共用方式為

已啟用 Azure Arc 的伺服器的成本控管

  • 發行項

成本控管是實作原則的持續程式,可控制您在 Azure 上使用的服務成本。 本檔會逐步引導您在使用已啟用 Azure Arc 的伺服器時,瞭解各種成本控管考慮和建議。

已啟用 Azure Arc 的伺服器成本是多少?

已啟用 Azure Arc 的伺服器提供兩種類型的服務:

  • Azure Arc 控制平面功能,不需額外費用提供:

    • 透過 Azure 管理群組和標籤的資源組織。
    • 透過 Azure Resource Graph 搜尋和編製索引。
    • 透過訂用帳戶或資源群組層級的 Azure 角色型訪問控制 (RBAC) 進行訪問控制。
    • 透過範本和延伸模組的環境和自動化。

  • 與已啟用 Azure Arc 的伺服器搭配使用的 Azure 服務(但不限於),會根據其使用量產生成本,包括:

    • Azure 監視器
    • 適用於伺服器的 Microsoft Defender
    • Microsoft Sentinel
    • Azure 更新管理員
    • Azure 原則 電腦設定
    • Azure 自動化 狀態設定、變更追蹤和清查
    • Azure 自動化 混合式 Runbook 背景工作角色
    • Azure Key Vault
    • Azure Private Link

設計考量

  • 治理: 為您的混合式伺服器定義治理模型,以轉譯為 Azure 原則、標籤、命名標準和最低許可權控制。

  • Azure 監視器:Azure 監視器包含收集和分析已啟用 Azure Arc 的伺服器記錄數據的功能(由數據擷取、保留和導出計費)、計量、健康情況監視、警示和通知的收集。 自動啟用的 Azure 監視器功能不收費提供,例如標準計量、活動記錄和深入解析的集合。

  • 適用於雲端的 Microsoft Defender(先前稱為 Azure 資訊安全中心):適用於雲端的 Microsoft Defender 提供兩種模式

    當您第一次透過 API 以程式設計方式啟用工作負載保護 Azure 入口網站 儀錶板時,若未啟用增強的安全性功能(免費) - 適用於雲端的 Defender,則會在所有 Azure 訂用帳戶上免費啟用。 此免費模式會提供安全分數及相關功能:安全性原則、持續的安全性評估,以及可操作的安全性建議,以幫助您保護 Azure 資源。

    適用於雲端的 Defender 所有增強的安全性功能 (付費) - 啟用 適用於雲端的 Microsoft Defender 增強的安全性,會將免費模式的功能延伸到私人和其他公用雲端中執行的工作負載,提供混合式雲端工作負載的統一安全性管理和威脅防護。

  • Microsoft Sentinel: Microsoft Sentinel 在您的企業中提供智慧型手機安全性分析。 此分析的資料會儲存在 Azure 監視器 Log Analytics 工作區中。 Microsoft Sentinel 會根據擷取的數據量來計費,以在 Microsoft Sentinel 中進行分析,並儲存在已啟用 Azure Arc 之伺服器的 Azure 監視器 Log Analytics 工作區中。

  • Azure Update Manager: Azure Update Manager 是一項統一的服務,可協助您管理及控管所有機器的更新。 您可以從單一儀表板監視 Azure 中、內部部署和其他雲端平台上的部署間的 Windows 和 Linux 更新合規性。 Azure 更新管理員每天會按伺服器計費。

  • Azure 原則 計算機組態:Azure 原則 計算機組態可以稽核及強制執行您伺服器群中的作業系統和應用程式設定。 Azure 原則 機器組態會每月按伺服器計費,並包含 Azure 自動化 狀態設定、變更追蹤和清查的使用量許可權。

  • Azure 自動化 組態管理:Azure 自動化 組態管理包含伺服器的軟體 變更追蹤和清查,以及使用PowerShell Desired 狀態設定 大規模設定伺服器的狀態設定。 Azure 自動化 組態管理會依每月每部伺服器計費,並包含 Azure 原則 計算機設定的使用權。

  • Azure 金鑰保存庫:Azure 金鑰保存庫 VM 擴充功能可讓您在已啟用 WindowsLinux Azure Arc 的伺服器上管理憑證生命週期。 Azure 金鑰保存庫 是由憑證、金鑰和秘密上執行的作業計費。

  • Azure Private Link: 您可以使用 Azure Private Link,以確保來自已啟用 Azure Arc 的伺服器的數據只能透過授權的專用網存取。 Azure Private Link 會依端點和已處理的輸入/輸出數據計費。

設計建議

以下是已啟用 Azure Arc 的伺服器成本控管的一些一般設計建議:

注意

在本節中,提供的螢幕快照中所述的定價資訊是範例,並提供來示範 Azure 計算機的使用方式,而且不會反映您可能在自己的 Azure Arc 部署中看到的實際定價資訊。

治理

  • 請確定所有已啟用 Azure Arc 的伺服器都遵循適當的 命名和標記慣例
  • 將 Azure Connected Machine Onboarding 角色指派給僅將已啟用 Azure Arc 的伺服器上線的系統管理員,以避免不必要的成本,以使用最低許可權的 Azure RBAC。
  • 將 Azure 連線機器資源管理員指派給只有需要讀取、寫入、刪除及重新上線 Azure 連線機器的系統管理員,以使用最低許可權的 Azure RBAC。

Azure 監視器

顯示 Azure 定價計算機的螢幕快照。

顯示 Azure 監視器 Azure 定價計算機的螢幕快照。

顯示Microsoft成本管理的螢幕快照。

顯示 Log Analytics 深入解析的螢幕快照。

適用於雲端的 Microsoft Defender (先前稱為 Azure 資訊安全中心)

檢閱 安全性與合規性 的建議,以及 適用於伺服器的 Defender 定價Microsoft。

Microsoft Sentinel

注意

這些影像只會顯示定價範例。

顯示 Sentinel 成本Microsoft範例的螢幕快照。

  • 使用 成本管理 來檢視Microsoft Sentinel 分析成本。

顯示Microsoft Sentinel 成本分析的螢幕快照。

Azure 更新管理員

Azure 原則 電腦設定

  • 檢閱治理與合規性的建議,以及 Azure 原則 計算機設定定價
  • 透過篩選 Microsoft.HybridCompute/machines 資源類型,使用成本管理來瞭解 Azure 原則 電腦設定成本。
  • 所有內建機器設定原則都包含參數,可控制原則是否會指派給已啟用 Azure Arc 的伺服器機器。 檢閱您的原則指派,並將此參數設定為 「false」,以取得不需要在混合式伺服器上評估的原則。

顯示 Azure 原則 成本範例的螢幕快照。

Azure 自動化 組態管理

檢閱自動化Azure 自動化 定價的建議。

Azure Key Vault

顯示 Azure 金鑰保存庫 見解的螢幕快照。

顯示 Azure Private Link 成本範例的螢幕快照。

下一步

如需混合式雲端採用旅程的更多指引,請檢閱下列資源: