Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление затратами — это непрерывный процесс реализации политик для управления затратами на службы, которые вы используете в Azure. В этом документе описаны различные рекомендации и рекомендации по управлению затратами при использовании серверов с поддержкой Azure Arc.
Сколько стоит серверы с поддержкой Azure Arc?
Серверы с поддержкой Azure Arc предоставляют два типа служб:
Функциональность плоскости управления Azure Arc, которая предоставляется без дополнительных затрат, включает:
- Организация ресурсов с помощью групп управления Azure и тегов.
- Поиск и индексирование с помощью Azure Resource Graph.
- Управление доступом с помощью управления доступом на основе ролей Azure (RBAC) на уровне подписки или группы ресурсов.
- Среды и автоматизация с помощью шаблонов и расширений.
Службы Azure, используемые в сочетании с серверами с поддержкой Azure Arc (но не ограничены), которые влечет за собой затраты в соответствии с их использованием:
- Azure Monitor
- Microsoft Defender для серверов
- Microsoft Sentinel
- Диспетчер обновлений Azure
- Конфигурация машин в политике Azure
- Настройка состояния службы автоматизации Azure, отслеживание изменений и инвентаризация
- Гибридные рабочие узлы Runbook службы автоматизации Azure
- Azure Key Vault
- Приватный канал Azure
Рекомендации по проектированию
Управление: Определите модель управления для гибридных серверов, которые преобразуется в политики Azure, теги, стандарты именования и элементы управления наименьшими привилегиями.
Azure Monitor:Azure Monitor включает функции сбора и анализа данных журналов серверов с поддержкой Azure Arc (выставление счетов за прием данных, хранение и экспорт), сбор метрик, мониторинга работоспособности, оповещений и уведомлений. Функции Azure Monitor, которые автоматически включены, предоставляются без затрат, например сбор стандартных метрик, журналов действий и аналитических сведений.
Microsoft Defender для облака (прежнее название — Центр безопасности Azure): Microsoft Defender для облака предлагается в двух режимах:
Без расширенных функций безопасности (бесплатно) - Defender для облака предоставляется бесплатно во всех подписках Azure при первом посещении панели мониторинга защиты рабочей нагрузки на портале Azure или при программном включении через API. Этот бесплатный режим предоставляет оценку безопасности и связанные с ней функции: политику безопасности, непрерывную оценку безопасности и практические рекомендации по безопасности, помогающие защитить ресурсы Azure.
Defender для облака со всеми функциями расширенной безопасности (платная версия) — включение Расширенной безопасностиMicrosoft Defender для Облака расширяет возможности бесплатного режима для рабочих нагрузок, работающих в частных и других общедоступных облаках, обеспечивая унифицированное управление безопасностью и защиту от угроз в гибридных облачных рабочих нагрузках.
Microsoft Sentinel: Microsoft Sentinel предоставляет интеллектуальную аналитику безопасности в вашей организации. Данные для этого анализа хранятся в рабочей области Azure Monitor Log Analytics. Плата за Microsoft Sentinel взимается на основе объема данных, которые передаются для анализа в Microsoft Sentinel, и хранятся в рабочей области Azure Monitor Log Analytics для серверов с поддержкой Azure Arc.
Диспетчер обновлений Azure: Диспетчер обновлений Azure — это единая служба, помогая управлять обновлениями для всех компьютеров и управлять ими. Вы можете отслеживать соответствие обновлений Windows и Linux во всех развертываниях в Azure, в локальных средах и на других облачных платформах на единой панели мониторинга. Диспетчер обновлений Azure тарифицируется на основе количества серверов в день.
Конфигурация компьютера политики Azure: Конфигурация компьютера политики Azure может выполнять аудит и применение параметров операционной системы и приложений на нескольких серверах. Плата за конфигурацию среды выполнения политики Azure взимается за каждый сервер в месяц и включает права на использование службы Azure Automation State Configuration, отслеживания изменений и инвентаризации.
Управление конфигурацией службы автоматизации Azure: Управление конфигурацией службы автоматизации Azure включает отслеживание изменений программного обеспечения и инвентаризацию серверов, а также конфигурацию состояния для настройки серверов в масштабе с помощью PowerShell Desired State Configuration. Управление конфигурацией службы автоматизации Azure оплачивается ежемесячно за каждый сервер и включает права на использование функции конфигурации машины в Azure Policy.
Azure Key Vault: Расширение виртуальной машины Azure Key Vault позволяет управлять жизненным циклом сертификатов на серверах с поддержкой Windows и Linux Azure Arc. Оплата за использование Azure Key Vault осуществляется на основе операций с сертификатами, ключами и секретами.
Приватный канал Azure: Вы можете использовать Приватный канал Azure, чтобы обеспечить доступ к данным, поступающим с серверов с поддержкой Azure Arc, только через авторизованные частные сети. Плата за Azure Private Link взимается за конечную точку и обработку входящих и исходящих данных.
Рекомендации по проектированию
Ниже приведены некоторые общие рекомендации по проектированию для управления затратами серверов с поддержкой Azure Arc:
Замечание
В этом разделе сведения о ценах, описанные на приведенных снимках экрана, являются примерами и предоставляются для демонстрации использования калькулятора Azure и не отражают фактические сведения о ценах, которые могут отображаться в собственных развертываниях Azure Arc.
Управление
- Убедитесь, что все серверы с поддержкой Azure Arc соответствуют соответствующим соглашениям об именовании и тегах.
- Используйте минимальные привилегии Azure RBAC, назначив роль подключения подключенного компьютера Azure только администраторам, которые подключают серверы с поддержкой Azure Arc, чтобы избежать ненужных затрат.
- Используйте наименьшие привилегии Azure RBAC, назначив роль Azure Connected Machine Resource Administrator только тем администраторам, которым необходимо читать, записывать, удалять и повторно подключать компьютеры, подключенные к Azure.
Azure Monitor
- Ознакомьтесь с рекомендациями по мониторингу, чтобы определить требования к мониторингу и просмотреть цены на Azure Monitor.
- Определите необходимые журналы и события для серверов Windows и Linux с поддержкой Azure Arc, которые будут собираться в рабочей области Log Analytics.
- Используйте калькулятор цен Azure для оценки затрат на мониторинг серверов с поддержкой Azure Arc для приема, оповещений и уведомлений Azure Log Analytics.
- Используйте службу "Управление затратами Майкрософт", чтобы получить видимость затрат на Azure Monitor.
- Используйте решение аналитических данных рабочей области Log Analytics, чтобы понять и отслеживать собранные журналы и скорость их загрузки в рабочей области Log Analytics.
- Оцените возможность уменьшения объема приема данных. Ознакомьтесь с советами по сокращению объема данных , чтобы правильно настроить прием данных.
- Рассмотрим, сколько времени вы хотите сохранить данные в Log Analytics. Данные, захваченные в рабочей области Log Analytics, могут храниться без дополнительной платы до первых 31 дня. Рассмотрим общие аспекты настройки хранения по умолчанию на уровне рабочей области Log Analytics и конкретные потребности в настройке хранения данных по типу данных, которые могут быть как минимум четыре дня. Пример: данные о производительности обычно не должны храниться в течение длительного периода, но журналы безопасности могут храниться в течение длительных периодов.
- Чтобы сохранить данные дольше 730 дней, рассмотрите возможность экспорта данных рабочей области Log Analytics.
- Рассмотрите возможность использования цен на уровне обязательств на основе объема приема данных.
Microsoft Defender для облака (ранее — Центр безопасности Azure)
Ознакомьтесь с рекомендациями по безопасности и соответствию и ценами на Microsoft Defender для серверов.
Microsoft Sentinel
Замечание
В этих изображениях показаны только примеры ценообразования.
- Ознакомьтесь с ценами на Microsoft Sentinel.
- Используйте калькулятор цен Azure для оценки затрат Microsoft Sentinel.
- Используйте управление затратами, чтобы получить видимость затрат на анализ Microsoft Sentinel.
- Просмотрите затраты на хранение данных для данных, поступающих в рабочую область Log Analytics, используемую Microsoft Sentinel.
- Отфильтруйте правильный уровень журналов и событий для серверов Windows и Linux с поддержкой Azure Arc, которые будут собираться в рабочей области Log Analytics.
- Используйте запросы Log Analytics и книгу отчета об использовании рабочей области , чтобы понять тенденции приема данных.
- Создайте сборник схем управления затратами для отправки уведомлений, если ваша рабочая область Microsoft Sentinel превышает бюджет.
- Microsoft Sentinel интегрируется с другими службами Azure, чтобы обеспечить расширенные возможности. Просмотрите сведения о ценах для этих служб.
- Рассмотрите возможность использования цен на уровне обязательств на основе объема приема данных.
- Рассмотрите возможность разделения операционных данных , не относящихся к безопасности , в другую рабочую область Azure Log Analytics.
Диспетчер обновлений Azure
Конфигурация машин в политике Azure
- Ознакомьтесь с рекомендациями по управлению и соблюдению нормативных требований и ценами на настройку политик Azure.
- Используйте управление затратами для анализа затрат на конфигурацию виртуальной машины в Azure Policy, отфильтровав тип ресурса Microsoft.HybridCompute/machines.
- Все встроенные политики конфигурации компьютера включают параметр, который определяет, будет ли политика назначена компьютерам серверов с поддержкой Azure Arc. Просмотрите назначения политик и задайте для этого параметра значение false для политик, которые не нужно оценивать на гибридных серверах.
Управление конфигурацией службы автоматизации Azure
Ознакомьтесь с рекомендациями по автоматизации и ценам на службу автоматизации Azure.
Azure Key Vault
- Ознакомьтесь с ценами на Azure Key Vault.
- Используйте аналитические сведения Azure Key Vault для мониторинга операций обновления сертификатов и секретов на серверах с поддержкой Azure Arc.
Приватный канал Azure
- Ознакомьтесь с рекомендациями по подключению и ценам на Приватный канал Azure.
- Используйте управление затратами для мониторинга использования приватного канала, используемого с серверами с поддержкой Azure Arc.
Дальнейшие шаги
Дополнительные рекомендации по внедрению гибридного облака см. в следующих ресурсах:
- Просмотрите сценарии "Azure Arc Jumpstart".
- Просмотрите предварительные требования для серверов с поддержкой Azure Arc.
- Планирование масштабируемого развертывания серверов с поддержкой Azure Arc.
- Узнайте больше об Azure Arc, пройдя учебный курс Azure Arc .