Governança de custos para servidores habilitados para Azure Arc

A governança de custos é o processo contínuo de implementação de políticas para controlar os custos dos serviços que você está usando no Azure. Este documento orienta você pelas várias considerações e recomendações de governança de custos ao usar servidores habilitados para Azure Arc.

Quanto custa os servidores habilitados para Azure Arc?

Os servidores habilitados para Azure Arc fornecem dois tipos de serviços:

• A funcionalidade do painel de controle do Azure Arc, que é fornecida sem custo adicional inclui:

  • Organização de recursos por meio de marcas e grupos de gerenciamento do Azure.
  • Pesquisa e indexação por meio do Azure Resource Graph.
  • Controle de acesso por meio do RBAC (controle de acesso baseado em função) do Azure no nível da assinatura ou do grupo de recursos.
  • Ambientes e automação por meio de modelos e extensões.

• Os serviços do Azure usados em conjunto com servidores habilitados para Azure Arc (mas não limitados a), que incorrem em custos de acordo com seu uso, incluem:

  • Azure Monitor
  • Microsoft Defender para servidores
  • Microsoft Sentinel
  • Gerenciador de Atualizações do Azure
  • Configuração de máquina do Azure Policy
  • State Configuration de Automação do Azure, controle de alterações e inventário
  • Trabalho de runbook híbrido de Automação do Azure
  • Cofre de Chave do Azure
  • Link Privado do Azure

Considerações sobre o design

• Governança: defina um modelo de governança para os servidores híbridos que seja convertido em políticas, marcas, padrões de nomenclatura e controles de privilégios mínimos do Azure.

• Azure Monitor: o Azure Monitor inclui funcionalidade para a coleta e análise de dados de log de seus servidores habilitados para Azure Arc (cobrados por ingestão, retenção e exportação de dados), coleta de métricas, monitoramento de integridade, alertas e notificações. Os recursos do Azure Monitor habilitados automaticamente são fornecidos gratuitamente, como a coleção de métricas padrão, logs de atividades e insights.

• Microsoft Defender para Nuvem (antiga Central de Segurança do Azure): o Microsoft Defender para Nuvem é oferecido em dois modos:

  Sem os recursos de segurança aprimorados (Gratuito) - O Defender para Nuvem está habilitado gratuitamente em todas as suas assinaturas do Azure quando você acessa o painel de proteção de cargas de trabalho no portal do Azure pela primeira vez ou se ele for habilitado de maneira programática por meio da API. O uso desse modo gratuito fornece a pontuação de segurança e seus recursos relacionados: uma política de segurança, uma avaliação de segurança contínua e recomendações de segurança práticas para ajudar você a proteger seus recursos do Azure.

  Defender para Nuvem com todos os recursos de segurança aprimorada (Pago) – A habilitação da segurança aprimorada do Microsoft Defender para Nuvem amplia as funcionalidades do modo gratuito para as cargas de trabalho em execução em nuvens privadas e em outras nuvens públicas, fornecendo gerenciamento de segurança e proteção contra ameaças unificados para todas as cargas de trabalho de nuvem híbrida.

• Microsoft Sentinel: o Microsoft Sentinel fornece análise de segurança inteligente em toda a sua empresa. Os dados dessa análise são armazenados em um workspace do Azure Monitor Log Analytics. O Microsoft Sentinel é cobrado com base no volume de dados ingeridos para análise no Microsoft Sentinel e é armazenado no workspace do Log Analytics no Azure Monitor para os servidores habilitados para Azure Arc.

• Azure Update Manager: o Azure Update Manager é um serviço unificado para ajudar a gerenciar e controlar atualizações para todos os seus computadores. Você pode monitorar a conformidade de atualização do Windows e do Linux em suas implantações no Azure, localmente e em outras plataformas de nuvem de um único painel. O Azure Update Manager é cobrado por servidor por dia.

• Configuração de máquina do Azure Policy: a configuração de máquina do Azure Policy pode auditar e impor configurações de sistema operacional e aplicativo em sua frota de servidores. A configuração do computador do Azure Policy é cobrada por servidor por mês e inclui direitos de uso para o State Configuration da Automação do Azure, o controle de alterações e o inventário.

• Gerenciamento de configuração da Automação do Azure: o gerenciamento de configuração da Automação do Azure inclui Controle de Alterações e Inventário de software para os servidores, bem como configuração de estado para os servidores em escala com o PowerShell Desired State Configuration. O gerenciamento de configuração da Automação do Azure é cobrado por servidor por mês e inclui direitos de uso para a configuração do computador do Azure Policy.

• Azure Key Vault: a extensão de VM do Azure Key Vault permite que você gerencie o ciclo de vida do certificado em servidores habilitados para Azure Arc do Windows e do Linux. O Azure Key Vault é cobrado pelas operações executadas em certificados, chaves e segredos.

• Link Privado do Azure: você pode usar o Link Privado do Azure para garantir que os dados provenientes dos servidores habilitados para Azure Arc sejam acessados somente por meio de redes privadas autorizadas. O Link Privado do Azure é cobrado por ponto de extremidade e dados processados de entrada/saída.

Recomendações sobre design

Estas são algumas recomendações gerais de design para governança de custo de servidores habilitados para Azure Arc:

Observação

Nesta seção, as informações de preços descritas nas capturas de tela fornecidas são exemplos e fornecidas para permitir a demonstração do uso da Calculadora do Azure e não refletem as informações de preços reais que você pode estar vendo em suas próprias implantações do Azure Arc.

Governança

• Verifique se todos os servidores habilitados para Azure Arc seguem as convenções de nomenclatura e marcação adequadas.
• Use o RBAC do Azure com privilégios mínimos, atribuindo a função Integração do Azure Connected Machine apenas aos administradores que integram servidores habilitados para Azure Arc, para evitar custos desnecessários.
• Use o RBAC do Azure com privilégios mínimos atribuindo o Administrador de Recursos de Máquinas Conectadas do Azure apenas a administradores que precisam ler, gravar, excluir e reintegrar máquinas conectadas do Azure.

Azure Monitor

• Examine as recomendações de monitoramento para decidir sobre os requisitos de monitoramento e examine os preços do Azure Monitor.
• Decida sobre os logs e eventos necessários para servidores habilitados para Azure Arc do Windows e do Linux a serem coletados no workspace do Log Analytics.
• Use a calculadora de preços do Azure para estimar os custos de monitoramento dos servidores habilitados para Azure Arc para ingestão, alertas e notificações do Azure Log Analytics.

• Use o Gerenciamento de Custos da Microsoft para ter visibilidade dos custos do Azure Monitor.

• Use a solução de insights de workspaces do Log Analytics para entender e monitorar os logs coletados e a taxa de ingestão no workspace do Log Analytics.

• Avalie a possível redução no volume de ingestão de dados. Veja a documentação Dicas para reduzir o volume de dados, para ajudar a configurar a ingestão de dados corretamente.
• Considere por quanto tempo você deseja reter os dados no Log Analytics. Os dados ingeridos no workspace do Log Analytics podem ser mantidos sem custo adicional até os primeiros 31 dias. Considere os aspectos gerais para configurar a retenção padrão no nível do workspace do Log Analytics e as necessidades específicas para configurar a retenção de dados por tipo de dados, que podem ser de no mínimo quatro dias. Exemplo: os dados de desempenho geralmente não precisam ser retidos por longos períodos, mas os logs de segurança podem precisar ser retidos por longos períodos.
• Para reter dados por mais de 730 dias, considere o uso da exportação de dados do workspace do Log Analytics.
• Use os preços do nível de compromisso com base no volume de ingestão de dados.

Microsoft Defender para Nuvem (antiga Central de Segurança do Azure)

Examine as recomendações de segurança e conformidade e os preços do Microsoft Defender para servidores.

Microsoft Sentinel

Observação

Essas imagens mostram apenas exemplos de preços.

• Revise os preços do Microsoft Sentinel.
• Use a calculadora de preços do Azure para estimar os custos do Microsoft Sentinel.

• Use o Gerenciamento de Custos para ter visibilidade sobre os custos de análise do Microsoft Sentinel.

• Examine os custos de retenção de dados para dados ingeridos no workspace do Log Analytics usado pelo Microsoft Sentinel.
• Filter o nível certo de logs e eventos para servidores habilitados para Azure Arc do Windows e do Linux a serem coletados no workspace do Log Analytics.
• Use as consultas do Log Analytics e a pasta de trabalho de relatório de uso do workspace para entender as tendências de ingestão de dados.
• Crie um guia estratégico de gerenciamento de custos para enviar notificações, caso o workspace do Microsoft Sentinel exceda o orçamento.
• O Microsoft Sentinel é integrado a muitos outros serviços do Azure para fornecer funcionalidades aprimoradas. Examine os detalhes de preços desses serviços.
• Use os preços do nível de compromisso com base no volume de ingestão de dados.
• Considere a separação de dados operacionais não relacionados à segurança em um workspace diferente do Azure Log Analytics.

Gerenciador de Atualizações do Azure

• Examine as recomendações de gerenciamento e monitoramento e os preços do Azure Update Manager.

Configuração de máquina do Azure Policy

• Examine as recomendações de governança e conformidade e os preços de configuração de computador do Azure Policy.
• Use o Gerenciamento de Custos para entender os custos de configuração de máquina do Azure Policy filtrando o tipo de recurso Microsoft.HybridCompute/machines .
• Todas as políticas de configuração de computador internas incluem um parâmetro que controla se a política será atribuída a computadores de servidores habilitados para Azure Arc. Examine suas atribuições de política e defina esse parâmetro como "false" para políticas que não precisam ser avaliadas em seus servidores híbridos.

Gerenciamento de configuração de Automação do Azure

Examine as recomendações de automação e os preços de Automação do Azure.

Cofre de Chave do Azure

• Revise os preços do Azure Key Vault.
• Use os insights do Azure Key Vault para monitorar as operações de renovação de certificado e segredos nos servidores habilitados para Azure Arc.

Link Privado do Azure

• Examine as recomendações de conectividade e os preços de Link Privado do Azure.
• Use o Gerenciamento de Custos para monitorar o uso do Link Privado, usado com servidores habilitados para Azure Arc.

Próximas etapas

Para obter mais diretrizes para o percurso de adoção de nuvem híbrida, examine os recursos a seguir:

• Examine os cenários de Jumpstart do Azure Arc.
• Examine os pré-requisitos para servidores habilitados para Azure Arc.
• Planeje uma implantação em escala de servidores habilitados para Azure Arc.
• Revise as melhores práticas e as recomendações do Cloud Adoption Framework para gerenciar com eficiência seus custos com a nuvem.
• Saiba mais sobre o Azure Arc por meio do roteiro de aprendizagem do Azure Arc.