Governance dei costi per i server abilitati per Azure Arc

La governance dei costi è il processo continuo di implementazione dei criteri, per controllare i costi dei servizi usati in Azure. Questo documento illustra le varie considerazioni e raccomandazioni sulla governance dei costi quando si usano i server abilitati per Azure Arc.

Quanto costano i server abilitati per Azure Arc?

I server abilitati per Azure Arc offrono due tipi di servizi:

• La funzionalità del piano di controllo di Azure Arc, fornita senza costi aggiuntivi, include:

  • Organizzazione delle risorse tramite i gruppi di gestione di Azure e tag.g.
  • Ricerca e indicizzazione tramite Azure Resource Graph.
  • Controllo degli accessi tramite il controllo degli accessi in base al ruolo di Azure a livello di sottoscrizione o gruppo di risorse.
  • Ambienti e automazione tramite i modelli e le estensioni.

• I servizi di Azure usati in combinazione con i server abilitati per Azure Arc (ma non limitati a), che comportano costi in base all'utilizzo includono:

  • Monitoraggio di Azure
  • Microsoft Defender per server
  • Microsoft Sentinel
  • Gestore aggiornamenti di Azure
  • configurazione del computer Criteri di Azure
  • Automazione di Azure State Configuration, il rilevamento delle modifiche e l'inventario
  • Automazione di Azure ruoli di lavoro ibridi per runbook
  • Insieme di credenziali chiave di Azure
  • Collegamento privato di Azure

Considerazioni relative alla progettazione

• Governance: definire un modello di governance per i server ibridi che si traduce in criteri, tag, standard di denominazione e controlli con privilegi minimi.

• Monitoraggio di Azure: Monitoraggio di Azure include funzionalità per la raccolta e l'analisi dei dati di log dei server abilitati per Azure Arc (fatturati dall'inserimento dei dati, conservazione ed esportazione), raccolta di metriche, monitoraggio dell'integrità, avvisi e notifiche. Le funzionalità di Monitoraggio di Azure abilitate automaticamente vengono fornite gratuitamente, ad esempio la raccolta di metriche standard, log attività e informazioni dettagliate.

• Microsoft Defender per il cloud (in precedenza noto come Centro sicurezza di Azure): Microsoft Defender per il cloud è disponibile in due modalità:

  Senza funzionalità di sicurezza avanzate (gratuito) - Defender per il cloud è abilitato gratuitamente in tutte le sottoscrizioni di Azure quando si visita il dashboard di protezione del carico di lavoro nel portale di Azure per la prima volta o se abilitato a livello di codice tramite API. L'uso di questa modalità gratuita assicura il punteggio di sicurezza e le funzionalità correlate: criteri di sicurezza, valutazione continua della sicurezza e raccomandazioni pratiche sulla sicurezza per contribuire a proteggere le risorse di Azure.

  Defender per il cloud con tutte le funzionalità di sicurezza avanzate (a pagamento): l'abilitazione di Microsoft Defender per il cloud sicurezza avanzata estende le funzionalità della modalità gratuita ai carichi di lavoro in esecuzione in cloud privati e altri cloud pubblici, fornendo una gestione unificata della sicurezza e la protezione dalle minacce nei carichi di lavoro del cloud ibrido.

• Microsoft Sentinel: Microsoft Sentinel offre analisi intelligenti della sicurezza in tutta l'azienda. I dati per questa analisi vengono archiviati in un'area di lavoro Log Analytics di Monitoraggio di Azure. Microsoft Sentinel viene fatturato in base al volume di dati inseriti per l'analisi in Microsoft Sentinel e archiviati nell'area di lavoro Log Analytics di Monitoraggio di Azure per i server abilitati per Azure Arc.

• Gestione aggiornamenti di Azure: Gestione aggiornamenti di Azure è un servizio unificato che consente di gestire e gestire gli aggiornamenti per tutti i computer. È possibile monitorare da un'unica dashboard la conformità degli aggiornamenti di Windows e Linux nelle distribuzioni in Azure, in locale e su altre piattaforme cloud. Gestione aggiornamenti di Azure viene fatturato per server al giorno.

• Criteri di Azure configurazione del computer: Criteri di Azure configurazione del computer può controllare e applicare le impostazioni del sistema operativo e dell'applicazione nella flotta di server. Criteri di Azure configurazione del computer viene fatturata per ogni server al mese e include i diritti di utilizzo per Automazione di Azure Configurazione stato, rilevamento modifiche e inventario.

• Automazione di Azure gestione della configurazione: Automazione di Azure gestione della configurazione include Rilevamento modifiche software e inventario per i server, nonché la configurazione dello stato per configurare i server su larga scala con PowerShell Desired State Configuration. Automazione di Azure la gestione della configurazione viene fatturata per server al mese e include i diritti di utilizzo per Criteri di Azure configurazione del computer.

• Azure Key Vault: l'estensione della macchina virtuale di Azure Key Vault consente di gestire il ciclo di vita del certificato nei server abilitati per Windows e Linux per Azure Arc. Azure Key Vault viene fatturato dalle operazioni eseguite su certificati, chiavi e segreti.

• collegamento privato di Azure: È possibile usare collegamento privato di Azure per assicurarsi che i dati provenienti dai server abilitati per Azure Arc siano accessibili solo tramite reti private autorizzate. collegamento privato di Azure vengono fatturati in base all'endpoint e ai dati in ingresso/in uscita elaborati.

Suggerimenti per la progettazione

Ecco alcune raccomandazioni di progettazione generali per la governance dei costi dei server abilitati per Azure Arc:

Nota

In questa sezione, le informazioni sui prezzi descritte negli screenshot forniti sono esempi e fornite per consentire di illustrare l'uso del calcolatore di Azure e non riflettono le informazioni effettive sui prezzi che potrebbero essere visualizzate nelle distribuzioni di Azure Arc.

Governance

• Assicurarsi che tutti i server abilitati per Azure Arc seguano le convenzioni di denominazione e assegnazione di tag appropriate.
• Usare il controllo degli accessi in base al ruolo di Azure con privilegi minimi assegnando il ruolo di onboarding di Azure Connected Machine solo agli amministratori che esenettono i server abilitati per Azure Arc per evitare costi non necessari.
• Usare il controllo degli accessi in base al ruolo di Azure con privilegi minimi assegnando l'amministratore delle risorse di Azure Connected Machine solo agli amministratori che devono leggere, scrivere, eliminare e ricaricare i computer connessi di Azure.

Monitoraggio di Azure

• Esaminare le raccomandazioni per il monitoraggio per decidere i requisiti di monitoraggio ed esaminare i prezzi di Monitoraggio di Azure.
• Decidere i log e gli eventi necessari per i server Windows e Linux abilitati per Azure Arc, da raccogliere nell'area di lavoro Log Analytics.
• Usare il calcolatore prezzi di Azure per stimare i costi di monitoraggio dei server abilitati per Azure Arc, per l'inserimento, gli avvisi e le notifiche di Azure Log Analytics.

• Usare Gestione costi Microsoft per avere visibilità sui costi di Monitoraggio di Azure.

• Usare la soluzione di informazioni dettagliate sulle aree di lavoro Log Analytics per comprendere e monitorare i log raccolti e la velocità di inserimento nell'area di lavoro Log Analytics.

• Valutare la possibile riduzione del volume di inserimento dati. Per configurare correttamente l'inserimento dati, vedere Suggerimenti per ridurre il volume di dati.
• Valutare per quanto tempo si vogliono conservare i dati in Log Analytics. I dati inseriti nell'area di lavoro Log Analytics possono essere conservati senza costi aggiuntivi, fino ai primi 31 giorni. Considerare gli aspetti generali per configurare la conservazione predefinita a livello di area di lavoro Log Analytics e specifiche esigenze per configurare la conservazione dei dati in base al tipo di dati, che possono essere minime come quattro giorni. Esempio: i dati sulle prestazioni in genere non devono essere conservati per lunghi periodi, ma potrebbe essere necessario conservare i log di sicurezza per periodi prolungati.
• Per conservare i dati più lunghi di 730 giorni, è consigliabile usare l'esportazione dei dati dell'area di lavoro Log Analytics.
• Prendere in considerazione l'uso dei prezzi del piano di impegno in base al volume di inserimento dati.

Microsoft Defender per il cloud (in precedenza Centro sicurezza di Azure)

Esaminare le raccomandazioni per la sicurezza e la conformità e i prezzi di Microsoft Defender per i server.

Microsoft Sentinel (in precedenza Azure Sentinel)

Nota

Queste immagini mostrano solo esempi di prezzi.

• Esaminare i prezzi di Microsoft Sentinel.
• Usare il calcolatore prezzi di Azure per stimare i costi di Microsoft Sentinel.

• Usare Gestione costi per avere visibilità sui costi di analisi di Microsoft Sentinel.

• Esaminare i costi di conservazione dei dati per i dati inseriti nell'area di lavoro Log Analytics usata da Microsoft Sentinel.
• Filtrare il livello corretto di log ed eventi per i server Windows e Linux abilitati per Azure Arc da raccogliere nell'area di lavoro Log Analytics.
• Usare le query di Log Analytics e la cartella di lavoro del report sull'utilizzo dell'area di lavoro per comprendere le tendenze di inserimento dei dati.
• Creare un playbook di gestione dei costi per inviare notifiche, se l'area di lavoro di Microsoft Sentinel supera il budget.
• Microsoft Sentinel si integra con altri servizi di Azure per offrire funzionalità avanzate. Esaminare i dettagli dei prezzi per questi servizi.
• Prendere in considerazione l'uso dei prezzi del piano di impegno in base al volume di inserimento dati.
• Prendere in considerazione la separazione dei dati operativi non relativi alla sicurezza in un'area di lavoro Log Analytics di Azure diversa.

Gestore aggiornamenti di Azure

• Esaminare le raccomandazioni per la gestione e il monitoraggio e i prezzi di Azure Update Manager.

configurazione del computer Criteri di Azure

• Esaminare le raccomandazioni per la governance e la conformità e Criteri di Azure prezzi di configurazione dei computer.
• Usare Gestione costi per comprendere i costi di configurazione del computer Criteri di Azure filtrando il tipo di risorsa Microsoft.HybridCompute/machines.
• Tutti i criteri di configurazione predefiniti dei computer includono un parametro che controlla se i criteri verranno assegnati ai computer abilitati per Azure Arc. Esaminare le assegnazioni dei criteri e impostare questo parametro su "false" per i criteri che non devono essere valutati nei server ibridi.

gestione della configurazione di Automazione di Azure

Esaminare le raccomandazioni per l'automazione e i prezzi Automazione di Azure.

Azure Key Vault

• Esaminare i prezzi di Azure Key Vault.
• Usare le informazioni dettagliate di Azure Key Vault per monitorare le operazioni di rinnovo dei certificati e segreti nei server abilitati per Azure Arc.

Collegamento privato di Azure

• Esaminare le raccomandazioni per la connettività e i prezzi collegamento privato di Azure.
• Usare Gestione costi per monitorare l'utilizzo di collegamento privato, usato con i server abilitati per Azure Arc.

Passaggi successivi

Per altre indicazioni per il percorso di adozione del cloud ibrido, vedere le risorse seguenti:

• Esaminare gli scenari di avvio rapido di Azure Arc.
• Esaminare i prerequisiti per i server abilitati per Azure Arc.
• Pianificare una distribuzione su larga scala dei server con abilitazione di Azure Arc.
• Esaminare le procedure consigliate e le raccomandazioni di Cloud Adoption Framework per gestire in modo efficiente i costi del cloud.
• Altre informazioni su Azure Arc tramite il percorso di apprendimento di Azure Arc.