Zarządzanie kosztami dla serwerów z obsługą usługi Azure Arc

Zarządzanie kosztami to ciągły proces implementowania zasad w celu kontrolowania kosztów usług używanych na platformie Azure. Ten dokument przeprowadzi Cię przez różne zagadnienia i zalecenia dotyczące ładu kosztów podczas korzystania z serwerów z obsługą usługi Azure Arc.

Ile kosztuje serwery z obsługą usługi Azure Arc?

Serwery z obsługą usługi Azure Arc oferują dwa typy usług:

• Funkcje płaszczyzny sterowania usługi Azure Arc, które są dostępne bez dodatkowych kosztów, obejmują:

  • Organizacja zasobów za pomocą grup zarządzania i tagów platformy Azure.
  • Wyszukiwanie i indeksowanie za pomocą usługi Azure Resource Graph.
  • Kontrola dostępu za pośrednictwem kontroli dostępu na podstawie ról (RBAC) na poziomie subskrypcji lub grupy zasobów.
  • Środowiska i automatyzacja za pomocą szablonów i rozszerzeń.

• Usługi platformy Azure używane w połączeniu z serwerami z obsługą usługi Azure Arc (ale nie tylko), które generują koszty zgodnie z ich użyciem, obejmują:

  • Azure Monitor
  • Usługa Microsoft Defender dla serwerów
  • Microsoft Sentinel
  • Azure Update Manager
  • Konfiguracja maszyny usługi Azure Policy
  • Usługa Azure Automation State Configuration, śledzenie zmian i spis
  • Hybrydowe procesy robocze elementów Runbook usługi Azure Automation
  • Azure Key Vault
  • Link prywatny platformy Azure

Uwagi dotyczące projektowania

• Ład: zdefiniuj model ładu dla serwerów hybrydowych, który przekłada się na zasady platformy Azure, tagi, standardy nazewnictwa i mechanizmy kontroli najniższych uprawnień.

• Azure Monitor:Usługa Azure Monitor obejmuje funkcje zbierania i analizowania danych dzienników serwerów z obsługą usługi Azure Arc (rozliczanych według pozyskiwania, przechowywania i eksportowania danych), zbierania metryk, monitorowania kondycji, alertów i powiadomień. Funkcje usługi Azure Monitor, które są automatycznie włączone, są udostępniane bez kosztów — takie jak kolekcja standardowych metryk, dzienników aktywności i szczegółowych informacji.

• Microsoft Defender dla Chmury (wcześniej znana jako Azure Security Center): Microsoft Defender dla Chmury jest oferowana w dwóch trybach:

  Bez rozszerzonych funkcji zabezpieczeń (wersja bezpłatna) - Defender dla Chmury jest włączana bezpłatnie we wszystkich subskrypcjach platformy Azure podczas odwiedzania pulpitu nawigacyjnego ochrony obciążenia w witrynie Azure Portal po raz pierwszy lub w przypadku włączenia programowego za pośrednictwem interfejsu API. Korzystanie z tego trybu bezpłatnego zapewnia wskaźnik bezpieczeństwa i powiązane z nią funkcje: zasady zabezpieczeń, ciągłą ocenę zabezpieczeń i zalecenia dotyczące zabezpieczeń, które ułatwiają ochronę zasobów platformy Azure.

  Defender dla Chmury ze wszystkimi rozszerzonymi funkcjami zabezpieczeń (płatne) — włączenie Microsoft Defender dla Chmury zwiększonych zabezpieczeń rozszerza możliwości trybu bezpłatnego na obciążenia działające w prywatnych i innych chmurach publicznych, zapewniając ujednolicone zarządzanie zabezpieczeniami i ochronę przed zagrożeniami w ramach obciążeń chmury hybrydowej.

• Microsoft Sentinel: Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń w całym przedsiębiorstwie. Dane tej analizy są przechowywane w obszarze roboczym usługi Azure Monitor Log Analytics. Usługa Microsoft Sentinel jest rozliczana na podstawie ilości danych pozyskanych do analizy w usłudze Microsoft Sentinel i przechowywanych w obszarze roboczym usługi Log Analytics usługi Azure Monitor dla serwerów z obsługą usługi Azure Arc.

• Azure Update Manager: Azure Update Manager to ujednolicona usługa ułatwiając zarządzanie aktualizacjami wszystkich maszyn i zarządzanie nimi. Z jednego pulpitu nawigacyjnego można monitorować zgodność aktualizacji systemów Windows i Linux we wdrożeniach na platformie Azure, lokalnie i na innych platformach w chmurze. Opłata za usługę Azure Update Manager jest naliczana za serwer dziennie.

• Konfiguracja maszyny usługi Azure Policy: Konfiguracja maszyny usługi Azure Policy może przeprowadzać inspekcję i wymuszać ustawienia systemu operacyjnego i aplikacji w całej floty serwerów. Konfiguracja maszyny usługi Azure Policy jest rozliczana za serwer miesięcznie i obejmuje prawa użytkowania dla usługi Azure Automation State Configuration, śledzenie zmian i spis.

• Zarządzanie konfiguracją usługi Azure Automation: zarządzanie konfiguracją usługi Azure Automation obejmuje oprogramowanie Śledzenie zmian i spis dla serwerów, a także konfigurację stanu w celu skonfigurowania serwerów na dużą skalę przy użyciu konfiguracji żądanego stanu programu PowerShell. Zarządzanie konfiguracją usługi Azure Automation jest rozliczane za serwer miesięcznie i obejmuje prawa użytkowania dla konfiguracji maszyny usługi Azure Policy.

• Azure Key Vault: rozszerzenie maszyny wirtualnej usługi Azure Key Vault umożliwia zarządzanie cyklem życia certyfikatu na serwerach z systemem Windows i Linux z obsługą usługi Azure Arc. Usługa Azure Key Vault jest rozliczana przez operacje wykonywane na certyfikatach, kluczach i wpisach tajnych.

• Azure Private Link: możesz użyć usługi Azure Private Link, aby upewnić się, że dane pochodzące z serwerów z obsługą usługi Azure Arc są dostępne tylko za pośrednictwem autoryzowanych sieci prywatnych. Usługa Azure Private Link jest rozliczana za pomocą punktu końcowego i przetworzonych danych przychodzących/wychodzących.

Zalecenia dotyczące projektowania

Poniżej przedstawiono ogólne zalecenia dotyczące projektowania serwerów z obsługą usługi Azure Arc dotyczące zarządzania kosztami:

Uwaga

W tej sekcji informacje o cenach opisane na podanych zrzutach ekranu to przykłady i udostępnione, aby umożliwić pokazanie użycia kalkulatora platformy Azure i nie odzwierciedlają rzeczywistych informacji o cenach, które mogą być widoczne we własnych wdrożeniach usługi Azure Arc.

Ład korporacyjny

• Upewnij się, że wszystkie serwery z obsługą usługi Azure Arc są zgodne z odpowiednimi konwencjami nazewnictwa i tagowania.
• Użyj kontroli dostępu opartej na rolach platformy Azure z najniższymi uprawnieniami, przypisując rolę dołączania maszyny Połączenie platformy Azure tylko administratorom, którzy dołączają serwery z obsługą usługi Azure Arc, aby uniknąć niepotrzebnych kosztów.
• Użyj kontroli dostępu opartej na rolach platformy Azure z najniższymi uprawnieniami, przypisując Administracja istrator zasobów maszyny Połączenie ed azure tylko administratorom, którzy muszą odczytywać, zapisywać, usuwać i ponownie dołączać połączone maszyny platformy Azure.

Azure Monitor

• Przejrzyj zalecenia dotyczące monitorowania, aby zdecydować o wymaganiach dotyczących monitorowania i przejrzeć cennik usługi Azure Monitor.
• Zdecyduj o wymaganych dziennikach i zdarzeniach dla serwerów z systemem Windows i Linux z obsługą usługi Azure Arc, które mają być zbierane w obszarze roboczym usługi Log Analytics.
• Kalkulator cen platformy Azure umożliwia oszacowanie kosztów monitorowania serwerów z obsługą usługi Azure Arc na potrzeby pozyskiwania, alertów i powiadomień usługi Azure Log Analytics.

• Użyj usługi Azure Cost Management + Billing , aby uzyskać wgląd w koszty usługi Azure Monitor.

• Skorzystaj z rozwiązania szczegółowego analizy obszarów roboczych usługi Log Analytics, aby zrozumieć i monitorować zebrane dzienniki oraz ich szybkość pozyskiwania w obszarze roboczym usługi Log Analytics.

• Oceń możliwe zmniejszenie ilości pozyskiwania danych. Zapoznaj się z Wskazówki, aby uzyskać dokumentację dotyczącą zmniejszania ilości danych, aby ułatwić prawidłowe konfigurowanie pozyskiwania danych.
• Zastanów się, jak długo chcesz przechowywać dane w usłudze Log Analytics. Dane pozyskane do obszaru roboczego usługi Log Analytics można przechowywać bez dodatkowych opłat, do pierwszych 31 dni. Należy wziąć pod uwagę ogólne aspekty konfigurowania domyślnego przechowywania na poziomie obszaru roboczego usługi Log Analytics i określonych potrzeb w celu skonfigurowania przechowywania danych według typu danych, które mogą być minimalne niż cztery dni. Przykład: dane wydajności zwykle nie muszą być przechowywane przez długi czas, ale dzienniki zabezpieczeń mogą być przechowywane przez dłuższy czas.
• Aby zachować dane dłużej niż 730 dni, rozważ użycie eksportu danych obszaru roboczego usługi Log Analytics.
• Rozważ użycie cen warstwy zobowiązania na podstawie ilości pozyskiwania danych.

Microsoft Defender dla Chmury (dawniej Azure Security Center)

Zapoznaj się z zaleceniami dotyczącymi zabezpieczeń i zgodności oraz cennikiem usługi Microsoft Defender dla serwerów.

Microsoft Sentinel (dawniej Azure Sentinel)

Uwaga

Te obrazy pokazują tylko przykłady cen.

• Przejrzyj cennik usługi Microsoft Sentinel.
• Skorzystaj z kalkulatora cen platformy Azure, aby oszacować koszty usługi Microsoft Sentinel.

• Użyj usługi Azure Cost Management + Billing , aby uzyskać wgląd w koszty analizy usługi Microsoft Sentinel.

• Przejrzyj koszty przechowywania danych pozyskane do obszaru roboczego usługi Log Analytics używanego przez usługę Microsoft Sentinel.
• Filtruj odpowiedni poziom dzienników i zdarzeń dla serwerów z systemem Windows i Linux z obsługą usługi Azure Arc, które mają być zbierane w obszarze roboczym usługi Log Analytics.
• Użyj zapytań usługi Log Analytics i skoroszytu raportu użycia obszaru roboczego, aby zrozumieć trendy pozyskiwania danych.
• Utwórz podręcznik zarządzania kosztami do wysyłania powiadomień, jeśli obszar roboczy usługi Microsoft Sentinel przekroczy budżet.
• Usługa Microsoft Sentinel integruje się z innymi usługami platformy Azure w celu zapewnienia rozszerzonych możliwości. Przejrzyj szczegóły cennika tych usług.
• Rozważ użycie cen warstwy zobowiązania na podstawie ilości pozyskiwania danych.
• Rozważ rozdzielenie danych operacyjnych niezwiązanych z zabezpieczeniami do innego obszaru roboczego usługi Azure Log Analytics.

Azure Update Manager

• Zapoznaj się z zaleceniami dotyczącymi zarządzania i monitorowania oraz cen usługi Azure Update Manager.

Konfiguracja maszyny usługi Azure Policy

• Zapoznaj się z zaleceniami dotyczącymi ładu i zgodności oraz cennikiem konfiguracji maszyny usługi Azure Policy.
• Użyj usługi Azure Cost Management + Billing, aby zrozumieć koszty konfiguracji maszyny usługi Azure Policy, filtrując typ zasobu Microsoft.HybridCompute/machines .
• Wszystkie wbudowane zasady konfiguracji maszyny obejmują parametr, który kontroluje, czy zasady zostaną przypisane do maszyn serwerów z obsługą usługi Azure Arc. Przejrzyj przypisania zasad i ustaw ten parametr na wartość "false" dla zasad, które nie muszą być oceniane na serwerach hybrydowych.

Zarządzanie konfiguracją usługi Azure Automation

Zapoznaj się z zaleceniami dotyczącymi automatyzacji i cen usługi Azure Automation.

Azure Key Vault

• Zapoznaj się z cennikiem usługi Azure Key Vault.
• Użyj szczegółowych informacji usługi Azure Key Vault, aby monitorować operacje odnawiania certyfikatów i wpisów tajnych na serwerach z obsługą usługi Azure Arc.

Link prywatny platformy Azure

• Przejrzyj zalecenia dotyczące łączności i cennika usługi Azure Private Link.
• Użyj usługi Azure Cost Management + Billing , aby monitorować użycie usługi Private Link używanej z serwerami z obsługą usługi Azure Arc.

Następne kroki

Aby uzyskać więcej wskazówek dotyczących podróży po wdrożeniu chmury hybrydowej, zapoznaj się z następującymi zasobami:

• Zapoznaj się ze scenariuszami szybkiego startu usługi Azure Arc.
• Zapoznaj się z wymaganiami wstępnymi dotyczącymi serwerów z obsługą usługi Azure Arc.
• Planowanie wdrożenia serwerów z obsługą usługi Azure Arc na dużą skalę.
• Zapoznaj się z najlepszymi rozwiązaniami i zaleceniami dotyczącymi przewodnika Cloud Adoption Framework, aby efektywnie zarządzać kosztami chmury.
• Dowiedz się więcej o usłudze Azure Arc za pośrednictwem ścieżki szkoleniowej usługi Azure Arc.