Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
При разработке архитектуры сбалансируйте требования к удаленному доступу с финансовыми ограничениями при сохранении безопасного подключения к виртуальным машинам. Общие сведения о возможностях Бастиона Azure см. в статье "Что такое Бастион Azure". К ключевым соображениям относятся:
- Позволяют ли выделенные бюджеты соответствовать целям безопасности и специальных возможностей?
- Каков шаблон расходов для Bastion в ваших рабочих нагрузках?
- Как оптимизировать отдачу от инвестиций в Bastion за счет более эффективного выбора SKU и использования ресурсов?
Стратегия бастиона, оптимизированная по затратам, не всегда является самым дешевым решением. Необходимо сбалансировать эффективность безопасности с финансовой эффективностью. Тактическое сокращение затрат может создать уязвимости безопасности или пробелы в специальных возможностях. Чтобы добиться долгосрочного безопасного доступа и финансовой ответственности, создайте стратегию с определением приоритетов на основе рисков, непрерывным мониторингом и повторяемыми процессами.
Начните с рекомендуемых подходов и объясните преимущества для ваших потребностей в удаленном доступе. После настройки стратегии используйте эти принципы с помощью регулярных циклов оценки и оптимизации. Подробные рекомендации по управлению затратами см. в документации по управлению затратами Azure и калькуляторе цен Azure.
Общие сведения о модели ценообразования
Azure Bastion использует модель ценообразования с двумя компонентами, которая объединяет почасовые тарифы SKU с затратами на передачу исходящих данных. Понимание обоих компонентов помогает оптимизировать общую стоимость владения.
Почасовая плата за SKU: За каждое развертывание Бастиона начисляется почасовая плата в соответствии с выбранным уровнем SKU, которая продолжается непрерывно с момента развертывания, независимо от использования. Дополнительные экземпляры масштабирования хоста имеют более низкие почасовые тарифы, чем базовый SKU для развертывания, что делает масштабирование более экономичным при необходимости.
Затраты на передачу данных: исходящая передача данных из Azure Bastion к вашему клиенту тарифицируется по уровням, при этом первые 5 ГБ в месяц бесплатно. Скорость передачи снижается при увеличении объемов, что способствует консолидации. Передача входящих данных в Bastion не тарифицируется.
Региональные варианты: цены зависят от региона Azure. При планировании развертываний в нескольких регионах следует учитывать различия между региональными ценами в общих вычислениях затрат.
Сведения о текущих ценах во всех регионах см. в разделе "Цены на Бастион Azure".
Разработка дисциплины удаленного доступа
Оптимизация затрат для Бастиона Azure требует понимания шаблонов удаленного доступа и выравнивания инвестиций с бизнес-приоритетами. Настройте четкое управление и подотчетность для решений по развертыванию. Дополнительные сведения о платформах управления см. в документации по управлению Azure.
| Recommendation | Преимущества |
|---|---|
| Разработайте комплексную инвентаризацию виртуальных сетей, которая каталогизирует все виртуальные сети, требующие удаленного доступа, и уровни их критической важности для бизнеса. | Полная инвентаризация позволяет принимать решения о развертывании на основе рисков и предотвращать как избыточное предоставление дорогостоящих ресурсов бастиона, так и оставление критически важных сетей без безопасного доступа. Вы можете определить приоритеты инвестиций на основе фактического влияния на бизнес. |
| Определите четкую ответственность за решения о развертывании Бастиона с определенными ролями для групп безопасности, операций и финансов. | Очистка подотчетности гарантирует, что решения о развертывании рассматривают как требования к безопасности, так и ограничения бюджета. Совместное принятие решений предотвращает изолированные выборы, которые могут угрожать безопасности или превышать бюджет. |
| Создайте реалистичные бюджеты , которые учитывают как непосредственные потребности доступа, так и запланированный рост виртуальных сетей и виртуальных машин. | Надлежащее бюджетирование обеспечивает прогнозируемые затраты бастиона и предотвращает реактивные решения во время инцидентов безопасности. Вы можете запланировать расширение развертывания по мере роста инфраструктуры. |
| Реализуйте платформы оценки рисков, определяющие минимальные уровни доступа и стандартные политики для различных типов сети. | Платформы на основе рисков предоставляют структурированные подходы для оценки безопасности удаленного доступа, обеспечивая согласованные решения по развертыванию. Они помогают выявлять критически важные сети, оценивать уязвимости и определять соответствующие конфигурации Бастиона на основе бизнес-влияния и терпимости к рискам, предотвращая как недостаточной защиты критически важных сетей, так и чрезмерного развертывания в средах с низким риском. |
Выберите нужный номер SKU
Бастион Azure предлагает несколько уровней SKU с различными наборами функций и структурами затрат. Выберите номер SKU, соответствующий вашим требованиям к удаленному доступу и потребностям функций. Дополнительные сведения о типах SKU Бастиона и ценах см. в разделах "Сведения о параметрах конфигурации Бастиона" и "Цены на Azure Bastion".
| Recommendation | Преимущества |
|---|---|
| Use Bastion Developer только для разработки и тестирования сред. Не подходит для производственных нагрузок. | Bastion Developer является бесплатным (без дополнительных затрат), без почасовой оплаты и расходов на передачу данных, обеспечивая безопасное подключение одновременно к одной виртуальной машине в сценариях разработки и тестирования. Этот уровень предназначен исключительно для непроизводственных сред и устраняет все затраты, связанные с Бастионом, при сохранении стандартов безопасности. Для настройки Bastion Developer см. статью Connect with Azure Bastion Developer. |
| Выберите Basic SKU, если вам нужно выделенное развертывание Bastion с основными функциями, такими как поддержка пиринга виртуальной сети и проверка подлинности Kerberos. | Базовый номер SKU (средняя стоимость) обеспечивает экономичное выделенное развертывание для рабочих сред, которые не требуют расширенных функций. Поддерживает 2 экземпляра с до 40 одновременных сеансов RDP и 80 одновременных сеансов SSH. Вы получаете прогнозируемую цену с основными возможностями для наиболее распространенных сценариев удаленного доступа. Чтобы настроить Basic SKU, см. в разделе "Развертывание бастиона с указанными параметрами". |
| Выберите номер SKU уровня "Стандартный " для рабочих нагрузок, требующих расширенных функций, таких как масштабирование узлов, ссылки для общего доступа, поддержка собственных клиентов или подключения на основе IP-адресов. | Стандартный SKU (от средних до более высоких затрат) предлагает комплексные возможности удаленного доступа с поддержкой от 2 до 50 экземпляров. В максимальном масштабе поддерживает до 1000 одновременных сеансов RDP и 2000 одновременных сеансов SSH. Экземпляры можно масштабировать на основе потребностей параллельного сеанса и поддерживать различные методы подключения. Для настройки SKU уровня Standard см. раздел "Развертывание бастиона с параметрами по умолчанию". |
| Выберите номер SKU уровня "Премиум" (рекомендуется) для рабочих нагрузок, требующих записи сеансов, развертывания только для частных пользователей или для дальнейшего подтверждения развертывания для предстоящих расширенных возможностей. | Номер SKU класса Premium (более высокая стоимость с маргинальным отличием от уровня "Стандартный") предоставляет специализированные функции для соответствия требованиям и расширенным требованиям к безопасности. Поддерживает 2–50 экземпляров с тем же параллелизмом, что и стандартный (до 1000 сеансов RDP и 2 000 сеансов SSH в максимальном масштабе). Разница в затратах от тарифного плана "Стандартный" минимальна, а предстоящие функции из дорожной карты будут добавлены в этот тарифный план, что делает его рекомендуемым для рабочих развертываний. Сведения о настройке функций SKU уровня "Премиум" см. в разделе "Настройка записи сеансов " и "Развертывание бастиона только для частного использования". |
| Разработка поэтапно настроенных планов развертывания , которые определяют приоритеты критически важных для бизнеса виртуальных сетей при рассмотрении ограничений бюджета и необходимых наборов компонентов. | Этот систематический подход обеспечивает немедленный безопасный доступ к основным сетям при управлении затратами. Вы можете расширить развертывания на основе оценки рисков, доступных бюджетов и требований к функциям, чтобы предотвратить избыточные расходы на ненужные возможности. |
Проектирование для повышения эффективности архитектуры
Оптимизируйте архитектуру, чтобы максимально повысить ценность каждого развертывания Бастиона при сохранении безопасности и функциональности. Ваши архитектурные решения напрямую влияют на текущие затраты. Инструкции по архитектуре см. в статье Azure Well-Architected Framework и Проектирование и архитектура Bastion.
| Recommendation | Преимущества |
|---|---|
| Используйте пиринг между виртуальными сетями для консолидации развертываний Бастиона в нескольких подключенных виртуальных сетях вместо развертывания отдельных экземпляров. | Одно развертывание Бастиона может обслуживать виртуальные машины в одноранговых виртуальных сетях, что значительно снижает затраты. При сохранении безопасного доступа в топологии сети вы устраняете повторяющиеся развертывания. Рекомендации по пирингу см. в статье "Работа с пирингом виртуальной сети" и "Бастион". |
| Используйте бастион разработчика для отдельных сценариев разработки и тестирования, в которых не требуются одновременные подключения или расширенные функции. | Bastion Developer является бесплатным и идеально подходит для нагрузок разработки и тестирования, полностью устраняя затраты для этих сред. При переходе к производственной среде или при необходимости дополнительных функций, вы можете перейти на выделенный SKU. |
| Консолидируйте удаленный доступ посредством централизованных развертываний Бастиона в виртуальных сетях концентратора, вместо развертываний в каждой периферийной сети. | Развертывание на основе концентратора сокращает общее количество необходимых ресурсов Бастиона. Вы можете минимизировать почасовые расходы, обслуживая несколько спицевых сетей из одного экземпляра Bastion через пиринг виртуальных сетей. |
| Стратегически планируйте количество экземпляров, учитывая требования к одновременным сеансам, чтобы избежать чрезмерного воспроизводства масштабирующих единиц. | Каждая инстанция добавляет к почасовым затратам, поэтому оптимизация размера предотвращает ненужные расходы. Дополнительные экземпляры обходятся дешевле в час по сравнению с базовым развертыванием SKU, что делает поэтапное масштабирование более экономичным. Номера SKU уровня "Стандартный" и "Премиум" поддерживают масштабирование узлов (2–50 экземпляров), что позволяет настраивать емкость на основе фактических шаблонов использования. Сведения о масштабировании узлов см. в разделе "Настройка масштабирования узла". |
Оптимизация использования ресурсов
Получите максимальную ценность от инвестиций в Bastion, эффективно используя включенные функции и согласовывая развертывания с фактическими шаблонами использования.
| Recommendation | Преимущества |
|---|---|
| Воспользуйтесь преимуществами интеграции Azure Monitor и встроенных журналов диагностики без дополнительных расходов на мониторинг и анализ Бастиона. | Вы получаете максимальную ценность от инвестиций с помощью включенных возможностей мониторинга. Это обеспечивает анализ видимости сеанса и использования, необходимый для текущей оптимизации без дополнительных затрат. Рекомендации по мониторингу см. в разделе "Мониторинг бастиона Azure". |
| Используйте ссылки, доступные для общего доступа (SKU уровня "Стандартный" и выше), чтобы обеспечить безопасный доступ для пользователей без учетных данных Azure, что снижает потребность в дополнительной инфраструктуре проверки подлинности. | Ссылки, доступные для общего доступа, обеспечивают безопасный, ограниченный по времени доступ без доступа к порталу Azure или дополнительных инструментов. Это упрощает управление доступом при управлении тем, кто может подключаться к определенным виртуальным машинам. См. статью "Создание общих ссылок". |
| Реализуйте поддержку собственного клиента (SKU уровня "Стандартный" и более поздней версии) для подключений SSH и RDP, чтобы улучшить взаимодействие с пользователем и сократить затраты на браузер. | Поддержка встроенных клиентов позволяет пользователям подключаться с помощью локальных клиентов SSH/RDP, обеспечивая более высокую производительность и удобство использования. Это снижает потребление ресурсов браузера и улучшает качество подключения. См. статью "Подключение с помощью собственного клиента". |
| Настройте масштабирование узлов (SKU уровня "Стандартный" и "Премиум") для сопоставления количества экземпляров с фактическими требованиями к одновременным сеансам на основе шаблонов использования. | Динамическое масштабирование обеспечивает достаточную емкость во время пикового использования, избегая чрезмерной подготовки во время периодов с низким спросом. Каждый экземпляр поддерживает 20 одновременных подключений RDP и 40 одновременных подключений SSH, что позволяет точно планировать емкость. См. раздел "Настройка масштабирования узла". |
| Используйте зоны доступности , доступные для повышения устойчивости без развертывания избыточных ресурсов Бастиона в разных регионах. | Зонально-избыточное развертывание обеспечивает высокую доступность в пределах одного ресурса Bastion. Вы получаете улучшенную надежность без затрат на несколько региональных развертываний. См. зоны бастиона и доступности. |
| Оптимизируйте шаблоны передачи данных, объединяя развертывания Бастиона и уделяя внимание объемам исходящей передачи данных. | Первые 5 ГБ исходящей передачи данных в месяц бесплатны во всех ресурсах Бастиона. Консолидация нескольких небольших развертываний в меньшее количество крупных развертываний помогает максимизировать этот бесплатный уровень. Более высокие объемы передачи данных получают выгоду от многоуровневой системы ценообразования с уменьшением ставок при увеличении объёма. |
Мониторинг и оптимизация с течением времени
Потребности в удалённом доступе изменяются по мере развития вашей инфраструктуры. Настройте непрерывный мониторинг и регулярные циклы оптимизации для обеспечения экономичности.
| Recommendation | Преимущества |
|---|---|
| Настройте оповещения о затратах при подходе к предопределенным пороговым значениям бюджета бастиона. | Упреждающие уведомления предотвращают переполнение бюджета и позволяют своевременно вносить корректировки в стратегию развертывания. Вы можете реагировать на увеличение затрат, прежде чем они влияют на другие инициативы. Сведения о создании оповещений о затратах см. в статье "Мониторинг использования и расходов с помощью оповещений о затратах". |
| Проведение квартальных проверок развертываний Бастиона и их шаблонов использования для выявления возможностей оптимизации. | Регулярные проверки гарантируют, что инвестиции остаются в соответствии с бизнес-приоритетами. Вы можете определить недоиспользуемые развертывания, возможности консолидации или кандидаты для понижения уровня SKU на основе фактического использования функций. |
| Отслеживайте шаблоны сеансов и использование подключений для оптимизации количества экземпляров и выявления неиспользуемых развертываний. Используйте журналы диагностики и метрики Azure Monitor. | Понимание фактических шаблонов использования позволяет принимать решения о масштабировании на основе данных. Вы можете настроить количество экземпляров на основе данных реального сеанса, а не теоретических требований, а также определить развертывания, которые могут быть выведены из эксплуатации. |
| Отслеживайте затраты на передачу данных вместе с почасовой стоимостью SKU, чтобы понять полный профиль расходов Bastion. | Затраты на передачу данных могут быть значительными для развертываний с высоким уровнем использования. Мониторинг обоих компонентов затрат помогает определить возможности оптимизации, такие как консолидация развертываний, чтобы максимально повысить преимущества уровня "Бесплатный" или оптимизировать шаблоны подключений для уменьшения исходящей передачи данных. |
| Отслеживайте рентабельность развертывания инвестиций (ROI), используя рекомендации по управлению затратами для измерения стоимости и реализации управления жизненным циклом. | Измерение ROI демонстрирует ценность внедрения и служит ориентиром для будущих инвестиционных решений. Регулярная очистка неиспользуемых или недоиспользуемых ресурсов Бастиона предотвращает рост расходов, который не соответствует ценности для бизнеса, что позволяет освободить бюджет для более приоритетных сетей. |
| Проверьте использование функций , чтобы убедиться, что вы находитесь на соответствующем уровне SKU для фактических шаблонов использования. | Анализ использования функций выявляет возможности для понижения SKU, если дополнительные возможности не используются. Переход с уровня "Премиум" на "Стандартный" или "Стандартный" на "Базовый" при необходимости может снизить затраты при сохранении необходимого доступа. Однако для двингрейда SKU требуется удаление и воссоздание Bastion. См. Просмотр или обновление SKU. |