Referencia de examen AZ-900
Fundamentos de Microsoft
Azure
Jim Cheshire
Contenidos de un vistazo
Introducción
CAPÍTULO 1Describir conceptos de nube
CAPÍTULO 2Describir los servicios principales de Azure
CAPÍTULO 3Describir soluciones principales y herramientas
de administración en Azure
CAPÍTULO 4Describir las características generales de
seguridad y seguridad de red
CAPÍTULO 5Describir las características de identidad,
gobernanza, privacidad y cumplimiento
CAPÍTULO 6Describir precios de Azure, SLA y ciclos de vida
índice
contenido
Introducción
Organización de este libro
Preparación para el examen
Certificaciones de Microsoft
Acceso rápido a referencias en línea
Errata, actualizaciones y soporte para libros
Manténgase en contacto
Capítulo 1 Describir conceptos de nube
Habilidad 1.1: Identificar los beneficios y consideraciones del uso de
servicios en la nube
alta disponibilidad
Escalabilidad, elasticidad y agilidad
Tolerancia a fallos y recuperación ante desastres
Beneficios económicos de la nube
Habilidad 1.2: Describir las diferencias entre Infraestructura como
servicio (IaaS), Plataforma como servicio (PaaS) y Software como
servicio (SaaS)
Modelo de responsabilidad compartida
Infraestructura como servicio (IaaS)
Plataforma como servicio (PaaS)
Software como servicio (SaaS)
Comparación de tipos de servicio
Habilidad 1.3: Describir las diferencias entre los modelos de nube
públicos, privados e híbridos
Computación en la nube
La nube pública
La nube privada
La nube híbrida
Experimento de pensamiento
Respuestas del experimento de pensamiento
Resumen del capítulo
Capítulo 2 Describir los servicios principales de Azure
Habilidad 2.1: Describir los componentes arquitectónicos principales
de Azure
Regiones de Azure
Zonas de disponibilidad
Grupos de recursos
Suscripciones de Azure
Grupos directivos
Azure Resource Manager (ARM)
Habilidad 2.2: describir los productos básicos de carga de trabajo
disponibles en Azure
Máquinas virtuales de Azure
Servicio de aplicaciones de Azure
Instancias de contenedor de Azure (ACI)
Servicio Azure Kubernetes (AKS)
Escritorio virtual de Windows
Redes virtuales
ExpressRoute
Almacenamiento de contenedor (blob)
Almacenamiento en disco
Archivos de Azure
Niveles de almacenamiento
Cosmos DB
Base de datos SQL de Azure
Azure Database para MySQL
Base de datos de Azure para PostgreSQL
Azure Marketplace y sus escenarios de uso
Experimento de pensamiento
Respuestas del experimento de pensamiento
Resumen del capítulo
Capítulo 3 Describir soluciones principales y herramientas
de administración en Azure
Habilidad 3.1: describir las soluciones principales disponibles en Azure
Azure IoT Hub
IoT Central
Esfera azul
Análisis de Synapse de Azure
HDInsight
Azure Databricks
Aprendizaje automático de Azure
Servicios cognitivos
Servicio de bots de Azure
Computación sin servidor
Funciones de Azure
Aplicaciones lógicas
Cuadrícula de eventos
Azure DevOps
Laboratorios DevTest de Azure
Habilidad 3.2: Describir herramientas de administración de Azure
Portal de Azure
Azure PowerShell
Azure CLI
Shell en la nube de Azure
Aplicación móvil de Azure
Asesor de Azure
Azure Monitor
Salud del servicio de Azure
Experimento de pensamiento
Respuestas del experimento de pensamiento
Resumen del capítulo
Capítulo 4 Describir las características generales de
seguridad y seguridad de la red
Habilidad 4.1: Describir características de seguridad de Azure
Centro de seguridad de Azure
Bóveda de llaves
Centinela de Azure
Habilidad 4.2: Describir la seguridad de la red de Azure
Defensa en profundidad
Grupos de seguridad de red (NSG)
Azure Firewall
Protección de Azure DDoS
Experimento de pensamiento
Respuestas del experimento de pensamiento
Resumen del capítulo
Capítulo 5 Describir las características de identidad,
gobernanza, privacidad y cumplimiento
Habilidad 5.1: Describir los servicios básicos de identidad de Azure
Autenticación y autorización
Azure Active Directory
Acceso condicional y autenticación multifactor (MFA)
Control de acceso basado en roles (RBAC)
Habilidad 5.2: Describir las características de gobierno de Azure
Directiva de Azure
Bloqueos de recursos
Etiquetas
Planos de Azure
Habilidad 5.3: Describir recursos de privacidad y cumplimiento
Declaración de privacidad de Microsoft
Marco de adopción en la nube para Azure
Centro fiduciario
Portal de confianza de servicio
Regiones soberanas de Azure
Experimento de pensamiento
Respuestas del experimento de pensamiento
Resumen del capítulo
Capítulo 6 Describir precios de Azure, SLA y ciclos de vida
Habilidad 6.1: Describir métodos para la planificación y gestión de
costes
Factores que afectan a los costos
Calculadora de precios
Calculadora de costo total de propiedad
Administración de costes de Azure
Habilidad 6.2: Describir los acuerdos de nivel de servicio (SLA) de
Azure y los ciclos de vida del servicio
Acuerdo de nivel de servicio de Azure (SLA)
Interpretar los términos de un SLA
Ciclo de vida del servicio en Azure
Experimento de pensamiento
Respuestas del experimento de pensamiento
Resumen del capítulo
índice
Sobre el autor
JIM CHESHIRE es un entusiasta de la tecnología con más de 25 años
de experiencia en varios roles dentro de TI. Jim ha sido autor de más
de 15 libros sobre tecnología, y ha celebrado numerosas sesiones de
capacitación sobre Microsoft Azure, tanto en empresas privadas como a
través del programa de entrenamiento en vivo de Safari. Jim está muy
involucrado en Azure y está en su 22º año en Microsoft. Actualmente
está trabajando en el diseño e implementación del ecosistema de
formación utilizado para capacitar a los ingenieros de soporte técnico
de Microsoft. Puedes seguir a Jim e interactuar con él en Twitter en
@az900examref.
Introducción
Tanto las empresas como los individuos están adoptando tecnologías
en la nube a un ritmo vertiginoso, y Microsoft Azure suele ser la opción
para aplicaciones y servicios basados en la nube. El propósito del
examen AZ-900 es probar la comprensión de los fundamentos de
Azure. El examen incluye conceptos de alto nivel que se aplican en todo
Azure a conceptos importantes específicos de un servicio de Azure
determinado. Al igual que el examen, este libro está orientado a darle
una amplia comprensión de Azure en sí, así como muchos servicios y
componentes comunes en Azure.
Aunque hemos hecho todo lo posible para que la información de este
libro sea precisa, Azure está evolucionando rápidamente y existe la
posibilidad de que algunas de las pantallas de Azure Portal sean
ligeramente diferentes ahora que cuando se escribió este libro.
También es posible que se hayan producido otros cambios menores,
como cambios menores de nombre en las entidades, etc.
En esta edición del libro, hemos revisado meticulosamente el contenido
de la primera edición y actualizado todo para reflejar el estado actual
de Azure. También hemos reorganizado el libro y añadido nuevo
contenido para reflejar el estado actual del examen AZ-900. Microsoft
ha agregado recientemente nuevos conceptos, servicios y
características de Azure al examen AZ-900, y los hemos agregado a esta
edición. También hemos corregido algunas cosas e hicimos bastantes
cambios basados en los comentarios de los lectores de la primera
edición.
Este libro cubre todas las áreas temáticas importantes que se
encuentran en el examen, pero no cubre todas las preguntas del
examen. Solo el equipo de exámenes de Microsoft tiene acceso a las
preguntas del examen y Microsoft agrega regularmente nuevas
preguntas al examen, lo que imposibilita cubrir preguntas específicas.
Usted debe considerar este libro un suplemento a su experiencia
relevante en el mundo real y otros materiales de estudio. En muchos
casos, hemos proporcionado enlaces en las secciones "Más
información" del libro, y estos enlaces son una gran fuente para un
estudio adicional.
ORGANIZACIÓN DE ESTE LIBRO
Este libro está organizado por la lista "Habilidades medidas" publicada
para el examen. La lista "Habilidades medidas" está disponible para cada
examen en el sitio web de Microsoft
Learning: http://aka.ms/examlist. Cada capítulo de este libro corresponde
a un área temática importante de la lista y las tareas técnicas de cada área
temática determinan la organización de un capítulo. Debido a que el
examen AZ-900 cubre seis áreas temáticas principales, este libro contiene
seis capítulos.
PREPARACIÓN PARA EL EXAMEN
Los exámenes de certificación de Microsoft son una excelente manera de
crear su CV y informar al mundo sobre su nivel de experiencia. Los
exámenes de certificación validan su experiencia en el trabajo y el
conocimiento del producto. Aunque no hay sustituto para la experiencia
en el trabajo, la preparación a través del estudio y la práctica práctica
puede ayudarle a prepararse para el examen. Le recomendamos que
aumente su plan de preparación de exámenes mediante el uso de una
combinación de materiales de estudio y cursos disponibles. Por ejemplo,
puede usar la referencia de examen y otra guía de estudio para su
preparación "en casa" y tomar un curso de currículo oficial de Microsoft
para la experiencia en el aula. Elige la combinación que creas que
funciona mejor para ti.
Tenga en cuenta que este índice de examen se basa en información
disponible públicamente sobre el examen y la experiencia del autor. Para
salvaguardar la integridad del examen, los autores no tienen acceso al
examen en vivo.
CERTIFICACIONES DE MICROSOFT
Las certificaciones de Microsoft le distinguen al demostrar su dominio de
un amplio conjunto de habilidades y experiencia con los productos y
tecnologías actuales de Microsoft. Los exámenes y certificaciones
correspondientes se desarrollan para validar su dominio de las
competencias críticas a medida que diseña y desarrolla, o implementa y
admite, soluciones con productos y tecnologías de Microsoft tanto locales
como en la nube. La certificación aporta una variedad de beneficios a la
persona y a los empleadores y organizaciones.
Más información Todas las certificaciones de Microsoft
Para obtener información acerca de las certificaciones de Microsoft, incluida una lista
completa de las certificaciones disponibles, vaya a http://www.microsoft.com/learn.
ACCESO RÁPIDO A REFERENCIAS EN LÍNEA
A lo largo de este libro hay direcciones a páginas web que el autor le ha
recomendado visitar para obtener más información. Algunos de estos
enlaces pueden ser muy largos y meticulosos de escribir, por lo que los
hemos acortado para que seas más fácil de visitar. También los hemos
compilado en una sola lista a la que los lectores de la edición impresa
pueden hacer referencia mientras leen.
Descargue la lista
en https://MicrosoftPressStore.com/ExamRefAZ900SecondEdition/downlo
ads
Las URL se organizan por capítulo y encabezado. Cada vez que encuentre
una URL en el libro, busque el hipervínculo de la lista para ir
directamente a la página web.
ERRATA, ACTUALIZACIONES Y SOPORTE PARA
LIBROS
Hemos hecho todo lo posible para garantizar la exactitud de este libro y
su contenido complementario. Puede acceder a las actualizaciones de este
libro (en forma de lista de erratas enviadas y sus correcciones
relacionadas) en:
https://MicrosoftPressStore.com/ExamRefAZ900SecondEdition/errata
Si descubre un error que aún no aparece en la lista, envíenoslo a la misma
página.
Para obtener asistencia e información adicional del libro, visite
https://MicrosoftPressStore.com/Support.
Tenga en cuenta que la compatibilidad con productos para el software y
el hardware de Microsoft no se ofrece a través de las direcciones
anteriores. Para obtener ayuda con el software o el hardware de
Microsoft, vaya a https://support.microsoft.com.
MANTÉNGASE EN CONTACTO
¡Mantengamos la conversación en marcha! Estamos en Twitter:
http://twitter.com/MicrosoftPress.
También puedes seguir al autor de este libro, Jim Cheshire, en Twitter en
@az900examref.
Capítulo 1
Describir los conceptos de la nube
La computación en la nube ha sido parte de la tecnología de la
información (TI) durante más de 20 años. Durante ese tiempo, se ha
convertido en una colección compleja de servicios y modelos en la
nube. Antes de comenzar el proceso de migración a la nube, es
importante que comprenda los conceptos y servicios clave relacionados
con la nube.
Hay muchas razones para migrar a la nube, pero uno de los principales
beneficios es eliminar parte de la carga de TI de su empresa. La nube le
permite aprovechar la infraestructura y las inversiones de un proveedor
de nube, y facilita el mantenimiento de un acceso constante a sus
aplicaciones y datos. También obtendrá el beneficio de las soluciones
llave en mano para realizar copias de seguridad de los datos y
garantizar que sus aplicaciones puedan sobrevivir a desastres y otros
problemas de disponibilidad. Alojar sus datos y aplicaciones en la nube
suele ser más rentable que invertir en infraestructura y recursos de TI
locales.
Una vez que decida aprovechar la nube, debe comprender las diferentes
ofertas de nube disponibles para usted. Algunos servicios en la nube
brindan una experiencia casi sin intervención, mientras que otros
requieren que usted mismo administre algunos de los
sistemas. Encontrar el equilibrio adecuado para sus necesidades
requiere que comprenda completamente cada tipo de servicio.
Este capítulo cubre los beneficios de usar la nube, los diferentes
servicios de nube que están disponibles y los modelos de nube que
permiten una variedad de configuraciones de nube.
Habilidades cubiertas en este capítulo:
Identificar los beneficios y consideraciones de usar servicios
en la nube.
•
Describir las diferencias entre infraestructura como servicio
(IaaS), plataforma como servicio (PaaS) y software como servicio
(SaaS).
•
Describir las diferencias entre los modelos de nube pública,
privada e híbrida.
•
HABILIDAD 1.1: IDENTIFICAR LOS BENEFICIOS
Y CONSIDERACIONES DEL USO DE SERVICIOS
EN LA NUBE.
Las empresas de hoy dependen en gran medida de las soluciones de
software y el acceso a los datos. De hecho, en muchos casos, los activos
más valiosos de una empresa están directamente vinculados a los datos y
las aplicaciones. Por eso, la inversión en TI ha crecido enormemente en
las últimas dos décadas. Dependencia enLos departamentos de TI locales
funcionaron bien en los primeros días de TI, pero el acceso a los datos y
las aplicaciones se ha convertido en una parte tan crítica de las
operaciones diarias que los sistemas de TI localizados se han vuelto
ineficientes en muchos niveles.
Al tomar decisiones sobre qué trasladar a la nube, evalúe sus decisiones
frente a los beneficios que puede brindar la computación en la nube.
Esta sección cubre:
•
Alta disponibilidad
•
Escalabilidad, elasticidad y agilidad
•
Tolerancia a fallos y recuperación ante desastres
•
Beneficios económicos de la nube
Alta disponibilidad
La disponibilidad de datos y aplicaciones es un requisito fundamental
para cualquier aplicación, ya sea local o en la nube. Si sus datos o
aplicación no están disponibles para usted, nada más importa. Hay
muchas razones por las que puede perder disponibilidad, pero los
problemas más comunes son:
•
Una interrupción de la red
•
Una falla de la aplicación
Una interrupción del sistema (como una interrupción de la
máquina virtual)
•
•
Un corte de energía
Un problema con un sistema dependiente, como una base de
datos externa
•
En un mundo perfecto, experimenta una disponibilidad del 100 por
ciento, pero si ocurre alguno de los problemas anteriores, ese porcentaje
comenzará a disminuir. Por lo tanto, es fundamental que su
infraestructura minimice el riesgo de problemas que afecten la
disponibilidad de su aplicación.
Los proveedores de la nube ofrecen un acuerdo de nivel de servicio (SLA)
que garantiza un cierto nivel de disponibilidad como porcentaje. Un SLA
generalmente garantizará un tiempo de actividad cercano al 100 por
ciento, pero solo cubre los sistemas que están controlados por el
proveedor de la nube.
Una aplicación alojada en la nube puede ser una desarrollada por su
empresa, pero también puede ser una que le proporcione el proveedor de
la nube.
Caída de la red
Todas las aplicaciones requieren cierto nivel de conectividad de red. Los
usuarios de una aplicación requieren conectividad de red a las
computadoras que ejecutan la aplicación. La aplicación requiere
conectividad de red a los sistemas de back-end necesarios, como los
servidores de bases de datos. Las aplicaciones también pueden llamar a
otras aplicaciones mediante una red. Si alguna de estas conexiones de red
falla, pueden provocar una falta de disponibilidad.
Más información Planificación para cortes de red
Una falla en la red no tiene por qué significar que su aplicación o datos no estén
disponibles. Si planifica con cuidado, a menudo puede evitar un problema de
aplicación cuando ocurre un problema de red. Cubriremos eso con más detalle
cuando analicemos la tolerancia a fallas más adelante en este capítulo.
Los proveedores de la nube invierten mucho dinero en infraestructura de
red y, al migrar a la nube, obtiene el beneficio de esa infraestructura y la
confiabilidad adicional que la acompaña. Si algo dentro de esa
infraestructura falla, el proveedor de la nube lo diagnostica y lo corrige, a
menudo incluso antes de que se dé cuenta de que hay un problema.
Fallo de la aplicación
La falla de una aplicación a menudo es el resultado de un error de
software, pero también puede ser causada por el diseño de la aplicación.
Más información Diseño de aplicaciones y la nube
No es necesario que comprenda los conceptos de diseño de aplicaciones para el
examen AZ-900, pero si está interesado en aprender más sobre el diseño de
aplicaciones y la nube, Microsoft tiene una buena referencia
en https://bit.ly/cloudappdesign .
En algunos escenarios de la nube, usted sigue siendo responsable de las
fallas de las aplicaciones, pero es probable que su proveedor de la nube le
proporcione herramientas que puede utilizar para diagnosticar estas
fallas más fácilmente. Por ejemplo, Azure ofrece un servicio llamado
Application Insights que se integra con su aplicación para brindarle
información detallada sobre el rendimiento y la confiabilidad de su
aplicación. Los desarrolladores de aplicaciones a menudo pueden usar
esta información para acceder directamente al código donde ocurre un
problema, lo que reduce drásticamente el tiempo necesario para la
resolución de problemas.
Los proveedores de la nube ofrecen otras características que pueden
reducir los problemas de disponibilidad causados por fallas en las
aplicaciones. A menudo, puede probar nuevas versiones de una aplicación
en un entorno protegido sin afectar a los usuarios reales. Cuando esté
listo para mover usuarios reales a una nueva versión, a menudo puede
mover primero una pequeña cantidad de usuarios para asegurarse de que
todo funcione correctamente. Si descubre problemas, la nube a menudo
facilita la reversión a la versión anterior.
Interrupción del sistema
Una interrupción del sistema ocurre cuando la computadora que ejecuta
un sistema en particular deja de estar disponible. En el mundo local, esa
computadora podría ser un servidor que ejecuta una base de datos u otra
parte de la aplicación. En la nube, estos sistemas se ejecutan dentro
de máquinas virtuales o VM.
Las máquinas virtuales son equipos basados en software que se ejecutan
en un equipo físico. Una sola computadora puede ejecutar múltiples VM, y
cada VM tiene su propio sistema operativo y aplicaciones aisladas. Todas
las máquinas virtuales que se ejecutan en una computadora comparten la
CPU, la memoria y el almacenamiento de la computadora host en la que se
ejecutan.
Tenga en cuenta que las máquinas virtuales no son solo para la nube
Las máquinas virtuales facilitan la adición de computadoras adicionales cuando sea
necesario y le permiten administrar mejor los recursos de la computadora, como la
CPU, el espacio en disco y la memoria. Por esa razón, las máquinas virtuales son un
lugar común en la mayoría de las empresas.
Según el servicio en la nube que elija, es posible que usted sea
responsable o no del mantenimiento de las máquinas virtuales. Sin
embargo, ya sea que usted o su proveedor de la nube los mantengan, el
proveedor de la nube supervisará constantemente el estado de las
máquinas virtuales y tendrá sistemas para recuperar una máquina virtual
en mal estado.
Corte de energía
La electricidad confiable es fundamental para la disponibilidad. Incluso
un parpadeo rápido de energía puede hacer que las computadoras se
reinicien y los sistemas se reinicien. Cuando eso sucede, su aplicación no
estará disponible hasta que se restauren todos los sistemas.
Los proveedores de la nube invierten mucho en copias de seguridad de
energía que funcionan con baterías y otros sistemas redundantes para
evitar problemas de disponibilidad causados por cortes de energía. En
una situación en la que una gran área geográfica se ve afectada por un
corte de energía, los proveedores de la nube le ofrecen la posibilidad de
ejecutar su aplicación desde otra región que no se vea afectada.
Problemas con un sistema dependiente
Su aplicación puede usar sistemas que no están en la nube o que están
alojados por un proveedor de nube diferente. Si esos sistemas fallan, es
posible que pierda disponibilidad. Al alojar su aplicación en la nube,
obtiene el beneficio de las herramientas de diagnóstico, alertas y
resolución de problemas que ofrece el proveedor de la nube.
Ahora que comprende algunas de las cosas que pueden afectar la
disponibilidad y comprende algunas ventajas generales de la nube que
ayudan a aliviar esos problemas, revisemos algunas de las formas
específicas en que la nube puede ayudarlo a garantizar una alta
disponibilidad.
Escalabilidad, elasticidad y agilidad
Los recursos informáticos no son gratuitos. Incluso si está utilizando
máquinas virtuales, los recursos subyacentes, como el espacio en disco, la
CPU y la memoria, cuestan dinero. La mejor manera de minimizar el costo
es utilizar solo los recursos necesarios para sus propósitos. El desafío es
que las necesidades de recursos pueden cambiar con frecuencia y rapidez.
Considere una situación en la que aloja una aplicación en la nube que
rastrea los datos de ventas de su empresa. Si su personal de ventas
ingresa regularmente información sobre las llamadas de ventas diarias al
final del día, es posible que necesite recursos informáticos adicionales
para manejar esa carga. Esos mismos recursos no son necesarios durante
el día cuando el personal de ventas realiza llamadas de ventas y no usa la
aplicación.
También puede alojar una aplicación web en la nube que utilicen clientes
externos. Dependiendo del patrón de uso, es posible que desee agregar
recursos informáticos adicionales enciertos días o durante ciertos
momentos. También es posible que deba adaptarse rápidamente a más
usuarios si su empresa recibe publicidad inesperada de los medios de
comunicación u otros medios.
La escala y la elasticidad le permiten lidiar fácilmente con este tipo de
escenarios. El escalado es el proceso de agregar recursos adicionales o
potencia adicional para su aplicación. Hay dos variaciones de escala: la
escala horizontal (a menudo referido como el horizontal ) y la escala
vertical (a menudo referida como la ampliación ).
Cuando escala horizontalmente, agrega máquinas virtuales adicionales
para su aplicación. Cada máquina virtual que agrega es idéntica a otras
máquinas virtuales que dan servicio a su aplicación. La ampliación
proporciona recursos adicionales para manejar cargas adicionales.
Cuando escala, pasa a una nueva VM con recursos adicionales. Por
ejemplo, puede determinar que necesita una CPU más potente y más
memoria para su aplicación. En ese caso, la ampliación le permitirá mover
su aplicación a una máquina virtual más potente.
Nota La ampliación a escala suele añadir funciones
Cuando escala, a menudo no solo agrega más potencia de CPU y memoria, sino que
también obtiene características adicionales debido a la potencia adicional. Por
ejemplo, la ampliación puede brindarle unidades de disco de estado sólido u otras
funciones que no están disponibles en niveles inferiores.
La figura 1-1 muestra un ejemplo de ampliación de una aplicación web
hospedada en Azure.
FIGURA 1-1 Ampliación de una aplicación web en Azure
La escala del mundo real va en ambos sentidos
Además de escalar y escalar hacia arriba, también puede escalar hacia adentro y hacia
abajo para disminuir el uso de recursos. En una situación del mundo real, querrá
aumentar los recursos informáticos cuando sea necesario y reducirlos cuando la
demanda disminuya.
Los proveedores de la nube facilitan el escalado de su aplicación y ofrecen
la capacidad de escalar automáticamente en función del patrón de uso de
su aplicación. Puede escalar automáticamente en función de cosas como
el uso de la CPU y el uso de la memoria, y también puede escalar en
función de otras métricas que son específicas del tipo de aplicación. El
concepto de escalado automático se denomina elasticidad .
Sugerencia para el examen
En Azure, puede escalar automáticamente configurando AutoScale. Auto-Scale es un servicio de Azure que puede escalar
automáticamente las aplicaciones que se ejecutan en muchos
servicios de Azure según los patrones de uso, la utilización de
recursos, la hora del día y mucho más.
Uno de los principales beneficios de la nube es que le permite escalar
rápidamente. Por ejemplo, si está ejecutando una aplicación web en Azure
y determina que necesita dos VM más para su aplicación, puede escalar
horizontalmente a tres VM en segundos. Azure se encarga de asignar los
recursos por usted. Todo lo que tiene que hacer es decirle a Azure cuántas
máquinas virtuales desea y ya está en funcionamiento. Este tipo de
velocidad y flexibilidad en la nube a menudo se denomina agilidad en
la nube .
Más información Más información sobre las mejores prácticas de escalado
Para obtener más información sobre el escalado en Azure, consulte la documentación
en https://docs.microsoft.com/azure/architecture/best-practices/auto-scaling .
Tolerancia a fallos y recuperación ante desastres
En un entorno de nube complejo, es probable que las cosas salgan mal de
vez en cuando. Para mantener un alto nivel de disponibilidad, los
proveedores de la nube implementan sistemas que monitorean el estado
de los recursos de la nube y toman medidas cuando se determina que un
recurso no está en buen estado, lo que garantiza que la nube sea tolerante
a fallas .
Sugerencia para el examen
No confunda la tolerancia a fallas con el escalado. El escalado le
permite reaccionar a cargas adicionales o necesidades de recursos,
pero siempre se supone que todas las máquinas virtuales que está
utilizando están en buen estado. La tolerancia a fallas ocurre sin
ninguna interacción de su parte, y está diseñada para moverlo
automáticamente de un sistema en mal estado a un sistema
saludable si algo sale mal.
Además de monitorear el estado de las VM y otros recursos, los
proveedores de la nube diseñan su infraestructura de tal manera que
garanticen la tolerancia a fallas. Por ejemplo, si tiene una aplicación que
se ejecuta en dos máquinas virtuales en Azure, Microsoft se asegura de
que esas dos máquinas virtuales se asignen dentro de la infraestructura
para que sea poco probable que se vean afectadas por fallas del sistema.
Más información Tolerancia a fallos en Azure
No es necesario que comprenda los detalles técnicos de cómo Azure implementa la
tolerancia a fallas para el examen AZ-900, pero si está interesado en obtener más
información, consulte https://msdn.microsoft.com/magazine/mt422582.aspx .
La tolerancia a fallas está diseñada para hacer frente a fallas a pequeña
escala; por ejemplo, la tolerancia a fallas puede moverlo de una VM en
mal estado a una VM en buen estado. Sin embargo, hay ocasiones en las
que pueden ocurrir fallas mucho mayores. Por ejemplo, los desastres
naturales en una región pueden afectar todos los recursos de esa región
en particular. Algo así no solo puede afectar la disponibilidad, sino que sin
un plan establecido, los desastres también pueden significar la pérdida de
datos valiosos.
Gobiernos y recuperación ante desastres en el
mundo real
Dependiendo del tipo de datos que almacene, es posible que deba contar con un plan
de recuperación ante desastres. Los proveedores de nube generalmente cumplen con
los estándares impuestos por leyes como la Ley de Portabilidad y Responsabilidad de
Seguros de Salud (HIPAA) y, a menudo, brindan herramientas de cumplimiento que
puede utilizar para garantizar el cumplimiento. Aprenderá más sobre el
cumplimiento y Azure en el Capítulo 5 , " Describir las características de identidad,
gobernanza, privacidad y cumplimiento ".
La recuperación ante desastres no solo significa tener copias de seguridad
confiables de datos importantes, sino que también significa que la
infraestructura de la nube puede replicar los recursos de su aplicación en
una región no afectada para que sus datos estén seguros y la
disponibilidad de su aplicación no se vea afectada. Los planes de
recuperación ante desastres se conocen comúnmente como planes
de Continuidad del negocio y Recuperación ante desastres (BCDR), y la
mayoría de los proveedores en la nube tienen servicios que pueden
ayudarlo a desarrollar e implementar un plan que se adapte a sus
necesidades particulares.
Beneficios económicos de la nube
Hasta ahora, solo hemos hablado del beneficio de disponibilidad de pasar
a la nube, pero también hay beneficios económicos. Consideremos tanto
el modelo local como el modelo en la nube.
Modelo local
En el modelo local, una empresa compra hardware informático físico para
utilizarlo en sus necesidades de TI. Debido a que estas computadoras son
activos físicos que están destinados a usarse durante más de un año,
generalmente se compran como gastos de capital .
Hay varios inconvenientes de este modelo. Cuando una empresa compra
hardware informático, normalmente lo mantendrá en servicio hasta que
se obtenga el retorno de esa inversión. En el entorno de rápida evolución
de las computadoras, esto puede significar que el hardware está
desactualizado mucho antes de que tenga sentido financiero
reemplazarlo. Otro gran inconveniente de este método es que no es un
enfoque ágil. Puede llevar meses solicitar y configurar nuevo hardware, y
en la era de la TI moderna, ese enfoque a menudo no tiene sentido.
Más información Inmovilizando dinero
Las empresas necesitan dinero para las operaciones diarias, y cuando tiene grandes
cantidades de dinero invertidas en gastos de capital, puede reducir drásticamente la
cantidad de dinero que puede destinar a sus operaciones diarias.
Modelo de nube
Cuando se traslada a la nube, ya no depende de su hardware informático
local. En su lugar, esencialmente alquila hardware del proveedor de la
nube. Debido a que no está comprando activos físicos, traslada sus costos
de TI de los gastos de capital a los gastos operativos o los gastos diarios de
su negocio. A diferencia de los gastos de capital, los gastos operativos se
rastrean mes a mes, por lo que es mucho más fácil ajustarlos según las
necesidades.
Otro beneficio importante del modelo de nube es la reducción de
costos. Cuando usa recursos en la nube, está usando recursos disponibles
de una gran cantidad de recursos propiedad del proveedor de la nube. El
proveedor de la nube paga por estos recursos por adelantado, pero
debido a la gran escala de recursos que adquieren, el costo para el
proveedor de la nube se reduce considerablemente. La reducción en el
costo que se logra al comprar grandes cantidades de un recurso se conoce
como el principio de economías de escala , y esos ahorros se transfieren a
los consumidores de la nube.
Los proveedores de la nube llevan estos ahorros un paso más allá al
ofrecer la capacidad de utilizar solo los recursos informáticos que
necesita en un momento determinado. Por lo general, esto se conoce
como un modelo basado en el consumo y, a menudo, se aplica a muchos
niveles en la computación en la nube. Como ya hemos comentado, puede
escalar su aplicación para usar solo la cantidad de VM que necesita, y
puede elegir qué tan poderosas son esas VM. Puede ajustar su número y
potencia según sus necesidades. Sin embargo, muchos proveedores de la
nube también ofrecen servicios que le permiten pagar solo por el tiempo
que consume los recursos de la computadora. Por ejemplo, puede tener el
código de la aplicación alojado en un proveedor de la nube y pagar solo
por el tiempo que el código se está ejecutando realmente en una máquina
virtual. Cuando nadie está usando la aplicación, no paga por ningún
recurso.
Más información Computación basada en el consumo
Para ver un ejemplo de un modelo basado en el consumo, consulte "Computación sin
servidor" en el Capítulo 3 , " Describir las soluciones principales y las herramientas
de administración en Azure ".
Como puede ver, el modelo de nube ofrece muchos beneficios económicos
sobre el modelo local, y esa es solo una de las razones por las que las
empresas se están moviendo rápidamente a la nube.
HABILIDAD 1.2: DESCRIBIR LAS DIFERENCIAS
ENTRE INFRAESTRUCTURA COMO SERVICIO
(IAAS), PLATAFORMA COMO SERVICIO (PAAS)
Y SOFTWARE COMO SERVICIO (SAAS).
Como ha aprendido, uno de los beneficios de migrar a la nube es que
transfiere parte de la responsabilidad de su infraestructura al proveedor
de la nube. Sin embargo, mudarse a la nube no es un todo o nada. Cuando
evalúa su uso de la nube, debe equilibrar su necesidad de controlar los
recursos con la conveniencia de permitir que el proveedor de la nube se
encargue de las cosas por usted.
En esta sección de habilidades, analizaremos el modelo de
responsabilidad compartida que ofrece la nube a través de tres tipos
principales de servicios en la nube: infraestructura como servicio (IaaS),
plataforma como servicio (PaaS) y software. -como servicio (SaaS) .
Esta sección cubre:
•
Modelo de responsabilidad compartida
•
Infraestructura como servicio (IaaS)
•
Plataforma como servicio (PaaS)
•
Software como servicio (SaaS)
•
Comparación de tipos de servicios
Modelo de responsabilidad compartida
Cada tipo de servicio viene con un nivel diferente de responsabilidad de
su parte, y este concepto a menudo se denomina modelo de
responsabilidad compartida . Una forma fácil de visualizar este modelo es
utilizando la pirámide de nubes que se muestra en la Figura 1-2 . La base
de la pirámide de la nube representa la mayor cantidad de control sobre
sus recursos, pero también representa la mayor cantidad de
responsabilidad de su parte. La parte superior de la pirámide representa
la menor cantidad de control, pero también representa la menor cantidad
de responsabilidad de su parte.
FIGURA 1-2 La pirámide de nubes
Decidir sobre la combinación correcta de control y responsabilidad
requiere que comprenda cada tipo de servicio y los pros y los contras
asociados con ellos.
Infraestructura como servicio (IaaS)
La infraestructura se refiere al hardware que utiliza su aplicación, y IaaS
se refiere a la infraestructura virtualizada que ofrece un proveedor de
nube. Cuando crea un recurso de IaaS, el proveedor de la nube asigna una
máquina virtual para su uso. En algunos casos, el proveedor de la nube
puede realizar la instalación básica del sistema operativo por usted. En
otras situaciones, es posible que deba instalar el sistema operativo usted
mismo. En cualquier caso, usted es responsable de instalar otros servicios
necesarios y su aplicación.
Debido a que usted controla la instalación del sistema operativo y la
instalación de otros servicios, IaaS le brinda un gran control sobre sus
recursos en la nube. Sin embargo, también significa que usted es
responsable de asegurarse de que su sistema operativo esté parcheado
con actualizaciones de seguridad, y si algo sale mal en el sistema
operativo, usted es responsable de solucionarlo.El proveedor de la nube
solo es responsable de proporcionar la máquina virtual. Sin embargo, sí
se beneficia de la infraestructura subyacente en el área de tolerancia a
fallas y recuperación ante desastres que discutimos anteriormente.
Más información Acceso remoto a máquinas virtuales IaaS
Tendrá acceso remoto a sus VM de IaaS para que pueda interactuar con ellas como si
las estuviera usando en su entorno local. Cuando pasa a los servicios PaaS y SaaS,
normalmente pierde esa capacidad porque la infraestructura la administra el
proveedor de la nube.
En la figura 1-3 , verá una máquina virtual IaaS en Azure Portal. Se ha
elegido Ubuntu Server, un sistema operativo Linux, para la VM. Una vez
que la máquina virtual esté en funcionamiento, utilizará Ubuntu Server
18.04. A menos que se instale una actualización, siempre se ejecutará esa
versión y Microsoft nunca instalará parches o actualizaciones de versión.
FIGURA 1-3 Creación de una máquina virtual IaaS en Azure
Una vez que tenga una VM IaaS ejecutándose en la nube, obtendrá acceso
a muchos servicios que ofrece el proveedor de la nube. Por ejemplo,
Microsoft ofrece Azure Security Center para garantizar la seguridad de
sus máquinas virtuales IaaS, Azure Backup para facilitar la copia de
seguridad de los datos, Azure Log Analytics para ayudarlo a solucionar
cualquier problema que pueda tener, y mucho más.
Más información Más información sobre IaaS y Azure
Para obtener más información sobre IaaS y Azure, consulte la documentación
en https://bit.ly/az900-whatisiaas .
Los servicios IaaS le permiten controlar los costos de manera efectiva
porque solo paga por ellos cuando los usa. Si detiene su máquina virtual
IaaS, se detiene la facturación del recurso. Esto hace que IaaS sea una
opción ideal si necesita que los desarrolladores tengan una plataforma
para probar una aplicación durante el lanzamiento. Los desarrolladores
pueden iniciar una VM IaaS, probar la aplicación en equipo y luego
detener la VM IaaS cuando se completen las pruebas.
Otro uso popular de IaaS es cuando necesita una o más máquinas
virtuales potentes durante un período temporal. Por ejemplo, es posible
que deba analizar una gran cantidad de datos para un proyecto. Al utilizar
máquinas virtuales IaaS para su proyecto, puede mantener los costos al
mínimo, crear recursos rápidamente cuando los necesite y obtener toda la
potencia de procesamiento que necesita.
Los servicios de IaaS se benefician del escalamiento y la elasticidad que
discutimos anteriormente. Si necesita más máquinas virtuales, puede
escalar horizontalmente para adaptarse a eso y luego escalar cuando esos
recursos ya no sean necesarios. Si necesita más potencia de CPU, más
memoria o más espacio en disco, puede escalar rápidamente para obtener
esos beneficios y luego escalar cuando ya no sean necesarios.
En pocas palabras, los servicios IaaS son una excelente opción si desea
permitir que otra persona administre la infraestructura de hardware (que
puede incluir tanto las computadoras como la red) relacionada con su
aplicación, pero desea mantener el control de lo que está instalado en el
sistema operativo. . En un entorno IaaS, el proveedor de la nube no
instalará nada en el sistema operativo por usted, por lo que siempre
conocerá el estado actual de lo que está instalado en sus máquinas
virtuales. Si esto es importante para sus necesidades particulares, IaaS
podría ser la opción correcta para usted. Además, IaaS es una excelente
opción si ocasionalmente necesita máquinas virtuales de alta gama para
necesidades específicas.
IaaS también es una excelente opción si desea que su aplicación y
configuración estén en la nube, pero desea tener la opción de no pagar
por ella cuando no la esté usando. Al detener su VM, puede evitar los
costos asociados con ella, y cuando necesite usar su aplicación
nuevamente, puede simplemente iniciar su VM y continuar justo donde lo
dejó.
Plataforma como servicio (PaaS)
En un entorno PaaS, un proveedor de nube todavía le proporciona la
infraestructura, pero también le proporciona el sistema operativo, el
software instalado en el sistema operativo para ayudarlo a conectarse a
bases de datos y sistemas de red (a menudo denominados middleware ) y
muchas características que le permiten crear y administrar aplicaciones
complejas en la nube.
PaaS se encuentra justo en el medio de la pirámide de nubes. Los servicios
PaaS le ofrecen la flexibilidad de controlar la aplicación, pero descargan la
gestión y el control de los sistemas subyacentes al proveedor de la
nube. Si está implementando su propia aplicación en la nube y desea
minimizar su inversión en administración, un servicio PaaS suele ser la
mejor opción.
Nota PaaS y VM
Un servicio PaaS también utiliza máquinas virtuales proporcionadas por el proveedor
de la nube. Sin embargo, un usuario normalmente no tiene visibilidad de esas
máquinas virtuales. En la mayoría de los casos, son administrados en su totalidad por
el proveedor de la nube.
Suponga que necesita ejecutar una aplicación web que usa el marco PHP
para conectarse a un sistema de base de datos back-end. Si eligiera IaaS
para su aplicación, debería asegurarse de instalar y configurar PHP en su
VM. Luego, necesitaría instalar y configurar el software necesario para
conectarse a su base de datos back-end. En un escenario de PaaS,
simplemente implementa su aplicación web en el proveedor de la nube y
todo lo demás se encarga por usted.
En la Figura 1-4 , tenemos una aplicación web en Azure App Service, una
de las ofertas de PaaS en Azure. Se ha creado en una máquina virtual
mantenida por Microsoft. Observe la opción de elegir Linux o Windows,
pero el sistema operativo aún lo administra Microsoft. También tenemos
la opción de habilitar Application Insights, un servicio en Azure que
proporciona una visión profunda del rendimiento de una aplicación, lo
que facilita la resolución de problemas si ocurren.
FIGURA 1-4 Creación de una aplicación web en Azure App Service
Una cosa más interesante en la Figura 1-4 es la opción de publicar su
código o una imagen de Docker. Docker es una tecnología que facilita el
empaquetado de su aplicación y los componentes que requiere en una
imagen que luego puede implementar y ejecutar en otra computadora en
otro entorno, siempre que esa computadora tenga Docker instalado. En
Azure App Service, no tiene que preocuparse por la instalación o
configuración de Docker. Se incluye automáticamente en todas las
máquinas virtuales de App Service como parte de la oferta PaaS de
Microsoft, y Microsoft lo administra y mantiene completamente.
Algunos de los otros servicios de PaaS son
•
Azure CDN
•
Azure Cosmos DB
•
Base de datos SQL de Azure
•
Base de datos de Azure para MySQL
•
Almacenamiento de Azure
•
Análisis de Azure Synapse
En una oferta de PaaS, los proveedores de nube ofrecen numerosos
marcos de aplicaciones como PHP, Node.js, ASP.NET, .NET Core, Java,
Python y más. El proveedor de la nube generalmente proporciona varias
versiones de cada marco, por lo que puede elegir una versión que sepa
que es compatible con su aplicación. El proveedor de la nube también se
asegurará de que los componentes comunes necesarios para la
conectividad de datos desde su aplicación a otros sistemas estén
instalados y configurados. Por lo general, eso significa que el código de su
aplicación funciona sin que tenga que realizar ningún tipo de
configuración compleja. De hecho, este es uno de los principales
beneficios de utilizar un servicio PaaS; A menudo, puede mover su
aplicación de un entorno local a un entorno de nube simplemente
implementándola en la nube. Este concepto a menudo se conoce
como elevación y cambio .
Debido a que el proveedor de la nube controla el sistema operativo y lo
que está instalado en la VM, puede brindarle capacidades adicionales
agregando sus propias características. Por ejemplo, suponga que desea
agregar una función de inicio de sesión a su aplicación web y desea
permitir que los usuarios inicien sesión con una cuenta de Microsoft,
Facebook o Google. Si desea agregar esta capacidad en las instalaciones o
en un entorno IaaS, necesita que algunos desarrolladores la creen por
usted, una tarea que no es fácil y que requiere conocimientos
especializados. Debe tener desarrolladores en su empresa que ya tengan
esas habilidades, o tendrá que contratarlos. Sin embargo, los proveedores
de la nube a menudo ofrecen funciones como esta en sus servicios PaaS, y
habilitarlas es tan fácil como activar un interruptor y realizar una
configuración menor específica para su aplicación.
Un servicio PaaS también se beneficia de todas las demás mejoras que
ofrece la nube; obtiene tolerancia a fallas, elasticidad, escalado fácil y
rápido, funciones de respaldo y recuperación ante desastres, y más. De
hecho, las funciones como la copia de seguridad y la restauración de datos
suelen ser más fáciles de usar y ricas en funciones en un entorno PaaS
porque el proveedor de la nube instala software personalizado en las
máquinas virtuales PaaS para agregar funcionalidad.
Como puede ver, existen beneficios reales al permitir que el proveedor de
la nube controle lo que está instalado en las máquinas virtuales que
ejecutan su aplicación, pero también puede haber inconvenientes. Por
ejemplo, el proveedor de la nube controla cuándo se aplican parches y
actualizaciones tanto al sistema operativo como aotros componentes
instalados en las VM. Por lo general, se le notificará con anticipación sobre
los cambios importantes para que pueda probar su aplicación en las
instalaciones primero y evitar cualquier tiempo de inactividad, pero
perderá la flexibilidad y el control de decidir cuándo actualizar la
máquina virtual.
Más información Más información sobre PaaS y Azure
Para obtener más información sobre las ofertas de PaaS en Azure,
consulte https://bit.ly/az900-whatispaas .
Software como servicio (SaaS)
Como ha aprendido, IaaS requiere que controle tanto el sistema operativo
como los componentes de middleware junto con su aplicación. Cuando se
cambia a PaaS, transfiere el control del sistema operativo y los
componentes de middleware al proveedor de la nube, y solo es
responsable del código de su aplicación. A medida que se mueve hacia la
cima de la pirámide de la nube y entra en el ámbito de SaaS, el proveedor
de la nube lo controla todo. En otras palabras, un servicio SaaS es un
software proporcionado por un proveedor de nube que está instalado en
una infraestructura completamente controlada por el proveedor de
alojamiento.
Los servicios SaaS le ofrecen la flexibilidad de un modelo de pago por
uso. Básicamente, alquila su software a un proveedor de servicios. Los
usuarios del software generalmente acceden al software desde un
navegador web, pero también pueden instalar aplicaciones que solo
funcionarán mientras pague por el servicio SaaS. Un gran beneficio del
software basado en la web es que funciona desde casi cualquier
dispositivo, incluidos los teléfonos inteligentes. Por eso, los servicios SaaS
permiten la conectividad y la productividad para el personal de campo
que usa dispositivos que ya poseen.
Al utilizar un servicio SaaS, no solo se beneficia del uso de software
escrito y mantenido por otra persona, sino que también puede
beneficiarse de permitir que el proveedor de la nube mantenga y
configure la aplicación. Por ejemplo, si su empresa ofrece correo
electrónico corporativo, puede optar por utilizar el servicio Microsoft 365
SaaS. Al usar el servicio Exchange Online en Microsoft 365, puede
aprovechar las soluciones de correo electrónico listas para la empresa sin
tener que contratar personal de TI ni construir una infraestructura para
respaldarlo. En cambio, Microsoft mantiene el sistema por usted. No solo
se beneficia de la flexibilidad y confiabilidad de la nube, sino que también
puede estar tranquilo sabiendo que Microsoft se asegura de que sus
servicios de Exchange estén siempre disponibles para sus usuarios.
Los servicios SaaS no son solo para empresas. De hecho, la mayoría de la
gente usa los servicios SaaS todo el tiempo sin siquiera darse cuenta. Si
usa Hotmail o Gmail u otro servicio de correo electrónico en línea, está
usando un servicio SaaS. El proveedor de la nube aloja el software de
correo electrónico en la nube, y usted inicia sesión y usa ese software con
su navegador web. No es necesario que sepa nada sobre el software. El
proveedor de la nube puede ofrecer nuevas funciones con actualizaciones
de software, y esas nuevas funciones están disponibles para usted
automáticamente sin ninguna acción de su parte. Si el proveedor de la
nube encuentra un problema con el software, puede resolverlo con un
parche sin que usted se dé cuenta de que sucedió nada.
Algunos de los servicios SaaS que Microsoft pone a disposición son
•
Microsoft 365
•
Xbox Live
•
OneDrive
•
Power Automate (anteriormente Microsoft Flow)
Más información Más información sobre SaaS y Azure
Para obtener más información sobre los servicios SaaS y Azure,
consulte https://bit.ly/az900-whatissaas .
Comparación de tipos de servicios
Ya hemos discutido algunas de las ventajas y desventajas de cada tipo de
servicio en la nube, y la pirámide de la nube proporciona una
representación visual de cómo los tipos de servicios en la nube difieren
en relación con su responsabilidad y lo que puede controlar. Para
solidificar estos conceptos, veamos una comparación de cada tipo de
servicio.
Como ha aprendido, IaaS le proporciona la mayor flexibilidad. Puede
instalar su propio software y sus propios componentes, y controla cuándo
se actualizan el software y el sistema operativo. Un beneficio adicional es
que paga por sus recursos solo cuando se utilizan, por lo que IaaS tiene la
capacidad de reducir sus gastos operativos. Aunque puede ahorrar costos
al apagar las máquinas virtuales que no está utilizando, los costos más
altos asociados con la instalación y el mantenimiento de sus máquinas
virtuales podrían compensar ese beneficio.
Los servicios PaaS le ofrecen la misma flexibilidad que los servicios IaaS
sin la necesidad de administrar la infraestructura. En un servicio PaaS,
usted es responsable solo de la aplicación que está instalada en la
nube. Esta puede ser su propia aplicación o una aplicación desarrollada
por otra persona (por ejemplo, un sistema WordPress o una solución de
comercio electrónico), pero en cualquier caso, usted es responsable de la
aplicación. Los servicios PaaS son populares para los equipos de
desarrolladores que buscan trasladar aplicaciones locales a la nube de
manera fácil y rápida y, por lo general, ofrecen muchas opciones de
implementación diferentes para hacerlo lo más fácil posible. Los servicios
PaaS también ofrecen más funciones que los servicios IaaS porque el
proveedor de la nube instala su propio software y funciones en la
plataforma. Sin embargo, cualquier aplicación que se ejecute en un
servicio PaaS
Los servicios SaaS son bastante diferentes a los servicios IaaS o PaaS
porque son completamente administrados y mantenidos por el proveedor
de la nube. No tiene la opción de instalar su propio software con un
servicio SaaS, por lo que el factor decisivo está completamente
relacionado con si el software proporcionado satisface sus
necesidades. La ventaja de un servicio SaaS es que elimina en gran
medida la carga de TI de su empresa y permite que todos en su empresa
accedan al software en varios dispositivos desde prácticamente cualquier
lugar donde haya acceso a Internet. También se beneficia de la copia de
seguridad de datos que el proveedor de la nube incluye en su
infraestructura. Sin embargo, si necesita personalizar la aplicación o tiene
algún control sobre su configuración, es posible que SaaS no sea una
buena opción para usted.
El mundo real lidiando con las complejidades de la TI moderna
Decidir sobre un tipo de servicio en la nube en particular puede ser sencillo en algunos
casos, pero también puede ser complicado según sus necesidades. Por ejemplo, es
posible que se encuentre en una industria que requiera que parte de su información se
almacene solo en las instalaciones. También puede tener algunos sistemas más
antiguos que no están listos para pasar a la nube, pero necesita sus aplicaciones en la
nube para usar esos sistemas más antiguos. En la siguiente sección de habilidades,
aprenderá más sobre cómo lidiar con tales complejidades.
HABILIDAD 1.3: DESCRIBIR LAS DIFERENCIAS
ENTRE LOS MODELOS DE NUBE PÚBLICA,
PRIVADA E HÍBRIDA
En el sentido más simple, la nube generalmente representa la
infraestructura y las aplicaciones a las que se puede acceder a través de
Internet. Los ejemplos cubiertos hasta ahora son la experiencia en la nube
más tradicional donde cualquier persona en Internet puede acceder a su
aplicación. Si bien es posible que tenga algunos medios para autenticar a
las personas que usan su aplicación para que las personas equivocadas no
tengan acceso, su aplicación aún se está ejecutando en máquinas virtuales
que están conectadas a Internet y son accesibles a través de redes
públicas.
El modelo de nube tradicional se conoce como nube pública . Además de
un modelo de nube pública, las empresas también pueden utilizar
una nube privada donde la infraestructura está dedicada a
ellos. Finalmente, un modelo de nube híbrida representa una mezcla de
modelos de nube pública y privada.
Más información Community Clouds
Es posible que vea referencias a un cuarto modelo de nube llamado nube
comunitaria. Una nube comunitaria es similar a una nube privada, pero en lugar de
que los recursos se dediquen a una sola empresa, se dedican a una comunidad de
empresas o personas que la gestionan en conjunto. Por ejemplo, los hospitales pueden
usar una nube comunitaria que esté diseñada explícitamente para manejar HIPAA y
otras regulaciones de atención médica. Las instituciones financieras también pueden
compartir una nube comunitaria que hace cumplir las regulaciones y políticas
relacionadas con los bancos y el comercio financiero.
Las nubes comunitarias no forman parte del examen AZ-900, pero es importante
comprender qué significa el término en caso de que lo encuentre mientras se prepara
para el examen.
Esta sección cubre:
•
Computación en la nube
•
La nube pública
•
La nube privada
•
La nube híbrida
Computación en la nube
Cuando comencé este capítulo, dije que la nube generalmente representa
la infraestructura y las aplicaciones que están disponibles en
Internet. Cuando la mayoría de la gente piensa en la nube, la piensa en
este contexto, pero los recursos de la nube no siempre están conectados a
la Internet pública.
Una mejor forma de pensar en la computación en la nube es pensar en
ella como muchos recursos informáticos conectados por una red, pero
incluso esa definición no describe completamente la nube. La
computación en la nube también significa sistemas escalables, ágiles,
etc. Si combina esos conceptos con los recursos informáticos distribuidos
accesibles en una red, tiene las características de la computación en la
nube.
Como puede ver, es un poco difícil definir claramente la computación en
la nube, pero una discusión sobre los diferentes modelos de nube debería
ayudarlo a comprender mejor qué es la computación en la nube.
La nube pública
El modelo de nube más común es la nube pública. En un modelo de nube
pública, utiliza una infraestructura compartida a la que se puede acceder
en una red pública. La red, el almacenamiento y las máquinas virtuales
que utiliza su aplicación los proporciona un proveedor de nube y se
comparten entre todos los consumidores de la nube pública. Microsoft
Azure, Amazon Web Services (AWS) y Google Cloud Platform son
ejemplos de nubes públicas.
Note Clouds e Internet
Muchos servicios en la nube pueden proporcionar acceso desde Internet, pero eso no
significa necesariamente que estén disponibles para cualquier persona en Internet. En
la mayoría de los casos, el acceso requiere autenticación.
Aprenderá más sobre cómo proteger los recursos de la nube en el Capítulo 4 ,
" Describir las características generales de seguridad y seguridad de la red ".
El modelo de nube pública es beneficioso porque facilita y agiliza el
cambio a la nube. Debido a que el proveedor de la nube ya tiene la
infraestructura instalada y configurada para usted, todo lo que tiene que
hacer es decidir el tipo de servicio en la nube que desea y ya está listo
para usar. También se beneficia de la capacidad de escalar de manera
rápida y eficiente porque el proveedor de la nube ya tiene recursos
aprovisionados y listos para su uso cuando sea necesario.
Como discutimos anteriormente, otra ventaja del modelo de nube pública
es que puede controlar los costos de manera más eficiente porque solo
paga por los recursos que está utilizando. Si necesita escalar
horizontalmente a más máquinas virtuales, el proveedor de la nube las
tiene disponibles y esperándolo. No es necesario que usted mismo
mantenga una reserva de recursos. En su lugar, aprovecha los recursos en
los que ha invertido el proveedor de la nube.
Entorno
importante para múltiples inquilinos
Debido a que está compartiendo recursos en una nube pública con otras personas que
usan esa nube pública, a menudo verá nubes públicas que se denominan entornos
multiusuario.
Si bien la flexibilidad y conveniencia de la nube pública es atractiva, tiene
algunas desventajas. En primer lugar, renuncia a cierto control de la
infraestructura cuando utiliza la nube pública. La cantidad de control
depende de dónde aterrice en la pirámide de la nube, pero pase lo que
pase, el proveedor de la nube controlará una parte de su infraestructura.
También puede haber problemas de seguridad al operar en la nube
pública. La red involucrada en la nube pública es la Internet pública y está
disponible para cualquier persona con una conexión a Internet. Eso
significa que deberá tener medidas de seguridad para evitar el acceso no
autorizado a su aplicación y datos. Los proveedores de la nube se dan
cuenta de esto y brindan medidas de seguridad para ayudarlo a
protegerse, pero es posible que esas medidas no cumplan con sus
requisitos de seguridad.
Otra desventaja de la nube pública es que lo bloquea en la configuración
específica definida por el proveedor de la nube. Por ejemplo, suponga que
tiene una aplicación que necesita una gran cantidad de almacenamiento
en disco, pero solo necesita un sistema de una sola CPU para
ejecutarla. Para cumplir con sus requisitos de espacio en disco, el
proveedor de la nube puede solicitarle que escale a una máquina virtual
de CPU múltiple de alta potencia, aumentando así sus costos
innecesariamente.
Más información Más información sobre nubes públicas
Para obtener más información sobre nubes públicas y Azure,
consulte https://bit.ly/az900-publiccloud .
La nube privada
El modelo de nube privada proporciona muchos de los atractivos
beneficios de la nube (cosas como facilidad de escalado y elasticidad) en
un entorno privado dedicado a una sola empresa. Una nube privada se
puede alojar en un entorno local, pero también se puede alojar en un
proveedor de alojamiento externo.
Entorno
importante de un solo inquilino
Debido a que los recursos en una nube privada están dedicados a una sola
organización, a menudo verá la nube privada referida como un entorno de un solo
inquilino .
Dos de las principales razones por las que las empresas eligen una nube
privada son la privacidad y las preocupaciones regulatorias. A diferencia
de la nube pública, las nubes privadas operan en una red privada a la que
solo puede acceder una organización. Empresas como bancos y
proveedores médicos pueden tener regulaciones vigentes que requieren
que ciertos datos sean inaccesibles desde Internet y, en esas situaciones,
una nube privada podría ser una buena opción. Otro consumidor común
de nubes privadas es la industria de los cruceros. Los cruceros operan en
áreas remotas donde el acceso a Internet no está disponible, pero aún
quieren aprovechar los beneficios de la nube para las operaciones diarias
de sistemas de barcos complejos.
Sugerencia para el examen
A menudo escuchará que una nube privada consiste en una
infraestructura que es propiedad de una empresa individual, pero
eso no siempre es cierto. Si una empresa ejecuta una nube privada
en las instalaciones, generalmente será propietaria del hardware y
la infraestructura utilizados para la nube privada, pero también es
posible alojar una nube privada en un centro de datos de
terceros. En esa situación, la infraestructura es propiedadpor el
proveedor de alojamiento, pero todavía está completamente
dedicado a la única empresa que paga por la nube privada. La
conclusión es que la diferencia entre una nube pública y una privada
es la privacidad de la infraestructura y los datos. Realmente no
importa quién sea el propietario de la infraestructura.
Hay algunas desventajas de una nube privada. Si aloja su nube privada en
las instalaciones, es probable que gaste tanto en TI como en un entorno
que no sea de nube. Tendrá que pagar por el hardware y los sistemas
virtualizados para su nube, y necesitará personal de TI que sea capaz de
administrar el software y la infraestructura de su nube.
Evitar los costos de TI es una de las principales razones por las que las
empresas eligen utilizar un proveedor de alojamiento externo para nubes
privadas, pero esa elección también tiene algunos inconvenientes. Por
ejemplo, una vez que transfiere la administración de su nube privada a un
tercero, pierde el control de consideraciones importantes como la
seguridad de sus datos. A menudo, es imposible lograr una transparencia
total cuando se trata de proveedores externos, y no siempre puede
garantizar que los datos en su red de nube privada permanezcan seguros
de la manera que necesita.
Más información Más información sobre nubes privadas
Para obtener más información sobre nubes privadas, consulte https://bit.ly/az900privatecloud .
La nube híbrida
Como era de esperar, las nubes híbridas son una mezcla de nubes
públicas y privadas. En un entorno de nube híbrida, es posible que tenga
una aplicación que se esté ejecutando dentro de la nube pública, pero que
acceda a los datos almacenados de forma segura en las
instalaciones. También puede tener un escenario en el que su aplicación y
la mayoría de sus recursos se encuentran en una nube privada, pero
desea utilizar servicios o infraestructura que se encuentran en una nube
pública. De hecho, los diversos escenarios que son adecuados para un
modelo híbrido son casi infinitos.
Los modelos de nube híbrida suelen ser la primera incursión de una
empresa en la nube. Muchas empresas tienen sistemas locales heredados
que son costosos de trasladar a la nube, pero es posible que quieran
aprovechar algunos de los beneficios de la nube. En tal escenario, una
empresa podría mover solo una parte de un sistema en particular a la
nube, dejando el sistema heredado en las instalaciones para más adelante.
No todas las empresas que adoptan un modelo de nube híbrida lo hacen
debido a los sistemas heredados. En algunas situaciones, es posible que
una empresa desee mantener un control completo sobre parte de su
infraestructura o datos. Podrían decidir construir una infraestructura
local junto con la construcción de su presencia en la nube pública.
Importante híbrido no siempre incluye local
Recuerde, una nube privada es una nube dedicada a una sola organización. No tiene
que estar ubicado en las instalaciones. También se puede alojar en un centro de datos
de terceros, por lo que un modelo de nube híbrida podría ser la combinación de un
centro de datos de terceros y una nube pública.
Cuando las empresas adoptan un modelo híbrido, a menudo requieren la
capacidad de conectar la red privada local con la red de nube pública. Los
proveedores de la nube ofrecen muchas tecnologías para hacerlo
posible. En Microsoft Azure, las redes virtuales, las conexiones híbridas y
el bus de servicio son solo algunos ejemplos de estas tecnologías.
Más información Más información sobre redes de Azure
Cubriremos más características de las redes de Azure en el Capítulo 2 , Habilidad
2.2 y en el Capítulo 4 , Habilidad 4.2 .
Si bien puede que no sea obvio de inmediato, un modelo de nube híbrida
conlleva varios desafíos. En primer lugar, los equipos de desarrollo de
aplicaciones deberán asegurarse de que los datos compartidos entre la
nube pública y privada sean compatibles. Esto puede requerir algunas
habilidades de desarrollo especializadas y una solución de problemas
compleja. Las complejidades de la red en un entorno híbrido también
pueden ser bastante desafiantes, especialmente porque la infraestructura
de red en proveedores externos puede presentar problemas que son
difíciles de solucionar. Por último, la distribución de los recursos de la
aplicación entre una nube pública y una privada puede provocar una
ralentización de la aplicación debido a la distancia geográfica entre los
sistemas que ejecutan la aplicación y los datos que utiliza la
aplicación. Todas estas situaciones deben evaluarse cuidadosamente al
decidir utilizar un modelo de nube híbrida.
Para facilitar la nube híbrida a sus clientes, Microsoft proporciona Azure
Stack. Azure Stack se vende como un paquete, que incluye software y
hardware validado para ejecutarlo. Azure Stack le permite ejecutar
servicios de Azure en las instalaciones, lo que facilita la transferencia de
aplicaciones a la nube con una cantidad mínima de trabajo. Debido a que
el hardware es parte de Azure Stack y ha sido validado por Microsoft, no
tiene la carga de intentar determinar las necesidades de hardware para
implementar Azure Stack, pero debe administrar el hardware local.
EXPERIMENTO MENTAL
Apliquemos lo que ha aprendido en este capítulo. Puede encontrar las
respuestas en la siguiente sección.
Trabaja para Contoso Medical Group (CMG) y su gerente está frustrado
con una de sus aplicaciones de uso común. El departamento de TI de CMG
tiene recursos limitados y tiene dificultades para garantizar que la
aplicación esté siempre disponible.
El equipo de desarrollo ha estado actualizando la aplicación con
frecuencia, pero debido a la falta de conocimiento en los métodos de
implementación, solo tienen la opción de copiar archivos directamente, y
esto está causando problemas con el seguimiento de los cambios que se
están realizando. Al mismo tiempo, el equipo de desarrollo no tiene datos
para mostrar si la aplicación se está ejecutando correctamente.
El problema se volvió crítico hace dos días cuando se acercaba el plazo
para actualizar los registros médicos. La aplicación experimentó un uso
mucho mayor de lo normal, y el sistema se sobrecargó rápidamente y dejó
de responder. El equipo de TI determinó que el problema erael servidor
se está quedando sin recursos, pero les tomó dos horas construir un
segundo servidor para manejar la carga.
Su gerente ha acudido a usted para pedirle una solución que aborde todos
estos problemas. Cualquiera que sea la solución que ofrezca, debe tener
en cuenta que los datos médicos de esta aplicación están cubiertos por la
HIPAA y su gerente desea que CMG conserve todo el control de los
datos. Su gerente también quiere controlar cuidadosamente los costos.
Decidió que CMG debería mover la aplicación a la nube, pero necesita
vender la idea a su gerente.
Responde las siguientes preguntas:
1.
¿Qué tipo de servicio en la nube recomendaría?
2.
¿Cómo justificaría su elección en relación con los problemas
que enfrenta el equipo de TI?
3.
¿Cómo justificaría su elección en relación con los problemas
que enfrenta el equipo de desarrollo?
4.
¿Qué otros beneficios agradarán a su gerente si se siguen sus
consejos?
5.
¿Cómo se pueden cumplir los requisitos relacionados con los
registros médicos y la necesidad de controlarlos?
RESPUESTAS DEL EXPERIMENTO MENTAL
En esta sección, discutiremos las respuestas de la sección anterior.
1.
Un servicio PaaS tiene más sentido en esta situación. Un
entorno IaaS requeriría que su departamento de TI administrara
las máquinas virtuales y eso no cumpliría con sus requisitos. Un
servicio SaaS le proporciona el software y, en este caso, debe
ejecutar la aplicación personalizada de su empresa en la nube.
2.
El departamento de TI tiene pocos recursos y tiene el desafío
de mantener la aplicación disponible. En un servicio PaaS, la
administración de las VM que ejecutan la aplicación se descarga al
proveedor de la nube. El proveedor de la nube también ofrece un
SLA para que su aplicación esté siempre disponible. El equipo de TI
también se beneficiará de la fácil ampliación que se ofrece en un
entorno de nube y, en lugar de dos horas, pueden agregar más
servidores casi al instante.
3.
En un servicio PaaS, el proveedor de la nube ofrece opciones
de implementación flexibles que facilitan la implementación de una
aplicación utilizando el método que prefiera. También
proporcionan registro para que el equipo de desarrollo pueda
realizar un seguimiento de los cambios realizados en la
aplicación. Las funciones de diagnóstico de un servicio PaaS (como
Application Insights de Azure) proporcionan datos detallados
sobre el rendimiento de una aplicación y pueden alertarle sobre
problemas de código en una aplicación.
4.
Su gerente desea reducir los costos y el cambio a la nube
debería satisfacer esa necesidad. Su departamento de TI ya ha
construido un segundo servidor, de modo que cuando se requiera
una necesidad adicional, pueda satisfacerla. Sin embargo, el mayor
uso fue temporal. Aun así, estaba relacionado con una fecha límite
para la presentación de registros, y la próxima vez que ocurra esa
fecha límite,Necesito ese segundo servidor. Al migrar a la nube, se
beneficia de una escalabilidad y elasticidad sencillas, de modo que
puede escalar horizontalmente cuando necesite el segundo
servidor para manejar la carga, y luego puede volver a escalar
fácilmente para reducir sus costos.
5.
Al adoptar un modelo de nube híbrida, puede mantener sus
datos médicos confidenciales en las instalaciones, mientras se
beneficia de la aplicación que se ejecuta en la nube.
RESUMEN DEL CAPÍTULO
En este capítulo, aprendió algunos de los conceptos generales
relacionados con la nube. Aprendió sobre las ventajas de migrar a la nube,
aprendió sobre los diferentes tipos de servicios en la nube y sobre los
diferentes modelos de nube disponibles para usted. Estos son los
conceptos clave de este capítulo.
Los proveedores de la nube ofrecen acuerdos de nivel de
servicio (SLA) que garantizan un cierto nivel de disponibilidad,
pero solo para aquellos sistemas que controlan.
•
Pasar a la nube puede ayudar a evitar el tiempo de inactividad
causado por cortes de la red, cortes del sistema y cortes de
energía. También puede ayudarlo si necesita diagnosticar
problemas con una aplicación o problemas con un sistema externo
que utiliza su aplicación.
•
Puede escalar hacia arriba (o verticalmente) cuando desee
agregar CPU adicionales o más memoria utilizando una máquina
virtual más potente.
•
Puede escalar horizontalmente (u horizontalmente) si desea
agregar más VM para manejar una carga adicional.
•
Los proveedores de la nube le brindan formas de escalar
automáticamente en función de los patrones de uso, la utilización
de recursos y las horas del día. Esto se conoce como elasticidad .
•
Los proveedores de la nube monitorean el estado de la
infraestructura. Cuando una máquina virtual no está en buen
estado, el proveedor de la nube puede moverlo automáticamente a
una máquina virtual en buen estado sin que tenga que hacer
nada. A esto se le llama tolerancia a fallas .
•
Los proveedores de la nube también operan en varios centros
de datos que se encuentran en diferentes regiones del mundo. Si
ocurre un desastre natural (o cualquier otro desastre) en una
región, puede cambiar a otra región, asumiendo que ha replicado
su entorno en varias regiones. Este tipo de planificación se
denomina planificación de Continuidad del Negocio y Recuperación
ante Desastres, y los proveedores de la nube a menudo tienen
características para facilitar la implementación de un plan. Esto a
menudo se denomina recuperación ante desastres.
•
Debido a que está utilizando la infraestructura propiedad del
proveedor de la nube, la migración a la nube reduce sus gastos de
capital , los principales gastos en los que se incurre para la
infraestructura y otras compras importantes. Los proveedores de la
nube aprovechan el principio de economías de escala comprando
grandes cantidades de infraestructura para que la utilicen los
consumidores de la nube.
•
Los gastos diarios (gastos operativos ) también se pueden
reducir en la nube porque solo paga por los recursos que está
utilizando en un momento determinado. Este modelo basado en el
consumo es un beneficio clave de la nube.
•
La pirámide de la nube describe la idea de que un mayor
control sobre sus recursos significa una mayor responsabilidad de
su parte. La disminución del control da como resultado una mayor
responsabilidad por parte del proveedor de la nube. Este concepto
se denomina modelo de responsabilidad compartida.
•
La infraestructura como servicio (IaaS) ofrece infraestructura
que se ejecuta en la nube, pero debe mantener el sistema operativo
y lo que está instalado en esa infraestructura. Los servicios IaaS le
•
ofrecen el mayor control en la nube, pero también conllevan la
mayor carga de gestión.
Platform-as-a-Service (PaaS) descarga la administración de la
infraestructura y también descarga el sistema operativo y los
componentes instalados en las VM al proveedor de la nube. Eres
responsable de tu solicitud. Los servicios PaaS también ofrecen
muchas características adicionales que facilitan la adición de
funcionalidad a una aplicación sin tener que escribir código
complejo. Los equipos de desarrollo también tienen una amplia
variedad de métodos de implementación disponibles, y el
proveedor de la nube a menudo automatiza gran parte de ese
proceso.
•
El software como servicio (SaaS) proporciona una aplicación
alojada en la nube a la que se accede con mayor frecuencia
mediante un navegador web. En un servicio SaaS, el proveedor de
la nube gestiona todo por usted. Básicamente, está alquilando el
uso del software del proveedor de la nube. Un gran beneficio de
SaaS es que hace que las aplicaciones sean fácilmente accesibles
para los empleados en el campo en cualquier dispositivo.
•
En ocasiones, el modelo de nube pública se denomina entorno
multiusuario. Varias empresas y usuarios comparten la misma
infraestructura. Las máquinas virtuales y otra infraestructura se
asignan a los usuarios cuando las necesitan y, cuando ya no las
necesitan, se devuelven al grupo para que las utilicen otros
usuarios. La red está disponible públicamente a través de Internet,
pero tiene la capacidad de implementar métodos de seguridad para
controlar el acceso a sus recursos.
•
El modelo de nube privada a veces se denomina entorno de
un solo inquilino. Toda la infraestructura es privada para un
individuo o una empresa, y la red solo está disponible dentro de la
propia nube privada. No está expuesto a Internet. En muchos casos,
la infraestructura utilizada en una nube privada es propiedad de la
empresa, pero no siempre. Es posible alojar una nube privada en
un centro de datos de terceros.
•
Un modelo de nube híbrida es una mezcla de los modelos de
nube pública y privada. Las nubes híbridas se utilizan a menudo
•
cuando una empresa necesita utilizar recursos locales en una
aplicación en la nube.
Capitulo 2
Describir los servicios centrales de
Azure
En el Capítulo 1 , “ Describir los conceptos de la nube ”, aprendió sobre
la nube y cómo puede beneficiarse del uso de los servicios en la
nube. Se mencionó Microsoft Azure, pero no con mucho detalle.
En este capítulo, nos sumergimos en los muchos servicios y soluciones
que ofrece Azure. Comprenderá los conceptos clave de la arquitectura
de Azure, que se aplican a todos los servicios de Azure. Cubrimos los
centros de datos de Azure y las formas en que Microsoft implementa la
tolerancia a fallas y la recuperación ante desastres al extender la
infraestructura de Azure por todo el mundo. También aprenderá sobre
las zonas de disponibilidad, que son la solución de Microsoft para
garantizar que sus servicios no se vean afectados cuando un centro de
datos de Azure en particular experimenta un problema.
También descubrirá cómo administrar y realizar un seguimiento de sus
recursos de Azure, y cómo puede trabajar con los recursos como grupo
mediante los grupos de recursos de Azure. Aprenderá a usar grupos de
recursos para planificar y administrar recursos de Azure y aprenderá
cómo los grupos de recursos pueden ayudarlo a categorizar sus gastos
operativos en Azure.
Para comprender realmente los grupos de recursos y cómo funciona
Azure bajo el capó, es importante comprender Azure Resource
Manager (ARM), el sistema subyacente que Azure usa para administrar
sus recursos. Aprenderá acerca de los beneficios que brinda ARM y
verá cómo ARM abre algunas posibilidades poderosas para
implementar rápida y fácilmente soluciones del mundo real en Azure.
Una vez que tenga los conocimientos básicos de Azure, profundizará en
algunos de los principales productos de carga de trabajo que ofrece
Microsoft, como máquinas virtuales de Azure, Azure App Service,
servicios que facilitan el trabajo con contenedores y redes, y
almacenamiento y bases de datos. servicios. También aprenderá sobre
Azure Marketplace y cómo permite la creación e implementación de
soluciones complejas con un trabajo mínimo de su parte, y debido al
conocimiento “bajo el capó” que tendrá anteriormente en este capítulo,
Azure Marketplace no parecerá magia negra.
Si crees que es mucho para cubrir, ¡tienes razón! Es importante que
comprenda todos estos temas para aprobar el examen AZ-900. Con el
conocimiento fundamental de la nube del Capítulo 1 , " Describir los
conceptos de la nube ", encontrará que comprender los conceptos
específicos de Azure será más fácil de lo que cree.
Habilidades cubiertas en este capítulo:
Describir los componentes arquitectónicos centrales de
Azure.
•
Describir los productos de carga de trabajo principales
disponibles en Azure
•
HABILIDAD 2.1: DESCRIBIR LOS
COMPONENTES ARQUITECTÓNICOS
CENTRALES DE AZURE
Si le pidiera a cualquier CEO que enumerara los cinco activos más
importantes de su empresa, es probable que los datos de la empresa
estuvieran cerca de la parte superior de la lista. El mundo en el que
vivimos gira en torno a los datos. Basta con mirar empresas como
Facebook y Google. Estas empresas nos ofrecen servicios que nos
gustan. A todo el mundo le gusta mirar fotos de amigos y familiares en
Facebook (mezcladas con cosas que no nos gustan tanto), y ¿quién no usa
Google para buscar cosas en Internet? Facebook y Google no ofrecen esos
servicios porque quieren ser amables con nosotros. Ofrecen esos
servicios porque es una forma de recopilar una gran cantidad de datos
sobre sus clientes, y esos datos son su activo más valioso.
Facebook y Google no están solos. La mayoría de las empresas tienen una
gran cantidad de datos que son clave para su negocio y mantenerlos
seguros es la piedra angular de las decisiones comerciales. Es por eso que
muchas empresas dudan en migrar a la nube. Tienen miedo de perder el
control de sus datos. No solo temen que otra persona pueda acceder a
datos confidenciales, sino que también les preocupa perder datos que
serían difíciles (o incluso imposibles) de volver a crear.
Microsoft es muy consciente de esos temores y Azure ha sido diseñado
desde cero para infundir confianza en esta área. Veamos algunos
componentes arquitectónicos centrales que ayudan a Microsoft a cumplir
la promesa de la nube.
Esta sección cubre:
•
Regiones de Azure
•
Zonas de disponibilidad
•
Grupos de recursos
•
Suscripciones de Azure
•
Grupos de gestión
•
Administrador de recursos de Azure (ARM)
Regiones de Azure
El término "nube" tiende a hacer que la gente piense en Azure como una
entidad nebulosa que no se puede ver claramente, pero eso sería un
error. Si bien es cierto que Azure tiene construcciones lógicas, también
tiene componentes físicos. Después de todo, al final del día, ¡estamos
hablando de computadoras!
Para proporcionar servicios de Azure a personas de todo el mundo,
Microsoft ha creado fronteras llamadas geografías . Un límite geográfico
es a menudo la frontera de un país, y hay una buena razón para ello. A
menudo, existen regulaciones para el manejo de datos que se aplican a
todo un país, y tener una geografía definida para un país permite a
Microsoft asegurarse de que existan regulaciones de manejo de
datos. Muchas empresas (especialmente las que se ocupan de datos
sensibles)también se sienten mucho más cómodos si sus datos están
contenidos dentro de los límites del país en el que operan.
Existen numerosas geografías en Azure. Por ejemplo, hay una geografía
de Estados Unidos, una geografía de Canadá, una geografía del Reino
Unido, etc. Cada geografía se divide en dos o más regiones, cada una de las
cuales está típicamente a cientos de millas de distancia. Por ejemplo,
dentro de la geografía de los Estados Unidos, hay muchas regiones,
incluida la región central de EE. UU. En Iowa, la región del este de EE. UU.
En Virginia, la región del oeste de EE. UU. En California y la región del
centro sur de EE. UU. En Texas. Microsoft también opera regiones aisladas
que están completamente dedicadas a los datos gubernamentales debido
a las regulaciones adicionales que requieren los datos gubernamentales.
Dentro de cada geografía, Microsoft ha creado otro límite lógico
llamado par regional . Cada par regional contiene dos regiones dentro de
la geografía. Cuando Microsoft tiene que realizar actualizaciones en la
plataforma Azure, realiza esas actualizaciones en una región del par
regional. Una vez que se completan esas actualizaciones, se mueven a la
siguiente región del par regional. Esto asegura que sus servicios que
operan dentro de un par regional no se vean afectados por las
actualizaciones.
Más información Pares regionales
Para beneficiarse de los pares regionales, debe asegurarse de implementar recursos de
forma redundante en cada regional dentro del par. Puede encontrar una lista de todos
los pares regionales navegando en https://bit.ly/az900-regionpairs .
Sugerencia para el examen
El hecho de que cada geografía contenga al menos dos regiones
separadas por una gran distancia física es importante. Así es como
Azure mantiene la recuperación ante desastres y es probable que
este concepto se incluya en el examen. Cubriremos más sobre esto
más adelante en este capítulo.
En cada región, Microsoft ha construido centros de datos (edificios
físicos) que contienen el hardware físico que usa Azure. Estos centros de
datos contienen edificios con clima controlado que albergan los racks de
servidores que contienen hardware informático físico. Cada región
también opera en su propia infraestructura de red y Microsoft ha
diseñado las redes para baja latencia. Por lo tanto, cualquier servicio de
Azure que tenga en una región en particular tendrá una conectividad de
red rápida y confiable entre sí.
Más información Los clientes solo ven las regiones
Cuando un cliente crea recursos de Azure, solo se ve la región. El concepto de
geografías es una implementación interna de Azure de la que los clientes realmente no
tienen visibilidad cuando usan Azure. Los clientes tampoco tienen visibilidad del
concepto de pares regionales, pero pueden ver cada región dentro de un par regional.
Cada centro de datos tiene una fuente de alimentación aislada y
generadores de energía en caso de un corte de energía. Todo el tráfico de
red que entra y sale del centro de datos pasa por el de Microsoft.Red de
fibra óptica en fibra propiedad de Microsoft o alquilada por
Microsoft. Incluso los datos que fluyen entre regiones a través de los
océanos viajan a través de los cables de fibra óptica de Microsoft que
atraviesan los océanos.
Más información Datacenter Power
A partir de 2018, todos los centros de datos de Microsoft utilizaban al menos el 50 por
ciento de energía natural que consiste en energía solar, energía eólica, etc. En 2020, la
meta es del 60 por ciento y la meta a largo plazo es utilizar energía 100 por ciento
sostenible.
Con el fin de eliminar la dependencia de proveedores de energía de terceros,
Microsoft también está invirtiendo en el desarrollo de celdas de combustible
totalmente integradas que funcionan con gas natural para generar energía. Las pilas
de combustible no solo proporcionan energía limpia, sino que también eliminan las
fluctuaciones de energía y otras desventajas de depender de la red eléctrica.
Para garantizar que los datos en Azure estén a salvo de desastres y fallas
causados por posibles problemas en una región en particular, se alienta a
los clientes a replicar los datos en varias regiones. Por ejemplo, si la
región centro-sur de EE. UU. Se ve afectada por un tornado devastador
(no está fuera de lugar en Texas), los datos que también se replican en la
región centro-norte de EE. UU. En Illinois todavía están seguros y
disponibles. Para garantizar que las aplicaciones sigan funcionando lo
más rápido posible, Microsoft garantiza un rendimiento de red de ida y
vuelta de 2 milisegundos o menos entre regiones.
Zonas de disponibilidad
El hecho de que las regiones estén físicamente separadas por cientos de
millas protege a los usuarios de Azure de la pérdida de datos y las
interrupciones de las aplicaciones causadas por desastres en una región
en particular. Sin embargo, también es importante que los datos y las
aplicaciones mantengan la disponibilidad cuando ocurre un problema en
un centro de datos en particular dentro de una región. Por esa razón,
Microsoft desarrolló zonas de disponibilidad.
Nota Disponibilidad de la zona de disponibilidad
Las zonas de disponibilidad no están disponibles en todas las regiones de Azure ni
para todos los servicios de Azure en las regiones que las admiten. Para obtener la lista
más actualizada de regiones y servicios habilitados para zonas de disponibilidad,
consulte https://bit.ly/az900-azones .
Hay al menos tres zonas de disponibilidad dentro de cada región
habilitada y, dado que cada zona de disponibilidad existe dentro de su
propio centro de datos en esa región, cada una tiene un suministro de
agua, un sistema de refrigeración, una red y una fuente de alimentación
que está aislada de otras zonas. Al implementar un servicio de Azure en
dos o más zonas de disponibilidad, puede lograr una alta disponibilidad
en una situación en la que hay un problema en una zona.
Sugerencia para el examen
Las zonas de disponibilidad brindan alta disponibilidad y tolerancia
a fallas, pero es posible que no lo ayuden con la recuperación ante
desastres. Si hay un desastre localizado, como un incendio en la
vivienda de un centro de datosuna zona, se beneficiará de las zonas
de disponibilidad. Debido a que las zonas de disponibilidad están
ubicadas en la misma región de Azure, si se produce un desastre
natural a gran escala, como un tornado, es posible que no esté
protegido. En otras palabras, las zonas de disponibilidad son solo
una faceta de una recuperación general ante desastres y un diseño
tolerante a fallas.
Dado que las zonas de disponibilidad están diseñadas para ofrecer una
disponibilidad mejorada para la infraestructura, no todos los servicios
admiten zonas de disponibilidad. Por ejemplo, Azure tiene un servicio
llamado App Service Certificates que le permite comprar y administrar un
certificado SSL a través de Azure. No tendría ningún sentido alojar un
certificado en App Service Certificates dentro de una zona de
disponibilidad porque no es un componente de infraestructura.
Actualmente, las zonas de disponibilidad son compatibles con los
siguientes servicios de Azure.
•
Máquinas virtuales de Windows
•
Máquinas virtuales Linux
•
Conjuntos de escalas de máquinas virtuales
•
Servicio Azure Kubernetes
•
Discos administrados
•
Almacenamiento con redundancia de zona
•
Balanceador de carga estándar
•
Dirección IP estándar
•
Puerta de enlace VPN
•
Puerta de enlace ExpressRoute
•
Application Gateway V2
•
Cortafuegos de Azure
•
Explorador de datos de Azure
•
Base de datos SQL de Azure
•
Azure Cache para Redis
•
Azure Cosmos DB
•
Centros de eventos
•
Service Bus (nivel Premium)
•
Cuadrícula de eventos
•
Servicios de dominio de Azure AD
•
ILB de entornos de servicio de aplicaciones
Nota Manténgase al día con los cambios en Azure
Puede mantenerse al día con todas las noticias relacionadas con las actualizaciones de
Azure en el blog de Azure en https://azure.com/blog .
Al implementar su servicio en dos o más zonas de disponibilidad,
garantiza la máxima disponibilidad para ese recurso. De hecho, Microsoft
garantiza un SLA del 99,99 por ciento de tiempo de actividad para las
máquinas virtuales de Azure solo si se implementan dos o más máquinas
virtuales en dos o más zonas. La Figura 2-1 ilustra el beneficio de correr
en múltiples zonas. Como puede ver, aunque la zona de disponibilidad 3
se ha desconectado por algún motivo, las zonas 1 y 2 siguen operativas.
FIGURA 2-1 Máquina virtual de Azure dentro de tres zonas de
disponibilidad
Tenga en cuenta el estado de Azure
Microsoft opera un sitio web que muestra el estado de todos los servicios de Azure. Si
observa un problema con sus recursos, puede consultar la página de estado de Azure
en https://status.azure.com .
Sugerencia para el examen
No confunda las zonas de disponibilidad con los conjuntos de
disponibilidad. Los conjuntos de disponibilidad le permiten crear
dos o más máquinas virtuales en diferentes racks de servidores
físicos en un centro de datos de Azure. Microsoft garantiza un SLA
del 99,95 por ciento con un conjunto de disponibilidad.
Una zona de disponibilidad le permite implementar dos o más
servicios de Azure en dos centros de datos distintos dentro de una
región. Microsoft garantiza un SLA del 99,99 por ciento con zonas de
disponibilidad.
Hay dos categorías de servicios que admiten zonas de
disponibilidad: servicios zonales y servicios redundantes de zona . Los
servicios zonales son servicios como máquinas virtuales, discos
administrados que se usan en una máquina virtual y direcciones IP
públicas que se usan en máquinas virtuales. Para lograr una alta
disponibilidad, debe implementar explícitamente servicios zonales en dos
o más zonas.
Nota Discos administrados y direcciones IP públicas
Cuando crea una máquina virtual en Azure y la implementa en una zona de
disponibilidad, Azure implementará automáticamente los discos administrados y la
dirección IP pública (si hay alguna configurada) en la misma zona de disponibilidad.
Los servicios con redundancia de zona son servicios como el
almacenamiento con redundancia de zona y las bases de datos SQL. Para
usar zonas de disponibilidad con estos servicios, especifique la opción
para convertirlas en zonas redundantes cuando las cree. (Para el
almacenamiento, la función se denomina ZRS o almacenamiento con
redundancia de zona. Para SQL Database, existe una opción para hacer
que la zona de la base de datos sea redundante). Azure se encarga del
resto replicando los datos automáticamente en varias zonas de
disponibilidad.
Grupos de recursos
Ahora debería darse cuenta de que moverse a la nube podría no ser tan
simple como parecía al principio. Crear un solo recurso en Azure es
bastante simple, pero cuando se trata de aplicaciones de nivel
empresarial, normalmente se trata de una compleja gama de servicios. No
solo eso, sino que podría estar tratando con varias aplicaciones que usan
varios servicios y pueden estar distribuidas en varias regiones de
Azure. Ciertamente, las cosas pueden volverse caóticas rápidamente.
Afortunadamente, Azure proporciona una característica que le ayuda a
lidiar con este tipo de problema: el grupo de recursos. Un grupo de
recursos es un contenedor lógico para los servicios de Azure. Al crear
todos los servicios de Azure asociados con una aplicación en particular en
un solo grupo de recursos, puede implementar y administrar todos esos
servicios como una sola entidad.
La organización de los recursos de Azure en un grupo de recursos tiene
muchas ventajas. Puede configurar implementaciones fácilmente
utilizando una función conocida como plantilla
ARM. Las implementaciones de plantillas ARM suelen ser para un solo
grupo de recursos. Puede implementar en varios grupos de recursos, pero
hacerlo requiere que configure una cadena complicada de plantillas ARM.
Más información Más sobre plantillas ARM
Aprenderá más sobre las plantillas ARM más adelante en este capítulo cuando
analicemos Azure Resource Manager.
Otra ventaja de los grupos de recursos es que puede nombrar un grupo de
recursos con un nombre fácilmente reconocible para que pueda ver todos
los recursos de Azure utilizados en una aplicación en particular de un
vistazo. Es posible que esto no parezca tan importante hasta que
comience a implementar los recursos de Azure y se dé cuenta de que tiene
muchos más recursos de los que pensaba al principio. Por ejemplo,
cuando crea una máquina virtual de Azure, Azure crea no solo una
máquina virtual, sino que también crea un recurso de disco, una interfaz
de red, un recurso de IP pública y un grupo de seguridad de red. Si está
analizando todos sus recursos de Azure, puede resultar difícil diferenciar
qué recursos van con qué aplicación. Los grupos de recursos resuelven
ese problema.
En la figura 2-2 , puede ver muchos servicios de Azure. Algunos de estos
fueron creados automáticamente por Azure para admitir otros servicios y,
en muchos casos, Azure le da al recurso un nombre irreconocible.
FIGURA 2-2 Todos mis recursos de Azure
En la Figura 2-3 , puede ver los recursos que están en el grupo de recursos
de WebStorefront . Estos son los recursos de Azure que se utilizan en la
tienda de comercio electrónico.
FIGURA 2-3 Un grupo de recursos de Azure
Es conveniente ver todos los recursos asociados con una aplicación en
particular, pero no está atrapado en ese paradigma. Este es un ejemplo
útil, porque es un uso común de grupos de recursos; sin embargo, puede
organizar sus grupos de recursos de la forma que desee. Observe en
la Figura 2-3 que ve recursos en varias regiones de Azure diferentes (las
regiones están en la columna Ubicación). Si tiene acceso a varias
suscripciones de Azure, también puede tener recursos de varias
suscripciones en un solo grupo de recursos.
Si observa el lado izquierdo de la Figura 2-3 , verá un menú de
operaciones que puede realizar en su grupo de recursos. No entraremos
en todos estos porque está fuera del alcance del examen AZ-900, pero hay
algunos que aclaran el beneficio de los grupos de recursos.
Si hace clic en Costos de recursos, puede ver el costo de todos los recursos
en este grupo de recursos. Tener esa información al alcance de la mano es
especialmente útil en situaciones en las que desea asegurarse de que a
ciertos departamentos de su empresa se les cobre correctamente por los
recursos utilizados. De hecho, algunas empresas crearán grupos de
recursos para cada departamento en lugar de crear grupos de recursos en
el ámbito de las aplicaciones. Tener un grupo de recursos de ventas y
marketing o un grupo de recursos de soporte de TI, por ejemplo, puede
ayudarlo enormemente a la hora de informar y controlar los costos.
Sugerencia para el examen
Un recurso de Azure solo puede existir en un grupo de recursos. En
otras palabras, no puede tener una máquina virtual en un grupo de
recursos llamado WebStorefront y también en un grupo de recursos
llamado SalesMarketing , porque debe estar en un grupo u
otro. Puede mover recursos de Azure de un grupo de recursos a otro.
Más información Traslado de recursos de Azure
Mover recursos de Azure entre grupos de recursos o suscripciones no está exento de
riesgos. Microsoft ha documentado algunas cosas que puede hacer para evitar
problemas al mover recursos. Puede leer esa guía navegando a https://bit.ly/az900movingresources .
También puede hacer clic en Automation Script y Azure generará una
plantilla ARM que puede usar para implementar todos estos recursos de
Azure. Esto es útil en una situación en la que desee implementar estos
recursos más adelante o cuando desee implementarlos en otra
suscripción de Azure.
Cuando elimina un grupo de recursos, todos los recursos de ese grupo de
recursos se eliminan automáticamente. Esto facilita la eliminación de
varios recursos de Azure en un solo paso. Suponga que está probando un
escenario y necesita crear un par de máquinas virtuales, una base de
datos, una aplicación web y más. Al colocar todos estos recursos en un
grupo de recursos, puede eliminar fácilmente ese grupo de recursos
después de la prueba y Azure eliminará automáticamente todos los
recursos que contiene. Esta es una excelente manera de evitar costos
inesperados asociados con los recursos que ya no usa.
Suscripciones de Azure
Obtiene una suscripción de Azure automáticamente cuando se registra en
Azure y todos los recursos que crea se crean dentro de esa
suscripción. Sin embargo, puede crear suscripciones adicionales queestán
vinculados a su cuenta de Azure. Las suscripciones adicionales son útiles
en los casos en los que desea tener algunas agrupaciones lógicas para los
recursos de Azure o si desea poder informar sobre los recursos utilizados
por grupos específicos de personas.
Cada suscripción de Azure tiene límites (a veces denominados cuotas)
asignados. Por ejemplo, puede tener hasta 250 cuentas de Azure Storage
por región en una suscripción, hasta 25,000 máquinas virtuales por
región y hasta 980 grupos de recursos por suscripción en todas las
regiones.
Más información Límites de suscripción
Puede encontrar detalles sobre todos los límites para las suscripciones
en https://bit.ly/az900-sublimits .
Sugerencia para el examen
El soporte de Microsoft puede aumentar los límites en algunos
escenarios si tiene una buena justificación comercial. Sin embargo,
algunos límites no se pueden aumentar.
La figura 2-4 muestra una suscripción de Azure en Azure Portal.
FIGURA 2-4 Suscripción de Azure en Azure Portal
En la hoja Descripción general, puede ver un desglose de costos para cada
uno de los recursos. También puede ver la tasa de gasto de la suscripción,
junto con un costo previsto para el final del mes actual. Si hace clic en el
mosaico Costos por recurso, puede ver un desglose adicional de los gastos
de Azure, como se muestra en la Figura 2-5 . En esta vista, verá los costos
por nombre de servicio, ubicación (región de Azure) y grupo de recursos,
junto con un gráfico de los costos del mes.
FIGURA 2-5 Análisis del costo de la suscripción de Azure
Más información Creación de presupuestos
Puede administrar sus costos en Azure creando presupuestos. Aprenderá más sobre
eso en el Capítulo 6 , " Describir los precios, los SLA y los ciclos de vida de Azure ".
Las facturas de Azure también están disponibles para la suscripción
desde el portal de Azure. Puede ver todas las facturas pasadas haciendo
clic en Facturas en el menú de la suscripción, como se muestra en
la Figura 2-6 .
FIGURA 2-6 Facturas de Azure
Puede crear suscripciones de Azure adicionales en su cuenta de
Azure. Esto es útil en los casos en los que desea separar los costos o si se
está acercando al límite de suscripción de un recurso. Para crear una
nueva suscripción de Azure, escriba suscripción en el cuadro de
búsqueda y haga clic en Suscripciones como se muestra en la Figura 2-7 .
FIGURA 2-7 Suscripciones de Azure
Para crear una nueva suscripción, haga clic en Agregar en la hoja
Suscripciones, como se muestra en la Figura 2-8 .
FIGURA 2-8 Creación de una nueva suscripción
Después de hacer clic en Agregar, debe elegir qué tipo de suscripción
desea crear. Hay varios tipos de suscripciones de Azure.
Prueba gratuita Proporciona acceso gratuito a los recursos de
Azure durante un tiempo limitado. Solo hay una suscripción de
prueba gratuita disponible por cuenta, y no puede crear una nueva
prueba gratuita si ha expirado una anterior.
•
Pago por uso Paga solo por los recursos que usa en
Azure. No hay ningún costo inicial y puede cancelar la suscripción
en cualquier momento.
•
Desarrollo / prueba de pago por uso Una suscripción
especial para suscriptores de Visual Studio que se puede utilizar
para desarrollo y pruebas. Esta suscripción ofrece tarifas con
descuento en máquinas virtuales, pero no puede usarla para
aplicaciones de producción.
•
Nota Tipos de suscripción de Azure
Según el tipo de cuenta de Azure que tenga, es posible que tenga opciones de
suscripción adicionales.
Sugerencia para el examen
Cada suscripción está asociada con un identificador único
llamado ID de suscripción . Puede asignar un nombre descriptivo a
cada suscripción para ayudarlo a identificarla, pero Azure siempre
usará el identificador de suscripción para identificar su
suscripción. Cuando hable con Microsoft sobre su cuenta de Azure, a
menudo también le pedirán su ID de suscripción.
Ahora comprende las suscripciones de Azure y cómo puede crear
suscripciones adicionales si es necesario. Una vez que haya creado
suscripciones y recursos adicionales en esas suscripciones, es posible que
la administración de todos sus recursos se vuelva más engorrosa. Para
ayudar con eso, Microsoft ha desarrollado una función llamada grupos de
administración.
Grupos de gestión
Los grupos de administración son una forma conveniente de aplicar
políticas y control de acceso a sus recursos de Azure. Al igual que un
grupo de recursos, un grupo de administración es un contenedor para
organizar sus recursos. Sin embargo, los grupos de administración solo
pueden contener suscripciones de Azure u otros grupos de
administración.
Nota Azure Identity and Governance
En este punto, no se espera que comprenda conceptos como políticas y control de
acceso. Estos conceptos se presentan en el Capítulo 5 , " Describir las características
de identidad, gobernanza, privacidad y cumplimiento ".
En la Figura 2-9 , se han creado tres grupos de administración para una
empresa. El grupo de gestión del departamento de ventas contiene
suscripciones para el departamento de ventas. El grupo de administración
del departamento de TI contiene una suscripción y otro grupo de
administración, y doslas suscripciones adicionales están dentro de ese
grupo de administración. El grupo de gestión del Departamento de
formación contiene dos suscripciones para el departamento de formación.
FIGURA 2-9 Grupos de administración que organizan suscripciones y
otros grupos de administración
Al organizar las suscripciones mediante grupos de administración, puede
tener un control más preciso sobre quién tiene acceso a qué
recursos. También puede controlar la configuración de los recursos
creados dentro de esas suscripciones.
Después de crear un grupo de administración, puede mover cualquiera de
sus suscripciones a ese grupo de administración. También puede mover
un grupo de administración a otro grupo de administración. Sin embargo,
existen algunas limitaciones:
•
Está limitado a un total de 10,000 grupos de administración.
Una jerarquía de grupo de administración solo puede admitir
hasta seis niveles.
•
No puede tener varios padres para un solo grupo de
administración o suscripción.
•
Administrador de recursos de Azure (ARM)
Casi todos los sistemas que se trasladan a la nube constan de más de un
servicio de Azure. Por ejemplo, puede tener una máquina virtual de Azure
para una parte de su aplicación; sus datos pueden estar en una base de
datos SQL de Azure; es posible que tenga algunos datos confidenciales
almacenados en Azure Key Vault; y es posible que tenga una parte basada
en web de su aplicación hospedada en Azure App Service.
Si debe administrar todos estos diferentes servicios de Azure por
separado, puede ser un gran dolor de cabeza, y si tiene varias aplicaciones
en la nube, puede ser incluso peor. No solo sería confuso realizar un
seguimiento de qué servicios están relacionados con qué aplicaciones,
sino que cuando agrega la complejidad de implementar actualizaciones en
su aplicación, las cosas realmente pueden volverse desorganizadas.
Para facilitar la implementación y administración de los servicios de
Azure, Microsoft desarrolló Azure Resource Manager, o ARM. ARM es un
servicio que se ejecuta en Azure y es responsable de toda la interacción
con los servicios de Azure. Cuando crea un nuevo servicio de Azure, ARM
lo autentica para asegurarse de que tiene el acceso correcto para crear
ese recurso y luego habla con un proveedor de recursos para el servicio
que está creando. Por ejemplo, si está creando una nueva aplicación web
en Azure App Service, ARM pasará su solicitud al proveedor de
recursos Microsoft.Web porque conoce todo sobre las aplicaciones web y
cómo crearlas.
Sugerencia para el examen
Hay proveedores de recursos para cada servicio de Azure, pero es
posible que los nombres no siempre tengan sentido. Por ejemplo,
el proveedor de recursos de Microsoft.Compute es responsable de
crear los recursos de la máquina virtual.
No es necesario que conozca los detalles sobre los proveedores de
recursos para el examen AZ-900, pero debe comprender el concepto
general porque se espera que conozca Azure Resource Manager.
En el Capítulo 3 , aprenderá a usar Azure Portal para crear y administrar
servicios de Azure. También aprenderá cómo puede usar herramientas de
línea de comandos para hacer lo mismo. Tanto el portal como las
herramientas de línea de comandos funcionan mediante ARM e
interactúan con ARM mediante la interfaz de programación de
aplicaciones ARM, o API. La API de ARM es la misma ya sea que esté
utilizando el portal o las herramientas de línea de comandos, y eso
significa que obtiene un resultado consistente. También significa que
puede crear un recurso de Azure con el portal y luego realizar cambios en
él mediante herramientas de línea de comandos, lo que le brinda la
flexibilidad que los consumidores de la nube necesitan.
Más información Visual Studio y ARM
Visual Studio, el entorno de desarrollo de Microsoft para escribir aplicaciones,
también puede crear recursos de Azure e implementar código en ellos. Lo hace
usando la misma API ARM que mencionamos anteriormente. De hecho, puede pensar
en la API de ARM como su interfaz en el mundo de Azure. Realmente no puede crear
o administrar ningún servicio de Azure sin pasar por la API de ARM.
El flujo de una solicitud ARM típica para crear o administrar un recurso es
sencillo. Herramientas como Azure Portal, herramientas de línea de
comandos o Visual Studio realizan una solicitud a la API de ARM. La API
pasa esa solicitud a ARM, donde el usuario está autenticado y autorizado
para realizar la acción. ARM luego pasa la solicitud a un proveedor de
recursos y el proveedor de recursos crea el nuevo recurso o modifica un
recurso existente. La figura 2-10 ilustra este flujo y presenta una pequeña
muestra de los muchos servicios de Azure que están disponibles.
FIGURA 2-10 Administrador de recursos de Azure
La solicitud que se realiza a ARM no es una solicitud complicada basada
en código. En cambio, ARM usa una sintaxis declarativa . Eso significa que,
como consumidor de Azure, le dice a ARM lo que quiere hacer y ARM lo
hace por usted. No tiene que decirle a ARM cómo hacer lo que
quiere. Simplemente tienes que decirle lo que quieres. Para hacer eso,
ARM usa archivos que están codificados en JavaScript Object Notation (o
JSON) llamados plantillas ARM .
Plantillas de
nota ARM
No necesita saber cómo usar las plantillas ARM para el examen AZ-900, pero para
comprender cómo funciona ARM, realmente necesita al menos saber un poco sobre
ellas.
En el sentido más básico, una plantilla ARM contiene una lista de recursos
que desea crear o modificar. Cada recurso va acompañado de propiedades
como el nombre del recurso y las propiedades que son específicas de ese
recurso. Por ejemplo, si estuviera utilizando una plantilla ARM para
implementar una aplicación web en App Service, su plantilla ARM
especificaría la región en la que desea que se cree su aplicación, el
nombre de la aplicación, el plan de precios de su aplicación, cualquier
dominio nombres que desea que utilice su aplicación, etc. No es necesario
que sepa cómo configurar todas esas propiedades. Simplemente dile a
ARM que lo haga (declaras tu intención de ARM) y ARM se encarga de ello
por ti.
Más información Más sobre plantillas ARM
Las plantillas ARM son increíblemente poderosas, pero también bastante simples. Si
desea leer más sobre cómo usar las plantillas ARM, consulte la documentación
en https://bit.ly/az900-armtemplates .
Hay un aspecto más importante para la implementación de plantillas
ARM. Cuando implementa varios recursos (que, como se señaló, es un
escenario típico del mundo real), a menudo tiene dependencias de
servicio. En otras palabras, está implementando uno o más servicios que
dependen de otros servicios que ya se están creando.
Por ejemplo, piense en una situación en la que está implementando un
certificado para usarlo con una aplicación web. Una de las propiedades
que debe configurar en la aplicación web es el certificado que desea usar,
pero si ese certificado aún no se ha implementado, su implementación
fallará. ARM le permite especificar dependencias para que pueda evitar
problemas como este. Simplemente dígale a ARM que la aplicación web
depende del certificado y ARM se asegurará de que la implementación del
certificado se complete antes de implementar la aplicación web.
Como puede ver, ARM tiene muchos beneficios, y debe tenerlos en cuenta
para su examen:
ARM le permite implementar fácilmente varios recursos de
Azure a la vez.
•
ARM hace posible reproducir cualquier implementación con
resultados consistentes en cualquier momento en el futuro.
•
ARM le permite crear plantillas declarativas para la
implementación en lugar de requerir que escriba y mantenga
complejos scripts de implementación.
•
ARM hace posible configurar dependencias para que sus
recursos se implementen en el orden correcto cada vez.
•
A lo largo de esta sección de habilidades, ha aprendido sobre algunos de
los beneficios de usar Azure. Debido a que las regiones de Azure están
repartidas por todo el mundo en diferentes geografías, puede estar
seguro de que sus datos y aplicaciones se alojan donde los necesita y que
se cumplen todas las regulaciones o requisitos de datos. Aprendió que hay
varios centros de datos en cada región y, al implementar sus aplicaciones
en zonas de disponibilidad, puede evitar los efectos de una falla en un
centro de datos en particular.
También aprendió sobre el uso de grupos de recursos para organizar sus
recursos de Azure y cómo usar las suscripciones de Azure. Finalmente,
aprendió sobre los grupos de administración y Azure Resource Manager,
o ARM. En la siguiente sección de habilidades, aprenderá detalles sobre
algunos de los productos de carga de trabajo principales en Azure.
HABILIDAD 2.2: DESCRIBIR LOS PRODUCTOS
DE CARGA DE TRABAJO PRINCIPALES
DISPONIBLES EN AZURE
Al repasar los componentes arquitectónicos centrales de Azure, notó
algunas referencias a algunos de los productos disponibles en Azure. En
esta sección de habilidades, hablaremos sobre algunos de los productos
de carga de trabajo principales disponibles en Azure.
Esta sección cubre:
•
Máquinas virtuales de Azure
•
Servicio de aplicaciones de Azure
•
Instancias de contenedor de Azure (ACI)
•
Servicio de Azure Kubernetes (AKS)
•
Escritorio virtual de Windows
•
Redes virtuales
•
ExpressRoute
•
Almacenamiento de contenedores (blob)
•
Almacenamiento de disco
•
Archivos de Azure
•
Niveles de almacenamiento
•
Cosmos DB
•
Base de datos SQL de Azure
•
Base de datos de Azure para MySQL
•
Base de datos de Azure para PostgreSQL
•
Azure Marketplace y sus escenarios de uso
Máquinas virtuales de Azure
Una máquina virtual (VM) es una computadora basada en software que se
ejecuta en una computadora física. La computadora física se considera
el host y proporciona los componentes físicos subyacentes, como el
espacio en disco, la memoria, la potencia de la CPU, etc. La computadora
host ejecuta un software llamado hipervisor que puede crear y
administrar una o más VM, y esas VM se conocen comúnmente
como invitados .
El sistema operativo de un invitado no tiene que ser el mismo sistema
operativo que ejecuta el host. Si su host ejecuta Windows 10, puede
ejecutar un invitado que use Windows Server 2016, Linux o muchos otros
sistemas operativos. Esta flexibilidad hace que las máquinas virtuales
sean extremadamente populares. Sin embargo, debido a que las máquinas
virtuales que se ejecutan en un host utilizan los sistemas físicos de ese
host, si necesita una máquina virtual potente, necesitará una
computadora física potente para alojarla.
Mediante el uso de máquinas virtuales de Azure, puede aprovechar los
potentes equipos host que Microsoft pone a disposición cuando necesite
potencia informática y cuando ya no necesite esa potencia, ya no tendrá
que pagar por ella.
Nota con Azure
En los siguientes pasos, creará una máquina virtual de Azure. Esto requiere que tenga
una suscripción a Azure. Si no tiene una suscripción de Azure, puede crear una
en https://azure.microsoft.com/en-us/free/ .
Para crear una máquina virtual de Azure, inicie sesión en Azure Portal con
su cuenta de Azure y luego siga estos pasos, como se muestra en
las Figuras 2-11 a 2-13 .
FIGURA 2-11 Creación de una máquina virtual
FIGURA 2-12 Configuración de la máquina virtual
FIGURA 2-13 Configuración de la máquina virtual
1.
Haga clic en Crear un recurso.
2.
Haga clic en Compute.
3.
Haga clic en el enlace Ver todo.
4.
Haga clic en Ubuntu Server.
5.
Haga clic en el botón Crear.
6.
Junto a Grupo de recursos, haga clic en Crear nuevo para
crear un nuevo grupo de recursos.
7.
Ingrese TestRG como el nombre del grupo de recursos y haga
clic en Aceptar.
8.
Ingrese TestVM como su nombre de VM.
9.
Desplácese hacia abajo y seleccione Contraseña para el tipo
de autenticación.
10. Ingrese un nombre de usuario para su cuenta de
administrador.
11. Ingrese una contraseña que le gustaría usar para su cuenta de
administrador.
12.
Confirme la contraseña.
13. Deje todas las demás configuraciones como están y haga clic
en el botón Siguiente tres veces para pasar a la pantalla
Administración.
14.
En la sección Supervisión, establezca Boot Diagnostics en Off.
15.
Haga clic en Revisar + Crear para crear su máquina virtual.
Después de hacer clic en Revisar + Crear, Azure validará su configuración
para asegurarse de que no haya omitido nada. Una vez que su validación
haya pasado, verá un botón Crear. Haga clic en el botón Crear para iniciar
la implementación de su nueva máquina virtual.
Más información sobre cómo Azure implementa su máquina virtual
Cuando hace clic en Crear para crear su máquina virtual, Azure Portal está usando
una plantilla ARM para implementar su máquina virtual. Esa plantilla ARM contiene
parámetros que se reemplazan con la información que ingresó para su VM. Cada
máquina virtual que se crea en Azure se crea mediante una plantilla ARM. Esto
asegura que las implementaciones sean consistentes.
FIGURA 2-14 Configuración de administración de la máquina virtual
A medida que se implementa su máquina virtual, verá el estado que se
muestra en el portal de Azure, como se muestra en la figura 2-15 . Puede
ver los recursos de Azure que se crean para admitir su máquina
virtual. Puede ver el nombre del recurso, el tipo de recurso (que comienza
con el proveedor de recursos) y el estado de cada recurso.
FIGURA 2-15 Implementación de máquina virtual
Una vez que se crean todos los recursos necesarios para su VM, su VM se
considerará completamente implementada. Luego, podrá hacer clic en el
botón Ir a recurso para ver la interfaz de administración de su máquina
virtual en Azure Portal, como se muestra en la Figura 2-16 .
FIGURA 2-16 Visualización de una máquina virtual
Nuestra nueva máquina virtual es un invitado en una computadora física
en un centro de datos de Azure. En ese centro de datos hay un bastidor
físico de servidores informáticos, y nuestra VM está alojada en uno de
esos servidores. Microsoft administra el equipo host, pero usted
administra la máquina virtual porque se trata de una oferta de IaaS en
Azure.
Nota VM y facturación
Se le cobrará por las máquinas virtuales de Azure siempre que se estén ejecutando, y
el uso de la configuración predeterminada como lo hemos hecho aquí generó algunas
opciones costosas. Para detener la facturación de esta VM, haga clic en el botón
Detener en la parte superior de la pantalla que se muestra en la Figura 2-15 . Azure
guardará el estado actual de la máquina virtual y se detendrá la facturación. No
podrá usar la VM mientras esté detenida, pero también evitará la facturación de esa
VM. Tenga en cuenta que, a menos que haya configurado una dirección IP estática
para su VM, es probable que su dirección IP cambie la próxima vez que la inicie.
También puede detener una máquina virtual desde el sistema operativo invitado en la
máquina virtual, pero cuando lo haga, se le seguirán cobrando los recursos que usa la
máquina virtual porque todavía le están asignados. Eso significa que aún incurrirá en
cargos por discos administrados y otros recursos. Una vez que termine este capítulo,
eliminar el grupo de recursos de TestRG garantizará que no se le cobre por la
máquina virtual.
En este momento, esta máquina virtual es susceptible de tiempo de
inactividad debido a tres tipos de eventos: mantenimiento
planificado , mantenimiento no planificado y tiempo de inactividad
inesperado .
El mantenimiento planificado se refiere a las actualizaciones planificadas
que Microsoft realiza en la computadora host. Esto incluye cosas como
actualizaciones del sistema operativo, actualizaciones de controladores,
etc. En muchos casos, las actualizaciones no afectarán su VM, pero si
Microsoft instala una actualización que requiere reiniciar la computadora
host, su VM estará inactiva durante ese reinicio.
Azure tiene sistemas subyacentes que monitorean constantemente el
estado de los componentes de la computadora. Si uno de estos sistemas
subyacentes detecta que un componente del equipo host podría fallar
pronto, Azure marcará el equipo para un mantenimiento no
planificado. En un evento de mantenimiento no planificado, Azure
intentará mover su máquina virtual a un equipo host en buen
estado. Cuando hace esto, conserva el estado de la máquina virtual,
incluido el contenido de la memoria y los archivos abiertos. Azure solo
tarda un poco en mover la máquina virtual, tiempo durante el cual está en
un estado de pausa. En el caso de que falle la operación de movimiento, la
máquina virtual experimentará un tiempo de inactividad inesperado.
Para garantizar la confiabilidad cuando ocurre una falla en un bastidor
dentro del centro de datos de Azure, puede (y debe) aprovechar una
característica llamada conjuntos de disponibilidad. Los conjuntos de
disponibilidad lo protegen de los eventos de mantenimiento y el tiempo de
inactividad causado por fallas de hardware. Para ello, Azure crea algunas
entidades subyacentes en un conjunto de disponibilidad
denominado dominios de actualización y dominios de error . (Para
protegerse en caso de eventos de mantenimiento o tiempo de inactividad,
debe implementar al menos dos máquinas virtuales en su conjunto de
disponibilidad).
Los dominios de falla son una representación lógica del bastidor físico en
el que está instalada una computadora host. De forma predeterminada,
Azure asigna dos dominios de error a un conjunto de disponibilidad. Si un
problemaocurre en un dominio de falla (un bastidor de computadora), las
VM en ese dominio de falla se verán afectadas, pero las VM del segundo
dominio de falla no. Esto lo protege de eventos de mantenimiento no
planificados y tiempos de inactividad inesperados.
Los dominios de actualización están diseñados para protegerlo de una
situación en la que se reinicia el equipo host. Cuando crea un conjunto de
disponibilidad, Azure crea cinco dominios de actualización de forma
predeterminada. Estos dominios de actualización se distribuyen entre los
dominios de error en el conjunto de disponibilidad. Si se requiere un
reinicio en los equipos del conjunto de disponibilidad (ya sean equipos
host o VM dentro del conjunto de disponibilidad), Azure solo reiniciará
los equipos de un dominio de actualización a la vez y esperará 30 minutos
para que los equipos se recuperen del reinicio antes de hacerlo. pasa al
siguiente dominio de actualización. Los dominios de actualización lo
protegen de los eventos de mantenimiento planificados.
La Figura 2-17 muestra el diagrama que usa Microsoft para representar
un conjunto de disponibilidad. En este diagrama, los dominios de falla
FD0, FD1 y FD2 abarcan tres racks físicos de computadoras. UD0, UD1 y
UD2 son dominios de actualización dentro de los dominios de
falla. También verá esta misma representación de un conjunto de
disponibilidad dentro de otra capacitación de Azure, pero es un poco
engañosa porque los dominios de actualización no están vinculados a un
dominio de falla en particular.
FIGURA 2-17 Representación de la documentación de Microsoft de un
conjunto de disponibilidad
La figura 2-18 muestra una mejor representación de un conjunto de
disponibilidad, con cinco VM en el conjunto de disponibilidad. Hay dos
dominios de error y tres dominios de actualización. Cuando se crearon
máquinas virtuales en este conjunto de disponibilidad, se asignaron de la
siguiente manera:
A la primera máquina virtual se le asigna el dominio de falla 0
y el dominio de actualización 0.
•
A la segunda máquina virtual se le asigna el dominio de falla 1
y el dominio de actualización 1.
•
A la tercera máquina virtual se le asigna el dominio de falla 0
y el dominio de actualización 2.
•
A la cuarta máquina virtual se le asigna el dominio de falla 1 y
el dominio de actualización 0.
•
A la quinta máquina virtual se le asigna el dominio de falla 0 y
el dominio de actualización 1.
•
FIGURA 2-18 Una mejor representación de un conjunto de disponibilidad
Puede verificar la ubicación de los dominios de error y los dominios de
actualización creando cinco VM en un conjunto de disponibilidad con dos
dominios de error y tres dominios de actualización. Si luego observa el
conjunto de disponibilidad creado en Azure Portal, como se muestra en
la Figura 2-19 , puede ver la misma configuración que se muestra en
la Figura 2-18 .
FIGURA 2-19 Un conjunto de disponibilidad en Azure Portal que muestra
los dominios de error y los dominios de actualización
Observe en la Figura 2-19 que el conjunto de disponibilidad se
denomina WebAvailabilitySet . En este conjunto de disponibilidad,
ejecutamos cinco máquinas virtuales que ejecutan un servidor web y
alojan el sitio web para una aplicación. Suponga que necesita una base de
datos para esta aplicación y también desea alojar esa base de datos en
máquinas virtuales. En esa situación, querrá separar las máquinas
virtuales de la base de datos en su propio conjunto de
disponibilidad. Como práctica recomendada, siempre debe separar sus
cargas de trabajo en conjuntos de disponibilidad separados.
Los conjuntos de disponibilidad ciertamente brindan un beneficio para
proteger contra el tiempo de inactividad en ciertas situaciones, pero
también tienen algunas desventajas. En primer lugar, todas las máquinas
de un conjunto de disponibilidad deben crearse explícitamente. Si bien
puede usar una plantilla ARM para implementar varias máquinas
virtuales en una implementación, aún debe configurar esas máquinas con
el software y la configuración necesarios para admitir su aplicación.
Un conjunto de disponibilidad también requiere que configure algo
delante de sus VM que manejará la distribución del tráfico a esas VM. Por
ejemplo, si su conjunto de disponibilidad da servicio a un sitio web
alojado en las VM, deberá configurar un equilibrador de carga que se
encargará de enrutar a los usuarios de su sitio web a las VM que lo
ejecutan.
Otra desventaja de los conjuntos de disponibilidad se relaciona con el
costo. En una situación en la que su VM deba cambiarse a menudo en
función de cosas como la carga en la aplicación, es posible que tenga que
pagar por muchas más VM de las que necesita.
Azure ofrece otra característica para las máquinas virtuales
denominada conjuntos de escalado que resuelve estos problemas muy
bien. Cuando crea un conjunto de escalado, le indica a Azure qué sistema
operativo desea ejecutar y luego le dice a Azure cuántas máquinas
virtuales desea en su conjunto de escalado. Tiene muchas otras opciones,
como crear un equilibrador de carga o una puerta de enlace, etc. Azure
creará tantas máquinas virtuales como especifique (hasta 1000) en un
solo paso.
Más información con una imagen personalizada
El conjunto predeterminado de plantillas para máquinas virtuales es básico e incluye
solo el sistema operativo. Sin embargo, puede crear una máquina virtual, instalar
todos los componentes necesarios que necesita (incluidas sus propias aplicaciones) y
luego crear una imagen que se pueda usar al crear conjuntos de escalas.
Para obtener más información sobre el uso de imágenes personalizadas,
consulte https://bit.ly/az900-customvmimages .
Los conjuntos de escalas se implementan en conjuntos de disponibilidad
de forma automática, por lo que se beneficia automáticamente de
múltiples dominios de fallas y dominios de actualización. Sin embargo, a
diferencia de las máquinas virtuales de un conjunto de disponibilidad, las
máquinas virtuales de un conjunto de escalado también son compatibles
con las zonas de disponibilidad, por lo que está protegido de problemas
en un centro de datos de Azure.
Como puede imaginar, también puede escalar un conjunto de escalas en
una situación en la que necesite más o menos VM. Puede comenzar con
una sola máquina virtual en un conjunto de escalado, pero a medida que
aumenta la carga en esa máquina virtual, es posible que desee agregar
automáticamente máquinas virtuales adicionales. Los conjuntos de
escalado proporcionan esa funcionalidad mediante el uso de la función de
escalado automático de Azure. Usted define reglas de escalado que usan
métricas como CPU, uso del disco, uso de la red, etc. Puede configurar
cuándo Azure debe agregar instancias adicionales y cuándo debe reducir
y desasignar instancias. Esta es una excelente manera de garantizar la
disponibilidad y, al mismo tiempo, reducir los costos al aprovechar la
elasticidad que proporciona el escalado automático.
Más información Conjuntos de escalado y disponibilidad
Antes de la introducción de los conjuntos de escalado, tenía la capacidad de
configurar reglas de escalado automático para un conjunto de
disponibilidad. Probablemente todavía verá documentación y capacitación de terceros
que hablan sobre el escalado de conjuntos de disponibilidad, pero esa funcionalidad se
ha reemplazado por conjuntos de escalado.
Microsoft garantiza un SLA del 99,95 por ciento cuando utiliza un
escenario de implementación de múltiples máquinas virtuales, y para la
mayoría de los escenarios de producción, se prefiere una implementación
de múltiples máquinas virtuales. Sin embargo, si utiliza una máquina
virtual de instancia única y utiliza almacenamiento premium, Microsoft
garantiza un SLA del 99,9 por ciento. El almacenamiento premium utiliza
unidades de estado sólido (SSD) que se encuentran en el mismo servidor
físico que aloja la máquina virtual para mejorar el rendimiento y el
tiempo de actividad.
Servicio de aplicaciones de Azure
Como se mencionó en el Capítulo 1 , Azure App Service es una oferta de
PaaS en Azure para hospedar sitios web. Además de los servicios básicos
de alojamiento web, App Service también ofrece muchas características
adicionales que puede agregar fácilmente a su aplicación web, a menudo
con solo tocar un interruptor dentro del portal de Azure.
Cuando crea una aplicación web en Azure App Service, su aplicación se
ejecuta en una máquina virtual de Azure que está preconfigurada
específicamente para App Service. Dependiendo del nivel de servicio que
use cuando cree su aplicación, se ejecutará en una VM que se comparte
entre muchos usuarios o en una VM dedicada a usted.
La figura 2-20 muestra un diagrama de la arquitectura básica de App
Service. Este diagrama está simplificado, pero ilustra los conceptos
básicos de cómo funciona App Service. Azure Load Balancer distribuye el
tráfico a una máquina virtual especial dentro de App Service
denominada front-end . El front-end ejecuta un software especial que le
permite distribuir de manera efectiva el tráfico a las VM que realmente
ejecutan su aplicación web. Estas máquinas virtuales se ejecutan dentro
de un plan de App Service , un contenedor lógico para una o más máquinas
virtuales que ejecutan su aplicación web.
FIGURA 2-20 Una representación de alto nivel de Azure App Service
Planes de App Service
Cada aplicación web que crea en App Service se ejecuta dentro de un plan
de App Service. Un plan de App Service se crea dentro de una región de
Azure específica y especifica en cuántas máquinas virtuales se ejecuta su
aplicación y las propiedades de esas máquinas virtuales.
Planes de servicio de aplicaciones de
nota
En el ejemplo de este capítulo, se está ejecutando una única aplicación web en un plan
de App Service. Sin embargo, se pueden ejecutar varias aplicaciones dentro de un solo
plan de App Service. Todas las aplicaciones de un plan de App Service compartirán
las mismas VM en ese plan de App Service.
En la Figura 2-21 , se está creando un plan de App Service
denominado AZ900-Plan en la región central de EE. UU. Las máquinas
virtuales en este plan de App Service ejecutarán Windows y se crearán en
el nivel de precios de Standard S1 App Service. Puede hacer clic en
Cambiar tamaño para cambiar el nivel de precios antes de que se cree el
plan de App Service, y también puede escalar el plan de App Service en
cualquier momento para cambiar el tamaño.
FIGURA 2-21 Creación de un plan de App Service en la región central de
EE. UU.
Los siguientes niveles de precios están disponibles en App Service:
Gratis Un nivel sin costo para pruebas solo que se ejecuta en
máquinas virtuales compartidas con otros clientes de App Service.
•
Compartido Un nivel de bajo costo para probar solo con
algunas funciones adicionales que no se ofrecen en el nivel
Gratis. Se ejecuta en máquinas virtuales compartidas con otros
clientes de App Service.
•
Básico, Estándar, Premium y PremiumV2 Niveles
de mayor costo que ofrecen muchas funciones adicionales. Se
ejecuta en máquinas virtuales dedicadas que no se comparten con
otros clientes.
•
Sugerencia para el examen
Se le cobran los planes de App Service incluso cuando no se ejecutan
aplicaciones web en ellos. Si tiene aplicaciones web en su plan de
App Service, aún se le cobrará si detiene las aplicaciones web. La
única forma de evitar que se le facture un plan de App Service es
eliminarlo.
Cuando pasa de un nivel de precios más bajo a un nivel de precios más
alto, está escalando. También puede reducir la escala en cualquier
momento pasando a un nivel de precios más bajo. Si está ejecutando en el
nivel Básico, Estándar, Premium o PremiumV2, también puede escalar a
varias máquinas virtuales. El nivel Básico le permite escalar a un máximo
de 3 VM (o instancias ), el nivel Estándar permite 10 instancias y los
niveles Premium y PremiumV2 permiten hasta 20 instancias.
Más información App Service Virtual Machines
Crear una aplicación web en App Service es muy rápido y escalarla a varias
instancias también es muy rápido. Esto se debe a que las máquinas virtuales que
ejecutan aplicaciones web de App Service ya están en funcionamiento. Cuando crea
una aplicación web, simplemente está asignando una máquina virtual existente para
su uso.
Aplicaciones web
Cuando crea una nueva aplicación web, puede crearla en un plan de App
Service existente o puede crear un nuevo plan de App Service para la
aplicación. Todas las aplicaciones de un plan de App Service se ejecutan
en las mismas VM, por lo que si ya está haciendo hincapié en los recursos
de un plan de App Service existente, su mejor opción podría ser crear un
nuevo plan de App Service para su nueva aplicación web.
App Service le permite elegir entre una VM preconfigurada con una pila
de tiempo de ejecución (como Java, .NET, PHP, etc.) para ejecutar su
aplicación o un contenedor Docker. Si elige ejecutar una pila de tiempo de
ejecución preconfigurada, puede elegir entre varias versiones que
proporciona App Service.
Más información Contenedores Docker
Aprenderá sobre los contenidos de Docker en la siguiente sección cuando cubramos
Azure Container Instances.
La Figura 2-22 muestra una aplicación web que se está creando en el plan
de servicio de aplicaciones AZ900-Plan. Esta nueva aplicación web se
ejecutará en una máquina virtual configurada para ejecutar aplicaciones
.NET Core 3.0 en una máquina virtual de Windows.
FIGURA 2-22 Creación de una aplicación web para ejecutar un sitio web
.NET Core 3.0
Configurar y administrar su aplicación web es extremadamente
fácil. Dado que App Service es un servicio PaaS, usted solo es responsable
de su código. Microsoft administra las funciones disponibles para
usted. En la Figura 2-23 , puede ver muchas de las funciones disponibles
en App Service, incluida la capacidad de escalar horizontalmente rápida y
fácilmente cuando sea necesario.
FIGURA 2-23 La configuración de una aplicación web facilita agregar
funciones y escalar su aplicación
Instancias de contenedor de Azure (ACI)
Azure Container Instances (ACI) es un servicio PaaS que ofrece la
capacidad de ejecutar una aplicación en contenedores fácilmente. Para
comprender cómo funciona ACI, es necesario tener un conocimiento
básico de los contenedores.
Contenedores
Se está volviendo bastante común que las empresas muevan aplicaciones
entre "entornos", y este tipo de cosas es aún más frecuente cuando se
trata de la nube. De hecho, uno de los aspectos más complicados de pasar
a la nube es lidiar con las complejidades de pasar a un nuevo
entorno. Para ayudar con este problema y facilitar el cambio de
aplicaciones a nuevos entornos, se inventó el concepto de contenedores .
Un contenedor se crea utilizando una versión comprimida de una
aplicación llamada imagen , e incluye todo lo que la aplicación necesita
para ejecutarse. Eso podría incluir un motor de base de datos, un servidor
web, etc. La imagen se puede implementar en cualquier entorno que
admita el uso de contenedores. Una vez allí, la imagen se utiliza para
iniciar un contenedor en el que se ejecuta la aplicación.
Para ejecutar una aplicación en un contenedor, una computadora debe
tener un tiempo de ejecución de contenedor instalado. El tiempo de
ejecución de contenedores más popular es Docker, un tiempo de
ejecución desarrollado y mantenido por Docker Inc. Docker no solo sabe
cómo ejecutar aplicaciones en contenedores, sino que también impone
ciertas condiciones para garantizar un entorno seguro.
Más información Docker Images
No estás limitado a tus propias imágenes. De hecho, Docker ejecuta un repositorio de
imágenes que puede usar libremente en sus propias aplicaciones. Puede encontrarlo
en https://hub.docker.com .
Cada contenedor normalmente opera dentro de un ambiente
aislado. Tiene su propia red, su propio almacenamiento, etc. Otros
contenedores que se ejecutan en la misma máquina no pueden acceder a
los datos y sistemas utilizados por otro contenedor a menos que el
desarrollador de la imagen tome medidas explícitas para permitirlo. Esto
hace que las aplicaciones en contenedores sean una solución ideal cuando
la seguridad es una preocupación.
Ejecución de contenedores en ACI
ACI facilita el inicio de un contenedor con una configuración
mínima. Simplemente le dice a ACI dónde encontrar la imagen (usando
una etiqueta de Docker o una URL a la imagen) y alguna configuración
básica para la VM en la que desea que se ejecute el contenedor.
Azure crea recursos de servidor según sea necesario para ejecutar su
contenedor, pero no paga por una máquina virtual subyacente. En
cambio, paga por la memoria y la CPU que usa su contenedor. Eso se
traduce en costos extremadamente bajos en la mayoría de los casos. Por
ejemplo, si su aplicación ACI se ejecuta en una máquina con 1 CPU y 1 GB
de memoria y usa la aplicación durante 5 minutos al día, ¡su costo sería de
menos de 5 centavos al final del mes!
Los contenedores de notas utilizan su propio sistema operativo
El sistema operativo de un contenedor es en realidad parte de la imagen. La máquina
virtual que está configurando cuando crea una aplicación ACI es la máquina virtual
que ejecuta el tiempo de ejecución del contenedor. Aun así, es importante que elija un
sistema operativo que sea compatible con su contenedor. Una imagen de Docker que
se creó para Linux no se ejecutará en un host de Windows y viceversa.
ACI está diseñado para funcionar con aplicaciones simples. Puede definir
un grupo de contenedores y ejecutar varios contenedores dentro de una
instancia de ACI, pero ACI no es una buena opción para usted si tiene una
aplicación que muchas personas usan mucho y que podría necesitar
aprovechar el escalado. En cambio, Azure Kubernetes Service (AKS) sería
una mejor opción.
Más información Azure Kubernetes Service
Aprenderá sobre Azure Kubernetes Service en la siguiente sección.
Cuando crea una instancia de contenedor en ACI, especifica un nombre
para el contenedor, la imagen que desea usar y el tamaño de la VM que
desea ejecutar en su contenedor. Si no tiene una imagen a mano,
Microsoft proporciona varias imágenes de muestra que puede usar. En
la Figura 2-24 , se está creando una instancia de ACI
denominada jimsaciapp en la región del este de EE. UU. Utilizando una de
las imágenes de inicio rápido de muestra.
FIGURA 2-24 Creación de una instancia ACI con una imagen de inicio
rápido
Para que esta instancia sea accesible en Internet, deberá configurar la
etiqueta de nombre DNS para la instancia. Se puede acceder a esta
configuración haciendo clic en Siguiente: Conexión en red en la parte
inferior de la pantalla, como se muestra en la Figura 2-24 . En la Figura 225 , la etiqueta de nombre DNS para esta instancia está configurada
en jimsaciapp . Una vez creada la instancia, se puede acceder a ella
navegando en http://jimsaciapp.eastus.azurecontainer.io .
FIGURA 2-25 Configuración de una etiqueta de nombre DNS para que se
pueda acceder a la instancia mediante una URL
Sugerencia para el examen
No puede cambiar la etiqueta de nombre DNS después de que se crea
la instancia. Tampoco puede cambiar la imagen que usa su
instancia. Si desea cambiar esta configuración, deberá eliminar la
instancia y volver a crearla. Sin embargo, hacerlo podría significar
que pierda su dirección IP pública, por lo que es mejor planificar con
anticipación antes de crear su instancia.
Servicio de Azure Kubernetes (AKS)
Kubernetes es un servicio de orquestación de contenedores. Esto significa
que es responsable de monitorear los contenedores y garantizar que
siempre estén en ejecución. También puede escalar para agregar
contenedores adicionales cuando las necesidades lo requieran, y luego
puede escalar cuando las necesidades se reducen.
Kubernetes crea contenedores en un pod . Un pod es un grupo de
contenedores relacionados y los contenedores dentro de un pod pueden
compartir recursos. Esta es una de las ventajas de usar Kubernetes
porque lo libera de la restricción de uso compartido de recursos que
normalmente se impone en un entorno de varios contenedores. Sin
embargo, un contenedor en un pod no puede compartir recursos con un
contenedor en otro pod.
La computadora en la que se ejecutan los pods de Kubernetes se
llama nodo o trabajador . Esta computadora debe tener un tiempo de
ejecución de contenedor como Docker ejecutándose en ella. Además de
los pods, el nodo también ejecuta varios servicios que son necesarios para
que Kubernetes administre los pods, etc. Por lo general, habrá varios
nodos dentro de una instancia de Kubernetes, y todos están controlados
por un nodo maestro llamado maestro de Kubernetes . Todo el entorno
del maestro y todos sus nodos se denomina clúster de Kubernetes .
Un maestro de Kubernetes contiene toda la configuración y los servicios
necesarios para administrar la orquestación de pods y otras entidades de
Kubernetes. Configurar un maestro puede ser complejo y es, con mucho,
la tarea más laboriosa de usar Kubernetes. Por esa razón, servicios como
Azure Kubernetes Service (AKS) se están volviendo más populares.
AKS descarga la carga de tratar con el maestro de Kubernetes a
Microsoft. Cuando crea un clúster de Kubernetes en AKS, Azure crea el
maestro y los nodos por usted. Todo lo que tiene que hacer es
implementar sus contenedores y estará en funcionamiento con un clúster
de Kubernetes administrado.
AKS simplifica la creación de un clúster de Kubernetes, pero también
facilita enormemente la administración de un clúster (consulte la Figura
2-26 ). Operaciones como actualizar un clúster o escalar un clúster son
sencillas con las opciones del menú de Azure Portal. También puede
obtener información detallada sobre su clúster, incluido cada nodo que se
ejecuta en el clúster.
FIGURA 2-26 Un clúster de AKS en Azure Portal
Si bien AKS facilita la adopción y la administración de Kubernetes, no
ofusca completamente a Kubernetes. Para implementar sus aplicaciones,
aún debe comprender cómo usar Kubernetes y, en algunos casos, deberá
usar la línea de comandos de Kubernetes. Sin embargo, Azure lo hace
mucho más fácil que hacer todo el trabajo preliminar y el mantenimiento
usted mismo. Aún mejor, AKS en Azure es gratis. Solo paga por los
recursos informáticos de Azure que usa dentro de su clúster.
Escritorio virtual de Windows
La mayoría de las empresas tienen aplicaciones que todos sus empleados
deben utilizar. Por ejemplo, los empleados pueden necesitar acceso a
Microsoft Word, Microsoft Excel, Microsoft Outlook, etc. En muchas
situaciones, las empresas satisfacen esta necesidad comprando una
licencia de Microsoft Office para todos los empleados e instalando
aplicaciones de Office en cada computadora.
Este modelo clásico de cada empleado que usa una computadora con
aplicaciones instaladas no solo es ineficiente para las empresas, sino que
también es inseguro. En primer lugar, requiere que la empresa adquiera
el sistema operativo y las licencias de aplicación para cada
empleado. También requiere que el departamento de TI esté disponible
para solucionar cualquier problema con el sistema operativo o la
aplicación. Los usuarios de aplicaciones locales también tienen datos que
se almacenan en el disco duro local, y esto representa un riesgo de
seguridad si una persona no deseada obtiene acceso a la máquina.
Por estas y muchas otras razones, muchas empresas aprovechan la
virtualización de escritorios. En un modelo de virtualización de escritorio,
una empresa instala un sistema operativo y aplicaciones en un servidor
central. La infraestructura de virtualización de escritorio hace posible que
los empleados accedan al sistema operativo y las aplicaciones desde
prácticamente cualquier dispositivo, siempre que tenga acceso a la red. El
sistema operativo y las aplicaciones no se descargan en el dispositivo del
empleado. En cambio, el empleado usa las aplicaciones en un entorno
virtualizado que hace que parezca que las aplicaciones se ejecutan
localmente.
Más información Virtualización de escritorio
Si alguna vez ha utilizado Windows Remote Desktop para acceder a otra
computadora de forma remota, ha experimentado algo similar a la virtualización de
escritorio. La diferencia es que la virtualización de escritorio le permite acceder
virtualmente al sistema operativo y las aplicaciones que un administrador ha
instalado para acceso remoto.
La virtualización de escritorio puede parecer la solución perfecta para
muchas empresas, pero de hecho, es bastante compleja de configurar y
requiere muchos componentes para garantizar un entorno seguro. Por
esa razón, Microsoft desarrolló un servicio en Azure llamado Windows
Virtual Desktop.
Windows Virtual Desktop es una oferta de PaaS en Azure que
proporciona virtualización de escritorio administrada por
Microsoft. Requiere un poco de configuración avanzada, pero una vez que
lo tienes configurado, la infraestructura está completamente
administrada por Microsoft.
Para utilizar Windows Virtual Desktop (WVD), primero debe crear
un inquilino de WVD . Un inquilino es una colección de uno o más grupos
de hosts , y un grupo de hosts consta de hosts de sesión y uno o más grupos
de aplicaciones que representan las aplicaciones y los escritorios del
sistema operativo a los que los usuarios deberían poder acceder. Estos
hosts de sesión son simplemente máquinas virtuales de Azure que ha
configurado para WVD.
Una vez que haya configurado el inquilino, puede agregar usuarios desde
su Azure Active Directory para que puedan acceder a los sistemas
operativos y las aplicaciones en su inquilino y asignarles permisos. A
continuación, esos usuarios pueden acceder a WVD mediante los
siguientes métodos.
•
Uso de la aplicación cliente WVD para Windows
•
Uso de la aplicación cliente WVD para MacOS
•
Usando el cliente WVD para iOS
•
Usando el cliente WVD para Android
•
Usando el cliente basado en web desde cualquier navegador
web
Más información Windows Virtual Desktop
Para obtener más información sobre Windows Virtual Desktop, incluidos los
requisitos para su uso y una guía para configurarlo, vaya a https://bit.ly/AZ900winvirtualdesktop .
El usuario final que accede a WVD ve una lista de sistemas operativos y
aplicaciones que puede usar. Cuando hacen clic en un sistema operativo,
pueden interactuar con ese sistema operativo como si lo estuvieran
ejecutando en su máquina local. Cuando hacen clic en una aplicación, la
aplicación se inicia en una sesión virtual, pero parece exactamente como
si se estuviera ejecutando localmente. Mejor aún, mediante el uso de la
tecnología que Microsoft adquirió llamada FSLogix, WVD proporciona un
perfil local mientras el usuario usa las aplicaciones. Esta capacidad
incluso permite a los usuarios utilizar archivos en Microsoft OneDrive
junto con WVD.
Más información Windows 10 Multi User
Microsoft desarrolló una versión especial de Windows 10 llamada Windows 10 MultiUser para admitir la funcionalidad de Windows Virtual Desktop.
Redes virtuales
Una red virtual de Azure (a menudo denominada VNet) permite que los
servicios de Azure se comuniquen entre sí y con Internet. Incluso puede
usar una red virtual para comunicarse entre sus recursos locales y sus
recursos de Azure. Cuando crea una máquina virtual en Azure, Azure crea
una red virtual para usted. Sin esa red virtual, no podría acceder de forma
remota a la máquina virtual ni utilizar la máquina virtual para ninguna de
sus aplicaciones. Sin embargo, también puede crear su propia red virtual
y configurarla de la forma que elija.
Una red virtual de Azure es como cualquier otra red informática. Está
compuesto por una tarjeta de interfaz de red (una NIC), direcciones IP,
etc. Puede dividir su red virtual en varias subredes y configurar una parte
del espacio de direcciones IP de su red para esas subredes. Luego, puede
configurar reglas que controlen la conectividad entre esas subredes.
La figura 2-27 ilustra una red virtual de Azure que podríamos usar para
una aplicación de varios niveles. La red virtual usa direcciones IP en el
rango de direcciones 10.0.0.0 y cada subred tiene su propio rango de
direcciones. Los rangos de direcciones IP en las redes virtuales se
especifican mediante la notación de enrutamiento entre dominios sin
clases (CIDR), y una discusión al respecto está fuera del alcance de este
examen. Sin embargo, con la configuración que se muestra en la Figura 227 , tenemos 65,536 direcciones IP disponibles en nuestra red virtual y
cada subred tiene 256 direcciones IP asignadas. (Las primeras cuatro
direcciones IP y la última dirección IP en el rango están reservadas para el
uso de Azure, por lo que realmente solo tiene 251 direcciones para usar
en cada subred). Este es un diseño típico porque todavía tiene muchas
direcciones disponibles en su red para expansión posterior a subredes
adicionales.
FIGURA 2-27 Una aplicación de varios niveles en una red virtual de Azure
En la mayoría de los casos, crea redes virtuales antes de crear los
recursos que las usan. Como dije anteriormente, cuando crea una
máquina virtual en Azure, una red virtual se crea automáticamente. Azure
lo hace porque no puede usar una máquina virtual a menos que tenga una
red asociada. Si bien puede conectar una máquina virtual que está
creando a una red virtual existente, no puede conectar una máquina
virtual a una red virtual después de que se haya creado. Por esa razón, si
quisiera usar su propia red virtual en lugar de la que Azure crea
automáticamente, debería crear su red virtual antes de crear su máquina
virtual.
El nivel web que se muestra anteriormente en la Figura 2-27 , por otro
lado, se ejecuta en Azure App Service, una oferta de PaaS. Esto se ejecuta
en una máquina virtual que administra Microsoft, por lo que Microsoft
crea y administra la máquina virtual y su red. Para usar ese nivel con la
red virtual, App Service ofrece una función llamada integración de red
virtual que le permite integrar una aplicación web en App Service con una
red virtual existente.
Las direcciones IP dentro de la red virtual en este punto son todas
direcciones IP privadas. Permiten que los recursos dentro de la red
virtual se comuniquen entre sí, pero no puede usar una dirección IP
privada en Internet. Necesita una dirección IP pública para dar acceso a
Internet a su nivel web.
Más información Conectividad a Internet saliente
No es necesario asignar una dirección IP pública a un recurso para que ese recurso se
conecte saliente a Internet. Azure mantiene un grupo de direcciones IP públicas que
se pueden asignar dinámicamente a un recurso si necesita conectarse de forma
saliente. Esa dirección IP no se asigna exclusivamente al recurso, por lo que no se
puede usar para la comunicación entrante desde Internet al recurso de Azure.
Debido a que el nivel web se ejecuta en Azure App Service (un servicio
PaaS), Microsoft administra la red pública por nosotros. Obtiene acceso a
Internet en ese nivel sin necesidad de hacer nada. Si desea ejecutar el
nivel web en una máquina virtual IaaS, configure la dirección IP pública
para el nivel web. En esas situaciones, Azure le permite crear un recurso
de dirección IP pública y asignarlo a una red virtual.
Más información Grupos de seguridad de red
Azure ofrece una característica denominada Grupos de seguridad de red que le
permite aplicar reglas sobre qué tipo de tráfico está permitido en la red
virtual. Cubriremos los Grupos de seguridad de red en el Capítulo 4 , " Describir la
seguridad general y las características de seguridad de red ".
ExpressRoute
Las redes virtuales de Azure ofrecen la capacidad de conectarse a sus
redes locales mediante una conexión de red privada virtual (VPN), y
muchos clientes usan este método para conectar recursos locales a
Azure. Sin embargo, hay algunos aspectos del uso de una VPN que pueden
no cumplir con los requisitos de algunos clientes. Por ejemplo, una VPN
está limitada a un máximo de 1,25 Gbps en la velocidad de la red. Si un
cliente necesita más velocidad que esa, VPN no es una buena opción.
Por esta razón, Azure ofrece un servicio llamado ExpressRoute que puede
ofrecer velocidades de hasta 10 Gbps a través de conexiones de fibra
óptica dedicadas. Cuando usa ExpressRoute, se conecta desde su red local
a un enrutador Microsoft Enterprise Edge (MSEE), y ese enrutador MSEE
luego lo conecta a Azure. El enrutador MSEE se encuentra en el borde de
la red de Microsoft y, en la mayoría de los casos, su conexión también será
desde un enrutador en su red local que está en el borde de su red.
Más información Dispositivos de red perimetral
Un dispositivo de borde en una red se refiere a un dispositivo que funciona como
punto de acceso a la red. Si piensa en una red como un círculo y los dispositivos que
están en esa red como si estuvieran dentro de ese círculo, puede pensar en un
dispositivo de borde como si estuviera en la línea que forma el círculo.
En la mayoría de las situaciones, los clientes se conectan al enrutador
MSEE utilizando un proveedor de servicios externo. El proveedor de
servicios es un importante proveedor de servicios de red, a menudo un
proveedor de servicios de Internet. El proveedor de servicios tiene
conexiones de red directamente en el enrutador MSEE, y esas conexiones
tienen ancho de banda dedicado. La Figura 2-28 muestra una
configuración típica de ExpressRoute.
FIGURA 2-28 Una configuración típica de ExpressRoute
Sugerencia para el examen
Microsoft llama circuito a una conexión ExpressRoute .
Debido a que los datos en ExpressRoute no atraviesan la Internet pública,
el ancho de banda es mucho más confiable. Sin embargo, la configuración
de ExpressRoute que ve en la Figura 2-28 requiere que confíe en el
proveedor de servicios con los datos que fluyen a través del circuito. Si
desea eliminar al proveedor de servicios de la imagen, puede utilizar una
oferta llamada ExpressRoute Direct que le permite conectarse
directamente a un puerto físico en el enrutador MSEE.
Más información Expressroute y disponibilidad
ExpressRoute está diseñado para una alta disponibilidad. Cada circuito utiliza
conexiones redundantes, por lo que si crea un circuito a 5 Gbps, el ancho de banda
real asignado a ese circuito es de 10 Gbps. Microsoft incluso le permitirá usar ese
ancho de banda adicional para ráfagas cortas.
Almacenamiento de contenedores (blob)
Azure Blob Storage está diseñado para almacenar datos no estructurados,
que no tienen una estructura definida. Eso incluye archivos de texto,
imágenes, videos, documentos y mucho más. Una entidad almacenada en
Blob Storage se conoce como blob . Hay tres tipos de blobs en Azure
Storage.
Bloquear blobs Se utiliza para almacenar archivos utilizados
por una aplicación.
•
Anexar blobs Son como blobs en bloque, pero los blobs de
anexión están especializados para operaciones de agregación. Por
esa razón, a menudo se utilizan para almacenar datos actualizados
constantemente, como registros de diagnóstico.
•
Blobs de página Se utilizan para almacenar archivos de disco
duro virtual (.vhd) que se utilizan en máquinas virtuales de
Azure. Los cubriremos en Azure Disk Storage más adelante en este
capítulo.
•
Las gotas se almacenan en contenedores de almacenamiento . Un
contenedor se utiliza como un medio para organizar blobs, por lo que es
posible que tenga un contenedor para archivos de video, otro contenedor
para archivos de imagen, etc. Sin embargo, la elección depende
completamente de usted.
Si planea mover datos de local a Azure Storage, hay muchas opciones
disponibles para usted. Puede usar Azure Storage Explorer, una
herramienta gratuita disponible de Microsoft, para cargar datos. También
puede usar las herramientas de línea de comandos que proporciona
Microsoft para cargar en Azure Storage.
Si desea mover una gran cantidad de datos, Microsoft ofrece un servicio
llamado Data Box . Data Box tiene un servicio en línea llamado Data Box
Edge que hace que copiar datos en Azure Storage sea tan fácil como
copiarlos en un disco duro en su sistema. Para cantidades de datos aún
mayores, Microsoft ofrece un servicio fuera de línea de Data Box donde le
enviarán discos duros. Simplemente copie sus datos en los discos duros,
cifre los discos con BitLocker y luego envíelos de regreso a
Microsoft. Microsoft incluso ofrece Data Box Heavy, un servicio en el que
le enviarán un dispositivo resistente sobre ruedas que puede almacenar
hasta 1 petabyte de datos.
Almacenamiento de disco
El almacenamiento en disco en Azure se refiere a los discos que se usan
en máquinas virtuales. Azure crea un disco que se designa
automáticamente para almacenamiento temporal cuando crea una
máquina virtual. Esto significa datos sobreese disco se perderá si hay un
evento de mantenimiento en la máquina virtual. Si necesita almacenar
datos durante un período de tiempo más largo que persistirá entre las
implementaciones de VM y los eventos de mantenimiento, puede crear un
disco con una imagen almacenada en Azure Storage.
Los discos de Azure están disponibles como discos duros tradicionales
(HDD) y unidades de estado sólido (SSD). Los discos HDD son más
económicos y están diseñados para datos no críticos. Los discos SSD están
disponibles en un nivel estándar para uso ligero y como disco Premium
de Azure para uso intensivo.
Los discos de Azure están disponibles como discos administrados o como
discos no administrados. Todos los discos de Azure están respaldados por
blobs de página en Azure Storage. Cuando usa discos no administrados,
ellos usan una cuenta de Azure Storage en su suscripción de Azure y debe
administrar esa cuenta. Esto es particularmente problemático porque
existen limitaciones en Azure Storage y, si tiene un uso intensivo del
disco, puede terminar experimentando un tiempo de inactividad debido a
la limitación.
Cuando se cambia a discos administrados, Microsoft maneja la cuenta de
almacenamiento y se eliminan todas las limitaciones de
almacenamiento. Todo lo que necesita es preocuparse por su disco. Puede
dejar la cuenta de almacenamiento en manos de Microsoft.
Más información Managed Disks
Microsoft recomienda discos administrados para todas las máquinas virtuales
nuevas. También recomiendan que todas las máquinas virtuales que actualmente usan
discos no administrados se muevan a discos administrados.
Quizás una razón aún más importante para usar discos administrados es
que al hacerlo, evita un posible punto único de falla en su VM. Cuando usa
discos no administrados, existe la posibilidad de que las cuentas de Azure
Storage que respaldan sus discos existan dentro de la misma unidad de
escala de almacenamiento. Si ocurre una falla en esa unidad de escala,
perderá todos sus discos. Al asegurarse de que cada disco administrado
esté en una unidad de escala separada, evita la situación de un solo punto
de falla.
Archivos de Azure
Los discos de Azure son una buena opción para agregar un disco a una
máquina virtual, pero si solo necesita espacio en disco en la nube, no tiene
sentido asumir la carga de administrar una máquina virtual y su sistema
operativo. En esas situaciones, Azure Files es la solución perfecta.
Nota Archivos de Azure y Almacenamiento de Azure
Los recursos compartidos de Azure Files están respaldados por Azure Storage, por lo
que necesitará una cuenta de almacenamiento para crear un recurso compartido de
Azure Files.
Azure Files es un recurso compartido de archivos completamente
administrado que puede montar como cualquier recurso compartido de
archivos SMB. Eso significa que las aplicaciones existentes que usan
dispositivos de almacenamiento conectado a la red (NAS) o recursos
compartidos de archivos SMB pueden usar Azure Files sin herramientas
especiales, y si tiene varias aplicaciones que necesitan acceder al mismo
recurso compartido, también funcionarán con Azure Files.
Sugerencia para el examen
Puede montar recursos compartidos de Azure Files en máquinas
virtuales de Azure y localmente en Windows, Linux y MacOS. Sin
embargo, no puede usar Windows 7 o Windows Server 2008 para
montar un recurso compartido de Azure Files en las instalaciones
porque esos sistemas operativos solo admiten SMB 2.1.
Además, dado que los recursos compartidos de Azure Files usan
SMB, deberá asegurarse de que el puerto TCP 445 esté abierto en su
red. En Windows, puede usar el cmdlet TestNetConnection PowerShell para probar la conectividad a través del
puerto 445. Para obtener más información,
consulte https://bit.ly/az900-azurefiles .
Un posible problema con el uso de Azure Files es la ubicación remota de
los archivos. Si sus usuarios o aplicaciones usan un recurso compartido de
archivos asignado a Azure Files, es posible que experimenten tiempos de
transferencia de archivos más largos de lo habitual porque los archivos
están en Azure. Para resolver ese problema, Microsoft introdujo Azure
File Sync.
Instale Azure File Sync en uno o más servidores de su red local y
mantendrá sus archivos en Azure Files sincronizados con su servidor
local. Cuando los usuarios o las aplicaciones necesitan acceder a esos
archivos, pueden acceder rápidamente a la copia local. Cualquier cambio
que realice en el recurso compartido de Azure Files centralizado se
sincroniza con los servidores que ejecutan Azure File Sync.
Niveles de almacenamiento
Microsoft ofrece numerosos niveles de almacenamiento para Blob
Storage cuyo precio depende de la frecuencia con la que se accede a los
datos, el tiempo que desee almacenar los datos, etc. El nivel de
almacenamiento en caliente es para los datos a los que necesita acceder
con frecuencia. Tiene el mayor costo de almacenamiento, pero el costo de
acceso a los datos es bajo. El nivel de almacenamiento Cool es para los
datos que tiene la intención de almacenar durante un período más largo y
a los que no accede con tanta frecuencia. Tiene un costo de
almacenamiento más bajo que el nivel Hot, pero los costos de acceso son
más altos. También debe mantener los datos almacenados durante al
menos 30 días.
Microsoft también ofrece un nivel de almacenamiento de archivos para el
almacenamiento de datos a largo plazo. Los datos almacenados en el nivel
de archivo disfrutan de los costos de almacenamiento más bajos
disponibles, pero los costos de acceso son los más altos. Debe mantener
los datos almacenados durante un mínimo de 180 días en el nivel de
Archivo o puede estar sujeto a un cargo por eliminación
anticipada. Debido a que los datos en el nivel de Archivo no están
diseñados para un acceso rápido y frecuente, puede llevar mucho tiempo
recuperarlos. De hecho, mientras que los niveles de acceso Hot y Cool
garantizan el acceso al primer byte de datos en milisegundos, el nivel
Archive solo garantiza el acceso al primer byte dentro de las 15 horas.
Cosmos DB
Muchos sistemas de bases de datos utilizan datos relacionales. Una base
de datos relacional contiene tablas de datos que están relacionados entre
sí. Parte del diseño de la base de datos define la relación entre las tablas, y
cuando se agregan nuevos datos a la base de datos, deben ajustarse
al esquema (la forma en que se configura la base de datos).
Algunos sistemas de bases de datos, conocidos como bases de datos
NoSQL , no son relacionales. En un sistema de base de datos NoSQL, no
está bloqueado en un esquema para sus datos. Por ejemplo, en un
relacionalsistema, si está almacenando información sobre algunos
clientes y desea agregar los cumpleaños de los clientes a sus datos, debe
editar el esquema de su base de datos para permitir que se agregue el
cumpleaños. Sin embargo, en un sistema NoSQL, simplemente agrega el
cumpleaños a sus datos y lo agrega a la base de datos. A la base de datos
no le importa el tipo de datos o campos que contiene.
Hay cuatro tipos de sistemas de base de datos NoSQL: clave-valor,
columna, documento y gráfico. La Tabla 2-1 enumera cada uno de estos
tipos y proporciona información sobre cada uno.
TABLA 2-1 Sistemas de bases de datos NoSQL
Sistema
Descripción
Uso común
Valor clave
Almacena datos que están vinculados a una
clave única. Pase la clave y la base de datos
devuelve los datos.
Dado que el valor puede
cualquier cosa, las bases
valores clave tienen muc
Columna
Las bases de datos NoSQL se
denominan espacios de claves y un espacio de
claves contiene familias de columnas. Una
columna contiene filas y columnas como una
tabla relacional, pero cada fila puede tener su
propio conjunto de columnas. No estás
encerrado en un esquema.
Almacenamiento de dato
usuario para un sitio web
a que las bases de datos d
escalan bien y son extrem
rápidas, son adecuadas p
grandes cantidades de da
Documento
Los datos se almacenan como una cadena de
texto estructurada llamada
documento. Puede ser HTML, JSON, etc. Esto
es similar a una base de datos de clave-valor,
excepto que el documento es un valor
estructurado.
Igual que el valor-clave, p
datos de documentos tien
escalan bien horizontalm
permiten consultar el val
partes del valor. Una con
datos de clave-valor devu
completo asociado con la
Grafico
Almacena datos y las relaciones entre cada
dato. Los datos se almacenan en nodos y las
relaciones se dibujan entre nodos.
Muchos sistemas utilizan
de gráficos porque son ex
rápidas. Una red social po
base de datos de gráficos
almacenar las relaciones
personas, las cosas que le
personas, etc.
Hay muchos sistemas de bases de datos NoSQL diferentes, y la mayoría de
ellos están orientados a un modelo de base de datos en
particular. Microsoft ofrece un sistema de base de datos NoSQL alojado en
Azure llamado Cosmos DB, que admite todos los tipos de bases de datos
NoSQL. Microsoft ha creado un código personalizado alrededor de
Cosmos DB para que los desarrolladores puedan usar sus habilidades
existentes con otros sistemas de base de datos con una base de datos de
Cosmos DB. Esto facilita que las aplicaciones existentes comiencen a
aprovechar Cosmos DB sin que los ingenieros tengan que escribir código
nuevo.
Cuando crea una base de datos de Cosmos DB, elige la API que desea usar,
que determina el tipo de base de datos para su base de datos. Los tipos de
API de la base de datos son:
Core (SQL) Crea una base de datos de documentos que puede
consultar utilizando la sintaxis SQL con la que puede estar
familiarizado al utilizar bases de datos relacionales.
•
API de Azure Cosmos DB para MongoDB Se utiliza para
migrar una base de datos de MongoDB a Cosmos DB. Las bases de
datos de MongoDB son bases de datos de documentos.
•
Cassandra Se utiliza para migrar una base de datos de
Cassandra a Cosmos DB. Las bases de datos de Cassandra son bases
de datos de columna.
•
Tabla de Azure Se utiliza para migrar datos almacenados en
Azure Table Storage a Cosmos DB. Esto crea una base de datos de
valores clave.
•
Gremlin Se utiliza para migrar bases de datos de Gremlin a
Cosmos DB. Las bases de datos de Gremlin son bases de datos de
gráficos.
•
Microsoft llama a estas API porque son solo eso: API. Son interfaces de
programación de aplicaciones que permiten a los desarrolladores que ya
están usando una tecnología de base de datos NoSQL existente migrar a
Cosmos DB sin tener que cambiar su código.
Otra gran ventaja de Cosmos DB es una función conocida como
distribución global llave en mano. Esta función aprovecha la escalabilidad
horizontal de las bases de datos NoSQL y le permite replicar sus datos a
nivel mundial con unos pocos clics. En Azure Portal, simplemente puede
hacer clic en las regiones en las que desea replicar los datos, como se
muestra en la Figura 2-29 . Una vez que haga clic en Guardar, Cosmos DB
comenzará a replicar los datos, que estarán disponibles en las regiones
seleccionadas. Esto facilita garantizar que los usuarios tengan la
experiencia más rápida posible con una aplicación.
FIGURA 2-29 Fácil replicación en todo el mundo con Cosmos DB
Base de datos SQL de Azure
Azure SQL Database es una oferta de PaaS para el alojamiento de bases de
datos de SQL Server. Microsoft administra la plataforma, por lo que todo
lo que debe preocuparse es su base de datos y los datos que contiene.
Las bases de datos de SQL Server son bases de
datos relacionales compuestas por tablas de datos, y cada tabla tiene un
esquema que define cómo deben verse los datos. Por ejemplo, el esquema
podría definir que sus datos contienen un número de identificación, un
nombre, un apellido y una fecha. Todos los datos que agregue a la tabla
deben seguir el esquema, por lo que los datos que agregue no deben tener
campos que no estén definidos en el esquema.
Una base de datos contendrá muchas tablas de datos que están
relacionadas entre sí y, al utilizar consultas especializadas, los
desarrolladores pueden devolver datos que son el resultado de unir datos
relacionados de varias tablas. Por ejemplo, puede tener una tabla de
Clientes y una tabla de Pedidos, cada una con un campo que identifica a
un cliente. Al consultar y unir los datos de ambas tablas, puede
proporcionar a un usuario una factura que muestre todos sus
pedidos. Esta relación entre las tablas es cómo las bases de datos
relacionales obtuvieron su nombre, como se muestra en la Figura 2-30 .
FIGURA 2-30 Dos tablas en una base de datos relacional
Nota Bases de datos relacionales
SQL Server no es el único sistema de base de datos relacional. Hay muchos sistemas
de bases de datos relacionales, incluidos Oracle, PostgreSQL y MySQL.
Azure ofrece tres opciones de implementación diferentes para Azure SQL
Database: base de datos única, grupo elástico e instancia administrada.
Una sola base de datos es simplemente una base de datos que se ejecuta
en una instancia alojada de SQL Server que se ejecuta en Azure. Microsoft
administra el servidor de la base de datos, por lo que todo lo que tiene
que preocuparse es la base de datos en sí. Microsoft proporciona dos
modelos de compra diferentes para bases de datos únicas: Unidad de
transacción de base de datos (DTU) y núcleo virtual (núcleo virtual).
Una DTU representa una colección de CPU, memoria y lecturas y
escrituras de datos. Hay tres niveles en el modelo DTU: Básico, Estándar y
Premium. Cada nivel ofrece un nivel más alto de CPU, memoria y
transferencia de datos.
El modelo de núcleo virtual utiliza una CPU virtual y facilita la
configuración exacta de hardware que necesita. Ofrece un nivel de uso
general y un nivel de negocio crítico. Puede elegir entre un nivel
aprovisionado (donde elige la CPU, la memoria y otros recursos que
siempre están disponibles) y un nivel sin servidor donde elige una
variedad de necesidades de recursos para poder controlar los costos de
manera más efectiva.
Más información Elección de un modelo de compra
Para obtener detalles sobre los modelos de compra disponibles y cómo puede elegir
entre ellos, vaya a https://bit.ly/az900-sqlpurchasingmodels .
La Tabla 2-2 muestra estos modelos y en qué se diferencian.
TABLA 2-2 Modelos de compra de una sola base de datos
Modelo DTU
Modelo de núcleo virtual
Buena elección para usuarios que no
necesitan un alto grado de flexibilidad con la
configuración y que desean precios fijos.
Es una buena elección si necesita un alt
visibilidad y control de los recursos ind
la memoria, el almacenamiento y la pot
que utiliza su base de datos.
Límites preconfigurados para transacciones
contra la base de datos y configuraciones
preconfiguradas de almacenamiento, CPU y
memoria.
Flexibilidad en la potencia de la CPU, la
almacenamiento, con el almacenamient
función del uso.
Ofertas Básicas y Estándar, junto con un nivel
Premium para bases de datos de producción
con una gran cantidad de transacciones.
Ofertas de uso general y de negocios cr
proporcionar costos más bajos cuando
rendimiento y disponibilidad cuando se
Capacidad de escalar a un nivel superior
cuando sea necesario.
Capacidad y flexibilidad para escalar la
y el almacenamiento según sea necesar
Almacenamiento de respaldo y retención a
largo plazo de datos proporcionados por un
cargo adicional.
Almacenamiento de respaldo y retenció
de datos proporcionados por un cargo a
Un grupo elástico consta de más de una base de datos (y a menudo
muchas bases de datos), todas administradas por el mismo servidor de
base de datos SQL. Esta solución está orientada a las ofertas de SaaS en las
que es posible que desee tener varios usuarios (o incluso cada usuario)
para que se les asigne su propia base de datos. Puede mover fácilmente
bases de datos dentro y fuera de un grupo elástico, lo que lo hace ideal
para SaaS.
En algunos casos, es suficiente poder escalar una sola base de datos para
agregar potencia adicional. Sin embargo, si su aplicación tiene amplias
variaciones en el uso y le resulta difícil predeciruso (como con un servicio
SaaS), la capacidad de agregar más bases de datos a un grupo es mucho
más deseable. En un grupo elástico, se le cobra por el uso de recursos del
grupo en comparación con las bases de datos individuales, y tiene control
total sobre cómo las bases de datos individuales usan esos recursos. Esto
hace posible no solo controlar los costos, sino que también puede
garantizar que cada base de datos tenga los recursos que necesita y, al
mismo tiempo, pueda mantener la previsibilidad de los gastos. Además,
puede realizar una transición sencilla de una sola base de datos a un
grupo elástico simplemente moviendo la base de datos a un grupo.
Observe los modelos de precios de las agrupaciones elásticas
La información del modelo de precios de la Tabla 2-2 también se aplica a las
agrupaciones elásticas. Sin embargo, sus recursos no se aplican a una base de datos
individual; se aplican a la piscina.
Sugerencia para el examen
Si bien puede escalar hacia arriba y hacia abajo fácilmente con Azure
SQL Database al pasar a un nivel superior o agregar recursos
informáticos, de memoria y de almacenamiento, las bases de datos
relacionales no se escalan horizontalmente. Hay algunas opciones
disponibles para escalar una copia de solo lectura de su base de
datos, pero en general, las bases de datos relacionales no ofrecen la
capacidad de escalar para proporcionar copias adicionales de sus
datos en varias regiones.
Una instancia administrada está diseñada explícitamente para los clientes
que desean una ruta de migración sencilla desde un entorno local o que
no sea de Azure a Azure. Las instancias administradas son totalmente
compatibles con SQL Server local y, dado que su servidor de base de datos
está integrado con una red virtual aislada y tiene una dirección IP
privada, su servidor de base de datos puede ubicarse dentro de su red
virtual privada de Azure. Las características están diseñadas para
usuarios que desean elevar y cambiar una base de datos local a Azure sin
muchos cambios de configuración o molestias. Están disponibles los
niveles de servicio de Propósito general y Crítico para la empresa.
Microsoft desarrolló Azure Database Migration Service (DMS) para
facilitar a los clientes el traslado de bases de datos locales o bases de
datos alojadas en otro lugar de la nube a una instancia administrada. El
DMS funciona guiándolo a través de una experiencia de asistente para
indicarle a Azure qué bases de datos y tablas desea migrar desde su base
de datos de origen a Azure SQL Database. Luego, usará la red virtual de
Azure que viene con la instancia administrada para migrar los datos. Una
vez que se han migrado los datos, DMS configura la sincronización entre
la base de datos de origen y Azure SQL Database. Esto significa que
mientras la base de datos de origen permanezca en línea, cualquier
cambio realizado en ella se sincronizará con la instancia administrada en
Azure SQL Database.
Más información DMS y bases de datos locales
Para migrar una base de datos local, debe tener conectividad entre Azure y su red
local a través de VPN o mediante un servicio como ExpressRoute.
Base de datos de Azure para MySQL
Al igual que las bases de datos de SQL Server, las bases de datos MySQL
son bases de datos relacionales. Sin embargo, MySQL es un sistema de
código abierto. De hecho, MySQL es el sistema de base de datos de código
abierto más popular del mundo.
Azure Database for MySQL es una oferta en la nube totalmente
administrada de Community Edition de MySQL. Con Azure Database for
MySQL, no tiene que preocuparse por administrar el servidor de la base
de datos, lidiar con problemas de seguridad o realizar tareas complejas
como el ajuste del rendimiento. Microsoft se encarga de todo eso por ti.
Sugerencia para el examen
Azure Database for MySQL protege sus datos en reposo y en
movimiento. Eso significa que no solo sus bases de datos están
seguras, sino que los datos también lo están cuando los usuarios
consultan su base de datos.
Azure Database for MySQL ofrece varios planes de precios según sus
necesidades específicas. El plan básico es el mejor para los usuarios que
tienen un uso ligero; el plan de uso general es más adecuado para uso
comercial; y el plan Memory Optimized es para requisitos de alto
rendimiento. A medida que avanza en los planes de precios, obtiene más
núcleos de CPU y más memoria, y cada plan de precios ofrece varios
niveles para que pueda planificar específicamente lo que requieren sus
necesidades.
Dado que Azure Database for MySQL se basa en MySQL Community
Edition, puede mover fácilmente sus bases de datos MySQL locales a la
nube sin preocuparse por la compatibilidad.
Base de datos de Azure para PostgreSQL
PostgreSQL es otro sistema de base de datos relacional de código
abierto. Si bien PostgreSQL se diseñó inicialmente para ejecutarse en Unix
o Linux, ahora está disponible para MacOS, Linux, OpenBSD, FreeBSD y
Windows.
PostgreSQL se diseñó pensando en la empresa y admite una gran cantidad
de usuarios que realizan operaciones complejas. Azure Database for
PostgreSQL es una versión administrada de PostgreSQL en Azure. Al igual
que Azure Database for MySQL y Azure SQL Database, Azure Database for
PostgreSQL le permite utilizar un potente sistema de base de datos sin
tener que administrar el servidor, la seguridad de la base de datos, el
rendimiento y otras tareas administrativas.
El precio de Azure Database for PostgreSQL es similar al de Azure
Database for MySQL. Los planes Básico, de Uso General y Optimizado para
Memoria están disponibles, y los precios aumentan a medida que agrega
recursos de base de datos adicionales como CPU y memoria.
Azure Marketplace y sus escenarios de uso
Ha aprendido sobre muchos de los productos y servicios disponibles en
Azure, pero hay muchos productos disponibles fuera de lo que hemos
discutido. Microsoft no solo ofrece muchos servicios adicionales, sino que
los proveedores de terceros también brindan una amplia gama de
recursos que puede usar en Azure. Todos estos recursos están
disponibles en un único repositorio llamado Azure Marketplace.
Para acceder a Azure Marketplace, haga clic en Crear un recurso en Azure
Portal, como se muestra en la Figura 2-31 . Esto mostrará una lista de
categorías entre las que puede elegir. También mostrará una lista de
ofertas populares de todas las categorías. Puede hacer clic en una
categoría para ver todas las plantillas en esa categoría, y puede hacer clic
en una plantilla en la lista de plantillas populares, ingresar un término de
búsqueda o incluso hacer clic en Ver todo para ver todas las plantillas que
están disponibles.
FIGURA 2-31 Azure Marketplace
Si hace clic en Ver todo, accederá a la experiencia completa de
Marketplace, donde puede filtrar en función de los precios, los sistemas
operativos y el editor, como se muestra en la Figura 2-32 .
FIGURA 2-32 Filtrado de Azure Marketplace
Sugerencia para el examen
Todas las plantillas de Azure Marketplace son plantillas ARM que
implementan uno o más servicios de Azure. Recuerde de nuestra
discusión anterior de Azure Resource Manager que todas las
implementaciones de ARM se implementan mediante plantillas de
ARM. El mercado no es diferente.
Algunas de las plantillas de Marketplace implementan un solo
recurso. Por ejemplo, si hace clic en la plantilla Aplicación web, se creará
una aplicación web que se ejecutará en Azure App Service. Otras plantillas
crean muchos recursos que se combinan para crear una solución
completa. Por ejemplo, puede crear un clúster de base de datos de
DataStax Enterprise y la plantilla creará entre 1 y 40 nodos de DataStax
Enterprise.
Se le factura por cada oferta de Marketplace en su factura de Azure, por lo
que si crea un clúster de DataStax Enterprise con 40 nodos, no verá una
facturación separada para 40 VM, VNET, etc. En su lugar, verá una factura
por un clúster de DataStax Enterprise. Esto hace que la facturación sea
mucho más fácil de entender.
Como se muestra en la Figura 2-33 , muchas plantillas de Marketplace
proporcionan enlaces a documentación y otra información para ayudarlo
a aprovechar al máximo la plantilla. Si decide que no desea crear
inmediatamente los recursos, puede hacer clic en Guardar para más tarde
y la plantilla se agregará a su lista guardada a la que puede acceder
haciendo clic en Mi lista guardada, como se mostró anteriormente en la
esquina superior izquierda. en la Figura 2-32 .
FIGURA 2-33 Enlaces de Marketplace y lista guardada
EXPERIMENTO MENTAL
Ahora que ha aprendido sobre los servicios básicos de Azure, apliquemos
ese conocimiento. Puede encontrar las respuestas a este experimento
mental en la siguiente sección.
ContosoPharm se ha puesto en contacto con usted para obtener ayuda en
la configuración de algunas máquinas virtuales de Azure para alojar sus
servicios de Azure. Quieren asegurarse de que sus servicios experimenten
una alta disponibilidad y estén protegidos contra desastres que puedan
ocurrir en un centro de datos en una región de Azure en
particular. Además de eso, quieren asegurarse de que un corte de energía
en un centro de datos en particular no afecte su servicio en esa región.
ContosoPharm planea tener una gran cantidad de máquinas virtuales,
pero solo alojarán tres servicios diferentes en la nube. Cada uno de estos
servicios tendrá asociados otros servicios de Azure además de las
máquinas virtuales. Están muy interesados en tener una forma de ver
fácilmente todos los recursos de Azure asociados con un servicio en
particular dentro del portal de Azure.
Dos de los servicios que planean implementar pertenecen al
departamento de marketing. El otro servicio pertenece a la división de
desarrollo. Necesitan una forma de informar sobre cada uno de estos
departamentos, por lo que les gustaría una forma de agrupar lógicamente
estos servicios.
En esa misma línea, el CTO quiere asegurarse de poder controlar quién
tiene acceso a los servicios en cada departamento. También quiere tener
control sobre cómo se configuran esos servicios.
Las máquinas virtuales de ContosoPharm también usarán configuraciones
específicas para redes virtuales y quieren asegurarse de que pueden
implementar fácilmente estos recursos en nuevas regiones de Azure,
si necesario más tarde. Para ellos es fundamental que las
implementaciones posteriores tengan exactamente la misma
configuración que todas las demás implementaciones porque cualquier
diferencia puede causar incompatibilidades de aplicaciones.
El CTO también está preocupado por las máquinas virtuales, en
particular, por experimentar problemas de disponibilidad debido a
posibles fallas de hardware. También ha escuchado que algunos clientes
de la nube experimentan problemas cuando el proveedor de la nube debe
reiniciar la computadora host subyacente por algún motivo. Este tipo de
cosas no puede suceder en el caso de ContosoPharm, por lo que deberá
hacer una recomendación para evitarlo.
Durante algunos períodos de tiempo, ContosoPharm ha notado que sus
aplicaciones pueden causar picos extremos de CPU. Les gustaría un
sistema que tenga en cuenta eso y posiblemente agregue máquinas
virtuales adicionales durante estas horas pico, pero quieren controlar los
costos y no quieren pagar por estas máquinas virtuales adicionales
cuando no están experimentando un pico de uso. Cualquier consejo que
pueda ofrecerle sería una ventaja.
Uno de los servicios de ContosoPharm tiene un portal web que se escribió
con PHP. Tendrán que mover este portal web a la nube, pero no quieren
tener que lidiar con muchas configuraciones. Necesitan que esté
disponible para los usuarios de manera confiable y deben poder
actualizar el código si es necesario, pero no quieren preocuparse por nada
más. Están esperando que usted sugiera la mejor solución de Azure para
eso, y tenga en cuenta que deben poder escalar este portal web fácilmente
cuando el uso aumenta durante las horas punta del mes.
Otra parte de uno de sus servicios existe como una imagen de
Docker. También quieren ejecutar esto en Azure, pero el CTO está
preocupado por los costos. Esta parte de su servicio solo es necesaria
para operaciones específicas, por lo que se ejecuta solo unos minutos
cada mes. Aun así, es un componente crítico, por lo que necesitan que sea
confiable. El CTO quiere que sugiera una opción que será la opción más
rentable en Azure.
Uno de sus otros servicios también está en contenedores, pero es un poco
más complejo. El uso de este servicio está por todas partes. A veces,
requieren una gran cantidad de recursos informáticos para ello, y otras
veces, no requieren mucho. Sin embargo, cuando sea necesario, deben
asegurarse de que siempre esté funcionando.
Los gerentes de ventas del departamento de ventas de ContosoPharm
necesitan acceder a las aplicaciones de Office de manera confiable, pero el
CIO está muy preocupado por los datos confidenciales de ventas
almacenados en los discos duros de las computadoras portátiles. Le
gustaría que recomendara una forma para que estos empleados accedan a
las aplicaciones que necesitan mientras mantienen los datos
seguros. Poder acceder a estas aplicaciones desde cualquier dispositivo (o
incluso un navegador web) sería un verdadero cambio de juego.
Gran parte de la infraestructura que ContosoPharm está trasladando a la
nube está formada por aplicaciones de varios niveles, y cada uno de estos
niveles debe poder comunicarse entre sí y con Internet. Los ingenieros de
redes locales de ContosoPharm comprenden completamente la red local y
cómo está configurada, pero no tienen idea de cómo traducir eso a la
nube. También necesitarán que brinde algunas recomendaciones en esa
área.
ContosoPharm también tiene un sistema local que no se puede migrar a la
nube, por lo que permanecerá local. Este sistema utiliza animaciones en
3D de las estructuras celulares y cómo las diferentes drogas interactúan
con ellas. Los tamaños de archivo son muy grandes y a ContosoPharm le
preocupa quetransferir estos archivos grandes desde la nube hará que su
aplicación sea lenta. También están preocupados por las implicaciones de
privacidad y preferirían evitar que estos archivos se transfieran a través
de Internet si es posible.
ContosoPharm debe conservar una copia de cada factura de pedido de sus
clientes. Estas facturas se cargan en el sitio web como PDF y quieren
mantenerlas en la nube. No necesitan poder ejecutar ningún tipo de
informes sobre estas facturas, pero sí los necesitan en caso de que los
reguladores los soliciten en el futuro.
También necesitan conservar los datos almacenados en cualquiera de sus
VM, incluso si ocurre un evento de mantenimiento en Azure o se mueven
a otra VM por algún motivo. Son datos críticos, por lo que quieren
asegurarse de elegir la solución adecuada.
Otra parte de su aplicación también necesita conservar los datos, pero
necesitan poder acceder a los datos desde un servidor local que ejecute
Windows Server 2016. No quieren tener que instalar nada especial en el
servidor para poder acceder a estos archivos que se encuentran en la
nube.
Todos los productos químicos y farmacéuticos de ContosoPharm se
guardan en una gran instalación de investigación. Les gustaría integrar
una base de datos en esa instalación con sus servicios de Azure y
necesitan que esa conexión esté encriptada y sea segura. Los
desarrolladores del sistema actual utilizaron Community Edition de
MySQL para desarrollar la base de datos, y ContosoPharm está interesado
en la solución más sencilla para tener esto alojado en la nube sin tener
que estar al día con la configuración y el mantenimiento.
Proporcione una recomendación a ContosoPharm que cumpla con todos
sus requisitos. No es necesario que les brinde detalles técnicos específicos
sobre cómo implementar todo, pero debe orientarlos en la dirección
correcta si no tiene detalles.
RESPUESTAS DEL EXPERIMENTO MENTAL
En esta sección, repasaremos las respuestas al experimento mental.
Para asegurarse de que sus máquinas virtuales estén protegidas contra
desastres en un centro de datos dentro de una región de Azure en
particular, debe recomendar que ContosoPharm use zonas de
disponibilidad. Al implementar máquinas virtuales en zonas de
disponibilidad, pueden garantizar que las máquinas virtuales se
distribuyan en diferentes edificios físicos dentro de la misma región de
Azure. Cada edificio tendrá energía, agua, sistema de enfriamiento y red
separados.
Para ver fácilmente los recursos de Azure asociados con un servicio en
particular, ContosoPharm puede crear grupos de recursos separados y
crear los recursos para cada servicio dentro de su propio grupo de
recursos. Para agrupar lógicamente sus servicios para las divisiones de
marketing y desarrollo para que puedan informar sobre ellos, pueden
crear suscripciones de Azure independientes para cada división.
Para resolver la inquietud del CTO sobre quién tiene acceso a los servicios
y cómo se configuran esos servicios, puede recomendar el uso de grupos
de administración. Como ya recomendó que cada división tenga su propia
suscripción, los grupos de administración son una opción lógica porque
cada suscripción se puede mover a un grupo de administración separado.
Para garantizar implementaciones consistentes ahora y en el futuro,
ContosoPharm puede crear una plantilla ARM para su implementación. Al
usar una plantilla ARM, pueden asegurarse de que cada implementación
de sus recursos sea idéntica.
Para proteger su aplicación cuando una máquina virtual tiene un
problema de hardware o debe reiniciarse, deben usar un conjunto de
disponibilidad. Un conjunto de disponibilidad les proporcionaría varios
dominios de error y dominios de actualización, de modo que si se debe
reiniciar una máquina virtual, todavía tendrían una máquina virtual
operativa en otro dominio de actualización.
Para asegurarse de que siempre tengan suficientes máquinas virtuales
para manejar la carga cuando la CPU aumenta, deben usar conjuntos de
escalado. Luego, pueden configurar reglas de escala automática para
escalar horizontalmente cuando la carga lo requiera y escalar hacia atrás
para controlar los costos.
La mejor opción para alojar su portal web PHP en la nube es Azure App
Service. Debido a que es un servicio PaaS, ContosoPharm no tendrá que
preocuparse por una gran cantidad de configuración y, debido a que App
Service ofrece capacidades de escalado, eso cumple con el requisito de
tener que reaccionar ante aumentos en el uso.
La mejor opción para alojar su imagen de Docker en la nube es Azure
Container Instances. Hay otras opciones en Azure para esto, pero debido a
que el CTO se preocupa por los costos y este componente solo se ejecuta
durante una pequeña cantidad de tiempo cada mes, ACI es claramente la
alternativa más barata.
El segundo componente en contenedores se beneficiaría mejor de Azure
Kubernetes Service. El hecho de que sea más complejo y, a veces, requiera
una gran cantidad de recursos informáticos lo convierte en un candidato
ideal para AKS, especialmente porque Kubernetes puede garantizar que el
contenedor esté siempre en ejecución y disponible.
Para proporcionar a los gerentes de ventas acceso a las aplicaciones de
Office sin tener que preocuparse por los aspectos de seguridad del
almacenamiento de archivos en sus computadoras portátiles, debe
recomendar Windows Virtual Desktop. Entonces podrían acceder a estas
aplicaciones desde cualquier dispositivo o navegador web.
Su recomendación para los ingenieros de red debería ser configurar una
red virtual de Azure. Pueden configurar fácilmente subredes dentro de
esa red exactamente como tienen en las instalaciones, y todas las
funciones de red a las que están acostumbrados estarán disponibles para
ellos.
El sistema de animación 3D que utiliza ContosoPharm parece que
necesita mucho ancho de banda. En ese escenario, ExpressRoute es
probablemente una buena opción, especialmente porque también les
gustaría evitar que los archivos se transfieran a través de Internet. Con
ExpressRoute, los datos se transfieren a través de una conexión privada y
pueden ajustar su ancho de banda según las necesidades de la aplicación,
hasta un máximo de 10 Gbps.
Para almacenar sus facturas en la nube, ContosoPharm puede usar Azure
Blob Storage. Podrían almacenarlos en una base de datos como blobs
binarios, pero como no necesitan ejecutar ningún tipo de informes o
consultas en ellos, Azure Blob Storage será más económico.
Para conservar los datos en sus VM entre reinicios o movimientos de VM,
deben usar Almacenamiento en disco. Probablemente también debería
recomendar que utilicen discos administrados para facilitar su uso y
confiabilidad. Para la parte de la aplicación que necesita conservar los
datos que están disponibles en un servidor local de Windows Server
2016, debe recomendar Azure Files. Luego, pueden usar SMB para
acceder a los archivos, y los sistemas existentes en las instalaciones
pueden mapear los archivos sin tener que instalar nada adicional.
Para sus necesidades de bases de datos, la mejor opción es, con mucho,
Azure Database for MySQL. Debido a que es un servicio administrado,
ContosoPharm no tendrá que preocuparse por el mantenimiento o la
configuración, y debido a que se basa en Community Edition de MySQL,
deberían poder simplemente transferir la base de datos directamente a la
nube y terminar con ella.
RESUMEN DEL CAPÍTULO
¡Este capítulo cubrió mucho terreno! No solo aprendió algunos de los
conceptos básicos de Azure relacionados con las regiones y los grupos de
recursos, sino que también aprendió sobre muchos de los servicios
básicos de carga de trabajo que proporciona Azure.
Aquí hay un resumen de lo que cubrió este capítulo.
Una región de Azure es un área dentro de un límite geográfico
específico y cada región suele estar a cientos de millas de distancia.
•
Una geografía suele ser un país y cada geografía contiene al
menos dos regiones.
•
Un centro de datos es un edificio físico dentro de una región y
cada centro de datos tiene su propia energía, suministro de
refrigeración, suministro de agua, generadores y red.
•
La latencia de ida y vuelta entre dos regiones no debe ser
superior a 2 ms, y esta es la razón por la que las regiones a veces se
definen como un "límite de latencia".
•
Los clientes deben implementar los recursos de Azure en
varias regiones para garantizar la disponibilidad.
•
Las zonas de disponibilidad garantizan que sus recursos se
implementen en centros de datos separados en una región. Hay al
menos tres zonas de disponibilidad en cada región.
•
Los grupos de recursos le permiten separar los recursos de
Azure de una manera lógica y puede etiquetar los recursos para
una administración más sencilla.
•
Todos sus recursos de Azure se crean dentro de una
suscripción de Azure, y puede crear suscripciones adicionales si
necesita agrupar o informar sobre recursos con mayor facilidad.
•
•
Las suscripciones de Azure tienen límites asociados.
Los grupos de administración le permiten asignar políticas y
control de acceso a los recursos de Azure.
•
Solo se pueden agregar suscripciones u otros grupos de
administración a un grupo de administración.
•
Azure Resource Manager (ARM) es la forma en que las
herramientas de administración de Azure crean y administran los
recursos de Azure.
•
ARM utiliza proveedores de recursos para crear y administrar
recursos.
•
Una plantilla ARM le permite garantizar la coherencia de
grandes implementaciones de Azure.
•
Las máquinas virtuales de Azure son una oferta de IaaS en la
que administra el sistema operativo y la configuración.
•
Los conjuntos de disponibilidad protegen sus máquinas
virtuales con dominios de falla y dominios de actualización. Los
dominios de falla protegen su VM de una falla de hardware en un
rack de hardware. Está protegido contra reinicios de VM mediante
dominios de actualización.
•
Los conjuntos de escalas le permiten configurar reglas de
escala automática para escalar horizontalmente cuando sea
necesario.
•
Azure App Service facilita el hospedaje de aplicaciones web en
la nube porque es un servicio PaaS que elimina la carga de
administración del usuario.
•
Las aplicaciones de App Service se ejecutan dentro de un plan
de App Service que especifica la cantidad de VM y la configuración
de esas VM.
•
Los contenedores le permiten crear una imagen de una
aplicación y todo lo necesario para ejecutarla.
•
Las instancias de contenedor de Azure (ACI) le permiten
ejecutar contenedores por muy poco costo.
•
Azure Kubernetes Service (AKS) es un servicio administrado
que facilita el hospedaje de clústeres de Kubernetes en la nube.
•
Windows Virtual Desktop hace que las aplicaciones y los
sistemas operativos estén fácilmente disponibles para múltiples
usuarios desde casi cualquier dispositivo.
•
Una red virtual de Azure (VNet) permite que los servicios de
Azure se comuniquen entre sí y con Internet.
•
Puede agregar una dirección IP pública a una red virtual para
la conectividad entrante a Internet. Esto es útil si un sitio web se
está ejecutando en su VNET y desea permitir que las personas
accedan a él.
•
Azure Load Balancer puede distribuir el tráfico de Internet a
través de varias máquinas virtuales en su red virtual.
•
ExpressRoute le permite tener una conexión de alto ancho de
banda a Azure de hasta 10 Gbps al conectarse a un enrutador
Microsoft Enterprise Edge (MSEE).
•
El tráfico a través de ExpressRoute no viaja a través de
Internet.
•
Azure Blob Storage es una buena opción de almacenamiento
para datos no estructurados, como archivos binarios.
•
Si necesita mover una gran cantidad de datos a Blob Storage,
Azure Data Box es una buena opción. Puede solicitar que se le
envíen discos duros de varios tamaños. Agregue sus datos y
envíelos de regreso a Microsoft, donde se agregarán a su cuenta de
almacenamiento.
•
Azure Disk Storage es un almacenamiento en disco virtual
para máquinas virtuales de Azure. Los discos administrados le
permiten eliminar la carga de administración de los discos.
•
Azure Files le permite tener espacio en disco en la nube que
puede asignar a una unidad local.
•
Azure Blob Storage ofrece niveles de almacenamiento Hot,
Cool y Archive que se basan en el tiempo que desee almacenar los
datos, la frecuencia con la que se accede a los datos, etc.
•
Azure Cosmos DB es una base de datos NoSQL en la nube para
datos no estructurados.
•
Azure SQL Database es un sistema de base de datos relacional
en la nube que está completamente administrado por Microsoft.
•
Azure Database for MySQL se basa en la Community Edition
del sistema de base de datos MySQL de código abierto. Es un
servicio administrado que elimina la carga de administración del
usuario.
•
Azure Database for PostgreSQL es un servicio administrado
para hospedar bases de datos de PostgreSQL.
•
Azure Marketplace es una fuente de plantillas para crear
recursos de Azure. Algunos son proporcionados por Microsoft y
otros son proporcionados por terceros.
•
Capítulo 3
Describir las soluciones principales
y las herramientas de
administración en Azure.
En el Capítulo 2 , aprendió sobre las soluciones de carga de trabajo
principales en Azure. En este capítulo, profundizaremos en una amplia
gama de soluciones centrales en Azure. Cubriremos algunas tecnologías
nuevas y emocionantes, como inteligencia artificial, Internet de las
cosas (IoT), big data y computación sin servidor.
Si realmente va a aprender a usar Azure, también necesitará saber
cómo puede administrar sus recursos de Azure. Ya ha visto Azure
Portal, pero esa no es la única solución para administrar y crear
recursos en Azure. Hay varias herramientas de línea de comandos
disponibles, lo que facilita la creación de secuencias de comandos de
interacciones potentes con los recursos de Azure. ¡Incluso puede
administrar sus recursos de Azure desde su teléfono!
Una vez que haya creado y configurado sus servicios de Azure, es
importante mantenerse al día con su rendimiento para saber si necesita
realizar cambios para aprovechar al máximo sus recursos en la
nube. Sin embargo, mantenerse al día con las mejores prácticas y
configuraciones recomendadas puede ser difícil, especialmente cuando
se trata de varios servicios. Afortunadamente, Azure proporciona Azure
Advisor para ayudarlo y, al combinar Azure Advisor con Azure Monitor,
puede estar al tanto de todos sus servicios de Azure.
El seguimiento del estado de sus aplicaciones particulares en la nube es
solo la mitad de la historia cuando se trata de asegurarse de que sus
recursos en la nube estén disponibles. Si bien Microsoft Azure es una
plataforma en la nube altamente confiable, las cosas aún pueden salir
mal y, cuando suceden, el sitio web de Azure Service Health lo
mantendrá informado de lo que está sucediendo.
Estas son las habilidades que se tratan en este capítulo.
Habilidades cubiertas en este capítulo:
•
Describir las soluciones principales disponibles en Azure.
•
Describir las herramientas de administración de Azure
HABILIDAD 3.1: DESCRIBIR LAS SOLUCIONES
PRINCIPALES DISPONIBLES EN AZURE
Aunque la computación en la nube es una tecnología relativamente nueva,
se ha convertido en un componente clave de muchas soluciones
informáticas. El alcance de la computación en la nube está creciendo a un
ritmo tremendo y Microsoft Azure está creciendo a la par. Desde la
primera edición de este libro publicada hace unos pocos meses, se han
introducido nuevos servicios de Azure y los cambios en los servicios
existentes han sido abundantes. El antiguo filósofo griego Heráclito dijo:
"Lo único que es constante es el cambio". Es una certeza que Heráclito no
podría haber predicho Azure hace miles de años, ¡pero ciertamente
describió el estado constante de Azure perfectamente!
La gran cantidad de servicios de Azure puede ser abrumadora, pero este
capítulo debería ayudarlo a comprender el panorama.
Esta sección cubre:
•
Azure IoT Hub
•
IoT Central
•
Esfera azul
•
Análisis de Azure Synapse
•
HDInsight
•
Azure Databricks
•
Aprendizaje automático de Azure
•
Servicios cognitivos
•
Servicio de bot de Azure
•
Computación sin servidor
•
Funciones de Azure
•
Aplicaciones lógicas
•
Cuadrícula de eventos
•
Azure DevOps
•
Laboratorios Azure DevTest
Azure IoT Hub
Muchos de nosotros no vivimos en hogares inteligentes de alta tecnología,
por lo que es posible que no nos demos cuenta de cuán grande se está
volviendo Internet de las cosas (IoT). Para ponerlo en contexto, el popular
portal de estadísticas Statista informa que hay más de 25 mil millones de
dispositivos conectados a IoT en la actualidad, y se espera que ese
número crezca a la asombrosa cifra de 75 mil millones para el año 2025.
Hay aproximadamente 3.2 mil millones de personas en el Internet hoy en
día, y la población mundial total es solo de alrededor de 8 mil
millones. Estos dispositivos de IoT eclipsan a la raza humana en número,
y la cantidad de información que recopilan y comparten es alucinante.
Para que los servicios de IoT de Azure tengan más sentido, revisemos
nuestra empresa teórica llamada ContosoPharm, que en este ejemplo es
una empresa farmacéutica con un gran edificio de varios pisos donde
almacenan medicamentos en desarrollo, junto con componentes sensibles
utilizados en investigar. Estos artículos deben estar bajo un estricto
control climático. Si la temperatura o la humedad se mueven fuera de un
rango muy estrecho, resulta en la pérdida de materiales invaluables.
Para proteger su inversión, ContosoPharm utiliza sistemas de control de
clima conectados a IoT, junto con generadores y sistemas de iluminación
conectados a IoT. Estos sistemas monitorean constantemente el entorno y
envían alertas si algo sale mal. Hay aproximadamente 5,000 dispositivos
de IoT en el edificio y ContosoPharm debe cumplir con los siguientes
requisitos para todos esos dispositivos.
Deben actualizar el firmware de los dispositivos IoT de forma
sencilla y por etapas para que no se actualicen todos al mismo
tiempo.
•
Deben alterar la configuración de los dispositivos, como
cambiar los niveles de alerta, pero estas configuraciones son
específicas de la ubicación física de los dispositivos en el edificio.
•
Deben asegurarse de que cualquier conectividad a los
dispositivos sea completamente segura.
•
IoT Hub puede resolver fácilmente todos estos problemas. Los
dispositivos de IoT se agregan a IoT Hub, y luego puede administrarlos,
monitorearlos y enviarles mensajes, ya sea individualmente o en grupos
que cree. Puede agregar hasta 1,000,000 de dispositivos IoT a un solo IoT
Hub.
La figura 3-1 muestra un dispositivo de IoT agregado a IoT Hub para
ContosoPharm.
FIGURA 3-1 Un dispositivo IoT en IoT Hub
Desde IoT Hub, puede enviar mensajes a dispositivos (llamado mensajería
de nube a dispositivo o C2D) o desde su dispositivo a IoT Hub (llamado
mensajería de dispositivo a nube o D2C). También puede enrutar
mensajes de forma inteligente a Event Hub, Azure Storage y Service Bus
según el contenido del mensaje.
Cuando agrega un nuevo dispositivo de IoT, IoT Hub crea una cadena de
conexión que usa una clave de acceso compartida para la
autenticación. Esta clave evita el acceso no autorizado a su IoT Hub. Una
vez conectado, los mensajes entre su dispositivo e IoT Hub se cifran para
mayor seguridad.
Además de los mensajes, también puede usar IoT Hub para enviar
archivos a sus dispositivos. Esto le permite actualizar fácilmente el
firmware de sus dispositivos de forma segura. Para actualizar el firmware
en un dispositivo IoT, simplemente copie el firmware en el dispositivo. El
dispositivo detectará el firmware y se reiniciará y actualizará el nuevo
firmware en el dispositivo.
Un concepto importante en IoT Hub es el concepto de lo que se
llama dispositivo gemelo . Cada dispositivo de IoT en IoT Hub tiene un
equivalente lógico que se almacena en IoT Hub en formato JSON. Esta
representación JSON del dispositivo se denomina dispositivo gemelo y
proporciona capacidades importantes.
Cada dispositivo gemelo puede contener metadatos que agregan una
categorización adicional para el dispositivo. Estos metadatos se
almacenan como etiquetas en JSON para el dispositivo gemelo y el
dispositivo real no los conoce. Solo IoT Hub puede ver estos
metadatos. Uno de los requisitos de ContosoPharm era actualizar el
firmware de forma escalonada en lugar de actualizar todos los
dispositivos al mismo tiempo. Pueden lograrlo agregando etiquetas para
los dispositivos gemelos desde sus dispositivos que podrían tener el
siguiente aspecto:
Haga clic aquí para ver la imagen del código
"etiquetas": {
"deploymentLocation": {
"departamento": "researchInjectibles",
"piso": "14"
}
}
Luego pueden optar por enviar archivos de firmware solo a dispositivos
en el piso 14, por ejemplo, o digamos, a dispositivos en el departamento
de investigación de inyectables. La Figura 3-2 muestra la configuración de
dispositivos gemelos en IoT Hub con etiquetas establecidas para la
ubicación del dispositivo. Observe la etiqueta de construcción con un valor
de nulo . Esta es una etiqueta que se estableció previamente en el
dispositivo gemelo y, al establecerla en nula , se eliminará la etiqueta.
FIGURA 3-2 Dispositivo gemelo que muestra etiquetas configuradas en
JSON
El dispositivo gemelo también contiene las propiedades del dispositivo
IoT. Hay dos copias de cada propiedad. Una es la propiedad informada y la
otra es la propiedad deseada . Puede cambiar una propiedad de
dispositivo en IoT Hub cambiando la propiedad deseada a un nuevo
valor. La próxima vez que el dispositivo se conecte a IoT Hub, esa
propiedad se establecerá en el dispositivo. Hasta que eso suceda,
la propiedad informada contendrá el último valor que el dispositivo
informó a IoT Hub. Una vez que se actualice la propiedad, las
propiedades reportadas y deseadas serán iguales.
La razón por la que IoT Hub utiliza este método para establecer
propiedades es que es posible que no siempre tenga una conexión con
todos los dispositivos. Por ejemplo, si un dispositivo se pone en reposo
para ahorrar energía, IoT Hub no puede escribir cambios de propiedad en
ese dispositivo. Al mantener una versión deseada e informada de cada
propiedad, IoT Hub siempre sabe si una propiedad debe escribirse en un
dispositivo la próxima vez que el dispositivo se conecte a IoT Hub.
Para ayudar a los usuarios que desean agregar una gran cantidad de
dispositivos de IoT a IoT Hub, Microsoft ofrece el servicio de
aprovisionamiento de dispositivos de IoT Hub, o DPS. El DPS usa grupos
de inscripción para agregar dispositivos a su IoT Hub. El concepto es que
una vez que el dispositivo se activa (a menudo, por primera vez si es un
dispositivo nuevo), necesita saber que debe conectarse a su IoT Hub. Para
hacer eso, el DPS necesita identificar de manera única el dispositivo, y lo
hace con un certificado o mediante un chip de módulo de plataforma
confiable.
Una vez que DPS confirma la identidad del dispositivo, puede usar los
detalles del grupo de inscripción para determinar a qué IoT Hub se debe
agregar. Luego, proporcionará al dispositivo la información de conexión
para conectarse a ese IoT Hub. Además, el grupo de inscripción puede
proporcionar la configuración inicial para el dispositivo gemelo. Esto le
permite especificar propiedades, como una versión de firmware, que el
dispositivo debe tener cuando se inicia.
A medida que sus dispositivos envían mensajes a IoT Hub, puede enrutar
esos mensajes a Azure Storage, Event Hub y varios otros puntos de
conexión. Puede elegir el tipo de mensajes que desea enrutar y también
puede escribir una consulta para filtrar qué mensajes se enrutan. En
la figura 3-3 , hemos configurado una ruta que envía mensajes a Azure
Blob Storage. Puede ver en la consulta que solo vamos a enrutar aquellos
mensajes que provienen de un dispositivo con un dispositivo gemelo que
contiene la etiqueta para nuestro departamento de investigación
de inyectables.
FIGURA 3-3 Adición de una ruta de mensajes en IoT Hub
Hay dos niveles de precios para IoT Hub: Básico y Estándar. Cada nivel
ofrece varias ediciones que ofrecen precios basados en la cantidad de
mensajes por día para cada unidad de IoT Hub. Cuando escala un IoT Hub,
agrega unidades adicionales. Esto agrega la capacidad de manejar más
mensajes a un precio mayor. La tabla 3-1 muestra las ediciones y los
precios del nivel básico. La Tabla 3-2 muestra las ediciones y los precios
del nivel Estándar.
TABLA 3-1 Precios del nivel básico de IoT Hub
Edición
Precio mensual por unidad de IoT Hub
Mensajes por día por unida
B1
$ 10 dólares
400.000
B2
50 dólares estadounidenses
6.000.000
B3
500 dólares estadounidenses
300.000.000
TABLA 3-2 Precios del nivel estándar de IoT Hub
Edición
Precio mensual por unidad de IoT Hub
Mensajes por día por unida
Libre
Libre
8.000
S1
25 dólares estadounidenses
400.000
S2
250 dólares estadounidenses
6.000.000
S3
$ 2,500 dólares
300.000.000
Sugerencia para el examen
El precio de escala en IoT Hub es bastante claro. La mayoría de las
empresas elegirán el nivel Estándar debido a la funcionalidad
adicional disponible en ese nivel. Luego, elegirán una edición que
satisfaga sus necesidades mínimas de mensajes. Cuando necesiten
mensajes adicionales durante los picos, escalarán a más unidades de
IoT Hub.
Por ejemplo, suponga que las necesidades de mensajes de
ContosoPharm son aproximadamente 5.000.000 por día. Elegirían el
nivel de precios S2 y pagarían 250 dólares al mes si están ejecutando
una unidad de IoT Hub en la geografía de América del Norte. Si la
cantidad de mensajes aumenta a 8.000.000 (ya sea por cambios de
configuración o por la adición de dispositivos de IoT adicionales), es
probable que opten por escalar a dos unidades de IoT Hub. Hacerlo
les daría 12,000,000 de mensajes por día a un costo de $ 500 USD
por mes.
Nota Cambio de nivel de precios
No puede cambiar a un nivel de precios más bajo después de crear su IoT Hub. Si
crea su IoT Hub en el nivel Estándar, no puede cambiarlo al nivel Básico. Si crea un
IoT Hub en el nivel Estándar con la edición S1, S2 o S3, no puede cambiarlo a la
edición gratuita.
También es importante tener en cuenta que las siguientes funciones solo
están disponibles en el nivel Estándar:
Secuencias de dispositivos para transmitir mensajes casi en
tiempo real
•
•
Mensajería de nube a dispositivo
•
Gestión de dispositivos, dispositivo gemelo y módulo gemelo
IoT Edge para manejar dispositivos IoT en el borde de la red
donde residen
•
Si usa el servicio de aprovisionamiento de dispositivos, hay un cargo de $
0.123 por cada 1,000 operaciones.
IoT Central
IoT Hub es una excelente manera de administrar y aprovisionar
dispositivos, y proporciona un medio sólido para tratar los
mensajes. Incluso puede usar Azure Stream Analytics para enrutar
mensajes a Power BI para un panel de mensajes de dispositivo casi en
tiempo real, pero hacerlo requiere un poco de configuración compleja. Si
está buscando una experiencia de primera clase en el monitoreo de
dispositivos de IoT sin tener que realizar una configuración compleja, IoT
Central es una buena opción.
IoT Central es una oferta de SaaS para dispositivos IoT. A diferencia de
IoT Hub, no es necesario crear ningún recurso de Azure para usar IoT
Central. En su lugar, navegue hasta https://apps.azureiotcentral.com y
cree su aplicación dentro de la interfaz del navegador web, como se
muestra en la Figura 3-4 .
FIGURA 3-4 Página de inicio de Azure IoT Central
Para crear una aplicación de IoT, haga clic en el signo más encima de Mis
aplicaciones. Esto abre la pantalla Crear aplicación que se muestra en
la Figura 3-5 .
FIGURA 3-5 Creación de una nueva aplicación de IoT Central
Tiene la opción de elegir una plantilla o crear una aplicación
personalizada. Para mayor comodidad, las plantillas se clasifican en
Retail, Energy, Government y Healthcare.
Después de seleccionar su plantilla, verá la pantalla Nueva aplicación que
se muestra en la Figura 3-6 . Aquí es donde especificará el nombre de su
aplicación y la URL. Puede utilizar los nombres predeterminados o
especificar los suyos propios, pero se recomienda utilizar los suyos
propios para que pueda identificar fácilmente su aplicación. Además, una
vez que se ha creado su aplicación, puede acceder a ella directamente
utilizando la URL que especifique, por lo que es posible que desee que
también sea descriptiva.
FIGURA 3-6 Especificación de un nombre de aplicación, URL y plan de
precios
A continuación, elige su plan de precios. Si usa Pago por uso, deberá
especificar detalles sobre su suscripción de Azure. Si elige el plan gratuito,
solo deberá ingresar algunos datos de contacto. Desplácese hasta la parte
inferior de la pantalla y haga clic en Crear para finalizar la creación de su
aplicación.
En la Figura 3-4 , puede ver que ya hemos creado una aplicación
llamada ContosoPharm . Cuando hace clic en esa aplicación, ve un menú
en el lado izquierdo de la página, y si hace clic en Dispositivos, puede ver
los dispositivos agregados, como se muestra en la Figura 3-7 .
FIGURA 3-7 Un dispositivo de IoT en IoT Central
Para agregar un nuevo dispositivo, haga clic en el signo más en la barra de
menú sobre la lista de dispositivos para acceder a la pantalla Crear nuevo
dispositivo que se muestra en la Figura 3-8 . Tiene la opción de agregar un
dispositivo real si tiene uno, pero también puede agregar un dispositivo
simulado. Agregar dispositivos simulados es una buena manera de
configurar todo de la manera que desee en IoT Central, y luego puede
agregar dispositivos reales en un momento posterior.
FIGURA 3-8 Adición de un dispositivo en IoT Central
Nota Los dispositivos simulados son una función exclusiva de IoT Central
La capacidad de crear un dispositivo simulado es específica de IoT Central. IoT Hub
no ofrece esta capacidad. Si desea agregar un dispositivo simulado que se basa en un
dispositivo del mundo real, puede elegir una plantilla de dispositivo en la página de
inicio de su IoT Central.
Todas las páginas de su aplicación se pueden editar directamente en el
navegador. La Figura 3-9 muestra la página de inicio de la aplicación IoT
Central. Si hace clic en el botón Editar, puede eliminar mosaicos, agregar
mosaicos y editar información en mosaicos en una interfaz de apuntar y
hacer clic directamente dentro de su navegador.
FIGURA 3-9 Edición de una página en IoT Central
La razón por la que vemos un botón Editar es porque este usuario está
configurado como administrador de esta aplicación. IoT Central le brinda
control sobre quién puede hacer qué usando roles. Hay tres roles
integrados a los que puede asignar un usuario.
Administrador Los usuarios en este rol tienen acceso
completo a la aplicación y pueden editar páginas y agregar nuevos
usuarios.
•
Los usuarios de constructor con esta función pueden editar
páginas, pero no pueden realizar ninguna tarea administrativa,
como agregar usuarios, cambiar las funciones de los usuarios,
cambiar la configuración de la aplicación, etc.
•
Operador Los usuarios con esta función pueden utilizar la
aplicación, pero no pueden editar ninguna página y no pueden
realizar tareas administrativas.
•
En algunas situaciones, es posible que estos roles integrados no ofrezcan
la flexibilidad que necesita, por lo que también puede crear sus propios
roles con los permisos exactos que necesita.
Para administrar su aplicación, haga clic en Administración en el menú de
la izquierda, como se muestra en la Figura 3-10 . Luego, puede agregar y
eliminar usuarios, ajustar las funciones de los usuarios, cambiar el
nombre de la aplicación o la URL, agregar una imagen personalizada para
su aplicación, etc. También puede copiar o eliminar su aplicación desde
esta pantalla.
FIGURA 3-10 Administración de una aplicación en IoT Central
Si hace clic en un dispositivo, puede ver la información que proviene de
los sensores del dispositivo. En la Figura 3-11 , puede ver los sensores de
humedad y temperatura en el dispositivo F14_TempMonitor .
FIGURA 3-11 Revisión de los datos del sensor de un dispositivo en IoT
Central
IoT Central también le permite configurar fácilmente reglas que
monitorearán sus dispositivos y realizarán una acción que elija cuando su
regla esté activada. En la Figura 3-12 , estamos configurando una regla
que se activará cuando la Humedad sea superior a 60.
FIGURA 3-12 Creación de una regla
Cuando se activa una regla, IoT Central puede enviar un correo
electrónico a alguien con detalles de lo que sucedió. También puede optar
por activar un webhook para llamar a una función de Azure, ejecutar un
flujo de trabajo en una aplicación Azure Logic, ejecutar un flujo de trabajo
en Microsoft Power Automate o hacer algo específico en su propia
aplicación que exponga un webhook.
Cuando tiene una gran cantidad de dispositivos, es conveniente
agruparlos en un grupo de dispositivos para que pueda realizar acciones
en muchos dispositivos a la vez. Para crear un grupo de dispositivos,
especifique una condición que se debe cumplir para que se agregue un
dispositivo al grupo. En la Figura 3-13 , estamos creando un grupo de
dispositivos para todos los dispositivos que tienen F14 en el nombre. Si el
nombre contiene F14 , el dispositivo se agrega automáticamente al grupo
de dispositivos. Incluso cuando agregue un nuevo dispositivo más
adelante, será parte de este grupo de dispositivos si el nombre
contiene F14 .
FIGURA 3-13 Creación de un grupo de dispositivos
Una vez que haya creado un grupo de dispositivos, puede realizar una
acción en los dispositivos que contiene creando un trabajo. Haga clic en
Trabajos en el menú principal de su aplicación para configurar su
trabajo. Un trabajo puede modificar propiedades, cambiar
configuraciones o enviar comandos a dispositivos. En la Figura 3-14 ,
estamos creando un trabajo que encenderá los LED para todos los
dispositivos de nuestro conjunto de dispositivos.
FIGURA 3-14 Creación de un trabajo
IoT Central también le permite realizar análisis de métricas de
dispositivos en un conjunto de dispositivos. Por ejemplo, puede mirar
todos los dispositivos que registraron temperaturas por encima de cierto
nivel. Para un análisis de datos aún más rico, puede configurar IoT Central
para exportar continuamente datos desde sus dispositivos a Azure Blob
Storage, Azure Event Hubs o Azure Service Bus.
Esfera azul
Tener sus dispositivos conectados a Internet ciertamente ofrece muchas
ventajas. Si está en la tienda y no puede recordar si necesita leche, su
frigorífico inteligente puede avisarle. Si acaba de salir de viaje y cree que
puede haber dejado el horno encendido, su horno inteligente se puede
apagar desde su teléfono. Entiendes la idea. En general, la conectividad es
algo bueno, pero también tiene sus desventajas, entre las que se
encuentra la seguridad. ¡Lo último que desea es que un pirata informático
controle las cerraduras de las puertas conectadas a Internet de su casa!
Los dispositivos de IoT son como cualquier otro dispositivo informático
en el sentido de que ejecutan software diseñado para un propósito
específico. Cualquier dispositivo que ejecute software es susceptible a
errores de software, y los dispositivos de IoT no son diferentes. Sin
embargo, el software del dispositivo IoT está integrado en un chip y eso
presenta desafíos únicos para corregir errores y actualizar el
software. Cuando agrega el hecho de que hay poca o ninguna
estandarización en el negocio de los dispositivos de IoT, termina con una
posible pesadilla de seguridad.
Para abordar estos problemas de seguridad, Microsoft desarrolló Azure
Sphere. Azure Sphere se basa en las décadas de experiencia de Microsoft y
en la investigación en profundidad que Microsoft realizó sobre la
protección de dispositivos.
Más información Siete propiedades de los dispositivos de alta seguridad
Microsoft redactó un documento técnico, "Siete propiedades de los dispositivos
altamente seguros", que detalla la investigación sobre la protección de los
dispositivos. Puede leer el informe técnico en https://aka.ms/7properties .
Azure Sphere es en realidad un ecosistema completo y comienza con el
chip o la unidad de microprocesador (MCU). Microsoft ha desarrollado
una MCU Azure Sphere que contiene componentes de seguridad
integrados en el chip. Los terceros pueden usar estas MCU para ejecutar
código específico para sus necesidades, y ese código se ejecuta en el
sistema operativo Azure Sphere, que es una versión personalizada de
Linux desarrollada para Azure Sphere.
En Azure, Azure Sphere Security Service garantiza que las MCU estén
protegidas, brinda la capacidad de actualizar el sistema operativo Azure
Sphere integrado y las aplicaciones que se ejecutan en las MCU, y permite
informar sobre fallas y otros análisis. Uno de los enormes beneficios del
ecosistema de Azure Sphere es la capacidad de corregir errores en chips
integrados que pueden crear problemas de seguridad.
Este ecosistema proporciona un entorno seguro para ejecutar código
incrustado, pero también refuerza la comunicación segura entre
dispositivos. Es probable que su refrigerador inteligente pueda
comunicarse con otros dispositivos inteligentes en su hogar y, al
garantizar una autenticación sólida entre estos dispositivos, Azure Sphere
puede ayudar a garantizar un entorno seguro para todos sus dispositivos
inteligentes.
Al momento de escribir este artículo, solo hay una MCU certificada por
Azure Sphere disponible, pero Microsoft espera que los fabricantes de
dispositivos inteligentes continúen adoptando Azure Sphere para sus
MCU. Para facilitar ese proceso, los kits de desarrollo de Azure Sphere
están disponibles a un precio reducido. El kit de desarrollo incluye
hardware que está listo para Azure Sphere y un kit de desarrollador de
software (SDK) de Azure Sphere para Microsoft Visual Studio.
Más información Kits para desarrolladores de Azure Sphere
Puede ver todos los kits para desarrolladores de Azure Sphere
en https://aka.ms/AzureSphereDevKitsAll .
Para aprovechar Azure Sphere, cómprelo a un distribuidor de
Microsoft. El distribuidor vende un paquete que incluye una MCU
certificada por Azure Sphere, una licencia para el servicio de seguridad
Azure Sphere y una licencia para el sistema operativo Azure Sphere. El
precio actual del MediaTek MT3620 AN (actualmente el único MCU
certificado por Azure Sphere) es menos de $ 8,65. El precio varía según la
cantidad de MCU que compre, pero el precio no excederá los $ 8,65 por
unidad.
Sugerencia para el examen
El precio de Azure Sphere incluye las actualizaciones del sistema
operativo y del Servicio de seguridad de Azure Sphere hasta julio de
2031.
Análisis de Azure Synapse
Las empresas recopilan enormes cantidades de datos de muchas fuentes
diferentes. Por ejemplo, Microsoft ofrece un SLA en los servicios de Azure
de aproximadamente el 99,9 por ciento o más en términos de
disponibilidad. Microsoft no publica ese número y luego simplemente
cruza los dedos y espera que nada salga mal. Mantienen enormes
cantidades de datos sobre cómo funciona la infraestructura de Azure y
utilizan esos datos para predecir problemas y reaccionar ante ellos antes
de que afecten a los clientes.
Más información sobre el uso de datos
La enorme cantidad de datos que recopilan las empresas se utiliza a menudo para el
aprendizaje automático. Aprenderá sobre el aprendizaje automático más adelante en
este capítulo.
Debido a la enorme enormidad de la infraestructura de Azure, puede
imaginar cuántos datos se están generando para cada sistema en esa
infraestructura y, para cumplir con los SLA, deben poder analizar de
manera confiable esos datos en tiempo real. ¿Cómo exactamente hacen
eso? Realmente no puede arrojar esa cantidad de datos a una máquina
virtual o un grupo de máquinas virtuales sin sobrecargar el sistema hasta
el punto de fallar.
El problema de hacer cualquier cosa con la gran cantidad de datos que
recopilamos es común en todas las empresas, y esto es lo que entendemos
por big data . Big data significa más datos de los que puede analizar a
través de medios convencionales dentro del período de tiempo
deseado. El análisis de big data requiere un sistema potente para
almacenar datos, la capacidad de consultar los datos de múltiples formas,
un enorme poder para ejecutar consultas grandes, la garantía de que los
datos están seguros y mucho más. Eso es exactamente lo que proporciona
el análisis de Azure Synapse.
Nota Azure Synapse
Azure Synapse es la próxima evolución de otro servicio de Azure llamado SQL Data
Warehouse. Si bien es cierto que Azure Synapse es el reemplazo de SQL Data
Warehouse, también es importante tener en cuenta que Azure Synapse agrega mucha
más funcionalidad.
SQL Data Warehouse se centró principalmente en el almacenamiento de macrodatos
(denominado almacenamiento ), pero Azure Synapse proporciona esa funcionalidad
además de potentes funciones de análisis.
Azure Synapse se ejecuta en un clúster de Azure Synapse . Un clúster es
una combinación de cuatro componentes diferentes:
•
Synapse SQL
•
Integración con Apache Spark
•
Integración de datos de Spark y Azure Data Lake Storage
Una interfaz de usuario basada en web denominada Azure
Synapse Studio
•
Sugerencia para el examen
En el momento de escribir este artículo, Azure Synapse está en
versión preliminar y cambia con frecuencia. La mayor parte de la
información que necesita saber para el examen AZ-900 es de alto
nivel, pero aún existe la posibilidad de que Azure Synapse haya
cambiado desde que se escribió este contenido. Verifique la
información de Azure Synapse disponible
en https://azure.microsoft.com/en-us/services/synapse-analytics/ .
Synapse SQL es la parte de almacenamiento de datos de Azure
Synapse. Con Synapse SQL, puede ejecutar consultas potentes contra su
big data. Estas consultas se ejecutan en nodos informáticos y varios nodos
informáticos se ejecutan al mismo tiempo, lo que permite que varias
consultas se ejecuten en paralelo. Cada nodo de cómputo también ejecuta
un componente llamado Servicio de movimiento de datos (DMS) que
mueve los datos de manera eficiente entre los nodos de cómputo.
Las consultas se ejecutan en los nodos de cálculo para separar el trabajo
de la consulta del almacenamiento de datos. Esto hace posible escalar el
número de nodos de cómputo fácilmente cuando se necesita más potencia
para sus consultas. Esto también le permite pausar la potencia de
cómputo que está utilizando para que solo pague por el almacenamiento
cuando no necesite ejecutar consultas.
Muchos consumidores de big data utilizan un motor de procesamiento de
big data de terceros llamado Apache Spark, y Azure Synapse se integra
estrechamente con el motor Spark. Las características de Spark se
incorporan automáticamente en Azure Synapse cuando crea un clúster.
Azure Synapse integra la funcionalidad de Apache Spark con Azure Data
Lake Storage. Azure Data Lake Storage está diseñado para almacenar
grandes cantidades de datos que le gustaría analizar, pero Data Lake
Storage está diseñado para una amplia variedad de datos en lugar de
datos relacionales. En un lago de datos, los datos se almacenan
en contenedores . Cada contenedor normalmente contiene datos
relacionados.
Tenga en cuenta que no solo Azure
Los términos lago de datos y almacén de datos no son específicos de Azure. Son
términos genéricos. Un lago de datos se refiere a un repositorio de datos desordenados
y un almacén de datos se refiere a un repositorio de datos ordenados.
Azure Synapse facilita el análisis y la administración de datos con un
portal basado en web llamado Azure Synapse Studio. Una vez que haya
creado su espacio de trabajo de Azure Synapse, simplemente haga clic en
un botón para iniciar Synapse Studio y, desde allí, podrá administrar y
analizar sus datos fácilmente.
HDInsight
HDInsight permite crear y administrar fácilmente clústeres de equipos en
un marco común diseñado para realizar el procesamiento distribuido de
macrodatos. Básicamente, HDInsight es el servicio administrado de
Microsoft que proporciona una implementación basada en la nube de una
popular plataforma de análisis de datos llamada Hadoop. Sin embargo,
también admite muchos otros tipos de clústeres, como se muestra en
la Tabla 3-3 .
TABLA 3-3 Tipos de clústeres compatibles con HDInsight
Tipo de
Descripción
clúster
Hadoop
Procesamiento de datos a gran escala que puede incorporar componen
adicionales, como Hive (para consultas similares a SQL), Pig (para usar
scripting) y Oozie (un sistema de programación de flujo de trabajo)
HBase
Base de datos NoSQL extremadamente rápida y escalable
Tormenta
Procesamiento rápido y confiable de flujos de datos ilimitados en tiemp
Chispa chispear
Análisis extremadamente rápido con caché en memoria en múltiples op
paralelo
Consulta
interactiva
Análisis en memoria mediante Hive y LLAP (procesos que ejecutan frag
consultas de Hive)
Tipo de
clúster
Descripción
Servidor R
Análisis de nivel empresarial con R, un lenguaje especializado en anális
Kafka
Procesamiento extremadamente rápido de una gran cantidad de flujos
síncronos, a menudo desde dispositivos IoT.
Crear su propio clúster requiere mucho tiempo y, a menudo, es difícil a
menos que tenga experiencia previa. Con HDInsight, Microsoft hace todo
el trabajo pesado en su propia infraestructura.Se beneficia de un entorno
seguro, uno que es fácilmente escalable para manejar enormes tareas de
procesamiento de datos.
Un clúster de HDInsight realiza análisis dividiendo grandes bloques de
datos en segmentos que luego se entregan a los nodos dentro del
clúster. Luego, los nodos realizan análisis de los datos y los reducen a un
conjunto de resultados. Todo este trabajo ocurre en paralelo para que las
operaciones se completen dramáticamente más rápido de lo que serían de
otra manera. Al agregar nodos adicionales a un clúster, puede aumentar el
poder de sus análisis y procesar más datos aún más rápido.
Cuando crea un clúster de HDInsight, especifica el tipo de clúster que
desea crear y le asigna un nombre como se muestra en la Figura 315 . También especificará un nombre de usuario y una contraseña para
acceder al clúster y un usuario SSH para un acceso remoto seguro.
FIGURA 3-15 Creación de un clúster de HDInsight Hadoop
Después de hacer clic en el botón Siguiente: Almacenamiento, configura la
cuenta de almacenamiento y el acceso a Data Lake Storage si lo
desea. Observe en la Figura 3-16 que solo ve Data Lake Storage
Gen1. Para usar Data Lake Storage Gen2, primero debe crear una cuenta
de Data Lake Storage Gen2 y realizar algunos cambios de configuración,
como se documenta en https://docs.microsoft.com/enus/azure/hdinsight/hdinsight-hadoop-use -data-lake-storage-gen2 .
FIGURA 3-16 Configuración de la cuenta de almacenamiento de un
clúster de HDInsight
Una vez que inicie la creación de su clúster de Hadoop, puede tardar hasta
20 minutos en completarse, según su configuración. Una vez que su
clúster esté listo, puede comenzar el análisis de datos escribiendo
consultas en él. Incluso si sus consultas están analizando millones de filas,
HD Insight puede manejarlo y, si necesita más potencia de procesamiento,
puede agregar nodos adicionales según sea necesario.
Los clústeres de HD Insight se facturan por hora y usted paga más por
hora en función de la potencia de las máquinas de su clúster. Para obtener
detalles completos de precios,
consulte: https://azure.microsoft.com/pricing/details/hdinsight/ .
Azure Databricks
Los datos que se almacenan en un almacén de datos o en un lago de datos
suelen ser datos sin procesar que a menudo no están estructurados y son
difíciles de consumir. Además, es posible que necesite datos que
provengan de varias fuentes, algunas de las cuales incluso pueden estar
fuera de Azure. Azure Databricks es una solución ideal para acumular
datos y para formar los datos (llamado modelado de datos ) para que sea
óptima para los modelos de aprendizaje automático.
Más información Modelos de aprendizaje automático
Aprenderá sobre los modelos de aprendizaje automático en la siguiente sección de este
capítulo.
La figura 3-17 muestra una nueva instancia de un recurso de Azure
Databricks. Toda su interactividad con Databricks se realiza a través del
espacio de trabajo de Databricks, que es un portal basado en web para
interactuar con sus datos. Para acceder al espacio de trabajo, haga clic en
el botón Iniciar área de trabajo que se muestra en la Figura 3-17 .
FIGURA 3-17 Una instancia de Azure Databricks en Azure Portal
Más información Databricks
Databricks es en realidad el nombre de una empresa que desarrolló originalmente
Apache Spark. Ahora opera una plataforma de análisis de datos llamada
Databricks. Puede tener la tentación de pensar en Azure Databricks como la
plataforma Databricks que se ejecuta como un servicio en Azure, pero es mucho más
que eso. De hecho, Microsoft creó de forma nativa Databricks Runtime para
ejecutarse en Azure, y Azure Databricks proporciona muchas más características
únicas fuera de la plataforma Databricks desarrollada por Databricks.
Al hacer clic en Iniciar área de trabajo, se lo lleva al área de trabajo de
Databricks. Azure iniciará sesión automáticamente cuando haga esto con
su cuenta de Azure. En este ejemplo, la instancia de Databricks está
completamente vacía en este punto. A lo largo del lado izquierdo de la
página (como se muestra en la Figura 3-18 ) hay enlaces para acceder a
todas las entidades de Databricks, como espacios de trabajo, tablas y
trabajos. También hay una sección de Tareas comunes, que le permite
acceder a estas entidades; Además, puede crear nuevos cuadernos, que se
detallan más adelante en este capítulo.
FIGURA 3-18 El espacio de trabajo de Azure Databricks
Ahora creemos un clúster. Databricks hace todo su trabajo utilizando
clústeres, que son los recursos informáticos. Para crear un clúster, puede
hacer clic en Nuevo clúster en Tareas comunes. Ahora verá la pantalla
Crear clúster que se muestra en la Figura 3-19 , donde el nuevo clúster se
ha denominado jcCluster y todas las demás opciones están configuradas
con sus valores predeterminados.
FIGURA 3-19 Creación de un clúster de Databricks
A continuación, crearemos un cuaderno. Los cuadernos son una forma
poderosa de presentar e interactuar con datos relacionados. Cada
cuaderno contiene datos, así como visualizaciones y documentación para
ayudarnos a comprender los datos. Una vez que sus datos están en su
computadora portátil, puede ejecutar comandos en los marcos de
aprendizaje automático para construir su modelo de aprendizaje
automático dentro de su computadora portátil.
Hacer clic en el botón Azure Databricks en el menú de la izquierda (que se
muestra en la Figura 3-18 ) le permite hacer clic en Nuevo cuaderno para
crear un cuaderno. En la Figura 3-20 , hemos creado un nuevo cuaderno
que usa SQL como idioma principal. Databricks asume que el código
escrito en este cuaderno será código SQL a menos que se
especifique. También puede optar por especificar Python, Scala o R como
lenguaje.
Más información Lenguajes de programación
Python, Scala y R son lenguajes de programación que se usan comúnmente para
programar modelos de aprendizaje automático.
FIGURA 3-20 Creación de un cuaderno
Después de crear una nueva libreta, verá una libreta vacía con una
celda. Dentro de esa celda, puede ingresar cualquier dato que desee. Por
ejemplo, es posible que desee tener documentación que defina lo que
contiene este cuaderno. La documentación en los cuadernos se ingresa
usando Markdown , un lenguaje que se adapta bien a la escritura de
documentación. La Figura 3-21 muestra el nuevo cuaderno con algunas
rebajas que documentan lo que hay en el cuaderno. Observe que
Markdown comienza con % md . Esto le dice a Databricks cómo el
contenido que sigue está en Markdown y no en el idioma principal de SQL.
FIGURA 3-21 Documentación de un cuaderno con Markdown
Si hace clic fuera de esta celda, el código de descuento se representará en
formato HTML. Para agregar algunos datos a este cuaderno, debe crear
una nueva celda presionando B en su teclado o colocando el cursor sobre
la celda existente y haciendo clic en el botón + para agregar una nueva
celda.
Nota Atajos de teclado
Los atajos de teclado son, con mucho, la forma más rápida de trabajar en
Databricks. Puede encontrar la lista completa de atajos de teclado haciendo clic en el
enlace Atajos que se muestra en la Figura 3-21 .
Después de presionar B en su teclado, se inserta una nueva celda al final
de su computadora portátil. Puede ingresar algún código SQL en esta
celda para completar una tabla con algunos datos, como se muestra en
la Figura 3-22 . (Este código se tomó del tutorial de inicio rápido de
Databricks en https://docs.azuredatabricks.net/gettingstarted/index.html ). Después de ingresar su código, puede ejecutarlo
haciendo clic en el botón Ejecutar.
FIGURA 3-22 Agregar código y ejecutar un comando
Más información de dónde provienen los datos
Observe que la ruta ingresada para los datos comienza con / databricks-datasets . Al
crear un clúster, obtiene acceso a una colección de conjuntos de datos denominados
Conjuntos de datos de Azure Databricks. En estos conjuntos de datos se incluyen
algunos datos de muestra en formato de valores separados por comas, y la ruta
especificada apunta a esos datos. Cuando se ejecuta este comando, extrae esos datos a
su computadora portátil.
Puede ejecutar una consulta con los datos que se agregaron utilizando el
comando que se muestra en la Figura 3-22 escribiendo una consulta SQL
en una nueva celda. La figura 3-23 muestra los resultados de una consulta
con los datos.
FIGURA 3-23 Consulta de datos
Cuando ejecuta comandos en una celda, Databricks crea un trabajo que se
ejecuta en los recursos informáticos que asignó a su clúster. Databricks
utiliza un modelo informático sin servidor. Eso significa que cuando no
está ejecutando ningún trabajo, no tiene ninguna máquina virtual ni
recursos informáticos asignados. Cuando ejecuta un trabajo, Azure
asignará máquinas virtuales a su clúster temporalmente para procesar
ese trabajo. Una vez que se completa el trabajo, libera esos recursos.
Este ejemplo es bastante simple, pero ¿cómo se relaciona todo esto con el
aprendizaje automático? Azure Databricks incluye Databricks Runtime
for Machine Learning (Databricks Runtime ML) para que pueda usar
datos en Databricks para entrenar algoritmos de aprendizaje
automático. Databricks Runtime ML incluye varias bibliotecas populares
para el aprendizaje automático, que incluyen: Keras, PyTorch,
TensorFlow y XGBoost. También permite utilizar Horovod para
algoritmos distribuidos de aprendizaje profundo. Puede utilizar estos
componentes sin utilizar Databricks Runtime ML. Son de código abierto y
están disponibles gratuitamente, pero Databricks Runtime ML le ahorra la
molestia de aprender a instalarlos y configurarlos.
Sugerencia para el examen
Una discusión sobre cómo se programan los modelos de aprendizaje
automático está fuera del alcance del examen AZ-900, y no lo
discutiremos aquí. El punto importante a recordar es que Databricks
funciona con marcos de aprendizaje automático de terceros para
permitirle crear modelos de aprendizaje automático.
Para usar Databricks Runtime ML, deberá especificarlo cuando cree su
clúster o editar su clúster existente para usarlo. Puede hacerlo eligiendo
uno de los tiempos de ejecución de ML, como se muestra en la Figura 324 .
FIGURA 3-24 Databricks Runtime ML en configuración de clúster
No está limitado a las bibliotecas incluidas con Databricks Runtime
ML. Puede configurar casi cualquier herramienta de aprendizaje
automático de terceros en Azure Databricks, y Microsoft proporciona
algunos consejos sobre cómo hacerlo en su documentación ubicada
en https://bit.ly/az900-thirdpartyml .
Sugerencia para el examen
Es posible que haya notado varias referencias a Spark en
Databricks. Eso es porque Databricks se basa en Apache Spark.
Una vez que haya creado su modelo de aprendizaje automático en
Databricks, puede exportarlo para usarlo en un sistema de aprendizaje
automático externo. Este proceso se conoce como producción de la
canalización de aprendizaje automático, y Databricks le permite realizar
la producción mediante dos métodos diferentes: MLeap y Databricks ML
Model Export.
MLeap es un sistema que puede ejecutar un modelo de aprendizaje
automático y realizar predicciones basadas en ese modelo. Databricks le
permite exportar su modelo a lo que se llama un paquete MLeap. Luego,
puede usar ese paquete en MLeap para ejecutar su modelo con datos
nuevos.
Databricks ML Model Export está diseñado para exportar sus modelos y
canalizaciones de aprendizaje automático para que puedan usarse en
otras plataformas de aprendizaje automático. Está diseñado
específicamente para exportar modelos y canalizaciones de aprendizaje
automático basados en Apache Spark.
Aprendizaje automático de Azure
Azure Machine Learning es un servicio que le permite adentrarse en el
mundo de la inteligencia artificial o IA . Para comprender realmente el
aprendizaje automático de Azure, primero debe tener una base de
conocimientos de inteligencia artificial y aprendizaje automático.
Inteligencia artificial
Antes de ir demasiado lejos en la IA, primero lleguemos a un acuerdo
sobre lo que entendemos por IA. Cuando muchas personas piensan en la
IA de las computadoras, la imagen que les viene a la mente es un androide
que mata a los humanos o alguna otra tecnología hostil obsesionada con
librar al mundo de los humanos. Se sentirá aliviado al saber que en
realidad eso no es lo que significa la IA en este contexto.
La IA de hoy se llama Inteligencia Artificial Estrecha (oa veces IA débil), y
se refiere a una IA que es capaz de realizar una tarea específica de manera
mucho más eficiente de lo que un humano puede realizar esa misma
tarea. Toda la IA que hemos desarrollado hasta ahora es una IA débil. En
el otro extremo del espectro de la IA está la Inteligencia General Artificial
o IA fuerte. Este es el tipo de IA que se muestra en películas y libros de
ciencia ficción, y actualmente no tenemos este tipo de capacidad.
En muchos sentidos, es un poco engañoso llamar débil a la tecnología de
inteligencia artificial existente. Si lo coloca en el contexto de la IA fuerte
imaginaria, ciertamente tiene capacidades limitadas, pero la IA débil
puede hacer cosas extraordinarias, y es casi seguro que se beneficie de
sus capacidades todos los días. Por ejemplo, si habla con su teléfono o su
altavoz inteligente y entiende lo que ha dicho, se ha beneficiado de la IA.
En la edición de 1973 de Perfiles del futuro , el famoso escritor de ciencia
ficción Arthur C. Clarke dijo: "Cualquier tecnología lo suficientemente
avanzada es indistinguible de la magia". Si bien la inteligencia artificial
aún no existía cuando Clarke hizo esta afirmación, las capacidades que la
inteligencia artificial hace posible son ciertamente aplicables, pero la
inteligencia artificial no es mágica. La IA es en realidad matemáticas y,
como le dirá cualquiera que esté familiarizado con las computadoras, las
computadoras son muy buenas en matemáticas.
Para desarrollar las capacidades de la IA, los ingenieros informáticos se
propusieron brindar a las computadoras la capacidad de "aprender" de la
misma manera que aprende el cerebro humano. Nuestros cerebros están
formados por neuronas y sinapsis. Cada neurona se comunica con todas
las demás neuronas del cerebro y juntas forman lo que se conoce como
red neuronal. Si bien cada neurona por sí sola no puede hacer mucho,
toda la red es capaz de realizar cosas extraordinarias.
La IA funciona creando una red neuronal digital. Cada parte de esa red
neuronal puede comunicarse y compartir información con todas las
demás partes de la red. Al igual que nuestro cerebro, una red neuronal de
computadora toma entradas, las procesa y proporciona resultados. La IA
puede utilizar muchos métodos para procesar la entrada, y cada método
es un subconjunto de la IA. Los dos más comunes son la comprensión del
lenguaje natural y el aprendizaje automático.
La comprensión del lenguaje natural es una inteligencia artificial diseñada
para comprender el habla humana. Si intentáramos programar una
computadora para comprender la palabra hablada por medios
informáticos tradicionales, un ejército de programadores tardaría
décadas en llegar a un reconocimiento utilizable. No solo tendrían que
tener en cuenta los acentos y las diferencias de vocabulario que ocurren
en diferentes regiones geográficas, sino que también tendrían que tener
en cuenta el hecho de que las personas a menudo pronuncian las palabras
de manera diferente incluso en las mismas regiones. Las personas
también tienen diferentes cadencias del habla, y eso hace que algunas
palabras funcionen juntas. La computadora tiene que saber cómo
distinguir palabras individuales cuando eso no sea fácil de hacer. Además
de toda esta complejidad, la computadora debe tener en cuenta el hecho
de que el lenguaje es algo en constante cambio.
Más información sobre servicios cognitivos
Azure ofrece numerosas opciones para la comprensión del lenguaje natural. Estos
servicios están incluidos en Servicios cognitivos y se tratan en la siguiente sección.
Dada esta complejidad, ¿cómo es que Amazon desarrolló el Echo? ¿Cómo
ha entendido Siri lo que estás diciendo? ¿Cómo sabe Cortana hacer una
broma inteligente cuando le preguntamos sobre Siri? La respuesta en
todos estos casos es la IA. Tenemos millones de horas de grabaciones de
audio y tenemos millones de horas más en videos que incluyen audio. Hay
tantos datos disponibles que ningún ser humano podría procesarlos
todos, pero una computadora procesa los datos mucho más
rápidamente. No solo tiene más vías analíticas que los humanos, sino que
también procesa la información mucho más rápidamente.
Más información Las computadoras son rápidas
Cuando digo que las computadoras pueden procesar información más rápidamente
que los humanos, ¡lo digo en serio! La información en un cerebro humano viaja entre
neuronas a una velocidad que está apenas por debajo de la velocidad del sonido. Si
bien es bastante rápido para nuestras necesidades, no es nada comparado con las
computadoras. La información en una red neuronal de IA viaja a la velocidad de la
luz, y eso es lo que permite a las computadoras procesar enormes cantidades de
datos. De hecho, el sistema de inteligencia artificial de una computadora puede
procesar 20.000 años de aprendizaje a nivel humano en solo una semana.
Si alimentamos todas esas grabaciones en un motor de comprensión del
lenguaje natural, tiene muchos ejemplos para determinar qué palabras
estamos hablando cuando le decimos algo a un altavoz inteligente o un
teléfono inteligente, y determinar el significado de estas palabras es
simplemente un patrón reconocimiento. Mientras Apple, Amazon y
Microsoft estaban trabajando en esta tecnología, la ajustaron al recibir sus
comentarios. A veces, es posible que te pregunten si lo hicieron bien y, en
otras ocasiones, podrían asumir que se equivocaron en algo si te retiraste
temprano de la conversación. Con el tiempo, el sistema mejora y mejora a
medida que obtiene más datos.
El aprendizaje automático (ML) es similar en el sentido de que utiliza una
red neuronal para realizar una tarea, pero la tarea es diferente de
comprender el habla. De hecho, el aprendizaje automático se puede
utilizar en muchas aplicaciones. Uno de los usos comunes del aprendizaje
automático es el reconocimiento de imágenes. Resulta que las redes
neuronales de IA son particularmente buenas para reconocer patrones en
imágenes y, al igual que el audio, tenemos una enorme cantidad de datos
con los que trabajar.
Es probable que todos sepamos que los satélites han estado fotografiando
la superficie de la tierra durante bastante tiempo. Tenemos imágenes
detalladas de casi cada centímetro cuadrado de nuestro planeta, y esas
imágenes son valiosas de muchas maneras. Por ejemplo, los científicos
que están trabajando en esfuerzos de conservación se benefician al saber
cómo nuestro planeta está cambiando con el tiempo. Los ingenieros
forestales necesitan conocer la salud de nuestros bosques. Los
conservacionistas de la vida silvestre necesitan saber dónde concentrar
los esfuerzos y dónde los animales están en mayor riesgo. Al aplicar un
modelo de aprendizaje automático a todas estas imágenes, Microsoft
puede satisfacer todas estas necesidades.
Más información Microsoft AI for Earth
Para obtener más información sobre todas las formas en que Microsoft utiliza la
inteligencia artificial para la conservación y las ciencias de la tierra,
consulte http://aka.ms/aiforearth .
La IA de análisis de imágenes no se limita a la escala planetaria. También
es útil cuando queremos buscar en nuestras propias imágenes. Quizás
quieras encontrar todas las fotografías que has tomado de una persona en
particular, o quizás estés interesado en encontrar todas tus fotografías de
flores. Es probable que su teléfono pueda hacer este tipo de cosas, y lo
hace mediante el uso de IA y ML. De hecho, Google Photos incluso puede
identificar a personas específicas en las fotos cuando el tiempo entre dos
fotos es de décadas. Todo esto usa ML.
ML utiliza un algoritmo de aprendizaje que es la base de la IA. Una vez
que se desarrolla el algoritmo, le da datos de prueba y examina el
resultado. Según ese resultado, puede determinar que necesita modificar
el algoritmo. Una vez que el algoritmo es adecuado para su tarea,
normalmente lo implementa en un entorno donde tiene una amplia gama
de recursos informáticos que puede asignarle. A continuación, puede
enviarle grandes cantidades de datos para su procesamiento. A medida
que el algoritmo maneja más datos, puede mejorarse reconociendo
patrones.
Por lo general, cuando está probando un modelo de AA, configura un
escenario en el que solo una parte de su conjunto de datos completo se
envía a su modelo para su entrenamiento. Una vez que su modelo está
entrenado, envía el resto de sus datos a través de su modelo para calificar
los resultados. Debido a que está tratando con un conjunto de datos
históricos, ya sabe lo que su modelo está tratando de averiguar, por lo que
puede determinar con precisión la precisión de su modelo. Una vez que
haya logrado la precisión deseada de su modelo, puede implementarlo y
comenzar a usarlo con los datos de producción.
Incluso con un modelado y una puntuación cuidadosos, los algoritmos de
ML pueden cometer errores. En un artículo sobre ML publicado en 2016,
Marco Ribeiro, Sameer Singh y Carlos Guestrin escribieron sobre un
experimento de ML que fue diseñado para mirar imágenes y diferenciar
entre perros y lobos. Resulta que el algoritmo estaba cometiendo muchos
errores, pero los humanos no podían entender por qué.
Cuando probaron el algoritmo ML para determinar cómo estaba tomando
estas decisiones incorrectas, encontraron que el algoritmo había llegado a
la conclusión de que las imágenes con lobos tenían un fondo nevado y las
imágenes con perros tenían pasto de fondo. Por lo tanto, cada foto con
una criatura parecida a un perro que se tomó sobre un fondo nevado se
clasificó inmediatamente (a veces incorrectamente) como un lobo.
Más información IA y confianza
La analogía del lobo ilustra una de las principales preocupaciones de la IA, que es
cómo determinar cuándo confiar en un modelo de IA. Si desea profundizar en este
concepto, consulte este documento al que se hace referencia
en https://arxiv.org/pdf/1602.04938.pdf .
Ahora que tiene algunos conocimientos básicos, está en una mejor
posición para comprender lo que ofrece Azure con Azure Machine
Learning.
Aprendizaje automático en Azure
Azure Machine Learning está diseñado para que el aprendizaje
automático sea accesible para casi cualquier persona. Ofrece SDK tanto
para Python como para R, y también ofrece un entorno de arrastrar y
soltar y un modo automatizado para crear y entrenar modelos ML de
manera más fácil y visual.
Azure Machine Learning está disponible en dos ediciones; Básico y
Empresarial. La edición básica solo ofrece acceso a los SDK y portátiles de
ML. La edición Enterprise ofrece las características de la edición básica,
pero agrega muchas características adicionales, incluidos los diseñadores
visuales.
Nota Estudio de aprendizaje automático
Microsoft también tiene un Machine Learning Studio independiente que se ejecuta en
su propio portal, pero esa oferta está obsoleta en favor de Azure Machine
Learning. Puede ser un poco confuso porque Azure Machine Learning también ofrece
un estudio, pero es una oferta diferente.
Para comenzar con Azure Machine Learning, primero cree un área de
trabajo de Azure Machine Learning. Una vez que haya creado su espacio
de trabajo, puede comenzar a construir modelos, entrenar modelos,
ejecutar experimentos, etc. Como puede ver en la figura 3-25 , se le
dirigirá al estudio de Azure Machine Learning para la mayoría de las
operaciones.
FIGURA 3-25 Un espacio de trabajo de Azure Machine Learning
Al hacer clic en el botón Launch Now que se muestra en la Figura 3-25,
se inicia el estudio donde puede construir sus modelos ML. Como se
muestra en la Figura 3-26 , también puede cargar algunos ejemplos en el
estudio para poder experimentar con Azure Machine Learning.
FIGURA 3-26 Estudio de Azure Machine Learning que muestra la página
del diseñador
El precio de Azure Machine Learning se basa en su uso. Se le factura por
una máquina virtual donde se ejecutan sus activos de Azure Machine
Learning. También se le cobra un recargo por aprendizaje automático y
una pequeña cantidad por hora de uso. Si desea ahorrar dinero, puede
optar por reservar su uso durante un año a un costo reducido o tres años
con una reducción de costo mayor.
Servicios cognitivos
Microsoft ofrece numerosas interfaces de programación de aplicaciones
(API) que pueden ayudarlo a desarrollar rápidamente soluciones de
aprendizaje automático. Estas ofertas le permiten acelerar sus
capacidades de aprendizaje automático aprovechando el trabajo que
Microsoft ha realizado para respaldar sus propios servicios como Bing,
Microsoft 365 y más. Puede pensar en los servicios cognitivos como
modelos de aprendizaje automático SaaS que puede utilizar directamente
en sus soluciones de aprendizaje automático sin el gasto de desarrollar
las suyas propias.
Más información Los servicios cognitivos son muchos
Microsoft ofrece muchas API en Cognitive Services y el número crece
constantemente. Cubriremos algunos de ellos aquí, pero hay demasiados para
cubrirlos todos en este libro. Si desea leer sobre todos ellos, puede hacerlo
en https://bit.ly/az900-cognitiveapis .
Cognitive Services incluye una API llamada Computer Vision que facilita la
creación de un motor de aprendizaje automático que puede extraer
información de imágenes. Computer Vision puede hacer cosas como
reconocer objetos o reconocer una escena, pero también puede reconocer
contenido inapropiado para que puedas moderar imágenes. Si desea ver
Computer Vision en acción, puede ingresar la URL de una imagen o cargar
su propia imagen para su análisis en https://bit.ly/az900-computervision .
En esa misma línea, la API Video Indexer puede analizar el contenido de
video y extraer información de ese contenido. Puede agregar fácilmente
subtítulos en varios idiomas, reconocer personas y objetos y buscar
videos que contengan palabras, personas o incluso emociones específicas.
También hay disponibles numerosas API de voz, desde Speech
Translation, que ofrece traducción de idiomas en tiempo real hasta
Speaker Recognition, una API que puede analizar el habla e identificar al
hablante. Las API de lenguaje ofrecen la capacidad de comprender los
comandos escritos (útil para crear algo como un agente de chat
automatizado) o Análisis de texto para comprender la opinión del usuario
en el texto.
Cognitive Services también proporciona API de decisión que le permiten
hacer cosas como contenido moderado en imágenes, texto o
video. También puede ofrecer a los usuarios una experiencia de usuario
personalizada utilizando la API Personalizer.
El precio de Azure Cognitive Services es transaccional. Eso significa que
paga una pequeña cantidad por las transacciones que procesa a través del
servicio. Para obtener una descripción general completa de los precios de
Cognitive Services, visite https://azure.microsoft.com/enus/pricing/details/cognitive-services/ .
Servicio de bot de Azure
Uno de los casos de uso común de Cognitive Services es crear
experiencias de conversación con IA. Estas experiencias son comunes en
Internet. De hecho, la mayoría de las empresas que ofrecen algún tipo de
interacción por chat casi siempre comienzan con un agente
automatizado. Los servicios cognitivos pueden ayudar a lograr una
experiencia de calidad en esas situaciones.
Para facilitar aún más la creación de una interacción potente impulsada
por la inteligencia artificial, Microsoft ofrece Azure Bot Service. Azure Bot
Service es una oferta de PaaS que se ejecuta en Azure App Service. Eso
significa que hereda todas las funciones de App Service, como un escalado
sencillo y una configuración sencilla.
Puede crear un servicio de bot mediante la plantilla de bot de aplicación
web en el portal de Azure. Como se muestra en la Figura 3-27 , puede
elegir entre C # y Node.js para el idioma de su SDK, y puede elegir entre
diferentes plantillas de bot para sus necesidades específicas.
Una vez que haya creado su Bot Service, tiene la opción de descargar el
código para que pueda personalizarlo, como se muestra en la Figura 328 . De hecho, el portal de Azure lo guiará a través de todo lo que necesita
hacer para comenzar con su bot. Esto incluye editar el código fuente,
crear el código fuente, ver análisis, etc. Todas estas tareas son parte
del Bot Framework que Microsoft desarrolló para agilizar la creación de
bots.
FIGURA 3-27 Creación de un bot en Azure Bot Service
FIGURA 3-28 Un servicio de bot de Azure en el portal de Azure
Mientras desarrolla su bot, puede usar el elemento de menú Probar en
chat web en el lado izquierdo del portal (que se muestra en la Figura 328 ) para probar cómo van las cosas. Después de hacer clic en eso, se le
pedirá el tipo de cosas que puede decirle al bot. En la Figura 3-29 , puede
ver la interacción disponible en la plantilla de Bot básico proporcionada
por Microsoft.
FIGURA 3-29 Interacción con un bot mediante la función de prueba en
Azure Portal
Azure Bot Service se puede conectar a muchos servicios populares como
Slack, Facebook Messenger, Microsoft Teams y más. Cada uno de estos se
considera un canal dentro del Bot Service, y los canales que proporciona
Microsoft se denominan canales estándar . Sin embargo, también puede
usar lo que Microsoft llama Direct Line para conectar su bot a su propia
aplicación o sitio web. Direct Line se considera un canal premium y
costará una pequeña cantidad por los mensajes que utiliza.
Sugerencia para el examen
Debido a que Bot Service se ejecuta en Azure App Service, también se
le cobra por un plan de App Service cuando crea un Bot Service.
Computación sin servidor
Como ya ha aprendido, una de las grandes ventajas de pasar a la nube es
que puede aprovechar las grandes cantidades de infraestructura en las
que han invertido los proveedores de la nube. Puede crear máquinas
virtuales en la nube y pagarlas solo cuando se estén ejecutando. A veces,
solo necesita "pedir prestada" una computadora para ejecutar un cálculo
o realizar una tarea rápida. En esas situaciones, un entorno sin servidor
es ideal. En una situación sin servidor, solo paga cuando su código se
ejecuta en una máquina virtual. Cuando su código no se está ejecutando,
no paga nada.
El concepto de computación sin servidor surgió porque los proveedores
de la nube tenían máquinas virtuales sin usar en sus centros de datos y
querían monetizarlas. Todos los proveedores de la nube necesitan
capacidad excedente para poder satisfacer las necesidades de los clientes,
pero cuando las máquinas virtuales están esperando a un cliente que
podría querer usarlas, significa una pérdida de ingresos para el proveedor
de la nube. Para resolver ese problema, los proveedores de la nube
crearon planes basados en el consumo que le permiten ejecutar su código
en estas máquinas virtuales excedentes, y solo paga por su uso mientras
su código se está ejecutando.
Sugerencia para el examen
Es importante comprender que "sin servidor" no significa que no
haya máquinas virtuales involucradas. Simplemente significa que la
máquina virtual que ejecuta su código no se le asigna
explícitamente. Su código se mueve a la VM, se ejecuta y luego se
mueve.
Debido a que su código sin servidor se ejecuta en capacidad excedente, los
proveedores de la nube generalmente ofrecen grandes descuentos en
planes basados en el consumo. De hecho, para cargas de trabajo
pequeñas, es posible que no pague nada en absoluto.
Cognitive Services es un ejemplo de un servicio sin servidor, pero Azure
tiene muchos otros servicios sin servidor, muchos de los cuales no
encajan en las categorías que ya hemos discutido. Son Azure Functions
para procesamiento sin servidor, Azure Logic Apps para flujos de trabajo
sin servidor y Azure Event Grid para enrutamiento de eventos sin
servidor.
Funciones de Azure
Azure Functions es el componente informático de las ofertas sin servidor
de Azure. Eso significa que puede usar Funciones para escribir código sin
tener que preocuparse por implementar ese código o crear máquinas
virtuales para ejecutar su código. Las aplicaciones que usan Azure
Functions a menudo se denominan aplicaciones de función .
Más información Función Aplicaciones USE App Service
Las aplicaciones funcionales no tienen servidor, pero, bajo el capó, se ejecutan en
Azure App Service. De hecho, puede optar por crear su aplicación de función en un
plan de servicio de aplicaciones, pero si lo hace, no se beneficiará del modelo de
consumo de pagar solo cuando se ejecute su código.
Las funciones se pueden crear de muchas formas diferentes. Puede crear
una aplicación de función usando:
•
Microsoft Visual Studio
•
Código de Microsoft Visual Studio
•
Maven para aplicaciones de funciones Java
Línea de comandos de Python para aplicaciones de funciones
de Python
•
Interfaz de línea de comandos (CLI) de Azure en Windows o
Linux
•
•
El portal de Azure
Suponiendo que no está creando su aplicación de función con un método
específico para un lenguaje en particular, puede elegir entre .NET Core,
Node.js, Python, Java o PowerShell Core si está usando la opción
Código. También tiene la opción de crear su aplicación de función
utilizando un contenedor Docker en una máquina virtual Linux.
En la Figura 3-30 , estamos creando una aplicación de función en el portal
de Azure y hemos seleccionado .NET Core como el tiempo de ejecución de
la aplicación de función para que podamos usar el lenguaje C # para
escribir funciones.
FIGURA 3-30 Creación de una nueva aplicación de función en Azure
Portal
Después de seleccionar su versión y pila de tiempo de ejecución, puede
configurar cómo se aloja su aplicación de función. Puede elegir entre
Linux y Windows como su sistema operativo, aunque algunas selecciones
de pila en tiempo de ejecución son válidas solo para uno de los
dos. También puede optar por ejecutar en un plan sin servidor (que es el
predeterminado) o ejecutar dentro de un plan de App Service. En
la Figura 3-31 , la aplicación de función se está configurando para
ejecutarse en Windows bajo el tipo de plan Consumo (sin servidor).
FIGURA 3-31 Configuración de opciones de alojamiento para una
aplicación de función
Una vez que su aplicación de funciones esté lista, puede abrirla en el
portal para comenzar a crear funciones. La figura 3-32 muestra la nueva
aplicación de función en Azure Portal.
FIGURA 3-32 Una nueva aplicación de función en Azure Portal
Desde aquí, puede crear una nueva función, proxy o ranura. Una función
es un código que se ejecuta cuando algo la activa. (Veremos los
desencadenantes pronto). Un proxy le permite configurar múltiples
puntos finales para su aplicación de función, pero exponerlos todos a
través de una única URL. Las tragamonedas le permiten crear una copia
de su aplicación de funciones que no está orientada al público. Puede
escribir código y probar esta copia, y cuando esté satisfecho de que está
lista para la producción, puede cambiarla a producción con solo hacer clic
en un botón. En App Service, esta función se llama Deployment Slots.
Si hace clic en Configuración de la aplicación de función en Características
configuradas (que se muestra en la Figura 3-32 ), podemos cambiar
algunas configuraciones para la Aplicación de función, como se muestra
en la Figura 3-33 .
FIGURA 3-33 Configuración de la aplicación de función
Desde esta pantalla, puede configurar una cuota diaria para su aplicación
de función. Una vez que alcance la cuota, Azure detendrá la aplicación de
funciones hasta el día siguiente. También puede cambiar la versión en
tiempo de ejecución de la aplicación de función. Esta es la versión en
tiempo de ejecución de Azure Functions y, aunque generalmente se
recomienda usar la última versión, si sus funciones se escribieron en una
versión anterior, no podrá actualizarlas simplemente cambiando la
versión aquí. Cambiar las versiones principales puede hacer que su
aplicación se rompa, por lo que Microsoft evitará que cambie la versión si
tiene funciones existentes en su aplicación de funciones.
También puede cambiar su aplicación de función al modo de solo lectura
para evitar cualquier cambio. Esto es útil si tiene varios desarrolladores
escribiendo código para su aplicación y no quiere que alguien cambie algo
sin su conocimiento. Finalmente, puede ver, renovar, revocar y agregar
nuevas claves de host. Se utiliza una clave de host para controlar el acceso
a sus funciones. Cuando crea una función, puede especificar si cualquiera
puede usarla o si se requiere una clave.
Sugerencia para el examen
Aunque una clave puede ayudar a proteger sus funciones, no están
diseñadas para ofrecer una seguridad completa de las aplicaciones
de funciones. Si desea proteger su aplicación de función del uso no
autorizado, debe usar las funciones de autenticación disponibles en
App Service para requerir autenticación. También puede utilizar
Microsoft API Management para agregar requisitos de seguridad a
su aplicación de funciones.
Si hace clic en Configuración (que se muestra en la Figura 3-32 ), puede
configurar los ajustes para la aplicación de función. Estas son
configuraciones específicas de App Service. La Figura 3-34 muestra
algunas de estas configuraciones, incluido si la aplicación se ejecuta en 32
o 64 bits, la versión HTTP, cómo puede acceder a sus archivos mediante
FTP y más.
FIGURA 3-34 Algunas de las configuraciones de la aplicación de función
Finalmente, si hace clic en la pestaña Características de la plataforma que
se muestra en la Figura 3-32 , puede ver todas las características
disponibles en la plataforma del Servicio de aplicaciones, como se
muestra en la Figura 3-35 . Desde aquí, puede configurar cosas como
certificados SSL, nombres de dominio personalizados para su aplicación
de función, autenticación llave en mano y más.
FIGURA 3-35 Funciones de la plataforma App Service disponibles para su
Function App
Para crear una nueva función, haga clic en el signo + , como se muestra en
la Figura 3-36 . A continuación, puede elegir su entorno de
desarrollo. Puede elegir Visual Studio, Visual Studio Code o un entorno de
desarrollo dentro de Azure Portal. Además, puede usar un editor de
código de su elección junto con las herramientas principales de Azure
Functions.
FIGURA 3-36 Creación de una función
Si elige cualquier opción que no sea In-Portal, deberá especificar cómo
desea implementar su función en App Service. Sus opciones dependen del
entorno de desarrollo que elija, pero normalmente implicará el uso de
características de su entorno para enviar la función directamente a App
Service o el uso del Centro de implementación de App Service. De
cualquier manera, la implementación es rápida y sencilla.
Dependiendo del entorno de desarrollo que elija, es probable que deba
completar algunos pasos de requisitos previos para desarrollar su
función. Verá una pantalla que le indicará cómo hacer que las cosas
funcionen correctamente. En la Figura 3-37 , puede ver lo que se requiere
para usar VS Code para desarrollar funciones. En la mayoría de los casos,
se le pedirá que instale Azure Functions Core Tools.
FIGURA 3-37 Creación de una función con Visual Studio Code y Azure
Functions Core Tools
Las funciones funcionan mediante un sistema basado en
disparadores. Cuando crea su función, elige un disparador que iniciará su
función. Cuando se activa, se ejecutará el código de su función. Por lo
general, querrá que su código de función haga algo simple. Si necesita una
función más compleja que realice muchas cosas, puede usar Proxies de
función para crear varias funciones que funcionenjuntos para completar
una tarea. Este tipo de desarrollo se conoce como microservicios y le
permite cambiar rápidamente la funcionalidad simplemente cambiando
una sola función.
Una vez que se activa su función y se ejecuta el código, puede elegir qué
sucede usando lo que se llama un enlace de salida . El tipo de enlaces que
puede utilizar depende del tipo de función que cree. La Figura 338 muestra algunos de los diferentes enlaces de salida disponibles cuando
se usa un HttpTrigger para una función. Esta función se ejecutará tan
pronto como se solicite una URL en particular.
FIGURA 3-38 Enlaces de salida en Azure Functions
Más información Funciones HttpTrigger
Las funciones de httpTrigger son increíblemente poderosas porque se pueden llamar
como webhook. Muchos servicios en línea admiten webhooks. En un escenario de
webhook, puede configurar un servicio para realizar una solicitud a una URL
particular en respuesta a eventos. Si configura ese webhook para llamar a la URL de
su función de Azure, puede agregar fácilmente una funcionalidad poderosa a su flujo
de trabajo.
También puede configurar múltiples salidas para su función. Sin embargo,
para flujos de trabajo más complejos, Logic Apps suele ser una mejor
opción y puede integrar Logic Apps directamente con Azure Functions.
Aplicaciones lógicas
Las aplicaciones lógicas son similares a las aplicaciones funcionales en
que se activan mediante un disparador, pero lo que sucede después de
eso es completamente diferente. A diferencia de las aplicaciones de
función, no es necesario escribir código para crear flujos de trabajo
potentes con las aplicaciones lógicas.
Nota Power Automate
Es posible que esté familiarizado con Power Automate, anteriormente llamado
Microsoft Flow. La tecnología subyacente de Power Automate es en realidad Logic
Apps. Es por eso que el diseñador de Power Automate se parece mucho a Logic Apps.
Un flujo de trabajo simplemente significa que una aplicación lógica
reacciona a algo que sucede y responde realizando una serie de tareas,
como enviar un correo electrónico, transferir datos a una base de datos,
etc. Puede hacer estas cosas en orden, pero también puede hacer dos
cosas a la vez. Por ejemplo, cuando un cliente solicita un producto desde
su sitio de comercio electrónico, es posible que desee
•
Actualice su recuento de inventario del producto
•
Genere una factura para el artículo
•
Envíe la factura por correo electrónico al cliente
•
Inscribe al cliente en tu newsletter
•
Genere una etiqueta de envío para el artículo
Logic Apps le permite crear fácilmente este tipo de flujos de trabajo
complejos y, dado que Logic Apps se integra con más de 100 servicios
(tanto servicios de Azure como de terceros), puede hacer casi cualquier
cosa en un flujo de trabajo de Logic Apps.
Hay tres componentes en Logic Apps que hacen posible los flujos de
trabajo: conectores, desencadenadores y acciones:
Un conector es un componente que conecta su aplicación
lógica a algo, como otro servicio de Azure, un servicio de terceros,
un servidor FTP, etc. Cada conector tendrá uno o más activadores y
acciones específicas para ese conector.
•
Un disparador es una acción específica que hará que se
ejecute el flujo de trabajo de la aplicación lógica.
•
•
Una acción es lo que hará su aplicación lógica como resultado.
Puede combinar varias acciones para un conector y también puede
combinar varios conectores para crear flujos de trabajo complejos y
potentes.
Las aplicaciones lógicas se crean en el portal de Azure. Una vez que crea
una aplicación lógica, el diseñador de aplicaciones lógicas se muestra de
forma predeterminada. Desde el diseñador, puede elegir el disparador
para su aplicación lógica, como se muestra en la Figura 3-39 . La lista que
se muestra es una breve lista de desencadenantes comunes, pero hay
muchos más para elegir. De hecho, también hay un disparador para Azure
Functions, por lo que puede activar un flujo de trabajo de Logic Apps
cuando se ejecuta su función.
FIGURA 3-39 Activadores de la aplicación Common Logic
Sugerencia para el examen
Es importante comprender la diferencia entre conectores y
activadores. Todos los elementos que se muestran en la Figura 339 son activadores que están asociados con conectores
específicos. Por ejemplo, cuando se crea un archivo nuevo en
OneDrive es un desencadenante del conector de OneDrive. También
hay disponibles otros desencadenadores de OneDrive, incluidos
Cuando se modifica un archivo y Cuando se elimina un archivo.
Si se desplaza hacia abajo, verá muchas plantillas que puede usar para
crear una aplicación lógica, como se muestra en Figura 3-40 . Estas
plantillas configurarán automáticamente una aplicación lógica que
contiene un flujo de trabajo completo que puede modificar para sus
propios fines. Esta es la forma más rápida de comenzar. Sin embargo, es
posible que las plantillas incluidas no sean exactamente lo que desea, por
lo que también puede crear una aplicación lógica en blanco y comenzar
desde cero.
Después de crear su aplicación lógica en blanco, puede elegir entre varias
formas de comenzar a construir su flujo de trabajo. Puede seleccionar un
activador de la lista, buscar un activador o conector, o simplemente
seleccionar un conector de la lista y ver qué activadores están
disponibles. Como se muestra en la Figura 3-41 , hay muchas opciones
disponibles para comenzar.
FIGURA 3-40 Plantillas de aplicaciones lógicas
FIGURA 3-41 Adición de activadores a su aplicación lógica
Figura 3-41muestra solo una pequeña porción de los conectores
disponibles en Logic Apps. Estos conectores abarcan una amplia gama de
complejidad, desde la reacción a las operaciones de archivo en una
carpeta de OneDrive hasta el inicio de operaciones complejas y poderosas
en plataformas de terceros como Salesforce. Este es el valor real de usar
Logic Apps. Normalmente, si un equipo de desarrollo quisiera integrar
una aplicación con una plataforma como Salesforce, tendría que dedicar
mucho tiempo a aprender Salesforce y aprender a programar una
aplicación para usarla. De hecho, muchas empresas simplemente
contratarían desarrolladores que ya tienen esas habilidades,
generalmente a un alto costo. ¡Usando Logic Apps, esa misma empresa
puede integrarse con plataformas como Salesforce y otras sin siquiera
tener ningún desarrollador! Es difícil exagerar el valor de ese tipo de
integración fácil.
No todos los escenarios de integración son complejos e involucran
plataformas complicadas. En la Figura 3-42 , configuramos el conector de
OneDrive para monitorear una carpeta en OneDrive. Cuando se modifica
un archivo en esa carpeta, se iniciará el flujo de trabajo de la aplicación
lógica. Para hacer algo cuando se modifica un archivo, haga clic en Nuevo
paso para agregar una acción.
FIGURA 3-42 Uso del conector OneDrive
Al hacer clic en Nuevo paso, verá el mismo tipo de pantalla que se
muestra cuando se inicia la aplicación lógica. Debido a que agregamos un
paso a un flujo de trabajo que ya tiene un activador, Logic Apps muestra
las acciones que puede realizar cuando se activa el flujo de trabajo. Hay
muchas acciones para elegir, como se muestra en la Figura 3-43 .
FIGURA 3-43 Adición de una acción a la aplicación lógica
En la Figura 3-44 , configuramos la aplicación lógica para llamar a una
aplicación de función cuando se modifica un archivo en la carpeta
OneDrive. (Logic Apps usa un disparador HTTP para llamar a una
aplicación de función). Puede pasar el nombre de archivo que se modificó
a la aplicación de función utilizando contenido dinámico, para que sepa
qué ha cambiado. Simplemente haga clic en Nombre de archivo en la
lista. Por supuesto, solo puede pasar un elemento de contenido dinámico
en su acción.
FIGURA 3-44 Configuración de una acción de aplicación de función
Más información Pasando parámetros a aplicaciones funcionales
Cuando utilice una aplicación lógica para llamar a una aplicación de función,
asegúrese de que la aplicación de función esté diseñada para aceptar los datos que le
pasa la aplicación lógica. De lo contrario, la aplicación de función encontrará un error
cuando la active la aplicación lógica.
Sugerencia para el examen
Mientras configura desencadenadores y acciones en el diseñador de
Logic Apps, Logic Apps está escribiendo código para usted bajo el
capó que implementará su flujo de trabajo. Los flujos de trabajo de
la aplicación lógica se definen mediante archivos JSON y el diseñador
genera este código JSON a medida que configura su aplicación.
Ahora tiene una aplicación lógica en funcionamiento. Puede probar el
flujo de trabajo haciendo clic en Guardar en la parte superior del
diseñador. El conector de OneDrive se configuró para buscar un archivo
modificado cada tres minutos (consulte la Figura 3-42 ), por lo que es
posible que deba esperar unos minutos antes de el flujo de
trabajo. También puede hacer clic en Ejecutar activador en la parte
superior del diseñador para ejecutar manualmente el activador.
Puede supervisar sus Logic Apps mediante Azure Portal. Abra la
aplicación y haga clic en Descripción general para ver cuándo se activó su
activador y si ejecutó su flujo de trabajo, como se muestra en la Figura 345 .
FIGURA 3-45 El portal de Azure que muestra cuándo se ejecutó el flujo de
la aplicación lógica
Si hace clic en Ver historial de activadores, puede ver un historial
completo de cuándo se evaluó su activador y cuándo activó el flujo de
trabajo para su aplicación lógica.
En este caso, usamos una aplicación lógica para llamar a una función de
Azure, pero podría haber escrito un archivo de registro en Azure Storage
o almacenado alguna información en una base de datos SQL de Azure. Si
desea que su aplicación lógica se integre específicamente con otros
servicios de Azure como este, puede integrar su aplicación lógica con
Azure Event Grid para una experiencia más óptima.
Cuadrícula de eventos
El concepto de diferentes servicios de Azure que interactúan entre sí
debería resultarle bastante familiar a estas alturas. Hay muchas formas de
integrar servicios como este y, en algunos casos, necesita un recurso de
Azure para conocer un cambio en otro recurso de Azure. Puede usar un
método de sondeo para esto, similar a la aplicación lógica que verifica
OneDrive cada tres minutos en busca de un cambio. Sin embargo, es más
eficiente permitir que un servicio de Azure active un evento cuando
sucede algo específico y configurar otro servicio de Azure para que
escuche ese evento para que pueda reaccionar ante él. Event Grid
proporciona esa funcionalidad.
Tanto Azure Functions como Azure Logic Apps están integradas con
Event Grid. Puede configurar una función para que se ejecute cuando se
produzca un evento de Event Grid. En la figura 3-46 , puede ver la lista de
recursos de Azure que pueden desencadenar eventos de Event Grid. No
todos los servicios de Azure están representados en Event Grid, pero se
están agregando más servicios con el tiempo.
FIGURA 3-46 Recursos disponibles en Event Grid
Una vez que haya seleccionado el tipo de recurso, configure el evento que
desea escuchar. Los eventos que están disponibles pueden diferir según el
recurso que seleccionó. En la Figura 3-47 , estamos creando un evento
para una suscripción de Azure.
FIGURA 3-47 Eventos para una suscripción de Azure
Más información Eventos
Para obtener detalles completos sobre todos los eventos y lo que significan,
consulte: https://bit.ly/az900-eventschema .
Cuando se produce un evento, puede realizar una acción contra un
recurso de Azure mediante el conector de Azure Resource Manager en
una aplicación lógica. También puede ejecutar un script que interactúe
con el recurso de Azure para hacer algo como etiquetar un recurso o
configurarlo de una manera específica para su organización.
El principal beneficio de utilizar Event Grid de esta manera es el rápido
desarrollo de soluciones. También se beneficia de Event Grid que activa
sus eventos de manera confiable. Si un evento de Event Grid no se activa
por cualquier motivo, Event Grid seguirá intentando activar el evento
durante un máximo de 24 horas. Event Grid también es extremadamente
rentable. Las primeras 100.000 operaciones por mes son gratuitas y, a
partir de ese momento, pagas 60 centavos por cada millón de
operaciones.
Azure DevOps
Hacer un seguimiento del trabajo puede ser una tarea abrumadora,
especialmente si ese trabajo se delega a personas de un equipo
grande. Agregue la complejidad involucrada cuando ese equipo está
desarrollando una aplicación compleja (o incluso una aplicación simple),
y los desafíos pueden crecer exponencialmente. Azure DevOps ofrece una
colección de herramientas que facilitan la planificación, el seguimiento y
la administración de dichos proyectos.
Azure DevOps se compone de varios servicios para ayudarlo con su
trabajo. Ellos son:
Azure Boards Una forma visual de administrar y realizar un
seguimiento del trabajo de su equipo mediante mosaicos que se
muestran en una interfaz de arrastrar y soltar
•
Azure Repos Source y control de versiones mediante Team
Foundation Version Control o Git
•
Azure Pipelines Administre las versiones de software
mediante la automatización de versiones, pruebas y compilaciones
•
Planes de prueba de Azure Cree y realice un seguimiento de
las pruebas para garantizar versiones de software confiables
•
Azure Artifacts Use fuentes de paquetes populares de
fuentes públicas y privadas
•
Azure Boards facilita el seguimiento y la administración no solo de las
versiones de software, sino de casi cualquier proyecto que implique
trabajo. Puede crear fácilmente nuevas tareas con un clic del mouse y
tiene la flexibilidad de configurar el aspecto del mosaico de cada tarea en
función de poderosas reglas de formato. La figura 3-48 muestra un
proyecto simple de Azure Boards que creé para realizar un seguimiento
del trabajo que estaba haciendo mientras escribía este libro.
FIGURA 3-48 Azure Boards que muestra el seguimiento de proyectos
para un proyecto simple
Cada mosaico en Azure Boards está respaldado por un elemento de
trabajo de DevOps que incluye bastante más detalles. Al abrir un mosaico,
se muestra el elemento de trabajo subyacente, como se muestra en
la Figura 3-49 .
FIGURA 3-49 Un elemento de trabajo para un mosaico en Azure Boards
Azure Repos proporciona control de versión y código fuente para un
equipo de desarrolladores que utilizan Git (una solución de código abierto
para el control de código fuente) o Team Foundation Version Control
(TFVC). Los desarrolladores que usan Git tendrán todas las versiones de
los archivos del repositorio en sus máquinas locales y podrán ver el
historial de cada cambio. Los desarrolladores que usan TFVC solo tendrán
una versión de un archivo en sus máquinas y todo lo demás estará en el
servidor.
Una aplicación típica en la que podría estar trabajando un equipo de
desarrollo consta de miles de archivos que contienen código fuente. A
medida que se desarrolla la aplicación, muchos desarrolladores están
trabajando para modificar esos archivos con nuevo código y cambiar el
código existente. Un sistema de control de fuente permite al equipo de
desarrollo realizar un seguimiento de todos los cambios, y si un cambio
causa un problema, es fácil para ellos revertir los cambios, incluso si esos
cambios involucran una gran cantidad de archivos fuente.
También hay ocasiones en las que los equipos de desarrollo quieren
agregar nuevas funciones sustanciales a una aplicación existente, pero
quieren mantener todo el código intacto para la versión existente. Los
sistemas de control de fuente les permiten trabajar en la nueva
funcionalidad por separado de la fuente existente, y cuando están seguros
de que todo funciona según lo diseñado y están listos para incorporar la
nueva función, pueden fusionarla nuevamente en la versión existente.
En la figura 3-50 , los archivos de un proyecto de desarrollo se muestran
en Azure Repos. Un archivo fuente está abierto, por lo que el código
fuente es visible. Dado que se ha hecho clic en Historial en la parte
superior de la vista de origen, se pueden ver todos los cambios
históricos. Al hacer clic en Comparar, se muestra una vista que muestra
las diferencias entre dos versiones.
FIGURA 3-50 Un repositorio en Azure Repos que muestra el contenido de
un archivo de origen
Azure Pipelines proporciona servicios de implementación e integración
continuos para proyectos. Puede configurar Azure Pipelines para integrar
automáticamente los cambios en el código fuente y crear una nueva
compilación del software para la implementación. También puede
configurar su proceso de compilación para que las pruebas se ejecuten
tan pronto como se complete la compilación, lo que le permite encontrar
problemas antes de que lleguen a manos de los clientes.
Azure Test Plans proporciona características que facilitan la prueba del
software en busca de problemas. Los desarrolladores pueden crear
pruebas complejas. Las pruebas a menudo se basan en elementos de
trabajo que pueden contener detalles sobre un error en el software. Una
vez que se ha creado una prueba, se puede ejecutar desde Azure Test
Plans desde el navegador web, por lo que las pruebas se pueden ejecutar
en cualquier dispositivo.
Muchas aplicaciones de software utilizan componentes empaquetados de
terceros o de la propia organización del desarrollador. Estos
componentes empaquetados se denominan con frecuencia artefactos y
Azure Artifacts proporciona una forma sencilla de mantener estos
artefactos organizados. Azure Artifacts también brinda la capacidad de
integrar estos paquetes en el proceso de compilación, incluidas las
compilaciones que ocurren dentro de Azure Pipelines.
Laboratorios Azure DevTest
Mientras analizábamos Azure DevOps, hablamos un poco sobre el
concepto de prueba. Un escenario de prueba típico podría implicar que un
desarrollador cree una máquina virtual de Azure para ejecutar algunas
herramientas de prueba y herramientas de desarrollo. Es posible que ese
desarrollador también necesite configurar la máquina virtual con varios
paquetes que la aplicación que está probando necesita para ejecutarse. En
escenarios aún más complejos, la aplicación puede requerir múltiples VM
con múltiples configuraciones.
Hay un par de preocupaciones con los desarrolladores que crean
máquinas virtuales para realizar pruebas. Primero, crear una máquina
virtual manualmente puede llevar bastante tiempo, especialmente si el
desarrollador necesita instalar algunos paquetes necesarios en esa
máquina virtual. En segundo lugar, un desarrollador podría terminar
costándole a la empresa mucho dinero si crea una máquina virtual que es
más poderosa de lo necesario o si se olvida de detener o eliminar la
máquina virtual después de haber terminado de probar.
Azure DevTest Labs resuelve ambos problemas muy bien y agrega
algunas otras características que los desarrolladores y los departamentos
de TI encontrarán útiles. Las máquinas virtuales se pueden crear en un
laboratorio de DevTest que están preconfiguradas para propósitos
específicos. Cuando los desarrolladores necesitan usar una máquina
virtual para realizar pruebas, simplemente miran una lista de máquinas
virtuales disponibles y reclaman la máquina virtual que necesitan. Luego,
esa máquina virtual se les asigna hasta que la retiren. Reclamar una
máquina virtual lleva solo unos segundos porque la máquina virtual no
tiene que crearse de nuevo cuando se reclama.
Como se muestra en la Figura 3-51 , crear un DevTest Lab es rápido y
fácil. Simplemente dé un nombre a su laboratorio, seleccione el Grupo de
recursos y especifique un par de configuraciones. El DevTest Lab
generalmente lo crearía el departamento de TI, el desarrollador líder o
alguien más a cargo de un proyecto en particular.
FIGURA 3-51 Creación de un laboratorio de DevTest en Azure Portal
Una vez que se crea un laboratorio de DevTest, las máquinas virtuales
deberán crearse dentro de él para que los desarrolladores puedan usarlas
para realizar pruebas. Para crear una VM, haga clic en el botón Agregar,
como se muestra en la Figura 3-52 .
FIGURA 3-52 Haga clic en Agregar para agregar una nueva VM a un
laboratorio de DevTest
Cuando agrega una VM a un laboratorio de DevTest, primero selecciona la
base para la VM. La base puede ser una plantilla de máquina virtual de
Azure Marketplace u otras fuentes. También puede ser una máquina
virtual que se haya configurado especialmente para un proyecto en
particular y se haya guardado como una fórmula o una imagen
personalizada . Hablaremos más sobre fórmulas e imágenes
personalizadas más adelante en esta sección.
En la Figura 3-53 , se está creando una máquina virtual que usa la imagen
base de Windows Server 2016 Datacenter. Puede optar por crear la
máquina virtual con solo la imagen base instalada, pero también puede
agregar componentes adicionales a una imagen agregando
un artefacto . Tal como comentamos anteriormente en relación con Azure
DevOps, los artefactos son componentes empaquetados que pueden ser
necesarios para una configuración en particular. Puede agregar artefactos
a una máquina virtual haciendo clic en Agregar o quitar artefactos en la
parte inferior de la pantalla, como se muestra en la Figura 3-53 .
FIGURA 3-53 Adición de una nueva máquina virtual a un laboratorio de
DevTest
Más información sobre cómo agregar máquinas virtuales
Los departamentos de TI o los desarrolladores líderes suelen ser los que crean
máquinas virtuales para un laboratorio de DevTest. Los desarrolladores que trabajan
en el equipo pueden elegir una de las máquinas virtuales que se han agregado al
laboratorio DevTest cuando sea necesario.
Es muy importante comprender que cuando se crea una máquina virtual
en DevTest Labs, por defecto está dedicada a un solo usuario y no se
puede reclamar. Si está creando una VM que desea que otros puedan
reclamar y usar, debe hacer clic en Configuración avanzada en la parte
superior de la pantalla que se muestra anteriormente en la Figura 3-53 y
configurar la máquina para que sea reclamable, como se muestra en
la Figura 3- 54 .
FIGURA 3-54 Configuración de una máquina virtual para que otros
puedan reclamarla
Sugerencia para el examen
No puede agregar fácilmente una de sus máquinas virtuales
existentes a un laboratorio de DevTest. Para hacer eso, debe pasar
por algunos aros para copiar la imagen VHD de la VM en el
contenedor de Azure Storage que está usando DevTest Lab y luego
crear una nueva VM a partir de la imagen personalizada.
En algunos casos, las imágenes base no contendrán la configuración que
necesita, incluso con artefactos agregados. Por ejemplo, es posible que
tenga un paquete de software propietario que utiliza su empresa y que
desee que se incluya en la imagen de su máquina virtual, o puede tener
una configuración de sistema operativo específica que necesite para su
máquina virtual. En estos casos, puede crear una imagen personalizada o
una fórmula en la que basar sus nuevas VM.
Las imágenes y fórmulas personalizadas son similares, pero hay una
diferencia clave. Una imagen personalizada es una imagen que se basa en
un VHD de una máquina virtual existente. Una fórmula también se basa en
un VHD, pero también contiene configuraciones que son específicas de
DevTest Labs, como el tamaño de la máquina virtual, los artefactos
incluidos, etc. Sin embargo, una fórmula suele utilizar una imagen
personalizada como base.
Nota Creación de imágenes y fórmulas personalizadas
Una razón por la que puede crear una máquina virtual que no se puede reclamar es
porque desea configurarla con configuraciones y software específicos y luego
guardarla como una imagen o fórmula personalizada para que otros la utilicen.
Para crear una imagen personalizada, configure la VM de la manera que
desee y luego selecciónela de la lista de VM en DevTest Lab. Haga clic en
Crear imagen personalizada y complete los campos necesarios, como se
muestra en la Figura 3-55 .
FIGURA 3-55 Creación de una imagen personalizada en DevTest Labs
Después de hacer clic en Aceptar para crear la imagen personalizada,
pasarán unos minutos antes de que la imagen esté disponible como base
para otras máquinas virtuales.
Para crear una fórmula, haga clic en Fórmulas en el menú que se mostró
anteriormente en la Figura 3-52 y luego haga clic en Agregar para crear
una nueva fórmula. Seleccione una base para su fórmula. En la Figura 356 , la primera imagen base que se muestra es una imagen personalizada
creada anteriormente a partir de una máquina virtual en un laboratorio
de DevTest.
FIGURA 3-56 Elección de una imagen base para una fórmula
Una vez que haya seleccionado una base para su fórmula, puede
configurar los ajustes de DevTest Lab que desee para su fórmula, como se
muestra en la Figura 3-57 . Las máquinas virtuales creadas con esta
fórmula tendrán esta configuración preconfigurada.
FIGURA 3-57 Especificación de la configuración para una fórmula de
DevTest Lab
Otra característica de ahorro de costos de DevTest Labs es la propiedad
de apagado automático para máquinas virtuales. De forma
predeterminada, todas las máquinas virtuales se crean con el apagado
automático habilitado, lo que significa que después de un cierto período
de tiempo, las máquinas virtuales no utilizadas se cerrarán para que no
tenga que pagar por ellas.
Los administradores de TI u otros también pueden definir políticas en
DevTest Labs. Estas políticas le permiten controlar los tamaños de VM
que se pueden crear, la cantidad de VM por usuario y por laboratorio,
etc. Para configurar políticas, haga clic en Configuración y políticas en el
menú de su laboratorio de DevTest.
Las políticas se pueden configurar haciendo clic en la política deseada en
el menú y luego configurando la política. En la Figura 3-58 , se está
configurando una política que limita los tamaños de VM disponibles a
Standard_A0, Standard_A1 y Standard_A2. Una vez que se haya guardado
esta política, los usuarios no podrán crear máquinas virtuales a menos
que tengan uno de estos tres tamaños.
FIGURA 3-58 Configuración de una política para los tamaños de máquina
virtual permitidos
HABILIDAD 3.2: DESCRIBIR LAS
HERRAMIENTAS DE ADMINISTRACIÓN DE
AZURE
Hemos hablado mucho sobre el portal de Azure y ha tenido la
oportunidad de usarlo al interactuar con varios servicios de Azure
diferentes. Sin embargo, hay muchas otras formas de crear y administrar
sus servicios de Azure.
Muchos usuarios de Azure desean crear secuencias de comandos de
interacciones con sus servicios de Azure, especialmente cuando necesitan
interactuar con una gran cantidad de máquinas virtuales u otros recursos
de Azure. Para esas situaciones, Azure ofrece herramientas de línea de
comandos para ayudar.
Los usuarios de Azure también quieren asegurarse de aprovechar al
máximo sus servicios de Azure, y herramientas como Azure Advisor y
Azure Monitor pueden ayudar a mantener a los usuarios actualizados y en
cumplimiento con las mejores prácticas de Azure y al tanto de cómo
funcionan sus recursos de Azure. están actuando. Cuando hay un
problema, Azure Service Health también puede ser útil para determinar si
el problema está en su aplicación o en el propio Azure.
Esta sección cubre:
•
Portal de Azure
•
Azure PowerShell
•
CLI de Azure
•
Azure Cloud Shell
•
Aplicación móvil de Azure
•
Asesor de Azure
•
Monitor de Azure
•
Estado del servicio de Azure
Portal de Azure
El portal de Azure que está en uso hoy es la tercera iteración importante
del portal de Azure, y surgió cuando Microsoft se mudó a ARM. Todo lo
que hace en Azure Portal se llama ARM en el back-end.
Sugerencia para el examen
Para el examen AZ-900, probablemente no necesite saber que Azure
Portal solo está haciendo llamadas a ARM en el back-end, pero no
está de más saberlo. Sin embargo, para el resto de esta sección,
cubriremos solo las diferentes partes del portal y cómo navegar y
personalizarlo. Esa información está en el examen AZ-900.
La primera vez que abra Azure Portal, se le pedirá que realice un
recorrido por el portal. Si no está familiarizado con el portal, realizar un
recorrido le ayudará a familiarizarse con su funcionamiento. Si decide no
hacerlo y cambia de opinión más tarde, puede hacer clic en el signo de
interrogación en la barra de herramientas superior para acceder a la
visita guiada en cualquier momento.
La vista predeterminada en el portal es Inicio, como se muestra en
la Figura 3-59 . Desde aquí, puede ver los íconos de varios servicios de
Azure, y si hace clic en uno de esos íconos, le mostrará los recursos de ese
tipo que haya creado. Al hacer clic en el botón Configuración en la parte
superior izquierda, se muestra un menú en el lado izquierdo que incluye
estos mismos iconos y más.
FIGURA 3-59 La pantalla de inicio en Azure Portal
Si ya tiene los recursos de Azure que ha creado, puede navegar hasta ellos
haciendo clic en uno de los vínculos en la sección Navegar. Si ha visto
recientemente uno de sus recursos, verá otra sección con los recursos a
los que ha accedido recientemente, para que pueda volver a acceder a
ellos fácilmente con un solo clic.
A lo largo de la barra de color superior, encontrará una barra de
búsqueda donde puede buscar servicios, documentos o recursos de Azure
de Azure. A la derecha del cuadro de búsqueda hay un botón que iniciará
Azure Cloud Shell. Cloud Shell es un shell de comandos basado en la web
donde puede interactuar con Azure desde la línea de comandos. Puede
crear recursos de Azure y más. Mientras lee la documentación de Azure,
es posible que vea un botón Pruébelo, y esos botones usan Cloud Shell
para ayudarlo a probar diferentes servicios y características.
A la derecha del botón Cloud Shell hay un botón Filtro que le permite
configurar el portal para que solo muestre recursos en una determinada
suscripción de Azure o Azure Active Directory. A la derecha está el botón
de Notificación. Aquí es donde verá las notificaciones de Azure
relacionadas con sus servicios y suscripción.
A la derecha del botón de notificaciones está el botón Configuración. Al
hacer clic en Configuración, aparece un panel donde puede modificar la
configuración del portal, como se muestra en la Figura 3-60 .
FIGURA 3-60 Configuración del portal
Desde Configuración, puede cambiar su vista predeterminada, elegir si el
menú está acoplado o sale volando cuando hace clic en el botón de menú,
modificar el tema del portal y deshabilitar las notificaciones de tostadas,
que son notificaciones emergentes que Microsoft puede mostrar de vez en
cuando a tiempo. También se proporcionan enlaces que le permiten
restaurar la configuración predeterminada, exportar su configuración o
eliminar todas sus configuraciones y paneles. (Hablaremos sobre paneles
más adelante en esta sección).
Si hace clic en su nombre en la esquina superior derecha (que se muestra
anteriormente en la Figura 3-59 ), puede cerrar la sesión o cambiar a
otras cuentas de Azure. También puede cambiar Azure Active Directory
para acceder a recursos en otro directorio. Esto es útil si su empresa tiene
un directorio corporativo y también tiene un directorio personal.
Más información Azure Active Directory
Azure Active Directory se trata en el Capítulo 5 , Habilidad 5.1 , " Describir los
servicios de identidad básicos de Azure ".
Como se mencionó anteriormente, si hace clic en el ícono de
Configuración en la parte superior izquierda del portal, verá un menú que
contiene una lista predeterminada de recursos de Azure. Al hacer clic en
uno de ellos, se mostrarán todos los recursos de ese tipo. Si desea agregar
un servicio de Azure a la lista, haga clic en Todos los servicios, como se
muestra en la Figura 3-61 .
FIGURA 3-61 El menú de Azure Portal que muestra el elemento de menú
Todos los servicios
Nota Mover elementos del menú
Puede reordenar los elementos del menú. Haga clic y mantenga presionado un
elemento y luego arrástrelo a una nueva ubicación en el menú.
En la lista de todos los servicios de Azure, ubique el servicio que desea
agregar a la lista y haga clic en la estrella a la derecha del servicio para
marcarlo como favorito, como se muestra en la Figura 3-62 .
En la Figura 3-63 , hicimos clic en App Service Plans en el menú para ver
todos los planes de App Service. De esta lista, puede hacer clic en un
recurso para ver ese recurso. También puede hacer clic en el encabezado
de una columna para ordenar por esa columna, asumiendo que tiene más
de un recurso de ese tipo. Haga clic en Administrar vista para editar las
columnas que se muestran aquí, guardar la vista actual y más. Para crear
un nuevo recurso de este tipo, haga clic en Agregar.
FIGURA 3-62 Convertir un servicio de Azure en favorito para que
aparezca en el menú principal
FIGURA 3-63 Visualización de un plan de App Service en el portal
Cuando hace clic en un recurso en particular, se abrirá ese recurso en el
portal. A lo largo del lado izquierdo habrá un menú específico para el tipo
de recurso que abrió. En la ventana principal, verá diferentes elementos
según el tipo de recurso que está viendo. Estas áreas de ventana en el
portal a menudo se denominan hojas.
En la Figura 3-64 , verá una aplicación web de App Service en el portal. La
hoja Información general es una hoja que es común a la mayoría de los
recursos de Azure, pero la información que aparece allí diferirá según el
recurso. En una aplicación web, puede ver el grupo de recursos en el que
se encuentra, el estado, la ubicación y más. En la parte superior derecha
hay un botón de alfiler. Si hace clic en ese pin, agregará esta aplicación
web al panel del portal.
FIGURA 3-64 Visualización de una aplicación web en el portal
En la parte superior de la hoja de la aplicación web hay varios botones
para interactuar con el recurso. Para una aplicación web, tiene un botón
Examinar que abrirá la aplicación en un navegador, un botón Detener
para detener la aplicación web, un botón Cambiar para intercambiar las
ranuras de implementación, etc. Cada tipo de recurso tendrá diferentes
botones disponibles para que pueda interactuar fácilmente con el recurso
desde la hoja Descripción general.
Si hace clic en un elemento del menú de la izquierda, el contenido de la
hoja Descripción general se reemplaza con el nuevo elemento
seleccionado. En la Figura 3-65 , hemos hecho clic en Diagnosticar y
resolver problemas, que reemplaza la hoja Descripción general con
contenido nuevo de la hoja Diagnosticar y resolver problemas.
FIGURA 3-65 Una hoja nueva
A medida que usa el portal, encontrará que hay inconsistencias entre los
diferentes servicios. Cada equipo de Microsoft tiene su propio equipo de
desarrollo de portales y tienden a diseñar interfaces de portal que tengan
sentido para su propio equipo. Por esa razón, es posible que vea botones
en la parte superior de algunas hojas y botones en la parte inferior de
otras hojas.
Puede personalizar la experiencia de su portal mediante el panel de
control. Si hace clic en Panel de control en el menú del portal, verá su
panel de control predeterminado. Mientras administra sus recursos, haga
clic en el ícono de anclar (como se muestra en la parte superior derecha
de la Figura 3-64 ) para anclar mosaicos a su tablero. Luego, puede mover
estos mosaicos y personalizarlos de otras formas para crear una vista que
se adapte a sus necesidades.
Para personalizar su tablero, haga clic en Tablero en el menú para
mostrar el tablero y luego haga clic en Editar, como se muestra en
la Figura 3-66 .
FIGURA 3-66 El botón Editar permite la personalización de su tablero
Desde la pantalla de personalización que se muestra en la Figura 3-67 ,
puede cambiar el nombre de su tablero haciendo clic dentro del nombre
actual y cambiándolo por un nuevo nombre. Puede agregar mosaicos al
tablero eligiendo uno de los cientos de mosaicos disponibles en la Galería
de mosaicos en el lado izquierdo del portal, y puede buscar y filtrar la lista
si es necesario. Si pasa el cursor sobre un mosaico existente, verá un
botón Eliminar y un botón de menú que está representado por tres
puntos. Haga clic en el botón Eliminar para eliminar el mosaico del
panel. Haga clic en el botón de menú para acceder a un menú contextual
donde puede cambiar el tamaño del mosaico.
Cuando esté satisfecho con su panel, haga clic en Finalizar
personalización para cerrar la pantalla de personalización.
Puede crear nuevos paneles para propósitos específicos haciendo clic en
el signo más que se muestra anteriormente en la Figura 3-66 . Esto lo
lleva a una pantalla de personalización para su nuevo tablero, como la que
se muestra en la Figura 3-67 .
FIGURA 3-67 Personalización de un tablero
En la Figura 3-68 , creamos un tablero específico para aplicaciones
web. Puede cambiar fácilmente entre este panel y el panel
predeterminado haciendo clic en la flecha hacia abajo junto al nombre del
panel.
FIGURA 3-68 Cambio entre tableros
Azure PowerShell
Si es un usuario de PowerShell, puede aprovechar ese conocimiento para
administrar sus recursos de Azure mediante el módulo Az de Azure
PowerShell. Este módulo ofrece soporte multiplataforma, por lo que ya
sea que esté usando Windows, Linux o macOS, puede usar el módulo Az
de PowerShell.
Más información Azurerm y Az
El módulo PowerShell A z es relativamente nuevo. Antes, todos los comandos de
PowerShell usaban el módulo AzureRm. Los comandos que usa con ambos son
idénticos. La única diferencia es el nombre del módulo.
Más información Instalar Powershell en Linux o Macos
Si está ejecutando Linux, puede encontrar detalles sobre la instalación de PowerShell
en https://bit.ly/az900-powershellonlinux . Los usuarios de MacOS pueden encontrar
los pasos en https://bit.ly/az900-powershellonmac .
Sugerencia para el examen
El módulo PowerShell Az usa la biblioteca .NET Standard para la
funcionalidad, lo que significa que se ejecutará con la versión 5.x,
6.xo 7.x de PowerShell. PowerShell 6.xy 7.x son multiplataforma y
pueden ejecutarse en Windows, Linux o macOS.
Si está ejecutando Windows 7 o posterior y tiene PowerShell 5.x,
también deberá instalar .NET Framework 4.7.2.
Antes de poder usar el módulo PowerShell Az, deberá instalarlo. Para
hacer eso, primero debe ejecutar PowerShell elevado. En Windows, eso
significa ejecutarlo como administrador. En Linux y macOS, deberá
ejecutarlo con privilegios de superusuario utilizando Sudo.
Para instalar el módulo, ejecute el siguiente comando.
Haga clic aquí para ver la imagen del código
Install-Module -Name Az -AllowClobber
Cuando instala un nuevo módulo de PowerShell, PowerShell verifica
todos los módulos existentes para ver si tienen algún nombre de comando
que sea el mismo que un nombre de comando en el módulo que está
instalando. Si lo hacen, la instalación del nuevo módulo falla. Al
especificar - AllowClobber , le está diciendo a PowerShell que está bien
que el módulo Az tenga prioridad para cualquier comando que también
exista en otro módulo.
Si no puede ejecutar PowerShell elevado, puede instalar el módulo para
su ID de usuario solo mediante el siguiente comando:
Haga clic aquí para ver la imagen del código
Install-Module -Name Az -AllowClobber -Scope CurrentUser
Una vez que haya instalado el módulo, debe iniciar sesión con su cuenta
de Azure. Para hacer eso, ejecute el siguiente comando:
Connect-AzAccount
Este comando mostrará un token en la ventana de PowerShell. Deberá ir
a https://microsoft.com/devicelogin e ingresar el código para autenticar
su sesión de PowerShell. Si cierra PowerShell, tendrá que ejecutar el
comando nuevamente en su próxima sesión.
Más información Credenciales persistentes
Es posible configurar PowerShell para conservar sus credenciales. Para obtener más
información sobre cómo hacerlo,
consulte https://docs.microsoft.com/powershell/azure/context-persistence .
Si tiene más de una suscripción de Azure, querrá configurar la suscripción
activa para que los comandos que ingrese afecten a la suscripción
deseada. Puedes hacerlo usando el siguiente comando:
Haga clic aquí para ver la imagen del código
Set-AzContext -Subscription "subscription_id"
Reemplace subscription_id con el identificador de suscripción de su
suscripción de Azure que desea usar con el módulo Az.
Todos los comandos del módulo Az tendrán una sintaxis común que
comienza con un verbo y un objeto. Los verbos son cosas
como Nuevo , Obtener , Mover o Eliminar . El objeto es lo que quieres que
afecte el verbo. Por ejemplo, el siguiente comando creará un grupo de
recursos llamado MyRG en la región Centro Sur de EE. UU.:
Haga clic aquí para ver la imagen del código
New-AzResourceGroup -Name MyRG -Location "South Central US"
Si tiene éxito, verá un mensaje que le informará. Si falla, verá un
error. Para eliminar el grupo de recursos, ejecute el siguiente comando:
Haga clic aquí para ver la imagen del código
Remove-AzResourceGroup -Name MyRG
Cuando ingrese este comando, se le pedirá que confirme si desea eliminar
el grupo de recursos. Escriba una Y y se eliminará el grupo de recursos,
como se muestra en la figura 3-69 .
FIGURA 3-69 Creación y eliminación de un grupo de recursos con el
módulo Az
En muchas situaciones, incluirá comandos de PowerShell en un script
para que pueda realizar varias operaciones a la vez. En ese caso, no podrá
confirmar un comando escribiendo y , por lo que puede usar
el parámetro -Force para omitir el indicador. Por ejemplo, puede eliminar
el grupo de recursos con el siguiente comando y no se le preguntará.
Haga clic aquí para ver la imagen del código
Remove-AzResourceGroup -Name MyRG -Force
Puede encontrar todos los comandos disponibles con el módulo
PowerShell Az navegando hasta https://bit.ly/az900-powershellaz . y
haciendo clic en Referencia en el menú de la izquierda.
CLI de Azure
Como señalé anteriormente, uno de los principales beneficios de
PowerShell es la capacidad de crear secuencias de comandos de
interacciones con los recursos de Azure. Sin embargo, si desea realizar un
script con PowerShell, necesitará a alguien que conozca el desarrollo de
PowerShell. Si no tiene a nadie que pueda hacer eso, la interfaz de línea de
comandos de Azure (CLI de Azure) es una excelente opción. La CLI de
Azure se puede programar mediante secuencias de comandos de shell en
varios lenguajes como Python, Ruby, etc.
Al igual que el módulo PowerShell Az, la CLI de Azure es multiplataforma
y funciona en Windows, Linux y macOS siempre que use la versión 2.0 o
posterior. Los pasos de instalación son diferentes según su
plataforma. Puede encontrar los pasos para todos los sistemas operativos
en https://bit.ly/az900-installcli .
Una vez que instale la CLI de Azure, deberá iniciar sesión en su cuenta de
Azure. Para hacer eso, ejecute el siguiente comando:
az login
Cuando ejecute este comando, la CLI abrirá un navegador
automáticamente para que inicie sesión. Una vez que inicie sesión, si tiene
varias suscripciones de Azure, puede establecer la suscripción
predeterminada ingresando el siguiente comando:
Haga clic aquí para ver la imagen del código
conjunto de cuentas az: suscripción "subscription_id"
Reemplaza subscription_id con el ID de suscripción que deseas usar.
Para encontrar una lista de comandos que puede ejecutar con la CLI,
escriba az y presione Entrar. Verá una lista de todos los comandos que
puede ejecutar. Puede encontrar ayuda detallada sobre cualquier
comando ingresando el comando y agregando un parámetro --help . La
figura 3-70 muestra la ayuda para el recurso az .
Puede llevar esto un paso más allá si no está seguro de lo que hacen los
comandos. Puede, por ejemplo, ejecutar el siguiente comando para
obtener ayuda sobre la sintaxis de az resource create :
az resource create --help
Esto le proporciona ayuda y comandos de ejemplo para comprender la
sintaxis.
Sugerencia para el examen
Al igual que PowerShell, la mayoría de los comandos de la CLI Azure
tienen una - fuerza parámetro que puede incluir para que no se
muestren mensajes. Al realizar secuencias de comandos de
PowerShell o la CLI, debe incluir estoparámetro, o su secuencia de
comandos no funcionará. Esté atento a los ejemplos en el examen
AZ-900 que evalúan este tipo de conocimiento.
FIGURA 3-70 Ayuda de la CLI de Azure
Una forma aún más fácil de aprender la CLI es cambiar al modo
interactivo. Esto le proporciona autocompletar, el alcance de los
comandos y más. Para cambiar al modo interactivo, ingrese az
interactivo en el símbolo del sistema. La CLI instalará una extensión para
agregar esta funcionalidad. La figura 3-71 muestra la CLI de Azure con el
modo interactivo activo. En el símbolo del sistema, se nos ha escrito y
muestra el resto del comando en texto atenuado. Puede presionar la tecla
de flecha derecha para ingresar el texto atenuado con una sola pulsación
de tecla.
FIGURA 3-71 Modo interactivo CLI
Puede instalar extensiones adicionales para una funcionalidad
adicional. Debido a que la CLI usa una arquitectura de extensión, los
equipos de Azure pueden brindar soporte para nuevas funcionalidades
sin tener que esperar una nueva versión de la CLI. Puede encontrar una
lista de todas las extensiones disponibles que proporciona Microsoft
ejecutando el siguiente comando:
Haga clic aquí para ver la imagen del código
az extension list-available --tabla de salida
Esto no solo le mostrará las extensiones disponibles, sino que le mostrará
si ya tiene la extensión instalada y si hay una actualización que debe
instalar. Para instalar una extensión, ejecute el siguiente comando:
Haga clic aquí para ver la imagen del código
az extension add --name nombre_extensión
Reemplace extension_name con el nombre de la extensión que desea
instalar.
Azure Cloud Shell
Como ya hemos visto, el acceso desde la línea de comandos a sus recursos
de Azure con PowerShell y la CLI de Azure es poderoso y flexible, y
también aprendimos que puede instalar extensiones para agregar más
potencia a su línea de comandos. Sin embargo, si usa varias máquinas,
deberá instalar esas extensiones en cada máquina y eso podría ser una
molestia. También está limitado a ejecutar estas herramientas de línea de
comandos en su computadora. No puede ejecutarlos en su teléfono o
tableta cuando está lejos de su computadora.
La solución natural a estos problemas es tener sus herramientas de línea
de comandos disponibles en la nube, y eso es exactamente lo que hizo
Microsoft con Azure Cloud Shell.
Para acceder a Cloud Shell, haga clic en el botón Cloud Shell en Azure
Portal, como se muestra en la Figura 3-72 .
FIGURA 3-72 Cloud Shell en Azure Portal
La primera vez que inicie Cloud Shell, deberá seleccionar el entorno que
desea utilizar. Puede elegir entre Bash y PowerShell, pero si cambia de
opinión más tarde, puede cambiarlo en cualquier momento. Una vez que
seleccione un entorno, también deberá crear una cuenta de
almacenamiento de Azure. Cloud Shell conserva todo lo que instala y su
configuración en todos sus dispositivos, por lo que necesita una cuenta de
almacenamiento para conservarlos. En la Figura 3-73 , se está creando
una cuenta de almacenamiento para Cloud Shell.
FIGURA 3-73 Creación de una cuenta de almacenamiento para Cloud
Shell
Una vez que se crea la cuenta de almacenamiento, Cloud Shell iniciará una
sesión como se muestra en la Figura 3-74 .
FIGURA 3-74 Una sesión de Cloud Shell
Desde Cloud Shell, puede ejecutar cualquiera de los comandos que puede
ejecutar en la CLI de Azure. Si está en PowerShell, también puede usar
comandos del módulo Az PowerShell. En la parte superior de la ventana
de Cloud Shell hay una barra de herramientas. Para cambiar entre
PowerShell y Bash, seleccione el entorno deseado en el menú
desplegable. Junto a ese menú desplegable está el botón de "encendido"
que reinicia la sesión de Cloud Shell, seguido de un botón de Ayuda y un
botón de Configuración para cambiar el tamaño del texto y la fuente. A la
derecha del botón Configuración hay un botón que le permite cargar o
descargar archivos en su recurso compartido de archivos para Cloud
Shell, seguido de un botón que abre una nueva sesión de Cloud Shell en
una nueva pestaña del navegador.
Sugerencia para el examen
Cualquier archivo que suba estará disponible para usted en Cloud
Shell en cualquiera de sus dispositivos. Eso es porque sus archivos se
almacenan en su cuenta de almacenamiento de Azure. Cuando abra
Cloud Shell, Azure elegirá una instancia de Cloud Shell para que se
conecte y copiará los archivos de su cuenta de almacenamiento a esa
instancia de Cloud Shell.
El botón Abrir editor en la barra de herramientas abrirá una instancia del
Editor de Mónaco, un editor de código que facilita la edición de scripts y
otros archivos. En la Figura 3-75 , se abre un archivo JSON en el editor y el
explorador de archivos se muestra a la izquierda.
FIGURA 3-75 El editor de archivos en Cloud Shell
Nota Cerrar el editor
Para salir del editor, haga clic con el botón derecho en la ventana y haga clic en Salir.
El último botón de la barra de herramientas es el botón Web
Preview. Este botón le permite ejecutar una aplicación web usando los
archivos en la carpeta actual dentro de su navegador web. Esta es una
herramienta poderosa para desarrolladores que podrían estar
desarrollando aplicaciones web con Cloud Shell.
En la Figura 3-76 , estoy ejecutando una aplicación web .NET Core en
Cloud Shell con el comando dotnet run . (La aplicación dotnet se usa para
iniciar aplicaciones escritas para .NET Core). Después de hacer eso, puedo
ver que la aplicación se está ejecutando en la instancia de Cloud Shell en
el puerto 5000.
FIGURA 3-76 Ejecución de una aplicación web .NET Core desde Cloud
Shell
Si desea abrirlo en un navegador y verlo, haga clic en Web Preview en
Cloud Shell y elija Configurar. Ingrese el número de puerto ( 5000 en este
caso), como se muestra en la Figura 3-77 .
FIGURA 3-77 Configuración de un puerto para la vista previa web en
Cloud Shell
Luego puedo hacer clic en Abrir y examinar y ver mi aplicación web en mi
navegador, como se muestra en la Figura 3-78 . En mi sitio queda claro
que tengo algunos problemas de estilo con un archivo CSS, y la vista
previa me permite solucionar ese problema y cualquier otro problema
con mi aplicación.
Nota Vista previa web
¿Por qué alguien querría obtener una vista previa de una aplicación en Cloud Shell en
lugar de simplemente depurarla localmente? Muchos desarrolladores escriben
aplicaciones que interactúan con otros servicios de Azure y es posible que deseen
depurar estas aplicaciones mientras se ejecutan en Azure. Para los desarrolladores de
línea de comandos, esta técnica en Cloud Shell es una forma poderosa de habilitarlo.
FIGURA 3-78 Navegación de una aplicación web usando Web Preview
Hasta ahora, solo hemos analizado el uso de Cloud Shell desde Azure
Portal, pero esa no es la única forma de acceder a Cloud Shell. La
documentación de Azure proporciona muchos ejemplos de scripts de
PowerShell y de la CLI de Azure y, en muchos casos, hay un botón
Pruébelo en el que puede hacer clic para probar el script desde su
navegador. Cuando hace clic en el botón Pruébelo, se abrirá una instancia
de Cloud Shell para que pueda ingresar fácilmente la secuencia de
comandos y ejecutar los comandos, como se muestra en la Figura 3-79 .
FIGURA 3-79 Integración de Cloud Shell con la documentación de
Microsoft
Aplicación móvil de Azure
Si posee un dispositivo Android o iOS, puede descargar la aplicación móvil
de Azure para administrar sus recursos de Azure desde su
dispositivo. Siempre puede navegar al portal de Azure en su dispositivo,y
obtendrá una experiencia personalizada para pantallas más pequeñas. Sin
embargo, al igual que con otros sitios web que podría usar, una aplicación
brinda una mejor experiencia de primera clase en un dispositivo móvil.
Cuando inicie la aplicación móvil de Azure por primera vez, se le pedirá
que inicie sesión en su cuenta de Azure. Luego verá una pantalla como la
que se muestra en la Figura 3-80 .
FIGURA 3-80 La aplicación móvil de Azure
Desde la pantalla de inicio, puede revisar sus servicios de Azure, consultar
Service Health para determinar si hay una interrupción de Azure y más. Si
toca un servicio de Azure, verá una lista de todos los recursos de ese tipo
de servicio. Tocar un recurso le permite interactuar con él. No tendrá la
funcionalidad completa del portal de Azure, pero podrá ver los detalles
del recurso y realizar funciones básicas en él.
En la figura 3-81 , se muestra una máquina virtual de Azure en la
aplicación móvil de Azure. En la parte inferior, se muestran los enlaces
Detener, Reiniciar y Conectar.
FIGURA 3-81 Una máquina virtual de Azure en la aplicación móvil de
Azure
Nota Conexión a una máquina virtual
La conexión a una máquina virtual requiere que tenga instalada la aplicación
Microsoft Remote Desktop. Puede descargarlo gratis desde Apple Store o Google Play
Store.
Aunque no tenga la experiencia completa de Azure Portal en la aplicación
móvil de Azure, todavía hay mucho poder bajo el capó. Si hace clic en el
botón Cloud Shell en la parte inferior derecha (mostrado anteriormente
en la Figura 3-80 ), se iniciará una instancia de Cloud Shell, como se
muestra en la Figura 3-82 . Desde aquí, puede ejecutar los mismos
comandos que puede ejecutar en Cloud Shell en su computadora. Puede
cambiar de PowerShell a Bash, ejecutar comandos de Azure CLI y Az
PowerShell, etc.
FIGURA 3-82 Cloud Shell ejecutándose en una aplicación móvil de Azure
Asesor de Azure
La administración de sus recursos de Azure no solo incluye la creación y
eliminación de recursos. También significa asegurarse de que sus
recursos estén configurados correctamente para una alta disponibilidad y
eficiencia. Averiguar exactamente cómo hacerlo puede ser una tarea
abrumadora. Se han escrito libros completos sobre las mejores prácticas
para implementaciones en la nube. Afortunadamente, Azure puede
notificarle sobre problemas en su configuración para que pueda
evitarlos. Lo hace a través de Azure Advisor.
Azure Advisor puede ofrecer asesoramiento sobre alta disponibilidad,
seguridad, rendimiento y costo. Para acceder a Azure Advisor, inicie
sesión en Azure Portal y haga clic en Advisor en el menú de la
izquierda. La figura 3-83 muestra Azure Advisor con dos
recomendaciones de seguridad de alto impacto.
FIGURA 3-83 Azure Advisor
Para revisar los detalles de una recomendación, haga clic en el
mosaico. En la Figura 3-84 , hemos hecho clic en el mosaico de Seguridad
y puede ver una recomendación para habilitar MFA (autenticación
multifactor) y agregar otro propietario a mi suscripción.
FIGURA 3-84 Recomendaciones del asesor
No tiene que hacer lo que recomienda Azure Advisor. Si hace clic en la
descripción, puede decidir posponer o descartar la alerta, como se
muestra en la esquina inferior derecha en la Figura 3-85 . Si elige
posponer la alerta, tiene la opción de recibir un recordatorio en 1 día, 1
semana, 1 mes o 3 meses.
FIGURA 3-85 Actuación de una recomendación
Si tiene una gran cantidad de recomendaciones, o si no es la persona
adecuada para tomar medidas sobre las recomendaciones, puede
descargar las recomendaciones de Azure Advisor como un archivo de
valores separados por comas o un PDF. Haga clic en Descargar como CSV
o Descargar como PDF, como se muestra anteriormente en la Figura 383 . También puede descargar un archivo con recomendaciones
específicas haciendo clic en el botón de descarga correspondiente
mientras revisa los detalles, como se muestra tanto en la Figura 384 como en la Figura 3-85 .
Monitor de Azure
Azure Monitor agrega métricas para los servicios de Azure y las expone
en una única interfaz. También puede crear alertas que le notificarán a
usted oa otra persona cuando haya inquietudes que desee abordar.
Para acceder a Azure Monitor, haga clic en Monitor en Azure Portal para
mostrar la hoja Azure Monitor, como se muestra en la Figura 3-86 . Azure
Monitor es personalizable, por lo que puede ver exactamente lo que más
le interesa. Por esa razón, no muestra ninguna métrica hasta que las
configura. Para ver métricas, haga clic en Métricas y luego seleccione un
alcance.
FIGURA 3-86 Azure Monitor
En la Figura 3-87 , se ha seleccionado una máquina virtual en el grupo de
recursos AZ900 para monitorear.
FIGURA 3-87 Selección de un recurso para monitorear
Una vez que selecciona un recurso, se le presenta una lista de métricas
relacionadas con ese recurso. Las métricas de las VM se muestran en
la Figura 3-88 .
FIGURA 3-88 Métricas para VM
Cuando selecciona una métrica, el gráfico se actualiza para mostrar un
gráfico de esa métrica. Puede agregar métricas adicionales a su gráfico
haciendo clic en Agregar métrica, como se muestra en la Figura 3-89 .
FIGURA 3-89 Supervisión del uso del disco de la máquina virtual
Al agregar varias métricas, querrá incluir solo aquellas métricas que
comparten una unidad de medida común. Por ejemplo, si agregara una
métrica de CPU al gráfico que se muestra en la Figura 3-89 , no tendría
mucho sentido porque el porcentaje de CPU se mide como un porcentaje y
las unidades de disco se miden en bytes.
En la Figura 3-90 , agregamos Bytes de escritura en disco al gráfico. Azure
Monitor codifica con colores cada métrica automáticamente para
distinguirlas. También hemos seleccionado Gráfico de áreas como el tipo
de gráfico para ver los patrones más claramente.
FIGURA 3-90 Gráfico que muestra el uso del disco
De forma predeterminada, los gráficos se muestran para el período de las
últimas 24 horas y el valor en tiempo real se muestra en el borde derecho
del gráfico. Sin embargo, puede personalizar el período de tiempo que se
muestra haciendo clic en el período de tiempo y ajustándolo como desee,
como se muestra en la Figura 3-91 .
FIGURA 3-91 Cambio del período de tiempo del gráfico
Una vez que tenga un gráfico que le resulte útil, puede anclar ese gráfico
al panel del portal haciendo clic en Anclar al panel. Como se muestra en
la Figura 3-92 , puede elegir Anclar al tablero actual, o puede anclarlo a un
tablero específico eligiendo Seleccionar otro tablero para crear un tablero
de monitoreo en el portal personalizado para un uso específico.
FIGURA 3-92 Fijación de un gráfico
Las alertas de Azure Monitor pueden notificarle a usted u otras personas
con un correo electrónico o mensaje de texto SMS, ejecutar un flujo de
aplicación lógica, llamar a una aplicación de función, realizar una solicitud
a un webhook y más, cuando un determinado se cumple la condición. Las
alertas se basan en reglas que usted define, y cuando se cumple la
condición de una regla, una alerta realiza la acción que usted especifica.
Puede crear una regla de alerta que se configure automáticamente para
las métricas que ha seleccionado en su gráfico haciendo clic en Nueva
regla de alerta en la parte superior de su gráfico. También puede empezar
desde cero haciendo clic en Alertas en el menú de Azure Monitor, como se
muestra en la Figura 3-93 , y luego haciendo clic en Nueva regla de alerta.
FIGURA 3-93 Creación de una regla de alerta
Para iniciar su regla, haga clic en Seleccionar y seleccione el recurso para
el que desea configurar una alerta. En la Figura 3-94 , se selecciona una
máquina virtual para una nueva regla de alerta.
FIGURA 3-94 Selección de un recurso para una alerta
A continuación, deberá especificar la condición de su alerta. Haga clic en
Agregar condición y luego seleccione la señal que desea monitorear para
su alerta. En la Figura 3-95 , se ha configurado una alerta basada en la
señal de porcentaje de CPU de la VM.
FIGURA 3-95 Configuración de una condición
Una vez que selecciona una señal, se configura la lógica de la señal. Como
se muestra en la Figura 3-96 , Monitor muestra un gráfico interactivo de
la señal que ha elegido, que le ayuda a tener una idea del rendimiento
histórico de su recurso. De forma predeterminada, muestra las últimas
seis horas, aunque puede ajustar el período del gráfico. Puede especificar
un operador, un tipo de agregación y un umbral, o hacer clic en Listo para
crear la lógica de la alerta.
FIGURA 3-96 Lógica de la regla de alerta
Tenga en cuenta múltiples condiciones
Una regla de alerta puede constar de varias condiciones. Por ejemplo, puede tener una
regla que solo se active si la CPU tiene un promedio superior al 70 por ciento y el uso
del disco también es alto. La decisión es tuya.
Cuando se activa una alerta, realiza una acción que usted especifica
mediante un grupo de acciones . Un grupo de acciones contiene una lista
de acciones a realizar cuando se activa una alerta. Para crear un nuevo
grupo de acciones, haga clic en Crear, como se muestra en la Figura 3-97 .
FIGURA 3-97 Creación de un grupo de acciones
En la Figura 3-98 , estamos creando una acción para notificar al director
de TI. En este caso, la acción enviará un mensaje de texto al director de TI
y también enviará una notificación push mediante la aplicación móvil de
Azure.
FIGURA 3-98 Creación de una acción
Los grupos de acciones están diseñados para contener varias acciones
que se ejecutan cuando se activa una alerta. Para agregar una nueva
acción, haga clic en Administrar acciones (mostrado anteriormente en
la Figura 3-93 ) y luego seleccione su grupo de acciones. En la Figura 399 , agregamos una acción adicional al grupo de acciones. Esta acción
llama a una aplicación de función que ejecuta algún código para reiniciar
la máquina virtual.
FIGURA 3-99 Adición de otra acción
Estado del servicio de Azure
Microsoft opera una página web de estado de Azure donde puede ver el
estado actual de los servicios de Azure en todas las regiones donde opera
Azure. Si bien es una vista útil del estado general de Azure, el enorme
alcance de la página web no la convierte en la forma más eficaz de
obtener una descripción general del estado de sus servicios
específicos. Azure Service Health puede proporcionarle una vista
específica de sus recursos.
Para acceder al estado del servicio, haga clic en Todos los servicios>
Todos> Estado del servicio, como se muestra en la Figura 3-100 .
FIGURA 3-100 Estado del servicio de Azure
En la figura 3-101 se muestra la hoja Estado del servicio que muestra el
estado y el estado de los recursos. El mapa que se muestra tiene tres
puntos verdes que representan el estado de las tres regiones de Azure
donde se implementan los recursos. Este mapa es específico y, al hacer
clic en el ícono de alfiler, puede tener una referencia rápida del estado de
Azure solo para las regiones donde tiene recursos.
También puede ver cualquier mantenimiento planificado que pueda
afectarle haciendo clic en Mantenimiento planificado en el menú de la
izquierda. Al hacer clic en Advertencias de salud, puede ver información
de salud que podría estar relacionada con su propia configuración y no un
problema en algún lugar de Azure.
FIGURA 3-101 Problemas de servicio en el estado del servicio
Cuando un problema de servicio lo esté afectando, verá detalles sobre el
problema, como se muestra en la Figura 3-102 . Además de los detalles
completos sobre el incidente, también verá un enlace que hace referencia
a los detalles del incidente. También puede descargar un PDF que
contiene un aviso oficial de Microsoft sobre el incidente.
FIGURA 3-102 Incidente de estado del servicio de Azure
Tanto Azure Monitor como Azure Service Health son fundamentales para
la vista general de sus recursos de Azure. Azure Monitor está diseñado
para monitorear el costo y el rendimiento de sus recursos y alertarlo a
usted y a otros cuando las condiciones lo requieran. Azure Service Health,
por otro lado, es el único punto de verdad para la información sobre el
estado de Azure y cómo los incidentes de Azure están afectando sus
recursos. La combinación de estos dos servicios le proporciona todas las
herramientas que necesita para mantenerse al día con sus recursos de
Azure y su rendimiento.
EXPERIMENTO MENTAL
Ha aprendido bastante en este capítulo, así que apliquemos parte de ese
conocimiento en un experimento mental. Las respuestas a este
experimento mental se pueden encontrar en la sección que sigue.
ContosoPharm está interesado en modernizar sus sistemas y ha acudido a
usted en busca de consejos. Quieren monitorear las condiciones
ambientales en sus áreas de almacenamiento, por lo que han instalado
algunos termostatos habilitados para Internet. Uno de sus requisitos es
poder alertar al personal de mantenimiento si hay una variación definida
en la temperatura y la humedad. El departamento de TI también quiere
una forma de actualizar de manera eficiente el firmware de estos
termostatos si es necesario, y debido a que hay cientos de dispositivos,
están preocupados por asignar costosos recursos de ingenieros para
hacer ese trabajo, pero también quieren asegurarse de que todos los
termostatos estén actualizados. , incluso cuando el acceso a Internet no
esté disponible temporalmente. Recomiende una buena solución que
satisfaga estas necesidades.
Una pregunta adicional que han relacionado con estos dispositivos está
relacionada con mantenerlos seguros. Al director de TI le preocupa
conectar estos sistemas a Internet debido al riesgo de que un pirata
informático pueda hacerse con el control de los sistemas de control del
clima. Haga una recomendación para ellos que pueda ayudar a proteger
estos dispositivos.
ContosoPharm también está interesado en aprovechar el aprendizaje
automático para hacer que su investigación sea más eficiente. Ya tienen
una gran cantidad de datos en Data Lake Storage y necesitan una forma
eficiente de analizar esos datos y crear algunos modelos de aprendizaje
automático. Tienen grandes cantidades de datos, por lo que necesitan una
solución que sea escalable y capaz de manejar millones de filas de
datos. Si también puede proporcionar una solución para que traigan
algunos datos no estructurados a la ecuación, eso sería una
ventaja. Durante sus discusiones preliminares con ellos sobre esto,
mencionaron que sus científicos de datos están interesados en
aprovechar su conocimiento de Jupyter Notebooks. Haga una
recomendación sobre la mejor manera de hacerlo en Azure.
Si bien ContosoPharm tiene algunos científicos de datos y desarrolladores
capacitados que planean usar R para construir algunos modelos de
aprendizaje automático, también quieren permitir que algunas otras
personas que no conocen R o Python desarrollen algunos modelos. Si hay
una sugerencia que pueda hacer para habilitar a esas personas, sería un
gran argumento de venta.
El director de TI se da cuenta de que todas estas tareas van a agotar los
recursos de TI y le preocupa el hecho de que los gerentes de ventas en el
campo puedan mantener a los empleados de TI ocupados en el suministro
básico. soporte informático. Los problemas que encuentran no son
complicados, pero requieren mucho tiempo del personal de TI. Le ha
pedido que recomiende una forma en la que puedan proporcionar apoyo
básico en el campo sin tener que utilizar valiosos recursos de TI.
Una cosa que causa algunos problemas de soporte está relacionada con
una máquina virtual de Azure que ejecuta una aplicación personalizada
que ContosoPharm desarrolló hace mucho tiempo. Esta aplicación pierde
memoria y eso eventualmente hace que la aplicación se ralentice hasta el
punto en que desencadena llamadas de soporte. No tienen los recursos
disponibles en este momento para solucionar y solucionar el problema,
por lo que cuando reciben llamadas, reinician la máquina virtual para
resolver temporalmente el problema. Si puede recomendarles alguna
forma de monitorear la memoria que se está utilizando y reiniciar la VM
automáticamente sin la interacción del usuario, eso ayudaría mucho a
reducir la cantidad de llamadas de soporte.
La máquina virtual que aloja la aplicación tiene que cambiar de tamaño
ocasionalmente debido a un aumento en el uso. Cuando esa máquina
virtual se escala a un tamaño mayor, significa un mayor gasto para
ContosoPharm. El CIO está dispuesto a aceptar este aumento en el costo,
pero quiere que se le notifique a través de un mensaje de texto cuando
suceda para estar al tanto del cambio. Ella le sugirió eso al director de TI,
pero él no puede ofrecer una solución debido a una limitación en el
número de desarrolladores que podrían construir una solución de este
tipo. Si puede desbloquearlos en esto de una manera que no requiera a
alguien que pueda escribir código, sería un gran beneficio.
Junto con la recomendación de crear una solución para el CIO, a
ContosoPharm le gustaría una buena forma de realizar un seguimiento de
ese trabajo a medida que se realiza. Les preocupa que no puedan cumplir
con los horarios, ya que las personas que trabajan en el proyecto
probablemente tengan muchas otras tareas. Bríndeles una
recomendación sobre una forma de hacer un seguimiento de este trabajo
y asegurarse de que se realice.
Uno de los desarrolladores de ContosoPharm cree que podría trabajar en
la aplicación que está perdiendo memoria, pero no puede dedicarle
mucho tiempo. Uno de los problemas al trabajar en esa aplicación es que
necesita un par de otras máquinas virtuales con algunas herramientas
específicas instaladas, y también necesita símbolos de depuración
instalados en ellas. La instalación de los símbolos puede llevar un par de
horas después de que activa una nueva máquina virtual. Si puede
recomendar una forma de ahorrar algo de tiempo en esto, podría
permitirle a ContosoPharm hacer un trabajo para arreglar la aplicación y
resolver ese problema a largo plazo.
Otro problema importante para solucionar la aplicación problemática es
que se basa en tres aplicaciones web diferentes que se ejecutan en Azure
App Service. El desarrollador no quiere solucionar problemas de la
aplicación usando las aplicaciones web en vivo, por lo que necesita poder
crear nuevas aplicaciones para probarlas fácilmente. Debido a que estas
aplicaciones web se facturan a ContosoPharm, se estén ejecutando o no,
tendrán que eliminar las aplicaciones cuando el desarrollador no esté
trabajando activamente en el problema. Eso significa que el desarrollador
tiene que tomarse el tiempo para volver a crear las aplicaciones web
cuando vuelva a trabajar en la aplicación problemática. Recomiende una
solución para que ContosoPharm cree fácilmente estas aplicaciones web
cuando sean necesarias y luego elimínelas cuando ya no sean necesarias.
El desarrollador que trabajará en la aplicación le ha informado que la
aplicación se basa en una gran colección de scripts Bash que están
instalados en la máquina virtual. Estos scripts interactúan con los
recursos de Azure, por lo que deben ejecutarse dentro del entorno de
Azure. Su sensación es que estos scripts podrían ser parte del problema
con la aplicación, por lo que le gustaría tener una forma de editar
fácilmente estos scripts en un entorno de Azure. El problema es que
puede que no siempre esté en la oficina donde su computadoraestá
disponible. De hecho, el desarrollador le dijo que gran parte del trabajo
que hace en las secuencias de comandos se realiza mientras viaja por la
ciudad en el tren, y el único dispositivo que tiene consigo es un iPad. Si
puede ayudar a que el desarrollador sea productivo mientras está en el
tren, sería una gran ventaja para ContosoPharm.
El director de TI ha estado leyendo en la nube y le preocupa que parte de
los problemas de ContosoPharm sea que no están siguiendo las mejores
prácticas de Azure. Le pidió que discuta las mejores prácticas con ellos
para que puedan estar mejor preparados para evitar problemas. Siente
que este podría no ser el mejor uso de su tiempo y le preocupa que las
mejores prácticas puedan evolucionar con el tiempo. Proporcione una
mejor recomendación para garantizar que ContosoPharm cumpla con las
mejores prácticas en Azure. A medida que ContosoPharm realiza cambios,
también les gustaría saber si hay alguna forma de supervisar
cuidadosamente el rendimiento de sus máquinas virtuales y otros
recursos. Para ahorrar tiempo perdido, también quieren asegurarse de
estar al tanto de cualquier incidente en Azure que esté afectando sus
recursos.
RESPUESTAS DEL EXPERIMENTO MENTAL
En esta sección, repasaremos las respuestas al experimento mental.
La mejor opción para administrar los dispositivos de termostato de
ContosoPharm es usar IoT Hub. Podrían usar IoT Central para hacer gran
parte de lo que quieren hacer, pero uno de sus requisitos es poder
actualizar el firmware de los dispositivos incluso si Internet no está
disponible temporalmente. La función de dispositivo gemelo de IoT Hub
está diseñada específicamente para situaciones como esa, por lo que IoT
Hub es una mejor opción.
Para mantener seguros los termostatos, puede recomendar Azure
Sphere. Sin embargo, necesitarán usar dispositivos que incorporen MCU
diseñados para Azure Sphere y, si esos dispositivos aún no están
disponibles, es posible que no puedan implementarlos de inmediato. Aun
así, Azure Sphere es la mejor solución para mantener seguros los
dispositivos de IoT, y ContosoPharm agradecería saberlo.
La mejor manera de que ContosoPharm analice sus macrodatos y compile
modelos es usar el análisis de Azure Synapse. Esta es una solución de un
extremo a otro que funciona bien con Data Lake Storage. Dado que
necesitan una solución escalable que también pueda manejar millones de
filas de datos, HDInsight también es una buena recomendación para
ellos. También mencionaron que quieren trabajar con algunos datos no
estructurados. Azure Databricks es una solución ideal para usar datos no
estructurados, y su compatibilidad con portátiles encaja bien con el deseo
de utilizar el conocimiento de Jupyter Notebooks.
Para permitir que los usuarios que no saben cómo programar compilen
modelos de aprendizaje automático, puede recomendar Azure Machine
Learning a ContosoPharm. Tendrán que usar la edición Enterprise para
tener acceso a diseñadores visuales, pero esto les permitirá crear
modelos ML en una interfaz de arrastrar y soltar.
Para aliviar la presión del soporte de TI en el departamento de TI, puede
recomendar Azure Cognitive Services y Azure Bot Service para crear un
agente de soporte de IA. Con este método, pueden comprender fácilmente
el lenguaje natural y ofrecer sugerencias mediante un bot de chat.
Para supervisar el uso de memoria de la máquina virtual y reiniciarla
cuando sea necesario, ContosoPharm puede usar Azure Monitor y
configurar alertas para llamar a una aplicación de función para ejecutar
algún código para reiniciar la máquina virtual. Dado que el CIO desea
estar informado cuando se cambia el tamaño de la máquina virtual para
tener en cuenta la presión de la memoria, también puede sugerirle que
use Logic Apps para crear un flujo de trabajo. Puede usar Event Grid para
escuchar un evento cuando la máquina virtual cambia de tamaño, y Logic
Apps puede ejecutar un flujo que envía un mensaje de texto al CIO.
Para realizar un seguimiento del trabajo que se está realizando en su
aplicación con filtraciones, puede recomendar Azure DevOps y Azure
Boards. Esto facilitaría el seguimiento de diferentes tareas y su estado
actual.
El desarrollador que necesita acceso a máquinas virtuales con
herramientas específicas instaladas puede usar Azure DevTest Labs. Al
crear una imagen personalizada que incluye todas las herramientas y
símbolos de depuración que necesita, siempre puede acceder a una
máquina virtual con lo que necesita muy rápidamente.
Para crear y eliminar aplicaciones web de forma rápida y sencilla, puede
recomendar que el desarrollador use el módulo Az en PowerShell o la CLI
de Azure. Con estos, el desarrollador puede programar estas operaciones
para poder crear fácilmente aplicaciones web y configurarlas de la
manera que las necesite y luego eliminarlas todas fácilmente.
Para trabajar en sus scripts Bash, el desarrollador debe usar Azure Cloud
Shell. Debido a que Cloud Shell usa un sistema de archivos montado,
cualquier archivo que use estará disponible en cualquier sesión de Cloud
Shell, y el editor de Monaco integrado facilita la edición y el desarrollo de
sus scripts. Cloud Shell también resuelve el problema de hacer que el
desarrollador sea productivo mientras está en el tren. Al instalar la
aplicación móvil de Azure en su iPad, puede acceder a una sesión de
Cloud Shell en ese dispositivo y hacer su trabajo.
Para asegurarse de que están al día con las mejores prácticas,
ContosoPharm puede usar Azure Advisor. El asesor les mostrará dónde
no están siguiendo las mejores prácticas, junto con los pasos de
remediación a seguir. Pueden realizar un seguimiento de los posibles
incidentes de servicio en Azure mediante Azure Service Health en Azure
Portal.
RESUMEN DEL CAPÍTULO
Cubrimos mucho terreno en este capítulo. Aprendió sobre algunas de las
tecnologías más recientes en computación en la nube y aprendió cómo
puede interactuar y administrar los recursos de Azure de varias formas.
Aquí hay un resumen de lo que cubrió este capítulo.
Internet de las cosas (IoT) se refiere a dispositivos con
sensores que se comunican entre sí y con Internet.
•
Azure IoT Hub le permite administrar dispositivos IoT y
enrutar mensajes hacia y desde esos dispositivos.
•
El servicio de aprovisionamiento de Azure IoT Hub facilita el
aprovisionamiento de una gran cantidad de dispositivos en IoT
Hub.
•
Azure IoT Central es una oferta de SaaS para monitorear
dispositivos IoT.
•
•
IoT.
Azure Sphere es un servicio para proteger los dispositivos de
Azure Sphere se compone de Azure Sphere MCU, Azure
Sphere OS y Azure Sphere Security Service.
•
Big data se refiere a más datos que puede analizar a través de
medios convencionales dentro de un período de tiempo deseado.
•
•
Azure Synapse es el reemplazo de SQL Data Warehouse.
Azure Synapse almacena big data y también proporciona
análisis de datos en un clúster.
•
Un clúster de Azure Synapse consta de Synapse SQL,
integración de Apache Spark, integración de datos de Apache Spark
y Azure Data Lake Storage, y una interfaz de usuario basada en web
llamada Azure Synapse Studio.
•
Data Lake Storage es bueno para cualquier tipo de datos
porque almacena datos no estructurados.
•
HDInsight es la solución de Microsoft para el procesamiento
Hadoop en clúster de macrodatos.
•
Azure Databricks es una buena solución para modelar datos
de un almacén de datos para que puedan usarse de manera efectiva
en el modelado de ML.
•
Los clústeres de Databricks se componen de cuadernos que
pueden almacenar todo tipo de información.
•
El proceso de toma de decisiones de IA en varios puntos a lo
largo de la red neuronal se conoce como canalización de ML.
•
Azure Machine Learning usa recursos basados en la nube para
entrenar modelos de ML mucho más rápido.
•
La edición Enterprise de Azure Machine Learning ofrece
diseñadores que le permiten crear, entrenar y puntuar modelos de
ML en una interfaz de arrastrar y soltar.
•
Los servicios cognitivos proporcionan numerosas API que le
permiten desarrollar rápidamente soluciones de aprendizaje
automático.
•
Azure Bot Service se ejecuta en Azure App Service y facilita la
creación de una potente interacción impulsada por la inteligencia
artificial.
•
La informática sin servidor se refiere al uso de máquinas
virtuales excedentes en Azure para ejecutar su código a
pedido. Solo paga cuando se ejecuta su código.
•
Azure Functions es el componente informático sin servidor en
Azure.
•
Azure Logic Apps es una solución sin servidor de flujo de
trabajo que usa conectores, desencadenadores y acciones.
•
Azure Event Grid permite generar y controlar eventos a
medida que interactúa con sus recursos de Azure.
•
Azure DevOps es una forma sencilla de planificar, realizar un
seguimiento y administrar proyectos y trabajar con equipos.
•
Azure DevTest Labs facilita el acceso a máquinas virtuales
listas para usar que están configuradas exactamente como usted las
necesita.
•
Azure Portal es una interfaz basada en web para interactuar
con sus servicios de Azure. Utiliza llamadas a la API de ARM bajo el
capó para hablar con Azure Resource Manager.
•
Azure PowerShell Az es un módulo de PowerShell
multiplataforma que facilita la administración de los recursos de
Azure en PowerShell.
•
La CLI de Azure es una herramienta de línea de comandos que
es multiplataforma y se puede programar en varios idiomas.
•
Azure Cloud Shell proporciona acceso de línea de comandos a
Azure desde prácticamente cualquier dispositivo.
•
Cloud Shell conserva todos los archivos copiados mediante
una cuenta de almacenamiento de Azure.
•
La aplicación Azure Mobile le permite administrar sus
recursos de Azure desde su dispositivo iOS o Android.
•
Azure Advisor proporciona recomendaciones de mejores
prácticas en el área de alta disponibilidad, seguridad, rendimiento y
costo.
•
Azure Monitor agrega métricas para los recursos de
Azure. Puede crear alertas basadas en esas métricas.
•
Azure Service Health proporciona información relacionada
con los incidentes en Azure que afectan a sus recursos.
•
Capítulo 4
Describir las características generales de seguridad y
seguridad de la red.
Hasta ahora, nos hemos adentrado en el vecindario de la seguridad en
Azure, pero no nos hemos adentrado realmente. Eso va a cambiar en
este capítulo. Naturalmente, la seguridad es de gran interés para
cualquiera que se traslade a la nube. Después de todo, las empresas no
solo trasladan las aplicaciones a la nube. También mueven grandes
cantidades de datos, algunos de los cuales son muy sensibles, y quieren
asegurarse de que sus datos estén a salvo de personas
externas. También quieren asegurarse de que sus propios empleados
no tengan acceso a recursos y datos que no necesitan. Además, muchas
empresas tienen requisitos legales para el manejo de datos y deben
confiar en que sus proveedores de nube cumplen esos requisitos.
Azure puede ayudar con todos estos requisitos. Azure Security Center
puede brindarle la confianza de que se están cumpliendo las mejores
prácticas de seguridad; Azure Key Vault puede garantizar que los
secretos estén cifrados; y Azure Sentinel puede vigilar sus recursos de
Azure en busca de amenazas y responder a ellas.
Además, las amenazas a la seguridad contra las redes son una gran
preocupación para la mayoría de las empresas y Azure también lo cubre
allí. En este capítulo, hablaremos sobre la defensa en profundidad y
cómo puede ayudar a proteger sus datos. También cubriremos los
Grupos de seguridad de red (NSG) como una forma de controlar el
tráfico dentro de su red, Azure Firewall como un medio para proteger
su red de los malos actores y Azure DDoS Protection como una
solución que puede prevenir un ataque malintencionado que afecta
acceso a los recursos de la red.
Habilidades cubiertas en este capítulo:
•
•
Describir las características de seguridad de Azure
Describir la seguridad de la red de Azure
HABILIDAD 4.1: DESCRIBIR LAS CARACTERÍSTICAS DE SEGURIDAD
DE AZURE
Pregúntele a cualquiera que se mude a la nube cuáles son sus
preocupaciones y la mayoría mencionará la seguridad. Pero, ¿qué
significa exactamente "seguridad"? La seguridad es multifacética y
comienza con asegurarse de que sus recursos estén configurados
correctamente para la seguridad. Sin embargo, incluso cuando haya hecho
todo bien, aún puede correr el riesgo de los malos actores. También existe
riesgo desde el interior comolos empleados obtienen acceso a datos y
sistemas confidenciales. Los empleados malintencionados pueden violar
la seguridad y también existe el riesgo de que un empleado bien
intencionado cree involuntariamente un problema de seguridad.
Esta sección cubre:
Centro de seguridad de Azure
• Bóveda de llaves
• Centinela azur
Centro de seguridad de Azure
•
La mayoría de las empresas tienen a alguien cuyo trabajo es aprender las
mejores prácticas y asegurarse de que la empresa las cumpla. Cuando se
trata de Azure, aprender esas mejores prácticas puede ser un trabajo
difícil debido a la gran cantidad de servicios disponibles. Debido a que
Azure siempre está cambiando y evolucionando, este trabajo se hace aún
más difícil.
Afortunadamente, Azure Security Center puede ayudarlo a mantenerse al
día con las mejores prácticas, pero también puede ayudarlo a
proporcionar los pasos que debe seguir para mantener sus recursos
configurados de una manera que los haga más seguros. Security Center
incluso puede ayudarlo a mantener seguros sus recursos locales.
Security Center ofrece dos niveles de servicio:
Nivel gratuito El nivel gratuito proporciona una evaluación general y
recomendaciones para proteger sus recursos de Azure y cubre solo las
máquinas virtuales de Azure y el Servicio de aplicaciones de Azure.
Nivel estándar El nivel estándar agrega cobertura de sus bases de datos
Azure SQL, bases de datos MySQL, PostgreSQL, Azure Storage,
dispositivos IoT, AKS, Azure Container Registry y Azure Key Vault. El nivel
Estándar también ofrece características adicionales como detección
avanzada de amenazas, análisis de Microsoft Threat Intelligence y la
capacidad de administrar el cumplimiento normativo de sus recursos de
Azure. El nivel Estándar se factura por horas y los detalles completos
sobre los precios se pueden encontrar en https://azure.microsoft.com/enus/pricing/details/security-center .
Para comenzar con Security Center, haga clic en Security Center en el
menú de la página de inicio de Azure Portal. Esto lo llevará a la hoja
Descripción general, donde puede ver una descripción general de todos
sus recursos protegidos por Security Center, como se muestra en
la Figura 4-1 .
FIGURA 4-1 Centro de seguridad de Azure
Hay tres áreas principales de cobertura en Security Center.
•
Política y cumplimiento proporciona una puntuación segura y una
puntuación general, que muestra la seguridad de sus recursos. Esta
área también cubre su cumplimiento con los estándares
regulatorios.
•
•
Higiene de la seguridad de los recursos Proporciona una
descripción general de alto nivel del estado de sus recursos desde
una perspectiva de seguridad. Los problemas de seguridad se
clasifican como de gravedad alta, gravedad media o gravedad baja.
Protección contra amenazas Le muestra cualquier ataque o
amenaza activos o pasados a sus recursos.
La información para las áreas de Política y cumplimiento y Seguridad de
los recursos Higiene es proporcionada por el servicio que se protege. Esta
información suele estar relacionada con las mejores prácticas. La
información en el área de Protección contra amenazas, por otro lado, está
específicamente dirigida a analizar tanto el tráfico de la red como el
comportamiento de los usuarios de sus recursos. Si algo parece
sospechoso, Security Center lo informa.
Microsoft Threat Intelligence se utiliza para identificar amenazas a la
seguridad. Threat Intelligence utiliza los datos históricos de Microsoft y el
aprendizaje automático para identificar posibles amenazas. Estas
amenazas pueden ser un pirata informático que intenta obtener acceso a
un recurso o pueden estar relacionadas con una actividad sospechosa
realizada por un usuario. Por ejemplo, si un usuario eleva sus privilegios
en una máquina virtual y ejecuta un proceso desconocido, estas
actividades probablemente se marcarán como un incidente que debe
investigarse.
Al hacer clic en un elemento de la hoja Descripción general, puede
profundizar en más detalles. En la Figura 4-2 , hicimos clic en
Computación y aplicaciones en la hoja Descripción general. Esta vista le
permite ver todas las recomendaciones. También puede ver cuánto
mejorará su Secure Score si cumple con cada recomendación.
Al hacer clic en una de las recomendaciones, se proporcionará
información adicional. En la mayoría de los casos, verá un enlace a
instrucciones sobre cómo puede abordar la recomendación, pero Security
Center puede encargarse automáticamente de algunas
recomendaciones. Las recomendaciones que se pueden corregir
automáticamente mostrarán una insignia de Corrección rápida, como se
muestra en la Figura 4-2 .
FIGURA 4-2 Descripción general de todas las recomendaciones de Azure
Compute en Security Center
Los puertos de red abiertos en sus máquinas virtuales son una de las
mayores amenazas de seguridad para sus recursos en la nube. El acceso a
sus máquinas virtuales mediante el escritorio remoto para las máquinas
virtuales de Windows o SSH para las máquinas virtuales de Linux es una
parte necesaria de la gestión de esos recursos, pero los piratas
informáticos suelen utilizar los puertos de red utilizados para la gestión
remota para acceder a las máquinas virtuales. Security Center
proporciona una función llamada acceso justo a tiempo (JIT) que ayuda a
proteger sus máquinas virtuales de los ataques a los puertos de
administración.
Cuando el acceso JIT está habilitado, los usuarios deben solicitar acceso a
una máquina virtual para poder acceder a ella de forma remota. Hasta
que alguien tenga acceso JIT, los puertos de administración en la VM se
cierran para que no se pueda acceder a ellos. Una vez que se otorga
acceso JIT a un usuario, los puertos están abiertos durante un período de
tiempo específico según lo solicite el usuario. Una vez transcurrido ese
período de tiempo, los puertos de administración se vuelven a cerrar.
Para habilitar el acceso JIT en una VM, haga clic en Just In Time VM Access
en Security Center, como se muestra en la Figura 4-3 . Haga clic en la
pestaña Recomendado para ver las máquinas virtuales que actualmente
no están configuradas para el acceso JIT. Seleccione una o más VM y haga
clic en Habilitar JIT para activar la función.
FIGURA 4-3 Habilitación del acceso JIT en una VM
Al habilitar el acceso JIT, puede elegir qué puertos desea proteger, como
se muestra en la Figura 4-4 . Se enumeran los puertos recomendados para
la administración, pero puede agregar sus propios puertos. Por ejemplo,
si ha cambiado la configuración de su máquina virtual para que la
administración se realice en un puerto no típico, puede agregar ese
puerto para el acceso JIT.
Además de especificar el puerto, también puede controlar qué protocolos
están permitidos en el puerto y qué direcciones IP están permitidas. Si las
direcciones IP permitidas se establecen en Por solicitud, el usuario
queLas solicitudes de acceso tendrán la opción de especificar una
dirección IP o un bloque CIDR. De lo contrario, puede especificar un
bloque CIDR usted mismo para permitir el acceso solo desde un rango de
direcciones IP específico.
FIGURA 4-4 Configuración de acceso JIT
Cuando un usuario solicita acceso, la cantidad de horas que se le otorga el
acceso se puede configurar hasta la cantidad máxima de horas que
especifique en la configuración del puerto. El tiempo máximo de solicitud
se puede configurar de 1 a 24 horas, pero el valor predeterminado es 3
horas.
Una vez que una máquina virtual está configurada para el acceso JIT, los
usuarios solicitan acceso desde Security Center. Después de hacer clic en
Just in Time VM Access, seleccione la VM y haga clic en Request Access,
como se muestra en la Figura 4-5 .
FIGURA 4-5 Solicitud de acceso JIT
Como se muestra en la Figura 4-6 , los usuarios que solicitan acceso deben
especificar qué puertos abrir, las direcciones IP que están permitidas
(asumiendo que no se especificaron cuando se habilitó el acceso JIT para
la VM) y cuánto tiempo se necesita el acceso (hasta el tiempo máximo
configurado). Una vez que se hace clic en Abrir puertos, los puertos
solicitados permanecerán abiertos durante el período especificado.
FIGURA 4-6 Detalles de una solicitud de acceso JIT
Bóveda de llaves
La mayoría de las aplicaciones utilizan información confidencial o
secreta. Por ejemplo, una aplicación que utiliza una base de datos necesita
saber cómo conectarse a esa base de datos y esa información de conexión
se almacena en una cadena de conexión. La cadena de conexión puede
contener un nombre de usuario y contraseña que protegen la base de
datos y almacenar ese nombre de usuario y contraseña en un archivo de
texto sin cifrar sería un riesgo de seguridad obvio.
Azure Key Vault proporciona una forma segura de almacenar secretos,
claves y certificados. Una vez que un elemento se almacena en Key Vault,
puede aplicar políticas de seguridad que definan qué usuarios y
aplicaciones pueden acceder a él. Key Vault se cifra mediante claves de
cifrado, pero Microsoft no tiene visibilidad de las claves de cifrado ni de
los datos cifrados.
Los almacenes de claves se crean en Azure Portal, como se muestra en
la Figura 4-7 .
Hay dos niveles de precios disponibles en Key Vault: Estándar y
Premium. La única diferencia entre los dos es que las claves se almacenan
en módulos de seguridad de hardware (HSM) en el nivel Premium. Un
HSM es una pieza de hardware separada que está diseñada para
almacenar contenido cifrado de forma segura y también está
especializada para procesar datos criptográficos.
FIGURA 4-7 Creación de un Key Vault
Sugerencia para el examen
El estándar federal de procesamiento de información (FIPS) 140-2
requiere mantener las claves de cifrado en un límite de HSM, por lo que
las empresas que necesitan cumplir con FIPS 140-2 pueden hacerlo
mediante el nivel Premium de Key Vault.
Puede importar una clave, un secreto o un certificado a Key Vault, pero
Key Vault también puede generar claves de seguridad y certificados. Por
ejemplo, es posible que desee generar una clave de seguridad que su
empresa pueda utilizar para firmar certificados. Si desea generar una
clave de seguridad de 4.096 bits para este propósito y almacenarla en Key
Vault, haga clic en Claves y luego haga clic en Generar / Importar, como se
muestra en la Figura 4-8 .
FIGURA 4-8 Adición de una clave a Key Vault
En la Figura 4-9 , se genera y almacena una clave RSA de 4.096 bits en Key
Vault.
FIGURA 4-9 Generación de una clave RSA
Como se muestra en la Figura 4-10 , una vez que se ha almacenado la
clave, puede ver la entrada para obtener el identificador de clave, que es
una URL que pueden utilizar los usuarios autorizados o las aplicaciones
para recuperar elclave. Sin embargo, no puede ver la clave porque está
encriptada y no está disponible excepto a través del identificador de
clave.
FIGURA 4-10 Detalles de una llave
Sugerencia para el examen
Normalmente, una aplicación accede a una clave almacenada en Azure
Key Vault mediante programación. Para proteger la clave, los
desarrolladores de aplicaciones pueden recuperar la clave cada vez que
sea necesario en lugar de recuperarla una vez y almacenarla en la
memoria. Esto asegura que la clave permanezca segura.
Otro escenario de uso común para Key Vault es almacenar claves de
cifrado para máquinas virtuales de Azure. Una de las recomendaciones de
seguridad que ofrece Security Center es cifrar los discos de VM. Un disco
de VM se almacena como un archivo VHD y, cuando está cifrado, el
sistema operativo host que ejecuta la VM debe poder acceder a la clave de
seguridad para descifrar el VHD y ejecutar la VM. Key Vault ofrece
capacidades que están específicamente dirigidas a este tipo de escenario.
Para utilizar Key Vault para claves de cifrado de disco, las políticas de
acceso deben configurarse para permitir el cifrado de disco en la
bóveda. Si esto no se hizo cuando se creó la bóveda, puede cambiarla
haciendo clic en Políticas de acceso y marcando la opción Cifrado de disco
de Azure para cifrado de volumen, como se muestra en la Figura 4-11 .
FIGURA 4-11 Configuración de políticas de acceso para permitir el acceso
a Azure Disk Encryption
Azure Disk Encryption está habilitado en sus máquinas virtuales
mediante Azure PowerShell, la interfaz de línea de comandos (CLI) de
Azure o una plantilla ARM.
Más información Habilitación del cifrado
Para habilitar el cifrado y almacenar las claves en Key Vault, sus máquinas virtuales y Key
Vault deben estar en la misma suscripción de Azure y deben estar en la misma región de
Azure. Para obtener más detalles sobre los requisitos de cifrado de disco y los pasos para
habilitar el cifrado, consulte: https://bit.ly/az900-keyvaultvm .
Centinela azur
Cuando se trata de proteger datos y recursos, muchas empresas utilizan
marcos probados y comprobados que están diseñados para centrarse en
lo más importante, como SOAR (Security Orchestration, Automation, and
Response) o SIEM (Security Information and Event Management). Muchas
empresas, de hecho, utilizan SOAR y SIEM en combinación.
La implementación de SOAR y SIEM puede ser un desafío. Muchas
empresas contratan expertos en seguridad para implementarlos en sus
negocios. Microsoft quería que SOAR y SIEM fueran fáciles de
implementar, incluso para personas que no son expertos en seguridad. El
resultado de su trabajo es Azure Sentinel.
Sugerencia para el examen
Azure Sentinel no es solo para Azure. También puede proporcionar
informes y análisis de amenazas para recursos locales y para recursos en
otras nubes.
Para comenzar a usar Azure Sentinel, primero cree un área de trabajo de
Sentinel. Una vez que lo haga, verá la pantalla Azure Sentinel Workspaces
que se muestra en la Figura 4-12 . Haga clic en el botón Conectar área de
trabajo para crear una instancia de Azure Log Analytics y agregarla a su
área de trabajo de Sentinel. Si ya tiene una instancia de Log Analytics,
puede elegirla para agregarla a Azure Sentinel.
FIGURA 4-12 Creación de un área de trabajo de Azure Sentinel
Nota Azure Sentinel y Log Analytics
Azure Sentinel se encuentra en la parte superior de Log Analytics. A medida que Log
Analytics recopila información de sus recursos de Azure, Azure Sentinel observa esa
información en busca de amenazas.
Después de agregar Log Analytics a Azure Sentinel, conecte las fuentes de
datos a Sentinel mediante conectores haciendo clic en el botón Conectar,
como se muestra en la Figura 4-13 .
FIGURA 4-13 Recopilación de datos con Azure Sentinel
Microsoft proporciona conectores para Azure y otros productos de
Microsoft, pero también hay conectores para terceros. En la Figura 4-14 ,
puede ver un conector para Amazon Web Services.
FIGURA 4-14 Adición de un conector en Sentinel
Una vez que agregue un conector, verá los requisitos previos para el
conector, así como los siguientes pasos que debe seguir. En la Figura 415 , agregamos un conector para Azure Active Directory.
FIGURA 4-15 El conector de Azure Active Directory en Sentinel
La lista de requisitos previos es una lista activa que muestra el estado
actual de todos los requisitos previos. En la figura 4-15 , se han cumplido
todos los requisitos previos, excepto el requisito de licencia de Azure
Active Directory que muestra un icono X.
Hacer clic en Pasos siguientes le permite realizar los pasos necesarios
para completar la adición de su conector. En la Figura 4-16 , se muestran
los siguientes pasos para configurar el conector de Azure Active
Directory.
FIGURA 4-16 Pasos siguientes para configurar el conector de Azure
Active Directory en Sentinel
Después de agregar su conector, guardará la configuración dentro de un
libro de trabajo de Azure Monitor. Los libros de trabajo facilitan la
agregación de datos para que sea más fácil de consumir.
Azure Sentinel también puede buscar amenazas de seguridad
específicas. Se proporcionan muchas consultas que buscan amenazas de
todo tipo. Al hacer clic en Hunting, puede seleccionar una consulta que
desee ejecutar en sus recursos, como se muestra en la Figura 4-17 .
FIGURA 4-17 Búsqueda de amenazas en Azure Sentinel
Cuando Sentinel encuentra un problema, puede hacer que responda
usando un Playbook . Un Playbook es un flujo de trabajo que se ejecuta en
respuesta a una alerta en Sentinel. Para crear un Playbook, haga clic en
Playbooks y luego haga clic en Add Playbook, como se muestra en
la Figura 4-18 .
FIGURA 4-18 Adición de un libro de jugadas en Sentinel
Cuando agrega un nuevo libro de jugadas, Sentinel le pedirá que cree una
nueva aplicación lógica. Eso es porque los Playbooks usan Logic Apps
para sus flujos de trabajo. En el momento de escribir este artículo, la
experiencia del usuario está un poco desconectada. Una vez creada la
aplicación lógica, deberá hacer clic en Aplicación lógica en blanco, como
se muestra en la Figura 4-19 .
FIGURA 4-19 Creación de una nueva aplicación lógica para un manual de
jugadas de Sentinel
Ingrese centinela en el cuadro de búsqueda y haga clic en Cuando se
activa una respuesta a una alerta de Azure Sentinel, como se muestra en
la Figura 4-20 . Después de eso, puede continuar construyendo su flujo de
trabajo y agregar las acciones que desea realizar cuando se active la
alerta.
FIGURA 4-20 Adición de un disparador para Azure Sentinel en una
aplicación lógica
HABILIDAD 4.2: DESCRIBIR LA SEGURIDAD DE LA RED DE AZURE
Otro componente de seguridad se relaciona con la red. Asegurar la red
requiere un conjunto de herramientas y habilidades completamente
diferente. Al igual que cuando planifican la seguridad de los datos y los
recursos, las empresas suelen pagar a especialistas para que los ayuden
con la seguridad de la red. En Azure, sin embargo, una gran parte de la
seguridad de la red está a cargo de usted. Aun así, deberá tomar algunas
medidas para mantenerse seguro.
Esta sección cubre:
Defensa en profundidad
• Grupos de seguridad de red (NSG)
• Cortafuegos de Azure
• Protección contra DDoS de Azure
Defensa en profundidad
•
Por un momento, transpórtese a la época medieval y piense en lo que era
vivir en un castillo. Estos no eran tiempos amigables en muchos sentidos,
y siempre había una fuerza hostil tratando de entrar en la fortaleza. Para
evitar la invasión, se construyeron fosos alrededorcastillos. El propósito
del foso era evitar que una fuerza contraria hiciera un túnel debajo de la
pared y lograra entrar.
Incluso antes de que un enemigo llegara al foso, los arqueros a lo largo del
alto muro del castillo representarían un riesgo formidable para los
atacantes que se acercaran al castillo. Suponiendo que una fuerza opuesta
lograra pasar a los arqueros y atravesar el foso, se encontraron con un
muro alto y una puerta resistente. Si lograban pasar la puerta, se
encontraban con un ejército de hombres con espadas y otras armas
repugnantes.
La gente medieval tenía una idea bastante buena en lo que respecta a la
seguridad. Se dieron cuenta de que una sola fuerza opuesta no sería
suficiente para mantenerlos seguros. Necesitaban una oposición en capas
para que cualquiera que derrotara un método de seguridad se encontrara
con varios más en el futuro.
Este es un ejemplo perfecto de defensa en profundidad, y es por eso que
la defensa en profundidad a menudo se conoce como el "enfoque de
castillo". En lo que respecta a la seguridad de la red, este enfoque de
varias capas también es la mejor manera de mantener su red
segura. Azure Firewall puede ayudar a evitar que un usuario
malintencionado ingrese a su red, los grupos de seguridad de red pueden
ayudarlo a controlar el tráfico de red dentro de su red y Azure DDoS
Protection puede ayudar a identificar y mitigar el tráfico malintencionado
que de otro modo podría parecer normal.
Grupos de seguridad de red (NSG)
Un grupo de seguridad de red (NSG) le permite filtrar el tráfico en su red
y aplicar reglas sobre ese tráfico. Un grupo de seguridad de red contiene
varias reglas integradas proporcionadas por Azure que están diseñadas
para permitir que sus recursos en la red virtual se comuniquen entre
sí. Luego, puede agregar sus propias reglas al NSG para controlar el tráfico
que entra y sale de la red, y también entre los recursos de la red.
La figura 4-21 muestra una aplicación de varios niveles.
FIGURA 4-21 Una aplicación de varios niveles
Aquí está el flujo de tráfico de esta aplicación.
•
•
•
La subred 1 recibe datos de otra red virtual que ejecuta Azure
Firewall.
La subred 1 se comunica con la subred 2 para procesar solicitudes.
La subred 2 se comunica con un servidor de base de datos en la
subred 3 para acceder a los datos.
Si desea garantizar un entorno seguro, la subred 1 no debería poder
comunicarse directamente con los recursos de la subred 3. Asimismo, la
subred 3 no debería poder comunicarse directamente con los recursos de
la subred 1. Finalmente, solo la subred 1 debería poder comunicarse
directamente con los recursos de la subred 1. comunicarse con la otra red
virtual que ejecuta Azure Firewall. Puede utilizar NSG para implementar
reglas que harán cumplir estas políticas.
Los grupos de seguridad de red se pueden asociar con una subred o con
una interfaz de red adjunta a una máquina virtual. Cada interfaz de red o
subred solo puede tener un NSG asociado, pero puede crear hasta 1,000
reglas en un solo NSG, por lo que debería poder aplicar fácilmente toda la
lógica de reglas necesaria para cualquier tarea. Si asocia un NSG a una
subred y a una o más interfaces de red dentro de esa subred, las reglas
para el NSG asociado con las interfaces de red se aplican primero,
seguidas de las reglas del NSG de la subred.
Sugerencia para el examen
Un grupo de seguridad de red que está asociado con una subred afecta a
todas las máquinas virtuales dentro de esa subred, así como al tráfico
hacia y desde la subred. Por ejemplo, supongamos que configura un NSG
para evitar todo el tráfico excepto el tráfico de Internet y luego asocia ese
NSG con una subred que contiene dos VM. En ese caso, esas dos VM ya no
podrán comunicarse entre sí porque el NSG solo permite el tráfico de
Internet.
Para evitar que las reglas interfieran entre sí, cada regla que cree en un
NSG tiene una prioridad entre 100 y 4096. Las reglas con una prioridad
más baja tienen prioridad sobre las reglas con una prioridad más alta. El
tráfico de red se aplica a la regla con el número de menor prioridad
primero. Si el tráfico coincide con esa regla, la regla se aplica y el
procesamiento de la regla se detiene. Si el tráfico no coincide con la regla,
se evalúa con la siguiente regla de prioridad más baja. Esto continúa hasta
que el tráfico coincide con una regla o no hay reglas adicionales.
Más información Prioridad de las reglas
predeterminadas
Las reglas predeterminadas que Azure aplica a todos los grupos de seguridad de red tienen
una prioridad en el rango de 65.000. Esto evita que las reglas predeterminadas anulen
alguna vez una regla explícita que usted cree y le facilita anular las reglas predeterminadas
si es necesario.
Para crear un grupo de seguridad de red , busque Grupo de seguridad
de red en Azure Marketplace. Cuando cree un NSG, asígnele un nombre,
ingrese un nombre en el campo Nombre o haga clic en Crear nuevo para
crear un grupo de recursos y elija una ubicación para el NSG en el menú
desplegable Región, como se muestra en la Figura 4-22. .
FIGURA 4-22 Creación de un NSG
Después de crear un NSG, puede agregar reglas de entrada y salida para el
NSG. Una vez que abra el grupo de seguridad de red en Azure Portal, haga
clic en Reglas de seguridad de entrada para agregar nuevas reglas de
entrada y haga clic en Reglas de seguridad de salida para agregar reglas
de salida.
En la Figura 4-23 , se ha hecho clic en Reglas de seguridad de entrada para
agregar una nueva regla que permite el tráfico desde la red virtual que
ejecuta Azure Firewall. Después de eso, el NSG se asociará con la Subred1. Tenga en cuenta que puede asociar el grupo de seguridad de red con
una subred o una interfaz de red antes de agregar reglas.
FIGURA 4-23 Reglas de seguridad de entrada para un NSG
Haga clic en Agregar para agregar una nueva regla NSG. La figura 424 muestra una nueva regla que se agrega que permite el tráfico en esta
subred desde el espacio de direcciones de otra red virtual que ejecuta
Azure Firewall.
FIGURA 4-24 Creación de una regla de entrada de NSG
La regla que se configura en la Figura 4-24 usa la notación CIDR para las
direcciones IP de origen, pero también puede ingresar una dirección IP
específica o cambiar el menú desplegable Fuente a Cualquiera si desea
que la regla se aplique a todas las direcciones IP. Haga clic en Agregar
para crear la regla.
Una vez que haya creado una regla, haga clic en Subredes para asociar un
grupo de seguridad de red con una subred, o haga clic en Interfaces de red
para asociarlo con una interfaz de red utilizada por una máquina
virtual. Por último, haga clic en Asociar, como se muestra en la Figura 425 .
FIGURA 4-25 Asociación de un NSG
La Figura 4-26 muestra la hoja en la que un grupo de seguridad de red
está asociado con una subred.
FIGURA 4-26 Asociación de un NSG con una subred
Las reglas de seguridad de salida se crean de la misma forma que se crean
las reglas de entrada. Sin embargo, no es necesario que cree una regla de
salida correspondiente para cada regla de entrada. Los NSG mantienen lo
que se llama un registro de flujo que almacena el estado de una conexión,
y el NSG permitirá el tráfico que corresponda a ese registro de flujo sin
una regla explícita. Si una regla de seguridad permite el tráfico entrante al
puerto 80 desde direcciones IP en el rango de 10.1.0.0/16, como la regla
configurada en la Figura 4-24 , el NSG también permitirá el tráfico saliente
en el puerto 80 a direcciones en ese mismo rango. utilizando el registro
de flujo. El registro de flujo ya no está en vigor una vez que el tráfico deja
de fluir durante unos minutos.
Hay algunos casos en los que no conocerá el rango de direcciones IP
específico. Por ejemplo, si desea configurar una regla NSG en una red
virtual que permita todo el tráfico de Internet, no debe especificar un
rango de direcciones exacto. Para lidiar con eso, los NSG le permiten
usar etiquetas de servicio al configurar reglas.
Una etiqueta de servicio es un identificador especial creado por Microsoft
que se aplica a Internet o a un tipo de servicio específico dentro de
Azure. Por ejemplo, si tiene algunas aplicaciones web ejecutándose en
Azure App Service y desea permitir que se comuniquen con su subred,
puede usar la etiqueta de servicio AppService en su regla de entrada para
permitirlo. Los servicios de Azure también tienen etiquetas de servicio
específicas de la región para que pueda permitir o denegar el tráfico solo
de regiones específicas.
Para usar una etiqueta de servicio, establezca la Fuente de su regla en
Etiqueta de servicio. Luego, puede seleccionar una etiqueta de servicio en
el menú desplegable Fuente. En la figura 4-27 , la etiqueta de
servicio AppService.CentralUS se usa para permitir el tráfico desde los
recursos de Azure App Service en la región central de EE. UU.
FIGURA 4-27 Uso de una etiqueta de servicio en una regla NSG
Cortafuegos de Azure
En el lenguaje informático, un cortafuegos es un dispositivo a través del
cual el tráfico de red entra y sale de una red en particular. El propósito de
un firewall es permitir solo el tráfico deseado en la red y rechazar
cualquier tráfico que pueda ser malicioso o que provenga de un origen
desconocido. Un firewall impone control en la red mediante reglas que
especifican un rango de direcciones IP de origen y destino y una
combinación de puertos.
En una configuración de firewall típica, todo el tráfico se deniega de forma
predeterminada. Para que el cortafuegos permita que el tráfico lo
atraviese, una regla debe coincidir con ese tráfico. Por ejemplo, si desea
permitir que alguien en la Internet pública acceda a una aplicación web
que se está ejecutando en un servidor en particular, cree una regla de
firewall que permita la comunicación a los puertos 80 y 443 (los puertos
para el tráfico HTTP y HTTPS). Luego, configura la regla para enviar ese
tráfico a su servidor web.
Hay varios firewalls disponibles de terceros en Azure Marketplace, pero
Microsoft también ofrece su propio firewall llamado Azure
Firewall. Azure Firewall es una oferta de PaaS en Azure, se administra
fácilmente y ofrece una garantía de tiempo de actividad del 99,95 por
ciento. Azure Firewall escala según sus necesidades de red, por lo que no
tiene que preocuparse por los picos de tráfico que causan latencia o
tiempo de inactividad para sus aplicaciones.
Nota Azure Firewall es un firewall con
estado
Azure Firewall es un firewall con estado . Eso significa que almacena datos en su memoria
sobre el estado de las conexiones de red que fluyen a través de ella. Cuando nuevos
paquetes de red para una conexión existente llegan al firewall, puede saber si el estado de
esa conexión representa una amenaza a la seguridad.
Por ejemplo, si alguien falsifica su dirección IP e intenta obtener acceso a su red virtual en
Azure, el firewall reconocerá que la dirección de hardware de la computadora que se está
utilizando ha cambiado y rechazará la conexión.
Una configuración típica de Azure Firewall consta de lo siguiente:
•
•
Una red de concentradores centralizada que contiene Azure
Firewall y una máquina virtual que funciona como caja de salto . El
cortafuegos expone una dirección IP pública, pero la máquina
virtual Jumpbox no.
Una o más redes adicionales (llamadas redes radiales ) que no
exponen una dirección IP pública. Estas redes contienen sus
diversos recursos de Azure.
Jumpbox es una máquina virtual a la que puede acceder de forma remota
para administrar otras máquinas virtuales en sus redes. Todas las demás
máquinas virtuales están configuradas para permitir solo el acceso
remoto desde la dirección IP de la máquina virtual Jumpbox. Si desea
acceder a una VM en una red radial, primero ingrese remotamente a la
máquina virtual Jumpbox, y luego remotamente a la VM de la red radial
desde la Jumpbox. Esta configuración se conoce como configuración
de concentrador y radio y proporciona seguridad adicional para los
recursos de su red.
Nota Son posibles otras configuraciones de
red
Una configuración de concentrador y radio no es la única configuración en la que se puede
usar Azure Firewall. Por ejemplo, puede tener una sola red virtual y Azure Firewall en esa
red para filtrar el tráfico de Internet. Una configuración de red de concentrador y radio es la
más común en las aplicaciones comerciales del mundo real.
La figura 4-28 es una ilustración de una configuración típica de
concentrador y radio que también incluye Azure Firewall. El firewall
dirige el tráfico que proviene de Internet a través del puerto 443 (tráfico
HTTPS) a un servidor web que se ejecuta en Spoke VNet 1. El tráfico que
ingresa a través del puerto de escritorio remoto se dirige a la máquina
virtual Jumpbox, y los usuarios pueden usar Remote Desktop Protocol
(RDP) desde la Jumpbox VM a una VM en Spoke VNet 2.
FIGURA 4-28 Un ejemplo de una configuración de red de concentrador y
radio con Azure Firewall
Antes de que pueda configurar un firewall para manejar el tráfico de red,
deberá crear una instancia de Azure Firewall. Puede optar por incluir
Azure Firewall cuando cree su red virtual en Azure, o puede crear un
firewall y agregarlo a una red virtual existente. La figura 4-29 muestra la
creación de Azure Firewall durante la creación de una nueva red virtual.
FIGURA 4-29 Creación de Azure Firewall
Cuando crea un firewall durante la creación de una red virtual, Azure crea
una subred en la red virtual denominada AzureFirewallSubnet y usa el
espacio de direcciones que especifique para esa subred. También se crea
una dirección IP pública para el firewall para que se pueda acceder a él
desde Internet.
Más información Azure Bastion
En este ejemplo, usamos un Jumpbox y acceso JIT para explicar el beneficio de Azure
Firewall, pero un enfoque mucho mejor para el acceso remoto para sus máquinas virtuales
es usar Azure Bastion. Azure Bastion no está cubierto actualmente en el examen AZ-900,
pero puede obtener más información al respecto navegando en https://bit.ly/az900azurebastion .
Si bien la naturaleza PaaS de Azure Firewall elimina gran parte de la
complejidad, usar un firewall no es tan simple como habilitarlo en su red
virtual. También deberá indicarle a Azure que envíe tráfico al firewall y
luego deberá configurar reglas en el firewall para que sepa qué hacer con
ese tráfico.
Para enviar tráfico a su firewall, necesita crear una tabla de rutas. Una
tabla de rutas es un recurso de Azure que está asociado con una subred y
contiene reglas (llamadas rutas ) que definen cómo se maneja el tráfico de
red en la subred.
Se crea una tabla de rutas con el elemento Tabla de rutas en Azure
Marketplace. Una vez que cree una nueva tabla de enrutamiento, debe
asociarla con una o más subredes. Para hacerlo, haga clic en Subredes y
luego haga clic en Asociar, como se muestra en la Figura 4-30 .
FIGURA 4-30 Asociación de una tabla de rutas con una subred
Después de hacer clic en Asociar, seleccione la Red virtual y la Subred,
como se muestra en la Figura 4-31 .
FIGURA 4-31 Elección de una subred para asociar
Nota Región de la tabla de ruta
Su tabla de ruta debe estar en la misma región que su red virtual. De lo contrario, no podrá
asociar la subred con la tabla de enrutamiento.
En nuestra configuración particular, queremos asociar
tanto JumpboxSubnet como ServerSubnet con la tabla de rutas. Esto
garantizará que el cortafuegos maneje todo el tráfico de red a la máquina
virtual Jumpbox y todo el tráfico de ServerSubnet .
Sugerencia para el examen
Es importante comprender que un firewall puede (y debe) usarse para
filtrar el tráfico que entra y sale de una red. Por ejemplo, desea que el
firewall maneje el tráfico hacia su caja de salto, pero también desea
asegurarse de que el tráfico que fluye desde la subred donde se
encuentran otros servidores sea seguro y no envíe datos de manera
inapropiada fuera de su red.
Una vez que hemos asociado la tabla de rutas con las subredes, creamos
una ruta definida por el usuario para que el tráfico se dirija a través de
Azure Firewall. Para hacerlo, haga clic en Rutas y luego en Agregar, como
se muestra en la Figura 4-32 .
FIGURA 4-32 Adición de una nueva ruta definida por el usuario a la tabla
de rutas
La Figura 4-33 muestra la configuración de una nueva ruta definida por el
usuario llamada ToFirewall . Esta ruta está configurada para 0.0.0.0/0,
que es la notación para todo el tráfico. Luego, envía ese tráfico a un
dispositivo virtual (Azure Firewall, en este caso) ubicado en la dirección
IP 10.1.1.4, que es la dirección IP interna de este firewall. Una vez
configurada esta ruta, se aplicará inmediatamente a todos los dispositivos
de las subredes asociadas con la tabla de rutas.
FIGURA 4-33 Agregar una ruta definida por el usuario
Recuerde, Azure Firewall bloquea todo el tráfico de forma
predeterminada, por lo que en este punto, no hay forma de llegar a la
máquina virtual Jumpbox que está en JumpboxSubnet . Para acceder a esa
VM, debeConfigure una regla de firewall en Azure Firewall que reenviará
el tráfico adecuado a la máquina virtual Jumpbox.
Para agregar una regla de firewall, abra Azure Firewall en Azure Portal y
haga clic en Reglas, seleccione el tipo de regla y haga clic en el botón
Agregar para agregar una nueva colección de reglas, como se muestra en
la Figura 4-34 .
FIGURA 4-34 Colecciones de reglas de Azure Firewall en Azure Portal
Hay tres tipos de colecciones de reglas disponibles en Azure Firewall.
•
•
•
Colección de reglas NAT Las reglas de traducción de direcciones
de red (NAT) se utilizan para reenviar el tráfico desde el firewall a
otro dispositivo en la red.
Colección de reglas de red Estas son reglas que permiten el tráfico
en puertos y rangos de direcciones IP específicos que usted
especifique.
Colección de reglas de aplicación Las reglas de aplicación se
utilizan para permitir que aplicaciones, como Windows Update, se
comuniquen a través de su red. Además, se pueden usar para
permitir nombres de dominio particulares
como azure.com y microsoft.com .
Azure Firewall combina todas las reglas de un tipo y prioridad específicos
en una colección de reglas. La prioridad es un número entre 100 y
65.000. Los números más bajos representan una prioridad de regla más
alta y se procesan primero. En otras palabras, si desea asegurarse de que
una regla se aplique siempre antes que todas las demás reglas, incluya esa
regla en una colección de reglas con una prioridad de 100.
Cuando el tráfico de red ingresa al firewall, las reglas de NAT se aplican
primero. Si el tráfico coincide con una regla de NAT, Azure Firewall aplica
una regla de red implícita para que el tráfico se pueda enrutar
correctamente y todo el procesamiento de reglas adicional se detiene.
Si no hay una regla de NAT que coincida con el tráfico, se aplican las
reglas de red. Si una regla de red coincide con el tráfico, se detiene todo el
procesamiento posterior de reglas. Si no hay una regla de red que se
aplique al tráfico, se aplican las reglas de la aplicación. Si ninguna de las
reglas de la aplicación coincide con el tráfico, el firewall lo rechaza.
Para permitir el acceso remoto a la Jumpbox VM, puede configurar una
regla NAT que reenvíe cualquier tráfico en el puerto 55000 al puerto
3389 (el puerto para escritorio remoto) en la IP interna de la Jumpbox
VM, como se muestra en la Figura 4-35 . Porque el puerto 55000 es un
puerto general que nonormalmente se usa para escritorio remoto, alguien
con intenciones maliciosas probablemente nunca descubriría que se está
usando para ese propósito.
FIGURA 4-35 Adición de una regla NAT
Además de las reglas que configure, la característica de inteligencia de
amenazas en Azure Firewall puede protegerlo de direcciones IP y
nombres de dominio maliciosos conocidos. Microsoft actualiza
constantemente su lista de actores maliciosos conocidos, y los datos
recopilados se proporcionan en la fuente de inteligencia de amenazas de
Microsoft.
Cuando habilita la inteligencia sobre amenazas, puede elegir que Azure le
avise si el tráfico de una dirección IP maliciosa conocida o un nombre de
dominio intenta ingresar a su red. Además, puede optar por que el
cortafuegos niegue el tráfico automáticamente, como se muestra en
la Figura 4-36 .
FIGURA 4-36 La inteligencia de amenazas puede ayudar a proteger su
red virtual de Azure
Protección contra DDoS de Azure
Las aplicaciones en la nube a las que se puede acceder desde Internet a
través de una dirección IP pública son susceptibles a ataques distribuidos
de denegación de servicio (DDoS). Los ataques DDoS pueden abrumar los
recursos de una aplicación y, a menudo, pueden hacer que la aplicación
no esté disponible hasta que se mitigue el ataque. Los ataques DDoS
también se pueden utilizar para aprovechar las fallas de seguridad en una
aplicación y atacar los sistemas a los que se conecta una aplicación.
Azure usa Protección DDoS para ayudar a protegerse contra ataques
DDoS. La protección DDoS es una característica de Azure Virtual
Networks. Hay dos niveles de protección DDoS: básica y estándar.
•
Basic Basic lo protege de los ataques DDoS basados en volumen al
distribuir grandes cantidades de volumen en toda la infraestructura
de red de Azure. La protección básica contra DDoS se aplica tanto a
las direcciones IP públicas IPv4 como a las IPv6. Con el nivel Básico,
no tiene registro ni informes de ninguna mitigación de DDoS, y no
hay forma de configurar alertas para que se le notifique si se
detecta un problema. Sin embargo, el nivel Básico es gratuito y
proporciona protección básica.
•
Estándar El nivel DDoS Estándar ofrece protección contra ataques
DDoS basados en volumen y, cuando se usa en combinación con
Azure Application Gateway, también brinda protección contra
ataques diseñados para apuntar a la seguridad de sus
aplicaciones. Ofrece registro y alerta de eventos DDoS y
mitigaciones, y si necesita ayuda durante un ataque DDoS, Microsoft
brinda acceso a expertos que pueden ayudarlo. El nivel DDoS
Standard se aplica solo a las direcciones IP públicas IPv6. El nivel
Estándar está dirigido a clientes empresariales y se factura a $
2,994 por mes, más una pequeña tarifa por gigabyte por los datos
que se procesan. El precio fijo mensual cubre hasta 100 recursos. Si
necesita cubrir recursos adicionales, paga $ 30 adicionales por
recurso, por mes.
Para habilitar el nivel DDoS Standard, haga clic en DDoS Protection en su
red virtual en Azure Portal y seleccione Standard, como se muestra en
la Figura 4-37 .
FIGURA 4-37 Protección DDoS en Azure Portal
Para habilitar el nivel Estándar, necesitará un plan de protección DDoS. Si
actualmente no tiene uno, haga clic en Crear un plan de protección DDoS
para crear uno en Azure Portal. Luego puede aplicar ese plan de
protección DDoS a su red virtual y a otras redes virtuales que tengaacceso
a en Azure. No se requiere que las redes virtuales que usan el plan de
protección DDoS estén en la misma suscripción, por lo que en la mayoría
de los casos, una organización solo necesitará un plan de protección DDoS
para proteger todas sus redes virtuales.
Sugerencia para el examen
El hecho de que pueda agregar redes virtuales de varias suscripciones de
Azure al mismo plan de protección DDoS es un concepto importante. Se le
factura un gran cargo mensual por el plan de protección DDoS, y si crea
dos planes de protección DDoS, acaba de duplicar sus costos.
El nivel DDoS Protection Standard supervisa el tráfico de su red las 24
horas del día, los 7 días de la semana, y utiliza el aprendizaje automático
para perfilar su tráfico a lo largo del tiempo y ajustarse para adaptarse al
perfil de tráfico de su red. Durante un evento DDoS, el nivel Estándar le
permite transmitir registros a un sistema SIEM. Los sistemas SIEM están
diseñados para permitir la agregación de datos de una gran cantidad de
fuentes con fines de análisis y para cumplir con las políticas y estándares
de retención de datos.
Una vez que haya configurado las alertas y el monitoreo para la
protección DDoS, puede simular un evento DDoS utilizando una cuenta de
BreakingPoint Cloud disponible
en: https://www.ixiacom.com/products/breakingpoint-cloud . Esto le
permite asegurarse de que su Protección DDoS lo está protegiendo de los
ataques DDoS.
EXPERIMENTO MENTAL
Ahora está mucho más informado sobre cuestiones de seguridad en la
nube. Pongamos ese conocimiento a prueba con un experimento
mental. Las respuestas a este experimento mental se encuentran en la
siguiente sección.
ContosoPharm ha descubierto que ahora eres un gurú de la seguridad y
tienen algunos problemas que les gustaría que los resolvieras. En primer
lugar, tienen una gran cantidad de recursos de Azure que acaban de
implementar con una nueva aplicación. Como la mayoría de sus
aplicaciones, esta nueva aplicación trata con datos sensibles. Quieren
asegurarse de que cumplen con las mejores prácticas de
seguridad. También tienen algunos servidores que utiliza la aplicación
que están en las instalaciones, por lo que es importante que averigüen si
son tan seguros como deberían.
Otra preocupación que tiene ContosoPharm es el acceso a las máquinas
virtuales de Azure que usa la aplicación. El director de TI desea
asegurarse de que solo los equipos de la red corporativa de
ContosoPharm puedan acceder al escritorio remoto de estas máquinas
virtuales, y solo durante ciertos períodos de tiempo durante el día.
Una parte de la aplicación ContosoPharm usa certificados para la
autenticación y quieren asegurarse de que estos certificados se
almacenen de manera segura. También necesitan la capacidad de
almacenar claves cifradas para que cumplan con FIPS 140-2.
La directora de TI de ContosoPharm le ha dicho a su personal que
necesitan implementar SOAR y SIEM en su entorno. Necesitan que esto
funcione tanto para los recursos de Azure como para los recursos que
tienen en Amazon Web Services. No quieren gastar mucho dinero en
consultoría, por lo que necesitan una manera fácil de lograrlo.
La aplicación que han implementado en la nube es una aplicación de
varios niveles. Al director de tecnología le preocupa que los ingenieros de
red no protegieran la aplicación lo suficientemente bien. Quiere
asegurarse de que las reglas de tráfico se implementen en los distintos
niveles de la aplicación. También quiere asegurarse de que se rechace el
tráfico del exterior que no debería llegar a la red.
Finalmente, debido a que esta aplicación es fundamental para el
funcionamiento de ContosoPharm, están dispuestos a invertir el dinero
que pueden ahorrar de su consultoría en cualquier solución que pueda
ayudarlos a evitar que un ataque distribuido de denegación de servicio
cause problemas de disponibilidad.
¿Cuáles son sus recomendaciones para ContosoPharm?
RESPUESTAS DEL EXPERIMENTO MENTAL
Esta sección cubre las respuestas al experimento mental.
Para asegurarse de que ContosoPharm cumpla con las mejores prácticas,
deben usar Azure Security Center. No solo puede informar sobre sus
servicios de Azure, sino que también puede obtener detalles sobre sus
recursos locales. Al utilizar las funciones de acceso a VM justo a tiempo de
Security Center, pueden garantizar que las VM no se puedan conectar de
forma remota a menos que la computadora de origen esté en su red
corporativa. También pueden restringir las horas del día en que se puede
acceder a las máquinas virtuales.
Para almacenar sus certificados de forma segura, deben usar Azure Key
Vault. También pueden almacenar sus claves cifradas en Azure Key Vault,
pero como necesitan el cumplimiento de FIPS 140-2, deberán usar el nivel
Premium.
Para implementar fácilmente SOAR y SIEM en su entorno, ContosoPharm
debe usar Azure Sentinel. Luego, puede configurar conectores para sus
servicios de Azure y AWS.
Para imponer reglas sobre el tráfico de red en sus redes virtuales, deben
configurar NSG. Para asegurarse de que el tráfico externo que no debería
llegar a la red se bloquee, deben usar Azure Firewall y configurar reglas
para permitir solo el tráfico entrante que sea apropiado. Los NSG que
crean también deben imponer reglas sobre qué nivel de la aplicación
puede aceptar tráfico de Internet.
Para evitar ataques DDoS, pueden adquirir DDoS Standard. Si bien el
costo de esto es relativamente alto, proporciona un alto nivel de
protección contra los ataques DDoS.
RESUMEN DEL CAPÍTULO
Este capítulo le presentó las herramientas de seguridad que puede usar
para proteger los recursos de Azure, los recursos locales y las redes
virtuales. También aprendió algunos conceptos de seguridad que pueden
ayudarlo a comprender mejor cómo configurar estas herramientas en
Azure.
Aquí hay un resumen de lo que cubrió este capítulo.
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Azure Security Center es un analizador de prácticas recomendadas
para los recursos de Azure y los recursos locales.
Security Center cubre tres áreas principales: políticas y
cumplimiento, higiene de la seguridad de los recursos y protección
contra amenazas.
El acceso a la máquina virtual justo a tiempo puede restringir el
acceso al escritorio remoto de la máquina virtual a determinadas
redes y determinadas horas del día.
Azure Key Vault proporciona una forma segura de almacenar
secretos, claves y certificados.
El nivel Azure Key Vault Premium almacena claves en módulos de
seguridad de hardware (HSM), lo que lo hace compatible con FIPS
140-2.
Azure Sentinel es una solución para implementar SOAR y SIEM en
un entorno.
Sentinel puede ayudar a detectar amenazas de seguridad en Azure,
otras nubes y en las instalaciones.
Sentinel puede tomar una acción en una alerta de seguridad
mediante Playbooks, y las Playbooks se crean sobre Azure Logic
Apps.
La defensa en profundidad también se denomina a menudo
"enfoque de castillo" porque representa estrategias de seguridad de
varios niveles.
Los grupos de seguridad de red (NSG) son reglas que le permiten
filtrar el tráfico en una red y controlar ese tráfico.
Las reglas de NSG tienen una prioridad entre 100 y 4096, y las
reglas con un número de prioridad más bajo tienen prioridad.
Azure Firewall deniega todo el tráfico en subredes específicas a
menos que se configure una regla para permitir ese tráfico.
Azure Firewall es un firewall con estado que "recuerda" el estado
de las conexiones. Esto le permite reconocer el tráfico malicioso que
de otro modo podría parecer normal.
Azure DDoS Protection viene en dos niveles: Básico y Estándar.
•
•
Basic es gratuito y se refiere a la protección DDoS que Microsoft
tiene para evitar que Azure se vea afectado por ataques DDoS.
Standard se puede utilizar junto con Azure Application Gateway.
Capítulo 5
Describir las características de
identidad, gobernanza, privacidad
y cumplimiento.
Hemos hablado mucho sobre seguridad, pero cuando se trata de pasar
a la nube, la seguridad no es la única preocupación importante que
tienen las empresas. También quieren tener control sobre cómo se
utilizan los recursos y quieren asegurarse de que los datos se
mantengan privados después de que estén en el ecosistema del
proveedor de la nube. Además, muchas empresas deben cumplir con
las regulaciones y estándares, y al migrar a la nube, están transfiriendo
parte de esa responsabilidad al proveedor de la nube. Por lo tanto,
quieren garantizar un alto nivel de confianza en que el proveedor de la
nube los mantiene en cumplimiento.
Microsoft se toma muy en serio todas estas preocupaciones y
proporciona potentes herramientas en Azure para satisfacer las
necesidades de sus clientes. En este capítulo, hablaremos sobre esas
herramientas y cómo usarlas.
Habilidades cubiertas en este capítulo:
•
Describir los principales servicios de identidad de Azure.
•
Describir las características de gobernanza de Azure
•
Describir los recursos de privacidad y cumplimiento
HABILIDAD 5.1: DESCRIBIR LOS PRINCIPALES
SERVICIOS DE IDENTIDAD DE AZURE
La seguridad no se trata solo de controlar el tráfico de la red. Para
proporcionar un entorno seguro, debe tener algún medio para identificar
quién accede a su aplicación. Una vez que conozca la identidad de un
usuario, debe asegurarse de que no se le permita el acceso a los datos u
otros recursos a los que no deberían acceder.
Esta sección cubre:
•
Autenticacion y autorizacion
•
Azure Active Directory
•
Acceso condicional y autenticación multifactor (MFA)
•
Control de acceso basado en roles (RBAC)
Autenticacion y autorizacion
En la mayoría de las aplicaciones comerciales, no todos los usuarios
tienen los mismos privilegios. Por ejemplo, un sitio web puede permitir
que una pequeña cantidad de usuarios agreguen y revisen contenido. Otro
grupo más pequeño de usuarios podría tener la capacidad de decidir
quién puede agregar contenido. Sin embargo, la gran mayoría de los
usuarios son solo consumidores del contenido. No pueden modificar el
contenido de ninguna manera y tampoco pueden otorgar a otras personas
la capacidad de acceder al contenido.
Para implementar este tipo de control, necesita saber quién está usando
la aplicación para poder determinar cuál debe ser su nivel de
privilegios. Para determinar quién está usando la aplicación, es necesario
que los usuarios inicien sesión, a menudo con un nombre de usuario y una
contraseña. Suponiendo que el usuario proporciona las credenciales
correctas, ese usuario está autenticado en la aplicación.
Una vez que un usuario está autenticado y comienza a interactuar con una
aplicación, es posible que se realicen verificaciones adicionales para
confirmar qué acciones puede realizar y cuáles no. Ese proceso se
denomina autorización y las comprobaciones de autorización se realizan
contra un usuario que ya está autenticado.
Este tipo de escenario de autenticación y autorización no se limita a un
escenario de sitio web. Cuando inicia sesión en Azure Portal, se le
autentica. A medida que interactúa con los recursos de Azure, también se
le autoriza a realizar las acciones que está realizando. Según su nivel de
privilegio, solo se le permite hacer ciertas cosas. Por ejemplo, es posible
que esté autorizado para crear recursos de Azure, pero no para dar
acceso a otras personas a la suscripción de Azure que está usando.
Azure usa un servicio llamado Azure Active Directory para hacer cumplir
la autenticación y la autorización en Azure, pero tiene muchas
capacidades más allá de la simple autenticación y autorización.
Azure Active Directory
Si tiene alguna experiencia con Windows Active Directory local, es posible
que comprenda Azure Active Directory (Azure AD) sea un desafío. Eso es
porque Azure AD no es el equivalente en la nube de Windows Active
Directory. Es completamente diferente.
Azure AD es un servicio de identidad basado en la nube en Azure que
puede ayudarlo a autenticar y autorizar usuarios. Puede usar Azure AD
para brindar a los usuarios acceso a los recursos de Azure. También
puede dar a los usuarios acceso a recursos de terceros utilizados por su
empresa y recursos locales, todos con el mismo nombre de usuario y
contraseña.
Más información sobre cómo conceder acceso a los recursos de Azure
Aprenderá cómo puede autorizar a los usuarios a acceder a sus recursos de Azure
cuando cubramos el control de acceso basado en roles más adelante en esta habilidad.
El núcleo de Azure AD es un directorio de usuarios. Cada usuario tiene
una identidad que se compone de una identificación de usuario, una
contraseña y otras propiedades. Los usuarios también
tienen asignados uno o más roles de directorio . El ID de usuario y la
contraseña se usan para autenticar al usuario y los roles se usan para la
autorización para realizar determinadas actividades en Azure AD.
Más información Principales de servicios e identidades administradas
Otras dos entidades disponibles en Azure AD son las entidades de servicio y las
identidades administradas. Las entidades de servicio representan una aplicación en
Azure AD y las analizaremos más adelante en esta sección. Una identidad
administrada es un tipo especial de entidad de servicio que solo se puede usar con
recursos de Azure. Puede leer más sobre ellos en https://bit.ly/az900-managedidentities .
Cuando se registra para obtener una suscripción de Azure, se crea
automáticamente un recurso de Azure AD y se usa para controlar el
acceso a los recursos de Azure que crea en su suscripción. La figura 51 muestra Azure AD en Azure Portal.
FIGURA 5-1 Azure AD en Azure Portal
Para ver o administrar usuarios en Azure AD, haga clic en Usuarios en el
menú del lado izquierdo de la página. Esto abre la hoja Todos los usuarios
que se muestra en la Figura 5-2 .
FIGURA 5-2 La hoja Todos los usuarios en Azure Portal
Azure AD que se muestra en la Figura 5-2 contiene dos usuarios. La fuente
del primer usuario es Azure Active Directory y este usuario se agregó
manualmente al directorio. El otro usuario está utilizando una cuenta de
Microsoft para iniciar sesión en el directorio.
Para agregar un nuevo usuario de su empresa a Azure AD, haga clic en
Nuevo usuario para mostrar la hoja que se muestra en la Figura 5-3 .
FIGURA 5-3 Adición de un nuevo usuario de Azure AD
El nombre de usuario especificado se usa para iniciar sesión en Azure
AD. El nombre de dominio que use debe ser uno de su propiedad y que
esté asociado con su Azure AD. También puede asignar el nuevo usuario a
un grupo o rol. Los grupos facilitan la gestión de un mayor número de
usuarios similares.
Azure AD ofrece una característica denominada colaboración B2B
(empresa a empresa) de Azure AD que le permite agregar usuarios que no
pertenecen a su empresa. Por lo tanto, puede invitar a otros usuarios
externos a su empresa para que sean miembros de Azure AD. A
continuación, se puede dar acceso a esos usuarios a sus recursos. Los
usuarios que no forman parte de su empresa se denominan usuarios
invitados . Para agregar un usuario invitado, haga clic en Nuevo usuario
invitado, como se muestra en la Figura 5-2 . Esto abrirá la hoja Nuevo
usuario invitado, como se muestra en la Figura 5-4 .
FIGURA 5-4 Adición de un nuevo usuario invitado
Cuando invita a un usuario invitado, se envía una invitación para unirse a
Azure AD a la dirección de correo electrónico que especifique. Para
aceptar la invitación, la dirección de correo electrónico del usuario debe
estar asociada a una cuenta de Microsoft. Si el usuario no tiene una cuenta
de Microsoft, se le dará la opción de crear una para unirse a su Azure AD.
El usuario de la Figura 5-4 puede tener acceso a las cuentas de redes
sociales corporativas agregando esas aplicaciones a Azure AD. Se pueden
agregar miles de aplicaciones, incluidas aplicaciones de redes sociales
como Facebook y Twitter. Para agregar una aplicación, abra Azure AD en
Azure Portal, haga clic en Aplicaciones empresariales (que se muestra
anteriormente en la Figura 5-1 ) y haga clic en Nueva aplicación, como se
muestra en la Figura 5-5 .
FIGURA 5-5 Aplicaciones empresariales en Azure AD
Después de hacer clic en Nueva aplicación, puede elegir entre los
proveedores de nube más populares, como se muestra en la Figura 56 . Puede buscar una aplicación desde aquí ingresando el nombre de una
aplicación en el cuadro de búsqueda. También puede filtrar la vista
utilizando los botones de filtrado a la derecha del cuadro de búsqueda.
FIGURA 5-6 Proveedores de nube en la galería de aplicaciones
empresariales
Si se desplaza hacia abajo, verá una lista de muchas otras aplicaciones que
puede agregar, como se muestra en la Figura 5-7 .
FIGURA 5-7 Aplicaciones de la galería de aplicaciones empresariales
También puede agregar su propia aplicación, agregar una aplicación que
exista en su entorno local o integrar cualquier otra aplicación. La
aplicación que agregue debe exponer una página de inicio de sesión a la
que puede apuntar Azure AD para integrarla.
Sugerencia para el examen
Puede configurar a qué recursos puede acceder una aplicación
mediante una entidad de servicio . La entidad de servicio se crea
cuando otorga acceso a una aplicación a los recursos de Azure
mediante el control de acceso basado en roles, que es un concepto
que aprenderá en la siguiente sección.
Después de agregar una aplicación, puede configurar Azure AD para que
los usuarios con acceso a esa aplicación puedan autenticarse con las
mismas credenciales que usan para iniciar sesión en Azure AD. Este tipo
de autenticación se conoce como inicio de sesión único (o SSO) y es uno de
los beneficios clave del uso de Azure AD.
Sugerencia para el examen
Azure AD B2B le permite invitar a usuarios invitados a su Azure AD
de otras empresas. Otra característica de AD llamada Azure AD B2C
le permite brindar a los usuarios acceso a las aplicaciones de Azure
AD iniciando sesión con cuentas existentes, como una cuenta de
Facebook o Google.
Otro beneficio importante del uso de Azure AD para administrar el acceso
de los usuarios a otras aplicaciones es que puede revocar fácilmente ese
acceso desde una única interfaz. Por ejemplo, si le da a un usuario el
nombre de usuario y la contraseña de su cuenta de la red social para que
pueda publicar en su cuenta, tendrá que cambiar el nombre de usuario y
la contraseña en su cuenta de la red social cuando ya no desee que ese
usuario tener acceso. Si concede acceso mediante Azure AD con SSO
configurado, puede quitar ese acceso fácilmente dentro de Azure
Portal. El usuario nunca tiene que saber el nombre de usuario y la
contraseña que usa para la cuenta de la red social.
Todas las características de Azure AD que hemos cubierto hasta ahora
están incluidas en la versión gratuita de Azure AD que obtienen todas las
personas con una suscripción de Azure. Azure AD tiene otros tres niveles
de precios que no son gratuitos: aplicaciones de Office 365, Premium P1 y
Premium P2. Si actualiza a uno de los planes Premium, puede habilitar la
autenticación multifactor para sus usuarios.
Más información Precios de Azure Active Directory
Para obtener más información sobre los planes de precios de Azure AD y lo que se
incluye en cada uno de ellos, consulte: https://aka.ms/aadpricing .
Acceso condicional y autenticación multifactor (MFA)
En el sentido más simple, los administradores de Azure AD pueden
decidir si un usuario tiene acceso a un recurso en particular solicitando
que el usuario esté autenticado con un nombre de usuario y contraseña y
tenga la autorización para acceder a ese recurso. Sin embargo, la mayoría
de los administradores quieren mucho más control que eso para
mantener los recursos seguros.
Suponga que ha otorgado acceso a un usuario llamado Christine a su
cuenta de Microsoft 365 mediante Azure AD. Debido a que todos sus
documentos confidenciales se almacenan en Microsoft 365, debe estar
seguro de que nadie puede piratear la contraseña de Christine y obtener
acceso a sus datos. El acceso condicional de Azure y la autenticación
multifactor (MFA) pueden ayudar a que la cuenta de Christine sea mucho
más segura. Comencemos mirando el acceso condicional.
Acceso condicional
El acceso condicional de Azure le permite crear políticas que se aplican a
los usuarios. Estas políticas utilizan asignaciones y controles de
acceso para configurar el acceso a sus recursos.
Las asignaciones definen a quién se aplica una política. Puede aplicarse a
usuarios, grupos de usuarios, roles en Azure AD o usuarios
invitados. También puede especificar que una política solo se aplique a
aplicaciones específicas, como Microsoft 365 en nuestro ejemplo anterior.
Las asignaciones también pueden definir condiciones que se deben
cumplir (como requerir una determinada plataforma como iOS, Android,
Windows, etc.), ubicaciones específicas por dirección IP y más.
Los controles de acceso determinan cómo se aplica una política de acceso
condicional. El control de acceso más restrictivo es el acceso bloqueado,
pero también puede usar controles de acceso para exigir que un usuario
use un dispositivo que cumpla con ciertas condiciones, que esté usando
una aplicación aprobada para acceder a sus recursos, que esté usando
MFA, etc. en.
Para crear una directiva de acceso condicional, busque Azure AD
Conditional Access en Azure Portal. Luego puede hacer clic en el botón
Nueva política para crear una nueva política, como se muestra en
la Figura 5-8 .
FIGURA 5-8 Hoja de directivas de acceso condicional en Azure Portal
Sugerencia para el examen
El acceso condicional solo está disponible en los niveles Premium de
Azure AD. Dado que en estos ejemplos se usa la versión gratuita de
Azure AD, el botón Nueva directiva está deshabilitado en la figura 58.
Autenticación multifactor (MFA)
De forma predeterminada, los usuarios pueden iniciar sesión en Azure AD
con solo un nombre de usuario y una contraseña. Incluso si requiere que
sus usuarios utilicen contraseñas seguras, permitir el acceso a sus
recursos con solo un nombre de usuario y contraseña es riesgoso. Si un
pirata informático obtiene la contraseña utilizando un software que
adivina las contraseñas o robándola a través de suplantación de identidad
u otros medios, sus recursos ya no están seguros.
La autenticación multifactor resuelve este problema. El concepto detrás
de la autenticación multifactor es que debe autenticarse usando una
combinación de:
•
Algo que sepa, como un nombre de usuario y una contraseña.
•
Algo que tienes, como un teléfono o un dispositivo móvil.
Algo que eres, como un reconocimiento facial o una huella
dactilar
•
Si la autenticación multifactor requiere los tres, se denomina
autenticación de tres factores o, a veces, 3FA. Si solo se requieren los dos
primeros, se denomina autenticación de dos factores o, a veces,
2FA. (Microsoft realmente llama a esto verificación de dos pasos ). La
autenticación multifactor de Azure es la autenticación de dos factores.
Observe la biometría en dispositivos móviles
Aunque la autenticación multifactor de Azure es de dos factores, si usa un dispositivo
móvil que incluye características biométricas, es posible que se esté autenticando
mediante la autenticación de tres factores. Sin embargo, el tercer factor lo aplica su
dispositivo móvil y no Azure. La autenticación multifactor de Azure no requiere
autenticación de tres factores.
Para habilitar la autenticación multifactor para uno o más usuarios de
Azure AD, abra la hoja Todos los usuarios, haga clic en los tres puntos en
la parte superior de la página y haga clic en Autenticación multifactor,
como se muestra en la Figura 5-9 . (Si tiene un monitor grande, es posible
que el botón Autenticación multifactor esté visible de forma
predeterminada).
FIGURA 5-9 Habilitación de la autenticación multifactor
Más información Registro de información de seguridad combinada
Para una mejor experiencia de usuario, Microsoft recomienda que utilice el registro
combinado para permitir que los usuarios se registren en MFA junto con el
restablecimiento de contraseña de autoservicio en una sola operación. Puede leer más
sobre esto en https://bit.ly/az900-combinedregistration .
Al hacer clic en Autenticación multifactor, se abre una nueva ventana del
explorador que muestra el sitio de administración de usuarios de Azure
AD. Seleccione uno o más usuarios para los que desee habilitar la
autenticación multifactor y haga clic en Habilitar, como se muestra en
la Figura 5-10 .
FIGURA 5-10 Habilitación de la autenticación multifactor
Sugerencia para el examen
Es más fácil configurar MFA mediante una política de acceso
condicional. Además de la facilidad de uso, configurar MFA con
acceso condicional también le permite configurar MFA para usuarios
invitados, algo que no es posible usando el sitio que se muestra en
la Figura 5-10 .
Una vez que un usuario debe usar MFA, debe dar un segundo paso al
iniciar sesión en Azure Portal. Esto puede ser un mensaje de la aplicación
Microsoft Authenticator (disponible para iOS y Android), un mensaje SMS
con un número de acceso, una llamada telefónica que requiere que
ingrese un código de acceso o un token de hardware OAUTH.
Más información Token de hardware de Oauth
Un token de hardware OAUTH es un pequeño dispositivo que muestra un número de
acceso. Cuando se le solicite en su navegador, ingrese ese número de acceso dentro de
un período corto de tiempo para completar la autenticación.
Control de acceso basado en roles (RBAC)
El control de acceso basado en roles (RBAC) es un término genérico que
se refiere al concepto de autorizar a los usuarios a un sistema que se basa
en roles definidos a los que pertenece el usuario. Azure implementa RBAC
en todos los recursos de Azure, por lo que puede controlar cómo los
usuarios y las aplicaciones pueden interactuar con sus recursos de Azure.
Es posible que desee permitir que los usuarios que administran sus bases
de datos tengan acceso a las bases de datos de un grupo de recursos en
particular, pero no desea permitir que esas personas creen nuevas bases
de datos o eliminen las existentes. Es posible que también desee que
algunos desarrolladores web puedan implementar código nuevo en sus
aplicaciones web, pero no desea que puedan escalar la aplicación a un
plan de mayor precio. Estos son solo dos ejemplos de lo que puede hacer
con RBAC en Azure.
Hay cuatro elementos para RBAC:
Principal de seguridad El principal de seguridad representa
una identidad. Puede ser un usuario, un grupo, una aplicación (que
se denomina entidad de servicio) o una entidad AAD especial
denominada identidad gestionada . Una identidad administrada es
cómo autoriza a otro servicio de Azure a acceder a su recurso de
Azure.
•
Rol Un rol (a veces denominado definición de rol) es lo que
define cómo la entidad de seguridad puede interactuar con un
recurso de Azure. Por ejemplo, un rol puede definir que un
principal de seguridad puede leer las propiedades de un recurso,
pero no puede crear nuevos recursos o eliminar recursos
existentes.
•
Alcance El alcance define el nivel en el que se aplica el rol y
especifica cuánto control tiene el principal de seguridad. Por
•
ejemplo, si el ámbito es un grupo de recursos, el rol define las
actividades que se pueden realizar en todos los recursos del grupo
de recursos.
Asignaciones de roles Los roles se asignan a una entidad de
seguridad en un ámbito en particular, y eso es lo que finalmente
define el nivel de acceso para la entidad de seguridad.
•
RBAC incluye muchos roles integrados. Tres de estos roles integrados se
aplican a todos los recursos de Azure.
Propietario Los miembros de este rol tienen acceso completo
a los recursos.
•
Los miembros colaboradores de este rol pueden crear
recursos y administrarlos, pero no pueden delegar ese derecho a
nadie más.
•
Lector Los miembros de este rol pueden ver los recursos de
Azure, pero no pueden crear, eliminar ni administrar esos recursos.
•
Todos los demás roles integrados son específicos de determinados tipos
de recursos de Azure.
Para otorgar acceso a alguien a un recurso mediante RBAC, abra el
recurso al que desea otorgar acceso en Azure Portal. Haga clic en Control
de acceso (IAM) en el portal para configurar RBAC. En la figura 5-11 ,
RBAC se está configurando para una aplicación web hospedada en Azure
App Service. Hacer clic en Agregar en el cuadro Agregar una asignación de
rol le permite agregar un rol.
FIGURA 5-11 Configuración de RBAC para una aplicación web
Sugerencia para el examen
El alcance de RBAC se define según el lugar donde se asigna el rol de
RBAC. Por ejemplo, si abre un grupo de recursos en el portal y asigna
un rol RBAC a un usuario, el alcance está en el nivel del grupo de
recursos. Por otro lado, si abre una aplicación web dentro de ese
grupo de recursos y asigna el rol, el alcance es solo para esa
aplicación web.
Los roles de RBAC pueden tener como alcance el grupo de
administración, la suscripción, el grupo de recursos o el nivel de
recursos.
Después de hacer clic en Agregar, elija el rol que desea asignar. La lista de
roles diferirá según el tipo de recurso que sea. Elija a quién o qué desea
asignarle el rol y luego haga clic en Guardar, como se muestra en la Figura
5-12 .
FIGURA 5-12 Adición de una asignación de roles
La Figura 5-12 muestra una lista de usuarios en el AAD porque el menú
desplegable Asignar acceso a está configurado para objetos AAD. Puede
ver una lista de otros tipos de objetos seleccionando un tipo diferente. Por
ejemplo, en la Figura 5-13 , estamos seleccionando un tipo de identidad
administrado integrado llamado Máquina virtual, y esto nos permitirá
seleccionar de una lista de VM para asignar al rol.
FIGURA 5-13 Uso de una identidad administrada para asignar un rol
Sugerencia para el examen
Es importante comprender que las asignaciones de roles son
acumulativas. Sus habilidades de RBAC en cualquier ámbito
particular son el resultado de todas las asignaciones de roles hasta
ese nivel. En otras palabras, si tengo el rol de Propietario en un
grupo de recursos y usted me asigna el rol de Colaborador del sitio
web en una aplicación web dentro de ese grupo de recursos, la
asignación de Colaborador del sitio web no tendrá ningún efecto
porque ya tengo el rol de Propietario en todo el recurso. grupo.
Azure Resource Manager (ARM) aplica RBAC. Cuando intenta interactuar
con un recurso de Azure, ya sea en el portal de Azure o mediante una
herramienta de línea de comandos, ARM lo autentica y se genera un
token. Ese token es una representación de su identidad y todas sus
asignaciones de roles, y se incluye con todas las operaciones que realiza
en el recurso. ARM puede determinar si la acción que está realizando está
permitida por los roles a los que está asignado. Si es así, la llamada se
realiza correctamente; si no, se le niega el acceso.
Puede asegurarse de que alguien tenga los derechos que desea
comprobando el acceso en Azure Portal. Después de abrir el recurso y
hacer clic en Control de acceso (IAM), use el menú desplegable y el cuadro
de búsqueda que se muestran en la Figura 5-11 para buscar un usuario u
objeto y luego haga clic en el usuario u objeto para ver el nivel de acceso,
como se muestra en Figura 5-14 .
FIGURA 5-14 Muestra las asignaciones de RBAC para un usuario
Para obtener un mayor nivel de detalle sobre qué operaciones exactas
están y no están permitidas, haga clic en el rol que se muestra. Esto le
permitirá ver una lista detallada de operaciones y la combinación de
lectura, escritura, eliminación y otras acciones que puede realizar una
entidad de seguridad.
Sugerencia para el examen
Hablamos brevemente sobre las entidades de servicio
anteriormente en lo que respecta a las aplicaciones de Azure AD. Los
principales de servicio son los principales de seguridad que
representan específicamente las aplicaciones. Una entidad de
seguridad que representa a un usuario se denomina entidad de
seguridad de usuario . Lo importante que debe recordar es que tanto
los principales de usuario como los principales de servicio son
formas de un principal de seguridad.
HABILIDAD 5.2: DESCRIBIR LAS
CARACTERÍSTICAS DE GOBERNANZA DE
AZURE
A medida que crece su presencia en la nube, es probable que termine con
una gran cantidad de recursos de Azure que abarcan muchos servicios de
Azure diferentes. A menos que tenga cierto control sobre cómo se crean y
administran esos recursos, los costos pueden salirse de control. Además
del control de costos, es posible que también tenga otras restricciones
que le gustaría implementar, como en qué regiones se deben crear ciertos
recursos, cómo se etiquetan ciertos recursos, etc.
La forma tradicional de manejar estos problemas de gobernanza sería
enviar un memorando a todos explicando cuáles son los requisitos y luego
cruzar los dedos para que la gente se adhiera a ellos. Afortunadamente,
Azure Policy puede garantizar que se cumplan sus requisitos y políticas.
Esta sección cubre:
•
Política de Azure
•
Bloqueos de recursos
•
Etiquetas
•
Blueprints de Azure
Política de Azure
Azure Policy le permite definir reglas que se aplican cuando se crean y
administran los recursos de Azure. Por ejemplo, puede crear una política
que especifique que solo se puede crear una máquina virtual de cierto
tamaño y que las máquinas virtuales deben crearse en la región centrosur de EE. UU. Azure se encargará de hacer cumplir esta política para que
usted se mantenga de acuerdo con sus políticas corporativas.
Para acceder a la política de Azure, escriba política en el cuadro de
búsqueda en el portal de Azure y haga clic en Política. Alternativamente,
puede hacer clic en Todos los servicios y buscar la política en la lista. Esto
mostrará la hoja Política, como se muestra en la Figura 5-15 .
FIGURA 5-15 Azure Policy en Azure Portal
De forma predeterminada, Azure Policy muestra su cumplimiento con las
políticas definidas en una suscripción de Azure. Si lo desea, puede
establecer el alcance de esta vista en una suscripción diferente o en un
grupo de recursos haciendo clic en el botón de puntos suspensivos ( ... )
junto a Alcance y seleccionando el nuevo alcance. Vea la Figura 5-16 .
FIGURA 5-16 Cambio del alcance de la hoja Política en el portal
El incumplimiento que se muestra en la Figura 5-15 se basa en las
políticas implementadas por Azure Security Center. Al hacer clic en el
elemento no compatible, puede ver los detalles completos de lo que está y
lo que no está dentro de la política, como se muestra en la Figura 5-17 .
FIGURA 5-17 Detalles sobre cumplimiento
Tenga en cuenta que el título de este artículo es ASC
predeterminado seguido de un ID de suscripción. ASC Default es en
realidad una colección de varias políticas definidas por Azure Security
Center. Azure Policy facilita la imposición de un conjunto completo de
políticas combinándolas en un grupo denominado iniciativa . Al definir
una iniciativa, puede definir fácilmente reglas complejas que garanticen el
gobierno de las políticas de su empresa.
Puede asignar una nueva política seleccionando una política de una lista
de políticas incluidas o creando su propia política. Para asignar una
política de la lista de políticas incluidas, haga clic en Asignaciones>
Asignar política, como se muestra en la Figura 5-18 .
FIGURA 5-18 Asignación de una política
Para seleccionar una política, haga clic en los puntos suspensivos (…)
junto a Definición de política, como se muestra en la Figura 5-19 .
FIGURA 5-19 Selección de una definición de política
En este caso, aplica una política que marcará cualquier aplicación de App
Service que no esté configurada para usar un extremo de servicio de red
virtual. Puede hacerlo ingresando el servicio de la aplicación en el
cuadro de búsqueda y seleccionando la política incorporada que se aplica
a esa política, como se muestra en la Figura 5-20 .
FIGURA 5-20 Adición de una definición de política incorporada
Después de hacer clic en Seleccionar (que se muestra en la Figura 5-20 ),
se muestran los detalles de esta política en particular. Si hace clic en la
pestaña Parámetros, puede ver el efecto de la política. Como puede ver en
la Figura 5-21 , el efecto de esta política es AuditIfNotExists .
FIGURA 5-21 Finalización de la tarea
Se admiten seis efectos en Azure Policy. Sin embargo, no todos los efectos
están disponibles para las políticas integradas. Los efectos son:
Agregar Agrega propiedades adicionales a un recurso. Puede
usarse para agregar una etiqueta con un valor específico a los
recursos.
•
•
Audit Logs Una advertencia si no se cumple la política.
AuditIfNotExists Le permite especificar un tipo de recurso
adicional que debe existir junto con el recurso que se está creando
o actualizando. Si ese tipo de recurso no existe, se registra una
advertencia.
•
•
Denegar Niega la operación de creación o actualización.
DeployIfNotExists Le permite especificar un tipo de recurso
adicional que desea implementar con el recurso que se está
creando o actualizando. Si ese tipo de recurso no está incluido, se
implementa automáticamente.
•
•
Deshabilitado La política no está en vigor.
Más información Más sobre los efectos de las políticas
Para obtener más información sobre los efectos de las políticas, incluidos ejemplos de
cada uno, consulte https://bit.ly/az900-policyeffects .
Además de utilizar las políticas integradas, también puede definir sus
propias políticas creando una definición de política personalizada. Las
definiciones de políticas personalizadas son plantillas ARM que definen la
política. Para obtener más información sobre cómo crear una definición
de política personalizada, consulte: https://bit.ly/az900-custompolicy .
Bloqueos de recursos
RBAC es una excelente manera de controlar el acceso a un recurso de
Azure, pero en los casos en los que solo desea evitar cambios en un
recurso o evitar que ese recurso se elimine, los bloqueos (o bloqueos) de
recursos son una solución más simple. A diferencia de RBAC, los bloqueos
se aplican a todas las personas con acceso al recurso.
Sugerencia para el examen
Para crear un bloqueo, debe estar en el rol de propietario o
administrador de acceso de usuario en RBAC. Alternativamente, un
administrador puede crear un rol personalizado que otorgue el
derecho a crear un bloqueo.
Los bloqueos se pueden aplicar a nivel de recursos, a nivel de grupo de
recursos o a nivel de suscripción. Para aplicar un bloqueo a un recurso,
abra el recurso en Azure Portal y haga clic en Bloqueos en la sección
Configuración del menú de la izquierda, como se muestra en la Figura 522 .
FIGURA 5-22 Bloqueo de un recurso
Para agregar un candado al recurso, haga clic en Agregar. (También puede
revisar y agregar candados al grupo de recursos haciendo clic en Grupo
de recursos, o en la suscripción haciendo clic en Suscripción). En el
cuadro Nombre del candado, proporcione un nombre para el
candado; establezca el Tipo de bloqueo y agregue una nota opcional,
como se muestra en la Figura 5-23 .
FIGURA 5-23 Adición de un bloqueo de solo lectura
Un candado de solo lectura es el candado más restrictivo. Evita cambiar
las propiedades del recurso o eliminar el recurso. Un bloqueo de
eliminación evita que se elimine el recurso, pero las propiedades aún se
pueden cambiar. El resultado de un bloqueo de solo lectura suele ser
impredecible debido a la forma en que Azure maneja los bloqueos.
Los bloqueos solo se aplican a las operaciones que maneja ARM, y algunas
operaciones específicas de un recurso son manejadas internamente por el
recurso en lugar de ser manejadas por ARM. Por ejemplo, si establece un
bloqueo de solo lectura en una instancia de Azure Key Vault, evitará que
un usuario cambie las políticas de acceso en el almacén, pero los usuarios
aún pueden agregar y eliminar claves, secretos y certificados porque esas
operaciones se controlan internamente por Key Vault.
Hay otras situaciones en las que un bloqueo de solo lectura puede evitar
operaciones que se producen de forma inesperada. Por ejemplo, si coloca
un candado de solo lectura en una cuenta de almacenamiento, evitará que
todos los usuarios enumeren las claves de acceso para la cuenta de
almacenamiento porque la operación para enumerar las claves hace que
las claves estén disponibles para acceso de escritura.
Si se aplica un bloqueo a un grupo de recursos, todos los recursos de ese
grupo de recursos heredan el bloqueo. De manera similar, si se aplica un
bloqueo en el nivel de suscripción, todos los recursos de la suscripción
heredan el bloqueo. Es posible anidar cerraduras y, en tales situaciones, la
cerradura más restrictiva es la cerradura eficaz. Por ejemplo, si tiene un
bloqueo de solo lectura en un grupo de recursos y un bloqueo de
eliminación en un recurso en ese grupo de recursos, el recurso tendrá un
bloqueo de solo lectura aplicado porque un bloqueo de solo lectura es
más restrictivo. El bloqueo de eliminación explícito no será efectivo.
Sugerencia para el examen
Los bloqueos también los heredan los recursos recién creados. Si
aplica un bloqueo de eliminación a un grupo de recursos y luego
agrega un nuevo recurso al grupo de recursos, el nuevo recurso
heredará automáticamente el bloqueo de eliminación.
Cuando se intenta una operación en el portal y se deniega debido a un
bloqueo, se mostrará un error, como se muestra en la Figura 5-24 .
FIGURA 5-24 Denegado por un candado
Sugerencia para el examen
No todos los tipos de recursos le dirán que un bloqueo impidió una
operación que se intentó en el portal. Hay ocasiones en las que solo
verá un mensaje de error genérico. Si intenta la misma operación en
la CLI de Azure o usa el módulo Az en PowerShell, debería ver los
detalles sobre el bloqueo.
Puede editar o eliminar un candado haciendo clic en Candados y luego en
Editar o Eliminar en el portal, como se muestra en la Figura 5-25 . En la
mayoría de los casos, deberá desplazarse hacia la derecha para ver los
botones Editar y Eliminar.
FIGURA 5-25 Editar o eliminar un candado
Etiquetas
Otra característica de Azure que facilita la organización de recursos son
las etiquetas. Una etiqueta consta de un nombre y un valor. Por ejemplo,
suponga que una empresa participa en dos eventos comerciales: uno en
Texas y otro en Nueva York. También ha creado muchos recursos de
Azure para respaldar esos eventos. Desea ver todos los recursos de Azure
para un evento específico, pero están distribuidos en varios grupos de
recursos. Al agregar una etiqueta a cada grupo de recursos que identifica
el evento con el que está asociado, puede resolver este problema.
En la Figura 5-26 , puede ver las etiquetas asociadas con un grupo de
recursos de WebStorefront . A este grupo de recursos se le ha asignado
una etiqueta denominada EventName , y el valor de esa etiqueta
es ContosoTexas . Al hacer clic en el icono del cubo a la derecha de la
etiqueta, puede ver todos los recursos que tienen esa etiqueta.
FIGURA 5-26 Etiquetado de un grupo de recursos
Notas que muestran todas las etiquetas
Para ver todas sus etiquetas, elija Todos los servicios en el menú principal del portal y
luego busque Etiquetas en la lista de servicios.
Puede aplicar una etiqueta a la mayoría de los recursos de Azure, no solo
a los grupos de recursos. También es importante comprender que al
agregar una etiqueta a un grupo de recursos, no está agregando esa
etiqueta a los recursos dentro del grupo de recursos. Si tiene una
aplicación web en el grupo de recursos de WebStorefront , esa aplicación
web no hereda la etiqueta que se aplica al grupo de recursos. Esto
significa que las etiquetas agregan una capa adicional de flexibilidad y
poder al ver sus recursos de Azure.
Sugerencia para el examen
Las etiquetas también pueden ayudarlo a organizar sus gastos de
facturación de Azure. Cuando descargue su factura de Azure, las
etiquetas de recursos aparecerán en una de las columnas. Dado que
las facturas de Azure se pueden descargar como valores separados
por comas, puede usar herramientas como Microsoft Excel para
filtrar según las etiquetas.
Blueprints de Azure
Cuando una empresa decide crear una aplicación en la nube, no comienza
creando un recurso en el portal. En su lugar, se lleva a cabo una gran
cantidad de planificación antes de que se cree un único recurso de
Azure. Esta planificación incluye un plan para asegurarse de que toda la
arquitectura de la aplicación en la nube cumpla con los estándares
necesarios. También incluye conceptos como la planificación detallada de
topologías de redes virtuales y la asignación de derechos para los
usuarios de la aplicación. Además, es probable que las mejores prácticas
formen parte de esta planificación.
Existe un gran riesgo involucrado si una empresa no planifica con
cuidado, y por esa razón, muchas empresas contratarán a alguien con un
conocimiento técnico profundo de la nube para ayudar en esa
planificación. Contratar ese tipo de recurso puede agregar muchos gastos
adicionales y también puede agregar mucho tiempo a un proyecto.
Azure Blueprints es un servicio que puede facilitar el proceso de
implementación en la nube. Blueprints le permite configurar un entorno
tal como lo necesita, junto con todas las políticas y otros aspectos de
gobernanza establecidos. Luego, esa configuración se puede guardar para
poder duplicarla en cualquier momento en otras implementaciones.
Los elementos que agrega a un plano se denominan artefactos . Un
artefacto puede ser un grupo de recursos, una plantilla ARM, una
asignación de política o una asignación de función. Una vez que haya
creado un plano, puede guardarlo en una suscripción o en un grupo de
administración. Cualquier suscripción dentro de la jerarquía de ese grupo
de administración puede usar un plano que se guarda en un grupo de
administración.
Sugerencia para el examen
Quizás se pregunte en qué se diferencian los planos de las plantillas
ARM. Después de todo, dijimos que las plantillas ARM se utilizan
para facilitar implementaciones predecibles y reproducibles. Los
planos ofrecen numerosos beneficios sobre las plantillas ARM.
Debido a que los blueprints son recursos reales de Azure y no
simplemente archivos diseñados para definir una implementación,
Azure mantiene una conexión entre el blueprint y los recursos que
usan el blueprint. Eso permite a las empresas iterar sobre los planos
y mejorarlos. También hace que sea mucho más fácil que un plan
evolucione con las necesidades de una empresa. Además, los planos
están versionados y pueden almacenarse en un sistema de control
de fuente, por lo que el seguimiento de los planos es fácil y eficaz.
Dicho esto, es importante comprender que los planos no reemplazan
las plantillas ARM. De hecho, la mayoría de los planos hacen un uso
extensivo de las plantillas ARM como artefactos.
Para crear un blueprint, busque blueprints en Azure Portal para abrir
Blueprints | Página de inicio, como se muestra en la Figura 5-27 .
FIGURA 5-27 Página de introducción de Azure Blueprints
En la página de Introducción, haga clic en Crear para iniciar el proceso de
creación de un plano. Como se muestra en la Figura 5-28 , Microsoft
proporciona muchas plantillas de muestra que puede utilizar como base
para su plano, pero también puede comenzar con un plano en blanco.
FIGURA 5-28 Creación de un plano
Haga clic en el enlace para comenzar con un plano en blanco. Ingrese un
nombre para su plano, una descripción y establezca el lugar donde se
guardará la definición de su plano. Esto es una suscripción o un grupo de
administración. En la Figura 5-29 , se está creando un plano que se
guardará en una suscripción.
FIGURA 5-29 Especificación de la configuración básica de un plano
Sugerencia para el examen
No puede cambiar el nombre o la ubicación de definición de un
plano una vez creado.
Para agregar artefactos a su plano, haga clic en Siguiente: Artefactos,
como se muestra en la Figura 5-29 . Haga clic en Agregar artefacto para
agregar su primer artefacto. Seleccione el Tipo de artefacto e ingrese la
información necesaria para agregar el artefacto. En la Figura 5-30 , se
agrega un artefacto de grupo de recursos.
FIGURA 5-30 Adición de un artefacto
Para que este plano siga siendo más genérico en este punto, puede
especificar que el nombre del grupo de recursos y la ubicación se
proporcionen cuando se asigne el plano haciendo clic en la casilla de
verificación Este valor debe especificarse cuando se asigne el plano junto
al Grupo de recursos Nombre y / o ubicación. (Cubriremos la asignación
de planos más adelante en esta sección). Al hacer clic en Agregar, se
agregará este artefacto al plano.
Cuando haya terminado de agregar artefactos, haga clic en Guardar
borrador (que se muestra en la Figura 5-30 ) para guardar un borrador
del plano. Mientras está en modo borrador, el plano se puede editar y
actualizar. Cuando esté listo para que el plano esté disponible, puede
publicarlo.
Para publicar un plano, haga clic en Definiciones de planos y haga clic en
el plano, como se muestra en la Figura 5-31 .
FIGURA 5-31 Visualización de definiciones de planos
Haga clic en el botón Publicar plano , como se muestra en la Figura 5-32 ,
para publicar el plano.
FIGURA 5-32 Un plano listo para ser publicado
Cuando publica un plano, debe proporcionar el número de versión. Es
recomendable agregar también notas de cambio. En la Figura 5-33 ,
nuestro nuevo modelo se publica como Versión 1.0 . Al hacer clic en el
botón Publicar, se completa el proceso.
FIGURA 5-33 Publicación de un plano
Una vez que se ha publicado un plano, está disponible para asignarlo a
una suscripción. Haga clic en el plano y haga clic en Asignar plano para
asignarlo, como se muestra en la Figura 5-34 .
FIGURA 5-34 Asignación de un plano
Para asignar el plano, ingrese un nombre de asignación, seleccione una
ubicación y seleccione la versión de definición del plano. (También puede
aceptar los valores predeterminados para todas estas configuraciones).
También puede especificar una asignación de bloqueo para los recursos
que crea el plano haciendo clic en la configuración de asignación de
bloqueo deseada.
Al hacer clic en Asignar, se completa la asignación del plano.
Tenga en cuenta los parámetros del plano
Cuando se creó este plano, se especificó que el nombre y la ubicación del grupo de
recursos deben elegirse cuando se asigne el plano. Por lo tanto, deberá ingresar esos
valores en los espacios proporcionados cuando asigne el plano.
Cuando el plano se asigna a una suscripción, los recursos definidos por el
plano se crean en esa suscripción.
HABILIDAD 5.3: DESCRIBIR LOS RECURSOS DE
PRIVACIDAD Y CUMPLIMIENTO
A medida que pasa a la nube, transfiere parte de la responsabilidad de sus
servicios y datos a su proveedor de nube. Esto incluye parte de la
responsabilidad del cumplimiento de los estándares de protección de
datos. Aunque el proveedor de la nube se encarga de parte de esa carga
por usted, essigue siendo vital que tenga confianza en el proveedor de la
nube y que confíe en él para mantener el cumplimiento.
Nota Modelo de responsabilidad compartida
¿Recuerda cuando hablamos sobre el modelo de responsabilidad compartida en
la Habilidad 1.2 ? El párrafo anterior es un excelente ejemplo de lo que es el modelo
de responsabilidad compartida.
Hay muchos estándares que las empresas deben cumplir. Por ejemplo, en
2016, la Unión Europea aprobó el Reglamento general de protección de
datos (GDPR). El RGPD regula la forma en que se manejan los datos
personales de las personas dentro de la UE, pero también controla
cualquier dato personal que se exporta desde la UE. Las empresas que
operan en países de la UE están obligadas legalmente a cumplir con el
RGPD.
Una forma en que las organizaciones pueden asegurarse de que están
cumpliendo con el GDPR y otras regulaciones que regulan los datos es
mantener el cumplimiento de los estándares de toda la industria
enfocados en ayudar a las organizaciones a mantener segura la
información. Uno de esos estándares es el estándar 27001 de la
Organización Internacional de Estándares (ISO). Las empresas que
cumplen con la norma ISO 27001 pueden estar seguras de que mantienen
las mejores prácticas necesarias para mantener segura la información. De
hecho, muchas empresas no harán negocios con un proveedor de nube a
menos que puedan demostrar el cumplimiento de la norma ISO 27001.
Los sistemas que tratan con datos gubernamentales deben cumplir con
los estándares que mantiene el Instituto Nacional de Estándares y
Tecnología, o NIST. El NIST SP 800-53 es una publicación del NIST que
describe todos los requisitos para los sistemas de información que tratan
con datos gubernamentales. Para que cualquier agencia gubernamental
utilice un servicio, primero debe demostrar que cumple con NIST SP 80053.
Microsoft aborda estos requisitos de cumplimiento en toda su
infraestructura de muchas formas diferentes.
Esta sección cubre:
•
Declaración de privacidad de Microsoft
•
Marco de adopción de la nube para Azure
•
Centro de confianza
•
Portal de confianza de servicio
•
Regiones soberanas de Azure
Declaración de privacidad de Microsoft
La declaración de privacidad de Microsoft es una declaración completa de
Microsoft que describe lo siguiente en lo que respecta al manejo de datos
y su información personal.
•
Datos personales que recopila Microsoft
•
Cómo utiliza Microsoft los datos personales
•
Razones por las que Microsoft comparte datos personales
Cómo acceder y controlar sus datos personales recopilados
por Microsoft
•
•
Cómo utiliza Microsoft las cookies y tecnologías similares
Qué pueden hacer las organizaciones que le proporcionan
software de Microsoft con sus datos
•
Qué datos se comparten cuando usa una cuenta de Microsoft
con un tercero
•
Información específica sobre cómo Microsoft protege los
datos, dónde se procesan y las políticas de retención
•
Microsoft se vincula a la declaración de privacidad en todas las
comunicaciones oficiales y puede acceder a la declaración de privacidad
en línea en https://aka.ms/privacystatement .
Marco de adopción de la nube para Azure
Como ha aprendido, moverse a la nube no es tan simple como hacer clic
en algunos botones en el portal de Azure. Hay una planificación
considerable que debe llevarse a cabo, pero antes de que comience, es
importante informarse sobre cómo pasar a la nube con éxito. Necesita
aprender cosas como las mejores prácticas, cómo se deben diseñar sus
aplicaciones en la nube, la forma correcta de migrar recursos, configurar
la gobernanza y las políticas, etc.
Como era de esperar, Microsoft tiene este tipo de conocimiento repartido
entre sus equipos de Azure. Microsoft no solo ha aprendido de los muchos
clientes con los que ha trabajado, sino que Microsoft mismo es un gran
consumidor de Azure y está capacitado para planificar, organizar,
implementar y controlar los recursos de Azure.
En un esfuerzo por compartir su vasto conocimiento con los clientes,
Microsoft creó Cloud Adoption Framework para Azure. Cloud Adoption
Framework reúne todas las mejores prácticas de los empleados de
Microsoft, los socios de Microsoft y las lecciones aprendidas de los
clientes de Microsoft. Toda esta información está disponible en un sitio
web completo. Toda la información del marco está perfectamente
organizada e incluso puede descargar activos como una infografía para
ayudarlo a visualizar el marco de adopción de la nube.
Puede acceder al marco de adopción de la nube navegando
a https://aka.ms/cloudadoptionframework .
Centro de confianza
El Trust Center es un portal web donde puede aprender todo sobre el
enfoque de Microsoft en materia de seguridad, privacidad y
cumplimiento. Puede acceder al Centro de confianza navegando
a https://aka.ms/microsofttrustcenter .
El Centro de confianza proporciona información sobre soluciones de
seguridad, productos de seguridad, cómo Microsoft maneja la privacidad
y la administración de datos, etc. También proporciona informes técnicos
y listas de verificación como herramientas para garantizar la seguridad y
el cumplimiento.
A medida que el entorno de la nube evoluciona y las amenazas cambian,
Microsoft actualiza el Centro de confianza con información relevante, así
que asegúrese de visitarlo con frecuencia.
Portal de confianza de servicio
El Service Trust Portal (STP) es un portal que brinda acceso a varias
herramientas de cumplimiento que Microsoft le brinda para realizar un
seguimiento del cumplimiento en sus aplicaciones que se ejecutan en las
diversas plataformas de Microsoft. Puede acceder al STP navegando
a https://aka.ms/STP . La Figura 5-35 muestra la página de inicio de STP.
FIGURA 5-35 Portal de confianza de servicio
El STP es un punto de lanzamiento para Compliance Manager, que es una
herramienta para administrar su cumplimiento normativo en la
nube. Compliance Manager facilita la visualización de su cumplimiento
con los estándares de la industria. También proporciona detalles sobre
cómo puede mejorar el cumplimiento, y para aquellas áreas donde el
cumplimiento es responsabilidad de Microsoft, proporciona detalles
completos sobre cómo Microsoft mantiene el cumplimiento.
Para acceder al Administrador de cumplimiento, haga clic en
Administrador de cumplimiento en la parte superior de la página STP. El
Administrador de cumplimiento le permite realizar un seguimiento de su
cumplimiento con las aplicaciones relacionadas agregándolas en grupos a
los que puede dar un nombre de su elección. Cada grupo que crea está
representado por un mosaico en el Administrador de cumplimiento y
puede ver de un vistazo cuánto ha progresado en el cumplimiento en cada
grupo, como se muestra en la Figura 5-36 .
FIGURA 5-36 Administrador de cumplimiento
Al hacer clic en Data Protection Baseline, accederá a una pantalla donde
puede revisar los detalles de su evaluación. Como se muestra en la Figura
5-37 , hay muchas acciones que Microsoft recomienda que realice para
proteger sus datos.
FIGURA 5-37 Elementos de acción para el cumplimiento de la protección
de datos
Al hacer clic en Revisar en cualquier acción, accederá a un panel donde
puede revisar el estado de esa acción. A continuación, puede registrar el
estado de implementación, asignar la acción a una persona específica,
etc. También puede ingresar una fecha para el plan de implementación
para que pueda realizar un seguimiento de los resultados y una fecha
para probar la implementación, como se muestra en la Figura 5-38 .
FIGURA 5-38 Detalles sobre un elemento de acción
Regiones soberanas de Azure
Algunos requisitos de cumplimiento no se pueden cumplir simplemente
aplicando políticas en Azure. Por ejemplo, algunos escenarios de
cumplimiento del gobierno de EE. UU. Requieren que los datos
permanezcan dentro de los Estados Unidos de América y que solo los
ciudadanos de los Estados Unidos tengan acceso a los sistemas utilizados
para almacenar esos datos. No puede cumplir con este requisito con
políticas. De hecho, no puede cumplir ese requisito en absoluto en la nube
pública. Para abordar este tipo de problema, Microsoft desarrolló centros
de datos de Azure completamente aislados que conforman la nube de
Azure Government.
Los centros de datos de Azure Government están separados de los centros
de datos públicos. Todos los empleados que trabajan en Azure
Government son examinados y son ciudadanos de EE. UU. Incluso los
empleados de Microsoft que brindan soporte técnico a los clientes de
Azure Government deben ser ciudadanos estadounidenses.
Debido a que Microsoft también quería permitir la comunicación
compatible entre la nube de Azure Government y los sistemas
gubernamentales locales, también desarrollaron ubicaciones dedicadas
de Microsoft ExpressRoute que están completamente aisladas de otras
redes de Azure y que usan sus propios componentes dedicados de fibra
óptica.
Azure Government no es solo para agencias del gobierno federal. Las
ciudades y los municipios también aprovechan Azure Government para el
cumplimiento. Cuando un cliente se registra en Azure Government,
Microsoft examina a ese usuario para asegurarse de que sea
representante de una agencia gubernamental. Solo entonces se les otorga
una suscripción a Azure Government.
La nube de Azure Government tiene las mismas características y servicios
que la nube pública, pero existen pequeñas diferencias. Por ejemplo, el
portal de Azure Government se encuentra en https://portal.azure.us
en lugar de https://portal.azure.com . Las URL de los servicios de Azure
también usan el dominio de nivel superior .us , por lo que si crea una
aplicación web de App Service en Azure Government, su nombre de
dominio predeterminado es https://webapp.azurewebsites.us . Sin
embargo, fuera de esa diferencia, todo lo demás es igual, por lo que los
desarrolladores que tienen un conjunto de habilidades en el desarrollo de
la nube en Azure encontrarán que sus habilidades se transfieren
directamente a Azure Government.
El Departamento de Defensa de los Estados Unidos tiene requisitos de
cumplimiento adicionales denominados Autorización Provisional de Nivel
5 de Impacto del DoD. El cumplimiento de esto se relaciona con
información no clasificada controlada que requiere niveles adicionales de
protección. Estos requisitos adicionales del Departamento de Defensa los
cumple un subconjunto de centros de datos dentro de Azure Government
que están aprobados para el uso del Departamento de Defensa.
Microsoft también comprende que los estrictos requisitos de la UE
necesitan un enfoque único, por lo que desarrollaron otra nube llamada
Azure Alemania. Al igual que Azure Government, Azure Germany es un
sistema en la nube distinto que está diseñado para satisfacer necesidades
específicas de cumplimiento. Azure Alemania está disponible para
clientes que hacen negocios en la UE, la Asociación Europea de Libre
Comercio y el Reino Unido.
Los centros de datos de Azure Alemania están ubicados físicamente en
Alemania y son operados bajo estrictas medidas de seguridad por una
compañía local llamada T-Systems International (una subsidiaria de
Deutsche Telekom) que opera como un administrador de datos. El
administrador de datos tiene control total sobre todos los datos
almacenados en Azure Alemania y toda la infraestructura utilizada para
albergar esos datos. Microsoft está involucrado en la administración solo
de aquellos sistemas que no tienen acceso alguno a los datos de los
clientes.
Otra región donde Azure tiene requisitos específicos es China. Microsoft
opera otra nube separada en China llamada Microsoft Azure China. Azure
China es operado por Shanghai Blue Cloud Technology Co., Ltd. (con
frecuencia denominado simplemente BlueCloud). BlueCloud es propiedad
de Beijing 21Vianet Broadband Data Center Co., Ltd. (a menudo llamado
21Vianet), un proveedor de servicios de centro de datos e Internet en
China. Debido a esta relación, es posible que se haga referencia a Azure
China como "Microsoft Azure operado por 21Vianet" o simplemente
"Azure 21Vianet".
Azure China no ofrece el conjunto completo de características que se
ofrecen en otras nubes de Azure, pero Microsoft está trabajando
arduamente para agregar características y servicios adicionales. Para
obtener todos los detalles sobre lo que se ofrece y lo que no se ofrece en
Azure China, vaya a https://bit.ly/az900-azurechina .
EXPERIMENTO MENTAL
Ha aprendido mucho sobre identidad, gobierno, privacidad y
cumplimiento en este capítulo. Probemos ese conocimiento con otro
experimento mental.
Las respuestas a este experimento mental se encuentran en la siguiente
sección.
Sus viejos amigos de ContosoPharm se han vuelto a poner en contacto con
usted para ayudarlos con un poco más de su trabajo en la nube. Esta vez,
tienen algunos desafíos nuevos. Primero, están creando un nuevo portal
de clientes que quieren integrar con sus cuentas de redes
sociales. Necesitan un contratista externo que les ayude con las cuentas
de redes sociales publicando mensajes para sus seguidores y
respondiendo las preguntas de los clientes. Al director de TI le preocupa
proporcionar los nombres de usuario y las contraseñas de sus cuentas de
redes sociales a un tercero. Le gustaría alguna forma de permitir que el
contratista acceda a sus cuentas de redes sociales sin tener su contraseña,
y le gustaría estar seguro de que cuando finalice el contrato, el contratista
puede ser eliminado fácilmente de las cuentas de redes sociales.
También tienen algunos recursos de Azure a los que el contratista
necesitará acceder, pero el director de TI también está preocupado por la
seguridad allí. Para mantener las cosas seguras, quiere asegurarse de que
nadie pueda acceder a los sistemas de ContosoPharm si alguien descubre
el nombre de usuario y la contraseña del contratista. También quiere
asegurarse de que solo se pueda acceder a un recurso específico si el
contratista está iniciando sesión desde una computadora con
Windows. No quiere que sea accesible desde dispositivos móviles.
También debe asegurarse de que el contratista pueda ver un par de los
recursos de Azure en el portal de Azure en caso de que algo salga mal,
pero no quiere que el contratista pueda cambiar ninguna configuración.
A medida que los desarrolladores trabajen en esta solución, crearán
algunas máquinas virtuales de Azure. Estas máquinas virtuales deben
estar en la región central de EE. UU., Por lo que están geográficamente
cerca de un componente de almacenamiento en caché que también se
ejecuta en la región central de EE. UU. El director de TI ha enviado un
memorando a todos los desarrolladores diciéndoles que solo creen
máquinas virtuales en el centro de EE. UU., Pero le preocupa que alguien
se olvide y el rendimiento deficiente del almacenamiento en caché afecte
sus métricas de prueba. Además, si alguien elimina el componente de
almacenamiento en caché, interrumpirá por completo la aplicación, por lo
que deben asegurarse de que nadie pueda eliminarlo.
Algunas de las máquinas virtuales creadas para esta aplicación se
facturan al departamento de TI con fines de desarrollo, pero la mayoría
de las máquinas virtuales se facturan al departamento de ventas. La
directora ejecutiva desea poder ver un desglose de los gastos de ambos
departamentos después de recibir la factura de Azure.
ContosoPharm tiene otro gran problema con el que necesitan
ayuda. Están planeando otra implementación en la nube pronto, y será
una aplicación compleja. Han pasado mucho tiempo planificando la
implementación. Saben exactamente cómo se debe configurar la red y
tienen un registro de todos los recursos que deben crearse, junto con la
plantilla ARM que hará el trabajo de implementación. La configuración de
red que han diseñado para las redes virtuales de Azure es específica para
sus necesidades y les permite integrarse con sistemas locales, y es una
configuración muy complicada. Les gustaría una forma de poder recrear
fácilmente esta configuración en Azure cuando necesiten implementar
otras aplicaciones que usen la misma topología de red.
RESPUESTAS DEL EXPERIMENTO MENTAL
Esta sección detalla las respuestas al experimento mental.
Para dar acceso al contratista a las cuentas de redes sociales sin
proporcionar el nombre de usuario y la contraseña de las cuentas de
redes sociales, puede agregar al contratista a su Azure Active Directory
como usuario invitado. Luego, pueden agregar aplicaciones empresariales
para las redes sociales deseadas.plataformas y otorgue al usuario acceso a
ellas mediante Azure AD de empresa a empresa o B2B. Cuando finaliza el
contrato del contratista, simplemente pueden eliminarlo de Azure AD y
eso revocará todos los accesos futuros a las cuentas de redes sociales.
Para asegurarse de que nadie pueda acceder a los sistemas si el nombre
de usuario y la contraseña del contratista se ven comprometidos, pueden
utilizar la autenticación multifactor. Debido a que el contratista es un
usuario invitado en Azure AD, deberá usar una política de acceso
condicional, pero eso también resolverá el problema de no permitir el
acceso a un recurso a menos que el contratista esté usando Windows
definiendo una condición basada en el dispositivo. .
Para asegurarse de que el contratista pueda ver algunos de sus recursos
de Azure sin poder cambiar ninguna configuración, puede usar el rol de
lector en RBAC para los recursos. Esto permitirá al contratista ver los
recursos, pero no eliminar ni cambiar ninguna configuración.
Para asegurarse de que los desarrolladores solo creen máquinas virtuales
en la región central de EE. UU., Pueden usar las políticas de Azure. Para
asegurarse de que nadie elimine el componente de almacenamiento en
caché, puede colocar un bloqueo ReadOnly o Delete en el componente.
Para asegurarse de que el CEO pueda ver un desglose del uso de VM para
el departamento de TI y el departamento de ventas por separado, pueden
usar etiquetas en las VM. Las etiquetas se muestran en la factura de Azure
y, dado que la factura se puede exportar a un formato que se puede abrir
en Microsoft Excel, se pueden filtrar fácilmente por ellas.
Para traducir su arduo trabajo en la planificación y garantizar que la
complicada configuración de la red sea fácil de reproducir en futuras
implementaciones, pueden usar Azure Blueprints. Al crear un plano que
agrega artefactos para las políticas necesarias, grupos de recursos,
plantillas ARM, etc., pueden asegurarse fácilmente de que todo esté
configurado correctamente.
RESUMEN DEL CAPÍTULO
Este capítulo cubrió una gran cantidad de temas relacionados con la
identidad y la gobernanza. Terminamos con detalles sobre privacidad y
cumplimiento y las herramientas que Microsoft proporciona para ayudar
con esas áreas.
Aquí hay un resumen de lo que cubrimos en este capítulo.
La autenticación es el acto de determinar quién accede a un
recurso.
•
La autorización es el acto de hacer cumplir lo que el usuario
autenticado puede y no puede hacer.
•
Azure Active Directory es un servicio de identidad basado en
la nube en Azure.
•
•
En el núcleo de Azure AD hay un directorio de usuarios.
•
Se puede invitar a otros usuarios a unirse a Azure AD.
Los usuarios invitados suelen estar fuera de su organización y
están invitados a su Azure AD.
•
Las aplicaciones empresariales permiten la integración de
Azure AD con otros servicios y plataformas en la nube.
•
Las políticas de acceso condicional se aplican a los usuarios
que utilizan asignaciones y controles de acceso.
•
La autenticación multifactor es una autenticación de dos
factores que requiere que ingrese un código además de ingresar su
nombre de usuario y contraseña.
•
El control de acceso basado en roles (RBAC) le permite
controlar cómo los usuarios y las aplicaciones pueden interactuar
con sus recursos de Azure.
•
Azure Policy le permite definir reglas que se aplican cuando
se crean y administran los recursos de Azure.
•
Los bloqueos de recursos le permiten evitar cambios en un
recurso y evitar que se eliminen.
•
Las etiquetas le permiten organizar fácilmente sus recursos al
asignar un nombre y un valor que se pueden ver en el portal de
Azure y en su factura de Azure.
•
Azure Blueprints le permite guardar configuraciones y
recursos en un plano que se puede implementar fácilmente en el
futuro.
•
Los elementos agregados a un plano se denominan
artefactos. Un artefacto puede ser un grupo de recursos, una
plantilla ARM, una asignación de política o una asignación de
función.
•
La declaración de privacidad de Microsoft es una declaración
completa de Microsoft que describe cómo Microsoft usa, maneja y
protege sus datos e información personal.
•
El marco de adopción de la nube para Azure reúne las
mejores prácticas y la información de los empleados, socios y
clientes de Microsoft para ayudarlo a adoptar la nube más
fácilmente.
•
El Centro de confianza describe el enfoque de Microsoft en
materia de seguridad, privacidad y cumplimiento.
•
El Service Trust Portal proporciona acceso a varias
herramientas de cumplimiento que proporciona Microsoft.
•
El Service Trust Portal es el punto de partida de Compliance
Manager, una herramienta para gestionar su cumplimiento
normativo en la nube.
•
Azure Government es una nube privada para gobiernos a la
que solo pueden acceder los ciudadanos de EE. UU. Tiene sus
propios centros de datos que están completamente separados de la
nube pública.
•
Un subconjunto de centros de datos de Azure Government
está aprobado para el uso del Departamento de Defensa porque
tienen un cumplimiento adicional relacionado con la Autorización
Provisional de Nivel 5 de Impacto del DoD.
•
Los centros de datos de Azure Alemania están en una nube
privada diseñada para cumplir con las regulaciones de la UE.
•
Azure China es una nube separada en China que actualmente
no ofrece todos los servicios de Azure.
•
Capítulo 6
Describir los precios, los SLA y los
ciclos de vida de Azure
Hemos cubierto la mayoría de los conceptos importantes relacionados
con la nube, pero todavía tenemos algunos conceptos importantes que
cubrir. Los temas finales que cubriremos son los precios en Azure, los
acuerdos de nivel de servicio (SLA) y el ciclo de vida de los servicios de
Azure.
El precio no solo implica conocer el precio de los recursos de Azure. Las
empresas a menudo quieren saber cuánto costarán las soluciones
completas en la nube antes de que las aplicaciones se implementen en
la nube, y una vez que se implementa la aplicación, quieren minimizar
los costos tanto como sea posible y tener visibilidad de los costos
continuos de los recursos de Azure.
Ya hemos hablado de la alta disponibilidad en la nube, y Microsoft
puede ayudarlo a garantizar que su aplicación experimente una alta
disponibilidad siguiendo sus pautas relacionadas con los SLA. Cuando
algo sale mal en Azure y afecta sus servicios, debe comprender qué
puede hacer para interactuar con Microsoft.
Por último, es importante que comprenda los ciclos de vida de los
servicios, especialmente porque algunos servicios se encuentran en un
punto de sus ciclos de vida en el que no existe un SLA o soporte
garantizado por parte de Microsoft.
Habilidades cubiertas en este capítulo:
•
Describir métodos de planificación y gestión de costes.
Describir los acuerdos de nivel de servicio (SLA) de Azure y
los ciclos de vida del servicio.
•
HABILIDAD 6.1: DESCRIBIR MÉTODOS PARA
LA PLANIFICACIÓN Y GESTIÓN DE COSTOS.
Cuando comience a contemplar la posibilidad de migrar a la nube, lo
primero que probablemente querrá hacer es determinar cuáles serán sus
costos en función de sus necesidades de recursos. Una vez que haya
comenzado a implementar y usar los recursos de Azure, administrar sus
costos se vuelve importante para mantenerse dentro de sus
presupuestos. Azure tiene herramientas que lo ayudan con la
planificación y la administración de sus costos en Azure.
Esta sección cubre:
•
Factores que afectan los costos
•
La calculadora de precios
•
Calculadora de costo total de propiedad (TCO)
•
Gestión de costes de Azure
Factores que afectan los costos
Mientras planifica sus implementaciones de Azure, debe tener en cuenta
los factores que pueden afectar sus costos, como el tipo de recurso, cómo
compra el recurso, las regiones de Azure que usa y la zona de facturación
en la que se encuentran sus recursos.
Los servicios de Azure se facturan según los medidores asociados a un
recurso. Estos medidores rastrean cuánto ha utilizado el recurso una
métrica específica. Por ejemplo, no se aplica ningún cargo
específicamente por una red virtual de Azure y no se le cobra por el
tráfico de red dentro de una red virtual; sin embargo, se le cobra por
gigabyte por el tráfico que entra y sale de la red virtual desde redes
virtuales emparejadas.
Sugerencia para el examen
Cada servicio de Azure tiene una página de precios que describe
estimaciones sobre los precios de ese recurso según el uso típico.
A medida que determina qué recursos necesita usar en su
implementación de Azure, considere cómo esos recursos van a usar las
métricas que cobran los recursos. Por ejemplo, si puede planificar sus
redes virtuales de modo que tenga menos redes interconectadas, puede
ahorrar sustancialmente a largo plazo.
También puede encontrar que la compra de recursos de Azure de manera
diferente puede ofrecer ahorros de costos. Si acepta pagar por adelantado
mediante un contrato empresarial, Microsoft le ofrecerá una tarifa
reducida. Los acuerdos a más largo plazo ofrecen aún más rebajas de
precios. Los socios de soluciones en la nube (CSP) también pueden
proporcionarle soluciones completas que son más rentables que comprar
todos los recursos usted mismo.
Los costos de Microsoft para operar los servicios de Azure difieren según
la región, incluso cuando esas regiones se encuentran dentro del mismo
límite geográfico. Por lo tanto, su precio variará según la región de Azure
que use. Por ejemplo, una máquina virtual implementada en la región
central de EE. UU. Costará más que la misma máquina virtual
implementada en la región este de EE. UU. Microsoft no proporciona un
desglose de sus costos, pero puede suponer que la electricidad y otros
recursos necesarios para un centro de datos de Azure son más costosos
en la región central de EE. UU. Que en la región del este de EE. UU.
Sugerencia para el examen
Elegir la región menos costosa para cada uno de sus recursos de
Azure no suele ser una buena forma de controlar los costos. Es
posible que tenga que pagar por el tráfico de red en todas las
regiones y eso podría aumentar sus costos por encima de la cantidad
que está ahorrando. Muchos recursos de Azure no cobran por el
tráfico de red dentro de la misma región, pero sí cobran por el
tráfico entre regiones.
También es importante tener en cuenta que no se le cobra por el tráfico
de red en un centro de datos de Azure, pero sí por el tráfico de red que
sale de un centro de datos. Sin embargo, sus primeros 5 GB de datos
salientes son gratuitos. Después de ese punto, se le cobrará una cantidad
fija en un modelo escalonado.
Más información Precios del ancho de banda de la red
Para obtener más información sobre los precios del ancho de banda de red en Azure,
consulte: https://bit.ly/az900-bandwidthpricing .
También es importante saber que las regiones de Azure se dividen en
cuatro grupos separados para fines de facturación. Estos grupos se
denominan zonas de facturación o, más comúnmente, zonas . Los costos
de Microsoft para el tráfico de red fuera de cada zona son diferentes, por
lo que sus costos también serán diferentes.
La tabla 6-1 enumera las zonas en Azure y sus regiones correspondientes.
TABLA 6-1 Zonas y regiones
Nombre
REGIONES INCLUIDAS
de zona
Zona 1
Centro de Australia, Centro de Australia 2, Centro de Canadá, Este de Canad
norte, Europa occidental, Centro de Francia, Sur de Francia, Norte de Alema
Centro de Alemania occidental (público), Este de Noruega, Oeste de Norueg
Oeste de Suiza, Reino Unido Sur, Reino Unido Oeste y todas las regiones de
Zona 2
Este de Asia, Sudeste de Asia, Australia Este, Australia Sudeste, Centro de la
India, Oeste de la India, Este de Japón, Oeste de Japón, Centro de Corea y Su
Zona 3
Brasil del Sur, Sudáfrica del Norte, Sudáfrica Oeste, EAU Central y EAU Nort
DE Zona
1
Alemania Central (soberana) y Alemania Noreste (soberana)
Los costos de redes salientes más baratos se encuentran en la Zona 1. La
Zona 1 de DE es la segunda más barata, seguida de la Zona 2 y la Zona 3.
Como puede ver, hay muchos factores que pueden afectar sus costos en
Azure y puede ser difícil estimar los costos en función de todos estos
factores. Afortunadamente, Microsoft ofrece una calculadora de precios
que puede ayudarlo a calcular sus costos a medida que se traslada a la
nube.
Calculadora de precios
La calculadora de precios de Azure puede ayudarlo a obtener una
estimación de los gastos según los productos que desea usar, así como
dónde se implementarán esos productos, etc. Puede acceder a la
calculadora de precios navegando a: https://bit.ly/az900pricingcalculator .
Al calcular una estimación de sus gastos de Azure, el primer paso es
seleccionar qué productos desea usar. Como se muestra en la Figura 6-1 ,
algunos de los productos de Azure más comunes se muestran de forma
predeterminada y puede agregar cualquiera de esos productos haciendo
clic en su mosaico.
FIGURA 6-1 La calculadora de precios
Si el producto que desea no está en la lista, puede buscarlo ingresando su
nombre en el cuadro Buscar productos.
Después de agregar los productos que desea utilizar, desplácese hacia
abajo para configurar los detalles específicos de cada servicio. Estos
detalles varían según la forma en que Microsoft cobre por el producto. La
figura 6-2 muestra las opciones para Azure SQL Database.
FIGURA 6-2 Estimación de costos para Azure SQL Database
Al hacer clic en el ícono informativo a la derecha del nombre del producto,
se muestra un menú para acceder rápidamente a la página de precios del
producto, detalles adicionales del producto y documentación para
ayudarlo a tomar mejores decisiones sobre las opciones que seleccione.
Una vez que haya configurado un producto según sus necesidades, puede
agregar otra instancia de ese producto a su presupuesto haciendo clic en
el botón + (botón Clonar) en la parte superior derecha de la ventana. Por
ejemplo, suponga que necesita dos bases de datos SQL de Azure para su
aplicación y cada una de ellas usará el mismo nivel de servicio, tamaño de
instancia, etc. La forma más sencilla de agregarlos es agregar un producto
de Azure SQL Database a su presupuesto, configurarlo con las opciones de
precios deseadas y luego hacer clic en el botón Clonar para agregar la
segunda instancia.
Para revisar su estimación de precios, desplácese hasta la parte inferior
de la página. Como se muestra en la Figura 6-3 , puede elegir un plan de
soporte para agregar a su presupuesto. Si tiene un Contrato de servicios
en línea de Microsoft, un Contrato empresarial o un Contrato de cliente de
Microsoft, puede elegir que se aplique ese precio a su presupuesto. Luego
puede hacer clic en Exportar para guardar su presupuesto como un
archivo de Excel y luego seleccionar Guardar para guardar su
presupuesto en la calculadora de precios para hacer cambios más
tarde. También puede hacer clic en Compartir para crear un enlace para
compartir a su presupuesto para que otros puedan verlo.
FIGURA 6-3 Completar una estimación en la calculadora de precios
Anotar estimaciones guardadas
Si guarda una estimación en la calculadora de precios, puede acceder a ella más tarde
haciendo clic en la pestaña Estimaciones guardadas en la parte superior de la página.
Calculadora de costo total de propiedad
La calculadora de precios es útil para estimar sus gastos para nuevas
aplicaciones en Azure, pero si tiene aplicaciones locales que desea migrar
a Azure y desea una estimación de cuánto puede ahorrar en Azure, la
calculadora de TCO es una mejor opción. . Puede acceder a la calculadora
de TCO navegando a https://bit.ly/az900-tcocalculator .
Al usar la calculadora de TCO, el primer paso es agregar detalles sobre sus
servidores locales, bases de datos, almacenamiento y uso de la red. En
la Figura 6-4 , se configuró un servidor local para una aplicación
web. Puede configurar todos los detalles sobre el servidor, incluido el
sistema operativo, ya sea una máquina virtual o un servidor físico, y más.
FIGURA 6-4 Configuración de un servidor local en la calculadora de TCO
También se deben agregar bases de datos y sistemas de almacenamiento
locales, además de cualquier uso de red para su aplicación. En la Figura 65 , se agregó un sistema de almacenamiento y se especificó el uso de la
red para la aplicación.
FIGURA 6-5 Configuración de almacenamiento y redes
Después de ingresar todas sus cargas de trabajo locales, puede ver las
suposiciones que utiliza la calculadora de TCO haciendo clic en
Siguiente. La calculadora de TCO utiliza una lista completa de supuestos
de gastos locales que Microsoft ha elaborado en función de años de
experiencia, y estos supuestos se utilizan para proporcionarle la mejor
estimación posible de sus ahorros de costes. Como se muestra en
la Figura 6-6 , las suposiciones incluyen elementos tales como si ha
comprado un SoftwarePlan de garantía para sus servidores en las
instalaciones, detalles sobre sus gastos actuales en las instalaciones, sus
costos de mano de obra de TI y mucho más. Para obtener una estimación
precisa del TCO, es mejor registrar cuidadosamente sus gastos antes de
generar un informe de TCO.
FIGURA 6-6 Ajuste de supuestos hechos por la calculadora de TCO
Después de ajustar sus suposiciones, desplácese hasta la parte inferior de
la pantalla y haga clic en Siguiente para ver su informe de TCO. Su informe
de TCO le muestra cuánto puede ahorrar durante los próximos cinco años
moviendo su aplicación a Azure, como se muestra en la Figura 6-7 .
FIGURA 6-7 Informe de ahorro de TCO
Un informe de TCO incluye gráficos detallados de ahorros en gastos y, en
la parte inferior del informe, encontrará un desglose de los costos locales
y los costos de Azure, para que pueda determinar fácilmente dónde
ahorrará dinero. Al igual que con la calculadora de precios, los informes
generados por la calculadora de TCO se pueden descargar, guardar y
copiar haciendo clic en el botón correspondiente, como se muestra en
la Figura 6-8 .
FIGURA 6-8 Resumen de costos locales y en Azure
Gestión de costes de Azure
Azure Cost Management es una herramienta en Azure que facilita el
análisis de sus costos a nivel granular. La administración de costos le
permite crear un presupuesto para sus gastos de Azure, establecer alertas
configurables para que sepa si se está acercando a un límite
presupuestado y analizar sus costos en detalle.
Para comenzar con la Administración de costos, abra Azure Portal,
busque Administración de costos y haga clic en Administración de
costos + Facturación.
Sugerencia para el examen
También verá Administración de costos en Azure Marketplace. Esta
es una oferta diferente que se basa en Cloudyn, una empresa de
gestión de gastos en la nube que compró Microsoft. Las funciones de
Cloudyn se están migrando a Azure Cost Management y, para fines
de 2020, Microsoft dejará de usar Cloudyn por completo.
Una vez que Cost Management + Billing se cargue en el portal, haga clic en
Cost Management en el menú de la izquierda (que se muestra en la Figura
6-9 ) para acceder a Cost Management.
FIGURA 6-9 Gestión de costes + facturación en Azure Portal
Para supervisar eficazmente sus costes, debe crear un presupuesto en
Gestión de costes. No es necesario crear un presupuesto, pero le permitirá
visualizar sus gastos en comparación con sus gastos planificados.
1.
Haga clic en Presupuestos en el menú de la izquierda y haga
clic en Agregar, como se muestra en la Figura 6-10 .
FIGURA 6-10 Adición de un nuevo presupuesto
2.
Ingrese un nombre para su presupuesto.
3.
Ingrese una cantidad de gasto y el período en el que se
restablece su gasto.
4.
Ingrese una fecha de inicio para su presupuesto.
5.
Ingrese una fecha de vencimiento como se muestra en
la Figura 6-11 .
FIGURA 6-11 Creación de un presupuesto
6.
Haga clic en Siguiente para completar su presupuesto.
7.
Configure sus condiciones de alerta.
8.
Agregue una dirección de correo electrónico para alguien que
debería recibir las alertas, como se muestra en la Figura 6-12 .
FIGURA 6-12 Configuración de alertas para un presupuesto
9.
Haga clic en Crear para crear su presupuesto.
Después de crear un presupuesto, haga clic en Análisis de costos para ver
cómo se compara su gasto con su presupuesto.
HABILIDAD 6.2: DESCRIBIR LOS ACUERDOS
DE NIVEL DE SERVICIO (SLA) Y LOS CICLOS DE
VIDA DE SERVICIO DE AZURE
Muchos de los servicios que utiliza en la actualidad incluyen un acuerdo
de nivel de servicio (SLA) que sirve como un contrato entre usted y el
proveedor de servicios para un cierto nivel de servicio. Microsoft
proporciona SLA en Azure y también proporciona documentación
completa sobre cómo se calcula el SLA para un servicio. Sin embargo, no
todos los servicios vienen con un SLA. Microsoft a menudo hará que los
servicios estén disponibles en versión preliminar antes de lanzarlos para
su uso en producción. Estos servicios de vista previa a menudo no vienen
con un SLA.
Esta sección cubre:
•
Acuerdo de nivel de servicio (SLA) de Azure
•
Interpretar los términos de un SLA
•
Ciclo de vida del servicio en Azure
Acuerdo de nivel de servicio (SLA) de Azure
Los SLA establecen objetivos específicos de disponibilidad y también
definen lo que hará el proveedor de servicios cuando no se cumplan esos
objetivos. Los SLA se expresan como un porcentaje y casi siempre son del
99 por ciento o más. El nivel más alto de disponibilidad expresado en un
SLA es 99,999 por ciento, comúnmente conocido como 5 nueves . Para
proporcionarle algo de contexto mientras hablamos de los SLA, un
servicio con un SLA de 5 nueves garantiza que el tiempo de inactividad
durante todo un año no superará los 5,56 minutos. Un SLA más razonable
del 99,9 por ciento garantiza que el tiempo de inactividad durante el
período de un mes no superará los 43,2 minutos.
Un concepto importante en los SLA de servicios en la nube es que el
proveedor de la nube considera que una aplicación está fuera del SLA solo
cuando no se cumple el porcentaje de disponibilidad debido a un
problema que el proveedor de la nube puede controlar. En otras palabras,
si implementa un nuevo código en su aplicación y hace que su aplicación
se bloquee, el proveedor de la nube no lo considerará una infracción del
SLA. Si instala un componente en su máquina virtual y hace que la
máquina se apague, eso no está dentro del control del proveedor de la
nube y no se clasifica como que no cumple con el SLA.
Debido a que los SLA solo se refieren a problemas que están bajo el
control del proveedor de la nube, cuando una aplicación adolece de falta
de disponibilidad, es importante determinar si el problema es un
problema de plataforma o un problema con su código o
configuración. Responder esa pregunta puede ser más difícil de lo que
piensa.
Azure es un entorno muy complejo que involucra una gran cantidad de
servicios que operan juntos. Por ejemplo, Azure App Service (uno de los
servicios más populares de Azure) utiliza máquinas virtuales de Azure,
sistemas DNS de Azure, Azure Storage, Azure SQL Database y otros
servicios de Azure bajo el capó. La degradación del rendimiento de
cualquiera de esos servicios puede afectar la disponibilidad de una
aplicación que se ejecuta en App Service. Si informa que su aplicación de
App Service no está disponible, Microsoft debe determinar si se debe a un
problema de su parte o un problema con su aplicación.
Microsoft mantiene una enorme cantidad de datos de diagnóstico en
todas las operaciones de Azure en todos los servicios de Azure. Cuando
abre un caso de soporte con Microsoft para informar que su aplicación no
está disponible, Microsoft puede realizar análisis de datos con estos datos
para determinar si hubo un problema con la propia plataforma Azure.
Si cree que la disponibilidad de su aplicación ha caído por debajo del SLA,
es su responsabilidad enviar una reclamación a Microsoft. Puede hacerlo
abriendo un caso de soporte. Si Microsoft determina que no se ha
cumplido el SLA, es posible que reciba un crédito en su factura de
Azure. El monto del crédito depende de la duración en que no se cumplió
el SLA y de la política de SLA del servicio de Azure específico.
Sugerencia para el examen
Para ser elegible para un crédito por no cumplir con el SLA, debe
enviar un reclamo a Microsoft dentro de los dos meses posteriores al
final del ciclo de facturación durante el cual ocurrió el tiempo de
inactividad.
La mayoría de los servicios de Azure ofrecen un SLA de al menos el 99,9
por ciento, y se pueden lograr SLA más altos con una configuración
adicional por parte del cliente. Por ejemplo, una sola máquina virtual que
usa almacenamiento Premium para todos los discos tiene un SLA del 99,9
por ciento. Si implementa dos o más máquinas virtuales en el mismo
conjunto de disponibilidad, ese SLA aumenta al 99,95 por ciento. Si
implementa esas dos o más instancias en dos o más zonas de
disponibilidad dentro de la misma región de Azure, el SLA pasa al 99,99
por ciento.
Sugerencia para el examen
Microsoft ocasionalmente cambia los SLA. Si los términos de un SLA
cambian, los nuevos términos entrarán en vigencia para usted solo
cuando renueve su suscripción de Azure. Hasta ese momento, estará
sujeto al SLA que estaba en vigor cuando su suscripción se renovó
por última vez o cuando se registró para obtener una suscripción de
Azure.
Interpretar los términos de un SLA
Dado que el SLA varía entre los servicios de Azure y las configuraciones
específicas pueden afectar al SLA de un único servicio de Azure, es
importante poder determinar el SLA específico para los servicios de
Azure que está utilizando. Microsoft proporciona detalles sobre el SLA
para cada servicio de Azure en https://bit.ly/az900-azuresla .
Como se muestra en la Figura 6-13 , una vez en la página web SLA, puede
seleccionar una categoría para ver todos los servicios de Azure en esa
categoría. También puede ingresar el nombre de su servicio en el cuadro
de búsqueda para encontrar el SLA para ese servicio. Una vez que
encuentre el servicio que le interesa, haga clic en él para leer los detalles
del SLA.
FIGURA 6-13 Página web de Azure SLA
Cuando hace clic en un servicio, verá detalles sobre el SLA proporcionado
por ese servicio. La figura 6-14 muestra la página SLA para Azure Virtual
Machines. Las tres viñetas en la parte superior de la página describen el
SLA para las máquinas virtuales de Azure.
FIGURA 6-14 SLA de máquinas virtuales de Azure
La sección Introducción describe los SLA de Azure en general. La sección
Términos generales describe los términos de SLA que se refieren a todos
los servicios de Azure, como el portal de administración, el nivel de
servicio y el tiempo de inactividad. También explica cómo puede realizar
una reclamación y las limitaciones de los SLA de Azure.
La sección Detalles de SLA se aplica al servicio de Azure específico que
está viendo. Por ejemplo, esta sección de la página SLA de VM define
términos específicos de VM que se relacionan con el SLA para VM. Si se
desplaza hacia abajo, verá detalles adicionales, como se muestra en
la Figura 6-15 , incluido cómo calcular la disponibilidad y la cantidad de
crédito que podría recibir si no se cumple un SLA.
FIGURA 6-15 Detalles sobre el SLA de la VM de Azure
Si su aplicación utiliza varios servicios de Azure, se le aplicarán varios
SLA. Si experimenta tiempo de inactividad, debe enviar una reclamación
por todos los servicios de Azure que no cumplieron con el SLA si desea
que se le considere para un crédito. Sin embargo, el crédito monetario no
es su única preocupación relacionada con la disponibilidad de su
aplicación. El tiempo de inactividad en su aplicación afecta negativamente
a su negocio, por lo que desea asegurarse siempre de tener el SLA más
alto posible. Cuando se trata de varios servicios de Azure con diferentes
SLA, es importante comprender cómo afecta eso a su SLA general.
Al calcular el SLA para una aplicación que usa varios servicios de Azure,
debe calcular un SLA compuesto en función de los servicios que está
usando. Por ejemplo, si tiene una aplicación web de App Service que
también usa una única máquina virtual de Azure con almacenamiento
Premium, debe combinar el SLA para ambos servicios para determinar el
SLA general de su aplicación.
Tenga en cuenta los SLA compuestos
Es importante comprender que los SLA de servicios individuales aún se aplican a
usted cuando usa varios servicios de Azure. Sin embargo, comprender los SLA
compuestos es importante porque le permite determinar cuándo una configuración
específica aumenta la probabilidad de que experimente tiempo de inactividad.
El SLA para App Service es del 99,95% y el SLA para una sola máquina
virtual que ejecuta almacenamiento Premium es del 99,9%. Por lo tanto,
su SLA general para su aplicación es 99,95 por ciento x 99,9 por ciento, o
99,85 por ciento. Al implementar dos VM en dos zonas de disponibilidad
en la misma región, puede obtener un SLA del 99,99 por ciento para sus
VM, y eso aumenta su SLA general al 99,94 por ciento.
Más información Computing Composite SLAS
Para obtener más información sobre cómo calcular SLA compuestos,
consulte https://bit.ly/az900-compositesla .
Ciclo de vida del servicio en Azure
A medida que los equipos de productos de Azure desarrollan nuevos
servicios y características, es importante que obtengan comentarios de
los clientes que usan esos servicios y características en un entorno del
mundo real. Por esa razón, Microsoft ofrecerá a menudo nuevos servicios
y características a los clientes como ofertas de vista previa . Si bien el
término oficial de Microsoft es vista previa , a menudo verá que las
personas se refieren a estos servicios y características como
una oferta beta .
Una vez que una característica ha alcanzado un cierto nivel de integridad
y confiabilidad, pasa a una etapa llamada disponibilidad general . Este es el
punto en el que un servicio es totalmente compatible y tiene un SLA
asociado.
Sugerencia para el examen
Los servicios y las funciones que están en versión preliminar no
ofrecen un SLA y no están destinados a ser utilizados en aplicaciones
de producción. Las características de vista previa tampoco suelen
ofrecerse en todas las regiones de Azure. Microsoft proporcionará
documentación sobre qué regiones están disponibles para una vista
previa específica.
Vista previa de servicios y funciones
Los servicios y funciones de vista previa a veces se ofrecen primero como
una vista previa privada. En la vista previa privada, el servicio o función
se pone a disposición de un pequeño grupo de clientes para que lo
prueben. A veces, el acceso a una vista previa privada es por invitación del
equipo de ingeniería que está desarrollando el servicio o la función. En
otros casos, Microsoft puede proporcionar una forma para que cualquier
cliente se registre para acceder a la vista previa privada. Si el registro está
abierto para todos, Microsoft cerrará el registro después de que se haya
registrado un número objetivo de clientes.
Servicios de
notas frente a funciones
Muchas vistas previas son para funciones de un servicio existente. Por ejemplo, App
Service podría agregar una nueva función para el servicio existente y, antes de que esa
función se lance por completo, pasará por un período en la fase de vista previa.
Los servicios y las funciones de vista previa privada suelen exponer solo
un subconjunto de la funcionalidad que eventualmente se convertirá en el
servicio o la función. Microsoft a menudo pedirá a los clientes que utilicen
una vista previa privada que prueben escenarios específicos y brinden
comentarios. Esto ayuda a los equipos de ingeniería a descubrir errores y
problemas de usabilidad en los entornos complejos del mundo real que
utilizan los clientes.
Sugerencia para el examen
No todos los servicios o funciones ofrecen una vista previa
privada. Si no se ofrece una vista previa privada, el servicio o la
función se ponen a disposición primero como una vista previa
pública. Todos los servicios y funciones pasan por un período de
vista previa pública.
Se pueden ofrecer vistas previas privadas a los clientes sin costo,
pero es más común que se ofrezcan con un descuento sustancial.
Una vez que un servicio o característica cumple con una barra específica
establecida por el equipo de ingeniería, pasará a la vista previa
pública. Por lo general, esto ocurre una vez que el servicio o característica
es completamente funcional o muy cerca de él. Sin embargo, si hay
errores en una parte específica de la funcionalidad que el equipo de
ingeniería considera crítico, pueden retrasar la vista previa pública hasta
que se corrijan esos errores.
Las funciones y servicios que están en versión preliminar pública se
proporcionan a una tarifa con descuento, pero al igual que las funciones y
los servicios de vista previa privada, normalmente no ofrecen un SLA y se
proporcionan tal cual.
Los clientes que participan en una vista previa privada a veces reciben un
vínculo secreto al portal de Azure que habilita el servicio o la
característica. Cuando el cliente usa ese vínculo, Microsoft puede usar su
ID de suscripción de Azure para determinar si se ha registrado y está
aprobado para la vista previa privada. Si no lo están, la función o el
servicio no estarán disponibles, incluso si usan el enlace secreto.
En otras situaciones, la experiencia de Azure Portal no se ha desarrollado
para una característica o servicio de vista previa privada. En esos casos,
los clientes reciben instrucciones en la línea de comandos para usar el
servicio o la función. Es más común que la interfaz de usuario del portal
se desarrolle durante la fase de vista previa privada, por lo que los
primeros usuarios generalmente solo tienen acceso a la línea de
comandos.
Una vez que un servicio o función llega a la vista previa pública, se pone a
disposición de todos los clientes en las regiones donde está disponible y
no es necesario registrarse para utilizar el servicio o la función. Se
mostrará una insignia de vista previa en Azure Portal para que los
usuarios sepan que el servicio o la característica es una oferta de vista
previa. La Figura 6-16 muestra la función Editor de App Service en App
Service. Tenga en cuenta que esta función tiene la etiqueta Vista previa.
FIGURA 6-16 Función de vista previa en App Service
Los servicios y las funciones que se encuentran en versión preliminar
pública suelen ser compatibles con Microsoft como si se hubieran lanzado
por completo. Sin embargo, los SLA no se aplican a las vistas previas, y
hay algunas situaciones en las que los ingenieros de soporte de Microsoft
no admitirán un servicio o una función mientras estén en la versión
preliminar. En esos casos, es posible que lo remitan a foros para obtener
asistencia.
Disponibilidad general
Una vez que un servicio o característica de vista previa alcanza un nivel
de calidad y disponibilidad adecuado para el equipo de ingeniería,
declarará disponibilidad general o GA. En este punto, el servicio o la
función es totalmente compatible.
Una vez que un servicio o característica llega a GA, cae bajo el SLA que
proporciona Microsoft. Si se trata de un nuevo servicio, se publicará un
nuevo SLA en la página web de SLA. Para las nuevas funciones de los
servicios existentes, una vez que se alcanza GA, la función heredará el SLA
del servicio del que es una función.
Si estaba utilizando una función o servicio durante la vista previa pública,
generalmente no tendrá que hacer nada para ser oficialmente compatible
con GA. Sin embargo, en algunas situaciones, Microsoft le pedirá que
elimine los recursos creados durante la vista previa y los vuelva a
crear. Esto suele suceder cuando los restos del código de vista previa
pueden causar un problema con un servicio o función que se ejecuta en
GA.
Cuando un servicio o característica llega a GA, es posible que no sea GA en
todas las geografías de Azure. En esos casos, otras geografías
generalmente serán GA más adelante en el ciclo de vida del servicio o
característica. Los precios de vista previa también pueden permanecer
vigentes durante algún período después de GA. Detalles como este se
publican en el anuncio oficial de GA en el sitio web de Azure.
EXPERIMENTO MENTAL
Hemos cubierto mucho terreno y es hora de poner a prueba sus nuevos
conocimientos con un experimento mental. Las respuestas a este
experimento mental se encuentran en la sección que sigue.
ContosoPharm ha estado planeando una gran implementación en la nube
durante los últimos meses, y está listo para apretar el gatillo y poner las
cosas en marcha. La única persona de ContosoPharm que esel más
nervioso por esta implementación es el director de TI. Tiene un
presupuesto fijo, por lo que necesita tener una buena idea de los
costos. También necesita proporcionar un pronóstico financiero detallado
al director financiero y quiere que ese informe sea lo más preciso
posible. Una vez más, ContosoPharm se ha dirigido a usted en busca de
consejos.
ContosoPharm tendrá una implementación de red compleja con este
nuevo servicio en la nube. También tendrán numerosas máquinas
virtuales conectadas a la red. Quieren mantener los costos lo más bajos
posible. ¿Qué recomendación puede darles relacionada con su red que
pueda ayudarlos a mantener los costos más bajos? ¿Qué pasa con sus
máquinas virtuales?
El director de TI tiene una hoja de cálculo completa que incluye todos los
recursos que ContosoPharm necesitará usar en la nube. Necesita agregar
precios estimados a esa hoja de cálculo, pero no está segura de qué
registrar para los precios. ¿Qué orientación puede proporcionar para
ayudar?
ContosoPharm actualmente hospeda este servicio local. Se están
moviendo a la nube con la esperanza de ahorrar dinero. Al director
financiero le gustaría tener una previsión de cuánto dinero pueden
ahorrar si se trasladan a la nube, en contraposición a sus costos
locales. ¿Cuál es la mejor manera para que el director de TI recopile esa
información?
Una vez que ContosoPharm implementa este servicio en la nube, el
director de TI desea monitorear cuidadosamente los costos para
asegurarse de que no exceda el presupuesto. Si se excede del presupuesto,
deberá proporcionar un análisis detallado al director financiero que
explique de dónde provienen los costos excedentes. ¿Cómo puede lograr
esto fácilmente?
El CEO le preguntó al director de TI sobre la confiabilidad de la nube. Ella
le aseguró al CEO que la nube es confiable, pero le gustaría poder
respaldar esa afirmación con algunos datos reales. Sería incluso mejor si
pudiera ofrecer detalles sobre cómo han configurado algunos de sus
servicios para mejorar la confiabilidad. ¿Qué deberías sugerir?
RESPUESTAS DEL EXPERIMENTO MENTAL
Esta sección detalla las respuestas al experimento mental.
Para mantener bajos los costos en sus redes y máquinas virtuales, hay
algunas cosas que pueden hacer. En primer lugar, será útil planificar
cuidadosamente en qué regiones crean servicios. Los costos varían según
la región, por lo que elegir regiones con costos más bajos puede
ayudar. Sin embargo, deberán tener en cuenta que las redes virtuales de
Azure se facturan por el tráfico que sale de un centro de datos, por lo que
es necesario planificar con cuidado para evitarlo cuando sea
posible. También deben tener en cuenta las zonas porque el tráfico de red
fuera de cada zona será diferente.
Para obtener un precio estimado de cuánto costarán sus recursos,
ContosoPharm puede usar la calculadora de precios. La calculadora de
precios les permite agregar y configurar todos los productos que usarán
en Azure. Luego proporcionará una estimación de costos por mes que el
director de TI puede insertar en su hoja de cálculo.
Para determinar cuánto dinero puede ahorrar ContosoPharm al migrar a
la nube, el director de TI puede usar la calculadora de costo total de
propiedad (TCO). Con la calculadora de TCO, el director de TI puede
ingresar todos los detalles sobre los sistemas locales, el personal, etc. de
ContosoPharm. Luego, puede proporcionar una vista de cuánto dinero se
puede ahorrar al migrar a la nube.
Para monitorear los costos de manera continua e informar sobre lo que
podría estar causando que se excedan del presupuesto, ConsotoPharm
puede usar Azure Cost Management. Pueden crear un presupuesto
basado en su uso esperado, y la Administración de costos les permitirá
monitorear e informar sobre los gastos.
Para encontrar información relacionada con la confiabilidad de los
servicios en la nube, el director de TI puede consultar la página de SLA
para cada servicio. Esto proporcionará información clara sobre la
garantía de disponibilidad de Microsoft. También describirá qué
configuración debe tomar ContosoPharm para mantener el SLA más alto,
y eso puede ser útil para ella, ya que recopila información sobre cómo han
configurado los servicios para obtener la máxima confiabilidad.
RESUMEN DEL CAPÍTULO
Desde los precios hasta los costos y desde los niveles de servicio hasta los
ciclos de vida del servicio, hemos cubierto mucho en este capítulo. Aquí
hay un resumen de todo lo que cubrimos.
Los factores principales que afectan los costos son el tipo de
recurso, cómo compra los recursos, las regiones de Azure que usa y
la zona de facturación en la que se encuentran sus recursos.
•
Los servicios de Azure se facturan según los medidores
asociados con el recurso.
•
La compra de un contrato empresarial o la compra de un
socio de soluciones en la nube (CSP) puede ahorrarle dinero en los
servicios de Azure.
•
Los costos de Microsoft varían según la región y los suyos
también.
•
Las regiones de Azure se dividen en zonas de facturación y se
le cobra de forma diferente según la zona.
•
La calculadora de precios le ayuda a calcular los gastos en
Azure al proporcionar una estimación de costos basada en los
recursos que necesita.
•
La calculadora del costo total de propiedad le permite
ingresar detalles sobre sus recursos locales. A continuación,
proporciona una estimación de cuánto puede ahorrar si se cambia
a la nube.
•
Azure Cost Management le permite analizar sus costos a nivel
granular.
•
La gestión de costes le permite crear un presupuesto y
configurar alertas en función de ese presupuesto.
•
Un SLA es una garantía de Microsoft por el tiempo de
actividad de un servicio.
•
Los SLA a menudo tienen requisitos de configuración que
deben cumplirse. Estos están documentados en la página web SLA
del servicio.
•
Un servicio solo se considera fuera del SLA si ocurre un
problema de disponibilidad debido a algo que está dentro del
control de Microsoft.
•
Los servicios de vista previa se ofrecen antes del lanzamiento
de producción y, a menudo, no tienen SLA. Por lo general, también
se ofrecen con descuento.
•
Cuando un servicio está listo para su uso en producción, se
declara que está disponible de forma general y lleva un SLA.
•
Índice
A
control de acceso
con Azure Conditional Access, 220 - 221
RBAC (control de acceso basado en roles), 223 - 227
bloqueos de recursos, 232 - 235
ACI (Azure Container Instances), 56 - 58
grupos de acción, 168 - 169
acciones, 123 , 168 - 169
Directorio Activo. Ver Azure Active Directory
agilidad de los servicios en la nube, 4-6
AI (inteligencia artificial), 107 - 110
AKS (Azure Kubernetes Service), 58 - 59
alertas en Monitor de Azure, 165 - 169
analítica. Ver análisis de datos
Apache Spark, 97
Tipos de API, 67 - 68
Servicio de aplicaciones. Ver Azure App Service
fallas de la aplicación, 3
Perspectivas de la aplicación, 3
componentes arquitectónicos, 26 - 42
ARM (Administrador de recursos de Azure), 38 - 42
zonas de disponibilidad, 28 - 31
grupos de gestión, 37 - 38
regiones, 26 - 28
grupos de recursos, 31 - 33
suscripciones, 33 - 37
ARM (Administrador de recursos de Azure), 38 - 42
Portal de Azure y, 140
beneficios de, 41
RBAC (control de acceso basado en roles) y 226
API ARM, 39
Plantillas ARM, 31 , 33 , 40 - 41 , 74 , 237
artefactos, 133 , 135 , 237
Inteligencia general artificial (IA fuerte), 107
Inteligencia artificial estrecha (IA débil), 107
inteligencia artificial (IA), 107 - 110
asignaciones con Azure Conditional Access, 220
autenticación, 214
Azure Active Directory, 214 - 220
MFA (autenticación multifactor), 221 - 223
RBAC (control de acceso basado en roles), 223 - 227
autorización, 214
Azure Active Directory, 214 - 220
Acceso condicional de Azure, 220 - 221
RBAC (control de acceso basado en roles), 223 - 227
Auto escala, 6
disponibilidad
de servicios en la nube, 2-4. Ver también tolerancia a fallos
con ExpressRoute, 64
conjuntos de disponibilidad, 30 , 48 - 51
zonas de disponibilidad, 28 - 31
Azur
componentes arquitectónicos, 26 - 42
ARM (Administrador de recursos de Azure), 38 - 42
zonas de disponibilidad, 28 - 31
grupos de gestión, 37 - 38
regiones, 26 - 28
grupos de recursos, 31 - 33
suscripciones, 33 - 37
soluciones básicas, 82 - 139
Servicio de bot de Azure, 112 - 114
Azure Databricks, 100 - 107
Azure DevOps, 130 - 133
Laboratorios Azure DevTest, 133 - 139
Funciones Azure, 115 - 122
Aprendizaje automático de Azure, 110 - 111
Esfera azul, 95 - 96
Azure Synapse, 96 - 98
Servicios cognitivos, 111 - 112
Cuadrícula de eventos, 129 - 130
HDInsight, 98 - 100
IoT Central, 87 - 95
IoT Hub, 82 - 87
Aplicaciones lógica, 123 - 128
computing serverless, 114 - 115
gestión de costes, 253 - 264
Administración de costos de Azure, 261 - 264
Factores que afectan a los costes, 254 - 255
calculadora de precios, la tecnología 256 - 257
calculadora de costo total de propiedad, 258 - 261
características de gobernanza, 227 - 242
Blueprints de Azure, 237 - 242
Política de Azure, 228 - 232
bloqueos de recursos, 232 - 235
etiquetas, 236
servicios de identidad, 213 - 227
autenticación y autorización, 214
Azure Active Directory, 214 - 220
Acceso condicional de Azure, 220 - 221
MFA (autenticación multifactor), 221 - 223
RBAC (control de acceso basado en roles), 223 - 227
herramientas de gestión, 139 - 172
Azure Advisor, 159 - 161
Azure CLI, 150 - 152
Azure Cloud Shell, 152 - 156
Azure aplicación móvil, 156 - 159
Azure Monitor, 161 - 169
Portal de Azure, 140 - 147
Azure PowerShell, 148 - 150
Azure Servicio de Salud, 170 - 172
seguridad de la red, 194 - 209
Azure Firewall, 200 - 207
Protección DDoS, 207 - 209
defensa en profundidad, 194 - 195
Los grupos directivos nacionales (grupos de seguridad de red), 195 - 200
recursos de privacidad y cumplimiento, 242 - 248
Regiones de Azure Soveriegn, 247 - 248
Marco de adopción de la nube para Azure, 244
Declaración de privacidad de Microsoft, 243 - 244
STP (Service Trust Portal), 245 - 247
Centro de confianza, 244
características de seguridad, 179 - 194
Centro de seguridad de Azure, 180 - 184
Azure Sentinel, 188 - 194
Clave de bóveda, 184 - 188
ciclo de vida del servicio, 269 - 271
SLA (acuerdos de nivel de servicio), 264 - 269
productos de carga de trabajo, 42 - 75
ACI (Azure Container Instances), 56 - 58
AKS (Azure Kubernetes Service), 58 - 59
Servicio de aplicaciones de Azure, 52 - 55
Base de datos de Azure para MySQL, 72
Base de datos de Azure para PostgreSQL, 72
Archivos de Azure, 65 - 66
Azure Marketplace, 72 - 75
Base de datos SQL de Azure, 68 - 71
almacenamiento de contenedores (blob), 64
Cosmos DB, 66 - 68
almacenamiento en disco, 64 - 65
ExpressRoute, 63 - 64
gradas de almacenamiento, 66
redes virtuales (VNets), 61 - 63
VM (máquinas virtuales), 42 - 52
Escritorio virtual de Windows, 60 - 61
Azure Active Directory, 142 , 214 - 220
Azure AD B2B, 216 , 219
Azure AD B2C, 219
Azure Advisor, 159 - 161
Servicio de aplicaciones de Azure, 13 , 52 - 55
planes, 52 - 54
aplicaciones web, 54 - 55
Artefactos azur, 131 , 133
Bastión azur, 203
Blog de Azure, 29
Blueprints de Azure, 237 - 242
Tableros Azules, 131 , 132
Servicio de bot de Azure, 112 - 114
Azure China, 248
Azure CLI, 150 - 152
Nube azul Shell, 141 , 152 - 156
Acceso condicional de Azure, 220 - 221
Instancias de contenedor de Azure (ACI), 56 - 58
Administración de costos de Azure, 261 - 264
Almacenamiento de Azure Data Lake, 98
Base de datos de Azure para MySQL, 72
Base de datos de Azure para PostgreSQL, 72
Servicio de migración de base de datos de Azure (DMS), 71
Azure Databricks, 100 - 107
Azure DevOps, 130 - 133
Laboratorios Azure DevTest, 133 - 139
Sincronización de archivos de Azure, 66
Archivos de Azure, 65 - 66
Azure Firewall, 200 - 207
Funciones Azure, 115 - 122
Azure Alemania, 248
Azure Government, 247 - 248
Servicio de Azure Kubernetes (AKS), 58 - 59
Análisis de registros de Azure, 189
Aprendizaje automático de Azure, 110 - 111
Azure Marketplace, 72 - 75
Azure aplicación móvil, 156 - 159
Azure Monitor, 161 - 169
Azure Pipelines, 131 , 133
Política de Azure, 228 - 232
Portal de Azure, 140 - 147
Azure PowerShell, 148 - 150
Azure Repos, 131 , 132 - 133
Administrador de recursos de Azure. Ver ARM (Administrador de
recursos de Azure)
Centro de seguridad de Azure, 180 - 184
Azure Sentinel, 188 - 194
Azure Servicio de Salud, 170 - 172
Esfera azul, 95 - 96
Base de datos SQL de Azure, 68 - 71
Pila azur, 20
Página de estado de Azure, 30
Almacenamiento de Azure
Archivos de Azure y, 65
almacenamiento de contenedores (blob), 64
Azure Synapse, 96 - 98
Estudio de Azure Synapse, 98
Planes de prueba de Azure, 131 , 133
B
Planes BCDR (Business Continuity and Disaster Recovery), 7
ofertas beta, 269 - 270
big data, 97
zonas de facturación, 255
almacenamiento de blobs, 64
planos, 237 - 242
Servicio de bot. Ver Azure Bot Service
C
Mensajería C2D (nube a dispositivo), 84
"Enfoque del castillo" (defensa en profundidad), 194 - 195
canales en Azure Bot Service, 114
servicios de chat con Azure Servicio Bot, 112 - 114
Clarke, Arthur C.107
Marco de adopción de la nube para Azure, 244
computación en la nube, definida, 17
modelo de nube, 8, 16
nube híbrida, 19 - 20
nube privada, 18 de - 19 de
nube pública, 17 - 18
servicios en la nube
beneficios de, 1-8
beneficios económicos, 7-8
tolerancia a fallos, recuperación ante desastres, 6-7
alta disponibilidad, 2-4
escalabilidad, elasticidad, agilidad, 4-6
comparación del tipo de servicio, 15 - 16
modelo de responsabilidad compartida, 9
Nube de Shell, 141 , 152 - 156
mensajería de nube a dispositivo (C2D), 84
Cloudyn, 262
racimos
en Azure Databricks, 102
en Azure Synapse, 97
en HDInsight, 98 - 100
Servicios cognitivos, 111 - 112
columna sistemas de base de datos NoSQL, 67
comandos
en Azure CLI, 150 - 152
Azure en la nube de Shell, 152 - 156
en el módulo PowerShell Az , 149 - 150
modelo de nube comunitaria, 16
cumplimiento, 242 - 248
Regiones de Azure Soveriegn, 247 - 248
Marco de adopción de la nube para Azure, 244
recuperación ante desastres y, 7
Declaración de privacidad de Microsoft, 243 - 244
STP (Service Trust Portal), 245 - 247
Centro de confianza, 244
Gerente de cumplimiento, 245 - 247
SLA compuestos, 268 - 269
computar nodos, 97
Visión por computadora, 112
Acceso condicional, 220 - 221
conectores, 123 , 189 - 192
modelo basado en el consumo, 8
contenedores
en AKS, 58 - 59
almacenamiento de blobs, 64
explicado, 56
corriendo, 56 - 58
soluciones básicas, 82 - 139
Servicio de bot de Azure, 112 - 114
Azure Databricks, 100 - 107
Azure DevOps, 130 - 133
Laboratorios Azure DevTest, 133 - 139
Funciones Azure, 115 - 122
Aprendizaje automático de Azure, 110 - 111
Esfera azul, 95 - 96
Azure Synapse, 96 - 98
Servicios cognitivos, 111 - 112
Cuadrícula de eventos, 129 - 130
HDInsight, 98 - 100
IoT Central, 87 - 95
IoT Hub, 82 - 87
Aplicaciones lógica, 123 - 128
computing serverless, 114 - 115
Cosmos DB, 66 - 68
gestión de costes, 253 - 264
Administración de costos de Azure, 261 - 264
Factores que afectan a los costes, 254 - 255
calculadora de precios, la tecnología 256 - 257
calculadora de costo total de propiedad, 258 - 261
costos. Ver también niveles de precios
Servicio de aplicaciones de Azure, 52 - 54
factores que afectan, 254 - 255
visualización, 33 , 35
Facturación de VM, 48
imágenes personalizadas, 51 , 136 - 137
D
Mensajería D2C (dispositivo a nube), 84
tablero (en el portal)
creando nuevo, 146 - 147
personalización, 146
analítica de datos
con Azure Synapse, 96 - 98
con HDInsight, 99
Cuadro de datos, 64
lagos de datos, 98
modelado de datos, 100
Servicio de movimiento de datos (DMS), 97
almacenes de datos, 98
tipos de API de base de datos, 67 - 68
Servicio de migración de bases de datos (DMS), 71
Unidad de transacción de base de datos (DTU), 70
Databricks, 100 - 107
Exportación de modelos de ML de Databricks, 107
Databricks Runtime ML (Databricks Runtime para aprendizaje
automático), 105 - 106
centros de datos, 27 - 28
conjuntos de datos en Azure Databricks, 104
DDoS (denegación de servicio) los ataques, 207 - 209
Protección DDoS, 207 -209
API de decisión, 112
sintaxis declarativa, 40
defensa en profundidad, 194 - 195
eliminar recursos, 33
virtualización de escritorio con Windows Virtual Desktop, 60 - 61
grupos de dispositivos en IoT Central, 93 - 95
Servicio de aprovisionamiento de dispositivos (DPS), 85
dispositivos gemelos, 84
mensajería de dispositivo a nube (D2C), 84
DevTest Labs, 133 - 139
Línea directa, 114
roles de directorio, 214
recuperación de desastres, 6-7
en zonas de disponibilidad, 28 - 29
en regiones, 27 - 28
claves de cifrado de disco, 187 - 188
almacenamiento en disco, 64 - 65
denegación de servicio distribuida (DDoS), 207 - 209
DMS (servicio de movimiento de datos), 97
DMS (Servicio de migración de bases de datos), 71
Docker, 13 , 56 años
documentar sistemas de bases de datos NoSQL, 67
Autorización provisional de nivel 5 de impacto del Departamento de
Defensa, 248
DPS (servicio de aprovisionamiento de dispositivos), 85
DTU (Unidad de transacción de base de datos), 70
MI
beneficios económicos de los servicios en la nube, 7-8
dispositivos de borde, 63
efectos en Azure Policy, 232
piscinas elásticas, 70 - 71
elasticidad de los servicios en la nube, 4-6
cifrado con la clave de bóveda, 184 - 188
Cuadrícula de eventos, 129 - 130
ExpressRoute, 63 - 64
F
dominios de falla, 48 - 49
Tolerancia a fallos, 6-7
FIPS (Estándar federal de procesamiento de información) 140, 185
cortafuegos, 200 - 207
registro de flujo para NSG, 199
fórmulas, 136 - 138
Función Aplicaciones, 115 - 119 , 127
funciones
creando, 120 - 121
definido, 118
GRAMO
GDPR (Reglamento general de protección de datos), 243
disponibilidad general, 269 , 271
geografías, 26 , 27
gobernanza, 227 - 242
Blueprints de Azure, 237 - 242
Política de Azure, 228 - 232
bloqueos de recursos, 232 - 235
etiquetas, 236
graficar sistemas de bases de datos NoSQL, 67
usuarios invitados, 216
H
Hadoop, 98
HBase, 98
HDInsight, 98 - 100
alta disponibilidad
de servicios en la nube, 2-4. Ver también tolerancia a fallos
con ExpressRoute, 64
escala horizontal, 5
HSM (Hardware Security Modules), 184 - 185
Funciones HttpTrigger, 122
configuración de concentrador y radios para cortafuegos, 201 - 202
modelo de nube híbrida, 16 , 19 - 20
I
IaaS (infraestructura como servicio), 9- 11 , 15
identidades, 214
servicios de identidad, 213 - 227
autenticación y autorización, 214
Azure Active Directory, 214 - 220
Acceso condicional de Azure, 220 - 221
MFA (autenticación multifactor), 221 - 223
RBAC (control de acceso basado en roles), 223 - 227
imágenes, 56
Reglas de entrada para los grupos directivos nacionales, 197 - 199
Infraestructura como servicio (IaaS), 9- 11 , 15
iniciativas, 229
instalando
Módulo PowerShell Az , 148
PowerShell en Linux o macOS, 148
Consulta interactiva, 98
Internet, modelo de nube pública y, 17
facturas, visualización, 35
IoT (Internet de las cosas)
Esfera azul, 95 - 96
IoT Central, 87 - 95
IoT Hub, 82 - 87
IoT Central, 87 - 95
IoT Hub, 82 - 87
Direcciones IP, públicas, 62
Norma ISO 27001, 243
J
JIT de acceso (just-in-time), 181 - 184
empleos en IoT Central, 94
cajas de salto, 201
K
Kafka, 98
Clave de bóveda, 184 - 188
métodos abreviados de teclado en Azure Databricks, 104
sistemas de base de datos NoSQL de valor clave, 67
Kubernetes, 58 - 59
L
API de lenguaje, 112
ciclo de vida de los servicios, 269 - 271
límites en las suscripciones, 34
cerraduras, 232 - 235
Log Analytics, 189
Aplicaciones lógica, 123 - 128 , 193
METRO
aprendizaje automático
en Azure Databricks, 100 - 107
con Azure Machine Learning, 110 - 111
con Cognitive Services, 111 - 112
explicado, 108 - 110
Estudio de aprendizaje automático, 110
discos gestionados, 65
identidades administradas, 215 , 223
instancias gestionadas, 71
grupos de gestión, 37 - 38
herramientas de gestión, 139 - 172
Azure Advisor, 159 - 161
Azure CLI, 150 - 152
Azure Cloud Shell, 152 - 156
Azure aplicación móvil, 156 - 159
Azure Monitor, 161 - 169
Portal de Azure, 140 - 147
Azure PowerShell, 148 - 150
Azure Servicio de Salud, 170 - 172
Markdown, 103
metros, 254
MFA (autenticación multifactor), 221 - 223
Declaración de privacidad de Microsoft, 243 - 244
Escritorio remoto de Microsoft, 158
Inteligencia de amenazas de Microsoft, 181
MLeap, 106
aplicación móvil (Azure), 156 - 159
mover recursos, 33
MSEE (enrutadores Microsoft Enterprise Edge), 63 - 64
autenticación multifactor (MFA), 221 - 223
entorno multiusuario, 17
MySQL, 72
NORTE
comprensión del lenguaje natural, 108
precio del ancho de banda de la red, 255
cortes de red, 2-3
seguridad de la red, 194 - 209
Azure Firewall, 200 - 207
Protección DDoS, 207 - 209
defensa en profundidad, 194 - 195
Los grupos directivos nacionales (grupos de seguridad de red), 195 - 200
Red de Seguridad Grupos (grupos directivos
nacionales), 63 , 195 - 200
NIST 800– 53 estándar, 243
Bases de datos NoSQL, 66 - 67
cuadernos en Azure Databricks, 103 - 104
O
Fichas de hardware OAUTH, 223
modelo local, 7
reglas de salida para NSG, 199
enlaces de salida, 122
PAG
PaaS (Platform-as-a-Service), 11 - 14 , 15
mantenimiento planificado, 48
planificación
con Azure Blueprints, 237 - 242
para la gestión de costes, 253 - 264
Administración de costos de Azure, 261 - 264
Factores que afectan a los costes, 254 - 255
calculadora de precios, la tecnología 256 - 257
calculadora de costo total de propiedad, 258 - 261
planes en Azure App Service, 52 - 54
Plataforma-as-a-Service (PaaS), 11 - 14 , 15
Playbooks, 193
politicas
en Azure DevTest Labs, 139
en la Política de Azure, 228 - 232
portal (Azure), 140 - 147
PostgreSQL, 72
Automatización de energía, 123
cortes de energía, 4
fuentes de alimentación para centros de datos, 27 - 28
PowerShell, instalación en Linux o macOS, 148
Módulo PowerShell Az , 148 - 150
ofertas de vista previa, 269 - 270
vista previa de las aplicaciones web en la nube Azure Shell, 154 - 155
calculadora de precios, la tecnología 256 - 257
niveles de precios. Consulte también gestión de costes ; costos
Azure Active Directory, 219 - 220
para Azure Security Center, 180
Protección DDoS, 208 - 209
para IoT Hub, 86 - 87
ancho de banda de la red, 255
privacidad, 242 - 248
Regiones de Azure Soveriegn, 247 - 248
Marco de adopción de la nube para Azure, 244
Declaración de privacidad de Microsoft, 243 - 244
STP (Service Trust Portal), 245 - 247
Centro de confianza, 244
privado modelo de nube, 16 , 18 - 19
vistas previas privadas, 269 - 270
canalización de producción de aprendizaje automático, 106
"Perfiles del futuro" (Clarke), 107
apoderados, 118
modelo de nube pública, 16 , 17 - 18
direcciones IP públicas, 62
avances públicos, 270
modelos de compra para base de datos única, 70
R
Servidor R, 98
RBAC (control de acceso basado en roles), 223 - 227
pares regionales, 27
regiones
zonas de disponibilidad, 28 - 31
explicado, 26 - 28
factores que afectan los costos, 254
zonas para, 255
bases de datos relacionales, 66
Base de datos SQL de Azure, 68 - 71
MySQL, 72
PostgreSQL, 72
SQL Server, 68
problemas del sistema dependiente, 4
acceso remoto a máquinas virtuales IaaS, 10
grupos de recursos, 31 - 33
bloqueos de recursos, 232 - 235
proveedores de recursos, 39
recursos. Consulte también ARM (Azure Resource Manager)
costos, visualización, 33 , 35
borrar, 33
en movimiento, 33
apertura en portal, 144
etiquetas, 236
visualización, 142
asignaciones de roles, 224 - 226
control de acceso basado en roles (RBAC), 223 - 227
roles, 224
en IoT Central, 91
tablas de rutas para cortafuegos, 203 - 206
reglas
en la Política de Azure, 228 - 232
para cortafuegos, 205 - 207
en IoT Central, 93
para los grupos directivos nacionales, 195 - 200
S
SaaS (software como servicio), 14 , 15
escalabilidad de los servicios en la nube, 4-6
tolerancia a fallas versus, 6
juegos de escalas, 51 - 52
alcance, 224
seguridad, 179 - 194
Centro de seguridad de Azure, 180 - 184
Azure Sentinel, 188 - 194
con Azure Sphere, 95 - 96
servicios de identidad
autenticación y autorización, 214
Azure Active Directory, 214 - 220
Acceso condicional de Azure, 220 - 221
MFA (autenticación multifactor), 221 - 223
RBAC (control de acceso basado en roles), 223 - 227
Clave de bóveda, 184 - 188
seguridad de la red, 194 - 209
Azure Firewall, 200 - 207
Protección DDoS, 207 - 209
defensa en profundidad, 194 - 195
Los grupos directivos nacionales (grupos de seguridad de red), 195 - 200
bloqueos de recursos, 232 - 235
Centro de confianza, 244
directores de seguridad, 223 , 227
Sentinel, 188 - 194
computing serverless, 114 - 115
dependencias de servicio, 41
ciclo de vida del servicio, 269 - 271
directores de servicio, 215 , 218 , 227
etiquetas de servicio para los grupos directivos
nacionales, 199 - 200
Portal de confianza de servicios (STP), 245 - 247
acuerdos de nivel de servicio (SLA), 2, 264 - 269
"Siete propiedades de los dispositivos de alta seguridad"
(documento técnico de Microsoft), 95
modelo de responsabilidad compartida, 9, 243
SIEM (Gestión de eventos e información de seguridad), 188
iniciar sesión en PowerShell Az módulo, 148 - 149
dispositivos simulados en IoT Central, 90
bases de datos únicas, 70
inicio de sesión único (SSO), 218
entorno de un solo inquilino, 18
SLA (acuerdos de nivel de servicio), 2, 264 - 269
ranuras, 118
SOAR (orquestación, automatización y respuesta de seguridad), 188
Software como servicio (SaaS), 14 , 15
Chispa, 98
API de voz, 112
redes de radios, 201
Almacén de datos SQL, 97
SQL Server, 68
SSO (inicio de sesión único), 218
cortafuegos con estado, 201
gradas de almacenamiento, 66
Tormenta, 98
STP (Service Trust Portal), 245 - 247
IA fuerte, 107
ID de suscripción, 37
suscripciones, 33 - 37
creando, 36 - 37 , 43
límites en, 34
grupos de gestión, 37 - 38
ajuste activo, 149
tipos de, 37
Synapse SQL, 97
cortes del sistema, 3-4
T
etiquetas, 236
TCO (coste total de propiedad) calculadora, 258 - 261
pruebas con Azure DevTest Labs, 133 - 139
inteligencia de amenazas en Azure Firewall, 207
niveles. Ver niveles de precios
disparadores, 121 - 122 , 123
Centro de confianza, 244
U
tiempo de inactividad inesperado, 48
discos no administrados, 65
mantenimiento no planificado, 48
actualizar dominios, 49
directores de usuario, 227
V
vCore (núcleo virtual), 70
escala vertical, 5
Indexador de video, 112
visita
costos, 33 , 35
facturas, 35
recursos, 142
etiquetas, 236
redes virtuales (VNets), 61 - 63
redes privadas virtuales (VPN), 63
Visual Studio, 39
VM (máquinas virtuales), 3-4, 42 - 52
conjuntos de disponibilidad, 48 - 51
en Azure DevTest Labs, 133 - 139
facturación, 48
conectarse a través de la aplicación móvil de Azure, 158
creando, 43 - 45
despliegue, 45 - 46
claves de cifrado de disco, 187 - 188
almacenamiento en disco, 64 - 65
tiempo de inactividad, 48
Acceso JIT, 181 - 184
juegos de escalas, 51 - 52
VNets (redes virtuales), 61 - 63
VPN (redes privadas virtuales), 63
W
IA débil, 107
aplicaciones web
en Azure App Service, 54 - 55
la vista previa en la nube Azure Shell, 154 - 155
webhooks, 122
Windows 10 multiusuario, 61
Directorio activo de Windows, 214
Escritorio virtual de Windows (WVD), 60 - 61
flujos de trabajo en Logic Apps, 123 , 128
productos de carga de trabajo, 42 - 75
ACI (Azure Container Instances), 56 - 58
AKS (Azure Kubernetes Service), 58 - 59
Servicio de aplicaciones de Azure, 52 - 55
Base de datos de Azure para MySQL, 72
Base de datos de Azure para PostgreSQL, 72
Archivos Azure, 65 -66
Azure Marketplace, 72 -75
Base de datos SQL de Azure, 68 -71
almacenamiento de contenedores (blob), 64
Cosmos DB, 66 - 68
almacenamiento en disco, 64 - 65
ExpressRoute, 63 - 64
niveles de almacenamiento, 66
redes virtuales (VNets), 61 - 63
VM (máquinas virtuales), 42 - 52
Escritorio virtual de Windows, 60 - 61
Z
servicios zonales, 30
servicios redundantes de zona, 31
zonas, regiones en, 255
Fragmentos de código
Muchos títulos incluyen código de programación o ejemplos de
configuración. Para optimizar la presentación de estos elementos, vea
el libro electrónico en modo horizontal de una sola columna y ajuste el
tamaño de fuente al valor más pequeño. Además de presentar el código
y las configuraciones en el formato de texto ajustable, hemos incluido
imágenes del código que imitan la presentación que se encuentra en el
libro impreso; por lo tanto, cuando el formato reajustable pueda
comprometer la presentación del listado de código, verá un enlace
"Haga clic aquí para ver la imagen del código". Haga clic en el enlace
para ver la imagen del código de fidelidad de impresión. Para volver a
la página anterior vista, haga clic en el botón Atrás en su dispositivo o
aplicación.
