Zásady správného řízení nákladů pro servery s podporou Služby Azure Arc

Zásady správného řízení nákladů jsou průběžným procesem implementace zásad, které řídí náklady na služby, které používáte v Azure. Tento dokument vás provede různými aspekty a doporučeními zásad správného řízení nákladů při používání serverů s podporou Azure Arc.

Kolik stojí servery s podporou Azure Arc?

Servery s podporou Služby Azure Arc poskytují dva typy služeb:

• Funkce řídicí roviny Azure Arc, která je poskytována bez dalších poplatků, zahrnuje:

  • Organizace prostředků prostřednictvím skupin pro správu a značek Azure
  • Vyhledávání a indexování prostřednictvím Azure Resource Graphu
  • Řízení přístupu prostřednictvím řízení přístupu na základě role v Azure (RBAC) na úrovni předplatného nebo skupiny prostředků.
  • Prostředí a automatizace prostřednictvím šablon a rozšíření

• Služby Azure používané ve spojení se servery s podporou Služby Azure Arc (ale nikoli s omezením), které účtují náklady podle jejich využití, zahrnují:

  • Azure Monitor
  • Microsoft Defender pro servery
  • Microsoft Sentinel
  • Azure Update Manager
  • Konfigurace počítače Azure Policy
  • Azure Automation State Configuration, change tracking a inventory
  • Hybridní pracovní procesy runbooků Azure Automation
  • Azure Key Vault
  • Azure Private Link

Aspekty návrhu

• Zásady správného řízení: Definujte model zásad správného řízení pro hybridní servery, který se překládá na zásady Azure, značky, standardy pojmenování a ovládací prvky s nejnižšími oprávněními.

• Azure Monitor: Azure Monitor zahrnuje funkce pro shromažďování a analýzu dat protokolů serverů s podporou Azure Arc (fakturované příjmem dat, uchováváním a exportem), shromažďování metrik, monitorování stavu, upozornění a oznámení. Funkce služby Azure Monitor, které jsou automaticky povolené, jsou poskytovány bez nákladů – například shromažďování standardních metrik, protokolů aktivit a přehledů.

• Microsoft Defender for Cloud (dříve Azure Security Center): Microsoft Defender for Cloud se nabízí ve dvou režimech:

  Bez vylepšených funkcí zabezpečení (Free) - Defender pro cloud je povolený zdarma ve všech předplatných Azure, když poprvé navštívíte řídicí panel ochrany úloh na webu Azure Portal nebo pokud je povolený programově prostřednictvím rozhraní API. Použití tohoto bezplatného režimu poskytuje bezpečnostní skóre a související funkce: zásady zabezpečení, průběžné vyhodnocování zabezpečení a doporučení k zabezpečení, která vám pomůžou chránit vaše prostředky Azure.

  Defender for Cloud se všemi rozšířenými funkcemi zabezpečení (placené) – povolení rozšířeného zabezpečení v programu Microsoft Defender pro cloud rozšiřuje možnosti bezplatného režimu na úlohy spuštěné v privátních a jiných veřejných cloudech a poskytuje jednotnou správu zabezpečení a ochranu před hrozbami napříč hybridními cloudovými úlohami.

• Microsoft Sentinel: Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení ve vašem podniku. Data této analytiky se ukládají do pracovního prostoru služby Log Analytics Azure Monitoru. Služba Microsoft Sentinel se účtuje na základě objemu přijatých dat pro analýzu v Microsoft Sentinelu a ukládá se do pracovního prostoru služby Azure Monitor Log Analytics pro vaše servery s podporou Služby Azure Arc.

• Azure Update Manager: Azure Update Manager je jednotná služba, která pomáhá spravovat a řídit aktualizace pro všechny vaše počítače. Na jednom řídicím panelu můžete monitorovat dodržování předpisů pro aktualizace Windows a Linuxu napříč vašimi nasazeními v Azure, v místním prostředí a na dalších cloudových platformách. Azure Update Manager se účtuje na server za den.

• Konfigurace počítače Azure Policy: Konfigurace počítače Azure Policy může auditovat a vynucovat nastavení operačního systému a aplikací ve vašem portfoliu serverů. Konfigurace počítače Azure Policy se účtuje za každý server měsíčně a zahrnuje práva k používání služby Azure Automation State Configuration, sledování změn a inventáře.

• Správa konfigurace Azure Automation: Správa konfigurace Azure Automation zahrnuje softwarové Sledování změn a inventář pro vaše servery a konfiguraci stavu pro konfiguraci serverů ve velkém měřítku pomocí konfigurace požadovaného stavu PowerShellu. Správa konfigurace Služby Azure Automation se účtuje za každý server za měsíc a zahrnuje práva k používání pro konfiguraci počítače Azure Policy.

• Azure Key Vault: Rozšíření virtuálního počítače služby Azure Key Vault umožňuje spravovat životní cyklus certifikátů na serverech s podporou Windows a Linuxu Azure Arc. Služba Azure Key Vault se účtuje operacemi provedenými s certifikáty, klíči a tajnými kódy.

• Azure Private Link: Pomocí služby Azure Private Link můžete zajistit, aby data přicházející ze serverů s podporou Azure Arc byla přístupná jenom prostřednictvím autorizovaných privátních sítí. Služba Azure Private Link se účtuje podle koncového bodu a zpracovávaných příchozích a odchozích dat.

Doporučení k návrhu

Tady je několik obecných doporučení k návrhu pro zásady správného řízení nákladů na servery s podporou služby Azure Arc:

Poznámka:

V této části jsou informace o cenách popsané v uvedených snímcích obrazovky příklady a poskytují se k předvedení využití kalkulačky Azure a neodráží skutečné informace o cenách, které se můžou zobrazovat ve vlastních nasazeních Azure Arc.

Řízení

• Ujistěte se, že všechny servery s podporou Azure Arc dodržují správné zásady vytváření názvů a označování.
• Azure RBAC s nejnižšími oprávněními použijte přiřazením role onboardingu připojeného počítače Azure jenom správcům, kteří nasazují servery s podporou Azure Arc, aby se zabránilo zbytečným nákladům.
• Azure RBAC s nejnižším oprávněním použijte přiřazením správce prostředků připojeného počítače Azure jenom správcům, kteří potřebují číst, zapisovat, odstraňovat a znovu připojovat připojené počítače Azure.

Azure Monitor

• Projděte si doporučení pro monitorování a rozhodněte se o vašich požadavcích na monitorování a zkontrolujte ceny služby Azure Monitor.
• Rozhodněte se o požadovaných protokolech a událostech pro servery s Windows a Linuxem s podporou Služby Azure Arc, které se mají shromažďovat v pracovním prostoru služby Log Analytics.
• Pomocí cenové kalkulačky Azure můžete odhadnout náklady na servery s podporou služby Azure Arc, které monitorují náklady na příjem dat, upozornění a oznámení služby Azure Log Analytics.

• Využijte Microsoft Cost Management , abyste měli přehled o nákladech na Azure Monitor.

• Využijte řešení Přehledy pracovních prostorů služby Log Analytics k pochopení a monitorování shromážděných protokolů a jejich míry příjmu dat v pracovním prostoru služby Log Analytics.

• Vyhodnoťte možné snížení objemu příjmu dat. Informace o správném nastavení příjmu dat najdete v tipech ke snížení dokumentace ke svazku dat.
• Zvažte, jak dlouho chcete uchovávat data v Log Analytics. Data ingestovaná do pracovního prostoru služby Log Analytics se dají uchovávat bez dalších poplatků až do prvních 31 dnů. Zvažte obecné aspekty konfigurace výchozího uchovávání na úrovni pracovního prostoru služby Log Analytics a konkrétní potřeby konfigurace uchovávání dat podle datového typu, které můžou být minimální než čtyři dny. Příklad: Údaje o výkonu se obvykle nemusí uchovávat po dlouhou dobu, ale protokoly zabezpečení se můžou uchovávat po delší dobu.
• Pokud chcete uchovávat data déle než 730 dní, zvažte použití exportu dat pracovního prostoru služby Log Analytics.
• Zvažte použití cen úrovně závazku na základě objemu příjmu dat.

Microsoft Defender for Cloud (dříve Azure Security Center)

Projděte si doporučení pro zabezpečení a dodržování předpisů a Microsoft Defender pro ceny serverů.

Microsoft Sentinel

Poznámka:

Tyto obrázky zobrazují pouze příklady cen.

• Projděte si ceny služby Microsoft Sentinel.
• K odhadu nákladů na Microsoft Sentinel použijte cenovou kalkulačku Azure.

• Pomocí služby Cost Management můžete získat přehled o nákladech na analýzu služby Microsoft Sentinel.

• Zkontrolujte náklady na uchovávání dat ingestované do pracovního prostoru služby Log Analytics, který používá Microsoft Sentinel.
• Vyfiltrujte správnou úroveň protokolů a událostí pro servery s Windows a Linuxem s podporou Služby Azure Arc, které se mají shromažďovat v pracovním prostoru služby Log Analytics.
• K pochopení trendů příjmu dat použijte dotazy Log Analytics a sešit sestavy využití pracovního prostoru.
• Pokud váš pracovní prostor Služby Microsoft Sentinel překročí váš rozpočet, vytvořte playbook služby Cost Management, který bude posílat oznámení.
• Microsoft Sentinel se integruje s dalšími službami Azure za účelem zajištění vylepšených možností. Projděte si podrobnosti o cenách těchto služeb.
• Zvažte použití cen úrovně závazku na základě objemu příjmu dat.
• Zvažte oddělení provozních dat nesouvisených se zabezpečením do jiného pracovního prostoru služby Azure Log Analytics.

Azure Update Manager

• Projděte si doporučení pro správu a monitorování a ceny azure Update Manageru.

Konfigurace počítače Azure Policy

• Projděte si doporučení pro zásady správného řízení a dodržování předpisů a ceny konfigurace počítačů azure Policy.
• Pomocí služby Cost Management můžete porozumět nákladům na konfiguraci počítačů Azure Policy filtrováním typu prostředku Microsoft.HybridCompute/machines .
• Všechny předdefinované zásady konfigurace počítače zahrnují parametr, který řídí, jestli se zásady přiřadí k počítačům se servery s podporou Azure Arc. Zkontrolujte přiřazení zásad a nastavte tento parametr na false pro zásady, které není potřeba vyhodnocovat na hybridních serverech.

Správa konfigurace Služby Azure Automation

Projděte si doporučení pro automatizaci a ceny služby Azure Automation.

Azure Key Vault

• Projděte si ceny služby Azure Key Vault.
• Pomocí přehledů služby Azure Key Vault můžete monitorovat operace obnovení certifikátů a tajných kódů na serverech s podporou Azure Arc.

Azure Private Link

• Projděte si doporučení pro připojení a ceny služby Azure Private Link.
• Pomocí služby Cost Management můžete monitorovat využití služby Private Link, které se používají se servery s podporou Azure Arc.

Další kroky

Další pokyny pro cestu přechodu na hybridní cloud najdete v následujících zdrojích informací:

• Projděte si scénáře azure Arc Jumpstart .
• Projděte si požadavky pro servery s podporou Azure Arc.
• Naplánujte nasazení serverů s povolením služby Azure Arc ve velkém měřítku.
• Projděte si osvědčené postupy a doporučení architektury přechodu na cloud, které vám umožní efektivně spravovat náklady na cloud.
• Další informace o Azure Arc najdete ve studijním programu Azure Arc.