Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Lors de la conception de votre architecture, équilibrez les exigences d’accès à distance avec des contraintes financières tout en conservant une connectivité sécurisée aux machines virtuelles. Pour obtenir une vue d’ensemble des fonctionnalités d’Azure Bastion, consultez Présentation d’Azure Bastion. Les principales considérations sont les suivantes :
- Vos budgets alloués vous permettent-ils de répondre aux objectifs de sécurité et d’accessibilité ?
- Quel est le schéma de dépenses dans vos charges de travail pour Bastion ?
- Comment maximiser l'investissement dans Bastion grâce à une meilleure sélection de SKU (unité de gestion des stocks) et une utilisation optimisée des ressources ?
Une stratégie Bastion optimisée pour les coûts n’est pas toujours l’option de coût la plus faible. Vous devez équilibrer l’efficacité de la sécurité avec l’efficacité financière. La réduction des coûts tactiques peut créer des vulnérabilités de sécurité ou des lacunes d’accessibilité. Pour obtenir un accès sécurisé à long terme et une responsabilité financière, créez une stratégie avec des priorités basées sur les risques, une surveillance continue et des processus reproductibles.
Commencez par les approches recommandées et justifiez les avantages de vos exigences d’accès à distance. Après avoir défini votre stratégie, utilisez ces principes par le biais de cycles d’évaluation et d’optimisation réguliers. Pour obtenir des conseils complets sur la gestion des coûts, consultez la documentation Azure Cost Management et la calculatrice de prix Azure.
Comprendre le modèle de tarification
Azure Bastion utilise un modèle de tarification à deux composants qui associe les frais horaires du SKU (Stock Keeping Unit) aux coûts de transfert de données sortants. Comprendre les deux composants vous aide à optimiser le coût total de possession.
Frais horaires des SKU : chaque déploiement Bastion entraîne des frais horaires en fonction de la catégorie de SKU sélectionnée, facturés en continu depuis le déploiement, indépendamment de l'utilisation. Les instances supplémentaires pour la mise à l’échelle de l’hôte ont des taux horaires inférieurs au déploiement SKU de base, ce qui rend la mise à l’échelle plus rentable lorsque cela est nécessaire.
Coûts de transfert de données : le transfert de données sortants d’Azure Bastion vers votre client est facturé en niveaux, avec les 5 premiers Go par mois gratuits. Les taux de transfert diminuent à des niveaux de volume plus élevés, récompensant la consolidation. Le transfert de données entrant vers Bastion n’est pas facturé.
Variantes régionales : la tarification varie selon la région Azure. Lors de la planification des déploiements multirégions, tenez compte des différences de tarification régionales dans vos calculs de coût total.
Pour plus d’informations sur les tarifs actuels dans toutes les régions, consultez la tarification Azure Bastion.
Développer une discipline d’accès à distance
L’optimisation des coûts pour Azure Bastion nécessite de comprendre vos modèles d’accès à distance et d’aligner les investissements avec les priorités métier. Configurez une gouvernance claire et une responsabilité pour les décisions de déploiement. Pour plus d’informations sur les frameworks de gouvernance, consultez la documentation sur la gouvernance Azure.
| Recommandation | Avantage |
|---|---|
| Développez un inventaire complet des réseaux virtuels qui catalogue tous les réseaux virtuels nécessitant un accès à distance et leurs niveaux de criticité métier. | Un inventaire complet permet de prendre des décisions de déploiement basées sur les risques et empêche le surapprovisionnement de ressources Bastion coûteuses et de laisser les réseaux critiques sans accès sécurisé. Vous pouvez hiérarchiser les investissements en fonction de l’impact réel de l’entreprise. |
| Établissez une responsabilité claire pour les décisions de déploiement Bastion avec des rôles définis pour la sécurité, les opérations et les équipes financières. | La responsabilité claire garantit que les décisions de déploiement prennent en compte les exigences de sécurité et les contraintes budgétaires. La prise de décision collaborative empêche les choix en silo susceptibles de compromettre la sécurité ou de dépasser les budgets. |
| Créez des budgets réalistes qui comptent à la fois pour les besoins d’accès immédiat et la croissance planifiée des réseaux virtuels et des machines virtuelles. | Le budget approprié permet des coûts Bastion prévisibles et empêche les décisions réactives lors des incidents de sécurité. Vous pouvez planifier l’expansion du déploiement à mesure que votre infrastructure augmente. |
| Implémentez des frameworks d’évaluation des risques qui définissent des niveaux d’accès minimaux et des stratégies standardisées pour différents types de réseau. | Les infrastructures basées sur les risques fournissent des approches structurées pour évaluer la sécurité de l’accès à distance tout en garantissant des décisions de déploiement cohérentes. Ils permettent d’identifier les réseaux critiques, d’évaluer les vulnérabilités et de déterminer les configurations Bastion appropriées en fonction de l’impact de l’entreprise et de la tolérance aux risques, ce qui empêche la sous-protection des réseaux critiques et le sur-déploiement vers des environnements à faible risque. |
Choisir la référence SKU appropriée
Azure Bastion offre quatre niveaux de référence SKU avec différents profils de coût : Développeur (gratuit), Basic (modéré), Standard (modéré à supérieur) et Premium (le plus élevé). Sélectionnez la référence SKU qui équilibre vos besoins en fonctionnalités avec des contraintes budgétaires. Pour obtenir des détails complets sur la comparaison des références SKU et les fonctionnalités, consultez Choisir la référence SKU Azure Bastion appropriée.
| Recommandation | Avantage d’optimisation des coûts |
|---|---|
| Optimisez l’utilisation de la référence SKU développeur pour tous les environnements de développement et de test où l’accès à une seule machine virtuelle est acceptable. | La référence SKU développeur élimine 100 % des coûts Bastion pour les charges de travail hors production. Aucun frais horaire, aucun frais de transfert de données. Utilisez ce niveau pour réserver le budget des déploiements de production. Consultez Se connecter à Azure Bastion Developer. |
| Commencez par la référence SKU de base pour les environnements de production, sauf si des fonctionnalités avancées sont requises. Mettez à niveau uniquement lorsque vous identifiez des lacunes de fonctionnalités spécifiques. | La référence SKU de base réduit les coûts de production tout en fournissant des fonctionnalités essentielles (peering, Kerberos, connexions simultanées). Empêche le surapprovisionnement en déployant uniquement les fonctionnalités nécessaires. Évaluez l’utilisation réelle avant de valider des niveaux de coût plus élevés. |
| Sélectionnez la référence SKU Standard lorsque l’analyse des coûts justifie les fonctionnalités avancées. Principaux facteurs de coût : besoins de mise à l’échelle (>2 instances), exigences client natives ou efficacité opérationnelle à partir de liens partageables. | La référence SKU standard permet une mise à l’échelle économique par le biais de la mise à l’échelle de l’hôte (2 à 50 instances) avec une tarification incrémentielle. Les coûts variables s’alignent sur la demande réelle. Les fonctionnalités avancées peuvent réduire la surcharge opérationnelle qui permet de compenser des taux horaires plus élevés. |
| Choisissez la référence SKU Premium lorsque les exigences de conformité imposent l’enregistrement de session ou lorsque la différence de coût Standard-à-Premium est négligeable par rapport au total des dépenses d’infrastructure. | Premium ajoute un coût minimal par rapport à Standard, tout en garantissant la pérennité des déploiements. L’enregistrement de session élimine la nécessité de solutions d’audit tierces. Le déploiement privé uniquement peut réduire les coûts réseau dans des environnements hautement restreints. |
| Implémentez l’adoption par phases de la référence SKU sur des réseaux virtuels en fonction de la criticité de l’entreprise. Utilisez Basic pour les réseaux de priorité inférieure, Standard/Premium pour les charges de travail critiques. | La stratégie de déploiement hiérarchisé optimise le coût total en alignant les coûts SKU à la valeur commerciale. Les réseaux à priorité élevée justifient les fonctionnalités Premium ; d’autres utilisent des niveaux économiques. Empêche les déploiements généraux des SKU les plus chers. |
Conception pour l’efficacité de l’architecture
Optimisez votre architecture pour optimiser la valeur de chaque déploiement Bastion tout en conservant la sécurité et les fonctionnalités. Vos décisions architecturales ont un impact direct sur les coûts en cours. Pour obtenir des conseils architecturaux, consultez Azure Well-Architected Framework et Bastion design et architecture.
| Recommandation | Avantage |
|---|---|
| Tirez parti du peering de réseaux virtuels pour consolider les déploiements Bastion sur plusieurs réseaux virtuels connectés au lieu de déployer des instances distinctes. | Un déploiement Bastion unique peut servir des machines virtuelles sur des réseaux virtuels interconnectés, en réduisant considérablement les coûts. Vous éliminez les déploiements en double tout en conservant un accès sécurisé sur votre topologie de réseau. Pour obtenir des conseils sur le peering, consultez Travailler avec le peering de réseaux virtuels et Bastion. |
| Utilisez Bastion Developer pour des scénarios de développement et de test individuels où vous n’avez pas besoin de connexions simultanées ou de fonctionnalités avancées. | Bastion Developer est gratuit et parfait pour les charges de travail de développement/test, éliminant entièrement les coûts pour ces environnements. Vous pouvez effectuer une mise à niveau vers une référence SKU dédiée lors du passage en production ou lorsque vous avez besoin de fonctionnalités supplémentaires. |
| Consolidez l’accès à distance via des déploiements Bastion centralisés dans des réseaux virtuels centraux plutôt que de déployer sur chaque réseau périphérique. | Le déploiement basé sur le hub réduit le nombre total de ressources Bastion nécessaires. Vous réduisez les frais horaires en desservant plusieurs réseaux spoke à partir d’une instance Bastion unique via l'interconnexion de réseaux virtuels. |
| Planifiez le nombre d’instances de manière stratégique en comprenant vos exigences de session simultanées pour éviter le surapprovisionnement d’unités d’échelle. | Chaque instance ajoute des coûts horaires, de sorte que le dimensionnement approprié empêche les dépenses inutiles. Les instances supplémentaires coûtent moins par heure que le déploiement de base SKU, rendant la mise à l’échelle incrémentielle plus économique. Les références SKU Standard et Premium prennent en charge la mise à l’échelle de l’hôte (2 à 50 instances), ce qui vous permet d’ajuster la capacité en fonction des modèles d’utilisation réels. Pour plus d’informations sur la mise à l’échelle de l’hôte, consultez Configurer la mise à l’échelle de l’hôte. |
Optimiser l’utilisation des ressources
Obtenez la plus grande valeur de vos investissements Bastion en utilisant des fonctionnalités incluses efficacement et en alignant les déploiements avec les modèles d’utilisation réels.
| Recommandation | Avantage |
|---|---|
| Tirez parti de l’intégration d’Azure Monitor et des journaux de diagnostic intégrés sans frais supplémentaires pour la surveillance et l’analyse de Bastion. | Vous bénéficiez d’une valeur maximale de votre investissement à l’aide des fonctionnalités de supervision incluses. Cela fournit une visibilité de session et une analyse de l’utilisation nécessaires à l’optimisation continue sans frais supplémentaires. Pour obtenir des conseils de surveillance, consultez Monitor Azure Bastion. |
| Utilisez des liens partageables (référence SKU Standard et versions ultérieures) pour permettre un accès sécurisé pour les utilisateurs sans informations d’identification Azure, ce qui réduit la nécessité d’une infrastructure d’authentification supplémentaire. | Les liens partageables fournissent un accès sécurisé et limité au temps sans avoir besoin d’un accès au portail Azure ou d’outils supplémentaires. Cela simplifie la gestion des accès tout en contrôlant qui peut se connecter à des machines virtuelles spécifiques. Consultez Créer des liens partageables. |
| Implémentez la prise en charge du client natif (référence SKU Standard et ultérieure) pour les connexions SSH et RDP afin d’améliorer l’expérience utilisateur et de réduire la surcharge du navigateur. | La prise en charge native des clients permet aux utilisateurs de se connecter à l’aide de clients SSH/RDP locaux, ce qui offre de meilleures performances et une meilleure connaissance. Cela réduit la consommation des ressources du navigateur et améliore la qualité de la connexion. Consultez Se connecter à l’aide d’un client natif. |
| Configurez la mise à l’échelle de l’hôte (références SKU Standard et Premium) pour qu’elle corresponde au nombre d’instances avec des exigences de session simultanées réelles en fonction des modèles d’utilisation. | La mise à l’échelle dynamique vous permet de maintenir une capacité adéquate pendant les pics d’utilisation tout en évitant le surapprovisionnement pendant les périodes à faible demande. Chaque instance prend en charge 20 connexions RDP simultanées et 40 connexions SSH simultanées, ce qui permet une planification précise de la capacité. Consultez Configurer la mise à l’échelle de l’hôte. |
| Tirez parti des zones de disponibilité où elles sont disponibles pour améliorer la résilience sans déployer de ressources Bastion redondantes entre les régions. | Le déploiement redondant interzone offre une haute disponibilité au sein d’une seule ressource Bastion. Vous bénéficiez d’une fiabilité améliorée sans coût de plusieurs déploiements régionaux. Consultez bastion et zones de disponibilité. |
| Optimisez les modèles de transfert de données en consolidant les déploiements Bastion et en faisant attention aux volumes de transfert de données sortants. | La première 5 Go de transfert de données sortantes par mois est gratuite sur toutes vos ressources Bastion. La consolidation de plusieurs petits déploiements en moins grands vous permet d’optimiser ce niveau gratuit. Des volumes de transfert de données plus élevés bénéficient de la tarification hiérarchisé avec des taux décroissants à grande échelle. |
Surveiller et optimiser au fil du temps
Les besoins d’accès à distance changent à mesure que votre infrastructure évolue. Configurez la surveillance continue et les cycles d’optimisation réguliers pour maintenir l’efficacité des coûts.
| Recommandation | Avantage |
|---|---|
| Configurez les alertes de coût lorsque les dépenses Bastion approchent des seuils budgétaires prédéfinis. | Les notifications proactives empêchent les dépassements de budget et permettent d’ajuster rapidement la stratégie de déploiement. Vous pouvez répondre aux augmentations de coûts avant qu’elles n’affectent d’autres initiatives. Pour créer des alertes de coût, consultez Surveiller l’utilisation et les dépenses avec des alertes de coût. |
| Effectuez des révisions trimestrielles des déploiements Bastion et de leurs modèles d’utilisation pour identifier les opportunités d’optimisation. | Les examens réguliers garantissent que les investissements restent alignés sur les priorités de l’entreprise. Vous pouvez identifier les déploiements sous-utilisés, les opportunités de consolidation ou les candidats de rétrogradation de référence SKU en fonction de l’utilisation réelle des fonctionnalités. |
| Surveillez les modèles de session et l’utilisation de la connexion pour optimiser le nombre d’instances et identifier les déploiements inutilisés. Utilisez les journaux de diagnostic et les métriques Azure Monitor. | Comprendre les modèles d’utilisation réels permet de prendre des décisions de mise à l’échelle pilotées par les données. Vous pouvez ajuster les nombres d’instances en fonction des données de session réelles plutôt que des exigences théoriques et identifier les déploiements qui peuvent être désactivés. |
| Suivez les coûts de transfert de données conjointement avec les frais horaires de SKU pour comprendre votre profil complet des dépenses Bastion. | Les coûts de transfert de données peuvent être importants pour les déploiements à utilisation élevée. La surveillance des deux composants de coût permet d’identifier les opportunités d’optimisation, telles que la consolidation des déploiements afin d’optimiser les avantages de niveau gratuit ou d’optimiser les modèles de connexion pour réduire le transfert de données sortants. |
| Suivez le retour sur investissement du déploiement en utilisantles meilleures pratiques de gestion des coûts pour mesurer la valeur et mettre en œuvre la gestion du cycle de vie. | La mesure du retour sur investissement illustre la valeur de déploiement et guide les décisions futures en matière d’investissement. Le nettoyage régulier des ressources Bastion inutilisées ou sous-utilisées empêche la croissance des dépenses qui ne s’aligne pas sur la valeur de l’entreprise tout en libérant le budget pour les réseaux à priorité plus élevée. |
| Passez en revue l’utilisation des fonctionnalités pour vous assurer que vous êtes sur le niveau de référence SKU approprié pour vos modèles d’utilisation réels. | L’analyse de l’utilisation des fonctionnalités identifie les opportunités de rétrogradation des références SKU lorsque les fonctionnalités avancées ne sont pas utilisées. Le passage de Premium à Standard ou Standard à Basic, le cas échéant, peut réduire les coûts tout en conservant l’accès nécessaire. Toutefois, les rétrogradations de SKU nécessitent la suppression et la recréation de Bastion. Consultez Afficher ou mettre à niveau une référence SKU. |