Gouvernance des coûts pour les serveurs avec Azure Arc

La gouvernance des coûts est le processus continu d’implémentation de stratégies pour contrôler les coûts des services que vous utilisez sur Azure. Ce document vous guide tout au long des différentes considérations et recommandations relatives à la gouvernance des coûts, lors de l’utilisation de serveurs avec Azure Arc.

Combien coûtent les serveurs avec Azure Arc ?

Les serveurs avec Azure Arc fournissent deux types de services :

• La fonctionnalité de plan de contrôle Azure Arc, qui est fournie sans frais supplémentaires, comprend :

  • Organisation des ressources avec les groupes d'administration et les étiquettes Azure
  • Recherche et indexation avec Azure Resource Graph
  • Contrôle d’accès via le contrôle d’accès en fonction du rôle Azure (RBAC) au niveau de l’abonnement ou du groupe de ressources.
  • Environnements et automatisation avec des modèles et des extensions

• Les services Azure utilisés en conjonction avec les serveurs activés par Azure Arc (mais sans s’y limiter), qui engendrent des coûts selon leur utilisation, incluent :

  • Azure Monitor
  • Microsoft Defender pour les serveurs
  • Microsoft Sentinel
  • Azure Update Manager
  • Configuration de machine Azure Policy
  • Azure Automation State Configuration, suivi des modifications et inventaire
  • Runbooks Workers hybrides Azure Automation
  • Azure Key Vault
  • Azure Private Link

Considérations sur la conception

• Gouvernance : Définissez un modèle de gouvernance pour vos serveurs hybrides, qui se traduit par des stratégies Azure, des étiquettes, des normes d’affectation de noms et des contrôles de privilège minimum.

• Azure Monitor : Azure Monitor inclut des fonctionnalités pour la collecte et l’analyse des données de journal de vos serveurs avec Azure Arc (facturés sur la base de l’ingestion, de la rétention et de l’exportation des données), la collecte de métriques, la surveillance de l’intégrité, les alertes et les notifications. Les fonctionnalités d’Azure Monitor qui sont automatiquement activées sont fournies gratuitement, comme la collecte de métriques standard, les journaux d’activité et les insights.

• Microsoft Defender pour le cloud (anciennement Azure Security Center) : Microsoft Defender pour le cloud est proposé en deux modes :

  Sans fonctionnalités de sécurité renforcée (gratuit) - Defender pour le cloud est activé gratuitement sur tous vos abonnements Azure quand vous visitez le tableau de bord de protection de charge de travail dans le portail Azure pour la première fois, ou s’il est activé par programmation via l’API. Ce mode gratuit vous donne accès au niveau de sécurité et aux fonctionnalités associées : stratégie de sécurité, évaluation continue de la sécurité et à des recommandations de sécurité actionnables pour vous aider à protéger vos ressources Azure.

  Defender pour le cloud avec toutes les fonctionnalités de sécurité renforcée (payant) : l’activation de la sécurité renforcée de Microsoft Defender pour le cloud étend les fonctionnalités du mode gratuit aux charges de travail exécutées dans des clouds privés et publics, pour une gestion unifiée de la sécurité et une protection contre les menaces sur l’ensemble des charges de travail cloud hybrides.

• Microsoft Sentinel : Microsoft Sentinel fournit une analytique de sécurité intelligente dans toute votre entreprise. Les données de cette analyse sont stockées dans un espace de travail Azure Monitor Log Analytics. Microsoft Sentinel est facturé en fonction du volume de données ingérées pour l’analyse dans Microsoft Sentinel et stocké dans l’espace de travail Azure Monitor Log Analytics pour vos serveurs avec Azure Arc.

• Azure Update Manager : Azure Update Manager est un service unifié pour aider à gérer et à gouverner les mises à jour pour toutes vos machines. Vous pouvez analyser la conformité des mises à jour Windows et Linux dans l'ensemble de vos déploiements dans Azure, localement et sur d'autres plateformes cloud à partir d'un tableau de bord unique. Azure Update Manager est facturé par serveur et par jour.

• Configuration de machine Azure Policy : La configuration de machine Azure Policy peut auditer et appliquer les paramètres du système d’exploitation et des applications sur votre flotte de serveurs. La configuration de machine Azure Policy est facturée par serveur et par mois, et inclut les droits d’utilisation pour Azure Automation State Configuration, le suivi des modifications et l’inventaire.

• Azure Automation Configuration Management : Azure Automation Configuration Management inclut le suivi des modifications et l’inventaire logiciel pour vos serveurs, ainsi que la configuration d’état pour configurer vos serveurs à grande échelle avec PowerShell Desired State Configuration. La gestion de configuration Azure Automation est facturée par serveur et par mois, et inclut les droits d’utilisation pour la configuration de machine Azure Policy.

• Azure Key Vault : L’extension de machine virtuelle Azure Key Vault vous permet de gérer le cycle de vie des certificats sur les serveurs Windows et Linux avec Azure Arc. Azure Key Vault est facturé en fonction des opérations effectuées sur les certificats, les clés et les secrets.

• Azure Private Link : Vous pouvez utiliser Azure Private Link pour vous assurer que les données provenant de vos serveurs avec Azure Arc sont accessibles uniquement via des réseaux privés autorisés. Azure Private Link est facturé par point de terminaison et en fonction des données entrantes/sortantes traitées.

Recommandations de conception

Voici quelques recommandations de conception générales pour la gouvernance des coûts des serveurs avec Azure Arc :

Gouvernance

• Assurez-vous que tous les serveurs avec Azure Arc respectent les conventions de dénomination et d’étiquetage appropriées.
• Utilisez le contrôle RBAC Azure avec privilège minimum en affectant le rôle Intégration d’Azure Connected Machine aux seuls administrateurs qui intègrent des serveurs avec Azure Arc pour éviter les coûts inutiles.
• Utilisez le contrôle d’accès en fonction du rôle Azure avec privilège minimum en affectant Administrateur de ressources Azure Connected Machine aux seuls administrateurs qui doivent lire, écrire, supprimer et réintégrer des machines connectées Azure.

Azure Monitor

• Passez en revue les recommandations relatives à la surveillance pour déterminer vos exigences de surveillance, et passez en revue la tarification d’Azure Monitor.
• Déterminez les journaux et événements requis pour les serveurs Windows et Linux avec Azure Arc, à collecter dans l’espace de travail Log Analytics.
• Utilisez la calculatrice de prix Azure pour estimer les coûts de surveillance des serveurs avec Azure Arc, pour l’ingestion, les alertes et les notifications Azure Log Analytics.

• Utilisez Microsoft Cost Management pour avoir une visibilité sur les coûts d’Azure Monitor.

• Utilisez la solution Insights d’espace de travail Log Analytics pour comprendre et surveiller les journaux collectés et leur taux d’ingestion sur l’espace de travail Log Analytics.

• Évaluez la réduction possible du volume de l’ingestion de données. Reportez-vous à la documentation Conseils pour réduire le volume de données afin de vous aider à configurer correctement l’ingestion des données.
• Déterminez la durée de conservation des données souhaitée sur Log Analytics. Les données ingérées dans l’espace de travail Log Analytics peuvent être conservées sans frais supplémentaires jusqu’aux premiers 31 jours. Tenez compte des aspects généraux de la configuration de la Conservation par défaut au niveau de l’espace de travail Log Analytics et des besoins spécifiques pour configurer la conservation des données par type de données, qui peut être aussi basse que quatre jours. Exemple : Les données de performances n’ont généralement pas besoin d’être conservées pendant de longues périodes, mais les journaux de sécurité peuvent avoir besoin de l’être pendant des périodes prolongées.
• Pour conserver les données au-delà de 730 jours, envisagez d’utiliser une Exportation des données de l’espace de travail Log Analytics.
• Envisagez d’utiliser la tarification du niveau d’engagement en fonction de votre volume d’ingestion de données.

Microsoft Defender pour le cloud (auparavant appelé Azure Security Center)

Passez en revue les recommandations relatives à la sécurité et à la conformité et à la tarification de Microsoft Defender pour les serveurs.

Microsoft Sentinel

• Consultez la Tarification de Microsoft Sentinel.
• Utilisez la calculatrice de prix Azure pour estimer les coûts de Microsoft Sentinel.

• Utilisez Cost Management pour avoir une visibilité sur les coûts d’analyse de Microsoft Sentinel.

• Passez en revue les coûts de conservation des données pour les données ingérées dans l’espace de travail Log Analytics utilisé par Microsoft Sentinel.
• Filtrez le niveau approprié de journaux et d’événements pour que les serveurs Windows et Linux avec Azure Arc soient collectés dans l’espace de travail Log Analytics.
• Utilisez des requêtes Log Analytics et le classeur de rapport d’utilisation de l’espace de travail pour comprendre vos tendances d’ingestion de données.
• Créez un playbook de gestion des coûts pour envoyer des notifications si votre espace de travail Microsoft Sentinel dépasse votre budget.
• Microsoft Sentinel s’intègre à d’autres services Azure pour offrir des capacités améliorées. Consultez les détails de tarification de ces services.
• Envisagez d’utiliser la tarification du niveau d’engagement en fonction de votre volume d’ingestion de données.
• Envisagez de séparer les données opérationnelles hors sécurité dans un autre espace de travail Azure Log Analytics.

Azure Update Manager

• Consultez les recommandations pour la gestion et le monitoring et la tarification d’Azure Update Manager.

Configuration de machine Azure Policy

• Consultez les recommandations concernant la gouvernance et la conformité et la tarification de la configuration de machine Azure Policy.
• Utilisez Cost Management pour comprendre les coûts de la configuration d’ordinateur Azure Policy en filtrant le type de ressource Microsoft.HybridCompute/machines.
• Toutes les politiques de configuration de machine intégrées incluent un paramètre qui contrôle si la politique sera assignée aux machines serveurs activées par Azure Arc. Passez en revue vos attributions de stratégie et définissez ce paramètre sur « false » pour les stratégies qui n’ont pas besoin d’être évaluées sur vos serveurs hybrides.

Gestion de la configuration d’Azure Automation

Passez en revue les recommandations relatives à l’automatisation et la tarification d’Azure Automation.

Azure Key Vault

• Consultez la Tarification d’Azure Key Vault.
• Utilisez les insights Azure Key Vault pour surveiller les opérations de renouvellement de certificat et de secret sur vos serveurs avec Azure Arc.

Azure Private Link

• Passez en revue les recommandations en matière de connectivité et la tarification d’Azure Private Link.
• Utilisez Cost Management pour surveiller l’utilisation de liaison privée avec des serveurs Azure Arc.

Étapes suivantes

Pour plus d’informations sur le parcours d’adoption du cloud hybride, consultez les ressources suivantes :

• Passer en revue les scénarios de Démarrage rapide avec Azure Arc.
• Passez en revue les conditions préalables pour les serveurs avec Azure Arc.
• Planification d’un déploiement à grande échelle de serveurs avec Azure Arc.
• Passez en revue les meilleures pratiques et recommandations du Cloud Adoption Framework pour gérer efficacement vos coûts cloud.
• En savoir plus sur Azure Arc via le Parcours d’apprentissage Azure Arc.