Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La gouvernance des coûts est le processus continu d’implémentation de stratégies, pour contrôler les coûts des services que vous utilisez sur Azure. Ce document vous guide tout au long des différentes considérations et recommandations relatives à la gouvernance des coûts, lors de l’utilisation de serveurs avec Azure Arc.
Combien coûte les serveurs avec Azure Arc ?
Les serveurs avec Azure Arc fournissent deux types de services :
Les fonctionnalités du plan de contrôle Azure Arc, qui sont fournies sans frais supplémentaires incluent :
- Organisation des ressources via des groupes d’administration et des balises Azure.
- Recherche et indexation via Azure Resource Graph.
- Contrôle d’accès via le contrôle d’accès en fonction du rôle Azure (RBAC) au niveau de l’abonnement ou du groupe de ressources.
- Environnements et automatisation par le biais de modèles et d’extensions.
Les services Azure utilisés conjointement avec les serveurs avec Azure Arc (mais pas limités à), qui entraînent des coûts en fonction de leur utilisation incluent :
- Azure Monitor
- Microsoft Defender pour les serveurs
- Microsoft Sentinel
- Gestionnaire de mise à jour Azure
- Configuration de la machine Azure Policy
- Azure Automation State Configuration, suivi des modifications et inventaire
- Runbook Workers hybrides Azure Automation
- Azure Key Vault
- Azure Private Link
Considérations relatives à la conception
Gouvernance: Définissez un modèle de gouvernance pour vos serveurs hybrides qui se traduisent en stratégies, balises, normes d’affectation de noms et contrôles de privilèges minimum.
Azure Monitor :Azure Monitor inclut des fonctionnalités pour la collecte et l’analyse des données de journal de vos serveurs avec Azure Arc (facturés par l’ingestion, la rétention et l’exportation des données), la collecte de métriques, la surveillance de l’intégrité, les alertes et les notifications. Les fonctionnalités d’Azure Monitor activées automatiquement sont fournies sans coût, telles que la collecte de métriques standard, de journaux d’activité et d’insights.
Microsoft Defender pour Cloud (anciennement Azure Security Center) : Microsoft Defender pour Cloud est proposé en deux modes :
Sans fonctionnalités de sécurité améliorées (gratuit) - Defender pour cloud est activé gratuitement sur tous vos abonnements Azure lorsque vous visitez le tableau de bord de protection de la charge de travail dans le portail Azure pour la première fois, ou s’il est activé par programme via l’API. L’utilisation de ce mode gratuit fournit le score de sécurité et ses fonctionnalités connexes : stratégie de sécurité, évaluation continue de la sécurité et recommandations de sécurité exploitables pour vous aider à protéger vos ressources Azure.
Defender pour cloud avec toutes les fonctionnalités de sécurité améliorées (payantes) : l’activation de Microsoft Defender pour Cloud améliore la sécurité étend les fonctionnalités du mode gratuit aux charges de travail exécutées dans des clouds privés et autres clouds publics, offrant une gestion unifiée de la sécurité et une protection contre les menaces sur vos charges de travail cloud hybrides.
Microsoft Sentinel : Microsoft Sentinel fournit des analyses de sécurité intelligentes dans votre entreprise. Les données de cette analyse sont stockées dans un espace de travail Azure Monitor Log Analytics. Microsoft Sentinel est facturé en fonction du volume de données ingérées pour l’analyse dans Microsoft Sentinel et stockées dans l’espace de travail Log Analytics Azure Monitor pour vos serveurs avec Azure Arc.
Azure Update Manager : Azure Update Manager est un service unifié qui permet de gérer et de régir les mises à jour de toutes vos machines. Vous pouvez analyser la conformité des mises à jour Windows et Linux dans l'ensemble de vos déploiements dans Azure, localement et sur d'autres plateformes cloud à partir d'un tableau de bord unique. Azure Update Manager est facturé par serveur par jour.
Configuration de la machine Azure Policy : La configuration de la machine Azure Policy peut auditer et appliquer des paramètres de système d’exploitation et d’application sur votre flotte de serveurs. La configuration de la machine Azure Policy est facturée par serveur par mois et inclut des droits d’utilisation pour Azure Automation State Configuration, le suivi des modifications et l’inventaire.
Gestion de la configuration d’Azure Automation : La gestion de la configuration d’Azure Automation inclut le suivi des modifications logicielles et l’inventaire de vos serveurs, ainsi que la configuration d’état pour configurer vos serveurs à grande échelle avec PowerShell Desired State Configuration. La gestion de la configuration d’Azure Automation est facturée par serveur par mois et inclut des droits d’utilisation pour la configuration de machine Azure Policy.
Azure Key Vault : L’extension de machine virtuelle Azure Key Vault vous permet de gérer le cycle de vie des certificats sur les serveurs avec Windows et Linux Azure Arc. Azure Key Vault est facturé par les opérations effectuées sur les certificats, clés et secrets.
Azure Private Link : Vous pouvez utiliser Azure Private Link pour vous assurer que les données provenant de vos serveurs avec Azure Arc sont accessibles uniquement via des réseaux privés autorisés. Azure Private Link est facturé par point de terminaison et les données entrantes/sortantes traitées.
Recommandations en matière de conception
Voici quelques recommandations de conception générales pour la gouvernance des coûts des serveurs avec Azure Arc :
Remarque
Dans cette section, les informations de tarification décrites dans les captures d’écran fournies sont des exemples et fournies pour permettre la démonstration de l’utilisation de la calculatrice Azure et ne reflètent pas les informations de tarification réelles que vous pouvez voir dans vos propres déploiements Azure Arc.
Gouvernance
- Vérifiez que tous les serveurs avec Azure Arc suivent les conventions d’affectation de noms et d’étiquetage appropriées.
- Utilisez le privilège minimum Azure RBAC en attribuant le rôle d'intégration de machine connectée Azure uniquement aux administrateurs qui embarquent des serveurs avec Azure Arc afin d'éviter des coûts superflus.
- Utilisez le principe de moindre privilège avec Azure RBAC en attribuant le rôle Administrateur de ressources de machines connectées Azure uniquement aux administrateurs qui doivent lire, écrire, supprimer et réinscrire les machines connectées à Azure.
Azure Monitor
- Passez en revue les recommandations de surveillance pour déterminer vos exigences de surveillance et passez en revue les tarifs d’Azure Monitor.
- Choisissez les journaux et événements requis pour les serveurs Windows et Linux avec Azure Arc, à collecter dans l’espace de travail Log Analytics.
- Utilisez la calculatrice de prix Azure pour estimer les coûts de surveillance des serveurs avec Azure Arc, pour l’ingestion, les alertes et les notifications Azure Log Analytics.
- Utilisez Microsoft Cost Management pour avoir une visibilité sur les coûts d’Azure Monitor.
- Utilisez la solution Insights des espaces de travail Log Analytics pour comprendre et surveiller les journaux collectés et leur taux d’ingestion sur l’espace de travail Log Analytics.
- Évaluez la réduction possible du volume d’ingestion des données. Consultez la documentation Conseils pour réduire le volume de données pour vous aider à configurer correctement l'ingestion des données.
- Tenez compte de la durée pendant laquelle vous souhaitez conserver des données sur Log Analytics. Les données ingérées dans l’espace de travail Log Analytics peuvent être conservées sans frais supplémentaires, jusqu’aux 31 premiers jours. Tenez compte des aspects généraux de la configuration de la rétention par défaut au niveau de l’espace de travail Log Analytics et des besoins spécifiques pour configurer la rétention des données par type de données, ce qui peut être aussi minimal que quatre jours. Exemple : les données de performances n’ont généralement pas besoin d’être conservées pendant de longues périodes, mais les journaux de sécurité peuvent être conservés pendant des périodes prolongées.
- Pour conserver les données de plus de 730 jours, envisagez d’utiliser l’exportation des données de l’espace de travail Log Analytics.
- Envisagez d’utiliser la tarification du niveau d’engagement en fonction de votre volume d’ingestion de données.
Microsoft Defender pour Cloud (anciennement Azure Security Center)
Passez en revue les recommandations relatives à la sécurité et à la conformité et à la tarification de Microsoft Defender pour les serveurs.
Microsoft Sentinel
Remarque
Ces images affichent uniquement des exemples de tarification.
- Passez en revue les tarifs de Microsoft Sentinel.
- Utilisez la calculatrice de prix Azure pour estimer les coûts de Microsoft Sentinel.
- Utilisez Cost Management pour avoir une visibilité sur les coûts d’analyse de Microsoft Sentinel.
- Passez en revue les coûts de rétention des données pour les données ingérées dans l’espace de travail Log Analytics utilisé par Microsoft Sentinel.
- Filtrez le niveau approprié des journaux et des événements à collecter dans l’espace de travail Log Analytics pour les serveurs Windows et Linux activés par Azure Arc.
- Utilisez des requêtes Log Analytics et le classeur de rapport d’utilisation de l’espace de travail pour comprendre les tendances d’ingestion des données.
- Créez un playbook de gestion des coûts pour envoyer des notifications, si votre espace de travail Microsoft Sentinel dépasse votre budget.
- Microsoft Sentinel s’intègre à d’autres services Azure pour fournir des fonctionnalités améliorées. Passez en revue les détails de tarification de ces services.
- Envisagez d’utiliser la tarification du niveau d’engagement en fonction de votre volume d’ingestion de données.
- Envisagez de séparer les données opérationnelles non liées à la sécurité en un autre espace de travail Azure Log Analytics.
Gestionnaire de mise à jour Azure
- Passez en revue les recommandations relatives à la gestion et à la surveillance et à la tarification d’Azure Update Manager.
Configuration de la machine Azure Policy
- Passez en revue les recommandations relatives à la gouvernance et à la conformité et à la tarification de la configuration des machines Azure Policy.
- Utilisez Cost Management pour comprendre les coûts de configuration des machines Azure Policy en filtrant le type de ressource Microsoft.HybridCompute/machines .
- Toutes les stratégies de configuration d’ordinateur intégrées incluent un paramètre qui contrôle si la stratégie sera affectée aux ordinateurs serveurs avec Azure Arc. Passez en revue vos attributions de stratégie et définissez ce paramètre sur « false » pour les stratégies qui n’ont pas besoin d’être évaluées sur vos serveurs hybrides.
Gestion de la configuration d’Azure Automation
Passez en revue les recommandations relatives à l’automatisation et à la tarification d’Azure Automation.
Azure Key Vault
- Passez en revue les tarifs d’Azure Key Vault.
- Utilisez Azure Key Vault Insights pour surveiller les opérations de renouvellement de certificat et de secrets sur vos serveurs avec Azure Arc.
Azure Private Link
- Passez en revue les recommandations relatives à la connectivité et à la tarification d’Azure Private Link.
- Utilisez Cost Management pour surveiller l’utilisation de Private Link, utilisée avec des serveurs avec Azure Arc.
Étapes suivantes
Pour plus d’informations sur votre parcours d’adoption du cloud hybride, consultez les ressources suivantes :
- Passer en revue les scénarios de Démarrage rapide avec Azure Arc.
- Passez en revue les prérequis pour les serveurs avec Azure Arc.
- Planifiez un déploiement à grande échelle de serveurs avec Azure Arc.
- En savoir plus sur Azure Arc via le parcours d’apprentissage Azure Arc.