Azure Arc 지원 서버에 대한 비용 거버넌스

비용 거버넌스는 Azure에서 사용하는 서비스의 비용을 제어하기 위해 정책을 구현하는 지속적인 프로세스입니다. 이 문서에서는 Azure Arc 지원 서버를 사용하는 경우 다양한 비용 거버넌스 고려 사항 및 권장 사항을 안내합니다.

Azure Arc 지원 서버 비용은 얼마나 되나요?

Azure Arc 지원 서버는 다음 두 가지 유형의 서비스를 제공합니다.

• Azure Arc 컨트롤 플레인 기능은 추가 비용 없이 제공됩니다.

  • Azure 관리 그룹 및 태그를 통한 리소스 구성.
  • Azure Resource Graph를 통한 검색 및 인덱싱.
  • 구독 또는 리소스 그룹 수준에서 Azure RBAC(역할 기반 액세스 제어)를 통해 액세스 제어.
  • 템플릿과 확장을 통한 환경 및 자동화.

• Azure Arc 지원 서버 와 함께 사용되는 Azure 서비스(이에 국한되지 않음)는 사용량에 따라 비용이 발생합니다.

  • Azure Monitor
  • 서버용 Microsoft Defender
  • Microsoft Sentinel
  • Azure 업데이트 관리자
  • Azure Policy 컴퓨터 구성
  • Azure Automation State Configuration, 변경 내용 추적 및 인벤토리
  • Azure Automation 하이브리드 runbook worker
  • Azure Key Vault
  • Azure Private Link

디자인 고려 사항

• 거버넌스: Azure 정책, 태그, 명명 표준 및 최소 권한 컨트롤로 변환되는 하이브리드 서버에 대한 거버넌스 모델을 정의합니다.

• Azure Monitor: Azure Monitor 에는 Azure Arc 지원 서버(데이터 수집, 보존 및 내보내기로 청구됨), 메트릭 컬렉션, 상태 모니터링, 경고 및 알림의 로그 데이터 수집 및 분석을 위한 기능이 포함되어 있습니다. 표준 메트릭, 활동 로그 및 인사이트 컬렉션과 같이 자동으로 사용하도록 설정하는 Azure Monitor의 기능은 무료로 제공됩니다.

• 클라우드용 Microsoft Defender(이전의 Azure Security Center): 클라우드용 Microsoft Defender는 다음 두 가지 모드로 제공됩니다.

  강화된 보안 기능 사용 안 함(무료) - Azure Portal의 워크로드 보호 대시보드를 처음 방문하거나 API를 통해 프로그래밍 방식으로 사용하도록 설정한 경우 모든 Azure 구독에서 클라우드용 Defender를 무료로 사용할 수 있습니다. 이 무료 모드에서는 Azure 리소스를 보호하는 데 도움이 되는 보안 점수 및 관련 기능(보안 정책, 지속적인 보안 평가 및 실행 가능한 보안 권장 사항)이 제공됩니다.

  모든 강화된 보안 기능을 포함하는 클라우드용 Microsoft Defender(유료) - 클라우드용 Microsoft Defender 강화된 보안을 사용하면 무료 모드의 기능이 프라이빗 및 기타 퍼블릭 클라우드에서 실행되는 워크로드로 확장되어 하이브리드 클라우드 워크로드에서 통합된 보안 관리 및 위협 방지가 제공됩니다.

• Microsoft Sentinel: Microsoft Sentinel은 기업에서 지능형 보안 분석을 제공합니다. 이 분석 데이터는 Azure Monitor Log Analytics 작업 영역에 저장됩니다. Microsoft Sentinel은 Microsoft Sentinel에서 분석을 위해 수집되고 Azure Arc 지원 서버를 위해 Azure Monitor Log Analytics 작업 영역에 저장되는 데이터의 양을 기준으로 청구됩니다.

• Azure Update Manager: Azure Update Manager는 모든 머신에 대한 업데이트를 관리하고 관리하는 데 도움이 되는 통합 서비스입니다. 단일 대시보드에서 Azure, 온-프레미스 및 기타 클라우드 플랫폼의 배포에서 Windows 및 Linux 업데이트 규정 준수를 모니터링할 수 있습니다. Azure Update Manager는 매일 서버당 요금이 청구됩니다.

• Azure Policy 컴퓨터 구성: Azure Policy 컴퓨터 구성은 서버에서 운영 체제 및 애플리케이션 설정을 감사하고 적용할 수 있습니다. Azure Policy 컴퓨터 구성은 매월 서버당 청구되며 Azure Automation 상태 구성, 변경 내용 추적 및 인벤토리에 대한 사용 권한을 포함합니다.

• Azure Automation 구성 관리: Azure Automation 구성 관리에는 서버에 대한 소프트웨어 변경 내용 추적 및 인벤토리, PowerShell Desired State Configuration을 사용하여 서버를 대규모로 구성하는 상태 구성이 포함됩니다. Azure Automation 구성 관리는 매월 서버당 청구되며 Azure Policy 컴퓨터 구성에 대한 사용 권한을 포함합니다.

• Azure Key Vault: Azure Key Vault VM 확장을 사용하면 Windows 및 Linux Azure Arc 지원 서버에서 인증서 수명 주기를 관리할 수 있습니다. Azure Key Vault는 인증서, 키 및 비밀에 대해 수행되는 작업으로 요금이 청구됩니다.

• Azure Private Link:Azure Private Link를 사용하여 Azure Arc 지원 서버에서 들어오는 데이터가 권한 있는 프라이빗 네트워크를 통해서만 액세스되도록 할 수 있습니다. Azure Private Link는 처리된 엔드포인트 및 인바운드/아웃바운드 데이터로 요금이 청구됩니다.

디자인 권장 사항

다음은 Azure Arc 지원 서버 비용 거버넌스에 대한 몇 가지 일반적인 디자인 권장 사항입니다.

참고 항목

이 섹션에서는 제공된 스크린샷에 설명된 가격 책정 정보가 예제이며 Azure 계산기의 사용을 시연할 수 있도록 제공되며, 사용자 고유의 Azure Arc 배포에서 볼 수 있는 실제 가격 정보를 반영하지 않습니다.

거버넌스

• 모든 Azure Arc 지원 서버가 적절한 명명 및 태그 지정 규칙을 따르는지 확인합니다.
• 불필요한 비용을 방지하기 위해 Azure Arc 지원 서버를 온보딩하는 관리자에게만 Azure Connected Machine 온보딩 역할을 할당하여 최소 권한 Azure RBAC를 사용합니다.
• Azure 연결된 머신을 읽고, 쓰고, 삭제하고, 다시 등록해야 하는 관리자에게만 Azure Connected Machine Resource Administrator 를 할당하여 최소 권한 Azure RBAC를 사용합니다.

Azure Monitor

• 모니터링에 대한 권장 사항을 검토하여 모니터링 요구 사항을 결정하고 Azure Monitor 가격 책정을 검토합니다.
• Log Analytics 작업 영역에서 수집할 Azure Arc 지원 Windows 및 Linux 서버에 필요한 로그 및 이벤트를 결정합니다.
• Azure 가격 계산기를 사용하여 Azure Log Analytics 수집, 경고 및 알림에 대한 Azure Arc 지원 서버 모니터링 비용을 예측합니다.

• Microsoft Cost Management를 사용하여 Azure Monitor 비용에 대한 가시성을 확보합니다.

• Log Analytics 작업 영역 인사이트 솔루션을 사용하여 Log Analytics 작업 영역에서 수집된 로그 및 수집 속도를 이해하고 모니터링합니다.

• 가능한 데이터 수집 볼륨 감소를 평가합니다. 데이터 수집을 올바르게 구성하는 데 도움이 되는 데이터 볼륨을 줄이기 위한 팁 설명서를 참조하세요.
• Log Analytics에 데이터를 보존하려는 기간을 고려합니다. Log Analytics 작업 영역에 수집된 데이터는 처음 31일까지 추가 비용 없이 보존할 수 있습니다. Log Analytics 작업 영역 수준 기본 보존을 구성하는 일반적인 측면과 데이터 형식별로 데이터 보존을 구성해야 하는 특정 요구 사항을 고려합니다. 이는 최소 4일이 될 수 있습니다. 예: 성능 데이터는 일반적으로 장기간 보존할 필요가 없지만 보안 로그는 장기간 보존해야 할 수 있습니다.
• 730일보다 긴 데이터를 보존하려면 Log Analytics 작업 영역 데이터 내보내기를 사용하는 것이 좋습니다.
• 데이터 수집 볼륨에 따라 약정 계층 가격 책정을 사용하는 것이 좋습니다.

클라우드용 Microsoft Defender(이전의 Azure Security Center)

보안 및 규정 준수에 대한 권장 사항과 서버 가격 책정에 대한 Microsoft Defender를 검토합니다.

Microsoft Sentinel

참고 항목

이러한 이미지는 가격 책정 예제만 보여 줍니다.

• Microsoft Sentinel 가격 책정을 검토합니다.
• Azure 가격 계산기를 사용하여 Microsoft Sentinel 비용을 예측합니다.

• Cost Management를 사용하여 Microsoft Sentinel 분석 비용에 대한 가시성을 확보합니다.

• Microsoft Sentinel에서 사용하는 Log Analytics 작업 영역에 수집된 데이터에 대한 데이터 보존 비용을 검토합니다.
• Log Analytics 작업 영역에서 수집할 Azure Arc 지원 Windows 및 Linux 서버에 대한 적절한 수준의 로그 및 이벤트를 필터링합니다.
• Log Analytics 쿼리 및 작업 영역 사용 현황 보고서 통합 문서를 사용하여 데이터 수집 추세를 이해합니다.
• Microsoft Sentinel 작업 영역이 예산을 초과하는 경우 비용 관리 플레이북을 만들어 알림을 보냅니다.
• Microsoft Sentinel은 다른 Azure 서비스와 통합되어 향상된 기능을 제공합니다. 이러한 서비스에 대한 가격 책정 세부 정보를 검토합니다.
• 데이터 수집 볼륨에 따라 약정 계층 가격 책정을 사용하는 것이 좋습니다.
• 비보안 분리 운영 데이터를 다른 Azure Log Analytics 작업 영역으로 분리하는 것이 좋습니다.

Azure 업데이트 관리자

• 관리 및 모니터링 및 Azure Update Manager 가격 책정에 대한 권장 사항을 검토합니다.

Azure Policy 컴퓨터 구성

• 거버넌스 및 규정 준수 및 Azure Policy 머신 구성 가격 책정에 대한 권장 사항을 검토합니다.
• Cost Management를 사용하여 Microsoft.HybridCompute/machines 리소스 유형을 필터링하여 Azure Policy 머신 구성 비용을 이해합니다.
• 모든 기본 제공 컴퓨터 구성 정책에는 정책이 Azure Arc 지원 서버 컴퓨터에 할당될지 여부를 제어하는 매개 변수가 포함됩니다. 하이브리드 서버에서 평가할 필요가 없는 정책의 경우 정책 할당을 검토하고 이 매개 변수를 "false"로 설정합니다.

Azure Automation 구성 관리

자동화 및 Azure Automation 가격 책정에 대한 권장 사항을 검토합니다

Azure Key Vault

• Azure Key Vault 가격 책정을 검토합니다.
• Azure Key Vault 인사이트를 사용하여 Azure Arc 지원 서버에서 인증서 갱신 및 비밀 작업을 모니터링합니다.

Azure Private Link

• 연결 및 Azure Private Link 가격 책정에 대한 권장 사항을 검토합니다.
• Cost Management를 사용하여 Azure Arc 지원 서버와 함께 사용되는 Private Link의 사용량을 모니터링합니다.

다음 단계

하이브리드 클라우드 채택 경험에 대한 자세한 지침은 다음 리소스를 검토하세요.

• Azure Arc Jumpstart 시나리오를 검토합니다.
• Azure Arc 지원 서버의 필수 구성 요소를 검토합니다.
• Azure Arc 지원 서버의 대규모 배포를 계획합니다.
• 클라우드 채택 프레임워크 모범 사례 및 권장 사항을 검토하여 클라우드 비용을 효율적으로 관리합니다.
• Azure Arc 학습 경로를 통해 Azure Arc에 대해 자세히 알아봅니다.