Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Podczas projektowania architektury zrównoważ wymagania dostępu zdalnego z ograniczeniami finansowymi przy zachowaniu bezpiecznej łączności z maszynami wirtualnymi. Aby zapoznać się z omówieniem możliwości usługi Azure Bastion, zobacz Co to jest usługa Azure Bastion. Najważniejsze zagadnienia obejmują:
- Czy przydzielone budżety umożliwiają spełnienie celów dotyczących zabezpieczeń i ułatwień dostępu?
- Jaki jest wzorzec nakładów dla usługi Bastion w ramach obciążeń?
- Jak zmaksymalizować inwestycje w usługę Bastion dzięki lepszemu wyborowi jednostek SKU i wykorzystaniu zasobów?
Strategia bastionu zoptymalizowana pod kątem kosztów nie zawsze jest opcją najniższego kosztu. Należy zrównoważyć skuteczność zabezpieczeń z wydajnością finansową. Taktyczne cięcie kosztów może powodować luki w zabezpieczeniach lub luki w dostępności. Aby osiągnąć długoterminowy bezpieczny dostęp i odpowiedzialność finansową, utwórz strategię z priorytetyzacji na podstawie ryzyka, ciągłego monitorowania i powtarzalnych procesów.
Zacznij od zalecanych metod i uzasadnij korzyści wynikające z wymagań dostępu zdalnego. Po ustawieniu strategii użyj tych zasad za pomocą regularnych cykli oceny i optymalizacji. Aby uzyskać kompleksowe wskazówki dotyczące zarządzania kosztami, zobacz dokumentację usługi Azure Cost Management i kalkulator cen platformy Azure.
Omówienie modelu cen
Usługa Azure Bastion korzysta z modelu cen dwuskładnikowego, który łączy opłaty za jednostkę SKU godzinową z kosztami transferu danych wychodzących. Zrozumienie obu składników pomaga zoptymalizować całkowity koszt posiadania.
Opłaty za jednostkę SKU godzinową: każde wdrożenie usługi Bastion nalicza opłaty godzinowe na podstawie wybranej warstwy jednostki SKU rozliczane stale od wdrożenia niezależnie od użycia. Dodatkowe instancje do skalowania hostów mają niższe stawki godzinowe niż wdrożenie bazowego SKU, co sprawia, że skalowanie jest bardziej opłacalne, gdy jest to potrzebne.
Koszty transferu danych: transfer danych wychodzących z usługi Azure Bastion do klienta jest naliczany w warstwach, a pierwsze 5 GB miesięcznie jest bezpłatne. Szybkość transferu spada na wyższych poziomach objętości, co nagradza konsolidację. Transfer danych przychodzących do usługi Bastion nie jest naliczany.
Odmiany regionalne: ceny różnią się w zależności od regionu świadczenia usługi Azure. Podczas planowania wdrożeń obejmujących wiele regionów należy wziąć pod uwagę regionalne różnice cenowe w obliczeniach całkowitych kosztów.
Aby uzyskać szczegółowe informacje o cenach we wszystkich regionach, zobacz Cennik usługi Azure Bastion.
Opracowywanie dziedziny dostępu zdalnego
Optymalizacja kosztów dla usługi Azure Bastion wymaga zrozumienia wzorców dostępu zdalnego i dostosowania inwestycji z priorytetami biznesowymi. Konfigurowanie jasnego ładu i odpowiedzialności za decyzje dotyczące wdrażania. Aby uzyskać więcej informacji na temat ramowych zasad ładu, zobacz dokumentację dotyczącą ładu w Azure.
| Rekomendacja | Korzyść |
|---|---|
| Utwórz kompleksowy spis sieci wirtualnych , który kataloguje wszystkie sieci wirtualne wymagające dostępu zdalnego i ich poziomów krytycznego działania firmy. | Kompletny spis umożliwia podejmowanie decyzji wdrażania z uwzględnieniem ryzyka i zapobiega zarówno nadmiernemu przydzielaniu kosztownych zasobów usługi Bastion, jak i pozostawieniu krytycznych sieci bez bezpiecznego dostępu. Można określić priorytety inwestycji na podstawie rzeczywistego wpływu na działalność biznesową. |
| Ustanów wyraźną odpowiedzialność za decyzje dotyczące wdrażania usługi Bastion ze zdefiniowanymi rolami dla zespołów ds. zabezpieczeń, operacji i finansów. | Jasna odpowiedzialność zapewnia, że decyzje dotyczące wdrażania uwzględniają zarówno wymagania dotyczące zabezpieczeń, jak i ograniczenia budżetowe. Wspólne podejmowanie decyzji zapobiega silosowym wyborom, które mogą naruszyć bezpieczeństwo lub przekroczyć budżety. |
| Twórz realistyczne budżety , które uwzględniają zarówno natychmiastowe potrzeby dostępu, jak i planowany wzrost w sieciach wirtualnych i maszynach wirtualnych. | Odpowiednie budżetowanie umożliwia przewidywalne koszty usługi Bastion i zapobiega reaktywnym decyzjom podczas zdarzeń zabezpieczeń. Możesz zaplanować rozszerzanie wdrożenia w miarę rozwoju infrastruktury. |
| Zaimplementuj struktury oceny ryzyka , które definiują minimalne poziomy dostępu i ustandaryzowane zasady dla różnych typów sieci. | Struktury oparte na ryzyku zapewniają ustrukturyzowane podejścia do oceny zabezpieczeń dostępu zdalnego przy jednoczesnym zapewnieniu spójnych decyzji dotyczących wdrażania. Pomagają one identyfikować sieci krytyczne, oceniać luki w zabezpieczeniach i określać odpowiednie konfiguracje usługi Bastion na podstawie wpływu na działalność biznesową i tolerancji ryzyka, zapobiegając zarówno niedostatecznej ochronie krytycznych sieci, jak i nadmiernego wdrażania w środowiskach o niskim ryzyku. |
Wybierz odpowiednie SKU
Usługa Azure Bastion oferuje cztery warstwy jednostki SKU z różnymi profilami kosztów: Deweloper (wersja bezpłatna), Podstawowa (umiarkowana), Standardowa (umiarkowana do wyższych) i Premium (najwyższa). Wybierz jednostkę SKU, która równoważy wymagania dotyczące funkcji z ograniczeniami budżetowymi. Aby uzyskać kompleksowe porównanie jednostek SKU i szczegóły funkcji, zobacz Wybieranie odpowiedniej jednostki SKU usługi Azure Bastion.
| Rekomendacja | Korzyść optymalizacji kosztów |
|---|---|
| Maksymalizuj użycie jednostki SKU dla deweloperów dla wszystkich środowisk programistycznych i testowych, w których dostęp do pojedynczej maszyny wirtualnej jest akceptowalny. | Wersja SKU dla deweloperów eliminuje 100% kosztów usługi Bastion w przypadku obciążeń nieprodukcyjnych. Bez opłat godzinowych, bez opłat za transfer danych. Ta warstwa umożliwia rezerwowanie budżetu dla wdrożeń produkcyjnych. Zobacz Nawiązywanie połączenia z deweloperem usługi Azure Bastion. |
| Zacznij od SKU Podstawowa dla środowisk produkcyjnych, jeśli nie są wymagane zaawansowane funkcje. Uaktualnij tylko wtedy, gdy zidentyfikujesz określone luki funkcji. | Podstawowa SKU minimalizuje koszty produkcji, zapewniając podstawowe możliwości (peering, Kerberos, połączenia współbieżne). Zapobiega nadmiernej aprowizacji, wdrażając tylko potrzebne funkcje. Przed zatwierdzeniem warstw o wyższych kosztach należy rzeczywiste użycie ocenić. |
| Wybierz SKU w wersji Standardowej, gdy analiza kosztów uzasadnia użycie zaawansowanych funkcji. Kluczowe czynniki kosztów: potrzeby związane ze skalowaniem (>2 instancje), wymagania natywnych klientów lub wydajność operacyjna dzięki linkom do udostępniania. | Standard SKU umożliwia ekonomiczne skalowanie poprzez skalowanie hostów (2-50 wystąpień) w modelu cen przyrostowych. Koszty zmienne są zgodne z rzeczywistym zapotrzebowaniem. Zaawansowane funkcje mogą zmniejszyć obciążenie operacyjne, które równoważy wyższe stawki godzinowe. |
| Wybierz jednostkę SKU w warstwie Premium, gdy wymagania dotyczące zgodności nakazują rejestrowanie sesji lub gdy różnica kosztów w warstwie Standardowa na warstwę Premium jest nieznaczna w porównaniu z łącznym wydatkiem na infrastrukturę. | Warstwa Premium dodaje minimalny koszt do warstwy Standard, zapewniając przyszłą gotowość wdrożeń. Rejestrowanie sesji eliminuje konieczność korzystania z rozwiązań inspekcji innych firm. Wdrożenie tylko prywatne może obniżyć koszty sieci w wysoce ograniczonych środowiskach. |
| Zaimplementować stopniowe wdrażanie SKU w sieciach wirtualnych na podstawie krytyczności biznesu. Użyj warstwy Podstawowa dla sieci o niższym priorytcie, Standardowa/Premium w przypadku obciążeń o krytycznym znaczeniu. | Strategia wdrażania warstwowego optymalizuje całościowy koszt dzięki dopasowaniu kosztów SKU do wartości biznesowej. Sieci o wysokim priorytecie uzasadniają użycie funkcji premium, a inne korzystają z bardziej kosztownych warstw. Zapobiega masowym wdrożeniom SKU o najwyższych kosztach. |
Projektowanie pod kątem wydajności architektury
Zoptymalizuj architekturę, aby zmaksymalizować wartość każdego wdrożenia usługi Bastion przy zachowaniu zabezpieczeń i funkcjonalności. Decyzje dotyczące architektury mają bezpośredni wpływ na bieżące koszty. Aby uzyskać wskazówki dotyczące architektury, zobacz Azure Well-Architected Framework i projektowanie i architekturę usługi Bastion.
| Rekomendacja | Korzyść |
|---|---|
| Użyj komunikacji równorzędnej sieci wirtualnych , aby skonsolidować wdrożenia usługi Bastion w wielu połączonych sieciach wirtualnych zamiast wdrażać oddzielne wystąpienia. | Pojedyncze wdrożenie usługi Bastion może obsługiwać maszyny wirtualne w równorzędnych sieciach wirtualnych, co znacznie zmniejsza koszty. Eliminujesz duplikaty wdrożeń, zachowując bezpieczny dostęp w całej topologii sieci. Aby uzyskać wskazówki dotyczące peeringu, zobacz Praca nad peeringiem sieci wirtualnych i usługą Bastion. |
| Użyj Bastion Developer w indywidualnych scenariuszach opracowywania i testowania, w których nie potrzebujesz współbieżnych połączeń ani zaawansowanych funkcji. | Bastion Developer jest bezpłatny i idealny dla środowisk deweloperskich/testowych, całkowicie eliminując koszty w tych środowiskach. Możesz przeprowadzić uaktualnienie do dedykowanej jednostki SKU podczas przechodzenia do środowiska produkcyjnego lub gdy potrzebujesz dodatkowych funkcji. |
| Konsoliduj dostęp zdalny za pomocą scentralizowanych wdrożeń usługi Bastion w sieciach wirtualnych koncentratora, a nie wdrażania w każdej sieci szprychy. | Wdrożenie oparte na koncentratocie zmniejsza łączną liczbę potrzebnych zasobów usługi Bastion. Opłaty godzinowe można zminimalizować, obsługując wiele sieci węzłowych z jednego wystąpienia usługi Bastion za pośrednictwem peeringu sieci wirtualnych. |
| Planowanie liczby wystąpień strategicznie przez zrozumienie wymagań dotyczących współbieżnych sesji w celu uniknięcia nadmiernej aprowizacji jednostek skalowania. | Każda instancja dodaje do kosztów godzinowych, więc ustalanie odpowiedniego rozmiaru zapobiega niepotrzebnym wydatkom. Dodatkowe wystąpienia kosztują mniej za godzinę niż wdrożenie bazowe SKU, dzięki czemu skalowanie przyrostowe jest bardziej ekonomiczne. Jednostki SKU w warstwie Standardowa i Premium obsługują skalowanie hostów (2–50 wystąpień), co umożliwia dostosowanie pojemności na podstawie rzeczywistych wzorców użycia. Aby uzyskać szczegółowe informacje na temat skalowania hostów, zobacz Konfigurowanie skalowania hostów. |
Optymalizowanie wykorzystania zasobów
Uzyskaj największą wartość z inwestycji w usługę Bastion, wykorzystując wszystkie uwzględnione funkcje i dostosowując wdrożenia do rzeczywistych wzorców użycia.
| Rekomendacja | Korzyść |
|---|---|
| Skorzystaj z integracji usługi Azure Monitor i wbudowanych dzienników diagnostycznych bez dodatkowych opłat za monitorowanie i analizę usługi Bastion. | Maksymalna wartość inwestycji jest uzyskiwana przy użyciu uwzględnionych możliwości monitorowania. Zapewnia to widoczność sesji i analizę użycia wymaganą do ciągłej optymalizacji bez dodatkowych kosztów. Aby uzyskać wskazówki dotyczące monitorowania, zobacz Monitorowanie usługi Azure Bastion. |
| Użyj linków z możliwością udostępniania (SKU od poziomu Standard wzwyż), aby umożliwić użytkownikom bezpieczny dostęp bez poświadczeń Azure, zmniejszając potrzebę dodatkowej infrastruktury uwierzytelniania. | Linki do udostępniania zapewniają bezpieczny, ograniczony czasowo dostęp bez konieczności uzyskiwania dostępu do witryny Azure Portal ani dodatkowych narzędzi. Upraszcza to zarządzanie dostępem podczas kontrolowania, kto może łączyć się z określonymi maszynami wirtualnymi. Zobacz Tworzenie linków do udostępniania. |
| Zaimplementuj natywną obsługę klienta (Standardowa SKU i wyższe) dla połączeń SSH i RDP, aby poprawić doświadczenie użytkownika i zmniejszyć obciążenie przeglądarki. | Natywna obsługa klienta umożliwia użytkownikom nawiązywanie połączeń przy użyciu lokalnych klientów SSH/RDP, zapewniając lepszą wydajność i znajomość. Zmniejsza to zużycie zasobów przeglądarki i poprawia jakość połączenia. Zobacz Nawiązywanie połączenia przy użyciu klienta natywnego. |
| Skonfiguruj skalowanie serwerów (SKU w wersjach Standardowa i Premium), aby dopasować liczbę instancji do rzeczywistych potrzeb sesji równoczesnych na podstawie wzorców użycia. | Dynamiczne skalowanie zapewnia utrzymanie odpowiedniej pojemności podczas szczytowego użycia, unikając nadmiernej aprowizacji w okresach niskiego zapotrzebowania. Każde wystąpienie obsługuje 20 współbieżnych połączeń RDP i 40 współbieżnych połączeń SSH, co pozwala na precyzyjne planowanie pojemności. Zobacz Konfigurowanie skalowania hostów. |
| Korzystaj ze stref dostępności gdzie to możliwe, aby zwiększyć odporność bez wdrażania nadmiarowych zasobów Bastion w różnych regionach. | Wdrożenie nadmiarowe w strefach zapewnia wysoką dostępność w ramach pojedynczego zasobu usługi Bastion. Otrzymujesz poprawioną niezawodność bez kosztów związaných z wieloma wdrożeniami regionalnymi. Zobacz Bastion i strefy dostępności. |
| Zoptymalizuj wzorce transferu danych , konsolidując wdrożenia usługi Bastion i pamiętając o woluminach transferu danych wychodzących. | Pierwsze 5 GB transferu danych wychodzących miesięcznie jest bezpłatne we wszystkich zasobach usługi Bastion. Konsolidacja wielu małych wdrożeń w mniej większych pomaga zmaksymalizować tę warstwę bezpłatną. Większe ilości przesyłanych danych korzystają z cen warstwowych przy zmniejszających się stawkach w miarę wzrostu skali. |
Monitorowanie i optymalizowanie w czasie
Wymagania dotyczące dostępu zdalnego zmieniają się w miarę rozwoju infrastruktury. Skonfiguruj ciągłe monitorowanie i regularne cykle optymalizacji, aby zachować efektywność kosztową.
| Rekomendacja | Korzyść |
|---|---|
| Skonfiguruj alerty dotyczące kosztów, gdy wydatki Bastion zbliżają się do wstępnie zdefiniowanych progów budżetu. | Proaktywne powiadomienia uniemożliwiają przekroczenie budżetu i umożliwiają terminowe korekty strategii wdrażania. Możesz reagować na wzrost kosztów, zanim będą miały wpływ na inne inicjatywy. Aby utworzyć alerty dotyczące kosztów, zobacz Monitorowanie użycia i wydatków przy użyciu alertów dotyczących kosztów. |
| Przeprowadzaj kwartalne przeglądy wdrożeń usługi Bastion i ich wzorców użycia, aby zidentyfikować możliwości optymalizacji. | Regularne przeglądy zapewniają, że inwestycje pozostają zgodne z priorytetami biznesowymi. Możesz zidentyfikować niewystarczająco wykorzystywane wdrożenia, szanse na konsolidację lub kandydatów do obniżenia klasy SKU na podstawie rzeczywistego użycia funkcji. |
| Monitoruj wzorce sesji i użycie połączenia, aby zoptymalizować liczbę wystąpień i zidentyfikować nieużywane wdrożenia. Użyj dzienników diagnostycznych i metryk usługi Azure Monitor. | Zrozumienie rzeczywistych wzorców użycia umożliwia podejmowanie decyzji dotyczących skalowania opartego na danych. Liczbę wystąpień można dostosować na podstawie rzeczywistych danych sesji, a nie teoretycznych wymagań i zidentyfikować wdrożenia, które można zlikwidować. |
| Śledź koszty transferu danych oraz godzinowe opłaty za jednostki SKU, aby zrozumieć kompletny profil wydatków Bastion. | Koszty transferu danych mogą być znaczące w przypadku wdrożeń o wysokim użyciu. Monitorowanie obu składników kosztów pomaga zidentyfikować możliwości optymalizacji, takie jak konsolidacja wdrożeń w celu zmaksymalizowania korzyści z warstwy bezpłatnej lub optymalizacji wzorców połączeń w celu zmniejszenia transferu danych wychodzących. |
| Śledzenie zwrotu z inwestycji (ROI) przy użyciu najlepszych rozwiązań dotyczących zarządzania kosztami w celu mierzenia wartości i wdrażania zarządzania cyklem życia. | Pomiar roI pokazuje wartość wdrożenia i prowadzi przyszłe decyzje inwestycyjne. Regularne czyszczenie nieużywanych lub niedostatecznie używanych zasobów usługi Bastion uniemożliwia zwiększenie wydatków, które nie są zgodne z wartością biznesową, a jednocześnie zwalnia budżet dla sieci o wyższym priorytcie. |
| Przejrzyj użycie funkcji, aby upewnić się, że jesteś na odpowiednim poziomie SKU (jednostka magazynowa) dla rzeczywistych wzorców użytkowania. | Analiza użycia funkcji identyfikuje możliwości obniżenia poziomu jednostek SKU, gdy zaawansowane możliwości nie są używane. W razie potrzeby przejście z warstwy Premium do warstwy Standardowa lub Standardowa do warstwy Podstawowa może obniżyć koszty przy zachowaniu niezbędnego dostępu. Jednak obniżenie wersji jednostki SKU wymaga usunięcia i ponownego utworzenia usługi Bastion. Zobacz Wyświetl lub zaktualizuj SKU. |
Dalsze kroki
- Dowiedz się więcej o usłudze Azure Bastion.
- Dowiedz się więcej o ustawieniach konfiguracji usługi Bastion.
- Wdrażanie usługi Bastion.
- Monitorowanie usługi Azure Bastion.
- Dokumentacja usługi Azure Cost Management.
- Cennik usługi Azure Bastion.
- Azure Well-Architected Framework.
- Test porównawczy zabezpieczeń platformy Azure.