Governança de custos para servidores habilitados para Azure Arc

A governança de custos é o processo contínuo de implementação de políticas para controlar os custos dos serviços que você está usando no Azure. Este documento orientará você pelas várias considerações e recomendações de governança de custos ao usar servidores habilitados para Arco do Azure.

Quanto custam os servidores habilitados para Azure Arc?

Os servidores habilitados para Azure Arc fornecem dois tipos de serviços:

• A funcionalidade do plano de controle do Azure Arc, que é fornecida sem custo extra, inclui:

  • Organização de recursos por meio de tags e grupos de gerenciamento do Azure.
  • Pesquisa e indexação através do Azure Resource Graph.
  • Controle de acesso por meio do RBAC (controle de acesso baseado em função) do Azure no nível de assinatura ou grupo de recursos.
  • Ambientes e automação através de templates e extensões.

• Os serviços do Azure usados em conjunto com servidores habilitados para Azure Arc (mas não limitados a), que incorrem em custos de acordo com seu uso, incluem:

  • Azure Monitor
  • Microsoft Defender para servidores
  • Microsoft Sentinel
  • Azure Update Manager
  • Configuração da máquina da Política do Azure
  • Configuração do Estado de Automação do Azure, controle de alterações e inventário
  • Trabalhadores de runbook híbridos da Automação do Azure
  • Azure Key Vault
  • Azure Private Link

Considerações de design

• Governança: defina um modelo de governança para seus servidores híbridos que se traduza em políticas do Azure, tags, padrões de nomenclatura e controles de privilégios mínimos.

• Azure Monitor:O Azure Monitor inclui funcionalidade para a coleta e análise de dados de log de seus servidores habilitados para Azure Arc (cobrados por ingestão, retenção e exportação de dados), coleta de métricas, monitoramento de integridade, alertas e notificações. Os recursos do Azure Monitor que são habilitados automaticamente são fornecidos sem nenhum custo, como a coleta de métricas padrão, logs de atividades e insights.

• Microsoft Defender for Cloud (anteriormente conhecido como Central de Segurança do Azure): o Microsoft Defender for Cloud é oferecido em dois modos:

  Sem recursos de segurança aprimorados (Gratuito) - o Defender for Cloud é habilitado gratuitamente em todas as suas assinaturas do Azure quando você visita o painel de proteção de carga de trabalho no portal do Azure pela primeira vez ou, se habilitado programaticamente via API. O uso desse modo gratuito fornece a pontuação segura e seus recursos relacionados: política de segurança, avaliação contínua de segurança e recomendações de segurança acionáveis para ajudá-lo a proteger seus recursos do Azure.

  Defender for Cloud com todos os recursos de segurança aprimorados (pagos) - habilitando a segurança aprimorada do Microsoft Defender for Cloud estende os recursos do modo gratuito para cargas de trabalho executadas em nuvens privadas e outras nuvens públicas, fornecendo gerenciamento de segurança unificado e proteção contra ameaças em suas cargas de trabalho de nuvem híbrida.

• Microsoft Sentinel: O Microsoft Sentinel fornece análises de segurança inteligentes em toda a sua empresa. Os dados para esta análise são armazenados numa área de trabalho do Log Analytics do Azure Monitor. O Microsoft Sentinel é cobrado com base no volume de dados ingeridos para análise no Microsoft Sentinel e armazenados no espaço de trabalho do Azure Monitor Log Analytics para seus servidores habilitados para Azure Arc.

• Azure Update Manager: o Azure Update Manager é um serviço unificado para ajudar a gerenciar e controlar atualizações para todas as suas máquinas. Pode monitorizar a conformidade das atualizações do Windows e do Linux através das implementações no Azure, no ambiente no local e noutras plataformas de cloud, num único dashboard. O Azure Update Manager é cobrado por servidor por dia.

• Configuração da máquina da Política do Azure: a configuração da máquina da Política do Azure pode auditar e impor as configurações do sistema operacional e do aplicativo em toda a sua frota de servidores. A configuração da máquina do Azure Policy é cobrada por servidor por mês e inclui direitos de uso para Configuração do Estado de Automação do Azure, controle de alterações e inventário.

• Gerenciamento de configuração da Automação do Azure: o gerenciamento de configuração da Automação do Azure inclui o Controle de Alterações e o Inventário de software para seus servidores, bem como a configuração de estado para configurar seus servidores em escala com a Configuração de Estado Desejado do PowerShell. O gerenciamento de configuração da Automação do Azure é cobrado por servidor por mês e inclui direitos de uso para a configuração da máquina do Azure Policy.

• Azure Key Vault: A extensão de VM do Azure Key Vault permite gerenciar o ciclo de vida do certificado em servidores Windows e Linux habilitados para Azure Arc. O Azure Key Vault é cobrado pelas operações executadas nos certificados, chaves e segredos.

• Azure Private Link: você pode usar o Azure Private Link para garantir que os dados provenientes de seus servidores habilitados para Azure Arc só sejam acessados por meio de redes privadas autorizadas. O Azure Private Link é cobrado por ponto de extremidade e dados de entrada/saída processados.

Recomendações de design

Aqui estão algumas recomendações gerais de design para a governança de custos de servidores habilitados para Azure Arc:

Nota

Nesta seção, as informações de preços descritas nas capturas de tela fornecidas são exemplos e fornecidas para permitir demonstrar o uso da Calculadora do Azure e não refletem as informações de preços reais que você pode estar vendo em suas próprias implantações do Azure Arc.

Governação

• Certifique-se de que todos os servidores habilitados para Azure Arc sigam as convenções de nomenclatura e marcação adequadas.
• Use o RBAC do Azure com privilégios mínimos atribuindo a função de Integração de Máquina Conectada do Azure apenas a administradores que integram servidores habilitados para Azure Arc para evitar custos desnecessários.
• Use o RBAC do Azure com privilégios mínimos atribuindo o Administrador de Recursos de Máquina Conectada do Azure apenas a administradores que precisam ler, escrever, excluir e reintegrar máquinas conectadas do Azure.

Azure Monitor

• Revise as recomendações de monitoramento para decidir sobre seus requisitos de monitoramento e revise os preços do Azure Monitor.
• Decida sobre os logs e eventos necessários para servidores Windows e Linux habilitados para Azure Arc, a serem coletados no espaço de trabalho do Log Analytics.
• Use a calculadora de preços do Azure para estimar os custos de monitoramento de servidores habilitados para Azure Arc para ingestão, alertas e notificações do Azure Log Analytics.

• Use o Microsoft Cost Management para ter visibilidade sobre os custos do Azure Monitor.

• Use a solução de insights de espaços de trabalho do Log Analytics para entender e monitorar os logs coletados e sua taxa de ingestão no espaço de trabalho do Log Analytics.

• Avaliar possíveis dados de redução do volume de ingestão. Consulte Dicas para reduzir a documentação do volume de dados para ajudar a configurar a ingestão de dados corretamente.
• Considere por quanto tempo você deseja reter dados no Log Analytics. Os dados ingeridos no espaço de trabalho do Log Analytics podem ser retidos sem custo adicional, até os primeiros 31 dias. Considere aspetos gerais para configurar a retenção padrão no nível do espaço de trabalho do Log Analytics e necessidades específicas para configurar a retenção de dados por tipo de dados, que pode ser de no mínimo quatro dias. Exemplo: os dados de desempenho geralmente não precisam ser retidos por longos períodos, mas os logs de segurança podem precisar ser retidos por longos períodos.
• Para reter dados por mais de 730 dias, considere usar a exportação de dados do espaço de trabalho do Log Analytics.
• Considere o uso de preços de nível de compromisso com base no volume de ingestão de dados.

Microsoft Defender for Cloud (anteriormente Centro de Segurança do Azure)

Analise as recomendações de segurança e conformidade e os preços do Microsoft Defender para servidores.

Microsoft Sentinel (anteriormente Azure Sentinel)

Nota

Estas imagens mostram apenas exemplos de preços.

• Consulte os preços do Microsoft Sentinel.
• Use a calculadora de preços do Azure para estimar os custos do Microsoft Sentinel.

• Use o Gerenciamento de custos para ter visibilidade sobre os custos de análise do Microsoft Sentinel.

• Analise os custos de retenção de dados para dados ingeridos no espaço de trabalho do Log Analytics usado pelo Microsoft Sentinel.
• Filtre o nível certo de logs e eventos para os servidores Windows e Linux habilitados para Azure Arc a serem coletados no espaço de trabalho do Log Analytics.
• Use as consultas do Log Analytics e a pasta de trabalho de relatório de uso do espaço de trabalho para entender suas tendências de ingestão de dados.
• Crie um manual de gerenciamento de custos para enviar notificações, se seu espaço de trabalho do Microsoft Sentinel exceder seu orçamento.
• O Microsoft Sentinel integra-se com outros serviços do Azure para fornecer capacidades melhoradas. Analise os detalhes de preços desses serviços.
• Considere o uso de preços de nível de compromisso com base no volume de ingestão de dados.
• Considere separar dados operacionais não relacionados à segurança em um espaço de trabalho diferente do Azure Log Analytics.

Azure Update Manager

• Analise as recomendações de gerenciamento e monitoramento e os preços do Azure Update Manager.

Configuração da máquina da Política do Azure

• Analise as recomendações de governança e conformidade e os preços de configuração da máquina da Política do Azure.
• Use o Gerenciamento de Custos para entender os custos de configuração da máquina da Política do Azure filtrando o tipo de recurso Microsoft.HybridCompute/machines .
• Todas as políticas de configuração de máquina internas incluem um parâmetro que controla se a política será atribuída a máquinas de servidores habilitadas para Azure Arc. Revise suas atribuições de política e defina esse parâmetro como "false" para políticas que não precisam ser avaliadas em seus servidores híbridos.

Gerenciamento de configuração da Automação do Azure

Analise as recomendações de preços de automação e Automação do Azure.

Azure Key Vault

• Reveja os preços do Azure Key Vault.
• Use as informações do Azure Key Vault para monitorar a renovação de certificados e as operações de segredos em seus servidores habilitados para Azure Arc.

Azure Private Link

• Analise as recomendações de conectividade e os preços do Azure Private Link.
• Use o Gerenciamento de Custos para monitorar o uso do Private Link, usado com servidores habilitados para Azure Arc.

Próximos passos

Para obter mais orientações para sua jornada de adoção de nuvem híbrida, consulte os seguintes recursos:

• Analise os cenários do Azure Arc Jumpstart .
• Analise os pré-requisitos para servidores habilitados para Arco do Azure.
• Planeje uma implantação em escala de servidores habilitados para o Azure Arc.
• Analise as práticas recomendadas e recomendações do Cloud Adoption Framework para gerenciar com eficiência seus custos de nuvem.
• Saiba mais sobre o Azure Arc através do caminho de aprendizagem do Azure Arc.