Kostnadsstyrning för Azure Arc-aktiverade servrar

Kostnadsstyrning är den kontinuerliga processen för att implementera principer för att kontrollera kostnaderna för tjänster som du använder i Azure. Det här dokumentet beskriver de olika övervägandena och rekommendationerna för kostnadsstyrning när du använder Azure Arc-aktiverade servrar.

Hur mycket kostar Azure Arc-aktiverade servrar?

Azure Arc-aktiverade servrar tillhandahåller två typer av tjänster:

• Azure Arc-kontrollplansfunktioner, som tillhandahålls utan extra kostnad, omfattar:

  • Resursorganisation via Azure-hanteringsgrupper och taggar.
  • Söka och indexera via Azure Resource Graph.
  • Åtkomstkontroll via rollbaserad åtkomstkontroll i Azure (RBAC) på prenumerations- eller resursgruppsnivå.
  • Miljöer och automatisering via mallar och tillägg.

• Azure-tjänster som används tillsammans med Azure Arc-aktiverade servrar (men inte begränsat till), vilket medför kostnader enligt deras användning omfattar:

  • Azure Monitor
  • Microsoft Defender för servrar
  • Microsoft Sentinel
  • Azure Update Manager
  • Konfiguration av Azure Policy-dator
  • Azure Automation State Configuration, ändringsspårning och inventering
  • Azure Automation Hybrid Runbook Worker
  • Azure Key Vault
  • Azure Private Link

Utformningsbeaktanden

• Styrning: Definiera en styrningsmodell för dina hybridservrar som översätts till Azure-principer, taggar, namngivningsstandarder och kontroller med lägsta behörighet.

• Azure Monitor: Azure Monitor innehåller funktioner för insamling och analys av loggdata för dina Azure Arc-aktiverade servrar (faktureras av datainmatning, kvarhållning och export), insamling av mått, hälsoövervakning, aviseringar och meddelanden. Funktioner i Azure Monitor som aktiveras automatiskt tillhandahålls utan kostnad, till exempel insamling av standardmått, aktivitetsloggar och insikter.

• Microsoft Defender för molnet (kallades tidigare Azure Security Center): Microsoft Defender för molnet erbjuds i två lägen:

  Utan förbättrade säkerhetsfunktioner (kostnadsfritt) - är Defender for Cloud aktiverat kostnadsfritt för alla dina Azure-prenumerationer när du besöker instrumentpanelen för arbetsbelastningsskydd i Azure-portalen för första gången, eller om det aktiveras programmatiskt via API. Med det här kostnadsfria läget får du säkerhetspoängen och dess relaterade funktioner: säkerhetsprincip, kontinuerlig säkerhetsbedömning och åtgärdsbara säkerhetsrekommendationer som hjälper dig att skydda dina Azure-resurser.

  Defender för molnet med alla förbättrade säkerhetsfunktioner (betald) – om du aktiverar förbättrad säkerhet i Microsoft Defender för molnet utökas funktionerna i det kostnadsfria läget till arbetsbelastningar som körs i privata och andra offentliga moln, vilket ger enhetlig säkerhetshantering och skydd mot hot i dina hybridmolnarbetsbelastningar.

• Microsoft Sentinel: Microsoft Sentinel tillhandahåller intelligent säkerhetsanalys i hela företaget. Data för analysen lagras i en Azure Monitor Log Analytics-arbetsyta. Microsoft Sentinel faktureras baserat på mängden data som matas in för analys i Microsoft Sentinel och lagras på Azure Monitor Log Analytics-arbetsytan för dina Azure Arc-aktiverade servrar.

• Azure Update Manager: Azure Update Manager är en enhetlig tjänst som hjälper dig att hantera och styra uppdateringar för alla dina datorer. Du kan övervaka Windows- och Linux-uppdateringsefterlevnad i dina distributioner i Azure, lokalt och på andra molnplattformar från en enda instrumentpanel. Azure Update Manager debiteras per server per dag.

• Konfiguration av Azure Policy-datorer: Konfiguration av Azure Policy-datorer kan granska och framtvinga inställningar för operativsystem och program i hela din serverflotta. Azure Policy-datorkonfiguration faktureras per server per månad och innehåller användningsrättigheter för Azure Automation State Configuration, ändringsspårning och inventering.

• Azure Automation-konfigurationshantering: Konfigurationshantering i Azure Automation innehåller programändringsspårning och inventering för dina servrar, samt tillståndskonfiguration för att konfigurera servrarna i stor skala med PowerShell Desired State Configuration. Azure Automation-konfigurationshantering debiteras per server per månad och innehåller användningsrättigheter för konfiguration av Azure Policy-datorer.

• Azure Key Vault: Med azure Key Vault VM-tillägget kan du hantera certifikatets livscykel på Windows - och Linux Azure Arc-aktiverade servrar. Azure Key Vault faktureras av de åtgärder som utförs på certifikat, nycklar och hemligheter.

• Azure Private Link: Du kan använda Azure Private Link för att säkerställa att data som kommer från dina Azure Arc-aktiverade servrar endast nås via auktoriserade privata nätverk. Azure Private Link faktureras efter slutpunkt och inkommande/utgående data bearbetas.

Designrekommendationer

Här följer några allmänna designrekommendationer för kostnadsstyrning för Azure Arc-aktiverade servrar:

Kontroll

• Se till att alla Azure Arc-aktiverade servrar följer rätt namngivnings- och taggningskonventioner.
• Använd azure RBAC med minsta behörighet genom att tilldela Azure Connected Machine Onboarding-rollen till endast administratörer som registrerar Azure Arc-aktiverade servrar för att undvika onödiga kostnader.
• Använd azure RBAC med minsta behörighet genom att tilldela Azure Connected Machine Resource Administrator till endast administratörer som behöver läsa, skriva, ta bort och registrera azure-anslutna datorer igen.

Azure Monitor

• Granska rekommendationer för övervakning för att bestämma dina övervakningskrav och granska prissättningen för Azure Monitor.
• Bestäm vilka loggar och händelser som krävs för Azure Arc-aktiverade Windows- och Linux-servrar som ska samlas in på Log Analytics-arbetsytan.
• Använd Priskalkylatorn för Azure för att beräkna kostnader för övervakning av Azure Arc-aktiverade servrar för Azure Log Analytics-inmatning, aviseringar och meddelanden.

• Använd Microsoft Cost Management för att få insyn i Azure Monitor-kostnader.

• Använd Log Analytics-lösningen för insikter för arbetsytor för att förstå och övervaka de insamlade loggarna och deras inmatningshastighet på Log Analytics-arbetsytan.

• Utvärdera eventuell minskning av datainmatningsvolymen. Se Tips för att minska datavolymdokumentationen för att konfigurera datainmatning korrekt.
• Fundera på hur länge du vill behålla data i Log Analytics. Data som matas in på Log Analytics-arbetsytan kan behållas utan extra kostnad, upp till de första 31 dagarna. Överväg allmänna aspekter för att konfigurera standardkvarhållning på Log Analytics-arbetsyta och specifika behov för att konfigurera datakvarhållning efter datatyp, som kan vara så minimal som fyra dagar. Exempel: prestandadata behöver vanligtvis inte behållas under långa perioder, men säkerhetsloggar kan behöva behållas under längre perioder.
• Om du vill behålla data längre än 730 dagar bör du överväga att använda Log Analytics-dataexport för arbetsytor.
• Överväg att använda priser på åtagandenivå baserat på din datainmatningsvolym.

Microsoft Defender för molnet (tidigare Azure Security Center)

Granska rekommendationerna för säkerhet och efterlevnad och prissättning för Microsoft Defender för servrar.

Microsoft Sentinel

• Granska Priser för Microsoft Sentinel.
• Använd priskalkylatorn för Azure för att beräkna Microsoft Sentinel-kostnader.

• Använd Cost Management för att få insyn i Microsoft Sentinel-analyskostnader.

• Granska kostnaderna för datakvarhållning för data som matas in på Log Analytics-arbetsytan som används av Microsoft Sentinel.
• Filtrera rätt nivå av loggar och händelser för De Azure Arc-aktiverade Windows- och Linux-servrarna som ska samlas in på Log Analytics-arbetsytan.
• Använd Log Analytics-frågor och arbetsytans användningsrapportarbetsbok för att förstå dina datainmatningstrender.
• Skapa en spelbok för kostnadshantering för att skicka meddelanden om din Microsoft Sentinel-arbetsyta överskrider din budget.
• Microsoft Sentinel integreras med andra Azure-tjänster för att tillhandahålla förbättrade funktioner. Granska prisinformationen för dessa tjänster.
• Överväg att använda priser på åtagandenivå baserat på din datainmatningsvolym.
• Överväg att separera driftdata som inte är säkerhetsrelaterade till en annan Azure Log Analytics-arbetsyta.

Azure Update Manager

• Granska rekommendationerna för hantering och övervakning och Prissättning för Azure Update Manager.

Konfiguration av Azure Policy-dator

• Granska rekommendationerna för styrning och efterlevnad och prissättning för Azure Policy-datorkonfiguration.
• Använd Cost Management för att förstå azure policy-datorkonfigurationskostnaderna genom att filtrera resurstypen Microsoft.HybridCompute/machines .
• Alla inbyggda konfigurationsprinciper för datorer innehåller en parameter som styr om principen ska tilldelas till Azure Arc-aktiverade serverdatorer. Granska dina principtilldelningar och ange den här parametern till "false" för principer som inte behöver utvärderas på dina hybridservrar.

Konfigurationshantering för Azure Automation

Granska rekommendationer för prissättning för automatisering och Azure Automation.

Azure Key Vault

• Granska prissättningen för Azure Key Vault.
• Använd Azure Key Vault-insikter för att övervaka certifikatförnyelse och hemligheter på dina Azure Arc-aktiverade servrar.

Azure Private Link

• Granska rekommendationer för anslutning och Priser för Azure Private Link.
• Använd Cost Management för att övervaka användningen av Private Link, som används med Azure Arc-aktiverade servrar.

Nästa steg

Mer vägledning för din hybridmolnimplementeringsresa finns i följande resurser:

• Granska Scenarier med Azure Arc Jumpstart .
• Granska förutsättningarna för Azure Arc-aktiverade servrar.
• Planera en skalbar distribution av Azure Arc-aktiverade servrar.
• Granska bästa praxis och rekommendationer för Cloud Adoption Framework för att effektivt hantera dina molnkostnader.
• Läs mer om Azure Arc via utbildningsvägen Azure Arc.