Azure

Documentación oficial:
https://learn.microsoft.com/es-es/training/courses/az-900t00

Algunos conceptos

  • Microsoft Azure es un conjunto de servicios en la nube.
  • Centro de datos: edificio o sala usada para mantener en él una gran cantidad de equipamiento informático y electrónico.
  • Organización: Es la entidad o empresa que contrata los servicios.

Modelos según la responsabilidad

Modelo tradicional

En un centro de datos corporativo tradicional la empresa se encarga del mantenimiento de todo el sistema.

Modelo de responsabilidad compartida

La responsabilidad se reparte entre la empresa y el cliente. Este modelo se aplica a todos los tipos de servicio en la nube.

La empresa se encarga de:

  • El centro de datos físico.
  • Los hosts físicos (alimentación, refrigeración, etc.)
  • La red física.

El cliente se encarga de:

  • La información almacenada en la nube.
  • Los dispositivos que puedan conectarse a la nube (teléfonos móviles, equipos, etc.).
  • Las cuentas e identidades de las personas, servicios y dispositivos de la organización.

Tipos de servicios en la nube:

El provedor de servicios debe mantener:Ejemplos
Hardware Conexión a la red Seguridad física Sistema operativo, base de datos, herramientas de desarrollo Software
IaaS
(Infraestructura como servicio)
XXXMáquina virtual
Paas
(Plataforma como servicio)
XXXX
SaaS
(Software como servicio)
XXXXXGmail

La nube

Definición de modelos en la nube

Tipos de nube
La organización…PúblicaPrivada
Es responsable del Hardware X
Comparte recursos con otra organizaciónX
Pago por usoX

Nube híbrida

Es un entorno informático que usa nubes públicas y privadas interconectadas.

Nubes múltiples

Es un escenario que utiliza varios proveedores de nube pública, gestionados de manera independiente.

La herramienta de Azure para administrar estas nubes públicas, privadas, híbridas o entorno de múltiples nubes es Azure ARC.

Características de los servidores

Escalabilidad

Es la capacidad de adaptarse a las cargas de trabajo sin tener una degradación en el rendimiento.

En función de como aumenta el cómputo del sistema, tenemos dos tipos:

Horizontal

Consiste en agregar más instancias a la infraestructura.

Azure 1

Vertical

Consiste en mejorar o aumentar los recursos (RAM, procesador, disco) de la instancia ya existente.

Azure 2
Azure 3

En función de como se adaptan los recursos a las necesidades cambiantes, tenemos dos tipos:

  • Manual
  • Automática (elasticidad)

Agilidad

Permite adaptarse rápidamente a los entornos/necesidades cambiantes, implementando o eliminando un recurso, sistema o solución en función de la demanda.

Cuentas de Azure

Para crear y usar los servicios de Azure, necesita una suscripción de Azure. 

Después de crear una cuenta de Azure, puede crear suscripciones adicionales.

La cuenta gratuita de Azure incluye lo siguiente:

  • Acceso gratuito a productos populares de Azure durante 12 meses.
  • Crédito para gastar durante los primeros 30 días.
  • Acceso a más de 25 productos que siempre son gratuitos.

Límites de suscripción para las suscripciones de Azure

  • Los límites de facturación permiten la creación de suscripciones según los requisitos de facturación.
  • Los límites del control de acceso permiten la creación de suscripciones basadas en requisitos departamentales o una estructura organizativa.

Infraestructura física de Azure

Infraestructura física

Azure tiene centros de datos en todo el mundo. Los centros de datos se agrupan en regiones de Azure o Azure Availability Zones, están diseñados para ayudarte a lograr resistencia y confiabilidad para las cargas de trabajo críticas para la empresa.

Regions

Una región es un área geográfica del planeta que contiene al menos un centro de datos.

Availability Zones

Las zonas de disponibilidad son centros de datos separados físicamente dentro de una región de Azure.

Incluso con la resistencia adicional que proporcionan las zonas de disponibilidad, es posible que un evento pueda ser tan grande que afecte a varias zonas de disponibilidad en una sola región. Para proporcionar una mayor resistencia, Azure tiene pares de regiones.

Pares de región

La mayoría de las regiones de Azure se emparejan con otra región de la misma zona geográfica (por ejemplo Oeste de EE. UU. y Este de EE. UU.) gque se encuentre como mínimo a 500 km de distancia. Este enfoque permite la replicación de recursos en una zona geográfica que ayuda a reducir la probabilidad de que se produzcan interrupciones provocadas por desastres regionales.

Las actualizaciones programadas se realizan, dentro de un par de región, de manera no simultanea. Primero una región y luego la otra.

Regiones soberanas

Las regiones soberanas son instancias de Azure que están aisladas de la instancia principal de Azure. Es posible que tenga que usar una región soberana con fines legales.

Descripción de los servicios de almacenamiento de Azure

Azure Storage siempre almacena varias copias de los datos, con el fin de protegerlos de eventos planeados y no planeados, lo que incluye errores transitorios del hardware, interrupciones del suministro eléctrico o cortes de la red, y desastres naturales. La redundancia garantiza que la cuenta de almacenamiento cumple sus objetivos de disponibilidad y durabilidad, aunque se produzcan errores.

LRS
(Local Redundant Storage)
Replica los datos 3 veces dentro de un único centro de datos en la región primaria. Ofrece una durabilidad mínima de 11 nueves (99,999999999) de los objetos en un año determinado.
ZRS
(Zone Redundant Storage)
Replica los datos en diferentes zonas dentro de una misma región (centros de datos). Ofrece una durabilidad mínima de 11 nueves (99,999999999) de los objetos en un año determinado.
GRS
(Geo Redundant Storage)
Replica los datos en diferentes regiones
GZRS
(Geo Zone Redundant Storage)
Replica los datos en diferentes regiones

GRS y GZRS admiten activar la opción RA (Read access, RA-GRS, RA-GZRS), lo cual permitirá leer los datos de la zona secundaria en cualquier momento. Sin esta opción activa, tendremos que permitir la lectura de datos de la zona secundaria expresamente para poder hacer una lectura.

Recursos y grupos de recursos de Azure

Todo lo que cree, aprovisione, implemente, etc., es un recurso. Máquinas virtuales (VM), bases de datos, etc., se consideran recursos dentro de Azure.

Al crear un recurso, es necesario colocarlo en un grupo de recursos.

Aunque un grupo de recursos puede contener muchos recursos, un único recurso solo puede estar en un grupo de recursos.

Al mover un recurso a un nuevo grupo, ya no estará asociado al grupo anterior.

Los grupos de recursos no se pueden anidar.

Al aplicar una acción a un grupo de recursos (modificación, borrado, etc), se aplicará a todos los recursos que contiene.

Bloqueos de recursos

Los bloqueos de recursos impiden que los recursos se eliminen o actualicen, según el tipo de bloqueo. Los bloqueos de recursos se pueden aplicar a recursos individuales, grupos de recursos o incluso a una suscripción completa. Los bloqueos de recursos se heredan, lo que significa que si coloca un bloqueo de recursos en un grupo de recursos, también se aplicará el bloqueo a todos los recursos dentro del grupo.

Los bloqueos de recursos se pueden administrar en Azure Portal (https://portal.azure.com), PowerShell, la CLI de Azure o con una plantilla de Azure Resource Manager.

Para modificar un recurso bloqueado, primero hay que quitar el bloqueo. Tras quitarlo, podemos aplicar cualquier acción que podamos realizar de acuerdo a nuestros permisos.

Tipos de bloqueos

  • Eliminar significa que los usuarios autorizados pueden leer y modificar un recurso, pero no eliminarlo.
  • ReadOnly significa que los usuarios autorizados solo pueden leer recursos, pero no actualizarlos ni eliminarlos.

Etiquetas

Las etiquetas de recursos son una forma de organizar recursos. Proporcionan información extra, o metadatos, sobre los recursos.

Puede agregar, modificar o eliminar etiquetas de recursos mediante Windows PowerShell, la CLI de Azure, plantillas de Azure Resource Manager, la API REST o Azure Portal.

Puede usar Azure Policy para aplicar reglas de etiquetado y convenciones. Así, podemos requerir que se agreguen determinadas etiquetas a los nuevos recursos a medida que se aprovisionan. Asimismo, podemos definir reglas que vuelvan a aplicar etiquetas que se han quitado. Los recursos no heredan etiquetas de suscripciones y grupos de recursos.

Una etiqueta de recurso se compone de un nombre y un valor. Podemos asignar una o más etiquetas a cada recurso de Azure.

Suscripciones de Azure

Azure App Service on Windows pricing

  • Pay as you go: Pago por uso.
  • Azure saving plan for compute: Pago por un mínimo de uso de recursos por hora durante 1 a 3 años.
  • Reservations o Reserved instance: Pago con un compromiso de tiempo de 1 a 3 años. Pueden generar un ahorro de hasta el 72%.
  • Free and Shared plan: ideal para testing.
  • Basic Plan: Con 10 Gb de almacenamiento. Páginas con poco tráfico.
  • Premium Plan: Alto rendimiento, escalabilidad, etc.

Support

BasicDeveloperStandardProfessional Direct

Suscripciones

Permiten organizar los grupos de recursos y facilitar la facturación.

Una cuenta puede tener varias suscripciones, pero solo es obligatorio tener una. En una cuenta de varias suscripciones, puede usarlas para configurar diferentes modelos de facturación y aplicar diferentes directivas de administración de acceso. 

Hay dos tipos de límites de suscripción que puede utilizar:

  • Límite de facturación: Azure genera facturas e informes de facturación independientes para cada suscripción.
  • Límite de control de acceso: Azure aplica directivas de acceso diferentes en función del nivel de suscripción.

Grupos de administración de Azure

Las suscripciones se organizan en contenedores llamados grupos de administración, a los que se aplican condiciones de gobernanza. Todas las suscripciones de un grupo de administración heredan automáticamente las condiciones que tenga aplicadas, de la misma manera que los grupos de recursos heredan la configuración de las suscripciones y los recursos heredan de los grupos de recursos. Los grupos de administración proporcionan capacidad de administración de nivel empresarial a gran escala con independencia del tipo de suscripciones que tenga. Los grupos de administración se pueden anidar.

Azure Virtual Machines

Con Azure Virtual Machines (VM), puedes crear y usar máquinas virtuales en la nube. Estas máquinas virtuales proporcionan una infraestructura como servicio (IaaS

Las máquinas virtuales son una opción ideal cuando necesitas:

  • Control total sobre el sistema operativo (SO).
  • Ejecutar software personalizado.
  • Usar configuraciones de hospedaje personalizadas.

Escalado de máquinas virtuales en Azure

Se pueden agrupar las máquinas virtuales para proporcionar alta disponibilidad, escalabilidad y redundancia.

  • Conjuntos de escalado de máquinas virtuales. Los conjuntos de escalado de máquinas virtuales permiten crear y administrar un grupo de máquinas virtuales idénticas,
  • Conjuntos de disponibilidad de máquinas virtuales. Garantizan que las máquinas virtuales escalen las actualizaciones y tengan una conectividad de red y potencia variadas, lo que evita que se pierdan todas las máquinas virtuales debido a un solo fallo de energía o de la red. Permiten la agrupación de las máquinas virtuales de dos maneras:
    • Dominio de actualización. Agrupa las máquinas virtuales que se pueden reiniciar al mismo tiempo. Esto le permite aplicar actualizaciones mientras sabe que solo una agrupación de dominios de actualización estará sin conexión a la vez. Se actualizarán todas las máquinas de un dominio de actualización. A un grupo de actualizaciones que realiza el proceso de actualización se le asigna un tiempo de 30 minutos de recuperación antes de que se inicie el mantenimiento en el siguiente dominio de actualización.
    • Dominio de error. Agrupa las máquinas virtuales por fuente de alimentación común y conmutador de red. De forma predeterminada, un conjunto de disponibilidad dividirá las máquinas virtuales en un máximo de tres dominios de error. Esto ayuda a protegerse frente a un error de alimentación física o de la red al tener las máquinas virtuales en dominios de error diferentes (por tanto, conectadas a diferentes recursos de alimentación y red).

Las máquinas virtuales también son una opción excelente cuando se mueve de un servidor físico a la nube (también conocido como Lift-and-shift).

Precios de las máquinas virtuales

  • Reserved capacity: es similar pero se ocupa específicamente de los recursos de almacenamiento..
  • Spot instances: no se les cobra por la capacidad no utilizada, pero una instancia de spot se puede retirar cuando Azure necesita esa capacidad adicional.
  • Reserved instance: puede ahorrarle a una entidad hasta un 72 % de descuento sobre el precio habitual de pago por uso del recurso.
  • Azure Hybrid Benefit: reduce el costo de las licencias al permitir el uso de licencias locales.

Azure Virtual Desktop

Con Azure Virtual Desktop el escritorio y las aplicaciones se ejecutan en la nube. 

Descripción de contenedores de Azure

Los contenedores son un entorno de virtualización. Uno de los motores de contenedores más populares es Docker. Y Azure es compatible con Docker.

La diferencia entre los contenedores y las máquinas virtuales, es que en la máquina virtual virtualizamos un sistema operativo dentro del equipo, mientras que en un contenedor, virtualizamos una instancia de la aplicación dentro del sistema operativo del host.

Tipos de contenedores de Azure:

Azure Container Instances

Le permite cargar los contenedores. El servicio ejecutará los contenedores por usted.

Azure Container Apps

Son similares de muchas maneras a una instancia de contenedor pero tienen ventajas adicionales, como la capacidad de incorporar el equilibrio de carga y el escalado.

Azure Kubernetes Service

Azure Kubernetes Service (AKS) es un servicio de administración de contenedores.

Azure Functions

Con Azure Functions, un evento activa la función, lo que reduce la necesidad de mantener los recursos aprovisionados cuando no hay ningún evento.

 En este modelo, solo se le cobrará por el tiempo de CPU usado mientras se ejecuta la función.

Descripción de las opciones de hospedaje de aplicaciones

Si necesita hospedar la aplicación en Azure, es posible que cambie inicialmente a una máquina virtual (VM) o a contenedores. 

Hay otras opciones de hospedaje que puede usar con Azure, incluido Azure App Service.

Azure App Service

Azure App Service le permite centrarse en la creación y el mantenimiento de la aplicación, y Azure se centra en mantener el entorno en funcionamiento.

Es un servicio basado en HTTP para hospedar aplicaciones web, API de REST y back-ends para dispositivos móviles. Admite varios lenguajes, incluidos .NET, .NET Core, Java, Ruby, Node.js, PHP o Python. También admite entornos de Windows y Linux.

Tipos de servicios de aplicaciones

Puede hospedar la mayoría de los estilos de servicio de aplicación más comunes, como los siguientes:

  • Aplicaciones web. App Service incluye compatibilidad completa para hospedar aplicaciones web mediante ASP.NET, ASP.NET Core, Java, Ruby, Node.js, PHP o Python. Puede elegir Windows o Linux como sistema operativo del host.
  • Aplicaciones de API. Puede compilar API web basadas en REST mediante el lenguaje y el marco que prefiera. Se obtiene compatibilidad completa con Swagger.
  • Trabajos web. Se puede usar la característica WebJobs para ejecutar un programa (.exe, Java, PHP, Python o Node.js) o un script (.cmd, .bat, PowerShell o Bash) en el mismo contexto que una aplicación web, aplicación de API o aplicación móvil. Los puede programar o ejecutar un desencadenador. Los trabajos web suelen usarse para ejecutar tareas en segundo plano como parte de la lógica de aplicación.
  • Aplicaciones móviles. Permite compilar rápidamente un back-end para aplicaciones iOS y Android.

Servicios de redes de Azure (Azure Network Service)

Azure Virtual Network

Las redes virtuales y las subredes virtuales de Azure permiten a los recursos de Azure, como las máquinas virtuales, las aplicaciones web y las bases de datos, comunicarse entre sí, con los usuarios de Internet y con los equipos cliente en el entorno local. Una red de Azure se puede considerar una extensión de la red local con recursos que vinculan otros recursos de Azure.

Las redes virtuales de Azure admiten puntos de conexión públicos y privados para permitir la comunicación entre recursos externos o internos con otros recursos internos.

  • Los puntos de conexión públicos tienen una dirección IP pública y son accesibles desde cualquier parte del mundo.
  • Los puntos de conexión privados existen dentro de una red virtual y tienen una dirección IP privada en el espacio de direcciones de esa red virtual.

VPN Gateway

Normalmente, las VPN se implementan para conectar entre sí dos o más redes privadas de confianza a través de una red que no es de confianza (normalmente, la red pública de Internet). El tráfico se cifra mientras viaja por la red que no es de confianza para evitar ataques de interceptación o de otro tipo. Las VPN pueden permitir que las redes compartan información confidencial de forma segura.

ExpressRoute

Con ExpressRoute, puede establecer conexiones con servicios en la nube de Microsoft, como Microsoft Azure y Microsoft 365. Esto le permite conectar oficinas, centros de datos u otras instalaciones a la nube de Microsoft. Cada ubicación tendría su propio circuito ExpressRoute.

Las conexiones de ExpressRoute no pasan por la red pública de Internet. Esto permite a las conexiones de ExpressRoute ofrecer más confiabilidad, más velocidad, latencia coherentes y mayor seguridad que las conexiones normales a través de Internet.

Peering

Virtual Network Peering permite a los recursos de una red virtual conectarse con los recursos de una red virtual y ser gestionados como si se tratase de una sola red virtual.

Azure DNS

Es un servicio de hospedaje para dominios DNS que ofrece resolución de nombres mediante la infraestructura de Microsoft Azure. 

Servicios de Azure para Bases de datos

  • Azure SQL Managed Instance: es un PaaS. Puede ser usada en VNets (redes virtuales).
  • PostgreSQL. Soporta:
    • Todos los datos corren en un único servidor. Es apropiado para pequeñas aplicaciones.
    • Desarrollo Hiperscale (Citus). Los datos se distribuyen en varios servidores trabajando juntos. Permite mucha más capacidad de almacenaje y mayor velocidad manejando consultas completas. Hiperscale indica la capacidad de escalar la base de datos añadiendo más servidores según sea neceario.
  • Azure Database for MySQL: Es un entorno LAMP.
  • Azure SQL Database: Es una base de datos relacional.

Servicios de almacenamiento de Azure

La plataforma de Azure Storage incluye los servicios de datos siguientes:

  • Blobs de Azure: para datos de texto y binarios. También incluye compatibilidad con el análisis de macrodatos a través de Data Lake Storage Gen2.
  • Azure Files: recursos compartidos de archivos administrados para implementaciones locales y en la nube.
  • Colas de Azure: un almacén de mensajería para mensajería confiable entre componentes de aplicación.
  • Azure Disks: volúmenes de almacenamiento en el nivel de bloque para máquinas virtuales de Azure.
  • Tablas de Azure: Opción tabla NoSQL para datos estructurados y no relacionales.

Identificación de las opciones de migración de datos de Azure

Azure Migrate

Es un servicio que le ayuda a migrar desde un entorno local a la nube. Azure Migrate funciona como centro para ayudarle a administrar la valoración y la migración del centro de datos local a Azure. Ofrece lo siguiente:

  • Plataforma de migración unificada: un único portal para iniciar, ejecutar y realizar un seguimiento de la migración a Azure.
  • Rango de herramientas: Rango de herramientas para la evaluación y migración Las herramientas de Azure Migrate incluyen Azure Migrate: Discovery y assessment y Azure Migrate: Server Migration. Azure Migrate también se integra con otros servicios y herramientas de Azure, así como con ofertas de proveedores de software independientes (ISV).
  • Assessment and migration (Evaluación y migración): en el centro de Azure Migrate, puede evaluar y migrar la infraestructura local a Azure.

Identificación de las opciones de movimiento de archivos de Azure

Además de la migración a gran escala mediante servicios como Azure Migrate y Azure Data Box, Azure también tiene herramientas diseñadas para ayudarle a mover o interactuar con archivos individuales o grupos de archivos pequeños. Entre esas herramientas se encuentran AzCopy, Explorador de Azure Storage y Azure File Sync.

AzCopy

Es una utilidad de línea de comandos que puede usar para copiar o sincronizar blobs o archivos desde o en una cuenta de almacenamiento. 

Explorador de Azure Storage

Es una aplicación independiente que proporciona una interfaz gráfica para administrar archivos y blobs en la cuenta de Azure Storage. Funciona en sistemas operativos Windows, macOS y Linux y usa AzCopy en el back-end para realizar todas las tareas de administración de archivos y blobs.

Azure File Sync

Una vez que instale Azure File Sync en el servidor local de Windows, se mantendrá sincronizado bidireccionalmente con los archivos en Azure de forma automática.

Azure Entra ID

Microsoft Entra ID es un servicio que le permite iniciar sesión y acceder tanto a las aplicaciones en la nube de Microsoft como a las aplicaciones en la nube que desarrolle.

Microsoft Azure Entra ID y Microsoft Azure Active directory son el mismo servicio pero con distinto nombre. En marzo de 2023, Microsoft anunció el cambio de nombre de Azure AD a Microsoft Entra ID.

No es lo mismo Azure Active Directory (AAD, servicio basado en la nube) y Active Directory (AD, servicio local (esto es lo que significa on-premises)). El truco nemotécnico para recordarlo es que AAD es más, y por tanto es en la nube y AD es menos y por tanto es local u on-premises.

Microsoft Entra ID proporciona servicios como:

  • Autentificación.
  • Inicio de sesión único: los usuarios tienen que recordar un solo nombre de usuario y una sola contraseña para acceder a varias aplicaciones. Una sola identidad está asociada a un usuario, lo que simplifica el modelo de seguridad. Cuando los usuarios cambian de rol o dejan una organización, las modificaciones de acceso se asocian a esa identidad, lo que reduce considerablemente el esfuerzo necesario para cambiar o deshabilitar cuentas.
  • Administración de aplicaciones: puede administrar las aplicaciones en la nube y locales.
  • Administración de dispositivos: además de cuentas de usuarios individuales, Microsoft Entra ID admite el registro de dispositivos.

Descripción de los métodos de autenticación de Azure

La autenticación es el proceso de establecimiento de la identidad de una persona.

Azure admite varios métodos de autenticación:

Contraseñas estándar.

– Inicio de sesión único (SSO).

Tan solo debe recordar un ID y una contraseña. Permite autentificarse una sola vez y acceder a múltiples aplicaciones.

Autenticación multifactor (MFA).

La autenticación multifactor es el proceso de solicitar a un usuario una forma adicional (o factor) de identificación durante el proceso de inicio de sesión. La MFA ayuda a protegerse frente a las contraseñas en riesgo en situaciones en las que la contraseña se vio comprometida, pero el segundo factor no. En la autenticación de un solo factor, los atacantes solo necesitarían el nombre de usuario y la contraseña para autenticarse. La autenticación multifactor se debe habilitar siempre que sea posible, ya que aporta enormes ventajas a la seguridad.

Acceso sin contraseña.

Microsoft Azure global y Azure Government ofrecen las siguientes tres opciones de autenticación sin contraseña que se integran con Microsoft Entra ID:

  • Windows Hello para empresas. La información biométrica y las credenciales de PIN están vinculadas directamente al equipo del usuario, lo que impide el acceso de cualquier persona que no sea el propietario. 
  • Aplicación Microsoft Authenticator. Permite que el teléfono del empleado se convierta en un método de autenticación sin contraseña
  • Claves de seguridad FIDO2. Permite a los usuarios iniciar sesión en sus recursos sin un nombre de usuario o una contraseña mediante una clave de seguridad externa.  Estas llaves de seguridad de FIDO2 suelen ser dispositivos USB, pero también pueden usar Bluetooth o NFC.

Descripción de identidades externas de Azure

Microsoft Entra External ID hace referencia a todas las formas en las que puede interactuar de forma segura con usuarios fuera de su organización. 

Descripción del acceso condicional de Azure

El acceso condicional es una herramienta que usa Microsoft Entra ID para permitir (o denegar) el acceso a los recursos en función de señales de identidad. Estas señales incluyen quién es el usuario, dónde se encuentra y desde qué dispositivo solicita el acceso.

Durante el inicio de sesión, el acceso condicional recopila señales del usuario, toma decisiones basadas en esas señales y, después, aplica esa decisión para permitir o denegar la solicitud de acceso, o bien exigir una respuesta de autenticación multifactor.

Por ejemplo, si el usuario inicia sesión desde una ubicación inusual o una ubicación marcada como de alto riesgo, el acceso puede bloquearse por completo, o bien podría concederse después de que el usuario proporcione una segunda forma de autenticación.

Descripción del control de acceso basado en roles de Azure

Azure proporciona roles que describen las reglas de acceso a los recursos en la nube. 

Cada rol tiene un conjunto asociado de permisos de acceso que tienen que ver con ese rol. Cuando se asignan usuarios o grupos a uno o varios roles, reciben todos los permisos de acceso asociados.

¿Cómo se aplica RBAC de Azure?

Resource Manager es un servicio de administración que proporciona una forma de organizar y proteger nuestros recursos en la nube.

Descripción del modelo de Confianza cero

Confianza cero es un modelo de seguridad que supone el peor de los escenarios posibles y protege los recursos con esa expectativa. Confianza cero presupone que hay una vulneración y comprueba todas las solicitudes como si provinieran de una red no controlada.

Descripción de defensa en profundidad

El objetivo de la defensa en profundidad es proteger la información y evitar que personas no autorizadas a acceder puedan sustraerla.

Aquí tiene una breve descripción del rol de cada capa:

  • La capa de seguridad física. La protección física del acceso a los edificios y el control del acceso al hardware de proceso del centro de datos son la primera línea de defensa.
  • La capa de identidad y acceso controla el acceso a la infraestructura y al control de cambios.
  • La capa perimetral usa protección frente a ataques de denegación de servicio distribuido (DDoS) para filtrar los ataques a gran escala antes de que puedan causar una denegación de servicio para los usuarios.
  • La capa de red limita la comunicación entre los recursos a través de controles de acceso y segmentación.
  • La capa de proceso protege el acceso a las máquinas virtuales.
  • La capa de aplicación ayuda a garantizar que las aplicaciones sean seguras y estén libres de vulnerabilidades de seguridad.
  • La capa de datos controla el acceso a los datos empresariales y de clientes que es necesario proteger.

Descripción de Microsoft Defender for Cloud

Defender for Cloud proporciona las herramientas necesarias para proteger los recursos, realizar un seguimiento de su posición de seguridad, protegerse frente a ciberataques y simplificar la administración de la seguridad. La implementación de Defender for Cloud es fácil, ya está integrada de forma nativa en Azure.

Gastos

Los tenemos de dos tipos.

  • De capital. Suelen ser un gasto por adelantado único para comprar o proteger recursos tangibles. Un edificio nuevo, volver a pavimentar el aparcamiento, crear un centro de datos o comprar un coche de empresa son ejemplos de gastos de capital.
  • Operativos. Consiste en gastar dinero en servicios o productos a lo largo del tiempo. Ejemplos: alquilar un centro de convenciones o un vehículo de empresa, suscribirse a servicios en la nube son ejemplos de gastos operativos.

La informática en la nube se centra en los gastos operativos. El cliente no paga por la infraestructura física, la electricidad, la seguridad ni nada más asociado al mantenimiento de un centro de datos. En lugar de eso, paga por los recursos de TI que usa.

Este modelo basado en el consumo aporta muchas ventajas, por ejemplo:

  • Sin costes por adelantado.
  • No es necesario comprar ni administrar infraestructuras costosas que es posible que los usuarios no aprovechen todo su potencial.
  • Se puede pagar para obtener más recursos cuando se necesiten.
  • Se puede dejar de pagar por los recursos que ya no se necesiten.

La informática en la nube es la prestación de servicios informáticos a través de Internet mediante un modelo de precios de pago por uso. Normalmente solo se paga por los servicios en la nube que se usan.

Los recursos de la nube se pueden tratar igual que los recursos de un centro de datos propio. Pero, a diferencia de en su propio centro de datos, cuando haya terminado de usar recursos en la nube, los devuelve. Únicamente se le cobrará por lo que use.

Ventajas de la nube

Disponibilidad en la nube

Alta disponibilidad

Escalabilidad

Es la capacidad de ajustar los recursos para satisfacer la demanda, de tal forma que sólo paga por lo que usa. 

Escalado vertical

Aumentar o disminuir las capacidades de los recursos.

Permite agregar, por ejemplo, más CPU o RAM a la máquina virtual. 

Escalado horizontal

Aumenta o disminuye el número de recursos.

Permite agregar, por ejemplo, máquinas virtuales o contenedores adicionales.

Confiabilidad

Es la capacidad de un sistema de recuperarse de los errores y seguir funcionando. 

Predicción

La previsibilidad se puede centrar en el rendimiento o los costos. 

Rendimiento

La previsibilidad del rendimiento se centra en predecir los recursos necesarios para ofrecer una experiencia positiva para los clientes. El escalado automático, el equilibrio de carga y la alta disponibilidad son solo algunos de los conceptos de nube que admiten la previsibilidad del rendimiento. Si de repente necesita más recursos, el escalado automático puede implementar recursos adicionales para satisfacer la demanda y, después, reducir horizontalmente cuando disminuya. O bien, si el tráfico se concentra principalmente en un área, el equilibrio de carga ayudará a redirigir parte de la sobrecarga a áreas con menos estrés.

Coste

Con la nube, puede realizar el seguimiento del uso de recursos en tiempo real, supervisar los recursos para asegurarse de que los usa de la manera más eficaz y aplicar análisis de datos para buscar patrones y tendencias que ayuden a planear mejor las implementaciones de recursos. Al operar en la nube y usar el análisis y la información de la nube, puede predecir costos futuros y ajustar los recursos según sea necesario. Incluso puede usar herramientas como las calculadoras de costo total de propiedad (TCO) o de precios para obtener una estimación del posible gasto en la nube.

Gobernanza

Aspectos como las plantillas de conjunto (Azure blueprints) ayudan a garantizar que todos los recursos implementados cumplan los estándares corporativos y los requisitos normativos de gobierno. Además, puede actualizar todos los recursos implementados a nuevos estándares a medida que estos cambien. La auditoría basada en la nube ayuda a marcar cualquier recurso que no cumpla los estándares corporativos y proporciona estrategias de mitigación. En función del modelo operativo, las revisiones de software y las actualizaciones también se pueden aplicar automáticamente, lo que ayuda tanto a la gobernanza como a la seguridad.

Seguridad

Si quiere tener un control máximo de la seguridad, la infraestructura como servicio le proporciona recursos físicos, pero le permite administrar los sistemas operativos y el software instalado, incluidas las revisiones y el mantenimiento. Si quiere que las revisiones y el mantenimiento se administren automáticamente, las implementaciones de plataforma como servicio o software como servicio pueden ser las mejores estrategias en la nube.

Descripción de los factores que pueden afectar a los costos en Azure

Algunos factores:

  • Tipo de recurso
  • Consumo. Es posible pagar por recursos utilizados o comprometerse a utilizar una cantidad mínima de recursos durante un periodo determinado (normalmente 3 años) para recibir descuentos.
  • Mantenimiento.  Por ejemplo, cada vez que se aprovisiona una máquina virtual, también se aprovisionan recursos adicionales, como los de almacenamiento y redes. Si desaprovisiona la máquina virtual, es posible que esos recursos adicionales no se desaprovisionen al mismo tiempo, ya sea de forma intencionada o involuntaria. Al vigilar los recursos y asegurarse de que no mantiene los que ya no son necesarios, puede ayudar a controlar los costos de la nube.
  • Geografía. El costo de la energía, la mano de obra, los impuestos y las tarifas varían en función de la ubicación. Debido a estas variaciones, los recursos de Azure pueden diferir en los costos de implementación en función de la región.
    El tráfico de red también se ve afectado por la geografía. Por ejemplo, es menos costoso mover información dentro de Europa que hacerlo de Europa a Asia o Sudamérica.
  • Tipo de suscripción. Por ejemplo, una suscripción de evaluación gratuita de Azure proporciona acceso a una serie de productos de Azure gratis durante 12 meses.
  • Azure Marketplace. Azure Marketplace le permite comprar soluciones y servicios basados en Azure de proveedores de terceros. Podría tratarse de un servidor con software preinstalado y configurado, o dispositivos de firewall de red administrados, etc.  es posible que no solo pague por los servicios de Azure que usa, sino también por los servicios o la experiencia del proveedor de terceros. El proveedor establece las estructuras de facturación. Todas las soluciones disponibles en Azure Marketplace están certificadas y son compatibles con las directivas y los estándares de Azure. Las directivas de certificación pueden variar en función del tipo de servicio o solución, y del servicio de Azure implicado.

Calculadoras de precios y costo total de propiedad (TCO)

Calculadora de precios

Ver calculadora de precios.

Proporciona un costo estimado para el aprovisionamiento de recursos en Azure. 

Calculadora de TCO

Esta web Compara los costos previstos del entorno actual con un entorno de Azure que admite los mismos requisitos de infraestructura.

Cost Management

Permite:

  • crear alertas basadas en el gasto de recursos.
  • comprobar rápidamente los costos de los recursos de Azure.
  • crear presupuestos que se pueden usar para automatizar la administración de recursos.

Los tres tipos de alertas que pueden aparecer son las siguientes:

  • Alertas de presupuesto. Le envían una notificación cuando el gasto alcanza la cantidad definida en la condición de alerta del presupuesto. Los presupuestos de Cost Management se crean mediante Azure Portal o la API de consumo de Azure. También se envía un correo electrónico de alerta a los usuarios de la lista de destinatarios de alertas del presupuesto.
  • Alertas de crédito. Las alertas de crédito se generan de forma automática al 90 % y al 100 % del saldo de crédito de Azure. Cada vez que se genera una alerta, se refleja en las alertas sobre los costos y en el correo electrónico que se envía a los propietarios de la cuenta.
  • Alertas de cuota de gasto de departamento. Notifican cuándo el gasto del departamento alcanza un umbral de la cuota (por ejemplo, un 50%, 75%, etc.). Las cuotas de gasto se configuran en el portal de EA.

Presupuesto

Un presupuesto es donde se establece un límite de gasto para Azure. Puede establecer presupuestos basados en una suscripción, un grupo de recursos, un tipo de servicio u otros criterios. Al establecer un presupuesto, también establecerá una alerta de presupuesto. Cuando el presupuesto alcanza el nivel de alerta de presupuesto, desencadenará una alerta de presupuesto que se muestra en el área de alertas de costos. Si se configuran, las alertas de presupuesto también enviarán una notificación por correo electrónico de que se ha desencadenado un umbral de alerta de presupuesto.

Un uso más avanzado de los presupuestos permite que las condiciones presupuestarias desencadenen la automatización que suspende o modifica los recursos una vez que se haya producido la condición del desencadenador.

Descripción de las características y herramientas de Azure para la gobernanza y el cumplimiento

Descripción del propósito de Microsoft Purview

Microsoft Purview reúne información sobre los datos locales, multinube y software como servicio.

Soluciones de riesgo y cumplimiento de Microsoft Purview

Microsoft Purview, mediante la administración y supervisión de los datos, puede ayudar a su organización a:

  • Proteger datos confidenciales en nubes, aplicaciones y dispositivos.
  • Identificar los riesgos de datos y administrar los requisitos de cumplimiento normativo.
  • Comenzar a usar el cumplimiento normativo.

Gobernanza unificada de datos

Proporciona una solución unificada de gobernanza de datos que le ayuda a administrar y gobernar los datos:

  • Locales (Azure, SQL, Hive…).
  • De varias nubes (incluso no pertenecientes a Azure, como Amazon S3).
  • De software como servicio (SaaS).

Descripción del propósito de Azure Policy

Azure Policy es un servicio de Azure que permite crear, asignar y administrar directivas que controlan o auditan los recursos. Dichas directivas aplican distintas reglas en las configuraciones de los recursos para que esas configuraciones sigan cumpliendo con los estándares corporativos.

Las directivas de Azure se heredan, por lo que si establece una directiva de nivel alto, se aplicará automáticamente a todas las agrupaciones que se encuentran dentro del elemento primario. Por ejemplo, si establece una directiva de Azure en un grupo de recursos, todos los recursos creados en ese grupo de recursos recibirán automáticamente la misma directiva.

En algunos casos, Azure Policy puede corregir automáticamente los recursos y configuraciones no conformes para garantizar la integridad del estado de los recursos. Por ejemplo, si todos los recursos de un determinado grupo de recursos deben etiquetarse con la etiqueta AppName y un valor de «SpecialOrders», Azure Policy aplicará automáticamente esa etiqueta si se ha quitado. Sin embargo, sigue conservando el control total del entorno. Si tiene un recurso específico que no desea que Azure Policy corrija automáticamente, puede marcar ese recurso como una excepción y la directiva no corregirá automáticamente ese recurso.

Una iniciativa de Azure Policy es una forma de agrupar las directivas relacionadas. 

Portal de confianza

Es una web con información sobre los procesos de seguridad, privacidad, normativa de Microsoft.

Herramientas para interactuar con Azure

Azure Portal

Azure Portal es una consola unificada basada en web que proporciona una alternativa a las herramientas de línea de comandos. Con Azure Portal, puedes administrar la suscripción de Azure mediante una interfaz gráfica de usuario.

Ir a Azure Portal.

Azure 4

Azure Cloud Shell

Es una herramienta de Shell basada en explorador que permite crear, configurar y administrar recursos de Azure mediante un Shell. Azure Cloud Shell admite tanto Azure PowerShell como la interfaz de la línea de comandos (CLI) de Azure, que es un Shell de Bash. Podemos elegir una de estas dos shells:

  • Azure PowerShell. es un Shell que permite a los desarrolladores y a los profesionales de TI y DevOps ejecutar comandos denominados command-lets (cmdlets). Estos comandos llaman a la API de REST de Azure para realizar las tareas de administración en Azure.
  • Interfaz de la línea de comandos (CLI) de Azure. Es funcionalmente equivalente a Azure PowerShell, y la diferencia principal es la sintaxis de los comandos. Azure PowerShell usa comandos de PowerShell y la CLI de Azure usa comandos de Bash.

Azure Arc

Gestiona las nubes públicas, privadas, híbridas o múltiples.

¿Qué puede hacer Azure Arc fuera de Azure?

  • Servidores
  • Clústeres de Kubernetes
  • Servicios de datos de Azure
  • SQL Server
  • Máquinas virtuales (versión preliminar)

Azure Resource Manager (ARM)

Permite crear, actualizar y eliminar recursos de la cuenta de Azure.

Bicep

Bicep es un lenguaje que usa sintaxis declarativa para implementar recursos de Azure. Aunque es similar a una plantilla de ARM, que está escrita en JSON, los archivos de Bicep tienden a usar un estilo más sencillo y conciso.

Azure Advisor

Azure Advisor evalúa los recursos de Azure y hace recomendaciones para optimizarlos.

Azure Service Health

Le permite realizar un seguimiento de los recursos de Azure. Lo hace combinando tres servicios de Azure diferentes:

  • Estado de Azure es una visión general del estado de Azure.Informa de las interrupciones de servicio, etc.
  • Service Health se centra en los servicios y regiones de Azure que usa. Es el mejor lugar para buscar comunicaciones que afecten a los servicios relativas a interrupciones, actividades de mantenimiento planeado y otros avisos de mantenimiento.
  • Resource Health es una vista personalizada de los recursos reales de Azure. Permite configurar alertas que le notifiquen los cambios de disponibilidad de los recursos en la nube.

Azure Monitor

Azure Monitor es una plataforma para recopilar datos sobre los recursos, analizar esos datos, visualizar la información e incluso actuar en función de los resultados. Azure Monitor puede supervisar los recursos de Azure, los recursos locales e incluso los recursos de varias nubes, como las máquinas virtuales hospedadas con otro proveedor de nube.

Azure Log Analytics

Azure Log Analytics es la herramienta de Azure Portal donde escribirá y ejecutará consultas de registro en los datos recopilados por Azure Monitor. 

Alertas de Azure Monitor

Las alertas de Azure Monitor son una manera automatizada de mantenerse informado cuando Azure Monitor detecta que se cruza un umbral. Establezca las condiciones de alerta, las acciones de notificación y, después, las alertas de Azure Monitor notifican cuándo se desencadena una alerta. En función de la configuración, las alertas de Azure Monitor también pueden intentar realizar acciones correctivas.

Las alertas de Azure Monitor usan grupos de acciones para configurar a quién realizar la notificación y qué acción realizar.

Application Insights

Es una característica de Azure Monitor, supervisa las aplicaciones web. 

Ver preguntas tipo test