Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При разработке архитектуры сбалансируйте требования к удаленному доступу с финансовыми ограничениями при сохранении безопасного подключения к виртуальным машинам. Общие сведения о возможностях Azure Bastion см. в разделе Что такое Azure Bastion. К ключевым соображениям относятся:
- Позволяют ли выделенные бюджеты соответствовать целям безопасности и специальных возможностей?
- Каков шаблон расходов для Bastion в ваших рабочих нагрузках?
- Как оптимизировать отдачу от инвестиций в Bastion за счет более эффективного выбора SKU и использования ресурсов?
Стратегия бастиона, оптимизированная по затратам, не всегда является самым дешевым решением. Необходимо сбалансировать эффективность безопасности с финансовой эффективностью. Тактическое сокращение затрат может создать уязвимости безопасности или пробелы в специальных возможностях. Чтобы добиться долгосрочного безопасного доступа и финансовой ответственности, создайте стратегию с определением приоритетов на основе рисков, непрерывным мониторингом и повторяемыми процессами.
Начните с рекомендуемых подходов и объясните преимущества для ваших потребностей в удаленном доступе. После настройки стратегии используйте эти принципы с помощью регулярных циклов оценки и оптимизации. Подробные рекомендации по управлению затратами см. в документации Azure Cost Management и калькуляторе цен Azure.
Общие сведения о модели ценообразования
Azure Bastion использует модель ценообразования с двумя компонентами, которая объединяет почасовые расходы SKU с затратами на передачу исходящих данных. Понимание обоих компонентов помогает оптимизировать общую стоимость владения.
Почасовая плата за SKU: Каждое развертывание Бастиона подразумевает почасовую плату на основе выбранного SKU, которая взимается непрерывно с момента развертывания независимо от использования. Дополнительные экземпляры масштабирования хоста имеют более низкие почасовые тарифы, чем базовый SKU для развертывания, что делает масштабирование более экономичным при необходимости.
Расходы на передачу данных: Исходящая передача данных от Azure Bastion к клиенту тарифицируется по уровням, с первыми 5 ГБ в месяц бесплатно. Скорость передачи снижается при увеличении объемов, что способствует консолидации. Передача входящих данных в Bastion не тарифицируется.
Региональные варианты: цены зависят от региона Azure. При планировании развертываний в нескольких регионах следует учитывать различия между региональными ценами в общих вычислениях затрат.
Сведения о текущих ценах во всех регионах см. по ссылке цены Azure Bastion.
Разработка дисциплины удаленного доступа
Оптимизация затрат для Azure Bastion требует понимания шаблонов удаленного доступа и согласования инвестиций с бизнес-приоритетами. Настройте четкое управление и подотчетность для решений по развертыванию. Дополнительные сведения о платформах управления см. в документации по управлению Azure.
| Recommendation | Преимущества |
|---|---|
| Разработайте комплексную инвентаризацию виртуальных сетей, которая каталогизирует все виртуальные сети, требующие удаленного доступа, и уровни их критической важности для бизнеса. | Полная инвентаризация позволяет принимать решения о развертывании на основе рисков и предотвращать как избыточное предоставление дорогостоящих ресурсов бастиона, так и оставление критически важных сетей без безопасного доступа. Вы можете определить приоритеты инвестиций на основе фактического влияния на бизнес. |
| Определите четкую ответственность за решения о развертывании Бастиона с определенными ролями для групп безопасности, операций и финансов. | Очистка подотчетности гарантирует, что решения о развертывании рассматривают как требования к безопасности, так и ограничения бюджета. Совместное принятие решений предотвращает изолированные выборы, которые могут угрожать безопасности или превышать бюджет. |
| Создайте реалистичные бюджеты , которые учитывают как непосредственные потребности доступа, так и запланированный рост виртуальных сетей и виртуальных машин. | Надлежащее бюджетирование обеспечивает прогнозируемые затраты бастиона и предотвращает реактивные решения во время инцидентов безопасности. Вы можете запланировать расширение развертывания по мере роста инфраструктуры. |
| Реализуйте платформы оценки рисков, определяющие минимальные уровни доступа и стандартные политики для различных типов сети. | Платформы на основе рисков предоставляют структурированные подходы для оценки безопасности удаленного доступа, обеспечивая согласованные решения по развертыванию. Они помогают выявлять критически важные сети, оценивать уязвимости и определять соответствующие конфигурации Бастиона на основе бизнес-влияния и терпимости к рискам, предотвращая как недостаточной защиты критически важных сетей, так и чрезмерного развертывания в средах с низким риском. |
Выберите нужный номер SKU
Azure Bastion предлагает четыре уровня SKU с различными профилями затрат: Разработчик (бесплатный), Базовый (умеренный), Стандартный (умеренный и более высокий) и Премиум (самый высокий). Выберите номер SKU, который балансирует требования к функциям с ограничениями бюджета. Для получения подробной информации о сравнении моделей SKU и их функциях см. раздел Выберите правильную SKU для Azure Bastion.
| Recommendation | Преимущество оптимизации затрат |
|---|---|
| Максимальное использование номера SKU разработчика для всех сред разработки и тестирования, где доступ к одной виртуальной машине является приемлемым. | SKU разработчика полностью устраняет затраты на Bastion для непроизводственных нагрузок. Почасовая плата не взимается, плата за передачу данных не взимается. ** Используйте этот номер SKU для резервирования бюджета для производственных развертываний. См. Развертывание Бастиона в портале Azure. |
| Начните с SKU уровня Basic для производственных сред, если не требуются дополнительные функции. Обновление выполняется только при выявлении определенных пробелов функций. | Базовый SKU сводит к минимуму производственные затраты, предоставляя основные функции (пиринг, Kerberos, одновременные подключения). Предотвращает избыточное развертывание, внедряя только необходимые функции. Оцените фактическое использование перед фиксацией на более высоких уровнях затрат. |
| Выберите номер SKU уровня "Стандартный", когда анализ затрат оправдывает расширенные функции. Ключевые драйверы затрат: потребности масштабирования (>2 экземпляра), требования к локальному клиенту или операционная эффективность через общие ссылки. | Стандартный SKU обеспечивает экономичное масштабирование за счет увеличения количества узлов (2–50 экземпляров) с поэтапным ценообразованием. Переменные затраты соответствуют фактическому спросу. Расширенные функции могут снизить операционные расходы, компенсируя более высокие почасовые ставки. |
| Выберите номер SKU уровня "Премиум" , если требования к соответствию требованиям требует записи сеансов или если разница затрат уровня "Стандартный — Премиум" не является незначительной по сравнению с общим объемом расходов на инфраструктуру. | Опция "Премиум" добавляет минимальные затраты по сравнению со стандартной, обеспечивая долгосрочную перспективу развертывания. Запись сеансов устраняет необходимость в решениях для аудита от сторонних поставщиков. Развертывание только для частного доступа может снизить затраты на сеть в высоко ограниченных средах. |
| Реализуйте поэтапное внедрение SKU в виртуальных сетях с учетом критической важности для бизнеса. Используйте Basic для сетей с более низким приоритетом, standard/Premium для критически важных рабочих нагрузок. | Стратегия многоуровневого развертывания оптимизирует общую стоимость путем сопоставления расходов SKU с бизнес-ценностью. Высокоприоритетные сети оправдывают функции уровня "Премиум"; другие используют экономичные уровни. Предотвращает глобальное развертывание самых дорогих SKU. |
Проектирование для повышения эффективности архитектуры
Оптимизируйте архитектуру, чтобы максимально повысить ценность каждого развертывания Бастиона при сохранении безопасности и функциональности. Ваши архитектурные решения напрямую влияют на текущие затраты. Руководства по архитектуре см. в следующих разделах: Azure Well-Architected Framework и Bastion design and architecture.
| Recommendation | Преимущества |
|---|---|
| Используйте пиринг между виртуальными сетями для консолидации развертываний Бастиона в нескольких подключенных виртуальных сетях вместо развертывания отдельных экземпляров. | Одно развертывание Бастиона может обслуживать виртуальные машины в одноранговых виртуальных сетях, что значительно снижает затраты. При сохранении безопасного доступа в топологии сети вы устраняете повторяющиеся развертывания. Рекомендации по пирингу см. в статье "Работа с пирингом виртуальной сети" и "Бастион". |
| Используйте бастион разработчика для отдельных сценариев разработки и тестирования, в которых не требуются одновременные подключения или расширенные функции. | Bastion Developer является бесплатным и идеально подходит для нагрузок разработки и тестирования, полностью устраняя затраты для этих сред. При переходе к производственной среде или при необходимости дополнительных функций, вы можете перейти на выделенный SKU. |
| Консолидируйте удаленный доступ посредством централизованных развертываний Бастиона в виртуальных сетях концентратора, вместо развертываний в каждой периферийной сети. | Развертывание на основе концентратора сокращает общее количество необходимых ресурсов Бастиона. Вы можете минимизировать почасовые расходы, обслуживая несколько спицевых сетей из одного экземпляра Bastion через пиринг виртуальных сетей. |
| Стратегически планируйте количество экземпляров, учитывая требования к одновременным сеансам, чтобы избежать чрезмерного воспроизводства масштабирующих единиц. | Каждая инстанция добавляет к почасовым затратам, поэтому оптимизация размера предотвращает ненужные расходы. Дополнительные экземпляры обходятся дешевле в час по сравнению с базовым развертыванием SKU, что делает поэтапное масштабирование более экономичным. Номера SKU уровня "Стандартный" и "Премиум" поддерживают масштабирование узлов (2–50 экземпляров), что позволяет настраивать емкость на основе фактических шаблонов использования. Сведения о масштабировании узлов см. в разделе "Настройка масштабирования узла". |
Оптимизация использования ресурсов
Получите максимальную ценность от инвестиций в Bastion, эффективно используя включенные функции и согласовывая развертывания с фактическими шаблонами использования.
| Recommendation | Преимущества |
|---|---|
| Воспользуйтесь интеграцией с Azure Monitor и встроенными диагностическими журналами без дополнительных затрат на мониторинг и анализ Bastion. | Вы получаете максимальную ценность от инвестиций с помощью включенных возможностей мониторинга. Это обеспечивает анализ видимости сеанса и использования, необходимый для текущей оптимизации без дополнительных затрат. Рекомендации по мониторингу см. в разделе Monitor Azure Bastion. |
| Использовать делимые ссылки (стандартный SKU и для более поздней версии) для обеспечения безопасного доступа для пользователей без учетных данных Azure, что уменьшает потребность в дополнительной инфраструктуре аутентификации. | Общедоступные ссылки обеспечивают безопасный, ограниченный по времени доступ без доступа к порталу Azure или использования дополнительных инструментов. Это упрощает управление доступом при управлении тем, кто может подключаться к определенным виртуальным машинам. См. статью "Создание общих ссылок". |
| Реализуйте поддержку собственного клиента (SKU уровня "Стандартный" и более поздней версии) для подключений SSH и RDP, чтобы улучшить взаимодействие с пользователем и сократить затраты на браузер. | Поддержка встроенных клиентов позволяет пользователям подключаться с помощью локальных клиентов SSH/RDP, обеспечивая более высокую производительность и удобство использования. Это снижает потребление ресурсов браузера и улучшает качество подключения. См. статью "Подключение с помощью собственного клиента". |
| Настройте масштабирование узлов (SKU уровня "Стандартный" и "Премиум") для сопоставления количества экземпляров с фактическими требованиями к одновременным сеансам на основе шаблонов использования. | Динамическое масштабирование обеспечивает достаточную емкость во время пикового использования, избегая чрезмерной подготовки во время периодов с низким спросом. Каждый экземпляр поддерживает 20 одновременных подключений RDP и 40 одновременных подключений SSH, что позволяет точно планировать емкость. См. раздел "Настройка масштабирования узла". |
| Используйте зоны доступности , доступные для повышения устойчивости без развертывания избыточных ресурсов Бастиона в разных регионах. | Зонально-избыточное развертывание обеспечивает высокую доступность в пределах одного ресурса Bastion. Вы получаете улучшенную надежность без затрат на несколько региональных развертываний. См. зоны бастиона и доступности. |
| Оптимизируйте шаблоны передачи данных, объединяя развертывания Бастиона и уделяя внимание объемам исходящей передачи данных. | Первые 5 ГБ исходящей передачи данных в месяц бесплатны во всех ресурсах Бастиона. Объединение нескольких небольших развертываний в меньшее число крупных помогает максимально использовать эту бесплатную SKU. Более высокие объемы передачи данных получают выгоду от многоуровневой системы ценообразования с уменьшением ставок при увеличении объёма. |
Мониторинг и оптимизация с течением времени
Потребности в удалённом доступе изменяются по мере развития вашей инфраструктуры. Настройте непрерывный мониторинг и регулярные циклы оптимизации для обеспечения экономичности.
| Recommendation | Преимущества |
|---|---|
| Настройте оповещения о затратах при подходе к предопределенным пороговым значениям бюджета бастиона. | Упреждающие уведомления предотвращают переполнение бюджета и позволяют своевременно вносить корректировки в стратегию развертывания. Вы можете реагировать на увеличение затрат, прежде чем они влияют на другие инициативы. Сведения о создании оповещений о затратах см. в статье "Мониторинг использования и расходов с помощью оповещений о затратах". |
| Проведение квартальных проверок развертываний Бастиона и их шаблонов использования для выявления возможностей оптимизации. | Регулярные проверки гарантируют, что инвестиции остаются в соответствии с бизнес-приоритетами. Вы можете определить недоиспользуемые развертывания, возможности консолидации или кандидаты для понижения уровня SKU на основе фактического использования функций. |
| Отслеживайте шаблоны сеансов и использование подключений для оптимизации количества экземпляров и выявления неиспользуемых развертываний. Используйте диагностические журналы и метрики Azure Monitor. | Понимание фактических шаблонов использования позволяет принимать решения о масштабировании на основе данных. Вы можете настроить количество экземпляров на основе данных реального сеанса, а не теоретических требований, а также определить развертывания, которые могут быть выведены из эксплуатации. |
| Отслеживайте затраты на передачу данных вместе с почасовой стоимостью SKU, чтобы понять полный профиль расходов Bastion. | Затраты на передачу данных могут быть значительными для развертываний с высоким уровнем использования. Мониторинг обоих компонентов затрат помогает определить возможности оптимизации, такие как консолидация развертываний, чтобы максимально повысить преимущества SKU или оптимизировать шаблоны подключений для уменьшения исходящей передачи данных. |
| Отслеживайте рентабельность развертывания инвестиций (ROI), используя рекомендации по управлению затратами для измерения стоимости и реализации управления жизненным циклом. | Измерение ROI демонстрирует ценность внедрения и служит ориентиром для будущих инвестиционных решений. Регулярная очистка неиспользуемых или недоиспользуемых ресурсов Бастиона предотвращает рост расходов, который не соответствует ценности для бизнеса, что позволяет освободить бюджет для более приоритетных сетей. |
| Проверьте использование функций , чтобы убедиться, что вы используете соответствующий номер SKU для фактических шаблонов использования. | Анализ использования функций выявляет возможности для понижения SKU, если дополнительные возможности не используются. Переход с уровня "Премиум" на "Стандартный" или "Стандартный" на "Базовый" при необходимости может снизить затраты при сохранении необходимого доступа. Однако для двингрейда SKU требуется удаление и воссоздание Bastion. См. Просмотр или обновление SKU. |