Управление затратами для серверов с поддержкой Azure Arc

Управление затратами — это непрерывный процесс реализации политик для управления затратами на службы, которые вы используете в Azure. В этом документе описаны различные рекомендации и рекомендации по управлению затратами при использовании серверов с поддержкой Azure Arc.

Сколько стоит серверы с поддержкой Azure Arc?

Серверы с поддержкой Azure Arc предоставляют два типа служб:

• Функциональность плоскости управления Azure Arc, которая предоставляется без дополнительных затрат, включает:

  • организация ресурсов с использованием групп управления и тегов Azure;
  • поиск и индексирование с помощью Azure Resource Graph;
  • Управление доступом с помощью управления доступом на основе ролей Azure (RBAC) на уровне подписки или группы ресурсов.
  • обслуживание сред и автоматизация с помощью шаблонов и расширений;

• Службы Azure, используемые в сочетании с серверами с поддержкой Azure Arc (но не ограничены), которые влечет за собой затраты в соответствии с их использованием:

  • Azure Monitor
  • Microsoft Defender для серверов
  • Microsoft Sentinel
  • Диспетчер обновлений Azure
  • конфигурация компьютера Политика Azure
  • служба автоматизации Azure конфигурации состояния, отслеживания изменений и инвентаризации
  • служба автоматизации Azure гибридных рабочих ролей Runbook
  • Azure Key Vault
  • Приватный канал Azure

Рекомендации по проектированию

• Управление. Определите модель управления для гибридных серверов, которые преобразуется в политики Azure, теги, стандарты именования и элементы управления наименьшими привилегиями.

• Azure Monitor: Azure Monitor включает функции для сбора и анализа данных журнала серверов с поддержкой Azure Arc (выставление счетов за прием данных, хранение и экспорт), сбор метрик, мониторинга работоспособности, оповещений и уведомлений. Функции Azure Monitor, которые автоматически включены, предоставляются без затрат, например сбор стандартных метрик, журналов действий и аналитических сведений.

• Microsoft Defender для облака (прежнее название — Центр безопасности Azure): Microsoft Defender для облака предлагается в двух режимах:

  Без расширенных функций безопасности (бесплатно) - Defender для облака включен бесплатно для всех подписок Azure при первом посещении панели мониторинга защиты рабочей нагрузки в портал Azure или при включении программно через API. На уровне "Бесплатный" предоставляются оценки безопасности и сопутствующие возможности: политики безопасности, непрерывная оценка безопасности и практические рекомендации по безопасности для защиты ресурсов Azure.

  Defender для облака со всеми расширенными функциями безопасности (платными) — включение Microsoft Defender для облака расширенной безопасности расширяет возможности бесплатного режима для рабочих нагрузок, работающих в частных и других общедоступных облаках, обеспечивая унифицированное управление безопасностью и защиту от угроз в гибридных облачных рабочих нагрузках.

• Microsoft Sentinel: Microsoft Sentinel предоставляет интеллектуальную аналитику безопасности в вашей организации. Данные для этого анализа хранятся в рабочей области Log Analytics в Azure Monitor. Плата за Microsoft Sentinel взимается на основе объема данных, которые передаются для анализа в Microsoft Sentinel, и хранятся в рабочей области Azure Monitor Log Analytics для серверов с поддержкой Azure Arc.

• Диспетчер обновлений Azure: Azure Update Manager — это единая служба, помогая управлять обновлениями для всех компьютеров и управлять ими. Вы можете отслеживать соответствие обновлений Windows и Linux во всех развертываниях в Azure, в локальных средах и на других облачных платформах на единой панели мониторинга. Диспетчер обновлений Azure выставляется на сервер в день.

• Политика Azure конфигурации компьютера: Политика Azure конфигурация компьютера может выполнять аудит и применение параметров операционной системы и приложений на нескольких серверах. Политика Azure конфигурация компьютера выставляется на сервер в месяц и включает права на использование для конфигурации состояния служба автоматизации Azure, отслеживания изменений и инвентаризации.

• управление конфигурацией служба автоматизации Azure: управление конфигурацией служба автоматизации Azure включает Отслеживание изменений и инвентаризация программного обеспечения для серверов, а также конфигурацию состояния для настройки серверов в масштабе с помощью PowerShell Конфигурация требуемого состояния. служба автоматизации Azure управление конфигурацией выставляется на сервер в месяц и включает права использования для Политика Azure конфигурации компьютера.

• Azure Key Vault. Расширение виртуальной машины Azure Key Vault позволяет управлять жизненным циклом сертификатов на серверах с поддержкой Windows и Linux Azure Arc. Azure Key Vault оплачивается операциями, выполняемыми для сертификатов, ключей и секретов.

• Приватный канал Azure: Вы можете использовать Приватный канал Azure, чтобы обеспечить доступ к данным с серверов с поддержкой Azure Arc только через авторизованные частные сети. Приватный канал Azure выставляется по конечной точке и обрабатывается исходящими и исходящими данными.

Рекомендации по проектированию

Ниже приведены некоторые общие рекомендации по проектированию для управления затратами серверов с поддержкой Azure Arc:

Примечание.

В этом разделе сведения о ценах, описанные на приведенных снимках экрана, являются примерами и предоставляются для демонстрации использования калькулятора Azure и не отражают фактические сведения о ценах, которые могут отображаться в собственных развертываниях Azure Arc.

Система управления

• Убедитесь, что все серверы с поддержкой Azure Arc соответствуют соответствующим соглашениям об именовании и тегах.
• Используйте минимальные привилегии Azure RBAC, назначив роль подключения подключенного компьютера Azure только администраторам, которые подключают серверы с поддержкой Azure Arc, чтобы избежать ненужных затрат.
• Используйте наименьшие привилегии Azure RBAC, назначив администраторам подключенных компьютеров Azure только администраторам, которым необходимо читать, записывать, удалять и повторно подключать подключенные к Azure компьютеры.

Azure Monitor

• Ознакомьтесь с рекомендациями по мониторингу , чтобы определить требования к мониторингу и просмотреть цены на Azure Monitor.
• Определите необходимые журналы и события для серверов Windows и Linux с поддержкой Azure Arc, которые будут собираться в рабочей области Log Analytics.
• Используйте калькулятор цен Azure для оценки затрат на мониторинг серверов с поддержкой Azure Arc для приема, оповещений и уведомлений Azure Log Analytics.

• Используйте службу "Управление затратами Майкрософт" , чтобы получить видимость затрат на Azure Monitor.

• Используйте решение аналитики рабочих областей Log Analytics, чтобы понять и отслеживать собранные журналы и их скорость приема в рабочей области Log Analytics.

• Оцените возможности для уменьшения объема принимаемых данных. Ознакомьтесь с советами по сокращению объема данных, чтобы правильно настроить прием данных.
• Рассмотрим, сколько времени вы хотите сохранить данные в Log Analytics. Данные, хваченные в рабочую область Log Analytics, могут храниться без дополнительной платы до первых 31 дней. Рассмотрим общие аспекты настройки хранения по умолчанию на уровне рабочей области Log Analytics и конкретные потребности в настройке хранения данных по типу данных, которые могут быть как минимум четыре дня. Пример: данные о производительности обычно не должны храниться в течение длительного периода, но журналы безопасности могут храниться в течение длительных периодов.
• Чтобы хранить данные дольше 730 дней, рассмотрите возможность использовать Экспорт данных рабочей области Log Analytics.
• Рассмотрите возможность использования цен на уровне обязательств на основе объема приема данных.

Microsoft Defender для облака (прежнее Центр безопасности Azure)

Ознакомьтесь с рекомендациями по безопасности и соответствию требованиям и ценам на Серверы в Microsoft Defender.

Microsoft Sentinel

Примечание.

В этих изображениях показаны только примеры ценообразования.

• Ознакомьтесь с ценами на Microsoft Sentinel.
• Используйте калькулятор цен Azure для оценки затрат Microsoft Sentinel.

• Используйте управление затратами, чтобы получить видимость затрат на анализ Microsoft Sentinel.

• Просмотрите затраты на хранение данных для приема данных в рабочую область Log Analytics, используемую Microsoft Sentinel.
• Отфильтруйте правильный уровень журналов и событий для серверов Windows и Linux с поддержкой Azure Arc, которые будут собираться в рабочей области Log Analytics.
• Используйте запросы Log Analytics и книгу отчета об использовании рабочей области, чтобы понять тенденции приема данных.
• Создайте сборник схем управления затратами для отправки уведомлений, если ваша рабочая область Microsoft Sentinel превышает бюджет.
• Microsoft Sentinel интегрируется с другими службами Azure, чтобы обеспечить расширенные возможности. Просмотрите сведения о ценах для этих служб.
• Рассмотрите возможность использования цен на уровне обязательств на основе объема приема данных.
• Рассмотрите возможность разделения операционных данных, не относящихся к безопасности , в другую рабочую область Azure Log Analytics.

Диспетчер обновлений Azure

• Ознакомьтесь с рекомендациями по управлению и мониторингу и ценам на Azure Update Manager.

конфигурация компьютера Политика Azure

• Ознакомьтесь с рекомендациями по управлению и соответствию требованиям и Политика Azure ценам на конфигурацию компьютера.
• Используйте управление затратами, чтобы понять затраты на Политика Azure компьютера, отфильтровав тип ресурса Microsoft.HybridCompute/machine.
• Все встроенные политики конфигурации компьютера включают параметр, который определяет, будет ли политика назначена компьютерам серверов с поддержкой Azure Arc. Просмотрите назначения политик и задайте для этого параметра значение false для политик, которые не нужно оценивать на гибридных серверах.

управление конфигурацией служба автоматизации Azure

Ознакомьтесь с рекомендациями по автоматизации и служба автоматизации Azure ценам.

Azure Key Vault

• Ознакомьтесь с ценами на Azure Key Vault.
• Используйте аналитические сведения Azure Key Vault для мониторинга операций обновления сертификатов и секретов на серверах с поддержкой Azure Arc.

Приватный канал Azure

• Ознакомьтесь с рекомендациями по подключению и Приватный канал Azure ценам.
• Используйте управление затратами для мониторинга использования Приватный канал, используемого с серверами с поддержкой Azure Arc.

Следующие шаги

Дополнительные рекомендации по внедрению гибридного облака см. в следующих ресурсах:

• Ознакомьтесь со сценариями Запуска Azure Arc.
• Просмотрите предварительные требования для серверов с поддержкой Azure Arc.
• Планирование масштабируемого развертывания серверов с поддержкой Azure Arc.
• Ознакомьтесь с рекомендациями и рекомендациями cloud Adoption Framework для эффективного управления затратами на облако.
• Дополнительные сведения о Azure Arc см. в схеме обучения Azure Arc.