你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
已启用 Azure Arc 的服务器的成本治理
成本治理是实施策略的持续过程,用于控制你在 Azure 上使用的服务的成本。 本文档介绍使用已启用 Azure Arc 的服务器时的各种成本治理注意事项和建议。
已启用 Azure Arc 的服务器的成本是多少?
已启用 Azure Arc 的服务器提供两种类型的服务:
免费提供的 Azure Arc 控制平面功能包括:
- 通过 Azure 管理组和标记来组织资源。
- 通过 Azure Resource Graph 进行搜索和索引编制。
- 通过订阅或资源组级别的 Azure 基于角色的访问控制 (RBAC) 进行访问控制。
- 通过模板和扩展实现环境和自动化。
Azure 服务与已启用 Azure Arc 的服务器结合使用(包括但不限于),根据其使用情况产生成本包括:
- Azure Monitor
- 适用于服务器的 Microsoft Defender
- Microsoft Sentinel
- Azure 更新管理器
- Azure Policy 计算机配置
- Azure 自动化 State Configuration、更改跟踪和清单
- Azure 自动化混合 Runbook 辅助角色
- Azure Key Vault
- Azure 专用链接
设计注意事项
治理:为混合服务器定义一个治理模型,该计划将转化为 Azure 策略、标记、命名标准和最低特权控制。
Azure Monitor:Azure Monitor 包括对已启用 Azure Arc 的服务器(由数据引入、保留和导出计费)、指标收集、运行状况监视、警报和通知的收集和分析的功能。 自动启用的 Azure Monitor 功能(例如标准指标收集、活动日志和见解)是免费提供的。
Microsoft Defender for Cloud(以前称为 Azure 安全中心):Microsoft Defender for Cloud 以两种模式提供:
没有增强的安全性功能(免费) - 当你首次在 Azure 门户中访问工作负载保护仪表板时,或者通过 API 以编程方式启用后,会在你的所有 Azure 订阅上免费启用 Defender for Cloud。 此免费模式可提供安全分数及其相关功能:安全策略、持续的安全评估和切实可行的安全建议,用以帮助你保护 Azure 资源。
具有所有增强安全性功能的 Defender for Cloud(付费)- 启用 Microsoft Defender for Cloud 增强安全功能可将免费模式的功能扩展到私有云和其他公有云中运行的工作负载,从而在混合云工作负载之间提供统一的安全管理和威胁防护。
Microsoft Sentinel:Microsoft Sentinel 为企业提供智能安全分析。 用于此分析的数据存储于 Azure Monitor Log Analytics 工作区。 我们将根据 Microsoft Sentinel 中为分析引入的数据量和已启用 Azure Arc 的服务器的 Azure Monitor Log Analytics 工作区中存储的数据量对 Microsoft Sentinel 进行计费。
Azure 更新管理器: Azure 更新管理器是一项统一服务,可帮助管理和控制所有计算机的更新。 可以从单个仪表板监视 Azure、本地及其他云平台上的部署的 Windows 和 Linux 更新合规性。 Azure 更新管理器每天按服务器计费。
Azure Policy 计算机配置: Azure Policy 计算机配置可以在服务器群中审核和强制实施操作系统和应用程序设置。 Azure Policy 计算机配置每月按服务器计费,包括Azure 自动化状态配置、更改跟踪和清单的使用权限。
Azure 自动化配置管理:Azure 自动化配置管理包括服务器的软件更改跟踪和清单,以及用于通过 PowerShell Desired State Configuration 大规模配置服务器的 State Configuration。 Azure 自动化配置管理每月按服务器计费,包括 Azure Policy 计算机配置的使用权限。
Azure 密钥保管库:Azure 密钥保管库 VM 扩展可用于在 Windows 和 Linux 中已启用 Azure Arc 的服务器上管理证书生命周期。 按照对证书、密钥和机密执行的操作进行 Azure 密钥保管库计费。
Azure 专用链接:可以使用 Azure 专用链接确保只能通过已授权的专用网络访问来自已启用 Azure Arc 的服务器的数据。 Azure 专用链接按终结点和已处理的入站/出站数据计费。
设计建议
下面是已启用 Azure Arc 的服务器成本治理的某些一般设计建议:
注意
在本部分中,提供的屏幕截图中所述的定价信息是示例,提供了这些示例,用于演示 Azure 计算器的使用,并且不反映你可能在自己的 Azure Arc 部署中看到的实际定价信息。
治理
- 请确保所有已启用 Azure Arc 的服务器都遵循正确的命名和标记约定。
- 通过将 Azure Connected Machine 加入角色分配到仅加入已启用 Azure Arc 的服务器的管理员来使用最低特权 Azure RBAC,以避免不必要的成本。
- 通过将 Azure 连接计算机资源管理员分配给 需要读取、写入、删除和重新载入 Azure 连接计算机的管理员 ,使用最低权限的 Azure RBAC。
Azure Monitor
- 查看监视建议以确定监视要求,并查看 Azure Monitor 定价。
- 确定已启用 Azure Arc 的 Windows 和 Linux 服务器的、要在 Log Analytics 工作区中收集的所需日志和事件。
- 使用 Azure 定价计算器估算已启用 Azure Arc 的服务器监视功能产生的 Azure Log Analytics 引入、警报和通知成本。
- 使用 Microsoft成本管理 来了解 Azure Monitor 成本。
- 使用 Log Analytics 工作区见解解决方案来了解和监视收集的日志及其在 Log Analytics 工作区中的引入率。
- 评估可以采取哪些措施来减少引入的数据量。 参阅有关减少数据量的技巧文档以帮助正确配置数据引入。
- 考虑要在 Log Analytics 上保留数据多长时间。 引入 Log Analytics 工作区的数据可以免费保留最多 31 天。 考虑一般方面来配置 Log Analytics 工作区级别默认保留期,以及按数据类型配置数据 保留的特定需求,该保留时间可以尽可能少为四天。 示例:性能数据通常不需要长期保留,但安全日志可能需要长时间保留。
- 若要保留超过 730 天的数据,请考虑使用 Log Analytics 工作区数据导出。
- 考虑根据数据引入量使用承诺层级定价。
Microsoft Defender for Cloud(前 Azure 安全中心)
查看安全性和合规性建议和 Microsoft Defender for servers 定价。
Microsoft Sentinel
注意
这些图像仅显示定价示例。
- 查看 Microsoft Sentinel 定价。
- 使用 Azure 定价计算器估算 Microsoft Sentinel 成本。
- 使用 成本管理 可以查看Microsoft Sentinel 分析成本。
- 查看引入到 Microsoft Sentinel 所用 Log Analytics 工作区中的数据的数据保留成本。
- 筛选已启用 Azure Arc 的 Windows 和 Linux 服务器的、要在 Log Analytics 工作区中收集的正确日志和事件级别。
- 使用 Log Analytics 查询和工作区使用情况报告工作簿了解数据引入趋势。
- 创建一个成本管理 playbook,以便在 Microsoft Sentinel 工作区超出预算时发送通知。
- Microsoft Sentinel 与其他 Azure 服务集成,以提供增强的功能。 查看这些服务的定价详细信息。
- 考虑根据数据引入量使用承诺层级定价。
- 考虑将非安全性操作数据隔离到不同的 Azure Log Analytics 工作区中。
Azure 更新管理器
Azure Policy 计算机配置
- 查看有关治理和符合性以及 Azure Policy 计算机配置定价的建议。
- 使用成本管理通过筛选 Microsoft.HybridCompute/machines 资源类型来了解 Azure Policy 计算机 配置成本。
- 所有内置计算机配置策略都包含一个参数,用于控制是否将策略分配给已启用 Azure Arc 的服务器计算机。 查看策略分配,并将此参数设置为“false”,这些策略不需要在混合服务器上进行评估。
Azure 自动化配置管理
查看自动化建议和 Azure 自动化定价。
Azure Key Vault
- 查看 Azure 密钥保管库定价。
- 使用 Azure 密钥保管库见解监视已启用 Azure Arc 的服务器上的证书续订和机密操作。
Azure 专用链接
- 查看连接建议和 Azure 专用链接定价。
- 使用成本管理监视与已启用 Azure Arc 的服务器一起使用的专用链接使用情况。
后续步骤
有关混合云采用旅程的更多指导,请参阅以下资源:
- 查看 Azure Arc 跳转启动 方案。
- 查看已启用 Azure Arc 的服务器的先决条件。
- 规划 Azure Arc 启用服务器的大规模部署。
- 查看云采用框架最佳做法和建议,以有效管理云成本。
- 通过 Azure Arc 学习路径了解有关 Azure Arc 的详细信息。