你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

已启用 Azure Arc 的服务器的成本治理

成本治理是实施策略的持续过程,用于控制你在 Azure 上使用的服务的成本。 本文档介绍使用已启用 Azure Arc 的服务器时的各种成本治理注意事项和建议。

已启用 Azure Arc 的服务器的成本是多少?

已启用 Azure Arc 的服务器提供两种类型的服务:

  • 免费提供的 Azure Arc 控制平面功能包括

    • 通过 Azure 管理组和标记来组织资源。
    • 通过 Azure Resource Graph 进行搜索和索引编制。
    • 通过订阅或资源组级别的 Azure 基于角色的访问控制 (RBAC) 进行访问控制。
    • 通过模板和扩展实现环境和自动化。
  • Azure 服务与已启用 Azure Arc 的服务器结合使用(包括但不限于),根据其使用情况产生成本包括:

    • Azure Monitor
    • 适用于服务器的 Microsoft Defender
    • Microsoft Sentinel
    • Azure 更新管理器
    • Azure Policy 计算机配置
    • Azure 自动化 State Configuration、更改跟踪和清单
    • Azure 自动化混合 Runbook 辅助角色
    • Azure Key Vault
    • Azure 专用链接

设计注意事项

  • 治理:为混合服务器定义一个治理模型,该计划将转化为 Azure 策略、标记、命名标准和最低特权控制

  • Azure Monitor:Azure Monitor 包括对已启用 Azure Arc 的服务器(由数据引入、保留和导出计费)、指标收集、运行状况监视、警报和通知的收集和分析的功能。 自动启用的 Azure Monitor 功能(例如标准指标收集、活动日志和见解)是免费提供的。

  • Microsoft Defender for Cloud(以前称为 Azure 安全中心):Microsoft Defender for Cloud 以两种模式提供

    没有增强的安全性功能(免费) - 当你首次在 Azure 门户中访问工作负载保护仪表板时,或者通过 API 以编程方式启用后,会在你的所有 Azure 订阅上免费启用 Defender for Cloud。 此免费模式可提供安全分数及其相关功能:安全策略、持续的安全评估和切实可行的安全建议,用以帮助你保护 Azure 资源。

    具有所有增强安全性功能的 Defender for Cloud(付费)- 启用 Microsoft Defender for Cloud 增强安全功能可将免费模式的功能扩展到私有云和其他公有云中运行的工作负载,从而在混合云工作负载之间提供统一的安全管理和威胁防护

  • Microsoft Sentinel:Microsoft Sentinel 为企业提供智能安全分析。 用于此分析的数据存储于 Azure Monitor Log Analytics 工作区。 我们将根据 Microsoft Sentinel 中为分析引入的数据量和已启用 Azure Arc 的服务器的 Azure Monitor Log Analytics 工作区中存储的数据量对 Microsoft Sentinel 进行计费。

  • Azure 更新管理器: Azure 更新管理器是一项统一服务,可帮助管理和控制所有计算机的更新。 可以从单个仪表板监视 Azure、本地及其他云平台上的部署的 Windows 和 Linux 更新合规性。 Azure 更新管理器每天按服务器计费。

  • Azure Policy 计算机配置: Azure Policy 计算机配置可以在服务器群中审核和强制实施操作系统和应用程序设置。 Azure Policy 计算机配置每月按服务器计费,包括Azure 自动化状态配置、更改跟踪和清单的使用权限。

  • Azure 自动化配置管理:Azure 自动化配置管理包括服务器的软件更改跟踪和清单,以及用于通过 PowerShell Desired State Configuration 大规模配置服务器的 State Configuration。 Azure 自动化配置管理每月按服务器计费,包括 Azure Policy 计算机配置的使用权限。

  • Azure 密钥保管库:Azure 密钥保管库 VM 扩展可用于在 WindowsLinux 中已启用 Azure Arc 的服务器上管理证书生命周期。 按照对证书、密钥和机密执行的操作进行 Azure 密钥保管库计费。

  • Azure 专用链接:可以使用 Azure 专用链接确保只能通过已授权的专用网络访问来自已启用 Azure Arc 的服务器的数据。 Azure 专用链接按终结点和已处理的入站/出站数据计费。

设计建议

下面是已启用 Azure Arc 的服务器成本治理的某些一般设计建议:

注意

在本部分中,提供的屏幕截图中所述的定价信息是示例,提供了这些示例,用于演示 Azure 计算器的使用,并且不反映你可能在自己的 Azure Arc 部署中看到的实际定价信息。

治理

  • 请确保所有已启用 Azure Arc 的服务器都遵循正确的命名和标记约定
  • 通过将 Azure Connected Machine 加入角色分配到仅加入已启用 Azure Arc 的服务器的管理员来使用最低特权 Azure RBAC,以避免不必要的成本。
  • 通过将 Azure 连接计算机资源管理员分配给 需要读取、写入、删除和重新载入 Azure 连接计算机的管理员 ,使用最低权限的 Azure RBAC。

Azure Monitor

显示 Azure 定价计算器的屏幕截图。

显示 Azure Monitor 的 Azure 定价计算器的屏幕截图。

显示Microsoft成本管理的屏幕截图。

显示 Log Analytics 见解的屏幕截图。

Microsoft Defender for Cloud(前 Azure 安全中心)

查看安全性和合规性建议Microsoft Defender for servers 定价

Microsoft Sentinel

注意

这些图像仅显示定价示例。

显示 Microsoft Sentinel 示例成本的屏幕截图。

  • 使用 成本管理 可以查看Microsoft Sentinel 分析成本。

显示 Microsoft Sentinel 成本分析的屏幕截图。

Azure 更新管理器

Azure Policy 计算机配置

  • 查看有关治理和符合性以及 Azure Policy 计算机配置定价的建议。
  • 使用成本管理通过筛选 Microsoft.HybridCompute/machines 资源类型来了解 Azure Policy 计算机 配置成本。
  • 所有内置计算机配置策略都包含一个参数,用于控制是否将策略分配给已启用 Azure Arc 的服务器计算机。 查看策略分配,并将此参数设置为“false”,这些策略不需要在混合服务器上进行评估。

显示 Azure Policy 成本示例的屏幕截图。

Azure 自动化配置管理

查看自动化建议Azure 自动化定价

Azure Key Vault

显示 Azure 密钥保管库见解的屏幕截图。

显示 Azure 专用链接成本示例的屏幕截图。

后续步骤

有关混合云采用旅程的更多指导,请参阅以下资源: