Referencia de examen AZ-900 Fundamentos de Microsoft Azure Jim Cheshire Contenidos de un vistazo Introducción CAPÍTULO 1Describir conceptos de nube CAPÍTULO 2Describir los servicios principales de Azure CAPÍTULO 3Describir soluciones principales y herramientas de administración en Azure CAPÍTULO 4Describir las características generales de seguridad y seguridad de red CAPÍTULO 5Describir las características de identidad, gobernanza, privacidad y cumplimiento CAPÍTULO 6Describir precios de Azure, SLA y ciclos de vida índice contenido Introducción Organización de este libro Preparación para el examen Certificaciones de Microsoft Acceso rápido a referencias en línea Errata, actualizaciones y soporte para libros Manténgase en contacto Capítulo 1 Describir conceptos de nube Habilidad 1.1: Identificar los beneficios y consideraciones del uso de servicios en la nube alta disponibilidad Escalabilidad, elasticidad y agilidad Tolerancia a fallos y recuperación ante desastres Beneficios económicos de la nube Habilidad 1.2: Describir las diferencias entre Infraestructura como servicio (IaaS), Plataforma como servicio (PaaS) y Software como servicio (SaaS) Modelo de responsabilidad compartida Infraestructura como servicio (IaaS) Plataforma como servicio (PaaS) Software como servicio (SaaS) Comparación de tipos de servicio Habilidad 1.3: Describir las diferencias entre los modelos de nube públicos, privados e híbridos Computación en la nube La nube pública La nube privada La nube híbrida Experimento de pensamiento Respuestas del experimento de pensamiento Resumen del capítulo Capítulo 2 Describir los servicios principales de Azure Habilidad 2.1: Describir los componentes arquitectónicos principales de Azure Regiones de Azure Zonas de disponibilidad Grupos de recursos Suscripciones de Azure Grupos directivos Azure Resource Manager (ARM) Habilidad 2.2: describir los productos básicos de carga de trabajo disponibles en Azure Máquinas virtuales de Azure Servicio de aplicaciones de Azure Instancias de contenedor de Azure (ACI) Servicio Azure Kubernetes (AKS) Escritorio virtual de Windows Redes virtuales ExpressRoute Almacenamiento de contenedor (blob) Almacenamiento en disco Archivos de Azure Niveles de almacenamiento Cosmos DB Base de datos SQL de Azure Azure Database para MySQL Base de datos de Azure para PostgreSQL Azure Marketplace y sus escenarios de uso Experimento de pensamiento Respuestas del experimento de pensamiento Resumen del capítulo Capítulo 3 Describir soluciones principales y herramientas de administración en Azure Habilidad 3.1: describir las soluciones principales disponibles en Azure Azure IoT Hub IoT Central Esfera azul Análisis de Synapse de Azure HDInsight Azure Databricks Aprendizaje automático de Azure Servicios cognitivos Servicio de bots de Azure Computación sin servidor Funciones de Azure Aplicaciones lógicas Cuadrícula de eventos Azure DevOps Laboratorios DevTest de Azure Habilidad 3.2: Describir herramientas de administración de Azure Portal de Azure Azure PowerShell Azure CLI Shell en la nube de Azure Aplicación móvil de Azure Asesor de Azure Azure Monitor Salud del servicio de Azure Experimento de pensamiento Respuestas del experimento de pensamiento Resumen del capítulo Capítulo 4 Describir las características generales de seguridad y seguridad de la red Habilidad 4.1: Describir características de seguridad de Azure Centro de seguridad de Azure Bóveda de llaves Centinela de Azure Habilidad 4.2: Describir la seguridad de la red de Azure Defensa en profundidad Grupos de seguridad de red (NSG) Azure Firewall Protección de Azure DDoS Experimento de pensamiento Respuestas del experimento de pensamiento Resumen del capítulo Capítulo 5 Describir las características de identidad, gobernanza, privacidad y cumplimiento Habilidad 5.1: Describir los servicios básicos de identidad de Azure Autenticación y autorización Azure Active Directory Acceso condicional y autenticación multifactor (MFA) Control de acceso basado en roles (RBAC) Habilidad 5.2: Describir las características de gobierno de Azure Directiva de Azure Bloqueos de recursos Etiquetas Planos de Azure Habilidad 5.3: Describir recursos de privacidad y cumplimiento Declaración de privacidad de Microsoft Marco de adopción en la nube para Azure Centro fiduciario Portal de confianza de servicio Regiones soberanas de Azure Experimento de pensamiento Respuestas del experimento de pensamiento Resumen del capítulo Capítulo 6 Describir precios de Azure, SLA y ciclos de vida Habilidad 6.1: Describir métodos para la planificación y gestión de costes Factores que afectan a los costos Calculadora de precios Calculadora de costo total de propiedad Administración de costes de Azure Habilidad 6.2: Describir los acuerdos de nivel de servicio (SLA) de Azure y los ciclos de vida del servicio Acuerdo de nivel de servicio de Azure (SLA) Interpretar los términos de un SLA Ciclo de vida del servicio en Azure Experimento de pensamiento Respuestas del experimento de pensamiento Resumen del capítulo índice Sobre el autor JIM CHESHIRE es un entusiasta de la tecnología con más de 25 años de experiencia en varios roles dentro de TI. Jim ha sido autor de más de 15 libros sobre tecnología, y ha celebrado numerosas sesiones de capacitación sobre Microsoft Azure, tanto en empresas privadas como a través del programa de entrenamiento en vivo de Safari. Jim está muy involucrado en Azure y está en su 22º año en Microsoft. Actualmente está trabajando en el diseño e implementación del ecosistema de formación utilizado para capacitar a los ingenieros de soporte técnico de Microsoft. Puedes seguir a Jim e interactuar con él en Twitter en @az900examref. Introducción Tanto las empresas como los individuos están adoptando tecnologías en la nube a un ritmo vertiginoso, y Microsoft Azure suele ser la opción para aplicaciones y servicios basados en la nube. El propósito del examen AZ-900 es probar la comprensión de los fundamentos de Azure. El examen incluye conceptos de alto nivel que se aplican en todo Azure a conceptos importantes específicos de un servicio de Azure determinado. Al igual que el examen, este libro está orientado a darle una amplia comprensión de Azure en sí, así como muchos servicios y componentes comunes en Azure. Aunque hemos hecho todo lo posible para que la información de este libro sea precisa, Azure está evolucionando rápidamente y existe la posibilidad de que algunas de las pantallas de Azure Portal sean ligeramente diferentes ahora que cuando se escribió este libro. También es posible que se hayan producido otros cambios menores, como cambios menores de nombre en las entidades, etc. En esta edición del libro, hemos revisado meticulosamente el contenido de la primera edición y actualizado todo para reflejar el estado actual de Azure. También hemos reorganizado el libro y añadido nuevo contenido para reflejar el estado actual del examen AZ-900. Microsoft ha agregado recientemente nuevos conceptos, servicios y características de Azure al examen AZ-900, y los hemos agregado a esta edición. También hemos corregido algunas cosas e hicimos bastantes cambios basados en los comentarios de los lectores de la primera edición. Este libro cubre todas las áreas temáticas importantes que se encuentran en el examen, pero no cubre todas las preguntas del examen. Solo el equipo de exámenes de Microsoft tiene acceso a las preguntas del examen y Microsoft agrega regularmente nuevas preguntas al examen, lo que imposibilita cubrir preguntas específicas. Usted debe considerar este libro un suplemento a su experiencia relevante en el mundo real y otros materiales de estudio. En muchos casos, hemos proporcionado enlaces en las secciones "Más información" del libro, y estos enlaces son una gran fuente para un estudio adicional. ORGANIZACIÓN DE ESTE LIBRO Este libro está organizado por la lista "Habilidades medidas" publicada para el examen. La lista "Habilidades medidas" está disponible para cada examen en el sitio web de Microsoft Learning: http://aka.ms/examlist. Cada capítulo de este libro corresponde a un área temática importante de la lista y las tareas técnicas de cada área temática determinan la organización de un capítulo. Debido a que el examen AZ-900 cubre seis áreas temáticas principales, este libro contiene seis capítulos. PREPARACIÓN PARA EL EXAMEN Los exámenes de certificación de Microsoft son una excelente manera de crear su CV y informar al mundo sobre su nivel de experiencia. Los exámenes de certificación validan su experiencia en el trabajo y el conocimiento del producto. Aunque no hay sustituto para la experiencia en el trabajo, la preparación a través del estudio y la práctica práctica puede ayudarle a prepararse para el examen. Le recomendamos que aumente su plan de preparación de exámenes mediante el uso de una combinación de materiales de estudio y cursos disponibles. Por ejemplo, puede usar la referencia de examen y otra guía de estudio para su preparación "en casa" y tomar un curso de currículo oficial de Microsoft para la experiencia en el aula. Elige la combinación que creas que funciona mejor para ti. Tenga en cuenta que este índice de examen se basa en información disponible públicamente sobre el examen y la experiencia del autor. Para salvaguardar la integridad del examen, los autores no tienen acceso al examen en vivo. CERTIFICACIONES DE MICROSOFT Las certificaciones de Microsoft le distinguen al demostrar su dominio de un amplio conjunto de habilidades y experiencia con los productos y tecnologías actuales de Microsoft. Los exámenes y certificaciones correspondientes se desarrollan para validar su dominio de las competencias críticas a medida que diseña y desarrolla, o implementa y admite, soluciones con productos y tecnologías de Microsoft tanto locales como en la nube. La certificación aporta una variedad de beneficios a la persona y a los empleadores y organizaciones. Más información Todas las certificaciones de Microsoft Para obtener información acerca de las certificaciones de Microsoft, incluida una lista completa de las certificaciones disponibles, vaya a http://www.microsoft.com/learn. ACCESO RÁPIDO A REFERENCIAS EN LÍNEA A lo largo de este libro hay direcciones a páginas web que el autor le ha recomendado visitar para obtener más información. Algunos de estos enlaces pueden ser muy largos y meticulosos de escribir, por lo que los hemos acortado para que seas más fácil de visitar. También los hemos compilado en una sola lista a la que los lectores de la edición impresa pueden hacer referencia mientras leen. Descargue la lista en https://MicrosoftPressStore.com/ExamRefAZ900SecondEdition/downlo ads Las URL se organizan por capítulo y encabezado. Cada vez que encuentre una URL en el libro, busque el hipervínculo de la lista para ir directamente a la página web. ERRATA, ACTUALIZACIONES Y SOPORTE PARA LIBROS Hemos hecho todo lo posible para garantizar la exactitud de este libro y su contenido complementario. Puede acceder a las actualizaciones de este libro (en forma de lista de erratas enviadas y sus correcciones relacionadas) en: https://MicrosoftPressStore.com/ExamRefAZ900SecondEdition/errata Si descubre un error que aún no aparece en la lista, envíenoslo a la misma página. Para obtener asistencia e información adicional del libro, visite https://MicrosoftPressStore.com/Support. Tenga en cuenta que la compatibilidad con productos para el software y el hardware de Microsoft no se ofrece a través de las direcciones anteriores. Para obtener ayuda con el software o el hardware de Microsoft, vaya a https://support.microsoft.com. MANTÉNGASE EN CONTACTO ¡Mantengamos la conversación en marcha! Estamos en Twitter: http://twitter.com/MicrosoftPress. También puedes seguir al autor de este libro, Jim Cheshire, en Twitter en @az900examref. Capítulo 1 Describir los conceptos de la nube La computación en la nube ha sido parte de la tecnología de la información (TI) durante más de 20 años. Durante ese tiempo, se ha convertido en una colección compleja de servicios y modelos en la nube. Antes de comenzar el proceso de migración a la nube, es importante que comprenda los conceptos y servicios clave relacionados con la nube. Hay muchas razones para migrar a la nube, pero uno de los principales beneficios es eliminar parte de la carga de TI de su empresa. La nube le permite aprovechar la infraestructura y las inversiones de un proveedor de nube, y facilita el mantenimiento de un acceso constante a sus aplicaciones y datos. También obtendrá el beneficio de las soluciones llave en mano para realizar copias de seguridad de los datos y garantizar que sus aplicaciones puedan sobrevivir a desastres y otros problemas de disponibilidad. Alojar sus datos y aplicaciones en la nube suele ser más rentable que invertir en infraestructura y recursos de TI locales. Una vez que decida aprovechar la nube, debe comprender las diferentes ofertas de nube disponibles para usted. Algunos servicios en la nube brindan una experiencia casi sin intervención, mientras que otros requieren que usted mismo administre algunos de los sistemas. Encontrar el equilibrio adecuado para sus necesidades requiere que comprenda completamente cada tipo de servicio. Este capítulo cubre los beneficios de usar la nube, los diferentes servicios de nube que están disponibles y los modelos de nube que permiten una variedad de configuraciones de nube. Habilidades cubiertas en este capítulo: Identificar los beneficios y consideraciones de usar servicios en la nube. • Describir las diferencias entre infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS). • Describir las diferencias entre los modelos de nube pública, privada e híbrida. • HABILIDAD 1.1: IDENTIFICAR LOS BENEFICIOS Y CONSIDERACIONES DEL USO DE SERVICIOS EN LA NUBE. Las empresas de hoy dependen en gran medida de las soluciones de software y el acceso a los datos. De hecho, en muchos casos, los activos más valiosos de una empresa están directamente vinculados a los datos y las aplicaciones. Por eso, la inversión en TI ha crecido enormemente en las últimas dos décadas. Dependencia enLos departamentos de TI locales funcionaron bien en los primeros días de TI, pero el acceso a los datos y las aplicaciones se ha convertido en una parte tan crítica de las operaciones diarias que los sistemas de TI localizados se han vuelto ineficientes en muchos niveles. Al tomar decisiones sobre qué trasladar a la nube, evalúe sus decisiones frente a los beneficios que puede brindar la computación en la nube. Esta sección cubre: • Alta disponibilidad • Escalabilidad, elasticidad y agilidad • Tolerancia a fallos y recuperación ante desastres • Beneficios económicos de la nube Alta disponibilidad La disponibilidad de datos y aplicaciones es un requisito fundamental para cualquier aplicación, ya sea local o en la nube. Si sus datos o aplicación no están disponibles para usted, nada más importa. Hay muchas razones por las que puede perder disponibilidad, pero los problemas más comunes son: • Una interrupción de la red • Una falla de la aplicación Una interrupción del sistema (como una interrupción de la máquina virtual) • • Un corte de energía Un problema con un sistema dependiente, como una base de datos externa • En un mundo perfecto, experimenta una disponibilidad del 100 por ciento, pero si ocurre alguno de los problemas anteriores, ese porcentaje comenzará a disminuir. Por lo tanto, es fundamental que su infraestructura minimice el riesgo de problemas que afecten la disponibilidad de su aplicación. Los proveedores de la nube ofrecen un acuerdo de nivel de servicio (SLA) que garantiza un cierto nivel de disponibilidad como porcentaje. Un SLA generalmente garantizará un tiempo de actividad cercano al 100 por ciento, pero solo cubre los sistemas que están controlados por el proveedor de la nube. Una aplicación alojada en la nube puede ser una desarrollada por su empresa, pero también puede ser una que le proporcione el proveedor de la nube. Caída de la red Todas las aplicaciones requieren cierto nivel de conectividad de red. Los usuarios de una aplicación requieren conectividad de red a las computadoras que ejecutan la aplicación. La aplicación requiere conectividad de red a los sistemas de back-end necesarios, como los servidores de bases de datos. Las aplicaciones también pueden llamar a otras aplicaciones mediante una red. Si alguna de estas conexiones de red falla, pueden provocar una falta de disponibilidad. Más información Planificación para cortes de red Una falla en la red no tiene por qué significar que su aplicación o datos no estén disponibles. Si planifica con cuidado, a menudo puede evitar un problema de aplicación cuando ocurre un problema de red. Cubriremos eso con más detalle cuando analicemos la tolerancia a fallas más adelante en este capítulo. Los proveedores de la nube invierten mucho dinero en infraestructura de red y, al migrar a la nube, obtiene el beneficio de esa infraestructura y la confiabilidad adicional que la acompaña. Si algo dentro de esa infraestructura falla, el proveedor de la nube lo diagnostica y lo corrige, a menudo incluso antes de que se dé cuenta de que hay un problema. Fallo de la aplicación La falla de una aplicación a menudo es el resultado de un error de software, pero también puede ser causada por el diseño de la aplicación. Más información Diseño de aplicaciones y la nube No es necesario que comprenda los conceptos de diseño de aplicaciones para el examen AZ-900, pero si está interesado en aprender más sobre el diseño de aplicaciones y la nube, Microsoft tiene una buena referencia en https://bit.ly/cloudappdesign . En algunos escenarios de la nube, usted sigue siendo responsable de las fallas de las aplicaciones, pero es probable que su proveedor de la nube le proporcione herramientas que puede utilizar para diagnosticar estas fallas más fácilmente. Por ejemplo, Azure ofrece un servicio llamado Application Insights que se integra con su aplicación para brindarle información detallada sobre el rendimiento y la confiabilidad de su aplicación. Los desarrolladores de aplicaciones a menudo pueden usar esta información para acceder directamente al código donde ocurre un problema, lo que reduce drásticamente el tiempo necesario para la resolución de problemas. Los proveedores de la nube ofrecen otras características que pueden reducir los problemas de disponibilidad causados por fallas en las aplicaciones. A menudo, puede probar nuevas versiones de una aplicación en un entorno protegido sin afectar a los usuarios reales. Cuando esté listo para mover usuarios reales a una nueva versión, a menudo puede mover primero una pequeña cantidad de usuarios para asegurarse de que todo funcione correctamente. Si descubre problemas, la nube a menudo facilita la reversión a la versión anterior. Interrupción del sistema Una interrupción del sistema ocurre cuando la computadora que ejecuta un sistema en particular deja de estar disponible. En el mundo local, esa computadora podría ser un servidor que ejecuta una base de datos u otra parte de la aplicación. En la nube, estos sistemas se ejecutan dentro de máquinas virtuales o VM. Las máquinas virtuales son equipos basados en software que se ejecutan en un equipo físico. Una sola computadora puede ejecutar múltiples VM, y cada VM tiene su propio sistema operativo y aplicaciones aisladas. Todas las máquinas virtuales que se ejecutan en una computadora comparten la CPU, la memoria y el almacenamiento de la computadora host en la que se ejecutan. Tenga en cuenta que las máquinas virtuales no son solo para la nube Las máquinas virtuales facilitan la adición de computadoras adicionales cuando sea necesario y le permiten administrar mejor los recursos de la computadora, como la CPU, el espacio en disco y la memoria. Por esa razón, las máquinas virtuales son un lugar común en la mayoría de las empresas. Según el servicio en la nube que elija, es posible que usted sea responsable o no del mantenimiento de las máquinas virtuales. Sin embargo, ya sea que usted o su proveedor de la nube los mantengan, el proveedor de la nube supervisará constantemente el estado de las máquinas virtuales y tendrá sistemas para recuperar una máquina virtual en mal estado. Corte de energía La electricidad confiable es fundamental para la disponibilidad. Incluso un parpadeo rápido de energía puede hacer que las computadoras se reinicien y los sistemas se reinicien. Cuando eso sucede, su aplicación no estará disponible hasta que se restauren todos los sistemas. Los proveedores de la nube invierten mucho en copias de seguridad de energía que funcionan con baterías y otros sistemas redundantes para evitar problemas de disponibilidad causados por cortes de energía. En una situación en la que una gran área geográfica se ve afectada por un corte de energía, los proveedores de la nube le ofrecen la posibilidad de ejecutar su aplicación desde otra región que no se vea afectada. Problemas con un sistema dependiente Su aplicación puede usar sistemas que no están en la nube o que están alojados por un proveedor de nube diferente. Si esos sistemas fallan, es posible que pierda disponibilidad. Al alojar su aplicación en la nube, obtiene el beneficio de las herramientas de diagnóstico, alertas y resolución de problemas que ofrece el proveedor de la nube. Ahora que comprende algunas de las cosas que pueden afectar la disponibilidad y comprende algunas ventajas generales de la nube que ayudan a aliviar esos problemas, revisemos algunas de las formas específicas en que la nube puede ayudarlo a garantizar una alta disponibilidad. Escalabilidad, elasticidad y agilidad Los recursos informáticos no son gratuitos. Incluso si está utilizando máquinas virtuales, los recursos subyacentes, como el espacio en disco, la CPU y la memoria, cuestan dinero. La mejor manera de minimizar el costo es utilizar solo los recursos necesarios para sus propósitos. El desafío es que las necesidades de recursos pueden cambiar con frecuencia y rapidez. Considere una situación en la que aloja una aplicación en la nube que rastrea los datos de ventas de su empresa. Si su personal de ventas ingresa regularmente información sobre las llamadas de ventas diarias al final del día, es posible que necesite recursos informáticos adicionales para manejar esa carga. Esos mismos recursos no son necesarios durante el día cuando el personal de ventas realiza llamadas de ventas y no usa la aplicación. También puede alojar una aplicación web en la nube que utilicen clientes externos. Dependiendo del patrón de uso, es posible que desee agregar recursos informáticos adicionales enciertos días o durante ciertos momentos. También es posible que deba adaptarse rápidamente a más usuarios si su empresa recibe publicidad inesperada de los medios de comunicación u otros medios. La escala y la elasticidad le permiten lidiar fácilmente con este tipo de escenarios. El escalado es el proceso de agregar recursos adicionales o potencia adicional para su aplicación. Hay dos variaciones de escala: la escala horizontal (a menudo referido como el horizontal ) y la escala vertical (a menudo referida como la ampliación ). Cuando escala horizontalmente, agrega máquinas virtuales adicionales para su aplicación. Cada máquina virtual que agrega es idéntica a otras máquinas virtuales que dan servicio a su aplicación. La ampliación proporciona recursos adicionales para manejar cargas adicionales. Cuando escala, pasa a una nueva VM con recursos adicionales. Por ejemplo, puede determinar que necesita una CPU más potente y más memoria para su aplicación. En ese caso, la ampliación le permitirá mover su aplicación a una máquina virtual más potente. Nota La ampliación a escala suele añadir funciones Cuando escala, a menudo no solo agrega más potencia de CPU y memoria, sino que también obtiene características adicionales debido a la potencia adicional. Por ejemplo, la ampliación puede brindarle unidades de disco de estado sólido u otras funciones que no están disponibles en niveles inferiores. La figura 1-1 muestra un ejemplo de ampliación de una aplicación web hospedada en Azure. FIGURA 1-1 Ampliación de una aplicación web en Azure La escala del mundo real va en ambos sentidos Además de escalar y escalar hacia arriba, también puede escalar hacia adentro y hacia abajo para disminuir el uso de recursos. En una situación del mundo real, querrá aumentar los recursos informáticos cuando sea necesario y reducirlos cuando la demanda disminuya. Los proveedores de la nube facilitan el escalado de su aplicación y ofrecen la capacidad de escalar automáticamente en función del patrón de uso de su aplicación. Puede escalar automáticamente en función de cosas como el uso de la CPU y el uso de la memoria, y también puede escalar en función de otras métricas que son específicas del tipo de aplicación. El concepto de escalado automático se denomina elasticidad . Sugerencia para el examen En Azure, puede escalar automáticamente configurando AutoScale. Auto-Scale es un servicio de Azure que puede escalar automáticamente las aplicaciones que se ejecutan en muchos servicios de Azure según los patrones de uso, la utilización de recursos, la hora del día y mucho más. Uno de los principales beneficios de la nube es que le permite escalar rápidamente. Por ejemplo, si está ejecutando una aplicación web en Azure y determina que necesita dos VM más para su aplicación, puede escalar horizontalmente a tres VM en segundos. Azure se encarga de asignar los recursos por usted. Todo lo que tiene que hacer es decirle a Azure cuántas máquinas virtuales desea y ya está en funcionamiento. Este tipo de velocidad y flexibilidad en la nube a menudo se denomina agilidad en la nube . Más información Más información sobre las mejores prácticas de escalado Para obtener más información sobre el escalado en Azure, consulte la documentación en https://docs.microsoft.com/azure/architecture/best-practices/auto-scaling . Tolerancia a fallos y recuperación ante desastres En un entorno de nube complejo, es probable que las cosas salgan mal de vez en cuando. Para mantener un alto nivel de disponibilidad, los proveedores de la nube implementan sistemas que monitorean el estado de los recursos de la nube y toman medidas cuando se determina que un recurso no está en buen estado, lo que garantiza que la nube sea tolerante a fallas . Sugerencia para el examen No confunda la tolerancia a fallas con el escalado. El escalado le permite reaccionar a cargas adicionales o necesidades de recursos, pero siempre se supone que todas las máquinas virtuales que está utilizando están en buen estado. La tolerancia a fallas ocurre sin ninguna interacción de su parte, y está diseñada para moverlo automáticamente de un sistema en mal estado a un sistema saludable si algo sale mal. Además de monitorear el estado de las VM y otros recursos, los proveedores de la nube diseñan su infraestructura de tal manera que garanticen la tolerancia a fallas. Por ejemplo, si tiene una aplicación que se ejecuta en dos máquinas virtuales en Azure, Microsoft se asegura de que esas dos máquinas virtuales se asignen dentro de la infraestructura para que sea poco probable que se vean afectadas por fallas del sistema. Más información Tolerancia a fallos en Azure No es necesario que comprenda los detalles técnicos de cómo Azure implementa la tolerancia a fallas para el examen AZ-900, pero si está interesado en obtener más información, consulte https://msdn.microsoft.com/magazine/mt422582.aspx . La tolerancia a fallas está diseñada para hacer frente a fallas a pequeña escala; por ejemplo, la tolerancia a fallas puede moverlo de una VM en mal estado a una VM en buen estado. Sin embargo, hay ocasiones en las que pueden ocurrir fallas mucho mayores. Por ejemplo, los desastres naturales en una región pueden afectar todos los recursos de esa región en particular. Algo así no solo puede afectar la disponibilidad, sino que sin un plan establecido, los desastres también pueden significar la pérdida de datos valiosos. Gobiernos y recuperación ante desastres en el mundo real Dependiendo del tipo de datos que almacene, es posible que deba contar con un plan de recuperación ante desastres. Los proveedores de nube generalmente cumplen con los estándares impuestos por leyes como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y, a menudo, brindan herramientas de cumplimiento que puede utilizar para garantizar el cumplimiento. Aprenderá más sobre el cumplimiento y Azure en el Capítulo 5 , " Describir las características de identidad, gobernanza, privacidad y cumplimiento ". La recuperación ante desastres no solo significa tener copias de seguridad confiables de datos importantes, sino que también significa que la infraestructura de la nube puede replicar los recursos de su aplicación en una región no afectada para que sus datos estén seguros y la disponibilidad de su aplicación no se vea afectada. Los planes de recuperación ante desastres se conocen comúnmente como planes de Continuidad del negocio y Recuperación ante desastres (BCDR), y la mayoría de los proveedores en la nube tienen servicios que pueden ayudarlo a desarrollar e implementar un plan que se adapte a sus necesidades particulares. Beneficios económicos de la nube Hasta ahora, solo hemos hablado del beneficio de disponibilidad de pasar a la nube, pero también hay beneficios económicos. Consideremos tanto el modelo local como el modelo en la nube. Modelo local En el modelo local, una empresa compra hardware informático físico para utilizarlo en sus necesidades de TI. Debido a que estas computadoras son activos físicos que están destinados a usarse durante más de un año, generalmente se compran como gastos de capital . Hay varios inconvenientes de este modelo. Cuando una empresa compra hardware informático, normalmente lo mantendrá en servicio hasta que se obtenga el retorno de esa inversión. En el entorno de rápida evolución de las computadoras, esto puede significar que el hardware está desactualizado mucho antes de que tenga sentido financiero reemplazarlo. Otro gran inconveniente de este método es que no es un enfoque ágil. Puede llevar meses solicitar y configurar nuevo hardware, y en la era de la TI moderna, ese enfoque a menudo no tiene sentido. Más información Inmovilizando dinero Las empresas necesitan dinero para las operaciones diarias, y cuando tiene grandes cantidades de dinero invertidas en gastos de capital, puede reducir drásticamente la cantidad de dinero que puede destinar a sus operaciones diarias. Modelo de nube Cuando se traslada a la nube, ya no depende de su hardware informático local. En su lugar, esencialmente alquila hardware del proveedor de la nube. Debido a que no está comprando activos físicos, traslada sus costos de TI de los gastos de capital a los gastos operativos o los gastos diarios de su negocio. A diferencia de los gastos de capital, los gastos operativos se rastrean mes a mes, por lo que es mucho más fácil ajustarlos según las necesidades. Otro beneficio importante del modelo de nube es la reducción de costos. Cuando usa recursos en la nube, está usando recursos disponibles de una gran cantidad de recursos propiedad del proveedor de la nube. El proveedor de la nube paga por estos recursos por adelantado, pero debido a la gran escala de recursos que adquieren, el costo para el proveedor de la nube se reduce considerablemente. La reducción en el costo que se logra al comprar grandes cantidades de un recurso se conoce como el principio de economías de escala , y esos ahorros se transfieren a los consumidores de la nube. Los proveedores de la nube llevan estos ahorros un paso más allá al ofrecer la capacidad de utilizar solo los recursos informáticos que necesita en un momento determinado. Por lo general, esto se conoce como un modelo basado en el consumo y, a menudo, se aplica a muchos niveles en la computación en la nube. Como ya hemos comentado, puede escalar su aplicación para usar solo la cantidad de VM que necesita, y puede elegir qué tan poderosas son esas VM. Puede ajustar su número y potencia según sus necesidades. Sin embargo, muchos proveedores de la nube también ofrecen servicios que le permiten pagar solo por el tiempo que consume los recursos de la computadora. Por ejemplo, puede tener el código de la aplicación alojado en un proveedor de la nube y pagar solo por el tiempo que el código se está ejecutando realmente en una máquina virtual. Cuando nadie está usando la aplicación, no paga por ningún recurso. Más información Computación basada en el consumo Para ver un ejemplo de un modelo basado en el consumo, consulte "Computación sin servidor" en el Capítulo 3 , " Describir las soluciones principales y las herramientas de administración en Azure ". Como puede ver, el modelo de nube ofrece muchos beneficios económicos sobre el modelo local, y esa es solo una de las razones por las que las empresas se están moviendo rápidamente a la nube. HABILIDAD 1.2: DESCRIBIR LAS DIFERENCIAS ENTRE INFRAESTRUCTURA COMO SERVICIO (IAAS), PLATAFORMA COMO SERVICIO (PAAS) Y SOFTWARE COMO SERVICIO (SAAS). Como ha aprendido, uno de los beneficios de migrar a la nube es que transfiere parte de la responsabilidad de su infraestructura al proveedor de la nube. Sin embargo, mudarse a la nube no es un todo o nada. Cuando evalúa su uso de la nube, debe equilibrar su necesidad de controlar los recursos con la conveniencia de permitir que el proveedor de la nube se encargue de las cosas por usted. En esta sección de habilidades, analizaremos el modelo de responsabilidad compartida que ofrece la nube a través de tres tipos principales de servicios en la nube: infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software. -como servicio (SaaS) . Esta sección cubre: • Modelo de responsabilidad compartida • Infraestructura como servicio (IaaS) • Plataforma como servicio (PaaS) • Software como servicio (SaaS) • Comparación de tipos de servicios Modelo de responsabilidad compartida Cada tipo de servicio viene con un nivel diferente de responsabilidad de su parte, y este concepto a menudo se denomina modelo de responsabilidad compartida . Una forma fácil de visualizar este modelo es utilizando la pirámide de nubes que se muestra en la Figura 1-2 . La base de la pirámide de la nube representa la mayor cantidad de control sobre sus recursos, pero también representa la mayor cantidad de responsabilidad de su parte. La parte superior de la pirámide representa la menor cantidad de control, pero también representa la menor cantidad de responsabilidad de su parte. FIGURA 1-2 La pirámide de nubes Decidir sobre la combinación correcta de control y responsabilidad requiere que comprenda cada tipo de servicio y los pros y los contras asociados con ellos. Infraestructura como servicio (IaaS) La infraestructura se refiere al hardware que utiliza su aplicación, y IaaS se refiere a la infraestructura virtualizada que ofrece un proveedor de nube. Cuando crea un recurso de IaaS, el proveedor de la nube asigna una máquina virtual para su uso. En algunos casos, el proveedor de la nube puede realizar la instalación básica del sistema operativo por usted. En otras situaciones, es posible que deba instalar el sistema operativo usted mismo. En cualquier caso, usted es responsable de instalar otros servicios necesarios y su aplicación. Debido a que usted controla la instalación del sistema operativo y la instalación de otros servicios, IaaS le brinda un gran control sobre sus recursos en la nube. Sin embargo, también significa que usted es responsable de asegurarse de que su sistema operativo esté parcheado con actualizaciones de seguridad, y si algo sale mal en el sistema operativo, usted es responsable de solucionarlo.El proveedor de la nube solo es responsable de proporcionar la máquina virtual. Sin embargo, sí se beneficia de la infraestructura subyacente en el área de tolerancia a fallas y recuperación ante desastres que discutimos anteriormente. Más información Acceso remoto a máquinas virtuales IaaS Tendrá acceso remoto a sus VM de IaaS para que pueda interactuar con ellas como si las estuviera usando en su entorno local. Cuando pasa a los servicios PaaS y SaaS, normalmente pierde esa capacidad porque la infraestructura la administra el proveedor de la nube. En la figura 1-3 , verá una máquina virtual IaaS en Azure Portal. Se ha elegido Ubuntu Server, un sistema operativo Linux, para la VM. Una vez que la máquina virtual esté en funcionamiento, utilizará Ubuntu Server 18.04. A menos que se instale una actualización, siempre se ejecutará esa versión y Microsoft nunca instalará parches o actualizaciones de versión. FIGURA 1-3 Creación de una máquina virtual IaaS en Azure Una vez que tenga una VM IaaS ejecutándose en la nube, obtendrá acceso a muchos servicios que ofrece el proveedor de la nube. Por ejemplo, Microsoft ofrece Azure Security Center para garantizar la seguridad de sus máquinas virtuales IaaS, Azure Backup para facilitar la copia de seguridad de los datos, Azure Log Analytics para ayudarlo a solucionar cualquier problema que pueda tener, y mucho más. Más información Más información sobre IaaS y Azure Para obtener más información sobre IaaS y Azure, consulte la documentación en https://bit.ly/az900-whatisiaas . Los servicios IaaS le permiten controlar los costos de manera efectiva porque solo paga por ellos cuando los usa. Si detiene su máquina virtual IaaS, se detiene la facturación del recurso. Esto hace que IaaS sea una opción ideal si necesita que los desarrolladores tengan una plataforma para probar una aplicación durante el lanzamiento. Los desarrolladores pueden iniciar una VM IaaS, probar la aplicación en equipo y luego detener la VM IaaS cuando se completen las pruebas. Otro uso popular de IaaS es cuando necesita una o más máquinas virtuales potentes durante un período temporal. Por ejemplo, es posible que deba analizar una gran cantidad de datos para un proyecto. Al utilizar máquinas virtuales IaaS para su proyecto, puede mantener los costos al mínimo, crear recursos rápidamente cuando los necesite y obtener toda la potencia de procesamiento que necesita. Los servicios de IaaS se benefician del escalamiento y la elasticidad que discutimos anteriormente. Si necesita más máquinas virtuales, puede escalar horizontalmente para adaptarse a eso y luego escalar cuando esos recursos ya no sean necesarios. Si necesita más potencia de CPU, más memoria o más espacio en disco, puede escalar rápidamente para obtener esos beneficios y luego escalar cuando ya no sean necesarios. En pocas palabras, los servicios IaaS son una excelente opción si desea permitir que otra persona administre la infraestructura de hardware (que puede incluir tanto las computadoras como la red) relacionada con su aplicación, pero desea mantener el control de lo que está instalado en el sistema operativo. . En un entorno IaaS, el proveedor de la nube no instalará nada en el sistema operativo por usted, por lo que siempre conocerá el estado actual de lo que está instalado en sus máquinas virtuales. Si esto es importante para sus necesidades particulares, IaaS podría ser la opción correcta para usted. Además, IaaS es una excelente opción si ocasionalmente necesita máquinas virtuales de alta gama para necesidades específicas. IaaS también es una excelente opción si desea que su aplicación y configuración estén en la nube, pero desea tener la opción de no pagar por ella cuando no la esté usando. Al detener su VM, puede evitar los costos asociados con ella, y cuando necesite usar su aplicación nuevamente, puede simplemente iniciar su VM y continuar justo donde lo dejó. Plataforma como servicio (PaaS) En un entorno PaaS, un proveedor de nube todavía le proporciona la infraestructura, pero también le proporciona el sistema operativo, el software instalado en el sistema operativo para ayudarlo a conectarse a bases de datos y sistemas de red (a menudo denominados middleware ) y muchas características que le permiten crear y administrar aplicaciones complejas en la nube. PaaS se encuentra justo en el medio de la pirámide de nubes. Los servicios PaaS le ofrecen la flexibilidad de controlar la aplicación, pero descargan la gestión y el control de los sistemas subyacentes al proveedor de la nube. Si está implementando su propia aplicación en la nube y desea minimizar su inversión en administración, un servicio PaaS suele ser la mejor opción. Nota PaaS y VM Un servicio PaaS también utiliza máquinas virtuales proporcionadas por el proveedor de la nube. Sin embargo, un usuario normalmente no tiene visibilidad de esas máquinas virtuales. En la mayoría de los casos, son administrados en su totalidad por el proveedor de la nube. Suponga que necesita ejecutar una aplicación web que usa el marco PHP para conectarse a un sistema de base de datos back-end. Si eligiera IaaS para su aplicación, debería asegurarse de instalar y configurar PHP en su VM. Luego, necesitaría instalar y configurar el software necesario para conectarse a su base de datos back-end. En un escenario de PaaS, simplemente implementa su aplicación web en el proveedor de la nube y todo lo demás se encarga por usted. En la Figura 1-4 , tenemos una aplicación web en Azure App Service, una de las ofertas de PaaS en Azure. Se ha creado en una máquina virtual mantenida por Microsoft. Observe la opción de elegir Linux o Windows, pero el sistema operativo aún lo administra Microsoft. También tenemos la opción de habilitar Application Insights, un servicio en Azure que proporciona una visión profunda del rendimiento de una aplicación, lo que facilita la resolución de problemas si ocurren. FIGURA 1-4 Creación de una aplicación web en Azure App Service Una cosa más interesante en la Figura 1-4 es la opción de publicar su código o una imagen de Docker. Docker es una tecnología que facilita el empaquetado de su aplicación y los componentes que requiere en una imagen que luego puede implementar y ejecutar en otra computadora en otro entorno, siempre que esa computadora tenga Docker instalado. En Azure App Service, no tiene que preocuparse por la instalación o configuración de Docker. Se incluye automáticamente en todas las máquinas virtuales de App Service como parte de la oferta PaaS de Microsoft, y Microsoft lo administra y mantiene completamente. Algunos de los otros servicios de PaaS son • Azure CDN • Azure Cosmos DB • Base de datos SQL de Azure • Base de datos de Azure para MySQL • Almacenamiento de Azure • Análisis de Azure Synapse En una oferta de PaaS, los proveedores de nube ofrecen numerosos marcos de aplicaciones como PHP, Node.js, ASP.NET, .NET Core, Java, Python y más. El proveedor de la nube generalmente proporciona varias versiones de cada marco, por lo que puede elegir una versión que sepa que es compatible con su aplicación. El proveedor de la nube también se asegurará de que los componentes comunes necesarios para la conectividad de datos desde su aplicación a otros sistemas estén instalados y configurados. Por lo general, eso significa que el código de su aplicación funciona sin que tenga que realizar ningún tipo de configuración compleja. De hecho, este es uno de los principales beneficios de utilizar un servicio PaaS; A menudo, puede mover su aplicación de un entorno local a un entorno de nube simplemente implementándola en la nube. Este concepto a menudo se conoce como elevación y cambio . Debido a que el proveedor de la nube controla el sistema operativo y lo que está instalado en la VM, puede brindarle capacidades adicionales agregando sus propias características. Por ejemplo, suponga que desea agregar una función de inicio de sesión a su aplicación web y desea permitir que los usuarios inicien sesión con una cuenta de Microsoft, Facebook o Google. Si desea agregar esta capacidad en las instalaciones o en un entorno IaaS, necesita que algunos desarrolladores la creen por usted, una tarea que no es fácil y que requiere conocimientos especializados. Debe tener desarrolladores en su empresa que ya tengan esas habilidades, o tendrá que contratarlos. Sin embargo, los proveedores de la nube a menudo ofrecen funciones como esta en sus servicios PaaS, y habilitarlas es tan fácil como activar un interruptor y realizar una configuración menor específica para su aplicación. Un servicio PaaS también se beneficia de todas las demás mejoras que ofrece la nube; obtiene tolerancia a fallas, elasticidad, escalado fácil y rápido, funciones de respaldo y recuperación ante desastres, y más. De hecho, las funciones como la copia de seguridad y la restauración de datos suelen ser más fáciles de usar y ricas en funciones en un entorno PaaS porque el proveedor de la nube instala software personalizado en las máquinas virtuales PaaS para agregar funcionalidad. Como puede ver, existen beneficios reales al permitir que el proveedor de la nube controle lo que está instalado en las máquinas virtuales que ejecutan su aplicación, pero también puede haber inconvenientes. Por ejemplo, el proveedor de la nube controla cuándo se aplican parches y actualizaciones tanto al sistema operativo como aotros componentes instalados en las VM. Por lo general, se le notificará con anticipación sobre los cambios importantes para que pueda probar su aplicación en las instalaciones primero y evitar cualquier tiempo de inactividad, pero perderá la flexibilidad y el control de decidir cuándo actualizar la máquina virtual. Más información Más información sobre PaaS y Azure Para obtener más información sobre las ofertas de PaaS en Azure, consulte https://bit.ly/az900-whatispaas . Software como servicio (SaaS) Como ha aprendido, IaaS requiere que controle tanto el sistema operativo como los componentes de middleware junto con su aplicación. Cuando se cambia a PaaS, transfiere el control del sistema operativo y los componentes de middleware al proveedor de la nube, y solo es responsable del código de su aplicación. A medida que se mueve hacia la cima de la pirámide de la nube y entra en el ámbito de SaaS, el proveedor de la nube lo controla todo. En otras palabras, un servicio SaaS es un software proporcionado por un proveedor de nube que está instalado en una infraestructura completamente controlada por el proveedor de alojamiento. Los servicios SaaS le ofrecen la flexibilidad de un modelo de pago por uso. Básicamente, alquila su software a un proveedor de servicios. Los usuarios del software generalmente acceden al software desde un navegador web, pero también pueden instalar aplicaciones que solo funcionarán mientras pague por el servicio SaaS. Un gran beneficio del software basado en la web es que funciona desde casi cualquier dispositivo, incluidos los teléfonos inteligentes. Por eso, los servicios SaaS permiten la conectividad y la productividad para el personal de campo que usa dispositivos que ya poseen. Al utilizar un servicio SaaS, no solo se beneficia del uso de software escrito y mantenido por otra persona, sino que también puede beneficiarse de permitir que el proveedor de la nube mantenga y configure la aplicación. Por ejemplo, si su empresa ofrece correo electrónico corporativo, puede optar por utilizar el servicio Microsoft 365 SaaS. Al usar el servicio Exchange Online en Microsoft 365, puede aprovechar las soluciones de correo electrónico listas para la empresa sin tener que contratar personal de TI ni construir una infraestructura para respaldarlo. En cambio, Microsoft mantiene el sistema por usted. No solo se beneficia de la flexibilidad y confiabilidad de la nube, sino que también puede estar tranquilo sabiendo que Microsoft se asegura de que sus servicios de Exchange estén siempre disponibles para sus usuarios. Los servicios SaaS no son solo para empresas. De hecho, la mayoría de la gente usa los servicios SaaS todo el tiempo sin siquiera darse cuenta. Si usa Hotmail o Gmail u otro servicio de correo electrónico en línea, está usando un servicio SaaS. El proveedor de la nube aloja el software de correo electrónico en la nube, y usted inicia sesión y usa ese software con su navegador web. No es necesario que sepa nada sobre el software. El proveedor de la nube puede ofrecer nuevas funciones con actualizaciones de software, y esas nuevas funciones están disponibles para usted automáticamente sin ninguna acción de su parte. Si el proveedor de la nube encuentra un problema con el software, puede resolverlo con un parche sin que usted se dé cuenta de que sucedió nada. Algunos de los servicios SaaS que Microsoft pone a disposición son • Microsoft 365 • Xbox Live • OneDrive • Power Automate (anteriormente Microsoft Flow) Más información Más información sobre SaaS y Azure Para obtener más información sobre los servicios SaaS y Azure, consulte https://bit.ly/az900-whatissaas . Comparación de tipos de servicios Ya hemos discutido algunas de las ventajas y desventajas de cada tipo de servicio en la nube, y la pirámide de la nube proporciona una representación visual de cómo los tipos de servicios en la nube difieren en relación con su responsabilidad y lo que puede controlar. Para solidificar estos conceptos, veamos una comparación de cada tipo de servicio. Como ha aprendido, IaaS le proporciona la mayor flexibilidad. Puede instalar su propio software y sus propios componentes, y controla cuándo se actualizan el software y el sistema operativo. Un beneficio adicional es que paga por sus recursos solo cuando se utilizan, por lo que IaaS tiene la capacidad de reducir sus gastos operativos. Aunque puede ahorrar costos al apagar las máquinas virtuales que no está utilizando, los costos más altos asociados con la instalación y el mantenimiento de sus máquinas virtuales podrían compensar ese beneficio. Los servicios PaaS le ofrecen la misma flexibilidad que los servicios IaaS sin la necesidad de administrar la infraestructura. En un servicio PaaS, usted es responsable solo de la aplicación que está instalada en la nube. Esta puede ser su propia aplicación o una aplicación desarrollada por otra persona (por ejemplo, un sistema WordPress o una solución de comercio electrónico), pero en cualquier caso, usted es responsable de la aplicación. Los servicios PaaS son populares para los equipos de desarrolladores que buscan trasladar aplicaciones locales a la nube de manera fácil y rápida y, por lo general, ofrecen muchas opciones de implementación diferentes para hacerlo lo más fácil posible. Los servicios PaaS también ofrecen más funciones que los servicios IaaS porque el proveedor de la nube instala su propio software y funciones en la plataforma. Sin embargo, cualquier aplicación que se ejecute en un servicio PaaS Los servicios SaaS son bastante diferentes a los servicios IaaS o PaaS porque son completamente administrados y mantenidos por el proveedor de la nube. No tiene la opción de instalar su propio software con un servicio SaaS, por lo que el factor decisivo está completamente relacionado con si el software proporcionado satisface sus necesidades. La ventaja de un servicio SaaS es que elimina en gran medida la carga de TI de su empresa y permite que todos en su empresa accedan al software en varios dispositivos desde prácticamente cualquier lugar donde haya acceso a Internet. También se beneficia de la copia de seguridad de datos que el proveedor de la nube incluye en su infraestructura. Sin embargo, si necesita personalizar la aplicación o tiene algún control sobre su configuración, es posible que SaaS no sea una buena opción para usted. El mundo real lidiando con las complejidades de la TI moderna Decidir sobre un tipo de servicio en la nube en particular puede ser sencillo en algunos casos, pero también puede ser complicado según sus necesidades. Por ejemplo, es posible que se encuentre en una industria que requiera que parte de su información se almacene solo en las instalaciones. También puede tener algunos sistemas más antiguos que no están listos para pasar a la nube, pero necesita sus aplicaciones en la nube para usar esos sistemas más antiguos. En la siguiente sección de habilidades, aprenderá más sobre cómo lidiar con tales complejidades. HABILIDAD 1.3: DESCRIBIR LAS DIFERENCIAS ENTRE LOS MODELOS DE NUBE PÚBLICA, PRIVADA E HÍBRIDA En el sentido más simple, la nube generalmente representa la infraestructura y las aplicaciones a las que se puede acceder a través de Internet. Los ejemplos cubiertos hasta ahora son la experiencia en la nube más tradicional donde cualquier persona en Internet puede acceder a su aplicación. Si bien es posible que tenga algunos medios para autenticar a las personas que usan su aplicación para que las personas equivocadas no tengan acceso, su aplicación aún se está ejecutando en máquinas virtuales que están conectadas a Internet y son accesibles a través de redes públicas. El modelo de nube tradicional se conoce como nube pública . Además de un modelo de nube pública, las empresas también pueden utilizar una nube privada donde la infraestructura está dedicada a ellos. Finalmente, un modelo de nube híbrida representa una mezcla de modelos de nube pública y privada. Más información Community Clouds Es posible que vea referencias a un cuarto modelo de nube llamado nube comunitaria. Una nube comunitaria es similar a una nube privada, pero en lugar de que los recursos se dediquen a una sola empresa, se dedican a una comunidad de empresas o personas que la gestionan en conjunto. Por ejemplo, los hospitales pueden usar una nube comunitaria que esté diseñada explícitamente para manejar HIPAA y otras regulaciones de atención médica. Las instituciones financieras también pueden compartir una nube comunitaria que hace cumplir las regulaciones y políticas relacionadas con los bancos y el comercio financiero. Las nubes comunitarias no forman parte del examen AZ-900, pero es importante comprender qué significa el término en caso de que lo encuentre mientras se prepara para el examen. Esta sección cubre: • Computación en la nube • La nube pública • La nube privada • La nube híbrida Computación en la nube Cuando comencé este capítulo, dije que la nube generalmente representa la infraestructura y las aplicaciones que están disponibles en Internet. Cuando la mayoría de la gente piensa en la nube, la piensa en este contexto, pero los recursos de la nube no siempre están conectados a la Internet pública. Una mejor forma de pensar en la computación en la nube es pensar en ella como muchos recursos informáticos conectados por una red, pero incluso esa definición no describe completamente la nube. La computación en la nube también significa sistemas escalables, ágiles, etc. Si combina esos conceptos con los recursos informáticos distribuidos accesibles en una red, tiene las características de la computación en la nube. Como puede ver, es un poco difícil definir claramente la computación en la nube, pero una discusión sobre los diferentes modelos de nube debería ayudarlo a comprender mejor qué es la computación en la nube. La nube pública El modelo de nube más común es la nube pública. En un modelo de nube pública, utiliza una infraestructura compartida a la que se puede acceder en una red pública. La red, el almacenamiento y las máquinas virtuales que utiliza su aplicación los proporciona un proveedor de nube y se comparten entre todos los consumidores de la nube pública. Microsoft Azure, Amazon Web Services (AWS) y Google Cloud Platform son ejemplos de nubes públicas. Note Clouds e Internet Muchos servicios en la nube pueden proporcionar acceso desde Internet, pero eso no significa necesariamente que estén disponibles para cualquier persona en Internet. En la mayoría de los casos, el acceso requiere autenticación. Aprenderá más sobre cómo proteger los recursos de la nube en el Capítulo 4 , " Describir las características generales de seguridad y seguridad de la red ". El modelo de nube pública es beneficioso porque facilita y agiliza el cambio a la nube. Debido a que el proveedor de la nube ya tiene la infraestructura instalada y configurada para usted, todo lo que tiene que hacer es decidir el tipo de servicio en la nube que desea y ya está listo para usar. También se beneficia de la capacidad de escalar de manera rápida y eficiente porque el proveedor de la nube ya tiene recursos aprovisionados y listos para su uso cuando sea necesario. Como discutimos anteriormente, otra ventaja del modelo de nube pública es que puede controlar los costos de manera más eficiente porque solo paga por los recursos que está utilizando. Si necesita escalar horizontalmente a más máquinas virtuales, el proveedor de la nube las tiene disponibles y esperándolo. No es necesario que usted mismo mantenga una reserva de recursos. En su lugar, aprovecha los recursos en los que ha invertido el proveedor de la nube. Entorno importante para múltiples inquilinos Debido a que está compartiendo recursos en una nube pública con otras personas que usan esa nube pública, a menudo verá nubes públicas que se denominan entornos multiusuario. Si bien la flexibilidad y conveniencia de la nube pública es atractiva, tiene algunas desventajas. En primer lugar, renuncia a cierto control de la infraestructura cuando utiliza la nube pública. La cantidad de control depende de dónde aterrice en la pirámide de la nube, pero pase lo que pase, el proveedor de la nube controlará una parte de su infraestructura. También puede haber problemas de seguridad al operar en la nube pública. La red involucrada en la nube pública es la Internet pública y está disponible para cualquier persona con una conexión a Internet. Eso significa que deberá tener medidas de seguridad para evitar el acceso no autorizado a su aplicación y datos. Los proveedores de la nube se dan cuenta de esto y brindan medidas de seguridad para ayudarlo a protegerse, pero es posible que esas medidas no cumplan con sus requisitos de seguridad. Otra desventaja de la nube pública es que lo bloquea en la configuración específica definida por el proveedor de la nube. Por ejemplo, suponga que tiene una aplicación que necesita una gran cantidad de almacenamiento en disco, pero solo necesita un sistema de una sola CPU para ejecutarla. Para cumplir con sus requisitos de espacio en disco, el proveedor de la nube puede solicitarle que escale a una máquina virtual de CPU múltiple de alta potencia, aumentando así sus costos innecesariamente. Más información Más información sobre nubes públicas Para obtener más información sobre nubes públicas y Azure, consulte https://bit.ly/az900-publiccloud . La nube privada El modelo de nube privada proporciona muchos de los atractivos beneficios de la nube (cosas como facilidad de escalado y elasticidad) en un entorno privado dedicado a una sola empresa. Una nube privada se puede alojar en un entorno local, pero también se puede alojar en un proveedor de alojamiento externo. Entorno importante de un solo inquilino Debido a que los recursos en una nube privada están dedicados a una sola organización, a menudo verá la nube privada referida como un entorno de un solo inquilino . Dos de las principales razones por las que las empresas eligen una nube privada son la privacidad y las preocupaciones regulatorias. A diferencia de la nube pública, las nubes privadas operan en una red privada a la que solo puede acceder una organización. Empresas como bancos y proveedores médicos pueden tener regulaciones vigentes que requieren que ciertos datos sean inaccesibles desde Internet y, en esas situaciones, una nube privada podría ser una buena opción. Otro consumidor común de nubes privadas es la industria de los cruceros. Los cruceros operan en áreas remotas donde el acceso a Internet no está disponible, pero aún quieren aprovechar los beneficios de la nube para las operaciones diarias de sistemas de barcos complejos. Sugerencia para el examen A menudo escuchará que una nube privada consiste en una infraestructura que es propiedad de una empresa individual, pero eso no siempre es cierto. Si una empresa ejecuta una nube privada en las instalaciones, generalmente será propietaria del hardware y la infraestructura utilizados para la nube privada, pero también es posible alojar una nube privada en un centro de datos de terceros. En esa situación, la infraestructura es propiedadpor el proveedor de alojamiento, pero todavía está completamente dedicado a la única empresa que paga por la nube privada. La conclusión es que la diferencia entre una nube pública y una privada es la privacidad de la infraestructura y los datos. Realmente no importa quién sea el propietario de la infraestructura. Hay algunas desventajas de una nube privada. Si aloja su nube privada en las instalaciones, es probable que gaste tanto en TI como en un entorno que no sea de nube. Tendrá que pagar por el hardware y los sistemas virtualizados para su nube, y necesitará personal de TI que sea capaz de administrar el software y la infraestructura de su nube. Evitar los costos de TI es una de las principales razones por las que las empresas eligen utilizar un proveedor de alojamiento externo para nubes privadas, pero esa elección también tiene algunos inconvenientes. Por ejemplo, una vez que transfiere la administración de su nube privada a un tercero, pierde el control de consideraciones importantes como la seguridad de sus datos. A menudo, es imposible lograr una transparencia total cuando se trata de proveedores externos, y no siempre puede garantizar que los datos en su red de nube privada permanezcan seguros de la manera que necesita. Más información Más información sobre nubes privadas Para obtener más información sobre nubes privadas, consulte https://bit.ly/az900privatecloud . La nube híbrida Como era de esperar, las nubes híbridas son una mezcla de nubes públicas y privadas. En un entorno de nube híbrida, es posible que tenga una aplicación que se esté ejecutando dentro de la nube pública, pero que acceda a los datos almacenados de forma segura en las instalaciones. También puede tener un escenario en el que su aplicación y la mayoría de sus recursos se encuentran en una nube privada, pero desea utilizar servicios o infraestructura que se encuentran en una nube pública. De hecho, los diversos escenarios que son adecuados para un modelo híbrido son casi infinitos. Los modelos de nube híbrida suelen ser la primera incursión de una empresa en la nube. Muchas empresas tienen sistemas locales heredados que son costosos de trasladar a la nube, pero es posible que quieran aprovechar algunos de los beneficios de la nube. En tal escenario, una empresa podría mover solo una parte de un sistema en particular a la nube, dejando el sistema heredado en las instalaciones para más adelante. No todas las empresas que adoptan un modelo de nube híbrida lo hacen debido a los sistemas heredados. En algunas situaciones, es posible que una empresa desee mantener un control completo sobre parte de su infraestructura o datos. Podrían decidir construir una infraestructura local junto con la construcción de su presencia en la nube pública. Importante híbrido no siempre incluye local Recuerde, una nube privada es una nube dedicada a una sola organización. No tiene que estar ubicado en las instalaciones. También se puede alojar en un centro de datos de terceros, por lo que un modelo de nube híbrida podría ser la combinación de un centro de datos de terceros y una nube pública. Cuando las empresas adoptan un modelo híbrido, a menudo requieren la capacidad de conectar la red privada local con la red de nube pública. Los proveedores de la nube ofrecen muchas tecnologías para hacerlo posible. En Microsoft Azure, las redes virtuales, las conexiones híbridas y el bus de servicio son solo algunos ejemplos de estas tecnologías. Más información Más información sobre redes de Azure Cubriremos más características de las redes de Azure en el Capítulo 2 , Habilidad 2.2 y en el Capítulo 4 , Habilidad 4.2 . Si bien puede que no sea obvio de inmediato, un modelo de nube híbrida conlleva varios desafíos. En primer lugar, los equipos de desarrollo de aplicaciones deberán asegurarse de que los datos compartidos entre la nube pública y privada sean compatibles. Esto puede requerir algunas habilidades de desarrollo especializadas y una solución de problemas compleja. Las complejidades de la red en un entorno híbrido también pueden ser bastante desafiantes, especialmente porque la infraestructura de red en proveedores externos puede presentar problemas que son difíciles de solucionar. Por último, la distribución de los recursos de la aplicación entre una nube pública y una privada puede provocar una ralentización de la aplicación debido a la distancia geográfica entre los sistemas que ejecutan la aplicación y los datos que utiliza la aplicación. Todas estas situaciones deben evaluarse cuidadosamente al decidir utilizar un modelo de nube híbrida. Para facilitar la nube híbrida a sus clientes, Microsoft proporciona Azure Stack. Azure Stack se vende como un paquete, que incluye software y hardware validado para ejecutarlo. Azure Stack le permite ejecutar servicios de Azure en las instalaciones, lo que facilita la transferencia de aplicaciones a la nube con una cantidad mínima de trabajo. Debido a que el hardware es parte de Azure Stack y ha sido validado por Microsoft, no tiene la carga de intentar determinar las necesidades de hardware para implementar Azure Stack, pero debe administrar el hardware local. EXPERIMENTO MENTAL Apliquemos lo que ha aprendido en este capítulo. Puede encontrar las respuestas en la siguiente sección. Trabaja para Contoso Medical Group (CMG) y su gerente está frustrado con una de sus aplicaciones de uso común. El departamento de TI de CMG tiene recursos limitados y tiene dificultades para garantizar que la aplicación esté siempre disponible. El equipo de desarrollo ha estado actualizando la aplicación con frecuencia, pero debido a la falta de conocimiento en los métodos de implementación, solo tienen la opción de copiar archivos directamente, y esto está causando problemas con el seguimiento de los cambios que se están realizando. Al mismo tiempo, el equipo de desarrollo no tiene datos para mostrar si la aplicación se está ejecutando correctamente. El problema se volvió crítico hace dos días cuando se acercaba el plazo para actualizar los registros médicos. La aplicación experimentó un uso mucho mayor de lo normal, y el sistema se sobrecargó rápidamente y dejó de responder. El equipo de TI determinó que el problema erael servidor se está quedando sin recursos, pero les tomó dos horas construir un segundo servidor para manejar la carga. Su gerente ha acudido a usted para pedirle una solución que aborde todos estos problemas. Cualquiera que sea la solución que ofrezca, debe tener en cuenta que los datos médicos de esta aplicación están cubiertos por la HIPAA y su gerente desea que CMG conserve todo el control de los datos. Su gerente también quiere controlar cuidadosamente los costos. Decidió que CMG debería mover la aplicación a la nube, pero necesita vender la idea a su gerente. Responde las siguientes preguntas: 1. ¿Qué tipo de servicio en la nube recomendaría? 2. ¿Cómo justificaría su elección en relación con los problemas que enfrenta el equipo de TI? 3. ¿Cómo justificaría su elección en relación con los problemas que enfrenta el equipo de desarrollo? 4. ¿Qué otros beneficios agradarán a su gerente si se siguen sus consejos? 5. ¿Cómo se pueden cumplir los requisitos relacionados con los registros médicos y la necesidad de controlarlos? RESPUESTAS DEL EXPERIMENTO MENTAL En esta sección, discutiremos las respuestas de la sección anterior. 1. Un servicio PaaS tiene más sentido en esta situación. Un entorno IaaS requeriría que su departamento de TI administrara las máquinas virtuales y eso no cumpliría con sus requisitos. Un servicio SaaS le proporciona el software y, en este caso, debe ejecutar la aplicación personalizada de su empresa en la nube. 2. El departamento de TI tiene pocos recursos y tiene el desafío de mantener la aplicación disponible. En un servicio PaaS, la administración de las VM que ejecutan la aplicación se descarga al proveedor de la nube. El proveedor de la nube también ofrece un SLA para que su aplicación esté siempre disponible. El equipo de TI también se beneficiará de la fácil ampliación que se ofrece en un entorno de nube y, en lugar de dos horas, pueden agregar más servidores casi al instante. 3. En un servicio PaaS, el proveedor de la nube ofrece opciones de implementación flexibles que facilitan la implementación de una aplicación utilizando el método que prefiera. También proporcionan registro para que el equipo de desarrollo pueda realizar un seguimiento de los cambios realizados en la aplicación. Las funciones de diagnóstico de un servicio PaaS (como Application Insights de Azure) proporcionan datos detallados sobre el rendimiento de una aplicación y pueden alertarle sobre problemas de código en una aplicación. 4. Su gerente desea reducir los costos y el cambio a la nube debería satisfacer esa necesidad. Su departamento de TI ya ha construido un segundo servidor, de modo que cuando se requiera una necesidad adicional, pueda satisfacerla. Sin embargo, el mayor uso fue temporal. Aun así, estaba relacionado con una fecha límite para la presentación de registros, y la próxima vez que ocurra esa fecha límite,Necesito ese segundo servidor. Al migrar a la nube, se beneficia de una escalabilidad y elasticidad sencillas, de modo que puede escalar horizontalmente cuando necesite el segundo servidor para manejar la carga, y luego puede volver a escalar fácilmente para reducir sus costos. 5. Al adoptar un modelo de nube híbrida, puede mantener sus datos médicos confidenciales en las instalaciones, mientras se beneficia de la aplicación que se ejecuta en la nube. RESUMEN DEL CAPÍTULO En este capítulo, aprendió algunos de los conceptos generales relacionados con la nube. Aprendió sobre las ventajas de migrar a la nube, aprendió sobre los diferentes tipos de servicios en la nube y sobre los diferentes modelos de nube disponibles para usted. Estos son los conceptos clave de este capítulo. Los proveedores de la nube ofrecen acuerdos de nivel de servicio (SLA) que garantizan un cierto nivel de disponibilidad, pero solo para aquellos sistemas que controlan. • Pasar a la nube puede ayudar a evitar el tiempo de inactividad causado por cortes de la red, cortes del sistema y cortes de energía. También puede ayudarlo si necesita diagnosticar problemas con una aplicación o problemas con un sistema externo que utiliza su aplicación. • Puede escalar hacia arriba (o verticalmente) cuando desee agregar CPU adicionales o más memoria utilizando una máquina virtual más potente. • Puede escalar horizontalmente (u horizontalmente) si desea agregar más VM para manejar una carga adicional. • Los proveedores de la nube le brindan formas de escalar automáticamente en función de los patrones de uso, la utilización de recursos y las horas del día. Esto se conoce como elasticidad . • Los proveedores de la nube monitorean el estado de la infraestructura. Cuando una máquina virtual no está en buen estado, el proveedor de la nube puede moverlo automáticamente a una máquina virtual en buen estado sin que tenga que hacer nada. A esto se le llama tolerancia a fallas . • Los proveedores de la nube también operan en varios centros de datos que se encuentran en diferentes regiones del mundo. Si ocurre un desastre natural (o cualquier otro desastre) en una región, puede cambiar a otra región, asumiendo que ha replicado su entorno en varias regiones. Este tipo de planificación se denomina planificación de Continuidad del Negocio y Recuperación ante Desastres, y los proveedores de la nube a menudo tienen características para facilitar la implementación de un plan. Esto a menudo se denomina recuperación ante desastres. • Debido a que está utilizando la infraestructura propiedad del proveedor de la nube, la migración a la nube reduce sus gastos de capital , los principales gastos en los que se incurre para la infraestructura y otras compras importantes. Los proveedores de la nube aprovechan el principio de economías de escala comprando grandes cantidades de infraestructura para que la utilicen los consumidores de la nube. • Los gastos diarios (gastos operativos ) también se pueden reducir en la nube porque solo paga por los recursos que está utilizando en un momento determinado. Este modelo basado en el consumo es un beneficio clave de la nube. • La pirámide de la nube describe la idea de que un mayor control sobre sus recursos significa una mayor responsabilidad de su parte. La disminución del control da como resultado una mayor responsabilidad por parte del proveedor de la nube. Este concepto se denomina modelo de responsabilidad compartida. • La infraestructura como servicio (IaaS) ofrece infraestructura que se ejecuta en la nube, pero debe mantener el sistema operativo y lo que está instalado en esa infraestructura. Los servicios IaaS le • ofrecen el mayor control en la nube, pero también conllevan la mayor carga de gestión. Platform-as-a-Service (PaaS) descarga la administración de la infraestructura y también descarga el sistema operativo y los componentes instalados en las VM al proveedor de la nube. Eres responsable de tu solicitud. Los servicios PaaS también ofrecen muchas características adicionales que facilitan la adición de funcionalidad a una aplicación sin tener que escribir código complejo. Los equipos de desarrollo también tienen una amplia variedad de métodos de implementación disponibles, y el proveedor de la nube a menudo automatiza gran parte de ese proceso. • El software como servicio (SaaS) proporciona una aplicación alojada en la nube a la que se accede con mayor frecuencia mediante un navegador web. En un servicio SaaS, el proveedor de la nube gestiona todo por usted. Básicamente, está alquilando el uso del software del proveedor de la nube. Un gran beneficio de SaaS es que hace que las aplicaciones sean fácilmente accesibles para los empleados en el campo en cualquier dispositivo. • En ocasiones, el modelo de nube pública se denomina entorno multiusuario. Varias empresas y usuarios comparten la misma infraestructura. Las máquinas virtuales y otra infraestructura se asignan a los usuarios cuando las necesitan y, cuando ya no las necesitan, se devuelven al grupo para que las utilicen otros usuarios. La red está disponible públicamente a través de Internet, pero tiene la capacidad de implementar métodos de seguridad para controlar el acceso a sus recursos. • El modelo de nube privada a veces se denomina entorno de un solo inquilino. Toda la infraestructura es privada para un individuo o una empresa, y la red solo está disponible dentro de la propia nube privada. No está expuesto a Internet. En muchos casos, la infraestructura utilizada en una nube privada es propiedad de la empresa, pero no siempre. Es posible alojar una nube privada en un centro de datos de terceros. • Un modelo de nube híbrida es una mezcla de los modelos de nube pública y privada. Las nubes híbridas se utilizan a menudo • cuando una empresa necesita utilizar recursos locales en una aplicación en la nube. Capitulo 2 Describir los servicios centrales de Azure En el Capítulo 1 , “ Describir los conceptos de la nube ”, aprendió sobre la nube y cómo puede beneficiarse del uso de los servicios en la nube. Se mencionó Microsoft Azure, pero no con mucho detalle. En este capítulo, nos sumergimos en los muchos servicios y soluciones que ofrece Azure. Comprenderá los conceptos clave de la arquitectura de Azure, que se aplican a todos los servicios de Azure. Cubrimos los centros de datos de Azure y las formas en que Microsoft implementa la tolerancia a fallas y la recuperación ante desastres al extender la infraestructura de Azure por todo el mundo. También aprenderá sobre las zonas de disponibilidad, que son la solución de Microsoft para garantizar que sus servicios no se vean afectados cuando un centro de datos de Azure en particular experimenta un problema. También descubrirá cómo administrar y realizar un seguimiento de sus recursos de Azure, y cómo puede trabajar con los recursos como grupo mediante los grupos de recursos de Azure. Aprenderá a usar grupos de recursos para planificar y administrar recursos de Azure y aprenderá cómo los grupos de recursos pueden ayudarlo a categorizar sus gastos operativos en Azure. Para comprender realmente los grupos de recursos y cómo funciona Azure bajo el capó, es importante comprender Azure Resource Manager (ARM), el sistema subyacente que Azure usa para administrar sus recursos. Aprenderá acerca de los beneficios que brinda ARM y verá cómo ARM abre algunas posibilidades poderosas para implementar rápida y fácilmente soluciones del mundo real en Azure. Una vez que tenga los conocimientos básicos de Azure, profundizará en algunos de los principales productos de carga de trabajo que ofrece Microsoft, como máquinas virtuales de Azure, Azure App Service, servicios que facilitan el trabajo con contenedores y redes, y almacenamiento y bases de datos. servicios. También aprenderá sobre Azure Marketplace y cómo permite la creación e implementación de soluciones complejas con un trabajo mínimo de su parte, y debido al conocimiento “bajo el capó” que tendrá anteriormente en este capítulo, Azure Marketplace no parecerá magia negra. Si crees que es mucho para cubrir, ¡tienes razón! Es importante que comprenda todos estos temas para aprobar el examen AZ-900. Con el conocimiento fundamental de la nube del Capítulo 1 , " Describir los conceptos de la nube ", encontrará que comprender los conceptos específicos de Azure será más fácil de lo que cree. Habilidades cubiertas en este capítulo: Describir los componentes arquitectónicos centrales de Azure. • Describir los productos de carga de trabajo principales disponibles en Azure • HABILIDAD 2.1: DESCRIBIR LOS COMPONENTES ARQUITECTÓNICOS CENTRALES DE AZURE Si le pidiera a cualquier CEO que enumerara los cinco activos más importantes de su empresa, es probable que los datos de la empresa estuvieran cerca de la parte superior de la lista. El mundo en el que vivimos gira en torno a los datos. Basta con mirar empresas como Facebook y Google. Estas empresas nos ofrecen servicios que nos gustan. A todo el mundo le gusta mirar fotos de amigos y familiares en Facebook (mezcladas con cosas que no nos gustan tanto), y ¿quién no usa Google para buscar cosas en Internet? Facebook y Google no ofrecen esos servicios porque quieren ser amables con nosotros. Ofrecen esos servicios porque es una forma de recopilar una gran cantidad de datos sobre sus clientes, y esos datos son su activo más valioso. Facebook y Google no están solos. La mayoría de las empresas tienen una gran cantidad de datos que son clave para su negocio y mantenerlos seguros es la piedra angular de las decisiones comerciales. Es por eso que muchas empresas dudan en migrar a la nube. Tienen miedo de perder el control de sus datos. No solo temen que otra persona pueda acceder a datos confidenciales, sino que también les preocupa perder datos que serían difíciles (o incluso imposibles) de volver a crear. Microsoft es muy consciente de esos temores y Azure ha sido diseñado desde cero para infundir confianza en esta área. Veamos algunos componentes arquitectónicos centrales que ayudan a Microsoft a cumplir la promesa de la nube. Esta sección cubre: • Regiones de Azure • Zonas de disponibilidad • Grupos de recursos • Suscripciones de Azure • Grupos de gestión • Administrador de recursos de Azure (ARM) Regiones de Azure El término "nube" tiende a hacer que la gente piense en Azure como una entidad nebulosa que no se puede ver claramente, pero eso sería un error. Si bien es cierto que Azure tiene construcciones lógicas, también tiene componentes físicos. Después de todo, al final del día, ¡estamos hablando de computadoras! Para proporcionar servicios de Azure a personas de todo el mundo, Microsoft ha creado fronteras llamadas geografías . Un límite geográfico es a menudo la frontera de un país, y hay una buena razón para ello. A menudo, existen regulaciones para el manejo de datos que se aplican a todo un país, y tener una geografía definida para un país permite a Microsoft asegurarse de que existan regulaciones de manejo de datos. Muchas empresas (especialmente las que se ocupan de datos sensibles)también se sienten mucho más cómodos si sus datos están contenidos dentro de los límites del país en el que operan. Existen numerosas geografías en Azure. Por ejemplo, hay una geografía de Estados Unidos, una geografía de Canadá, una geografía del Reino Unido, etc. Cada geografía se divide en dos o más regiones, cada una de las cuales está típicamente a cientos de millas de distancia. Por ejemplo, dentro de la geografía de los Estados Unidos, hay muchas regiones, incluida la región central de EE. UU. En Iowa, la región del este de EE. UU. En Virginia, la región del oeste de EE. UU. En California y la región del centro sur de EE. UU. En Texas. Microsoft también opera regiones aisladas que están completamente dedicadas a los datos gubernamentales debido a las regulaciones adicionales que requieren los datos gubernamentales. Dentro de cada geografía, Microsoft ha creado otro límite lógico llamado par regional . Cada par regional contiene dos regiones dentro de la geografía. Cuando Microsoft tiene que realizar actualizaciones en la plataforma Azure, realiza esas actualizaciones en una región del par regional. Una vez que se completan esas actualizaciones, se mueven a la siguiente región del par regional. Esto asegura que sus servicios que operan dentro de un par regional no se vean afectados por las actualizaciones. Más información Pares regionales Para beneficiarse de los pares regionales, debe asegurarse de implementar recursos de forma redundante en cada regional dentro del par. Puede encontrar una lista de todos los pares regionales navegando en https://bit.ly/az900-regionpairs . Sugerencia para el examen El hecho de que cada geografía contenga al menos dos regiones separadas por una gran distancia física es importante. Así es como Azure mantiene la recuperación ante desastres y es probable que este concepto se incluya en el examen. Cubriremos más sobre esto más adelante en este capítulo. En cada región, Microsoft ha construido centros de datos (edificios físicos) que contienen el hardware físico que usa Azure. Estos centros de datos contienen edificios con clima controlado que albergan los racks de servidores que contienen hardware informático físico. Cada región también opera en su propia infraestructura de red y Microsoft ha diseñado las redes para baja latencia. Por lo tanto, cualquier servicio de Azure que tenga en una región en particular tendrá una conectividad de red rápida y confiable entre sí. Más información Los clientes solo ven las regiones Cuando un cliente crea recursos de Azure, solo se ve la región. El concepto de geografías es una implementación interna de Azure de la que los clientes realmente no tienen visibilidad cuando usan Azure. Los clientes tampoco tienen visibilidad del concepto de pares regionales, pero pueden ver cada región dentro de un par regional. Cada centro de datos tiene una fuente de alimentación aislada y generadores de energía en caso de un corte de energía. Todo el tráfico de red que entra y sale del centro de datos pasa por el de Microsoft.Red de fibra óptica en fibra propiedad de Microsoft o alquilada por Microsoft. Incluso los datos que fluyen entre regiones a través de los océanos viajan a través de los cables de fibra óptica de Microsoft que atraviesan los océanos. Más información Datacenter Power A partir de 2018, todos los centros de datos de Microsoft utilizaban al menos el 50 por ciento de energía natural que consiste en energía solar, energía eólica, etc. En 2020, la meta es del 60 por ciento y la meta a largo plazo es utilizar energía 100 por ciento sostenible. Con el fin de eliminar la dependencia de proveedores de energía de terceros, Microsoft también está invirtiendo en el desarrollo de celdas de combustible totalmente integradas que funcionan con gas natural para generar energía. Las pilas de combustible no solo proporcionan energía limpia, sino que también eliminan las fluctuaciones de energía y otras desventajas de depender de la red eléctrica. Para garantizar que los datos en Azure estén a salvo de desastres y fallas causados por posibles problemas en una región en particular, se alienta a los clientes a replicar los datos en varias regiones. Por ejemplo, si la región centro-sur de EE. UU. Se ve afectada por un tornado devastador (no está fuera de lugar en Texas), los datos que también se replican en la región centro-norte de EE. UU. En Illinois todavía están seguros y disponibles. Para garantizar que las aplicaciones sigan funcionando lo más rápido posible, Microsoft garantiza un rendimiento de red de ida y vuelta de 2 milisegundos o menos entre regiones. Zonas de disponibilidad El hecho de que las regiones estén físicamente separadas por cientos de millas protege a los usuarios de Azure de la pérdida de datos y las interrupciones de las aplicaciones causadas por desastres en una región en particular. Sin embargo, también es importante que los datos y las aplicaciones mantengan la disponibilidad cuando ocurre un problema en un centro de datos en particular dentro de una región. Por esa razón, Microsoft desarrolló zonas de disponibilidad. Nota Disponibilidad de la zona de disponibilidad Las zonas de disponibilidad no están disponibles en todas las regiones de Azure ni para todos los servicios de Azure en las regiones que las admiten. Para obtener la lista más actualizada de regiones y servicios habilitados para zonas de disponibilidad, consulte https://bit.ly/az900-azones . Hay al menos tres zonas de disponibilidad dentro de cada región habilitada y, dado que cada zona de disponibilidad existe dentro de su propio centro de datos en esa región, cada una tiene un suministro de agua, un sistema de refrigeración, una red y una fuente de alimentación que está aislada de otras zonas. Al implementar un servicio de Azure en dos o más zonas de disponibilidad, puede lograr una alta disponibilidad en una situación en la que hay un problema en una zona. Sugerencia para el examen Las zonas de disponibilidad brindan alta disponibilidad y tolerancia a fallas, pero es posible que no lo ayuden con la recuperación ante desastres. Si hay un desastre localizado, como un incendio en la vivienda de un centro de datosuna zona, se beneficiará de las zonas de disponibilidad. Debido a que las zonas de disponibilidad están ubicadas en la misma región de Azure, si se produce un desastre natural a gran escala, como un tornado, es posible que no esté protegido. En otras palabras, las zonas de disponibilidad son solo una faceta de una recuperación general ante desastres y un diseño tolerante a fallas. Dado que las zonas de disponibilidad están diseñadas para ofrecer una disponibilidad mejorada para la infraestructura, no todos los servicios admiten zonas de disponibilidad. Por ejemplo, Azure tiene un servicio llamado App Service Certificates que le permite comprar y administrar un certificado SSL a través de Azure. No tendría ningún sentido alojar un certificado en App Service Certificates dentro de una zona de disponibilidad porque no es un componente de infraestructura. Actualmente, las zonas de disponibilidad son compatibles con los siguientes servicios de Azure. • Máquinas virtuales de Windows • Máquinas virtuales Linux • Conjuntos de escalas de máquinas virtuales • Servicio Azure Kubernetes • Discos administrados • Almacenamiento con redundancia de zona • Balanceador de carga estándar • Dirección IP estándar • Puerta de enlace VPN • Puerta de enlace ExpressRoute • Application Gateway V2 • Cortafuegos de Azure • Explorador de datos de Azure • Base de datos SQL de Azure • Azure Cache para Redis • Azure Cosmos DB • Centros de eventos • Service Bus (nivel Premium) • Cuadrícula de eventos • Servicios de dominio de Azure AD • ILB de entornos de servicio de aplicaciones Nota Manténgase al día con los cambios en Azure Puede mantenerse al día con todas las noticias relacionadas con las actualizaciones de Azure en el blog de Azure en https://azure.com/blog . Al implementar su servicio en dos o más zonas de disponibilidad, garantiza la máxima disponibilidad para ese recurso. De hecho, Microsoft garantiza un SLA del 99,99 por ciento de tiempo de actividad para las máquinas virtuales de Azure solo si se implementan dos o más máquinas virtuales en dos o más zonas. La Figura 2-1 ilustra el beneficio de correr en múltiples zonas. Como puede ver, aunque la zona de disponibilidad 3 se ha desconectado por algún motivo, las zonas 1 y 2 siguen operativas. FIGURA 2-1 Máquina virtual de Azure dentro de tres zonas de disponibilidad Tenga en cuenta el estado de Azure Microsoft opera un sitio web que muestra el estado de todos los servicios de Azure. Si observa un problema con sus recursos, puede consultar la página de estado de Azure en https://status.azure.com . Sugerencia para el examen No confunda las zonas de disponibilidad con los conjuntos de disponibilidad. Los conjuntos de disponibilidad le permiten crear dos o más máquinas virtuales en diferentes racks de servidores físicos en un centro de datos de Azure. Microsoft garantiza un SLA del 99,95 por ciento con un conjunto de disponibilidad. Una zona de disponibilidad le permite implementar dos o más servicios de Azure en dos centros de datos distintos dentro de una región. Microsoft garantiza un SLA del 99,99 por ciento con zonas de disponibilidad. Hay dos categorías de servicios que admiten zonas de disponibilidad: servicios zonales y servicios redundantes de zona . Los servicios zonales son servicios como máquinas virtuales, discos administrados que se usan en una máquina virtual y direcciones IP públicas que se usan en máquinas virtuales. Para lograr una alta disponibilidad, debe implementar explícitamente servicios zonales en dos o más zonas. Nota Discos administrados y direcciones IP públicas Cuando crea una máquina virtual en Azure y la implementa en una zona de disponibilidad, Azure implementará automáticamente los discos administrados y la dirección IP pública (si hay alguna configurada) en la misma zona de disponibilidad. Los servicios con redundancia de zona son servicios como el almacenamiento con redundancia de zona y las bases de datos SQL. Para usar zonas de disponibilidad con estos servicios, especifique la opción para convertirlas en zonas redundantes cuando las cree. (Para el almacenamiento, la función se denomina ZRS o almacenamiento con redundancia de zona. Para SQL Database, existe una opción para hacer que la zona de la base de datos sea redundante). Azure se encarga del resto replicando los datos automáticamente en varias zonas de disponibilidad. Grupos de recursos Ahora debería darse cuenta de que moverse a la nube podría no ser tan simple como parecía al principio. Crear un solo recurso en Azure es bastante simple, pero cuando se trata de aplicaciones de nivel empresarial, normalmente se trata de una compleja gama de servicios. No solo eso, sino que podría estar tratando con varias aplicaciones que usan varios servicios y pueden estar distribuidas en varias regiones de Azure. Ciertamente, las cosas pueden volverse caóticas rápidamente. Afortunadamente, Azure proporciona una característica que le ayuda a lidiar con este tipo de problema: el grupo de recursos. Un grupo de recursos es un contenedor lógico para los servicios de Azure. Al crear todos los servicios de Azure asociados con una aplicación en particular en un solo grupo de recursos, puede implementar y administrar todos esos servicios como una sola entidad. La organización de los recursos de Azure en un grupo de recursos tiene muchas ventajas. Puede configurar implementaciones fácilmente utilizando una función conocida como plantilla ARM. Las implementaciones de plantillas ARM suelen ser para un solo grupo de recursos. Puede implementar en varios grupos de recursos, pero hacerlo requiere que configure una cadena complicada de plantillas ARM. Más información Más sobre plantillas ARM Aprenderá más sobre las plantillas ARM más adelante en este capítulo cuando analicemos Azure Resource Manager. Otra ventaja de los grupos de recursos es que puede nombrar un grupo de recursos con un nombre fácilmente reconocible para que pueda ver todos los recursos de Azure utilizados en una aplicación en particular de un vistazo. Es posible que esto no parezca tan importante hasta que comience a implementar los recursos de Azure y se dé cuenta de que tiene muchos más recursos de los que pensaba al principio. Por ejemplo, cuando crea una máquina virtual de Azure, Azure crea no solo una máquina virtual, sino que también crea un recurso de disco, una interfaz de red, un recurso de IP pública y un grupo de seguridad de red. Si está analizando todos sus recursos de Azure, puede resultar difícil diferenciar qué recursos van con qué aplicación. Los grupos de recursos resuelven ese problema. En la figura 2-2 , puede ver muchos servicios de Azure. Algunos de estos fueron creados automáticamente por Azure para admitir otros servicios y, en muchos casos, Azure le da al recurso un nombre irreconocible. FIGURA 2-2 Todos mis recursos de Azure En la Figura 2-3 , puede ver los recursos que están en el grupo de recursos de WebStorefront . Estos son los recursos de Azure que se utilizan en la tienda de comercio electrónico. FIGURA 2-3 Un grupo de recursos de Azure Es conveniente ver todos los recursos asociados con una aplicación en particular, pero no está atrapado en ese paradigma. Este es un ejemplo útil, porque es un uso común de grupos de recursos; sin embargo, puede organizar sus grupos de recursos de la forma que desee. Observe en la Figura 2-3 que ve recursos en varias regiones de Azure diferentes (las regiones están en la columna Ubicación). Si tiene acceso a varias suscripciones de Azure, también puede tener recursos de varias suscripciones en un solo grupo de recursos. Si observa el lado izquierdo de la Figura 2-3 , verá un menú de operaciones que puede realizar en su grupo de recursos. No entraremos en todos estos porque está fuera del alcance del examen AZ-900, pero hay algunos que aclaran el beneficio de los grupos de recursos. Si hace clic en Costos de recursos, puede ver el costo de todos los recursos en este grupo de recursos. Tener esa información al alcance de la mano es especialmente útil en situaciones en las que desea asegurarse de que a ciertos departamentos de su empresa se les cobre correctamente por los recursos utilizados. De hecho, algunas empresas crearán grupos de recursos para cada departamento en lugar de crear grupos de recursos en el ámbito de las aplicaciones. Tener un grupo de recursos de ventas y marketing o un grupo de recursos de soporte de TI, por ejemplo, puede ayudarlo enormemente a la hora de informar y controlar los costos. Sugerencia para el examen Un recurso de Azure solo puede existir en un grupo de recursos. En otras palabras, no puede tener una máquina virtual en un grupo de recursos llamado WebStorefront y también en un grupo de recursos llamado SalesMarketing , porque debe estar en un grupo u otro. Puede mover recursos de Azure de un grupo de recursos a otro. Más información Traslado de recursos de Azure Mover recursos de Azure entre grupos de recursos o suscripciones no está exento de riesgos. Microsoft ha documentado algunas cosas que puede hacer para evitar problemas al mover recursos. Puede leer esa guía navegando a https://bit.ly/az900movingresources . También puede hacer clic en Automation Script y Azure generará una plantilla ARM que puede usar para implementar todos estos recursos de Azure. Esto es útil en una situación en la que desee implementar estos recursos más adelante o cuando desee implementarlos en otra suscripción de Azure. Cuando elimina un grupo de recursos, todos los recursos de ese grupo de recursos se eliminan automáticamente. Esto facilita la eliminación de varios recursos de Azure en un solo paso. Suponga que está probando un escenario y necesita crear un par de máquinas virtuales, una base de datos, una aplicación web y más. Al colocar todos estos recursos en un grupo de recursos, puede eliminar fácilmente ese grupo de recursos después de la prueba y Azure eliminará automáticamente todos los recursos que contiene. Esta es una excelente manera de evitar costos inesperados asociados con los recursos que ya no usa. Suscripciones de Azure Obtiene una suscripción de Azure automáticamente cuando se registra en Azure y todos los recursos que crea se crean dentro de esa suscripción. Sin embargo, puede crear suscripciones adicionales queestán vinculados a su cuenta de Azure. Las suscripciones adicionales son útiles en los casos en los que desea tener algunas agrupaciones lógicas para los recursos de Azure o si desea poder informar sobre los recursos utilizados por grupos específicos de personas. Cada suscripción de Azure tiene límites (a veces denominados cuotas) asignados. Por ejemplo, puede tener hasta 250 cuentas de Azure Storage por región en una suscripción, hasta 25,000 máquinas virtuales por región y hasta 980 grupos de recursos por suscripción en todas las regiones. Más información Límites de suscripción Puede encontrar detalles sobre todos los límites para las suscripciones en https://bit.ly/az900-sublimits . Sugerencia para el examen El soporte de Microsoft puede aumentar los límites en algunos escenarios si tiene una buena justificación comercial. Sin embargo, algunos límites no se pueden aumentar. La figura 2-4 muestra una suscripción de Azure en Azure Portal. FIGURA 2-4 Suscripción de Azure en Azure Portal En la hoja Descripción general, puede ver un desglose de costos para cada uno de los recursos. También puede ver la tasa de gasto de la suscripción, junto con un costo previsto para el final del mes actual. Si hace clic en el mosaico Costos por recurso, puede ver un desglose adicional de los gastos de Azure, como se muestra en la Figura 2-5 . En esta vista, verá los costos por nombre de servicio, ubicación (región de Azure) y grupo de recursos, junto con un gráfico de los costos del mes. FIGURA 2-5 Análisis del costo de la suscripción de Azure Más información Creación de presupuestos Puede administrar sus costos en Azure creando presupuestos. Aprenderá más sobre eso en el Capítulo 6 , " Describir los precios, los SLA y los ciclos de vida de Azure ". Las facturas de Azure también están disponibles para la suscripción desde el portal de Azure. Puede ver todas las facturas pasadas haciendo clic en Facturas en el menú de la suscripción, como se muestra en la Figura 2-6 . FIGURA 2-6 Facturas de Azure Puede crear suscripciones de Azure adicionales en su cuenta de Azure. Esto es útil en los casos en los que desea separar los costos o si se está acercando al límite de suscripción de un recurso. Para crear una nueva suscripción de Azure, escriba suscripción en el cuadro de búsqueda y haga clic en Suscripciones como se muestra en la Figura 2-7 . FIGURA 2-7 Suscripciones de Azure Para crear una nueva suscripción, haga clic en Agregar en la hoja Suscripciones, como se muestra en la Figura 2-8 . FIGURA 2-8 Creación de una nueva suscripción Después de hacer clic en Agregar, debe elegir qué tipo de suscripción desea crear. Hay varios tipos de suscripciones de Azure. Prueba gratuita Proporciona acceso gratuito a los recursos de Azure durante un tiempo limitado. Solo hay una suscripción de prueba gratuita disponible por cuenta, y no puede crear una nueva prueba gratuita si ha expirado una anterior. • Pago por uso Paga solo por los recursos que usa en Azure. No hay ningún costo inicial y puede cancelar la suscripción en cualquier momento. • Desarrollo / prueba de pago por uso Una suscripción especial para suscriptores de Visual Studio que se puede utilizar para desarrollo y pruebas. Esta suscripción ofrece tarifas con descuento en máquinas virtuales, pero no puede usarla para aplicaciones de producción. • Nota Tipos de suscripción de Azure Según el tipo de cuenta de Azure que tenga, es posible que tenga opciones de suscripción adicionales. Sugerencia para el examen Cada suscripción está asociada con un identificador único llamado ID de suscripción . Puede asignar un nombre descriptivo a cada suscripción para ayudarlo a identificarla, pero Azure siempre usará el identificador de suscripción para identificar su suscripción. Cuando hable con Microsoft sobre su cuenta de Azure, a menudo también le pedirán su ID de suscripción. Ahora comprende las suscripciones de Azure y cómo puede crear suscripciones adicionales si es necesario. Una vez que haya creado suscripciones y recursos adicionales en esas suscripciones, es posible que la administración de todos sus recursos se vuelva más engorrosa. Para ayudar con eso, Microsoft ha desarrollado una función llamada grupos de administración. Grupos de gestión Los grupos de administración son una forma conveniente de aplicar políticas y control de acceso a sus recursos de Azure. Al igual que un grupo de recursos, un grupo de administración es un contenedor para organizar sus recursos. Sin embargo, los grupos de administración solo pueden contener suscripciones de Azure u otros grupos de administración. Nota Azure Identity and Governance En este punto, no se espera que comprenda conceptos como políticas y control de acceso. Estos conceptos se presentan en el Capítulo 5 , " Describir las características de identidad, gobernanza, privacidad y cumplimiento ". En la Figura 2-9 , se han creado tres grupos de administración para una empresa. El grupo de gestión del departamento de ventas contiene suscripciones para el departamento de ventas. El grupo de administración del departamento de TI contiene una suscripción y otro grupo de administración, y doslas suscripciones adicionales están dentro de ese grupo de administración. El grupo de gestión del Departamento de formación contiene dos suscripciones para el departamento de formación. FIGURA 2-9 Grupos de administración que organizan suscripciones y otros grupos de administración Al organizar las suscripciones mediante grupos de administración, puede tener un control más preciso sobre quién tiene acceso a qué recursos. También puede controlar la configuración de los recursos creados dentro de esas suscripciones. Después de crear un grupo de administración, puede mover cualquiera de sus suscripciones a ese grupo de administración. También puede mover un grupo de administración a otro grupo de administración. Sin embargo, existen algunas limitaciones: • Está limitado a un total de 10,000 grupos de administración. Una jerarquía de grupo de administración solo puede admitir hasta seis niveles. • No puede tener varios padres para un solo grupo de administración o suscripción. • Administrador de recursos de Azure (ARM) Casi todos los sistemas que se trasladan a la nube constan de más de un servicio de Azure. Por ejemplo, puede tener una máquina virtual de Azure para una parte de su aplicación; sus datos pueden estar en una base de datos SQL de Azure; es posible que tenga algunos datos confidenciales almacenados en Azure Key Vault; y es posible que tenga una parte basada en web de su aplicación hospedada en Azure App Service. Si debe administrar todos estos diferentes servicios de Azure por separado, puede ser un gran dolor de cabeza, y si tiene varias aplicaciones en la nube, puede ser incluso peor. No solo sería confuso realizar un seguimiento de qué servicios están relacionados con qué aplicaciones, sino que cuando agrega la complejidad de implementar actualizaciones en su aplicación, las cosas realmente pueden volverse desorganizadas. Para facilitar la implementación y administración de los servicios de Azure, Microsoft desarrolló Azure Resource Manager, o ARM. ARM es un servicio que se ejecuta en Azure y es responsable de toda la interacción con los servicios de Azure. Cuando crea un nuevo servicio de Azure, ARM lo autentica para asegurarse de que tiene el acceso correcto para crear ese recurso y luego habla con un proveedor de recursos para el servicio que está creando. Por ejemplo, si está creando una nueva aplicación web en Azure App Service, ARM pasará su solicitud al proveedor de recursos Microsoft.Web porque conoce todo sobre las aplicaciones web y cómo crearlas. Sugerencia para el examen Hay proveedores de recursos para cada servicio de Azure, pero es posible que los nombres no siempre tengan sentido. Por ejemplo, el proveedor de recursos de Microsoft.Compute es responsable de crear los recursos de la máquina virtual. No es necesario que conozca los detalles sobre los proveedores de recursos para el examen AZ-900, pero debe comprender el concepto general porque se espera que conozca Azure Resource Manager. En el Capítulo 3 , aprenderá a usar Azure Portal para crear y administrar servicios de Azure. También aprenderá cómo puede usar herramientas de línea de comandos para hacer lo mismo. Tanto el portal como las herramientas de línea de comandos funcionan mediante ARM e interactúan con ARM mediante la interfaz de programación de aplicaciones ARM, o API. La API de ARM es la misma ya sea que esté utilizando el portal o las herramientas de línea de comandos, y eso significa que obtiene un resultado consistente. También significa que puede crear un recurso de Azure con el portal y luego realizar cambios en él mediante herramientas de línea de comandos, lo que le brinda la flexibilidad que los consumidores de la nube necesitan. Más información Visual Studio y ARM Visual Studio, el entorno de desarrollo de Microsoft para escribir aplicaciones, también puede crear recursos de Azure e implementar código en ellos. Lo hace usando la misma API ARM que mencionamos anteriormente. De hecho, puede pensar en la API de ARM como su interfaz en el mundo de Azure. Realmente no puede crear o administrar ningún servicio de Azure sin pasar por la API de ARM. El flujo de una solicitud ARM típica para crear o administrar un recurso es sencillo. Herramientas como Azure Portal, herramientas de línea de comandos o Visual Studio realizan una solicitud a la API de ARM. La API pasa esa solicitud a ARM, donde el usuario está autenticado y autorizado para realizar la acción. ARM luego pasa la solicitud a un proveedor de recursos y el proveedor de recursos crea el nuevo recurso o modifica un recurso existente. La figura 2-10 ilustra este flujo y presenta una pequeña muestra de los muchos servicios de Azure que están disponibles. FIGURA 2-10 Administrador de recursos de Azure La solicitud que se realiza a ARM no es una solicitud complicada basada en código. En cambio, ARM usa una sintaxis declarativa . Eso significa que, como consumidor de Azure, le dice a ARM lo que quiere hacer y ARM lo hace por usted. No tiene que decirle a ARM cómo hacer lo que quiere. Simplemente tienes que decirle lo que quieres. Para hacer eso, ARM usa archivos que están codificados en JavaScript Object Notation (o JSON) llamados plantillas ARM . Plantillas de nota ARM No necesita saber cómo usar las plantillas ARM para el examen AZ-900, pero para comprender cómo funciona ARM, realmente necesita al menos saber un poco sobre ellas. En el sentido más básico, una plantilla ARM contiene una lista de recursos que desea crear o modificar. Cada recurso va acompañado de propiedades como el nombre del recurso y las propiedades que son específicas de ese recurso. Por ejemplo, si estuviera utilizando una plantilla ARM para implementar una aplicación web en App Service, su plantilla ARM especificaría la región en la que desea que se cree su aplicación, el nombre de la aplicación, el plan de precios de su aplicación, cualquier dominio nombres que desea que utilice su aplicación, etc. No es necesario que sepa cómo configurar todas esas propiedades. Simplemente dile a ARM que lo haga (declaras tu intención de ARM) y ARM se encarga de ello por ti. Más información Más sobre plantillas ARM Las plantillas ARM son increíblemente poderosas, pero también bastante simples. Si desea leer más sobre cómo usar las plantillas ARM, consulte la documentación en https://bit.ly/az900-armtemplates . Hay un aspecto más importante para la implementación de plantillas ARM. Cuando implementa varios recursos (que, como se señaló, es un escenario típico del mundo real), a menudo tiene dependencias de servicio. En otras palabras, está implementando uno o más servicios que dependen de otros servicios que ya se están creando. Por ejemplo, piense en una situación en la que está implementando un certificado para usarlo con una aplicación web. Una de las propiedades que debe configurar en la aplicación web es el certificado que desea usar, pero si ese certificado aún no se ha implementado, su implementación fallará. ARM le permite especificar dependencias para que pueda evitar problemas como este. Simplemente dígale a ARM que la aplicación web depende del certificado y ARM se asegurará de que la implementación del certificado se complete antes de implementar la aplicación web. Como puede ver, ARM tiene muchos beneficios, y debe tenerlos en cuenta para su examen: ARM le permite implementar fácilmente varios recursos de Azure a la vez. • ARM hace posible reproducir cualquier implementación con resultados consistentes en cualquier momento en el futuro. • ARM le permite crear plantillas declarativas para la implementación en lugar de requerir que escriba y mantenga complejos scripts de implementación. • ARM hace posible configurar dependencias para que sus recursos se implementen en el orden correcto cada vez. • A lo largo de esta sección de habilidades, ha aprendido sobre algunos de los beneficios de usar Azure. Debido a que las regiones de Azure están repartidas por todo el mundo en diferentes geografías, puede estar seguro de que sus datos y aplicaciones se alojan donde los necesita y que se cumplen todas las regulaciones o requisitos de datos. Aprendió que hay varios centros de datos en cada región y, al implementar sus aplicaciones en zonas de disponibilidad, puede evitar los efectos de una falla en un centro de datos en particular. También aprendió sobre el uso de grupos de recursos para organizar sus recursos de Azure y cómo usar las suscripciones de Azure. Finalmente, aprendió sobre los grupos de administración y Azure Resource Manager, o ARM. En la siguiente sección de habilidades, aprenderá detalles sobre algunos de los productos de carga de trabajo principales en Azure. HABILIDAD 2.2: DESCRIBIR LOS PRODUCTOS DE CARGA DE TRABAJO PRINCIPALES DISPONIBLES EN AZURE Al repasar los componentes arquitectónicos centrales de Azure, notó algunas referencias a algunos de los productos disponibles en Azure. En esta sección de habilidades, hablaremos sobre algunos de los productos de carga de trabajo principales disponibles en Azure. Esta sección cubre: • Máquinas virtuales de Azure • Servicio de aplicaciones de Azure • Instancias de contenedor de Azure (ACI) • Servicio de Azure Kubernetes (AKS) • Escritorio virtual de Windows • Redes virtuales • ExpressRoute • Almacenamiento de contenedores (blob) • Almacenamiento de disco • Archivos de Azure • Niveles de almacenamiento • Cosmos DB • Base de datos SQL de Azure • Base de datos de Azure para MySQL • Base de datos de Azure para PostgreSQL • Azure Marketplace y sus escenarios de uso Máquinas virtuales de Azure Una máquina virtual (VM) es una computadora basada en software que se ejecuta en una computadora física. La computadora física se considera el host y proporciona los componentes físicos subyacentes, como el espacio en disco, la memoria, la potencia de la CPU, etc. La computadora host ejecuta un software llamado hipervisor que puede crear y administrar una o más VM, y esas VM se conocen comúnmente como invitados . El sistema operativo de un invitado no tiene que ser el mismo sistema operativo que ejecuta el host. Si su host ejecuta Windows 10, puede ejecutar un invitado que use Windows Server 2016, Linux o muchos otros sistemas operativos. Esta flexibilidad hace que las máquinas virtuales sean extremadamente populares. Sin embargo, debido a que las máquinas virtuales que se ejecutan en un host utilizan los sistemas físicos de ese host, si necesita una máquina virtual potente, necesitará una computadora física potente para alojarla. Mediante el uso de máquinas virtuales de Azure, puede aprovechar los potentes equipos host que Microsoft pone a disposición cuando necesite potencia informática y cuando ya no necesite esa potencia, ya no tendrá que pagar por ella. Nota con Azure En los siguientes pasos, creará una máquina virtual de Azure. Esto requiere que tenga una suscripción a Azure. Si no tiene una suscripción de Azure, puede crear una en https://azure.microsoft.com/en-us/free/ . Para crear una máquina virtual de Azure, inicie sesión en Azure Portal con su cuenta de Azure y luego siga estos pasos, como se muestra en las Figuras 2-11 a 2-13 . FIGURA 2-11 Creación de una máquina virtual FIGURA 2-12 Configuración de la máquina virtual FIGURA 2-13 Configuración de la máquina virtual 1. Haga clic en Crear un recurso. 2. Haga clic en Compute. 3. Haga clic en el enlace Ver todo. 4. Haga clic en Ubuntu Server. 5. Haga clic en el botón Crear. 6. Junto a Grupo de recursos, haga clic en Crear nuevo para crear un nuevo grupo de recursos. 7. Ingrese TestRG como el nombre del grupo de recursos y haga clic en Aceptar. 8. Ingrese TestVM como su nombre de VM. 9. Desplácese hacia abajo y seleccione Contraseña para el tipo de autenticación. 10. Ingrese un nombre de usuario para su cuenta de administrador. 11. Ingrese una contraseña que le gustaría usar para su cuenta de administrador. 12. Confirme la contraseña. 13. Deje todas las demás configuraciones como están y haga clic en el botón Siguiente tres veces para pasar a la pantalla Administración. 14. En la sección Supervisión, establezca Boot Diagnostics en Off. 15. Haga clic en Revisar + Crear para crear su máquina virtual. Después de hacer clic en Revisar + Crear, Azure validará su configuración para asegurarse de que no haya omitido nada. Una vez que su validación haya pasado, verá un botón Crear. Haga clic en el botón Crear para iniciar la implementación de su nueva máquina virtual. Más información sobre cómo Azure implementa su máquina virtual Cuando hace clic en Crear para crear su máquina virtual, Azure Portal está usando una plantilla ARM para implementar su máquina virtual. Esa plantilla ARM contiene parámetros que se reemplazan con la información que ingresó para su VM. Cada máquina virtual que se crea en Azure se crea mediante una plantilla ARM. Esto asegura que las implementaciones sean consistentes. FIGURA 2-14 Configuración de administración de la máquina virtual A medida que se implementa su máquina virtual, verá el estado que se muestra en el portal de Azure, como se muestra en la figura 2-15 . Puede ver los recursos de Azure que se crean para admitir su máquina virtual. Puede ver el nombre del recurso, el tipo de recurso (que comienza con el proveedor de recursos) y el estado de cada recurso. FIGURA 2-15 Implementación de máquina virtual Una vez que se crean todos los recursos necesarios para su VM, su VM se considerará completamente implementada. Luego, podrá hacer clic en el botón Ir a recurso para ver la interfaz de administración de su máquina virtual en Azure Portal, como se muestra en la Figura 2-16 . FIGURA 2-16 Visualización de una máquina virtual Nuestra nueva máquina virtual es un invitado en una computadora física en un centro de datos de Azure. En ese centro de datos hay un bastidor físico de servidores informáticos, y nuestra VM está alojada en uno de esos servidores. Microsoft administra el equipo host, pero usted administra la máquina virtual porque se trata de una oferta de IaaS en Azure. Nota VM y facturación Se le cobrará por las máquinas virtuales de Azure siempre que se estén ejecutando, y el uso de la configuración predeterminada como lo hemos hecho aquí generó algunas opciones costosas. Para detener la facturación de esta VM, haga clic en el botón Detener en la parte superior de la pantalla que se muestra en la Figura 2-15 . Azure guardará el estado actual de la máquina virtual y se detendrá la facturación. No podrá usar la VM mientras esté detenida, pero también evitará la facturación de esa VM. Tenga en cuenta que, a menos que haya configurado una dirección IP estática para su VM, es probable que su dirección IP cambie la próxima vez que la inicie. También puede detener una máquina virtual desde el sistema operativo invitado en la máquina virtual, pero cuando lo haga, se le seguirán cobrando los recursos que usa la máquina virtual porque todavía le están asignados. Eso significa que aún incurrirá en cargos por discos administrados y otros recursos. Una vez que termine este capítulo, eliminar el grupo de recursos de TestRG garantizará que no se le cobre por la máquina virtual. En este momento, esta máquina virtual es susceptible de tiempo de inactividad debido a tres tipos de eventos: mantenimiento planificado , mantenimiento no planificado y tiempo de inactividad inesperado . El mantenimiento planificado se refiere a las actualizaciones planificadas que Microsoft realiza en la computadora host. Esto incluye cosas como actualizaciones del sistema operativo, actualizaciones de controladores, etc. En muchos casos, las actualizaciones no afectarán su VM, pero si Microsoft instala una actualización que requiere reiniciar la computadora host, su VM estará inactiva durante ese reinicio. Azure tiene sistemas subyacentes que monitorean constantemente el estado de los componentes de la computadora. Si uno de estos sistemas subyacentes detecta que un componente del equipo host podría fallar pronto, Azure marcará el equipo para un mantenimiento no planificado. En un evento de mantenimiento no planificado, Azure intentará mover su máquina virtual a un equipo host en buen estado. Cuando hace esto, conserva el estado de la máquina virtual, incluido el contenido de la memoria y los archivos abiertos. Azure solo tarda un poco en mover la máquina virtual, tiempo durante el cual está en un estado de pausa. En el caso de que falle la operación de movimiento, la máquina virtual experimentará un tiempo de inactividad inesperado. Para garantizar la confiabilidad cuando ocurre una falla en un bastidor dentro del centro de datos de Azure, puede (y debe) aprovechar una característica llamada conjuntos de disponibilidad. Los conjuntos de disponibilidad lo protegen de los eventos de mantenimiento y el tiempo de inactividad causado por fallas de hardware. Para ello, Azure crea algunas entidades subyacentes en un conjunto de disponibilidad denominado dominios de actualización y dominios de error . (Para protegerse en caso de eventos de mantenimiento o tiempo de inactividad, debe implementar al menos dos máquinas virtuales en su conjunto de disponibilidad). Los dominios de falla son una representación lógica del bastidor físico en el que está instalada una computadora host. De forma predeterminada, Azure asigna dos dominios de error a un conjunto de disponibilidad. Si un problemaocurre en un dominio de falla (un bastidor de computadora), las VM en ese dominio de falla se verán afectadas, pero las VM del segundo dominio de falla no. Esto lo protege de eventos de mantenimiento no planificados y tiempos de inactividad inesperados. Los dominios de actualización están diseñados para protegerlo de una situación en la que se reinicia el equipo host. Cuando crea un conjunto de disponibilidad, Azure crea cinco dominios de actualización de forma predeterminada. Estos dominios de actualización se distribuyen entre los dominios de error en el conjunto de disponibilidad. Si se requiere un reinicio en los equipos del conjunto de disponibilidad (ya sean equipos host o VM dentro del conjunto de disponibilidad), Azure solo reiniciará los equipos de un dominio de actualización a la vez y esperará 30 minutos para que los equipos se recuperen del reinicio antes de hacerlo. pasa al siguiente dominio de actualización. Los dominios de actualización lo protegen de los eventos de mantenimiento planificados. La Figura 2-17 muestra el diagrama que usa Microsoft para representar un conjunto de disponibilidad. En este diagrama, los dominios de falla FD0, FD1 y FD2 abarcan tres racks físicos de computadoras. UD0, UD1 y UD2 son dominios de actualización dentro de los dominios de falla. También verá esta misma representación de un conjunto de disponibilidad dentro de otra capacitación de Azure, pero es un poco engañosa porque los dominios de actualización no están vinculados a un dominio de falla en particular. FIGURA 2-17 Representación de la documentación de Microsoft de un conjunto de disponibilidad La figura 2-18 muestra una mejor representación de un conjunto de disponibilidad, con cinco VM en el conjunto de disponibilidad. Hay dos dominios de error y tres dominios de actualización. Cuando se crearon máquinas virtuales en este conjunto de disponibilidad, se asignaron de la siguiente manera: A la primera máquina virtual se le asigna el dominio de falla 0 y el dominio de actualización 0. • A la segunda máquina virtual se le asigna el dominio de falla 1 y el dominio de actualización 1. • A la tercera máquina virtual se le asigna el dominio de falla 0 y el dominio de actualización 2. • A la cuarta máquina virtual se le asigna el dominio de falla 1 y el dominio de actualización 0. • A la quinta máquina virtual se le asigna el dominio de falla 0 y el dominio de actualización 1. • FIGURA 2-18 Una mejor representación de un conjunto de disponibilidad Puede verificar la ubicación de los dominios de error y los dominios de actualización creando cinco VM en un conjunto de disponibilidad con dos dominios de error y tres dominios de actualización. Si luego observa el conjunto de disponibilidad creado en Azure Portal, como se muestra en la Figura 2-19 , puede ver la misma configuración que se muestra en la Figura 2-18 . FIGURA 2-19 Un conjunto de disponibilidad en Azure Portal que muestra los dominios de error y los dominios de actualización Observe en la Figura 2-19 que el conjunto de disponibilidad se denomina WebAvailabilitySet . En este conjunto de disponibilidad, ejecutamos cinco máquinas virtuales que ejecutan un servidor web y alojan el sitio web para una aplicación. Suponga que necesita una base de datos para esta aplicación y también desea alojar esa base de datos en máquinas virtuales. En esa situación, querrá separar las máquinas virtuales de la base de datos en su propio conjunto de disponibilidad. Como práctica recomendada, siempre debe separar sus cargas de trabajo en conjuntos de disponibilidad separados. Los conjuntos de disponibilidad ciertamente brindan un beneficio para proteger contra el tiempo de inactividad en ciertas situaciones, pero también tienen algunas desventajas. En primer lugar, todas las máquinas de un conjunto de disponibilidad deben crearse explícitamente. Si bien puede usar una plantilla ARM para implementar varias máquinas virtuales en una implementación, aún debe configurar esas máquinas con el software y la configuración necesarios para admitir su aplicación. Un conjunto de disponibilidad también requiere que configure algo delante de sus VM que manejará la distribución del tráfico a esas VM. Por ejemplo, si su conjunto de disponibilidad da servicio a un sitio web alojado en las VM, deberá configurar un equilibrador de carga que se encargará de enrutar a los usuarios de su sitio web a las VM que lo ejecutan. Otra desventaja de los conjuntos de disponibilidad se relaciona con el costo. En una situación en la que su VM deba cambiarse a menudo en función de cosas como la carga en la aplicación, es posible que tenga que pagar por muchas más VM de las que necesita. Azure ofrece otra característica para las máquinas virtuales denominada conjuntos de escalado que resuelve estos problemas muy bien. Cuando crea un conjunto de escalado, le indica a Azure qué sistema operativo desea ejecutar y luego le dice a Azure cuántas máquinas virtuales desea en su conjunto de escalado. Tiene muchas otras opciones, como crear un equilibrador de carga o una puerta de enlace, etc. Azure creará tantas máquinas virtuales como especifique (hasta 1000) en un solo paso. Más información con una imagen personalizada El conjunto predeterminado de plantillas para máquinas virtuales es básico e incluye solo el sistema operativo. Sin embargo, puede crear una máquina virtual, instalar todos los componentes necesarios que necesita (incluidas sus propias aplicaciones) y luego crear una imagen que se pueda usar al crear conjuntos de escalas. Para obtener más información sobre el uso de imágenes personalizadas, consulte https://bit.ly/az900-customvmimages . Los conjuntos de escalas se implementan en conjuntos de disponibilidad de forma automática, por lo que se beneficia automáticamente de múltiples dominios de fallas y dominios de actualización. Sin embargo, a diferencia de las máquinas virtuales de un conjunto de disponibilidad, las máquinas virtuales de un conjunto de escalado también son compatibles con las zonas de disponibilidad, por lo que está protegido de problemas en un centro de datos de Azure. Como puede imaginar, también puede escalar un conjunto de escalas en una situación en la que necesite más o menos VM. Puede comenzar con una sola máquina virtual en un conjunto de escalado, pero a medida que aumenta la carga en esa máquina virtual, es posible que desee agregar automáticamente máquinas virtuales adicionales. Los conjuntos de escalado proporcionan esa funcionalidad mediante el uso de la función de escalado automático de Azure. Usted define reglas de escalado que usan métricas como CPU, uso del disco, uso de la red, etc. Puede configurar cuándo Azure debe agregar instancias adicionales y cuándo debe reducir y desasignar instancias. Esta es una excelente manera de garantizar la disponibilidad y, al mismo tiempo, reducir los costos al aprovechar la elasticidad que proporciona el escalado automático. Más información Conjuntos de escalado y disponibilidad Antes de la introducción de los conjuntos de escalado, tenía la capacidad de configurar reglas de escalado automático para un conjunto de disponibilidad. Probablemente todavía verá documentación y capacitación de terceros que hablan sobre el escalado de conjuntos de disponibilidad, pero esa funcionalidad se ha reemplazado por conjuntos de escalado. Microsoft garantiza un SLA del 99,95 por ciento cuando utiliza un escenario de implementación de múltiples máquinas virtuales, y para la mayoría de los escenarios de producción, se prefiere una implementación de múltiples máquinas virtuales. Sin embargo, si utiliza una máquina virtual de instancia única y utiliza almacenamiento premium, Microsoft garantiza un SLA del 99,9 por ciento. El almacenamiento premium utiliza unidades de estado sólido (SSD) que se encuentran en el mismo servidor físico que aloja la máquina virtual para mejorar el rendimiento y el tiempo de actividad. Servicio de aplicaciones de Azure Como se mencionó en el Capítulo 1 , Azure App Service es una oferta de PaaS en Azure para hospedar sitios web. Además de los servicios básicos de alojamiento web, App Service también ofrece muchas características adicionales que puede agregar fácilmente a su aplicación web, a menudo con solo tocar un interruptor dentro del portal de Azure. Cuando crea una aplicación web en Azure App Service, su aplicación se ejecuta en una máquina virtual de Azure que está preconfigurada específicamente para App Service. Dependiendo del nivel de servicio que use cuando cree su aplicación, se ejecutará en una VM que se comparte entre muchos usuarios o en una VM dedicada a usted. La figura 2-20 muestra un diagrama de la arquitectura básica de App Service. Este diagrama está simplificado, pero ilustra los conceptos básicos de cómo funciona App Service. Azure Load Balancer distribuye el tráfico a una máquina virtual especial dentro de App Service denominada front-end . El front-end ejecuta un software especial que le permite distribuir de manera efectiva el tráfico a las VM que realmente ejecutan su aplicación web. Estas máquinas virtuales se ejecutan dentro de un plan de App Service , un contenedor lógico para una o más máquinas virtuales que ejecutan su aplicación web. FIGURA 2-20 Una representación de alto nivel de Azure App Service Planes de App Service Cada aplicación web que crea en App Service se ejecuta dentro de un plan de App Service. Un plan de App Service se crea dentro de una región de Azure específica y especifica en cuántas máquinas virtuales se ejecuta su aplicación y las propiedades de esas máquinas virtuales. Planes de servicio de aplicaciones de nota En el ejemplo de este capítulo, se está ejecutando una única aplicación web en un plan de App Service. Sin embargo, se pueden ejecutar varias aplicaciones dentro de un solo plan de App Service. Todas las aplicaciones de un plan de App Service compartirán las mismas VM en ese plan de App Service. En la Figura 2-21 , se está creando un plan de App Service denominado AZ900-Plan en la región central de EE. UU. Las máquinas virtuales en este plan de App Service ejecutarán Windows y se crearán en el nivel de precios de Standard S1 App Service. Puede hacer clic en Cambiar tamaño para cambiar el nivel de precios antes de que se cree el plan de App Service, y también puede escalar el plan de App Service en cualquier momento para cambiar el tamaño. FIGURA 2-21 Creación de un plan de App Service en la región central de EE. UU. Los siguientes niveles de precios están disponibles en App Service: Gratis Un nivel sin costo para pruebas solo que se ejecuta en máquinas virtuales compartidas con otros clientes de App Service. • Compartido Un nivel de bajo costo para probar solo con algunas funciones adicionales que no se ofrecen en el nivel Gratis. Se ejecuta en máquinas virtuales compartidas con otros clientes de App Service. • Básico, Estándar, Premium y PremiumV2 Niveles de mayor costo que ofrecen muchas funciones adicionales. Se ejecuta en máquinas virtuales dedicadas que no se comparten con otros clientes. • Sugerencia para el examen Se le cobran los planes de App Service incluso cuando no se ejecutan aplicaciones web en ellos. Si tiene aplicaciones web en su plan de App Service, aún se le cobrará si detiene las aplicaciones web. La única forma de evitar que se le facture un plan de App Service es eliminarlo. Cuando pasa de un nivel de precios más bajo a un nivel de precios más alto, está escalando. También puede reducir la escala en cualquier momento pasando a un nivel de precios más bajo. Si está ejecutando en el nivel Básico, Estándar, Premium o PremiumV2, también puede escalar a varias máquinas virtuales. El nivel Básico le permite escalar a un máximo de 3 VM (o instancias ), el nivel Estándar permite 10 instancias y los niveles Premium y PremiumV2 permiten hasta 20 instancias. Más información App Service Virtual Machines Crear una aplicación web en App Service es muy rápido y escalarla a varias instancias también es muy rápido. Esto se debe a que las máquinas virtuales que ejecutan aplicaciones web de App Service ya están en funcionamiento. Cuando crea una aplicación web, simplemente está asignando una máquina virtual existente para su uso. Aplicaciones web Cuando crea una nueva aplicación web, puede crearla en un plan de App Service existente o puede crear un nuevo plan de App Service para la aplicación. Todas las aplicaciones de un plan de App Service se ejecutan en las mismas VM, por lo que si ya está haciendo hincapié en los recursos de un plan de App Service existente, su mejor opción podría ser crear un nuevo plan de App Service para su nueva aplicación web. App Service le permite elegir entre una VM preconfigurada con una pila de tiempo de ejecución (como Java, .NET, PHP, etc.) para ejecutar su aplicación o un contenedor Docker. Si elige ejecutar una pila de tiempo de ejecución preconfigurada, puede elegir entre varias versiones que proporciona App Service. Más información Contenedores Docker Aprenderá sobre los contenidos de Docker en la siguiente sección cuando cubramos Azure Container Instances. La Figura 2-22 muestra una aplicación web que se está creando en el plan de servicio de aplicaciones AZ900-Plan. Esta nueva aplicación web se ejecutará en una máquina virtual configurada para ejecutar aplicaciones .NET Core 3.0 en una máquina virtual de Windows. FIGURA 2-22 Creación de una aplicación web para ejecutar un sitio web .NET Core 3.0 Configurar y administrar su aplicación web es extremadamente fácil. Dado que App Service es un servicio PaaS, usted solo es responsable de su código. Microsoft administra las funciones disponibles para usted. En la Figura 2-23 , puede ver muchas de las funciones disponibles en App Service, incluida la capacidad de escalar horizontalmente rápida y fácilmente cuando sea necesario. FIGURA 2-23 La configuración de una aplicación web facilita agregar funciones y escalar su aplicación Instancias de contenedor de Azure (ACI) Azure Container Instances (ACI) es un servicio PaaS que ofrece la capacidad de ejecutar una aplicación en contenedores fácilmente. Para comprender cómo funciona ACI, es necesario tener un conocimiento básico de los contenedores. Contenedores Se está volviendo bastante común que las empresas muevan aplicaciones entre "entornos", y este tipo de cosas es aún más frecuente cuando se trata de la nube. De hecho, uno de los aspectos más complicados de pasar a la nube es lidiar con las complejidades de pasar a un nuevo entorno. Para ayudar con este problema y facilitar el cambio de aplicaciones a nuevos entornos, se inventó el concepto de contenedores . Un contenedor se crea utilizando una versión comprimida de una aplicación llamada imagen , e incluye todo lo que la aplicación necesita para ejecutarse. Eso podría incluir un motor de base de datos, un servidor web, etc. La imagen se puede implementar en cualquier entorno que admita el uso de contenedores. Una vez allí, la imagen se utiliza para iniciar un contenedor en el que se ejecuta la aplicación. Para ejecutar una aplicación en un contenedor, una computadora debe tener un tiempo de ejecución de contenedor instalado. El tiempo de ejecución de contenedores más popular es Docker, un tiempo de ejecución desarrollado y mantenido por Docker Inc. Docker no solo sabe cómo ejecutar aplicaciones en contenedores, sino que también impone ciertas condiciones para garantizar un entorno seguro. Más información Docker Images No estás limitado a tus propias imágenes. De hecho, Docker ejecuta un repositorio de imágenes que puede usar libremente en sus propias aplicaciones. Puede encontrarlo en https://hub.docker.com . Cada contenedor normalmente opera dentro de un ambiente aislado. Tiene su propia red, su propio almacenamiento, etc. Otros contenedores que se ejecutan en la misma máquina no pueden acceder a los datos y sistemas utilizados por otro contenedor a menos que el desarrollador de la imagen tome medidas explícitas para permitirlo. Esto hace que las aplicaciones en contenedores sean una solución ideal cuando la seguridad es una preocupación. Ejecución de contenedores en ACI ACI facilita el inicio de un contenedor con una configuración mínima. Simplemente le dice a ACI dónde encontrar la imagen (usando una etiqueta de Docker o una URL a la imagen) y alguna configuración básica para la VM en la que desea que se ejecute el contenedor. Azure crea recursos de servidor según sea necesario para ejecutar su contenedor, pero no paga por una máquina virtual subyacente. En cambio, paga por la memoria y la CPU que usa su contenedor. Eso se traduce en costos extremadamente bajos en la mayoría de los casos. Por ejemplo, si su aplicación ACI se ejecuta en una máquina con 1 CPU y 1 GB de memoria y usa la aplicación durante 5 minutos al día, ¡su costo sería de menos de 5 centavos al final del mes! Los contenedores de notas utilizan su propio sistema operativo El sistema operativo de un contenedor es en realidad parte de la imagen. La máquina virtual que está configurando cuando crea una aplicación ACI es la máquina virtual que ejecuta el tiempo de ejecución del contenedor. Aun así, es importante que elija un sistema operativo que sea compatible con su contenedor. Una imagen de Docker que se creó para Linux no se ejecutará en un host de Windows y viceversa. ACI está diseñado para funcionar con aplicaciones simples. Puede definir un grupo de contenedores y ejecutar varios contenedores dentro de una instancia de ACI, pero ACI no es una buena opción para usted si tiene una aplicación que muchas personas usan mucho y que podría necesitar aprovechar el escalado. En cambio, Azure Kubernetes Service (AKS) sería una mejor opción. Más información Azure Kubernetes Service Aprenderá sobre Azure Kubernetes Service en la siguiente sección. Cuando crea una instancia de contenedor en ACI, especifica un nombre para el contenedor, la imagen que desea usar y el tamaño de la VM que desea ejecutar en su contenedor. Si no tiene una imagen a mano, Microsoft proporciona varias imágenes de muestra que puede usar. En la Figura 2-24 , se está creando una instancia de ACI denominada jimsaciapp en la región del este de EE. UU. Utilizando una de las imágenes de inicio rápido de muestra. FIGURA 2-24 Creación de una instancia ACI con una imagen de inicio rápido Para que esta instancia sea accesible en Internet, deberá configurar la etiqueta de nombre DNS para la instancia. Se puede acceder a esta configuración haciendo clic en Siguiente: Conexión en red en la parte inferior de la pantalla, como se muestra en la Figura 2-24 . En la Figura 225 , la etiqueta de nombre DNS para esta instancia está configurada en jimsaciapp . Una vez creada la instancia, se puede acceder a ella navegando en http://jimsaciapp.eastus.azurecontainer.io . FIGURA 2-25 Configuración de una etiqueta de nombre DNS para que se pueda acceder a la instancia mediante una URL Sugerencia para el examen No puede cambiar la etiqueta de nombre DNS después de que se crea la instancia. Tampoco puede cambiar la imagen que usa su instancia. Si desea cambiar esta configuración, deberá eliminar la instancia y volver a crearla. Sin embargo, hacerlo podría significar que pierda su dirección IP pública, por lo que es mejor planificar con anticipación antes de crear su instancia. Servicio de Azure Kubernetes (AKS) Kubernetes es un servicio de orquestación de contenedores. Esto significa que es responsable de monitorear los contenedores y garantizar que siempre estén en ejecución. También puede escalar para agregar contenedores adicionales cuando las necesidades lo requieran, y luego puede escalar cuando las necesidades se reducen. Kubernetes crea contenedores en un pod . Un pod es un grupo de contenedores relacionados y los contenedores dentro de un pod pueden compartir recursos. Esta es una de las ventajas de usar Kubernetes porque lo libera de la restricción de uso compartido de recursos que normalmente se impone en un entorno de varios contenedores. Sin embargo, un contenedor en un pod no puede compartir recursos con un contenedor en otro pod. La computadora en la que se ejecutan los pods de Kubernetes se llama nodo o trabajador . Esta computadora debe tener un tiempo de ejecución de contenedor como Docker ejecutándose en ella. Además de los pods, el nodo también ejecuta varios servicios que son necesarios para que Kubernetes administre los pods, etc. Por lo general, habrá varios nodos dentro de una instancia de Kubernetes, y todos están controlados por un nodo maestro llamado maestro de Kubernetes . Todo el entorno del maestro y todos sus nodos se denomina clúster de Kubernetes . Un maestro de Kubernetes contiene toda la configuración y los servicios necesarios para administrar la orquestación de pods y otras entidades de Kubernetes. Configurar un maestro puede ser complejo y es, con mucho, la tarea más laboriosa de usar Kubernetes. Por esa razón, servicios como Azure Kubernetes Service (AKS) se están volviendo más populares. AKS descarga la carga de tratar con el maestro de Kubernetes a Microsoft. Cuando crea un clúster de Kubernetes en AKS, Azure crea el maestro y los nodos por usted. Todo lo que tiene que hacer es implementar sus contenedores y estará en funcionamiento con un clúster de Kubernetes administrado. AKS simplifica la creación de un clúster de Kubernetes, pero también facilita enormemente la administración de un clúster (consulte la Figura 2-26 ). Operaciones como actualizar un clúster o escalar un clúster son sencillas con las opciones del menú de Azure Portal. También puede obtener información detallada sobre su clúster, incluido cada nodo que se ejecuta en el clúster. FIGURA 2-26 Un clúster de AKS en Azure Portal Si bien AKS facilita la adopción y la administración de Kubernetes, no ofusca completamente a Kubernetes. Para implementar sus aplicaciones, aún debe comprender cómo usar Kubernetes y, en algunos casos, deberá usar la línea de comandos de Kubernetes. Sin embargo, Azure lo hace mucho más fácil que hacer todo el trabajo preliminar y el mantenimiento usted mismo. Aún mejor, AKS en Azure es gratis. Solo paga por los recursos informáticos de Azure que usa dentro de su clúster. Escritorio virtual de Windows La mayoría de las empresas tienen aplicaciones que todos sus empleados deben utilizar. Por ejemplo, los empleados pueden necesitar acceso a Microsoft Word, Microsoft Excel, Microsoft Outlook, etc. En muchas situaciones, las empresas satisfacen esta necesidad comprando una licencia de Microsoft Office para todos los empleados e instalando aplicaciones de Office en cada computadora. Este modelo clásico de cada empleado que usa una computadora con aplicaciones instaladas no solo es ineficiente para las empresas, sino que también es inseguro. En primer lugar, requiere que la empresa adquiera el sistema operativo y las licencias de aplicación para cada empleado. También requiere que el departamento de TI esté disponible para solucionar cualquier problema con el sistema operativo o la aplicación. Los usuarios de aplicaciones locales también tienen datos que se almacenan en el disco duro local, y esto representa un riesgo de seguridad si una persona no deseada obtiene acceso a la máquina. Por estas y muchas otras razones, muchas empresas aprovechan la virtualización de escritorios. En un modelo de virtualización de escritorio, una empresa instala un sistema operativo y aplicaciones en un servidor central. La infraestructura de virtualización de escritorio hace posible que los empleados accedan al sistema operativo y las aplicaciones desde prácticamente cualquier dispositivo, siempre que tenga acceso a la red. El sistema operativo y las aplicaciones no se descargan en el dispositivo del empleado. En cambio, el empleado usa las aplicaciones en un entorno virtualizado que hace que parezca que las aplicaciones se ejecutan localmente. Más información Virtualización de escritorio Si alguna vez ha utilizado Windows Remote Desktop para acceder a otra computadora de forma remota, ha experimentado algo similar a la virtualización de escritorio. La diferencia es que la virtualización de escritorio le permite acceder virtualmente al sistema operativo y las aplicaciones que un administrador ha instalado para acceso remoto. La virtualización de escritorio puede parecer la solución perfecta para muchas empresas, pero de hecho, es bastante compleja de configurar y requiere muchos componentes para garantizar un entorno seguro. Por esa razón, Microsoft desarrolló un servicio en Azure llamado Windows Virtual Desktop. Windows Virtual Desktop es una oferta de PaaS en Azure que proporciona virtualización de escritorio administrada por Microsoft. Requiere un poco de configuración avanzada, pero una vez que lo tienes configurado, la infraestructura está completamente administrada por Microsoft. Para utilizar Windows Virtual Desktop (WVD), primero debe crear un inquilino de WVD . Un inquilino es una colección de uno o más grupos de hosts , y un grupo de hosts consta de hosts de sesión y uno o más grupos de aplicaciones que representan las aplicaciones y los escritorios del sistema operativo a los que los usuarios deberían poder acceder. Estos hosts de sesión son simplemente máquinas virtuales de Azure que ha configurado para WVD. Una vez que haya configurado el inquilino, puede agregar usuarios desde su Azure Active Directory para que puedan acceder a los sistemas operativos y las aplicaciones en su inquilino y asignarles permisos. A continuación, esos usuarios pueden acceder a WVD mediante los siguientes métodos. • Uso de la aplicación cliente WVD para Windows • Uso de la aplicación cliente WVD para MacOS • Usando el cliente WVD para iOS • Usando el cliente WVD para Android • Usando el cliente basado en web desde cualquier navegador web Más información Windows Virtual Desktop Para obtener más información sobre Windows Virtual Desktop, incluidos los requisitos para su uso y una guía para configurarlo, vaya a https://bit.ly/AZ900winvirtualdesktop . El usuario final que accede a WVD ve una lista de sistemas operativos y aplicaciones que puede usar. Cuando hacen clic en un sistema operativo, pueden interactuar con ese sistema operativo como si lo estuvieran ejecutando en su máquina local. Cuando hacen clic en una aplicación, la aplicación se inicia en una sesión virtual, pero parece exactamente como si se estuviera ejecutando localmente. Mejor aún, mediante el uso de la tecnología que Microsoft adquirió llamada FSLogix, WVD proporciona un perfil local mientras el usuario usa las aplicaciones. Esta capacidad incluso permite a los usuarios utilizar archivos en Microsoft OneDrive junto con WVD. Más información Windows 10 Multi User Microsoft desarrolló una versión especial de Windows 10 llamada Windows 10 MultiUser para admitir la funcionalidad de Windows Virtual Desktop. Redes virtuales Una red virtual de Azure (a menudo denominada VNet) permite que los servicios de Azure se comuniquen entre sí y con Internet. Incluso puede usar una red virtual para comunicarse entre sus recursos locales y sus recursos de Azure. Cuando crea una máquina virtual en Azure, Azure crea una red virtual para usted. Sin esa red virtual, no podría acceder de forma remota a la máquina virtual ni utilizar la máquina virtual para ninguna de sus aplicaciones. Sin embargo, también puede crear su propia red virtual y configurarla de la forma que elija. Una red virtual de Azure es como cualquier otra red informática. Está compuesto por una tarjeta de interfaz de red (una NIC), direcciones IP, etc. Puede dividir su red virtual en varias subredes y configurar una parte del espacio de direcciones IP de su red para esas subredes. Luego, puede configurar reglas que controlen la conectividad entre esas subredes. La figura 2-27 ilustra una red virtual de Azure que podríamos usar para una aplicación de varios niveles. La red virtual usa direcciones IP en el rango de direcciones 10.0.0.0 y cada subred tiene su propio rango de direcciones. Los rangos de direcciones IP en las redes virtuales se especifican mediante la notación de enrutamiento entre dominios sin clases (CIDR), y una discusión al respecto está fuera del alcance de este examen. Sin embargo, con la configuración que se muestra en la Figura 227 , tenemos 65,536 direcciones IP disponibles en nuestra red virtual y cada subred tiene 256 direcciones IP asignadas. (Las primeras cuatro direcciones IP y la última dirección IP en el rango están reservadas para el uso de Azure, por lo que realmente solo tiene 251 direcciones para usar en cada subred). Este es un diseño típico porque todavía tiene muchas direcciones disponibles en su red para expansión posterior a subredes adicionales. FIGURA 2-27 Una aplicación de varios niveles en una red virtual de Azure En la mayoría de los casos, crea redes virtuales antes de crear los recursos que las usan. Como dije anteriormente, cuando crea una máquina virtual en Azure, una red virtual se crea automáticamente. Azure lo hace porque no puede usar una máquina virtual a menos que tenga una red asociada. Si bien puede conectar una máquina virtual que está creando a una red virtual existente, no puede conectar una máquina virtual a una red virtual después de que se haya creado. Por esa razón, si quisiera usar su propia red virtual en lugar de la que Azure crea automáticamente, debería crear su red virtual antes de crear su máquina virtual. El nivel web que se muestra anteriormente en la Figura 2-27 , por otro lado, se ejecuta en Azure App Service, una oferta de PaaS. Esto se ejecuta en una máquina virtual que administra Microsoft, por lo que Microsoft crea y administra la máquina virtual y su red. Para usar ese nivel con la red virtual, App Service ofrece una función llamada integración de red virtual que le permite integrar una aplicación web en App Service con una red virtual existente. Las direcciones IP dentro de la red virtual en este punto son todas direcciones IP privadas. Permiten que los recursos dentro de la red virtual se comuniquen entre sí, pero no puede usar una dirección IP privada en Internet. Necesita una dirección IP pública para dar acceso a Internet a su nivel web. Más información Conectividad a Internet saliente No es necesario asignar una dirección IP pública a un recurso para que ese recurso se conecte saliente a Internet. Azure mantiene un grupo de direcciones IP públicas que se pueden asignar dinámicamente a un recurso si necesita conectarse de forma saliente. Esa dirección IP no se asigna exclusivamente al recurso, por lo que no se puede usar para la comunicación entrante desde Internet al recurso de Azure. Debido a que el nivel web se ejecuta en Azure App Service (un servicio PaaS), Microsoft administra la red pública por nosotros. Obtiene acceso a Internet en ese nivel sin necesidad de hacer nada. Si desea ejecutar el nivel web en una máquina virtual IaaS, configure la dirección IP pública para el nivel web. En esas situaciones, Azure le permite crear un recurso de dirección IP pública y asignarlo a una red virtual. Más información Grupos de seguridad de red Azure ofrece una característica denominada Grupos de seguridad de red que le permite aplicar reglas sobre qué tipo de tráfico está permitido en la red virtual. Cubriremos los Grupos de seguridad de red en el Capítulo 4 , " Describir la seguridad general y las características de seguridad de red ". ExpressRoute Las redes virtuales de Azure ofrecen la capacidad de conectarse a sus redes locales mediante una conexión de red privada virtual (VPN), y muchos clientes usan este método para conectar recursos locales a Azure. Sin embargo, hay algunos aspectos del uso de una VPN que pueden no cumplir con los requisitos de algunos clientes. Por ejemplo, una VPN está limitada a un máximo de 1,25 Gbps en la velocidad de la red. Si un cliente necesita más velocidad que esa, VPN no es una buena opción. Por esta razón, Azure ofrece un servicio llamado ExpressRoute que puede ofrecer velocidades de hasta 10 Gbps a través de conexiones de fibra óptica dedicadas. Cuando usa ExpressRoute, se conecta desde su red local a un enrutador Microsoft Enterprise Edge (MSEE), y ese enrutador MSEE luego lo conecta a Azure. El enrutador MSEE se encuentra en el borde de la red de Microsoft y, en la mayoría de los casos, su conexión también será desde un enrutador en su red local que está en el borde de su red. Más información Dispositivos de red perimetral Un dispositivo de borde en una red se refiere a un dispositivo que funciona como punto de acceso a la red. Si piensa en una red como un círculo y los dispositivos que están en esa red como si estuvieran dentro de ese círculo, puede pensar en un dispositivo de borde como si estuviera en la línea que forma el círculo. En la mayoría de las situaciones, los clientes se conectan al enrutador MSEE utilizando un proveedor de servicios externo. El proveedor de servicios es un importante proveedor de servicios de red, a menudo un proveedor de servicios de Internet. El proveedor de servicios tiene conexiones de red directamente en el enrutador MSEE, y esas conexiones tienen ancho de banda dedicado. La Figura 2-28 muestra una configuración típica de ExpressRoute. FIGURA 2-28 Una configuración típica de ExpressRoute Sugerencia para el examen Microsoft llama circuito a una conexión ExpressRoute . Debido a que los datos en ExpressRoute no atraviesan la Internet pública, el ancho de banda es mucho más confiable. Sin embargo, la configuración de ExpressRoute que ve en la Figura 2-28 requiere que confíe en el proveedor de servicios con los datos que fluyen a través del circuito. Si desea eliminar al proveedor de servicios de la imagen, puede utilizar una oferta llamada ExpressRoute Direct que le permite conectarse directamente a un puerto físico en el enrutador MSEE. Más información Expressroute y disponibilidad ExpressRoute está diseñado para una alta disponibilidad. Cada circuito utiliza conexiones redundantes, por lo que si crea un circuito a 5 Gbps, el ancho de banda real asignado a ese circuito es de 10 Gbps. Microsoft incluso le permitirá usar ese ancho de banda adicional para ráfagas cortas. Almacenamiento de contenedores (blob) Azure Blob Storage está diseñado para almacenar datos no estructurados, que no tienen una estructura definida. Eso incluye archivos de texto, imágenes, videos, documentos y mucho más. Una entidad almacenada en Blob Storage se conoce como blob . Hay tres tipos de blobs en Azure Storage. Bloquear blobs Se utiliza para almacenar archivos utilizados por una aplicación. • Anexar blobs Son como blobs en bloque, pero los blobs de anexión están especializados para operaciones de agregación. Por esa razón, a menudo se utilizan para almacenar datos actualizados constantemente, como registros de diagnóstico. • Blobs de página Se utilizan para almacenar archivos de disco duro virtual (.vhd) que se utilizan en máquinas virtuales de Azure. Los cubriremos en Azure Disk Storage más adelante en este capítulo. • Las gotas se almacenan en contenedores de almacenamiento . Un contenedor se utiliza como un medio para organizar blobs, por lo que es posible que tenga un contenedor para archivos de video, otro contenedor para archivos de imagen, etc. Sin embargo, la elección depende completamente de usted. Si planea mover datos de local a Azure Storage, hay muchas opciones disponibles para usted. Puede usar Azure Storage Explorer, una herramienta gratuita disponible de Microsoft, para cargar datos. También puede usar las herramientas de línea de comandos que proporciona Microsoft para cargar en Azure Storage. Si desea mover una gran cantidad de datos, Microsoft ofrece un servicio llamado Data Box . Data Box tiene un servicio en línea llamado Data Box Edge que hace que copiar datos en Azure Storage sea tan fácil como copiarlos en un disco duro en su sistema. Para cantidades de datos aún mayores, Microsoft ofrece un servicio fuera de línea de Data Box donde le enviarán discos duros. Simplemente copie sus datos en los discos duros, cifre los discos con BitLocker y luego envíelos de regreso a Microsoft. Microsoft incluso ofrece Data Box Heavy, un servicio en el que le enviarán un dispositivo resistente sobre ruedas que puede almacenar hasta 1 petabyte de datos. Almacenamiento de disco El almacenamiento en disco en Azure se refiere a los discos que se usan en máquinas virtuales. Azure crea un disco que se designa automáticamente para almacenamiento temporal cuando crea una máquina virtual. Esto significa datos sobreese disco se perderá si hay un evento de mantenimiento en la máquina virtual. Si necesita almacenar datos durante un período de tiempo más largo que persistirá entre las implementaciones de VM y los eventos de mantenimiento, puede crear un disco con una imagen almacenada en Azure Storage. Los discos de Azure están disponibles como discos duros tradicionales (HDD) y unidades de estado sólido (SSD). Los discos HDD son más económicos y están diseñados para datos no críticos. Los discos SSD están disponibles en un nivel estándar para uso ligero y como disco Premium de Azure para uso intensivo. Los discos de Azure están disponibles como discos administrados o como discos no administrados. Todos los discos de Azure están respaldados por blobs de página en Azure Storage. Cuando usa discos no administrados, ellos usan una cuenta de Azure Storage en su suscripción de Azure y debe administrar esa cuenta. Esto es particularmente problemático porque existen limitaciones en Azure Storage y, si tiene un uso intensivo del disco, puede terminar experimentando un tiempo de inactividad debido a la limitación. Cuando se cambia a discos administrados, Microsoft maneja la cuenta de almacenamiento y se eliminan todas las limitaciones de almacenamiento. Todo lo que necesita es preocuparse por su disco. Puede dejar la cuenta de almacenamiento en manos de Microsoft. Más información Managed Disks Microsoft recomienda discos administrados para todas las máquinas virtuales nuevas. También recomiendan que todas las máquinas virtuales que actualmente usan discos no administrados se muevan a discos administrados. Quizás una razón aún más importante para usar discos administrados es que al hacerlo, evita un posible punto único de falla en su VM. Cuando usa discos no administrados, existe la posibilidad de que las cuentas de Azure Storage que respaldan sus discos existan dentro de la misma unidad de escala de almacenamiento. Si ocurre una falla en esa unidad de escala, perderá todos sus discos. Al asegurarse de que cada disco administrado esté en una unidad de escala separada, evita la situación de un solo punto de falla. Archivos de Azure Los discos de Azure son una buena opción para agregar un disco a una máquina virtual, pero si solo necesita espacio en disco en la nube, no tiene sentido asumir la carga de administrar una máquina virtual y su sistema operativo. En esas situaciones, Azure Files es la solución perfecta. Nota Archivos de Azure y Almacenamiento de Azure Los recursos compartidos de Azure Files están respaldados por Azure Storage, por lo que necesitará una cuenta de almacenamiento para crear un recurso compartido de Azure Files. Azure Files es un recurso compartido de archivos completamente administrado que puede montar como cualquier recurso compartido de archivos SMB. Eso significa que las aplicaciones existentes que usan dispositivos de almacenamiento conectado a la red (NAS) o recursos compartidos de archivos SMB pueden usar Azure Files sin herramientas especiales, y si tiene varias aplicaciones que necesitan acceder al mismo recurso compartido, también funcionarán con Azure Files. Sugerencia para el examen Puede montar recursos compartidos de Azure Files en máquinas virtuales de Azure y localmente en Windows, Linux y MacOS. Sin embargo, no puede usar Windows 7 o Windows Server 2008 para montar un recurso compartido de Azure Files en las instalaciones porque esos sistemas operativos solo admiten SMB 2.1. Además, dado que los recursos compartidos de Azure Files usan SMB, deberá asegurarse de que el puerto TCP 445 esté abierto en su red. En Windows, puede usar el cmdlet TestNetConnection PowerShell para probar la conectividad a través del puerto 445. Para obtener más información, consulte https://bit.ly/az900-azurefiles . Un posible problema con el uso de Azure Files es la ubicación remota de los archivos. Si sus usuarios o aplicaciones usan un recurso compartido de archivos asignado a Azure Files, es posible que experimenten tiempos de transferencia de archivos más largos de lo habitual porque los archivos están en Azure. Para resolver ese problema, Microsoft introdujo Azure File Sync. Instale Azure File Sync en uno o más servidores de su red local y mantendrá sus archivos en Azure Files sincronizados con su servidor local. Cuando los usuarios o las aplicaciones necesitan acceder a esos archivos, pueden acceder rápidamente a la copia local. Cualquier cambio que realice en el recurso compartido de Azure Files centralizado se sincroniza con los servidores que ejecutan Azure File Sync. Niveles de almacenamiento Microsoft ofrece numerosos niveles de almacenamiento para Blob Storage cuyo precio depende de la frecuencia con la que se accede a los datos, el tiempo que desee almacenar los datos, etc. El nivel de almacenamiento en caliente es para los datos a los que necesita acceder con frecuencia. Tiene el mayor costo de almacenamiento, pero el costo de acceso a los datos es bajo. El nivel de almacenamiento Cool es para los datos que tiene la intención de almacenar durante un período más largo y a los que no accede con tanta frecuencia. Tiene un costo de almacenamiento más bajo que el nivel Hot, pero los costos de acceso son más altos. También debe mantener los datos almacenados durante al menos 30 días. Microsoft también ofrece un nivel de almacenamiento de archivos para el almacenamiento de datos a largo plazo. Los datos almacenados en el nivel de archivo disfrutan de los costos de almacenamiento más bajos disponibles, pero los costos de acceso son los más altos. Debe mantener los datos almacenados durante un mínimo de 180 días en el nivel de Archivo o puede estar sujeto a un cargo por eliminación anticipada. Debido a que los datos en el nivel de Archivo no están diseñados para un acceso rápido y frecuente, puede llevar mucho tiempo recuperarlos. De hecho, mientras que los niveles de acceso Hot y Cool garantizan el acceso al primer byte de datos en milisegundos, el nivel Archive solo garantiza el acceso al primer byte dentro de las 15 horas. Cosmos DB Muchos sistemas de bases de datos utilizan datos relacionales. Una base de datos relacional contiene tablas de datos que están relacionados entre sí. Parte del diseño de la base de datos define la relación entre las tablas, y cuando se agregan nuevos datos a la base de datos, deben ajustarse al esquema (la forma en que se configura la base de datos). Algunos sistemas de bases de datos, conocidos como bases de datos NoSQL , no son relacionales. En un sistema de base de datos NoSQL, no está bloqueado en un esquema para sus datos. Por ejemplo, en un relacionalsistema, si está almacenando información sobre algunos clientes y desea agregar los cumpleaños de los clientes a sus datos, debe editar el esquema de su base de datos para permitir que se agregue el cumpleaños. Sin embargo, en un sistema NoSQL, simplemente agrega el cumpleaños a sus datos y lo agrega a la base de datos. A la base de datos no le importa el tipo de datos o campos que contiene. Hay cuatro tipos de sistemas de base de datos NoSQL: clave-valor, columna, documento y gráfico. La Tabla 2-1 enumera cada uno de estos tipos y proporciona información sobre cada uno. TABLA 2-1 Sistemas de bases de datos NoSQL Sistema Descripción Uso común Valor clave Almacena datos que están vinculados a una clave única. Pase la clave y la base de datos devuelve los datos. Dado que el valor puede cualquier cosa, las bases valores clave tienen muc Columna Las bases de datos NoSQL se denominan espacios de claves y un espacio de claves contiene familias de columnas. Una columna contiene filas y columnas como una tabla relacional, pero cada fila puede tener su propio conjunto de columnas. No estás encerrado en un esquema. Almacenamiento de dato usuario para un sitio web a que las bases de datos d escalan bien y son extrem rápidas, son adecuadas p grandes cantidades de da Documento Los datos se almacenan como una cadena de texto estructurada llamada documento. Puede ser HTML, JSON, etc. Esto es similar a una base de datos de clave-valor, excepto que el documento es un valor estructurado. Igual que el valor-clave, p datos de documentos tien escalan bien horizontalm permiten consultar el val partes del valor. Una con datos de clave-valor devu completo asociado con la Grafico Almacena datos y las relaciones entre cada dato. Los datos se almacenan en nodos y las relaciones se dibujan entre nodos. Muchos sistemas utilizan de gráficos porque son ex rápidas. Una red social po base de datos de gráficos almacenar las relaciones personas, las cosas que le personas, etc. Hay muchos sistemas de bases de datos NoSQL diferentes, y la mayoría de ellos están orientados a un modelo de base de datos en particular. Microsoft ofrece un sistema de base de datos NoSQL alojado en Azure llamado Cosmos DB, que admite todos los tipos de bases de datos NoSQL. Microsoft ha creado un código personalizado alrededor de Cosmos DB para que los desarrolladores puedan usar sus habilidades existentes con otros sistemas de base de datos con una base de datos de Cosmos DB. Esto facilita que las aplicaciones existentes comiencen a aprovechar Cosmos DB sin que los ingenieros tengan que escribir código nuevo. Cuando crea una base de datos de Cosmos DB, elige la API que desea usar, que determina el tipo de base de datos para su base de datos. Los tipos de API de la base de datos son: Core (SQL) Crea una base de datos de documentos que puede consultar utilizando la sintaxis SQL con la que puede estar familiarizado al utilizar bases de datos relacionales. • API de Azure Cosmos DB para MongoDB Se utiliza para migrar una base de datos de MongoDB a Cosmos DB. Las bases de datos de MongoDB son bases de datos de documentos. • Cassandra Se utiliza para migrar una base de datos de Cassandra a Cosmos DB. Las bases de datos de Cassandra son bases de datos de columna. • Tabla de Azure Se utiliza para migrar datos almacenados en Azure Table Storage a Cosmos DB. Esto crea una base de datos de valores clave. • Gremlin Se utiliza para migrar bases de datos de Gremlin a Cosmos DB. Las bases de datos de Gremlin son bases de datos de gráficos. • Microsoft llama a estas API porque son solo eso: API. Son interfaces de programación de aplicaciones que permiten a los desarrolladores que ya están usando una tecnología de base de datos NoSQL existente migrar a Cosmos DB sin tener que cambiar su código. Otra gran ventaja de Cosmos DB es una función conocida como distribución global llave en mano. Esta función aprovecha la escalabilidad horizontal de las bases de datos NoSQL y le permite replicar sus datos a nivel mundial con unos pocos clics. En Azure Portal, simplemente puede hacer clic en las regiones en las que desea replicar los datos, como se muestra en la Figura 2-29 . Una vez que haga clic en Guardar, Cosmos DB comenzará a replicar los datos, que estarán disponibles en las regiones seleccionadas. Esto facilita garantizar que los usuarios tengan la experiencia más rápida posible con una aplicación. FIGURA 2-29 Fácil replicación en todo el mundo con Cosmos DB Base de datos SQL de Azure Azure SQL Database es una oferta de PaaS para el alojamiento de bases de datos de SQL Server. Microsoft administra la plataforma, por lo que todo lo que debe preocuparse es su base de datos y los datos que contiene. Las bases de datos de SQL Server son bases de datos relacionales compuestas por tablas de datos, y cada tabla tiene un esquema que define cómo deben verse los datos. Por ejemplo, el esquema podría definir que sus datos contienen un número de identificación, un nombre, un apellido y una fecha. Todos los datos que agregue a la tabla deben seguir el esquema, por lo que los datos que agregue no deben tener campos que no estén definidos en el esquema. Una base de datos contendrá muchas tablas de datos que están relacionadas entre sí y, al utilizar consultas especializadas, los desarrolladores pueden devolver datos que son el resultado de unir datos relacionados de varias tablas. Por ejemplo, puede tener una tabla de Clientes y una tabla de Pedidos, cada una con un campo que identifica a un cliente. Al consultar y unir los datos de ambas tablas, puede proporcionar a un usuario una factura que muestre todos sus pedidos. Esta relación entre las tablas es cómo las bases de datos relacionales obtuvieron su nombre, como se muestra en la Figura 2-30 . FIGURA 2-30 Dos tablas en una base de datos relacional Nota Bases de datos relacionales SQL Server no es el único sistema de base de datos relacional. Hay muchos sistemas de bases de datos relacionales, incluidos Oracle, PostgreSQL y MySQL. Azure ofrece tres opciones de implementación diferentes para Azure SQL Database: base de datos única, grupo elástico e instancia administrada. Una sola base de datos es simplemente una base de datos que se ejecuta en una instancia alojada de SQL Server que se ejecuta en Azure. Microsoft administra el servidor de la base de datos, por lo que todo lo que tiene que preocuparse es la base de datos en sí. Microsoft proporciona dos modelos de compra diferentes para bases de datos únicas: Unidad de transacción de base de datos (DTU) y núcleo virtual (núcleo virtual). Una DTU representa una colección de CPU, memoria y lecturas y escrituras de datos. Hay tres niveles en el modelo DTU: Básico, Estándar y Premium. Cada nivel ofrece un nivel más alto de CPU, memoria y transferencia de datos. El modelo de núcleo virtual utiliza una CPU virtual y facilita la configuración exacta de hardware que necesita. Ofrece un nivel de uso general y un nivel de negocio crítico. Puede elegir entre un nivel aprovisionado (donde elige la CPU, la memoria y otros recursos que siempre están disponibles) y un nivel sin servidor donde elige una variedad de necesidades de recursos para poder controlar los costos de manera más efectiva. Más información Elección de un modelo de compra Para obtener detalles sobre los modelos de compra disponibles y cómo puede elegir entre ellos, vaya a https://bit.ly/az900-sqlpurchasingmodels . La Tabla 2-2 muestra estos modelos y en qué se diferencian. TABLA 2-2 Modelos de compra de una sola base de datos Modelo DTU Modelo de núcleo virtual Buena elección para usuarios que no necesitan un alto grado de flexibilidad con la configuración y que desean precios fijos. Es una buena elección si necesita un alt visibilidad y control de los recursos ind la memoria, el almacenamiento y la pot que utiliza su base de datos. Límites preconfigurados para transacciones contra la base de datos y configuraciones preconfiguradas de almacenamiento, CPU y memoria. Flexibilidad en la potencia de la CPU, la almacenamiento, con el almacenamient función del uso. Ofertas Básicas y Estándar, junto con un nivel Premium para bases de datos de producción con una gran cantidad de transacciones. Ofertas de uso general y de negocios cr proporcionar costos más bajos cuando rendimiento y disponibilidad cuando se Capacidad de escalar a un nivel superior cuando sea necesario. Capacidad y flexibilidad para escalar la y el almacenamiento según sea necesar Almacenamiento de respaldo y retención a largo plazo de datos proporcionados por un cargo adicional. Almacenamiento de respaldo y retenció de datos proporcionados por un cargo a Un grupo elástico consta de más de una base de datos (y a menudo muchas bases de datos), todas administradas por el mismo servidor de base de datos SQL. Esta solución está orientada a las ofertas de SaaS en las que es posible que desee tener varios usuarios (o incluso cada usuario) para que se les asigne su propia base de datos. Puede mover fácilmente bases de datos dentro y fuera de un grupo elástico, lo que lo hace ideal para SaaS. En algunos casos, es suficiente poder escalar una sola base de datos para agregar potencia adicional. Sin embargo, si su aplicación tiene amplias variaciones en el uso y le resulta difícil predeciruso (como con un servicio SaaS), la capacidad de agregar más bases de datos a un grupo es mucho más deseable. En un grupo elástico, se le cobra por el uso de recursos del grupo en comparación con las bases de datos individuales, y tiene control total sobre cómo las bases de datos individuales usan esos recursos. Esto hace posible no solo controlar los costos, sino que también puede garantizar que cada base de datos tenga los recursos que necesita y, al mismo tiempo, pueda mantener la previsibilidad de los gastos. Además, puede realizar una transición sencilla de una sola base de datos a un grupo elástico simplemente moviendo la base de datos a un grupo. Observe los modelos de precios de las agrupaciones elásticas La información del modelo de precios de la Tabla 2-2 también se aplica a las agrupaciones elásticas. Sin embargo, sus recursos no se aplican a una base de datos individual; se aplican a la piscina. Sugerencia para el examen Si bien puede escalar hacia arriba y hacia abajo fácilmente con Azure SQL Database al pasar a un nivel superior o agregar recursos informáticos, de memoria y de almacenamiento, las bases de datos relacionales no se escalan horizontalmente. Hay algunas opciones disponibles para escalar una copia de solo lectura de su base de datos, pero en general, las bases de datos relacionales no ofrecen la capacidad de escalar para proporcionar copias adicionales de sus datos en varias regiones. Una instancia administrada está diseñada explícitamente para los clientes que desean una ruta de migración sencilla desde un entorno local o que no sea de Azure a Azure. Las instancias administradas son totalmente compatibles con SQL Server local y, dado que su servidor de base de datos está integrado con una red virtual aislada y tiene una dirección IP privada, su servidor de base de datos puede ubicarse dentro de su red virtual privada de Azure. Las características están diseñadas para usuarios que desean elevar y cambiar una base de datos local a Azure sin muchos cambios de configuración o molestias. Están disponibles los niveles de servicio de Propósito general y Crítico para la empresa. Microsoft desarrolló Azure Database Migration Service (DMS) para facilitar a los clientes el traslado de bases de datos locales o bases de datos alojadas en otro lugar de la nube a una instancia administrada. El DMS funciona guiándolo a través de una experiencia de asistente para indicarle a Azure qué bases de datos y tablas desea migrar desde su base de datos de origen a Azure SQL Database. Luego, usará la red virtual de Azure que viene con la instancia administrada para migrar los datos. Una vez que se han migrado los datos, DMS configura la sincronización entre la base de datos de origen y Azure SQL Database. Esto significa que mientras la base de datos de origen permanezca en línea, cualquier cambio realizado en ella se sincronizará con la instancia administrada en Azure SQL Database. Más información DMS y bases de datos locales Para migrar una base de datos local, debe tener conectividad entre Azure y su red local a través de VPN o mediante un servicio como ExpressRoute. Base de datos de Azure para MySQL Al igual que las bases de datos de SQL Server, las bases de datos MySQL son bases de datos relacionales. Sin embargo, MySQL es un sistema de código abierto. De hecho, MySQL es el sistema de base de datos de código abierto más popular del mundo. Azure Database for MySQL es una oferta en la nube totalmente administrada de Community Edition de MySQL. Con Azure Database for MySQL, no tiene que preocuparse por administrar el servidor de la base de datos, lidiar con problemas de seguridad o realizar tareas complejas como el ajuste del rendimiento. Microsoft se encarga de todo eso por ti. Sugerencia para el examen Azure Database for MySQL protege sus datos en reposo y en movimiento. Eso significa que no solo sus bases de datos están seguras, sino que los datos también lo están cuando los usuarios consultan su base de datos. Azure Database for MySQL ofrece varios planes de precios según sus necesidades específicas. El plan básico es el mejor para los usuarios que tienen un uso ligero; el plan de uso general es más adecuado para uso comercial; y el plan Memory Optimized es para requisitos de alto rendimiento. A medida que avanza en los planes de precios, obtiene más núcleos de CPU y más memoria, y cada plan de precios ofrece varios niveles para que pueda planificar específicamente lo que requieren sus necesidades. Dado que Azure Database for MySQL se basa en MySQL Community Edition, puede mover fácilmente sus bases de datos MySQL locales a la nube sin preocuparse por la compatibilidad. Base de datos de Azure para PostgreSQL PostgreSQL es otro sistema de base de datos relacional de código abierto. Si bien PostgreSQL se diseñó inicialmente para ejecutarse en Unix o Linux, ahora está disponible para MacOS, Linux, OpenBSD, FreeBSD y Windows. PostgreSQL se diseñó pensando en la empresa y admite una gran cantidad de usuarios que realizan operaciones complejas. Azure Database for PostgreSQL es una versión administrada de PostgreSQL en Azure. Al igual que Azure Database for MySQL y Azure SQL Database, Azure Database for PostgreSQL le permite utilizar un potente sistema de base de datos sin tener que administrar el servidor, la seguridad de la base de datos, el rendimiento y otras tareas administrativas. El precio de Azure Database for PostgreSQL es similar al de Azure Database for MySQL. Los planes Básico, de Uso General y Optimizado para Memoria están disponibles, y los precios aumentan a medida que agrega recursos de base de datos adicionales como CPU y memoria. Azure Marketplace y sus escenarios de uso Ha aprendido sobre muchos de los productos y servicios disponibles en Azure, pero hay muchos productos disponibles fuera de lo que hemos discutido. Microsoft no solo ofrece muchos servicios adicionales, sino que los proveedores de terceros también brindan una amplia gama de recursos que puede usar en Azure. Todos estos recursos están disponibles en un único repositorio llamado Azure Marketplace. Para acceder a Azure Marketplace, haga clic en Crear un recurso en Azure Portal, como se muestra en la Figura 2-31 . Esto mostrará una lista de categorías entre las que puede elegir. También mostrará una lista de ofertas populares de todas las categorías. Puede hacer clic en una categoría para ver todas las plantillas en esa categoría, y puede hacer clic en una plantilla en la lista de plantillas populares, ingresar un término de búsqueda o incluso hacer clic en Ver todo para ver todas las plantillas que están disponibles. FIGURA 2-31 Azure Marketplace Si hace clic en Ver todo, accederá a la experiencia completa de Marketplace, donde puede filtrar en función de los precios, los sistemas operativos y el editor, como se muestra en la Figura 2-32 . FIGURA 2-32 Filtrado de Azure Marketplace Sugerencia para el examen Todas las plantillas de Azure Marketplace son plantillas ARM que implementan uno o más servicios de Azure. Recuerde de nuestra discusión anterior de Azure Resource Manager que todas las implementaciones de ARM se implementan mediante plantillas de ARM. El mercado no es diferente. Algunas de las plantillas de Marketplace implementan un solo recurso. Por ejemplo, si hace clic en la plantilla Aplicación web, se creará una aplicación web que se ejecutará en Azure App Service. Otras plantillas crean muchos recursos que se combinan para crear una solución completa. Por ejemplo, puede crear un clúster de base de datos de DataStax Enterprise y la plantilla creará entre 1 y 40 nodos de DataStax Enterprise. Se le factura por cada oferta de Marketplace en su factura de Azure, por lo que si crea un clúster de DataStax Enterprise con 40 nodos, no verá una facturación separada para 40 VM, VNET, etc. En su lugar, verá una factura por un clúster de DataStax Enterprise. Esto hace que la facturación sea mucho más fácil de entender. Como se muestra en la Figura 2-33 , muchas plantillas de Marketplace proporcionan enlaces a documentación y otra información para ayudarlo a aprovechar al máximo la plantilla. Si decide que no desea crear inmediatamente los recursos, puede hacer clic en Guardar para más tarde y la plantilla se agregará a su lista guardada a la que puede acceder haciendo clic en Mi lista guardada, como se mostró anteriormente en la esquina superior izquierda. en la Figura 2-32 . FIGURA 2-33 Enlaces de Marketplace y lista guardada EXPERIMENTO MENTAL Ahora que ha aprendido sobre los servicios básicos de Azure, apliquemos ese conocimiento. Puede encontrar las respuestas a este experimento mental en la siguiente sección. ContosoPharm se ha puesto en contacto con usted para obtener ayuda en la configuración de algunas máquinas virtuales de Azure para alojar sus servicios de Azure. Quieren asegurarse de que sus servicios experimenten una alta disponibilidad y estén protegidos contra desastres que puedan ocurrir en un centro de datos en una región de Azure en particular. Además de eso, quieren asegurarse de que un corte de energía en un centro de datos en particular no afecte su servicio en esa región. ContosoPharm planea tener una gran cantidad de máquinas virtuales, pero solo alojarán tres servicios diferentes en la nube. Cada uno de estos servicios tendrá asociados otros servicios de Azure además de las máquinas virtuales. Están muy interesados en tener una forma de ver fácilmente todos los recursos de Azure asociados con un servicio en particular dentro del portal de Azure. Dos de los servicios que planean implementar pertenecen al departamento de marketing. El otro servicio pertenece a la división de desarrollo. Necesitan una forma de informar sobre cada uno de estos departamentos, por lo que les gustaría una forma de agrupar lógicamente estos servicios. En esa misma línea, el CTO quiere asegurarse de poder controlar quién tiene acceso a los servicios en cada departamento. También quiere tener control sobre cómo se configuran esos servicios. Las máquinas virtuales de ContosoPharm también usarán configuraciones específicas para redes virtuales y quieren asegurarse de que pueden implementar fácilmente estos recursos en nuevas regiones de Azure, si necesario más tarde. Para ellos es fundamental que las implementaciones posteriores tengan exactamente la misma configuración que todas las demás implementaciones porque cualquier diferencia puede causar incompatibilidades de aplicaciones. El CTO también está preocupado por las máquinas virtuales, en particular, por experimentar problemas de disponibilidad debido a posibles fallas de hardware. También ha escuchado que algunos clientes de la nube experimentan problemas cuando el proveedor de la nube debe reiniciar la computadora host subyacente por algún motivo. Este tipo de cosas no puede suceder en el caso de ContosoPharm, por lo que deberá hacer una recomendación para evitarlo. Durante algunos períodos de tiempo, ContosoPharm ha notado que sus aplicaciones pueden causar picos extremos de CPU. Les gustaría un sistema que tenga en cuenta eso y posiblemente agregue máquinas virtuales adicionales durante estas horas pico, pero quieren controlar los costos y no quieren pagar por estas máquinas virtuales adicionales cuando no están experimentando un pico de uso. Cualquier consejo que pueda ofrecerle sería una ventaja. Uno de los servicios de ContosoPharm tiene un portal web que se escribió con PHP. Tendrán que mover este portal web a la nube, pero no quieren tener que lidiar con muchas configuraciones. Necesitan que esté disponible para los usuarios de manera confiable y deben poder actualizar el código si es necesario, pero no quieren preocuparse por nada más. Están esperando que usted sugiera la mejor solución de Azure para eso, y tenga en cuenta que deben poder escalar este portal web fácilmente cuando el uso aumenta durante las horas punta del mes. Otra parte de uno de sus servicios existe como una imagen de Docker. También quieren ejecutar esto en Azure, pero el CTO está preocupado por los costos. Esta parte de su servicio solo es necesaria para operaciones específicas, por lo que se ejecuta solo unos minutos cada mes. Aun así, es un componente crítico, por lo que necesitan que sea confiable. El CTO quiere que sugiera una opción que será la opción más rentable en Azure. Uno de sus otros servicios también está en contenedores, pero es un poco más complejo. El uso de este servicio está por todas partes. A veces, requieren una gran cantidad de recursos informáticos para ello, y otras veces, no requieren mucho. Sin embargo, cuando sea necesario, deben asegurarse de que siempre esté funcionando. Los gerentes de ventas del departamento de ventas de ContosoPharm necesitan acceder a las aplicaciones de Office de manera confiable, pero el CIO está muy preocupado por los datos confidenciales de ventas almacenados en los discos duros de las computadoras portátiles. Le gustaría que recomendara una forma para que estos empleados accedan a las aplicaciones que necesitan mientras mantienen los datos seguros. Poder acceder a estas aplicaciones desde cualquier dispositivo (o incluso un navegador web) sería un verdadero cambio de juego. Gran parte de la infraestructura que ContosoPharm está trasladando a la nube está formada por aplicaciones de varios niveles, y cada uno de estos niveles debe poder comunicarse entre sí y con Internet. Los ingenieros de redes locales de ContosoPharm comprenden completamente la red local y cómo está configurada, pero no tienen idea de cómo traducir eso a la nube. También necesitarán que brinde algunas recomendaciones en esa área. ContosoPharm también tiene un sistema local que no se puede migrar a la nube, por lo que permanecerá local. Este sistema utiliza animaciones en 3D de las estructuras celulares y cómo las diferentes drogas interactúan con ellas. Los tamaños de archivo son muy grandes y a ContosoPharm le preocupa quetransferir estos archivos grandes desde la nube hará que su aplicación sea lenta. También están preocupados por las implicaciones de privacidad y preferirían evitar que estos archivos se transfieran a través de Internet si es posible. ContosoPharm debe conservar una copia de cada factura de pedido de sus clientes. Estas facturas se cargan en el sitio web como PDF y quieren mantenerlas en la nube. No necesitan poder ejecutar ningún tipo de informes sobre estas facturas, pero sí los necesitan en caso de que los reguladores los soliciten en el futuro. También necesitan conservar los datos almacenados en cualquiera de sus VM, incluso si ocurre un evento de mantenimiento en Azure o se mueven a otra VM por algún motivo. Son datos críticos, por lo que quieren asegurarse de elegir la solución adecuada. Otra parte de su aplicación también necesita conservar los datos, pero necesitan poder acceder a los datos desde un servidor local que ejecute Windows Server 2016. No quieren tener que instalar nada especial en el servidor para poder acceder a estos archivos que se encuentran en la nube. Todos los productos químicos y farmacéuticos de ContosoPharm se guardan en una gran instalación de investigación. Les gustaría integrar una base de datos en esa instalación con sus servicios de Azure y necesitan que esa conexión esté encriptada y sea segura. Los desarrolladores del sistema actual utilizaron Community Edition de MySQL para desarrollar la base de datos, y ContosoPharm está interesado en la solución más sencilla para tener esto alojado en la nube sin tener que estar al día con la configuración y el mantenimiento. Proporcione una recomendación a ContosoPharm que cumpla con todos sus requisitos. No es necesario que les brinde detalles técnicos específicos sobre cómo implementar todo, pero debe orientarlos en la dirección correcta si no tiene detalles. RESPUESTAS DEL EXPERIMENTO MENTAL En esta sección, repasaremos las respuestas al experimento mental. Para asegurarse de que sus máquinas virtuales estén protegidas contra desastres en un centro de datos dentro de una región de Azure en particular, debe recomendar que ContosoPharm use zonas de disponibilidad. Al implementar máquinas virtuales en zonas de disponibilidad, pueden garantizar que las máquinas virtuales se distribuyan en diferentes edificios físicos dentro de la misma región de Azure. Cada edificio tendrá energía, agua, sistema de enfriamiento y red separados. Para ver fácilmente los recursos de Azure asociados con un servicio en particular, ContosoPharm puede crear grupos de recursos separados y crear los recursos para cada servicio dentro de su propio grupo de recursos. Para agrupar lógicamente sus servicios para las divisiones de marketing y desarrollo para que puedan informar sobre ellos, pueden crear suscripciones de Azure independientes para cada división. Para resolver la inquietud del CTO sobre quién tiene acceso a los servicios y cómo se configuran esos servicios, puede recomendar el uso de grupos de administración. Como ya recomendó que cada división tenga su propia suscripción, los grupos de administración son una opción lógica porque cada suscripción se puede mover a un grupo de administración separado. Para garantizar implementaciones consistentes ahora y en el futuro, ContosoPharm puede crear una plantilla ARM para su implementación. Al usar una plantilla ARM, pueden asegurarse de que cada implementación de sus recursos sea idéntica. Para proteger su aplicación cuando una máquina virtual tiene un problema de hardware o debe reiniciarse, deben usar un conjunto de disponibilidad. Un conjunto de disponibilidad les proporcionaría varios dominios de error y dominios de actualización, de modo que si se debe reiniciar una máquina virtual, todavía tendrían una máquina virtual operativa en otro dominio de actualización. Para asegurarse de que siempre tengan suficientes máquinas virtuales para manejar la carga cuando la CPU aumenta, deben usar conjuntos de escalado. Luego, pueden configurar reglas de escala automática para escalar horizontalmente cuando la carga lo requiera y escalar hacia atrás para controlar los costos. La mejor opción para alojar su portal web PHP en la nube es Azure App Service. Debido a que es un servicio PaaS, ContosoPharm no tendrá que preocuparse por una gran cantidad de configuración y, debido a que App Service ofrece capacidades de escalado, eso cumple con el requisito de tener que reaccionar ante aumentos en el uso. La mejor opción para alojar su imagen de Docker en la nube es Azure Container Instances. Hay otras opciones en Azure para esto, pero debido a que el CTO se preocupa por los costos y este componente solo se ejecuta durante una pequeña cantidad de tiempo cada mes, ACI es claramente la alternativa más barata. El segundo componente en contenedores se beneficiaría mejor de Azure Kubernetes Service. El hecho de que sea más complejo y, a veces, requiera una gran cantidad de recursos informáticos lo convierte en un candidato ideal para AKS, especialmente porque Kubernetes puede garantizar que el contenedor esté siempre en ejecución y disponible. Para proporcionar a los gerentes de ventas acceso a las aplicaciones de Office sin tener que preocuparse por los aspectos de seguridad del almacenamiento de archivos en sus computadoras portátiles, debe recomendar Windows Virtual Desktop. Entonces podrían acceder a estas aplicaciones desde cualquier dispositivo o navegador web. Su recomendación para los ingenieros de red debería ser configurar una red virtual de Azure. Pueden configurar fácilmente subredes dentro de esa red exactamente como tienen en las instalaciones, y todas las funciones de red a las que están acostumbrados estarán disponibles para ellos. El sistema de animación 3D que utiliza ContosoPharm parece que necesita mucho ancho de banda. En ese escenario, ExpressRoute es probablemente una buena opción, especialmente porque también les gustaría evitar que los archivos se transfieran a través de Internet. Con ExpressRoute, los datos se transfieren a través de una conexión privada y pueden ajustar su ancho de banda según las necesidades de la aplicación, hasta un máximo de 10 Gbps. Para almacenar sus facturas en la nube, ContosoPharm puede usar Azure Blob Storage. Podrían almacenarlos en una base de datos como blobs binarios, pero como no necesitan ejecutar ningún tipo de informes o consultas en ellos, Azure Blob Storage será más económico. Para conservar los datos en sus VM entre reinicios o movimientos de VM, deben usar Almacenamiento en disco. Probablemente también debería recomendar que utilicen discos administrados para facilitar su uso y confiabilidad. Para la parte de la aplicación que necesita conservar los datos que están disponibles en un servidor local de Windows Server 2016, debe recomendar Azure Files. Luego, pueden usar SMB para acceder a los archivos, y los sistemas existentes en las instalaciones pueden mapear los archivos sin tener que instalar nada adicional. Para sus necesidades de bases de datos, la mejor opción es, con mucho, Azure Database for MySQL. Debido a que es un servicio administrado, ContosoPharm no tendrá que preocuparse por el mantenimiento o la configuración, y debido a que se basa en Community Edition de MySQL, deberían poder simplemente transferir la base de datos directamente a la nube y terminar con ella. RESUMEN DEL CAPÍTULO ¡Este capítulo cubrió mucho terreno! No solo aprendió algunos de los conceptos básicos de Azure relacionados con las regiones y los grupos de recursos, sino que también aprendió sobre muchos de los servicios básicos de carga de trabajo que proporciona Azure. Aquí hay un resumen de lo que cubrió este capítulo. Una región de Azure es un área dentro de un límite geográfico específico y cada región suele estar a cientos de millas de distancia. • Una geografía suele ser un país y cada geografía contiene al menos dos regiones. • Un centro de datos es un edificio físico dentro de una región y cada centro de datos tiene su propia energía, suministro de refrigeración, suministro de agua, generadores y red. • La latencia de ida y vuelta entre dos regiones no debe ser superior a 2 ms, y esta es la razón por la que las regiones a veces se definen como un "límite de latencia". • Los clientes deben implementar los recursos de Azure en varias regiones para garantizar la disponibilidad. • Las zonas de disponibilidad garantizan que sus recursos se implementen en centros de datos separados en una región. Hay al menos tres zonas de disponibilidad en cada región. • Los grupos de recursos le permiten separar los recursos de Azure de una manera lógica y puede etiquetar los recursos para una administración más sencilla. • Todos sus recursos de Azure se crean dentro de una suscripción de Azure, y puede crear suscripciones adicionales si necesita agrupar o informar sobre recursos con mayor facilidad. • • Las suscripciones de Azure tienen límites asociados. Los grupos de administración le permiten asignar políticas y control de acceso a los recursos de Azure. • Solo se pueden agregar suscripciones u otros grupos de administración a un grupo de administración. • Azure Resource Manager (ARM) es la forma en que las herramientas de administración de Azure crean y administran los recursos de Azure. • ARM utiliza proveedores de recursos para crear y administrar recursos. • Una plantilla ARM le permite garantizar la coherencia de grandes implementaciones de Azure. • Las máquinas virtuales de Azure son una oferta de IaaS en la que administra el sistema operativo y la configuración. • Los conjuntos de disponibilidad protegen sus máquinas virtuales con dominios de falla y dominios de actualización. Los dominios de falla protegen su VM de una falla de hardware en un rack de hardware. Está protegido contra reinicios de VM mediante dominios de actualización. • Los conjuntos de escalas le permiten configurar reglas de escala automática para escalar horizontalmente cuando sea necesario. • Azure App Service facilita el hospedaje de aplicaciones web en la nube porque es un servicio PaaS que elimina la carga de administración del usuario. • Las aplicaciones de App Service se ejecutan dentro de un plan de App Service que especifica la cantidad de VM y la configuración de esas VM. • Los contenedores le permiten crear una imagen de una aplicación y todo lo necesario para ejecutarla. • Las instancias de contenedor de Azure (ACI) le permiten ejecutar contenedores por muy poco costo. • Azure Kubernetes Service (AKS) es un servicio administrado que facilita el hospedaje de clústeres de Kubernetes en la nube. • Windows Virtual Desktop hace que las aplicaciones y los sistemas operativos estén fácilmente disponibles para múltiples usuarios desde casi cualquier dispositivo. • Una red virtual de Azure (VNet) permite que los servicios de Azure se comuniquen entre sí y con Internet. • Puede agregar una dirección IP pública a una red virtual para la conectividad entrante a Internet. Esto es útil si un sitio web se está ejecutando en su VNET y desea permitir que las personas accedan a él. • Azure Load Balancer puede distribuir el tráfico de Internet a través de varias máquinas virtuales en su red virtual. • ExpressRoute le permite tener una conexión de alto ancho de banda a Azure de hasta 10 Gbps al conectarse a un enrutador Microsoft Enterprise Edge (MSEE). • El tráfico a través de ExpressRoute no viaja a través de Internet. • Azure Blob Storage es una buena opción de almacenamiento para datos no estructurados, como archivos binarios. • Si necesita mover una gran cantidad de datos a Blob Storage, Azure Data Box es una buena opción. Puede solicitar que se le envíen discos duros de varios tamaños. Agregue sus datos y envíelos de regreso a Microsoft, donde se agregarán a su cuenta de almacenamiento. • Azure Disk Storage es un almacenamiento en disco virtual para máquinas virtuales de Azure. Los discos administrados le permiten eliminar la carga de administración de los discos. • Azure Files le permite tener espacio en disco en la nube que puede asignar a una unidad local. • Azure Blob Storage ofrece niveles de almacenamiento Hot, Cool y Archive que se basan en el tiempo que desee almacenar los datos, la frecuencia con la que se accede a los datos, etc. • Azure Cosmos DB es una base de datos NoSQL en la nube para datos no estructurados. • Azure SQL Database es un sistema de base de datos relacional en la nube que está completamente administrado por Microsoft. • Azure Database for MySQL se basa en la Community Edition del sistema de base de datos MySQL de código abierto. Es un servicio administrado que elimina la carga de administración del usuario. • Azure Database for PostgreSQL es un servicio administrado para hospedar bases de datos de PostgreSQL. • Azure Marketplace es una fuente de plantillas para crear recursos de Azure. Algunos son proporcionados por Microsoft y otros son proporcionados por terceros. • Capítulo 3 Describir las soluciones principales y las herramientas de administración en Azure. En el Capítulo 2 , aprendió sobre las soluciones de carga de trabajo principales en Azure. En este capítulo, profundizaremos en una amplia gama de soluciones centrales en Azure. Cubriremos algunas tecnologías nuevas y emocionantes, como inteligencia artificial, Internet de las cosas (IoT), big data y computación sin servidor. Si realmente va a aprender a usar Azure, también necesitará saber cómo puede administrar sus recursos de Azure. Ya ha visto Azure Portal, pero esa no es la única solución para administrar y crear recursos en Azure. Hay varias herramientas de línea de comandos disponibles, lo que facilita la creación de secuencias de comandos de interacciones potentes con los recursos de Azure. ¡Incluso puede administrar sus recursos de Azure desde su teléfono! Una vez que haya creado y configurado sus servicios de Azure, es importante mantenerse al día con su rendimiento para saber si necesita realizar cambios para aprovechar al máximo sus recursos en la nube. Sin embargo, mantenerse al día con las mejores prácticas y configuraciones recomendadas puede ser difícil, especialmente cuando se trata de varios servicios. Afortunadamente, Azure proporciona Azure Advisor para ayudarlo y, al combinar Azure Advisor con Azure Monitor, puede estar al tanto de todos sus servicios de Azure. El seguimiento del estado de sus aplicaciones particulares en la nube es solo la mitad de la historia cuando se trata de asegurarse de que sus recursos en la nube estén disponibles. Si bien Microsoft Azure es una plataforma en la nube altamente confiable, las cosas aún pueden salir mal y, cuando suceden, el sitio web de Azure Service Health lo mantendrá informado de lo que está sucediendo. Estas son las habilidades que se tratan en este capítulo. Habilidades cubiertas en este capítulo: • Describir las soluciones principales disponibles en Azure. • Describir las herramientas de administración de Azure HABILIDAD 3.1: DESCRIBIR LAS SOLUCIONES PRINCIPALES DISPONIBLES EN AZURE Aunque la computación en la nube es una tecnología relativamente nueva, se ha convertido en un componente clave de muchas soluciones informáticas. El alcance de la computación en la nube está creciendo a un ritmo tremendo y Microsoft Azure está creciendo a la par. Desde la primera edición de este libro publicada hace unos pocos meses, se han introducido nuevos servicios de Azure y los cambios en los servicios existentes han sido abundantes. El antiguo filósofo griego Heráclito dijo: "Lo único que es constante es el cambio". Es una certeza que Heráclito no podría haber predicho Azure hace miles de años, ¡pero ciertamente describió el estado constante de Azure perfectamente! La gran cantidad de servicios de Azure puede ser abrumadora, pero este capítulo debería ayudarlo a comprender el panorama. Esta sección cubre: • Azure IoT Hub • IoT Central • Esfera azul • Análisis de Azure Synapse • HDInsight • Azure Databricks • Aprendizaje automático de Azure • Servicios cognitivos • Servicio de bot de Azure • Computación sin servidor • Funciones de Azure • Aplicaciones lógicas • Cuadrícula de eventos • Azure DevOps • Laboratorios Azure DevTest Azure IoT Hub Muchos de nosotros no vivimos en hogares inteligentes de alta tecnología, por lo que es posible que no nos demos cuenta de cuán grande se está volviendo Internet de las cosas (IoT). Para ponerlo en contexto, el popular portal de estadísticas Statista informa que hay más de 25 mil millones de dispositivos conectados a IoT en la actualidad, y se espera que ese número crezca a la asombrosa cifra de 75 mil millones para el año 2025. Hay aproximadamente 3.2 mil millones de personas en el Internet hoy en día, y la población mundial total es solo de alrededor de 8 mil millones. Estos dispositivos de IoT eclipsan a la raza humana en número, y la cantidad de información que recopilan y comparten es alucinante. Para que los servicios de IoT de Azure tengan más sentido, revisemos nuestra empresa teórica llamada ContosoPharm, que en este ejemplo es una empresa farmacéutica con un gran edificio de varios pisos donde almacenan medicamentos en desarrollo, junto con componentes sensibles utilizados en investigar. Estos artículos deben estar bajo un estricto control climático. Si la temperatura o la humedad se mueven fuera de un rango muy estrecho, resulta en la pérdida de materiales invaluables. Para proteger su inversión, ContosoPharm utiliza sistemas de control de clima conectados a IoT, junto con generadores y sistemas de iluminación conectados a IoT. Estos sistemas monitorean constantemente el entorno y envían alertas si algo sale mal. Hay aproximadamente 5,000 dispositivos de IoT en el edificio y ContosoPharm debe cumplir con los siguientes requisitos para todos esos dispositivos. Deben actualizar el firmware de los dispositivos IoT de forma sencilla y por etapas para que no se actualicen todos al mismo tiempo. • Deben alterar la configuración de los dispositivos, como cambiar los niveles de alerta, pero estas configuraciones son específicas de la ubicación física de los dispositivos en el edificio. • Deben asegurarse de que cualquier conectividad a los dispositivos sea completamente segura. • IoT Hub puede resolver fácilmente todos estos problemas. Los dispositivos de IoT se agregan a IoT Hub, y luego puede administrarlos, monitorearlos y enviarles mensajes, ya sea individualmente o en grupos que cree. Puede agregar hasta 1,000,000 de dispositivos IoT a un solo IoT Hub. La figura 3-1 muestra un dispositivo de IoT agregado a IoT Hub para ContosoPharm. FIGURA 3-1 Un dispositivo IoT en IoT Hub Desde IoT Hub, puede enviar mensajes a dispositivos (llamado mensajería de nube a dispositivo o C2D) o desde su dispositivo a IoT Hub (llamado mensajería de dispositivo a nube o D2C). También puede enrutar mensajes de forma inteligente a Event Hub, Azure Storage y Service Bus según el contenido del mensaje. Cuando agrega un nuevo dispositivo de IoT, IoT Hub crea una cadena de conexión que usa una clave de acceso compartida para la autenticación. Esta clave evita el acceso no autorizado a su IoT Hub. Una vez conectado, los mensajes entre su dispositivo e IoT Hub se cifran para mayor seguridad. Además de los mensajes, también puede usar IoT Hub para enviar archivos a sus dispositivos. Esto le permite actualizar fácilmente el firmware de sus dispositivos de forma segura. Para actualizar el firmware en un dispositivo IoT, simplemente copie el firmware en el dispositivo. El dispositivo detectará el firmware y se reiniciará y actualizará el nuevo firmware en el dispositivo. Un concepto importante en IoT Hub es el concepto de lo que se llama dispositivo gemelo . Cada dispositivo de IoT en IoT Hub tiene un equivalente lógico que se almacena en IoT Hub en formato JSON. Esta representación JSON del dispositivo se denomina dispositivo gemelo y proporciona capacidades importantes. Cada dispositivo gemelo puede contener metadatos que agregan una categorización adicional para el dispositivo. Estos metadatos se almacenan como etiquetas en JSON para el dispositivo gemelo y el dispositivo real no los conoce. Solo IoT Hub puede ver estos metadatos. Uno de los requisitos de ContosoPharm era actualizar el firmware de forma escalonada en lugar de actualizar todos los dispositivos al mismo tiempo. Pueden lograrlo agregando etiquetas para los dispositivos gemelos desde sus dispositivos que podrían tener el siguiente aspecto: Haga clic aquí para ver la imagen del código "etiquetas": { "deploymentLocation": { "departamento": "researchInjectibles", "piso": "14" } } Luego pueden optar por enviar archivos de firmware solo a dispositivos en el piso 14, por ejemplo, o digamos, a dispositivos en el departamento de investigación de inyectables. La Figura 3-2 muestra la configuración de dispositivos gemelos en IoT Hub con etiquetas establecidas para la ubicación del dispositivo. Observe la etiqueta de construcción con un valor de nulo . Esta es una etiqueta que se estableció previamente en el dispositivo gemelo y, al establecerla en nula , se eliminará la etiqueta. FIGURA 3-2 Dispositivo gemelo que muestra etiquetas configuradas en JSON El dispositivo gemelo también contiene las propiedades del dispositivo IoT. Hay dos copias de cada propiedad. Una es la propiedad informada y la otra es la propiedad deseada . Puede cambiar una propiedad de dispositivo en IoT Hub cambiando la propiedad deseada a un nuevo valor. La próxima vez que el dispositivo se conecte a IoT Hub, esa propiedad se establecerá en el dispositivo. Hasta que eso suceda, la propiedad informada contendrá el último valor que el dispositivo informó a IoT Hub. Una vez que se actualice la propiedad, las propiedades reportadas y deseadas serán iguales. La razón por la que IoT Hub utiliza este método para establecer propiedades es que es posible que no siempre tenga una conexión con todos los dispositivos. Por ejemplo, si un dispositivo se pone en reposo para ahorrar energía, IoT Hub no puede escribir cambios de propiedad en ese dispositivo. Al mantener una versión deseada e informada de cada propiedad, IoT Hub siempre sabe si una propiedad debe escribirse en un dispositivo la próxima vez que el dispositivo se conecte a IoT Hub. Para ayudar a los usuarios que desean agregar una gran cantidad de dispositivos de IoT a IoT Hub, Microsoft ofrece el servicio de aprovisionamiento de dispositivos de IoT Hub, o DPS. El DPS usa grupos de inscripción para agregar dispositivos a su IoT Hub. El concepto es que una vez que el dispositivo se activa (a menudo, por primera vez si es un dispositivo nuevo), necesita saber que debe conectarse a su IoT Hub. Para hacer eso, el DPS necesita identificar de manera única el dispositivo, y lo hace con un certificado o mediante un chip de módulo de plataforma confiable. Una vez que DPS confirma la identidad del dispositivo, puede usar los detalles del grupo de inscripción para determinar a qué IoT Hub se debe agregar. Luego, proporcionará al dispositivo la información de conexión para conectarse a ese IoT Hub. Además, el grupo de inscripción puede proporcionar la configuración inicial para el dispositivo gemelo. Esto le permite especificar propiedades, como una versión de firmware, que el dispositivo debe tener cuando se inicia. A medida que sus dispositivos envían mensajes a IoT Hub, puede enrutar esos mensajes a Azure Storage, Event Hub y varios otros puntos de conexión. Puede elegir el tipo de mensajes que desea enrutar y también puede escribir una consulta para filtrar qué mensajes se enrutan. En la figura 3-3 , hemos configurado una ruta que envía mensajes a Azure Blob Storage. Puede ver en la consulta que solo vamos a enrutar aquellos mensajes que provienen de un dispositivo con un dispositivo gemelo que contiene la etiqueta para nuestro departamento de investigación de inyectables. FIGURA 3-3 Adición de una ruta de mensajes en IoT Hub Hay dos niveles de precios para IoT Hub: Básico y Estándar. Cada nivel ofrece varias ediciones que ofrecen precios basados en la cantidad de mensajes por día para cada unidad de IoT Hub. Cuando escala un IoT Hub, agrega unidades adicionales. Esto agrega la capacidad de manejar más mensajes a un precio mayor. La tabla 3-1 muestra las ediciones y los precios del nivel básico. La Tabla 3-2 muestra las ediciones y los precios del nivel Estándar. TABLA 3-1 Precios del nivel básico de IoT Hub Edición Precio mensual por unidad de IoT Hub Mensajes por día por unida B1 $ 10 dólares 400.000 B2 50 dólares estadounidenses 6.000.000 B3 500 dólares estadounidenses 300.000.000 TABLA 3-2 Precios del nivel estándar de IoT Hub Edición Precio mensual por unidad de IoT Hub Mensajes por día por unida Libre Libre 8.000 S1 25 dólares estadounidenses 400.000 S2 250 dólares estadounidenses 6.000.000 S3 $ 2,500 dólares 300.000.000 Sugerencia para el examen El precio de escala en IoT Hub es bastante claro. La mayoría de las empresas elegirán el nivel Estándar debido a la funcionalidad adicional disponible en ese nivel. Luego, elegirán una edición que satisfaga sus necesidades mínimas de mensajes. Cuando necesiten mensajes adicionales durante los picos, escalarán a más unidades de IoT Hub. Por ejemplo, suponga que las necesidades de mensajes de ContosoPharm son aproximadamente 5.000.000 por día. Elegirían el nivel de precios S2 y pagarían 250 dólares al mes si están ejecutando una unidad de IoT Hub en la geografía de América del Norte. Si la cantidad de mensajes aumenta a 8.000.000 (ya sea por cambios de configuración o por la adición de dispositivos de IoT adicionales), es probable que opten por escalar a dos unidades de IoT Hub. Hacerlo les daría 12,000,000 de mensajes por día a un costo de $ 500 USD por mes. Nota Cambio de nivel de precios No puede cambiar a un nivel de precios más bajo después de crear su IoT Hub. Si crea su IoT Hub en el nivel Estándar, no puede cambiarlo al nivel Básico. Si crea un IoT Hub en el nivel Estándar con la edición S1, S2 o S3, no puede cambiarlo a la edición gratuita. También es importante tener en cuenta que las siguientes funciones solo están disponibles en el nivel Estándar: Secuencias de dispositivos para transmitir mensajes casi en tiempo real • • Mensajería de nube a dispositivo • Gestión de dispositivos, dispositivo gemelo y módulo gemelo IoT Edge para manejar dispositivos IoT en el borde de la red donde residen • Si usa el servicio de aprovisionamiento de dispositivos, hay un cargo de $ 0.123 por cada 1,000 operaciones. IoT Central IoT Hub es una excelente manera de administrar y aprovisionar dispositivos, y proporciona un medio sólido para tratar los mensajes. Incluso puede usar Azure Stream Analytics para enrutar mensajes a Power BI para un panel de mensajes de dispositivo casi en tiempo real, pero hacerlo requiere un poco de configuración compleja. Si está buscando una experiencia de primera clase en el monitoreo de dispositivos de IoT sin tener que realizar una configuración compleja, IoT Central es una buena opción. IoT Central es una oferta de SaaS para dispositivos IoT. A diferencia de IoT Hub, no es necesario crear ningún recurso de Azure para usar IoT Central. En su lugar, navegue hasta https://apps.azureiotcentral.com y cree su aplicación dentro de la interfaz del navegador web, como se muestra en la Figura 3-4 . FIGURA 3-4 Página de inicio de Azure IoT Central Para crear una aplicación de IoT, haga clic en el signo más encima de Mis aplicaciones. Esto abre la pantalla Crear aplicación que se muestra en la Figura 3-5 . FIGURA 3-5 Creación de una nueva aplicación de IoT Central Tiene la opción de elegir una plantilla o crear una aplicación personalizada. Para mayor comodidad, las plantillas se clasifican en Retail, Energy, Government y Healthcare. Después de seleccionar su plantilla, verá la pantalla Nueva aplicación que se muestra en la Figura 3-6 . Aquí es donde especificará el nombre de su aplicación y la URL. Puede utilizar los nombres predeterminados o especificar los suyos propios, pero se recomienda utilizar los suyos propios para que pueda identificar fácilmente su aplicación. Además, una vez que se ha creado su aplicación, puede acceder a ella directamente utilizando la URL que especifique, por lo que es posible que desee que también sea descriptiva. FIGURA 3-6 Especificación de un nombre de aplicación, URL y plan de precios A continuación, elige su plan de precios. Si usa Pago por uso, deberá especificar detalles sobre su suscripción de Azure. Si elige el plan gratuito, solo deberá ingresar algunos datos de contacto. Desplácese hasta la parte inferior de la pantalla y haga clic en Crear para finalizar la creación de su aplicación. En la Figura 3-4 , puede ver que ya hemos creado una aplicación llamada ContosoPharm . Cuando hace clic en esa aplicación, ve un menú en el lado izquierdo de la página, y si hace clic en Dispositivos, puede ver los dispositivos agregados, como se muestra en la Figura 3-7 . FIGURA 3-7 Un dispositivo de IoT en IoT Central Para agregar un nuevo dispositivo, haga clic en el signo más en la barra de menú sobre la lista de dispositivos para acceder a la pantalla Crear nuevo dispositivo que se muestra en la Figura 3-8 . Tiene la opción de agregar un dispositivo real si tiene uno, pero también puede agregar un dispositivo simulado. Agregar dispositivos simulados es una buena manera de configurar todo de la manera que desee en IoT Central, y luego puede agregar dispositivos reales en un momento posterior. FIGURA 3-8 Adición de un dispositivo en IoT Central Nota Los dispositivos simulados son una función exclusiva de IoT Central La capacidad de crear un dispositivo simulado es específica de IoT Central. IoT Hub no ofrece esta capacidad. Si desea agregar un dispositivo simulado que se basa en un dispositivo del mundo real, puede elegir una plantilla de dispositivo en la página de inicio de su IoT Central. Todas las páginas de su aplicación se pueden editar directamente en el navegador. La Figura 3-9 muestra la página de inicio de la aplicación IoT Central. Si hace clic en el botón Editar, puede eliminar mosaicos, agregar mosaicos y editar información en mosaicos en una interfaz de apuntar y hacer clic directamente dentro de su navegador. FIGURA 3-9 Edición de una página en IoT Central La razón por la que vemos un botón Editar es porque este usuario está configurado como administrador de esta aplicación. IoT Central le brinda control sobre quién puede hacer qué usando roles. Hay tres roles integrados a los que puede asignar un usuario. Administrador Los usuarios en este rol tienen acceso completo a la aplicación y pueden editar páginas y agregar nuevos usuarios. • Los usuarios de constructor con esta función pueden editar páginas, pero no pueden realizar ninguna tarea administrativa, como agregar usuarios, cambiar las funciones de los usuarios, cambiar la configuración de la aplicación, etc. • Operador Los usuarios con esta función pueden utilizar la aplicación, pero no pueden editar ninguna página y no pueden realizar tareas administrativas. • En algunas situaciones, es posible que estos roles integrados no ofrezcan la flexibilidad que necesita, por lo que también puede crear sus propios roles con los permisos exactos que necesita. Para administrar su aplicación, haga clic en Administración en el menú de la izquierda, como se muestra en la Figura 3-10 . Luego, puede agregar y eliminar usuarios, ajustar las funciones de los usuarios, cambiar el nombre de la aplicación o la URL, agregar una imagen personalizada para su aplicación, etc. También puede copiar o eliminar su aplicación desde esta pantalla. FIGURA 3-10 Administración de una aplicación en IoT Central Si hace clic en un dispositivo, puede ver la información que proviene de los sensores del dispositivo. En la Figura 3-11 , puede ver los sensores de humedad y temperatura en el dispositivo F14_TempMonitor . FIGURA 3-11 Revisión de los datos del sensor de un dispositivo en IoT Central IoT Central también le permite configurar fácilmente reglas que monitorearán sus dispositivos y realizarán una acción que elija cuando su regla esté activada. En la Figura 3-12 , estamos configurando una regla que se activará cuando la Humedad sea superior a 60. FIGURA 3-12 Creación de una regla Cuando se activa una regla, IoT Central puede enviar un correo electrónico a alguien con detalles de lo que sucedió. También puede optar por activar un webhook para llamar a una función de Azure, ejecutar un flujo de trabajo en una aplicación Azure Logic, ejecutar un flujo de trabajo en Microsoft Power Automate o hacer algo específico en su propia aplicación que exponga un webhook. Cuando tiene una gran cantidad de dispositivos, es conveniente agruparlos en un grupo de dispositivos para que pueda realizar acciones en muchos dispositivos a la vez. Para crear un grupo de dispositivos, especifique una condición que se debe cumplir para que se agregue un dispositivo al grupo. En la Figura 3-13 , estamos creando un grupo de dispositivos para todos los dispositivos que tienen F14 en el nombre. Si el nombre contiene F14 , el dispositivo se agrega automáticamente al grupo de dispositivos. Incluso cuando agregue un nuevo dispositivo más adelante, será parte de este grupo de dispositivos si el nombre contiene F14 . FIGURA 3-13 Creación de un grupo de dispositivos Una vez que haya creado un grupo de dispositivos, puede realizar una acción en los dispositivos que contiene creando un trabajo. Haga clic en Trabajos en el menú principal de su aplicación para configurar su trabajo. Un trabajo puede modificar propiedades, cambiar configuraciones o enviar comandos a dispositivos. En la Figura 3-14 , estamos creando un trabajo que encenderá los LED para todos los dispositivos de nuestro conjunto de dispositivos. FIGURA 3-14 Creación de un trabajo IoT Central también le permite realizar análisis de métricas de dispositivos en un conjunto de dispositivos. Por ejemplo, puede mirar todos los dispositivos que registraron temperaturas por encima de cierto nivel. Para un análisis de datos aún más rico, puede configurar IoT Central para exportar continuamente datos desde sus dispositivos a Azure Blob Storage, Azure Event Hubs o Azure Service Bus. Esfera azul Tener sus dispositivos conectados a Internet ciertamente ofrece muchas ventajas. Si está en la tienda y no puede recordar si necesita leche, su frigorífico inteligente puede avisarle. Si acaba de salir de viaje y cree que puede haber dejado el horno encendido, su horno inteligente se puede apagar desde su teléfono. Entiendes la idea. En general, la conectividad es algo bueno, pero también tiene sus desventajas, entre las que se encuentra la seguridad. ¡Lo último que desea es que un pirata informático controle las cerraduras de las puertas conectadas a Internet de su casa! Los dispositivos de IoT son como cualquier otro dispositivo informático en el sentido de que ejecutan software diseñado para un propósito específico. Cualquier dispositivo que ejecute software es susceptible a errores de software, y los dispositivos de IoT no son diferentes. Sin embargo, el software del dispositivo IoT está integrado en un chip y eso presenta desafíos únicos para corregir errores y actualizar el software. Cuando agrega el hecho de que hay poca o ninguna estandarización en el negocio de los dispositivos de IoT, termina con una posible pesadilla de seguridad. Para abordar estos problemas de seguridad, Microsoft desarrolló Azure Sphere. Azure Sphere se basa en las décadas de experiencia de Microsoft y en la investigación en profundidad que Microsoft realizó sobre la protección de dispositivos. Más información Siete propiedades de los dispositivos de alta seguridad Microsoft redactó un documento técnico, "Siete propiedades de los dispositivos altamente seguros", que detalla la investigación sobre la protección de los dispositivos. Puede leer el informe técnico en https://aka.ms/7properties . Azure Sphere es en realidad un ecosistema completo y comienza con el chip o la unidad de microprocesador (MCU). Microsoft ha desarrollado una MCU Azure Sphere que contiene componentes de seguridad integrados en el chip. Los terceros pueden usar estas MCU para ejecutar código específico para sus necesidades, y ese código se ejecuta en el sistema operativo Azure Sphere, que es una versión personalizada de Linux desarrollada para Azure Sphere. En Azure, Azure Sphere Security Service garantiza que las MCU estén protegidas, brinda la capacidad de actualizar el sistema operativo Azure Sphere integrado y las aplicaciones que se ejecutan en las MCU, y permite informar sobre fallas y otros análisis. Uno de los enormes beneficios del ecosistema de Azure Sphere es la capacidad de corregir errores en chips integrados que pueden crear problemas de seguridad. Este ecosistema proporciona un entorno seguro para ejecutar código incrustado, pero también refuerza la comunicación segura entre dispositivos. Es probable que su refrigerador inteligente pueda comunicarse con otros dispositivos inteligentes en su hogar y, al garantizar una autenticación sólida entre estos dispositivos, Azure Sphere puede ayudar a garantizar un entorno seguro para todos sus dispositivos inteligentes. Al momento de escribir este artículo, solo hay una MCU certificada por Azure Sphere disponible, pero Microsoft espera que los fabricantes de dispositivos inteligentes continúen adoptando Azure Sphere para sus MCU. Para facilitar ese proceso, los kits de desarrollo de Azure Sphere están disponibles a un precio reducido. El kit de desarrollo incluye hardware que está listo para Azure Sphere y un kit de desarrollador de software (SDK) de Azure Sphere para Microsoft Visual Studio. Más información Kits para desarrolladores de Azure Sphere Puede ver todos los kits para desarrolladores de Azure Sphere en https://aka.ms/AzureSphereDevKitsAll . Para aprovechar Azure Sphere, cómprelo a un distribuidor de Microsoft. El distribuidor vende un paquete que incluye una MCU certificada por Azure Sphere, una licencia para el servicio de seguridad Azure Sphere y una licencia para el sistema operativo Azure Sphere. El precio actual del MediaTek MT3620 AN (actualmente el único MCU certificado por Azure Sphere) es menos de $ 8,65. El precio varía según la cantidad de MCU que compre, pero el precio no excederá los $ 8,65 por unidad. Sugerencia para el examen El precio de Azure Sphere incluye las actualizaciones del sistema operativo y del Servicio de seguridad de Azure Sphere hasta julio de 2031. Análisis de Azure Synapse Las empresas recopilan enormes cantidades de datos de muchas fuentes diferentes. Por ejemplo, Microsoft ofrece un SLA en los servicios de Azure de aproximadamente el 99,9 por ciento o más en términos de disponibilidad. Microsoft no publica ese número y luego simplemente cruza los dedos y espera que nada salga mal. Mantienen enormes cantidades de datos sobre cómo funciona la infraestructura de Azure y utilizan esos datos para predecir problemas y reaccionar ante ellos antes de que afecten a los clientes. Más información sobre el uso de datos La enorme cantidad de datos que recopilan las empresas se utiliza a menudo para el aprendizaje automático. Aprenderá sobre el aprendizaje automático más adelante en este capítulo. Debido a la enorme enormidad de la infraestructura de Azure, puede imaginar cuántos datos se están generando para cada sistema en esa infraestructura y, para cumplir con los SLA, deben poder analizar de manera confiable esos datos en tiempo real. ¿Cómo exactamente hacen eso? Realmente no puede arrojar esa cantidad de datos a una máquina virtual o un grupo de máquinas virtuales sin sobrecargar el sistema hasta el punto de fallar. El problema de hacer cualquier cosa con la gran cantidad de datos que recopilamos es común en todas las empresas, y esto es lo que entendemos por big data . Big data significa más datos de los que puede analizar a través de medios convencionales dentro del período de tiempo deseado. El análisis de big data requiere un sistema potente para almacenar datos, la capacidad de consultar los datos de múltiples formas, un enorme poder para ejecutar consultas grandes, la garantía de que los datos están seguros y mucho más. Eso es exactamente lo que proporciona el análisis de Azure Synapse. Nota Azure Synapse Azure Synapse es la próxima evolución de otro servicio de Azure llamado SQL Data Warehouse. Si bien es cierto que Azure Synapse es el reemplazo de SQL Data Warehouse, también es importante tener en cuenta que Azure Synapse agrega mucha más funcionalidad. SQL Data Warehouse se centró principalmente en el almacenamiento de macrodatos (denominado almacenamiento ), pero Azure Synapse proporciona esa funcionalidad además de potentes funciones de análisis. Azure Synapse se ejecuta en un clúster de Azure Synapse . Un clúster es una combinación de cuatro componentes diferentes: • Synapse SQL • Integración con Apache Spark • Integración de datos de Spark y Azure Data Lake Storage Una interfaz de usuario basada en web denominada Azure Synapse Studio • Sugerencia para el examen En el momento de escribir este artículo, Azure Synapse está en versión preliminar y cambia con frecuencia. La mayor parte de la información que necesita saber para el examen AZ-900 es de alto nivel, pero aún existe la posibilidad de que Azure Synapse haya cambiado desde que se escribió este contenido. Verifique la información de Azure Synapse disponible en https://azure.microsoft.com/en-us/services/synapse-analytics/ . Synapse SQL es la parte de almacenamiento de datos de Azure Synapse. Con Synapse SQL, puede ejecutar consultas potentes contra su big data. Estas consultas se ejecutan en nodos informáticos y varios nodos informáticos se ejecutan al mismo tiempo, lo que permite que varias consultas se ejecuten en paralelo. Cada nodo de cómputo también ejecuta un componente llamado Servicio de movimiento de datos (DMS) que mueve los datos de manera eficiente entre los nodos de cómputo. Las consultas se ejecutan en los nodos de cálculo para separar el trabajo de la consulta del almacenamiento de datos. Esto hace posible escalar el número de nodos de cómputo fácilmente cuando se necesita más potencia para sus consultas. Esto también le permite pausar la potencia de cómputo que está utilizando para que solo pague por el almacenamiento cuando no necesite ejecutar consultas. Muchos consumidores de big data utilizan un motor de procesamiento de big data de terceros llamado Apache Spark, y Azure Synapse se integra estrechamente con el motor Spark. Las características de Spark se incorporan automáticamente en Azure Synapse cuando crea un clúster. Azure Synapse integra la funcionalidad de Apache Spark con Azure Data Lake Storage. Azure Data Lake Storage está diseñado para almacenar grandes cantidades de datos que le gustaría analizar, pero Data Lake Storage está diseñado para una amplia variedad de datos en lugar de datos relacionales. En un lago de datos, los datos se almacenan en contenedores . Cada contenedor normalmente contiene datos relacionados. Tenga en cuenta que no solo Azure Los términos lago de datos y almacén de datos no son específicos de Azure. Son términos genéricos. Un lago de datos se refiere a un repositorio de datos desordenados y un almacén de datos se refiere a un repositorio de datos ordenados. Azure Synapse facilita el análisis y la administración de datos con un portal basado en web llamado Azure Synapse Studio. Una vez que haya creado su espacio de trabajo de Azure Synapse, simplemente haga clic en un botón para iniciar Synapse Studio y, desde allí, podrá administrar y analizar sus datos fácilmente. HDInsight HDInsight permite crear y administrar fácilmente clústeres de equipos en un marco común diseñado para realizar el procesamiento distribuido de macrodatos. Básicamente, HDInsight es el servicio administrado de Microsoft que proporciona una implementación basada en la nube de una popular plataforma de análisis de datos llamada Hadoop. Sin embargo, también admite muchos otros tipos de clústeres, como se muestra en la Tabla 3-3 . TABLA 3-3 Tipos de clústeres compatibles con HDInsight Tipo de Descripción clúster Hadoop Procesamiento de datos a gran escala que puede incorporar componen adicionales, como Hive (para consultas similares a SQL), Pig (para usar scripting) y Oozie (un sistema de programación de flujo de trabajo) HBase Base de datos NoSQL extremadamente rápida y escalable Tormenta Procesamiento rápido y confiable de flujos de datos ilimitados en tiemp Chispa chispear Análisis extremadamente rápido con caché en memoria en múltiples op paralelo Consulta interactiva Análisis en memoria mediante Hive y LLAP (procesos que ejecutan frag consultas de Hive) Tipo de clúster Descripción Servidor R Análisis de nivel empresarial con R, un lenguaje especializado en anális Kafka Procesamiento extremadamente rápido de una gran cantidad de flujos síncronos, a menudo desde dispositivos IoT. Crear su propio clúster requiere mucho tiempo y, a menudo, es difícil a menos que tenga experiencia previa. Con HDInsight, Microsoft hace todo el trabajo pesado en su propia infraestructura.Se beneficia de un entorno seguro, uno que es fácilmente escalable para manejar enormes tareas de procesamiento de datos. Un clúster de HDInsight realiza análisis dividiendo grandes bloques de datos en segmentos que luego se entregan a los nodos dentro del clúster. Luego, los nodos realizan análisis de los datos y los reducen a un conjunto de resultados. Todo este trabajo ocurre en paralelo para que las operaciones se completen dramáticamente más rápido de lo que serían de otra manera. Al agregar nodos adicionales a un clúster, puede aumentar el poder de sus análisis y procesar más datos aún más rápido. Cuando crea un clúster de HDInsight, especifica el tipo de clúster que desea crear y le asigna un nombre como se muestra en la Figura 315 . También especificará un nombre de usuario y una contraseña para acceder al clúster y un usuario SSH para un acceso remoto seguro. FIGURA 3-15 Creación de un clúster de HDInsight Hadoop Después de hacer clic en el botón Siguiente: Almacenamiento, configura la cuenta de almacenamiento y el acceso a Data Lake Storage si lo desea. Observe en la Figura 3-16 que solo ve Data Lake Storage Gen1. Para usar Data Lake Storage Gen2, primero debe crear una cuenta de Data Lake Storage Gen2 y realizar algunos cambios de configuración, como se documenta en https://docs.microsoft.com/enus/azure/hdinsight/hdinsight-hadoop-use -data-lake-storage-gen2 . FIGURA 3-16 Configuración de la cuenta de almacenamiento de un clúster de HDInsight Una vez que inicie la creación de su clúster de Hadoop, puede tardar hasta 20 minutos en completarse, según su configuración. Una vez que su clúster esté listo, puede comenzar el análisis de datos escribiendo consultas en él. Incluso si sus consultas están analizando millones de filas, HD Insight puede manejarlo y, si necesita más potencia de procesamiento, puede agregar nodos adicionales según sea necesario. Los clústeres de HD Insight se facturan por hora y usted paga más por hora en función de la potencia de las máquinas de su clúster. Para obtener detalles completos de precios, consulte: https://azure.microsoft.com/pricing/details/hdinsight/ . Azure Databricks Los datos que se almacenan en un almacén de datos o en un lago de datos suelen ser datos sin procesar que a menudo no están estructurados y son difíciles de consumir. Además, es posible que necesite datos que provengan de varias fuentes, algunas de las cuales incluso pueden estar fuera de Azure. Azure Databricks es una solución ideal para acumular datos y para formar los datos (llamado modelado de datos ) para que sea óptima para los modelos de aprendizaje automático. Más información Modelos de aprendizaje automático Aprenderá sobre los modelos de aprendizaje automático en la siguiente sección de este capítulo. La figura 3-17 muestra una nueva instancia de un recurso de Azure Databricks. Toda su interactividad con Databricks se realiza a través del espacio de trabajo de Databricks, que es un portal basado en web para interactuar con sus datos. Para acceder al espacio de trabajo, haga clic en el botón Iniciar área de trabajo que se muestra en la Figura 3-17 . FIGURA 3-17 Una instancia de Azure Databricks en Azure Portal Más información Databricks Databricks es en realidad el nombre de una empresa que desarrolló originalmente Apache Spark. Ahora opera una plataforma de análisis de datos llamada Databricks. Puede tener la tentación de pensar en Azure Databricks como la plataforma Databricks que se ejecuta como un servicio en Azure, pero es mucho más que eso. De hecho, Microsoft creó de forma nativa Databricks Runtime para ejecutarse en Azure, y Azure Databricks proporciona muchas más características únicas fuera de la plataforma Databricks desarrollada por Databricks. Al hacer clic en Iniciar área de trabajo, se lo lleva al área de trabajo de Databricks. Azure iniciará sesión automáticamente cuando haga esto con su cuenta de Azure. En este ejemplo, la instancia de Databricks está completamente vacía en este punto. A lo largo del lado izquierdo de la página (como se muestra en la Figura 3-18 ) hay enlaces para acceder a todas las entidades de Databricks, como espacios de trabajo, tablas y trabajos. También hay una sección de Tareas comunes, que le permite acceder a estas entidades; Además, puede crear nuevos cuadernos, que se detallan más adelante en este capítulo. FIGURA 3-18 El espacio de trabajo de Azure Databricks Ahora creemos un clúster. Databricks hace todo su trabajo utilizando clústeres, que son los recursos informáticos. Para crear un clúster, puede hacer clic en Nuevo clúster en Tareas comunes. Ahora verá la pantalla Crear clúster que se muestra en la Figura 3-19 , donde el nuevo clúster se ha denominado jcCluster y todas las demás opciones están configuradas con sus valores predeterminados. FIGURA 3-19 Creación de un clúster de Databricks A continuación, crearemos un cuaderno. Los cuadernos son una forma poderosa de presentar e interactuar con datos relacionados. Cada cuaderno contiene datos, así como visualizaciones y documentación para ayudarnos a comprender los datos. Una vez que sus datos están en su computadora portátil, puede ejecutar comandos en los marcos de aprendizaje automático para construir su modelo de aprendizaje automático dentro de su computadora portátil. Hacer clic en el botón Azure Databricks en el menú de la izquierda (que se muestra en la Figura 3-18 ) le permite hacer clic en Nuevo cuaderno para crear un cuaderno. En la Figura 3-20 , hemos creado un nuevo cuaderno que usa SQL como idioma principal. Databricks asume que el código escrito en este cuaderno será código SQL a menos que se especifique. También puede optar por especificar Python, Scala o R como lenguaje. Más información Lenguajes de programación Python, Scala y R son lenguajes de programación que se usan comúnmente para programar modelos de aprendizaje automático. FIGURA 3-20 Creación de un cuaderno Después de crear una nueva libreta, verá una libreta vacía con una celda. Dentro de esa celda, puede ingresar cualquier dato que desee. Por ejemplo, es posible que desee tener documentación que defina lo que contiene este cuaderno. La documentación en los cuadernos se ingresa usando Markdown , un lenguaje que se adapta bien a la escritura de documentación. La Figura 3-21 muestra el nuevo cuaderno con algunas rebajas que documentan lo que hay en el cuaderno. Observe que Markdown comienza con % md . Esto le dice a Databricks cómo el contenido que sigue está en Markdown y no en el idioma principal de SQL. FIGURA 3-21 Documentación de un cuaderno con Markdown Si hace clic fuera de esta celda, el código de descuento se representará en formato HTML. Para agregar algunos datos a este cuaderno, debe crear una nueva celda presionando B en su teclado o colocando el cursor sobre la celda existente y haciendo clic en el botón + para agregar una nueva celda. Nota Atajos de teclado Los atajos de teclado son, con mucho, la forma más rápida de trabajar en Databricks. Puede encontrar la lista completa de atajos de teclado haciendo clic en el enlace Atajos que se muestra en la Figura 3-21 . Después de presionar B en su teclado, se inserta una nueva celda al final de su computadora portátil. Puede ingresar algún código SQL en esta celda para completar una tabla con algunos datos, como se muestra en la Figura 3-22 . (Este código se tomó del tutorial de inicio rápido de Databricks en https://docs.azuredatabricks.net/gettingstarted/index.html ). Después de ingresar su código, puede ejecutarlo haciendo clic en el botón Ejecutar. FIGURA 3-22 Agregar código y ejecutar un comando Más información de dónde provienen los datos Observe que la ruta ingresada para los datos comienza con / databricks-datasets . Al crear un clúster, obtiene acceso a una colección de conjuntos de datos denominados Conjuntos de datos de Azure Databricks. En estos conjuntos de datos se incluyen algunos datos de muestra en formato de valores separados por comas, y la ruta especificada apunta a esos datos. Cuando se ejecuta este comando, extrae esos datos a su computadora portátil. Puede ejecutar una consulta con los datos que se agregaron utilizando el comando que se muestra en la Figura 3-22 escribiendo una consulta SQL en una nueva celda. La figura 3-23 muestra los resultados de una consulta con los datos. FIGURA 3-23 Consulta de datos Cuando ejecuta comandos en una celda, Databricks crea un trabajo que se ejecuta en los recursos informáticos que asignó a su clúster. Databricks utiliza un modelo informático sin servidor. Eso significa que cuando no está ejecutando ningún trabajo, no tiene ninguna máquina virtual ni recursos informáticos asignados. Cuando ejecuta un trabajo, Azure asignará máquinas virtuales a su clúster temporalmente para procesar ese trabajo. Una vez que se completa el trabajo, libera esos recursos. Este ejemplo es bastante simple, pero ¿cómo se relaciona todo esto con el aprendizaje automático? Azure Databricks incluye Databricks Runtime for Machine Learning (Databricks Runtime ML) para que pueda usar datos en Databricks para entrenar algoritmos de aprendizaje automático. Databricks Runtime ML incluye varias bibliotecas populares para el aprendizaje automático, que incluyen: Keras, PyTorch, TensorFlow y XGBoost. También permite utilizar Horovod para algoritmos distribuidos de aprendizaje profundo. Puede utilizar estos componentes sin utilizar Databricks Runtime ML. Son de código abierto y están disponibles gratuitamente, pero Databricks Runtime ML le ahorra la molestia de aprender a instalarlos y configurarlos. Sugerencia para el examen Una discusión sobre cómo se programan los modelos de aprendizaje automático está fuera del alcance del examen AZ-900, y no lo discutiremos aquí. El punto importante a recordar es que Databricks funciona con marcos de aprendizaje automático de terceros para permitirle crear modelos de aprendizaje automático. Para usar Databricks Runtime ML, deberá especificarlo cuando cree su clúster o editar su clúster existente para usarlo. Puede hacerlo eligiendo uno de los tiempos de ejecución de ML, como se muestra en la Figura 324 . FIGURA 3-24 Databricks Runtime ML en configuración de clúster No está limitado a las bibliotecas incluidas con Databricks Runtime ML. Puede configurar casi cualquier herramienta de aprendizaje automático de terceros en Azure Databricks, y Microsoft proporciona algunos consejos sobre cómo hacerlo en su documentación ubicada en https://bit.ly/az900-thirdpartyml . Sugerencia para el examen Es posible que haya notado varias referencias a Spark en Databricks. Eso es porque Databricks se basa en Apache Spark. Una vez que haya creado su modelo de aprendizaje automático en Databricks, puede exportarlo para usarlo en un sistema de aprendizaje automático externo. Este proceso se conoce como producción de la canalización de aprendizaje automático, y Databricks le permite realizar la producción mediante dos métodos diferentes: MLeap y Databricks ML Model Export. MLeap es un sistema que puede ejecutar un modelo de aprendizaje automático y realizar predicciones basadas en ese modelo. Databricks le permite exportar su modelo a lo que se llama un paquete MLeap. Luego, puede usar ese paquete en MLeap para ejecutar su modelo con datos nuevos. Databricks ML Model Export está diseñado para exportar sus modelos y canalizaciones de aprendizaje automático para que puedan usarse en otras plataformas de aprendizaje automático. Está diseñado específicamente para exportar modelos y canalizaciones de aprendizaje automático basados en Apache Spark. Aprendizaje automático de Azure Azure Machine Learning es un servicio que le permite adentrarse en el mundo de la inteligencia artificial o IA . Para comprender realmente el aprendizaje automático de Azure, primero debe tener una base de conocimientos de inteligencia artificial y aprendizaje automático. Inteligencia artificial Antes de ir demasiado lejos en la IA, primero lleguemos a un acuerdo sobre lo que entendemos por IA. Cuando muchas personas piensan en la IA de las computadoras, la imagen que les viene a la mente es un androide que mata a los humanos o alguna otra tecnología hostil obsesionada con librar al mundo de los humanos. Se sentirá aliviado al saber que en realidad eso no es lo que significa la IA en este contexto. La IA de hoy se llama Inteligencia Artificial Estrecha (oa veces IA débil), y se refiere a una IA que es capaz de realizar una tarea específica de manera mucho más eficiente de lo que un humano puede realizar esa misma tarea. Toda la IA que hemos desarrollado hasta ahora es una IA débil. En el otro extremo del espectro de la IA está la Inteligencia General Artificial o IA fuerte. Este es el tipo de IA que se muestra en películas y libros de ciencia ficción, y actualmente no tenemos este tipo de capacidad. En muchos sentidos, es un poco engañoso llamar débil a la tecnología de inteligencia artificial existente. Si lo coloca en el contexto de la IA fuerte imaginaria, ciertamente tiene capacidades limitadas, pero la IA débil puede hacer cosas extraordinarias, y es casi seguro que se beneficie de sus capacidades todos los días. Por ejemplo, si habla con su teléfono o su altavoz inteligente y entiende lo que ha dicho, se ha beneficiado de la IA. En la edición de 1973 de Perfiles del futuro , el famoso escritor de ciencia ficción Arthur C. Clarke dijo: "Cualquier tecnología lo suficientemente avanzada es indistinguible de la magia". Si bien la inteligencia artificial aún no existía cuando Clarke hizo esta afirmación, las capacidades que la inteligencia artificial hace posible son ciertamente aplicables, pero la inteligencia artificial no es mágica. La IA es en realidad matemáticas y, como le dirá cualquiera que esté familiarizado con las computadoras, las computadoras son muy buenas en matemáticas. Para desarrollar las capacidades de la IA, los ingenieros informáticos se propusieron brindar a las computadoras la capacidad de "aprender" de la misma manera que aprende el cerebro humano. Nuestros cerebros están formados por neuronas y sinapsis. Cada neurona se comunica con todas las demás neuronas del cerebro y juntas forman lo que se conoce como red neuronal. Si bien cada neurona por sí sola no puede hacer mucho, toda la red es capaz de realizar cosas extraordinarias. La IA funciona creando una red neuronal digital. Cada parte de esa red neuronal puede comunicarse y compartir información con todas las demás partes de la red. Al igual que nuestro cerebro, una red neuronal de computadora toma entradas, las procesa y proporciona resultados. La IA puede utilizar muchos métodos para procesar la entrada, y cada método es un subconjunto de la IA. Los dos más comunes son la comprensión del lenguaje natural y el aprendizaje automático. La comprensión del lenguaje natural es una inteligencia artificial diseñada para comprender el habla humana. Si intentáramos programar una computadora para comprender la palabra hablada por medios informáticos tradicionales, un ejército de programadores tardaría décadas en llegar a un reconocimiento utilizable. No solo tendrían que tener en cuenta los acentos y las diferencias de vocabulario que ocurren en diferentes regiones geográficas, sino que también tendrían que tener en cuenta el hecho de que las personas a menudo pronuncian las palabras de manera diferente incluso en las mismas regiones. Las personas también tienen diferentes cadencias del habla, y eso hace que algunas palabras funcionen juntas. La computadora tiene que saber cómo distinguir palabras individuales cuando eso no sea fácil de hacer. Además de toda esta complejidad, la computadora debe tener en cuenta el hecho de que el lenguaje es algo en constante cambio. Más información sobre servicios cognitivos Azure ofrece numerosas opciones para la comprensión del lenguaje natural. Estos servicios están incluidos en Servicios cognitivos y se tratan en la siguiente sección. Dada esta complejidad, ¿cómo es que Amazon desarrolló el Echo? ¿Cómo ha entendido Siri lo que estás diciendo? ¿Cómo sabe Cortana hacer una broma inteligente cuando le preguntamos sobre Siri? La respuesta en todos estos casos es la IA. Tenemos millones de horas de grabaciones de audio y tenemos millones de horas más en videos que incluyen audio. Hay tantos datos disponibles que ningún ser humano podría procesarlos todos, pero una computadora procesa los datos mucho más rápidamente. No solo tiene más vías analíticas que los humanos, sino que también procesa la información mucho más rápidamente. Más información Las computadoras son rápidas Cuando digo que las computadoras pueden procesar información más rápidamente que los humanos, ¡lo digo en serio! La información en un cerebro humano viaja entre neuronas a una velocidad que está apenas por debajo de la velocidad del sonido. Si bien es bastante rápido para nuestras necesidades, no es nada comparado con las computadoras. La información en una red neuronal de IA viaja a la velocidad de la luz, y eso es lo que permite a las computadoras procesar enormes cantidades de datos. De hecho, el sistema de inteligencia artificial de una computadora puede procesar 20.000 años de aprendizaje a nivel humano en solo una semana. Si alimentamos todas esas grabaciones en un motor de comprensión del lenguaje natural, tiene muchos ejemplos para determinar qué palabras estamos hablando cuando le decimos algo a un altavoz inteligente o un teléfono inteligente, y determinar el significado de estas palabras es simplemente un patrón reconocimiento. Mientras Apple, Amazon y Microsoft estaban trabajando en esta tecnología, la ajustaron al recibir sus comentarios. A veces, es posible que te pregunten si lo hicieron bien y, en otras ocasiones, podrían asumir que se equivocaron en algo si te retiraste temprano de la conversación. Con el tiempo, el sistema mejora y mejora a medida que obtiene más datos. El aprendizaje automático (ML) es similar en el sentido de que utiliza una red neuronal para realizar una tarea, pero la tarea es diferente de comprender el habla. De hecho, el aprendizaje automático se puede utilizar en muchas aplicaciones. Uno de los usos comunes del aprendizaje automático es el reconocimiento de imágenes. Resulta que las redes neuronales de IA son particularmente buenas para reconocer patrones en imágenes y, al igual que el audio, tenemos una enorme cantidad de datos con los que trabajar. Es probable que todos sepamos que los satélites han estado fotografiando la superficie de la tierra durante bastante tiempo. Tenemos imágenes detalladas de casi cada centímetro cuadrado de nuestro planeta, y esas imágenes son valiosas de muchas maneras. Por ejemplo, los científicos que están trabajando en esfuerzos de conservación se benefician al saber cómo nuestro planeta está cambiando con el tiempo. Los ingenieros forestales necesitan conocer la salud de nuestros bosques. Los conservacionistas de la vida silvestre necesitan saber dónde concentrar los esfuerzos y dónde los animales están en mayor riesgo. Al aplicar un modelo de aprendizaje automático a todas estas imágenes, Microsoft puede satisfacer todas estas necesidades. Más información Microsoft AI for Earth Para obtener más información sobre todas las formas en que Microsoft utiliza la inteligencia artificial para la conservación y las ciencias de la tierra, consulte http://aka.ms/aiforearth . La IA de análisis de imágenes no se limita a la escala planetaria. También es útil cuando queremos buscar en nuestras propias imágenes. Quizás quieras encontrar todas las fotografías que has tomado de una persona en particular, o quizás estés interesado en encontrar todas tus fotografías de flores. Es probable que su teléfono pueda hacer este tipo de cosas, y lo hace mediante el uso de IA y ML. De hecho, Google Photos incluso puede identificar a personas específicas en las fotos cuando el tiempo entre dos fotos es de décadas. Todo esto usa ML. ML utiliza un algoritmo de aprendizaje que es la base de la IA. Una vez que se desarrolla el algoritmo, le da datos de prueba y examina el resultado. Según ese resultado, puede determinar que necesita modificar el algoritmo. Una vez que el algoritmo es adecuado para su tarea, normalmente lo implementa en un entorno donde tiene una amplia gama de recursos informáticos que puede asignarle. A continuación, puede enviarle grandes cantidades de datos para su procesamiento. A medida que el algoritmo maneja más datos, puede mejorarse reconociendo patrones. Por lo general, cuando está probando un modelo de AA, configura un escenario en el que solo una parte de su conjunto de datos completo se envía a su modelo para su entrenamiento. Una vez que su modelo está entrenado, envía el resto de sus datos a través de su modelo para calificar los resultados. Debido a que está tratando con un conjunto de datos históricos, ya sabe lo que su modelo está tratando de averiguar, por lo que puede determinar con precisión la precisión de su modelo. Una vez que haya logrado la precisión deseada de su modelo, puede implementarlo y comenzar a usarlo con los datos de producción. Incluso con un modelado y una puntuación cuidadosos, los algoritmos de ML pueden cometer errores. En un artículo sobre ML publicado en 2016, Marco Ribeiro, Sameer Singh y Carlos Guestrin escribieron sobre un experimento de ML que fue diseñado para mirar imágenes y diferenciar entre perros y lobos. Resulta que el algoritmo estaba cometiendo muchos errores, pero los humanos no podían entender por qué. Cuando probaron el algoritmo ML para determinar cómo estaba tomando estas decisiones incorrectas, encontraron que el algoritmo había llegado a la conclusión de que las imágenes con lobos tenían un fondo nevado y las imágenes con perros tenían pasto de fondo. Por lo tanto, cada foto con una criatura parecida a un perro que se tomó sobre un fondo nevado se clasificó inmediatamente (a veces incorrectamente) como un lobo. Más información IA y confianza La analogía del lobo ilustra una de las principales preocupaciones de la IA, que es cómo determinar cuándo confiar en un modelo de IA. Si desea profundizar en este concepto, consulte este documento al que se hace referencia en https://arxiv.org/pdf/1602.04938.pdf . Ahora que tiene algunos conocimientos básicos, está en una mejor posición para comprender lo que ofrece Azure con Azure Machine Learning. Aprendizaje automático en Azure Azure Machine Learning está diseñado para que el aprendizaje automático sea accesible para casi cualquier persona. Ofrece SDK tanto para Python como para R, y también ofrece un entorno de arrastrar y soltar y un modo automatizado para crear y entrenar modelos ML de manera más fácil y visual. Azure Machine Learning está disponible en dos ediciones; Básico y Empresarial. La edición básica solo ofrece acceso a los SDK y portátiles de ML. La edición Enterprise ofrece las características de la edición básica, pero agrega muchas características adicionales, incluidos los diseñadores visuales. Nota Estudio de aprendizaje automático Microsoft también tiene un Machine Learning Studio independiente que se ejecuta en su propio portal, pero esa oferta está obsoleta en favor de Azure Machine Learning. Puede ser un poco confuso porque Azure Machine Learning también ofrece un estudio, pero es una oferta diferente. Para comenzar con Azure Machine Learning, primero cree un área de trabajo de Azure Machine Learning. Una vez que haya creado su espacio de trabajo, puede comenzar a construir modelos, entrenar modelos, ejecutar experimentos, etc. Como puede ver en la figura 3-25 , se le dirigirá al estudio de Azure Machine Learning para la mayoría de las operaciones. FIGURA 3-25 Un espacio de trabajo de Azure Machine Learning Al hacer clic en el botón Launch Now que se muestra en la Figura 3-25, se inicia el estudio donde puede construir sus modelos ML. Como se muestra en la Figura 3-26 , también puede cargar algunos ejemplos en el estudio para poder experimentar con Azure Machine Learning. FIGURA 3-26 Estudio de Azure Machine Learning que muestra la página del diseñador El precio de Azure Machine Learning se basa en su uso. Se le factura por una máquina virtual donde se ejecutan sus activos de Azure Machine Learning. También se le cobra un recargo por aprendizaje automático y una pequeña cantidad por hora de uso. Si desea ahorrar dinero, puede optar por reservar su uso durante un año a un costo reducido o tres años con una reducción de costo mayor. Servicios cognitivos Microsoft ofrece numerosas interfaces de programación de aplicaciones (API) que pueden ayudarlo a desarrollar rápidamente soluciones de aprendizaje automático. Estas ofertas le permiten acelerar sus capacidades de aprendizaje automático aprovechando el trabajo que Microsoft ha realizado para respaldar sus propios servicios como Bing, Microsoft 365 y más. Puede pensar en los servicios cognitivos como modelos de aprendizaje automático SaaS que puede utilizar directamente en sus soluciones de aprendizaje automático sin el gasto de desarrollar las suyas propias. Más información Los servicios cognitivos son muchos Microsoft ofrece muchas API en Cognitive Services y el número crece constantemente. Cubriremos algunos de ellos aquí, pero hay demasiados para cubrirlos todos en este libro. Si desea leer sobre todos ellos, puede hacerlo en https://bit.ly/az900-cognitiveapis . Cognitive Services incluye una API llamada Computer Vision que facilita la creación de un motor de aprendizaje automático que puede extraer información de imágenes. Computer Vision puede hacer cosas como reconocer objetos o reconocer una escena, pero también puede reconocer contenido inapropiado para que puedas moderar imágenes. Si desea ver Computer Vision en acción, puede ingresar la URL de una imagen o cargar su propia imagen para su análisis en https://bit.ly/az900-computervision . En esa misma línea, la API Video Indexer puede analizar el contenido de video y extraer información de ese contenido. Puede agregar fácilmente subtítulos en varios idiomas, reconocer personas y objetos y buscar videos que contengan palabras, personas o incluso emociones específicas. También hay disponibles numerosas API de voz, desde Speech Translation, que ofrece traducción de idiomas en tiempo real hasta Speaker Recognition, una API que puede analizar el habla e identificar al hablante. Las API de lenguaje ofrecen la capacidad de comprender los comandos escritos (útil para crear algo como un agente de chat automatizado) o Análisis de texto para comprender la opinión del usuario en el texto. Cognitive Services también proporciona API de decisión que le permiten hacer cosas como contenido moderado en imágenes, texto o video. También puede ofrecer a los usuarios una experiencia de usuario personalizada utilizando la API Personalizer. El precio de Azure Cognitive Services es transaccional. Eso significa que paga una pequeña cantidad por las transacciones que procesa a través del servicio. Para obtener una descripción general completa de los precios de Cognitive Services, visite https://azure.microsoft.com/enus/pricing/details/cognitive-services/ . Servicio de bot de Azure Uno de los casos de uso común de Cognitive Services es crear experiencias de conversación con IA. Estas experiencias son comunes en Internet. De hecho, la mayoría de las empresas que ofrecen algún tipo de interacción por chat casi siempre comienzan con un agente automatizado. Los servicios cognitivos pueden ayudar a lograr una experiencia de calidad en esas situaciones. Para facilitar aún más la creación de una interacción potente impulsada por la inteligencia artificial, Microsoft ofrece Azure Bot Service. Azure Bot Service es una oferta de PaaS que se ejecuta en Azure App Service. Eso significa que hereda todas las funciones de App Service, como un escalado sencillo y una configuración sencilla. Puede crear un servicio de bot mediante la plantilla de bot de aplicación web en el portal de Azure. Como se muestra en la Figura 3-27 , puede elegir entre C # y Node.js para el idioma de su SDK, y puede elegir entre diferentes plantillas de bot para sus necesidades específicas. Una vez que haya creado su Bot Service, tiene la opción de descargar el código para que pueda personalizarlo, como se muestra en la Figura 328 . De hecho, el portal de Azure lo guiará a través de todo lo que necesita hacer para comenzar con su bot. Esto incluye editar el código fuente, crear el código fuente, ver análisis, etc. Todas estas tareas son parte del Bot Framework que Microsoft desarrolló para agilizar la creación de bots. FIGURA 3-27 Creación de un bot en Azure Bot Service FIGURA 3-28 Un servicio de bot de Azure en el portal de Azure Mientras desarrolla su bot, puede usar el elemento de menú Probar en chat web en el lado izquierdo del portal (que se muestra en la Figura 328 ) para probar cómo van las cosas. Después de hacer clic en eso, se le pedirá el tipo de cosas que puede decirle al bot. En la Figura 3-29 , puede ver la interacción disponible en la plantilla de Bot básico proporcionada por Microsoft. FIGURA 3-29 Interacción con un bot mediante la función de prueba en Azure Portal Azure Bot Service se puede conectar a muchos servicios populares como Slack, Facebook Messenger, Microsoft Teams y más. Cada uno de estos se considera un canal dentro del Bot Service, y los canales que proporciona Microsoft se denominan canales estándar . Sin embargo, también puede usar lo que Microsoft llama Direct Line para conectar su bot a su propia aplicación o sitio web. Direct Line se considera un canal premium y costará una pequeña cantidad por los mensajes que utiliza. Sugerencia para el examen Debido a que Bot Service se ejecuta en Azure App Service, también se le cobra por un plan de App Service cuando crea un Bot Service. Computación sin servidor Como ya ha aprendido, una de las grandes ventajas de pasar a la nube es que puede aprovechar las grandes cantidades de infraestructura en las que han invertido los proveedores de la nube. Puede crear máquinas virtuales en la nube y pagarlas solo cuando se estén ejecutando. A veces, solo necesita "pedir prestada" una computadora para ejecutar un cálculo o realizar una tarea rápida. En esas situaciones, un entorno sin servidor es ideal. En una situación sin servidor, solo paga cuando su código se ejecuta en una máquina virtual. Cuando su código no se está ejecutando, no paga nada. El concepto de computación sin servidor surgió porque los proveedores de la nube tenían máquinas virtuales sin usar en sus centros de datos y querían monetizarlas. Todos los proveedores de la nube necesitan capacidad excedente para poder satisfacer las necesidades de los clientes, pero cuando las máquinas virtuales están esperando a un cliente que podría querer usarlas, significa una pérdida de ingresos para el proveedor de la nube. Para resolver ese problema, los proveedores de la nube crearon planes basados en el consumo que le permiten ejecutar su código en estas máquinas virtuales excedentes, y solo paga por su uso mientras su código se está ejecutando. Sugerencia para el examen Es importante comprender que "sin servidor" no significa que no haya máquinas virtuales involucradas. Simplemente significa que la máquina virtual que ejecuta su código no se le asigna explícitamente. Su código se mueve a la VM, se ejecuta y luego se mueve. Debido a que su código sin servidor se ejecuta en capacidad excedente, los proveedores de la nube generalmente ofrecen grandes descuentos en planes basados en el consumo. De hecho, para cargas de trabajo pequeñas, es posible que no pague nada en absoluto. Cognitive Services es un ejemplo de un servicio sin servidor, pero Azure tiene muchos otros servicios sin servidor, muchos de los cuales no encajan en las categorías que ya hemos discutido. Son Azure Functions para procesamiento sin servidor, Azure Logic Apps para flujos de trabajo sin servidor y Azure Event Grid para enrutamiento de eventos sin servidor. Funciones de Azure Azure Functions es el componente informático de las ofertas sin servidor de Azure. Eso significa que puede usar Funciones para escribir código sin tener que preocuparse por implementar ese código o crear máquinas virtuales para ejecutar su código. Las aplicaciones que usan Azure Functions a menudo se denominan aplicaciones de función . Más información Función Aplicaciones USE App Service Las aplicaciones funcionales no tienen servidor, pero, bajo el capó, se ejecutan en Azure App Service. De hecho, puede optar por crear su aplicación de función en un plan de servicio de aplicaciones, pero si lo hace, no se beneficiará del modelo de consumo de pagar solo cuando se ejecute su código. Las funciones se pueden crear de muchas formas diferentes. Puede crear una aplicación de función usando: • Microsoft Visual Studio • Código de Microsoft Visual Studio • Maven para aplicaciones de funciones Java Línea de comandos de Python para aplicaciones de funciones de Python • Interfaz de línea de comandos (CLI) de Azure en Windows o Linux • • El portal de Azure Suponiendo que no está creando su aplicación de función con un método específico para un lenguaje en particular, puede elegir entre .NET Core, Node.js, Python, Java o PowerShell Core si está usando la opción Código. También tiene la opción de crear su aplicación de función utilizando un contenedor Docker en una máquina virtual Linux. En la Figura 3-30 , estamos creando una aplicación de función en el portal de Azure y hemos seleccionado .NET Core como el tiempo de ejecución de la aplicación de función para que podamos usar el lenguaje C # para escribir funciones. FIGURA 3-30 Creación de una nueva aplicación de función en Azure Portal Después de seleccionar su versión y pila de tiempo de ejecución, puede configurar cómo se aloja su aplicación de función. Puede elegir entre Linux y Windows como su sistema operativo, aunque algunas selecciones de pila en tiempo de ejecución son válidas solo para uno de los dos. También puede optar por ejecutar en un plan sin servidor (que es el predeterminado) o ejecutar dentro de un plan de App Service. En la Figura 3-31 , la aplicación de función se está configurando para ejecutarse en Windows bajo el tipo de plan Consumo (sin servidor). FIGURA 3-31 Configuración de opciones de alojamiento para una aplicación de función Una vez que su aplicación de funciones esté lista, puede abrirla en el portal para comenzar a crear funciones. La figura 3-32 muestra la nueva aplicación de función en Azure Portal. FIGURA 3-32 Una nueva aplicación de función en Azure Portal Desde aquí, puede crear una nueva función, proxy o ranura. Una función es un código que se ejecuta cuando algo la activa. (Veremos los desencadenantes pronto). Un proxy le permite configurar múltiples puntos finales para su aplicación de función, pero exponerlos todos a través de una única URL. Las tragamonedas le permiten crear una copia de su aplicación de funciones que no está orientada al público. Puede escribir código y probar esta copia, y cuando esté satisfecho de que está lista para la producción, puede cambiarla a producción con solo hacer clic en un botón. En App Service, esta función se llama Deployment Slots. Si hace clic en Configuración de la aplicación de función en Características configuradas (que se muestra en la Figura 3-32 ), podemos cambiar algunas configuraciones para la Aplicación de función, como se muestra en la Figura 3-33 . FIGURA 3-33 Configuración de la aplicación de función Desde esta pantalla, puede configurar una cuota diaria para su aplicación de función. Una vez que alcance la cuota, Azure detendrá la aplicación de funciones hasta el día siguiente. También puede cambiar la versión en tiempo de ejecución de la aplicación de función. Esta es la versión en tiempo de ejecución de Azure Functions y, aunque generalmente se recomienda usar la última versión, si sus funciones se escribieron en una versión anterior, no podrá actualizarlas simplemente cambiando la versión aquí. Cambiar las versiones principales puede hacer que su aplicación se rompa, por lo que Microsoft evitará que cambie la versión si tiene funciones existentes en su aplicación de funciones. También puede cambiar su aplicación de función al modo de solo lectura para evitar cualquier cambio. Esto es útil si tiene varios desarrolladores escribiendo código para su aplicación y no quiere que alguien cambie algo sin su conocimiento. Finalmente, puede ver, renovar, revocar y agregar nuevas claves de host. Se utiliza una clave de host para controlar el acceso a sus funciones. Cuando crea una función, puede especificar si cualquiera puede usarla o si se requiere una clave. Sugerencia para el examen Aunque una clave puede ayudar a proteger sus funciones, no están diseñadas para ofrecer una seguridad completa de las aplicaciones de funciones. Si desea proteger su aplicación de función del uso no autorizado, debe usar las funciones de autenticación disponibles en App Service para requerir autenticación. También puede utilizar Microsoft API Management para agregar requisitos de seguridad a su aplicación de funciones. Si hace clic en Configuración (que se muestra en la Figura 3-32 ), puede configurar los ajustes para la aplicación de función. Estas son configuraciones específicas de App Service. La Figura 3-34 muestra algunas de estas configuraciones, incluido si la aplicación se ejecuta en 32 o 64 bits, la versión HTTP, cómo puede acceder a sus archivos mediante FTP y más. FIGURA 3-34 Algunas de las configuraciones de la aplicación de función Finalmente, si hace clic en la pestaña Características de la plataforma que se muestra en la Figura 3-32 , puede ver todas las características disponibles en la plataforma del Servicio de aplicaciones, como se muestra en la Figura 3-35 . Desde aquí, puede configurar cosas como certificados SSL, nombres de dominio personalizados para su aplicación de función, autenticación llave en mano y más. FIGURA 3-35 Funciones de la plataforma App Service disponibles para su Function App Para crear una nueva función, haga clic en el signo + , como se muestra en la Figura 3-36 . A continuación, puede elegir su entorno de desarrollo. Puede elegir Visual Studio, Visual Studio Code o un entorno de desarrollo dentro de Azure Portal. Además, puede usar un editor de código de su elección junto con las herramientas principales de Azure Functions. FIGURA 3-36 Creación de una función Si elige cualquier opción que no sea In-Portal, deberá especificar cómo desea implementar su función en App Service. Sus opciones dependen del entorno de desarrollo que elija, pero normalmente implicará el uso de características de su entorno para enviar la función directamente a App Service o el uso del Centro de implementación de App Service. De cualquier manera, la implementación es rápida y sencilla. Dependiendo del entorno de desarrollo que elija, es probable que deba completar algunos pasos de requisitos previos para desarrollar su función. Verá una pantalla que le indicará cómo hacer que las cosas funcionen correctamente. En la Figura 3-37 , puede ver lo que se requiere para usar VS Code para desarrollar funciones. En la mayoría de los casos, se le pedirá que instale Azure Functions Core Tools. FIGURA 3-37 Creación de una función con Visual Studio Code y Azure Functions Core Tools Las funciones funcionan mediante un sistema basado en disparadores. Cuando crea su función, elige un disparador que iniciará su función. Cuando se activa, se ejecutará el código de su función. Por lo general, querrá que su código de función haga algo simple. Si necesita una función más compleja que realice muchas cosas, puede usar Proxies de función para crear varias funciones que funcionenjuntos para completar una tarea. Este tipo de desarrollo se conoce como microservicios y le permite cambiar rápidamente la funcionalidad simplemente cambiando una sola función. Una vez que se activa su función y se ejecuta el código, puede elegir qué sucede usando lo que se llama un enlace de salida . El tipo de enlaces que puede utilizar depende del tipo de función que cree. La Figura 338 muestra algunos de los diferentes enlaces de salida disponibles cuando se usa un HttpTrigger para una función. Esta función se ejecutará tan pronto como se solicite una URL en particular. FIGURA 3-38 Enlaces de salida en Azure Functions Más información Funciones HttpTrigger Las funciones de httpTrigger son increíblemente poderosas porque se pueden llamar como webhook. Muchos servicios en línea admiten webhooks. En un escenario de webhook, puede configurar un servicio para realizar una solicitud a una URL particular en respuesta a eventos. Si configura ese webhook para llamar a la URL de su función de Azure, puede agregar fácilmente una funcionalidad poderosa a su flujo de trabajo. También puede configurar múltiples salidas para su función. Sin embargo, para flujos de trabajo más complejos, Logic Apps suele ser una mejor opción y puede integrar Logic Apps directamente con Azure Functions. Aplicaciones lógicas Las aplicaciones lógicas son similares a las aplicaciones funcionales en que se activan mediante un disparador, pero lo que sucede después de eso es completamente diferente. A diferencia de las aplicaciones de función, no es necesario escribir código para crear flujos de trabajo potentes con las aplicaciones lógicas. Nota Power Automate Es posible que esté familiarizado con Power Automate, anteriormente llamado Microsoft Flow. La tecnología subyacente de Power Automate es en realidad Logic Apps. Es por eso que el diseñador de Power Automate se parece mucho a Logic Apps. Un flujo de trabajo simplemente significa que una aplicación lógica reacciona a algo que sucede y responde realizando una serie de tareas, como enviar un correo electrónico, transferir datos a una base de datos, etc. Puede hacer estas cosas en orden, pero también puede hacer dos cosas a la vez. Por ejemplo, cuando un cliente solicita un producto desde su sitio de comercio electrónico, es posible que desee • Actualice su recuento de inventario del producto • Genere una factura para el artículo • Envíe la factura por correo electrónico al cliente • Inscribe al cliente en tu newsletter • Genere una etiqueta de envío para el artículo Logic Apps le permite crear fácilmente este tipo de flujos de trabajo complejos y, dado que Logic Apps se integra con más de 100 servicios (tanto servicios de Azure como de terceros), puede hacer casi cualquier cosa en un flujo de trabajo de Logic Apps. Hay tres componentes en Logic Apps que hacen posible los flujos de trabajo: conectores, desencadenadores y acciones: Un conector es un componente que conecta su aplicación lógica a algo, como otro servicio de Azure, un servicio de terceros, un servidor FTP, etc. Cada conector tendrá uno o más activadores y acciones específicas para ese conector. • Un disparador es una acción específica que hará que se ejecute el flujo de trabajo de la aplicación lógica. • • Una acción es lo que hará su aplicación lógica como resultado. Puede combinar varias acciones para un conector y también puede combinar varios conectores para crear flujos de trabajo complejos y potentes. Las aplicaciones lógicas se crean en el portal de Azure. Una vez que crea una aplicación lógica, el diseñador de aplicaciones lógicas se muestra de forma predeterminada. Desde el diseñador, puede elegir el disparador para su aplicación lógica, como se muestra en la Figura 3-39 . La lista que se muestra es una breve lista de desencadenantes comunes, pero hay muchos más para elegir. De hecho, también hay un disparador para Azure Functions, por lo que puede activar un flujo de trabajo de Logic Apps cuando se ejecuta su función. FIGURA 3-39 Activadores de la aplicación Common Logic Sugerencia para el examen Es importante comprender la diferencia entre conectores y activadores. Todos los elementos que se muestran en la Figura 339 son activadores que están asociados con conectores específicos. Por ejemplo, cuando se crea un archivo nuevo en OneDrive es un desencadenante del conector de OneDrive. También hay disponibles otros desencadenadores de OneDrive, incluidos Cuando se modifica un archivo y Cuando se elimina un archivo. Si se desplaza hacia abajo, verá muchas plantillas que puede usar para crear una aplicación lógica, como se muestra en Figura 3-40 . Estas plantillas configurarán automáticamente una aplicación lógica que contiene un flujo de trabajo completo que puede modificar para sus propios fines. Esta es la forma más rápida de comenzar. Sin embargo, es posible que las plantillas incluidas no sean exactamente lo que desea, por lo que también puede crear una aplicación lógica en blanco y comenzar desde cero. Después de crear su aplicación lógica en blanco, puede elegir entre varias formas de comenzar a construir su flujo de trabajo. Puede seleccionar un activador de la lista, buscar un activador o conector, o simplemente seleccionar un conector de la lista y ver qué activadores están disponibles. Como se muestra en la Figura 3-41 , hay muchas opciones disponibles para comenzar. FIGURA 3-40 Plantillas de aplicaciones lógicas FIGURA 3-41 Adición de activadores a su aplicación lógica Figura 3-41muestra solo una pequeña porción de los conectores disponibles en Logic Apps. Estos conectores abarcan una amplia gama de complejidad, desde la reacción a las operaciones de archivo en una carpeta de OneDrive hasta el inicio de operaciones complejas y poderosas en plataformas de terceros como Salesforce. Este es el valor real de usar Logic Apps. Normalmente, si un equipo de desarrollo quisiera integrar una aplicación con una plataforma como Salesforce, tendría que dedicar mucho tiempo a aprender Salesforce y aprender a programar una aplicación para usarla. De hecho, muchas empresas simplemente contratarían desarrolladores que ya tienen esas habilidades, generalmente a un alto costo. ¡Usando Logic Apps, esa misma empresa puede integrarse con plataformas como Salesforce y otras sin siquiera tener ningún desarrollador! Es difícil exagerar el valor de ese tipo de integración fácil. No todos los escenarios de integración son complejos e involucran plataformas complicadas. En la Figura 3-42 , configuramos el conector de OneDrive para monitorear una carpeta en OneDrive. Cuando se modifica un archivo en esa carpeta, se iniciará el flujo de trabajo de la aplicación lógica. Para hacer algo cuando se modifica un archivo, haga clic en Nuevo paso para agregar una acción. FIGURA 3-42 Uso del conector OneDrive Al hacer clic en Nuevo paso, verá el mismo tipo de pantalla que se muestra cuando se inicia la aplicación lógica. Debido a que agregamos un paso a un flujo de trabajo que ya tiene un activador, Logic Apps muestra las acciones que puede realizar cuando se activa el flujo de trabajo. Hay muchas acciones para elegir, como se muestra en la Figura 3-43 . FIGURA 3-43 Adición de una acción a la aplicación lógica En la Figura 3-44 , configuramos la aplicación lógica para llamar a una aplicación de función cuando se modifica un archivo en la carpeta OneDrive. (Logic Apps usa un disparador HTTP para llamar a una aplicación de función). Puede pasar el nombre de archivo que se modificó a la aplicación de función utilizando contenido dinámico, para que sepa qué ha cambiado. Simplemente haga clic en Nombre de archivo en la lista. Por supuesto, solo puede pasar un elemento de contenido dinámico en su acción. FIGURA 3-44 Configuración de una acción de aplicación de función Más información Pasando parámetros a aplicaciones funcionales Cuando utilice una aplicación lógica para llamar a una aplicación de función, asegúrese de que la aplicación de función esté diseñada para aceptar los datos que le pasa la aplicación lógica. De lo contrario, la aplicación de función encontrará un error cuando la active la aplicación lógica. Sugerencia para el examen Mientras configura desencadenadores y acciones en el diseñador de Logic Apps, Logic Apps está escribiendo código para usted bajo el capó que implementará su flujo de trabajo. Los flujos de trabajo de la aplicación lógica se definen mediante archivos JSON y el diseñador genera este código JSON a medida que configura su aplicación. Ahora tiene una aplicación lógica en funcionamiento. Puede probar el flujo de trabajo haciendo clic en Guardar en la parte superior del diseñador. El conector de OneDrive se configuró para buscar un archivo modificado cada tres minutos (consulte la Figura 3-42 ), por lo que es posible que deba esperar unos minutos antes de el flujo de trabajo. También puede hacer clic en Ejecutar activador en la parte superior del diseñador para ejecutar manualmente el activador. Puede supervisar sus Logic Apps mediante Azure Portal. Abra la aplicación y haga clic en Descripción general para ver cuándo se activó su activador y si ejecutó su flujo de trabajo, como se muestra en la Figura 345 . FIGURA 3-45 El portal de Azure que muestra cuándo se ejecutó el flujo de la aplicación lógica Si hace clic en Ver historial de activadores, puede ver un historial completo de cuándo se evaluó su activador y cuándo activó el flujo de trabajo para su aplicación lógica. En este caso, usamos una aplicación lógica para llamar a una función de Azure, pero podría haber escrito un archivo de registro en Azure Storage o almacenado alguna información en una base de datos SQL de Azure. Si desea que su aplicación lógica se integre específicamente con otros servicios de Azure como este, puede integrar su aplicación lógica con Azure Event Grid para una experiencia más óptima. Cuadrícula de eventos El concepto de diferentes servicios de Azure que interactúan entre sí debería resultarle bastante familiar a estas alturas. Hay muchas formas de integrar servicios como este y, en algunos casos, necesita un recurso de Azure para conocer un cambio en otro recurso de Azure. Puede usar un método de sondeo para esto, similar a la aplicación lógica que verifica OneDrive cada tres minutos en busca de un cambio. Sin embargo, es más eficiente permitir que un servicio de Azure active un evento cuando sucede algo específico y configurar otro servicio de Azure para que escuche ese evento para que pueda reaccionar ante él. Event Grid proporciona esa funcionalidad. Tanto Azure Functions como Azure Logic Apps están integradas con Event Grid. Puede configurar una función para que se ejecute cuando se produzca un evento de Event Grid. En la figura 3-46 , puede ver la lista de recursos de Azure que pueden desencadenar eventos de Event Grid. No todos los servicios de Azure están representados en Event Grid, pero se están agregando más servicios con el tiempo. FIGURA 3-46 Recursos disponibles en Event Grid Una vez que haya seleccionado el tipo de recurso, configure el evento que desea escuchar. Los eventos que están disponibles pueden diferir según el recurso que seleccionó. En la Figura 3-47 , estamos creando un evento para una suscripción de Azure. FIGURA 3-47 Eventos para una suscripción de Azure Más información Eventos Para obtener detalles completos sobre todos los eventos y lo que significan, consulte: https://bit.ly/az900-eventschema . Cuando se produce un evento, puede realizar una acción contra un recurso de Azure mediante el conector de Azure Resource Manager en una aplicación lógica. También puede ejecutar un script que interactúe con el recurso de Azure para hacer algo como etiquetar un recurso o configurarlo de una manera específica para su organización. El principal beneficio de utilizar Event Grid de esta manera es el rápido desarrollo de soluciones. También se beneficia de Event Grid que activa sus eventos de manera confiable. Si un evento de Event Grid no se activa por cualquier motivo, Event Grid seguirá intentando activar el evento durante un máximo de 24 horas. Event Grid también es extremadamente rentable. Las primeras 100.000 operaciones por mes son gratuitas y, a partir de ese momento, pagas 60 centavos por cada millón de operaciones. Azure DevOps Hacer un seguimiento del trabajo puede ser una tarea abrumadora, especialmente si ese trabajo se delega a personas de un equipo grande. Agregue la complejidad involucrada cuando ese equipo está desarrollando una aplicación compleja (o incluso una aplicación simple), y los desafíos pueden crecer exponencialmente. Azure DevOps ofrece una colección de herramientas que facilitan la planificación, el seguimiento y la administración de dichos proyectos. Azure DevOps se compone de varios servicios para ayudarlo con su trabajo. Ellos son: Azure Boards Una forma visual de administrar y realizar un seguimiento del trabajo de su equipo mediante mosaicos que se muestran en una interfaz de arrastrar y soltar • Azure Repos Source y control de versiones mediante Team Foundation Version Control o Git • Azure Pipelines Administre las versiones de software mediante la automatización de versiones, pruebas y compilaciones • Planes de prueba de Azure Cree y realice un seguimiento de las pruebas para garantizar versiones de software confiables • Azure Artifacts Use fuentes de paquetes populares de fuentes públicas y privadas • Azure Boards facilita el seguimiento y la administración no solo de las versiones de software, sino de casi cualquier proyecto que implique trabajo. Puede crear fácilmente nuevas tareas con un clic del mouse y tiene la flexibilidad de configurar el aspecto del mosaico de cada tarea en función de poderosas reglas de formato. La figura 3-48 muestra un proyecto simple de Azure Boards que creé para realizar un seguimiento del trabajo que estaba haciendo mientras escribía este libro. FIGURA 3-48 Azure Boards que muestra el seguimiento de proyectos para un proyecto simple Cada mosaico en Azure Boards está respaldado por un elemento de trabajo de DevOps que incluye bastante más detalles. Al abrir un mosaico, se muestra el elemento de trabajo subyacente, como se muestra en la Figura 3-49 . FIGURA 3-49 Un elemento de trabajo para un mosaico en Azure Boards Azure Repos proporciona control de versión y código fuente para un equipo de desarrolladores que utilizan Git (una solución de código abierto para el control de código fuente) o Team Foundation Version Control (TFVC). Los desarrolladores que usan Git tendrán todas las versiones de los archivos del repositorio en sus máquinas locales y podrán ver el historial de cada cambio. Los desarrolladores que usan TFVC solo tendrán una versión de un archivo en sus máquinas y todo lo demás estará en el servidor. Una aplicación típica en la que podría estar trabajando un equipo de desarrollo consta de miles de archivos que contienen código fuente. A medida que se desarrolla la aplicación, muchos desarrolladores están trabajando para modificar esos archivos con nuevo código y cambiar el código existente. Un sistema de control de fuente permite al equipo de desarrollo realizar un seguimiento de todos los cambios, y si un cambio causa un problema, es fácil para ellos revertir los cambios, incluso si esos cambios involucran una gran cantidad de archivos fuente. También hay ocasiones en las que los equipos de desarrollo quieren agregar nuevas funciones sustanciales a una aplicación existente, pero quieren mantener todo el código intacto para la versión existente. Los sistemas de control de fuente les permiten trabajar en la nueva funcionalidad por separado de la fuente existente, y cuando están seguros de que todo funciona según lo diseñado y están listos para incorporar la nueva función, pueden fusionarla nuevamente en la versión existente. En la figura 3-50 , los archivos de un proyecto de desarrollo se muestran en Azure Repos. Un archivo fuente está abierto, por lo que el código fuente es visible. Dado que se ha hecho clic en Historial en la parte superior de la vista de origen, se pueden ver todos los cambios históricos. Al hacer clic en Comparar, se muestra una vista que muestra las diferencias entre dos versiones. FIGURA 3-50 Un repositorio en Azure Repos que muestra el contenido de un archivo de origen Azure Pipelines proporciona servicios de implementación e integración continuos para proyectos. Puede configurar Azure Pipelines para integrar automáticamente los cambios en el código fuente y crear una nueva compilación del software para la implementación. También puede configurar su proceso de compilación para que las pruebas se ejecuten tan pronto como se complete la compilación, lo que le permite encontrar problemas antes de que lleguen a manos de los clientes. Azure Test Plans proporciona características que facilitan la prueba del software en busca de problemas. Los desarrolladores pueden crear pruebas complejas. Las pruebas a menudo se basan en elementos de trabajo que pueden contener detalles sobre un error en el software. Una vez que se ha creado una prueba, se puede ejecutar desde Azure Test Plans desde el navegador web, por lo que las pruebas se pueden ejecutar en cualquier dispositivo. Muchas aplicaciones de software utilizan componentes empaquetados de terceros o de la propia organización del desarrollador. Estos componentes empaquetados se denominan con frecuencia artefactos y Azure Artifacts proporciona una forma sencilla de mantener estos artefactos organizados. Azure Artifacts también brinda la capacidad de integrar estos paquetes en el proceso de compilación, incluidas las compilaciones que ocurren dentro de Azure Pipelines. Laboratorios Azure DevTest Mientras analizábamos Azure DevOps, hablamos un poco sobre el concepto de prueba. Un escenario de prueba típico podría implicar que un desarrollador cree una máquina virtual de Azure para ejecutar algunas herramientas de prueba y herramientas de desarrollo. Es posible que ese desarrollador también necesite configurar la máquina virtual con varios paquetes que la aplicación que está probando necesita para ejecutarse. En escenarios aún más complejos, la aplicación puede requerir múltiples VM con múltiples configuraciones. Hay un par de preocupaciones con los desarrolladores que crean máquinas virtuales para realizar pruebas. Primero, crear una máquina virtual manualmente puede llevar bastante tiempo, especialmente si el desarrollador necesita instalar algunos paquetes necesarios en esa máquina virtual. En segundo lugar, un desarrollador podría terminar costándole a la empresa mucho dinero si crea una máquina virtual que es más poderosa de lo necesario o si se olvida de detener o eliminar la máquina virtual después de haber terminado de probar. Azure DevTest Labs resuelve ambos problemas muy bien y agrega algunas otras características que los desarrolladores y los departamentos de TI encontrarán útiles. Las máquinas virtuales se pueden crear en un laboratorio de DevTest que están preconfiguradas para propósitos específicos. Cuando los desarrolladores necesitan usar una máquina virtual para realizar pruebas, simplemente miran una lista de máquinas virtuales disponibles y reclaman la máquina virtual que necesitan. Luego, esa máquina virtual se les asigna hasta que la retiren. Reclamar una máquina virtual lleva solo unos segundos porque la máquina virtual no tiene que crearse de nuevo cuando se reclama. Como se muestra en la Figura 3-51 , crear un DevTest Lab es rápido y fácil. Simplemente dé un nombre a su laboratorio, seleccione el Grupo de recursos y especifique un par de configuraciones. El DevTest Lab generalmente lo crearía el departamento de TI, el desarrollador líder o alguien más a cargo de un proyecto en particular. FIGURA 3-51 Creación de un laboratorio de DevTest en Azure Portal Una vez que se crea un laboratorio de DevTest, las máquinas virtuales deberán crearse dentro de él para que los desarrolladores puedan usarlas para realizar pruebas. Para crear una VM, haga clic en el botón Agregar, como se muestra en la Figura 3-52 . FIGURA 3-52 Haga clic en Agregar para agregar una nueva VM a un laboratorio de DevTest Cuando agrega una VM a un laboratorio de DevTest, primero selecciona la base para la VM. La base puede ser una plantilla de máquina virtual de Azure Marketplace u otras fuentes. También puede ser una máquina virtual que se haya configurado especialmente para un proyecto en particular y se haya guardado como una fórmula o una imagen personalizada . Hablaremos más sobre fórmulas e imágenes personalizadas más adelante en esta sección. En la Figura 3-53 , se está creando una máquina virtual que usa la imagen base de Windows Server 2016 Datacenter. Puede optar por crear la máquina virtual con solo la imagen base instalada, pero también puede agregar componentes adicionales a una imagen agregando un artefacto . Tal como comentamos anteriormente en relación con Azure DevOps, los artefactos son componentes empaquetados que pueden ser necesarios para una configuración en particular. Puede agregar artefactos a una máquina virtual haciendo clic en Agregar o quitar artefactos en la parte inferior de la pantalla, como se muestra en la Figura 3-53 . FIGURA 3-53 Adición de una nueva máquina virtual a un laboratorio de DevTest Más información sobre cómo agregar máquinas virtuales Los departamentos de TI o los desarrolladores líderes suelen ser los que crean máquinas virtuales para un laboratorio de DevTest. Los desarrolladores que trabajan en el equipo pueden elegir una de las máquinas virtuales que se han agregado al laboratorio DevTest cuando sea necesario. Es muy importante comprender que cuando se crea una máquina virtual en DevTest Labs, por defecto está dedicada a un solo usuario y no se puede reclamar. Si está creando una VM que desea que otros puedan reclamar y usar, debe hacer clic en Configuración avanzada en la parte superior de la pantalla que se muestra anteriormente en la Figura 3-53 y configurar la máquina para que sea reclamable, como se muestra en la Figura 3- 54 . FIGURA 3-54 Configuración de una máquina virtual para que otros puedan reclamarla Sugerencia para el examen No puede agregar fácilmente una de sus máquinas virtuales existentes a un laboratorio de DevTest. Para hacer eso, debe pasar por algunos aros para copiar la imagen VHD de la VM en el contenedor de Azure Storage que está usando DevTest Lab y luego crear una nueva VM a partir de la imagen personalizada. En algunos casos, las imágenes base no contendrán la configuración que necesita, incluso con artefactos agregados. Por ejemplo, es posible que tenga un paquete de software propietario que utiliza su empresa y que desee que se incluya en la imagen de su máquina virtual, o puede tener una configuración de sistema operativo específica que necesite para su máquina virtual. En estos casos, puede crear una imagen personalizada o una fórmula en la que basar sus nuevas VM. Las imágenes y fórmulas personalizadas son similares, pero hay una diferencia clave. Una imagen personalizada es una imagen que se basa en un VHD de una máquina virtual existente. Una fórmula también se basa en un VHD, pero también contiene configuraciones que son específicas de DevTest Labs, como el tamaño de la máquina virtual, los artefactos incluidos, etc. Sin embargo, una fórmula suele utilizar una imagen personalizada como base. Nota Creación de imágenes y fórmulas personalizadas Una razón por la que puede crear una máquina virtual que no se puede reclamar es porque desea configurarla con configuraciones y software específicos y luego guardarla como una imagen o fórmula personalizada para que otros la utilicen. Para crear una imagen personalizada, configure la VM de la manera que desee y luego selecciónela de la lista de VM en DevTest Lab. Haga clic en Crear imagen personalizada y complete los campos necesarios, como se muestra en la Figura 3-55 . FIGURA 3-55 Creación de una imagen personalizada en DevTest Labs Después de hacer clic en Aceptar para crear la imagen personalizada, pasarán unos minutos antes de que la imagen esté disponible como base para otras máquinas virtuales. Para crear una fórmula, haga clic en Fórmulas en el menú que se mostró anteriormente en la Figura 3-52 y luego haga clic en Agregar para crear una nueva fórmula. Seleccione una base para su fórmula. En la Figura 356 , la primera imagen base que se muestra es una imagen personalizada creada anteriormente a partir de una máquina virtual en un laboratorio de DevTest. FIGURA 3-56 Elección de una imagen base para una fórmula Una vez que haya seleccionado una base para su fórmula, puede configurar los ajustes de DevTest Lab que desee para su fórmula, como se muestra en la Figura 3-57 . Las máquinas virtuales creadas con esta fórmula tendrán esta configuración preconfigurada. FIGURA 3-57 Especificación de la configuración para una fórmula de DevTest Lab Otra característica de ahorro de costos de DevTest Labs es la propiedad de apagado automático para máquinas virtuales. De forma predeterminada, todas las máquinas virtuales se crean con el apagado automático habilitado, lo que significa que después de un cierto período de tiempo, las máquinas virtuales no utilizadas se cerrarán para que no tenga que pagar por ellas. Los administradores de TI u otros también pueden definir políticas en DevTest Labs. Estas políticas le permiten controlar los tamaños de VM que se pueden crear, la cantidad de VM por usuario y por laboratorio, etc. Para configurar políticas, haga clic en Configuración y políticas en el menú de su laboratorio de DevTest. Las políticas se pueden configurar haciendo clic en la política deseada en el menú y luego configurando la política. En la Figura 3-58 , se está configurando una política que limita los tamaños de VM disponibles a Standard_A0, Standard_A1 y Standard_A2. Una vez que se haya guardado esta política, los usuarios no podrán crear máquinas virtuales a menos que tengan uno de estos tres tamaños. FIGURA 3-58 Configuración de una política para los tamaños de máquina virtual permitidos HABILIDAD 3.2: DESCRIBIR LAS HERRAMIENTAS DE ADMINISTRACIÓN DE AZURE Hemos hablado mucho sobre el portal de Azure y ha tenido la oportunidad de usarlo al interactuar con varios servicios de Azure diferentes. Sin embargo, hay muchas otras formas de crear y administrar sus servicios de Azure. Muchos usuarios de Azure desean crear secuencias de comandos de interacciones con sus servicios de Azure, especialmente cuando necesitan interactuar con una gran cantidad de máquinas virtuales u otros recursos de Azure. Para esas situaciones, Azure ofrece herramientas de línea de comandos para ayudar. Los usuarios de Azure también quieren asegurarse de aprovechar al máximo sus servicios de Azure, y herramientas como Azure Advisor y Azure Monitor pueden ayudar a mantener a los usuarios actualizados y en cumplimiento con las mejores prácticas de Azure y al tanto de cómo funcionan sus recursos de Azure. están actuando. Cuando hay un problema, Azure Service Health también puede ser útil para determinar si el problema está en su aplicación o en el propio Azure. Esta sección cubre: • Portal de Azure • Azure PowerShell • CLI de Azure • Azure Cloud Shell • Aplicación móvil de Azure • Asesor de Azure • Monitor de Azure • Estado del servicio de Azure Portal de Azure El portal de Azure que está en uso hoy es la tercera iteración importante del portal de Azure, y surgió cuando Microsoft se mudó a ARM. Todo lo que hace en Azure Portal se llama ARM en el back-end. Sugerencia para el examen Para el examen AZ-900, probablemente no necesite saber que Azure Portal solo está haciendo llamadas a ARM en el back-end, pero no está de más saberlo. Sin embargo, para el resto de esta sección, cubriremos solo las diferentes partes del portal y cómo navegar y personalizarlo. Esa información está en el examen AZ-900. La primera vez que abra Azure Portal, se le pedirá que realice un recorrido por el portal. Si no está familiarizado con el portal, realizar un recorrido le ayudará a familiarizarse con su funcionamiento. Si decide no hacerlo y cambia de opinión más tarde, puede hacer clic en el signo de interrogación en la barra de herramientas superior para acceder a la visita guiada en cualquier momento. La vista predeterminada en el portal es Inicio, como se muestra en la Figura 3-59 . Desde aquí, puede ver los íconos de varios servicios de Azure, y si hace clic en uno de esos íconos, le mostrará los recursos de ese tipo que haya creado. Al hacer clic en el botón Configuración en la parte superior izquierda, se muestra un menú en el lado izquierdo que incluye estos mismos iconos y más. FIGURA 3-59 La pantalla de inicio en Azure Portal Si ya tiene los recursos de Azure que ha creado, puede navegar hasta ellos haciendo clic en uno de los vínculos en la sección Navegar. Si ha visto recientemente uno de sus recursos, verá otra sección con los recursos a los que ha accedido recientemente, para que pueda volver a acceder a ellos fácilmente con un solo clic. A lo largo de la barra de color superior, encontrará una barra de búsqueda donde puede buscar servicios, documentos o recursos de Azure de Azure. A la derecha del cuadro de búsqueda hay un botón que iniciará Azure Cloud Shell. Cloud Shell es un shell de comandos basado en la web donde puede interactuar con Azure desde la línea de comandos. Puede crear recursos de Azure y más. Mientras lee la documentación de Azure, es posible que vea un botón Pruébelo, y esos botones usan Cloud Shell para ayudarlo a probar diferentes servicios y características. A la derecha del botón Cloud Shell hay un botón Filtro que le permite configurar el portal para que solo muestre recursos en una determinada suscripción de Azure o Azure Active Directory. A la derecha está el botón de Notificación. Aquí es donde verá las notificaciones de Azure relacionadas con sus servicios y suscripción. A la derecha del botón de notificaciones está el botón Configuración. Al hacer clic en Configuración, aparece un panel donde puede modificar la configuración del portal, como se muestra en la Figura 3-60 . FIGURA 3-60 Configuración del portal Desde Configuración, puede cambiar su vista predeterminada, elegir si el menú está acoplado o sale volando cuando hace clic en el botón de menú, modificar el tema del portal y deshabilitar las notificaciones de tostadas, que son notificaciones emergentes que Microsoft puede mostrar de vez en cuando a tiempo. También se proporcionan enlaces que le permiten restaurar la configuración predeterminada, exportar su configuración o eliminar todas sus configuraciones y paneles. (Hablaremos sobre paneles más adelante en esta sección). Si hace clic en su nombre en la esquina superior derecha (que se muestra anteriormente en la Figura 3-59 ), puede cerrar la sesión o cambiar a otras cuentas de Azure. También puede cambiar Azure Active Directory para acceder a recursos en otro directorio. Esto es útil si su empresa tiene un directorio corporativo y también tiene un directorio personal. Más información Azure Active Directory Azure Active Directory se trata en el Capítulo 5 , Habilidad 5.1 , " Describir los servicios de identidad básicos de Azure ". Como se mencionó anteriormente, si hace clic en el ícono de Configuración en la parte superior izquierda del portal, verá un menú que contiene una lista predeterminada de recursos de Azure. Al hacer clic en uno de ellos, se mostrarán todos los recursos de ese tipo. Si desea agregar un servicio de Azure a la lista, haga clic en Todos los servicios, como se muestra en la Figura 3-61 . FIGURA 3-61 El menú de Azure Portal que muestra el elemento de menú Todos los servicios Nota Mover elementos del menú Puede reordenar los elementos del menú. Haga clic y mantenga presionado un elemento y luego arrástrelo a una nueva ubicación en el menú. En la lista de todos los servicios de Azure, ubique el servicio que desea agregar a la lista y haga clic en la estrella a la derecha del servicio para marcarlo como favorito, como se muestra en la Figura 3-62 . En la Figura 3-63 , hicimos clic en App Service Plans en el menú para ver todos los planes de App Service. De esta lista, puede hacer clic en un recurso para ver ese recurso. También puede hacer clic en el encabezado de una columna para ordenar por esa columna, asumiendo que tiene más de un recurso de ese tipo. Haga clic en Administrar vista para editar las columnas que se muestran aquí, guardar la vista actual y más. Para crear un nuevo recurso de este tipo, haga clic en Agregar. FIGURA 3-62 Convertir un servicio de Azure en favorito para que aparezca en el menú principal FIGURA 3-63 Visualización de un plan de App Service en el portal Cuando hace clic en un recurso en particular, se abrirá ese recurso en el portal. A lo largo del lado izquierdo habrá un menú específico para el tipo de recurso que abrió. En la ventana principal, verá diferentes elementos según el tipo de recurso que está viendo. Estas áreas de ventana en el portal a menudo se denominan hojas. En la Figura 3-64 , verá una aplicación web de App Service en el portal. La hoja Información general es una hoja que es común a la mayoría de los recursos de Azure, pero la información que aparece allí diferirá según el recurso. En una aplicación web, puede ver el grupo de recursos en el que se encuentra, el estado, la ubicación y más. En la parte superior derecha hay un botón de alfiler. Si hace clic en ese pin, agregará esta aplicación web al panel del portal. FIGURA 3-64 Visualización de una aplicación web en el portal En la parte superior de la hoja de la aplicación web hay varios botones para interactuar con el recurso. Para una aplicación web, tiene un botón Examinar que abrirá la aplicación en un navegador, un botón Detener para detener la aplicación web, un botón Cambiar para intercambiar las ranuras de implementación, etc. Cada tipo de recurso tendrá diferentes botones disponibles para que pueda interactuar fácilmente con el recurso desde la hoja Descripción general. Si hace clic en un elemento del menú de la izquierda, el contenido de la hoja Descripción general se reemplaza con el nuevo elemento seleccionado. En la Figura 3-65 , hemos hecho clic en Diagnosticar y resolver problemas, que reemplaza la hoja Descripción general con contenido nuevo de la hoja Diagnosticar y resolver problemas. FIGURA 3-65 Una hoja nueva A medida que usa el portal, encontrará que hay inconsistencias entre los diferentes servicios. Cada equipo de Microsoft tiene su propio equipo de desarrollo de portales y tienden a diseñar interfaces de portal que tengan sentido para su propio equipo. Por esa razón, es posible que vea botones en la parte superior de algunas hojas y botones en la parte inferior de otras hojas. Puede personalizar la experiencia de su portal mediante el panel de control. Si hace clic en Panel de control en el menú del portal, verá su panel de control predeterminado. Mientras administra sus recursos, haga clic en el ícono de anclar (como se muestra en la parte superior derecha de la Figura 3-64 ) para anclar mosaicos a su tablero. Luego, puede mover estos mosaicos y personalizarlos de otras formas para crear una vista que se adapte a sus necesidades. Para personalizar su tablero, haga clic en Tablero en el menú para mostrar el tablero y luego haga clic en Editar, como se muestra en la Figura 3-66 . FIGURA 3-66 El botón Editar permite la personalización de su tablero Desde la pantalla de personalización que se muestra en la Figura 3-67 , puede cambiar el nombre de su tablero haciendo clic dentro del nombre actual y cambiándolo por un nuevo nombre. Puede agregar mosaicos al tablero eligiendo uno de los cientos de mosaicos disponibles en la Galería de mosaicos en el lado izquierdo del portal, y puede buscar y filtrar la lista si es necesario. Si pasa el cursor sobre un mosaico existente, verá un botón Eliminar y un botón de menú que está representado por tres puntos. Haga clic en el botón Eliminar para eliminar el mosaico del panel. Haga clic en el botón de menú para acceder a un menú contextual donde puede cambiar el tamaño del mosaico. Cuando esté satisfecho con su panel, haga clic en Finalizar personalización para cerrar la pantalla de personalización. Puede crear nuevos paneles para propósitos específicos haciendo clic en el signo más que se muestra anteriormente en la Figura 3-66 . Esto lo lleva a una pantalla de personalización para su nuevo tablero, como la que se muestra en la Figura 3-67 . FIGURA 3-67 Personalización de un tablero En la Figura 3-68 , creamos un tablero específico para aplicaciones web. Puede cambiar fácilmente entre este panel y el panel predeterminado haciendo clic en la flecha hacia abajo junto al nombre del panel. FIGURA 3-68 Cambio entre tableros Azure PowerShell Si es un usuario de PowerShell, puede aprovechar ese conocimiento para administrar sus recursos de Azure mediante el módulo Az de Azure PowerShell. Este módulo ofrece soporte multiplataforma, por lo que ya sea que esté usando Windows, Linux o macOS, puede usar el módulo Az de PowerShell. Más información Azurerm y Az El módulo PowerShell A z es relativamente nuevo. Antes, todos los comandos de PowerShell usaban el módulo AzureRm. Los comandos que usa con ambos son idénticos. La única diferencia es el nombre del módulo. Más información Instalar Powershell en Linux o Macos Si está ejecutando Linux, puede encontrar detalles sobre la instalación de PowerShell en https://bit.ly/az900-powershellonlinux . Los usuarios de MacOS pueden encontrar los pasos en https://bit.ly/az900-powershellonmac . Sugerencia para el examen El módulo PowerShell Az usa la biblioteca .NET Standard para la funcionalidad, lo que significa que se ejecutará con la versión 5.x, 6.xo 7.x de PowerShell. PowerShell 6.xy 7.x son multiplataforma y pueden ejecutarse en Windows, Linux o macOS. Si está ejecutando Windows 7 o posterior y tiene PowerShell 5.x, también deberá instalar .NET Framework 4.7.2. Antes de poder usar el módulo PowerShell Az, deberá instalarlo. Para hacer eso, primero debe ejecutar PowerShell elevado. En Windows, eso significa ejecutarlo como administrador. En Linux y macOS, deberá ejecutarlo con privilegios de superusuario utilizando Sudo. Para instalar el módulo, ejecute el siguiente comando. Haga clic aquí para ver la imagen del código Install-Module -Name Az -AllowClobber Cuando instala un nuevo módulo de PowerShell, PowerShell verifica todos los módulos existentes para ver si tienen algún nombre de comando que sea el mismo que un nombre de comando en el módulo que está instalando. Si lo hacen, la instalación del nuevo módulo falla. Al especificar - AllowClobber , le está diciendo a PowerShell que está bien que el módulo Az tenga prioridad para cualquier comando que también exista en otro módulo. Si no puede ejecutar PowerShell elevado, puede instalar el módulo para su ID de usuario solo mediante el siguiente comando: Haga clic aquí para ver la imagen del código Install-Module -Name Az -AllowClobber -Scope CurrentUser Una vez que haya instalado el módulo, debe iniciar sesión con su cuenta de Azure. Para hacer eso, ejecute el siguiente comando: Connect-AzAccount Este comando mostrará un token en la ventana de PowerShell. Deberá ir a https://microsoft.com/devicelogin e ingresar el código para autenticar su sesión de PowerShell. Si cierra PowerShell, tendrá que ejecutar el comando nuevamente en su próxima sesión. Más información Credenciales persistentes Es posible configurar PowerShell para conservar sus credenciales. Para obtener más información sobre cómo hacerlo, consulte https://docs.microsoft.com/powershell/azure/context-persistence . Si tiene más de una suscripción de Azure, querrá configurar la suscripción activa para que los comandos que ingrese afecten a la suscripción deseada. Puedes hacerlo usando el siguiente comando: Haga clic aquí para ver la imagen del código Set-AzContext -Subscription "subscription_id" Reemplace subscription_id con el identificador de suscripción de su suscripción de Azure que desea usar con el módulo Az. Todos los comandos del módulo Az tendrán una sintaxis común que comienza con un verbo y un objeto. Los verbos son cosas como Nuevo , Obtener , Mover o Eliminar . El objeto es lo que quieres que afecte el verbo. Por ejemplo, el siguiente comando creará un grupo de recursos llamado MyRG en la región Centro Sur de EE. UU.: Haga clic aquí para ver la imagen del código New-AzResourceGroup -Name MyRG -Location "South Central US" Si tiene éxito, verá un mensaje que le informará. Si falla, verá un error. Para eliminar el grupo de recursos, ejecute el siguiente comando: Haga clic aquí para ver la imagen del código Remove-AzResourceGroup -Name MyRG Cuando ingrese este comando, se le pedirá que confirme si desea eliminar el grupo de recursos. Escriba una Y y se eliminará el grupo de recursos, como se muestra en la figura 3-69 . FIGURA 3-69 Creación y eliminación de un grupo de recursos con el módulo Az En muchas situaciones, incluirá comandos de PowerShell en un script para que pueda realizar varias operaciones a la vez. En ese caso, no podrá confirmar un comando escribiendo y , por lo que puede usar el parámetro -Force para omitir el indicador. Por ejemplo, puede eliminar el grupo de recursos con el siguiente comando y no se le preguntará. Haga clic aquí para ver la imagen del código Remove-AzResourceGroup -Name MyRG -Force Puede encontrar todos los comandos disponibles con el módulo PowerShell Az navegando hasta https://bit.ly/az900-powershellaz . y haciendo clic en Referencia en el menú de la izquierda. CLI de Azure Como señalé anteriormente, uno de los principales beneficios de PowerShell es la capacidad de crear secuencias de comandos de interacciones con los recursos de Azure. Sin embargo, si desea realizar un script con PowerShell, necesitará a alguien que conozca el desarrollo de PowerShell. Si no tiene a nadie que pueda hacer eso, la interfaz de línea de comandos de Azure (CLI de Azure) es una excelente opción. La CLI de Azure se puede programar mediante secuencias de comandos de shell en varios lenguajes como Python, Ruby, etc. Al igual que el módulo PowerShell Az, la CLI de Azure es multiplataforma y funciona en Windows, Linux y macOS siempre que use la versión 2.0 o posterior. Los pasos de instalación son diferentes según su plataforma. Puede encontrar los pasos para todos los sistemas operativos en https://bit.ly/az900-installcli . Una vez que instale la CLI de Azure, deberá iniciar sesión en su cuenta de Azure. Para hacer eso, ejecute el siguiente comando: az login Cuando ejecute este comando, la CLI abrirá un navegador automáticamente para que inicie sesión. Una vez que inicie sesión, si tiene varias suscripciones de Azure, puede establecer la suscripción predeterminada ingresando el siguiente comando: Haga clic aquí para ver la imagen del código conjunto de cuentas az: suscripción "subscription_id" Reemplaza subscription_id con el ID de suscripción que deseas usar. Para encontrar una lista de comandos que puede ejecutar con la CLI, escriba az y presione Entrar. Verá una lista de todos los comandos que puede ejecutar. Puede encontrar ayuda detallada sobre cualquier comando ingresando el comando y agregando un parámetro --help . La figura 3-70 muestra la ayuda para el recurso az . Puede llevar esto un paso más allá si no está seguro de lo que hacen los comandos. Puede, por ejemplo, ejecutar el siguiente comando para obtener ayuda sobre la sintaxis de az resource create : az resource create --help Esto le proporciona ayuda y comandos de ejemplo para comprender la sintaxis. Sugerencia para el examen Al igual que PowerShell, la mayoría de los comandos de la CLI Azure tienen una - fuerza parámetro que puede incluir para que no se muestren mensajes. Al realizar secuencias de comandos de PowerShell o la CLI, debe incluir estoparámetro, o su secuencia de comandos no funcionará. Esté atento a los ejemplos en el examen AZ-900 que evalúan este tipo de conocimiento. FIGURA 3-70 Ayuda de la CLI de Azure Una forma aún más fácil de aprender la CLI es cambiar al modo interactivo. Esto le proporciona autocompletar, el alcance de los comandos y más. Para cambiar al modo interactivo, ingrese az interactivo en el símbolo del sistema. La CLI instalará una extensión para agregar esta funcionalidad. La figura 3-71 muestra la CLI de Azure con el modo interactivo activo. En el símbolo del sistema, se nos ha escrito y muestra el resto del comando en texto atenuado. Puede presionar la tecla de flecha derecha para ingresar el texto atenuado con una sola pulsación de tecla. FIGURA 3-71 Modo interactivo CLI Puede instalar extensiones adicionales para una funcionalidad adicional. Debido a que la CLI usa una arquitectura de extensión, los equipos de Azure pueden brindar soporte para nuevas funcionalidades sin tener que esperar una nueva versión de la CLI. Puede encontrar una lista de todas las extensiones disponibles que proporciona Microsoft ejecutando el siguiente comando: Haga clic aquí para ver la imagen del código az extension list-available --tabla de salida Esto no solo le mostrará las extensiones disponibles, sino que le mostrará si ya tiene la extensión instalada y si hay una actualización que debe instalar. Para instalar una extensión, ejecute el siguiente comando: Haga clic aquí para ver la imagen del código az extension add --name nombre_extensión Reemplace extension_name con el nombre de la extensión que desea instalar. Azure Cloud Shell Como ya hemos visto, el acceso desde la línea de comandos a sus recursos de Azure con PowerShell y la CLI de Azure es poderoso y flexible, y también aprendimos que puede instalar extensiones para agregar más potencia a su línea de comandos. Sin embargo, si usa varias máquinas, deberá instalar esas extensiones en cada máquina y eso podría ser una molestia. También está limitado a ejecutar estas herramientas de línea de comandos en su computadora. No puede ejecutarlos en su teléfono o tableta cuando está lejos de su computadora. La solución natural a estos problemas es tener sus herramientas de línea de comandos disponibles en la nube, y eso es exactamente lo que hizo Microsoft con Azure Cloud Shell. Para acceder a Cloud Shell, haga clic en el botón Cloud Shell en Azure Portal, como se muestra en la Figura 3-72 . FIGURA 3-72 Cloud Shell en Azure Portal La primera vez que inicie Cloud Shell, deberá seleccionar el entorno que desea utilizar. Puede elegir entre Bash y PowerShell, pero si cambia de opinión más tarde, puede cambiarlo en cualquier momento. Una vez que seleccione un entorno, también deberá crear una cuenta de almacenamiento de Azure. Cloud Shell conserva todo lo que instala y su configuración en todos sus dispositivos, por lo que necesita una cuenta de almacenamiento para conservarlos. En la Figura 3-73 , se está creando una cuenta de almacenamiento para Cloud Shell. FIGURA 3-73 Creación de una cuenta de almacenamiento para Cloud Shell Una vez que se crea la cuenta de almacenamiento, Cloud Shell iniciará una sesión como se muestra en la Figura 3-74 . FIGURA 3-74 Una sesión de Cloud Shell Desde Cloud Shell, puede ejecutar cualquiera de los comandos que puede ejecutar en la CLI de Azure. Si está en PowerShell, también puede usar comandos del módulo Az PowerShell. En la parte superior de la ventana de Cloud Shell hay una barra de herramientas. Para cambiar entre PowerShell y Bash, seleccione el entorno deseado en el menú desplegable. Junto a ese menú desplegable está el botón de "encendido" que reinicia la sesión de Cloud Shell, seguido de un botón de Ayuda y un botón de Configuración para cambiar el tamaño del texto y la fuente. A la derecha del botón Configuración hay un botón que le permite cargar o descargar archivos en su recurso compartido de archivos para Cloud Shell, seguido de un botón que abre una nueva sesión de Cloud Shell en una nueva pestaña del navegador. Sugerencia para el examen Cualquier archivo que suba estará disponible para usted en Cloud Shell en cualquiera de sus dispositivos. Eso es porque sus archivos se almacenan en su cuenta de almacenamiento de Azure. Cuando abra Cloud Shell, Azure elegirá una instancia de Cloud Shell para que se conecte y copiará los archivos de su cuenta de almacenamiento a esa instancia de Cloud Shell. El botón Abrir editor en la barra de herramientas abrirá una instancia del Editor de Mónaco, un editor de código que facilita la edición de scripts y otros archivos. En la Figura 3-75 , se abre un archivo JSON en el editor y el explorador de archivos se muestra a la izquierda. FIGURA 3-75 El editor de archivos en Cloud Shell Nota Cerrar el editor Para salir del editor, haga clic con el botón derecho en la ventana y haga clic en Salir. El último botón de la barra de herramientas es el botón Web Preview. Este botón le permite ejecutar una aplicación web usando los archivos en la carpeta actual dentro de su navegador web. Esta es una herramienta poderosa para desarrolladores que podrían estar desarrollando aplicaciones web con Cloud Shell. En la Figura 3-76 , estoy ejecutando una aplicación web .NET Core en Cloud Shell con el comando dotnet run . (La aplicación dotnet se usa para iniciar aplicaciones escritas para .NET Core). Después de hacer eso, puedo ver que la aplicación se está ejecutando en la instancia de Cloud Shell en el puerto 5000. FIGURA 3-76 Ejecución de una aplicación web .NET Core desde Cloud Shell Si desea abrirlo en un navegador y verlo, haga clic en Web Preview en Cloud Shell y elija Configurar. Ingrese el número de puerto ( 5000 en este caso), como se muestra en la Figura 3-77 . FIGURA 3-77 Configuración de un puerto para la vista previa web en Cloud Shell Luego puedo hacer clic en Abrir y examinar y ver mi aplicación web en mi navegador, como se muestra en la Figura 3-78 . En mi sitio queda claro que tengo algunos problemas de estilo con un archivo CSS, y la vista previa me permite solucionar ese problema y cualquier otro problema con mi aplicación. Nota Vista previa web ¿Por qué alguien querría obtener una vista previa de una aplicación en Cloud Shell en lugar de simplemente depurarla localmente? Muchos desarrolladores escriben aplicaciones que interactúan con otros servicios de Azure y es posible que deseen depurar estas aplicaciones mientras se ejecutan en Azure. Para los desarrolladores de línea de comandos, esta técnica en Cloud Shell es una forma poderosa de habilitarlo. FIGURA 3-78 Navegación de una aplicación web usando Web Preview Hasta ahora, solo hemos analizado el uso de Cloud Shell desde Azure Portal, pero esa no es la única forma de acceder a Cloud Shell. La documentación de Azure proporciona muchos ejemplos de scripts de PowerShell y de la CLI de Azure y, en muchos casos, hay un botón Pruébelo en el que puede hacer clic para probar el script desde su navegador. Cuando hace clic en el botón Pruébelo, se abrirá una instancia de Cloud Shell para que pueda ingresar fácilmente la secuencia de comandos y ejecutar los comandos, como se muestra en la Figura 3-79 . FIGURA 3-79 Integración de Cloud Shell con la documentación de Microsoft Aplicación móvil de Azure Si posee un dispositivo Android o iOS, puede descargar la aplicación móvil de Azure para administrar sus recursos de Azure desde su dispositivo. Siempre puede navegar al portal de Azure en su dispositivo,y obtendrá una experiencia personalizada para pantallas más pequeñas. Sin embargo, al igual que con otros sitios web que podría usar, una aplicación brinda una mejor experiencia de primera clase en un dispositivo móvil. Cuando inicie la aplicación móvil de Azure por primera vez, se le pedirá que inicie sesión en su cuenta de Azure. Luego verá una pantalla como la que se muestra en la Figura 3-80 . FIGURA 3-80 La aplicación móvil de Azure Desde la pantalla de inicio, puede revisar sus servicios de Azure, consultar Service Health para determinar si hay una interrupción de Azure y más. Si toca un servicio de Azure, verá una lista de todos los recursos de ese tipo de servicio. Tocar un recurso le permite interactuar con él. No tendrá la funcionalidad completa del portal de Azure, pero podrá ver los detalles del recurso y realizar funciones básicas en él. En la figura 3-81 , se muestra una máquina virtual de Azure en la aplicación móvil de Azure. En la parte inferior, se muestran los enlaces Detener, Reiniciar y Conectar. FIGURA 3-81 Una máquina virtual de Azure en la aplicación móvil de Azure Nota Conexión a una máquina virtual La conexión a una máquina virtual requiere que tenga instalada la aplicación Microsoft Remote Desktop. Puede descargarlo gratis desde Apple Store o Google Play Store. Aunque no tenga la experiencia completa de Azure Portal en la aplicación móvil de Azure, todavía hay mucho poder bajo el capó. Si hace clic en el botón Cloud Shell en la parte inferior derecha (mostrado anteriormente en la Figura 3-80 ), se iniciará una instancia de Cloud Shell, como se muestra en la Figura 3-82 . Desde aquí, puede ejecutar los mismos comandos que puede ejecutar en Cloud Shell en su computadora. Puede cambiar de PowerShell a Bash, ejecutar comandos de Azure CLI y Az PowerShell, etc. FIGURA 3-82 Cloud Shell ejecutándose en una aplicación móvil de Azure Asesor de Azure La administración de sus recursos de Azure no solo incluye la creación y eliminación de recursos. También significa asegurarse de que sus recursos estén configurados correctamente para una alta disponibilidad y eficiencia. Averiguar exactamente cómo hacerlo puede ser una tarea abrumadora. Se han escrito libros completos sobre las mejores prácticas para implementaciones en la nube. Afortunadamente, Azure puede notificarle sobre problemas en su configuración para que pueda evitarlos. Lo hace a través de Azure Advisor. Azure Advisor puede ofrecer asesoramiento sobre alta disponibilidad, seguridad, rendimiento y costo. Para acceder a Azure Advisor, inicie sesión en Azure Portal y haga clic en Advisor en el menú de la izquierda. La figura 3-83 muestra Azure Advisor con dos recomendaciones de seguridad de alto impacto. FIGURA 3-83 Azure Advisor Para revisar los detalles de una recomendación, haga clic en el mosaico. En la Figura 3-84 , hemos hecho clic en el mosaico de Seguridad y puede ver una recomendación para habilitar MFA (autenticación multifactor) y agregar otro propietario a mi suscripción. FIGURA 3-84 Recomendaciones del asesor No tiene que hacer lo que recomienda Azure Advisor. Si hace clic en la descripción, puede decidir posponer o descartar la alerta, como se muestra en la esquina inferior derecha en la Figura 3-85 . Si elige posponer la alerta, tiene la opción de recibir un recordatorio en 1 día, 1 semana, 1 mes o 3 meses. FIGURA 3-85 Actuación de una recomendación Si tiene una gran cantidad de recomendaciones, o si no es la persona adecuada para tomar medidas sobre las recomendaciones, puede descargar las recomendaciones de Azure Advisor como un archivo de valores separados por comas o un PDF. Haga clic en Descargar como CSV o Descargar como PDF, como se muestra anteriormente en la Figura 383 . También puede descargar un archivo con recomendaciones específicas haciendo clic en el botón de descarga correspondiente mientras revisa los detalles, como se muestra tanto en la Figura 384 como en la Figura 3-85 . Monitor de Azure Azure Monitor agrega métricas para los servicios de Azure y las expone en una única interfaz. También puede crear alertas que le notificarán a usted oa otra persona cuando haya inquietudes que desee abordar. Para acceder a Azure Monitor, haga clic en Monitor en Azure Portal para mostrar la hoja Azure Monitor, como se muestra en la Figura 3-86 . Azure Monitor es personalizable, por lo que puede ver exactamente lo que más le interesa. Por esa razón, no muestra ninguna métrica hasta que las configura. Para ver métricas, haga clic en Métricas y luego seleccione un alcance. FIGURA 3-86 Azure Monitor En la Figura 3-87 , se ha seleccionado una máquina virtual en el grupo de recursos AZ900 para monitorear. FIGURA 3-87 Selección de un recurso para monitorear Una vez que selecciona un recurso, se le presenta una lista de métricas relacionadas con ese recurso. Las métricas de las VM se muestran en la Figura 3-88 . FIGURA 3-88 Métricas para VM Cuando selecciona una métrica, el gráfico se actualiza para mostrar un gráfico de esa métrica. Puede agregar métricas adicionales a su gráfico haciendo clic en Agregar métrica, como se muestra en la Figura 3-89 . FIGURA 3-89 Supervisión del uso del disco de la máquina virtual Al agregar varias métricas, querrá incluir solo aquellas métricas que comparten una unidad de medida común. Por ejemplo, si agregara una métrica de CPU al gráfico que se muestra en la Figura 3-89 , no tendría mucho sentido porque el porcentaje de CPU se mide como un porcentaje y las unidades de disco se miden en bytes. En la Figura 3-90 , agregamos Bytes de escritura en disco al gráfico. Azure Monitor codifica con colores cada métrica automáticamente para distinguirlas. También hemos seleccionado Gráfico de áreas como el tipo de gráfico para ver los patrones más claramente. FIGURA 3-90 Gráfico que muestra el uso del disco De forma predeterminada, los gráficos se muestran para el período de las últimas 24 horas y el valor en tiempo real se muestra en el borde derecho del gráfico. Sin embargo, puede personalizar el período de tiempo que se muestra haciendo clic en el período de tiempo y ajustándolo como desee, como se muestra en la Figura 3-91 . FIGURA 3-91 Cambio del período de tiempo del gráfico Una vez que tenga un gráfico que le resulte útil, puede anclar ese gráfico al panel del portal haciendo clic en Anclar al panel. Como se muestra en la Figura 3-92 , puede elegir Anclar al tablero actual, o puede anclarlo a un tablero específico eligiendo Seleccionar otro tablero para crear un tablero de monitoreo en el portal personalizado para un uso específico. FIGURA 3-92 Fijación de un gráfico Las alertas de Azure Monitor pueden notificarle a usted u otras personas con un correo electrónico o mensaje de texto SMS, ejecutar un flujo de aplicación lógica, llamar a una aplicación de función, realizar una solicitud a un webhook y más, cuando un determinado se cumple la condición. Las alertas se basan en reglas que usted define, y cuando se cumple la condición de una regla, una alerta realiza la acción que usted especifica. Puede crear una regla de alerta que se configure automáticamente para las métricas que ha seleccionado en su gráfico haciendo clic en Nueva regla de alerta en la parte superior de su gráfico. También puede empezar desde cero haciendo clic en Alertas en el menú de Azure Monitor, como se muestra en la Figura 3-93 , y luego haciendo clic en Nueva regla de alerta. FIGURA 3-93 Creación de una regla de alerta Para iniciar su regla, haga clic en Seleccionar y seleccione el recurso para el que desea configurar una alerta. En la Figura 3-94 , se selecciona una máquina virtual para una nueva regla de alerta. FIGURA 3-94 Selección de un recurso para una alerta A continuación, deberá especificar la condición de su alerta. Haga clic en Agregar condición y luego seleccione la señal que desea monitorear para su alerta. En la Figura 3-95 , se ha configurado una alerta basada en la señal de porcentaje de CPU de la VM. FIGURA 3-95 Configuración de una condición Una vez que selecciona una señal, se configura la lógica de la señal. Como se muestra en la Figura 3-96 , Monitor muestra un gráfico interactivo de la señal que ha elegido, que le ayuda a tener una idea del rendimiento histórico de su recurso. De forma predeterminada, muestra las últimas seis horas, aunque puede ajustar el período del gráfico. Puede especificar un operador, un tipo de agregación y un umbral, o hacer clic en Listo para crear la lógica de la alerta. FIGURA 3-96 Lógica de la regla de alerta Tenga en cuenta múltiples condiciones Una regla de alerta puede constar de varias condiciones. Por ejemplo, puede tener una regla que solo se active si la CPU tiene un promedio superior al 70 por ciento y el uso del disco también es alto. La decisión es tuya. Cuando se activa una alerta, realiza una acción que usted especifica mediante un grupo de acciones . Un grupo de acciones contiene una lista de acciones a realizar cuando se activa una alerta. Para crear un nuevo grupo de acciones, haga clic en Crear, como se muestra en la Figura 3-97 . FIGURA 3-97 Creación de un grupo de acciones En la Figura 3-98 , estamos creando una acción para notificar al director de TI. En este caso, la acción enviará un mensaje de texto al director de TI y también enviará una notificación push mediante la aplicación móvil de Azure. FIGURA 3-98 Creación de una acción Los grupos de acciones están diseñados para contener varias acciones que se ejecutan cuando se activa una alerta. Para agregar una nueva acción, haga clic en Administrar acciones (mostrado anteriormente en la Figura 3-93 ) y luego seleccione su grupo de acciones. En la Figura 399 , agregamos una acción adicional al grupo de acciones. Esta acción llama a una aplicación de función que ejecuta algún código para reiniciar la máquina virtual. FIGURA 3-99 Adición de otra acción Estado del servicio de Azure Microsoft opera una página web de estado de Azure donde puede ver el estado actual de los servicios de Azure en todas las regiones donde opera Azure. Si bien es una vista útil del estado general de Azure, el enorme alcance de la página web no la convierte en la forma más eficaz de obtener una descripción general del estado de sus servicios específicos. Azure Service Health puede proporcionarle una vista específica de sus recursos. Para acceder al estado del servicio, haga clic en Todos los servicios> Todos> Estado del servicio, como se muestra en la Figura 3-100 . FIGURA 3-100 Estado del servicio de Azure En la figura 3-101 se muestra la hoja Estado del servicio que muestra el estado y el estado de los recursos. El mapa que se muestra tiene tres puntos verdes que representan el estado de las tres regiones de Azure donde se implementan los recursos. Este mapa es específico y, al hacer clic en el ícono de alfiler, puede tener una referencia rápida del estado de Azure solo para las regiones donde tiene recursos. También puede ver cualquier mantenimiento planificado que pueda afectarle haciendo clic en Mantenimiento planificado en el menú de la izquierda. Al hacer clic en Advertencias de salud, puede ver información de salud que podría estar relacionada con su propia configuración y no un problema en algún lugar de Azure. FIGURA 3-101 Problemas de servicio en el estado del servicio Cuando un problema de servicio lo esté afectando, verá detalles sobre el problema, como se muestra en la Figura 3-102 . Además de los detalles completos sobre el incidente, también verá un enlace que hace referencia a los detalles del incidente. También puede descargar un PDF que contiene un aviso oficial de Microsoft sobre el incidente. FIGURA 3-102 Incidente de estado del servicio de Azure Tanto Azure Monitor como Azure Service Health son fundamentales para la vista general de sus recursos de Azure. Azure Monitor está diseñado para monitorear el costo y el rendimiento de sus recursos y alertarlo a usted y a otros cuando las condiciones lo requieran. Azure Service Health, por otro lado, es el único punto de verdad para la información sobre el estado de Azure y cómo los incidentes de Azure están afectando sus recursos. La combinación de estos dos servicios le proporciona todas las herramientas que necesita para mantenerse al día con sus recursos de Azure y su rendimiento. EXPERIMENTO MENTAL Ha aprendido bastante en este capítulo, así que apliquemos parte de ese conocimiento en un experimento mental. Las respuestas a este experimento mental se pueden encontrar en la sección que sigue. ContosoPharm está interesado en modernizar sus sistemas y ha acudido a usted en busca de consejos. Quieren monitorear las condiciones ambientales en sus áreas de almacenamiento, por lo que han instalado algunos termostatos habilitados para Internet. Uno de sus requisitos es poder alertar al personal de mantenimiento si hay una variación definida en la temperatura y la humedad. El departamento de TI también quiere una forma de actualizar de manera eficiente el firmware de estos termostatos si es necesario, y debido a que hay cientos de dispositivos, están preocupados por asignar costosos recursos de ingenieros para hacer ese trabajo, pero también quieren asegurarse de que todos los termostatos estén actualizados. , incluso cuando el acceso a Internet no esté disponible temporalmente. Recomiende una buena solución que satisfaga estas necesidades. Una pregunta adicional que han relacionado con estos dispositivos está relacionada con mantenerlos seguros. Al director de TI le preocupa conectar estos sistemas a Internet debido al riesgo de que un pirata informático pueda hacerse con el control de los sistemas de control del clima. Haga una recomendación para ellos que pueda ayudar a proteger estos dispositivos. ContosoPharm también está interesado en aprovechar el aprendizaje automático para hacer que su investigación sea más eficiente. Ya tienen una gran cantidad de datos en Data Lake Storage y necesitan una forma eficiente de analizar esos datos y crear algunos modelos de aprendizaje automático. Tienen grandes cantidades de datos, por lo que necesitan una solución que sea escalable y capaz de manejar millones de filas de datos. Si también puede proporcionar una solución para que traigan algunos datos no estructurados a la ecuación, eso sería una ventaja. Durante sus discusiones preliminares con ellos sobre esto, mencionaron que sus científicos de datos están interesados en aprovechar su conocimiento de Jupyter Notebooks. Haga una recomendación sobre la mejor manera de hacerlo en Azure. Si bien ContosoPharm tiene algunos científicos de datos y desarrolladores capacitados que planean usar R para construir algunos modelos de aprendizaje automático, también quieren permitir que algunas otras personas que no conocen R o Python desarrollen algunos modelos. Si hay una sugerencia que pueda hacer para habilitar a esas personas, sería un gran argumento de venta. El director de TI se da cuenta de que todas estas tareas van a agotar los recursos de TI y le preocupa el hecho de que los gerentes de ventas en el campo puedan mantener a los empleados de TI ocupados en el suministro básico. soporte informático. Los problemas que encuentran no son complicados, pero requieren mucho tiempo del personal de TI. Le ha pedido que recomiende una forma en la que puedan proporcionar apoyo básico en el campo sin tener que utilizar valiosos recursos de TI. Una cosa que causa algunos problemas de soporte está relacionada con una máquina virtual de Azure que ejecuta una aplicación personalizada que ContosoPharm desarrolló hace mucho tiempo. Esta aplicación pierde memoria y eso eventualmente hace que la aplicación se ralentice hasta el punto en que desencadena llamadas de soporte. No tienen los recursos disponibles en este momento para solucionar y solucionar el problema, por lo que cuando reciben llamadas, reinician la máquina virtual para resolver temporalmente el problema. Si puede recomendarles alguna forma de monitorear la memoria que se está utilizando y reiniciar la VM automáticamente sin la interacción del usuario, eso ayudaría mucho a reducir la cantidad de llamadas de soporte. La máquina virtual que aloja la aplicación tiene que cambiar de tamaño ocasionalmente debido a un aumento en el uso. Cuando esa máquina virtual se escala a un tamaño mayor, significa un mayor gasto para ContosoPharm. El CIO está dispuesto a aceptar este aumento en el costo, pero quiere que se le notifique a través de un mensaje de texto cuando suceda para estar al tanto del cambio. Ella le sugirió eso al director de TI, pero él no puede ofrecer una solución debido a una limitación en el número de desarrolladores que podrían construir una solución de este tipo. Si puede desbloquearlos en esto de una manera que no requiera a alguien que pueda escribir código, sería un gran beneficio. Junto con la recomendación de crear una solución para el CIO, a ContosoPharm le gustaría una buena forma de realizar un seguimiento de ese trabajo a medida que se realiza. Les preocupa que no puedan cumplir con los horarios, ya que las personas que trabajan en el proyecto probablemente tengan muchas otras tareas. Bríndeles una recomendación sobre una forma de hacer un seguimiento de este trabajo y asegurarse de que se realice. Uno de los desarrolladores de ContosoPharm cree que podría trabajar en la aplicación que está perdiendo memoria, pero no puede dedicarle mucho tiempo. Uno de los problemas al trabajar en esa aplicación es que necesita un par de otras máquinas virtuales con algunas herramientas específicas instaladas, y también necesita símbolos de depuración instalados en ellas. La instalación de los símbolos puede llevar un par de horas después de que activa una nueva máquina virtual. Si puede recomendar una forma de ahorrar algo de tiempo en esto, podría permitirle a ContosoPharm hacer un trabajo para arreglar la aplicación y resolver ese problema a largo plazo. Otro problema importante para solucionar la aplicación problemática es que se basa en tres aplicaciones web diferentes que se ejecutan en Azure App Service. El desarrollador no quiere solucionar problemas de la aplicación usando las aplicaciones web en vivo, por lo que necesita poder crear nuevas aplicaciones para probarlas fácilmente. Debido a que estas aplicaciones web se facturan a ContosoPharm, se estén ejecutando o no, tendrán que eliminar las aplicaciones cuando el desarrollador no esté trabajando activamente en el problema. Eso significa que el desarrollador tiene que tomarse el tiempo para volver a crear las aplicaciones web cuando vuelva a trabajar en la aplicación problemática. Recomiende una solución para que ContosoPharm cree fácilmente estas aplicaciones web cuando sean necesarias y luego elimínelas cuando ya no sean necesarias. El desarrollador que trabajará en la aplicación le ha informado que la aplicación se basa en una gran colección de scripts Bash que están instalados en la máquina virtual. Estos scripts interactúan con los recursos de Azure, por lo que deben ejecutarse dentro del entorno de Azure. Su sensación es que estos scripts podrían ser parte del problema con la aplicación, por lo que le gustaría tener una forma de editar fácilmente estos scripts en un entorno de Azure. El problema es que puede que no siempre esté en la oficina donde su computadoraestá disponible. De hecho, el desarrollador le dijo que gran parte del trabajo que hace en las secuencias de comandos se realiza mientras viaja por la ciudad en el tren, y el único dispositivo que tiene consigo es un iPad. Si puede ayudar a que el desarrollador sea productivo mientras está en el tren, sería una gran ventaja para ContosoPharm. El director de TI ha estado leyendo en la nube y le preocupa que parte de los problemas de ContosoPharm sea que no están siguiendo las mejores prácticas de Azure. Le pidió que discuta las mejores prácticas con ellos para que puedan estar mejor preparados para evitar problemas. Siente que este podría no ser el mejor uso de su tiempo y le preocupa que las mejores prácticas puedan evolucionar con el tiempo. Proporcione una mejor recomendación para garantizar que ContosoPharm cumpla con las mejores prácticas en Azure. A medida que ContosoPharm realiza cambios, también les gustaría saber si hay alguna forma de supervisar cuidadosamente el rendimiento de sus máquinas virtuales y otros recursos. Para ahorrar tiempo perdido, también quieren asegurarse de estar al tanto de cualquier incidente en Azure que esté afectando sus recursos. RESPUESTAS DEL EXPERIMENTO MENTAL En esta sección, repasaremos las respuestas al experimento mental. La mejor opción para administrar los dispositivos de termostato de ContosoPharm es usar IoT Hub. Podrían usar IoT Central para hacer gran parte de lo que quieren hacer, pero uno de sus requisitos es poder actualizar el firmware de los dispositivos incluso si Internet no está disponible temporalmente. La función de dispositivo gemelo de IoT Hub está diseñada específicamente para situaciones como esa, por lo que IoT Hub es una mejor opción. Para mantener seguros los termostatos, puede recomendar Azure Sphere. Sin embargo, necesitarán usar dispositivos que incorporen MCU diseñados para Azure Sphere y, si esos dispositivos aún no están disponibles, es posible que no puedan implementarlos de inmediato. Aun así, Azure Sphere es la mejor solución para mantener seguros los dispositivos de IoT, y ContosoPharm agradecería saberlo. La mejor manera de que ContosoPharm analice sus macrodatos y compile modelos es usar el análisis de Azure Synapse. Esta es una solución de un extremo a otro que funciona bien con Data Lake Storage. Dado que necesitan una solución escalable que también pueda manejar millones de filas de datos, HDInsight también es una buena recomendación para ellos. También mencionaron que quieren trabajar con algunos datos no estructurados. Azure Databricks es una solución ideal para usar datos no estructurados, y su compatibilidad con portátiles encaja bien con el deseo de utilizar el conocimiento de Jupyter Notebooks. Para permitir que los usuarios que no saben cómo programar compilen modelos de aprendizaje automático, puede recomendar Azure Machine Learning a ContosoPharm. Tendrán que usar la edición Enterprise para tener acceso a diseñadores visuales, pero esto les permitirá crear modelos ML en una interfaz de arrastrar y soltar. Para aliviar la presión del soporte de TI en el departamento de TI, puede recomendar Azure Cognitive Services y Azure Bot Service para crear un agente de soporte de IA. Con este método, pueden comprender fácilmente el lenguaje natural y ofrecer sugerencias mediante un bot de chat. Para supervisar el uso de memoria de la máquina virtual y reiniciarla cuando sea necesario, ContosoPharm puede usar Azure Monitor y configurar alertas para llamar a una aplicación de función para ejecutar algún código para reiniciar la máquina virtual. Dado que el CIO desea estar informado cuando se cambia el tamaño de la máquina virtual para tener en cuenta la presión de la memoria, también puede sugerirle que use Logic Apps para crear un flujo de trabajo. Puede usar Event Grid para escuchar un evento cuando la máquina virtual cambia de tamaño, y Logic Apps puede ejecutar un flujo que envía un mensaje de texto al CIO. Para realizar un seguimiento del trabajo que se está realizando en su aplicación con filtraciones, puede recomendar Azure DevOps y Azure Boards. Esto facilitaría el seguimiento de diferentes tareas y su estado actual. El desarrollador que necesita acceso a máquinas virtuales con herramientas específicas instaladas puede usar Azure DevTest Labs. Al crear una imagen personalizada que incluye todas las herramientas y símbolos de depuración que necesita, siempre puede acceder a una máquina virtual con lo que necesita muy rápidamente. Para crear y eliminar aplicaciones web de forma rápida y sencilla, puede recomendar que el desarrollador use el módulo Az en PowerShell o la CLI de Azure. Con estos, el desarrollador puede programar estas operaciones para poder crear fácilmente aplicaciones web y configurarlas de la manera que las necesite y luego eliminarlas todas fácilmente. Para trabajar en sus scripts Bash, el desarrollador debe usar Azure Cloud Shell. Debido a que Cloud Shell usa un sistema de archivos montado, cualquier archivo que use estará disponible en cualquier sesión de Cloud Shell, y el editor de Monaco integrado facilita la edición y el desarrollo de sus scripts. Cloud Shell también resuelve el problema de hacer que el desarrollador sea productivo mientras está en el tren. Al instalar la aplicación móvil de Azure en su iPad, puede acceder a una sesión de Cloud Shell en ese dispositivo y hacer su trabajo. Para asegurarse de que están al día con las mejores prácticas, ContosoPharm puede usar Azure Advisor. El asesor les mostrará dónde no están siguiendo las mejores prácticas, junto con los pasos de remediación a seguir. Pueden realizar un seguimiento de los posibles incidentes de servicio en Azure mediante Azure Service Health en Azure Portal. RESUMEN DEL CAPÍTULO Cubrimos mucho terreno en este capítulo. Aprendió sobre algunas de las tecnologías más recientes en computación en la nube y aprendió cómo puede interactuar y administrar los recursos de Azure de varias formas. Aquí hay un resumen de lo que cubrió este capítulo. Internet de las cosas (IoT) se refiere a dispositivos con sensores que se comunican entre sí y con Internet. • Azure IoT Hub le permite administrar dispositivos IoT y enrutar mensajes hacia y desde esos dispositivos. • El servicio de aprovisionamiento de Azure IoT Hub facilita el aprovisionamiento de una gran cantidad de dispositivos en IoT Hub. • Azure IoT Central es una oferta de SaaS para monitorear dispositivos IoT. • • IoT. Azure Sphere es un servicio para proteger los dispositivos de Azure Sphere se compone de Azure Sphere MCU, Azure Sphere OS y Azure Sphere Security Service. • Big data se refiere a más datos que puede analizar a través de medios convencionales dentro de un período de tiempo deseado. • • Azure Synapse es el reemplazo de SQL Data Warehouse. Azure Synapse almacena big data y también proporciona análisis de datos en un clúster. • Un clúster de Azure Synapse consta de Synapse SQL, integración de Apache Spark, integración de datos de Apache Spark y Azure Data Lake Storage, y una interfaz de usuario basada en web llamada Azure Synapse Studio. • Data Lake Storage es bueno para cualquier tipo de datos porque almacena datos no estructurados. • HDInsight es la solución de Microsoft para el procesamiento Hadoop en clúster de macrodatos. • Azure Databricks es una buena solución para modelar datos de un almacén de datos para que puedan usarse de manera efectiva en el modelado de ML. • Los clústeres de Databricks se componen de cuadernos que pueden almacenar todo tipo de información. • El proceso de toma de decisiones de IA en varios puntos a lo largo de la red neuronal se conoce como canalización de ML. • Azure Machine Learning usa recursos basados en la nube para entrenar modelos de ML mucho más rápido. • La edición Enterprise de Azure Machine Learning ofrece diseñadores que le permiten crear, entrenar y puntuar modelos de ML en una interfaz de arrastrar y soltar. • Los servicios cognitivos proporcionan numerosas API que le permiten desarrollar rápidamente soluciones de aprendizaje automático. • Azure Bot Service se ejecuta en Azure App Service y facilita la creación de una potente interacción impulsada por la inteligencia artificial. • La informática sin servidor se refiere al uso de máquinas virtuales excedentes en Azure para ejecutar su código a pedido. Solo paga cuando se ejecuta su código. • Azure Functions es el componente informático sin servidor en Azure. • Azure Logic Apps es una solución sin servidor de flujo de trabajo que usa conectores, desencadenadores y acciones. • Azure Event Grid permite generar y controlar eventos a medida que interactúa con sus recursos de Azure. • Azure DevOps es una forma sencilla de planificar, realizar un seguimiento y administrar proyectos y trabajar con equipos. • Azure DevTest Labs facilita el acceso a máquinas virtuales listas para usar que están configuradas exactamente como usted las necesita. • Azure Portal es una interfaz basada en web para interactuar con sus servicios de Azure. Utiliza llamadas a la API de ARM bajo el capó para hablar con Azure Resource Manager. • Azure PowerShell Az es un módulo de PowerShell multiplataforma que facilita la administración de los recursos de Azure en PowerShell. • La CLI de Azure es una herramienta de línea de comandos que es multiplataforma y se puede programar en varios idiomas. • Azure Cloud Shell proporciona acceso de línea de comandos a Azure desde prácticamente cualquier dispositivo. • Cloud Shell conserva todos los archivos copiados mediante una cuenta de almacenamiento de Azure. • La aplicación Azure Mobile le permite administrar sus recursos de Azure desde su dispositivo iOS o Android. • Azure Advisor proporciona recomendaciones de mejores prácticas en el área de alta disponibilidad, seguridad, rendimiento y costo. • Azure Monitor agrega métricas para los recursos de Azure. Puede crear alertas basadas en esas métricas. • Azure Service Health proporciona información relacionada con los incidentes en Azure que afectan a sus recursos. • Capítulo 4 Describir las características generales de seguridad y seguridad de la red. Hasta ahora, nos hemos adentrado en el vecindario de la seguridad en Azure, pero no nos hemos adentrado realmente. Eso va a cambiar en este capítulo. Naturalmente, la seguridad es de gran interés para cualquiera que se traslade a la nube. Después de todo, las empresas no solo trasladan las aplicaciones a la nube. También mueven grandes cantidades de datos, algunos de los cuales son muy sensibles, y quieren asegurarse de que sus datos estén a salvo de personas externas. También quieren asegurarse de que sus propios empleados no tengan acceso a recursos y datos que no necesitan. Además, muchas empresas tienen requisitos legales para el manejo de datos y deben confiar en que sus proveedores de nube cumplen esos requisitos. Azure puede ayudar con todos estos requisitos. Azure Security Center puede brindarle la confianza de que se están cumpliendo las mejores prácticas de seguridad; Azure Key Vault puede garantizar que los secretos estén cifrados; y Azure Sentinel puede vigilar sus recursos de Azure en busca de amenazas y responder a ellas. Además, las amenazas a la seguridad contra las redes son una gran preocupación para la mayoría de las empresas y Azure también lo cubre allí. En este capítulo, hablaremos sobre la defensa en profundidad y cómo puede ayudar a proteger sus datos. También cubriremos los Grupos de seguridad de red (NSG) como una forma de controlar el tráfico dentro de su red, Azure Firewall como un medio para proteger su red de los malos actores y Azure DDoS Protection como una solución que puede prevenir un ataque malintencionado que afecta acceso a los recursos de la red. Habilidades cubiertas en este capítulo: • • Describir las características de seguridad de Azure Describir la seguridad de la red de Azure HABILIDAD 4.1: DESCRIBIR LAS CARACTERÍSTICAS DE SEGURIDAD DE AZURE Pregúntele a cualquiera que se mude a la nube cuáles son sus preocupaciones y la mayoría mencionará la seguridad. Pero, ¿qué significa exactamente "seguridad"? La seguridad es multifacética y comienza con asegurarse de que sus recursos estén configurados correctamente para la seguridad. Sin embargo, incluso cuando haya hecho todo bien, aún puede correr el riesgo de los malos actores. También existe riesgo desde el interior comolos empleados obtienen acceso a datos y sistemas confidenciales. Los empleados malintencionados pueden violar la seguridad y también existe el riesgo de que un empleado bien intencionado cree involuntariamente un problema de seguridad. Esta sección cubre: Centro de seguridad de Azure • Bóveda de llaves • Centinela azur Centro de seguridad de Azure • La mayoría de las empresas tienen a alguien cuyo trabajo es aprender las mejores prácticas y asegurarse de que la empresa las cumpla. Cuando se trata de Azure, aprender esas mejores prácticas puede ser un trabajo difícil debido a la gran cantidad de servicios disponibles. Debido a que Azure siempre está cambiando y evolucionando, este trabajo se hace aún más difícil. Afortunadamente, Azure Security Center puede ayudarlo a mantenerse al día con las mejores prácticas, pero también puede ayudarlo a proporcionar los pasos que debe seguir para mantener sus recursos configurados de una manera que los haga más seguros. Security Center incluso puede ayudarlo a mantener seguros sus recursos locales. Security Center ofrece dos niveles de servicio: Nivel gratuito El nivel gratuito proporciona una evaluación general y recomendaciones para proteger sus recursos de Azure y cubre solo las máquinas virtuales de Azure y el Servicio de aplicaciones de Azure. Nivel estándar El nivel estándar agrega cobertura de sus bases de datos Azure SQL, bases de datos MySQL, PostgreSQL, Azure Storage, dispositivos IoT, AKS, Azure Container Registry y Azure Key Vault. El nivel Estándar también ofrece características adicionales como detección avanzada de amenazas, análisis de Microsoft Threat Intelligence y la capacidad de administrar el cumplimiento normativo de sus recursos de Azure. El nivel Estándar se factura por horas y los detalles completos sobre los precios se pueden encontrar en https://azure.microsoft.com/enus/pricing/details/security-center . Para comenzar con Security Center, haga clic en Security Center en el menú de la página de inicio de Azure Portal. Esto lo llevará a la hoja Descripción general, donde puede ver una descripción general de todos sus recursos protegidos por Security Center, como se muestra en la Figura 4-1 . FIGURA 4-1 Centro de seguridad de Azure Hay tres áreas principales de cobertura en Security Center. • Política y cumplimiento proporciona una puntuación segura y una puntuación general, que muestra la seguridad de sus recursos. Esta área también cubre su cumplimiento con los estándares regulatorios. • • Higiene de la seguridad de los recursos Proporciona una descripción general de alto nivel del estado de sus recursos desde una perspectiva de seguridad. Los problemas de seguridad se clasifican como de gravedad alta, gravedad media o gravedad baja. Protección contra amenazas Le muestra cualquier ataque o amenaza activos o pasados a sus recursos. La información para las áreas de Política y cumplimiento y Seguridad de los recursos Higiene es proporcionada por el servicio que se protege. Esta información suele estar relacionada con las mejores prácticas. La información en el área de Protección contra amenazas, por otro lado, está específicamente dirigida a analizar tanto el tráfico de la red como el comportamiento de los usuarios de sus recursos. Si algo parece sospechoso, Security Center lo informa. Microsoft Threat Intelligence se utiliza para identificar amenazas a la seguridad. Threat Intelligence utiliza los datos históricos de Microsoft y el aprendizaje automático para identificar posibles amenazas. Estas amenazas pueden ser un pirata informático que intenta obtener acceso a un recurso o pueden estar relacionadas con una actividad sospechosa realizada por un usuario. Por ejemplo, si un usuario eleva sus privilegios en una máquina virtual y ejecuta un proceso desconocido, estas actividades probablemente se marcarán como un incidente que debe investigarse. Al hacer clic en un elemento de la hoja Descripción general, puede profundizar en más detalles. En la Figura 4-2 , hicimos clic en Computación y aplicaciones en la hoja Descripción general. Esta vista le permite ver todas las recomendaciones. También puede ver cuánto mejorará su Secure Score si cumple con cada recomendación. Al hacer clic en una de las recomendaciones, se proporcionará información adicional. En la mayoría de los casos, verá un enlace a instrucciones sobre cómo puede abordar la recomendación, pero Security Center puede encargarse automáticamente de algunas recomendaciones. Las recomendaciones que se pueden corregir automáticamente mostrarán una insignia de Corrección rápida, como se muestra en la Figura 4-2 . FIGURA 4-2 Descripción general de todas las recomendaciones de Azure Compute en Security Center Los puertos de red abiertos en sus máquinas virtuales son una de las mayores amenazas de seguridad para sus recursos en la nube. El acceso a sus máquinas virtuales mediante el escritorio remoto para las máquinas virtuales de Windows o SSH para las máquinas virtuales de Linux es una parte necesaria de la gestión de esos recursos, pero los piratas informáticos suelen utilizar los puertos de red utilizados para la gestión remota para acceder a las máquinas virtuales. Security Center proporciona una función llamada acceso justo a tiempo (JIT) que ayuda a proteger sus máquinas virtuales de los ataques a los puertos de administración. Cuando el acceso JIT está habilitado, los usuarios deben solicitar acceso a una máquina virtual para poder acceder a ella de forma remota. Hasta que alguien tenga acceso JIT, los puertos de administración en la VM se cierran para que no se pueda acceder a ellos. Una vez que se otorga acceso JIT a un usuario, los puertos están abiertos durante un período de tiempo específico según lo solicite el usuario. Una vez transcurrido ese período de tiempo, los puertos de administración se vuelven a cerrar. Para habilitar el acceso JIT en una VM, haga clic en Just In Time VM Access en Security Center, como se muestra en la Figura 4-3 . Haga clic en la pestaña Recomendado para ver las máquinas virtuales que actualmente no están configuradas para el acceso JIT. Seleccione una o más VM y haga clic en Habilitar JIT para activar la función. FIGURA 4-3 Habilitación del acceso JIT en una VM Al habilitar el acceso JIT, puede elegir qué puertos desea proteger, como se muestra en la Figura 4-4 . Se enumeran los puertos recomendados para la administración, pero puede agregar sus propios puertos. Por ejemplo, si ha cambiado la configuración de su máquina virtual para que la administración se realice en un puerto no típico, puede agregar ese puerto para el acceso JIT. Además de especificar el puerto, también puede controlar qué protocolos están permitidos en el puerto y qué direcciones IP están permitidas. Si las direcciones IP permitidas se establecen en Por solicitud, el usuario queLas solicitudes de acceso tendrán la opción de especificar una dirección IP o un bloque CIDR. De lo contrario, puede especificar un bloque CIDR usted mismo para permitir el acceso solo desde un rango de direcciones IP específico. FIGURA 4-4 Configuración de acceso JIT Cuando un usuario solicita acceso, la cantidad de horas que se le otorga el acceso se puede configurar hasta la cantidad máxima de horas que especifique en la configuración del puerto. El tiempo máximo de solicitud se puede configurar de 1 a 24 horas, pero el valor predeterminado es 3 horas. Una vez que una máquina virtual está configurada para el acceso JIT, los usuarios solicitan acceso desde Security Center. Después de hacer clic en Just in Time VM Access, seleccione la VM y haga clic en Request Access, como se muestra en la Figura 4-5 . FIGURA 4-5 Solicitud de acceso JIT Como se muestra en la Figura 4-6 , los usuarios que solicitan acceso deben especificar qué puertos abrir, las direcciones IP que están permitidas (asumiendo que no se especificaron cuando se habilitó el acceso JIT para la VM) y cuánto tiempo se necesita el acceso (hasta el tiempo máximo configurado). Una vez que se hace clic en Abrir puertos, los puertos solicitados permanecerán abiertos durante el período especificado. FIGURA 4-6 Detalles de una solicitud de acceso JIT Bóveda de llaves La mayoría de las aplicaciones utilizan información confidencial o secreta. Por ejemplo, una aplicación que utiliza una base de datos necesita saber cómo conectarse a esa base de datos y esa información de conexión se almacena en una cadena de conexión. La cadena de conexión puede contener un nombre de usuario y contraseña que protegen la base de datos y almacenar ese nombre de usuario y contraseña en un archivo de texto sin cifrar sería un riesgo de seguridad obvio. Azure Key Vault proporciona una forma segura de almacenar secretos, claves y certificados. Una vez que un elemento se almacena en Key Vault, puede aplicar políticas de seguridad que definan qué usuarios y aplicaciones pueden acceder a él. Key Vault se cifra mediante claves de cifrado, pero Microsoft no tiene visibilidad de las claves de cifrado ni de los datos cifrados. Los almacenes de claves se crean en Azure Portal, como se muestra en la Figura 4-7 . Hay dos niveles de precios disponibles en Key Vault: Estándar y Premium. La única diferencia entre los dos es que las claves se almacenan en módulos de seguridad de hardware (HSM) en el nivel Premium. Un HSM es una pieza de hardware separada que está diseñada para almacenar contenido cifrado de forma segura y también está especializada para procesar datos criptográficos. FIGURA 4-7 Creación de un Key Vault Sugerencia para el examen El estándar federal de procesamiento de información (FIPS) 140-2 requiere mantener las claves de cifrado en un límite de HSM, por lo que las empresas que necesitan cumplir con FIPS 140-2 pueden hacerlo mediante el nivel Premium de Key Vault. Puede importar una clave, un secreto o un certificado a Key Vault, pero Key Vault también puede generar claves de seguridad y certificados. Por ejemplo, es posible que desee generar una clave de seguridad que su empresa pueda utilizar para firmar certificados. Si desea generar una clave de seguridad de 4.096 bits para este propósito y almacenarla en Key Vault, haga clic en Claves y luego haga clic en Generar / Importar, como se muestra en la Figura 4-8 . FIGURA 4-8 Adición de una clave a Key Vault En la Figura 4-9 , se genera y almacena una clave RSA de 4.096 bits en Key Vault. FIGURA 4-9 Generación de una clave RSA Como se muestra en la Figura 4-10 , una vez que se ha almacenado la clave, puede ver la entrada para obtener el identificador de clave, que es una URL que pueden utilizar los usuarios autorizados o las aplicaciones para recuperar elclave. Sin embargo, no puede ver la clave porque está encriptada y no está disponible excepto a través del identificador de clave. FIGURA 4-10 Detalles de una llave Sugerencia para el examen Normalmente, una aplicación accede a una clave almacenada en Azure Key Vault mediante programación. Para proteger la clave, los desarrolladores de aplicaciones pueden recuperar la clave cada vez que sea necesario en lugar de recuperarla una vez y almacenarla en la memoria. Esto asegura que la clave permanezca segura. Otro escenario de uso común para Key Vault es almacenar claves de cifrado para máquinas virtuales de Azure. Una de las recomendaciones de seguridad que ofrece Security Center es cifrar los discos de VM. Un disco de VM se almacena como un archivo VHD y, cuando está cifrado, el sistema operativo host que ejecuta la VM debe poder acceder a la clave de seguridad para descifrar el VHD y ejecutar la VM. Key Vault ofrece capacidades que están específicamente dirigidas a este tipo de escenario. Para utilizar Key Vault para claves de cifrado de disco, las políticas de acceso deben configurarse para permitir el cifrado de disco en la bóveda. Si esto no se hizo cuando se creó la bóveda, puede cambiarla haciendo clic en Políticas de acceso y marcando la opción Cifrado de disco de Azure para cifrado de volumen, como se muestra en la Figura 4-11 . FIGURA 4-11 Configuración de políticas de acceso para permitir el acceso a Azure Disk Encryption Azure Disk Encryption está habilitado en sus máquinas virtuales mediante Azure PowerShell, la interfaz de línea de comandos (CLI) de Azure o una plantilla ARM. Más información Habilitación del cifrado Para habilitar el cifrado y almacenar las claves en Key Vault, sus máquinas virtuales y Key Vault deben estar en la misma suscripción de Azure y deben estar en la misma región de Azure. Para obtener más detalles sobre los requisitos de cifrado de disco y los pasos para habilitar el cifrado, consulte: https://bit.ly/az900-keyvaultvm . Centinela azur Cuando se trata de proteger datos y recursos, muchas empresas utilizan marcos probados y comprobados que están diseñados para centrarse en lo más importante, como SOAR (Security Orchestration, Automation, and Response) o SIEM (Security Information and Event Management). Muchas empresas, de hecho, utilizan SOAR y SIEM en combinación. La implementación de SOAR y SIEM puede ser un desafío. Muchas empresas contratan expertos en seguridad para implementarlos en sus negocios. Microsoft quería que SOAR y SIEM fueran fáciles de implementar, incluso para personas que no son expertos en seguridad. El resultado de su trabajo es Azure Sentinel. Sugerencia para el examen Azure Sentinel no es solo para Azure. También puede proporcionar informes y análisis de amenazas para recursos locales y para recursos en otras nubes. Para comenzar a usar Azure Sentinel, primero cree un área de trabajo de Sentinel. Una vez que lo haga, verá la pantalla Azure Sentinel Workspaces que se muestra en la Figura 4-12 . Haga clic en el botón Conectar área de trabajo para crear una instancia de Azure Log Analytics y agregarla a su área de trabajo de Sentinel. Si ya tiene una instancia de Log Analytics, puede elegirla para agregarla a Azure Sentinel. FIGURA 4-12 Creación de un área de trabajo de Azure Sentinel Nota Azure Sentinel y Log Analytics Azure Sentinel se encuentra en la parte superior de Log Analytics. A medida que Log Analytics recopila información de sus recursos de Azure, Azure Sentinel observa esa información en busca de amenazas. Después de agregar Log Analytics a Azure Sentinel, conecte las fuentes de datos a Sentinel mediante conectores haciendo clic en el botón Conectar, como se muestra en la Figura 4-13 . FIGURA 4-13 Recopilación de datos con Azure Sentinel Microsoft proporciona conectores para Azure y otros productos de Microsoft, pero también hay conectores para terceros. En la Figura 4-14 , puede ver un conector para Amazon Web Services. FIGURA 4-14 Adición de un conector en Sentinel Una vez que agregue un conector, verá los requisitos previos para el conector, así como los siguientes pasos que debe seguir. En la Figura 415 , agregamos un conector para Azure Active Directory. FIGURA 4-15 El conector de Azure Active Directory en Sentinel La lista de requisitos previos es una lista activa que muestra el estado actual de todos los requisitos previos. En la figura 4-15 , se han cumplido todos los requisitos previos, excepto el requisito de licencia de Azure Active Directory que muestra un icono X. Hacer clic en Pasos siguientes le permite realizar los pasos necesarios para completar la adición de su conector. En la Figura 4-16 , se muestran los siguientes pasos para configurar el conector de Azure Active Directory. FIGURA 4-16 Pasos siguientes para configurar el conector de Azure Active Directory en Sentinel Después de agregar su conector, guardará la configuración dentro de un libro de trabajo de Azure Monitor. Los libros de trabajo facilitan la agregación de datos para que sea más fácil de consumir. Azure Sentinel también puede buscar amenazas de seguridad específicas. Se proporcionan muchas consultas que buscan amenazas de todo tipo. Al hacer clic en Hunting, puede seleccionar una consulta que desee ejecutar en sus recursos, como se muestra en la Figura 4-17 . FIGURA 4-17 Búsqueda de amenazas en Azure Sentinel Cuando Sentinel encuentra un problema, puede hacer que responda usando un Playbook . Un Playbook es un flujo de trabajo que se ejecuta en respuesta a una alerta en Sentinel. Para crear un Playbook, haga clic en Playbooks y luego haga clic en Add Playbook, como se muestra en la Figura 4-18 . FIGURA 4-18 Adición de un libro de jugadas en Sentinel Cuando agrega un nuevo libro de jugadas, Sentinel le pedirá que cree una nueva aplicación lógica. Eso es porque los Playbooks usan Logic Apps para sus flujos de trabajo. En el momento de escribir este artículo, la experiencia del usuario está un poco desconectada. Una vez creada la aplicación lógica, deberá hacer clic en Aplicación lógica en blanco, como se muestra en la Figura 4-19 . FIGURA 4-19 Creación de una nueva aplicación lógica para un manual de jugadas de Sentinel Ingrese centinela en el cuadro de búsqueda y haga clic en Cuando se activa una respuesta a una alerta de Azure Sentinel, como se muestra en la Figura 4-20 . Después de eso, puede continuar construyendo su flujo de trabajo y agregar las acciones que desea realizar cuando se active la alerta. FIGURA 4-20 Adición de un disparador para Azure Sentinel en una aplicación lógica HABILIDAD 4.2: DESCRIBIR LA SEGURIDAD DE LA RED DE AZURE Otro componente de seguridad se relaciona con la red. Asegurar la red requiere un conjunto de herramientas y habilidades completamente diferente. Al igual que cuando planifican la seguridad de los datos y los recursos, las empresas suelen pagar a especialistas para que los ayuden con la seguridad de la red. En Azure, sin embargo, una gran parte de la seguridad de la red está a cargo de usted. Aun así, deberá tomar algunas medidas para mantenerse seguro. Esta sección cubre: Defensa en profundidad • Grupos de seguridad de red (NSG) • Cortafuegos de Azure • Protección contra DDoS de Azure Defensa en profundidad • Por un momento, transpórtese a la época medieval y piense en lo que era vivir en un castillo. Estos no eran tiempos amigables en muchos sentidos, y siempre había una fuerza hostil tratando de entrar en la fortaleza. Para evitar la invasión, se construyeron fosos alrededorcastillos. El propósito del foso era evitar que una fuerza contraria hiciera un túnel debajo de la pared y lograra entrar. Incluso antes de que un enemigo llegara al foso, los arqueros a lo largo del alto muro del castillo representarían un riesgo formidable para los atacantes que se acercaran al castillo. Suponiendo que una fuerza opuesta lograra pasar a los arqueros y atravesar el foso, se encontraron con un muro alto y una puerta resistente. Si lograban pasar la puerta, se encontraban con un ejército de hombres con espadas y otras armas repugnantes. La gente medieval tenía una idea bastante buena en lo que respecta a la seguridad. Se dieron cuenta de que una sola fuerza opuesta no sería suficiente para mantenerlos seguros. Necesitaban una oposición en capas para que cualquiera que derrotara un método de seguridad se encontrara con varios más en el futuro. Este es un ejemplo perfecto de defensa en profundidad, y es por eso que la defensa en profundidad a menudo se conoce como el "enfoque de castillo". En lo que respecta a la seguridad de la red, este enfoque de varias capas también es la mejor manera de mantener su red segura. Azure Firewall puede ayudar a evitar que un usuario malintencionado ingrese a su red, los grupos de seguridad de red pueden ayudarlo a controlar el tráfico de red dentro de su red y Azure DDoS Protection puede ayudar a identificar y mitigar el tráfico malintencionado que de otro modo podría parecer normal. Grupos de seguridad de red (NSG) Un grupo de seguridad de red (NSG) le permite filtrar el tráfico en su red y aplicar reglas sobre ese tráfico. Un grupo de seguridad de red contiene varias reglas integradas proporcionadas por Azure que están diseñadas para permitir que sus recursos en la red virtual se comuniquen entre sí. Luego, puede agregar sus propias reglas al NSG para controlar el tráfico que entra y sale de la red, y también entre los recursos de la red. La figura 4-21 muestra una aplicación de varios niveles. FIGURA 4-21 Una aplicación de varios niveles Aquí está el flujo de tráfico de esta aplicación. • • • La subred 1 recibe datos de otra red virtual que ejecuta Azure Firewall. La subred 1 se comunica con la subred 2 para procesar solicitudes. La subred 2 se comunica con un servidor de base de datos en la subred 3 para acceder a los datos. Si desea garantizar un entorno seguro, la subred 1 no debería poder comunicarse directamente con los recursos de la subred 3. Asimismo, la subred 3 no debería poder comunicarse directamente con los recursos de la subred 1. Finalmente, solo la subred 1 debería poder comunicarse directamente con los recursos de la subred 1. comunicarse con la otra red virtual que ejecuta Azure Firewall. Puede utilizar NSG para implementar reglas que harán cumplir estas políticas. Los grupos de seguridad de red se pueden asociar con una subred o con una interfaz de red adjunta a una máquina virtual. Cada interfaz de red o subred solo puede tener un NSG asociado, pero puede crear hasta 1,000 reglas en un solo NSG, por lo que debería poder aplicar fácilmente toda la lógica de reglas necesaria para cualquier tarea. Si asocia un NSG a una subred y a una o más interfaces de red dentro de esa subred, las reglas para el NSG asociado con las interfaces de red se aplican primero, seguidas de las reglas del NSG de la subred. Sugerencia para el examen Un grupo de seguridad de red que está asociado con una subred afecta a todas las máquinas virtuales dentro de esa subred, así como al tráfico hacia y desde la subred. Por ejemplo, supongamos que configura un NSG para evitar todo el tráfico excepto el tráfico de Internet y luego asocia ese NSG con una subred que contiene dos VM. En ese caso, esas dos VM ya no podrán comunicarse entre sí porque el NSG solo permite el tráfico de Internet. Para evitar que las reglas interfieran entre sí, cada regla que cree en un NSG tiene una prioridad entre 100 y 4096. Las reglas con una prioridad más baja tienen prioridad sobre las reglas con una prioridad más alta. El tráfico de red se aplica a la regla con el número de menor prioridad primero. Si el tráfico coincide con esa regla, la regla se aplica y el procesamiento de la regla se detiene. Si el tráfico no coincide con la regla, se evalúa con la siguiente regla de prioridad más baja. Esto continúa hasta que el tráfico coincide con una regla o no hay reglas adicionales. Más información Prioridad de las reglas predeterminadas Las reglas predeterminadas que Azure aplica a todos los grupos de seguridad de red tienen una prioridad en el rango de 65.000. Esto evita que las reglas predeterminadas anulen alguna vez una regla explícita que usted cree y le facilita anular las reglas predeterminadas si es necesario. Para crear un grupo de seguridad de red , busque Grupo de seguridad de red en Azure Marketplace. Cuando cree un NSG, asígnele un nombre, ingrese un nombre en el campo Nombre o haga clic en Crear nuevo para crear un grupo de recursos y elija una ubicación para el NSG en el menú desplegable Región, como se muestra en la Figura 4-22. . FIGURA 4-22 Creación de un NSG Después de crear un NSG, puede agregar reglas de entrada y salida para el NSG. Una vez que abra el grupo de seguridad de red en Azure Portal, haga clic en Reglas de seguridad de entrada para agregar nuevas reglas de entrada y haga clic en Reglas de seguridad de salida para agregar reglas de salida. En la Figura 4-23 , se ha hecho clic en Reglas de seguridad de entrada para agregar una nueva regla que permite el tráfico desde la red virtual que ejecuta Azure Firewall. Después de eso, el NSG se asociará con la Subred1. Tenga en cuenta que puede asociar el grupo de seguridad de red con una subred o una interfaz de red antes de agregar reglas. FIGURA 4-23 Reglas de seguridad de entrada para un NSG Haga clic en Agregar para agregar una nueva regla NSG. La figura 424 muestra una nueva regla que se agrega que permite el tráfico en esta subred desde el espacio de direcciones de otra red virtual que ejecuta Azure Firewall. FIGURA 4-24 Creación de una regla de entrada de NSG La regla que se configura en la Figura 4-24 usa la notación CIDR para las direcciones IP de origen, pero también puede ingresar una dirección IP específica o cambiar el menú desplegable Fuente a Cualquiera si desea que la regla se aplique a todas las direcciones IP. Haga clic en Agregar para crear la regla. Una vez que haya creado una regla, haga clic en Subredes para asociar un grupo de seguridad de red con una subred, o haga clic en Interfaces de red para asociarlo con una interfaz de red utilizada por una máquina virtual. Por último, haga clic en Asociar, como se muestra en la Figura 425 . FIGURA 4-25 Asociación de un NSG La Figura 4-26 muestra la hoja en la que un grupo de seguridad de red está asociado con una subred. FIGURA 4-26 Asociación de un NSG con una subred Las reglas de seguridad de salida se crean de la misma forma que se crean las reglas de entrada. Sin embargo, no es necesario que cree una regla de salida correspondiente para cada regla de entrada. Los NSG mantienen lo que se llama un registro de flujo que almacena el estado de una conexión, y el NSG permitirá el tráfico que corresponda a ese registro de flujo sin una regla explícita. Si una regla de seguridad permite el tráfico entrante al puerto 80 desde direcciones IP en el rango de 10.1.0.0/16, como la regla configurada en la Figura 4-24 , el NSG también permitirá el tráfico saliente en el puerto 80 a direcciones en ese mismo rango. utilizando el registro de flujo. El registro de flujo ya no está en vigor una vez que el tráfico deja de fluir durante unos minutos. Hay algunos casos en los que no conocerá el rango de direcciones IP específico. Por ejemplo, si desea configurar una regla NSG en una red virtual que permita todo el tráfico de Internet, no debe especificar un rango de direcciones exacto. Para lidiar con eso, los NSG le permiten usar etiquetas de servicio al configurar reglas. Una etiqueta de servicio es un identificador especial creado por Microsoft que se aplica a Internet o a un tipo de servicio específico dentro de Azure. Por ejemplo, si tiene algunas aplicaciones web ejecutándose en Azure App Service y desea permitir que se comuniquen con su subred, puede usar la etiqueta de servicio AppService en su regla de entrada para permitirlo. Los servicios de Azure también tienen etiquetas de servicio específicas de la región para que pueda permitir o denegar el tráfico solo de regiones específicas. Para usar una etiqueta de servicio, establezca la Fuente de su regla en Etiqueta de servicio. Luego, puede seleccionar una etiqueta de servicio en el menú desplegable Fuente. En la figura 4-27 , la etiqueta de servicio AppService.CentralUS se usa para permitir el tráfico desde los recursos de Azure App Service en la región central de EE. UU. FIGURA 4-27 Uso de una etiqueta de servicio en una regla NSG Cortafuegos de Azure En el lenguaje informático, un cortafuegos es un dispositivo a través del cual el tráfico de red entra y sale de una red en particular. El propósito de un firewall es permitir solo el tráfico deseado en la red y rechazar cualquier tráfico que pueda ser malicioso o que provenga de un origen desconocido. Un firewall impone control en la red mediante reglas que especifican un rango de direcciones IP de origen y destino y una combinación de puertos. En una configuración de firewall típica, todo el tráfico se deniega de forma predeterminada. Para que el cortafuegos permita que el tráfico lo atraviese, una regla debe coincidir con ese tráfico. Por ejemplo, si desea permitir que alguien en la Internet pública acceda a una aplicación web que se está ejecutando en un servidor en particular, cree una regla de firewall que permita la comunicación a los puertos 80 y 443 (los puertos para el tráfico HTTP y HTTPS). Luego, configura la regla para enviar ese tráfico a su servidor web. Hay varios firewalls disponibles de terceros en Azure Marketplace, pero Microsoft también ofrece su propio firewall llamado Azure Firewall. Azure Firewall es una oferta de PaaS en Azure, se administra fácilmente y ofrece una garantía de tiempo de actividad del 99,95 por ciento. Azure Firewall escala según sus necesidades de red, por lo que no tiene que preocuparse por los picos de tráfico que causan latencia o tiempo de inactividad para sus aplicaciones. Nota Azure Firewall es un firewall con estado Azure Firewall es un firewall con estado . Eso significa que almacena datos en su memoria sobre el estado de las conexiones de red que fluyen a través de ella. Cuando nuevos paquetes de red para una conexión existente llegan al firewall, puede saber si el estado de esa conexión representa una amenaza a la seguridad. Por ejemplo, si alguien falsifica su dirección IP e intenta obtener acceso a su red virtual en Azure, el firewall reconocerá que la dirección de hardware de la computadora que se está utilizando ha cambiado y rechazará la conexión. Una configuración típica de Azure Firewall consta de lo siguiente: • • Una red de concentradores centralizada que contiene Azure Firewall y una máquina virtual que funciona como caja de salto . El cortafuegos expone una dirección IP pública, pero la máquina virtual Jumpbox no. Una o más redes adicionales (llamadas redes radiales ) que no exponen una dirección IP pública. Estas redes contienen sus diversos recursos de Azure. Jumpbox es una máquina virtual a la que puede acceder de forma remota para administrar otras máquinas virtuales en sus redes. Todas las demás máquinas virtuales están configuradas para permitir solo el acceso remoto desde la dirección IP de la máquina virtual Jumpbox. Si desea acceder a una VM en una red radial, primero ingrese remotamente a la máquina virtual Jumpbox, y luego remotamente a la VM de la red radial desde la Jumpbox. Esta configuración se conoce como configuración de concentrador y radio y proporciona seguridad adicional para los recursos de su red. Nota Son posibles otras configuraciones de red Una configuración de concentrador y radio no es la única configuración en la que se puede usar Azure Firewall. Por ejemplo, puede tener una sola red virtual y Azure Firewall en esa red para filtrar el tráfico de Internet. Una configuración de red de concentrador y radio es la más común en las aplicaciones comerciales del mundo real. La figura 4-28 es una ilustración de una configuración típica de concentrador y radio que también incluye Azure Firewall. El firewall dirige el tráfico que proviene de Internet a través del puerto 443 (tráfico HTTPS) a un servidor web que se ejecuta en Spoke VNet 1. El tráfico que ingresa a través del puerto de escritorio remoto se dirige a la máquina virtual Jumpbox, y los usuarios pueden usar Remote Desktop Protocol (RDP) desde la Jumpbox VM a una VM en Spoke VNet 2. FIGURA 4-28 Un ejemplo de una configuración de red de concentrador y radio con Azure Firewall Antes de que pueda configurar un firewall para manejar el tráfico de red, deberá crear una instancia de Azure Firewall. Puede optar por incluir Azure Firewall cuando cree su red virtual en Azure, o puede crear un firewall y agregarlo a una red virtual existente. La figura 4-29 muestra la creación de Azure Firewall durante la creación de una nueva red virtual. FIGURA 4-29 Creación de Azure Firewall Cuando crea un firewall durante la creación de una red virtual, Azure crea una subred en la red virtual denominada AzureFirewallSubnet y usa el espacio de direcciones que especifique para esa subred. También se crea una dirección IP pública para el firewall para que se pueda acceder a él desde Internet. Más información Azure Bastion En este ejemplo, usamos un Jumpbox y acceso JIT para explicar el beneficio de Azure Firewall, pero un enfoque mucho mejor para el acceso remoto para sus máquinas virtuales es usar Azure Bastion. Azure Bastion no está cubierto actualmente en el examen AZ-900, pero puede obtener más información al respecto navegando en https://bit.ly/az900azurebastion . Si bien la naturaleza PaaS de Azure Firewall elimina gran parte de la complejidad, usar un firewall no es tan simple como habilitarlo en su red virtual. También deberá indicarle a Azure que envíe tráfico al firewall y luego deberá configurar reglas en el firewall para que sepa qué hacer con ese tráfico. Para enviar tráfico a su firewall, necesita crear una tabla de rutas. Una tabla de rutas es un recurso de Azure que está asociado con una subred y contiene reglas (llamadas rutas ) que definen cómo se maneja el tráfico de red en la subred. Se crea una tabla de rutas con el elemento Tabla de rutas en Azure Marketplace. Una vez que cree una nueva tabla de enrutamiento, debe asociarla con una o más subredes. Para hacerlo, haga clic en Subredes y luego haga clic en Asociar, como se muestra en la Figura 4-30 . FIGURA 4-30 Asociación de una tabla de rutas con una subred Después de hacer clic en Asociar, seleccione la Red virtual y la Subred, como se muestra en la Figura 4-31 . FIGURA 4-31 Elección de una subred para asociar Nota Región de la tabla de ruta Su tabla de ruta debe estar en la misma región que su red virtual. De lo contrario, no podrá asociar la subred con la tabla de enrutamiento. En nuestra configuración particular, queremos asociar tanto JumpboxSubnet como ServerSubnet con la tabla de rutas. Esto garantizará que el cortafuegos maneje todo el tráfico de red a la máquina virtual Jumpbox y todo el tráfico de ServerSubnet . Sugerencia para el examen Es importante comprender que un firewall puede (y debe) usarse para filtrar el tráfico que entra y sale de una red. Por ejemplo, desea que el firewall maneje el tráfico hacia su caja de salto, pero también desea asegurarse de que el tráfico que fluye desde la subred donde se encuentran otros servidores sea seguro y no envíe datos de manera inapropiada fuera de su red. Una vez que hemos asociado la tabla de rutas con las subredes, creamos una ruta definida por el usuario para que el tráfico se dirija a través de Azure Firewall. Para hacerlo, haga clic en Rutas y luego en Agregar, como se muestra en la Figura 4-32 . FIGURA 4-32 Adición de una nueva ruta definida por el usuario a la tabla de rutas La Figura 4-33 muestra la configuración de una nueva ruta definida por el usuario llamada ToFirewall . Esta ruta está configurada para 0.0.0.0/0, que es la notación para todo el tráfico. Luego, envía ese tráfico a un dispositivo virtual (Azure Firewall, en este caso) ubicado en la dirección IP 10.1.1.4, que es la dirección IP interna de este firewall. Una vez configurada esta ruta, se aplicará inmediatamente a todos los dispositivos de las subredes asociadas con la tabla de rutas. FIGURA 4-33 Agregar una ruta definida por el usuario Recuerde, Azure Firewall bloquea todo el tráfico de forma predeterminada, por lo que en este punto, no hay forma de llegar a la máquina virtual Jumpbox que está en JumpboxSubnet . Para acceder a esa VM, debeConfigure una regla de firewall en Azure Firewall que reenviará el tráfico adecuado a la máquina virtual Jumpbox. Para agregar una regla de firewall, abra Azure Firewall en Azure Portal y haga clic en Reglas, seleccione el tipo de regla y haga clic en el botón Agregar para agregar una nueva colección de reglas, como se muestra en la Figura 4-34 . FIGURA 4-34 Colecciones de reglas de Azure Firewall en Azure Portal Hay tres tipos de colecciones de reglas disponibles en Azure Firewall. • • • Colección de reglas NAT Las reglas de traducción de direcciones de red (NAT) se utilizan para reenviar el tráfico desde el firewall a otro dispositivo en la red. Colección de reglas de red Estas son reglas que permiten el tráfico en puertos y rangos de direcciones IP específicos que usted especifique. Colección de reglas de aplicación Las reglas de aplicación se utilizan para permitir que aplicaciones, como Windows Update, se comuniquen a través de su red. Además, se pueden usar para permitir nombres de dominio particulares como azure.com y microsoft.com . Azure Firewall combina todas las reglas de un tipo y prioridad específicos en una colección de reglas. La prioridad es un número entre 100 y 65.000. Los números más bajos representan una prioridad de regla más alta y se procesan primero. En otras palabras, si desea asegurarse de que una regla se aplique siempre antes que todas las demás reglas, incluya esa regla en una colección de reglas con una prioridad de 100. Cuando el tráfico de red ingresa al firewall, las reglas de NAT se aplican primero. Si el tráfico coincide con una regla de NAT, Azure Firewall aplica una regla de red implícita para que el tráfico se pueda enrutar correctamente y todo el procesamiento de reglas adicional se detiene. Si no hay una regla de NAT que coincida con el tráfico, se aplican las reglas de red. Si una regla de red coincide con el tráfico, se detiene todo el procesamiento posterior de reglas. Si no hay una regla de red que se aplique al tráfico, se aplican las reglas de la aplicación. Si ninguna de las reglas de la aplicación coincide con el tráfico, el firewall lo rechaza. Para permitir el acceso remoto a la Jumpbox VM, puede configurar una regla NAT que reenvíe cualquier tráfico en el puerto 55000 al puerto 3389 (el puerto para escritorio remoto) en la IP interna de la Jumpbox VM, como se muestra en la Figura 4-35 . Porque el puerto 55000 es un puerto general que nonormalmente se usa para escritorio remoto, alguien con intenciones maliciosas probablemente nunca descubriría que se está usando para ese propósito. FIGURA 4-35 Adición de una regla NAT Además de las reglas que configure, la característica de inteligencia de amenazas en Azure Firewall puede protegerlo de direcciones IP y nombres de dominio maliciosos conocidos. Microsoft actualiza constantemente su lista de actores maliciosos conocidos, y los datos recopilados se proporcionan en la fuente de inteligencia de amenazas de Microsoft. Cuando habilita la inteligencia sobre amenazas, puede elegir que Azure le avise si el tráfico de una dirección IP maliciosa conocida o un nombre de dominio intenta ingresar a su red. Además, puede optar por que el cortafuegos niegue el tráfico automáticamente, como se muestra en la Figura 4-36 . FIGURA 4-36 La inteligencia de amenazas puede ayudar a proteger su red virtual de Azure Protección contra DDoS de Azure Las aplicaciones en la nube a las que se puede acceder desde Internet a través de una dirección IP pública son susceptibles a ataques distribuidos de denegación de servicio (DDoS). Los ataques DDoS pueden abrumar los recursos de una aplicación y, a menudo, pueden hacer que la aplicación no esté disponible hasta que se mitigue el ataque. Los ataques DDoS también se pueden utilizar para aprovechar las fallas de seguridad en una aplicación y atacar los sistemas a los que se conecta una aplicación. Azure usa Protección DDoS para ayudar a protegerse contra ataques DDoS. La protección DDoS es una característica de Azure Virtual Networks. Hay dos niveles de protección DDoS: básica y estándar. • Basic Basic lo protege de los ataques DDoS basados en volumen al distribuir grandes cantidades de volumen en toda la infraestructura de red de Azure. La protección básica contra DDoS se aplica tanto a las direcciones IP públicas IPv4 como a las IPv6. Con el nivel Básico, no tiene registro ni informes de ninguna mitigación de DDoS, y no hay forma de configurar alertas para que se le notifique si se detecta un problema. Sin embargo, el nivel Básico es gratuito y proporciona protección básica. • Estándar El nivel DDoS Estándar ofrece protección contra ataques DDoS basados en volumen y, cuando se usa en combinación con Azure Application Gateway, también brinda protección contra ataques diseñados para apuntar a la seguridad de sus aplicaciones. Ofrece registro y alerta de eventos DDoS y mitigaciones, y si necesita ayuda durante un ataque DDoS, Microsoft brinda acceso a expertos que pueden ayudarlo. El nivel DDoS Standard se aplica solo a las direcciones IP públicas IPv6. El nivel Estándar está dirigido a clientes empresariales y se factura a $ 2,994 por mes, más una pequeña tarifa por gigabyte por los datos que se procesan. El precio fijo mensual cubre hasta 100 recursos. Si necesita cubrir recursos adicionales, paga $ 30 adicionales por recurso, por mes. Para habilitar el nivel DDoS Standard, haga clic en DDoS Protection en su red virtual en Azure Portal y seleccione Standard, como se muestra en la Figura 4-37 . FIGURA 4-37 Protección DDoS en Azure Portal Para habilitar el nivel Estándar, necesitará un plan de protección DDoS. Si actualmente no tiene uno, haga clic en Crear un plan de protección DDoS para crear uno en Azure Portal. Luego puede aplicar ese plan de protección DDoS a su red virtual y a otras redes virtuales que tengaacceso a en Azure. No se requiere que las redes virtuales que usan el plan de protección DDoS estén en la misma suscripción, por lo que en la mayoría de los casos, una organización solo necesitará un plan de protección DDoS para proteger todas sus redes virtuales. Sugerencia para el examen El hecho de que pueda agregar redes virtuales de varias suscripciones de Azure al mismo plan de protección DDoS es un concepto importante. Se le factura un gran cargo mensual por el plan de protección DDoS, y si crea dos planes de protección DDoS, acaba de duplicar sus costos. El nivel DDoS Protection Standard supervisa el tráfico de su red las 24 horas del día, los 7 días de la semana, y utiliza el aprendizaje automático para perfilar su tráfico a lo largo del tiempo y ajustarse para adaptarse al perfil de tráfico de su red. Durante un evento DDoS, el nivel Estándar le permite transmitir registros a un sistema SIEM. Los sistemas SIEM están diseñados para permitir la agregación de datos de una gran cantidad de fuentes con fines de análisis y para cumplir con las políticas y estándares de retención de datos. Una vez que haya configurado las alertas y el monitoreo para la protección DDoS, puede simular un evento DDoS utilizando una cuenta de BreakingPoint Cloud disponible en: https://www.ixiacom.com/products/breakingpoint-cloud . Esto le permite asegurarse de que su Protección DDoS lo está protegiendo de los ataques DDoS. EXPERIMENTO MENTAL Ahora está mucho más informado sobre cuestiones de seguridad en la nube. Pongamos ese conocimiento a prueba con un experimento mental. Las respuestas a este experimento mental se encuentran en la siguiente sección. ContosoPharm ha descubierto que ahora eres un gurú de la seguridad y tienen algunos problemas que les gustaría que los resolvieras. En primer lugar, tienen una gran cantidad de recursos de Azure que acaban de implementar con una nueva aplicación. Como la mayoría de sus aplicaciones, esta nueva aplicación trata con datos sensibles. Quieren asegurarse de que cumplen con las mejores prácticas de seguridad. También tienen algunos servidores que utiliza la aplicación que están en las instalaciones, por lo que es importante que averigüen si son tan seguros como deberían. Otra preocupación que tiene ContosoPharm es el acceso a las máquinas virtuales de Azure que usa la aplicación. El director de TI desea asegurarse de que solo los equipos de la red corporativa de ContosoPharm puedan acceder al escritorio remoto de estas máquinas virtuales, y solo durante ciertos períodos de tiempo durante el día. Una parte de la aplicación ContosoPharm usa certificados para la autenticación y quieren asegurarse de que estos certificados se almacenen de manera segura. También necesitan la capacidad de almacenar claves cifradas para que cumplan con FIPS 140-2. La directora de TI de ContosoPharm le ha dicho a su personal que necesitan implementar SOAR y SIEM en su entorno. Necesitan que esto funcione tanto para los recursos de Azure como para los recursos que tienen en Amazon Web Services. No quieren gastar mucho dinero en consultoría, por lo que necesitan una manera fácil de lograrlo. La aplicación que han implementado en la nube es una aplicación de varios niveles. Al director de tecnología le preocupa que los ingenieros de red no protegieran la aplicación lo suficientemente bien. Quiere asegurarse de que las reglas de tráfico se implementen en los distintos niveles de la aplicación. También quiere asegurarse de que se rechace el tráfico del exterior que no debería llegar a la red. Finalmente, debido a que esta aplicación es fundamental para el funcionamiento de ContosoPharm, están dispuestos a invertir el dinero que pueden ahorrar de su consultoría en cualquier solución que pueda ayudarlos a evitar que un ataque distribuido de denegación de servicio cause problemas de disponibilidad. ¿Cuáles son sus recomendaciones para ContosoPharm? RESPUESTAS DEL EXPERIMENTO MENTAL Esta sección cubre las respuestas al experimento mental. Para asegurarse de que ContosoPharm cumpla con las mejores prácticas, deben usar Azure Security Center. No solo puede informar sobre sus servicios de Azure, sino que también puede obtener detalles sobre sus recursos locales. Al utilizar las funciones de acceso a VM justo a tiempo de Security Center, pueden garantizar que las VM no se puedan conectar de forma remota a menos que la computadora de origen esté en su red corporativa. También pueden restringir las horas del día en que se puede acceder a las máquinas virtuales. Para almacenar sus certificados de forma segura, deben usar Azure Key Vault. También pueden almacenar sus claves cifradas en Azure Key Vault, pero como necesitan el cumplimiento de FIPS 140-2, deberán usar el nivel Premium. Para implementar fácilmente SOAR y SIEM en su entorno, ContosoPharm debe usar Azure Sentinel. Luego, puede configurar conectores para sus servicios de Azure y AWS. Para imponer reglas sobre el tráfico de red en sus redes virtuales, deben configurar NSG. Para asegurarse de que el tráfico externo que no debería llegar a la red se bloquee, deben usar Azure Firewall y configurar reglas para permitir solo el tráfico entrante que sea apropiado. Los NSG que crean también deben imponer reglas sobre qué nivel de la aplicación puede aceptar tráfico de Internet. Para evitar ataques DDoS, pueden adquirir DDoS Standard. Si bien el costo de esto es relativamente alto, proporciona un alto nivel de protección contra los ataques DDoS. RESUMEN DEL CAPÍTULO Este capítulo le presentó las herramientas de seguridad que puede usar para proteger los recursos de Azure, los recursos locales y las redes virtuales. También aprendió algunos conceptos de seguridad que pueden ayudarlo a comprender mejor cómo configurar estas herramientas en Azure. Aquí hay un resumen de lo que cubrió este capítulo. • • • • • • • • • • • • • • Azure Security Center es un analizador de prácticas recomendadas para los recursos de Azure y los recursos locales. Security Center cubre tres áreas principales: políticas y cumplimiento, higiene de la seguridad de los recursos y protección contra amenazas. El acceso a la máquina virtual justo a tiempo puede restringir el acceso al escritorio remoto de la máquina virtual a determinadas redes y determinadas horas del día. Azure Key Vault proporciona una forma segura de almacenar secretos, claves y certificados. El nivel Azure Key Vault Premium almacena claves en módulos de seguridad de hardware (HSM), lo que lo hace compatible con FIPS 140-2. Azure Sentinel es una solución para implementar SOAR y SIEM en un entorno. Sentinel puede ayudar a detectar amenazas de seguridad en Azure, otras nubes y en las instalaciones. Sentinel puede tomar una acción en una alerta de seguridad mediante Playbooks, y las Playbooks se crean sobre Azure Logic Apps. La defensa en profundidad también se denomina a menudo "enfoque de castillo" porque representa estrategias de seguridad de varios niveles. Los grupos de seguridad de red (NSG) son reglas que le permiten filtrar el tráfico en una red y controlar ese tráfico. Las reglas de NSG tienen una prioridad entre 100 y 4096, y las reglas con un número de prioridad más bajo tienen prioridad. Azure Firewall deniega todo el tráfico en subredes específicas a menos que se configure una regla para permitir ese tráfico. Azure Firewall es un firewall con estado que "recuerda" el estado de las conexiones. Esto le permite reconocer el tráfico malicioso que de otro modo podría parecer normal. Azure DDoS Protection viene en dos niveles: Básico y Estándar. • • Basic es gratuito y se refiere a la protección DDoS que Microsoft tiene para evitar que Azure se vea afectado por ataques DDoS. Standard se puede utilizar junto con Azure Application Gateway. Capítulo 5 Describir las características de identidad, gobernanza, privacidad y cumplimiento. Hemos hablado mucho sobre seguridad, pero cuando se trata de pasar a la nube, la seguridad no es la única preocupación importante que tienen las empresas. También quieren tener control sobre cómo se utilizan los recursos y quieren asegurarse de que los datos se mantengan privados después de que estén en el ecosistema del proveedor de la nube. Además, muchas empresas deben cumplir con las regulaciones y estándares, y al migrar a la nube, están transfiriendo parte de esa responsabilidad al proveedor de la nube. Por lo tanto, quieren garantizar un alto nivel de confianza en que el proveedor de la nube los mantiene en cumplimiento. Microsoft se toma muy en serio todas estas preocupaciones y proporciona potentes herramientas en Azure para satisfacer las necesidades de sus clientes. En este capítulo, hablaremos sobre esas herramientas y cómo usarlas. Habilidades cubiertas en este capítulo: • Describir los principales servicios de identidad de Azure. • Describir las características de gobernanza de Azure • Describir los recursos de privacidad y cumplimiento HABILIDAD 5.1: DESCRIBIR LOS PRINCIPALES SERVICIOS DE IDENTIDAD DE AZURE La seguridad no se trata solo de controlar el tráfico de la red. Para proporcionar un entorno seguro, debe tener algún medio para identificar quién accede a su aplicación. Una vez que conozca la identidad de un usuario, debe asegurarse de que no se le permita el acceso a los datos u otros recursos a los que no deberían acceder. Esta sección cubre: • Autenticacion y autorizacion • Azure Active Directory • Acceso condicional y autenticación multifactor (MFA) • Control de acceso basado en roles (RBAC) Autenticacion y autorizacion En la mayoría de las aplicaciones comerciales, no todos los usuarios tienen los mismos privilegios. Por ejemplo, un sitio web puede permitir que una pequeña cantidad de usuarios agreguen y revisen contenido. Otro grupo más pequeño de usuarios podría tener la capacidad de decidir quién puede agregar contenido. Sin embargo, la gran mayoría de los usuarios son solo consumidores del contenido. No pueden modificar el contenido de ninguna manera y tampoco pueden otorgar a otras personas la capacidad de acceder al contenido. Para implementar este tipo de control, necesita saber quién está usando la aplicación para poder determinar cuál debe ser su nivel de privilegios. Para determinar quién está usando la aplicación, es necesario que los usuarios inicien sesión, a menudo con un nombre de usuario y una contraseña. Suponiendo que el usuario proporciona las credenciales correctas, ese usuario está autenticado en la aplicación. Una vez que un usuario está autenticado y comienza a interactuar con una aplicación, es posible que se realicen verificaciones adicionales para confirmar qué acciones puede realizar y cuáles no. Ese proceso se denomina autorización y las comprobaciones de autorización se realizan contra un usuario que ya está autenticado. Este tipo de escenario de autenticación y autorización no se limita a un escenario de sitio web. Cuando inicia sesión en Azure Portal, se le autentica. A medida que interactúa con los recursos de Azure, también se le autoriza a realizar las acciones que está realizando. Según su nivel de privilegio, solo se le permite hacer ciertas cosas. Por ejemplo, es posible que esté autorizado para crear recursos de Azure, pero no para dar acceso a otras personas a la suscripción de Azure que está usando. Azure usa un servicio llamado Azure Active Directory para hacer cumplir la autenticación y la autorización en Azure, pero tiene muchas capacidades más allá de la simple autenticación y autorización. Azure Active Directory Si tiene alguna experiencia con Windows Active Directory local, es posible que comprenda Azure Active Directory (Azure AD) sea un desafío. Eso es porque Azure AD no es el equivalente en la nube de Windows Active Directory. Es completamente diferente. Azure AD es un servicio de identidad basado en la nube en Azure que puede ayudarlo a autenticar y autorizar usuarios. Puede usar Azure AD para brindar a los usuarios acceso a los recursos de Azure. También puede dar a los usuarios acceso a recursos de terceros utilizados por su empresa y recursos locales, todos con el mismo nombre de usuario y contraseña. Más información sobre cómo conceder acceso a los recursos de Azure Aprenderá cómo puede autorizar a los usuarios a acceder a sus recursos de Azure cuando cubramos el control de acceso basado en roles más adelante en esta habilidad. El núcleo de Azure AD es un directorio de usuarios. Cada usuario tiene una identidad que se compone de una identificación de usuario, una contraseña y otras propiedades. Los usuarios también tienen asignados uno o más roles de directorio . El ID de usuario y la contraseña se usan para autenticar al usuario y los roles se usan para la autorización para realizar determinadas actividades en Azure AD. Más información Principales de servicios e identidades administradas Otras dos entidades disponibles en Azure AD son las entidades de servicio y las identidades administradas. Las entidades de servicio representan una aplicación en Azure AD y las analizaremos más adelante en esta sección. Una identidad administrada es un tipo especial de entidad de servicio que solo se puede usar con recursos de Azure. Puede leer más sobre ellos en https://bit.ly/az900-managedidentities . Cuando se registra para obtener una suscripción de Azure, se crea automáticamente un recurso de Azure AD y se usa para controlar el acceso a los recursos de Azure que crea en su suscripción. La figura 51 muestra Azure AD en Azure Portal. FIGURA 5-1 Azure AD en Azure Portal Para ver o administrar usuarios en Azure AD, haga clic en Usuarios en el menú del lado izquierdo de la página. Esto abre la hoja Todos los usuarios que se muestra en la Figura 5-2 . FIGURA 5-2 La hoja Todos los usuarios en Azure Portal Azure AD que se muestra en la Figura 5-2 contiene dos usuarios. La fuente del primer usuario es Azure Active Directory y este usuario se agregó manualmente al directorio. El otro usuario está utilizando una cuenta de Microsoft para iniciar sesión en el directorio. Para agregar un nuevo usuario de su empresa a Azure AD, haga clic en Nuevo usuario para mostrar la hoja que se muestra en la Figura 5-3 . FIGURA 5-3 Adición de un nuevo usuario de Azure AD El nombre de usuario especificado se usa para iniciar sesión en Azure AD. El nombre de dominio que use debe ser uno de su propiedad y que esté asociado con su Azure AD. También puede asignar el nuevo usuario a un grupo o rol. Los grupos facilitan la gestión de un mayor número de usuarios similares. Azure AD ofrece una característica denominada colaboración B2B (empresa a empresa) de Azure AD que le permite agregar usuarios que no pertenecen a su empresa. Por lo tanto, puede invitar a otros usuarios externos a su empresa para que sean miembros de Azure AD. A continuación, se puede dar acceso a esos usuarios a sus recursos. Los usuarios que no forman parte de su empresa se denominan usuarios invitados . Para agregar un usuario invitado, haga clic en Nuevo usuario invitado, como se muestra en la Figura 5-2 . Esto abrirá la hoja Nuevo usuario invitado, como se muestra en la Figura 5-4 . FIGURA 5-4 Adición de un nuevo usuario invitado Cuando invita a un usuario invitado, se envía una invitación para unirse a Azure AD a la dirección de correo electrónico que especifique. Para aceptar la invitación, la dirección de correo electrónico del usuario debe estar asociada a una cuenta de Microsoft. Si el usuario no tiene una cuenta de Microsoft, se le dará la opción de crear una para unirse a su Azure AD. El usuario de la Figura 5-4 puede tener acceso a las cuentas de redes sociales corporativas agregando esas aplicaciones a Azure AD. Se pueden agregar miles de aplicaciones, incluidas aplicaciones de redes sociales como Facebook y Twitter. Para agregar una aplicación, abra Azure AD en Azure Portal, haga clic en Aplicaciones empresariales (que se muestra anteriormente en la Figura 5-1 ) y haga clic en Nueva aplicación, como se muestra en la Figura 5-5 . FIGURA 5-5 Aplicaciones empresariales en Azure AD Después de hacer clic en Nueva aplicación, puede elegir entre los proveedores de nube más populares, como se muestra en la Figura 56 . Puede buscar una aplicación desde aquí ingresando el nombre de una aplicación en el cuadro de búsqueda. También puede filtrar la vista utilizando los botones de filtrado a la derecha del cuadro de búsqueda. FIGURA 5-6 Proveedores de nube en la galería de aplicaciones empresariales Si se desplaza hacia abajo, verá una lista de muchas otras aplicaciones que puede agregar, como se muestra en la Figura 5-7 . FIGURA 5-7 Aplicaciones de la galería de aplicaciones empresariales También puede agregar su propia aplicación, agregar una aplicación que exista en su entorno local o integrar cualquier otra aplicación. La aplicación que agregue debe exponer una página de inicio de sesión a la que puede apuntar Azure AD para integrarla. Sugerencia para el examen Puede configurar a qué recursos puede acceder una aplicación mediante una entidad de servicio . La entidad de servicio se crea cuando otorga acceso a una aplicación a los recursos de Azure mediante el control de acceso basado en roles, que es un concepto que aprenderá en la siguiente sección. Después de agregar una aplicación, puede configurar Azure AD para que los usuarios con acceso a esa aplicación puedan autenticarse con las mismas credenciales que usan para iniciar sesión en Azure AD. Este tipo de autenticación se conoce como inicio de sesión único (o SSO) y es uno de los beneficios clave del uso de Azure AD. Sugerencia para el examen Azure AD B2B le permite invitar a usuarios invitados a su Azure AD de otras empresas. Otra característica de AD llamada Azure AD B2C le permite brindar a los usuarios acceso a las aplicaciones de Azure AD iniciando sesión con cuentas existentes, como una cuenta de Facebook o Google. Otro beneficio importante del uso de Azure AD para administrar el acceso de los usuarios a otras aplicaciones es que puede revocar fácilmente ese acceso desde una única interfaz. Por ejemplo, si le da a un usuario el nombre de usuario y la contraseña de su cuenta de la red social para que pueda publicar en su cuenta, tendrá que cambiar el nombre de usuario y la contraseña en su cuenta de la red social cuando ya no desee que ese usuario tener acceso. Si concede acceso mediante Azure AD con SSO configurado, puede quitar ese acceso fácilmente dentro de Azure Portal. El usuario nunca tiene que saber el nombre de usuario y la contraseña que usa para la cuenta de la red social. Todas las características de Azure AD que hemos cubierto hasta ahora están incluidas en la versión gratuita de Azure AD que obtienen todas las personas con una suscripción de Azure. Azure AD tiene otros tres niveles de precios que no son gratuitos: aplicaciones de Office 365, Premium P1 y Premium P2. Si actualiza a uno de los planes Premium, puede habilitar la autenticación multifactor para sus usuarios. Más información Precios de Azure Active Directory Para obtener más información sobre los planes de precios de Azure AD y lo que se incluye en cada uno de ellos, consulte: https://aka.ms/aadpricing . Acceso condicional y autenticación multifactor (MFA) En el sentido más simple, los administradores de Azure AD pueden decidir si un usuario tiene acceso a un recurso en particular solicitando que el usuario esté autenticado con un nombre de usuario y contraseña y tenga la autorización para acceder a ese recurso. Sin embargo, la mayoría de los administradores quieren mucho más control que eso para mantener los recursos seguros. Suponga que ha otorgado acceso a un usuario llamado Christine a su cuenta de Microsoft 365 mediante Azure AD. Debido a que todos sus documentos confidenciales se almacenan en Microsoft 365, debe estar seguro de que nadie puede piratear la contraseña de Christine y obtener acceso a sus datos. El acceso condicional de Azure y la autenticación multifactor (MFA) pueden ayudar a que la cuenta de Christine sea mucho más segura. Comencemos mirando el acceso condicional. Acceso condicional El acceso condicional de Azure le permite crear políticas que se aplican a los usuarios. Estas políticas utilizan asignaciones y controles de acceso para configurar el acceso a sus recursos. Las asignaciones definen a quién se aplica una política. Puede aplicarse a usuarios, grupos de usuarios, roles en Azure AD o usuarios invitados. También puede especificar que una política solo se aplique a aplicaciones específicas, como Microsoft 365 en nuestro ejemplo anterior. Las asignaciones también pueden definir condiciones que se deben cumplir (como requerir una determinada plataforma como iOS, Android, Windows, etc.), ubicaciones específicas por dirección IP y más. Los controles de acceso determinan cómo se aplica una política de acceso condicional. El control de acceso más restrictivo es el acceso bloqueado, pero también puede usar controles de acceso para exigir que un usuario use un dispositivo que cumpla con ciertas condiciones, que esté usando una aplicación aprobada para acceder a sus recursos, que esté usando MFA, etc. en. Para crear una directiva de acceso condicional, busque Azure AD Conditional Access en Azure Portal. Luego puede hacer clic en el botón Nueva política para crear una nueva política, como se muestra en la Figura 5-8 . FIGURA 5-8 Hoja de directivas de acceso condicional en Azure Portal Sugerencia para el examen El acceso condicional solo está disponible en los niveles Premium de Azure AD. Dado que en estos ejemplos se usa la versión gratuita de Azure AD, el botón Nueva directiva está deshabilitado en la figura 58. Autenticación multifactor (MFA) De forma predeterminada, los usuarios pueden iniciar sesión en Azure AD con solo un nombre de usuario y una contraseña. Incluso si requiere que sus usuarios utilicen contraseñas seguras, permitir el acceso a sus recursos con solo un nombre de usuario y contraseña es riesgoso. Si un pirata informático obtiene la contraseña utilizando un software que adivina las contraseñas o robándola a través de suplantación de identidad u otros medios, sus recursos ya no están seguros. La autenticación multifactor resuelve este problema. El concepto detrás de la autenticación multifactor es que debe autenticarse usando una combinación de: • Algo que sepa, como un nombre de usuario y una contraseña. • Algo que tienes, como un teléfono o un dispositivo móvil. Algo que eres, como un reconocimiento facial o una huella dactilar • Si la autenticación multifactor requiere los tres, se denomina autenticación de tres factores o, a veces, 3FA. Si solo se requieren los dos primeros, se denomina autenticación de dos factores o, a veces, 2FA. (Microsoft realmente llama a esto verificación de dos pasos ). La autenticación multifactor de Azure es la autenticación de dos factores. Observe la biometría en dispositivos móviles Aunque la autenticación multifactor de Azure es de dos factores, si usa un dispositivo móvil que incluye características biométricas, es posible que se esté autenticando mediante la autenticación de tres factores. Sin embargo, el tercer factor lo aplica su dispositivo móvil y no Azure. La autenticación multifactor de Azure no requiere autenticación de tres factores. Para habilitar la autenticación multifactor para uno o más usuarios de Azure AD, abra la hoja Todos los usuarios, haga clic en los tres puntos en la parte superior de la página y haga clic en Autenticación multifactor, como se muestra en la Figura 5-9 . (Si tiene un monitor grande, es posible que el botón Autenticación multifactor esté visible de forma predeterminada). FIGURA 5-9 Habilitación de la autenticación multifactor Más información Registro de información de seguridad combinada Para una mejor experiencia de usuario, Microsoft recomienda que utilice el registro combinado para permitir que los usuarios se registren en MFA junto con el restablecimiento de contraseña de autoservicio en una sola operación. Puede leer más sobre esto en https://bit.ly/az900-combinedregistration . Al hacer clic en Autenticación multifactor, se abre una nueva ventana del explorador que muestra el sitio de administración de usuarios de Azure AD. Seleccione uno o más usuarios para los que desee habilitar la autenticación multifactor y haga clic en Habilitar, como se muestra en la Figura 5-10 . FIGURA 5-10 Habilitación de la autenticación multifactor Sugerencia para el examen Es más fácil configurar MFA mediante una política de acceso condicional. Además de la facilidad de uso, configurar MFA con acceso condicional también le permite configurar MFA para usuarios invitados, algo que no es posible usando el sitio que se muestra en la Figura 5-10 . Una vez que un usuario debe usar MFA, debe dar un segundo paso al iniciar sesión en Azure Portal. Esto puede ser un mensaje de la aplicación Microsoft Authenticator (disponible para iOS y Android), un mensaje SMS con un número de acceso, una llamada telefónica que requiere que ingrese un código de acceso o un token de hardware OAUTH. Más información Token de hardware de Oauth Un token de hardware OAUTH es un pequeño dispositivo que muestra un número de acceso. Cuando se le solicite en su navegador, ingrese ese número de acceso dentro de un período corto de tiempo para completar la autenticación. Control de acceso basado en roles (RBAC) El control de acceso basado en roles (RBAC) es un término genérico que se refiere al concepto de autorizar a los usuarios a un sistema que se basa en roles definidos a los que pertenece el usuario. Azure implementa RBAC en todos los recursos de Azure, por lo que puede controlar cómo los usuarios y las aplicaciones pueden interactuar con sus recursos de Azure. Es posible que desee permitir que los usuarios que administran sus bases de datos tengan acceso a las bases de datos de un grupo de recursos en particular, pero no desea permitir que esas personas creen nuevas bases de datos o eliminen las existentes. Es posible que también desee que algunos desarrolladores web puedan implementar código nuevo en sus aplicaciones web, pero no desea que puedan escalar la aplicación a un plan de mayor precio. Estos son solo dos ejemplos de lo que puede hacer con RBAC en Azure. Hay cuatro elementos para RBAC: Principal de seguridad El principal de seguridad representa una identidad. Puede ser un usuario, un grupo, una aplicación (que se denomina entidad de servicio) o una entidad AAD especial denominada identidad gestionada . Una identidad administrada es cómo autoriza a otro servicio de Azure a acceder a su recurso de Azure. • Rol Un rol (a veces denominado definición de rol) es lo que define cómo la entidad de seguridad puede interactuar con un recurso de Azure. Por ejemplo, un rol puede definir que un principal de seguridad puede leer las propiedades de un recurso, pero no puede crear nuevos recursos o eliminar recursos existentes. • Alcance El alcance define el nivel en el que se aplica el rol y especifica cuánto control tiene el principal de seguridad. Por • ejemplo, si el ámbito es un grupo de recursos, el rol define las actividades que se pueden realizar en todos los recursos del grupo de recursos. Asignaciones de roles Los roles se asignan a una entidad de seguridad en un ámbito en particular, y eso es lo que finalmente define el nivel de acceso para la entidad de seguridad. • RBAC incluye muchos roles integrados. Tres de estos roles integrados se aplican a todos los recursos de Azure. Propietario Los miembros de este rol tienen acceso completo a los recursos. • Los miembros colaboradores de este rol pueden crear recursos y administrarlos, pero no pueden delegar ese derecho a nadie más. • Lector Los miembros de este rol pueden ver los recursos de Azure, pero no pueden crear, eliminar ni administrar esos recursos. • Todos los demás roles integrados son específicos de determinados tipos de recursos de Azure. Para otorgar acceso a alguien a un recurso mediante RBAC, abra el recurso al que desea otorgar acceso en Azure Portal. Haga clic en Control de acceso (IAM) en el portal para configurar RBAC. En la figura 5-11 , RBAC se está configurando para una aplicación web hospedada en Azure App Service. Hacer clic en Agregar en el cuadro Agregar una asignación de rol le permite agregar un rol. FIGURA 5-11 Configuración de RBAC para una aplicación web Sugerencia para el examen El alcance de RBAC se define según el lugar donde se asigna el rol de RBAC. Por ejemplo, si abre un grupo de recursos en el portal y asigna un rol RBAC a un usuario, el alcance está en el nivel del grupo de recursos. Por otro lado, si abre una aplicación web dentro de ese grupo de recursos y asigna el rol, el alcance es solo para esa aplicación web. Los roles de RBAC pueden tener como alcance el grupo de administración, la suscripción, el grupo de recursos o el nivel de recursos. Después de hacer clic en Agregar, elija el rol que desea asignar. La lista de roles diferirá según el tipo de recurso que sea. Elija a quién o qué desea asignarle el rol y luego haga clic en Guardar, como se muestra en la Figura 5-12 . FIGURA 5-12 Adición de una asignación de roles La Figura 5-12 muestra una lista de usuarios en el AAD porque el menú desplegable Asignar acceso a está configurado para objetos AAD. Puede ver una lista de otros tipos de objetos seleccionando un tipo diferente. Por ejemplo, en la Figura 5-13 , estamos seleccionando un tipo de identidad administrado integrado llamado Máquina virtual, y esto nos permitirá seleccionar de una lista de VM para asignar al rol. FIGURA 5-13 Uso de una identidad administrada para asignar un rol Sugerencia para el examen Es importante comprender que las asignaciones de roles son acumulativas. Sus habilidades de RBAC en cualquier ámbito particular son el resultado de todas las asignaciones de roles hasta ese nivel. En otras palabras, si tengo el rol de Propietario en un grupo de recursos y usted me asigna el rol de Colaborador del sitio web en una aplicación web dentro de ese grupo de recursos, la asignación de Colaborador del sitio web no tendrá ningún efecto porque ya tengo el rol de Propietario en todo el recurso. grupo. Azure Resource Manager (ARM) aplica RBAC. Cuando intenta interactuar con un recurso de Azure, ya sea en el portal de Azure o mediante una herramienta de línea de comandos, ARM lo autentica y se genera un token. Ese token es una representación de su identidad y todas sus asignaciones de roles, y se incluye con todas las operaciones que realiza en el recurso. ARM puede determinar si la acción que está realizando está permitida por los roles a los que está asignado. Si es así, la llamada se realiza correctamente; si no, se le niega el acceso. Puede asegurarse de que alguien tenga los derechos que desea comprobando el acceso en Azure Portal. Después de abrir el recurso y hacer clic en Control de acceso (IAM), use el menú desplegable y el cuadro de búsqueda que se muestran en la Figura 5-11 para buscar un usuario u objeto y luego haga clic en el usuario u objeto para ver el nivel de acceso, como se muestra en Figura 5-14 . FIGURA 5-14 Muestra las asignaciones de RBAC para un usuario Para obtener un mayor nivel de detalle sobre qué operaciones exactas están y no están permitidas, haga clic en el rol que se muestra. Esto le permitirá ver una lista detallada de operaciones y la combinación de lectura, escritura, eliminación y otras acciones que puede realizar una entidad de seguridad. Sugerencia para el examen Hablamos brevemente sobre las entidades de servicio anteriormente en lo que respecta a las aplicaciones de Azure AD. Los principales de servicio son los principales de seguridad que representan específicamente las aplicaciones. Una entidad de seguridad que representa a un usuario se denomina entidad de seguridad de usuario . Lo importante que debe recordar es que tanto los principales de usuario como los principales de servicio son formas de un principal de seguridad. HABILIDAD 5.2: DESCRIBIR LAS CARACTERÍSTICAS DE GOBERNANZA DE AZURE A medida que crece su presencia en la nube, es probable que termine con una gran cantidad de recursos de Azure que abarcan muchos servicios de Azure diferentes. A menos que tenga cierto control sobre cómo se crean y administran esos recursos, los costos pueden salirse de control. Además del control de costos, es posible que también tenga otras restricciones que le gustaría implementar, como en qué regiones se deben crear ciertos recursos, cómo se etiquetan ciertos recursos, etc. La forma tradicional de manejar estos problemas de gobernanza sería enviar un memorando a todos explicando cuáles son los requisitos y luego cruzar los dedos para que la gente se adhiera a ellos. Afortunadamente, Azure Policy puede garantizar que se cumplan sus requisitos y políticas. Esta sección cubre: • Política de Azure • Bloqueos de recursos • Etiquetas • Blueprints de Azure Política de Azure Azure Policy le permite definir reglas que se aplican cuando se crean y administran los recursos de Azure. Por ejemplo, puede crear una política que especifique que solo se puede crear una máquina virtual de cierto tamaño y que las máquinas virtuales deben crearse en la región centrosur de EE. UU. Azure se encargará de hacer cumplir esta política para que usted se mantenga de acuerdo con sus políticas corporativas. Para acceder a la política de Azure, escriba política en el cuadro de búsqueda en el portal de Azure y haga clic en Política. Alternativamente, puede hacer clic en Todos los servicios y buscar la política en la lista. Esto mostrará la hoja Política, como se muestra en la Figura 5-15 . FIGURA 5-15 Azure Policy en Azure Portal De forma predeterminada, Azure Policy muestra su cumplimiento con las políticas definidas en una suscripción de Azure. Si lo desea, puede establecer el alcance de esta vista en una suscripción diferente o en un grupo de recursos haciendo clic en el botón de puntos suspensivos ( ... ) junto a Alcance y seleccionando el nuevo alcance. Vea la Figura 5-16 . FIGURA 5-16 Cambio del alcance de la hoja Política en el portal El incumplimiento que se muestra en la Figura 5-15 se basa en las políticas implementadas por Azure Security Center. Al hacer clic en el elemento no compatible, puede ver los detalles completos de lo que está y lo que no está dentro de la política, como se muestra en la Figura 5-17 . FIGURA 5-17 Detalles sobre cumplimiento Tenga en cuenta que el título de este artículo es ASC predeterminado seguido de un ID de suscripción. ASC Default es en realidad una colección de varias políticas definidas por Azure Security Center. Azure Policy facilita la imposición de un conjunto completo de políticas combinándolas en un grupo denominado iniciativa . Al definir una iniciativa, puede definir fácilmente reglas complejas que garanticen el gobierno de las políticas de su empresa. Puede asignar una nueva política seleccionando una política de una lista de políticas incluidas o creando su propia política. Para asignar una política de la lista de políticas incluidas, haga clic en Asignaciones> Asignar política, como se muestra en la Figura 5-18 . FIGURA 5-18 Asignación de una política Para seleccionar una política, haga clic en los puntos suspensivos (…) junto a Definición de política, como se muestra en la Figura 5-19 . FIGURA 5-19 Selección de una definición de política En este caso, aplica una política que marcará cualquier aplicación de App Service que no esté configurada para usar un extremo de servicio de red virtual. Puede hacerlo ingresando el servicio de la aplicación en el cuadro de búsqueda y seleccionando la política incorporada que se aplica a esa política, como se muestra en la Figura 5-20 . FIGURA 5-20 Adición de una definición de política incorporada Después de hacer clic en Seleccionar (que se muestra en la Figura 5-20 ), se muestran los detalles de esta política en particular. Si hace clic en la pestaña Parámetros, puede ver el efecto de la política. Como puede ver en la Figura 5-21 , el efecto de esta política es AuditIfNotExists . FIGURA 5-21 Finalización de la tarea Se admiten seis efectos en Azure Policy. Sin embargo, no todos los efectos están disponibles para las políticas integradas. Los efectos son: Agregar Agrega propiedades adicionales a un recurso. Puede usarse para agregar una etiqueta con un valor específico a los recursos. • • Audit Logs Una advertencia si no se cumple la política. AuditIfNotExists Le permite especificar un tipo de recurso adicional que debe existir junto con el recurso que se está creando o actualizando. Si ese tipo de recurso no existe, se registra una advertencia. • • Denegar Niega la operación de creación o actualización. DeployIfNotExists Le permite especificar un tipo de recurso adicional que desea implementar con el recurso que se está creando o actualizando. Si ese tipo de recurso no está incluido, se implementa automáticamente. • • Deshabilitado La política no está en vigor. Más información Más sobre los efectos de las políticas Para obtener más información sobre los efectos de las políticas, incluidos ejemplos de cada uno, consulte https://bit.ly/az900-policyeffects . Además de utilizar las políticas integradas, también puede definir sus propias políticas creando una definición de política personalizada. Las definiciones de políticas personalizadas son plantillas ARM que definen la política. Para obtener más información sobre cómo crear una definición de política personalizada, consulte: https://bit.ly/az900-custompolicy . Bloqueos de recursos RBAC es una excelente manera de controlar el acceso a un recurso de Azure, pero en los casos en los que solo desea evitar cambios en un recurso o evitar que ese recurso se elimine, los bloqueos (o bloqueos) de recursos son una solución más simple. A diferencia de RBAC, los bloqueos se aplican a todas las personas con acceso al recurso. Sugerencia para el examen Para crear un bloqueo, debe estar en el rol de propietario o administrador de acceso de usuario en RBAC. Alternativamente, un administrador puede crear un rol personalizado que otorgue el derecho a crear un bloqueo. Los bloqueos se pueden aplicar a nivel de recursos, a nivel de grupo de recursos o a nivel de suscripción. Para aplicar un bloqueo a un recurso, abra el recurso en Azure Portal y haga clic en Bloqueos en la sección Configuración del menú de la izquierda, como se muestra en la Figura 522 . FIGURA 5-22 Bloqueo de un recurso Para agregar un candado al recurso, haga clic en Agregar. (También puede revisar y agregar candados al grupo de recursos haciendo clic en Grupo de recursos, o en la suscripción haciendo clic en Suscripción). En el cuadro Nombre del candado, proporcione un nombre para el candado; establezca el Tipo de bloqueo y agregue una nota opcional, como se muestra en la Figura 5-23 . FIGURA 5-23 Adición de un bloqueo de solo lectura Un candado de solo lectura es el candado más restrictivo. Evita cambiar las propiedades del recurso o eliminar el recurso. Un bloqueo de eliminación evita que se elimine el recurso, pero las propiedades aún se pueden cambiar. El resultado de un bloqueo de solo lectura suele ser impredecible debido a la forma en que Azure maneja los bloqueos. Los bloqueos solo se aplican a las operaciones que maneja ARM, y algunas operaciones específicas de un recurso son manejadas internamente por el recurso en lugar de ser manejadas por ARM. Por ejemplo, si establece un bloqueo de solo lectura en una instancia de Azure Key Vault, evitará que un usuario cambie las políticas de acceso en el almacén, pero los usuarios aún pueden agregar y eliminar claves, secretos y certificados porque esas operaciones se controlan internamente por Key Vault. Hay otras situaciones en las que un bloqueo de solo lectura puede evitar operaciones que se producen de forma inesperada. Por ejemplo, si coloca un candado de solo lectura en una cuenta de almacenamiento, evitará que todos los usuarios enumeren las claves de acceso para la cuenta de almacenamiento porque la operación para enumerar las claves hace que las claves estén disponibles para acceso de escritura. Si se aplica un bloqueo a un grupo de recursos, todos los recursos de ese grupo de recursos heredan el bloqueo. De manera similar, si se aplica un bloqueo en el nivel de suscripción, todos los recursos de la suscripción heredan el bloqueo. Es posible anidar cerraduras y, en tales situaciones, la cerradura más restrictiva es la cerradura eficaz. Por ejemplo, si tiene un bloqueo de solo lectura en un grupo de recursos y un bloqueo de eliminación en un recurso en ese grupo de recursos, el recurso tendrá un bloqueo de solo lectura aplicado porque un bloqueo de solo lectura es más restrictivo. El bloqueo de eliminación explícito no será efectivo. Sugerencia para el examen Los bloqueos también los heredan los recursos recién creados. Si aplica un bloqueo de eliminación a un grupo de recursos y luego agrega un nuevo recurso al grupo de recursos, el nuevo recurso heredará automáticamente el bloqueo de eliminación. Cuando se intenta una operación en el portal y se deniega debido a un bloqueo, se mostrará un error, como se muestra en la Figura 5-24 . FIGURA 5-24 Denegado por un candado Sugerencia para el examen No todos los tipos de recursos le dirán que un bloqueo impidió una operación que se intentó en el portal. Hay ocasiones en las que solo verá un mensaje de error genérico. Si intenta la misma operación en la CLI de Azure o usa el módulo Az en PowerShell, debería ver los detalles sobre el bloqueo. Puede editar o eliminar un candado haciendo clic en Candados y luego en Editar o Eliminar en el portal, como se muestra en la Figura 5-25 . En la mayoría de los casos, deberá desplazarse hacia la derecha para ver los botones Editar y Eliminar. FIGURA 5-25 Editar o eliminar un candado Etiquetas Otra característica de Azure que facilita la organización de recursos son las etiquetas. Una etiqueta consta de un nombre y un valor. Por ejemplo, suponga que una empresa participa en dos eventos comerciales: uno en Texas y otro en Nueva York. También ha creado muchos recursos de Azure para respaldar esos eventos. Desea ver todos los recursos de Azure para un evento específico, pero están distribuidos en varios grupos de recursos. Al agregar una etiqueta a cada grupo de recursos que identifica el evento con el que está asociado, puede resolver este problema. En la Figura 5-26 , puede ver las etiquetas asociadas con un grupo de recursos de WebStorefront . A este grupo de recursos se le ha asignado una etiqueta denominada EventName , y el valor de esa etiqueta es ContosoTexas . Al hacer clic en el icono del cubo a la derecha de la etiqueta, puede ver todos los recursos que tienen esa etiqueta. FIGURA 5-26 Etiquetado de un grupo de recursos Notas que muestran todas las etiquetas Para ver todas sus etiquetas, elija Todos los servicios en el menú principal del portal y luego busque Etiquetas en la lista de servicios. Puede aplicar una etiqueta a la mayoría de los recursos de Azure, no solo a los grupos de recursos. También es importante comprender que al agregar una etiqueta a un grupo de recursos, no está agregando esa etiqueta a los recursos dentro del grupo de recursos. Si tiene una aplicación web en el grupo de recursos de WebStorefront , esa aplicación web no hereda la etiqueta que se aplica al grupo de recursos. Esto significa que las etiquetas agregan una capa adicional de flexibilidad y poder al ver sus recursos de Azure. Sugerencia para el examen Las etiquetas también pueden ayudarlo a organizar sus gastos de facturación de Azure. Cuando descargue su factura de Azure, las etiquetas de recursos aparecerán en una de las columnas. Dado que las facturas de Azure se pueden descargar como valores separados por comas, puede usar herramientas como Microsoft Excel para filtrar según las etiquetas. Blueprints de Azure Cuando una empresa decide crear una aplicación en la nube, no comienza creando un recurso en el portal. En su lugar, se lleva a cabo una gran cantidad de planificación antes de que se cree un único recurso de Azure. Esta planificación incluye un plan para asegurarse de que toda la arquitectura de la aplicación en la nube cumpla con los estándares necesarios. También incluye conceptos como la planificación detallada de topologías de redes virtuales y la asignación de derechos para los usuarios de la aplicación. Además, es probable que las mejores prácticas formen parte de esta planificación. Existe un gran riesgo involucrado si una empresa no planifica con cuidado, y por esa razón, muchas empresas contratarán a alguien con un conocimiento técnico profundo de la nube para ayudar en esa planificación. Contratar ese tipo de recurso puede agregar muchos gastos adicionales y también puede agregar mucho tiempo a un proyecto. Azure Blueprints es un servicio que puede facilitar el proceso de implementación en la nube. Blueprints le permite configurar un entorno tal como lo necesita, junto con todas las políticas y otros aspectos de gobernanza establecidos. Luego, esa configuración se puede guardar para poder duplicarla en cualquier momento en otras implementaciones. Los elementos que agrega a un plano se denominan artefactos . Un artefacto puede ser un grupo de recursos, una plantilla ARM, una asignación de política o una asignación de función. Una vez que haya creado un plano, puede guardarlo en una suscripción o en un grupo de administración. Cualquier suscripción dentro de la jerarquía de ese grupo de administración puede usar un plano que se guarda en un grupo de administración. Sugerencia para el examen Quizás se pregunte en qué se diferencian los planos de las plantillas ARM. Después de todo, dijimos que las plantillas ARM se utilizan para facilitar implementaciones predecibles y reproducibles. Los planos ofrecen numerosos beneficios sobre las plantillas ARM. Debido a que los blueprints son recursos reales de Azure y no simplemente archivos diseñados para definir una implementación, Azure mantiene una conexión entre el blueprint y los recursos que usan el blueprint. Eso permite a las empresas iterar sobre los planos y mejorarlos. También hace que sea mucho más fácil que un plan evolucione con las necesidades de una empresa. Además, los planos están versionados y pueden almacenarse en un sistema de control de fuente, por lo que el seguimiento de los planos es fácil y eficaz. Dicho esto, es importante comprender que los planos no reemplazan las plantillas ARM. De hecho, la mayoría de los planos hacen un uso extensivo de las plantillas ARM como artefactos. Para crear un blueprint, busque blueprints en Azure Portal para abrir Blueprints | Página de inicio, como se muestra en la Figura 5-27 . FIGURA 5-27 Página de introducción de Azure Blueprints En la página de Introducción, haga clic en Crear para iniciar el proceso de creación de un plano. Como se muestra en la Figura 5-28 , Microsoft proporciona muchas plantillas de muestra que puede utilizar como base para su plano, pero también puede comenzar con un plano en blanco. FIGURA 5-28 Creación de un plano Haga clic en el enlace para comenzar con un plano en blanco. Ingrese un nombre para su plano, una descripción y establezca el lugar donde se guardará la definición de su plano. Esto es una suscripción o un grupo de administración. En la Figura 5-29 , se está creando un plano que se guardará en una suscripción. FIGURA 5-29 Especificación de la configuración básica de un plano Sugerencia para el examen No puede cambiar el nombre o la ubicación de definición de un plano una vez creado. Para agregar artefactos a su plano, haga clic en Siguiente: Artefactos, como se muestra en la Figura 5-29 . Haga clic en Agregar artefacto para agregar su primer artefacto. Seleccione el Tipo de artefacto e ingrese la información necesaria para agregar el artefacto. En la Figura 5-30 , se agrega un artefacto de grupo de recursos. FIGURA 5-30 Adición de un artefacto Para que este plano siga siendo más genérico en este punto, puede especificar que el nombre del grupo de recursos y la ubicación se proporcionen cuando se asigne el plano haciendo clic en la casilla de verificación Este valor debe especificarse cuando se asigne el plano junto al Grupo de recursos Nombre y / o ubicación. (Cubriremos la asignación de planos más adelante en esta sección). Al hacer clic en Agregar, se agregará este artefacto al plano. Cuando haya terminado de agregar artefactos, haga clic en Guardar borrador (que se muestra en la Figura 5-30 ) para guardar un borrador del plano. Mientras está en modo borrador, el plano se puede editar y actualizar. Cuando esté listo para que el plano esté disponible, puede publicarlo. Para publicar un plano, haga clic en Definiciones de planos y haga clic en el plano, como se muestra en la Figura 5-31 . FIGURA 5-31 Visualización de definiciones de planos Haga clic en el botón Publicar plano , como se muestra en la Figura 5-32 , para publicar el plano. FIGURA 5-32 Un plano listo para ser publicado Cuando publica un plano, debe proporcionar el número de versión. Es recomendable agregar también notas de cambio. En la Figura 5-33 , nuestro nuevo modelo se publica como Versión 1.0 . Al hacer clic en el botón Publicar, se completa el proceso. FIGURA 5-33 Publicación de un plano Una vez que se ha publicado un plano, está disponible para asignarlo a una suscripción. Haga clic en el plano y haga clic en Asignar plano para asignarlo, como se muestra en la Figura 5-34 . FIGURA 5-34 Asignación de un plano Para asignar el plano, ingrese un nombre de asignación, seleccione una ubicación y seleccione la versión de definición del plano. (También puede aceptar los valores predeterminados para todas estas configuraciones). También puede especificar una asignación de bloqueo para los recursos que crea el plano haciendo clic en la configuración de asignación de bloqueo deseada. Al hacer clic en Asignar, se completa la asignación del plano. Tenga en cuenta los parámetros del plano Cuando se creó este plano, se especificó que el nombre y la ubicación del grupo de recursos deben elegirse cuando se asigne el plano. Por lo tanto, deberá ingresar esos valores en los espacios proporcionados cuando asigne el plano. Cuando el plano se asigna a una suscripción, los recursos definidos por el plano se crean en esa suscripción. HABILIDAD 5.3: DESCRIBIR LOS RECURSOS DE PRIVACIDAD Y CUMPLIMIENTO A medida que pasa a la nube, transfiere parte de la responsabilidad de sus servicios y datos a su proveedor de nube. Esto incluye parte de la responsabilidad del cumplimiento de los estándares de protección de datos. Aunque el proveedor de la nube se encarga de parte de esa carga por usted, essigue siendo vital que tenga confianza en el proveedor de la nube y que confíe en él para mantener el cumplimiento. Nota Modelo de responsabilidad compartida ¿Recuerda cuando hablamos sobre el modelo de responsabilidad compartida en la Habilidad 1.2 ? El párrafo anterior es un excelente ejemplo de lo que es el modelo de responsabilidad compartida. Hay muchos estándares que las empresas deben cumplir. Por ejemplo, en 2016, la Unión Europea aprobó el Reglamento general de protección de datos (GDPR). El RGPD regula la forma en que se manejan los datos personales de las personas dentro de la UE, pero también controla cualquier dato personal que se exporta desde la UE. Las empresas que operan en países de la UE están obligadas legalmente a cumplir con el RGPD. Una forma en que las organizaciones pueden asegurarse de que están cumpliendo con el GDPR y otras regulaciones que regulan los datos es mantener el cumplimiento de los estándares de toda la industria enfocados en ayudar a las organizaciones a mantener segura la información. Uno de esos estándares es el estándar 27001 de la Organización Internacional de Estándares (ISO). Las empresas que cumplen con la norma ISO 27001 pueden estar seguras de que mantienen las mejores prácticas necesarias para mantener segura la información. De hecho, muchas empresas no harán negocios con un proveedor de nube a menos que puedan demostrar el cumplimiento de la norma ISO 27001. Los sistemas que tratan con datos gubernamentales deben cumplir con los estándares que mantiene el Instituto Nacional de Estándares y Tecnología, o NIST. El NIST SP 800-53 es una publicación del NIST que describe todos los requisitos para los sistemas de información que tratan con datos gubernamentales. Para que cualquier agencia gubernamental utilice un servicio, primero debe demostrar que cumple con NIST SP 80053. Microsoft aborda estos requisitos de cumplimiento en toda su infraestructura de muchas formas diferentes. Esta sección cubre: • Declaración de privacidad de Microsoft • Marco de adopción de la nube para Azure • Centro de confianza • Portal de confianza de servicio • Regiones soberanas de Azure Declaración de privacidad de Microsoft La declaración de privacidad de Microsoft es una declaración completa de Microsoft que describe lo siguiente en lo que respecta al manejo de datos y su información personal. • Datos personales que recopila Microsoft • Cómo utiliza Microsoft los datos personales • Razones por las que Microsoft comparte datos personales Cómo acceder y controlar sus datos personales recopilados por Microsoft • • Cómo utiliza Microsoft las cookies y tecnologías similares Qué pueden hacer las organizaciones que le proporcionan software de Microsoft con sus datos • Qué datos se comparten cuando usa una cuenta de Microsoft con un tercero • Información específica sobre cómo Microsoft protege los datos, dónde se procesan y las políticas de retención • Microsoft se vincula a la declaración de privacidad en todas las comunicaciones oficiales y puede acceder a la declaración de privacidad en línea en https://aka.ms/privacystatement . Marco de adopción de la nube para Azure Como ha aprendido, moverse a la nube no es tan simple como hacer clic en algunos botones en el portal de Azure. Hay una planificación considerable que debe llevarse a cabo, pero antes de que comience, es importante informarse sobre cómo pasar a la nube con éxito. Necesita aprender cosas como las mejores prácticas, cómo se deben diseñar sus aplicaciones en la nube, la forma correcta de migrar recursos, configurar la gobernanza y las políticas, etc. Como era de esperar, Microsoft tiene este tipo de conocimiento repartido entre sus equipos de Azure. Microsoft no solo ha aprendido de los muchos clientes con los que ha trabajado, sino que Microsoft mismo es un gran consumidor de Azure y está capacitado para planificar, organizar, implementar y controlar los recursos de Azure. En un esfuerzo por compartir su vasto conocimiento con los clientes, Microsoft creó Cloud Adoption Framework para Azure. Cloud Adoption Framework reúne todas las mejores prácticas de los empleados de Microsoft, los socios de Microsoft y las lecciones aprendidas de los clientes de Microsoft. Toda esta información está disponible en un sitio web completo. Toda la información del marco está perfectamente organizada e incluso puede descargar activos como una infografía para ayudarlo a visualizar el marco de adopción de la nube. Puede acceder al marco de adopción de la nube navegando a https://aka.ms/cloudadoptionframework . Centro de confianza El Trust Center es un portal web donde puede aprender todo sobre el enfoque de Microsoft en materia de seguridad, privacidad y cumplimiento. Puede acceder al Centro de confianza navegando a https://aka.ms/microsofttrustcenter . El Centro de confianza proporciona información sobre soluciones de seguridad, productos de seguridad, cómo Microsoft maneja la privacidad y la administración de datos, etc. También proporciona informes técnicos y listas de verificación como herramientas para garantizar la seguridad y el cumplimiento. A medida que el entorno de la nube evoluciona y las amenazas cambian, Microsoft actualiza el Centro de confianza con información relevante, así que asegúrese de visitarlo con frecuencia. Portal de confianza de servicio El Service Trust Portal (STP) es un portal que brinda acceso a varias herramientas de cumplimiento que Microsoft le brinda para realizar un seguimiento del cumplimiento en sus aplicaciones que se ejecutan en las diversas plataformas de Microsoft. Puede acceder al STP navegando a https://aka.ms/STP . La Figura 5-35 muestra la página de inicio de STP. FIGURA 5-35 Portal de confianza de servicio El STP es un punto de lanzamiento para Compliance Manager, que es una herramienta para administrar su cumplimiento normativo en la nube. Compliance Manager facilita la visualización de su cumplimiento con los estándares de la industria. También proporciona detalles sobre cómo puede mejorar el cumplimiento, y para aquellas áreas donde el cumplimiento es responsabilidad de Microsoft, proporciona detalles completos sobre cómo Microsoft mantiene el cumplimiento. Para acceder al Administrador de cumplimiento, haga clic en Administrador de cumplimiento en la parte superior de la página STP. El Administrador de cumplimiento le permite realizar un seguimiento de su cumplimiento con las aplicaciones relacionadas agregándolas en grupos a los que puede dar un nombre de su elección. Cada grupo que crea está representado por un mosaico en el Administrador de cumplimiento y puede ver de un vistazo cuánto ha progresado en el cumplimiento en cada grupo, como se muestra en la Figura 5-36 . FIGURA 5-36 Administrador de cumplimiento Al hacer clic en Data Protection Baseline, accederá a una pantalla donde puede revisar los detalles de su evaluación. Como se muestra en la Figura 5-37 , hay muchas acciones que Microsoft recomienda que realice para proteger sus datos. FIGURA 5-37 Elementos de acción para el cumplimiento de la protección de datos Al hacer clic en Revisar en cualquier acción, accederá a un panel donde puede revisar el estado de esa acción. A continuación, puede registrar el estado de implementación, asignar la acción a una persona específica, etc. También puede ingresar una fecha para el plan de implementación para que pueda realizar un seguimiento de los resultados y una fecha para probar la implementación, como se muestra en la Figura 5-38 . FIGURA 5-38 Detalles sobre un elemento de acción Regiones soberanas de Azure Algunos requisitos de cumplimiento no se pueden cumplir simplemente aplicando políticas en Azure. Por ejemplo, algunos escenarios de cumplimiento del gobierno de EE. UU. Requieren que los datos permanezcan dentro de los Estados Unidos de América y que solo los ciudadanos de los Estados Unidos tengan acceso a los sistemas utilizados para almacenar esos datos. No puede cumplir con este requisito con políticas. De hecho, no puede cumplir ese requisito en absoluto en la nube pública. Para abordar este tipo de problema, Microsoft desarrolló centros de datos de Azure completamente aislados que conforman la nube de Azure Government. Los centros de datos de Azure Government están separados de los centros de datos públicos. Todos los empleados que trabajan en Azure Government son examinados y son ciudadanos de EE. UU. Incluso los empleados de Microsoft que brindan soporte técnico a los clientes de Azure Government deben ser ciudadanos estadounidenses. Debido a que Microsoft también quería permitir la comunicación compatible entre la nube de Azure Government y los sistemas gubernamentales locales, también desarrollaron ubicaciones dedicadas de Microsoft ExpressRoute que están completamente aisladas de otras redes de Azure y que usan sus propios componentes dedicados de fibra óptica. Azure Government no es solo para agencias del gobierno federal. Las ciudades y los municipios también aprovechan Azure Government para el cumplimiento. Cuando un cliente se registra en Azure Government, Microsoft examina a ese usuario para asegurarse de que sea representante de una agencia gubernamental. Solo entonces se les otorga una suscripción a Azure Government. La nube de Azure Government tiene las mismas características y servicios que la nube pública, pero existen pequeñas diferencias. Por ejemplo, el portal de Azure Government se encuentra en https://portal.azure.us en lugar de https://portal.azure.com . Las URL de los servicios de Azure también usan el dominio de nivel superior .us , por lo que si crea una aplicación web de App Service en Azure Government, su nombre de dominio predeterminado es https://webapp.azurewebsites.us . Sin embargo, fuera de esa diferencia, todo lo demás es igual, por lo que los desarrolladores que tienen un conjunto de habilidades en el desarrollo de la nube en Azure encontrarán que sus habilidades se transfieren directamente a Azure Government. El Departamento de Defensa de los Estados Unidos tiene requisitos de cumplimiento adicionales denominados Autorización Provisional de Nivel 5 de Impacto del DoD. El cumplimiento de esto se relaciona con información no clasificada controlada que requiere niveles adicionales de protección. Estos requisitos adicionales del Departamento de Defensa los cumple un subconjunto de centros de datos dentro de Azure Government que están aprobados para el uso del Departamento de Defensa. Microsoft también comprende que los estrictos requisitos de la UE necesitan un enfoque único, por lo que desarrollaron otra nube llamada Azure Alemania. Al igual que Azure Government, Azure Germany es un sistema en la nube distinto que está diseñado para satisfacer necesidades específicas de cumplimiento. Azure Alemania está disponible para clientes que hacen negocios en la UE, la Asociación Europea de Libre Comercio y el Reino Unido. Los centros de datos de Azure Alemania están ubicados físicamente en Alemania y son operados bajo estrictas medidas de seguridad por una compañía local llamada T-Systems International (una subsidiaria de Deutsche Telekom) que opera como un administrador de datos. El administrador de datos tiene control total sobre todos los datos almacenados en Azure Alemania y toda la infraestructura utilizada para albergar esos datos. Microsoft está involucrado en la administración solo de aquellos sistemas que no tienen acceso alguno a los datos de los clientes. Otra región donde Azure tiene requisitos específicos es China. Microsoft opera otra nube separada en China llamada Microsoft Azure China. Azure China es operado por Shanghai Blue Cloud Technology Co., Ltd. (con frecuencia denominado simplemente BlueCloud). BlueCloud es propiedad de Beijing 21Vianet Broadband Data Center Co., Ltd. (a menudo llamado 21Vianet), un proveedor de servicios de centro de datos e Internet en China. Debido a esta relación, es posible que se haga referencia a Azure China como "Microsoft Azure operado por 21Vianet" o simplemente "Azure 21Vianet". Azure China no ofrece el conjunto completo de características que se ofrecen en otras nubes de Azure, pero Microsoft está trabajando arduamente para agregar características y servicios adicionales. Para obtener todos los detalles sobre lo que se ofrece y lo que no se ofrece en Azure China, vaya a https://bit.ly/az900-azurechina . EXPERIMENTO MENTAL Ha aprendido mucho sobre identidad, gobierno, privacidad y cumplimiento en este capítulo. Probemos ese conocimiento con otro experimento mental. Las respuestas a este experimento mental se encuentran en la siguiente sección. Sus viejos amigos de ContosoPharm se han vuelto a poner en contacto con usted para ayudarlos con un poco más de su trabajo en la nube. Esta vez, tienen algunos desafíos nuevos. Primero, están creando un nuevo portal de clientes que quieren integrar con sus cuentas de redes sociales. Necesitan un contratista externo que les ayude con las cuentas de redes sociales publicando mensajes para sus seguidores y respondiendo las preguntas de los clientes. Al director de TI le preocupa proporcionar los nombres de usuario y las contraseñas de sus cuentas de redes sociales a un tercero. Le gustaría alguna forma de permitir que el contratista acceda a sus cuentas de redes sociales sin tener su contraseña, y le gustaría estar seguro de que cuando finalice el contrato, el contratista puede ser eliminado fácilmente de las cuentas de redes sociales. También tienen algunos recursos de Azure a los que el contratista necesitará acceder, pero el director de TI también está preocupado por la seguridad allí. Para mantener las cosas seguras, quiere asegurarse de que nadie pueda acceder a los sistemas de ContosoPharm si alguien descubre el nombre de usuario y la contraseña del contratista. También quiere asegurarse de que solo se pueda acceder a un recurso específico si el contratista está iniciando sesión desde una computadora con Windows. No quiere que sea accesible desde dispositivos móviles. También debe asegurarse de que el contratista pueda ver un par de los recursos de Azure en el portal de Azure en caso de que algo salga mal, pero no quiere que el contratista pueda cambiar ninguna configuración. A medida que los desarrolladores trabajen en esta solución, crearán algunas máquinas virtuales de Azure. Estas máquinas virtuales deben estar en la región central de EE. UU., Por lo que están geográficamente cerca de un componente de almacenamiento en caché que también se ejecuta en la región central de EE. UU. El director de TI ha enviado un memorando a todos los desarrolladores diciéndoles que solo creen máquinas virtuales en el centro de EE. UU., Pero le preocupa que alguien se olvide y el rendimiento deficiente del almacenamiento en caché afecte sus métricas de prueba. Además, si alguien elimina el componente de almacenamiento en caché, interrumpirá por completo la aplicación, por lo que deben asegurarse de que nadie pueda eliminarlo. Algunas de las máquinas virtuales creadas para esta aplicación se facturan al departamento de TI con fines de desarrollo, pero la mayoría de las máquinas virtuales se facturan al departamento de ventas. La directora ejecutiva desea poder ver un desglose de los gastos de ambos departamentos después de recibir la factura de Azure. ContosoPharm tiene otro gran problema con el que necesitan ayuda. Están planeando otra implementación en la nube pronto, y será una aplicación compleja. Han pasado mucho tiempo planificando la implementación. Saben exactamente cómo se debe configurar la red y tienen un registro de todos los recursos que deben crearse, junto con la plantilla ARM que hará el trabajo de implementación. La configuración de red que han diseñado para las redes virtuales de Azure es específica para sus necesidades y les permite integrarse con sistemas locales, y es una configuración muy complicada. Les gustaría una forma de poder recrear fácilmente esta configuración en Azure cuando necesiten implementar otras aplicaciones que usen la misma topología de red. RESPUESTAS DEL EXPERIMENTO MENTAL Esta sección detalla las respuestas al experimento mental. Para dar acceso al contratista a las cuentas de redes sociales sin proporcionar el nombre de usuario y la contraseña de las cuentas de redes sociales, puede agregar al contratista a su Azure Active Directory como usuario invitado. Luego, pueden agregar aplicaciones empresariales para las redes sociales deseadas.plataformas y otorgue al usuario acceso a ellas mediante Azure AD de empresa a empresa o B2B. Cuando finaliza el contrato del contratista, simplemente pueden eliminarlo de Azure AD y eso revocará todos los accesos futuros a las cuentas de redes sociales. Para asegurarse de que nadie pueda acceder a los sistemas si el nombre de usuario y la contraseña del contratista se ven comprometidos, pueden utilizar la autenticación multifactor. Debido a que el contratista es un usuario invitado en Azure AD, deberá usar una política de acceso condicional, pero eso también resolverá el problema de no permitir el acceso a un recurso a menos que el contratista esté usando Windows definiendo una condición basada en el dispositivo. . Para asegurarse de que el contratista pueda ver algunos de sus recursos de Azure sin poder cambiar ninguna configuración, puede usar el rol de lector en RBAC para los recursos. Esto permitirá al contratista ver los recursos, pero no eliminar ni cambiar ninguna configuración. Para asegurarse de que los desarrolladores solo creen máquinas virtuales en la región central de EE. UU., Pueden usar las políticas de Azure. Para asegurarse de que nadie elimine el componente de almacenamiento en caché, puede colocar un bloqueo ReadOnly o Delete en el componente. Para asegurarse de que el CEO pueda ver un desglose del uso de VM para el departamento de TI y el departamento de ventas por separado, pueden usar etiquetas en las VM. Las etiquetas se muestran en la factura de Azure y, dado que la factura se puede exportar a un formato que se puede abrir en Microsoft Excel, se pueden filtrar fácilmente por ellas. Para traducir su arduo trabajo en la planificación y garantizar que la complicada configuración de la red sea fácil de reproducir en futuras implementaciones, pueden usar Azure Blueprints. Al crear un plano que agrega artefactos para las políticas necesarias, grupos de recursos, plantillas ARM, etc., pueden asegurarse fácilmente de que todo esté configurado correctamente. RESUMEN DEL CAPÍTULO Este capítulo cubrió una gran cantidad de temas relacionados con la identidad y la gobernanza. Terminamos con detalles sobre privacidad y cumplimiento y las herramientas que Microsoft proporciona para ayudar con esas áreas. Aquí hay un resumen de lo que cubrimos en este capítulo. La autenticación es el acto de determinar quién accede a un recurso. • La autorización es el acto de hacer cumplir lo que el usuario autenticado puede y no puede hacer. • Azure Active Directory es un servicio de identidad basado en la nube en Azure. • • En el núcleo de Azure AD hay un directorio de usuarios. • Se puede invitar a otros usuarios a unirse a Azure AD. Los usuarios invitados suelen estar fuera de su organización y están invitados a su Azure AD. • Las aplicaciones empresariales permiten la integración de Azure AD con otros servicios y plataformas en la nube. • Las políticas de acceso condicional se aplican a los usuarios que utilizan asignaciones y controles de acceso. • La autenticación multifactor es una autenticación de dos factores que requiere que ingrese un código además de ingresar su nombre de usuario y contraseña. • El control de acceso basado en roles (RBAC) le permite controlar cómo los usuarios y las aplicaciones pueden interactuar con sus recursos de Azure. • Azure Policy le permite definir reglas que se aplican cuando se crean y administran los recursos de Azure. • Los bloqueos de recursos le permiten evitar cambios en un recurso y evitar que se eliminen. • Las etiquetas le permiten organizar fácilmente sus recursos al asignar un nombre y un valor que se pueden ver en el portal de Azure y en su factura de Azure. • Azure Blueprints le permite guardar configuraciones y recursos en un plano que se puede implementar fácilmente en el futuro. • Los elementos agregados a un plano se denominan artefactos. Un artefacto puede ser un grupo de recursos, una plantilla ARM, una asignación de política o una asignación de función. • La declaración de privacidad de Microsoft es una declaración completa de Microsoft que describe cómo Microsoft usa, maneja y protege sus datos e información personal. • El marco de adopción de la nube para Azure reúne las mejores prácticas y la información de los empleados, socios y clientes de Microsoft para ayudarlo a adoptar la nube más fácilmente. • El Centro de confianza describe el enfoque de Microsoft en materia de seguridad, privacidad y cumplimiento. • El Service Trust Portal proporciona acceso a varias herramientas de cumplimiento que proporciona Microsoft. • El Service Trust Portal es el punto de partida de Compliance Manager, una herramienta para gestionar su cumplimiento normativo en la nube. • Azure Government es una nube privada para gobiernos a la que solo pueden acceder los ciudadanos de EE. UU. Tiene sus propios centros de datos que están completamente separados de la nube pública. • Un subconjunto de centros de datos de Azure Government está aprobado para el uso del Departamento de Defensa porque tienen un cumplimiento adicional relacionado con la Autorización Provisional de Nivel 5 de Impacto del DoD. • Los centros de datos de Azure Alemania están en una nube privada diseñada para cumplir con las regulaciones de la UE. • Azure China es una nube separada en China que actualmente no ofrece todos los servicios de Azure. • Capítulo 6 Describir los precios, los SLA y los ciclos de vida de Azure Hemos cubierto la mayoría de los conceptos importantes relacionados con la nube, pero todavía tenemos algunos conceptos importantes que cubrir. Los temas finales que cubriremos son los precios en Azure, los acuerdos de nivel de servicio (SLA) y el ciclo de vida de los servicios de Azure. El precio no solo implica conocer el precio de los recursos de Azure. Las empresas a menudo quieren saber cuánto costarán las soluciones completas en la nube antes de que las aplicaciones se implementen en la nube, y una vez que se implementa la aplicación, quieren minimizar los costos tanto como sea posible y tener visibilidad de los costos continuos de los recursos de Azure. Ya hemos hablado de la alta disponibilidad en la nube, y Microsoft puede ayudarlo a garantizar que su aplicación experimente una alta disponibilidad siguiendo sus pautas relacionadas con los SLA. Cuando algo sale mal en Azure y afecta sus servicios, debe comprender qué puede hacer para interactuar con Microsoft. Por último, es importante que comprenda los ciclos de vida de los servicios, especialmente porque algunos servicios se encuentran en un punto de sus ciclos de vida en el que no existe un SLA o soporte garantizado por parte de Microsoft. Habilidades cubiertas en este capítulo: • Describir métodos de planificación y gestión de costes. Describir los acuerdos de nivel de servicio (SLA) de Azure y los ciclos de vida del servicio. • HABILIDAD 6.1: DESCRIBIR MÉTODOS PARA LA PLANIFICACIÓN Y GESTIÓN DE COSTOS. Cuando comience a contemplar la posibilidad de migrar a la nube, lo primero que probablemente querrá hacer es determinar cuáles serán sus costos en función de sus necesidades de recursos. Una vez que haya comenzado a implementar y usar los recursos de Azure, administrar sus costos se vuelve importante para mantenerse dentro de sus presupuestos. Azure tiene herramientas que lo ayudan con la planificación y la administración de sus costos en Azure. Esta sección cubre: • Factores que afectan los costos • La calculadora de precios • Calculadora de costo total de propiedad (TCO) • Gestión de costes de Azure Factores que afectan los costos Mientras planifica sus implementaciones de Azure, debe tener en cuenta los factores que pueden afectar sus costos, como el tipo de recurso, cómo compra el recurso, las regiones de Azure que usa y la zona de facturación en la que se encuentran sus recursos. Los servicios de Azure se facturan según los medidores asociados a un recurso. Estos medidores rastrean cuánto ha utilizado el recurso una métrica específica. Por ejemplo, no se aplica ningún cargo específicamente por una red virtual de Azure y no se le cobra por el tráfico de red dentro de una red virtual; sin embargo, se le cobra por gigabyte por el tráfico que entra y sale de la red virtual desde redes virtuales emparejadas. Sugerencia para el examen Cada servicio de Azure tiene una página de precios que describe estimaciones sobre los precios de ese recurso según el uso típico. A medida que determina qué recursos necesita usar en su implementación de Azure, considere cómo esos recursos van a usar las métricas que cobran los recursos. Por ejemplo, si puede planificar sus redes virtuales de modo que tenga menos redes interconectadas, puede ahorrar sustancialmente a largo plazo. También puede encontrar que la compra de recursos de Azure de manera diferente puede ofrecer ahorros de costos. Si acepta pagar por adelantado mediante un contrato empresarial, Microsoft le ofrecerá una tarifa reducida. Los acuerdos a más largo plazo ofrecen aún más rebajas de precios. Los socios de soluciones en la nube (CSP) también pueden proporcionarle soluciones completas que son más rentables que comprar todos los recursos usted mismo. Los costos de Microsoft para operar los servicios de Azure difieren según la región, incluso cuando esas regiones se encuentran dentro del mismo límite geográfico. Por lo tanto, su precio variará según la región de Azure que use. Por ejemplo, una máquina virtual implementada en la región central de EE. UU. Costará más que la misma máquina virtual implementada en la región este de EE. UU. Microsoft no proporciona un desglose de sus costos, pero puede suponer que la electricidad y otros recursos necesarios para un centro de datos de Azure son más costosos en la región central de EE. UU. Que en la región del este de EE. UU. Sugerencia para el examen Elegir la región menos costosa para cada uno de sus recursos de Azure no suele ser una buena forma de controlar los costos. Es posible que tenga que pagar por el tráfico de red en todas las regiones y eso podría aumentar sus costos por encima de la cantidad que está ahorrando. Muchos recursos de Azure no cobran por el tráfico de red dentro de la misma región, pero sí cobran por el tráfico entre regiones. También es importante tener en cuenta que no se le cobra por el tráfico de red en un centro de datos de Azure, pero sí por el tráfico de red que sale de un centro de datos. Sin embargo, sus primeros 5 GB de datos salientes son gratuitos. Después de ese punto, se le cobrará una cantidad fija en un modelo escalonado. Más información Precios del ancho de banda de la red Para obtener más información sobre los precios del ancho de banda de red en Azure, consulte: https://bit.ly/az900-bandwidthpricing . También es importante saber que las regiones de Azure se dividen en cuatro grupos separados para fines de facturación. Estos grupos se denominan zonas de facturación o, más comúnmente, zonas . Los costos de Microsoft para el tráfico de red fuera de cada zona son diferentes, por lo que sus costos también serán diferentes. La tabla 6-1 enumera las zonas en Azure y sus regiones correspondientes. TABLA 6-1 Zonas y regiones Nombre REGIONES INCLUIDAS de zona Zona 1 Centro de Australia, Centro de Australia 2, Centro de Canadá, Este de Canad norte, Europa occidental, Centro de Francia, Sur de Francia, Norte de Alema Centro de Alemania occidental (público), Este de Noruega, Oeste de Norueg Oeste de Suiza, Reino Unido Sur, Reino Unido Oeste y todas las regiones de Zona 2 Este de Asia, Sudeste de Asia, Australia Este, Australia Sudeste, Centro de la India, Oeste de la India, Este de Japón, Oeste de Japón, Centro de Corea y Su Zona 3 Brasil del Sur, Sudáfrica del Norte, Sudáfrica Oeste, EAU Central y EAU Nort DE Zona 1 Alemania Central (soberana) y Alemania Noreste (soberana) Los costos de redes salientes más baratos se encuentran en la Zona 1. La Zona 1 de DE es la segunda más barata, seguida de la Zona 2 y la Zona 3. Como puede ver, hay muchos factores que pueden afectar sus costos en Azure y puede ser difícil estimar los costos en función de todos estos factores. Afortunadamente, Microsoft ofrece una calculadora de precios que puede ayudarlo a calcular sus costos a medida que se traslada a la nube. Calculadora de precios La calculadora de precios de Azure puede ayudarlo a obtener una estimación de los gastos según los productos que desea usar, así como dónde se implementarán esos productos, etc. Puede acceder a la calculadora de precios navegando a: https://bit.ly/az900pricingcalculator . Al calcular una estimación de sus gastos de Azure, el primer paso es seleccionar qué productos desea usar. Como se muestra en la Figura 6-1 , algunos de los productos de Azure más comunes se muestran de forma predeterminada y puede agregar cualquiera de esos productos haciendo clic en su mosaico. FIGURA 6-1 La calculadora de precios Si el producto que desea no está en la lista, puede buscarlo ingresando su nombre en el cuadro Buscar productos. Después de agregar los productos que desea utilizar, desplácese hacia abajo para configurar los detalles específicos de cada servicio. Estos detalles varían según la forma en que Microsoft cobre por el producto. La figura 6-2 muestra las opciones para Azure SQL Database. FIGURA 6-2 Estimación de costos para Azure SQL Database Al hacer clic en el ícono informativo a la derecha del nombre del producto, se muestra un menú para acceder rápidamente a la página de precios del producto, detalles adicionales del producto y documentación para ayudarlo a tomar mejores decisiones sobre las opciones que seleccione. Una vez que haya configurado un producto según sus necesidades, puede agregar otra instancia de ese producto a su presupuesto haciendo clic en el botón + (botón Clonar) en la parte superior derecha de la ventana. Por ejemplo, suponga que necesita dos bases de datos SQL de Azure para su aplicación y cada una de ellas usará el mismo nivel de servicio, tamaño de instancia, etc. La forma más sencilla de agregarlos es agregar un producto de Azure SQL Database a su presupuesto, configurarlo con las opciones de precios deseadas y luego hacer clic en el botón Clonar para agregar la segunda instancia. Para revisar su estimación de precios, desplácese hasta la parte inferior de la página. Como se muestra en la Figura 6-3 , puede elegir un plan de soporte para agregar a su presupuesto. Si tiene un Contrato de servicios en línea de Microsoft, un Contrato empresarial o un Contrato de cliente de Microsoft, puede elegir que se aplique ese precio a su presupuesto. Luego puede hacer clic en Exportar para guardar su presupuesto como un archivo de Excel y luego seleccionar Guardar para guardar su presupuesto en la calculadora de precios para hacer cambios más tarde. También puede hacer clic en Compartir para crear un enlace para compartir a su presupuesto para que otros puedan verlo. FIGURA 6-3 Completar una estimación en la calculadora de precios Anotar estimaciones guardadas Si guarda una estimación en la calculadora de precios, puede acceder a ella más tarde haciendo clic en la pestaña Estimaciones guardadas en la parte superior de la página. Calculadora de costo total de propiedad La calculadora de precios es útil para estimar sus gastos para nuevas aplicaciones en Azure, pero si tiene aplicaciones locales que desea migrar a Azure y desea una estimación de cuánto puede ahorrar en Azure, la calculadora de TCO es una mejor opción. . Puede acceder a la calculadora de TCO navegando a https://bit.ly/az900-tcocalculator . Al usar la calculadora de TCO, el primer paso es agregar detalles sobre sus servidores locales, bases de datos, almacenamiento y uso de la red. En la Figura 6-4 , se configuró un servidor local para una aplicación web. Puede configurar todos los detalles sobre el servidor, incluido el sistema operativo, ya sea una máquina virtual o un servidor físico, y más. FIGURA 6-4 Configuración de un servidor local en la calculadora de TCO También se deben agregar bases de datos y sistemas de almacenamiento locales, además de cualquier uso de red para su aplicación. En la Figura 65 , se agregó un sistema de almacenamiento y se especificó el uso de la red para la aplicación. FIGURA 6-5 Configuración de almacenamiento y redes Después de ingresar todas sus cargas de trabajo locales, puede ver las suposiciones que utiliza la calculadora de TCO haciendo clic en Siguiente. La calculadora de TCO utiliza una lista completa de supuestos de gastos locales que Microsoft ha elaborado en función de años de experiencia, y estos supuestos se utilizan para proporcionarle la mejor estimación posible de sus ahorros de costes. Como se muestra en la Figura 6-6 , las suposiciones incluyen elementos tales como si ha comprado un SoftwarePlan de garantía para sus servidores en las instalaciones, detalles sobre sus gastos actuales en las instalaciones, sus costos de mano de obra de TI y mucho más. Para obtener una estimación precisa del TCO, es mejor registrar cuidadosamente sus gastos antes de generar un informe de TCO. FIGURA 6-6 Ajuste de supuestos hechos por la calculadora de TCO Después de ajustar sus suposiciones, desplácese hasta la parte inferior de la pantalla y haga clic en Siguiente para ver su informe de TCO. Su informe de TCO le muestra cuánto puede ahorrar durante los próximos cinco años moviendo su aplicación a Azure, como se muestra en la Figura 6-7 . FIGURA 6-7 Informe de ahorro de TCO Un informe de TCO incluye gráficos detallados de ahorros en gastos y, en la parte inferior del informe, encontrará un desglose de los costos locales y los costos de Azure, para que pueda determinar fácilmente dónde ahorrará dinero. Al igual que con la calculadora de precios, los informes generados por la calculadora de TCO se pueden descargar, guardar y copiar haciendo clic en el botón correspondiente, como se muestra en la Figura 6-8 . FIGURA 6-8 Resumen de costos locales y en Azure Gestión de costes de Azure Azure Cost Management es una herramienta en Azure que facilita el análisis de sus costos a nivel granular. La administración de costos le permite crear un presupuesto para sus gastos de Azure, establecer alertas configurables para que sepa si se está acercando a un límite presupuestado y analizar sus costos en detalle. Para comenzar con la Administración de costos, abra Azure Portal, busque Administración de costos y haga clic en Administración de costos + Facturación. Sugerencia para el examen También verá Administración de costos en Azure Marketplace. Esta es una oferta diferente que se basa en Cloudyn, una empresa de gestión de gastos en la nube que compró Microsoft. Las funciones de Cloudyn se están migrando a Azure Cost Management y, para fines de 2020, Microsoft dejará de usar Cloudyn por completo. Una vez que Cost Management + Billing se cargue en el portal, haga clic en Cost Management en el menú de la izquierda (que se muestra en la Figura 6-9 ) para acceder a Cost Management. FIGURA 6-9 Gestión de costes + facturación en Azure Portal Para supervisar eficazmente sus costes, debe crear un presupuesto en Gestión de costes. No es necesario crear un presupuesto, pero le permitirá visualizar sus gastos en comparación con sus gastos planificados. 1. Haga clic en Presupuestos en el menú de la izquierda y haga clic en Agregar, como se muestra en la Figura 6-10 . FIGURA 6-10 Adición de un nuevo presupuesto 2. Ingrese un nombre para su presupuesto. 3. Ingrese una cantidad de gasto y el período en el que se restablece su gasto. 4. Ingrese una fecha de inicio para su presupuesto. 5. Ingrese una fecha de vencimiento como se muestra en la Figura 6-11 . FIGURA 6-11 Creación de un presupuesto 6. Haga clic en Siguiente para completar su presupuesto. 7. Configure sus condiciones de alerta. 8. Agregue una dirección de correo electrónico para alguien que debería recibir las alertas, como se muestra en la Figura 6-12 . FIGURA 6-12 Configuración de alertas para un presupuesto 9. Haga clic en Crear para crear su presupuesto. Después de crear un presupuesto, haga clic en Análisis de costos para ver cómo se compara su gasto con su presupuesto. HABILIDAD 6.2: DESCRIBIR LOS ACUERDOS DE NIVEL DE SERVICIO (SLA) Y LOS CICLOS DE VIDA DE SERVICIO DE AZURE Muchos de los servicios que utiliza en la actualidad incluyen un acuerdo de nivel de servicio (SLA) que sirve como un contrato entre usted y el proveedor de servicios para un cierto nivel de servicio. Microsoft proporciona SLA en Azure y también proporciona documentación completa sobre cómo se calcula el SLA para un servicio. Sin embargo, no todos los servicios vienen con un SLA. Microsoft a menudo hará que los servicios estén disponibles en versión preliminar antes de lanzarlos para su uso en producción. Estos servicios de vista previa a menudo no vienen con un SLA. Esta sección cubre: • Acuerdo de nivel de servicio (SLA) de Azure • Interpretar los términos de un SLA • Ciclo de vida del servicio en Azure Acuerdo de nivel de servicio (SLA) de Azure Los SLA establecen objetivos específicos de disponibilidad y también definen lo que hará el proveedor de servicios cuando no se cumplan esos objetivos. Los SLA se expresan como un porcentaje y casi siempre son del 99 por ciento o más. El nivel más alto de disponibilidad expresado en un SLA es 99,999 por ciento, comúnmente conocido como 5 nueves . Para proporcionarle algo de contexto mientras hablamos de los SLA, un servicio con un SLA de 5 nueves garantiza que el tiempo de inactividad durante todo un año no superará los 5,56 minutos. Un SLA más razonable del 99,9 por ciento garantiza que el tiempo de inactividad durante el período de un mes no superará los 43,2 minutos. Un concepto importante en los SLA de servicios en la nube es que el proveedor de la nube considera que una aplicación está fuera del SLA solo cuando no se cumple el porcentaje de disponibilidad debido a un problema que el proveedor de la nube puede controlar. En otras palabras, si implementa un nuevo código en su aplicación y hace que su aplicación se bloquee, el proveedor de la nube no lo considerará una infracción del SLA. Si instala un componente en su máquina virtual y hace que la máquina se apague, eso no está dentro del control del proveedor de la nube y no se clasifica como que no cumple con el SLA. Debido a que los SLA solo se refieren a problemas que están bajo el control del proveedor de la nube, cuando una aplicación adolece de falta de disponibilidad, es importante determinar si el problema es un problema de plataforma o un problema con su código o configuración. Responder esa pregunta puede ser más difícil de lo que piensa. Azure es un entorno muy complejo que involucra una gran cantidad de servicios que operan juntos. Por ejemplo, Azure App Service (uno de los servicios más populares de Azure) utiliza máquinas virtuales de Azure, sistemas DNS de Azure, Azure Storage, Azure SQL Database y otros servicios de Azure bajo el capó. La degradación del rendimiento de cualquiera de esos servicios puede afectar la disponibilidad de una aplicación que se ejecuta en App Service. Si informa que su aplicación de App Service no está disponible, Microsoft debe determinar si se debe a un problema de su parte o un problema con su aplicación. Microsoft mantiene una enorme cantidad de datos de diagnóstico en todas las operaciones de Azure en todos los servicios de Azure. Cuando abre un caso de soporte con Microsoft para informar que su aplicación no está disponible, Microsoft puede realizar análisis de datos con estos datos para determinar si hubo un problema con la propia plataforma Azure. Si cree que la disponibilidad de su aplicación ha caído por debajo del SLA, es su responsabilidad enviar una reclamación a Microsoft. Puede hacerlo abriendo un caso de soporte. Si Microsoft determina que no se ha cumplido el SLA, es posible que reciba un crédito en su factura de Azure. El monto del crédito depende de la duración en que no se cumplió el SLA y de la política de SLA del servicio de Azure específico. Sugerencia para el examen Para ser elegible para un crédito por no cumplir con el SLA, debe enviar un reclamo a Microsoft dentro de los dos meses posteriores al final del ciclo de facturación durante el cual ocurrió el tiempo de inactividad. La mayoría de los servicios de Azure ofrecen un SLA de al menos el 99,9 por ciento, y se pueden lograr SLA más altos con una configuración adicional por parte del cliente. Por ejemplo, una sola máquina virtual que usa almacenamiento Premium para todos los discos tiene un SLA del 99,9 por ciento. Si implementa dos o más máquinas virtuales en el mismo conjunto de disponibilidad, ese SLA aumenta al 99,95 por ciento. Si implementa esas dos o más instancias en dos o más zonas de disponibilidad dentro de la misma región de Azure, el SLA pasa al 99,99 por ciento. Sugerencia para el examen Microsoft ocasionalmente cambia los SLA. Si los términos de un SLA cambian, los nuevos términos entrarán en vigencia para usted solo cuando renueve su suscripción de Azure. Hasta ese momento, estará sujeto al SLA que estaba en vigor cuando su suscripción se renovó por última vez o cuando se registró para obtener una suscripción de Azure. Interpretar los términos de un SLA Dado que el SLA varía entre los servicios de Azure y las configuraciones específicas pueden afectar al SLA de un único servicio de Azure, es importante poder determinar el SLA específico para los servicios de Azure que está utilizando. Microsoft proporciona detalles sobre el SLA para cada servicio de Azure en https://bit.ly/az900-azuresla . Como se muestra en la Figura 6-13 , una vez en la página web SLA, puede seleccionar una categoría para ver todos los servicios de Azure en esa categoría. También puede ingresar el nombre de su servicio en el cuadro de búsqueda para encontrar el SLA para ese servicio. Una vez que encuentre el servicio que le interesa, haga clic en él para leer los detalles del SLA. FIGURA 6-13 Página web de Azure SLA Cuando hace clic en un servicio, verá detalles sobre el SLA proporcionado por ese servicio. La figura 6-14 muestra la página SLA para Azure Virtual Machines. Las tres viñetas en la parte superior de la página describen el SLA para las máquinas virtuales de Azure. FIGURA 6-14 SLA de máquinas virtuales de Azure La sección Introducción describe los SLA de Azure en general. La sección Términos generales describe los términos de SLA que se refieren a todos los servicios de Azure, como el portal de administración, el nivel de servicio y el tiempo de inactividad. También explica cómo puede realizar una reclamación y las limitaciones de los SLA de Azure. La sección Detalles de SLA se aplica al servicio de Azure específico que está viendo. Por ejemplo, esta sección de la página SLA de VM define términos específicos de VM que se relacionan con el SLA para VM. Si se desplaza hacia abajo, verá detalles adicionales, como se muestra en la Figura 6-15 , incluido cómo calcular la disponibilidad y la cantidad de crédito que podría recibir si no se cumple un SLA. FIGURA 6-15 Detalles sobre el SLA de la VM de Azure Si su aplicación utiliza varios servicios de Azure, se le aplicarán varios SLA. Si experimenta tiempo de inactividad, debe enviar una reclamación por todos los servicios de Azure que no cumplieron con el SLA si desea que se le considere para un crédito. Sin embargo, el crédito monetario no es su única preocupación relacionada con la disponibilidad de su aplicación. El tiempo de inactividad en su aplicación afecta negativamente a su negocio, por lo que desea asegurarse siempre de tener el SLA más alto posible. Cuando se trata de varios servicios de Azure con diferentes SLA, es importante comprender cómo afecta eso a su SLA general. Al calcular el SLA para una aplicación que usa varios servicios de Azure, debe calcular un SLA compuesto en función de los servicios que está usando. Por ejemplo, si tiene una aplicación web de App Service que también usa una única máquina virtual de Azure con almacenamiento Premium, debe combinar el SLA para ambos servicios para determinar el SLA general de su aplicación. Tenga en cuenta los SLA compuestos Es importante comprender que los SLA de servicios individuales aún se aplican a usted cuando usa varios servicios de Azure. Sin embargo, comprender los SLA compuestos es importante porque le permite determinar cuándo una configuración específica aumenta la probabilidad de que experimente tiempo de inactividad. El SLA para App Service es del 99,95% y el SLA para una sola máquina virtual que ejecuta almacenamiento Premium es del 99,9%. Por lo tanto, su SLA general para su aplicación es 99,95 por ciento x 99,9 por ciento, o 99,85 por ciento. Al implementar dos VM en dos zonas de disponibilidad en la misma región, puede obtener un SLA del 99,99 por ciento para sus VM, y eso aumenta su SLA general al 99,94 por ciento. Más información Computing Composite SLAS Para obtener más información sobre cómo calcular SLA compuestos, consulte https://bit.ly/az900-compositesla . Ciclo de vida del servicio en Azure A medida que los equipos de productos de Azure desarrollan nuevos servicios y características, es importante que obtengan comentarios de los clientes que usan esos servicios y características en un entorno del mundo real. Por esa razón, Microsoft ofrecerá a menudo nuevos servicios y características a los clientes como ofertas de vista previa . Si bien el término oficial de Microsoft es vista previa , a menudo verá que las personas se refieren a estos servicios y características como una oferta beta . Una vez que una característica ha alcanzado un cierto nivel de integridad y confiabilidad, pasa a una etapa llamada disponibilidad general . Este es el punto en el que un servicio es totalmente compatible y tiene un SLA asociado. Sugerencia para el examen Los servicios y las funciones que están en versión preliminar no ofrecen un SLA y no están destinados a ser utilizados en aplicaciones de producción. Las características de vista previa tampoco suelen ofrecerse en todas las regiones de Azure. Microsoft proporcionará documentación sobre qué regiones están disponibles para una vista previa específica. Vista previa de servicios y funciones Los servicios y funciones de vista previa a veces se ofrecen primero como una vista previa privada. En la vista previa privada, el servicio o función se pone a disposición de un pequeño grupo de clientes para que lo prueben. A veces, el acceso a una vista previa privada es por invitación del equipo de ingeniería que está desarrollando el servicio o la función. En otros casos, Microsoft puede proporcionar una forma para que cualquier cliente se registre para acceder a la vista previa privada. Si el registro está abierto para todos, Microsoft cerrará el registro después de que se haya registrado un número objetivo de clientes. Servicios de notas frente a funciones Muchas vistas previas son para funciones de un servicio existente. Por ejemplo, App Service podría agregar una nueva función para el servicio existente y, antes de que esa función se lance por completo, pasará por un período en la fase de vista previa. Los servicios y las funciones de vista previa privada suelen exponer solo un subconjunto de la funcionalidad que eventualmente se convertirá en el servicio o la función. Microsoft a menudo pedirá a los clientes que utilicen una vista previa privada que prueben escenarios específicos y brinden comentarios. Esto ayuda a los equipos de ingeniería a descubrir errores y problemas de usabilidad en los entornos complejos del mundo real que utilizan los clientes. Sugerencia para el examen No todos los servicios o funciones ofrecen una vista previa privada. Si no se ofrece una vista previa privada, el servicio o la función se ponen a disposición primero como una vista previa pública. Todos los servicios y funciones pasan por un período de vista previa pública. Se pueden ofrecer vistas previas privadas a los clientes sin costo, pero es más común que se ofrezcan con un descuento sustancial. Una vez que un servicio o característica cumple con una barra específica establecida por el equipo de ingeniería, pasará a la vista previa pública. Por lo general, esto ocurre una vez que el servicio o característica es completamente funcional o muy cerca de él. Sin embargo, si hay errores en una parte específica de la funcionalidad que el equipo de ingeniería considera crítico, pueden retrasar la vista previa pública hasta que se corrijan esos errores. Las funciones y servicios que están en versión preliminar pública se proporcionan a una tarifa con descuento, pero al igual que las funciones y los servicios de vista previa privada, normalmente no ofrecen un SLA y se proporcionan tal cual. Los clientes que participan en una vista previa privada a veces reciben un vínculo secreto al portal de Azure que habilita el servicio o la característica. Cuando el cliente usa ese vínculo, Microsoft puede usar su ID de suscripción de Azure para determinar si se ha registrado y está aprobado para la vista previa privada. Si no lo están, la función o el servicio no estarán disponibles, incluso si usan el enlace secreto. En otras situaciones, la experiencia de Azure Portal no se ha desarrollado para una característica o servicio de vista previa privada. En esos casos, los clientes reciben instrucciones en la línea de comandos para usar el servicio o la función. Es más común que la interfaz de usuario del portal se desarrolle durante la fase de vista previa privada, por lo que los primeros usuarios generalmente solo tienen acceso a la línea de comandos. Una vez que un servicio o función llega a la vista previa pública, se pone a disposición de todos los clientes en las regiones donde está disponible y no es necesario registrarse para utilizar el servicio o la función. Se mostrará una insignia de vista previa en Azure Portal para que los usuarios sepan que el servicio o la característica es una oferta de vista previa. La Figura 6-16 muestra la función Editor de App Service en App Service. Tenga en cuenta que esta función tiene la etiqueta Vista previa. FIGURA 6-16 Función de vista previa en App Service Los servicios y las funciones que se encuentran en versión preliminar pública suelen ser compatibles con Microsoft como si se hubieran lanzado por completo. Sin embargo, los SLA no se aplican a las vistas previas, y hay algunas situaciones en las que los ingenieros de soporte de Microsoft no admitirán un servicio o una función mientras estén en la versión preliminar. En esos casos, es posible que lo remitan a foros para obtener asistencia. Disponibilidad general Una vez que un servicio o característica de vista previa alcanza un nivel de calidad y disponibilidad adecuado para el equipo de ingeniería, declarará disponibilidad general o GA. En este punto, el servicio o la función es totalmente compatible. Una vez que un servicio o característica llega a GA, cae bajo el SLA que proporciona Microsoft. Si se trata de un nuevo servicio, se publicará un nuevo SLA en la página web de SLA. Para las nuevas funciones de los servicios existentes, una vez que se alcanza GA, la función heredará el SLA del servicio del que es una función. Si estaba utilizando una función o servicio durante la vista previa pública, generalmente no tendrá que hacer nada para ser oficialmente compatible con GA. Sin embargo, en algunas situaciones, Microsoft le pedirá que elimine los recursos creados durante la vista previa y los vuelva a crear. Esto suele suceder cuando los restos del código de vista previa pueden causar un problema con un servicio o función que se ejecuta en GA. Cuando un servicio o característica llega a GA, es posible que no sea GA en todas las geografías de Azure. En esos casos, otras geografías generalmente serán GA más adelante en el ciclo de vida del servicio o característica. Los precios de vista previa también pueden permanecer vigentes durante algún período después de GA. Detalles como este se publican en el anuncio oficial de GA en el sitio web de Azure. EXPERIMENTO MENTAL Hemos cubierto mucho terreno y es hora de poner a prueba sus nuevos conocimientos con un experimento mental. Las respuestas a este experimento mental se encuentran en la sección que sigue. ContosoPharm ha estado planeando una gran implementación en la nube durante los últimos meses, y está listo para apretar el gatillo y poner las cosas en marcha. La única persona de ContosoPharm que esel más nervioso por esta implementación es el director de TI. Tiene un presupuesto fijo, por lo que necesita tener una buena idea de los costos. También necesita proporcionar un pronóstico financiero detallado al director financiero y quiere que ese informe sea lo más preciso posible. Una vez más, ContosoPharm se ha dirigido a usted en busca de consejos. ContosoPharm tendrá una implementación de red compleja con este nuevo servicio en la nube. También tendrán numerosas máquinas virtuales conectadas a la red. Quieren mantener los costos lo más bajos posible. ¿Qué recomendación puede darles relacionada con su red que pueda ayudarlos a mantener los costos más bajos? ¿Qué pasa con sus máquinas virtuales? El director de TI tiene una hoja de cálculo completa que incluye todos los recursos que ContosoPharm necesitará usar en la nube. Necesita agregar precios estimados a esa hoja de cálculo, pero no está segura de qué registrar para los precios. ¿Qué orientación puede proporcionar para ayudar? ContosoPharm actualmente hospeda este servicio local. Se están moviendo a la nube con la esperanza de ahorrar dinero. Al director financiero le gustaría tener una previsión de cuánto dinero pueden ahorrar si se trasladan a la nube, en contraposición a sus costos locales. ¿Cuál es la mejor manera para que el director de TI recopile esa información? Una vez que ContosoPharm implementa este servicio en la nube, el director de TI desea monitorear cuidadosamente los costos para asegurarse de que no exceda el presupuesto. Si se excede del presupuesto, deberá proporcionar un análisis detallado al director financiero que explique de dónde provienen los costos excedentes. ¿Cómo puede lograr esto fácilmente? El CEO le preguntó al director de TI sobre la confiabilidad de la nube. Ella le aseguró al CEO que la nube es confiable, pero le gustaría poder respaldar esa afirmación con algunos datos reales. Sería incluso mejor si pudiera ofrecer detalles sobre cómo han configurado algunos de sus servicios para mejorar la confiabilidad. ¿Qué deberías sugerir? RESPUESTAS DEL EXPERIMENTO MENTAL Esta sección detalla las respuestas al experimento mental. Para mantener bajos los costos en sus redes y máquinas virtuales, hay algunas cosas que pueden hacer. En primer lugar, será útil planificar cuidadosamente en qué regiones crean servicios. Los costos varían según la región, por lo que elegir regiones con costos más bajos puede ayudar. Sin embargo, deberán tener en cuenta que las redes virtuales de Azure se facturan por el tráfico que sale de un centro de datos, por lo que es necesario planificar con cuidado para evitarlo cuando sea posible. También deben tener en cuenta las zonas porque el tráfico de red fuera de cada zona será diferente. Para obtener un precio estimado de cuánto costarán sus recursos, ContosoPharm puede usar la calculadora de precios. La calculadora de precios les permite agregar y configurar todos los productos que usarán en Azure. Luego proporcionará una estimación de costos por mes que el director de TI puede insertar en su hoja de cálculo. Para determinar cuánto dinero puede ahorrar ContosoPharm al migrar a la nube, el director de TI puede usar la calculadora de costo total de propiedad (TCO). Con la calculadora de TCO, el director de TI puede ingresar todos los detalles sobre los sistemas locales, el personal, etc. de ContosoPharm. Luego, puede proporcionar una vista de cuánto dinero se puede ahorrar al migrar a la nube. Para monitorear los costos de manera continua e informar sobre lo que podría estar causando que se excedan del presupuesto, ConsotoPharm puede usar Azure Cost Management. Pueden crear un presupuesto basado en su uso esperado, y la Administración de costos les permitirá monitorear e informar sobre los gastos. Para encontrar información relacionada con la confiabilidad de los servicios en la nube, el director de TI puede consultar la página de SLA para cada servicio. Esto proporcionará información clara sobre la garantía de disponibilidad de Microsoft. También describirá qué configuración debe tomar ContosoPharm para mantener el SLA más alto, y eso puede ser útil para ella, ya que recopila información sobre cómo han configurado los servicios para obtener la máxima confiabilidad. RESUMEN DEL CAPÍTULO Desde los precios hasta los costos y desde los niveles de servicio hasta los ciclos de vida del servicio, hemos cubierto mucho en este capítulo. Aquí hay un resumen de todo lo que cubrimos. Los factores principales que afectan los costos son el tipo de recurso, cómo compra los recursos, las regiones de Azure que usa y la zona de facturación en la que se encuentran sus recursos. • Los servicios de Azure se facturan según los medidores asociados con el recurso. • La compra de un contrato empresarial o la compra de un socio de soluciones en la nube (CSP) puede ahorrarle dinero en los servicios de Azure. • Los costos de Microsoft varían según la región y los suyos también. • Las regiones de Azure se dividen en zonas de facturación y se le cobra de forma diferente según la zona. • La calculadora de precios le ayuda a calcular los gastos en Azure al proporcionar una estimación de costos basada en los recursos que necesita. • La calculadora del costo total de propiedad le permite ingresar detalles sobre sus recursos locales. A continuación, proporciona una estimación de cuánto puede ahorrar si se cambia a la nube. • Azure Cost Management le permite analizar sus costos a nivel granular. • La gestión de costes le permite crear un presupuesto y configurar alertas en función de ese presupuesto. • Un SLA es una garantía de Microsoft por el tiempo de actividad de un servicio. • Los SLA a menudo tienen requisitos de configuración que deben cumplirse. Estos están documentados en la página web SLA del servicio. • Un servicio solo se considera fuera del SLA si ocurre un problema de disponibilidad debido a algo que está dentro del control de Microsoft. • Los servicios de vista previa se ofrecen antes del lanzamiento de producción y, a menudo, no tienen SLA. Por lo general, también se ofrecen con descuento. • Cuando un servicio está listo para su uso en producción, se declara que está disponible de forma general y lleva un SLA. • Índice A control de acceso con Azure Conditional Access, 220 - 221 RBAC (control de acceso basado en roles), 223 - 227 bloqueos de recursos, 232 - 235 ACI (Azure Container Instances), 56 - 58 grupos de acción, 168 - 169 acciones, 123 , 168 - 169 Directorio Activo. Ver Azure Active Directory agilidad de los servicios en la nube, 4-6 AI (inteligencia artificial), 107 - 110 AKS (Azure Kubernetes Service), 58 - 59 alertas en Monitor de Azure, 165 - 169 analítica. Ver análisis de datos Apache Spark, 97 Tipos de API, 67 - 68 Servicio de aplicaciones. Ver Azure App Service fallas de la aplicación, 3 Perspectivas de la aplicación, 3 componentes arquitectónicos, 26 - 42 ARM (Administrador de recursos de Azure), 38 - 42 zonas de disponibilidad, 28 - 31 grupos de gestión, 37 - 38 regiones, 26 - 28 grupos de recursos, 31 - 33 suscripciones, 33 - 37 ARM (Administrador de recursos de Azure), 38 - 42 Portal de Azure y, 140 beneficios de, 41 RBAC (control de acceso basado en roles) y 226 API ARM, 39 Plantillas ARM, 31 , 33 , 40 - 41 , 74 , 237 artefactos, 133 , 135 , 237 Inteligencia general artificial (IA fuerte), 107 Inteligencia artificial estrecha (IA débil), 107 inteligencia artificial (IA), 107 - 110 asignaciones con Azure Conditional Access, 220 autenticación, 214 Azure Active Directory, 214 - 220 MFA (autenticación multifactor), 221 - 223 RBAC (control de acceso basado en roles), 223 - 227 autorización, 214 Azure Active Directory, 214 - 220 Acceso condicional de Azure, 220 - 221 RBAC (control de acceso basado en roles), 223 - 227 Auto escala, 6 disponibilidad de servicios en la nube, 2-4. Ver también tolerancia a fallos con ExpressRoute, 64 conjuntos de disponibilidad, 30 , 48 - 51 zonas de disponibilidad, 28 - 31 Azur componentes arquitectónicos, 26 - 42 ARM (Administrador de recursos de Azure), 38 - 42 zonas de disponibilidad, 28 - 31 grupos de gestión, 37 - 38 regiones, 26 - 28 grupos de recursos, 31 - 33 suscripciones, 33 - 37 soluciones básicas, 82 - 139 Servicio de bot de Azure, 112 - 114 Azure Databricks, 100 - 107 Azure DevOps, 130 - 133 Laboratorios Azure DevTest, 133 - 139 Funciones Azure, 115 - 122 Aprendizaje automático de Azure, 110 - 111 Esfera azul, 95 - 96 Azure Synapse, 96 - 98 Servicios cognitivos, 111 - 112 Cuadrícula de eventos, 129 - 130 HDInsight, 98 - 100 IoT Central, 87 - 95 IoT Hub, 82 - 87 Aplicaciones lógica, 123 - 128 computing serverless, 114 - 115 gestión de costes, 253 - 264 Administración de costos de Azure, 261 - 264 Factores que afectan a los costes, 254 - 255 calculadora de precios, la tecnología 256 - 257 calculadora de costo total de propiedad, 258 - 261 características de gobernanza, 227 - 242 Blueprints de Azure, 237 - 242 Política de Azure, 228 - 232 bloqueos de recursos, 232 - 235 etiquetas, 236 servicios de identidad, 213 - 227 autenticación y autorización, 214 Azure Active Directory, 214 - 220 Acceso condicional de Azure, 220 - 221 MFA (autenticación multifactor), 221 - 223 RBAC (control de acceso basado en roles), 223 - 227 herramientas de gestión, 139 - 172 Azure Advisor, 159 - 161 Azure CLI, 150 - 152 Azure Cloud Shell, 152 - 156 Azure aplicación móvil, 156 - 159 Azure Monitor, 161 - 169 Portal de Azure, 140 - 147 Azure PowerShell, 148 - 150 Azure Servicio de Salud, 170 - 172 seguridad de la red, 194 - 209 Azure Firewall, 200 - 207 Protección DDoS, 207 - 209 defensa en profundidad, 194 - 195 Los grupos directivos nacionales (grupos de seguridad de red), 195 - 200 recursos de privacidad y cumplimiento, 242 - 248 Regiones de Azure Soveriegn, 247 - 248 Marco de adopción de la nube para Azure, 244 Declaración de privacidad de Microsoft, 243 - 244 STP (Service Trust Portal), 245 - 247 Centro de confianza, 244 características de seguridad, 179 - 194 Centro de seguridad de Azure, 180 - 184 Azure Sentinel, 188 - 194 Clave de bóveda, 184 - 188 ciclo de vida del servicio, 269 - 271 SLA (acuerdos de nivel de servicio), 264 - 269 productos de carga de trabajo, 42 - 75 ACI (Azure Container Instances), 56 - 58 AKS (Azure Kubernetes Service), 58 - 59 Servicio de aplicaciones de Azure, 52 - 55 Base de datos de Azure para MySQL, 72 Base de datos de Azure para PostgreSQL, 72 Archivos de Azure, 65 - 66 Azure Marketplace, 72 - 75 Base de datos SQL de Azure, 68 - 71 almacenamiento de contenedores (blob), 64 Cosmos DB, 66 - 68 almacenamiento en disco, 64 - 65 ExpressRoute, 63 - 64 gradas de almacenamiento, 66 redes virtuales (VNets), 61 - 63 VM (máquinas virtuales), 42 - 52 Escritorio virtual de Windows, 60 - 61 Azure Active Directory, 142 , 214 - 220 Azure AD B2B, 216 , 219 Azure AD B2C, 219 Azure Advisor, 159 - 161 Servicio de aplicaciones de Azure, 13 , 52 - 55 planes, 52 - 54 aplicaciones web, 54 - 55 Artefactos azur, 131 , 133 Bastión azur, 203 Blog de Azure, 29 Blueprints de Azure, 237 - 242 Tableros Azules, 131 , 132 Servicio de bot de Azure, 112 - 114 Azure China, 248 Azure CLI, 150 - 152 Nube azul Shell, 141 , 152 - 156 Acceso condicional de Azure, 220 - 221 Instancias de contenedor de Azure (ACI), 56 - 58 Administración de costos de Azure, 261 - 264 Almacenamiento de Azure Data Lake, 98 Base de datos de Azure para MySQL, 72 Base de datos de Azure para PostgreSQL, 72 Servicio de migración de base de datos de Azure (DMS), 71 Azure Databricks, 100 - 107 Azure DevOps, 130 - 133 Laboratorios Azure DevTest, 133 - 139 Sincronización de archivos de Azure, 66 Archivos de Azure, 65 - 66 Azure Firewall, 200 - 207 Funciones Azure, 115 - 122 Azure Alemania, 248 Azure Government, 247 - 248 Servicio de Azure Kubernetes (AKS), 58 - 59 Análisis de registros de Azure, 189 Aprendizaje automático de Azure, 110 - 111 Azure Marketplace, 72 - 75 Azure aplicación móvil, 156 - 159 Azure Monitor, 161 - 169 Azure Pipelines, 131 , 133 Política de Azure, 228 - 232 Portal de Azure, 140 - 147 Azure PowerShell, 148 - 150 Azure Repos, 131 , 132 - 133 Administrador de recursos de Azure. Ver ARM (Administrador de recursos de Azure) Centro de seguridad de Azure, 180 - 184 Azure Sentinel, 188 - 194 Azure Servicio de Salud, 170 - 172 Esfera azul, 95 - 96 Base de datos SQL de Azure, 68 - 71 Pila azur, 20 Página de estado de Azure, 30 Almacenamiento de Azure Archivos de Azure y, 65 almacenamiento de contenedores (blob), 64 Azure Synapse, 96 - 98 Estudio de Azure Synapse, 98 Planes de prueba de Azure, 131 , 133 B Planes BCDR (Business Continuity and Disaster Recovery), 7 ofertas beta, 269 - 270 big data, 97 zonas de facturación, 255 almacenamiento de blobs, 64 planos, 237 - 242 Servicio de bot. Ver Azure Bot Service C Mensajería C2D (nube a dispositivo), 84 "Enfoque del castillo" (defensa en profundidad), 194 - 195 canales en Azure Bot Service, 114 servicios de chat con Azure Servicio Bot, 112 - 114 Clarke, Arthur C.107 Marco de adopción de la nube para Azure, 244 computación en la nube, definida, 17 modelo de nube, 8, 16 nube híbrida, 19 - 20 nube privada, 18 de - 19 de nube pública, 17 - 18 servicios en la nube beneficios de, 1-8 beneficios económicos, 7-8 tolerancia a fallos, recuperación ante desastres, 6-7 alta disponibilidad, 2-4 escalabilidad, elasticidad, agilidad, 4-6 comparación del tipo de servicio, 15 - 16 modelo de responsabilidad compartida, 9 Nube de Shell, 141 , 152 - 156 mensajería de nube a dispositivo (C2D), 84 Cloudyn, 262 racimos en Azure Databricks, 102 en Azure Synapse, 97 en HDInsight, 98 - 100 Servicios cognitivos, 111 - 112 columna sistemas de base de datos NoSQL, 67 comandos en Azure CLI, 150 - 152 Azure en la nube de Shell, 152 - 156 en el módulo PowerShell Az , 149 - 150 modelo de nube comunitaria, 16 cumplimiento, 242 - 248 Regiones de Azure Soveriegn, 247 - 248 Marco de adopción de la nube para Azure, 244 recuperación ante desastres y, 7 Declaración de privacidad de Microsoft, 243 - 244 STP (Service Trust Portal), 245 - 247 Centro de confianza, 244 Gerente de cumplimiento, 245 - 247 SLA compuestos, 268 - 269 computar nodos, 97 Visión por computadora, 112 Acceso condicional, 220 - 221 conectores, 123 , 189 - 192 modelo basado en el consumo, 8 contenedores en AKS, 58 - 59 almacenamiento de blobs, 64 explicado, 56 corriendo, 56 - 58 soluciones básicas, 82 - 139 Servicio de bot de Azure, 112 - 114 Azure Databricks, 100 - 107 Azure DevOps, 130 - 133 Laboratorios Azure DevTest, 133 - 139 Funciones Azure, 115 - 122 Aprendizaje automático de Azure, 110 - 111 Esfera azul, 95 - 96 Azure Synapse, 96 - 98 Servicios cognitivos, 111 - 112 Cuadrícula de eventos, 129 - 130 HDInsight, 98 - 100 IoT Central, 87 - 95 IoT Hub, 82 - 87 Aplicaciones lógica, 123 - 128 computing serverless, 114 - 115 Cosmos DB, 66 - 68 gestión de costes, 253 - 264 Administración de costos de Azure, 261 - 264 Factores que afectan a los costes, 254 - 255 calculadora de precios, la tecnología 256 - 257 calculadora de costo total de propiedad, 258 - 261 costos. Ver también niveles de precios Servicio de aplicaciones de Azure, 52 - 54 factores que afectan, 254 - 255 visualización, 33 , 35 Facturación de VM, 48 imágenes personalizadas, 51 , 136 - 137 D Mensajería D2C (dispositivo a nube), 84 tablero (en el portal) creando nuevo, 146 - 147 personalización, 146 analítica de datos con Azure Synapse, 96 - 98 con HDInsight, 99 Cuadro de datos, 64 lagos de datos, 98 modelado de datos, 100 Servicio de movimiento de datos (DMS), 97 almacenes de datos, 98 tipos de API de base de datos, 67 - 68 Servicio de migración de bases de datos (DMS), 71 Unidad de transacción de base de datos (DTU), 70 Databricks, 100 - 107 Exportación de modelos de ML de Databricks, 107 Databricks Runtime ML (Databricks Runtime para aprendizaje automático), 105 - 106 centros de datos, 27 - 28 conjuntos de datos en Azure Databricks, 104 DDoS (denegación de servicio) los ataques, 207 - 209 Protección DDoS, 207 -209 API de decisión, 112 sintaxis declarativa, 40 defensa en profundidad, 194 - 195 eliminar recursos, 33 virtualización de escritorio con Windows Virtual Desktop, 60 - 61 grupos de dispositivos en IoT Central, 93 - 95 Servicio de aprovisionamiento de dispositivos (DPS), 85 dispositivos gemelos, 84 mensajería de dispositivo a nube (D2C), 84 DevTest Labs, 133 - 139 Línea directa, 114 roles de directorio, 214 recuperación de desastres, 6-7 en zonas de disponibilidad, 28 - 29 en regiones, 27 - 28 claves de cifrado de disco, 187 - 188 almacenamiento en disco, 64 - 65 denegación de servicio distribuida (DDoS), 207 - 209 DMS (servicio de movimiento de datos), 97 DMS (Servicio de migración de bases de datos), 71 Docker, 13 , 56 años documentar sistemas de bases de datos NoSQL, 67 Autorización provisional de nivel 5 de impacto del Departamento de Defensa, 248 DPS (servicio de aprovisionamiento de dispositivos), 85 DTU (Unidad de transacción de base de datos), 70 MI beneficios económicos de los servicios en la nube, 7-8 dispositivos de borde, 63 efectos en Azure Policy, 232 piscinas elásticas, 70 - 71 elasticidad de los servicios en la nube, 4-6 cifrado con la clave de bóveda, 184 - 188 Cuadrícula de eventos, 129 - 130 ExpressRoute, 63 - 64 F dominios de falla, 48 - 49 Tolerancia a fallos, 6-7 FIPS (Estándar federal de procesamiento de información) 140, 185 cortafuegos, 200 - 207 registro de flujo para NSG, 199 fórmulas, 136 - 138 Función Aplicaciones, 115 - 119 , 127 funciones creando, 120 - 121 definido, 118 GRAMO GDPR (Reglamento general de protección de datos), 243 disponibilidad general, 269 , 271 geografías, 26 , 27 gobernanza, 227 - 242 Blueprints de Azure, 237 - 242 Política de Azure, 228 - 232 bloqueos de recursos, 232 - 235 etiquetas, 236 graficar sistemas de bases de datos NoSQL, 67 usuarios invitados, 216 H Hadoop, 98 HBase, 98 HDInsight, 98 - 100 alta disponibilidad de servicios en la nube, 2-4. Ver también tolerancia a fallos con ExpressRoute, 64 escala horizontal, 5 HSM (Hardware Security Modules), 184 - 185 Funciones HttpTrigger, 122 configuración de concentrador y radios para cortafuegos, 201 - 202 modelo de nube híbrida, 16 , 19 - 20 I IaaS (infraestructura como servicio), 9- 11 , 15 identidades, 214 servicios de identidad, 213 - 227 autenticación y autorización, 214 Azure Active Directory, 214 - 220 Acceso condicional de Azure, 220 - 221 MFA (autenticación multifactor), 221 - 223 RBAC (control de acceso basado en roles), 223 - 227 imágenes, 56 Reglas de entrada para los grupos directivos nacionales, 197 - 199 Infraestructura como servicio (IaaS), 9- 11 , 15 iniciativas, 229 instalando Módulo PowerShell Az , 148 PowerShell en Linux o macOS, 148 Consulta interactiva, 98 Internet, modelo de nube pública y, 17 facturas, visualización, 35 IoT (Internet de las cosas) Esfera azul, 95 - 96 IoT Central, 87 - 95 IoT Hub, 82 - 87 IoT Central, 87 - 95 IoT Hub, 82 - 87 Direcciones IP, públicas, 62 Norma ISO 27001, 243 J JIT de acceso (just-in-time), 181 - 184 empleos en IoT Central, 94 cajas de salto, 201 K Kafka, 98 Clave de bóveda, 184 - 188 métodos abreviados de teclado en Azure Databricks, 104 sistemas de base de datos NoSQL de valor clave, 67 Kubernetes, 58 - 59 L API de lenguaje, 112 ciclo de vida de los servicios, 269 - 271 límites en las suscripciones, 34 cerraduras, 232 - 235 Log Analytics, 189 Aplicaciones lógica, 123 - 128 , 193 METRO aprendizaje automático en Azure Databricks, 100 - 107 con Azure Machine Learning, 110 - 111 con Cognitive Services, 111 - 112 explicado, 108 - 110 Estudio de aprendizaje automático, 110 discos gestionados, 65 identidades administradas, 215 , 223 instancias gestionadas, 71 grupos de gestión, 37 - 38 herramientas de gestión, 139 - 172 Azure Advisor, 159 - 161 Azure CLI, 150 - 152 Azure Cloud Shell, 152 - 156 Azure aplicación móvil, 156 - 159 Azure Monitor, 161 - 169 Portal de Azure, 140 - 147 Azure PowerShell, 148 - 150 Azure Servicio de Salud, 170 - 172 Markdown, 103 metros, 254 MFA (autenticación multifactor), 221 - 223 Declaración de privacidad de Microsoft, 243 - 244 Escritorio remoto de Microsoft, 158 Inteligencia de amenazas de Microsoft, 181 MLeap, 106 aplicación móvil (Azure), 156 - 159 mover recursos, 33 MSEE (enrutadores Microsoft Enterprise Edge), 63 - 64 autenticación multifactor (MFA), 221 - 223 entorno multiusuario, 17 MySQL, 72 NORTE comprensión del lenguaje natural, 108 precio del ancho de banda de la red, 255 cortes de red, 2-3 seguridad de la red, 194 - 209 Azure Firewall, 200 - 207 Protección DDoS, 207 - 209 defensa en profundidad, 194 - 195 Los grupos directivos nacionales (grupos de seguridad de red), 195 - 200 Red de Seguridad Grupos (grupos directivos nacionales), 63 , 195 - 200 NIST 800– 53 estándar, 243 Bases de datos NoSQL, 66 - 67 cuadernos en Azure Databricks, 103 - 104 O Fichas de hardware OAUTH, 223 modelo local, 7 reglas de salida para NSG, 199 enlaces de salida, 122 PAG PaaS (Platform-as-a-Service), 11 - 14 , 15 mantenimiento planificado, 48 planificación con Azure Blueprints, 237 - 242 para la gestión de costes, 253 - 264 Administración de costos de Azure, 261 - 264 Factores que afectan a los costes, 254 - 255 calculadora de precios, la tecnología 256 - 257 calculadora de costo total de propiedad, 258 - 261 planes en Azure App Service, 52 - 54 Plataforma-as-a-Service (PaaS), 11 - 14 , 15 Playbooks, 193 politicas en Azure DevTest Labs, 139 en la Política de Azure, 228 - 232 portal (Azure), 140 - 147 PostgreSQL, 72 Automatización de energía, 123 cortes de energía, 4 fuentes de alimentación para centros de datos, 27 - 28 PowerShell, instalación en Linux o macOS, 148 Módulo PowerShell Az , 148 - 150 ofertas de vista previa, 269 - 270 vista previa de las aplicaciones web en la nube Azure Shell, 154 - 155 calculadora de precios, la tecnología 256 - 257 niveles de precios. Consulte también gestión de costes ; costos Azure Active Directory, 219 - 220 para Azure Security Center, 180 Protección DDoS, 208 - 209 para IoT Hub, 86 - 87 ancho de banda de la red, 255 privacidad, 242 - 248 Regiones de Azure Soveriegn, 247 - 248 Marco de adopción de la nube para Azure, 244 Declaración de privacidad de Microsoft, 243 - 244 STP (Service Trust Portal), 245 - 247 Centro de confianza, 244 privado modelo de nube, 16 , 18 - 19 vistas previas privadas, 269 - 270 canalización de producción de aprendizaje automático, 106 "Perfiles del futuro" (Clarke), 107 apoderados, 118 modelo de nube pública, 16 , 17 - 18 direcciones IP públicas, 62 avances públicos, 270 modelos de compra para base de datos única, 70 R Servidor R, 98 RBAC (control de acceso basado en roles), 223 - 227 pares regionales, 27 regiones zonas de disponibilidad, 28 - 31 explicado, 26 - 28 factores que afectan los costos, 254 zonas para, 255 bases de datos relacionales, 66 Base de datos SQL de Azure, 68 - 71 MySQL, 72 PostgreSQL, 72 SQL Server, 68 problemas del sistema dependiente, 4 acceso remoto a máquinas virtuales IaaS, 10 grupos de recursos, 31 - 33 bloqueos de recursos, 232 - 235 proveedores de recursos, 39 recursos. Consulte también ARM (Azure Resource Manager) costos, visualización, 33 , 35 borrar, 33 en movimiento, 33 apertura en portal, 144 etiquetas, 236 visualización, 142 asignaciones de roles, 224 - 226 control de acceso basado en roles (RBAC), 223 - 227 roles, 224 en IoT Central, 91 tablas de rutas para cortafuegos, 203 - 206 reglas en la Política de Azure, 228 - 232 para cortafuegos, 205 - 207 en IoT Central, 93 para los grupos directivos nacionales, 195 - 200 S SaaS (software como servicio), 14 , 15 escalabilidad de los servicios en la nube, 4-6 tolerancia a fallas versus, 6 juegos de escalas, 51 - 52 alcance, 224 seguridad, 179 - 194 Centro de seguridad de Azure, 180 - 184 Azure Sentinel, 188 - 194 con Azure Sphere, 95 - 96 servicios de identidad autenticación y autorización, 214 Azure Active Directory, 214 - 220 Acceso condicional de Azure, 220 - 221 MFA (autenticación multifactor), 221 - 223 RBAC (control de acceso basado en roles), 223 - 227 Clave de bóveda, 184 - 188 seguridad de la red, 194 - 209 Azure Firewall, 200 - 207 Protección DDoS, 207 - 209 defensa en profundidad, 194 - 195 Los grupos directivos nacionales (grupos de seguridad de red), 195 - 200 bloqueos de recursos, 232 - 235 Centro de confianza, 244 directores de seguridad, 223 , 227 Sentinel, 188 - 194 computing serverless, 114 - 115 dependencias de servicio, 41 ciclo de vida del servicio, 269 - 271 directores de servicio, 215 , 218 , 227 etiquetas de servicio para los grupos directivos nacionales, 199 - 200 Portal de confianza de servicios (STP), 245 - 247 acuerdos de nivel de servicio (SLA), 2, 264 - 269 "Siete propiedades de los dispositivos de alta seguridad" (documento técnico de Microsoft), 95 modelo de responsabilidad compartida, 9, 243 SIEM (Gestión de eventos e información de seguridad), 188 iniciar sesión en PowerShell Az módulo, 148 - 149 dispositivos simulados en IoT Central, 90 bases de datos únicas, 70 inicio de sesión único (SSO), 218 entorno de un solo inquilino, 18 SLA (acuerdos de nivel de servicio), 2, 264 - 269 ranuras, 118 SOAR (orquestación, automatización y respuesta de seguridad), 188 Software como servicio (SaaS), 14 , 15 Chispa, 98 API de voz, 112 redes de radios, 201 Almacén de datos SQL, 97 SQL Server, 68 SSO (inicio de sesión único), 218 cortafuegos con estado, 201 gradas de almacenamiento, 66 Tormenta, 98 STP (Service Trust Portal), 245 - 247 IA fuerte, 107 ID de suscripción, 37 suscripciones, 33 - 37 creando, 36 - 37 , 43 límites en, 34 grupos de gestión, 37 - 38 ajuste activo, 149 tipos de, 37 Synapse SQL, 97 cortes del sistema, 3-4 T etiquetas, 236 TCO (coste total de propiedad) calculadora, 258 - 261 pruebas con Azure DevTest Labs, 133 - 139 inteligencia de amenazas en Azure Firewall, 207 niveles. Ver niveles de precios disparadores, 121 - 122 , 123 Centro de confianza, 244 U tiempo de inactividad inesperado, 48 discos no administrados, 65 mantenimiento no planificado, 48 actualizar dominios, 49 directores de usuario, 227 V vCore (núcleo virtual), 70 escala vertical, 5 Indexador de video, 112 visita costos, 33 , 35 facturas, 35 recursos, 142 etiquetas, 236 redes virtuales (VNets), 61 - 63 redes privadas virtuales (VPN), 63 Visual Studio, 39 VM (máquinas virtuales), 3-4, 42 - 52 conjuntos de disponibilidad, 48 - 51 en Azure DevTest Labs, 133 - 139 facturación, 48 conectarse a través de la aplicación móvil de Azure, 158 creando, 43 - 45 despliegue, 45 - 46 claves de cifrado de disco, 187 - 188 almacenamiento en disco, 64 - 65 tiempo de inactividad, 48 Acceso JIT, 181 - 184 juegos de escalas, 51 - 52 VNets (redes virtuales), 61 - 63 VPN (redes privadas virtuales), 63 W IA débil, 107 aplicaciones web en Azure App Service, 54 - 55 la vista previa en la nube Azure Shell, 154 - 155 webhooks, 122 Windows 10 multiusuario, 61 Directorio activo de Windows, 214 Escritorio virtual de Windows (WVD), 60 - 61 flujos de trabajo en Logic Apps, 123 , 128 productos de carga de trabajo, 42 - 75 ACI (Azure Container Instances), 56 - 58 AKS (Azure Kubernetes Service), 58 - 59 Servicio de aplicaciones de Azure, 52 - 55 Base de datos de Azure para MySQL, 72 Base de datos de Azure para PostgreSQL, 72 Archivos Azure, 65 -66 Azure Marketplace, 72 -75 Base de datos SQL de Azure, 68 -71 almacenamiento de contenedores (blob), 64 Cosmos DB, 66 - 68 almacenamiento en disco, 64 - 65 ExpressRoute, 63 - 64 niveles de almacenamiento, 66 redes virtuales (VNets), 61 - 63 VM (máquinas virtuales), 42 - 52 Escritorio virtual de Windows, 60 - 61 Z servicios zonales, 30 servicios redundantes de zona, 31 zonas, regiones en, 255 Fragmentos de código Muchos títulos incluyen código de programación o ejemplos de configuración. Para optimizar la presentación de estos elementos, vea el libro electrónico en modo horizontal de una sola columna y ajuste el tamaño de fuente al valor más pequeño. Además de presentar el código y las configuraciones en el formato de texto ajustable, hemos incluido imágenes del código que imitan la presentación que se encuentra en el libro impreso; por lo tanto, cuando el formato reajustable pueda comprometer la presentación del listado de código, verá un enlace "Haga clic aquí para ver la imagen del código". Haga clic en el enlace para ver la imagen del código de fidelidad de impresión. Para volver a la página anterior vista, haga clic en el botón Atrás en su dispositivo o aplicación.