已啟用 Azure Arc 的伺服器的成本控管

發行項
02/07/2024

成本控管是實作原則的持續程式，可控制您在 Azure 上使用的服務成本。本檔將逐步引導您在使用已啟用 Azure Arc 的伺服器時，進行各種成本治理考慮和建議。

已啟用 Azure Arc 的伺服器成本是多少？

已啟用 Azure Arc 的伺服器提供兩種類型的服務：

Azure Arc 控制平面功能，不需額外費用提供：
- 透過 Azure 管理群組和標籤的資源組織。
- 透過 Azure Resource Graph 搜尋和編製索引。
- 透過訂用帳戶或資源群組層級的 Azure 角色型訪問控制（RBAC）進行訪問控制。
- 透過範本和延伸模組的環境和自動化。
與已啟用 Azure Arc 的伺服器搭配使用的 Azure 服務（但不限於），會根據其使用量產生成本，包括：
- Azure 監視器
- 適用於伺服器的 Microsoft Defender。
- Microsoft Sentinel
- Azure Update Manager
- Azure 原則電腦設定
- Azure 自動化狀態設定、變更追蹤和清查
- Azure 自動化混合式 Runbook 背景工作角色
- Azure Key Vault
- Azure Private Link

設計考量

治理： 為您的混合式伺服器定義治理模型，以轉譯為 Azure 原則、標籤、命名標準和最低許可權控制。
Azure 監視器：Azure 監視器包含收集和分析已啟用 Azure Arc 的伺服器記錄數據的功能（由數據擷取、保留和導出計費）、計量、健康情況監視、警示和通知的收集。自動啟用的 Azure 監視器功能不收費提供，例如標準計量、活動記錄和深入解析的集合。
適用於雲端的 Microsoft Defender（先前稱為 Azure 資訊安全中心）：適用於雲端的 Microsoft Defender 提供兩種模式：

當您第一次流覽 Azure 入口網站中的工作負載保護儀錶板，或透過 API 以程式設計方式啟用時，如果未啟用增強的安全性功能（免費） - 適用於雲端的 Defender，則會在您的所有 Azure 訂用帳戶上免費啟用。此免費模式會提供安全分數及相關功能：安全性原則、持續的安全性評估，以及可操作的安全性建議，以幫助您保護 Azure 資源。

適用於雲端的 Defender 具有所有增強式安全性功能（付費） - 啟用適用於雲端的 Microsoft Defender 增強的安全性，會將免費模式的功能延伸到私人和其他公用雲端中執行的工作負載，提供跨混合式雲端工作負載的統一安全性管理和威脅防護。
Microsoft Sentinel： Microsoft Sentinel 可跨企業提供智慧型手機安全性分析。此分析的資料會儲存在 Azure 監視器 Log Analytics 工作區中。 Microsoft Sentinel 會根據內嵌在 Microsoft Sentinel 中進行分析的數據量計費，並儲存在已啟用 Azure Arc 之伺服器的 Azure 監視器 Log Analytics 工作區中。
Azure Update Manager： Azure Update Manager 是一項統一的服務，可協助您管理及控管所有機器的更新。您可以從單一儀錶板監視 Azure、內部部署和其他雲端平臺上部署的 Windows 和 Linux 更新合規性。 Azure 更新管理員每天會按伺服器計費。
Azure 原則計算機組態：Azure 原則計算機組態可以稽核及強制執行您伺服器群中的作業系統和應用程式設定。 Azure 原則機器組態會依每個伺服器每月計費，並包含 Azure 自動化狀態設定、變更追蹤和清查的使用權。
Azure 自動化組態管理：Azure 自動化組態管理包含伺服器的軟體變更追蹤和清查，以及使用PowerShell Desired 狀態設定大規模設定伺服器的狀態設定。 Azure 自動化組態管理會依每月每部伺服器計費，並包含 Azure 原則計算機設定的使用權。
Azure 金鑰保存庫：Azure 金鑰保存庫 VM 擴充功能可讓您管理 Windows 和 Linux 已啟用 Azure Arc 的伺服器上的憑證生命週期。 Azure 金鑰保存庫是由憑證、金鑰和秘密上執行的作業計費。
Azure Private Link： 您可以使用 Azure Private Link，以確保來自已啟用 Azure Arc 的伺服器的數據只能透過授權的專用網存取。 Azure Private Link 會依端點和已處理的輸入/輸出數據計費。

設計建議

以下是已啟用 Azure Arc 的伺服器成本控管的一些一般設計建議：

注意

在本節中，提供的螢幕快照中所述的定價資訊是範例，並提供來示範 Azure 計算機的使用方式，而不會反映您可能在自己的 Azure Arc 部署中看到的實際定價資訊。

治理

請確定所有已啟用 Azure Arc 的伺服器都遵循適當的命名和標記慣例。
將 Azure 連線 Machine Onboarding 角色指派給僅將已啟用 Azure Arc 的伺服器上線的系統管理員，以避免不必要的成本，以使用最低許可權的 Azure RBAC。
將 Azure 連線 Machine Resource 管理員 istrator 指派給需要讀取、寫入、刪除及重新上線 Azure 聯機機器的系統管理員，以使用最低許可權的 Azure RBAC。

Azure 監視器

檢閱監視的建議，以決定您的監視需求，並檢閱 Azure 監視器定價。
決定要在 Log Analytics 工作區中收集已啟用 Azure Arc 的 Windows 和 Linux 伺服器所需的記錄和事件。
針對 Azure Log Analytics 擷取、警示和通知，使用 Azure 定價計算機來預估已啟用 Azure Arc 的伺服器監視成本。

使用 Azure 成本管理 + 計費來檢視 Azure 監視器成本。

使用 Log Analytics工作區深入解析解決方案來瞭解和監視收集的記錄及其在Log Analytics工作區上的擷取速率。

評估可能的數據擷取磁碟區減少。請參閱提示來減少數據量檔，以協助正確設定數據擷取。
請考慮您想要在 Log Analytics 上保留數據的時間長度。擷取到Log Analytics工作區的數據不需額外費用，最多31天。請考慮一般層面來設定Log Analytics工作區層級的預設保留期，以及依數據類型設定數據保留的特定需求，其可能至少為四天。範例：效能數據通常不需要長時間保留，但安全性記錄可能需要保留一段時間。
若要保留超過 730 天的數據，請考慮使用 Log Analytics 工作區數據匯出。
請考慮根據您的數據擷取量使用承諾層定價。

適用於雲端的 Microsoft Defender（原 Azure 資訊安全中心）

檢閱安全性與合規性的建議，以及適用於伺服器的 Microsoft Defender 定價。

Microsoft Sentinel （先前為 Azure Sentinel）

注意

這些影像只會顯示定價範例。

檢閱 Microsoft Sentinel 定價。
使用 Azure 定價計算機來估計 Microsoft Sentinel 成本。

使用 Azure 成本管理 + 計費來檢視 Microsoft Sentinel 分析成本。

檢閱數據保留成本，以擷取到 Microsoft Sentinel 所使用的 Log Analytics 工作區。
篩選在 Log Analytics 工作區中收集已啟用 Azure Arc 的 Windows 和 Linux 伺服器的正確記錄和事件層級。
使用 Log Analytics 查詢和工作區使用報告活頁簿來瞭解您的數據擷取趨勢。
如果您的 Microsoft Sentinel 工作區超過預算，請建立成本管理劇本來傳送通知。
Microsoft Sentinel 與其他 Azure 服務整合，以提供增強的功能。檢閱這些服務的定價詳細數據。
請考慮根據您的數據擷取量使用承諾層定價。
請考慮將非安全性作業數據分成不同的 Azure Log Analytics 工作區。

Azure Update Manager

檢閱管理和監視和 Azure Update Manager 定價的建議。

Azure 原則電腦設定

檢閱治理與合規性的建議，以及 Azure 原則計算機設定定價。
透過篩選 Microsoft.HybridCompute/machines 資源類型，使用 Azure 成本管理 + 計費來瞭解 Azure 原則計算機設定成本。
所有內建機器設定原則都包含參數，可控制原則是否會指派給已啟用 Azure Arc 的伺服器機器。檢閱原則指派，並將此參數設定為「false」，以取得不需要在混合式伺服器上評估的原則。