencias de ingesta de datos.
• Cree un cuaderno de estrategias de administración de costos para enviar notificaciones, si el área de trabajo de Microsoft Sentinel supera el presupuesto.
• Microsoft Sentinel se integra con otros servicios de Azure para proporcionar capacidades mejoradas. Revise los detalles de precios de estos servicios.
• Considere la posibilidad de usar los precios del nivel de compromiso en función del volumen de ingesta de datos.
• Considere la posibilidad de separar los datos operativos que no son de seguridad en otro área de trabajo de Azure Log Analytics.

Administrador de actualizaciones de Azure

• Revise las recomendaciones para la administración y supervisión y los precios de Azure Update Manager.

Configuración de máquina de Azure Policy

• Revise las recomendaciones de gobernanza y cumplimiento y los precios de configuración de máquinas de Azure Policy.
• Use Azure Cost Management + Billing para comprender los costos de configuración de máquinas de Azure Policy filtrando el tipo de recurso Microsoft.HybridCompute/machines.
• Todas las directivas de configuración de máquinas integradas incluyen un parámetro que controla si la directiva se asignará a máquinas de servidores habilitadas para Azure Arc. Revise las asignaciones de directivas y establezca este parámetro en "false" en las directivas que no necesitan evaluarse en los servidores híbridos.

Administración de la configuración de Azure Automation

Revise las recomendaciones para la automatización y los precios de Azure Automation.

Azure Key Vault

• Revise los precios de Azure Key Vault.
• Use los detalles de Azure Key Vault para supervisar las operaciones de renovación de certificados y secretos en los servidores habilitados para Azure Arc.

Azure Private Link

• Revise las recomendaciones para la conectividad y los precios de Azure Private Link.
• Use Azure Cost Management + Billing para supervisar el uso de Private Link con los servidores habilitados para Azure Arc.

Pasos siguientes

Para obtener más instrucciones sobre el recorrido de adopción de la nube híbrida, consulte los siguientes recursos:

• Revise los escenarios de Azure Arc Jumpstart.
• Revise los requisitos previos para los servidores habilitados para Azure Arc.
• Planifique una implementación a escala de los servidores habilitados para Azure Arc.
• Revise los procedimientos recomendados y recomendaciones de Cloud Adoption Framework para administrar eficazmente los costos de la nube.
• Obtenga más información sobre Azure Arc con la ruta de aprendizaje de Azure Arc.