设计体系结构时,请平衡远程访问要求与财务约束,同时保持与虚拟机的安全连接。 有关 Azure Bastion 功能的概述,请参阅 什么是 Azure Bastion。 关键考虑因素包括:
- 分配的预算是否使你能够达到安全性和辅助功能目标?
- Bastion 在您的工作负载中的支出模式是怎样的?
- 如何通过更好的 SKU 选择和资源利用率来最大化 Bastion 投资?
成本优化的 Bastion 策略并不总是最低的成本选项。 你需要将安全性有效性与财务效率相平衡。 战术成本削减可能会造成安全漏洞或可访问性差距。 若要实现长期安全访问和财务责任,请创建一个策略,其中包含 基于风险的优先顺序、持续监视和可重复的过程。
从建议的方法开始,并证明远程访问要求的好处是正当的。 设置策略后,通过定期评估和优化周期使用这些原则。 有关成本管理的综合指南,请参阅 Azure 成本管理文档 和 Azure 定价计算器。
了解定价模型
Azure Bastion 使用双组件定价模型,该模型将每小时 SKU 费用与出站数据传输成本相结合。 了解这两个组件有助于优化总拥有成本。
每小时 SKU 费用:每个 Bastion 部署都会根据所选 SKU 层产生每小时费用,无论使用情况如何,都会从部署中连续计费。 主机缩放的其他实例的小时速率比基本 SKU 部署低,因此在需要时缩放更具成本效益。
数据传输成本:从 Azure Bastion 到客户端的出站数据传输按层收费,每月前 5 GB 免费。 传输速率在较高数据量时下降,从而激励整合。 不收取到 Bastion 的入站数据传输费用。
区域差异:定价因 Azure 区域而异。 规划多区域部署时,请考虑总成本计算中的区域定价差异。
有关所有区域的当前定价详细信息,请参阅 Azure Bastion 定价。
开发远程访问规则
Azure Bastion 的成本优化需要了解远程访问模式,并将投资与业务优先级保持一致。 为部署决策设置明确的治理和责任。 有关治理框架的详细信息,请参阅 Azure 治理文档。
| 建议 | 益处 |
|---|---|
| 开发一个全面的虚拟网络清单 ,用于编录需要远程访问的所有虚拟网络及其业务关键级别。 | 完整的清单可实现基于风险的部署决策,并防止过度预配昂贵的 Bastion 资源,并使关键网络不受安全访问。 可以根据实际业务影响确定投资的优先级。 |
| 为 Bastion 部署决策建立明确责任,并为安全、运营和财务团队指定明确的角色。 | 明确责任可确保部署决策同时考虑安全要求和预算约束。 协作决策可防止孤立的选择可能危及安全性或超出预算。 |
| 创建实际预算 ,以考虑即时访问需求和虚拟网络和虚拟机的计划增长。 | 适当的预算可实现可预测的 Bastion 成本,并防止在安全事件期间做出反应性决策。 随着基础结构的增长,可以规划部署扩展。 |
| 实现 风险评估框架 ,这些框架定义不同网络类型的最低访问级别和标准化策略。 | 基于风险的框架提供结构化方法来评估远程访问安全性,同时确保一致的部署决策。 它们有助于识别关键网络、评估漏洞,并根据业务影响和风险容忍度确定适当的 Bastion 配置,防止关键网络保护不足以及在低风险环境中过度部署。 |
选择正确的 SKU
Azure Bastion 提供具有不同成本配置文件的多个 SKU 层:基本(中等)、标准(中等到更高)和高级(最高)。 选择与预算约束平衡功能要求的 SKU。 有关全面的 SKU 比较和功能详细信息,请参阅 “选择正确的 Azure Bastion SKU”。
| 建议 | 成本优化效益 |
|---|---|
| 从生产环境的基本 SKU 开始,除非需要高级功能。 仅当识别特定功能差距时才进行升级。 | 基本 SKU 可最大程度地降低生产成本,同时提供基本功能(对等互连、Kerberos、并发连接)。 通过仅部署所需的功能来防止过度预配。 在选择更高费用的层级之前,评估实际使用情况。 |
| 当成本分析证明高级功能合理时,请选择标准 SKU。 关键成本驱动因素:扩展需求(>2 个实例)、本地客户端需求或可共享链接带来的运营效率。 | 标准 SKU 通过主机缩放(2-50 个实例)通过增量定价实现经济高效的缩放。 可变成本与实际需求一致。 高级功能能减少运营开销,从而抵消较高的小时费用。 |
| 与基础结构总支出相比,如果符合性要求要求要求强制记录会话,或者标准到高级成本差异可忽略不计时,请选择高级 SKU。 | 高级版与标准版相比,仅增加了最低的成本,并能使部署面向未来。 会话录制无需第三方审核解决方案。 专用部署可以降低高度受限环境中的网络成本。 |
| 基于业务关键性跨虚拟网络分阶段实施 SKU 采用。 对低优先级网络使用 Basic,标准/高级版用于关键工作负荷。 | 分层部署策略通过将 SKU 费用与业务价值相匹配来优化总成本。 高优先级网络证明了使用高级功能的合理性,其他网络则使用经济实惠的套餐。 防止大量部署成本最高的 SKU。 |
体系结构效率设计
优化体系结构,以最大程度地提高每个 Bastion 部署的价值,同时保持安全性和功能。 你的体系结构决策直接影响后续成本。 有关体系结构指南,请参阅 Azure Well-Architected Framework 和 Bastion 设计和体系结构。
| 建议 | 益处 |
|---|---|
| 利用虚拟网络对等互连 在多个互联的虚拟网络中整合 Bastion 部署,而不是部署单独的实例。 | 单个 Bastion 部署可以跨对等互连的虚拟网络为 VM 提供服务,从而大幅降低成本。 在保持跨网络拓扑的安全访问的同时,可以消除重复的部署。 有关对等互连指南,请参阅 使用虚拟网络对等互连和 Bastion。 |
| 在不需要并发连接或高级功能的情况下,个人开发和测试方案可使用Bastion Developer。 | Bastion Developer 是免费的,非常适合开发/测试工作负载,完全免除这些环境的成本。 迁移到生产环境或需要其他功能时,可以升级到专用 SKU。 |
| 通过在中心虚拟网络中集中式 Bastion 的部署来整合远程访问,而不是在每个辐射网络中部署。 | 基于中心的部署减少了所需的 Bastion 资源总数。 通过虚拟网络对等互连,从单个 Bastion 实例为多个分支网络提供服务,可以最大程度地降低每小时费用。 |
| 通过了解并发会话要求来战略性地规划实例计数,以避免过度预配扩展单元。 | 每个实例都会增加每小时成本,因此适当调整大小可防止不必要的支出。 其他实例的每小时成本低于基本 SKU 的部署,使逐步扩展更加经济实惠。 标准 SKU 和高级 SKU 支持主机缩放(2-50 个实例),使你可以根据实际使用模式调整容量。 有关主机缩放详细信息,请参阅 “配置主机缩放”。 |
优化资源利用率
通过高效使用包含的功能,使部署与实际使用模式保持一致,从而从 Bastion 投资中获得最大价值。
| 建议 | 益处 |
|---|---|
| 利用 Azure Monitor 集成与内置的诊断日志功能,监视和分析 Bastion 时无需支付额外费用。 | 通过使用所含的监控功能,您可以从投资中获得最大化的价值。 这样可以提供持续优化所需的会话可见性和使用情况分析,而无需额外的成本。 有关监视指南,请参阅 “监视 Azure Bastion”。 |
| 使用可共享链接 (标准 SKU 和更高版本)为没有 Azure 凭据的用户启用安全访问,从而减少了对其他身份验证基础结构的需求。 | 可共享链接提供安全、限时访问,而无需 Azure 门户访问或其他工具。 这简化了访问管理,同时控制谁可以连接到特定 VM。 请参阅 “创建可共享链接”。 |
| 为 SSH 和 RDP 连接实现本机客户端支持(标准 SKU 和更高版本),以提高用户体验并减少浏览器开销。 | 本地客户端支持使用户能够使用本地 SSH/RDP 客户端进行连接,提供更好的性能和用户熟悉的操作体验。 这可减少浏览器资源消耗并提高连接质量。 请参阅 使用本机客户端进行连接。 |
| 配置主机缩放 (标准 SKU 和高级 SKU),以根据使用模式将实例计数与实际的并发会话要求匹配。 | 动态缩放可确保在高峰使用期间保持足够的容量,同时避免在低需求期间过度预配。 每个实例支持 20 个并发 RDP 和 40 个并发 SSH 连接,允许精确规划容量。 请参阅 “配置主机缩放”。 |
| 利用可用性区域 ,在不跨区域部署冗余 Bastion 资源的情况下提高复原能力。 | 区域冗余部署在单个 Bastion 资源中提供高可用性。 无需花费多个区域部署,即可提高可靠性。 请查看 Bastion 和可用区。 |
| 通过合并 Bastion 部署并注意出站数据传输量来优化数据传输模式。 | 每个月前 5 GB 的出站数据传输在所有 Bastion 资源中是免费的。 将多个小型部署合并为更大的部署有助于最大化利用此免费层。 更高的数据传输量受益于分层定价,并大规模降低速率。 |
随着时间的推移进行监视和优化
随着基础结构的发展,远程访问需要发生变化。 设置持续监视和定期优化周期,以保持成本效益。
| 建议 | 益处 |
|---|---|
| 当 Bastion 支出接近预定义预算阈值时配置成本警报。 | 主动通知可防止预算溢出,并及时调整部署策略。 可以在成本增加影响其他计划之前做出响应。 若要创建成本警报,请参阅 使用成本警报监视使用情况和支出。 |
| 对 Bastion 部署及其使用模式进行季度评审,以确定优化机会。 | 定期评审可确保投资与业务优先级保持一致。 可以根据实际功能使用情况确定未充分利用的部署、整合机会或 SKU 降级候选项。 |
| 监视会话模式 和连接使用情况,以优化实例计数并确定未使用的部署。 使用 诊断日志 和 Azure Monitor 指标。 | 了解实际的使用模式可实现数据驱动的缩放决策。 可以根据实际会话数据(而不是理论要求)调整实例计数,并确定可解除授权的部署。 |
| 跟踪数据传输成本 以及每小时 SKU 费用,以了解完整的 Bastion 支出概况。 | 对于高使用率部署而言,数据传输成本可能很大。 监视这两个成本组件有助于识别优化机会,例如合并部署以最大化免费层优势或优化连接模式以减少出站数据传输。 |
| 使用成本管理最佳做法跟踪部署投资回报(ROI),以衡量价值并实施生命周期管理。 | ROI 度量演示部署价值,并指导未来的投资决策。 定期清理未使用或未充分利用的 Bastion 资源可防止支出增长与业务价值不一致,同时为高优先级网络释放预算。 |
| 查看功能利用率 ,确保你选择与实际使用模式相符的合适 SKU 层。 | 功能使用情况分析识别出未使用高级功能时降级 SKU 的机会。 在适当的时候,从高级迁移到标准版或标准版可以降低成本,同时保持必要的访问。 但是,SKU 降级需要删除和重新创建 Bastion。 请参阅 “查看或升级 SKU”。 |