Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden bewährte FinOps-Methoden für Netzwerkdienste beschrieben. Sie konzentrieren sich auf Kostenoptimierung, Effizienzverbesserungen und Ressourcenerkenntnisse.
Azure Firewall
In den folgenden Abschnitten werden Azure Resource Graph (ARG)-Abfragen für Azure Firewall bereitgestellt. Diese Abfragen helfen Ihnen, Einblicke in Ihre Azure-Firewallressourcen zu erhalten und sicherzustellen, dass sie mit den entsprechenden Einstellungen konfiguriert sind. Durch die Analyse von Nutzungsmustern und Empfehlungen von Azure Advisor können Sie Ihre Azure-Firewallkonfigurationen auf Kosteneffizienz optimieren.
Abfrage: Analyse von Azure-Firewall- und Firewallrichtlinien
Diese ARG-Abfrage analysiert Azure-Firewalls und die zugehörigen Firewallrichtlinien in Ihrer Azure-Umgebung. Sie zielt speziell auf Firewalls mit einer Premium-SKU-Stufe ab und überprüft, ob die Konfigurationen in ihren zugehörigen Firewallrichtlinien die Premium-Features nutzen.
Kategorie
Optimierung
Abfrage
resources
| where type =~ 'Microsoft.Network/azureFirewalls' and properties.sku.tier=="Premium"
| project FWID=id, firewallName=name, SkuTier=tostring(properties.sku.tier), resourceGroup, location
| join kind=inner (
resources
| where type =~ 'microsoft.network/firewallpolicies'
| mv-expand properties.firewalls
| extend intrusionDetection = tostring(properties.intrusionDetection contains "Alert"
or properties.intrusionDetection contains "Deny")
| extend transportSecurity = tostring(properties.transportSecurity contains "keyVaultSecretId")
| extend FWID = tostring(properties_firewalls.id)
| where intrusionDetection == "False"
and transportSecurity == "False"
| project
PolicyName = name,
PolicySKU = tostring(properties.sku.tier),
intrusionDetection,
transportSecurity,
FWID
) on FWID
Abfrage: Azure Firewall und zugehörige Subnetzanalyse
Diese ARG-Abfrage analysiert Azure-Firewalls und die zugehörigen Subnetze in Ihrer Azure-Umgebung. Sie bietet Einblicke in die Subnetze, die jeder Azure-Firewallinstanz zugeordnet sind. Optimieren Sie die Verwendung der Azure-Firewall, indem Sie eine zentrale Instanz der Azure-Firewall im virtuellen Hub oder im sicheren WAN-Hub verwenden. Teilen Sie dann dieselbe Firewall über viele virtuelle Speichennetzwerke, die mit demselben Hub aus derselben Region verbunden sind.
Kategorie
Optimierung
Abfrage
resources
| where type =~ 'Microsoft.Network/azureFirewalls' and properties.sku.tier=="Premium"
| project
FWID=id,
firewallName=name,
SkuTier=tostring(properties.sku.tier),
resourceGroup,
location
| join kind=inner (
resources
| where type =~ 'microsoft.network/firewallpolicies'
| mv-expand properties.firewalls
| extend intrusionDetection = tostring(properties.intrusionDetection contains "Alert"
or properties.intrusionDetection contains "Deny")
| extend transportSecurity = tostring(properties.transportSecurity contains "keyVaultSecretId")
| extend FWID=tostring(properties_firewalls.id)
| where intrusionDetection == "False"
and transportSecurity == "False"
| project
PolicyName = name,
PolicySKU = tostring(properties.sku.tier),
intrusionDetection,
transportSecurity,
FWID
) on FWID
Anwendungs-Gateway
Azure Application Gateway ist ein Lastenausgleich für Webdatenverkehr, mit dem Sie eingehenden Datenverkehr für Ihre Webanwendungen verwalten können. Es bietet Routing- und Lastenausgleichsdienste auf Anwendungsebene, mit denen Sie ein skalierbares und hochverwendbares Web-Front-End in Azure erstellen können.
Verwandte Ressourcen:
Inaktive Anwendungsgateways entfernen
Empfehlung: Entfernen Sie Anwendungsgateways, die keine Back-End-Pools haben, um unnötige Kosten zu vermeiden.
Informationen zu inaktiven Application Gateways
Application Gateways ohne Ziele in einem Back-End-Pool leiten keinen Datenverkehr aktiv weiter und stellen möglicherweise ungenutzte Ressourcen dar. Diese im Leerlauf befindlichen Gateways verursachen weiterhin Kosten, obwohl sie keine Funktion erfüllen.
Note
FinOps-Hubs können inaktive Anwendungsgateways automatisch identifizieren. Erfahren Sie mehr.
Inaktive Anwendungsgateways identifizieren
Verwenden Sie die folgende ARG-Abfrage, um Anwendungsgateways mit leeren Back-End-Pools zu identifizieren.
resources
| where type =~ 'Microsoft.Network/applicationGateways'
| extend
backendPoolsCount = array_length(properties.backendAddressPools),
SKUName = tostring(properties.sku.name),
SKUTier = tostring(properties.sku.tier),
SKUCapacity = properties.sku.capacity,
backendPools = properties.backendAddressPools,
resourceGroup = strcat('/subscriptions/',subscriptionId,'/resourceGroups/',resourceGroup)
| project id, name, SKUName, SKUTier, SKUCapacity, resourceGroup, subscriptionId
| join (
resources
| where type =~ 'Microsoft.Network/applicationGateways'
| mvexpand backendPools = properties.backendAddressPools
| extend backendIPCount = array_length(backendPools.properties.backendIPConfigurations)
| extend backendAddressesCount = array_length(backendPools.properties.backendAddresses)
| extend backendPoolName = backendPools.properties.backendAddressPools.name
| summarize
backendIPCount = sum(backendIPCount),
backendAddressesCount = sum(backendAddressesCount)
by id
) on id
| project-away id1
| where (backendIPCount == 0 or isempty(backendIPCount))
and (backendAddressesCount==0 or isempty(backendAddressesCount))
| order by id asc
Upgrade von klassischen Anwendungsgateways
Empfehlung: Upgrade des Anwendungsgateways v1 SKU auf v2 vor dem V1-Deaktivierungsdatum, um Support und Zugriff auf verbesserte Features aufrechtzuerhalten.
Informationen zu klassischen Anwendungsgateways
Application Gateway v1 SKU (Standard und WAF) wird eingestellt. Die v2-SKU bietet automatische Skalierung, Zonenredundanz und verbesserte Leistung. Durch die Migration zu v2 wird eine kontinuierliche Unterstützung gewährleistet und die Kosten durch automatische Skalierung reduziert, wodurch die Anzahl der Instanzen basierend auf dem Datenverkehr automatisch angepasst wird.
Note
FinOps-Hubs können klassische Anwendungsgateways automatisch mit v1 SKU identifizieren. Erfahren Sie mehr.
Identifizieren von klassischen Anwendungsgateways
Verwenden Sie die folgende ARG-Abfrage, um Anwendungsgateways zu identifizieren, die weiterhin die v1-SKU verwenden.
resources
| where type =~ 'microsoft.network/applicationgateways'
| where properties.sku.tier in ('Standard', 'WAF')
| project
ResourceId = tolower(id),
ResourceName = name,
SKUTier = tostring(properties.sku.tier),
Region = location,
ResourceGroupName = resourceGroup,
SubscriptionId = subscriptionId
DDoS Protection
Azure DDoS-Schutz bietet Gegenmaßnahmen gegen die anspruchsvollsten DDoS-Bedrohungen. Es bietet erweiterte DDoS-Entschärfungsfunktionen für Ihre Anwendung und Ressourcen, die in Ihren virtuellen Netzwerken bereitgestellt werden.
Verwandte Ressourcen:
Entfernen nicht zugeordneter DDoS-Schutzpläne
Empfehlung: Entfernen Sie DDoS-Schutzpläne, die keinem virtuellen Netzwerk zugeordnet sind, um unnötige Kosten zu vermeiden.
Informationen zu nicht zugeordneten DDoS-Schutzplänen
DDoS-Schutzpläne verursachen eine feste monatliche Gebühr. Pläne, die keinem virtuellen Netzwerk zugeordnet sind, bieten keinen Schutz, generieren aber trotzdem Kosten. Durch das Entfernen nicht verwendeter Pläne werden unnötige Ausgaben beseitigt.
Note
FinOps-Hubs können automatisch nicht zugeordnete DDoS-Schutzpläne identifizieren. Erfahren Sie mehr.
Identifizieren nicht zugeordneter DDoS-Schutzpläne
Verwenden Sie die folgende ARG-Abfrage, um DDoS-Schutzpläne zu identifizieren, die keinem virtuellen Netzwerk zugeordnet sind.
resources
| where type =~ 'microsoft.network/ddosprotectionplans'
| where isnull(properties.virtualNetworks) or array_length(properties.virtualNetworks) == 0
| project
ResourceId = tolower(id),
ResourceName = name,
Region = location,
ResourceGroupName = resourceGroup,
SubscriptionId = subscriptionId
ExpressRoute
mit Azure ExpressRoute können Sie Ihre lokalen Netzwerke über eine private Verbindung in die Microsoft Cloud erweitern. ExpressRoute-Schaltkreise verursachen monatliche Gebühren basierend auf der bereitgestellten SKU und Bandbreite.
Verwandte Ressourcen:
Nicht bereitgestellte ExpressRoute-Leitungen entfernen
Empfehlung: Löschen oder Bereitstellen von ExpressRoute-Schaltkreisen, die sich in einem nicht bereitgestellten Zustand befinden, um unnötige Gebühren zu vermeiden.
Informationen zu nicht bereitgestellten ExpressRoute-Schaltkreisen
ExpressRoute-Leitungen, die sich im Zustand „NotProvisioned“ befinden, übertragen keinen aktiven Datenverkehr, für sie fallen jedoch weiterhin monatliche Gebühren an. Diese Leitungen wurden möglicherweise erstellt, aber beim Dienstanbieter nie abgeschlossen. Durch die Identifizierung und Entfernung werden unnötige Kosten beseitigt.
Note
FinOps-Hubs können automatisch nicht bereitgestellte ExpressRoute-Schaltkreise identifizieren. Erfahren Sie mehr.
Identifizieren von nicht bereitgestellten ExpressRoute-Schaltkreisen
Verwenden Sie die folgende ARG-Abfrage, um ExpressRoute-Schaltkreise in einem nicht bereitgestellten Zustand zu identifizieren.
resources
| where type =~ 'Microsoft.Network/expressRouteCircuits'
and properties.serviceProviderProvisioningState == "NotProvisioned"
| extend
ServiceLocation = tostring(properties.serviceProviderProperties.peeringLocation),
ServiceProvider = tostring(properties.serviceProviderProperties.serviceProviderName),
BandwidthInMbps = tostring(properties.serviceProviderProperties.bandwidthInMbps)
| project
ERId = id,
ERName = name,
ERRG = resourceGroup,
SKUName = tostring(sku.name),
SKUTier = tostring(sku.tier),
SKUFamily = tostring(sku.family),
ERLocation = location,
ServiceLocation,
ServiceProvider,
BandwidthInMbps
Lastenausgleich
Azure Load Balancer arbeitet auf Schicht 4 des OSI-Modells und verteilt eingehenden Datenverkehr auf fehlerfreie Instanzen im Back-End-Pool. Es bietet hohe Verfügbarkeit, indem der Zustand von Backend-Instanzen überwacht und der Datenverkehr automatisch von fehlerhaften Instanzen weg umgeleitet wird.
Verwandte Ressourcen:
Ungenutzte Load Balancer entfernen
Empfehlung: Entfernen Sie Lastenausgleichsgeräte, die über keine Back-End-Pools verfügen, um unnötige Kosten zu vermeiden.
Informationen zu Leerlauflastenausgleichsmodulen
Load Balancer ohne Ziele im Backendpool verteilen den Datenverkehr nicht aktiv und könnten ungenutzte Ressourcen sein. Standardmäßige SKU-Lastenausgleichsgeräte verursachen auch dann Kosten, wenn sie im Leerlauf sind, sodass das Entfernen nicht verwendeter Instanzen unnötige Ausgaben reduzieren kann.
Note
FinOps-Hubs können automatisch leerstehende Lastenausgleichsgeräte identifizieren. Erfahren Sie mehr.
Ungenutzte Load Balancer identifizieren
Verwenden Sie die folgende ARG-Abfrage, um Standard-SKU-Lastenausgleichsgeräte mit leeren Back-End-Pools zu identifizieren.
resources
| extend resourceGroup = strcat('/subscriptions/', subscriptionId, '/resourceGroups/', resourceGroup)
| extend SKUName = tostring(sku.name)
| extend SKUTier = tostring(sku.tier)
| extend location,backendAddressPools = properties.backendAddressPools
| where type =~ 'microsoft.network/loadbalancers'
and array_length(backendAddressPools) == 0
and sku.name!='Basic'
| order by id asc
| project
id,
name,
SKUName,
SKUTier,
backendAddressPools,
location,
resourceGroup,
subscriptionId
Basic-Lastenausgleichsmodule aktualisieren
Empfehlung: Aktualisieren Sie Load Balancer mit der eingestellten Basic-SKU auf die Standard-SKU, um eine bessere Leistung, mehr Sicherheit und fortlaufenden Support zu erhalten.
Informationen zu Basic Load Balancern
Die Basic-SKU für Azure Load Balancer wurde am 30. September 2025 eingestellt. Einfache Load Balancer bieten keine SLA, unterstützen keine Verfügbarkeitszonen und verfügen nur über eingeschränkte Diagnosefunktionen. Das Upgrade auf die Standard-SKU bietet verbesserte Zuverlässigkeits-, Leistungs- und Sicherheitsfeatures.
Note
FinOps-Hubs können automatisch grundlegende Lastenausgleichsgeräte identifizieren. Erfahren Sie mehr.
Identifizieren grundlegender Lastenausgleichsgeräte
Verwenden Sie die folgende ARG-Abfrage, um Lastenausgleichsgeräte mithilfe der einfachen SKU zu identifizieren.
resources
| where type =~ 'microsoft.network/loadbalancers'
| where sku.name =~ 'Basic'
| project
ResourceId = tolower(id),
ResourceName = name,
SKUName = tostring(sku.name),
Region = location,
ResourceGroupName = resourceGroup,
SubscriptionId = subscriptionId
NAT Gateway
Azure NAT Gateway bietet ausgehende Internetverbindung für virtuelle Netzwerke. NAT-Gateways vereinfachen ausgehende Internetverbindungen, indem sie einen verwalteten, hochverfügbaren SNAT-Dienst bereitstellen.
Verwandte Ressourcen:
Entfernen verwaister NAT-Gateways
Empfehlung: Entfernen Sie NAT-Gateways, die keinem Subnetz zugeordnet sind, um unnötige Gebühren zu vermeiden.
Informationen zu verwaisten NAT-Gateways
NAT-Gateways verursachen stündliche Gebühren und Datenverarbeitungskosten. Gateways, die keinem Subnetz zugeordnet sind, stellen keine ausgehende Konnektivität bereit und stellen verschwendete Ausgaben dar. Diese verwaisten Gateways können verbleiben, nachdem ein Subnetz oder ein virtuelles Netzwerk neu konfiguriert wurde.
Note
FinOps-Hubs können automatisch verwaiste NAT-Gateways identifizieren. Erfahren Sie mehr.
Identifizieren verwaister NAT-Gateways
Verwenden Sie die folgende ARG-Abfrage, um NAT-Gateways zu identifizieren, die keinem Subnetz zugeordnet sind.
resources
| where type == "microsoft.network/natgateways"
| where isnull(properties.subnets) or array_length(properties.subnets) == 0
| project
id,
GWName = name,
SKUName = tostring(sku.name),
SKUTier = tostring(sku.tier),
Location = location,
resourceGroup = tostring(strcat('/subscriptions/', subscriptionId, '/resourceGroups/', resourceGroup)),
subnets = properties.subnets,
subscriptionId
Netzwerkschnittstelle
Azure Netzwerkschnittstellen (NICs) ermöglichen Azure virtuellen Computern die Kommunikation mit Internet-, Azure- und lokalen Ressourcen. NICs verursachen keine direkten Gebühren, aber verwaiste NICs können auf verpasste Bereinigungsmöglichkeiten hinweisen und das Ressourcenmanagement erschweren.
Nicht zugeordnete Netzwerkschnittstellen entfernen
Empfehlung: Entfernen Sie Netzwerkschnittstellen, die nicht an einen virtuellen Computer oder privaten Endpunkt angefügt sind, um Ihre Umgebung sauber zu halten und den Verwaltungsaufwand zu verringern.
Über nicht zugeordnete Netzwerkschnittstellen
Wenn ein virtueller Computer gelöscht wird, werden die zugehörigen Netzwerkschnittstellen möglicherweise nicht automatisch bereinigt. Diese verwaisten NICs können sich im Laufe der Zeit ansammeln, Ihre Umgebung überladen und möglicherweise zugeordnete Ressourcen wie öffentliche IPs beibehalten. Während NICs keine direkten Kosten verursachen, vereinfacht das Bereinigen von NICs die Ressourcenverwaltung und kann andere verwaiste Ressourcen sichtbar machen.
Note
FinOps-Hubs können automatisch nicht angefügte Netzwerkschnittstellen identifizieren. Erfahren Sie mehr.
Nicht angehängte Netzwerkschnittstellen identifizieren
Verwenden Sie die folgende ARG-Abfrage, um Netzwerkschnittstellen zu identifizieren, die keinem virtuellen Computer oder privaten Endpunkt zugeordnet sind.
resources
| where type =~ 'microsoft.network/networkinterfaces'
| where isnull(properties.virtualMachine) and isnull(properties.privateEndpoint)
| project
ResourceId = tolower(id),
ResourceName = name,
PrivateIP = tostring(properties.ipConfigurations[0].properties.privateIPAddress),
Region = location,
ResourceGroupName = resourceGroup,
SubscriptionId = subscriptionId
Netzwerksicherheitsgruppe
Netzwerksicherheitsgruppen (Network Security Groups, NSGs) filtern Netzwerkdatenverkehr zu und von Azure-Ressourcen in einem virtuellen Netzwerk. NSGs enthalten Sicherheitsregeln, die eingehenden und ausgehenden Netzwerkdatenverkehr zulassen oder verweigern.
Entfernen leerer Netzwerksicherheitsgruppen
Empfehlung: Entfernen Sie Netzwerksicherheitsgruppen, die keiner Netzwerkschnittstelle oder einem Subnetz zugeordnet sind, um Ihre Umgebung zu vereinfachen und den Verwaltungsaufwand zu verringern.
Informationen zu leeren Netzwerksicherheitsgruppen
NSGs, die keiner Netzwerkschnittstelle oder einem Subnetz zugeordnet sind, filtern den Datenverkehr nicht aktiv. Diese nicht verwendeten Ressourcen können sich während Infrastrukturänderungen ansammeln, die Unübersichtlichkeit hinzufügen und Sicherheitsüberwachungen erschweren. Das Entfernen vereinfacht die Netzwerkverwaltung und trägt dazu bei, eine saubere Umgebung aufrechtzuerhalten.
Note
FinOps-Hubs können automatisch leere Netzwerksicherheitsgruppen identifizieren. Erfahren Sie mehr.
Identifizieren leerer Netzwerksicherheitsgruppen
Verwenden Sie die folgende ARG-Abfrage, um NSGs zu identifizieren, die keiner Netzwerkschnittstelle oder einem Subnetz zugeordnet sind.
resources
| where type =~ 'microsoft.network/networksecuritygroups'
| where isnull(properties.networkInterfaces) and isnull(properties.subnets)
| project
ResourceId = tolower(id),
ResourceName = name,
Region = location,
ResourceGroupName = resourceGroup,
SubscriptionId = subscriptionId
Privates DNS
Der folgende Abschnitt enthält eine ARG-Abfrage für Privates DNS. Es hilft Ihnen, Einblicke in Ihre Privates DNS Ressourcen zu gewinnen und sicherzustellen, dass sie mit den entsprechenden Einstellungen konfiguriert sind.
Abfrage: Privates DNS
Diese ARG-Abfrage analysiert Privates DNS-Zonen in Ihrer Azure-Umgebung, um solche ohne virtuelle Netzwerkverbindungen zu identifizieren.
Kategorie
Optimierung
Abfrage
resources
| where type == "microsoft.network/privatednszones"
and properties.numberOfVirtualNetworkLinks == 0
| project id, PrivateDNSName=name,
NumberOfRecordSets = tostring(properties.numberOfRecordSets),
resourceGroup = tostring(strcat('/subscriptions/', subscriptionId, '/resourceGroups/', resourceGroup)),
vNets = tostring(properties.properties.numberOfVirtualNetworkLinks),
subscriptionId
Öffentliche IP-Adresse
Azure öffentlichen IP-Adressen ermöglichen Azure Ressourcen die Kommunikation mit dem Internet und anderen öffentlich zugänglichen Azure-Diensten. Öffentliche IP-Adressen werden Ressourcen wie virtuellen Computern, Lastenausgleichsmodulen und Anwendungsgateways zugewiesen. Statische öffentliche IP-Adressen verursachen Kosten, unabhängig davon, ob sie einer Ressource zugeordnet sind.
Verwandte Ressourcen:
Basic-öffentliche IP-Adressen aktualisieren
Empfehlung: Stufen Sie öffentliche IP-Adressen, die die eingestellte Basic-SKU verwenden, auf die Standard-SKU hoch, um eine bessere Sicherheit und weiteren Support zu erhalten.
Informationen zu öffentlichen Basic-IP-Adressen
Die Basic-SKU für öffentliche Azure-IP-Adressen wurde am 30. September 2025 eingestellt. Grundlegende öffentliche IPs fehlen Zonenredundanz, unterstützen keine Routingeinstellung und sind standardmäßig für eingehenden Datenverkehr geöffnet. Das Upgrade auf die Standard-SKU bietet Zonenredundanz, standardmäßig sicheres Verhalten (für eingehenden Datenverkehr geschlossen) und Unterstützung für Routingpräferenzen.
Note
FinOps-Hubs können automatisch öffentliche Standard-IPs identifizieren. Erfahren Sie mehr.
Identifizieren grundlegender öffentlicher IPs
Verwenden Sie die folgende ARG-Abfrage, um öffentliche IP-Adressen mithilfe der Standard-SKU zu identifizieren.
resources
| where type =~ 'microsoft.network/publicipaddresses'
| where sku.name =~ 'Basic'
| project
ResourceId = tolower(id),
ResourceName = name,
SKUName = tostring(sku.name),
AllocationMethod = tostring(properties.publicIPAllocationMethod),
Region = location,
ResourceGroupName = resourceGroup,
SubscriptionId = subscriptionId
Öffentliche, ungenutzte IP-Adressen entfernen
Empfehlung: Entfernen Sie nicht angefügte statische öffentliche IP-Adressen, um unnötige Netzwerkkosten zu vermeiden.
Informationen zu ungenutzten öffentlichen IP-Adressen
Statische öffentliche IP-Adressen verursachen Kosten, unabhängig davon, ob sie einer Ressource zugeordnet sind. Nicht zugeordnete öffentliche IPs können sich im Laufe der Zeit ansammeln, wenn Ressourcen gelöscht werden, während die ihnen zugeordneten öffentlichen IPs bestehen bleiben. Das Identifizieren und Entfernen dieser verwaisten Ressourcen kann unnötige Kosten reduzieren.
Note
FinOps-Hubs können automatisch nicht angefügte öffentliche IP-Adressen identifizieren. Erfahren Sie mehr.
Ungenutzte öffentliche IP-Adressen identifizieren
Verwenden Sie die folgende ARG-Abfrage, um nicht angefügte öffentliche IP-Adressen zu identifizieren, einschließlich derjenigen, die nicht angefügten Netzwerkschnittstellen zugeordnet sind.
resources
| where type =~ 'Microsoft.Network/publicIPAddresses'
and isempty(properties.ipConfiguration)
and isempty(properties.natGateway)
and properties.publicIPAllocationMethod =~ 'Static'
| extend
PublicIpId = id,
IPName = name,
AllocationMethod = tostring(properties.publicIPAllocationMethod),
SKUName = sku.name,
Location = location,
resourceGroup = strcat('/subscriptions/', subscriptionId, '/resourceGroups/', resourceGroup)
| project PublicIpId, IPName, SKUName, resourceGroup, Location, AllocationMethod, subscriptionId
| union (
Resources
| where type =~ 'microsoft.network/networkinterfaces'
and isempty(properties.virtualMachine)
and isnull(properties.privateEndpoint)
and isnotempty(properties.ipConfigurations)
| extend IPconfig = properties.ipConfigurations
| mv-expand IPconfig
| extend PublicIpId= tostring(IPconfig.properties.publicIPAddress.id)
| project PublicIpId
| join (
resource
| where type =~ 'Microsoft.Network/publicIPAddresses'
| extend
PublicIpId = id,
IPName = name,
AllocationMethod = tostring(properties.publicIPAllocationMethod),
SKUName = sku.name,
resourceGroup,
Location = location
) on PublicIpId
| project
PublicIpId,
IPName,
SKUName,
resourceGroup,
Location,
AllocationMethod,
subscriptionId
)
Abfrage: Identifizieren der Routingmethode für öffentliche IP-Adressen
Diese ARG-Abfrage analysiert öffentliche IP-Adressen und identifiziert die Routingmethode, die Zuordnungsmethode und die SKU. Außerdem werden weitere Details zu öffentlichen IP-Adressen analysiert, die einer IP-Konfiguration zugeordnet sind.
Kategorie
Optimierung
Abfrage
resources
| where type =~ 'Microsoft.Network/publicIPAddresses'
and isnotempty(properties.ipConfiguration)
| where tostring(properties.ipTags) == "[]"
| extend
PublicIpId = id,
RoutingMethod = id,
IPName = name,
AllocationMethod = tostring(properties.publicIPAllocationMethod),
SKUName = sku.name,
Location = location,
resourceGroup = strcat('/subscriptions/', subscriptionId, '/resourceGroups/', resourceGroup)
| project
PublicIpId,
IPName,
RoutingMethod,SKUName,
resourceGroup,
Location,
AllocationMethod,
subscriptionId
Abfrage: Überprüfen der DDoS-Schutzrichtlinie für öffentliche IP-Adressen
Wenn Sie weniger als 15 öffentliche IP-Ressourcen schützen müssen, ist die IP-Schutzebene die kostengünstigere Option. Wenn Sie jedoch mehr als 15 öffentliche IP-Ressourcen zum Schutz haben, wird die Netzwerkschutzebene kostengünstiger.
Kategorie
Optimierung
Abfrage
resources
| where type == "microsoft.network/publicipaddresses"
| project ddosProtection = tostring(properties.ddosSettings), name
| where ddosProtection has "Enabled"
| count
| project TotalIpsProtected = Count
| extend CheckIpsProtected = iff(TotalIpsProtected >= 15, "Enable Network Protection tier", "Enable PIP DDoS Protection")
Gateway für virtuelle Netzwerke
Azure Virtual Network Gateways bieten eine standortübergreifende Konnektivität zwischen Ihren Azure virtuellen Netzwerken und der lokalen Infrastruktur. Für Gateways fallen je nach SKU stündliche Gebühren an.
Verwandte Ressourcen:
Inaktive VNet-Gateways entfernen
Empfehlung: Entfernen Sie virtuelle Netzwerkgateways, die keine aktiven Verbindungen haben, um unnötige Gebühren zu vermeiden.
Informationen zu inaktiven VNet-Gateways
Virtuelle Netzwerkgateways verursachen stündliche Kosten basierend auf ihrer SKU-Ebene, unabhängig davon, ob sie aktiv verwendet werden. Gateways ohne Verbindungen stellen keine standortübergreifende Konnektivität bereit und stellen verschwendete Ausgaben dar. Diese ungenutzten Gateways können nach einer Migration bestehen bleiben oder wenn sich die Konnektivitätsanforderungen ändern.
Note
FinOps-Hubs können idle VNet-Gateways automatisch identifizieren. Erfahren Sie mehr.
Inaktive VNet-Gateways identifizieren
Verwenden Sie die folgende ARG-Abfrage, um virtuelle Netzwerkgateways ohne aktive Verbindungen zu identifizieren.
resources
| where type == "microsoft.network/virtualnetworkgateways"
| extend resourceGroup = strcat('/subscriptions/', subscriptionId, '/resourceGroups/', resourceGroup)
| project id, GWName=name, resourceGroup, location, subscriptionId
| join kind = leftouter(
resources
| where type == "microsoft.network/connections"
| extend id = tostring(properties.virtualNetworkGateway1.id)
| project id
) on id
| where isempty(id1)
| project
id,
GWName,
resourceGroup,
location,
subscriptionId,
status=id
Feedback senden
Lassen Sie uns mit einer kurzen Bewertung wissen, wie wir abschneiden. Wir verwenden diese Rezensionen, um FinOps-Tools und -Ressourcen zu verbessern und zu erweitern.
Wenn Sie nach etwas Spezifischem suchen, wählen Sie eine vorhandene Idee aus, oder erstellen Sie eine neue Idee. Teilen Sie Ideen mit anderen, um mehr Stimmen zu erhalten. Wir konzentrieren uns auf Ideen mit den meisten Stimmen.
Zugehöriger Inhalt
Verwandte Ressourcen:
Verwandte Lösungen: