Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Oficial
Curso
AZ-104T00
Microsoft Azure
Administrador
AZ-104T00
Administrador de Microsoft Azure
II Descargo de responsabilidad
La información contenida en este documento, incluida la URL y otras referencias a sitios web de Internet, está sujeta a cambios sin
previo aviso. A menos que se indique lo contrario, los ejemplos de empresas, organizaciones, productos, nombres de dominio,
direcciones de correo electrónico, logotipos, personas, lugares y eventos que se describen en este documento son ficticios y no están
asociados con ninguna empresa, organización, producto, nombre de dominio, e- dirección de correo, logotipo, persona, lugar o
evento se pretende o debe inferirse. El cumplimiento de todas las leyes de derechos de autor aplicables es responsabilidad del
usuario. Sin limitar los derechos bajo los derechos de autor, ninguna parte de este documento puede ser reproducida, almacenada o
introducida en un sistema de recuperación, o transmitida en cualquier forma o por cualquier medio (electrónico, mecánico,
fotocopiado, grabación o de otro tipo), o para cualquier propósito, sin el permiso expreso por escrito de Microsoft Corporation.
Microsoft puede tener patentes, solicitudes de patentes, marcas comerciales, derechos de autor u otros derechos de propiedad
intelectual que cubran el tema de este documento. Salvo que se disponga expresamente en cualquier contrato de licencia por
escrito de Microsoft, el suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas comerciales,
derechos de autor u otra propiedad intelectual.
Los nombres de fabricantes, productos o URL se proporcionan únicamente con fines informativos y Microsoft
no ofrece declaraciones ni garantías, ya sean expresas, implícitas o legales, con respecto a estos fabricantes o
al uso de los productos con cualquier tecnología de Microsoft. La inclusión de un fabricante o producto no
implica la aprobación por parte de Microsoft del fabricante o producto. Se pueden proporcionar enlaces a
sitios de terceros. Dichos sitios no están bajo el control de Microsoft y Microsoft no es responsable del
contenido de ningún sitio vinculado o de ningún vínculo incluido en un sitio vinculado, ni de ningún cambio o
actualización de dichos sitios. Microsoft no es responsable de la difusión por Internet ni de ninguna otra forma
de transmisión recibida de ningún sitio vinculado. Microsoft le proporciona estos enlaces solo para su
conveniencia,
Microsoft y las marcas comerciales enumeradas en http://www.microsoft.com/trademarks 1 son marcas comerciales del grupo de
empresas Microsoft. El resto de marcas registradas son propiedad de sus respectivos propietarios.
1 http://www.microsoft.com/trademarks
EULA III
Estos términos de licencia son un acuerdo entre Microsoft Corporation (o según su lugar de residencia, una de sus filiales) y
usted. Por favor léalos. Se aplican a su uso del contenido que acompaña a este acuerdo, que incluye los medios en los que lo
recibió, si corresponde. Estos términos de licencia también se aplican al Contenido del capacitador y cualquier actualización y
suplemento del Contenido con licencia, a menos que otros términos acompañen a esos elementos. si es así, se aplican esas
condiciones.
AL ACCEDER, DESCARGAR O UTILIZAR EL CONTENIDO CON LICENCIA, USTED ACEPTA ESTOS TÉRMINOS.
SI NO LOS ACEPTA, NO ACCEDA, DESCARGUE NI USE EL CONTENIDO LICENCIADO.
Si cumple con estos términos de licencia, tiene los siguientes derechos para cada licencia que adquiera.
1. DEFINICIONES.
1. “Centro de aprendizaje autorizado” significa un miembro del programa Microsoft Imagine Academy (MSIA), un miembro de
la competencia de aprendizaje de Microsoft o cualquier otra entidad que Microsoft pueda designar de vez en cuando.
2. “Sesión de formación autorizada” se refiere a la clase de formación dirigida por un instructor que utiliza el material didáctico
dirigido por un instructor de Microsoft impartida por un instructor en oa través de un Centro de aprendizaje autorizado.
3. “Dispositivo para el aula” significa una (1) computadora dedicada y segura que posee o controla un Centro de aprendizaje autorizado
que se encuentra en las instalaciones de capacitación de un Centro de aprendizaje autorizado que cumple o excede el nivel de
hardware especificado para el Material didáctico dirigido por un instructor de Microsoft en particular.
4. "Usuario final" significa una persona que (i) está debidamente inscrita y asiste a una sesión de capacitación
autorizada o una sesión de capacitación privada, (ii) un empleado de un miembro de MPN (definido a continuación)
o (iii) un empleado de tiempo completo de Microsoft , miembro del programa Microsoft Imagine Academy (MSIA) o
Microsoft Learn for Educators - Educador validado.
5. “Contenido con licencia” hace referencia al contenido que acompaña a este acuerdo, que puede incluir el material didáctico
6. “Entrenador certificado de Microsoft” o “MCT” significa una persona que (i) está contratada para impartir una sesión de
formación a los Usuarios finales en nombre de un Centro de aprendizaje autorizado o Miembro de MPN, y (ii) actualmente
certificado como Entrenador certificado de Microsoft bajo el Programa de Certificación de Microsoft.
7. “Material didáctico dirigido por un instructor de Microsoft” se refiere al curso de capacitación dirigido por un instructor de la marca
Microsoft que educa a los profesionales de TI, desarrolladores, estudiantes de una institución académica y otros estudiantes sobre las
tecnologías de Microsoft. Un título de material didáctico dirigido por un instructor de Microsoft puede tener la marca de material
8. “Miembro del programa Microsoft Imagine Academy (MSIA)” hace referencia a un miembro activo del programa
Microsoft Imagine Academy.
9. “Microsoft Learn for Educators - Educador validado” significa un educador que ha sido validado a través del
programa Microsoft Learn for Educators como educador activo en un colegio, universidad, colegio
comunitario, escuela politécnica o institución K-12.
10. “Miembro de la Competencia de Aprendizaje de Microsoft” significa un miembro activo del programa Microsoft
Partner Network en regla que actualmente tiene el estado de Competencia de Aprendizaje.
11. “MOC” significa el software de curso dirigido por un instructor del “Producto de aprendizaje oficial de Microsoft” conocido como
Curso oficial de Microsoft que educa a los profesionales de TI, desarrolladores, estudiantes de una institución académica y
12. “Miembro de MPN” significa un miembro activo del programa Microsoft Partner Network y al día.
IV EULA
13. “Dispositivo personal” significa una (1) computadora personal, dispositivo, estación de trabajo u otro dispositivo electrónico digital que
usted posee o controla personalmente y que cumple o excede el nivel de hardware especificado para el Material didáctico dirigido por
14. “Sesión de capacitación privada” se refiere a las clases de capacitación impartidas por un instructor que brindan los miembros
de MPN para que los clientes corporativos enseñen un objetivo de aprendizaje predefinido mediante el software de cursos
dirigido por un instructor de Microsoft. Estas clases no se anuncian ni promocionan al público en general y la asistencia a las
clases está restringida a personas empleadas o contratadas por el cliente corporativo.
15. "Instructor" significa (i) un educador acreditado académicamente contratado por un miembro del programa Microsoft
Imagine Academy para impartir una sesión de capacitación autorizada, (ii) un educador acreditado académicamente
validado como un educador validado de Microsoft Learn for Educators, y / o ( iii) un MCT.
16. “Contenido del capacitador” hace referencia a la versión del capacitador del Material didáctico dirigido por un instructor de Microsoft y el contenido
complementario adicional designado únicamente para el uso de los capacitadores para impartir una sesión de capacitación utilizando el Material
didáctico dirigido por un instructor de Microsoft. El contenido del capacitador puede incluir presentaciones de Microsoft PowerPoint, guía de
preparación del capacitador, materiales de capacitación del capacitador, paquetes de Microsoft One Note, guía de configuración del aula y
formulario de comentarios del curso previo al lanzamiento. Para aclarar, Trainer Content no incluye ningún software, discos duros virtuales o
máquinas virtuales.
2. DERECHOS DE USO. El Contenido con licencia se licencia, no se vende. El Contenido con licencia tiene una licencia uno
copia por usuario, de modo que debe adquirir una licencia para cada individuo que acceda o utilice el Contenido
con licencia.
● 2.1 A continuación se muestran cinco conjuntos separados de derechos de uso. Solo se le aplica un conjunto de derechos.
1. Cada licencia adquirida en su nombre solo se puede utilizar para revisar una (1) copia del Material didáctico dirigido por un
instructor de Microsoft en el formulario que se le proporcionó. Si el material didáctico dirigido por un instructor de Microsoft
está en formato digital, puede instalar una (1) copia en hasta tres (3) dispositivos personales. No puede instalar el material
didáctico dirigido por un instructor de Microsoft en un dispositivo que no sea de su propiedad o que no controle.
2. Por cada licencia que adquiera en nombre de un Usuario final o Instructor, puede:
1. distribuir una (1) versión impresa del Material didáctico dirigido por un instructor de Microsoft a un
(1) Usuario final que esté inscrito en la Sesión de capacitación autorizada, y solo inmediatamente
antes del comienzo de la Sesión de capacitación autorizada que es el tema de la Se proporciona
material didáctico dirigido por un instructor de Microsoft, o
2. proporcionar a un (1) usuario final el código de canje único e instrucciones sobre cómo pueden acceder a
una (1) versión digital del material didáctico dirigido por un instructor de Microsoft, o
3. Proporcionar a un (1) Entrenador el código de canje único e instrucciones sobre cómo pueden acceder
a un (1) Contenido del Entrenador.
1. solo proporcionará acceso al Contenido con licencia a aquellas personas que hayan adquirido una
licencia válida para el Contenido con licencia,
2. se asegurará de que cada Usuario final que asista a una Sesión de capacitación autorizada tenga su propia
copia con licencia válida del Material didáctico dirigido por un instructor de Microsoft que es el tema de la
Sesión de capacitación autorizada,
3. se asegurará de que a cada Usuario final que se le proporcione la versión impresa del Material
didáctico dirigido por un instructor de Microsoft se le presente una copia de este acuerdo y cada
EULA V
El usuario aceptará que su uso del material didáctico dirigido por un instructor de Microsoft estará sujeto
a los términos de este contrato antes de proporcionarle el material didáctico dirigido por un instructor
de Microsoft. Se requerirá que cada individuo indique su aceptación de este acuerdo de una manera que
sea exigible según la ley local antes de acceder al material didáctico dirigido por un instructor de
Microsoft.
4. se asegurará de que cada Instructor que imparta una Sesión de capacitación autorizada tenga su propia copia
con licencia válida del Contenido del capacitador que es el tema de la Sesión de capacitación autorizada,
5. Solo utilizará capacitadores calificados que tengan un conocimiento profundo y experiencia con la
tecnología de Microsoft que es el tema del material didáctico dirigido por un instructor de Microsoft que
se enseña en todas sus sesiones de capacitación autorizadas.
6. Solo brindará un máximo de 15 horas de capacitación por semana por cada Sesión de
capacitación autorizada que use un título MOC, y
7. usted reconoce que los instructores que no sean MCT no tendrán acceso a todos los recursos para capacitadores
del material didáctico dirigido por instructores de Microsoft.
1. Cada licencia adquirida solo se puede utilizar para revisar una (1) copia del material didáctico dirigido por un instructor de
Microsoft en el formulario que se le proporcionó. Si el material del curso dirigido por un instructor de Microsoft está en
formato digital, puede instalar una (1) copia en hasta tres (3) dispositivos personales. No puede instalar el material didáctico
dirigido por un instructor de Microsoft en un dispositivo que no sea de su propiedad o que no controle.
2. Por cada licencia que adquiera en nombre de un Usuario final o MCT, puede:
1. distribuir una (1) versión impresa del Material del curso dirigido por un instructor de Microsoft a
un (1) Usuario final que asista a la Sesión de capacitación autorizada y solo inmediatamente
antes del comienzo de la Sesión de capacitación autorizada que es el tema del Instructor de
Microsoft -Se proporciona material didáctico LED, o
2. proporcionar a un (1) usuario final que asista a la sesión de capacitación autorizada con el código de
canje único e instrucciones sobre cómo puede acceder a una (1) versión digital del material didáctico
dirigido por un instructor de Microsoft, o
3. proporcionará un (1) MCT con el código de canje único e instrucciones sobre cómo pueden
acceder a un (1) Contenido de entrenador.
1. solo proporcionará acceso al Contenido con licencia a aquellas personas que hayan adquirido
una licencia válida para el Contenido con licencia,
2. se asegurará de que cada Usuario final que asista a una Sesión de capacitación autorizada tenga su propia copia
con licencia válida del Material didáctico dirigido por un instructor de Microsoft que es el tema de la Sesión de
capacitación autorizada,
3. se asegurará de que cada Usuario final que reciba una versión impresa del Material didáctico
dirigido por un instructor de Microsoft recibirá una copia de este acuerdo y cada Usuario final
aceptará que su uso del Material didáctico dirigido por un instructor de Microsoft estará sujeto a
los términos de este contrato antes de proporcionarles el material didáctico dirigido por un
instructor de Microsoft. Se requerirá que cada individuo indique su aceptación de este acuerdo de
una manera que sea exigible según la ley local antes de acceder al material didáctico dirigido por
un instructor de Microsoft.
VI EULA
4. se asegurará de que cada MCT que enseñe una Sesión de capacitación autorizada tenga su propia
copia con licencia válida del Contenido del capacitador que es el tema de la Sesión de capacitación
autorizada,
5. Solo utilizará MCT calificados que también posean la credencial de certificación de Microsoft
correspondiente que es el tema del título de MOC que se enseña para todas sus Sesiones de
capacitación autorizadas utilizando MOC,
6. solo proporcionará acceso al material didáctico dirigido por un instructor de Microsoft a los usuarios finales,
y
3. Si es miembro de la MPN:
1. Cada licencia adquirida en su nombre solo se puede utilizar para revisar una (1) copia del Material didáctico dirigido por un
instructor de Microsoft en el formulario que se le proporcionó. Si el material didáctico dirigido por un instructor de Microsoft
está en formato digital, puede instalar una (1) copia en hasta tres (3) dispositivos personales. No puede instalar el material
didáctico dirigido por un instructor de Microsoft en un dispositivo que no sea de su propiedad o que no controle.
2. Por cada licencia que adquiera en nombre de un Usuario final o Instructor, puede:
1. distribuir una (1) versión impresa del material didáctico dirigido por un instructor de Microsoft a
un (1) usuario final que asista a la sesión de formación privada, y solo inmediatamente antes del
comienzo de la sesión de formación privada que es el tema del microsoft Se proporciona
material didáctico dirigido por un instructor, o
2. proporcionar a un (1) usuario final que asiste a la sesión de capacitación privada el código de canje
único y las instrucciones sobre cómo pueden acceder a una (1) versión digital del material didáctico
dirigido por un instructor de Microsoft, o
3. usted proporcionará a un (1) Instructor que imparte la Sesión de capacitación privada con el código
de canje único e instrucciones sobre cómo pueden acceder a un (1) Contenido de entrenador.
1. solo proporcionará acceso al Contenido con licencia a aquellas personas que hayan adquirido una
licencia válida para el Contenido con licencia,
2. se asegurará de que cada Usuario final que asista a una Sesión de capacitación privada tenga su propia copia
con licencia válida del Material didáctico dirigido por un instructor de Microsoft que es el tema de la Sesión de
capacitación privada,
3. se asegurará de que cada Usuario final que reciba una versión impresa del Material didáctico
dirigido por un instructor de Microsoft recibirá una copia de este acuerdo y cada Usuario final
aceptará que su uso del Material didáctico dirigido por un instructor de Microsoft estará sujeto a la
términos de este contrato antes de proporcionarles el material didáctico dirigido por un instructor
de Microsoft. Se requerirá que cada individuo indique su aceptación de este acuerdo de una
manera que sea exigible según la ley local antes de acceder al material didáctico dirigido por un
instructor de Microsoft.
4. se asegurará de que cada entrenador que imparta una sesión de capacitación privada tenga su propia copia con
licencia válida del contenido del capacitador que es el tema de la sesión de capacitación privada,
EULA VII
5. Solo utilizará instructores calificados que posean la credencial de certificación de Microsoft correspondiente
que es el tema del material didáctico dirigido por instructores de Microsoft que se imparte en todas sus
sesiones de capacitación privada.
6. Solo utilizará MCT calificados que posean la credencial de certificación de Microsoft correspondiente que
es el tema del título de MOC que se imparte para todas sus Sesiones de capacitación privadas utilizando
MOC,
7. solo proporcionará acceso al material didáctico dirigido por un instructor de Microsoft a los usuarios finales,
y
4. Si es un usuario final:
Por cada licencia que adquiera, puede utilizar el material didáctico dirigido por un instructor de Microsoft únicamente para su uso
personal de formación. Si el material didáctico dirigido por un instructor de Microsoft está en formato digital, puede acceder al
material didáctico dirigido por un instructor de Microsoft en línea utilizando el código de canje único que le proporcionó el
proveedor de formación e instalar y utilizar una (1) copia del material didáctico dirigido por un instructor de Microsoft. en hasta
tres (3) dispositivos personales. También puede imprimir una (1) copia del material didáctico dirigido por un instructor de
Microsoft. No puede instalar el material didáctico dirigido por un instructor de Microsoft en un dispositivo que no sea de su
5. Si eres Entrenador.
1. Por cada licencia que adquiera, puede instalar y usar una (1) copia del Contenido del capacitador en el formulario que
se le proporcionó en un (1) Dispositivo personal únicamente para preparar y entregar una Sesión de capacitación
autorizada o una Sesión de capacitación privada, y instale una (1) copia adicional en otro Dispositivo personal como
copia de respaldo, que puede usarse solo para reinstalar el Contenido del entrenador. No puede instalar ni utilizar
una copia del Contenido del entrenador en un dispositivo que no sea de su propiedad o que no controle. También
puede imprimir una (1) copia del contenido del capacitador únicamente para preparar y realizar una sesión de
capacitación autorizada o una sesión de capacitación privada.
2. Si es un MCT, puede personalizar las partes escritas del Contenido del capacitador que están
lógicamente asociadas con la instrucción de una sesión de capacitación de acuerdo con la versión más
reciente del acuerdo MCT.
3. Si elige ejercer los derechos anteriores, acepta cumplir con lo siguiente: (i) las personalizaciones solo se
pueden usar para enseñar Sesiones de capacitación autorizadas y Sesiones de capacitación privadas, y (ii)
todas las personalizaciones cumplirán con este acuerdo. Para mayor claridad, cualquier uso de "personalizar"
se refiere solo a cambiar el orden de las diapositivas y el contenido, y / o no usar todas las diapositivas o el
contenido, no significa cambiar o modificar ninguna diapositiva o contenido.
● 2.2 Separación de componentes. El Contenido con licencia se licencia como una sola unidad y usted
no puede separar sus componentes e instalarlos en diferentes dispositivos.
● 2.3 Redistribución de contenido con licencia. Salvo que se indique expresamente en los derechos
de uso anteriores, no puede distribuir ningún Contenido con licencia ni ninguna parte del mismo (incluidas
las modificaciones permitidas) a terceros sin el permiso expreso por escrito de Microsoft.
● 2.4 Avisos de terceros. El Contenido con licencia puede incluir código de terceros que Microsoft,
no el tercero, le otorga bajo la licencia de este acuerdo. Los avisos, si los hubiera, para el código de terceros
se incluyen solo para su información.
● 2.5 Terminos adicionales. Parte del Contenido con licencia puede contener componentes con términos,
condiciones y licencias adicionales con respecto a su uso. Cualquier término no conflictivo en esas condiciones y
licencias también se aplica a su uso de ese componente respectivo y complementa los términos descritos en este
acuerdo.
VIII EULA
3. CONTENIDO CON LICENCIA BASADO EN TECNOLOGÍA PREVIA AL LANZAMIENTO. Si el tema del Contenido con licencia
el asunto se basa en una versión preliminar de la tecnología de Microsoft (" Prelanzamiento ”), Además de las demás
disposiciones de este contrato, también se aplican estos términos:
1. Contenido con licencia previo al lanzamiento. Este tema del Contenido con licencia se encuentra en la versión preliminar
versión de la tecnología de Microsoft. Es posible que la tecnología no funcione de la forma en que lo hará una versión
final de la tecnología y es posible que cambiemos la tecnología para la versión final. Es posible que tampoco
lancemos una versión final. El Contenido con licencia basado en la versión final de la tecnología puede no contener la
misma información que el Contenido con licencia basado en la versión preliminar. Microsoft no tiene la obligación de
proporcionarle ningún contenido adicional, incluido el Contenido con licencia basado en la versión final de la
tecnología.
2. Realimentación. Si acepta enviar comentarios sobre el Contenido con licencia a Microsoft, ya sea directamente o a
través de un tercero designado, le otorga a Microsoft sin cargo el derecho a usar, compartir y comercializar sus
comentarios de cualquier manera y para cualquier propósito. También otorga a terceros, sin cargo, los derechos de
patente necesarios para que sus productos, tecnologías y servicios utilicen o interactúen con partes específicas de
una tecnología de Microsoft, un producto de Microsoft o un servicio que incluya los comentarios. No proporcionará
comentarios que estén sujetos a una licencia que requiera que Microsof otorgue licencias de su tecnología,
tecnologías o productos a terceros porque incluimos sus comentarios en ellos. Estos derechos sobreviven a este
acuerdo.
3. Término de prelanzamiento. Si es miembro del programa Microsoft Imagine Academy, miembro de la competencia
de aprendizaje de Microsoft, miembro de MPN, Microsoft Learn for Educators - educador validado o capacitador,
dejará de usar todas las copias del contenido con licencia en la tecnología de prelanzamiento en (i ) la fecha en la que
Microsoft le informa es la fecha de finalización para el uso del Contenido con licencia en la tecnología previa al
lanzamiento, o (ii) sesenta (60) días después del lanzamiento comercial de la tecnología que es objeto del Contenido
con licencia, lo que ocurra más temprano (" Plazo de prelanzamiento ”). Una vez que expire o termine el período de
prelanzamiento, eliminará y destruirá irremediablemente todas las copias del Contenido con licencia que tenga o
esté bajo su control.
4. ALCANCE DE LA LICENCIA. El Contenido con licencia se licencia, no se vende. Este acuerdo solo le otorga algunos
derechos para utilizar el Contenido con licencia. Microsoft se reserva todos los demás derechos. A menos que la ley
aplicable le otorgue más derechos a pesar de esta limitación, puede usar el Contenido con licencia solo según lo
expresamente permitido en este acuerdo. Al hacerlo, debe cumplir con las limitaciones técnicas en el Contenido con
licencia que solo le permite usarlo de ciertas maneras. Salvo lo expresamente permitido en este acuerdo, no podrá:
● acceder o permitir que cualquier persona acceda al Contenido con licencia si no ha adquirido una licencia
válida para el Contenido con licencia,
● alterar, eliminar u ocultar los derechos de autor u otros avisos de protección (incluidas las marcas de agua), marcas
o identificaciones incluidas en el Contenido con licencia,
● mostrar públicamente o hacer que el Contenido con licencia esté disponible para que otros accedan o usen,
● copiar, imprimir, instalar, vender, publicar, transmitir, prestar, adaptar, reutilizar, vincular o publicar, poner a
disposición o distribuir el Contenido con licencia a cualquier tercero,
● aplicar ingeniería inversa, descompilar, eliminar o frustrar cualquier protección o desensamblar el Contenido con
licencia, excepto y solo en la medida en que la ley aplicable lo permita expresamente, a pesar de esta limitación.
5. RESERVA DE DERECHOS Y PROPIEDAD. Microsoft se reserva todos los derechos que no se le otorguen expresamente en
este contrato. El Contenido con licencia está protegido por derechos de autor y otra propiedad intelectual.
EULA IX
leyes y tratados. Microsoft o sus proveedores poseen el título, los derechos de autor y otros derechos de propiedad
intelectual del Contenido con licencia.
6. RESTRICCIONES DE EXPORTACIÓN. El Contenido con licencia está sujeto a las leyes y regulaciones de exportación de los
Estados Unidos. Debe cumplir con todas las leyes y regulaciones de exportación nacionales e internacionales que se aplican al
Contenido con licencia. Estas leyes incluyen restricciones sobre destinos, usuarios finales y uso final. Para obtener información
adicional, visite www.microsoft.com/exporting.
7. SERVICIOS DE APOYO. Debido a que el Contenido con licencia se proporciona "tal cual", no estamos obligados a
brindarle servicios de soporte.
8. TERMINACIÓN. Sin perjuicio de cualquier otro derecho, Microsoft puede rescindir este acuerdo si no
cumple con los términos y condiciones de este acuerdo. Tras la rescisión de este acuerdo por cualquier
motivo, dejará inmediatamente de usar y eliminará y destruirá todas las copias del Contenido con licencia
en su posesión o bajo su control.
9. ENLACES A SITIOS DE TERCEROS. Puede vincular a sitios de terceros mediante el uso del Contenido con licencia.
Los sitios de terceros no están bajo el control de Microsoft, y Microsoft no es responsable del contenido de los
sitios de terceros, de los enlaces contenidos en los sitios de terceros o de los cambios o actualizaciones de los
sitios de terceros. Microsoft no es responsable de la difusión por Internet ni de ninguna otra forma de
transmisión recibida de sitios de terceros. Microsoft le proporciona estos vínculos a sitios de terceros solo para su
conveniencia, y la inclusión de cualquier vínculo no implica un respaldo por parte de Microsoft del sitio de
terceros.
10. ACUERDO COMPLETO. Este acuerdo y cualquier término adicional para el Contenido del capacitador, actualizaciones y
Los suplementos son el acuerdo completo para el Contenido con licencia, las actualizaciones y los suplementos.
1. Estados Unidos. Si adquirió el Contenido con licencia en los Estados Unidos, la ley del estado de Washington rige la
interpretación de este acuerdo y se aplica a las reclamaciones por incumplimiento, independientemente de los principios
de conflicto de leyes. Las leyes del estado donde vive rigen todos los demás reclamos, incluidos los reclamos bajo las leyes
estatales de protección al consumidor, las leyes de competencia desleal y los casos de agravio.
2. Fuera de Estados Unidos. Si adquirió el Contenido con licencia en cualquier otro país, se aplicarán las leyes
de ese país.
12. EFECTO LEGAL. Este acuerdo, describe ciertos derechos legales. Es posible que tenga otros derechos en virtud de la
leyes de su país. También puede tener derechos con respecto a la parte de la que adquirió el Contenido
con licencia. Este acuerdo no cambia sus derechos bajo las leyes de su país si las leyes de su país no lo
permiten.
13. RENUNCIA DE GARANTÍA. EL CONTENIDO LICENCIADO TIENE LICENCIA "TAL CUAL" Y "SEGÚN DISPONIBILIDAD.
BLE. "USTED ASUME EL RIESGO DE USARLO. MICROSOFT Y SUS RESPECTIVAS FILIALES NO OFRECEN
GARANTÍAS, GARANTÍAS O CONDICIONES EXPRESAS. ES POSIBLE QUE TENGA DERECHOS ADICIONALES
DE CONSUMIDOR BAJO SUS LEYES LOCALES QUE ESTE ACUERDO NO PUEDE CAMBIAR. LAS LEYES
LOCALES, MICROSOFT Y SUS RESPECTIVAS FILIALES EXCLUYEN CUALQUIER GARANTÍA IMPLÍCITA DE
COMERCIABILIDAD, APTITUD PARA UN PROPÓSITO PARTICULAR Y NO INFRACCIÓN.
● todo lo relacionado con el Contenido con licencia, los servicios, el contenido (incluido el código) en sitios de Internet de
terceros o programas de terceros; y
● reclamos por incumplimiento de contrato, incumplimiento de garantía, garantía o condición, responsabilidad estricta,
negligencia u otro agravio en la medida permitida por la ley aplicable.
También se aplica incluso si Microsoft sabía o debería haber sabido sobre la posibilidad de los daños. Es posible que la
limitación o exclusión anterior no se aplique a usted porque es posible que su país no permita la exclusión o limitación
de daños incidentales, consecuentes o de otro tipo.
Tenga en cuenta: Dado que este Contenido con licencia se distribuye en Quebec, Canadá, algunas de las cláusulas de este
acuerdo se proporcionan a continuación en francés.
Comentario: Ce le contenu sous license étant distribué au Québec, Canadá, certaines des clauses
dans ce contrat sont fournies ci-dessous en français.
EXONÉRACIÓN DE GARANTIE. Le contenu sous license visé par une license est offert «tel quel». Toda la
utilización de ce contenu sous license est à votre seule risque et péril. Microsoft n'accorde aucune autre
garantie expresse. Vous pouvez bénéficier de droits addnels en vertu du droit local sur la protection dues
consommateurs, que ce contrat ne peut modifier. La ou elles sont permises par le droit locale, les garanties
implicites de qualité marchande, d'adéquation à un use particulier et d'absence de contrafaçon sont exclues.
● tout ce qui est relié au le contenu sous license, aux services ou au contenu (y el código comprendido)
figurant sur des sites Niveles de Internet o niveles de programas; et.
Elle s'applique également, même si Microsoft connaissait ou devrait connaître l'éventualité d'un tel dommage.
Si votre pays n'autorise pas l'exclusion ou la limitación de responsabilité pour les dommages indirects,
accessoires ou de quelque nature que ce soit, il se peut que la limit ou l'exclusion ci-dessus ne s'appliquera pas
à votre égard .
EFFET JURIDIQUE. Le présent contrat décrit certains droits juridiques. Vous pourriez avoir d'autres droits
prévus par les lois de votre pays. Le présent contrat ne modifie pas les droits que vous confèrent les lois de
votre pays si celles-ci ne le permettent pas.
Empieza aqui
Este curso enseña a los profesionales de TI cómo administrar sus suscripciones de Azure, proteger identidades, administrar
la infraestructura, configurar redes virtuales, conectar Azure y sitios locales, administrar el tráfico de red, implementar
soluciones de almacenamiento, crear y escalar máquinas virtuales, implementar aplicaciones web. y contenedores, haga
copias de seguridad y comparta datos, y supervise su solución.
Nivel: Intermedio
Audiencia
Este curso está dirigido a administradores de Azure. Los administradores de Azure administran los servicios en la nube que abarcan el
almacenamiento, las redes y las capacidades de computación en la nube, con un conocimiento profundo de cada servicio en todo el ciclo de
vida de la TI. Aceptan las solicitudes de los usuarios finales para nuevas aplicaciones en la nube y hacen recomendaciones sobre los servicios
que se deben utilizar para lograr un rendimiento y una escala óptimos, así como el aprovisionamiento, el tamaño, el monitoreo y los ajustes
según corresponda. Este rol requiere comunicarse y coordinarse con los proveedores. Los administradores de Azure usan Azure Portal y, a
medida que se vuelven más competentes, usan PowerShell y la interfaz de línea de comandos.
Prerrequisitos
Los administradores de Azure exitosos comienzan este rol con experiencia en virtualización, redes, identidad y
almacenamiento.
● Comprender las tecnologías de virtualización locales, que incluyen: máquinas virtuales, redes virtuales y discos duros
virtuales.
● Comprender las configuraciones de red, incluido TCP / IP, sistema de nombres de dominio (DNS), redes privadas
virtuales (VPN), firewalls y tecnologías de encriptación.
● Comprensión de los conceptos de Active Directory, incluidos usuarios, grupos y control de acceso basado en roles.
● Comprender la resiliencia y la recuperación ante desastres, incluidas las operaciones de copia de seguridad y restauración.
2 Módulo 0 Empiece aquí
Puede obtener los requisitos previos y una mejor comprensión de Azure tomando AZ-104: Requisitos previos para
administradores de Azure 1 . Esta capacitación en línea gratuita le brindará la experiencia que necesita para tener éxito en
este curso.
Aprendizaje esperado
● Administre Azure mediante las plantillas Resource Manager, Azure Portal, Cloud Shell, Azure PowerShell,
CLI y ARM.
● Configure redes virtuales, incluida la planificación, el direccionamiento IP, Azure DNS, grupos de seguridad de red y
Azure Firewall.
● Configure soluciones de conectividad entre sitios como VNet Peering, puertas de enlace de redes virtuales y conexiones VPN de
sitio a sitio.
● Administre el tráfico de red mediante el enrutamiento de red y los puntos de conexión de servicio, el equilibrador de carga de Azure y
Azure Application Gateway.
● Implemente, administre y proteja las cuentas de almacenamiento de Azure, el almacenamiento de blobs y los archivos de Azure con File
● Administre Azure App Service, Azure Container Instances y Kubernetes. Realice copias de
● Supervise la infraestructura de Azure con Azure Monitor, alertas de Azure, Log Analytics y Network Watcher.
Programa de estudios
El contenido del curso incluye una combinación de contenido, demostraciones, laboratorios prácticos, enlaces de referencia y
Módulo 01 - Identidad
En este módulo, aprenderá a proteger las identidades con Azure Active Directory e implementar usuarios y
grupos. Este módulo incluye:
● Usuarios y grupos
En este módulo, aprenderá a administrar sus suscripciones y cuentas, implementar políticas de Azure y
usar el control de acceso basado en roles. Este módulo incluye:
● Suscripciones y cuentas
● Política de Azure
1 https://docs.microsoft.com/en-us/learn/paths/az-104-administrator-prerequisites/
Empieza aqui 3
En este módulo, aprenderá sobre las herramientas que utiliza un administrador de Azure para administrar su
infraestructura. Esto incluye las plantillas de Azure Portal, Cloud Shell, Azure PowerShell, CLI y Resource Manager.
Este módulo incluye:
● Administrador de recursos
● PowerShell y CLI
En este módulo, aprenderá conceptos básicos de redes virtuales como redes virtuales y subredes,
direccionamiento IP, DNS de Azure, grupos de seguridad de red y Firewall de Azure. Este módulo incluye:
● Redes virtuales
● Direccionamiento IP
● Cortafuegos de Azure
● DNS de Azure
En este módulo, aprenderá acerca de las características de conectividad entre sitios, incluidos VNet Peering, Virtual
Network Gateways y VPN Gateway Connections. Este módulo incluye:
En este módulo, aprenderá acerca de las estrategias de tráfico de red, incluido el enrutamiento de red y los puntos de
conexión de servicio, Azure Load Balancer y Azure Application Gateway. Este módulo incluye:
En este módulo, aprenderá sobre las características básicas de almacenamiento, incluidas las cuentas de almacenamiento, el almacenamiento de blobs, los
archivos de Azure y la sincronización de archivos, la seguridad del almacenamiento y las herramientas de almacenamiento. Este módulo incluye:
● Cuentas de almacenamiento
● Almacenamiento de blobs
● Seguridad de almacenamiento
● Administración de almacenamiento
En este módulo, aprenderá sobre las máquinas virtuales de Azure, incluida la planificación, la creación, la disponibilidad y
las extensiones. Este módulo incluye:
En este módulo, aprenderá a administrar funciones informáticas sin servidor como Azure App Service, Azure
Container Instances y Kubernetes. Este módulo incluye:
● Servicios de contenedores
En este módulo, aprenderá a realizar copias de seguridad de archivos y carpetas, y copias de seguridad de máquinas virtuales. Este
módulo incluye:
Módulo 11 - Monitoreo
En este módulo, aprenderá a monitorear su infraestructura de Azure, incluido Azure Monitor, alertas y
análisis de registros. Este módulo incluye:
● Monitor de Azure
● Alertas de Azure
Empieza aqui 5
● Log Analytics
● Vigilante de la red
El examen incluye cinco áreas de estudio. Los porcentajes indican el peso relativo de cada área en el
examen. Cuanto mayor sea el porcentaje, más preguntas contendrá el examen.
Microsoft Learn
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. También puede buscar contenido adicional que pueda resultarle útil.
Módulo 01 - Identidad
● Crear usuarios y grupos de Azure en Azure Active Directory 3
● Permitir a los usuarios restablecer su contraseña con el restablecimiento de contraseña de autoservicio de Azure Active Directory 7
2 https://www.microsoft.com/en-us/learning/exam-AZ-103.aspx
3 https://docs.microsoft.com/en-us/learn/modules/create-users-and-groups-in-azure-active-directory/
4 https://docs.microsoft.com/en-us/learn/ modules / manage-users-and-groups-in-aad /
5 https://docs.microsoft.com/en-us/learn/modules/secure-azure-resources-with-rbac/ https://docs.microsoft.
6 com / en-us / learn / modules / secure-aad-users-with-mfa /
7 https://docs.microsoft.com/en-us/learn/modules/allow-users-reset-their-password/
8 https://docs.microsoft.com/en-us/learn/modules/secure-app- con-oidc-y-azure-ad /
9 https://docs.microsoft.com/en-us/learn/modules/analyze-costs-create-budgets-azure-cost-management/
6 Módulo 0 Empiece aquí
● Cree roles personalizados para los recursos de Azure con control de acceso basado en roles 13
● Administre el acceso a una suscripción de Azure mediante el control de acceso basado en roles de Azure 14
● Asegure y aísle el acceso a los recursos de Azure mediante el uso de grupos de seguridad de red y puntos de conexión de
servicio 23
10 https://docs.microsoft.com/en-us/learn/modules/predict-costs-and-optimize-spending/
11 https://docs.microsoft.com/en-us/learn/modules/control-and- organizar-con-azure-resource-manager /
12 https://docs.microsoft.com/en-us/learn/modules/intro-to-governance/
13 https://docs.microsoft.com/en-us/learn/modules/create-custom-azure-roles-with-rbac/
14 https://docs.microsoft.com/en-us/learn/modules/manage- suscripción-acceso-azure-rbac /
15 https://docs.microsoft.com/en-us/learn/modules/secure-azure-resources-with-rbac/
https://docs.microsoft.com/en-us/
dieciséis aprender / módulos / tour-azure-portal /
17 https://docs.microsoft.com/en-us/learn/modules/control-and-organize-with-azure-resource-manager/
18 https://docs.microsoft.com/en-us/learn/modules/ build-azure-vm-templates /
19 https://docs.microsoft.com/en-us/learn/modules/automate-azure-tasks-with-powershell/
20 https://docs.microsoft.com/en-us/learn/modules/manage-virtual- máquinas-con-azure-cli /
21 https://docs.microsoft.com/en-us/learn/modules/network-fundamentals/
22 https://docs.microsoft.com/en-us/learn/modules/design- direccionamiento-ip-para-azure /
23 https://docs.microsoft.com/en-us/learn/modules/secure-and-isolate-with-nsg-and-service-endpoints/
24 https://docs.microsoft.com/en-us/learn/ modules / integr-vnets-with-vnet-peering /
25 https://docs.microsoft.com/en-us/learn/modules/connect-on-premises-network-with-vpn-gateway/ https: //
26 docs. microsoft.com/en-us/learn/modules/connect-on-premises-network-with-expressroute/
Empieza aqui 7
● Mejore la escalabilidad y la resistencia de las aplicaciones mediante el uso de Azure Load Balancer 28
● Mejore la disponibilidad de sus servicios y la ubicación de los datos mediante el uso de Azure Traffic Manager 30
● Optimice el rendimiento y los costos del almacenamiento mediante niveles de almacenamiento de blobs 33
● Haga que el almacenamiento de su aplicación sea altamente disponible con almacenamiento con redundancia geográfica de acceso de lectura 34
● Copie y mueva blobs de un contenedor o cuenta de almacenamiento a otro desde la línea de comando
y en el código 35
● Mueva grandes cantidades de datos a la nube con la familia Azure Data Box 36
● Realice una implementación de una aplicación web para probar y revertir mediante el uso de ranuras de implementación de App Service 44
27 https://docs.microsoft.com/en-us/learn/modules/control-network-traffic-flow-with-routes/
28 https://docs.microsoft.com/en-us/learn/modules/improve- app-scalability-resiliency-with-load-balancer /
29 https://docs.microsoft.com/en-us/learn/modules/load-balance-web-traffic-with-application-gateway/ https: //
30 docs. microsoft.com/en-us/learn/modules/distribute-load-with-traffic-manager/
31 https://docs.microsoft.com/en-us/learn/modules/create-azure-storage-account/
32 https://docs.microsoft.com/en-us/learn/modules/secure-azure-storage-account/
33 https://docs.microsoft.com/en-us/learn/modules/optimize-archive-costs- blob-storage /
34 https://docs.microsoft.com/en-us/learn/modules/ha-application-storage-with-grs/
35 https://docs.microsoft.com/en-us/learn/modules/ copy-blobs-from-command-line-and-code /
36 https://docs.microsoft.com/en-us/learn/modules/move-data-with-azure-data-box/ https: // docs.
37 microsoft.com/en-us/learn/modules/monitor-diagnose-and-troubleshoot-azure-storage/
38 https://docs.microsoft.com/en-us/learn/modules/build-app-with-scale- conjuntos /
39 https://docs.microsoft.com/en-us/learn/modules/deploy-vms-from-vhd-templates/
40 https://docs.microsoft.com/en-us/learn/modules/choose-the- almacenamiento-en-disco-derecho-para-carga-de-trabajo-vm /
41 https://docs.microsoft.com/en-us/learn/modules/add-and-size-disks-in-azure-virtual-machines/ https: //
42 docs.microsoft.com/en-us/learn/modules/protect-vm-settings-with-dsc/
43 https://docs.microsoft.com/en-us/learn/modules/host-a-web-app- con-azure-app-service /
44 https://docs.microsoft.com/en-us/learn/modules/stage-deploy-app-service-deployment-slots/
8 Módulo 0 Empiece aquí
● Escale una aplicación web de App Service para satisfacer la demanda de manera eficiente con App Service escalar y escalar
horizontalmente 45
● Cumpla dinámicamente los requisitos cambiantes de rendimiento de las aplicaciones web con reglas de escala automática 46
● Capture y vea los tiempos de carga de la página en su aplicación web de Azure con Application Insights 47
Módulo 11 - Monitoreo
● Analice su infraestructura de Azure mediante los registros de Azure Monitor 54
● Supervise el estado de su máquina virtual de Azure mediante la recopilación y el análisis de datos de diagnóstico 56
● Foros de Azure 58 . Los foros de Azure son muy activos. Puede buscar los hilos para un área de interés específica.
También puede explorar categorías como Azure Storage, Pricing and Billing, Azure Virtual Machines y Azure
Migrate.
● Blog de la comunidad de aprendizaje de Microsoft 59 . Obtenga la información más reciente sobre las pruebas de certificación y los grupos de
estudio de exámenes.
● Canal 9 60 . Channel 9 ofrece una gran cantidad de videos, programas y eventos informativos.
45 https://docs.microsoft.com/en-us/learn/modules/app-service-scale-up-scale-out/
46 https://docs.microsoft.com/en-us/learn/modules/app- service-autoscale-rules /
47 https://docs.microsoft.com/en-us/learn/modules/capture-page-load-times-application-insights/
48 https://docs.microsoft.com/en-us/ learn / modules / run-docker-with-azure-container-instances /
49 https://docs.microsoft.com/en-us/learn/modules/intro-to-azure-kubernetes-service/ https: // docs.
50 microsoft.com/en-us/learn/modules/protect-virtual-machines-with-azure-backup/
51 https://docs.microsoft.com/en-us/learn/modules/backup-restore-azure-sql/
52 https://docs.microsoft.com/en-us/learn/modules/protect-infrastructure-with-site-recovery/
53 https://docs.microsoft.com/en-us/learn/modules/protect-on- premisa-infraestructura-con-azure-site-recovery /
54 https://docs.microsoft.com/en-us/learn/modules/analyze-infrastructure-with-azure-monitor-logs/ https://docs.microsoft.
55 com / en-us / learn / modules / incidente-respuesta-con-alerta-en-azure /
56 https://docs.microsoft.com/en-us/learn/modules/monitor-azure-vm-using-diagnostic- data /
57 https://docs.microsoft.com/en-us/learn/modules/monitor-diagnose-and-troubleshoot-azure-storage/
58 https://social.msdn.microsoft.com/Forums/en-US/ home? category = windowsazureplatform
59 https://www.microsoft.com/en-us/learning/community-blog.aspx
60 https://channel9.msdn.com/
Empieza aqui 9
● Azure Tuesday con Corey 61 . Corey Sanders responde a sus preguntas sobre Microsoft Azure: máquinas virtuales, sitios
web, servicios móviles, desarrollo / pruebas, etc.
● Viernes azur 62 . Únase a Scott Hanselman mientras se relaciona personalmente con los ingenieros que crean los servicios que impulsan
Microsoft Azure, mientras hacen demostraciones de las capacidades, responden las preguntas de Scott y comparten sus conocimientos.
● Blog de Microsoft Azure 63 . Manténgase actualizado sobre lo que está sucediendo en Azure, incluido lo que ahora está en versión preliminar, disponible
● Documentación de Azure 64 . Manténgase informado sobre los últimos productos, herramientas y funciones. Obtenga
información sobre precios, socios, soporte y soluciones.
61 https://channel9.msdn.com/Shows/Tuesdays-With-Corey/
62 https://channel9.msdn.com/Shows/Azure-Friday
63 https://azure.microsoft.com/en-us/blog/
64 https://docs.microsoft.com/en-us/azure/
Módulo 1 Identidad
Para los desarrolladores de aplicaciones, Azure AD le permite centrarse en la creación de su aplicación al hacer que sea rápida y
sencilla de integrar con una solución de gestión de identidades de clase mundial utilizada por millones de organizaciones en todo
el mundo.
12 Módulo 1 Identidad
Beneficios y caracteristicas
● Inicio de sesión único en cualquier aplicación web local o en la nube. Azure Active Directory proporciona un
inicio de sesión único seguro en aplicaciones locales y en la nube, incluido Microsoft Office 365 y miles de
aplicaciones SaaS como Salesforce, Workday, DocuSign, ServiceNow y Box.
● Funciona con dispositivos iOS, Mac OS X, Android y Windows. Los usuarios pueden iniciar aplicaciones desde un
panel de acceso personalizado basado en la web, una aplicación móvil, Office 365 o portales de empresa personalizados
utilizando sus credenciales de trabajo existentes, y tener la misma experiencia ya sea que trabajen en iOS, Mac OS X,
Android y Windows. dispositivos.
● Proteja las aplicaciones web locales con acceso remoto seguro. Acceda a sus aplicaciones web locales desde
cualquier lugar y protéjalas con autenticación multifactor, políticas de acceso condicional y administración de
acceso basada en grupos. Los usuarios pueden acceder a SaaS y aplicaciones web locales desde el mismo portal.
● Extienda fácilmente Active Directory a la nube. Conecte Active Directory y otros directorios locales a Azure
Active Directory con solo unos pocos clics y mantenga un conjunto coherente de usuarios, grupos, contraseñas y
dispositivos en ambos entornos.
● Proteja aplicaciones y datos confidenciales. Mejore la seguridad del acceso a las aplicaciones con capacidades de protección
de identidad únicas que brindan una vista consolidada de las actividades de inicio de sesión sospechosas y las vulnerabilidades
potenciales. Aproveche los informes de seguridad avanzados, las notificaciones, las recomendaciones de corrección y las políticas
basadas en riesgos para proteger su empresa de las amenazas actuales y futuras.
● Reduzca los costos y mejore la seguridad con capacidades de autoservicio. Delegue tareas importantes como el
restablecimiento de contraseñas y la creación y gestión de grupos a sus empleados. Proporcionar acceso a las aplicaciones de
autoservicio y administración de contraseñas mediante pasos de verificación puede reducir las llamadas al servicio de asistencia y
mejorar la seguridad.
✔ Si es cliente de Office365, Azure o Dynamics CRM Online, es posible que no se dé cuenta de que ya está utilizando
Azure AD. Cada inquilino de Office365, Azure y Dynamics CRM ya es un inquilino de Azure AD. Siempre que lo desee,
puede comenzar a usar ese inquilino para administrar el acceso a miles de otras aplicaciones en la nube con las que
se integra Azure AD.
Conceptos de Azure AD
● Identidad. Algo que pueda autenticarse. Una identidad puede ser un usuario con nombre de usuario y contraseña. Las
identidades también incluyen aplicaciones u otros servidores que pueden requerir autenticación a través de claves secretas o
certificados.
● Cuenta. Una identidad que tiene datos asociados. No puede tener una cuenta sin una identidad.
● Cuenta de Azure AD. Una identidad creada a través de Azure AD u otro servicio en la nube de Microsoft, como Office
365. Las identidades se almacenan en Azure AD y son accesibles para las suscripciones al servicio en la nube de su
organización. Esta cuenta a veces también se denomina cuenta profesional o educativa.
● Suscripción de Azure. Se utiliza para pagar los servicios en la nube de Azure. Puede tener muchas suscripciones y están
vinculadas a una tarjeta de crédito.
● Inquilino de Azure. Una instancia dedicada y confiable de Azure AD que se crea automáticamente cuando su
organización se suscribe a una suscripción de servicio en la nube de Microsoft, como Microsoft Azure, Microsoft Intune
u Office 365. Un inquilino de Azure representa una sola organización.
1 https://docs.microsoft.com/en-us/azure/active-directory/
Azure Active Directory 13
● Directorio de Azure AD. Cada inquilino de Azure tiene un directorio de Azure AD dedicado y de confianza. El directorio de Azure
AD incluye los usuarios, los grupos y las aplicaciones del inquilino y se usa para realizar funciones de administración de identidad
y acceso para los recursos del inquilino.
Azure AD es diferente de AD DS
Aunque Azure AD tiene muchas similitudes con AD DS, también existen muchas diferencias. Es importante darse cuenta de
que usar Azure AD es diferente a implementar un controlador de dominio de Active Directory en una máquina virtual de
Azure y agregarlo a su dominio local. A continuación, se muestran algunas características de Azure AD que lo hacen
diferente.
● Solución de identidad. Azure AD es principalmente una solución de identidad y está diseñado para aplicaciones
basadas en Internet mediante comunicaciones HTTP y HTTPS.
● Consulta de API REST. Dado que Azure AD se basa en HTTP / HTTPS, no se puede consultar a través de LDAP. En su
lugar, Azure AD usa la API REST a través de HTTP y HTTPS.
● Protocolos de comunicación. Dado que Azure AD se basa en HTTP / HTTPS, no usa la autenticación
Kerberos. En su lugar, utiliza protocolos HTTP y HTTPS como SAML, WS-Federation y OpenID Connect para
la autenticación (y OAuth para la autorización).
● Servicios de federación. Azure AD incluye servicios de federación y muchos servicios de terceros (como
Facebook).
● Estructura plana. Los usuarios y grupos de Azure AD se crean en una estructura plana y no hay unidades organizativas
(OU) ni objetos de directiva de grupo (GPO).
✔ Azure AD es un servicio administrado. Solo administra los usuarios, grupos y políticas. Implementar AD DS con
máquinas virtuales usando Azure significa que usted administra la implementación, configuración, máquinas
virtuales, parches y otras tareas de backend.
racionar
Identidad y acceso X X X
Gestión para
Aplicaciones de Office 365
Características premium X X
Identidades híbridas X X
Grupo avanzado X X
Gestión de acceso
ment
Acceso condicional X X
Protección de identidad X
Gobierno de identidad X
ance
Azure Active Directory gratuito. Proporciona administración de usuarios y grupos, sincronización de directorios local,
informes básicos e inicio de sesión único en Azure, Office 365 y muchas aplicaciones SaaS populares.
Aplicaciones de Azure Active Directory Office 365. Esta edición se incluye con O365. Además de las funciones gratuitas, esta
edición proporciona administración de identidad y acceso para aplicaciones de Office 365, incluida la marca, MFA, administración
de acceso de grupo y restablecimiento de contraseña de autoservicio para usuarios de la nube.
Azure Active Directory Premium P1. Además de las funciones gratuitas, P1 también permite que sus usuarios híbridos
accedan a recursos locales y en la nube. También admite administración avanzada, como grupos dinámicos, administración
de grupos de autoservicio, Microsoft Identity Manager (una suite de administración de identidad y acceso local) y
capacidades de escritura diferida en la nube, que permiten el restablecimiento de contraseña de autoservicio para su local
usuarios.
Azure Active Directory Premium P2. Además de las características gratuitas y P1, P2 también ofrece Azure Active Directory Identity
Protection para ayudar a proporcionar acceso condicional basado en el riesgo a sus aplicaciones y datos críticos de la empresa y
Privileged Identity Management para ayudar a descubrir, restringir y monitorear a los administradores y su acceso a los recursos. y
proporcionar acceso justo a tiempo cuando sea necesario.
✔ La Precios de Azure Active Directory 2 La página tiene información detallada sobre lo que se incluye en cada una de
las ediciones. Según la lista de funciones, ¿qué edición necesita su organización?
Unión de Azure AD
Azure Active Directory (Azure AD) permite el inicio de sesión único en dispositivos, aplicaciones y servicios desde cualquier lugar. La
proliferación de dispositivos, incluido Traiga su propio dispositivo (BYOD), permite a los usuarios finales ser productivos donde y cuando sea.
Sin embargo, los administradores de TI deben asegurarse de que los activos corporativos estén protegidos y que los dispositivos cumplan
2 https://azure.microsoft.com/en-us/pricing/details/active-directory
Azure Active Directory 15
Azure AD Join está diseñado para proporcionar acceso a las aplicaciones y recursos de la organización y para simplificar las
implementaciones de Windows de los dispositivos de propiedad del trabajo. AD Join tiene estos beneficios.
● Inicio de sesión único (SSO) a sus aplicaciones y servicios SaaS administrados por Azure. Sus usuarios no tendrán avisos de
autenticación adicionales cuando accedan a los recursos de trabajo. La funcionalidad SSO está disponible incluso cuando los
usuarios no están conectados a la red del dominio.
● Roaming compatible con empresas de la configuración del usuario en los dispositivos unidos. Los usuarios no necesitan conectarse a una
cuenta de Microsoft (por ejemplo, Hotmail) para observar la configuración en todos los dispositivos.
● Acceso a Microsoft Store para empresas utilizando una cuenta de Azure AD. Sus usuarios pueden elegir entre un
inventario de aplicaciones preseleccionadas por la organización.
● Windows Hello soporte para un acceso seguro y conveniente a los recursos laborales.
● Restricción de acceso a aplicaciones de solo dispositivos que cumplen con la política de cumplimiento.
● Acceso perfecto a los recursos locales cuando el dispositivo tiene línea de visión con el controlador de
dominio local.
Opciones de conexión
Para obtener un dispositivo bajo el control de Azure AD, tiene dos opciones:
● Registrarse un dispositivo a Azure AD le permite administrar la identidad de un dispositivo. Cuando se registra un dispositivo, el
registro de dispositivo de Azure AD proporciona al dispositivo una identidad que se usa para autenticar el dispositivo cuando un
usuario inicia sesión en Azure AD. Puede usar la identidad para habilitar o deshabilitar un dispositivo.
● Unión un dispositivo es una extensión para registrar un dispositivo. Esto significa que le brinda todos los beneficios
de registrar un dispositivo y además de esto, también cambia el estado local de un dispositivo. Cambiar el estado
local permite a sus usuarios iniciar sesión en un dispositivo utilizando una cuenta de trabajo o escuela de la
organización en lugar de una cuenta personal.
✔ El registro combinado con una solución de administración de dispositivos móviles (MDM) como Microsoft Intune, proporciona
atributos de dispositivo adicionales en Azure AD. Esto le permite crear reglas de acceso condicional que imponen el acceso desde
los dispositivos para cumplir con sus estándares de seguridad y cumplimiento.
✔ Aunque AD Join está destinado a organizaciones que no tienen una infraestructura de Active Directory de
Windows Server local, se puede utilizar para otros escenarios, como sucursales.
3 https://docs.microsoft.com/en-us/azure/active-directory/device-management-introduction
dieciséis Módulo 1 Identidad
de contraseña de autoservicio ( SSPR) ofrece a los usuarios la posibilidad de pasar por alto el servicio de asistencia técnica y restablecer sus propias contraseñas.
Para configurar el restablecimiento de contraseña de autoservicio, primero debe determinar quién estará habilitado para usar el
restablecimiento de contraseña de autoservicio. Desde su inquilino de Azure AD existente, en el Portal de Azure en Azure Active Directory
En las propiedades de restablecimiento de contraseña hay tres opciones: Ninguna seleccionada, y Todas.
La Seleccionado La opción es útil para crear grupos específicos que tienen habilitado el restablecimiento de contraseña de
autoservicio. La documentación de Azure recomienda crear un grupo específico con fines de prueba o prueba de concepto antes de
implementarlo en un grupo más grande dentro del inquilino de Azure AD. Una vez que esté listo para implementar esta
funcionalidad en todos los usuarios con cuentas en su inquilino de AD, puede cambiar la configuración a Todas.
Métodos de autenticación
Después de habilitar el restablecimiento de contraseña para usuarios y grupos, usted elige la cantidad de métodos de autenticación
necesarios para restablecer una contraseña y la cantidad de métodos de autenticación disponibles para los usuarios.
Se requiere al menos un método de autenticación para restablecer una contraseña, pero es una buena idea tener métodos adicionales
disponibles. Puede elegir entre una notificación por correo electrónico, un mensaje de texto o un código enviado al teléfono móvil o de la
Con respecto a las preguntas de seguridad, estas se pueden configurar para requerir que se registre una cierta cantidad de preguntas
para los usuarios en su inquilino de AD. Además, debe configurar la cantidad de preguntas de seguridad respondidas correctamente
que se requieren para restablecer correctamente la contraseña. Hay una gran cantidad de preguntas de seguridad. Tenga en cuenta
que las preguntas de seguridad pueden ser menos seguras que otros métodos porque algunas personas pueden conocer las
respuestas a las preguntas de otros usuarios.
✔ Las cuentas de administrador de Azure siempre podrán restablecer sus contraseñas, independientemente de la configuración de esta opción.
18 Módulo 1 Identidad
Usuarios y grupos
Cuentas de usuario
Para ver los usuarios de Azure AD, simplemente acceda a la hoja Todos los usuarios.
● Identidades en la nube. Estos usuarios solo existen en Azure AD. Algunos ejemplos son las cuentas de administrador
y los usuarios que administra usted mismo. Su origen es Azure Active Directory o Azure Active Directory externo si el
usuario está definido en otra instancia de Azure AD pero necesita acceso a los recursos de suscripción controlados por
este directorio. Cuando estas cuentas se eliminan del directorio principal, se eliminan.
● Identidades sincronizadas con directorios. Estos usuarios existen en un Active Directory local. Una actividad de
sincronización que se produce a través de Azure AD Connect lleva a estos usuarios a Azure. Su fuente es Windows
Server AD.
● Usuarios invitados. Estos usuarios existen fuera de Azure. Algunos ejemplos son cuentas de otros proveedores de la
nube y cuentas de Microsoft, como una cuenta de Xbox LIVE. Su fuente es Usuario invitado. Este tipo de cuenta es útil
cuando los proveedores o contratistas externos necesitan acceso a sus recursos de Azure. Una vez que su ayuda ya no
sea necesaria, puede eliminar la cuenta y todo su acceso.
Portal de Azure
Puede agregar nuevos usuarios a través del Portal de Azure. Además del nombre y el nombre de usuario, hay
información de perfil como cargo y departamento.
Usuarios y grupos 19
✔ Los usuarios también se pueden agregar a Azure AD a través del Centro de administración de Office 365, la consola de administración
Si va a utilizar un archivo CSV, aquí hay algunas cosas en las que pensar:
● Convenciones de nombres. Establezca o implemente una convención de nomenclatura para nombres de usuario, nombres
para mostrar y alias. Por ejemplo, un nombre de usuario podría constar de apellido, punto, nombre: Smith.John @
contoso.com.
● Contraseñas. Implemente una convención para la contraseña inicial del usuario recién creado. Encuentre una forma para que
los nuevos usuarios reciban su contraseña de forma segura. Los métodos comúnmente utilizados para esto son generar una
contraseña aleatoria y enviarla por correo electrónico al nuevo usuario o su administrador.
1. Utilizar Connect-AzAccount para crear una conexión PowerShell a su directorio Debe conectarse
con una cuenta de administrador que tenga privilegios en su directorio.
20 Módulo 1 Identidad
2. Cree un nuevo perfil de contraseña para los nuevos usuarios. La contraseña para los nuevos usuarios debe ajustarse a las reglas
de complejidad de contraseña que ha establecido para su directorio.
3. Usar Importar-CSV para importar el archivo csv. Deberá especificar la ruta y el nombre de archivo del archivo CSV.
4. Recorra los usuarios en el archivo construyendo los parámetros de usuario requeridos para cada usuario. Por ejemplo,
nombre principal de usuario, nombre para mostrar, nombre de pila, departamento y cargo.
5. Usar New-AzADUser para crear cada usuario. Asegúrese de habilitar cada cuenta.
Cuentas grupales
Azure AD le permite definir dos tipos diferentes de grupos.
● Grupos de seguridad. Estos son los más comunes y se utilizan para administrar el acceso de miembros y computadoras a
recursos compartidos para un grupo de usuarios. Por ejemplo, puede crear un grupo de seguridad para una política de seguridad
específica. Al hacerlo de esta manera, puede otorgar un conjunto de permisos a todos los miembros a la vez, en lugar de tener
que agregar permisos a cada miembro individualmente. Esta opción requiere un administrador de Azure AD.
● Grupos de Office 365. Estos grupos brindan oportunidades de colaboración al brindarles a los miembros acceso a un buzón de
correo compartido, calendario, archivos, sitio de SharePoint y más. Esta opción también le permite dar acceso al grupo a
personas ajenas a su organización. Esta opción está disponible tanto para usuarios como para administradores.
● Asignado. Le permite agregar usuarios específicos para que sean miembros de este grupo y tengan permisos únicos.
● Usuario dinámico. Le permite utilizar reglas de membresía dinámicas para agregar y eliminar miembros automáticamente. Si los
atributos de un miembro cambian, el sistema examina las reglas de su grupo dinámico para el directorio para ver si el miembro
cumple con los requisitos de la regla (se agrega) o ya no cumple con los requisitos de las reglas (se elimina).
● Dispositivo dinámico (solo grupos de seguridad). Le permite usar reglas de grupo dinámico para agregar y quitar dispositivos
automáticamente. Si los atributos de un dispositivo cambian, el sistema examina las reglas de su grupo dinámico para el
directorio para ver si el dispositivo cumple con los requisitos de la regla (se agrega) o ya no cumple con los requisitos de las
reglas (se elimina).
4 https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/users-bulk-add
Usuarios y grupos 21
✔ ¿Ha pensado en qué grupos necesita crear? ¿Asignaría una membresía directamente o
dinámicamente?
Independencia de recursos
● Si crea o elimina un recurso en un inquilino, no tiene ningún impacto en ningún recurso en otro inquilino, con la
excepción parcial de los usuarios externos.
● Si usa uno de sus nombres de dominio con un inquilino, no se puede usar con ningún otro inquilino.
Independencia administrativa
Si un usuario no administrativo del inquilino 'Contoso' crea un inquilino de prueba 'Prueba', entonces:
● De forma predeterminada, el usuario que crea un inquilino se agrega como un usuario externo en ese nuevo inquilino y se le
asigna el rol de administrador global en ese inquilino.
● Los administradores del inquilino 'Contoso' no tienen privilegios administrativos directos para el inquilino 'Prueba', a menos que
un administrador de 'Prueba' les otorgue específicamente estos privilegios. Sin embargo, los administradores de 'Conto- so'
pueden controlar el acceso al inquilino 'Prueba' si controlan la cuenta de usuario que creó 'Prueba'.
● Si agrega / elimina un rol de administrador para un usuario en un inquilino, el cambio no afecta los roles
de administrador que el usuario tiene en otro inquilino.
Independencia de sincronización
Puede configurar cada inquilino de Azure AD de forma independiente para sincronizar los datos desde una única instancia
de:
● La herramienta Azure AD Connect, para sincronizar datos con un solo bosque de AD.
● El conector de inquilino activo de Azure para Forefront Identity Manager, para sincronizar datos con uno o
más bosques locales y / o fuentes de datos que no son de Azure AD.
Para agregar un inquilino de Azure AD en Azure Portal, inicie sesión en Azure Portal con una cuenta que sea un
administrador global de Azure AD y, a la izquierda, seleccione Nuevo.
Nota: A diferencia de otros recursos de Azure, sus inquilinos no son recursos secundarios de una suscripción de Azure. Si su
suscripción de Azure se cancela o caduca, aún puede acceder a sus datos de inquilino mediante Azure PowerShell,
22 Módulo 1 Identidad
la API de Microsoft Graph o el centro de administración de Microsoft 365. También puede asociar otra suscripción al
inquilino.
Nota: Dependiendo de su suscripción, no todas las áreas de la hoja de Active Directory estarán disponibles.
2. Seleccione Nuevo Usuario. Observe la selección para crear un Nuevo usuario invitado.
3. Agregue un nuevo usuario que revise la información: Usuario. Nombre de usuario, grupos, función de directorio, y Información del trabajo.
Get-AzADGroup
Get-AzADUser
Escenario de laboratorio
Para permitir que los usuarios de Contoso se autentiquen mediante Azure AD, se le asignó la tarea de aprovisionar usuarios y cuentas
de grupo. La membresía de los grupos debe actualizarse automáticamente en función de los puestos de trabajo de los usuarios.
También debe crear un inquilino de Azure AD de prueba con una cuenta de usuario de prueba y otorgar permisos limitados a esa
cuenta para los recursos de la suscripción de Contoso Azure.
Objetivos
En este laboratorio, podrá:
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Pregunta de repaso 1
Sus usuarios desean iniciar sesión en dispositivos, aplicaciones y servicios desde cualquier lugar. Quieren iniciar sesión con una cuenta
profesional o educativa de la organización en lugar de una cuenta personal. Debe asegurarse de que los activos corporativos estén protegidos
y que los dispositivos cumplan con los estándares de seguridad y cumplimiento. Específicamente, debe poder habilitar o deshabilitar un
dispositivo. ¿Qué deberías hacer? Seleccione uno.
Pregunta de repaso 2
Identifique tres diferencias de la siguiente lista entre Azure Active Directory (AD) y los Servicios de dominio de
Active Directory (AD DS). Seleccione tres.
Pregunta de repaso 3
Le gustaría agregar un usuario que tenga una cuenta de Microsoft a su suscripción. ¿Qué tipo de cuenta de usuario es esta?
Seleccione uno.
?? Identidad en la nube
?? Usuario invitado
?? Identidad alojada
Pregunta de repaso 4
Está configurando el autoservicio de restablecimiento de contraseña. ¿Cuál de los siguientes no es un método de validación? Seleccione uno.
?? Un servicio de buscapersonas.
Pregunta de repaso 5
Está asignando roles de Azure AD. ¿Qué rol permitirá al usuario administrar todos los grupos en sus inquilinos de
Teams y poder asignar otros roles de administrador? Seleccione uno.
?? Administrador global
?? Administrador de contraseñas
?? Administrador de seguridad
?? Administrador de usuario
26 Módulo 1 Identidad
Estudio adicional
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. Puede buscar módulos adicionales por producto, función o nivel.
● Permitir a los usuarios restablecer su contraseña con el restablecimiento de contraseña de autoservicio de Azure Active Directory 9
5 https://docs.microsoft.com/en-us/learn/modules/create-users-and-groups-in-azure-active-directory/
6 https://docs.microsoft.com/en-us/learn/ modules / manage-users-and-groups-in-aad /
7 https://docs.microsoft.com/en-us/learn/modules/secure-azure-resources-with-rbac/ https://docs.microsoft.
8 com / en-us / learn / modules / secure-aad-users-with-mfa /
9 https://docs.microsoft.com/en-us/learn/modules/allow-users-reset-their-password/
10 https://docs.microsoft.com/en-us/learn/modules/secure-app-with-oidc-and-azure-ad/
Módulo 01 Práctica de laboratorio y revisión 27
Respuestas
Pregunta de repaso 1
Sus usuarios desean iniciar sesión en dispositivos, aplicaciones y servicios desde cualquier lugar. Quieren iniciar sesión con una
cuenta profesional o educativa de la organización en lugar de una cuenta personal. Debe asegurarse de que los activos
corporativos estén protegidos y que los dispositivos cumplan con los estándares de seguridad y cumplimiento. Específicamente,
debe poder habilitar o deshabilitar un dispositivo. ¿Qué deberías hacer? Seleccione uno.
Explicación
Únase al dispositivo a Azure AD. Unirse a un dispositivo es una extensión para registrar un dispositivo. Esto significa que le brinda
todos los beneficios de registrar un dispositivo, como poder habilitar o deshabilitar el dispositivo. Además, también cambia el
estado local de un dispositivo. Cambiar el estado local permite a sus usuarios iniciar sesión en un dispositivo utilizando una cuenta
de trabajo o escuela de la organización en lugar de una cuenta personal.
Pregunta de repaso 2
Identifique tres diferencias de la siguiente lista entre Azure Active Directory (AD) y los Servicios de dominio de Active
Directory (AD DS). Seleccione tres.
Explicación
Aunque la lista no es de ninguna manera concluyente, y puede identificar otros que no figuran en la lista, aquí hay
varias características de Azure AD que lo hacen diferente a AD DS: Azure AD es principalmente una solución de
identidad y está diseñado para aplicaciones basadas en Internet. aplicaciones mediante comunicaciones HTTP y
HTTPS; Debido a que Azure AD se basa en HTTP / HTTPS, no se puede consultar a través de LDAP. En su lugar,
Azure AD usa la API REST a través de HTTP y HTTPS. Dado que Azure AD se basa en HTTP / HTTPS, no usa la
autenticación Kerberos. En su lugar, utiliza protocolos HTTP y HTTPS como SAML, WS-Federation y OpenID
Connect para la autenticación (y OAuth para la autorización). Los usuarios y grupos de Azure AD se crean en una
estructura plana y no hay unidades organizativas (OU) ni objetos de directiva de grupo (GPO). Si bien Azure AD
incluye servicios de federación,
28 Módulo 1 Identidad
Pregunta de repaso 3
Le gustaría agregar un usuario que tenga una cuenta de Microsoft a su suscripción. ¿Qué tipo de cuenta de usuario
es esta? Seleccione uno.
?? Identidad en la nube
■ Usuario invitado
?? Identidad alojada
Explicación
Usuario invitado. Los usuarios invitados son usuarios agregados a Azure AD desde un tercero como Microsoft o Google.
Pregunta de repaso 4
Está configurando el autoservicio de restablecimiento de contraseña. ¿Cuál de los siguientes no es un método de validación? Seleccione
uno.
■ Un servicio de buscapersonas.
Explicación
Un servicio de buscapersonas. Se requiere al menos un método de autenticación para restablecer una contraseña. Las opciones incluyen notificación por correo
electrónico, un mensaje de texto o código enviado al teléfono móvil o de la oficina del usuario, o un conjunto de preguntas de seguridad.
Pregunta de repaso 5
Está asignando roles de Azure AD. ¿Qué rol permitirá al usuario administrar todos los grupos en sus inquilinos de
Teams y poder asignar otros roles de administrador? Seleccione uno.
■ Administrador global
?? Administrador de contraseñas
?? Administrador de seguridad
?? Administrador de usuario
Explicación
Administrador global. Solo el administrador global puede administrar grupos entre inquilinos y asignar otras funciones de
administrador.
Módulo 2 Gobernanza y cumplimiento
Suscripciones y cuentas
Regiones
Microsoft Azure se compone de centros de datos ubicados en todo el mundo. Estos centros de datos están organizados y
disponibles para los usuarios finales por región. A región 1 es un área geográfica del planeta que contiene al menos uno,
pero potencialmente múltiples centros de datos que están muy próximos y conectados en red con una red de baja latencia.
Algunos ejemplos de regiones son Oeste de EE. UU., Centro de Canadá, Europa occidental, Este de Australia, y Japón occidental.
1 https://azure.microsoft.com/en-us/global-infrastructure/regions/
30 Módulo 2 Gobernanza y cumplimiento
● Las regiones brindan a los clientes la flexibilidad y la escala necesarias para acercar las aplicaciones a sus usuarios.
● Regions preserva la residencia de datos y ofrece opciones integrales de cumplimiento y flexibilidad para
los clientes.
● Para la mayoría de los servicios de Azure, cuando implementa un recurso en Azure, elige la región donde desea
que se implemente su recurso.
● Algunos servicios o funciones de máquinas virtuales solo están disponibles en determinadas regiones, como tamaños de máquinas virtuales o tipos
de almacenamiento específicos.
● También hay algunos servicios globales de Azure que no requieren que seleccione una región, como Microsoft
Azure Active Directory, Microsoft Azure Traffic Manager o Azure DNS.
● Cada región de Azure está emparejada con otra región dentro de la misma geografía, y juntas forman un par de regiones.
La excepción es el sur de Brasil, que se empareja con una región fuera de su geografía.
● Aislamiento físico. Cuando es posible, Azure prefiere al menos 300 millas de separación entre centros de datos en un
par regional, aunque esto no es práctico ni posible en todas las geografías. La separación física del centro de datos
reduce la probabilidad de desastres naturales, disturbios civiles, cortes de energía o cortes de la red física que afecten a
ambas regiones a la vez.
Suscripciones y cuentas 31
● Replicación proporcionada por la plataforma. Algunos servicios, como el almacenamiento con redundancia geográfica, proporcionan replicación
● Orden de recuperación de la región. En caso de una interrupción generalizada, se prioriza la recuperación de una región de
cada par. Se garantiza que las aplicaciones que se implementan en regiones emparejadas tendrán una de las regiones
recuperadas con prioridad.
● Actualizaciones secuenciales. Las actualizaciones planificadas del sistema Azure se implementan en regiones emparejadas de forma
secuencial (no al mismo tiempo) para minimizar el tiempo de inactividad, el efecto de errores y fallas lógicas en el raro caso de una mala
actualización.
● Residencia de datos. Una región reside dentro de la misma geografía que su par (excepto para el sur de Brasil) para cumplir
con los requisitos de residencia de datos a efectos de jurisdicción fiscal y de aplicación de la ley.
Suscripciones de Azure
Una suscripción de Azure es una unidad lógica de los servicios de Azure que está vinculada a una cuenta de Azure. La
facturación de los servicios de Azure se realiza por suscripción. Si su cuenta es la única cuenta asociada con una
suscripción, entonces usted es responsable de la facturación.
Las suscripciones lo ayudan a organizar el acceso a los recursos del servicio en la nube. También le ayudan a controlar cómo se
informa, factura y paga el uso de recursos. Cada suscripción puede tener una configuración de facturación y pago diferente, por lo
que puede tener diferentes suscripciones y diferentes planes por departamento, proyecto, oficina regional, etc. Todos los servicios
en la nube pertenecen a una suscripción y es posible que se requiera el ID de suscripción para las operaciones programáticas.
Cuentas de Azure
Las suscripciones tienen cuentas. Una cuenta de Azure es simplemente una identidad en Azure Active Directory
(Azure AD) o en un directorio en el que Azure AD confía, como una organización laboral o escolar. Si no perteneces a
2 https://azure.microsoft.com/en-us/global-infrastructure/regions/
3 https://docs.microsoft.com/en-us/azure/best-practices-availability-paired-regions#what-are-paired-regions
32 Módulo 2 Gobernanza y cumplimiento
En una de estas organizaciones, puede registrarse para obtener una cuenta de Azure mediante su cuenta de Microsoft, en la
que también confía Azure AD.
✔ ¿Sabes cuántas suscripciones tiene tu organización? ¿Sabe cómo se organizan los recursos en
grupos de recursos?
Acuerdos empresariales
Alguna Convenio de empresa 4 El cliente puede agregar Azure a su contrato haciendo un compromiso monetario por adelantado con
Azure. Ese compromiso se consume durante todo el año mediante el uso de cualquier combinación de la amplia variedad de servicios
en la nube que ofrece Azure desde sus centros de datos globales. Los acuerdos empresariales tienen una
SLA mensual del 99,95%.
Revendedores
Compre Azure a través del Programa de licencias abiertas 5 , que proporciona una forma sencilla y flexible de adquirir
servicios en la nube de su distribuidor de Microsoft. Si ya compró una clave de licencia de Azure en Open,
active una nueva suscripción o agregue más créditos ahora 6 .
Socios
Encontrar un Socio de Microsoft 7 quién puede diseñar e implementar su solución en la nube de Azure. Estos socios tienen la
experiencia empresarial y tecnológica para recomendar soluciones que satisfagan las necesidades únicas de su negocio.
4 https://azure.microsoft.com/en-us/pricing/enterprise-agreement/
5 https://www.microsoft.com/en-us/licensing/licensing-programs/open-license.aspx
6 https://azure.microsoft.com/en-us/offers/ms-azr-0111p/
7 https://azure.microsoft.com/en-us/partners/directory/
Suscripciones y cuentas 33
Uso de suscripción
Azure ofrece opciones de suscripción gratuitas y de pago para adaptarse a diferentes necesidades y requisitos. Las
suscripciones más utilizadas son:
● Libre
● Convenio de empresa
● Estudiante
Nota: la información de la tarjeta de crédito se utiliza únicamente para la verificación de identidad. No se le cobrará por ningún servicio hasta
que actualice.
gratuitos seleccionados sin necesidad de una tarjeta de crédito al registrarse. Debe verificar su condición de estudiante a través de la
Manejo de costos
Con los productos y servicios de Azure, solo paga por lo que usa. A medida que crea y usa recursos de Azure, se le cobran
por los recursos. Utiliza las funciones de facturación y administración de costos de Azure para realizar
8 https://azure.microsoft.com/en-us/free/
34 Módulo 2 Gobernanza y cumplimiento
Facturación de tareas administrativas y gestión de facturación de acceso a costes. También tiene características para
monitorear y controlar el gasto de Azure y optimizar el uso de recursos de Azure.
Cost Management muestra los patrones de uso y costos de la organización con análisis avanzados. Los informes en
Administración de costos muestran los costos basados en el uso consumidos por los servicios de Azure y las ofertas de
Marketplace de terceros. Los costos se basan en precios negociados y tienen en cuenta las reservas y los descuentos de
Azure Hybrid Benefit. En conjunto, los informes muestran los costos internos y externos de uso y los cargos de Azure Market.
Otros cargos, como compras de reserva, soporte e impuestos aún no se muestran en los informes. Los informes lo ayudan a
comprender sus gastos y el uso de recursos y pueden ayudarlo a encontrar anomalías en los gastos. También se encuentran
disponibles análisis predictivos. Cost Management usa grupos de administración, presupuestos y recomendaciones de Azure
para mostrar claramente cómo se organizan sus gastos y cómo puede reducirlos.
Puede usar el portal de Azure o varias API para la automatización de exportaciones para integrar datos de costos con sistemas y procesos
externos. También están disponibles la exportación automática de datos de facturación y los informes programados.
● Análisis de costos. Utiliza el análisis de costos para explorar y analizar sus costos organizacionales. Puede ver los costos
agregados por organización para comprender dónde se acumulan los costos e identificar las tendencias de gasto. Y puede ver
los costos acumulados a lo largo del tiempo para estimar las tendencias de costos mensuales, trimestrales o incluso anuales
con respecto a un presupuesto.
● Presupuestos. Los presupuestos lo ayudan a planificar y cumplir con la responsabilidad financiera en su organización. Ayudan a
evitar que se superen los umbrales o límites de costos. Los presupuestos también pueden ayudarlo a informar a otros sobre sus
gastos para administrar los costos de manera proactiva. Y con ellos, puede ver cómo progresa el gasto a lo largo del tiempo.
Suscripciones y cuentas 35
● Recomendaciones. Las recomendaciones muestran cómo puede optimizar y mejorar la eficiencia identificando los
recursos inactivos y subutilizados. O pueden mostrar opciones de recursos menos costosas. Cuando actúa de acuerdo
con las recomendaciones, cambia la forma en que usa sus recursos para ahorrar dinero. Para actuar, primero vea las
recomendaciones de optimización de costos para ver las posibles ineficiencias de uso. A continuación, actúa sobre la
base de una recomendación para modificar el uso de recursos de Azure a una opción más rentable. Luego verifica la
acción para asegurarse de que el cambio que realiza sea exitoso.
● Exportación de datos de gestión de costes. Si usa sistemas externos para acceder o revisar los datos de administración de
costos, puede exportar fácilmente los datos desde Azure. Y puede configurar una exportación programada diaria en formato CSV
y almacenar los archivos de datos en el almacenamiento de Azure. Luego, puede acceder a los datos de su sistema externo.
Etiquetas de recursos
Puede aplicar etiquetas a sus recursos de Azure para organizarlos lógicamente por categorías. Cada etiqueta consta
de un nombre y un valor. Por ejemplo, puede aplicar el nombre Ambiente y el valor Producción o
Desarrollo a sus recursos. Después de crear sus etiquetas, las asocie con los recursos adecuados.
Con las etiquetas en su lugar, puede recuperar todos los recursos de su suscripción con ese nombre y valor de etiqueta. Esto
significa que puede recuperar recursos relacionados de diferentes grupos de recursos.
Quizás uno de los mejores usos de las etiquetas sea agrupar los datos de facturación. Cuando descarga el CSV de uso para
servicios, las etiquetas aparecen en la columna Etiquetas. Luego, podría agrupar las máquinas virtuales por centro de costos y
entorno de producción.
Consideraciones
Hay algunas cosas a considerar sobre el etiquetado:
● Cada recurso o grupo de recursos puede tener un máximo de 50 pares de nombre / valor de etiqueta.
● Los recursos de ese grupo de recursos no heredan las etiquetas aplicadas al grupo de recursos.
✔ Si necesita crear muchas etiquetas, querrá hacerlo mediante programación. Puede usar PowerShell o la
CLI.
Ahorro de costes
Reservaciones le ayuda a ahorrar dinero pagando por adelantado un año o tres años de máquina virtual,
capacidad de proceso de SQL Database, rendimiento de Azure Cosmos DB u otros recursos de Azure. El prepago le
permite obtener un descuento en los recursos que utiliza. Las reservas pueden reducir significativamente su ma-
36 Módulo 2 Gobernanza y cumplimiento
chine, procesamiento de base de datos SQL, Azure Cosmos DB u otros recursos cuestan hasta un 72% sobre los precios de pago
por uso. Las reservas ofrecen un descuento en la facturación y no afectan el estado de ejecución de sus recursos.
Beneficios de Azure Hybrid es un beneficio de precio para los clientes que tienen licencias con Software Assurance, que
ayuda a maximizar el valor de las inversiones en licencias de Windows Server y / o SQL Server existentes en las
instalaciones al migrar a Azure. Existe una Calculadora de ahorros de beneficios híbrida de Azure para ayudarlo a
determinar sus ahorros.
Créditos Azure es un beneficio de crédito mensual que le permite experimentar, desarrollar y probar nuevas soluciones
en Azure. Por ejemplo, como suscriptor de Visual Studio, puede usar Microsoft Azure sin cargo adicional. Con su crédito
mensual de Azure, Azure es su espacio aislado personal para desarrollo y pruebas.
Regiones de Azure los precios pueden variar de una región a otra, incluso en los EE. UU. Verifique los precios en varias
regiones para ver si puede ahorrar un poco.
Presupuestos ayudarlo a planificar e impulsar la responsabilidad organizacional. Con los presupuestos, puede contabilizar los
servicios de Azure que consume o a los que se suscribe durante un período específico. Le ayudan a informar a otras personas sobre
sus gastos para gestionar los costes de forma proactiva y supervisar cómo progresan los gastos a lo largo del tiempo. Cuando se
superan los umbrales presupuestarios que ha creado, solo se activan las notificaciones. Ninguno de sus recursos se ve afectado y su
consumo no se detiene. Puede utilizar presupuestos para comparar y realizar un seguimiento de los gastos a medida que analiza los
costos.
Además, considere:
La Calculadora de precios 9 proporciona estimaciones en todas las áreas de Azure, incluidas la informática, las redes, el almacenamiento, la
9 https://azure.microsoft.com/en-us/pricing/calculator/
Política de Azure 37
Política de Azure
Grupos de gestión
Si su organización tiene varias suscripciones, es posible que necesite una forma de administrar de manera eficiente el acceso, las
políticas y el cumplimiento de esas suscripciones. Los grupos de administración de Azure proporcionan un nivel de alcance por
encima de las suscripciones. Organizas las suscripciones en contenedores llamados grupos de gestión y aplicar sus condiciones de
gobernanza a los grupos de gestión. Habilitación del grupo de gestión:
● Alineación organizativa para sus suscripciones de Azure a través de agrupaciones y jerarquías personalizadas.
Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones aplicadas al grupo
de administración. Por ejemplo, puede aplicar políticas a un grupo de administración que limite las regiones disponibles para
la creación de máquinas virtuales (VM). Esta política se aplicaría a todos los grupos de administración, suscripciones y
recursos de ese grupo de administración al permitir que solo se creen máquinas virtuales en esa región.
● La ID del grupo de gestión es el identificador exclusivo de directorio que se utiliza para enviar comandos en este grupo
de administración. Este identificador no se puede editar después de la creación, ya que se usa en todo el sistema Azure
para identificar este grupo.
● El nombre para mostrar field es el nombre que se muestra en Azure Portal. Un nombre para mostrar separado es
un campo opcional al crear el grupo de administración y se puede cambiar en cualquier momento.
✔ ¿Crees que querrás utilizar los grupos de gestión? Para más información, Organice sus
recursos con grupos de administración de Azure 10
Política de Azure
Azure Policy es un servicio en Azure que se usa para crear, asignar y administrar políticas. Estas políticas imponen
diferentes reglas sobre sus recursos, por lo que esos recursos cumplen con sus estándares corporativos y acuerdos
de nivel de servicio. Azure Policy hace esto ejecutando evaluaciones de sus recursos y buscando aquellos que no
cumplan con las políticas que ha creado.
Las principales ventajas de la política de Azure se encuentran en las áreas de aplicación y cumplimiento, escalado y
corrección.
● Ejecución y cumplimiento. Active las políticas integradas o cree políticas personalizadas para todos los tipos de recursos.
Evaluación y aplicación de políticas en tiempo real. Evaluación de cumplimiento periódica y bajo demanda.
● Aplicar políticas a escala. Aplique políticas a un grupo de gestión con control en toda su organización.
Aplique múltiples políticas y estados de políticas agregados con iniciativa de políticas. Defina un alcance de
exclusión.
Azure Policy será importante para usted si su equipo ejecuta un entorno en el que necesita gobernar:
● Varias suscripciones
● Necesidad de estandarizar / hacer cumplir la forma en que se configuran los recursos en la nube
Casos de uso
● Especifique los tipos de recursos que su organización puede implementar.
10 https://docs.microsoft.com/en-us/azure/azure-resource-manager/management-groups-overview
Política de Azure 39
● Audite si el servicio Azure Backup está habilitado para todas las máquinas virtuales.
1. Examinar las definiciones de políticas. Una definición de política expresa qué evaluar y qué acciones tomar.
Cada definición de política tiene condiciones bajo las cuales se aplica. Y tiene un efecto de acompañamiento que tiene
lugar si se cumplen las condiciones. Por ejemplo, puede evitar que se implementen máquinas virtuales si están expuestas
a una dirección IP pública.
2. Crear definiciones de iniciativas. Una definición de iniciativa es un conjunto de definiciones de políticas para ayudar a rastrear su estado de
cumplimiento para un objetivo más amplio. Por ejemplo, asegurarse de que una sucursal cumpla con las normas.
4. Ver los resultados de la evaluación de políticas. Una vez que se asigna una definición de iniciativa, puede evaluar el estado de
cumplimiento de todos sus recursos. Los recursos individuales, los grupos de recursos y las suscripciones dentro de un ámbito
pueden estar exentos de que las reglas de políticas lo afecten. Las exclusiones se manejan individualmente para cada asignación.
✔ Incluso si solo tiene unas pocas definiciones de políticas, le recomendamos que cree una definición de iniciativa.
Definiciones de políticas
Hay muchas definiciones de políticas integradas entre las que puede elegir. Ordenar por categoría le ayudará a
encontrar lo que necesita. Por ejemplo,
● Las SKU de máquina virtual permitidas le permiten especificar un conjunto de SKU de máquina virtual que su organización
puede implementar.
● La política de ubicaciones permitidas le permite restringir las ubicaciones que su organización puede especificar al
implementar recursos. Esto se puede utilizar para hacer cumplir sus requisitos de cumplimiento geográfico.
11 https://docs.microsoft.com/azure/azure-policy/
40 Módulo 2 Gobernanza y cumplimiento
Si no hay una política aplicable, puede agregar una nueva definición de política. La forma más sencilla de hacerlo es importar
una política de GitHub 12 . Casi todos los días se agregan nuevas definiciones de políticas.
✔ Las definiciones de políticas tienen un formato JSON específico 13 . Como administrador de Azure, no necesitará
crear archivos en este formato, pero es posible que desee revisar el formato, solo para familiarizarse.
12 https://github.com/Azure/azure-policy/tree/master/samples
13 https://docs.microsoft.com/en-us/azure/azure-policy/policy-definition
Política de Azure 41
Alcance de la iniciativa
Una vez creada nuestra Definición de Iniciativa, puede asignar la definición para establecer su alcance. Un
alcance determina en qué recursos o agrupación de recursos se aplica la asignación de política.
Determine el cumplimiento
Una vez que su política esté en su lugar, puede usar la hoja de Cumplimiento para revisar las iniciativas que no cumplen, las
políticas que no cumplen y los recursos que no cumplen.
Cuando se evalúa una condición con respecto a sus recursos existentes y se determina que es verdadera, esos recursos se
marcan como no compatibles con la política. Aunque el portal no muestra la lógica de evaluación, sí se muestran los
resultados del estado de cumplimiento. El resultado del estado de cumplimiento es compatible o no compatible.
✔ La evaluación de la política se realiza aproximadamente una vez por hora, lo que significa que si realiza cambios en la
definición de su política y crea una asignación de política, se volverá a evaluar sobre sus recursos en una hora.
5. Observe el Alcance que determina qué recursos o agrupación de recursos la asignación de política
se hace cumplir.
6. Selecciona el Puntos suspensivos en la definición de políticas para abrir la lista de definiciones disponibles. Tómese un tiempo para revisar las
7. Busque y seleccione Ubicaciones permitidas. Esta política le permite restringir las ubicaciones que su organización
puede especificar al implementar recursos.
8. Mueve el Parámetros pestaña y usando el menú desplegable, seleccione una o más ubicaciones permitidas. Hacer
2. Seleccione + Definición de iniciativa en la parte superior de la página para abrir la página de definición de la iniciativa.
Verificar el cumplimiento
2. Seleccione Cumplimiento.
2. Seleccione Remediación.
2. Seleccione Asignaciones.
6. Seleccione Iniciativas.
RBAC es un sistema de autorización creado en Azure Resource Manager que proporciona una administración de
acceso detallada de los recursos en Azure.
● Permitir que una aplicación acceda a todos los recursos de un grupo de recursos
● Permita que un usuario administre máquinas virtuales en una suscripción y otro usuario administre redes
virtuales
● Permitir que un grupo de DBA administre bases de datos SQL en una suscripción
● Permitir que un usuario administre todos los recursos en un grupo de recursos, como máquinas virtuales, sitios web y
subredes.
Conceptos
● Principal de seguridad. Objeto que representa algo que solicita acceso a recursos. Ejemplos: usuario, grupo,
entidad de servicio, identidad administrada
● Definición de roles. Colección de permisos que enumera las operaciones que se pueden realizar. Ejemplos: lector,
colaborador, propietario, administrador de acceso de usuario
● Alcance. Límite para el nivel de acceso que se solicita. Ejemplos: grupo de administración, suscripción, grupo de
recursos, recurso
● Asignación. Adjuntar una definición de rol a una entidad de seguridad en un ámbito particular. Los usuarios pueden otorgar
el acceso descrito en una definición de rol creando una asignación. Las asignaciones de denegación son actualmente de solo
lectura y solo Azure puede establecerlas.
Al planificar su estrategia de control de acceso, es una buena práctica otorgar a los usuarios el mínimo privilegio para
realizar su trabajo. El siguiente diagrama muestra un patrón sugerido para usar RBAC.
Control de acceso basado en roles 45
Definiciones de roles
Cada rol es un conjunto de propiedades definidas en un archivo JSON. Esta definición de rol incluye Nombre, Id y
Descripción. También incluye los permisos permitidos (Acciones), los permisos denegados (NotActions) y el alcance (acceso
de lectura, etc.) para el rol. Por ejemplo,
Nombre: Propietario
NotActions: {}
AssignableScopes: {/}
En este ejemplo, el rol de propietario significa todas las acciones (asterisco), ninguna acción denegada y todos los ámbitos (/).
Acciones y no acciones
Las propiedades Actions y NotActions se pueden personalizar para otorgar y denegar los permisos exactos que necesita. Esta
tabla define las funciones del propietario, colaborador y lector.
Alcance su rol
Definir las propiedades Actions y NotActions no es suficiente para implementar completamente un rol. También debe definir
adecuadamente su función.
46 Módulo 2 Gobernanza y cumplimiento
La propiedad AssignableScopes del rol especifica los ámbitos (suscripciones, grupos de recursos o recursos) dentro de los
cuales el rol personalizado está disponible para su asignación. Puede hacer que el rol personalizado esté disponible para
su asignación solo en las suscripciones o grupos de recursos que lo requieran, y no saturar la experiencia del usuario para
el resto de las suscripciones o grupos de recursos.
Ejemplo 1
Haga que un rol esté disponible para su asignación en dos suscripciones.
Ejemplo 2
Hace que un rol esté disponible para su asignación solo en el grupo de recursos de red.
Asignación de roles
Una asignación de rol es el proceso de adjuntar una definición de rol a un usuario, grupo, entidad de servicio o identidad administrada
en un ámbito particular con el propósito de otorgar acceso. El acceso se otorga mediante la creación de una asignación de funciones y
el acceso se revoca al eliminar una asignación de funciones.
Este diagrama muestra un ejemplo de asignación de funciones. En este ejemplo, al grupo de marketing se le ha asignado el rol de
colaborador para el grupo de recursos de ventas farmacéuticas. Esto significa que los usuarios del grupo Comercialización pueden
crear o administrar cualquier recurso de Azure en el grupo de recursos de ventas farmacéuticas. Los usuarios de marketing no tienen
acceso a recursos fuera del grupo de recursos de ventas farmacéuticas, a menos que formen parte de otra asignación de funciones.
Control de acceso basado en roles 47
Tenga en cuenta que no es necesario otorgar acceso a toda la suscripción. Los roles también se pueden asignar para grupos
de recursos, así como para recursos individuales. En Azure RBAC, un recurso hereda las asignaciones de roles de sus
recursos primarios. Por lo tanto, si a un usuario, grupo o servicio se le otorga acceso solo a un grupo de recursos dentro de
una suscripción, solo podrán acceder a ese grupo de recursos y recursos dentro de él, y no a los otros grupos de recursos
dentro de la suscripción.
Como otro ejemplo, se puede agregar un grupo de seguridad a la función Lector para un grupo de recursos, pero se puede agregar a la
función Colaborador para una base de datos dentro de ese grupo de recursos.
Para comprender mejor los roles en Azure, es útil conocer parte del historial. Cuando se lanzó Azure inicialmente, el acceso
a los recursos se administraba con solo tres roles de administrador: administrador de cuentas, administrador de servicios y
coadministrador. Posteriormente, se agregó el control de acceso basado en roles (RBAC) para los recursos de Azure. Azure
RBAC es un sistema de autorización más nuevo que proporciona una administración de acceso detallada a los recursos de
Azure. RBAC incluye muchos roles integrados, se pueden asignar en diferentes ámbitos y le permite crear sus propios roles
personalizados. Para administrar recursos en Azure AD, como usuarios, grupos y dominios, existen varios roles de
administrador de Azure AD.
Administre el acceso a los recursos de Azure. Administre el acceso a los recursos de Azure Active Directory.
El alcance se puede especificar en varios niveles (grupo El alcance está a nivel de inquilino.
Se puede acceder a la información del rol en Azure Portal, Se puede acceder a la información del rol en el portal de administración
Azure CLI, Azure PowerShell, plantillas de Azure Resource de Azure, el portal de administración de Office 365, Microsoft Graph
✔ Se deben evitar los roles de administrador clásicos si usa Azure Resource Manager.
Autenticación RBAC
RBAC incluye muchos roles integrados, se pueden asignar en diferentes ámbitos y le permite crear sus propios roles
personalizados. Para administrar recursos en Azure AD, como usuarios, grupos y dominios, existen varios roles de
administrador de Azure AD.
48 Módulo 2 Gobernanza y cumplimiento
Este diagrama es una vista de alto nivel de cómo se relacionan los roles de Azure RBAC y los roles de administrador de Azure
AD.
¿Ve cómo los roles de administrador de Azure AD y los roles de Azure RBAC trabajan juntos para autenticar a los usuarios?
● Dueño. Tiene acceso completo a todos los recursos, incluido el derecho a delegar el acceso a otros. El administrador del
servicio y los coadministradores tienen asignado el rol de propietario en el ámbito de la suscripción. Esto se aplica a todos los
tipos de recursos.
● Contribuyente. Puede crear y administrar todo tipo de recursos de Azure, pero no puede otorgar acceso a otros. Esto se
aplica a todos los tipos de recursos.
● Lector. Puede ver los recursos de Azure existentes. Esto se aplica a todos los tipos de recursos.
● Administrador de acceso de usuario. Le permite administrar el acceso de los usuarios a los recursos de Azure. Esto se aplica a
la gestión del acceso, más que a la gestión de recursos.
El resto de los roles integrados permiten la administración de recursos específicos de Azure. Por ejemplo, el Colaborador de la
máquina virtual El rol permite a un usuario crear y administrar máquinas virtuales. Si los roles integrados no satisfacen las
necesidades específicas de su organización, puede crear sus propios roles personalizados.
Azure ha introducido operaciones de datos que le permiten otorgar acceso a los datos dentro de un objeto. Por ejemplo, si un
usuario tiene acceso a datos de lectura en una cuenta de almacenamiento, entonces puede leer los blobs o mensajes dentro de
esa cuenta de almacenamiento.
1. Acceda a Azure Portal y seleccione un grupo de recursos. Anote el grupo de recursos que utiliza.
3. Esta hoja estará disponible para muchos recursos diferentes para que pueda controlar el acceso.
Control de acceso basado en roles 49
4. Continúe profundizando en el rol hasta que pueda ver el Leer, escribir y eliminar acciones para ese rol.
1. Cree un usuario.
● Papel: Dueño
● Seleccione: Gerentes
4. Seleccione el usuario.
Escenario de laboratorio
Para mejorar la administración de los recursos de Azure en Contoso, se le ha asignado la tarea de implementar la
siguiente funcionalidad:
● otorgar permisos de usuario para enviar solicitudes de soporte. Este usuario solo podría crear tickets
de solicitud de soporte y ver grupos de recursos.
Objetivos
En este laboratorio, podrá:
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Escenario de laboratorio
Para mejorar la administración de los recursos de Azure en Contoso, se le ha asignado la tarea de implementar la
siguiente funcionalidad:
● etiquetado de grupos de recursos que incluyen solo recursos de infraestructura (como cuentas de almacenamiento de
Cloud Shell)
● Asegurar que solo se puedan agregar recursos de infraestructura debidamente etiquetados a los grupos de recursos de
infraestructura.
Objetivos
En este laboratorio, haremos lo siguiente:
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Pregunta de repaso 1
Debe orientar las políticas y revisar los presupuestos de gastos en varias suscripciones que administra. ¿Qué deberías hacer?
Seleccione uno.
Pregunta de repaso 2
Le gustaría categorizar los recursos y la facturación para diferentes departamentos como TI y RR.HH. La facturación
debe consolidarse en varios grupos de recursos y debe asegurarse de que todos cumplan con la solución. ¿Qué
deberías hacer? {Elija dos para completar una solución}.
Pregunta de repaso 3
El contralor financiero de su empresa desea que se le notifique cada vez que la empresa esté a medio camino de gastar el dinero
asignado para los servicios en la nube. ¿Qué deberías hacer? Seleccione uno.
Pregunta de repaso 4
Su organización tiene varias políticas de Azure que les gustaría crear y hacer cumplir para una nueva sucursal.
¿Qué deberías hacer? Seleccione uno.
Pregunta de repaso 5
¿Cuál de los siguientes sería un buen ejemplo de cuándo usar un bloqueo de recursos? Seleccione uno.
?? Una máquina virtual que no es de producción que se usa para probar compilaciones de aplicaciones ocasionales.
?? Una cuenta de almacenamiento utilizada para almacenar temporalmente imágenes procesadas en un entorno de desarrollo.
?? Un grupo de recursos para una nueva sucursal que recién se está iniciando.
Pregunta de repaso 6
Su empresa contrata a un nuevo administrador de TI. Necesita administrar un grupo de recursos con servidores web
de primer nivel, incluida la asignación de permisos. Sin embargo, no debería tener acceso a otros grupos de recursos
dentro de la suscripción. Debe configurar el acceso basado en roles. ¿Qué deberías hacer? Seleccione uno.
Pregunta de repaso 7
Tiene tres máquinas virtuales (VM1, VM2 y VM3) en un grupo de recursos. El Helpdesk contrata a un nuevo
empleado. El nuevo empleado debe poder modificar la configuración en VM3, pero no en VM1 y VM2. Su solución
debe minimizar los gastos administrativos. ¿Qué deberías hacer? Seleccione uno.
?? Mueva VM3 a un nuevo grupo de recursos y asigne al usuario la función Colaborador en VM3.
?? Asigne al usuario a la función Colaborador en el grupo de recursos y, luego, asigne al usuario la función Propietario
en VM3.
Estudio adicional
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. Puede buscar módulos adicionales por producto, función o nivel.
● Controle y organice los recursos de Azure con Azure Resource Manager dieciséis
● Cree roles personalizados para los recursos de Azure con control de acceso basado en roles 18
14 https://docs.microsoft.com/en-us/learn/modules/analyze-costs-create-budgets-azure-cost-management/
15 https://docs.microsoft.com/en-us/learn/modules/predict-costs-and-optimize-spending/
dieciséis https://docs.microsoft.com/en-us/learn/modules/control-and-organize-with-azure-resource-manager/
17 https://docs.microsoft.com/en-us/learn/modules/intro-to-governance/
18 https://docs.microsoft.com/en-us/learn/modules/create-custom-azure-roles-with-rbac/
Módulo 02 Preguntas de laboratorio y repaso 53
● Administre el acceso a una suscripción de Azure mediante el control de acceso basado en roles de Azure 19
19 https://docs.microsoft.com/en-us/learn/modules/manage-subscription-access-azure-rbac/
20 https://docs.microsoft.com/en-us/learn/modules/secure-azure-resources-with-rbac/
54 Módulo 2 Gobernanza y cumplimiento
Respuestas
Pregunta de repaso 1
Debe orientar las políticas y revisar los presupuestos de gastos en varias suscripciones que administra. ¿Qué deberías
hacer? Seleccione uno.
Explicación
Crea grupos de gestión. Los grupos de administración se pueden utilizar para organizar y administrar suscripciones.
Pregunta de repaso 2
Le gustaría categorizar los recursos y la facturación para diferentes departamentos como TI y RR.HH. La
facturación debe consolidarse en varios grupos de recursos y debe asegurarse de que todos cumplan con
la solución. ¿Qué deberías hacer? {Elija dos para completar una solución}.
Explicación
Cree etiquetas para cada departamento y cree una política de Azure. Debe crear una etiqueta con un par clave: valor como
departamento: RRHH. A continuación, puede crear una política de Azure que requiera que se aplique la etiqueta antes de crear un
recurso.
Pregunta de repaso 3
El contralor financiero de su empresa desea que se le notifique cada vez que la empresa esté a medio camino de gastar el
dinero asignado para los servicios en la nube. ¿Qué deberías hacer? Seleccione uno.
Explicación
Crea un presupuesto y un umbral de gasto. Las alertas de facturación le ayudan a supervisar y administrar la actividad de facturación de
sus cuentas de Azure. Puede configurar un total de cinco alertas de facturación por suscripción, con un umbral diferente y hasta dos
destinatarios de correo electrónico para cada alerta. Los presupuestos mensuales se evalúan frente al gasto cada cuatro horas. Los
presupuestos se restablecen automáticamente al final de un período.
Módulo 02 Preguntas de laboratorio y repaso 55
Pregunta de repaso 4
Su organización tiene varias políticas de Azure que les gustaría crear y hacer cumplir para una nueva sucursal. ¿Qué
deberías hacer? Seleccione uno.
Explicación
Cree una iniciativa de política. Una iniciativa de política incluiría todas las políticas de interés. Una vez creada su iniciativa,
puede asignar la definición para establecer su alcance. Un alcance determina en qué recursos o agrupación de recursos
se aplica la asignación de política.
Pregunta de repaso 5
¿Cuál de los siguientes sería un buen ejemplo de cuándo usar un bloqueo de recursos? Seleccione uno.
?? Una máquina virtual que no es de producción que se usa para probar compilaciones de aplicaciones ocasionales.
?? Una cuenta de almacenamiento utilizada para almacenar temporalmente imágenes procesadas en un entorno de desarrollo.
?? Un grupo de recursos para una nueva sucursal que recién se está iniciando.
Explicación
Un circuito ExpressRoute con conectividad a su red local. Los bloqueos de recursos evitan que otros usuarios
de su organización eliminen o modifiquen accidentalmente recursos críticos.
Pregunta de repaso 6
Su empresa contrata a un nuevo administrador de TI. Necesita administrar un grupo de recursos con servidores web de
primer nivel, incluida la asignación de permisos. Sin embargo, no debería tener acceso a otros grupos de recursos dentro
de la suscripción. Debe configurar el acceso basado en roles. ¿Qué deberías hacer? Seleccione uno.
Explicación
Asígnela como propietaria del grupo de recursos. El nuevo administrador de TI debe poder asignar permisos.
56 Módulo 2 Gobernanza y cumplimiento
Pregunta de repaso 7
Tiene tres máquinas virtuales (VM1, VM2 y VM3) en un grupo de recursos. El Helpdesk contrata a un nuevo
empleado. El nuevo empleado debe poder modificar la configuración en VM3, pero no en VM1 y VM2. Su solución
debe minimizar los gastos administrativos. ¿Qué deberías hacer? Seleccione uno.
?? Mueva VM3 a un nuevo grupo de recursos y asigne al usuario la función Colaborador en VM3.
?? Asigne al usuario a la función Colaborador en el grupo de recursos y, luego, asigne al usuario la función Propietario
en VM3.
Explicación
Asigne al usuario el rol de colaborador en VM3. Esto significa que el usuario no tendrá acceso a VM1 o VM2. El rol de
colaborador permitirá al usuario cambiar la configuración en VM1.
Módulo 3 Administración de Azure
Administrador de recursos
La infraestructura de su aplicación generalmente se compone de muchos componentes, tal vez una máquina virtual, una cuenta de
almacenamiento y una red virtual, o una aplicación web, una base de datos, un servidor de base de datos y servicios de terceros.
Estos componentes no son entidades separadas, sino partes relacionadas e interdependientes de una sola entidad. Desea
implementarlos, administrarlos y monitorearlos como un grupo.
Azure Resource Manager le permite trabajar con los recursos de su solución como grupo. Puede implementar, actualizar o
eliminar todos los recursos de su solución en una sola operación coordinada. Utiliza una plantilla para la implementación y
esa plantilla puede funcionar para diferentes entornos, como pruebas, preparación y producción. Resource Manager
proporciona funciones de seguridad, auditoría y etiquetado para ayudarlo a administrar sus recursos después de la
implementación.
portal de Azure, la API de REST y los SDK de cliente. Todas las capacidades que están disponibles en Azure Portal también están disponibles a
través de Azure PowerShell, la CLI de Azure, las API de REST de Azure y los SDK de cliente. La funcionalidad lanzada inicialmente a través de las
API se representará en el portal dentro de los 180 días posteriores al lanzamiento inicial.
Elija las herramientas y API que mejor se adapten a sus necesidades: tienen la misma capacidad y brindan resultados consistentes.
La siguiente imagen muestra cómo interactúan todas las herramientas con la misma API de Azure Resource Manager.
La API pasa las solicitudes al servicio Resource Manager, que autentica y autoriza las solicitudes. Resource Manager
luego enruta las solicitudes a los proveedores de recursos adecuados.
58 Módulo 3 Administración de Azure
Beneficios
Resource Manager ofrece varios beneficios:
● Puede implementar, administrar y monitorear todos los recursos para su solución como grupo, en lugar de
manejar estos recursos individualmente.
● Puede implementar repetidamente su solución a lo largo del ciclo de vida del desarrollo y tener la confianza de que sus
recursos se implementan en un estado coherente.
● Puede definir las dependencias entre los recursos para que se implementen en el orden correcto.
● Puede aplicar el control de acceso a todos los servicios en su grupo de recursos porque el control de acceso basado en roles
(RBAC) está integrado de forma nativa en la plataforma de administración.
● Puede aplicar etiquetas a los recursos para organizar de forma lógica todos los recursos de su suscripción.
● Puede aclarar la facturación de su organización al ver los costos de un grupo de recursos que comparten la misma etiqueta.
Guia
Las siguientes sugerencias lo ayudarán a aprovechar al máximo Resource Manager cuando trabaje con sus
soluciones.
● Defina e implemente su infraestructura a través de la sintaxis declarativa en las plantillas de Resource Manager, en lugar
de a través de comandos imperativos.
● Defina todos los pasos de implementación y configuración en la plantilla. No debería tener pasos manuales
para configurar su solución.
● Ejecute comandos imperativos para administrar sus recursos, como iniciar o detener una aplicación o máquina.
● Organice los recursos con el mismo ciclo de vida en un grupo de recursos. Utilice etiquetas para el resto de la organización de
recursos.
Terminología
Si es nuevo en Azure Resource Manager (ARM), es posible que no esté familiarizado con algunos términos.
● recurso - Un elemento administrable que está disponible a través de Azure. Algunos recursos comunes son una máquina virtual,
una cuenta de almacenamiento, una aplicación web, una base de datos y una red virtual, pero hay muchos más.
Administrador de recursos de Azure 59
● grupo de recursos - Un contenedor que contiene recursos relacionados para una solución de Azure. El grupo de
recursos puede incluir todos los recursos de la solución o solo los recursos que desea administrar como grupo.
Usted decide cómo desea asignar los recursos a los grupos de recursos según lo que tenga más sentido para su
organización.
● proveedor de recursos - Un servicio que proporciona los recursos que puede implementar y administrar a través de Resource
Manager. Cada proveedor de recursos ofrece operaciones para trabajar con los recursos que se implementan. Algunos
proveedores de recursos comunes son Microsoft.Compute, que suministra el recurso de la máquina virtual, Microsoft.Storage,
que suministra el recurso de la cuenta de almacenamiento, y Microsoft. Web, que proporciona recursos relacionados con
aplicaciones web.
● Plantilla ARM - Un archivo de notación de objetos JavaScript (JSON) que define uno o más recursos para implementar
en un grupo de recursos. También define las dependencias entre los recursos implementados. La plantilla se puede
usar para implementar los recursos de manera consistente y repetida.
● sintaxis declarativa - Sintaxis que te permite decir "Esto es lo que pretendo crear" sin tener que escribir la
secuencia de comandos de programación para crearlo. La plantilla de Resource Manager es un ejemplo de
sintaxis declarativa. En el archivo, define las propiedades de la infraestructura que se implementará en Azure.
Proveedores de recursos
Cada proveedor de recursos ofrece un conjunto de recursos y operaciones para trabajar con un servicio de Azure. Por
ejemplo, si desea almacenar claves y secretos, trabaja con el Microsoft.KeyVault proveedor de recursos. Este proveedor de
recursos ofrece un tipo de recurso denominado bóvedas para crear la bóveda de claves.
El nombre de un tipo de recurso tiene el formato: { proveedor-recurso} / {tipo-recurso}. Por ejemplo, el tipo de almacén de
claves es Microsoft.KeyVault / bóvedas.
✔ Antes de comenzar a implementar sus recursos, debe comprender los proveedores de recursos disponibles.
Conocer los nombres de los proveedores de recursos y los recursos le ayuda a definir los recursos que desea
implementar en Azure. Además, debe conocer las ubicaciones válidas y las versiones de API para cada tipo de
recurso.
recursos se convierte en un trabajo en el que puede realizar un seguimiento de la ejecución de la plantilla. Si la implementación falla, el
resultado del trabajo puede describir por qué falló la implementación. Ya sea que la implementación sea un recurso único para un grupo o una
plantilla para un grupo, puede usar la información para corregir cualquier error y volver a implementar. Las implementaciones son
incrementales; Si un grupo de recursos contiene dos aplicaciones web y decide implementar una tercera, las aplicaciones web existentes no se
eliminarán. Actualmente, las implementaciones inmutables no se admiten en un grupo de recursos. Para implementar una implementación
Consideraciones
Los grupos de recursos son, en su forma más simple, una colección lógica de recursos. Hay un par de pequeñas reglas para los
grupos de recursos.
● Todos los recursos de su grupo deben compartir el mismo ciclo de vida. Los implementa, actualiza y elimina juntos. Si
un recurso, como un servidor de base de datos, necesita existir en un ciclo de implementación diferente, debe estar en
otro grupo de recursos.
● Se puede utilizar un grupo de recursos para determinar el alcance del control de acceso para acciones administrativas.
● Un recurso puede interactuar con recursos de otros grupos de recursos. Esta interacción es común cuando los dos recursos
están relacionados pero no comparten el mismo ciclo de vida (por ejemplo, aplicaciones web que se conectan a una base de
datos).
Al crear un grupo de recursos, debe proporcionar una ubicación para ese grupo de recursos. Quizás se esté preguntando,
“¿Por qué un grupo de recursos necesita una ubicación? Y, si los recursos pueden tener ubicaciones diferentes a las del
grupo de recursos, ¿por qué es importante la ubicación del grupo de recursos? " El grupo de recursos almacena metadatos
sobre los recursos. Por lo tanto, cuando especifica una ubicación para el grupo de recursos, está especificando dónde se
almacenan esos metadatos. Por motivos de cumplimiento, es posible que deba asegurarse de que sus datos se almacenen
en una región en particular.
✔ Al establecer el alcance de los permisos para un grupo de recursos, puede agregar / quitar y modificar recursos fácilmente sin tener
que volver a crear asignaciones y alcances.
Tipos de bloqueo
Hay dos tipos de bloqueos de recursos.
✔ Solo los roles de propietario y administrador de acceso de usuario pueden crear o eliminar bloqueos de administración.
Recursos en movimiento
A veces, es posible que deba mover recursos a una nueva suscripción o un nuevo grupo de recursos en la
misma suscripción.
Al mover recursos, tanto el grupo de origen como el grupo de destino se bloquean durante la operación. Las operaciones de
escritura y eliminación se bloquean en los grupos de recursos hasta que se completa el movimiento. Este bloqueo significa que no
puede agregar, actualizar o eliminar recursos en los grupos de recursos, pero no significa que los recursos estén congelados. Por
ejemplo, si mueve una máquina virtual a un nuevo grupo de recursos, una aplicación que accede a la máquina virtual no
experimenta tiempo de inactividad.
Limitaciones
Antes de comenzar este proceso, asegúrese de leer el Mover el soporte operativo para los recursos 1 página.
Esta página detalla qué recursos se pueden mover entre grupos de recursos y suscripciones.
1 https://docs.microsoft.com/en-us/azure/azure-resource-manager/management/move-support-resources
62 Módulo 3 Administración de Azure
Implementación
Para mover recursos, seleccione el grupo de recursos que contiene esos recursos y luego seleccione el Moverse
botón. Seleccione los recursos para mover y el grupo de recursos de destino. Reconozca que necesita actualizar los
scripts.
✔ El hecho de que un servicio se pueda mover no significa que no haya restricciones. Por ejemplo, puede mover una
red virtual, pero también debe mover sus recursos dependientes, como puertas de enlace.
Eliminar recursos
También puede eliminar recursos individuales dentro de un grupo de recursos. Por ejemplo, aquí estamos eliminando una red
virtual. Tenga en cuenta que puede cambiar el grupo de recursos en esta página.
Administrador de recursos de Azure 63
Límites de recursos
Azure ofrece la posibilidad de observar el número de cada tipo de recurso de red que ha implementado en su suscripción y
cuáles son sus límites de suscripción. La capacidad de ver el uso de recursos contra los límites es útil para realizar un
seguimiento del uso actual y planificar el uso futuro.
● Si necesita aumentar un límite predeterminado, hay un enlace Solicitar aumento. Completará y enviará la
solicitud de soporte.
● Todos los recursos tienen un límite máximo enumerado en Azure limites 2 . Si su límite actual ya está en el
número máximo, no se puede aumentar el límite.
Nota: Solo los roles de propietario y administrador de acceso de usuario pueden administrar los bloqueos de los recursos.
4. Para agregar un candado, seleccione Agregar. Si desea crear un bloqueo a nivel principal, seleccione el principal. El actualmente
El recurso seleccionado hereda el bloqueo del padre. Por ejemplo, puede bloquear el grupo de recursos para aplicar un
bloqueo a todos sus recursos.
5. Dale a la cerradura un nombre y Tipo de bloqueo. Opcionalmente, puede agregar notas que describan el candado. Para
6. eliminar el bloqueo, seleccione los puntos suspensivos y Borrar de las opciones disponibles.
2 https://docs.microsoft.com/en-us/azure/azure-subscription-service-limits?toc=%2fazure%2fnetworking%2ftoc.json
64 Módulo 3 Administración de Azure
3. Ver información de bloqueo de recursos. Observe el LockId que se utilizará en el siguiente paso para eliminar el bloqueo.
Get-AzResourceLock
Get-AzResourceLock
✔ Configurar bloqueos de recursos, mover recursos entre grupos de recursos y eliminar grupos de recursos son parte del
examen de certificación.
Azure Portal y Cloud Shell sesenta y cinco
● Gestionar recursos.
● Recibir notificaciones.
3. Seleccione Tour guiado de lanzamiento y haga clic en Empezar recorrido. Revise la información de ayuda.
4. Seleccione Atajos de teclado y lea los atajos disponibles. ¿Alguno parece de interés?
5. Cierre la página de ayuda y mantenga presionado GRAMO y presione D para ir a tu Panel de control.
Personalizando tu experiencia
1. Examine los iconos junto al menú desplegable Panel. Por ejemplo, Nuevo panel, Cargar, Descargar, Editar
y Clonar.
3. Practique agregar, fijar, mover, cambiar el tamaño y eliminar mosaicos. Hacer clic Terminado
5. Selecciona el Ajustes icono en el banner superior. Experimente con diferentes temas de colores. Solicitar sus
cambios.
6. Practica reordenar tu Favoritos lista. Para ello, mantenga presionados y arrastre los elementos de la lista hacia arriba o hacia
8. Haga clic en el Gestión de costes y facturación espada. Alfiler su información de Suscripción a su Panel de Control.
flexibilidad de elegir la experiencia de shell que mejor se adapte a su forma de trabajar. Los usuarios de Linux pueden optar por una experiencia
Bash, mientras que los usuarios de Windows pueden optar por PowerShell.
Cloud Shell permite el acceso a una experiencia de línea de comandos basada en navegador creada teniendo en cuenta las tareas de
administración de Azure. Aproveche Cloud Shell para trabajar sin ataduras desde una máquina local de una manera que solo la nube puede
proporcionar.
● Ofrece un editor de texto gráfico integrado basado en el editor Monaco de código abierto.
● archivos de Azure. Utiliza el mismo recurso compartido de archivos de Azure para Bash y
3. En la página Bienvenido al Shell, observe sus selecciones para Bash o PowerShell. Seleccione Potencia Shell.
4. Azure Cloud Shell requiere un recurso compartido de archivos de Azure para conservar los archivos. Cuando tenga tiempo, haga clic en Más
información para obtener información sobre el almacenamiento de Cloud Shell y los precios asociados.
2. En el indicador de shell de Bash, escriba lista de cuentas az para ver sus suscripciones. Además, intente completar la pestaña.
1. Para usar el editor en la nube, escriba código .. También puede seleccionar el icono de llaves.
3. Observe en el banner superior del editor, las selecciones de Configuración (Tamaño del texto y fuente) y Cargar / Descargar archivos.
4. Observe en las elipses (...) en el extremo derecho para Guardar, Cerrar editor y Abrir archivo.
5. Experimente a medida que tenga tiempo, luego cerca el Editor de la nube. Cierre Cloud Shell.
6.
68 Módulo 3 Administración de Azure
Por ejemplo, Azure PowerShell proporciona la New-AzVm comando que crea una máquina virtual dentro de
su suscripción de Azure. Para usarlo, debe iniciar la aplicación PowerShell y luego emitir un comando como
el siguiente comando:
New-AzVm `
- ResourceGroupName "CrmTestingResourceGroup" `
- Nombre "CrmUnitTests" `
- Imagen "UbuntuLTS"
...
Azure PowerShell también está disponible de dos formas: dentro de un navegador a través de Azure Cloud Shell o con una
instalación local en Linux, macOS o el sistema operativo Windows. En ambos casos, tiene dos modos para elegir: puede
usarlo en el modo interactivo en el que emite manualmente un comando a la vez, o en el modo de secuencia de comandos
en el que ejecuta una secuencia de comandos que consta de varios comandos.
Arizona es el nombre formal del módulo de Azure PowerShell que contiene cmdlets para trabajar con las características de
Azure. Contiene cientos de cmdlets que le permiten controlar casi todos los aspectos de cada recurso de Azure. Puede
trabajar con las siguientes funciones y más:
● Grupos de recursos
● Almacenamiento
● Máquinas virtuales
● Azure AD
● Contenedores
● Aprendizaje automático
Nota: Es posible que haya visto o usado comandos de Azure PowerShell que usaban un: AzureRM formato. En diciembre de 2018,
Microsoft lanzó para disponibilidad general el reemplazo del módulo AzureRM con el módulo Az. Este nuevo módulo tiene varias
características, en particular un prefijo de sustantivo de cmdlet abreviado de - Arizona, que reemplaza AzureRM. La Arizona El
módulo se envía con compatibilidad con versiones anteriores para el módulo AzureRM, por lo que
- AzureRM El formato cmdlet funcionará. Sin embargo, en el futuro, debe realizar la transición al módulo Az y usar: Arizona
comandos.
3 https://github.com/Azure/azure-powershell
4 https://docs.microsoft.com/en-us/powershell/module/az.compute/get-azvm?view=azps-3.3.0
Azure PowerShell y CLI 69
El producto PowerShell base se envía con cmdlets que funcionan con características como sesiones y trabajos en segundo
plano. Agrega módulos a su instalación de PowerShell para obtener cmdlets que manipulan otras características. Por
ejemplo, existen módulos de terceros para trabajar con ftp, administrar su sistema operativo y acceder al sistema de
archivos.
Los cmdlets siguen una convención de nomenclatura de verbo-sustantivo; por ejemplo, Get-Process, Format-Table, y Empieza el servicio.
También hay una convención para la elección de verbos. Puedes usar Get-Verb para recuperar ejemplos, como:
Se recomienda a los autores de cmdlet que incluyan un archivo de ayuda para cada cmdlet. La Consigue ayuda cmdlet muestra el
archivo de ayuda para cualquier cmdlet. Por ejemplo, puede obtener ayuda sobre el Get-ChildItem cmdlet con la siguiente
declaración:
Los cmdlets se envían en _modules. A Módulo de PowerShell es un archivo DLL que incluye el código para procesar cada
cmdlet disponible. Los cmdlets se cargan en PowerShell cargando el módulo que los contiene. Puede obtener una lista de los
módulos cargados utilizando el Obtener-módulo mando:
Obtener-módulo
Nota: Si en algún momento recibe errores sobre ejecutar scripts está deshabilitado asegúrese de establecer la política de ejecución.
Instalar el módulo Az
2. Haga clic con el botón derecho en el Windows PowerShell icono y seleccione Ejecutar como administrador.
4. Escriba el siguiente comando y luego presione Entrar. Este comando instala el módulo para todos los usuarios de forma
predeterminada. (Está controlado por el parámetro de alcance). AllowClobber sobrescribe el módulo de PowerShell anterior.
1. Dependiendo de la versión de NuGet que haya instalado, es posible que reciba un mensaje para descargar e instalar la
última versión.
Confía en el repositorio
1. De forma predeterminada, la Galería de PowerShell no está configurada como un repositorio de confianza para PowerShellGet. La
primera vez que use la Galería de PowerShell, se le preguntará.
Está instalando los módulos desde un repositorio que no es de confianza. Si confía en este repositorio,
cambie su valor InstallationPolicy ejecutando el cmdlet Set-PS- Repository. ¿Está seguro de que desea
instalar los módulos de PSGallery '?
1. Conéctese a Azure.
Connect-AzAccount
Get-AzSubscription
Azure PowerShell y CLI 71
Crea recursos
1. Cree un nuevo grupo de recursos. Proporcione una ubicación diferente si lo desea. La nombre debe ser único dentro
su suscripción. La localización determina dónde se almacenarán los metadatos de su grupo de recursos. Utiliza cadenas
como "Oeste de EE. UU.", "Norte de Europa" o "Oeste de la India" para especificar la ubicación; como alternativa, puede
utilizar equivalentes de una sola palabra, como westus, northeurope u westindia. La sintaxis principal es:
Get-AzResourceGroup
CLI de Azure
La CLI de Azure es un programa de línea de comandos para conectarse a Azure y ejecutar comandos administrativos en
los recursos de Azure. Se ejecuta en Linux, macOS y Windows, y permite a los administradores y desarrolladores
ejecutar sus comandos a través de una terminal o una línea de comandos (¡o un script!) En lugar de un navegador web.
Por ejemplo, para reiniciar una máquina virtual, usaría un comando como el siguiente:
La CLI de Azure proporciona herramientas de línea de comandos multiplataforma para administrar los recursos de Azure. Puede instalarlo
localmente en computadoras que ejecutan los sistemas operativos Linux, macOS o Windows. También puede usar la CLI de Azure desde un
En ambos casos, la CLI de Azure se puede usar de forma interactiva o mediante scripts:
● Interactivo. Primero, para los sistemas operativos Windows, inicie un shell como cmd.exe, o para Linux o
macOS, use Bash. Luego emita el comando en el indicador de shell.
● Con guión. Ensamble los comandos de la CLI de Azure en un script de shell utilizando la sintaxis de script del shell
elegido. Luego ejecute el script.
La CLI de Azure le permite controlar casi todos los aspectos de cada recurso de Azure. Puede trabajar con grupos de
recursos, almacenamiento, máquinas virtuales, Azure Active Directory (Azure AD), contenedores, aprendizaje automático, etc.
Los comandos de la CLI están estructurados en grupos y subgrupos. Cada grupo representa un servicio proporcionado por
Azure y los subgrupos dividen los comandos de estos servicios en agrupaciones lógicas. Por ejemplo, el
almacenamiento grupo contiene subgrupos que incluyen cuenta, blob, almacenamiento, y cola.
Entonces, ¿cómo encuentra los comandos particulares que necesita? Una forma es usar az find. Por ejemplo, si desea
buscar comandos que puedan ayudarlo a administrar un blob de almacenamiento, puede usar el siguiente comando de
búsqueda:
az find -q blob
Si ya conoce el nombre del comando que desea, el - ayuda El argumento para ese comando le brindará información
más detallada sobre el comando, y para un grupo de comandos, una lista de los subcomandos disponibles. Por
ejemplo, así es como puede obtener una lista de los subgrupos y comandos para administrar el almacenamiento de
blobs:
72 Módulo 3 Administración de Azure
2. En el instalador, acepte los términos de la licencia y luego haga clic en Instalar en pc.
1. Ejecute la CLI de Azure abriendo un shell de Bash para Linux o macOS, o desde el símbolo del sistema o
PowerShell para Windows.
az --version
Nota: La ejecución de la CLI de Azure desde PowerShell tiene algunas ventajas sobre la ejecución de la CLI de Azure desde el símbolo
del sistema de Windows. PowerShell proporciona más funciones de finalización de pestañas que el símbolo del sistema.
1. Como está trabajando con una instalación de CLI de Azure local, deberá autenticarse antes de poder
ejecutar los comandos de Azure. Para ello, utilice la CLI de Azure acceso mando:
az login
2. La CLI de Azure normalmente iniciará su navegador predeterminado para abrir la página de inicio de sesión de Azure. Si esto
no funciona, siga las instrucciones de la línea de comandos e ingrese un código de autorización en https://aka.ms/
devicelogin.
1. A menudo, necesitará crear un nuevo grupo de recursos antes de crear un nuevo servicio de Azure, por lo que usaremos
grupos de recursos como ejemplo para mostrar cómo crear recursos de Azure desde la CLI.
2. CLI de Azure crear grupo comando crea un grupo de recursos. Debe especificar un nombre y una ubicación. La nombre debe
ser único dentro de su suscripción. La localización determina dónde se almacenarán los metadatos de su grupo de
recursos. Utiliza cadenas como "Oeste de EE. UU.", "Norte de Europa" o "Oeste de la India" para especificar la ubicación;
como alternativa, puede utilizar equivalentes de una sola palabra, como westus, northeurope u westindia. La sintaxis
principal es:
5 https://docs.microsoft.com/en-us/cli/azure/?view=azure-cli-latest
Azure PowerShell y CLI 73
1. Para muchos recursos de Azure, la CLI de Azure proporciona una lista subcomando para ver los detalles del recurso. Para
ejemplo, la CLI de Azure lista de grupo comando enumera sus grupos de recursos de Azure. Esto es útil para verificar
si la creación del grupo de recursos fue exitosa:
lista de grupos az
2. Para obtener una vista más concisa, puede formatear la salida como una tabla simple:
3. Si tiene varios elementos en la lista de grupos, puede filtrar los valores devueltos agregando un consulta opción.
Prueba este comando:
Plantillas ARM
Ventajas de la plantilla
Un Plantilla de Azure Resource Manager define con precisión todos los recursos de Resource Manager en una implementación.
Puede implementar una plantilla de Resource Manager en un grupo de recursos como una sola operación.
El uso de plantillas de Resource Manager hará que sus implementaciones sean más rápidas y repetibles. Por
ejemplo, ya no tiene que crear una VM en el portal, esperar a que termine y luego crear la siguiente VM. Resource
Manager se encarga de toda la implementación por usted.
Beneficios de la plantilla
● Las plantillas mejoran la coherencia. Las plantillas de Resource Manager proporcionan un lenguaje común para que usted y
otros describan sus implementaciones. Independientemente de la herramienta o SDK que utilice para implementar la plantilla,
la estructura, el formato y las expresiones dentro de la plantilla siguen siendo los mismos.
● Las plantillas ayudan a expresar implementaciones complejas. Las plantillas le permiten implementar varios
recursos en el orden correcto. Por ejemplo, no querrá implementar una máquina virtual antes de crear un disco
de sistema operativo (SO) o una interfaz de red. Resource Manager mapea cada recurso y sus recursos
dependientes, y crea primero los recursos dependientes. El mapeo de dependencias ayuda a garantizar que la
implementación se lleve a cabo en el orden correcto.
● Las plantillas reducen las tareas manuales propensas a errores. Crear y conectar recursos manualmente puede
llevar mucho tiempo y es fácil cometer errores. Resource Manager garantiza que la implementación se realice de la
misma manera en todo momento.
● Las plantillas son código. Las plantillas expresan sus requisitos a través del código. Piense en una plantilla como un tipo de
infraestructura como código que se puede compartir, probar y versionar de manera similar a cualquier otra pieza de software.
Además, debido a que las plantillas son código, puede crear un "rastro de papel" que puede seguir. El código de la plantilla
documenta la implementación. La mayoría de los usuarios mantienen sus plantillas bajo algún tipo de control de revisión, como
GIT. Cuando cambia la plantilla, su historial de revisión también documenta cómo la plantilla (y su implementación) ha
evolucionado con el tiempo.
● Las plantillas promueven la reutilización. Su plantilla puede contener parámetros que se completan cuando se ejecuta la
plantilla. Un parámetro puede definir un nombre de usuario o contraseña, un nombre de dominio, etc. Los parámetros de la
plantilla le permiten crear múltiples versiones de su infraestructura, como la puesta en escena y la producción, sin dejar de utilizar
exactamente la misma plantilla.
● Las plantillas se pueden vincular. Puede vincular las plantillas de Resource Manager para que las propias plantillas
sean modulares. Puede escribir pequeñas plantillas en las que cada una define una parte de una solución y luego
combinarlas para crear un sistema completo.
● Las plantillas simplifican la orquestación. Solo necesita implementar la plantilla para implementar todos sus
recursos. Normalmente, esto requeriría múltiples operaciones.
Esquema de plantilla
Las plantillas ARM están escritas en JSON, lo que le permite expresar los datos almacenados como un objeto (como una
máquina virtual) en texto. Un documento JSON es esencialmente una colección de pares clave-valor. Cada clave es una cadena,
cuyo valor puede ser:
● Una cuerda
● Un número
Plantillas ARM 75
Una plantilla de Resource Manager puede contener secciones que se expresan mediante notación JSON, pero que no están
relacionadas con el lenguaje JSON en sí:
{
"$ esquema": "http://schema.management.azure.com/schemas/2019-04"contentVersion":
01 / deploymentTemplate.json # ",
"",
"parámetros": {},
"variables": {},
"funciones": [],
"recursos": [],
"salidas": {}
}
anterior.
la implementación de recursos.
implementación.
Para más información, Comprender la estructura y la sintaxis de las plantillas de Azure Resource Manager 6 .
6 https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-authoring-templates
76 Módulo 3 Administración de Azure
Parámetros de plantilla
En la sección de parámetros de la plantilla, especifica los valores que puede ingresar al implementar los
recursos.
Las propiedades disponibles para un parámetro son:
"parámetros": {
"<nombre-parámetro>": {
"tipo": "<tipo-de-valor-parámetro>",
"defaultValue": "<valor-predeterminado-de-parámetro>",
"allowedValues": ["<array-of-valores-allowed-values>"], "minValue":
<minimum-value-for-int>,
"maxValue": <valor-máximo-por-int>,
"minLength": <minimum-length-for-string-or-array>,
"maxLength": <maximum-length-for-string-or-array-parameters>, "metadata": {
"descripción": "<descripción-del-parámetro>"
}
}
}
Aquí hay un ejemplo que ilustra dos parámetros: uno para el nombre de usuario de una máquina virtual (VM) y otro para su
contraseña:
"parámetros": {
"adminUsername": {
"tipo": "cadena",
"metadatos": {
"description": "Nombre de usuario de la máquina virtual". }
},
"clave de administrador": {
"tipo": "cadena de seguridad",
"metadatos": {
"description": "Contraseña para la máquina virtual". }
✔ Está limitado a 256 parámetros en una plantilla. Puede reducir el número de parámetros mediante el uso de
objetos que contienen varias propiedades.
7 https://azure.microsoft.com/en-us/resources/templates/
Plantillas ARM 77
Las plantillas proporcionan todo lo que necesita para implementar su solución, mientras que otras pueden servir como punto de
partida para su plantilla. De cualquier manera, puede estudiar estas plantillas para aprender cómo crear y estructurar mejor sus
propias plantillas.
✔ Tómese unos minutos para explorar las plantillas disponibles. ¿Algo de interés?
Explore la galería
1. Empiece por navegar al Galería de plantillas de inicio rápido de Azure 8 . En la galería encontrarás un número
de plantillas populares y recientemente actualizadas. Estas plantillas funcionan tanto con recursos de Azure como con
paquetes de software populares.
1. Digamos que te encuentras con Implementar una máquina virtual de Windows simple 9 plantilla.
Nota: La Implementar en Azure El botón le permite implementar la plantilla directamente a través del portal de Azure si lo
desea.
Nota: Desplácese hacia abajo hasta Usar la plantilla Potencia Shell código. Necesitarás el TemplateURI en la próxima demostración. Copie
el valor. Por ejemplo,
https://raw.githubusercontent.com/Azure/azure-quickstart-templates/mas- ter /
101-vm-simple-windows / azuredeploy.json
8 https://azure.microsoft.com/resources/templates?azure-portal=true
9 https://azure.microsoft.com/resources/templates/101-vm-simple-windows?azure-portal=true
78 Módulo 3 Administración de Azure
2. Hacer clic Navegar en GitHub para navegar al código fuente de la plantilla en GitHub.
3. Observe desde esta página que también puede Implementar en Azure. Tómese un minuto para ver el archivo Léame. Esto
ayuda a determinar si la plantilla es para usted.
5. Observe los recursos que componen la implementación, incluida una máquina virtual, una cuenta de almacenamiento y
recursos de red.
6. Utilice su ratón para organizar los recursos. También puede usar la rueda de desplazamiento del mouse para acercar y alejar.
● El tamaño de la VM es Standard_A2.
● El nombre de la computadora se lee de una variable de plantilla y el nombre de usuario y la contraseña de la máquina virtual
se leen de los parámetros de la plantilla.
9. Regrese a la página de Inicio rápido que muestra los archivos en la plantilla. Copie el enlace a azuredeploy. json
archivo.
Conéctese a su suscripción
1. Si está trabajando con una instalación local de PowerShell, deberá autenticarse antes de poder ejecutar los
comandos de Azure. Para hacer esto, abra PowerShell ISE, o una consola de PowerShell como administrador, y
ejecute el siguiente comando:
Connect-AzAccount
2. Después de iniciar sesión correctamente, los detalles de su cuenta y suscripción deberían aparecer en la ventana de la
consola de PowerShell. Ahora debe seleccionar una suscripción o un contexto en el que desplegará sus recursos. Si
solo hay una suscripción, establecerá el contexto para esa suscripción de forma predeterminada. De lo contrario,
puede especificar la suscripción en la que implementar los recursos ejecutando los siguientes comandos en secuencia:
Get-AzContext
Set-AzContext -subscription <su ID de suscripción>
1. A menudo, deberá crear un nuevo grupo de recursos antes de crear un nuevo servicio o recurso de Azure.
Usaremos grupos de recursos como ejemplo para mostrar cómo crear recursos de Azure desde Azure
Power-Shell.
Plantillas ARM 79
3. Cree el grupo de recursos en el que implementaremos nuestros recursos utilizando los siguientes comandos.
New-AzResourceGroup -Name <nombre del grupo de recursos> -Location <su centro de datos más
cercano>
● Este es cualquier nombre DNS único, como sus iniciales y números aleatorios.
3. Para hacer que los scripts estén libres de entrada manual, puede crear un archivo .ps1 y luego ingresar todos los
comandos y entradas. Puede utilizar valores de parámetro en el script para definir el usuario Contraseña y dnslabel-
prefijo valores y luego ejecute el archivo de PowerShell sin entrada. Usa el archivo build.ps1 10 como un ejemplo de cómo
puede hacer esto.
Nota: En el ejemplo anterior, llamamos a una plantilla disponible públicamente en GitHub. También puede llamar a una plantilla local
o una ubicación de almacenamiento segura, y puede definir el nombre de archivo y la ubicación de la plantilla como una variable para
usar en el script. También puede especificar el modo de implementación, incluido incremental o completo.
1. Una vez que haya implementado correctamente la plantilla, debe verificar la implementación. Para hacer esto, ejecute los
siguientes comandos:
Get-AzVM
2. Anote el nombre de la máquina virtual, luego ejecute el siguiente comando para obtener detalles adicionales de la máquina virtual:
Get-AzVM -Name <su nombre de VM, es decir, SimpleWinVM> -resourcegroupname <su nombre de grupo
de recursos>
3. También puede enumerar las VM de su suscripción con el Get-AzVM -Status mando. Esto también puede
especificar una máquina virtual con el - Nombre propiedad. En el siguiente ejemplo, lo asignamos a una variable de PowerShell:
$ vm = Get-AzVM -Name <su nombre de VM, es decir, SimpleWinVM> -ResourceGroupName <su nombre
de grupo de recursos>
10 https://github.com/Microsoft/PartsUnlimited/blob/master/build.ps1?azure-portal=true
80 Módulo 3 Administración de Azure
4. Lo interesante es que este es un objeto con el que puedes interactuar. Por ejemplo, puede tomar ese
objeto, realizar cambios y luego enviar los cambios a Azure con el Actualización-AzVM mando:
$ ResourceGroupName = "ExerciseResources"
$ vm = Get-AzVM -Name MyVM -ResourceGroupName $ ResourceGroupName $
vm.HardwareProfile.vmSize = "Standard_A3"
Nota: Dependiendo de la ubicación de su centro de datos, podría recibir un error relacionado con el tamaño de la máquina virtual
que no está disponible en su región. Puede modificar el valor de vmSize a uno que esté disponible en su región.
✔ El modo interactivo de PowerShell es apropiado para tareas puntuales. En nuestro ejemplo, probablemente usaremos el
mismo grupo de recursos durante la vida del proyecto, lo que significa que crearlo de forma interactiva es razonable. El
modo interactivo suele ser más rápido y fácil para esta tarea que escribir un script y luego ejecutarlo solo una vez.
Módulo 03 Práctica de laboratorio y revisión 81
Escenario de laboratorio
Debe explorar las capacidades básicas de administración de Azure asociadas con el aprovisionamiento de recursos y su
organización en función de grupos de recursos, incluido el movimiento de recursos entre grupos de recursos. También
desea explorar opciones para proteger los recursos del disco para que no se eliminen accidentalmente, al mismo tiempo
que permite modificar sus características de rendimiento y tamaño.
Objetivos
En este laboratorio, haremos lo siguiente:
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Escenario de laboratorio
Ahora que ha explorado las capacidades de administración básicas de Azure asociadas con el aprovisionamiento de
recursos y su organización en función de los grupos de recursos mediante Azure Portal, debe realizar la tarea
equivalente mediante las plantillas de Azure Resource Manager.
Objetivos
En este laboratorio, podrá:
● Tarea 1: revisar una plantilla ARM para la implementación de un disco administrado de Azure.
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
82 Módulo 3 Administración de Azure
Escenario de laboratorio
Ahora que ha explorado las capacidades de administración básicas de Azure asociadas con el aprovisionamiento de recursos
y su organización en función de los grupos de recursos mediante el portal de Azure y las plantillas de Azure Resource
Manager, debe realizar la tarea equivalente mediante Azure PowerShell. Para evitar la instalación de módulos de Azure
PowerShell, aprovechará el entorno de PowerShell disponible en Azure Cloud Shell.
Objetivos
En este laboratorio, podrá:
● Tarea 2: Cree un grupo de recursos y un disco administrado de Azure mediante Azure PowerShell.
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Escenario de laboratorio
Ahora que ha explorado las capacidades básicas de administración de Azure asociadas con el aprovisionamiento de recursos
y su organización en función de los grupos de recursos mediante Azure Portal, las plantillas de Azure Resource Manager y
Azure PowerShell, debe realizar la tarea equivalente mediante la CLI de Azure. Para evitar la instalación de la CLI de Azure,
aprovechará el entorno Bash disponible en Azure Cloud Shell.
Objetivos
En este laboratorio, podrá:
● Tarea 2: Cree un grupo de recursos y un disco administrado de Azure mediante la CLI de Azure.
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Módulo 03 Práctica de laboratorio y revisión 83
Pregunta de repaso 1
Está creando un nuevo grupo de recursos para utilizarlo en las pruebas. ¿Cuáles de los siguientes parámetros son
necesarios cuando crea un grupo de recursos con PowerShell o la CLI? Seleccione dos.
?? Localización
?? Nombre
?? Región
?? Suscripción
?? Etiqueta
Pregunta de repaso 2
¿Cuál de las siguientes opciones no es cierta sobre Cloud Shell?
?? Proporciona un editor.
Pregunta de repaso 3
Está administrando Azure localmente mediante PowerShell. Ha iniciado la aplicación como administrador. ¿Cuál de los
siguientes comandos haría primero?
?? Connect-AzAccount
?? Get-AzResourceGroup
?? Get-AzSubscription
?? New-AzResourceGroup
Pregunta de repaso 4
Tiene una nueva suscripción de Azure y necesita mover recursos a esa suscripción. ¿Cuál de los siguientes recursos
no se puede mover? Seleccione uno.
?? Bóveda de llaves
?? Cuenta de almacenamiento
?? Inquilino
?? Máquina virtual
84 Módulo 3 Administración de Azure
Pregunta de repaso 5
¿Cuál de los siguientes no es un elemento del esquema de plantilla? Seleccione uno.
?? Funciones
?? Entradas
?? Salidas
?? Parámetros
Pregunta de repaso 6
¿Cuál de las siguientes opciones describe mejor el formato de una plantilla de Azure Resource Manager? Seleccione uno.
Pregunta de repaso 7
Está revisando el uso de su máquina virtual. Observa que ha alcanzado el límite de máquinas virtuales en la región
Este de EE. UU. ¿Cuál de las siguientes opciones ofrece la solución más sencilla? Seleccione uno.
?? Cambie el tamaño de sus máquinas virtuales para manejar cargas de trabajo más grandes
Pregunta de repaso 8
Su jefe le pide que explique cómo utiliza Azure los grupos de recursos. Proporciona toda la siguiente información,
excepto? Seleccione uno.
Estudio adicional
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. Puede buscar módulos adicionales por producto, función o nivel.
11 https://docs.microsoft.com/en-us/learn/modules/tour-azure-portal/
12 https://docs.microsoft.com/en-us/learn/modules/control-and-organize-with-azure-resource-manager/
Módulo 03 Práctica de laboratorio y revisión 85
13 https://docs.microsoft.com/en-us/learn/modules/build-azure-vm-templates/
14 https://docs.microsoft.com/en-us/learn/modules/automate-azure-tasks-with-powershell/
15 https://docs.microsoft.com/en-us/learn/modules/manage-virtual-machines-with-azure-cli/
86 Módulo 3 Administración de Azure
Respuestas
Pregunta de repaso 1
Está creando un nuevo grupo de recursos para utilizarlo en las pruebas. ¿Cuáles de los siguientes parámetros son
necesarios cuando crea un grupo de recursos con PowerShell o la CLI? Seleccione dos.
■ Ubicación
■ Nombre
?? Región
?? Suscripción
?? Etiqueta
Explicación
PowerShell (New-AzResourceGroup) y CLI (creación de grupo az) requieren la ubicación y el nombre.
Pregunta de repaso 2
?? Proporciona un editor.
Explicación
A Cloud Shell se le asignan varias máquinas por cuenta de usuario, no es cierto. A la shell de nube se le asigna una máquina
por cuenta de usuario.
Pregunta de repaso 3
Está administrando Azure localmente mediante PowerShell. Ha iniciado la aplicación como administrador.
¿Cuál de los siguientes comandos haría primero?
■ Connect-AzAccount
?? Get-AzResourceGroup
?? Get-AzSubscription
?? New-AzResourceGroup
Explicación
Connect-AzAccount. Cuando trabaja localmente, no inicia sesión automáticamente en Azure. Entonces, lo
primero que debe hacer es conectarse a Azure y proporcionar sus credenciales.
Módulo 03 Práctica de laboratorio y revisión 87
Pregunta de repaso 4
Tiene una nueva suscripción de Azure y necesita mover recursos a esa suscripción. ¿Cuál de los siguientes
recursos no se puede mover? Seleccione uno.
?? Bóveda de llaves
?? Cuenta de almacenamiento
■ Inquilino
?? Máquina virtual
Explicación
Inquilino. Un inquilino no se puede mover entre suscripciones.
Pregunta de repaso 5
?? Funciones
■ Entradas
?? Salidas
?? Parámetros
Explicación
Entradas. Las entradas no forman parte del esquema de la plantilla.
Pregunta de repaso 6
¿Cuál de las siguientes opciones describe mejor el formato de una plantilla de Azure Resource Manager? Seleccione uno.
Explicación
Un documento JSON con pares clave-valor. Una plantilla de recursos de Azure es un documento JSON con pares clave-valor.
Pregunta de repaso 7
Está revisando el uso de su máquina virtual. Observa que ha alcanzado el límite de máquinas virtuales en la
región Este de EE. UU. ¿Cuál de las siguientes opciones ofrece la solución más sencilla? Seleccione uno.
?? Cambie el tamaño de sus máquinas virtuales para manejar cargas de trabajo más grandes
Explicación
Solicite soporte aumente su límite. Si necesita aumentar un límite predeterminado, hay un enlace Solicitar
aumento. Completará y enviará la solicitud de soporte.
88 Módulo 3 Administración de Azure
Pregunta de repaso 8
Su jefe le pide que explique cómo utiliza Azure los grupos de recursos. Proporciona toda la siguiente
información, excepto? Seleccione uno.
Explicación
Los grupos de recursos no se pueden anidar.
Módulo 4 Redes virtuales
Redes virtuales
Componentes de red de Azure
Un incentivo importante para adoptar soluciones en la nube como Azure es permitir que los departamentos de tecnología de la
información (TI) muevan los recursos del servidor a la nube. Esto puede ahorrar dinero y simplificar las operaciones al eliminar la
necesidad de mantener costosos centros de datos con fuentes de alimentación ininterrumpidas, generadores, varias cajas de
seguridad, servidores de bases de datos agrupados, etc. Para las pequeñas y medianas empresas, que pueden no tener la
experiencia para mantener su propia infraestructura robusta, el cambio a la nube es particularmente atractivo.
Una vez que los recursos se trasladan a Azure, requieren la misma funcionalidad de red que una implementación local y, en
escenarios específicos, requieren cierto nivel de aislamiento de la red. Los componentes de red de Azure ofrecen una
variedad de funcionalidades y servicios que pueden ayudar a las organizaciones a diseñar y construir servicios de
infraestructura en la nube que cumplan con sus requisitos. Azure tiene muchos componentes de red.
90 Módulo 4 Redes virtuales
Redes virtuales
Una red virtual de Azure (VNet) es una representación de su propia red en la nube. Es un aislamiento lógico de la nube de
Azure dedicada a su suscripción. Puede usar redes virtuales para aprovisionar y administrar redes privadas virtuales (VPN) en
Azure y, opcionalmente, vincular las redes virtuales con otras redes virtuales en Azure o con su infraestructura de TI local
para crear soluciones híbridas o entre instalaciones. Cada red virtual que cree tiene su propio bloque CIDR y se puede
vincular a otras redes virtuales y redes locales si los bloques CIDR no se superponen. También tiene control de la
configuración del servidor DNS para redes virtuales y la segmentación de la red virtual en subredes.
● Cree una red virtual exclusiva en la nube privada dedicada. A veces, no necesita una configuración entre locales para
su solución. Cuando crea una red virtual, sus servicios y máquinas virtuales dentro de su red virtual pueden
Redes virtuales 91
comunicarse de forma directa y segura entre sí en la nube. Aún puede configurar conexiones de punto final para las
máquinas virtuales y los servicios que requieren comunicación por Internet, como parte de su solución.
● Amplíe de forma segura su centro de datos con redes virtuales. Puede crear VPN tradicionales de sitio a sitio (S2S) para escalar de
forma segura la capacidad de su centro de datos. Las VPN de S2S utilizan IPSEC para proporcionar una conexión segura entre su puerta
● Habilite escenarios de nube híbrida. Las redes virtuales le brindan la flexibilidad para admitir una variedad de escenarios de
nube híbrida. Puede conectar de forma segura aplicaciones basadas en la nube a cualquier tipo de sistema local, como
mainframes y sistemas Unix.
Subredes
Una red virtual se puede segmentar en una o más subredes. Las subredes proporcionan divisiones lógicas dentro de su
red. Las subredes pueden ayudar a mejorar la seguridad, aumentar el rendimiento y facilitar la administración de la red.
Cada subred contiene un rango de direcciones IP que se encuentran dentro del espacio de direcciones de la red virtual. Cada
subred debe tener un rango de direcciones único, especificado en formato CIDR. El rango de direcciones no puede superponerse
con otras subredes en la red virtual en la misma suscripción.
Consideraciones
● Requisitos de servicio. Cada servicio implementado directamente en la red virtual tiene requisitos específicos para el
enrutamiento y los tipos de tráfico que se deben permitir dentro y fuera de las subredes. Un servicio puede requerir, o
crear, su propia subred, por lo que debe haber suficiente espacio sin asignar para que lo hagan. Por ejemplo, si
conecta una red virtual a una red local mediante una puerta de enlace de VPN de Azure, la red virtual debe tener una
subred dedicada para la puerta de enlace.
● Aparatos virtuales. Azure enruta el tráfico de red entre todas las subredes de una red virtual, de forma predeterminada.
Puede anular el enrutamiento predeterminado de Azure para evitar el enrutamiento de Azure entre subredes o para
enrutar el tráfico entre subredes a través de un dispositivo virtual de red. Por lo tanto, si necesita que el tráfico entre
recursos en la misma red virtual fluya a través de un dispositivo virtual de red (NVA), implemente los recursos en
diferentes subredes.
● Puntos finales de servicio. Puede limitar el acceso a los recursos de Azure, como una cuenta de almacenamiento de Azure o una
base de datos SQL de Azure, a subredes específicas con un punto de conexión de servicio de red virtual. Además, puede denegar
el acceso a los recursos de Internet. Puede crear varias subredes y habilitar un punto final de servicio para algunas subredes,
pero no para otras.
1 https://docs.microsoft.com/en-us/azure/virtual-network/
92 Módulo 4 Redes virtuales
● Grupos de seguridad de red. Puede asociar cero o un grupo de seguridad de red a cada subred en una red
virtual. Puede asociar el mismo grupo de seguridad de red o uno diferente a cada subred. Cada grupo de
seguridad de red contiene reglas que permiten o deniegan el tráfico hacia y desde fuentes y destinos.
✔ Azure reserva las tres primeras direcciones IP y la última dirección IP en cada rango de direcciones de subred.
✔ Los límites predeterminados de los recursos de red de Azure pueden cambiar periódicamente, por lo que es una buena idea consultar la
✔ Siempre planifique utilizar un espacio de direcciones que no esté en uso en su organización, ya sea en las instalaciones o en otras
redes virtuales. Incluso si planea que una red virtual sea solo en la nube, es posible que desee realizar una conexión VPN más
adelante. Si hay alguna superposición en los espacios de direcciones en ese punto, tendrá que reconfigurar o volver a crear la red
virtual. La próxima lección se centrará en el direccionamiento IP.
Nota: Puede utilizar los valores sugeridos para la configuración o sus propios valores personalizados si lo prefiere.
● Nombre: myVNet1.
● Habla a: 10.1.0.0/16.
$ mySubnet2 | Set-AzVirtualNetwork
6. Regrese al portal y verifique que se haya creado su nueva red virtual con subred.
94 Módulo 4 Redes virtuales
Direccionamiento IP
Direccionamiento IP
Puede asignar direcciones IP a los recursos de Azure para comunicarse con otros recursos de Azure, su red
local e Internet. Hay dos tipos de direcciones IP que puede usar en Azure. Las redes virtuales pueden
contener espacios de direcciones IP públicos y privados.
1. Direcciones IP privadas: Se utiliza para la comunicación dentro de una red virtual de Azure (VNet) y su
Red local, cuando usa una puerta de enlace VPN o un circuito ExpressRoute para extender su red a Azure.
2. Direcciones IP públicas: Se utiliza para la comunicación con Internet, incluida la cara pública de Azure.
servicios.
● Resolución de nombres DNS, donde un cambio en la dirección IP requeriría actualizar los registros del host.
● Modelos de seguridad basados en direcciones IP que requieren que las aplicaciones o los servicios tengan una dirección IP estática.
● Reglas de firewall que permiten o niegan el tráfico mediante rangos de direcciones IP.
✔ Como práctica recomendada, puede decidir separar los recursos IP asignados de forma dinámica y estática en
diferentes subredes. Además, las direcciones IP nunca se administran desde una máquina virtual.
Versión IP. Seleccione IPv4 o IPv6 o Ambos. Si selecciona Ambas, se crearán 2 direcciones IP públicas: 1
dirección IPv4 y 1 dirección IPv6.
SKU. No puede cambiar el SKU después de que se crea la dirección IP pública. Una máquina virtual independiente, máquinas virtuales
dentro de un conjunto de disponibilidad o conjuntos de escalado de máquinas virtuales pueden usar SKU básicos o estándar. No se permite
mezclar SKU entre máquinas virtuales dentro de conjuntos de disponibilidad o conjuntos de escalado o máquinas virtuales independientes.
Nombre. El nombre debe ser exclusivo dentro del grupo de recursos que seleccione.
Asignación de dirección IP
● Dinámica. Las direcciones dinámicas se asignan solo después de que se asocia una dirección IP pública a un
recurso de Azure y el recurso se inicia por primera vez. Las direcciones dinámicas pueden cambiar si se asignan a
un recurso, como una máquina virtual, y la máquina virtual se detiene (desasigna) y luego se reinicia. La dirección
sigue siendo la misma si una máquina virtual se reinicia o se detiene (pero no se desasigna). Las direcciones
dinámicas se liberan cuando un recurso de dirección IP pública se disocia de un recurso al que está asociado.
● Estático. Las direcciones estáticas se asignan cuando se crea una dirección IP pública. Las direcciones estáticas no se
liberan hasta que se elimina un recurso de dirección IP pública. Si la dirección no está asociada a un recurso, puede
cambiar el método de asignación después de que se crea la dirección. Si la dirección está asociada a un recurso, es
posible que no pueda cambiar el método de asignación. Si selecciona IPv6 para la versión de IP, el método de asignación
debe ser Dinámico para SKU básico. Las direcciones SKU estándar son estáticas tanto para IPv4 como para IPv6.
Direcciones IP públicas
Un recurso de dirección IP pública se puede asociar con interfaces de red de máquinas virtuales, balanceadores de carga orientados a
SKU de dirección
Cuando crea una dirección IP pública, se le ofrece la opción de SKU entre Básico o Estándar. Su elección de SKU
afecta el método de asignación de IP, la seguridad, los recursos disponibles y la redundancia. Esta tabla resume
las diferencias.
Direcciones IP privadas
Un recurso de dirección IP privada se puede asociar con interfaces de red de máquinas virtuales, balanceadores de carga
internos y puertas de enlace de aplicaciones. Azure puede proporcionar una dirección IP (asignación dinámica) o puede
asignar la dirección IP (asignación estática).
Se asigna una dirección IP privada del rango de direcciones de la subred de la red virtual en la que se implementa un
recurso.
● Dinámica. Azure asigna la siguiente dirección IP no asignada o reservada disponible en el rango de direcciones de la
subred. Por ejemplo, Azure asigna 10.0.0.10 a un nuevo recurso, si las direcciones 10.0.0.4-10.0.0.9 ya están asignadas
a otros recursos. Dinámico es el método de asignación predeterminado.
● Estático. Usted selecciona y asigna cualquier dirección IP no asignada o no reservada en el rango de direcciones de la
subred. Por ejemplo, si el rango de direcciones de una subred es 10.0.0.0/16 y las direcciones 10.0.0.4-10.0.0.9 ya están
asignadas a otros recursos, puede asignar cualquier dirección entre 10.0.0.10 - 10.0.255.254.
Grupos de seguridad de red 97
Subredes
Puede asignar NSG a subredes y crear subredes filtradas protegidas (también llamadas DMZ). Estos NSG pueden restringir
el flujo de tráfico a todas las máquinas que residen dentro de esa subred. Cada subred puede tener uno o ninguno grupos
de seguridad de red asociados.
Interfaces de red
Puede asignar NSG a una NIC para que todo el tráfico que fluya a través de esa NIC esté controlado por reglas de NSG. Cada
interfaz de red que existe en una subred puede tener uno o cero grupos de seguridad de red asociados.
Asociaciones
Cuando crea un NSG, la hoja Descripción general proporciona información sobre el NSG, como subredes
asociadas, interfaces de red asociadas y reglas de seguridad.
✔ Generalmente, esto se usa para VM específicas con roles de Dispositivos virtuales de red (NVA); de lo contrario,
se recomienda vincular el NSG al nivel de subred y reutilizarlo en sus VNET y subredes.
Reglas de NSG
Las reglas de seguridad en los grupos de seguridad de red le permiten filtrar el tipo de tráfico de red que puede entrar y salir de
las subredes de la red virtual y las interfaces de red. Azure crea varias reglas de seguridad predeterminadas dentro de cada grupo
de seguridad de red.
Puede agregar más reglas especificando Nombre, Prioridad, Puerto, Protocolo (Cualquiera, TCP, UDP), Origen (Cualquiera,
Direcciones IP, Etiqueta de servicio), Destino (Cualquiera, Direcciones IP, Red virtual) y Acción (Permitir o Denegar ). No puede
eliminar las reglas predeterminadas, pero puede agregar otras reglas con mayor prioridad.
Azure crea las reglas predeterminadas en cada grupo de seguridad de red que cree. No puede eliminar las reglas
predeterminadas, pero puede anularlas creando reglas con prioridades más altas.
2 https://docs.microsoft.com/en-us/azure/virtual-network/security-overview
98 Módulo 4 Redes virtuales
Reglas de entrada
Hay tres reglas de seguridad de entrada predeterminadas. Las reglas niegan todo el tráfico entrante excepto desde la red virtual y
los balanceadores de carga de Azure.
Reglas de salida
Hay tres reglas de seguridad salientes predeterminadas. Las reglas solo permiten el tráfico saliente a Internet
y la red virtual.
En el ejemplo anterior, si hubiera tráfico entrante en el puerto 80, necesitaría tener el NSG en el nivel de subred
ALLOW puerto 80, y también necesitaría otro NSG con la regla ALLOW en el puerto 80 en el nivel de NIC. Para el
tráfico entrante, primero se evalúa el NSG configurado en el nivel de subred, luego se evalúa el NSG configurado en
el nivel de NIC. Para el tráfico saliente, es lo contrario.
Si tiene varios NSG y no está seguro de qué reglas de seguridad se están aplicando, puede usar el Reglas de
seguridad efectivas Enlace. Por ejemplo, puede verificar las reglas de seguridad que se aplican a una interfaz de
red.
Servicio. El servicio especifica el protocolo de destino y el rango de puertos para esta regla. Puede elegir un servicio
predefinido, como HTTPS y SSH. Cuando selecciona un servicio, el rango de puertos se completa automáticamente. Elija
personalizado para proporcionar su propio rango de puertos.
Rangos de puertos. Si elige un servicio personalizado, proporcione un solo puerto, como 80; un rango de puertos, como 1024-65635;
o una lista separada por comas de puertos individuales y / o rangos de puertos, como 80, 1024-65535. Esto especifica en qué puertos
se permitirá o denegará el tráfico mediante esta regla. Proporcione un asterisco (*) para permitir el tráfico en cualquier puerto.
Prioridad. Las reglas se procesan en orden de prioridad. Cuanto menor sea el número, mayor es la prioridad. Recomendamos dejar
espacios entre las reglas: 100, 200, 300, etc. Esto es así para que sea más fácil agregar nuevas reglas sin editar las existentes.
Ingrese un valor entre 100-4096 que sea único para todas las reglas de seguridad dentro del grupo de seguridad de la red.
Demostración: NSG
En esta demostración, explorará NSG y puntos finales de servicio.
100 Módulo 4 Redes virtuales
3. Si tiene máquinas virtuales, es posible que ya tenga NSG. Observe la capacidad de filtrar la lista.
● Localización: tu elección
2. Observe que el NSG se puede asociar con subredes e interfaces de red (información resumida por encima de las
reglas).
3. Observe las tres reglas NSG de entrada y tres de salida. Debajo Ajustes
5. Aviso que puede usar Reglas predeterminadas para ocultar las reglas predeterminadas.
6. + Agregar una nueva regla de seguridad entrante. Hacer clic Básico para cambiar al modo avanzado.
Utilizar el Servicio desplegable para revisar los servicios predefinidos que están disponibles.
7.
8.
9. Cuando realiza una selección de servicio (como HTTPS), el rango de puertos (como 443) se completa automáticamente.
Esto facilita la configuración de la regla.
10. Utilice el icono de Información junto a la etiqueta de Prioridad para aprender cómo configurar la prioridad.
12. Cuando tenga tiempo, revise cómo agregar una regla de seguridad saliente.
Cortafuegos de Azure 101
Cortafuegos de Azure
Cortafuegos de Azure
Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que protege los recursos de la red
virtual de Azure. Es un firewall con estado completo como servicio con alta disponibilidad incorporada y escalabilidad
ilimitada en la nube. Puede crear, hacer cumplir y registrar de forma centralizada políticas de conectividad de red y
aplicaciones a través de suscripciones y redes virtuales. Azure Firewall usa una dirección IP pública estática para los
recursos de su red virtual, lo que permite que los firewalls externos identifiquen el tráfico que se origina en su red virtual. El
servicio está completamente integrado con Azure Monitor para registro y análisis.
● Zonas de disponibilidad. Azure Firewall se puede configurar durante la implementación para abarcar varias zonas de disponibilidad para
aumentar la disponibilidad.
● Escalabilidad ilimitada de la nube. Azure Firewall puede ampliarse tanto como necesite para adaptarse a los flujos
de tráfico de red cambiantes, por lo que no necesita presupuestar su tráfico pico.
● Reglas de filtrado de FQDN de la aplicación. Puede limitar el tráfico HTTP / S saliente o el tráfico de Azure SQL a una lista
específica de nombres de dominio completos (FQDN), incluidos los comodines.
● Reglas de filtrado de tráfico de red. Puede crear de forma centralizada reglas de filtrado de red para permitir o
denegar por dirección IP de origen y destino, puerto y protocolo. Azure Firewall tiene estado completo, por lo que
puede distinguir paquetes legítimos para diferentes tipos de conexiones. Las reglas se aplican y registran a través de
múltiples suscripciones y redes virtuales.
● Inteligencia de amenazas. El filtrado basado en inteligencia de amenazas se puede habilitar para que su firewall alerte y
denegue el tráfico desde / hacia dominios y direcciones IP maliciosas conocidas. Las direcciones IP y los dominios se obtienen
de la fuente de Microsoft Threat Intelligence.
● Varias direcciones IP públicas. Puede asociar varias direcciones IP públicas (hasta 100) con su firewall.
102 Módulo 4 Redes virtuales
1. Crea la infraestructura de red. En este caso, tenemos una red virtual con tres subredes.
2. Implemente el firewall. El cortafuegos está asociado a la red virtual. En este caso, está en una subred separada con una
dirección IP pública y privada. La dirección IP privada se utilizará en una nueva tabla de enrutamiento.
3. Crea una ruta predeterminada. Cree una tabla de enrutamiento para dirigir el tráfico de la carga de trabajo de la red
al firewall. La ruta se asociará con la subred de carga de trabajo. Todo el tráfico de esa subred se enrutará a la
dirección IP privada del firewall.
En implementaciones de producción, un Modelo de cubo y radios 3 Se recomienda cuando el firewall esté en su propia red virtual y los
servidores de carga de trabajo estén en redes virtuales emparejadas en la misma región con una o más subredes.
Reglas NAT
Puede configurar la traducción de direcciones de red de destino (DNAT) de Azure Firewall para traducir y filtrar el tráfico
entrante a sus subredes. Cada regla de la colección de reglas NAT se utiliza para traducir la IP pública y el puerto de su
firewall a una IP y un puerto privados. Los escenarios en los que las reglas de NAT pueden ser útiles son la publicación de
aplicaciones SSH, RDP o que no son HTTP / S en Internet. Una regla NAT que enruta el tráfico debe ir acompañada de una
regla de red coincidente para permitir el tráfico. Los ajustes de configuración incluyen:
3 https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/hybrid-networking/hub-spoke
Cortafuegos de Azure 103
● Puertos de destino: Los puertos TCP o UDP que escuchará la regla en la dirección IP externa del firewall.
● Dirección traducida: La dirección IP del servicio (máquina virtual, equilibrador de carga interno, etc.) que aloja o
presenta el servicio de forma privada.
Reglas de red
Cualquier tráfico que no sea HTTP / S y que pueda fluir a través del firewall debe tener una regla de red.
Por ejemplo, si los recursos de una subred deben comunicarse con los recursos de otra subred, debe
configurar una regla de red desde el origen hasta el destino. Los ajustes de configuración incluyen:
Reglas de aplicación
Las reglas de aplicación definen nombres de dominio completos (FQDN) a los que se puede acceder desde una subred. Por
ejemplo, especifique el tráfico de red de Windows Update a través del firewall. Los ajustes de configuración incluyen:
● Protocolo: Puerto: Si esto es para HTTP / HTTPS y el puerto en el que está escuchando el servidor web.
● FQDN de destino: El nombre de dominio del servicio, como www.contoso.com. Tenga en cuenta que se pueden utilizar
comodines. Una etiqueta FQDN representa un grupo de nombres de dominio completos (FQDN) asociados con
servicios de Microsoft conocidos. Las etiquetas de FQDN de ejemplo incluyen Windows Update, App Service
Environment y Azure Backup.
Procesamiento de reglas
Cuando se inspecciona un paquete para determinar si está permitido o no, las reglas se procesan en este orden:
1. Reglas de red
Las reglas terminan. Una vez que se encuentra una coincidencia positiva que permite el paso del tráfico, no se verifican más
reglas.
104 Módulo 4 Redes virtuales
DNS de Azure
personalizado enrutable que controle. Esto simplifica la experiencia de inicio de sesión del usuario al permitir que el usuario inicie sesión con
credenciales con las que está familiarizado. Por ejemplo, a contosogold.onmicrosoft.com, se le podría asignar un nombre de dominio
● Los nombres de dominio en Azure AD son únicos a nivel mundial. Si un directorio de Azure AD ha verificado un nombre de
dominio, ningún otro directorio de Azure AD puede verificar o usar ese mismo nombre de dominio.
● Antes de que Azure AD pueda usar un nombre de dominio personalizado, el nombre de dominio personalizado debe agregarse a
su directorio y verificarse. Esto se trata en el siguiente tema.
Para más información, Administrar nombres de dominio personalizados en Azure Active Directory 4 .
AD no permitirá que ningún recurso de directorio use un nombre de dominio no verificado. Esto asegura que solo un directorio pueda usar un
nombre de dominio y que la organización que usa el nombre de dominio sea propietaria de ese nombre de dominio.
4 https://docs.microsoft.com/en-us/azure/active-directory/active-directory-domains-manage-azure-portal
DNS de Azure 105
Por lo tanto, después de agregar el nombre de dominio personalizado, debe demostrar la propiedad del nombre de dominio.
A esto se le llama verificación. y se hace agregando un registro DNS (MX o TXT) proporcionado por Azure en la zona DNS de
su empresa. Una vez que se agrega este registro, Azure consultará el dominio DNS para conocer la presencia del registro.
Esto puede tardar varios minutos o varias horas. Si Azure verifica la presencia del registro DNS, agregará el nombre de
dominio a la suscripción.
Una zona DNS aloja los registros DNS de un dominio. Por lo tanto, para comenzar a alojar su dominio en Azure DNS,
debe crear una zona DNS para ese nombre de dominio. Luego, cada registro DNS para su dominio se crea dentro de
esta zona DNS.
Desde el portal, puede agregar fácilmente una zona DNS y luego ver información, incluido el nombre, la cantidad de registros, el
grupo de recursos, la ubicación (siempre global), la suscripción y los servidores de nombres.
106 Módulo 4 Redes virtuales
Consideraciones
● El nombre de la zona debe ser único dentro del grupo de recursos y la zona no debe existir todavía. El mismo nombre de
● zona se puede reutilizar en un grupo de recursos diferente o en una suscripción de Azure diferente.
● Cuando varias zonas comparten el mismo nombre, a cada instancia se le asignan direcciones de servidor de nombres diferentes.
● El dominio raíz / principal está registrado en el registrador y apunta a Azure NS. Los dominios
✔ No es necesario tener un nombre de dominio para crear una zona DNS con ese nombre de dominio en Azure
DNS. Sin embargo, debe ser propietario del dominio para configurarlo.
Delegación de DNS
Para delegar su dominio a Azure DNS, primero debe conocer los nombres del servidor de nombres para su zona. Cada vez
que se crea una zona DNS, Azure DNS asigna servidores de nombres de un grupo. Una vez que se asignan los servidores de
nombres, Azure DNS crea automáticamente registros NS autorizados en su zona.
La forma más sencilla de localizar los servidores de nombres asignados a su zona es a través de Azure Portal. En este
ejemplo, a la zona 'contoso.net' se le han asignado cuatro servidores de nombres: 'ns1-01.azure-dns.com', 'ns2-01.
azure-dns.net ',' ns3-01.azure-dns.org 'y' ns4-01.azure-dns.info ':
DNS de Azure 107
Una vez que se crea la zona DNS y tiene los servidores de nombres, debe actualizar el dominio principal. Cada registrador
tiene sus propias herramientas de administración de DNS para cambiar los registros del servidor de nombres de un
dominio. En la página de administración de DNS del registrador, edite los registros NS y reemplace los registros NS por los
que creó Azure DNS.
✔ Al delegar un dominio a Azure DNS, debe usar los nombres de servidor de nombres proporcionados por Azure DNS. Siempre
debe utilizar los cuatro nombres de servidor de nombres, independientemente del nombre de su dominio.
Dominios secundarios
Si desea configurar una zona secundaria independiente, puede delegar un subdominio en Azure DNS. Por ejemplo,
después de configurar contoso.com en Azure DNS, puede configurar una zona secundaria independiente para los socios.
contoso.com.
La configuración de un subdominio sigue el mismo proceso que la delegación típica. La única diferencia es que los
registros NS deben crearse en la zona principal contoso.com en Azure DNS, en lugar de en el registrador de dominios.
✔ Las zonas principal y secundaria pueden estar en el mismo grupo de recursos o en uno diferente. Observe que el nombre del conjunto de
registros en la zona principal coincide con el nombre de la zona secundaria, en este caso socios.
Puede agregar hasta 20 registros a cualquier conjunto de registros. Un conjunto de registros no puede contener dos registros idénticos. Se
pueden crear conjuntos de registros vacíos (con cero registros), pero no aparecen en los servidores de nombres DNS de Azure. Los conjuntos de
La Agregar conjunto de registros La página cambiará según el tipo de registro que seleccione. Para un registro A, necesitará el TTL
(tiempo de vida) y la dirección IP. El tiempo de vida, o TTL, especifica cuánto tiempo los clientes almacenan en caché cada registro
antes de volver a consultarlo.
Si especifica una red virtual de registro, los registros DNS de las máquinas virtuales de esa red virtual que están
registradas en la zona privada no se pueden ver ni recuperar de las API de Azure Powershell y la CLI de Azure, pero los
registros de la máquina virtual están registrados y se resolverán correctamente .
● Utilice todos los tipos de registros DNS habituales. Azure DNS admite registros A, AAAA, CNAME, MX, PTR, SOA, SRV y
TXT.
● Gestión automática de registros de nombre de host. Además de hospedar sus registros DNS personalizados, Azure
mantiene automáticamente registros de nombre de host para las máquinas virtuales en las redes virtuales especificadas. En
este escenario, puede optimizar los nombres de dominio que utiliza sin necesidad de crear soluciones de DNS
personalizadas o modificar aplicaciones.
● Resolución de nombre de host entre redes virtuales. A diferencia de los nombres de host proporcionados por Azure, las zonas DNS
privadas se pueden compartir entre redes virtuales. Esta capacidad simplifica los escenarios de descubrimiento de servicios y entre
● Herramientas familiares y experiencia de usuario. Para reducir la curva de aprendizaje, esta nueva oferta utiliza
herramientas Azure DNS bien establecidas (PowerShell, plantillas de Azure Resource Manager y la API REST).
● Soporte DNS de horizonte dividido. Con Azure DNS, puede crear zonas con el mismo nombre que se resuelven en
diferentes respuestas desde dentro de una red virtual y desde la Internet pública. Un escenario típico para DNS de
horizonte dividido es proporcionar una versión dedicada de un servicio para usar dentro de su red virtual.
● Disponible en todas las regiones de Azure. La característica de zonas privadas de DNS de Azure está disponible en todas las regiones de Azure en
Internet. Además, para las máquinas virtuales dentro de la red virtual, es necesario que Azure las registre automáticamente en la
zona DNS.
En este escenario, VNET1 contiene dos VM (VM1 y VM2). Cada una de estas máquinas virtuales tiene direcciones IP privadas.
Por lo tanto, si crea una zona privada denominada contoso.com y vincula esta red virtual como una red virtual de registro,
Azure DNS creará automáticamente dos registros A en la zona. Ahora, las consultas de DNS de VM1 para resolver
VM2.contoso.com recibirán una respuesta de DNS que contiene la IP privada de VM2. Además, una consulta DNS inversa
(PTR) para la IP privada de VM1 (10.0.0.1) emitida desde VM2 recibirá una respuesta de DNS que contiene el FQDN de VM1,
como se esperaba.
● VNet1 se designa como Registro red virtual y VNET2 se designa como un Resolución
red virtual.
● La intención es que ambas redes virtuales compartan una zona común contoso.com.
● Los registros DNS para las VM de la red virtual de registro se crean automáticamente. Puede agregar manualmente registros DNS
Con esta configuración, observará el siguiente comportamiento para las consultas DNS directas e inversas:
1. Se resuelven las consultas de DNS en las redes virtuales. Una consulta de DNS de una máquina virtual en la resolución
VNet, para una VM en la VNet de registro, recibirá una respuesta de DNS que contiene la IP privada de la VM.
2. Las consultas DNS inversas tienen como ámbito la misma red virtual. Una consulta de DNS inverso (PTR) de un
La máquina virtual en la red virtual de resolución, para una máquina virtual en la red virtual de registro, recibirá una respuesta de DNS que contiene
el FQDN de la máquina virtual. Pero, una consulta de DNS inversa de una máquina virtual en la red virtual de resolución, para una máquina virtual
3. En el Crear zona DNS Blade ingrese los siguientes valores, y Crear la nueva zona DNS.
● Nombre: contoso.internal.com
3. Observe cómo cambia la información requerida a medida que cambia los tipos de registro.
● Nombre: Un registro
2. Obtenga información sobre sus zonas DNS. Observe los servidores de nombres y el número de conjuntos de registros.
5 https://docs.microsoft.com/en-us/azure/dns/private-dns-scenarios#scenario-split-horizon-functionality
112 Módulo 4 Redes virtuales
2. Revise la información del servidor de nombres. Debe haber cuatro servidores de nombres.
Prueba la resolución
3. Utilice el Métrica desplegable para ver las diferentes métricas que están disponibles.
5. Utilice el Gráfico de linea desplegable para observar otros tipos de gráficos, como Gráfico de áreas, Gráfico de barras y Dispersión
Gráfico.
6 https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/nslookup
Módulo 04 Práctica de laboratorio y revisión 113
Escenario de laboratorio
Necesita explorar las capacidades de redes virtuales de Azure. Para comenzar, planea crear una red virtual en Azure que
albergará un par de máquinas virtuales de Azure. Dado que tiene la intención de implementar la segmentación basada en la
red, los implementará en diferentes subredes de la red virtual. También desea asegurarse de que sus direcciones IP públicas
y privadas no cambien con el tiempo. Para cumplir con los requisitos de seguridad de Contoso, debe proteger los puntos de
conexión públicos de las máquinas virtuales de Azure accesibles desde Internet. Por último, debe implementar la resolución
de nombres DNS para las máquinas virtuales de Azure tanto dentro de la red virtual como desde Internet.
Objetivos
En este laboratorio, podrá:
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Pregunta de repaso 1
Su empresa tiene un inquilino de Azure existente llamado alpineskihouse.onmicrosoft.com. La empresa quiere empezar a
utilizar alpineskihouse.com para sus recursos de Azure. Agrega un dominio personalizado a Azure.
Ahora, debe agregar un registro DNS para prepararse para verificar el dominio personalizado. ¿Cuáles de los siguientes tipos
de registros podría crear?
Pregunta de repaso 2
Está pensando en configurar la red en Microsoft Azure. Su empresa tiene una nueva presencia de Microsoft
Azure con las siguientes características de red:
● 1 Red virtual.
La empresa tiene la intención de utilizar 192.168.1.0/24 local y 192.168.0.0/24 en Azure. Debe actualizar el entorno
de su empresa para habilitar la funcionalidad necesaria. ¿Qué deberías hacer? (Cada respuesta representa parte de
la solución. Elija dos).
Pregunta de repaso 3
Está planificando la implementación de su red de Azure para respaldar la migración de su empresa a Azure. Su primera
tarea es prepararse para la implementación del primer conjunto de VM. El primer conjunto de VM que está implementando
tiene los siguientes requisitos:
● Los consumidores en Internet deben poder comunicarse directamente con la aplicación web en las
VM.
Debe configurar el entorno para prepararse para la primera máquina virtual. Además, debe minimizar los costos, siempre
que sea posible, sin dejar de cumplir los requisitos. ¿Qué deberías hacer? Seleccione uno.
?? Cree una dirección IP pública estándar. Durante la creación de la primera VM, asocie la dirección IP
pública con la NIC de la VM.
?? Cree una dirección IP pública estándar. Una vez creada la primera máquina virtual, elimine la dirección IP privada y
asigne la dirección IP pública a la NIC.
?? Cree una dirección IP pública básica. Durante la creación de la primera VM, asocie la dirección IP pública con la
VM.
?? Cree una dirección IP pública básica. Una vez creada la primera máquina virtual, elimine la dirección IP privada y asigne la
dirección IP pública a la NIC.
Pregunta de repaso 4
Implementa un nuevo dominio llamado contoso.com en los controladores de dominio en Azure. Tiene las siguientes máquinas virtuales
unidas a un dominio en Azure:
Debe agregar registros DNS para que los nombres de host se resuelvan en sus respectivas direcciones IP. Además, debe
agregar un registro DNS para que intranet.contoso.com se resuelva en VM99. ¿Qué deberías hacer? (Cada respuesta
presenta parte de la solución. Elija dos).
Pregunta de repaso 5
Su empresa se está preparando para trasladar algunos servicios y máquinas virtuales a Microsoft Azure. La empresa ha optado por
utilizar Azure DNS para proporcionar resolución de nombres. Un proyecto comienza a configurar la resolución de nombres. El
proyecto identifica los siguientes requisitos:
Debe preparar y configurar el entorno con un nuevo nombre de dominio y un nombre de host de prueba de WWW.
¿Cuál de los siguientes pasos debería realizar? (Cada respuesta presenta parte de la solución. Elija tres).
?? Agregue un registro de dirección (A) para los servidores de nombres de Azure en la zona.
?? Agregue registros de pegamento DNS para apuntar a los servidores de nombres de Azure.
Pregunta de repaso 6
Tiene una máquina virtual con dos NIC denominadas NIC1 y NIC2. NIC1 está conectado a la subred 10.10.8.0/24. NIC2 está conectado
a la subred 10.20.8.0/24. Planea actualizar la configuración de la máquina virtual para proporcionar la siguiente funcionalidad:
Debe actualizar la configuración de la máquina virtual para admitir la nueva funcionalidad. ¿Qué deberías hacer? Seleccione uno.
?? Elimine la dirección IP privada de NIC2 y luego asígnele una dirección IP pública. Luego, crea un
regla de seguridad entrante.
?? Agregue una tercera NIC y asóciele una dirección IP pública. Luego, cree una regla de seguridad entrante.
?? Asocie una dirección IP pública a NIC2 y cree una regla de seguridad entrante.
Pregunta de repaso 7
Actualmente, utiliza grupos de seguridad de red (NSG) para controlar cómo fluye el tráfico de su red hacia y desde sus
subredes e interfaces de red virtuales. Quiere personalizar el funcionamiento de sus NSG. Para todo el tráfico
entrante, debe aplicar sus reglas de seguridad tanto al nivel de la máquina virtual como de la subred. ¿Cuál de las
siguientes opciones le permitirá lograr esto? (Escoge dos)
?? Agregue reglas con una prioridad más alta que las reglas predeterminadas.
Pregunta de repaso 8
Debe asegurarse de que Azure DNS pueda resolver nombres para su dominio registrado. ¿Qué deberías
implementar? Seleccione uno.
?? delegación de zona
?? un registro CNAME
?? un registro MX
Pregunta de repaso 9
Está configurando Azure Firewall. Debe permitir el tráfico de red de Windows Update a través del firewall.
¿Cuál de los siguientes debería utilizar?
?? Reglas de aplicación
?? Reglas NAT
?? Reglas de red
Estudio adicional
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. Puede buscar módulos adicionales por producto, función o nivel.
● Asegure y aísle el acceso a los recursos de Azure mediante el uso de grupos de seguridad de red y puntos de conexión de
servicio 9
7 https://docs.microsoft.com/en-us/learn/modules/network-fundamentals/
8 https://docs.microsoft.com/en-us/learn/modules/design-ip-addressing-for-azure/
9 https://docs.microsoft.com/en-us/learn/modules/secure-and-isolate-with-nsg-and-service-endpoints/
118 Módulo 4 Redes virtuales
Respuestas
Pregunta de repaso 1
Su empresa tiene un inquilino de Azure existente llamado alpineskihouse.onmicrosoft.com. La empresa quiere empezar a
utilizar alpineskihouse.com para sus recursos de Azure. Agrega un dominio personalizado a Azure. Ahora, debe agregar un
registro DNS para prepararse para verificar el dominio personalizado. ¿Cuáles de los siguientes tipos de registros podría
crear?
Explicación
De forma predeterminada, Azure le pedirá que cree un registro TXT personalizado en su zona DNS para verificar un dominio
personalizado. Opcionalmente, puede utilizar un registro MX en su lugar. El resultado es el mismo. No se admiten otros tipos de
registros.
Pregunta de repaso 2
Está pensando en configurar la red en Microsoft Azure. Su empresa tiene una nueva presencia de Microsoft
Azure con las siguientes características de red:
La empresa tiene la intención de utilizar 192.168.1.0/24 local y 192.168.0.0/24 en Azure. Debe actualizar el
entorno de su empresa para habilitar la funcionalidad necesaria. ¿Qué deberías hacer? (Cada respuesta
representa parte de la solución. Elija dos).
Explicación
Primero, debe eliminar 192.168.0.0/23 de Azure. Se superpone con 192.168.1.0/24, que tiene la intención de usar en las
instalaciones. En segundo lugar, debe crear una subred para 192.168.0.0/24 en Azure para habilitar el uso en Azure.
Pregunta de repaso 3
Está planificando la implementación de su red de Azure para respaldar la migración de su empresa a Azure. Su primera
tarea es prepararse para la implementación del primer conjunto de VM. El primer conjunto de VM que está
implementando tiene los siguientes requisitos:
Módulo 04 Práctica de laboratorio y revisión 119
Debe configurar el entorno para prepararse para la primera máquina virtual. Además, debe minimizar los costos,
siempre que sea posible, sin dejar de cumplir los requisitos. ¿Qué deberías hacer? Seleccione uno.
■ Cree una dirección IP pública estándar. Durante la creación de la primera VM, asocie la dirección IP pública
con la NIC de la VM.
?? Cree una dirección IP pública estándar. Una vez creada la primera máquina virtual, elimine la dirección IP privada y
asigne la dirección IP pública a la NIC.
?? Cree una dirección IP pública básica. Durante la creación de la primera VM, asocie la dirección IP pública con la
VM.
?? Cree una dirección IP pública básica. Una vez creada la primera máquina virtual, elimine la dirección IP privada y asigne la
dirección IP pública a la NIC.
Explicación
Para cumplir con el requisito de comunicarse directamente con los consumidores en Internet, debe utilizar una dirección IP pública. Para
cumplir con el requisito de tener una configuración de zona redundante, debe utilizar una dirección IP pública estándar. De las opciones
de respuesta, solo la respuesta que crea la dirección IP pública estándar primero y luego la asocia durante la creación de la máquina
virtual, funciona y cumple con los requisitos. No puede configurar una máquina virtual con solo una dirección IP pública. En cambio, todas
las máquinas virtuales tienen una dirección IP privada y, opcionalmente, pueden tener una o más direcciones IP públicas.
Pregunta de repaso 4
Implementa un nuevo dominio llamado contoso.com en los controladores de dominio en Azure. Tiene las siguientes máquinas virtuales
Debe agregar registros DNS para que los nombres de host se resuelvan en sus respectivas direcciones IP. Además,
debe agregar un registro DNS para que intranet.contoso.com se resuelva en VM99. ¿Qué deberías hacer? (Cada
respuesta presenta parte de la solución. Elija dos).
Explicación
En este escenario, los nombres de host tienen direcciones IP IPv4. Por lo tanto, para resolver esos nombres de host, debe
agregar registros A para cada una de las VM. Para permitir que intranet.contoso.com se resuelva en VM99.contoso.com, debe
agregar un registro CNAME. Un registro CNAME a menudo se denomina "alias".
Pregunta de repaso 5
Su empresa se está preparando para trasladar algunos servicios y máquinas virtuales a Microsoft Azure. La empresa ha optado por
utilizar Azure DNS para proporcionar resolución de nombres. Un proyecto comienza a configurar la resolución de nombres. El
proyecto identifica los siguientes requisitos:
120 Módulo 4 Redes virtuales
Debe preparar y configurar el entorno con un nuevo nombre de dominio y un nombre de host de prueba
de WWW. ¿Cuál de los siguientes pasos debería realizar? (Cada respuesta presenta parte de la solución.
Elija tres).
?? Agregue un registro de dirección (A) para los servidores de nombres de Azure en la zona.
?? Agregue registros de pegamento DNS para apuntar a los servidores de nombres de Azure.
Explicación
Para los nombres de dominio privados, debe registrarse con un registrador porque Azure no es un registrador. A partir de entonces, debe
delegar el nuevo nombre de dominio a Azure DNS, lo que permite que Azure DNS tenga autoridad para el dominio. Después de la
delegación, debe agregar un nombre de host de prueba de WWW y una resolución de nombre de prueba.
Pregunta de repaso 6
Tiene una máquina virtual con dos NIC denominadas NIC1 y NIC2. NIC1 está conectado a la subred 10.10.8.0/24. NIC2 está conectado
a la subred 10.20.8.0/24. Tiene previsto actualizar la configuración de la máquina virtual para proporcionar la siguiente funcionalidad:
Debe actualizar la configuración de la máquina virtual para admitir la nueva funcionalidad. ¿Qué deberías hacer? Seleccione uno.
?? Elimine la dirección IP privada de NIC2 y luego asígnele una dirección IP pública. Luego, crea un
regla de seguridad entrante.
?? Agregue una tercera NIC y asóciele una dirección IP pública. Luego, cree una regla de seguridad entrante.
■ Asocie una dirección IP pública a NIC2 y cree una regla de seguridad entrante.
Explicación
Para habilitar la comunicación directa desde Internet a la VM, debe tener una dirección IP pública. También necesita
una regla de seguridad entrante. Puede asociar la dirección IP pública con NIC1 o NIC2, aunque este escenario solo
presenta una opción para asociarla con NIC2, por lo que esa es la respuesta correcta.
Módulo 04 Práctica de laboratorio y revisión 121
Pregunta de repaso 7
Actualmente, utiliza grupos de seguridad de red (NSG) para controlar cómo fluye el tráfico de su red hacia y desde
sus subredes e interfaces de red virtuales. Quiere personalizar el funcionamiento de sus NSG. Para todo el tráfico
entrante, debe aplicar sus reglas de seguridad tanto al nivel de la máquina virtual como de la subred.
■ Agregue reglas con una prioridad más alta que las reglas predeterminadas.
Explicación
Debe agregar reglas con una prioridad más alta que las reglas predeterminadas si es necesario, ya que no puede eliminar las reglas
predeterminadas. Además, para cumplir con el requisito de aplicar reglas de seguridad tanto a nivel de VM como de subred, debe crear
reglas con una acción de permiso para ambos. No es necesario configurar la regla AllowVnetInBound, ya que es una regla predeterminada
para cualquier nuevo grupo de seguridad que cree.
Pregunta de repaso 8
Debe asegurarse de que Azure DNS pueda resolver nombres para su dominio registrado. ¿Qué deberías
implementar? Seleccione uno.
■ delegación de zona
?? un registro CNAME
?? un registro MX
Explicación
Una vez que cree su zona DNS en Azure DNS, debe configurar registros NS en la zona principal para asegurarse de que Azure
DNS sea la fuente autorizada para la resolución de nombres para su zona. Para los dominios comprados a un registrador, su
registrador ofrecerá la opción de configurar estos registros NS. Al delegar un dominio a Azure DNS, debe usar los nombres de
servidor de nombres proporcionados por Azure DNS. La delegación de dominio no requiere que el nombre del servidor de
nombres use el mismo dominio de nivel superior que su dominio.
Pregunta de repaso 9
Está configurando Azure Firewall. Debe permitir el tráfico de red de Windows Update a través del firewall.
¿Cuál de los siguientes debería utilizar?
■ Reglas de aplicación
?? Reglas NAT
?? Reglas de red
Explicación
Reglas de aplicación. Las reglas de aplicación definen nombres de dominio completos (FQDN) a los que se puede acceder desde
una subred. Eso sería apropiado para permitir el tráfico de red de Windows Update.
Módulo 5 Conectividad entre sitios
virtuales le permite conectar sin problemas dos redes virtuales de Azure. Una vez emparejadas, las redes virtuales aparecen como una, con
● Emparejamiento de red virtual global conecta redes virtuales de Azure en diferentes regiones. Al crear un emparejamiento
global, las redes virtuales emparejadas pueden existir en cualquier región de nube pública de Azure o regiones de nube de China,
pero no en regiones de nube de gobierno. Solo puede emparejar redes virtuales en la misma región en las regiones de nube de
Azure Government.
● Privado. El tráfico de red entre redes virtuales emparejadas es privado. El tráfico entre las redes
virtuales se mantiene en la red troncal de Microsoft. No se requiere Internet pública, pasarelas o
cifrado en la comunicación entre las redes virtuales.
● Actuación. Una conexión de baja latencia y alto ancho de banda entre recursos en diferentes redes
virtuales.
● Comunicación. La capacidad de los recursos de una red virtual para comunicarse con los recursos de una red
virtual diferente, una vez que se emparejan las redes virtuales.
124 Módulo 5 Conectividad entre sitios
● Sin costura. La capacidad de transferir datos entre suscripciones de Azure, modelos de implementación y entre regiones
de Azure.
● Sin interrupciones. No hay tiempo de inactividad de los recursos en la red virtual al crear el emparejamiento o después de
que se crea el emparejamiento.
● Regiones de nubes. Al crear un emparejamiento global, las redes virtuales emparejadas pueden existir en cualquier región de
nube pública de Azure o regiones de nube de China, pero no en regiones de nube de gobierno. Solo puede emparejar redes
virtuales en la misma región en las regiones de nube de Azure Government.
● Recursos de red virtual. Los recursos de una red virtual no pueden comunicarse con la dirección IP de un
equilibrador de carga interno de Azure en la red virtual emparejada. El equilibrador de carga y los recursos
que se comunican con él deben estar en la misma red virtual.
Cuando permite el tránsito de puerta de enlace, la red virtual puede comunicarse con recursos fuera del emparejamiento. Por
ejemplo, la puerta de enlace de subred podría:
● Utilice una VPN de sitio a sitio para conectarse a una red local.
● Use una conexión de red virtual a red virtual a otra red virtual.
En estos escenarios, el tránsito de la puerta de enlace permite que las redes virtuales emparejadas compartan la puerta de enlace y obtengan
acceso a los recursos. Esto significa que no es necesario implementar una puerta de enlace VPN en la red virtual de pares.
1 https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-peering-overview
Emparejamiento de redes virtuales 125
✔ La configuración de emparejamiento de VNet predeterminada proporciona conectividad completa. Los grupos de seguridad
de red se pueden aplicar en cualquier red virtual para bloquear el acceso a otras redes virtuales o subredes, si se desea. Al
configurar el emparejamiento de redes virtuales, puede abrir o cerrar las reglas del grupo de seguridad de red entre las redes
virtuales.
Para configurar el emparejamiento, utilice el Agregar intercambio de tráfico página. Solo hay que considerar unos pocos parámetros de configuración
opcionales.
Permitir tráfico reenviado. Permite el tráfico que no se origina en la red virtual de pares en su red
virtual.
Permitir el tránsito de la puerta de enlace. Permite que la red virtual del mismo nivel utilice su puerta de enlace de red virtual. El par no
✔ Cuando agrega un emparejamiento en una red virtual, la segunda configuración de red virtual se agrega
automáticamente.
✔ Si selecciona 'Permitir tránsito de puerta de enlace' en una red virtual; luego debe seleccionar 'Usar puertas de
enlace remotas' en la otra red virtual.
126 Módulo 5 Conectividad entre sitios
Encadenamiento de servicios
VNet Peering no es transitivo. Esto significa que si establece VNet Peering entre VNet1 y VNet2 y entre VNet2 y VNet3, las
capacidades de VNet Peering no se aplican entre VNet1 y VNet3. Sin embargo, puede aprovechar las rutas definidas por el
usuario y el encadenamiento de servicios para implementar enrutamiento personalizado que proporcionará transitividad.
Esto le permite:
El encadenamiento de servicios le permite dirigir el tráfico desde una red virtual a un dispositivo virtual, o puerta de enlace de
red virtual, en una red virtual emparejada, a través de rutas definidas por el usuario.
Comprobando la conectividad
Puede comprobar el estado del emparejamiento de redes virtuales. El emparejamiento no se establece correctamente hasta que se muestra el estado de
● Actualizando. Cuando crea el emparejamiento a la segunda red virtual desde la primera red virtual, el estado del
emparejamiento es Iniciado.
● Conectado. Cuando crea el emparejamiento desde la segunda red virtual a la primera red virtual, el
estado cambia de Iniciado a Conectado.
3. Seleccione + Agregar.
● Proporcionar una nombre para el primer emparejamiento de red virtual. Por ejemplo, VNet1toVNet2. En el Red
● virtual desplegable, seleccione la segunda red virtual con la que le gustaría emparejarse. Tenga en cuenta la
● Proporcione un nombre para el segundo emparejamiento de red virtual. Por ejemplo, VNet2toVNet1.
● Utilice los iconos informativos para revisar el acceso a la red, el tráfico reenviado y la configuración de tránsito de la puerta de
enlace.
● Marque la casilla para Permitir el tránsito de la puerta de enlace. Tenga en cuenta el error de que la red virtual no tiene puerta de
enlace.
2. Seleccione + Agregar.
● Proporcionar una nombre para su puerta de enlace de red virtual. Por ejemplo, VNet1Gateway.
● Asegúrese de que la puerta de enlace esté en la misma región que la primera red virtual. En el red
● virtual desplegable seleccione la primera red virtual. En el Dirección IP pública área, Crear nuevo y
● asigne un nombre a la dirección IP. Hacer clic Crea y revisa. Aborde cualquier error de validación.
3. Supervise las notificaciones para asegurarse de que la puerta de enlace se haya creado correctamente.
2. En el Descripción general cuchilla, fíjate en la nueva Dispositivo conectado para su puerta de enlace VPN.
3. Seleccione la puerta de enlace y observe que puede realizar una verificación de estado y revisar las estadísticas de acceso.
● Seleccione el emparejamiento y habilite Permitir el tránsito de la puerta de enlace. Observe que se ha resuelto el error
anterior.
● Observe que después de hacer esta selección, Utilice pasarelas remotas está desactivado.
● Sitio a Sitio conexiones conectan centros de datos locales a redes virtuales de Azure
● Punto a sitio (VPN de usuario) conexiones conectan dispositivos individuales a redes virtuales de Azure
Una puerta de enlace de red virtual se compone de dos o más máquinas virtuales que se implementan en una subred específica que usted crea llamada
subred de puerta de enlace. Las máquinas virtuales de puerta de enlace de red virtual contienen tablas de enrutamiento y ejecutan servicios de puerta de
enlace específicos. Estas máquinas virtuales se crean cuando crea la puerta de enlace de red virtual. No puede configurar directamente las máquinas
Las puertas de enlace VPN se pueden implementar en las zonas de disponibilidad de Azure. Esto aporta resistencia, escalabilidad y mayor
disponibilidad a las puertas de enlace de redes virtuales. La implementación de puertas de enlace en las zonas de disponibilidad de Azure
separa física y lógicamente las puertas de enlace dentro de una región, al tiempo que protege su conectividad de red local a Azure de fallas a
nivel de zona.
✔ La creación de una puerta de enlace de red virtual puede tardar hasta 45 minutos en completarse.
Cree redes virtuales y subredes. A estas alturas, debería estar familiarizado con la creación de redes y subredes
virtuales. Recuerde que esta red virtual debe conectarse a una ubicación local. Necesita coordinarse con su
130 Módulo 5 Conectividad entre sitios
administrador de red local para reservar un rango de direcciones IP que puede usar específicamente para esta
red virtual.
Especifique el servidor DNS (opcional). No se requiere DNS para crear una conexión de sitio a sitio. Sin embargo,
si desea tener una resolución de nombres para los recursos que se implementan en su red virtual, debe especificar
un servidor DNS en la configuración de la red virtual.
✔ Tómese el tiempo para planificar cuidadosamente la configuración de su red. Si existe un rango de direcciones IP
duplicado en ambos lados de la conexión VPN, el tráfico no se enrutará de la manera esperada.
Cuando crea la subred de la puerta de enlace, las máquinas virtuales de la puerta de enlace se implementan en la subred de la puerta de enlace y se
configuran con la configuración de puerta de enlace VPN requerida. Nunca debe implementar otros recursos (por ejemplo, máquinas virtuales adicionales)
en la subred de la puerta de enlace. La subred de la puerta de enlace debe tener un nombre GatewaySubnet.
Para implementar una puerta de enlace en su red virtual, simplemente agregue una subred de puerta de enlace.
✔ Cuando trabaje con subredes de puerta de enlace, evite asociar un grupo de seguridad de red (NSG) a la subred de puerta de
enlace. La asociación de un grupo de seguridad de red a esta subred puede hacer que su puerta de enlace VPN deje de funcionar
como se esperaba.
● Tipo de VPN. Basado en ruta o basado en políticas. El tipo de VPN que puede elegir depende de la marca y el modelo de su
dispositivo VPN y del tipo de conexión VPN que desea crear. Elija una puerta de enlace basada en rutas si tiene la intención de
utilizar conexiones punto a sitio, redes intervirtuales o múltiples conexiones de sitio a sitio; si está creando una puerta de enlace
de tipo VPN para que coexista con una puerta de enlace ExpressRoute; o si necesita utilizar IKEv2. Las puertas de enlace basadas
en políticas solo admiten IKEv1. La mayoría de los tipos de VPN se basan en rutas.
● SKU. Utilice el menú desplegable para seleccionar una SKU de puerta de enlace. Los tipos de VPN basados en rutas se
ofrecen en tres SKU: Básico, Estándar y Alto rendimiento. Se debe elegir el rendimiento estándar o alto si está utilizando
ExpressRoute. Se debe seleccionar un SKU de alto rendimiento si está utilizando el modo activo-activo. Su elección
afectará la cantidad de túneles que puede tener y el punto de referencia de rendimiento agregado. El punto de
referencia se basa en mediciones de múltiples túneles agregados a través de una única puerta de enlace. No es un
rendimiento garantizado debido a las condiciones del tráfico de Internet y al comportamiento de su aplicación.
● Redes virtuales. La red virtual que podrá enviar y recibir tráfico a través de la puerta de enlace de la red
virtual. Una red virtual no se puede asociar con más de una puerta de enlace.
✔ Una vez creada la puerta de enlace, vea la dirección IP que se le ha asignado mirando la red virtual en el portal. La
puerta de enlace debería aparecer como un dispositivo conectado.
El tipo de VPN que seleccione debe satisfacer todos los requisitos de conexión para la solución que desea crear. Por
ejemplo, si desea crear una conexión de puerta de enlace VPN S2S y una conexión de puerta de enlace VPN P2S para
la misma red virtual, usaría el tipo de VPN basada en ruta porque P2S requiere un tipo de VPN basada en ruta.
También deberá verificar que su dispositivo VPN sea compatible con una conexión VPN basada en rutas.
● VPN basadas en rutas. Uso de VPN basadas en rutas rutas en la tabla de enrutamiento o reenvío de IP para dirigir los paquetes
a sus interfaces de túnel correspondientes. A continuación, las interfaces del túnel cifran o descifran los paquetes que entran y
salen de los túneles. La política (o selector de tráfico) para las VPN basadas en rutas se configuran como cualquiera a cualquiera
(o comodines).
● VPN basadas en políticas. Las VPN basadas en políticas cifran y dirigen paquetes a través de túneles IPsec según las
políticas IPsec configuradas con las combinaciones de prefijos de dirección entre su red local y la red virtual de Azure.
La política (o selector de tráfico) generalmente se define como una lista de acceso en la configuración del dispositivo
VPN. Cuando utilice una VPN basada en políticas, tenga en cuenta las siguientes limitaciones:
● Las VPN basadas en políticas solo se pueden usar en la SKU de puerta de enlace básica y no son compatibles con otras SKU de
puerta de enlace.
● Puede tener solo 1 túnel cuando usa una VPN basada en políticas.
● Solo puede utilizar VPN basadas en políticas para conexiones S2S y solo para determinadas configuraciones. La mayoría de las
✔ Una vez que se ha creado una puerta de enlace de red virtual, no puede cambiar el tipo de VPN.
El Benchmark de rendimiento agregado se basa en mediciones de múltiples túneles agregados a través de una única puerta de
enlace. El Benchmark de rendimiento agregado para una puerta de enlace VPN es S2S + P2S combinados. El Benchmark de
rendimiento agregado no es un rendimiento garantizado debido a las condiciones del tráfico de Internet y al comportamiento de sus
aplicaciones.
Espacio de dirección. Uno o más rangos de direcciones IP (en notación CIDR) que definen el espacio de direcciones de su
red local. Por ejemplo: 192.168.0.0/16. Si planea usar esta puerta de enlace de red local en una conexión habilitada para
BGP, entonces el prefijo mínimo que debe declarar es la dirección de host de su dirección IP de BGP Peer en su dispositivo
VPN.
● Una clave compartida. Esta es la misma clave compartida que especificará al crear la conexión VPN
(siguiente paso).
● La dirección IP pública de su puerta de enlace VPN. Cuando creó la puerta de enlace VPN, es posible que haya
configurado una nueva dirección IP pública o haya utilizado una dirección IP existente.
✔ Dependiendo del dispositivo VPN que tenga, es posible que pueda descargar un script de configuración de dispositivo
VPN 2 .
2 https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-download-vpndevicescript
3 https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway -about-vpn-devices
134 Módulo 5 Conectividad entre sitios
● Clave compartida (PSK). En este campo, ingrese una clave compartida para su conexión. Puede generar o crear
esta clave usted mismo. En una conexión de sitio a sitio, la clave que usa es la misma para su dispositivo local y su
conexión de puerta de enlace de red virtual. El concepto es similar aquí, excepto que en lugar de conectarse a un
dispositivo VPN, se está conectando a otra puerta de enlace de red virtual.
Activo / en espera
Cada puerta de enlace de Azure VPN consta de dos instancias en una configuración de espera activa. Para cualquier mantenimiento
planificado o interrupción no planificada que le ocurra a la instancia activa, la instancia en espera tomará el control (conmutación por
error) automáticamente y reanudará las conexiones S2S VPN o VNet-to-VNet. El cambio provocará una breve interrupción. Para el
mantenimiento planificado, la conectividad debe restablecerse en un plazo de 10 a 15 segundos. Para problemas no planificados, la
recuperación de la conexión será más larga, aproximadamente de 1 minuto a 1 minuto y medio en el peor de los casos. Para las
conexiones de cliente P2S VPN a la puerta de enlace, las conexiones P2S se desconectarán y los usuarios deberán volver a conectarse
desde las máquinas cliente.
Conexiones de puerta de enlace VPN 135
Activo / activo
Ahora puede crear una puerta de enlace de VPN de Azure en una configuración activo-activo, donde ambas instancias de las
máquinas virtuales de la puerta de enlace establecerán túneles VPN de S2S a su dispositivo VPN local.
En esta configuración, cada instancia de puerta de enlace de Azure tendrá una dirección IP pública única y cada una
establecerá un túnel VPN IPsec / IKE S2S a su dispositivo VPN local especificado en su puerta de enlace y conexión de
red local. Tenga en cuenta que ambos túneles VPN son en realidad parte de la misma conexión. Aún necesitará
configurar su dispositivo VPN local para aceptar o establecer dos túneles VPN S2S a esas dos direcciones IP públicas
de puerta de enlace VPN de Azure.
Debido a que las instancias de la puerta de enlace de Azure están en configuración activa-activa, el tráfico de su red
virtual de Azure a su red local se enrutará a través de ambos túneles simultáneamente, incluso si su dispositivo VPN
local puede favorecer un túnel sobre el otro. Tenga en cuenta que el mismo flujo de TCP o UDP siempre atravesará el
mismo túnel o ruta, a menos que ocurra un evento de mantenimiento en una de las instancias.
Nota: Esta demostración funciona mejor con dos redes virtuales con subredes. Todos los pasos están en el
portal.
2. Seleccione + Subred de puerta de enlace. Observe que el nombre de la subred no se puede cambiar. Observe la habla a
distancia de la subred de la puerta de enlace. La dirección debe estar contenida en el espacio de direcciones de la red
virtual.
3. Recuerde que cada red virtual necesita una subred de puerta de enlace.
4. Cierre la página Agregar subred de puerta de enlace. No es necesario que guarde los cambios.
2. Después de implementar una subred de puerta de enlace, aparecerá en la lista de dispositivos conectados.
4. Utilice los iconos de información para obtener más información sobre la configuración.
7. Recuerde que cada red virtual necesitará una puerta de enlace de red virtual.
8. Cierre la puerta de enlace Agregar red virtual. No es necesario que guarde los cambios.
1. Busque Conexiones.
5. En el Ajustes página, tenga en cuenta que deberá seleccionar las dos redes virtuales diferentes.
Conexiones ExpressRoute
ExpressRoute
Azure ExpressRoute le permite extender sus redes locales a la nube de Microsoft a través de una conexión privada
dedicada facilitada por un proveedor de conectividad. Con ExpressRoute, puede establecer conexiones a los servicios
en la nube de Microsoft, como Microsoft Azure, Office 365 y CRM Online.
Con ExpressRoute, establezca conexiones a Azure en una ubicación de ExpressRoute, como una instalación de proveedor de
Exchange, o conéctese directamente a Azure desde su red WAN existente, como una VPN de conmutación de etiquetas
multiprotocolo (MPLS), proporcionada por un proveedor de servicios de red.
Capacidades de ExpressRoute
ExpressRoute es compatible con todas las regiones y ubicaciones de Azure. El siguiente mapa proporciona una lista de las regiones
de Azure y las ubicaciones de ExpressRoute. Las ubicaciones de ExpressRoute se refieren a aquellas en las que Microsoft se relaciona
con varios proveedores de servicios. Tendrá acceso a los servicios de Azure en todas las regiones dentro de una región geopolítica si
se conectó al menos a una ubicación de ExpressRoute dentro de la región geopolítica.
Beneficios de ExpressRoute
Conectividad de capa 3
Microsoft usa BGP, un protocolo de enrutamiento dinámico estándar de la industria, para intercambiar rutas entre su
red local, sus instancias en Azure y direcciones públicas de Microsoft. Establecemos múltiples sesiones BGP con su
red para diferentes perfiles de tráfico.
Redundancia
Cada circuito ExpressRoute consta de dos conexiones a dos enrutadores de borde de Microsoft Enterprise (MSEE)
desde el proveedor de conectividad / el borde de su red. Microsoft requiere una conexión BGP dual del proveedor
de conectividad / del borde de su red, una para cada MSEE. El gráfico de los temas anteriores muestra la conexión
primaria y secundaria.
Las conexiones de ExpressRoute permiten el acceso a los siguientes servicios: servicios de Microsoft Azure, servicios de Microsoft
Office 365 y Microsoft Dynamics 365. Office 365 se creó para que se pueda acceder a él de forma segura y confiable a través de
Internet, por lo que ExpressRoute requiere la autorización de Microsoft.
4 https://azure.microsoft.com/en-us/services/expressroute/
Conexiones ExpressRoute 139
Puede conectarse a Microsoft en una de nuestras ubicaciones de emparejamiento y acceder a regiones dentro de la región
geopolítica. Por ejemplo, si se conecta a Microsoft en Ámsterdam a través de ExpressRoute, tendrá acceso a todos los
servicios en la nube de Microsoft alojados en el norte y oeste de Europa.
Puede habilitar la función complementaria premium ExpressRoute para extender la conectividad a través de los límites
geopolíticos. Por ejemplo, si se conecta a Microsoft en Ámsterdam a través de ExpressRoute, tendrá acceso a todos los
servicios en la nube de Microsoft alojados en todas las regiones del mundo (se excluyen las nubes nacionales).
Puede habilitar ExpressRoute Global Reach para intercambiar datos entre sus sitios locales conectando sus
circuitos ExpressRoute. Por ejemplo, si tiene un centro de datos privado en California conectado a
ExpressRoute en Silicon Valley y otro centro de datos privado en Texas conectado a ExpressRoute en Dallas,
con ExpressRoute Global Reach, puede conectar sus centros de datos privados juntos a través de dos circuitos
ExpressRoute. Su tráfico entre centros de datos atravesará la red de Microsoft.
Puede comprar circuitos ExpressRoute para una amplia gama de anchos de banda de 50 Mbps a 100 Gbit. Asegúrese de
consultar con su proveedor de conectividad para determinar los anchos de banda que admiten.
Puede elegir el modelo de facturación que mejor se adapte a sus necesidades. Elija entre los modelos de facturación que se enumeran a continuación.
● Datos ilimitados. La facturación se basa en una tarifa mensual; todas las transferencias de datos entrantes y salientes se incluyen de
forma gratuita.
● Datos medidos. La facturación se basa en una tarifa mensual; toda la transferencia de datos entrantes es gratuita. La transferencia de datos salientes
se cobra por GB de transferencia de datos. Las tasas de transferencia de datos varían según la región.
● Complemento premium de ExpressRoute. Este complemento incluye mayores límites de la tabla de enrutamiento, mayor
número de redes virtuales, conectividad global y conexiones a Office 365 y Dynamics 365. Lea más en el enlace de preguntas
frecuentes.
Puede configurar una VPN de sitio a sitio como una ruta segura de conmutación por error para ExpressRoute o usar VPN de sitio a
sitio para conectarse a sitios que no forman parte de su red, pero que están conectados a través de ExpressRoute. Tenga en cuenta
que esta configuración requiere dos puertas de enlace de red virtual para la misma red virtual, una que usa el tipo de puerta de
enlace VPN, y el otro usando el tipo de puerta de enlace ExpressRoute.
140 Módulo 5 Conectividad entre sitios
✔ Actualmente, las opciones de implementación para las conexiones coexistentes de S2S y ExpressRoute solo son posibles a
través de PowerShell y no de Azure Portal.
punto a sitio es, Azure Virtual SKU de puerta de enlace entornos para
Máquinas servicios en la nube y
maquinas virtuales.
Red virtual, Servicio de IaaS de Azure Normalmente <1 Gbps Activo / pasivo, Desarrollo, prueba y laboratorio
producción
cargas de trabajo y
maquinas virtuales.
ExpressRoute IaaS de Azure y 50 Mbps hasta 100 Gbps activo / Clase empresarial
Servicios PaaS, activo y mision-criti-
Microsoft Office cargas de trabajo cal. Grande
WAN virtuales
Azure Virtual WAN es un servicio de red que proporciona conectividad de sucursal optimizada y automatizada hacia y a
través de Azure. Las regiones de Azure sirven como centros a los que puede elegir conectar sus sucursales. Puede
aprovechar la red troncal de Azure para conectar también sucursales y disfrutar de la conectividad de sucursal a red
virtual. Hay una lista de socios que admiten la automatización de la conectividad con Azure Virtual WAN VPN.
Azure Virtual WAN reúne muchos servicios de conectividad en la nube de Azure, como VPN de sitio a sitio, VPN de usuario
(punto a sitio) y ExpressRoute en una única interfaz operativa. La conectividad a redes virtuales de Azure se establece
mediante conexiones de red virtual. Permite una arquitectura de red de tránsito global basada en un modelo clásico de
conectividad de concentrador y radio en el que el 'concentrador' de red alojado en la nube permite la conectividad transitiva
entre puntos finales que pueden distribuirse en diferentes tipos de 'radios'.
142 Módulo 5 Conectividad entre sitios
● Instalación y configuración automatizadas de radios. Conecte sus redes virtuales y cargas de trabajo al centro de
Azure sin problemas.
● Solución de problemas intuitiva. Puede ver el flujo de un extremo a otro dentro de Azure y luego usar esta información para
realizar las acciones necesarias.
5 https://docs.microsoft.com/en-us/azure/virtual-wan/virtual-wan-about
Módulo 05 Práctica de laboratorio y revisión 143
Escenario de laboratorio
Contoso tiene sus centros de datos en las oficinas de Boston, Nueva York y Seattle conectados a través de enlaces
de red de área amplia en malla, con conectividad total entre ellos. Debe implementar un entorno de laboratorio
que refleje la topología de las redes locales de Contoso y verifique su funcionalidad.
Objetivos
En este laboratorio, podrá:
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Caja
«Display_name: Pregunta de revisión 1; max_attempts: 2; showanswer: terminado; peso: 1; crédito_parcial: EDC»
144 Módulo 5 Conectividad entre sitios
Desea conectar diferentes redes virtuales en la misma región, así como diferentes regiones, y decide usar el emparejamiento de redes
virtuales para lograr esto. ¿Cuál de las siguientes afirmaciones no es cierta sobre el emparejamiento de redes virtuales? Seleccione uno.
(x) Las redes virtuales pueden existir en cualquier región de la nube de Azure.
[explicación]
Las redes virtuales de emparejamiento de redes virtuales no pueden existir en diferentes regiones.
[explicación]
Pregunta de repaso 2
Su empresa se está preparando para implementar una VPN de sitio a sitio en Microsoft Azure. Está seleccionado para
planificar e implementar la VPN. Actualmente, tiene una suscripción de Azure, una red virtual de Azure y una subred de
puerta de enlace de Azure. Debe preparar el entorno local y Microsoft Azure para cumplir con los requisitos previos de la VPN
de sitio a sitio. Más tarde, creará la conexión VPN y la probará. ¿Qué deberías hacer? (Cada respuesta presenta parte de la
solución. Seleccione tres.
?? Cree una puerta de enlace de red virtual (VPN) y la puerta de enlace de red local en Azure.
?? Obtenga una dirección IP pública IPv4 sin NAT para el dispositivo VPN.
?? Obtenga una dirección IP pública IPv4 detrás de NAT para el dispositivo VPN.
Pregunta de repaso 3
Su empresa se está preparando para implementar la conectividad persistente a Microsoft Azure. La empresa
tiene un solo sitio, la sede, que tiene un centro de datos en las instalaciones. La empresa establece los siguientes
requisitos para la conectividad:
Necesita implementar una solución de conectividad para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
Pregunta de repaso 4
Está configurando VNet Peering a través de dos redes virtuales de Azure, VNET1 y VNET2. Está configurando las puertas de
enlace VPN. Desea que VNET2 pueda utilizar la puerta de enlace de VNET1 para acceder a recursos fuera del
emparejamiento. ¿Qué deberías hacer? Seleccione uno.
?? Seleccione permitir el tránsito de la puerta de enlace en VNET1 y use puertas de enlace remotas en VNET2.
?? Seleccione permitir el tránsito de la puerta de enlace en VNET2 y use puertas de enlace remotas en VNET1.
?? Seleccione permitir el tránsito de la puerta de enlace y utilice puertas de enlace remotas en VNET1 y VNET2.
?? No seleccione permitir tránsito de puerta de enlace ni utilice puertas de enlace remotas en VNET1 o VNET2.
Pregunta de repaso 5
Está configurando una conexión VPN de sitio a sitio entre su red local y su red de Azure. La red local utiliza un
dispositivo VPN Cisco ASA. Ha verificado para asegurarse de que el dispositivo esté en la lista validada de
dispositivos VPN. Antes de proceder a configurar el dispositivo, ¿qué dos piezas de información debe
asegurarse de tener? Seleccione dos.
?? La clave compartida que proporcionó cuando creó su conexión VPN de sitio a sitio.
?? El método de enrutamiento de la puerta de enlace proporcionado cuando creó su conexión VPN de sitio a sitio.
Pregunta de repaso 6
Administra un gran centro de datos que se está quedando sin espacio. Propone ampliar el centro de datos a Azure mediante
una red privada virtual de conmutación de etiquetas multiprotocolo. ¿Qué opción de conectividad elegirías? Seleccione uno.
?? Punto a sitio
?? Emparejamiento VPN
?? Multi-sitio
?? Sitio a Sitio
?? ExpressRoute
Pregunta de repaso 7
Está creando una conexión entre dos redes virtuales. El rendimiento es una preocupación clave. ¿Cuál de las siguientes
opciones influirá más en el rendimiento? Seleccione uno.
Pregunta de repaso 8
Su gerente le solicita que verifique cierta información sobre las WAN virtuales de Azure. ¿Cuáles de las siguientes afirmaciones
son verdaderas? Seleccione tres.
?? Debe utilizar un dispositivo VPN que proporcione compatibilidad con IKEv2 / IKEv1 IPsec.
Estudio adicional
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. Puede buscar módulos adicionales por producto, función o nivel.
● Distribuya sus servicios en las redes virtuales de Azure e intégrelos mediante el emparejamiento de
redes virtuales. 6
6 https://docs.microsoft.com/en-us/learn/modules/integrate-vnets-with-vnet-peering/
7 https://docs.microsoft.com/en-us/learn/modules/connect-on- local-red-con-vpn-gateway /
8 https://docs.microsoft.com/en-us/learn/modules/connect-on-premises-network-with-expressroute/
Módulo 05 Práctica de laboratorio y revisión 147
Respuestas
Pregunta de repaso 2
Su empresa se está preparando para implementar una VPN de sitio a sitio en Microsoft Azure. Está seleccionado
para planificar e implementar la VPN. Actualmente, tiene una suscripción de Azure, una red virtual de Azure y una
subred de puerta de enlace de Azure. Debe preparar el entorno local y Microsoft Azure para cumplir con los
requisitos previos de la VPN de sitio a sitio. Más tarde, creará la conexión VPN y la probará. ¿Qué deberías hacer?
(Cada respuesta presenta parte de la solución. Seleccione tres.
■ Cree una puerta de enlace de red virtual (VPN) y la puerta de enlace de red local en Azure.
■ Obtenga una dirección IP pública IPv4 sin NAT para el dispositivo VPN.
?? Obtenga una dirección IP pública IPv4 detrás de NAT para el dispositivo VPN.
Explicación
Los requisitos previos para una VPN de sitio a sitio son tener un dispositivo VPN compatible local, tener una IP pública
IPv4 sin NAT en el dispositivo VPN local y crear una puerta de enlace VPN y una puerta de enlace de red local en Azure.
IPv6 no es compatible con VPN. ExpressRoute es una configuración diferente y no forma parte de una VPN de sitio a
sitio.
Pregunta de repaso 3
Su empresa se está preparando para implementar la conectividad persistente a Microsoft Azure. La empresa tiene
un solo sitio, la sede, que tiene un centro de datos en las instalaciones. La empresa establece los siguientes
requisitos para la conectividad:
Necesita implementar una solución de conectividad para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione
uno.
Explicación
En este escenario, solo una de las respuestas proporciona conectividad persistente a Azure: la VPN de sitio a sitio. Una red
virtual a red virtual conecta dos redes virtuales de Azure. Se utiliza una VPN de punto a sitio para conexiones individuales (por
ejemplo, para un desarrollador). Una VPC y VGW son relevantes para Amazon AWS.
148 Módulo 5 Conectividad entre sitios
Pregunta de repaso 4
Está configurando VNet Peering a través de dos redes virtuales de Azure, VNET1 y VNET2. Está configurando las puertas de
enlace VPN. Desea que VNET2 pueda utilizar la puerta de enlace de VNET1 para acceder a recursos fuera del emparejamiento.
¿Qué deberías hacer? Seleccione uno.
■ Seleccione permitir el tránsito de la puerta de enlace en VNET1 y utilice puertas de enlace remotas en VNET2.
?? Seleccione permitir el tránsito de la puerta de enlace en VNET2 y use puertas de enlace remotas en VNET1.
?? Seleccione permitir el tránsito de la puerta de enlace y utilice puertas de enlace remotas en VNET1 y VNET2.
?? No seleccione permitir tránsito de puerta de enlace ni utilice puertas de enlace remotas en VNET1 o VNET2.
Explicación
Seleccione permitir el tránsito de la puerta de enlace en VNET1 y use puertas de enlace remotas en VNET2. VNET1 permitirá que VNET2
transite recursos externos y VNET2 esperará utilizar una puerta de enlace remota.
Pregunta de repaso 5
Está configurando una conexión VPN de sitio a sitio entre su red local y su red de Azure. La red local utiliza un
dispositivo VPN Cisco ASA. Ha verificado para asegurarse de que el dispositivo esté en la lista validada de
dispositivos VPN. Antes de proceder a configurar el dispositivo, ¿qué dos datos debe asegurarse de tener?
Seleccione dos.
■ La clave compartida que proporcionó cuando creó su conexión VPN de sitio a sitio.
?? El método de enrutamiento de la puerta de enlace proporcionado cuando creó su conexión VPN de sitio a sitio.
Explicación
Necesitará dos cosas: la clave compartida y la dirección IP pública de su puerta de enlace de red virtual. La clave
compartida se proporcionó cuando creó la conexión VPN de sitio a sitio.
Pregunta de repaso 6
Administra un gran centro de datos que se está quedando sin espacio. Propone ampliar el centro de datos a Azure
mediante una red privada virtual de conmutación de etiquetas multiprotocolo. ¿Qué opción de conectividad elegirías?
Seleccione uno.
?? Punto a sitio
?? Emparejamiento VPN
?? Multi-sitio
?? Sitio a Sitio
■ ExpressRoute
Explicación
ExpressRoute es la mejor opción para ampliar el centro de datos, ya que puede utilizar un modelo de conectividad de cualquiera a
cualquiera (IPVPN). Una VPN MPLS, normalmente proporcionada por una red IPVPN, permite la conectividad entre la nube de
Microsoft y sus sucursales y centros de datos.
Módulo 05 Práctica de laboratorio y revisión 149
Pregunta de repaso 7
Está creando una conexión entre dos redes virtuales. El rendimiento es una preocupación clave. ¿Cuál de las siguientes
opciones influirá más en el rendimiento? Seleccione uno.
Explicación
La selección de SKU de Gateway afecta directamente el rendimiento. Las SKU de puerta de enlace controlan la cantidad de
túneles y conexiones que están disponibles. Esto afecta el rendimiento total agregado de la conexión.
Pregunta de repaso 8
Su gerente le solicita que verifique cierta información sobre las WAN virtuales de Azure. ¿Cuáles de las siguientes afirmaciones
son verdaderas? Seleccione tres.
■ Debe utilizar un dispositivo VPN que proporcione compatibilidad con IKEv2 / IKEv1 IPsec.
Explicación
Virtual WAN admite ExpressRoute y cualquier dispositivo VPN que sea compatible con IKEv2 / IKEv1 IPSec.
Módulo 6 Gestión del tráfico de red
Por ejemplo, considere esta red virtual con dos subredes. Azure administra todas las comunicaciones entre
las subredes y desde la interfaz a Internet mediante las rutas del sistema predeterminadas.
✔ La información sobre las rutas del sistema se registra en una tabla de rutas. Una tabla de rutas contiene un conjunto de
reglas, llamadas rutas, que especifica cómo se deben enrutar los paquetes en una red virtual. Las tablas de enrutamiento se
asocian a subredes y cada paquete que sale de una subred se maneja según la tabla de enrutamiento asociada. Los paquetes
se hacen coincidir con las rutas que utilizan el destino. El destino puede ser una dirección IP, una red virtual
152 Módulo 6 Gestión del tráfico de red
puerta de enlace, un dispositivo virtual o Internet. Si no se puede encontrar una ruta coincidente, el paquete se
descarta.
En estas situaciones, puede configurar rutas definidas por el usuario (UDR). Las UDR controlan el tráfico de la red mediante la
definición de rutas que especifican el siguiente salto del flujo de tráfico. Este salto puede ser una puerta de enlace de red virtual,
una red virtual, Internet o un dispositivo virtual.
✔ Cada tabla de enrutamiento se puede asociar a varias subredes, pero una subred solo se puede asociar a una
única tabla de enrutamiento. No hay cargos adicionales por crear tablas de ruta en Microsoft Azure. ¿Crees que
necesitarás crear rutas personalizadas?
Ejemplo de enrutamiento
Repasemos un ejemplo de enrutamiento de red específico. En este ejemplo, tiene una red virtual que incluye tres
subredes.
● Las subredes son Privadas, DMZ y Públicas. En la subred DMZ hay un dispositivo virtual de red (NVA). Las NVA son
máquinas virtuales que ayudan con las funciones de red, como el enrutamiento y la optimización del firewall.
● Desea asegurarse de que todo el tráfico de la subred pública pase por la NVA a la subred privada.
1 https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-udr-overview#custom-routes
Enrutamiento de red y puntos finales 153
2. Agregue una ruta personalizada que requiera que todo el tráfico de la subred privada se dirija a un dispositivo de red.
✔ De forma predeterminada, al utilizar las rutas del sistema, el tráfico iría directamente a la subred privada. Sin embargo,
con una ruta definida por el usuario, puede forzar el tráfico a través del dispositivo virtual.
Se utiliza un protocolo de enrutamiento estándar para intercambiar información de enrutamiento y accesibilidad entre dos o más
redes. Las rutas se agregan automáticamente a la tabla de rutas para todas las subredes con la propagación de puerta de enlace
de red virtual habilitada. En la mayoría de situaciones, esto es lo que desea. Por ejemplo, si está utilizando ExpressRoute, querrá
que todas las subredes tengan esa información de enrutamiento.
154 Módulo 6 Gestión del tráfico de red
Para más información, Descripción general de BGP con Azure VPN Gateways 2 .
● La ruta utiliza un dispositivo virtual. Observe las otras opciones para Tipo de salto siguiente: puerta de enlace de red
virtual, red virtual, Internet y ninguno.
En resumen, esta ruta se aplica a cualquier prefijo de dirección en 10.0.1.0/24 (subred privada). El tráfico dirigido a
estas direcciones se enviará al dispositivo virtual con una dirección 10.0.2.4.
2 https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-bgp-overview?toc=%2fazure%2fvirtual-network%2ftoc.json
Enrutamiento de red y puntos finales 155
✔ En este ejemplo, recuerde que el dispositivo virtual no debe tener una dirección IP pública y el reenvío de
IP debe estar habilitado en el dispositivo.
Nota: Esta demostración requiere una red virtual con al menos una subred.
2. En la parte superior izquierda de la pantalla, seleccione Servicios, y luego navega a Tablas de ruta.
3. Seleccione + Agregar.
● Nombre: myRouteTablePublic
4. Seleccione Crear.
2. Seleccione + Agregar.
● Nombre: ToPrivateSubnet
156 Módulo 6 Gestión del tráfico de red
3. Lea la nota informativa: asegúrese de tener habilitado el reenvío de IP en su dispositivo virtual. Puede habilitar
esto navegando a la configuración de la dirección IP de la interfaz de red respectiva.
4. Seleccione Crear.
Get-AzRouteTable
Hoy en día, el tráfico de servicios de Azure desde una red virtual usa direcciones IP públicas como direcciones IP de origen. Con los
puntos de conexión de servicio, el tráfico del servicio cambia para usar direcciones privadas de redes virtuales como direcciones IP
de origen al acceder al servicio de Azure desde una red virtual. Este conmutador le permite acceder a los servicios sin la necesidad
de direcciones IP públicas reservadas que se utilizan en los firewalls de IP.
Enrutamiento de red y puntos finales 157
● Enrutamiento óptimo para el tráfico de servicios de Azure desde su red virtual. Hoy en día, cualquier ruta en su red virtual que fuerce
el tráfico de Internet a sus instalaciones y / o dispositivos virtuales, conocida como tunelización forzada, también obliga al tráfico del
servicio de Azure a seguir la misma ruta que el tráfico de Internet. Los puntos finales de servicio proporcionan un enrutamiento óptimo
● Los endpoints siempre llevan el tráfico del servicio directamente desde su red virtual al servicio en la red
troncal de Microsoft Azure. Mantener el tráfico en la red troncal de Azure le permite continuar auditando y
monitoreando el tráfico de Internet saliente desde sus redes virtuales, a través de un túnel forzado, sin afectar el
tráfico del servicio. Obtenga más información sobre las rutas definidas por el usuario y la tunelización forzada.
158 Módulo 6 Gestión del tráfico de red
● Fácil de configurar con menos gastos de gestión. Ya no necesita direcciones IP públicas y reservadas en sus redes
virtuales para proteger los recursos de Azure a través del firewall de IP. No se requieren dispositivos NAT o de puerta de
enlace para configurar los puntos finales del servicio. Los puntos finales de servicio se configuran con un simple clic en
una subred. No hay una sobrecarga adicional para mantener los puntos finales.
✔ Con los puntos finales de servicio, las direcciones IP de origen de las máquinas virtuales en la subred para el tráfico del servicio cambian de
usar direcciones IPv4 públicas a usar direcciones IPv4 privadas. Las reglas de firewall del servicio de Azure existentes que utilizan direcciones IP
públicas de Azure dejarán de funcionar con este conmutador. Asegúrese de que las reglas del firewall del servicio de Azure permitan este cambio
antes de configurar los puntos de conexión del servicio. También puede experimentar una interrupción temporal del tráfico del servicio desde
Azure Storage. Generalmente disponible en todas las regiones de Azure. Este punto de conexión proporciona al tráfico una ruta
óptima al servicio Azure Storage. Cada cuenta de almacenamiento admite hasta 100 reglas de red virtual.
Azure SQL Database y Azure SQL Data Warehouse. Generalmente disponible en todas las regiones de Azure. Una
característica de seguridad de firewall que controla si el servidor de base de datos para sus bases de datos únicas y grupo
elástico en Azure SQL Database o para sus bases de datos en SQL Data Warehouse acepta comunicaciones que se envían
desde subredes particulares en redes virtuales.
Base de datos Azure para servidor PostgreSQL y MySQL. Generalmente disponible en las regiones de Azure donde está
disponible el servicio de base de datos. Los puntos de conexión y las reglas de los servicios de red virtual (VNet) amplían el espacio
de direcciones privadas de una red virtual a su servidor de Azure Database for PostgreSQL y MySQL.
Azure Cosmos DB. Generalmente disponible en todas las regiones de Azure. Puede configurar la cuenta de Azure Cosmos
para permitir el acceso solo desde una subred específica de la red virtual (VNet). Al permitir que el punto de conexión de
servicio acceda a Azure Cosmos DB en la subred dentro de una red virtual, el tráfico de esa subred se envía a
Enrutamiento de red y puntos finales 159
Azure Cosmos DB con la identidad de la subred y la red virtual. Una vez que el punto de conexión de servicio de Azure
Cosmos DB está habilitado, puede limitar el acceso a la subred agregándolo a su cuenta de Azure Cosmos.
Azure Key Vault. Generalmente disponible en todas las regiones de Azure. Los puntos de conexión del servicio de red virtual para
Azure Key Vault le permiten restringir el acceso a una red virtual específica. Los puntos finales también le permiten restringir el
acceso a una lista de rangos de direcciones IPv4 (protocolo de Internet versión 4). A cualquier usuario que se conecte a su bóveda de
claves desde fuera de esas fuentes se le niega el acceso.
Azure Service Bus y Azure Event Hubs. Generalmente disponible en todas las regiones de Azure. La integración de Service
Bus con puntos finales de servicio de red virtual (VNet) permite el acceso seguro a las capacidades de mensajería desde
cargas de trabajo como máquinas virtuales que están vinculadas a redes virtuales, con la ruta del tráfico de red protegida en
ambos extremos.
✔ La adición de puntos finales de servicio puede tardar hasta 15 minutos en completarse. Cada integración de punto de conexión de servicio tiene su
Enlace privado
Azure Private Link proporciona conectividad privada desde una red virtual a la plataforma Azure como servicio
(PaaS), propiedad del cliente o servicios de socios de Microsoft. Simplifica la arquitectura de red y protege la
conexión entre los puntos finales en Azure al eliminar la exposición de datos a la Internet pública.
● Conectividad privada a servicios en Azure. El tráfico permanece en la red de Microsoft, sin acceso público a Internet.
Conéctese de forma privada a los servicios que se ejecutan en otras regiones de Azure. Private Link es global y no tiene
restricciones regionales.
● Integración con redes locales y emparejadas. Acceda a puntos finales privados a través de peering privados o túneles
VPN desde redes virtuales emparejadas o locales. Microsoft aloja el tráfico, por lo que no es necesario configurar el
emparejamiento público o utilizar Internet para migrar sus cargas de trabajo a la nube.
● Protección contra la exfiltración de datos para recursos de Azure. Use Private Link para asignar puntos de conexión
privados a los recursos de Azure PaaS. En el caso de un incidente de seguridad dentro de su red, solo el recurso
mapeado sería accesible, eliminando la amenaza de exfiltración de datos.
● Servicios entregados directamente a las redes virtuales de sus clientes. Consuma de forma privada Azure PaaS, el
socio de Microsoft y sus propios servicios en sus redes virtuales en Azure. Private Link funciona en todos los inquilinos
de Azure Active Directory (Azure AD) para ayudar a unificar su experiencia en todos los servicios. Envíe, apruebe o
rechace solicitudes directamente, sin permisos ni controles de acceso basados en roles.
Cómo funciona
Use Private Link para llevar los servicios entregados en Azure a su red virtual privada asignándolo a un punto de conexión
privado. O preste sus propios servicios de forma privada en las redes virtuales de sus clientes. Todo el tráfico hacia
160 Módulo 6 Gestión del tráfico de red
el servicio se puede enrutar a través del punto final privado, por lo que no se necesitan puertas de enlace, dispositivos
NAT, conexiones ExpressRoute o VPN o direcciones IP públicas. Private Link mantiene el tráfico en la red global de
Microsoft.
3 https://docs.microsoft.com/en-us/azure/private-link/
Balanceador de carga de Azure 161
● Las sondas de estado garantizan que los recursos en el backend estén en buen estado.
Load Balancer se puede utilizar tanto para escenarios entrantes como salientes y escala hasta millones de flujos
de aplicaciones TCP y UDP.
✔ Tenga en cuenta este diagrama, ya que cubre los cuatro componentes que deben configurarse para su balanceador de carga: Configuración
de IP de frontend, grupos de backend, sondas de salud, y Reglas de equilibrio de carga.
Un equilibrador de carga público asigna la dirección IP pública y el número de puerto del tráfico entrante a la dirección IP
privada y el número de puerto de la VM, y viceversa para el tráfico de respuesta de la VM. Al aplicar reglas de equilibrio de
carga, puede distribuir tipos específicos de tráfico entre varias máquinas virtuales o servicios. Por ejemplo, puede
distribuir la carga del tráfico de solicitudes web entrantes entre varios servidores web.
La siguiente figura muestra los clientes de Internet que envían solicitudes de página web a la dirección IP pública de una aplicación web en el
puerto TCP 80. Azure Load Balancer distribuye las solicitudes entre las tres máquinas virtuales en el conjunto con equilibrio de carga.
4 https://docs.microsoft.com/en-us/azure/load-balancer/
162 Módulo 6 Gestión del tráfico de red
● Dentro de una red virtual. Equilibrio de carga de máquinas virtuales en la red virtual a un conjunto de máquinas virtuales que
residen dentro de la misma red virtual.
● Para una red virtual entre locales. Equilibrio de carga de equipos locales a un conjunto de VM que
residen dentro de la misma red virtual.
● Para aplicaciones de varios niveles. Equilibrio de carga para aplicaciones de varios niveles con conexión a Internet donde los
niveles de backend no están con conexión a Internet. Los niveles de backend requieren un equilibrio de carga de tráfico desde el
● Para aplicaciones de línea de negocio. Equilibrio de carga para aplicaciones de línea de negocio hospedadas en Azure
sin hardware ni software de equilibrador de carga adicional. Este escenario incluye servidores locales que se encuentran
en el conjunto de equipos cuyo tráfico tiene equilibrio de carga.
✔ Se podría colocar un equilibrador de carga público delante del equilibrador de carga interno para crear una aplicación de
varios niveles.
Consideraciones
● Los SKU no son modificables. No puede cambiar el SKU de un recurso existente.
● Un recurso de máquina virtual independiente, un recurso de conjunto de disponibilidad o un recurso de conjunto de escalado de máquina virtual
● Una regla de Load Balancer no puede abarcar dos redes virtuales. Los frontends y sus instancias de backend
relacionadas deben estar en la misma red virtual.
● No hay cargo por el balanceador de carga básico. El balanceador de carga estándar se cobra según la
cantidad de reglas y datos procesados.
✔ Los nuevos diseños y arquitecturas deben considerar el uso de Standard Load Balancer.
Grupos de backend
Para distribuir el tráfico, un grupo de direcciones de back-end contiene las direcciones IP de las NIC virtuales que están
conectadas al equilibrador de carga.
164 Módulo 6 Gestión del tráfico de red
La forma de configurar el grupo de backend depende de si está utilizando el SKU estándar o básico.
escalado de VM.
Los grupos de backend se configuran desde la hoja Grupo de backend. Para el SKU estándar, puede conectarse a un conjunto de disponibilidad,
✔ En el SKU estándar, puede tener hasta 1000 instancias en el grupo de backend. En el SKU básico puede
tener hasta 100 instancias.
✔ Las reglas de equilibrio de carga se pueden usar en combinación con las reglas NAT. Por ejemplo, puede usar NAT desde la
dirección pública del balanceador de carga a TCP 3389 en una máquina virtual específica. Esto permite el acceso al escritorio
remoto desde fuera de Azure. Observe que en este caso, la regla NAT se adjunta explícitamente a una VM (o interfaz de red) para
completar la ruta al destino; mientras que una regla de equilibrio de carga no tiene por qué serlo.
Persistencia de la sesión
De forma predeterminada, Azure Load Balancer distribuye el tráfico de red por igual entre varias instancias de VM. El equilibrador
de carga utiliza un hash de 5 tuplas (IP de origen, puerto de origen, IP de destino, puerto de destino y tipo de protocolo) para
asignar el tráfico a los servidores disponibles. Proporciona pegajosidad solo dentro de una sesión de transporte.
166 Módulo 6 Gestión del tráfico de red
La persistencia de la sesión especifica cómo se debe manejar el tráfico de un cliente. El comportamiento predeterminado (Ninguno) es que las
solicitudes sucesivas de un cliente pueden ser manejadas por cualquier máquina virtual. Puede cambiar este comportamiento.
● Ninguno (predeterminado) especifica que cualquier máquina virtual puede manejar la solicitud.
● IP del cliente especifica que las solicitudes sucesivas de la misma dirección IP de cliente serán manejadas por la
misma máquina virtual.
● IP y protocolo del cliente especifica que las solicitudes sucesivas de la misma dirección IP de cliente y combinación de
protocolo serán manejadas por la misma máquina virtual.
✔ Mantener la información de persistencia de la sesión es muy importante en las aplicaciones que utilizan un carrito de compras.
¿Puedes pensar en otras aplicaciones?
Sondas de salud
Una sonda de estado permite que el equilibrador de carga controle el estado de su aplicación. La sonda de estado agrega o quita
máquinas virtuales dinámicamente de la rotación del balanceador de carga según su respuesta a las verificaciones de estado.
Cuando una sonda no responde, el balanceador de carga deja de enviar nuevas conexiones a las instancias en mal estado.
Hay dos formas principales de configurar las sondas de salud: HTTP y TCP.
Sonda personalizada HTTP. El balanceador de carga sondea regularmente su punto final (cada 15 segundos, de forma
predeterminada). La instancia está en buen estado si responde con un HTTP 200 dentro del período de tiempo de espera
(predeterminado de 31 segundos). Cualquier estado que no sea HTTP 200 hace que esta sonda falle. Puede especificar el
puerto (Port), el URI para solicitar el estado de salud del backend (URI), la cantidad de tiempo entre los intentos de sondeo
(Intervalo) y la cantidad de fallas que deben ocurrir para que la instancia se considere insalubre (Insuficiente umbral).
Sonda personalizada de TCP. Esta sonda se basa en el establecimiento de una sesión TCP correcta en un puerto de sonda definido.
Si existe el oyente especificado en la máquina virtual, la sonda se realiza correctamente. Si se rechaza la conexión, la sonda falla.
Puede especificar el puerto, el intervalo y el umbral en mal estado.
✔ También hay una sonda de agente invitado. Esta sonda usa el agente invitado dentro de la VM. No se recomienda
cuando son posibles configuraciones de sonda personalizadas HTTP o TCP.
Puerta de enlace de aplicaciones de Azure 167
Application Gateway equilibrará automáticamente la carga de las solicitudes enviadas a los servidores de cada grupo de back-end
mediante un mecanismo de operación por turnos. Sin embargo, puede configurar la permanencia de la sesión, si necesita asegurarse
de que todas las solicitudes de un cliente en la misma sesión se enruten al mismo servidor en un grupo de back-end.
El equilibrio de carga funciona con el enrutamiento OSI Layer 7 implementado por el enrutamiento de Application Gateway, lo que
significa que equilibra la carga de las solicitudes en función de los parámetros de enrutamiento (nombres de host y rutas) utilizados
por las reglas de Application Gateway. En comparación, otros equilibradores de carga, como Azure Load Balancer, funcionan en el
nivel OSI Layer 4 y distribuyen el tráfico según la dirección IP del destino de una solicitud.
Operar en OSI Layer 7 permite el equilibrio de carga para aprovechar las otras características que proporciona
Application Gateway.
Características adicionales
● Soporte para los protocolos HTTP, HTTPS, HTTP / 2 y WebSocket.
● Un firewall de aplicaciones web para protegerse contra las vulnerabilidades de las aplicaciones web.
● Ajuste de escala automático, para ajustar dinámicamente la capacidad a medida que cambia la carga
las solicitudes a un servidor web seleccionado en el grupo de back-end, utilizando un conjunto de reglas configuradas para que la puerta
de enlace determine dónde debe ir la solicitud.
Hay dos métodos principales para enrutar el tráfico, el enrutamiento basado en rutas y el alojamiento de varios sitios.
5 https://docs.microsoft.com/en-us/azure/application-gateway/overview
168 Módulo 6 Gestión del tráfico de red
Las configuraciones de múltiples sitios son útiles para admitir aplicaciones de múltiples inquilinos, donde cada inquilino tiene su
propio conjunto de máquinas virtuales u otros recursos que alojan una aplicación web.
Puerta de enlace de aplicaciones de Azure 169
Características adicionales
● Redirección. La redirección se puede utilizar a otro sitio o de HTTP a HTTPS.
● Vuelva a escribir los encabezados HTTP. Los encabezados HTTP permiten al cliente y al servidor pasar información adicional
con la solicitud o la respuesta.
● Páginas de error personalizadas. Application Gateway le permite crear páginas de error personalizadas en lugar de mostrar páginas de
error predeterminadas. Puede utilizar su propia marca y diseño mediante una página de error personalizada.
Dirección IP de front-end
Las solicitudes de los clientes se reciben a través de una dirección IP de front-end. Puede configurar Application Gateway para que
tenga una dirección IP pública, una dirección IP privada o ambas. Application Gateway no puede tener más de una dirección IP
pública y una privada.
Oyentes
Application Gateway utiliza uno o más escuchas para recibir solicitudes entrantes. Un oyente acepta el tráfico que llega a una
combinación específica de protocolo, puerto, host y dirección IP. Cada oyente enruta las solicitudes a un grupo de servidores
back-end siguiendo las reglas de enrutamiento que usted especifique. Un oyente puede ser básico o multisitio. Un oyente básico
solo enruta una solicitud en función de la ruta en la URL. Un oyente de sitios múltiples también puede enrutar solicitudes utilizando
el elemento de nombre de host de la URL.
Los oyentes también manejan certificados SSL para proteger su aplicación entre el usuario y Application
Gateway.
170 Módulo 6 Gestión del tráfico de red
Reglas de enrutamiento
Una regla de enrutamiento vincula a un oyente a los grupos de back-end. Una regla especifica cómo interpretar el nombre de host y
los elementos de la ruta en la URL de una solicitud y dirigir la solicitud al grupo de back-end correspondiente. Una regla de
enrutamiento también tiene un conjunto asociado de configuraciones HTTP. Estas configuraciones indican si (y cómo) el tráfico está
encriptado entre Application Gateway y los servidores back-end, y otra información de configuración como: Protocolo, Permanencia de
la sesión, Drenaje de la conexión, Período de tiempo de espera de la solicitud y Sondas de estado.
Grupos de back-end
Un grupo de back-end hace referencia a una colección de servidores web. Usted proporciona la dirección IP de cada servidor web y el
puerto en el que escucha las solicitudes al configurar el grupo. Cada grupo puede especificar un conjunto fijo de máquinas virtuales,
un conjunto de escalado de máquinas virtuales, una aplicación hospedada por Azure App Services o una colección de servidores
locales. Cada grupo de back-end tiene un equilibrador de carga asociado que distribuye el trabajo en el grupo.
OWASP ha definido un conjunto de reglas genéricas para detectar ataques. Estas reglas se denominan Core Rule Set (CRS). Los
conjuntos de reglas están bajo revisión continua a medida que los ataques evolucionan en sofisticación. WAF admite dos conjuntos de
reglas, CRS 2.2.9 y CRS 3.0. CRS 3.0 es el conjunto de reglas predeterminado y más reciente. Si es necesario, puede optar por
seleccionar solo reglas específicas en un conjunto de reglas, dirigidas a determinadas amenazas. Además, puede personalizar el
firewall para especificar qué elementos de una solicitud se deben examinar y limitar el tamaño de los mensajes para evitar que las
cargas masivas abrumen sus servidores.
WAF se habilita en su Application Gateway seleccionando el nivel WAF cuando crea una puerta de enlace.
Sondas de salud
Las sondas de estado son una parte importante para ayudar al equilibrador de carga a determinar qué servidores están disponibles para el
equilibrio de carga en un grupo de back-end. Application Gateway utiliza una sonda de estado para enviar una solicitud a un servidor. Si el
servidor devuelve una respuesta HTTP con un código de estado entre 200 y 399, se considera que el servidor está en buen estado.
Si no configura una sonda de estado, Application Gateway crea una sonda predeterminada que espera 30 segundos
antes de decidir que un servidor no está disponible.
Módulo 06 Práctica de laboratorio y revisión 171
Escenario de laboratorio
Se le asignó la tarea de probar la administración del tráfico de red dirigido a máquinas virtuales de Azure en la topología de
red de concentrador y radio, que Contoso considera implementar en su entorno de Azure (en lugar de crear la topología de
malla, que probó en el laboratorio anterior). Esta prueba debe incluir la implementación de conectividad entre radios
confiando en rutas definidas por el usuario que obligan al tráfico a fluir a través del concentrador, así como la distribución
del tráfico a través de máquinas virtuales mediante el uso de equilibradores de carga de capa 4 y capa 7. Para este
propósito, tiene la intención de usar Azure Load Balancer (capa 4) y Azure Application Gateway (capa 7).
Objetivos
En este laboratorio, podrá:
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Pregunta de repaso 1
¿Cuál de las dos características siguientes de la red de Azure proporciona la capacidad de redirigir todo el tráfico de Internet a los
servidores locales de su empresa para la inspección de paquetes? Seleccione dos.
?? Gestor de tráfico
?? Túneles forzados
Pregunta de repaso 2
Su empresa proporciona a los clientes una red virtual en la nube. Tiene docenas de máquinas virtuales Linux en otra
red virtual. Debe instalar un equilibrador de carga de Azure para dirigir el tráfico entre las redes virtuales. ¿Qué
deberías hacer? Seleccione uno.
Pregunta de repaso 3
Su empresa tiene un sitio web regional popular. La compañía planea trasladarlo a Microsoft Azure y alojarlo en la
región este de Canadá. El equipo web ha establecido los siguientes requisitos para la gestión del tráfico web:
● Distribuya uniformemente las solicitudes web entrantes en una granja de 10 máquinas virtuales de Azure.
● Admite muchas solicitudes entrantes, incluidos los picos durante las horas pico.
● Minimiza la complejidad.
¿Cuál de las siguientes opciones seleccionaría para este escenario? Seleccione uno.
Pregunta de repaso 4
Implementa un equilibrador de carga interno entre su nivel web y los servidores de nivel de aplicación. Configure una sonda de estado HTTP
personalizada. ¿Cuáles de los siguientes dos no son ciertos? Seleccione dos.
Pregunta de repaso 5
¿Qué criterios utiliza Application Gateway para enrutar solicitudes a un servidor web? Seleccione uno.
Pregunta de repaso 6
¿Qué estrategia de equilibrio de carga implementa Application Gateway? Seleccione uno.
?? Distribuye las solicitudes a cada servidor disponible en un grupo de backend, a su vez, por turnos.
?? Sondea cada servidor en el grupo de backend por turno y envía la solicitud al primer servidor que responde.
?? Utiliza un servidor en el grupo de backend hasta que ese servidor alcanza el 50% de carga, luego se mueve al siguiente servidor.
Pregunta de repaso 7
Su empresa tiene un sitio web que permite a los usuarios personalizar su experiencia descargando una aplicación. La
demanda de la aplicación ha aumentado, por lo que ha agregado otra red virtual con dos máquinas virtuales. Estas
máquinas están dedicadas a servir las descargas de aplicaciones. Debe asegurarse de que las solicitudes de descarga
adicionales no afecten el rendimiento del sitio web. Su solución debe enrutar todas las solicitudes de descarga a los dos
nuevos servidores que ha instalado. ¿Qué acción recomendarías? Seleccione uno.
Pregunta de repaso 8
Está implementando Application Gateway y desea asegurarse de que las solicitudes entrantes se verifiquen en busca de amenazas de seguridad
comunes, como secuencias de comandos entre sitios y rastreadores. Para abordar sus inquietudes, ¿qué debe hacer? Seleccione uno.
Estudio adicional
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. Puede buscar módulos adicionales por producto, función o nivel.
● Mejore la escalabilidad y la resistencia de las aplicaciones mediante el uso de Azure Load Balancer 7
● Mejore la disponibilidad de sus servicios y la ubicación de los datos mediante el uso de Azure Traffic Manager 9
6 https://docs.microsoft.com/en-us/learn/modules/control-network-traffic-flow-with-routes/
7 https://docs.microsoft.com/en-us/learn/modules/improve- app-scalability-resiliency-with-load-balancer /
8 https://docs.microsoft.com/en-us/learn/modules/load-balance-web-traffic-with-application-gateway/ https: //
9 docs. microsoft.com/en-us/learn/modules/distribute-load-with-traffic-manager/
Módulo 06 Práctica de laboratorio y revisión 175
Respuestas
Pregunta de repaso 1
¿Cuál de las dos características siguientes de la red de Azure proporciona la capacidad de redirigir todo el tráfico de Internet
a los servidores locales de su empresa para la inspección de paquetes? Seleccione dos.
?? Gestor de tráfico
■ Túneles forzados
Explicación
Rutas definidas por el usuario y tunelización forzada. Puede utilizar la tunelización forzada para redirigir el tráfico vinculado a Internet a
la infraestructura local de la empresa. La tunelización forzada se usa comúnmente en escenarios donde las organizaciones desean
implementar inspección de paquetes o auditorías corporativas. La tunelización forzada en Azure se configura a través de rutas definidas
por el usuario (UDR) de la red virtual.
Pregunta de repaso 2
Su empresa proporciona a los clientes una red virtual en la nube. Tiene docenas de máquinas virtuales Linux
en otra red virtual. Debe instalar un equilibrador de carga de Azure para dirigir el tráfico entre las redes
virtuales. ¿Qué deberías hacer? Seleccione uno.
Explicación
Instale un equilibrador de carga interno. Azure tiene dos tipos de balanceadores de carga: públicos e internos. Un equilibrador de carga
interno dirige el tráfico solo a los recursos que se encuentran dentro de una red virtual o que usan una VPN para acceder a la infraestructura
de Azure.
Pregunta de repaso 3
Su empresa tiene un sitio web regional popular. La compañía planea trasladarlo a Microsoft Azure y alojarlo en
la región este de Canadá. El equipo web ha establecido los siguientes requisitos para la gestión del tráfico web:
176 Módulo 6 Gestión del tráfico de red
¿Cuál de las siguientes opciones seleccionaría para este escenario? Seleccione uno.
Explicación
Balanceador de carga de Azure. En este escenario, los requisitos exigen un equilibrio de carga de un sitio web con una
complejidad y unos costes mínimos. El sitio web está en una sola región, lo que excluye a Azure Traffic Manager (que está
orientado a una aplicación web distribuida). Azure CDN es complejo y costoso y es más adecuado para entregar contenido web
estático en varias ubicaciones en todo el mundo (con el máximo rendimiento). Los servicios en la nube de Azure son adecuados
para aplicaciones y API, no para este escenario.
Pregunta de repaso 4
Implementa un equilibrador de carga interno entre su nivel web y los servidores de nivel de aplicación. Configure una sonda de
estado HTTP personalizada. ¿Cuáles de los siguientes dos no son ciertos? Seleccione dos.
Explicación
De forma predeterminada, la sonda de estado comprueba los puntos finales cada 15 segundos, no cada 30 segundos. Puede cambiar
el número de fallas consecutivas, pero no puede especificar un período de tiempo para las fallas.
Pregunta de repaso 5
¿Qué criterios utiliza Application Gateway para enrutar solicitudes a un servidor web? Seleccione uno.
Explicación
El nombre de host, el puerto y la ruta en la URL de la solicitud.
Módulo 06 Práctica de laboratorio y revisión 177
Pregunta de repaso 6
■ Distribuye las solicitudes a cada servidor disponible en un grupo de backend por turnos, por turnos.
?? Sondea cada servidor en el grupo de backend por turno y envía la solicitud al primer servidor que responde.
?? Utiliza un servidor en el grupo de backend hasta que ese servidor alcanza el 50% de carga, luego se mueve al siguiente servidor.
Explicación
Application Gateway distribuye las solicitudes a cada servidor disponible en el grupo de backend mediante el método de
operación por turnos.
Pregunta de repaso 7
Su empresa tiene un sitio web que permite a los usuarios personalizar su experiencia descargando una aplicación. La
demanda de la aplicación ha aumentado, por lo que ha agregado otra red virtual con dos máquinas virtuales. Estas
máquinas están dedicadas a servir las descargas de aplicaciones. Debe asegurarse de que las solicitudes de descarga
adicionales no afecten el rendimiento del sitio web. Su solución debe enrutar todas las solicitudes de descarga a los dos
nuevos servidores que ha instalado. ¿Qué acción recomendarías? Seleccione uno.
Explicación
Puerta de enlace de aplicaciones. Application Gateway le permite controlar la distribución del tráfico de usuarios a sus puntos finales que
se ejecutan en diferentes centros de datos de todo el mundo.
Pregunta de repaso 8
Está implementando Application Gateway y desea asegurarse de que las solicitudes entrantes se verifiquen en busca de amenazas de seguridad
comunes, como secuencias de comandos entre sitios y rastreadores. Para abordar sus inquietudes, ¿qué debe hacer? Seleccione uno.
Explicación
Instale el firewall de aplicaciones web. El firewall de aplicaciones web (WAF) es un componente opcional que maneja las solicitudes
entrantes antes de que lleguen a un oyente. El firewall de aplicaciones web comprueba cada solicitud en busca de muchas
amenazas comunes, según el Proyecto de seguridad de aplicaciones web abiertas (OWASP).
Módulo 7 Azure Storage
Cuentas de almacenamiento
Almacenamiento de Azure
Azure Storage es la solución de almacenamiento en la nube de Microsoft para escenarios modernos de almacenamiento de datos. Azure
Storage ofrece un almacén de objetos escalable masivamente para objetos de datos, un servicio de sistema de archivos para la nube, un
almacén de mensajería para mensajería confiable y un almacén NoSQL. Azure Storage es:
● Durable y de alta disponibilidad. La redundancia garantiza que sus datos estén seguros en caso de fallas transitorias de
hardware. También puede optar por replicar datos en centros de datos o regiones geográficas para obtener protección
adicional contra catástrofes locales o desastres naturales. Los datos replicados de esta manera permanecen altamente
disponibles en caso de una interrupción inesperada.
● Seguro. Todos los datos escritos en Azure Storage están cifrados por el servicio. Azure Storage le proporciona un
control detallado sobre quién tiene acceso a sus datos.
● Escalable. Azure Storage está diseñado para ser escalable masivamente para satisfacer las necesidades de rendimiento y
● Administrado. Microsoft Azure se encarga del mantenimiento de hardware, las actualizaciones y los problemas críticos por usted.
● Accesible. Se puede acceder a los datos de Azure Storage desde cualquier lugar del mundo a través de HTTP o HTTPS.
Microsoft proporciona SDK para Azure Storage en una variedad de lenguajes (.NET, Java, Node.js, Python, PHP, Ruby,
Go y otros), así como una API REST madura. Azure Storage admite la creación de scripts en Azure PowerShell o la CLI
de Azure. Y Azure Portal y Azure Storage Explorer ofrecen soluciones visuales sencillas para trabajar con sus datos.
Azure Storage es un servicio que puede usar para almacenar archivos, mensajes, tablas y otros tipos de información. Puede usar el
almacenamiento de Azure por sí solo, por ejemplo, como un recurso compartido de archivos, pero los desarrolladores lo usan a menudo como
un almacén de datos de trabajo. Estas tiendas pueden ser utilizadas por sitios web, aplicaciones móviles, aplicaciones de escritorio y muchos
otros tipos de soluciones personalizadas. Azure Storage también es utilizado por máquinas virtuales IaaS y servicios en la nube PaaS.
● Almacenamiento para máquinas virtuales. Esto incluye discos y archivos. Los discos son almacenamiento en bloque persistente para máquinas virtuales de
IaaS de Azure. Los archivos son recursos compartidos de archivos completamente administrados en la nube.
180 Módulo 7 Azure Storage
● Datos no estructurados. Esto incluye Blobs y Data Lake Store. Los blobs son un almacén de objetos en la nube altamente escalable y
basado en REST. Data Lake Store es un sistema de archivos distribuido de Hadoop (HDFS) como servicio.
● Datos estructurados. Esto incluye tablas, Cosmos DB y Azure SQL DB. Las tablas son un almacén NoSQL de clave / valor que se escala
automáticamente. Cosmos DB es un servicio de base de datos distribuido globalmente. Azure SQL DB es una base de datos como servicio
Las cuentas de almacenamiento de uso general tienen dos niveles: Estándar y Prima.
● Estándar Las cuentas de almacenamiento están respaldadas por unidades magnéticas (HDD) y ofrecen el menor costo por GB. Son
mejores para aplicaciones que requieren almacenamiento masivo o donde se accede a los datos con poca frecuencia.
● Prima Las cuentas de almacenamiento están respaldadas por unidades de estado sólido (SSD) y ofrecen un rendimiento constante de
baja latencia. Solo se pueden usar con discos de máquinas virtuales de Azure y son los mejores para aplicaciones con uso intensivo de E
✔ No es posible convertir una cuenta de almacenamiento estándar en una cuenta de almacenamiento Premium o viceversa. Debe
crear una nueva cuenta de almacenamiento con el tipo deseado y copiar los datos, si corresponde, a una nueva cuenta de
almacenamiento.
● Contenedores de Azure (blobs): Un almacén de objetos escalable masivamente para texto y datos binarios.
● Archivos de Azure: Recursos compartidos de archivos administrados para implementaciones en la nube o locales.
● Colas de Azure: Una tienda de mensajería para mensajería confiable entre los componentes de la aplicación.
● Tablas de Azure: Una tienda NoSQL para el almacenamiento sin esquema de datos estructurados.
almacenar cantidades masivas de datos no estructurados, como texto o datos binarios. El almacenamiento de blobs es ideal para:
● Almacenamiento de datos para copia de seguridad y restauración, recuperación ante desastres y archivo.
● Almacenamiento de datos para su análisis por parte de un servicio local o alojado en Azure.
Se puede acceder a los objetos en Blob Storage desde cualquier parte del mundo a través de HTTP o HTTPS. Los usuarios o las
aplicaciones cliente pueden acceder a los blobs a través de URL, la API de REST de Azure Storage, Azure PowerShell, la CLI de Azure
o una biblioteca cliente de Azure Storage. Las bibliotecas de cliente de almacenamiento están disponibles para varios idiomas,
incluido. NET, Java, Node.js, Python, PHP y Ruby.
Archivos de Azure
Azure Files le permite configurar recursos compartidos de archivos de red de alta disponibilidad a los que se puede acceder mediante el
protocolo estándar Server Message Block (SMB). Eso significa que varias máquinas virtuales pueden compartir los mismos archivos
1 https://azure.microsoft.com/en-us/services/storage/
Cuentas de almacenamiento 181
con acceso de lectura y escritura. También puede leer los archivos mediante la interfaz REST o las bibliotecas del cliente de
almacenamiento.
Una cosa que distingue a Azure Files de los archivos en un recurso compartido de archivos corporativos es que puede acceder a los
archivos desde cualquier lugar del mundo mediante una URL que apunta al archivo e incluye un token de firma de acceso compartido
(SAS). Puede generar tokens SAS; permiten el acceso específico a un activo privado durante un período de tiempo específico.
Los recursos compartidos de archivos se pueden usar para muchos escenarios comunes:
● Muchas aplicaciones locales utilizan archivos compartidos. Esta característica facilita la migración de las aplicaciones que
comparten datos a Azure. Si monta el recurso compartido de archivos en la misma letra de unidad que utiliza la aplicación local,
la parte de su aplicación que accede al recurso compartido de archivos debería funcionar con cambios mínimos, si es que hay
alguno.
● Los archivos de configuración se pueden almacenar en un recurso compartido de archivos y se puede acceder a ellos desde varias máquinas virtuales. Las
herramientas y utilidades utilizadas por varios desarrolladores en un grupo se pueden almacenar en un archivo compartido, lo que garantiza que todos puedan
● Los registros de diagnóstico, las métricas y los volcados por caída son solo tres ejemplos de datos que pueden escribirse en un archivo
A esta vez, las listas de control de acceso (ACL) y autenticación basadas en Active Directory no son compatibles, pero
lo estarán en algún momento en el futuro. Las credenciales de la cuenta de almacenamiento se utilizan para proporcionar autenticación para acceder al
archivo compartido. Esto significa que cualquiera que tenga el recurso compartido montado tendrá acceso completo de lectura / escritura al recurso
compartido.
Almacenamiento en cola
El servicio Azure Queue se usa para almacenar y recuperar mensajes. Los mensajes en cola pueden tener un tamaño de hasta 64 KB
y una cola puede contener millones de mensajes. Las colas se utilizan generalmente para almacenar listas de mensajes que se
procesarán de forma asincrónica.
Por ejemplo, supongamos que desea que sus clientes puedan cargar imágenes y desea crear miniaturas para
cada imagen. Puede hacer que su cliente espere a que cree las miniaturas mientras carga las imágenes. Una
alternativa sería utilizar una cola. Cuando el cliente finalice su carga, escriba un mensaje en la cola. Luego,
haga que una función de Azure recupere el mensaje de la cola y cree las miniaturas. Cada una de las partes de
este procesamiento se puede escalar por separado, lo que le brinda más control al ajustarlo para su uso.
Almacenamiento de mesa
Azure Table Storage ahora forma parte de Azure Cosmos DB. Además del servicio de almacenamiento de tablas de Azure
existente, existe una nueva oferta de API de tablas de Azure Cosmos DB que proporciona tablas de rendimiento
optimizado, distribución global e índices secundarios automáticos. Para obtener más información y probar la nueva
experiencia premium, consulte Azure Cosmos DB Table API.
V1 de uso general Blob, archivo, cola, tabla Estándar, Premium LRS, GRS, RA-GRS
y disco
V2 de uso general Blob, archivo, cola, tabla Estándar, Premium LRS, GRS, RA-GRS, ZRS,
y disco ZGRS (vista previa), RA-
ZGRS (vista previa)
Almacenamiento de blobs en bloque Blob (bloquear blobs y Prima LRS, ZRS (limitado
añadir blobs únicamente) regiones)
Almacenamiento de archivos Solo archivos Prima LRS, ZRS (limitado
regiones)
Cuentas v1 de uso general (almacenamiento). Tipo de cuenta heredada para blobs, archivos, colas y tablas. Usar
cuentas v2 de propósito general en su lugar cuando sea posible.
Cuentas v2 de uso general (StorageV2). Tipo de cuenta de almacenamiento básico para blobs, archivos, colas y tablas.
Recomendado para la mayoría de escenarios que usan Azure Storage.
Bloquear cuentas de almacenamiento de blobs (BlockBlobStorage). Cuentas de almacenamiento de blobs con características de
rendimiento premium. Recomendado para escenarios con altas tasas de transacciones, que utilizan objetos más pequeños o que requieren
Cuentas de almacenamiento FileStorage (FileStorage). Cuentas de almacenamiento de solo archivos con características de
rendimiento premium. Recomendado para aplicaciones empresariales o de escala de alto rendimiento.
Cuentas de almacenamiento de blobs (BlobStorage). Cuentas de almacenamiento solo de blobs. En su lugar, utilice cuentas v2 de uso
✔ Todas las cuentas de almacenamiento se cifran mediante el cifrado del servicio de almacenamiento (SSE) para los datos en reposo.
Estrategias de replicación
Los datos de su cuenta de almacenamiento de Azure siempre se replican para garantizar la durabilidad y alta disponibilidad.
La replicación de Azure Storage copia sus datos para protegerlos de eventos planificados y no planificados que van desde
fallas de hardware transitorias, cortes de energía o de red, desastres naturales masivos, etc. Puede optar por replicar sus
datos dentro del mismo centro de datos, en centros de datos zonales dentro de la misma región e incluso en todas las
regiones. La replicación garantiza que su cuenta de almacenamiento cumpla con el Acuerdo de nivel de servicio (SLA) para
almacenamiento incluso en caso de fallas.
de datos
Cuentas de almacenamiento 183
Una región No No sí sí
corte
Leer acceso a No No Sí (con RA-GRS) Sí (con RA-GZRS)
sus datos (en un
remoto, geo-representante
región licada) en
el evento de
en toda la región
indisponibilidad
tipos
nivel del centro de datos (por ejemplo, un incendio o una inundación), todas las réplicas pueden perderse o ser irrecuperables.
● Si su aplicación almacena datos que se pueden reconstruir fácilmente en caso de pérdida de datos.
● Si sus datos cambian constantemente, por ejemplo, una transmisión en vivo, y el almacenamiento de los datos realmente no es necesario.
● Si su aplicación está restringida a replicar datos solo dentro de un país debido a los requisitos de
gobernanza de datos.
Aquí hay algunas cosas más que debe saber sobre ZRS:
● El cambio a ZRS desde otra opción de replicación de datos requiere el movimiento de datos físicos de un solo sello de
almacenamiento a varios sellos dentro de una región.
● Es posible que ZRS no proteja sus datos contra un desastre regional en el que varias zonas se vean afectadas
permanentemente. En cambio, ZRS ofrece resistencia para sus datos en caso de indisponibilidad.
184 Módulo 7 Azure Storage
Para una cuenta de almacenamiento con GRS o RA-GRS habilitado, todos los datos se replican primero con almacenamiento con
redundancia local (LRS). Una actualización se confirma primero en la ubicación principal y se replica mediante LRS. Luego, la
actualización se replica de forma asincrónica en la región secundaria mediante GRS. Cuando los datos se escriben en la ubicación
secundaria, también se replican dentro de esa ubicación mediante LRS. Tanto la región primaria como la secundaria administran
réplicas en dominios de falla separados y actualizan dominios dentro de una unidad de escala de almacenamiento. La unidad de escala
de almacenamiento es la unidad de replicación básica dentro del centro de datos. LRS proporciona la replicación en este nivel. Si opta
por GRS, tiene dos opciones relacionadas para elegir:
● GRS replica sus datos en otro centro de datos en una región secundaria, pero esos datos están disponibles para ser leídos solo si
Microsoft inicia una conmutación por error de la región primaria a la secundaria.
● Almacenamiento con redundancia geográfica con acceso de lectura ( RA-GRS) se basa en GRS. RA-GRS replica sus
datos en otro centro de datos en una región secundaria y también le brinda la opción de leer desde la región
secundaria. Con RA-GRS, puede leer desde el secundario independientemente de si Microsoft inicia una conmutación
por error del primario al secundario.
zona con la protección contra interrupciones regionales proporcionada por el almacenamiento con redundancia geográfica. Los datos
en una cuenta de almacenamiento de GZRS se replican en tres zonas de disponibilidad de Azure en la región principal y también se replican en
una región geográfica secundaria para protección contra desastres regionales. Cada región de Azure está emparejada con otra región dentro
Con una cuenta de almacenamiento GZRS, puede continuar leyendo y escribiendo datos si una zona de disponibilidad deja de estar
disponible o es irrecuperable. Además, sus datos también son duraderos en el caso de una interrupción regional completa o un
desastre en el que la región principal no se puede recuperar. GZRS está diseñado para proporcionar al menos
99,99999999999999% (16 9) durabilidad de los objetos durante un año determinado. GZRS también ofrece los mismos objetivos de
escalabilidad que LRS, ZRS, GRS o RA-GRS. Opcionalmente, puede habilitar el acceso de lectura a los datos en la región secundaria con
almacenamiento con redundancia de zona geográfica de acceso de lectura (RA-GZRS) si sus aplicaciones necesitan poder leer datos en
caso de un desastre en la región principal.
Microsoft recomienda utilizar GZRS para aplicaciones que requieran consistencia, durabilidad, alta disponibilidad,
excelente rendimiento y resistencia para la recuperación ante desastres. Para la seguridad adicional del acceso de lectura
a la región secundaria en caso de un desastre regional, habilite RA-GZRS para su cuenta de almacenamiento.
Acceder al almacenamiento
Cada objeto que almacena en Azure Storage tiene una dirección URL única. El nombre de la cuenta de almacenamiento
forma el subdominio de esa dirección. La combinación de subdominio y nombre de dominio, que es específica de cada
servicio, forma un punto final para su cuenta de almacenamiento.
Por ejemplo, si su cuenta de almacenamiento se llama mystorageaccount, entonces los puntos finales predeterminados para su cuenta de
almacenamiento son:
La URL para acceder a un objeto en una cuenta de almacenamiento se crea agregando la ubicación del objeto en la
cuenta de almacenamiento al punto final. Por ejemplo, para acceder myblob en el mycontainer, utilice este formato:
http://mystorageaccount.blob.core.windows.net/mycontainer/myblob.
✔ Azure Storage aún no admite HTTPS de forma nativa con dominios personalizados. Actualmente, puede usar Azure CDN para
acceder a blobs mediante dominios personalizados a través de HTTPS.
Mapeo CNAME directo por ejemplo, para habilitar un dominio personalizado para el subdominio blobs.contoso.com en una cuenta de
almacenamiento de Azure, cree un registro CNAME que apunte desde blobs.contoso.com a la cuenta de almacenamiento de Azure
[cuenta de almacenamiento] .blob.core.windows .neto. El siguiente ejemplo asigna un dominio a una cuenta de almacenamiento de
Azure en DNS:
blobs.contoso.com contosoblobs.blob.core.windows.net
Mapeo intermedio con verificar La asignación de un dominio que ya está en uso dentro de Azure puede resultar en un
tiempo de inactividad menor a medida que se actualiza el dominio. Si tiene una aplicación con un SLA, al usar el dominio
puede evitar el tiempo de inactividad usando una segunda opción, el subdominio asverify, para validar el dominio. Al
anteponer una verificación a su propio subdominio, permite que Azure reconozca su dominio personalizado sin modificar
el registro DNS del dominio. Después de modificar el registro DNS para el dominio, se asignará al punto final de blob sin
tiempo de inactividad.
Los siguientes ejemplos mapean un dominio a la cuenta de almacenamiento de Azure en DNS con el dominio intermediario
asverify:
asverify.blobs.contoso.com asverify.contosoblobs.blob.core.windows.net
blobs.contoso.com contosoblobs.blob.core.windows.net
✔ Una cuenta de Blob Storage solo expone el extremo del servicio Blob. Y también puede configurar un nombre de dominio
personalizado para usar con su cuenta de almacenamiento.
● Los firewalls y las redes virtuales permiten restringir el acceso a la cuenta de almacenamiento desde subredes
específicas en redes virtuales
● Las subredes y las redes virtuales deben existir en la misma región o par de regiones de Azure que la cuenta de
almacenamiento
✔ Es importante probar y asegurarse de que el punto final del servicio esté limitando el acceso como se esperaba.
1. En Azure Portal, seleccione Todos los servicios. En la lista de recursos, escriba Cuentas de almacenamiento. Como comienzas
3. Selecciona el suscripción en el que crear la cuenta de almacenamiento. En el campo Grupo de recursos, seleccione Crear
5. Entrar a nombre para su cuenta de almacenamiento. El nombre que elija debe ser único en Azure. El nombre
también debe tener entre 3 y 24 caracteres de longitud y solo puede incluir números y letras minúsculas.
6. Seleccione un localización para su cuenta de almacenamiento o utilice la ubicación predeterminada. Deje estos
● Actuación: Estándar
8. Seleccione Revisar + Crear para revisar la configuración de su cuenta de almacenamiento y crear la cuenta.
9. Seleccione Crear.
10. Si tiene tiempo, revise el código de PowerShell y CLI al final de esta demostración.
1. Dentro de la cuenta de almacenamiento, cree una recurso compartido de archivos, y subir un archivo.
Cuentas de almacenamiento 187
2. Para la cuenta de almacenamiento, utilice el Firma de acceso compartido hoja a Genera SAS y conexión
cuerda.
3. Utilice el Explorador de Storage y la cadena de conexión para acceder al recurso compartido de archivos.
Nota: Esta parte de la demostración requiere una red virtual con una subred.
2. Bajo Puntos finales de servicio, ver el Servicios desplegable y los diferentes servicios que se pueden
asegurado con un punto final.
4. Agregue una red virtual existente, verifique que su subred con el nuevo punto final de servicio esté en la lista.
Use el siguiente código para crear una cuenta de almacenamiento con PowerShell. Cambie los tipos y nombres de
almacenamiento para adaptarlos a sus necesidades.
Use el siguiente código para crear una cuenta de almacenamiento con la CLI de Azure. Cambie los tipos y nombres de almacenamiento para
Nota: Si planea usar la cuenta de almacenamiento en otros escenarios, asegúrese de devolver la cuenta a Todas las
redes en el Cortafuegos y redes virtuales espada.
Almacenamiento de blobs 189
Almacenamiento de blobs
Almacenamiento de blobs
Azure Blob Storage es un servicio que almacena datos no estructurados en la nube como objetos / blobs. Blob Storage puede almacenar cualquier tipo de
texto o datos binarios, como un documento, un archivo multimedia o un instalador de aplicaciones. El almacenamiento de blobs también se conoce como
almacenamiento de objetos.
● Almacenamiento de datos para copia de seguridad y restauración, recuperación ante desastres y archivo.
● Almacenamiento de datos para su análisis por parte de un servicio local o alojado en Azure.
● La cuenta de almacenamiento
● Gotas en un recipiente
✔ Dentro de la cuenta de almacenamiento, puede agrupar tantos blobs como necesite en un contenedor. Para más
2 https://azure.microsoft.com/en-us/services/storage/blobs/
190 Módulo 7 Azure Storage
Contenedores de blobs
Un contenedor proporciona una agrupación de un conjunto de blobs. Todas las manchas deben estar en un contenedor. Una cuenta
puede contener un número ilimitado de contenedores. Un contenedor puede almacenar un número ilimitado de blobs. Puede crear
el contenedor en Azure Portal.
Nombre: El nombre solo puede contener letras minúsculas, números y guiones, y debe comenzar con una
letra o un número. El nombre también debe tener entre 3 y 63 caracteres.
Nivel de acceso público: Especifica si se puede acceder públicamente a los datos del contenedor. De forma predeterminada, los datos del contenedor
● Usar Privado para garantizar que no haya acceso anónimo al contenedor y a los blobs.
● Usar Gota para permitir el acceso de lectura público anónimo solo para blobs.
● Usar Envase para permitir el acceso público anónimo de lectura y lista a todo el contenedor, incluidos los
blobs.
✔ También puede crear el contenedor de blobs con PowerShell usando el New-AzStorageContainer comando.
● Caliente. El nivel Hot está optimizado para el acceso frecuente de objetos en la cuenta de almacenamiento. El acceso a los datos en el nivel
Hot es más rentable, mientras que los costos de almacenamiento son algo más altos. Las nuevas cuentas de almacenamiento se crean en
● Fresco. El nivel Cool está optimizado para almacenar grandes cantidades de datos a los que se accede con poca
frecuencia y se almacenan durante al menos 30 días. Almacenar datos en el nivel Cool es más rentable, pero acceder a
esos datos puede ser algo más costoso que acceder a los datos en el nivel Hot.
● Archivo. El nivel de archivo está optimizado para datos que pueden tolerar varias horas de latencia de recuperación y
permanecerán en el nivel de archivo durante al menos 180 días. El nivel de archivo es la opción más rentable para
almacenar datos, pero acceder a esos datos es más costoso que acceder a los datos de los niveles Hot o Cool.
✔ Si hay un cambio en el patrón de uso de sus datos, puede cambiar entre estos niveles de acceso en cualquier
momento.
Los conjuntos de datos tienen ciclos de vida únicos. Al principio del ciclo de vida, las personas acceden a algunos datos con frecuencia. Pero la
necesidad de acceso disminuye drásticamente a medida que los datos envejecen. Algunos datos permanecen inactivos en la nube y rara vez se accede a
ellos una vez almacenados. Algunos datos caducan días o meses después de su creación, mientras que otros conjuntos de datos se leen y modifican
activamente a lo largo de su vida útil. La administración del ciclo de vida del almacenamiento de blobs de Azure ofrece una política rica basada en reglas
para las cuentas de almacenamiento de blobs y GPv2. Utilice la política para realizar la transición de sus datos a los niveles de acceso adecuados o
● Realice la transición de blobs a un nivel de almacenamiento más frío (de caliente a frío, de caliente a archivado o de frío a archivado) para optimizar el
rendimiento y el coste.
● Defina las reglas que se ejecutarán una vez al día en el nivel de la cuenta de almacenamiento.
Considere un escenario en el que los datos obtienen acceso frecuente durante las primeras etapas del ciclo de vida, pero solo ocasionalmente después de
dos semanas. Más allá del primer mes, rara vez se accede al conjunto de datos. En este escenario, el almacenamiento en caliente es mejor durante las
primeras etapas. El almacenamiento en frío es más apropiado para el acceso ocasional. El almacenamiento de archivos es la mejor opción de nivel después
de que los datos envejecen más de un mes. Ajustando los niveles de almacenamiento con respecto a
192 Módulo 7 Azure Storage
la edad de los datos, puede diseñar las opciones de almacenamiento menos costosas para sus necesidades. Para lograr esta transición, las reglas
de la política de administración del ciclo de vida están disponibles para mover los datos antiguos a niveles más fríos.
Carga de blobs
Un blob puede ser un archivo de cualquier tipo y tamaño. Azure Storage ofrece tres tipos de blobs: cuadra manchas página manchas
y adjuntar manchas. Usted especifica el tipo de blob y el nivel de acceso cuando crea el blob.
● Bloquear blobs (predeterminado) consisten en bloques de datos ensamblados para hacer un blob. La mayoría de los escenarios que
utilizan Blob Storage emplean blobs en bloque. Los blobs en bloque son ideales para almacenar texto y datos binarios en la nube, como
● Anexar blobs son como blobs de bloques en el sentido de que están formados por bloques, pero están optimizados para
operaciones de adición, por lo que son útiles para escenarios de registro.
● Blobs en la página pueden tener un tamaño de hasta 8 TB y son más eficientes para operaciones frecuentes de lectura / escritura. Las máquinas virtuales de Azure
● AzCopy es una herramienta de línea de comandos fácil de usar para Windows y Linux que copia datos hacia y desde Blob
Storage, entre contenedores o entre cuentas de almacenamiento.
● La Biblioteca de movimiento de datos de Azure Storage es una biblioteca .NET para mover datos entre servicios de
Azure Storage. La utilidad AzCopy se crea con la biblioteca Data Movement.
● Fábrica de datos de Azure admite la copia de datos hacia y desde Blob Storage mediante el uso de la clave de cuenta, la firma de acceso
compartido, la entidad de servicio o las identidades administradas para las autenticaciones de recursos de Azure.
Almacenamiento de blobs 193
● Blobfuse es un controlador de sistema de archivos virtual para Azure Blob Storage. Puede usar blobfuse para acceder a sus datos de
blob de bloques existentes en su cuenta de almacenamiento a través del sistema de archivos de Linux.
● Disco de caja de datos de Azure es un servicio para transferir datos locales a Blob Storage cuando grandes conjuntos de
datos o restricciones de red hacen que la carga de datos por cable no sea realista. Puede usar Azure Data Box Disk para
solicitar discos de estado sólido (SSD) de Microsoft. Luego, puede copiar sus datos en esos discos y enviarlos de regreso a
Microsoft para que se carguen en Blob Storage.
● La Importación / Exportación de Azure El servicio proporciona una forma de exportar grandes cantidades de datos desde su
cuenta de almacenamiento a los discos duros que usted proporciona y que Microsoft luego le envía con sus datos.
Precios de almacenamiento
Todas las cuentas de almacenamiento usan un modelo de precios para el almacenamiento de blobs según el nivel de cada blob. Al usar una cuenta de
● Niveles de rendimiento: Además de la cantidad de datos almacenados, el costo de almacenamiento de datos varía según el
nivel de almacenamiento. El costo por gigabyte disminuye a medida que el nivel se enfría.
● Costos de acceso a datos: Los cargos por acceso a datos aumentan a medida que el nivel se enfría. Para los datos en el nivel de
almacenamiento frío y de archivo, se le cobra un cargo de acceso a datos por gigabyte para las lecturas.
● Costos de transacción: Hay un cargo por transacción para todos los niveles que aumenta a medida que el nivel se enfría.
● Costos de transferencia de datos de replicación geográfica: Este cargo solo se aplica a las cuentas con la replicación geográfica
configurada, incluidos GRS y RA-GRS. La transferencia de datos de replicación geográfica incurre en un cargo por gigabyte.
● Costos de transferencia de datos salientes: Las transferencias de datos salientes (datos que se transfieren fuera de una
región de Azure) generan facturación por uso de ancho de banda por gigabyte, de acuerdo con las cuentas de
almacenamiento de uso general.
● Cambiar el nivel de almacenamiento: Cambiar el nivel de almacenamiento de la cuenta de frío a caliente genera un cargo
equivalente a leer todos los datos existentes en la cuenta de almacenamiento. Sin embargo, cambiar el nivel de almacenamiento
de la cuenta de caliente a frío implica un cargo equivalente a escribir todos los datos en el nivel frío (solo cuentas GPv2).
Crea un contenedor
2. En el menú de la izquierda de la cuenta de almacenamiento, desplácese hasta el Servicio de blobs sección, luego seleccione Blobs.
4. Escriba a Nombre para su nuevo contenedor. El nombre del contenedor debe estar en minúsculas, debe comenzar con una letra
5. Establezca el nivel de acceso público al contenedor. El nivel predeterminado es Privado (sin acceso anónimo).
2. Seleccione el contenedor para mostrar una lista de blobs que contiene. Dado que este contenedor es nuevo, todavía no contendrá ningún
blobs.
3. Selecciona el Subir para cargar un blob en el contenedor. Ampliar la Avanzado sección. Observe la Tipo
5.
7. Explore su sistema de archivos local para encontrar un archivo para cargar como un blob en bloque y seleccione Subir.
8. Sube tantos blobs como quieras de esta forma. Observará que los nuevos blobs ahora se enumeran dentro del
contenedor.
Puede descargar un blob en bloque para mostrarlo en el navegador o guardarlo en su sistema de archivos local.
2. Haga clic con el botón derecho en el blob que desea descargar y seleccione Descargar.
Seguridad de almacenamiento 195
Seguridad de almacenamiento
Seguridad de almacenamiento
Azure Storage proporciona un conjunto completo de capacidades de seguridad que, en conjunto, permiten a los desarrolladores crear
aplicaciones seguras. En esta lección, nos enfocamos en las firmas de acceso compartido, pero también cubrimos el cifrado de
almacenamiento y algunas de las mejores prácticas. Estas son las capacidades de seguridad de alto nivel para el almacenamiento de Azure:
● Cifrado. Todos los datos escritos en Azure Storage se cifran automáticamente mediante Storage Service
Encryption (SSE).
● Autenticación. Azure Active Directory (Azure AD) y el control de acceso basado en roles (RBAC) son compatibles con Azure Storage tanto
para las operaciones de administración de recursos como para las operaciones de datos, de la siguiente manera:
● Puede asignar roles de RBAC dentro del ámbito de la cuenta de almacenamiento a las entidades de seguridad y usar Azure AD para
● La integración de Azure AD es compatible con las operaciones de datos en los servicios Blob y Queue.
● Datos en tránsito. Los datos se pueden proteger en tránsito entre una aplicación y Azure mediante el cifrado del lado
del cliente, HTTPS o SMB 3.0.
● Cifrado de disco. Los discos de datos y el sistema operativo que usan las máquinas virtuales de Azure se pueden cifrar con Azure Disk
Encryption.
● Firmas de acceso compartido. El acceso delegado a los objetos de datos en Azure Storage se puede otorgar
mediante firmas de acceso compartido.
Opciones de autorización
Cada solicitud realizada contra un recurso seguro en el servicio Blob, Archivo, Cola o Tabla debe estar autorizada. La
autorización garantiza que los recursos de su cuenta de almacenamiento sean accesibles solo cuando usted lo
desee, y solo para aquellos usuarios o aplicaciones a los que otorgue acceso. Las opciones para autorizar solicitudes
a Azure Storage incluyen:
● Azure Active Directory (Azure AD). Azure AD es el servicio de gestión de acceso e identidad basado en la nube de
Microsoft. Con Azure AD, puede asignar acceso detallado a usuarios, grupos o aplicaciones a través del control de
acceso basado en roles (RBAC).
● Llave compartida. La autorización de clave compartida se basa en las claves de acceso de su cuenta y otros parámetros
para producir una cadena de firma encriptada que se pasa en la solicitud en el encabezado de Autorización.
● Firmas de acceso compartido. Las firmas de acceso compartido (SAS) delegan el acceso a un recurso particular en su
cuenta con permisos específicos y durante un intervalo de tiempo específico.
● Acceso anónimo a contenedores y blobs. Opcionalmente, puede hacer públicos los recursos de blob a nivel de contenedor o
de blob. Cualquier usuario puede acceder a un contenedor público o un blob para obtener acceso de lectura anónimo. Las
solicitudes de lectura de blobs y contenedores públicos no requieren autorización.
Un SAS le brinda control granular sobre el tipo de acceso que otorga a los clientes que tienen el SAS, incluyendo:
● Un SAS a nivel de cuenta puede delegar el acceso a múltiples servicios de almacenamiento. Por ejemplo, blob, archivo, cola y
tabla.
● Un intervalo durante el cual el SAS es válido, incluida la hora de inicio y la hora de vencimiento.
● Los permisos otorgados por SAS. Por ejemplo, un SAS para un blob puede otorgar permisos de lectura y
escritura a ese blob, pero no permisos de eliminación.
● Especifique una dirección IP o un rango de direcciones IP desde las que Azure Storage aceptará el SAS. Por
ejemplo, puede especificar un rango de direcciones IP que pertenezcan a su organización.
● El protocolo sobre el que Azure Storage aceptará SAS. Puede utilizar este parámetro opcional para restringir el
acceso a los clientes que utilizan HTTPS.
✔ Hay dos tipos de SAS: cuenta y Servicio. La cuenta SAS delega el acceso a los recursos en uno o más de los
servicios de almacenamiento. El servicio SAS delega el acceso a un recurso en solo uno de los servicios de
almacenamiento.
✔ Una política de acceso almacenada puede proporcionar un nivel adicional de control sobre SAS de nivel de servicio en el lado del
servidor. Puede agrupar firmas de acceso compartido y proporcionar restricciones adicionales para las firmas que están sujetas a la
política.
3 https://docs.microsoft.com/en-us/azure/storage/common/storage-dotnet-shared-access-signature-part-1?toc=%2fazure%2fstorage%2fbl obs%
2ftoc.json
Seguridad de almacenamiento 197
Nota: Esta demostración requiere una cuenta de almacenamiento, con un contenedor de blobs y un archivo cargado.
2. Busque la cuenta de almacenamiento con la que desea trabajar y ábrala. Profundiza en tu contenedor de blobs.
● Permisos: Leer
3. Tenga en cuenta que puede configurar una variedad de servicios, tipos de recursos y permisos.
compromisos de cumplimiento y seguridad de su organización. Con esta característica, la plataforma de almacenamiento de Azure
4 https://docs.microsoft.com/en-us/azure/storage/common/storage-dotnet-shared-access-signature-part-1?toc=%2fazure%2fstorage%2fbl obs%
2ftoc.json
Seguridad de almacenamiento 199
cifra automáticamente sus datos antes de conservarlos en Azure Managed Disks, Azure Blob, Queue, Table Storage
o Azure Files, y descifra los datos antes de recuperarlos.
El manejo del cifrado, el cifrado en reposo, el descifrado y la gestión de claves en Storage Service Encryption es
transparente para los usuarios. Todos los datos escritos en la plataforma de almacenamiento de Azure se cifran
mediante cifrado AES de 256 bits, uno de los cifrados de bloque más sólidos disponibles.
✔ SSE está habilitado para todas las cuentas de almacenamiento nuevas y existentes y no se puede deshabilitar. Debido a que sus datos están protegidos
El uso de claves personalizadas le brinda más flexibilidad y control al crear, deshabilitar, auditar, rotar y
definir controles de acceso.
200 Módulo 7 Azure Storage
✔ Para usar claves administradas por el cliente con SSE, puede crear una clave y un almacén de claves nuevos o puede usar una clave
y un almacén de claves existentes. La cuenta de almacenamiento y el almacén de claves deben estar en la misma región, pero
pueden estar en diferentes suscripciones.
Riesgos
Cuando utiliza firmas de acceso compartido en sus aplicaciones, debe tener en cuenta dos riesgos potenciales.
● Si un SAS proporcionado a una aplicación cliente caduca y la aplicación no puede recuperar un nuevo SAS de su
servicio, es posible que la funcionalidad de la aplicación se vea obstaculizada.
Recomendaciones
Las siguientes recomendaciones para el uso de firmas de acceso compartido pueden ayudar a mitigar los riesgos.
● Utilice siempre HTTPS para crear o distribuir un SAS. Si un SAS se pasa a través de HTTP y se intercepta, un atacante
que realiza un ataque man-in-the-middle puede leer el SAS y luego usarlo tal como podría haberlo hecho el usuario
previsto, lo que podría comprometer datos confidenciales o permitir la corrupción de datos por el usuario
malintencionado.
● Consulte las políticas de acceso almacenadas siempre que sea posible. Las políticas de acceso almacenado le brindan la
opción de revocar permisos sin tener que volver a generar las claves de la cuenta de almacenamiento. Establezca la caducidad de
estos muy lejos en el futuro (o infinito) y asegúrese de que se actualice regularmente para moverlo más en el futuro.
● Utilice tiempos de vencimiento a corto plazo en un SAS ad hoc. De esta manera, incluso si un SAS está comprometido, es válido solo por
un corto tiempo. Esta práctica es especialmente importante si no puede hacer referencia a una política de acceso almacenada. Los tiempos
de vencimiento a corto plazo también limitan la cantidad de datos que se pueden escribir en un blob al limitar el tiempo disponible para
cargarlo.
● Haga que los clientes renueven automáticamente la SAS si es necesario. Los clientes deben renovar el SAS mucho antes del
vencimiento, a fin de permitir tiempo para reintentos si el servicio que proporciona el SAS no está disponible. Si su SAS está
destinado a utilizarse para una pequeña cantidad de operaciones inmediatas y de corta duración que se espera que se completen
dentro del período de vencimiento, entonces esto puede ser innecesario ya que no se espera que se renueve el SAS. Sin embargo,
si tiene un cliente que realiza solicitudes de forma rutinaria a través de SAS, entonces entra en juego la posibilidad de caducidad.
La consideración clave es equilibrar la necesidad de que el SAS sea de corta duración (como se indicó anteriormente) con la
necesidad de garantizar que el cliente solicite la renovación con suficiente anticipación (para evitar interrupciones debido a que el
SAS expira antes de una renovación exitosa).
● Tenga cuidado con la hora de inicio de SAS. Si establece la hora de inicio de un SAS en ahora, debido a la desviación del reloj
(diferencias en la hora actual según las diferentes máquinas), es posible que se observen fallas de forma intermitente durante
los primeros minutos. En general, configure la hora de inicio para que sea de al menos 15 minutos en el pasado. O no lo
configure en absoluto, lo que lo hará válido de inmediato en todos los casos. Lo mismo se aplica generalmente al tiempo de
vencimiento también; recuerde que puede observar hasta 15 minutos de desviación del reloj en cualquier dirección en cualquier
solicitud. Para los clientes que usan una versión REST anterior a 2012-02-12, la duración máxima para un SAS que no hace
referencia a una política de acceso almacenada es de 1 hora, y cualquier política que especifique un plazo más largo fallará.
● Sea específico con el recurso al que se accede. Una práctica recomendada de seguridad es proporcionar al usuario los
privilegios mínimos requeridos. Si un usuario solo necesita acceso de lectura a una sola entidad, concédale lectura
Seguridad de almacenamiento 201
acceso a esa única entidad, y no acceso de lectura / escritura / eliminación a todas las entidades. Esto también ayuda a
disminuir el daño si un SAS se ve comprometido porque el SAS tiene menos poder en manos de un atacante.
● Comprenda que se facturará a su cuenta por cualquier uso, incluido el realizado con SAS. Si proporciona acceso de escritura
a un blob, un usuario puede optar por cargar un blob de 200 GB. Si también les ha otorgado acceso de lectura, pueden optar por
descargarlo 10 veces, incurriendo en costos de salida de 2 TB para usted. Nuevamente, proporcione permisos limitados para
ayudar a mitigar las posibles acciones de los usuarios malintencionados. Utilice SAS de corta duración para reducir esta amenaza
(pero tenga en cuenta la desviación del reloj en la hora de finalización).
● Valide los datos escritos con SAS. Cuando una aplicación cliente escribe datos en su cuenta de almacenamiento, tenga
en cuenta que puede haber problemas con esos datos. Si su aplicación requiere que los datos sean validados o
autorizados antes de que estén listos para su uso, debe realizar esta validación después de que los datos estén escritos y
antes de que sean utilizados por su aplicación. Esta práctica también protege contra la escritura de datos corruptos o
maliciosos en su cuenta, ya sea por un usuario que adquirió correctamente el SAS o por un usuario que explota un SAS
filtrado.
● No asuma que SAS es siempre la opción correcta. A veces, los riesgos asociados con una operación en particular contra su
cuenta de almacenamiento superan los beneficios de SAS. Para tales operaciones, cree un servicio de nivel medio que escriba
en su cuenta de almacenamiento después de realizar la validación, autenticación y auditoría de las reglas comerciales.
Además, a veces es más sencillo administrar el acceso de otras formas. Por ejemplo, si desea hacer que todos los blobs en un
contenedor sean de lectura pública, puede hacer que el contenedor sea Público, en lugar de proporcionar un SAS a cada
cliente para el acceso.
● Utilice Storage Analytics para supervisar su aplicación. Puede utilizar el registro y las métricas para observar cualquier
aumento en las fallas de autenticación debido a una interrupción en el servicio de su proveedor SAS o a la eliminación inadvertida
de una política de acceso almacenada.
202 Módulo 7 Azure Storage
Archivos vs blobs
Almacenamiento de archivos 5 ofrece almacenamiento compartido para aplicaciones que utilizan el estándar de la industria Protocolo SMB 6 . Las máquinas virtuales y los
servicios en la nube de Microsoft Azure pueden compartir datos de archivos entre los componentes de la aplicación a través de recursos compartidos montados, y las
aplicaciones locales también pueden acceder a los datos de archivos en el recurso compartido.
Las aplicaciones que se ejecutan en máquinas virtuales de Azure o servicios en la nube pueden montar un recurso compartido de almacenamiento de archivos para
acceder a los datos del archivo, del mismo modo que una aplicación de escritorio montaría un recurso compartido SMB típico. Cualquier número de máquinas virtuales o
roles de Azure puede montar y acceder al recurso compartido de almacenamiento de archivos simultáneamente.
● Accede desde cualquier lugar. Los sistemas operativos populares como Windows, macOS y Linux pueden montar directamente archivos
● Levantar y cambiar. Azure Files hace que sea fácil "levantar y mover" aplicaciones a la nube que esperan que un recurso compartido de archivos
● Sincronización de archivos de Azure. Los recursos compartidos de archivos de Azure también se pueden replicar con Azure File Sync en
servidores Windows, ya sea en las instalaciones o en la nube, para el rendimiento y el almacenamiento en caché distribuido de los datos donde
se utilizan.
● Aplicaciones compartidas. Almacenar la configuración de la aplicación compartida, por ejemplo, en archivos de configuración.
● Datos de diagnóstico. Almacenar datos de diagnóstico como registros, métricas y volcados de memoria en una ubicación compartida.
● Herramientas y utilidades. Almacenamiento de herramientas y utilidades necesarias para desarrollar o administrar máquinas
5 https://docs.microsoft.com/en-us/azure/storage/files/storage-files-introduction
6 https://msdn.microsoft.com/library/windows/desktop/aa365233.aspx
Archivos de Azure y sincronización de archivos 203
● Los archivos de Azure son verdaderos objetos de directorio. Los blobs de Azure son un espacio de nombres plano.
● Se accede a los archivos de Azure a través de recursos compartidos de archivos. Se accede a los blobs de Azure a través de un contenedor.
● Los archivos de Azure proporcionan acceso compartido a varias máquinas virtuales. Los discos de Azure son exclusivos de una
sola máquina virtual.
✔ Azure Files ofrece recursos compartidos de archivos totalmente administrados en la nube a los que se puede acceder a través del protocolo Server
Message Block (SMB) estándar de la industria. Los recursos compartidos de archivos de Azure se pueden montar simultáneamente mediante
y el Cuota. La cuota se refiere al tamaño total de los archivos del recurso compartido.
7 https://docs.microsoft.com/en-us/azure/storage/files/storage-files-introduction
204 Módulo 7 Azure Storage
✔ Asegúrese de que el puerto 445 esté abierto. Azure Files usa el protocolo SMB. SMB se comunica a través del puerto TCP 445; asegúrese de
que su firewall no esté bloqueando los puertos TCP 445 de la máquina cliente.
Los recursos compartidos de archivos de Azure se pueden montar en distribuciones de Linux mediante el cliente del kernel de CIFS. Esto se puede
hacer bajo demanda con un comando de montaje o en el arranque (persistente) creando una entrada en / etc / fstab.
✔ Dado que Azure Storage no admite HTTP para nombres de dominio personalizados, esta opción no se aplica con un
nombre de dominio personalizado.
Archivos de Azure y sincronización de archivos 205
estado de recursos compartidos en ese momento. Una instantánea compartida es una copia puntual y de solo lectura de sus datos.
La capacidad de compartir instantáneas se proporciona a nivel de recursos compartidos de archivos. La recuperación se proporciona a nivel de archivo individual, para
permitir la restauración de archivos individuales. No puede eliminar un recurso compartido que tenga instantáneas de recursos compartidos a menos que primero
Las instantáneas compartidas son de naturaleza incremental. Solo se guardan los datos que han cambiado después de la instantánea
compartida más reciente. Esto minimiza el tiempo necesario para crear la instantánea compartida y ahorra costos de almacenamiento.
Aunque las instantáneas de recursos compartidos se guardan de forma incremental, es necesario conservar solo la instantánea de recursos
● Protección contra eliminaciones accidentales o cambios no deseados. Imagina que estás trabajando en un archivo de texto
en un archivo compartido. Una vez que se cierra el archivo de texto, pierde la capacidad de deshacer los cambios. En estos casos,
deberá recuperar una versión anterior del archivo. Puede usar instantáneas compartidas para recuperar versiones anteriores del
archivo si se le cambia el nombre o se elimina accidentalmente.
● Propósitos generales de respaldo. Después de crear un recurso compartido de archivos, puede crear periódicamente una instantánea compartida del recurso
compartido de archivos para usarlo para la copia de seguridad de datos. Una instantánea compartida, cuando se toma periódicamente, ayuda a mantener las
versiones anteriores de los datos que se pueden usar para los requisitos de auditoría futuros o la recuperación ante desastres.
2. Haga clic en + Recurso compartido de archivos y dale a tu nuevo archivo compartido un Nombre y un Cuota.
Administrar instantáneas
5. Haga clic en el archivo que forma parte de la instantánea y revise el Propiedades de archivo.
Get-AzStorageAccount | fl * nombre *
Get-AzStorageAccount -ResourceGroupName "YourResourceGroupName" -Name
"YourStorageAccountName"
3. Cree un contexto para su cuenta y clave de almacenamiento. El contexto encapsula el nombre de la cuenta de
almacenamiento y la clave de la cuenta.
4. Cree el recurso compartido de archivos. El nombre de su recurso compartido de archivos debe estar en minúsculas.
Nota: Ejecute los siguientes comandos desde una sesión de PowerShell normal (es decir, no elevada) para montar el recurso
compartido de archivos de Azure. Recuerde reemplazar <your-resource-group-name>, <your-storage-account-name>,
<your-file-share-name> y la letra de la unidad deseada con la información adecuada.
$ resourceGroupName = "su-nombre-del-grupo-de-recursos"
$ storageAccountName = "su-nombre-de-cuenta-de-almacenamiento"
$ fileShareName = "su-nombre-compartido-de-archivos"
# Estos comandos requieren que inicie sesión en su cuenta de Azure, ejecute Login-AzAccount si no
lo ha hecho
# Ya iniciado sesión.
$ storageAccount = Get-AzStorageAccount -ResourceGroupName $ resourceGroupN- ame -Name $
storageAccountName
$ storageAccountKeys = Get-AzStorageAccountKey -ResourceGroupName $ resource- GroupName -Name $
storageAccountName
Archivos de Azure y sincronización de archivos 207
# El valor dado al parámetro raíz del cmdlet New-PSDrive es la dirección de host para la cuenta de
almacenamiento,
# se usa porque las regiones de Azure no públicas, como las nubes soberanas o las implementaciones de
Azure Stack, tendrán diferentes
Cuando haya terminado, puede desmontar el recurso compartido de archivos ejecutando el siguiente comando:
Sincronización de archivos
Usar Sincronización de archivos de Azure para centralizar los recursos compartidos de archivos de su organización en Azure Files, al tiempo
que mantiene la flexibilidad, el rendimiento y la compatibilidad de un servidor de archivos local. Azure File Sync transforma Windows Server en
un caché rápido de su recurso compartido de archivos de Azure. Puede usar cualquier protocolo que esté disponible en Windows Server para
acceder a sus datos localmente, incluidos SMB, NFS y FTPS. Puede tener tantos cachés como necesite en todo el mundo.
208 Módulo 7 Azure Storage
1. Levantar y cambiar. La capacidad de mover aplicaciones que requieren acceso entre Azure y local
sistemas. Proporcione acceso de escritura a los mismos datos en servidores Windows y archivos de Azure. Esto permite que las
empresas con varias oficinas tengan la necesidad de compartir archivos con todas las oficinas.
2. Sucursales. Las sucursales necesitan hacer una copia de seguridad de los archivos o debe configurar un nuevo servidor que se conecte al
almacenamiento de Azure.
3. Copia de seguridad y recuperación ante desastres. Una vez implementada la sincronización de archivos, Azure Backup realizará una copia de seguridad de sus
datos locales. Además, puede restaurar los metadatos de los archivos de inmediato y recuperar los datos según sea necesario para una rápida recuperación ante
desastres.
4. Archivado de archivos. Solo los datos a los que se ha accedido recientemente se encuentran en servidores locales. Los datos no utilizados se trasladan a Azure en lo
✔ La clasificación por niveles en la nube es una característica opcional de Azure File Sync en la que los archivos a los que se accede con frecuencia se
almacenan en caché localmente en el servidor, mientras que todos los demás archivos se clasifican en Azure Files según la configuración de la política.
Cuando un archivo tiene niveles, el sistema de archivos de Azure File Sync reemplaza el archivo localmente con un puntero o punto de análisis. El punto de
análisis representa una dirección URL del archivo en Azure Files. Cuando un usuario abre un archivo en niveles, Azure File Sync recupera sin problemas los
datos del archivo de Azure Files sin que el usuario necesite saber que el archivo está realmente almacenado en Azure. Los archivos de niveles en la nube
tendrán iconos atenuados con un atributo de archivo O sin conexión para que el usuario sepa que el archivo solo está en Azure.
8 https://docs.microsoft.com/en-us/azure/storage/files/storage-sync-files-planning
Archivos de Azure y sincronización de archivos 209
Servicio de sincronización de almacenamiento. Storage Sync Service es el recurso de Azure de nivel superior para Azure File Sync. El recurso Storage Sync
Service es un par del recurso de la cuenta de almacenamiento y se puede implementar de manera similar en grupos de recursos de Azure. Se requiere un
recurso de nivel superior distinto del recurso de la cuenta de almacenamiento porque el Servicio de sincronización de almacenamiento puede crear
relaciones de sincronización con varias cuentas de almacenamiento a través de varios grupos de sincronización. Una suscripción puede tener
Grupo de sincronización. Un grupo de sincronización define la topología de sincronización para un conjunto de archivos. Los puntos finales dentro de un
grupo de sincronización se mantienen sincronizados entre sí. Si, por ejemplo, tiene dos conjuntos distintos de archivos que desea administrar con Azure
File Sync, debe crear dos grupos de sincronización y agregar diferentes puntos de conexión a cada grupo de sincronización. Un servicio de sincronización
Servidor registrado. El objeto de servidor registrado representa una relación de confianza entre su servidor (o clúster) y el Servicio de
sincronización de almacenamiento. Puede registrar tantos servidores en una instancia de Storage Sync Service como desee. Sin
embargo, un servidor (o clúster) se puede registrar con un solo servicio de sincronización de almacenamiento a la vez.
Agente de Azure File Sync. El agente de Azure File Sync es un paquete descargable que permite sincronizar Windows Server
con un recurso compartido de archivos de Azure. El agente de Azure File Sync tiene tres componentes principales:
● FileSyncSvc.exe: el servicio de fondo de Windows que se encarga de supervisar los cambios en los puntos de
conexión del servidor y de iniciar sesiones de sincronización con Azure.
● StorageSync.sys: el filtro del sistema de archivos de Azure File Sync, que se encarga de organizar los archivos en niveles en Azure Files (cuando la
● Cmdlets de administración de PowerShell: cmdlets de PowerShell que usa para interactuar con Microsoft. Proveedor de
recursos de Azure StorageSync. Puede encontrarlos en las siguientes ubicaciones (predeterminadas):
Punto final del servidor. Un extremo del servidor representa una ubicación específica en un servidor registrado, como una carpeta en un
volumen de servidor. Pueden existir varios puntos finales de servidor en el mismo volumen si sus espacios de nombres no se superponen (por
ejemplo, F: \ sync1 y F: \ sync2). Puede configurar las políticas de niveles de la nube individualmente para cada punto final del servidor. Puede
crear un punto final de servidor a través de un punto de montaje. Tenga en cuenta que los puntos de montaje dentro del servidor
210 Módulo 7 Azure Storage
se omiten los puntos finales. Puede crear un punto final de servidor en el volumen del sistema, pero existen dos
limitaciones si lo hace:
● No se realiza la restauración rápida del espacio de nombres (donde el sistema reduce rápidamente todo el espacio de
nombres y luego comienza a recuperar el contenido).
Punto final en la nube. Un punto de conexión en la nube es un recurso compartido de archivos de Azure que forma parte de un grupo de sincronización. Todo el recurso
compartido de archivos de Azure se sincroniza y un recurso compartido de archivos de Azure puede ser miembro de un solo punto de conexión en la nube. Por lo tanto, un
recurso compartido de archivos de Azure puede ser miembro de un solo grupo de sincronización. Si agrega un recurso compartido de archivos de Azure que tiene un
conjunto de archivos existente como un punto de conexión en la nube a un grupo de sincronización, los archivos existentes se combinan con cualquier otro archivo que ya
1. Implemente el servicio de sincronización de almacenamiento. El servicio de sincronización de almacenamiento se puede implementar desde Azure Portal.
2. Prepare Windows Server para usar con Azure File Sync. Para cada servidor que desee usar con Azure File Sync,
incluidos los nodos de servidor en un clúster de conmutación por error, deberá configurar el servidor. Los pasos de
preparación incluyen deshabilitar temporalmente la seguridad mejorada de Internet Explorer y asegurarse de tener la
última versión de PowerShell.
3. Instale el Agente de sincronización de archivos de Azure. El agente de Azure File Sync es un paquete descargable que permite
sincronizar Windows Server con un recurso compartido de archivos de Azure. El paquete de instalación del agente de Azure File
Sync debería instalarse con relativa rapidez. Le recomendamos que mantenga la ruta de instalación predeterminada y que
habilite Microsoft Update para mantener actualizado Azure File Sync.
4. Registre Windows Server con Storage Sync Service. Cuando finaliza la instalación del agente de Azure File Sync, la IU de
registro del servidor se abre automáticamente. El registro de Windows Server con un servicio de sincronización de
almacenamiento establece una relación de confianza entre su servidor (o clúster) y la sincronización de almacenamiento
Archivos de Azure y sincronización de archivos 211
Servicio. El registro requiere su ID de suscripción, grupo de recursos y servicio de sincronización de almacenamiento (creado en el paso
uno). Un servidor (o clúster) se puede registrar con un solo servicio de sincronización de almacenamiento a la vez.
✔ Una vez que la sincronización de archivos esté configurada, deberá configurar la sincronización de archivos.
212 Módulo 7 Azure Storage
Gestionar el almacenamiento
Para acceder completamente a los recursos después de iniciar sesión, el Explorador de almacenamiento requiere permisos de
administración (Azure Resource Manager) y de capa de datos. Esto significa que necesita permisos de Azure Active Directory (Azure
AD), que le dan acceso a su cuenta de almacenamiento, los contenedores de la cuenta y los datos de los contenedores.
Conectando al almacenamiento
● Conéctese a las cuentas de almacenamiento asociadas con sus suscripciones de Azure.
● Conéctese a servicios y cuentas de almacenamiento que se comparten desde otras suscripciones de Azure.
● Conéctese a una suscripción de Azure. Administre los recursos de almacenamiento que pertenecen a su suscripción de
Azure.
● Trabajar con almacenamiento de desarrollo local. Administre el almacenamiento local con Azure Storage Emulator.
Gestionar el almacenamiento 213
● Adjuntar a almacenamiento externo. Administre los recursos de almacenamiento que pertenecen a otra suscripción de Azure o que se encuentran
en nubes de Azure nacionales mediante el nombre, la clave y los puntos de conexión de la cuenta de almacenamiento (que se muestran a
continuación).
● Adjunte una cuenta de almacenamiento mediante un SAS. Administre los recursos de almacenamiento que pertenecen a otra
● Adjunte un servicio mediante un SAS. Administre un servicio de almacenamiento específico (contenedor de blobs, cola o tabla)
que pertenezca a otra suscripción de Azure mediante un SAS.
● Conéctese a una cuenta de Azure Cosmos DB mediante una cadena de conexión. Administre la cuenta de Cosmos DB
mediante una cadena de conexión.
almacenamiento se puedan compartir fácilmente. Para crear la conexión, necesitará el almacenamiento Nombre de la cuenta y
Para usar un nombre y una clave de una nube nacional, use el Dominio de terminales de almacenamiento desplegable para seleccionar
✔ Acceda a claves para autenticar sus aplicaciones al realizar solicitudes a esta cuenta de almacenamiento de Azure.
Almacene sus claves de acceso de forma segura, por ejemplo, con Azure Key Vault, y no las comparta. Recomendamos
regenerar sus claves de acceso con regularidad. Se le proporcionan dos claves de acceso para que pueda mantener las
conexiones usando una clave mientras regenera la otra.
Cuando vuelva a generar sus claves de acceso, debe actualizar todos los recursos y aplicaciones de Azure que acceden a esta
cuenta de almacenamiento para usar las nuevas claves. Esta acción no interrumpirá el acceso a los discos de sus máquinas
virtuales. Cubriremos las claves de acceso con más detalle más adelante.
✔ Tenga en cuenta que este método de conexión proporciona acceso a toda la cuenta de almacenamiento.
9 https://docs.microsoft.com/en-us/azure/vs-azure-tools-storage-manage-with-storage-explorer?tabs=windows
214 Módulo 7 Azure Storage
las unidades se pueden importar a Azure Blob Storage o Azure Files. Con el servicio de importación / exportación de Azure, usted
mismo proporciona sus propias unidades de disco y transfiere los datos.
Casos de uso
Considere usar el servicio de importación / exportación de Azure cuando la carga o descarga de datos a través de la red sea
demasiado lenta o la obtención de ancho de banda de red adicional tenga un costo prohibitivo. Los escenarios en los que esto sería
útil incluyen:
● Migrar datos a la nube. Mueva grandes cantidades de datos a Azure de forma rápida y rentable.
● Respaldo. Realice copias de seguridad de sus datos locales para almacenarlos en Azure Blob Storage.
● Recuperación de datos. Recupere una gran cantidad de datos almacenados en el almacenamiento de blobs y envíelos a su
ubicación local.
Importar trabajos
Un trabajo de importación transfiere de forma segura grandes cantidades de datos a Azure Blob Storage (blobs en bloques y páginas)
y Azure Files mediante el envío de unidades de disco a un centro de datos de Azure. En este caso, enviará discos duros que contengan
sus datos.
● Identifique la cantidad de discos que necesitará para acomodar todos los datos que desea transferir.
● Identifique un equipo que usará para realizar la copia de datos, adjunte los discos físicos que enviará al centro de
datos de Azure de destino e instale la herramienta WAImportExport.
● Ejecute la herramienta WAImportExport para copiar los datos, cifrar la unidad con BitLocker y generar archivos de diario.
● Use Azure Portal para crear un trabajo de importación que haga referencia a la cuenta de Azure Storage. Como parte de la
definición del trabajo, especifique la dirección de destino que representa la región de Azure donde reside la cuenta de Azure
Storage.
● Envíe los discos al destino que especificó al crear el trabajo de importación y actualice el trabajo
proporcionando el número de seguimiento del envío.
● Una vez que los discos llegan al destino, el personal del centro de datos de Azure realizará una copia de los datos
en la cuenta de Azure Storage de destino y le enviará los discos.
Exportar trabajos
Los trabajos de exportación transfieren datos desde el almacenamiento de Azure a unidades de disco duro y se envían a sus sitios locales.
Gestionar el almacenamiento 215
● Identifique los datos de los blobs de Azure Storage que desea exportar.
● Identifique la cantidad de discos que necesitará para acomodar todos los datos que desea transferir.
● Use Azure Portal para crear un trabajo de exportación que haga referencia a la cuenta de Azure Storage. Como parte de la
definición del trabajo, especifique los blobs que desea exportar, la dirección de devolución y el número de cuenta de su operador.
Microsoft le enviará sus discos una vez que se complete el proceso de exportación.
● Envíe la cantidad necesaria de discos a la región de Azure que aloja la cuenta de almacenamiento. Actualice el trabajo
proporcionando el número de seguimiento del envío.
● Una vez que los discos llegan al destino, el personal del centro de datos de Azure realizará la copia de datos de la
cuenta de almacenamiento a los discos que proporcionó, cifrará los volúmenes en los discos mediante BitLocker y se
los enviará de vuelta. Las claves de BitLocker estarán disponibles en Azure Portal, lo que le permitirá descifrar el
contenido de los discos y copiarlos en su almacenamiento local.
servicio Microsoft Azure Import / Export. Puede utilizar la herramienta para las siguientes funciones:
● Antes de crear un trabajo de importación, puede usar esta herramienta para copiar datos en los discos duros que va a enviar a
un centro de datos de Azure.
● Una vez que se ha completado un trabajo de importación, puede usar esta herramienta para reparar los blobs que estén dañados,
falten o estén en conflicto con otros blobs.
● Después de recibir las unidades de un trabajo de exportación completado, puede usar esta herramienta para reparar cualquier archivo
El servicio de importación / exportación requiere el uso de discos duros o SSD internos SATA II / III. Cada disco contiene un único
volumen NTFS que cifra con BitLocker al preparar la unidad. Para preparar una unidad, debe conectarla a una computadora que
ejecute una versión de 64 bits del sistema operativo de servidor o cliente Windows y ejecutar la herramienta WAImportExport desde
esa computadora. La herramienta WAImportExport maneja la copia de datos, el cifrado de volumen y la creación de archivos de
diario. Los archivos de diario son necesarios para crear un trabajo de importación / exportación y ayudar a garantizar la integridad
de la transferencia de datos.
✔ Puede crear trabajos directamente desde Azure Portal o puede hacerlo mediante programación mediante la API de REST de
importación / exportación de Azure Storage.
10 https://azure.microsoft.com/en-us/documentation/articles/storage-import-export-service/
216 Módulo 7 Azure Storage
AzCopy
Un método alternativo para transferir datos es AzCopy. AzCopy v10 es la utilidad de línea de comandos de próxima generación para
copiar datos hacia / desde el almacenamiento de archivos y blobs de Microsoft Azure, que ofrece una interfaz de línea de comandos
rediseñada y una nueva arquitectura para transferencias de datos confiables de alto rendimiento. Con AzCopy, puede copiar datos
entre un sistema de archivos y una cuenta de almacenamiento, o entre cuentas de almacenamiento.
Nuevas características
Sincronice un sistema de archivos con Azure Blob o viceversa. Ideal para escenarios de copia incremental.
● Admite copiar una cuenta completa (solo servicio Blob) a otra cuenta.
● La copia de cuenta a cuenta ahora usa las nuevas API Put from URL. No se necesita transferencia de datos al cliente, lo que
hace que la transferencia sea más rápida.
● Admite patrones de comodines en una ruta, así como indicadores de –incluir y –excluir.
● Resistencia mejorada: cada instancia de AzCopy creará una orden de trabajo y un archivo de registro relacionado. Puede ver y reiniciar
trabajos anteriores y reanudar trabajos fallidos. AzCopy también reintentará automáticamente una transferencia después de una falla.
Opciones de autenticación
● Azure Active Directory ( Compatible con los servicios Blob y ADLS Gen2). Utilice. \ Azcopy login para iniciar sesión con
Azure Active Directory. El usuario debe tener Colaborador de datos de Storage Blob rol asignado para escribir en Blob
Storage mediante la autenticación de Azure Active Directory.
● Tokens SAS ( compatible con servicios de archivos y blobs). Agregue el token SAS a la ruta de blob en la línea de
comandos para usarlo.
Empezando
AzCopy tiene una sintaxis simple auto-documentada. A continuación, le indicamos cómo puede obtener una lista de los comandos disponibles:
AzCopy /?
11 https://docs.microsoft.com/en-us/azure/storage/common/storage-use-azcopy
Gestionar el almacenamiento 217
Nota: Para la demostración solo haremos una conexión de cuenta de almacenamiento básica.
1. En el Explorador de Storage, seleccione Cuentas de administración, segundo icono arriba a la izquierda. Esto te llevará a la cuenta.
Panel de gestión.
2. El panel izquierdo ahora muestra todas las cuentas de Azure en las que ha iniciado sesión. Para conectarse a otra cuenta,
seleccione Agregar una cuenta.
3. Si desea iniciar sesión en una nube nacional o en una pila de Azure, haga clic en el menú desplegable del entorno de Azure para
seleccionar qué nube de Azure desea usar.
4. Una vez que haya elegido su entorno, haga clic en el Registrarse… botón.
5. Después de iniciar sesión correctamente con una cuenta de Azure, la cuenta y las suscripciones de Azure
asociadas con esa cuenta se agregan al panel izquierdo.
6. Seleccione las suscripciones de Azure con las que desea trabajar y luego seleccione Solicitar.
7. El panel izquierdo muestra las cuentas de almacenamiento asociadas con las suscripciones de Azure seleccionadas.
4. Para conectarse en el Explorador de Storage, necesitará el Nombre de la cuenta de almacenamiento y Key1 información.
6. Pegue el nombre de su cuenta en el cuadro de texto Nombre de la cuenta, pegue la clave de su cuenta (el valor key1 de
Azure Portal) en el cuadro de texto Clave de la cuenta y luego seleccione Próximo.
7. Verifique que su cuenta de almacenamiento esté disponible en el panel de navegación. Es posible que deba actualizar la página.
8. Haga clic con el botón derecho en su cuenta de almacenamiento y observe las opciones que incluyen Abrir en portal, copiar clave primaria,
Genere una cadena de conexión SAS para la cuenta que desea compartir
1 en Explorador de almacenamiento, haga clic con el botón derecho en la cuenta de almacenamiento que desea compartir y luego seleccione Comparta
Firma de acceso.
2. Especifique el período de tiempo y los permisos que desea para la cuenta y luego haga clic en el Crear
botón.
3. Junto al cuadro de texto Cadena de conexión, seleccione Dupdo para copiarlo en el portapapeles y luego haga clic en Cerca.
218 Módulo 7 Azure Storage
3. Pegue su cadena de conexión en el Cadena de conexión: campo. La Nombre para mostrar: el campo debe
poblar. Haga clic en el próximo botón.
5. Una vez que la cuenta de almacenamiento se ha adjuntado correctamente, la cuenta de almacenamiento se muestra en el
Demostración - AzCopy
En esta demostración, exploraremos AzCopy.
Explore la ayuda
1. Vea la ayuda.
azcopy /?
2. Desplácese hasta la parte superior de la información de ayuda y lea sobre la Opciones comunes, como: fuente, destino
ción, clave de origen y clave de destino.
3. Desplácese hacia abajo Muestras sección. Intentaremos varios de estos ejemplos. Son alguno de estos
ejemplos particularmente interesantes para usted?
Nota: Este ejemplo requiere una cuenta de almacenamiento de Azure con un contenedor de blobs y un archivo de blob. También
3. Seleccione Claves de acceso y copia el Clave Key1 valor. Esta sera la sourcekey: valor.
6. Busque un directorio de destino local. Esta sera la dest: valor. También se requiere un nombre de archivo.
12 https://docs.microsoft.com/en-us/azure/storage/common/storage-use-azcopy-v10
Gestionar el almacenamiento 219
Cargar archivos en Azure Blob Storage Nota: El ejemplo continúa del ejemplo anterior y requiere
2. El dest: será la URL de blob utilizada en el ejemplo anterior. Asegúrese de eliminar el nombre del archivo, solo incluya
la cuenta de almacenamiento y el contenedor.
Escenario de laboratorio
Debe evaluar el uso del almacenamiento de Azure para almacenar archivos que residen actualmente en almacenes de datos locales.
Si bien no se accede con frecuencia a la mayoría de estos archivos, existen algunas excepciones. Le gustaría minimizar el costo de
almacenamiento colocando los archivos a los que se accede con menos frecuencia en niveles de almacenamiento de menor precio.
También planea explorar diferentes mecanismos de protección que ofrece Azure Storage, incluido el acceso a la red, la autenticación,
la autorización y la replicación. Por último, desea determinar en qué medida el servicio Azure Files podría ser adecuado para hospedar
sus recursos compartidos de archivos locales.
Objetivos
En este laboratorio, podrá:
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Práctica de laboratorio y revisión del módulo 07 221
Pregunta de repaso 1
Trabaja para una empresa de desarrollo de código abierto. Utiliza Microsoft Azure para una variedad de necesidades de almacenamiento. Hasta
ahora, todo el almacenamiento se utilizaba únicamente para fines internos. Está organizado en bloques de blobs. Cada blob de bloque está en
su propio contenedor. Cada contenedor tiene la configuración predeterminada. En total, tienes 50 blobs en bloque. La compañía ha decidido
proporcionar acceso de lectura a los datos en los blobs de bloques, como parte de la publicación de más información sobre sus esfuerzos de
desarrollo de código abierto. Necesita reconfigurar el almacenamiento para cumplir con los siguientes requisitos:
● Todos los blobs en bloque deben ser legibles por usuarios de Internet anónimos.
Debe configurar el almacenamiento para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
?? Cree un nuevo contenedor, mueva todos los blobs al nuevo contenedor y luego establezca el nivel de acceso público en
Blob.
?? Cree una nueva firma de acceso compartido para la cuenta de almacenamiento y luego establezca los permisos permitidos en Lectura,
establezca los tipos de recursos permitidos en Objeto y establezca los servicios permitidos en Blob.
?? Cree una nueva clave de acceso para la cuenta de almacenamiento y luego proporcione la cadena de conexión en la información
de conectividad de almacenamiento al público.
Pregunta de repaso 2
Su empresa tiene previsto almacenar datos de registro, archivos de volcado por caída y otros datos de diagnóstico para máquinas virtuales de
Azure en Azure. La empresa ha emitido los siguientes requisitos para el almacenamiento:
Debe elegir el tipo de almacenamiento para cumplir con los requisitos. ¿Qué tipo de almacenamiento debería utilizar? Seleccione
uno.
?? Archivos de Azure
?? Almacenamiento de mesa
?? Almacenamiento de blobs
?? Almacenamiento en cola
222 Módulo 7 Azure Storage
Pregunta de repaso 3
Su empresa proporciona software en la nube para auditar el acceso administrativo en los recursos de Microsoft Azure. El software registra
todas las acciones administrativas (incluidos todos los clics y la entrada de texto) en los archivos de registro. El software está a punto de salir de
la versión beta y la empresa está preocupada por el rendimiento del almacenamiento. Debe implementar una solución de almacenamiento para
los archivos de registro a fin de maximizar el rendimiento. ¿Qué deberías hacer? Seleccione uno.
Pregunta de repaso 4
Su empresa está creando una aplicación en Azure. La aplicación tiene los siguientes requisitos de almacenamiento:
● El almacenamiento debe ser accesible mediante programación a través de una API REST.
● El almacenamiento debe ser accesible de forma privada dentro del entorno Azure de la empresa.
¿Qué tipo de almacenamiento de Azure debería usar para la aplicación? Seleccione uno.
Pregunta de repaso 5
Utiliza una cuenta de almacenamiento de Microsoft Azure para almacenar una gran cantidad de archivos de audio y video. Crea
contenedores para almacenar cada tipo de archivo y desea limitar el acceso a esos archivos por períodos específicos. Además, solo
se puede acceder a los archivos a través de firmas de acceso compartido (SAS).
Necesita la capacidad de revocar el acceso a los archivos y cambiar el período durante el cual los usuarios pueden
acceder a los archivos. ¿Qué debe hacer para lograr esto de la manera más simple y efectiva? Seleccione uno.
?? Cree un SAS para cada usuario y elimine el SAS cuando desee evitar el acceso.
?? Utilice Azure Rights Management Services (RMS) para controlar el acceso a cada archivo.
?? Implemente políticas de acceso almacenado para cada contenedor para permitir la revocación del acceso o el cambio de
duración.
Pregunta de repaso 6
Debe proporcionar a un empleado del personal contingente acceso temporal de solo lectura al contenido de un contenedor de cuenta
de almacenamiento de Azure denominado media. Es importante que otorgue acceso respetando el principio de seguridad de
privilegios mínimos. ¿Qué deberías hacer? Seleccione uno.
?? Comparta la etiqueta de entidad contenedora (Etag) con el miembro del personal contingente.
?? Configure una regla de intercambio de recursos de origen cruzado (CORS) para la cuenta de almacenamiento.
Pregunta de repaso 7
Estás usando almacenamiento de blobs. ¿Cual de los siguientes es verdadero? Seleccione uno.
?? El nivel de acceso directo es para almacenar grandes cantidades de datos a los que se accede con poca frecuencia.
Pregunta de repaso 8
Está planeando un modelo de delegación para su almacenamiento de Azure. La empresa ha emitido los siguientes requisitos para el
acceso al almacenamiento de Azure:
● Las aplicaciones en el entorno de no producción deben tener acceso automatizado por tiempo limitado
● Las aplicaciones en el entorno de producción deben tener acceso irrestricto a los recursos de almacenamiento.
Debe configurar el acceso al almacenamiento para cumplir con los requisitos. ¿Qué deberías hacer? (Cada respuesta presenta parte
de la solución. Seleccione dos.
?? Utilice firmas de acceso compartido para las aplicaciones que no son de producción.
?? Utilice las claves de acceso para las aplicaciones que no son de producción.
?? Utilice el intercambio de recursos de origen cruzado para las aplicaciones que no son de producción.
Pregunta de repaso 9
Su empresa tiene un servidor de archivos llamado FS01. El servidor tiene una única carpeta compartida que permite a los usuarios acceder a
los archivos compartidos. La empresa quiere que los mismos archivos estén disponibles en Microsoft Azure. La empresa tiene los siguientes
requisitos:
● Microsoft Azure debe mantener exactamente los mismos datos que la carpeta compartida en FS01.
224 Módulo 7 Azure Storage
● Los archivos eliminados en cualquier lado (en las instalaciones o en la nube) se eliminarán posterior y automáticamente del
otro lado (en las instalaciones o en la nube).
Necesita implementar una solución para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
Pregunta de repaso 10
Cuál de las siguientes opciones replica sus datos en una región secundaria, mantiene seis copias de sus datos y es la opción de
replicación predeterminada. Seleccione uno.
Pregunta de repaso 11
Tiene una cuenta de almacenamiento existente en Microsoft Azure. Almacena datos no estructurados. Creas una nueva cuenta de
almacenamiento. Debe mover la mitad de los datos de la cuenta de almacenamiento existente a la nueva cuenta de almacenamiento. ¿Qué
herramienta deberías utilizar? Seleccione uno.
Estudio adicional
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. Puede buscar módulos adicionales por producto, función o nivel.
● Optimice el rendimiento y los costos del almacenamiento mediante niveles de almacenamiento de blobs 15
● Haga que el almacenamiento de su aplicación sea altamente disponible con almacenamiento con redundancia geográfica de acceso de lectura dieciséis
13 https://docs.microsoft.com/en-us/learn/modules/create-azure-storage-account/
14 https://docs.microsoft.com/en-us/learn/modules/secure-azure-storage-account/
15 https://docs.microsoft.com/en-us/learn/modules/optimize-archive-costs-blob-storage/
dieciséis https://docs.microsoft.com/en-us/learn/modules/ha-application-storage-with-grs/
Práctica de laboratorio y revisión del módulo 07 225
● Copie y mueva blobs de un contenedor o cuenta de almacenamiento a otro desde la línea de comando
y en el código 17
● Mueva grandes cantidades de datos a la nube con la familia Azure Data Box 18
17 https://docs.microsoft.com/en-us/learn/modules/copy-blobs-from-command-line-and-code/
18 https://docs.microsoft.com/en-us/learn/modules/move-data-with-azure-data-box/
19 https://docs.microsoft.com/en-us/learn/modules/monitor-diagnose-and-troubleshoot-azure-storage/
226 Módulo 7 Azure Storage
Respuestas
Pregunta de repaso 1
Trabaja para una empresa de desarrollo de código abierto. Utiliza Microsoft Azure para una variedad de necesidades de
almacenamiento. Hasta ahora, todo el almacenamiento se utilizaba únicamente para fines internos. Está organizado en bloques de
blobs. Cada blob de bloque está en su propio contenedor. Cada contenedor tiene la configuración predeterminada. En total, tienes 50
blobs en bloque. La compañía ha decidido proporcionar acceso de lectura a los datos en los blobs de bloques, como parte de la
publicación de más información sobre sus esfuerzos de desarrollo de código abierto. Necesita reconfigurar el almacenamiento para
cumplir con los siguientes requisitos:
Debe configurar el almacenamiento para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
■ Cree un nuevo contenedor, mueva todos los blobs al nuevo contenedor y luego establezca el nivel de acceso público en
Blob.
?? Cree una nueva firma de acceso compartido para la cuenta de almacenamiento y luego establezca los permisos permitidos en Lectura,
establezca los tipos de recursos permitidos en Objeto y establezca los servicios permitidos en Blob.
?? Cree una nueva clave de acceso para la cuenta de almacenamiento y luego proporcione la cadena de conexión en la información
de conectividad de almacenamiento al público.
Explicación
En este escenario, debe reconfigurar 50 contenedores. Si bien puede hacer eso, va en contra del requisito de reducir la sobrecarga
administrativa de futuros cambios de acceso. Una firma de acceso compartido podría funcionar aquí, pero no con la configuración
descrita en la opción de respuesta. Una clave de acceso está diseñada para que la utilicen sus aplicaciones cuando se comunican
internamente en Azure con el almacenamiento. En este escenario, debe crear un nuevo contenedor, mover los blobs existentes y
luego establecer el nivel de acceso público en Blob. En el futuro, cuando se requieran cambios de acceso, puede configurar el
contenedor único (que contendría todos los blobs).
Pregunta de repaso 2
Su empresa tiene previsto almacenar datos de registro, archivos de volcado por caída y otros datos de diagnóstico para máquinas virtuales de
Debe elegir el tipo de almacenamiento para cumplir con los requisitos. ¿Qué tipo de almacenamiento debería utilizar?
Seleccione uno.
■ Archivos de Azure
?? Almacenamiento de mesa
?? Almacenamiento de blobs
?? Almacenamiento en cola
Explicación
Azure Files es compatible con SMB 3.0, se puede acceder a él a través del Explorador de archivos y admite cuotas. Los otros tipos de almacenamiento no
cumplen con los requisitos. Si bien el almacenamiento de blobs es bueno para datos no estructurados, no se puede acceder a él a través de SMB 3.0.
Práctica de laboratorio y revisión del módulo 07 227
Pregunta de repaso 3
Su empresa proporciona software en la nube para auditar el acceso administrativo en los recursos de Microsoft Azure. El software registra
todas las acciones administrativas (incluidos todos los clics y la entrada de texto) en los archivos de registro. El software está a punto de salir
de la versión beta y la empresa está preocupada por el rendimiento del almacenamiento. Debe implementar una solución de almacenamiento
para los archivos de registro a fin de maximizar el rendimiento. ¿Qué deberías hacer? Seleccione uno.
■ Implemente
blobs. el almacenamiento de blobs mediante la adición de
Explicación
Anexar blobs optimiza las operaciones de anexión (escribe la adición en un archivo de registro, por ejemplo). En este escenario, la empresa necesita
escribir datos en archivos de registro, a menudo agregando datos (hasta que se genere un nuevo archivo de registro). Los blobs en bloque son rentables
pero no están diseñados específicamente para operaciones de adición, por lo que el rendimiento no es tan alto. El almacenamiento en cola se utiliza para
que las aplicaciones se comuniquen. Table Storage es una base de datos NoSQL pero no está optimizada para este escenario. Azure Files está diseñado
para el almacenamiento SMB, como los servidores Windows, pero no ofrece la solución optimizada que ofrecen los blobs adjuntos.
Pregunta de repaso 4
Su empresa está creando una aplicación en Azure. La aplicación tiene los siguientes requisitos de almacenamiento:
¿Qué tipo de almacenamiento de Azure debería usar para la aplicación? Seleccione uno.
Explicación
Azure Blob Storage es óptimo para datos no estructurados y cumple con los requisitos de la aplicación de la empresa. Azure Data
Lake admite algunos de los requisitos, como datos no estructurados y acceso a la API REST. Sin embargo, Azure Data Lake está
diseñado para cargas de trabajo de análisis y solo está disponible con redundancia local (múltiples copias de datos en una única
región de Azure).
228 Módulo 7 Azure Storage
Pregunta de repaso 5
Utiliza una cuenta de almacenamiento de Microsoft Azure para almacenar una gran cantidad de archivos de audio y video. Crea
contenedores para almacenar cada tipo de archivo y desea limitar el acceso a esos archivos por períodos específicos. Además, solo se
puede acceder a los archivos a través de firmas de acceso compartido (SAS).
Necesita la capacidad de revocar el acceso a los archivos y cambiar el período durante el cual los usuarios pueden
acceder a los archivos. ¿Qué debe hacer para lograr esto de la manera más simple y efectiva? Seleccione uno.
?? Cree un SAS para cada usuario y elimine el SAS cuando desee evitar el acceso.
?? Utilice Azure Rights Management Services (RMS) para controlar el acceso a cada archivo.
■ Implementar políticas de acceso almacenado para cada contenedor para permitir la revocación del acceso o el cambio de
duración.
Explicación
Debe implementar políticas de acceso almacenadas que le permitan cambiar el acceso según los permisos o la duración
reemplazando la política por una nueva o eliminándola por completo para revocar el acceso. Si bien Azure RMS protegería los
archivos, habría una complejidad administrativa involucrada, mientras que las políticas de acceso almacenadas logran el objetivo
de la manera más simple. La creación de un SAS para cada usuario también implicaría una gran cantidad de gastos
administrativos. La regeneración de claves evitaría que todos los usuarios accedan a todos los archivos al mismo tiempo.
Pregunta de repaso 6
Debe proporcionar a un empleado del personal contingente acceso temporal de solo lectura al contenido de un contenedor de cuenta
de almacenamiento de Azure denominado media. Es importante que otorgue acceso respetando el principio de seguridad de
privilegios mínimos. ¿Qué deberías hacer? Seleccione uno.
?? Comparta la etiqueta de entidad contenedora (Etag) con el miembro del personal contingente.
?? Configure una regla de intercambio de recursos de origen cruzado (CORS) para la cuenta de almacenamiento.
Explicación
Debe generar un token SAS para el contenedor que proporcione acceso a contenedores completos o blobs. No debe
compartir el Etag con el miembro del personal del contingente. Azure utiliza Etags para controlar el acceso simultáneo a
los recursos y no ofrece los controles de seguridad adecuados. Establecer el nivel de acceso público a Contenedor no se
ajustaría al principio de privilegio mínimo, ya que el contenedor ahora se abre a conexiones públicas sin límite de
tiempo. CORS es un mecanismo de Protocolo de transferencia de Hypertest (HTTP) que permite el acceso a recursos
entre dominios, pero no proporciona control de acceso a recursos basado en seguridad.
Práctica de laboratorio y revisión del módulo 07 229
Pregunta de repaso 7
Estás usando almacenamiento de blobs. ¿Cual de los siguientes es verdadero? Seleccione uno.
?? El nivel de acceso directo es para almacenar grandes cantidades de datos a los que se accede con poca frecuencia.
Explicación
Puede cambiar entre niveles de rendimiento en cualquier momento. Cambiar el nivel de almacenamiento de la cuenta de frío a caliente
genera un cargo equivalente a leer todos los datos existentes en la cuenta de almacenamiento. Sin embargo, cambiar el nivel de
almacenamiento de la cuenta de caliente a frío implica un cargo equivalente a escribir todos los datos en el nivel frío (solo cuentas GPv2).
Pregunta de repaso 8
Está planeando un modelo de delegación para su almacenamiento de Azure. La empresa ha emitido los siguientes requisitos
para el acceso al almacenamiento de Azure:
Debe configurar el acceso al almacenamiento para cumplir con los requisitos. ¿Qué deberías hacer? (Cada respuesta
presenta parte de la solución. Seleccione dos.
■ Utilice firmas de acceso compartido para las aplicaciones que no son de producción.
?? Utilice las claves de acceso para las aplicaciones que no son de producción.
?? Utilice el intercambio de recursos de origen cruzado para las aplicaciones que no son de producción.
Explicación
Las firmas de acceso compartido proporcionan una forma de proporcionar un acceso de almacenamiento más granular que las claves de
acceso. Por ejemplo, puede limitar el acceso a "solo lectura" y puede limitar los servicios y tipos de recursos. Las firmas de acceso
compartido se pueden configurar durante un período de tiempo específico, que cumple con los requisitos del escenario. Las claves de
acceso brindan acceso sin restricciones a los recursos de almacenamiento, que es el requisito para las aplicaciones de producción en este
escenario.
Pregunta de repaso 9
Su empresa tiene un servidor de archivos llamado FS01. El servidor tiene una única carpeta compartida que permite a los usuarios
acceder a los archivos compartidos. La empresa quiere que los mismos archivos estén disponibles en Microsoft Azure. La empresa
tiene los siguientes requisitos:
230 Módulo 7 Azure Storage
Necesita implementar una solución para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
Explicación
En este escenario, solo la sincronización de archivos de Azure puede mantener FS01 y Azure sincronizados y mantener los mismos datos. Si bien AZCopy
puede copiar datos, no es una solución de sincronización que ambas fuentes mantengan exactamente los mismos archivos. El almacenamiento en
niveles se utiliza para el nivel interno (SSD y HDD, por ejemplo). Si bien la replicación DFS podría caber aquí, el espacio de nombres DFS no ofrece el
componente de replicación. Storage Explorer es una herramienta para administrar diferentes plataformas de almacenamiento.
Pregunta de repaso 10
Cuál de las siguientes opciones replica sus datos en una región secundaria, mantiene seis copias de sus datos y es la opción
de replicación predeterminada. Seleccione uno.
■ Almacenamiento
lectura con redundancia geográfica con acceso de
Explicación
El almacenamiento con redundancia geográfica con acceso de lectura (GRS) es la opción de replicación predeterminada.
Pregunta de repaso 11
Tiene una cuenta de almacenamiento existente en Microsoft Azure. Almacena datos no estructurados. Creas una nueva cuenta de
almacenamiento. Debe mover la mitad de los datos de la cuenta de almacenamiento existente a la nueva cuenta de almacenamiento.
¿Qué herramienta deberías utilizar? Seleccione uno.
Explicación
La clave en este escenario es que necesita mover datos entre cuentas de almacenamiento. La herramienta AzCopy puede funcionar con dos
cuentas de almacenamiento diferentes. Las otras herramientas no copian datos entre cuentas de almacenamiento. Alternativamente,
aunque no es una de las opciones de respuesta, puede usar el Explorador de Storage para copiar datos entre cuentas de almacenamiento.
Módulo 8 Máquinas virtuales de Azure
Las máquinas virtuales forman parte de la oferta de infraestructura como servicio (IaaS). IaaS es una infraestructura informática
instantánea, aprovisionada y administrada a través de Internet. Escale rápidamente hacia arriba y hacia abajo según la demanda y
pague solo por lo que usa.
232 Módulo 8 Máquinas virtuales de Azure
nuevas aplicaciones al mercado más rápidamente. IaaS hace que sea rápido y económico escalar hacia arriba y hacia abajo los entornos de
desarrollo y pruebas.
● Alojamiento de páginas web. La ejecución de sitios web que utilizan IaaS puede ser menos costosa que el alojamiento web tradicional.
● Almacenamiento, respaldo y recuperación. Las organizaciones evitan el desembolso de capital para el almacenamiento y la complejidad de la
administración del almacenamiento, que generalmente requiere un personal capacitado para administrar los datos y cumplir con los requisitos legales
y de cumplimiento. IaaS es útil para manejar una demanda impredecible y necesidades de almacenamiento en constante crecimiento. También puede
● Computación de alto rendimiento. La computación de alto rendimiento (HPC) en supercomputadoras, redes de computadoras
o grupos de computadoras ayuda a resolver problemas complejos que involucran millones de variables o cálculos. Los ejemplos
incluyen simulaciones de plegamiento de proteínas y terremotos, predicciones climáticas y meteorológicas, modelos financieros
y evaluación de diseños de productos.
● Análisis de Big Data. Big data es un término popular para conjuntos de datos masivos que contienen patrones, tendencias y
asociaciones potencialmente valiosos. La minería de conjuntos de datos para localizar o detectar estos patrones ocultos requiere una
gran cantidad de potencia de procesamiento, que IaaS proporciona económicamente.
● Centro de datos extendido. Agregue capacidad a su centro de datos agregando máquinas virtuales en Azure
en lugar de incurrir en los costos de agregar físicamente hardware o espacio a su ubicación física. Conecte su
red física a la red en la nube de Azure sin problemas.
pensado en lo siguiente:
● la máquina virtual
● Decidir la ubicación de la VM
● Determinar el tamaño de la VM
● Almacenamiento para la VM
Este último punto es el motivo por el que debería dedicar algún tiempo a pensar en la configuración de su red. Las
direcciones de red y las subredes no son triviales de cambiar una vez que las haya configurado, y si planea conectar
la red de su empresa privada a los servicios de Azure, querrá asegurarse de considerar la topología antes de instalar
cualquier máquina virtual.
Planificación de máquinas virtuales 233
Nombra la VM
Un dato en el que la gente no suele pensar mucho es el nombre de la máquina virtual. El nombre de la máquina virtual se utiliza como
nombre de la computadora, que se configura como parte del sistema operativo. Puede especificar un nombre de hasta 15 caracteres
en una máquina virtual de Windows y 64 caracteres en una máquina virtual de Linux.
Este nombre también define un recurso de Azure administrable y no es trivial cambiarlo más tarde. Eso significa que debe
elegir nombres que sean significativos y coherentes, para que pueda identificar fácilmente lo que hace la máquina virtual.
Una buena convención es incluir la siguiente información en el nombre:
Por ejemplo, devusc-webvm01 podría representar el primer servidor web de desarrollo alojado en la ubicación del
centro sur de EE. UU.
Ubicación y precio
Decide la ubicación de la VM
Azure tiene centros de datos en todo el mundo llenos de servidores y discos. Estos centros de datos están agrupados en regiones
geográficas ('Oeste de EE. UU.', 'Norte de Europa', 'Sudeste de Asia', etc.) para proporcionar redundancia y disponibilidad.
Cuando crea e implementa una máquina virtual, debe seleccionar una región donde desea que se asignen los recursos
(CPU, almacenamiento, etc.). Esto le permite colocar sus máquinas virtuales lo más cerca posible de sus usuarios para
mejorar el rendimiento y cumplir con los requisitos legales, de cumplimiento o tributarios.
Otras dos cosas en las que pensar con respecto a la elección de la ubicación.
● La ubicación puede limitar sus opciones disponibles. Cada región tiene un hardware diferente disponible y algunas
configuraciones no están disponibles en todas las regiones.
● Existen diferencias de precio entre ubicaciones. Si su carga de trabajo no está vinculada a una ubicación específica,
puede ser muy rentable verificar la configuración requerida en varias regiones para encontrar el precio más bajo.
Calcular costos - Los gastos de computación se cotizan por hora, pero se facturan por minuto. Por ejemplo, solo se le
cobrará por 55 minutos de uso si la VM se implementa durante 55 minutos. No se le cobrará por la capacidad informática si
detiene y desasigna la VM, ya que esto libera el hardware. El precio por hora varía según el tamaño de la máquina virtual y el
sistema operativo que seleccione. El costo de una máquina virtual incluye el cargo por el sistema operativo Windows. Las
instancias basadas en Linux son más baratas porque no hay cargo por licencia del sistema operativo.
Costos de almacenamiento - Se le cobra por separado por el almacenamiento que usa la máquina virtual. El estado de la VM no tiene relación
con los cargos de almacenamiento en los que se incurrirá; incluso si la máquina virtual se detiene / desasigna y no se le factura por la máquina
Puede elegir entre dos opciones de pago para los costos de cálculo:
1. Basado en consumo - Con la opción basada en el consumo, paga la capacidad de cómputo por
segundo. Puede aumentar o disminuir la capacidad informática a pedido, así como iniciar o detener en cualquier
momento. Prefiera esta opción si ejecuta aplicaciones con cargas de trabajo impredecibles o a corto plazo que no se
pueden interrumpir. Por ejemplo, si está haciendo una prueba rápida o desarrollando una aplicación en una máquina
virtual, esta sería la opción adecuada.
2. Instancias de máquinas virtuales reservadas: La opción de Instancias de máquina virtual reservadas (RI) es una compra anticipada de una
máquina virtual durante uno o tres años en una región específica. El compromiso se realiza por adelantado y, a cambio, obtiene hasta un
72% de ahorro en el precio en comparación con el precio de pago por uso. Las instancias reservadas son flexibles y pueden cambiarse o
devolverse fácilmente por un cargo por cancelación anticipada. Prefiera esta opción si la máquina virtual debe ejecutarse de forma continua
o si necesita previsibilidad presupuestaria y puede comprometerse a usar la máquina virtual durante al menos un año.
la memoria y la capacidad de almacenamiento de forma independiente, Azure proporciona diferentes tamaños de máquina virtual que ofrecen variaciones
de estos elementos en diferentes tamaños. Azure proporciona una amplia gama de opciones de tamaño de máquina virtual que le permiten seleccionar la
La mejor manera de determinar el tamaño apropiado de la máquina virtual es considerar el tipo de carga de trabajo que su máquina virtual necesita para
ejecutar. Según la carga de trabajo, puede elegir entre un subconjunto de tamaños de VM disponibles. Las opciones de carga de trabajo se clasifican de la
repositorios.
Bs VM económicas con capacidad de expansión Servidores de desarrollo y prueba, servidores
servidores.
Planificación de máquinas virtuales 235
cargas de trabajo.
máquina virtual, siempre que su configuración de hardware actual esté permitida en el nuevo tamaño. Esto proporciona un enfoque completamente ágil y
Si detiene y desasigna la VM, puede seleccionar cualquier tamaño disponible en su región, ya que esto elimina
su VM del clúster en el que se estaba ejecutando.
✔ Tenga cuidado al cambiar el tamaño de las máquinas virtuales de producción; es posible que sea necesario reiniciarlas, lo que
puede provocar una interrupción temporal y cambiar algunos valores de configuración, como la dirección IP.
aplicaciones y datos. Todas las máquinas virtuales de Azure tienen al menos dos discos: un disco del sistema operativo Windows (en el caso de
una máquina virtual de Windows) y un disco temporal. Las máquinas virtuales también pueden tener uno o más discos de datos. Todos los
seleccionó cuando se creó la máquina virtual. Está registrado como una unidad SATA y etiquetado como la unidad C: de forma predeterminada.
Disco temporal
Cada máquina virtual contiene un disco temporal, que no es un disco administrado. El disco temporal proporciona almacenamiento a corto
plazo para aplicaciones y procesos y está diseñado para almacenar únicamente datos como archivos de página o de intercambio. Los datos del
disco temporal se pueden perder durante un evento de mantenimiento o cuando vuelve a implementar una VM. Durante un reinicio estándar de
la máquina virtual, los datos en la unidad temporal deben persistir. Sin embargo, hay casos
1 https://azure.microsoft.com/en-us/pricing/details/virtual-machines/series/
Planificación de máquinas virtuales 237
donde los datos pueden no persistir, como mudarse a un nuevo host. Por lo tanto, los datos de la unidad
temporal no deben ser datos críticos para el sistema.
● En las máquinas virtuales de Windows, este disco está etiquetado como la unidad D: de forma predeterminada y se usa para
almacenar pagefile.sys.
● En las máquinas virtuales Linux, el disco suele ser / dev / sdb y el agente de Azure Linux lo formatea y
monta en / mnt.
✔ No almacene datos en el disco temporal. Proporciona almacenamiento temporal para aplicaciones y procesos y está destinado a
almacenar únicamente datos como archivos de página o de intercambio.
Discos de datos
Un disco de datos es un disco administrado que se adjunta a una máquina virtual para almacenar datos de aplicaciones u otros datos
que necesita conservar. Los discos de datos están registrados como unidades SCSI y están etiquetados con una letra que elija. Cada
disco de datos tiene una capacidad máxima de 4095 gibibytes (GiB). El tamaño de la máquina virtual determina cuántos discos de
datos puede adjuntar y el tipo de almacenamiento que puede utilizar para alojar los discos.
Operaciones de almacenamiento
Azure Premium Storage ofrece compatibilidad con discos de alto rendimiento y baja latencia para máquinas virtuales (VM) con cargas
de trabajo intensivas de entrada / salida (E / S). Los discos de VM que utilizan Premium Storage almacenan datos en unidades de
estado sólido (SSD). Para aprovechar la velocidad y el rendimiento de los discos de almacenamiento premium, puede migrar los discos
de VM existentes a Premium Storage.
En Azure, puede adjuntar varios discos de almacenamiento premium a una máquina virtual. El uso de varios discos brinda a sus
aplicaciones hasta 256 TB de almacenamiento por VM. Con Premium Storage, sus aplicaciones pueden lograr 80,000 operaciones de E
/ S por segundo (IOPS) por VM y un rendimiento de disco de hasta 2,000 megabytes por segundo (MB / s) por VM. Las operaciones de
lectura le dan latencias muy bajas.
Azure ofrece dos formas de crear discos de almacenamiento premium para máquinas virtuales:
Discos no administrados
El método original es utilizar discos no administrados. En un disco no administrado, administra las cuentas de almacenamiento que usa para
almacenar los archivos del disco duro virtual (VHD) que corresponden a sus discos VM. Los archivos VHD se almacenan como blobs de página
Discos administrados
Un disco administrado de Azure es un disco duro virtual (VHD). Puede pensar en ello como un disco físico en un servidor local, pero
virtualizado. Los discos administrados de Azure se almacenan como blobs de página, que son un objeto de almacenamiento de E / S
aleatorio en Azure. Llamamos a un disco administrado 'administrado' porque es una abstracción de blobs de páginas, contenedores
de blobs y cuentas de almacenamiento de Azure. Con los discos administrados, todo lo que tiene que hacer es aprovisionar el disco y
Azure se encarga del resto. Cuando selecciona usar discos administrados de Azure con sus cargas de trabajo, Azure crea y administra
el disco por usted. Los tipos de discos disponibles son unidades de estado ultra sólido (SSD), SSD premium, SSD estándar y unidades
de disco duro estándar (HDD).
✔ Para obtener el mejor rendimiento de su aplicación, le recomendamos que migre cualquier disco de máquina virtual que requiera
altas IOPS a Premium Storage. Si su disco no requiere altas IOPS, puede ayudar a limitar los costos manteniéndolo en Azure Storage
estándar. En el almacenamiento estándar, los datos del disco VM se almacenan en unidades de disco duro (HDD) en lugar de en
SSD.
✔ Los discos administrados son necesarios para el SLA de máquina virtual de instancia única (99,95%).
238 Módulo 8 Máquinas virtuales de Azure
de Linux. Como se mencionó anteriormente, la elección del sistema operativo influirá en el precio de su computación por hora, ya que Azure
Si busca algo más que imágenes de SO base, puede buscar en Azure Marketplace imágenes de instalación más
sofisticadas que incluyan el SO y herramientas de software populares instaladas para escenarios específicos. Por
ejemplo, si necesita un nuevo sitio de WordPress, la pila de tecnología estándar consistiría en un servidor Linux, un
servidor web Apache, una base de datos MySQL y PHP. En lugar de configurar y configurar cada componente, puede
aprovechar una imagen de Marketplace e instalar toda la pila de una vez.
Por último, si no puede encontrar una imagen de sistema operativo adecuada, puede crear su imagen de disco con lo que necesita, cargarla en
el almacenamiento de Azure y usarla para crear una máquina virtual de Azure. Tenga en cuenta que Azure solo admite sistemas operativos de
64 bits.
✔ Microsoft no admite una actualización del sistema operativo Windows de una máquina virtual Microsoft
Azure. En su lugar, debe crear una nueva máquina virtual de Azure que ejecute la versión compatible del
sistema operativo que se requiere y luego migrar la carga de trabajo.
✔ Las distribuciones respaldadas por Linux admiten una actualización del sistema operativo de una máquina virtual de Microsoft
Azure en caso de una licencia completa de código abierto. Si se utiliza una distribución de Linux con licencia, siga las reglas específicas
de los socios para actualizar (BYOL u otro).
Para más información, Soporte de software de servidor de Microsoft para máquinas virtuales de Microsoft Azure 2 y
Linux en distribuciones respaldadas por Azure 3 .
2 https://support.microsoft.com/en-us/help/2721672/microsoft-server-software-support-for-microsoft-azure-virtual-machines
3 https://docs.microsoft.com/en-us/azure / máquinas-virtuales / linux / endorsed-distros
Planificación de máquinas virtuales 239
versiones de Windows contienen de forma nativa soporte para el protocolo de escritorio remoto (RDP).
Nota: Cómo conectarse mediante RDP y SSH se tratará con más detalle en la siguiente lección.
Conexiones de bastión
El servicio Azure Bastion es un nuevo servicio PaaS totalmente administrado por la plataforma que usted proporciona dentro de su
red virtual. Proporciona conectividad RDP / SSH segura y sin problemas a sus máquinas virtuales directamente en el portal de Azure a
través de SSL. Cuando se conecta a través de Azure Bastion, sus máquinas virtuales no necesitan una dirección IP pública.
Bastion proporciona conectividad RDP y SSH segura a todas las máquinas virtuales en la red virtual en la que está
provisto. El uso de Azure Bastion protege sus máquinas virtuales de exponer los puertos RDP / SSH al mundo
exterior y, al mismo tiempo, proporciona un acceso seguro mediante RDP / SSH. Con Azure Bastion, se conecta a la
máquina virtual directamente desde Azure Portal. No necesita un cliente, agente o software adicional.
240 Módulo 8 Máquinas virtuales de Azure
Básico - Detalles del proyecto, cuenta de administrador, reglas del puerto entrante
Avanzado - Agregue configuraciones, agentes, scripts o aplicaciones adicionales a través de extensiones de máquinas virtuales o
cloud-init.
Últimas imágenes
● Windows Server 2019 es la última versión de Long-Term Servicing Channel (LTSC) con cinco años de
soporte estándar + cinco años de soporte extendido. Elija la imagen adecuada para su aplicación.
Creando Máquinas Virtuales 241
necesidades de instalación: 1) Servidor con experiencia de escritorio incluye todos los roles, incluida la interfaz gráfica de
usuario (GUI), 2) Server Core omite la GUI para una huella de SO más pequeña, o 3) La opción de contenedores incluye el
servidor con experiencia de escritorio, además imágenes de contenedores.
Las versiones del canal semianual de Windows Server ofrecen nuevas capacidades del sistema operativo a un ritmo más
rápido y se basan en la opción de instalación Server Core de la edición Datacenter. Se publica una nueva versión cada seis
meses y se admite durante 18 meses. Consulte la página de soporte del ciclo de vida para conocer las fechas de soporte y
utilice siempre la última versión si es posible.
✔ También hay una gran cantidad de imágenes de Windows Server 2016 y Windows Server 2012. Para
Conexiones de VM de Windows
Para administrar una máquina virtual de Windows de Azure, puede usar el mismo conjunto de herramientas que usó para implementarla. Sin
embargo, también querrá interactuar con un sistema operativo (SO) que se ejecute dentro de la VM. Los métodos que puede utilizar para
lograr esto son específicos del sistema operativo e incluyen las siguientes opciones:
● Protocolo de escritorio remoto (RDP) le permite establecer una sesión de interfaz gráfica de usuario (GUI) en una máquina
virtual de Azure que ejecuta cualquier versión compatible de Windows. Azure Portal habilita automáticamente la
Botón de conexión en la hoja de máquina virtual de Azure Windows si la máquina virtual se está ejecutando y se
puede acceder a ella a través de una dirección IP pública o privada, y si acepta tráfico entrante en el puerto TCP 3389.
Después de hacer clic en este botón, el portal proporcionará automáticamente un archivo .rdp, que puede abrir o
descargar. Al abrir el archivo, se inicia una conexión RDP a la VM correspondiente. Recibirá una advertencia de que el
archivo .rdp es de un editor desconocido. Se esperaba esto. Al conectarse, asegúrese de utilizar las credenciales de la
máquina virtual. Azure PowerShell Get-AzRemoteDesktopFile cmdlet proporciona la misma funcionalidad.
● Administración remota de Windows (WinRM) le permite establecer una sesión de línea de comandos en una máquina
virtual de Azure que ejecuta cualquier versión compatible de Windows. También puede utilizar WinRM para ejecutar
scripts de Windows PowerShell no interactivos. WinRM facilita la seguridad adicional de la sesión mediante el uso de
certificados. Puede cargar un certificado que desee usar en Azure Key Vault antes de establecer una sesión. El proceso de
configuración de la conectividad WinRM incluye los siguientes pasos de alto nivel:
4 https://docs.microsoft.com/en-us/azure/virtual-machines/windows/
242 Módulo 8 Máquinas virtuales de Azure
✔ WinRM utiliza el puerto TCP 5986 de forma predeterminada, pero puede cambiarlo a un valor personalizado. En cualquier caso,
debe asegurarse de que ningún grupo de seguridad de red esté bloqueando el tráfico entrante en el puerto que elija.
2. En el cuadro de búsqueda que se encuentra encima de la lista de recursos de Azure Marketplace, busque Windows Server 2016
3. En el Lo esencial pestaña, debajo Detalles del proyecto, asegúrese de seleccionar la suscripción correcta y luego
elija Crear nuevo grupo de recursos. Tipo myResourceGroup por el nombre.
4. Debajo Detalles de la instancia, tipo myVM Para el Nombre de la máquina virtual y elige Este de EE. UU. para tu
Localización. Deja los demás valores predeterminados.
5. Debajo Cuenta de administrador, proporcionar un nombre de usuario, como azureuser y una contraseña. La
contraseña debe tener al menos 12 caracteres y cumplir con los requisitos de complejidad definidos.
6. Debajo Reglas del puerto de entrada, escoger Permitir puertos seleccionados y luego seleccione RDP (3389) y HTTP
7. Muévete a la Gestión pestaña, y debajo Vigilancia turno Apagado Diagnóstico de arranque. Esto eliminará los errores
de validación.
8. Deje los valores predeterminados restantes y luego seleccione el Revisar + crear en la parte inferior de la página.
Espere la validación, luego haga clic en Crear.
Cree una conexión de escritorio remoto a la máquina virtual. Estas instrucciones le indican cómo conectarse a su máquina
virtual desde una computadora con Windows. En una Mac, debe instalar un cliente RDP desde Mac App Store.
2. En el Conectarse a la máquina virtual página, mantenga las opciones predeterminadas para conectarse por nombre DNS a través del puerto
4. En el Seguridad de Windows ventana, seleccione Más elecciones y entonces Utilice una cuenta diferente. Escriba el nombre
de usuario como localhost \ username, ingrese la contraseña que creó para la máquina virtual y luego seleccione
está bien.
5. Es posible que reciba una advertencia de certificado durante el proceso de inicio de sesión. Seleccione sí o Continuar para crear la
conexión.
Para observar su máquina virtual en acción, instale el servidor web IIS. Abra un indicador de PowerShell en la máquina virtual y
ejecute el siguiente comando:
Creando Máquinas Virtuales 243
En el portal, seleccione la VM y en la descripción general de la VM, use el Haga clic para copiar a la derecha de la dirección IP
pública para copiarla y pegarla en una pestaña del navegador. Se abrirá la página de bienvenida de IIS predeterminada.
Limpiar recursos
✔ Cuando ya no sea necesario, puede eliminar el grupo de recursos, la máquina virtual y todos los recursos relacionados. Para
hacerlo, seleccione el grupo de recursos para la máquina virtual, seleccione Borrar, luego confirme el nombre del grupo de recursos
que desea eliminar.
Aquí hay algunas cosas que debe saber sobre las distribuciones de Linux.
● Linux tiene las mismas opciones de implementación que para las máquinas virtuales de Windows: PowerShell
(Administrador de recursos), Portal e Interfaz de línea de comandos.
● Puede administrar sus máquinas virtuales Linux con una gran cantidad de herramientas DevOps de código abierto populares,
como Puppet y Chef.
✔ Tómese unos minutos para revisar las distribuciones de Marketplace Linux. ¿Hay alguno que le interese? Para más
Conexiones de VM Linux
Cuando crea una máquina virtual Linux, puede decidir autenticarse con un Clave pública SSH o Contraseña.
5 https://docs.microsoft.com/en-us/azure/virtual-machines/linux/
244 Módulo 8 Máquinas virtuales de Azure
Conexiones SSH
SSH es un protocolo de conexión cifrado que permite inicios de sesión seguros a través de conexiones no seguras. SSH es el protocolo
de conexión predeterminado para máquinas virtuales Linux alojadas en Azure. Aunque SSH en sí mismo proporciona una conexión
encriptada, el uso de contraseñas con conexiones SSH todavía deja a la VM vulnerable a ataques de fuerza bruta o adivinanzas de
contraseñas. Un método más seguro y preferido para conectarse a una máquina virtual mediante SSH es mediante el uso de un par
de claves pública-privada, también conocidas como claves SSH.
● La Llave pública se coloca en su máquina virtual Linux o en cualquier otro servicio que desee utilizar con criptografía de clave
pública.
● La llave privada permanece en su sistema local. Proteja esta clave privada. No lo compartas.
Cuando utiliza un cliente SSH para conectarse a su máquina virtual Linux (que tiene la clave pública), la máquina virtual
remota prueba el cliente para asegurarse de que posee la clave privada. Si el cliente tiene la clave privada, se le otorga
acceso a la VM.
Según las políticas de seguridad de su organización, puede reutilizar un único par de claves pública-privada para acceder a varios
servicios y máquinas virtuales de Azure. No necesita un par de claves por separado para cada VM o servicio al que desee acceder.
Su clave pública se puede compartir con cualquier persona, pero solo usted (o su infraestructura de seguridad local)
debe poseer su clave privada.
✔ Actualmente, Azure requiere al menos una longitud de clave de 2048 bits y el formato SSH-RSA para claves públicas y privadas.
Nota: Asegúrese de que el puerto 22 esté abierto para que funcione la conexión.
5. Mueva el mouse por el área en blanco de la ventana para generar algo de aleatoriedad.
Creando Máquinas Virtuales 245
6. Copie el texto del Clave pública para pegar en el archivo de claves autorizadas.
7. Opcionalmente, puede especificar un Frase de contraseña clave y entonces Confirme la contraseña. Se le pedirá la
frase de contraseña cuando se autentique en la VM con su clave SSH privada. Sin una frase de contraseña, si alguien
obtiene su clave privada, puede iniciar sesión en cualquier VM o servicio que use esa clave. Le recomendamos que cree
una frase de contraseña. Sin embargo, si olvida la frase de contraseña, no hay forma de recuperarla.
9. Elija una ubicación y un nombre de archivo y haga clic en Ahorrar. Necesitará este archivo para acceder a la VM.
4. Pegue la clave SSH pública de PuTTY en el Clave pública SSH área de texto. Asegúrese de que la clave se valida con
una marca de verificación.
2. Ingrese nombre de usuario @ publicIpAddress donde nombre de usuario es el valor que asignó al crear la máquina virtual
y publicIpAddress es el valor que obtuvo de Azure Portal.
6. Haga clic en el Navegar botón junto a Archivo de clave privada para autenticación.
7. Navegue hasta el archivo de clave privada guardado cuando generó las claves SSH y haga clic en Abierto.
Un Mantenimiento de hardware no planificado El evento ocurre cuando la plataforma Azure predice que el hardware o cualquier
componente de la plataforma asociado a una máquina física está a punto de fallar. Cuando la plataforma predice una falla, generará
un evento de mantenimiento de hardware no planificado. Azure usa la tecnología Live Migration para migrar las máquinas virtuales
del hardware defectuoso a una máquina física en buen estado. La migración en vivo es una operación de conservación de la máquina
virtual que solo detiene la máquina virtual durante un período breve, pero el rendimiento puede reducirse antes y / o después del
evento.
Tiempo de inactividad inesperado es cuando el hardware o la infraestructura física de la máquina virtual falla inesperadamente.
Esto puede incluir fallas en la red local, fallas en el disco local u otras fallas en el nivel del bastidor. Cuando se detecta, la plataforma
Azure migra (repara) automáticamente su máquina virtual a una máquina física en buen estado en el mismo centro de datos.
Durante el procedimiento de recuperación, las máquinas virtuales experimentan un tiempo de inactividad (reinicio) y, en algunos
casos, la pérdida de la unidad temporal.
Mantenimiento planificado Los eventos son actualizaciones periódicas realizadas por Microsoft a la plataforma Azure subyacente
para mejorar la confiabilidad, el rendimiento y la seguridad generales de la infraestructura de la plataforma en la que se ejecutan sus
máquinas virtuales. La mayoría de estas actualizaciones se realizan sin ningún impacto en sus máquinas virtuales o servicios en la
nube.
Nota: Microsoft no actualiza automáticamente el sistema operativo o el software de su máquina virtual. Tienes el control total y la
responsabilidad de eso. Sin embargo, el host de software y el hardware subyacentes se revisan periódicamente para garantizar la
confiabilidad y el alto rendimiento en todo momento.
Conjuntos de disponibilidad
Un Conjunto de disponibilidad es una función lógica que se utiliza para garantizar que se implemente un grupo de máquinas virtuales
relacionadas para que no estén todas sujetas a un solo punto de falla y no todas se actualicen al mismo tiempo durante una actualización del
sistema operativo host en el centro de datos. Las máquinas virtuales ubicadas en un conjunto de disponibilidad deben realizar un conjunto
Azure garantiza que las máquinas virtuales que coloque en un conjunto de disponibilidad se ejecuten en varios servidores físicos, racks
informáticos, unidades de almacenamiento y conmutadores de red. Si se produce una falla en el hardware o en el software de Azure, solo un
subconjunto de sus máquinas virtuales se verá afectado y su aplicación general permanecerá activa y seguirá estando disponible para sus
clientes.
Los conjuntos de disponibilidad son una capacidad esencial cuando desea crear soluciones confiables en la nube. Al crear conjuntos
de disponibilidad, tenga en cuenta estos principios.
Puede crear conjuntos de disponibilidad a través de Azure Portal en la sección de recuperación ante desastres. Además, puede
crearlos utilizando plantillas de Resource Manager o cualquiera de las herramientas de scripts o API.
● Para todas las máquinas virtuales que tienen dos o más instancias implementadas en el mismo conjunto de disponibilidad,
garantizamos que tendrá conectividad de máquina virtual con al menos una instancia al menos el 99,95% del tiempo.
● Para cualquier máquina virtual de instancia única que utilice almacenamiento premium para todos los discos del sistema operativo y
los discos de datos, le garantizamos que tendrá una conectividad de máquina virtual de al menos el 99,9%.
✔ Puede crear una máquina virtual y un conjunto de disponibilidad al mismo tiempo. Una máquina virtual solo se puede agregar a
un conjunto de disponibilidad cuando se crea. Para cambiar el conjunto de disponibilidad, debe eliminar y luego volver a crear la
máquina virtual.
Actualizar dominios
Un actualizar dominio (UD) es un grupo de nodos que se actualizan juntos durante el proceso de actualización de un servicio
(implementación). Un dominio de actualización permite que Azure realice actualizaciones incrementales o continuas en una
implementación. Cada dominio de actualización contiene un conjunto de máquinas virtuales y hardware físico asociado que se
pueden actualizar y reiniciar al mismo tiempo. Durante el mantenimiento planificado, solo se reinicia un dominio de actualización a
la vez. De forma predeterminada, hay cinco dominios de actualización (no configurables por el usuario), pero puede configurar hasta
veinte dominios de actualización.
Dominios de fallas
A dominio de falla (FD) es un grupo de nodos que representan una unidad física de falla. Un dominio de falla define un grupo de máquinas
virtuales que comparten un conjunto común de hardware, conmutadores, que comparten un único punto de falla. Por ejemplo, un bastidor de
servidor al que se le da servicio mediante un conjunto de conmutadores de red o de alimentación. Las máquinas virtuales en un conjunto de
disponibilidad se colocan en al menos dos dominios de falla. Esto mitiga los efectos de fallas de hardware, cortes de red, interrupciones de
energía o actualizaciones de software. Piense en un dominio de fallas como nodos que pertenecen al mismo bastidor físico.
✔ Colocar sus máquinas virtuales en un conjunto de disponibilidad no protege su aplicación de fallas específicas del sistema
operativo o de la aplicación. Para eso, debe revisar otras técnicas de copia de seguridad y recuperación ante desastres.
Zonas de disponibilidad
Availability Zones es una oferta de alta disponibilidad que protege sus aplicaciones y datos de fallas en el centro de
datos.
Consideraciones
● Las zonas de disponibilidad son ubicaciones físicas únicas dentro de una región de Azure.
● Cada zona está formada por uno o más centros de datos equipados con alimentación, refrigeración y redes
independientes.
● Para garantizar la resistencia, hay un mínimo de tres zonas separadas en todas las regiones habilitadas.
Disponibilidad de la máquina virtual 249
● La separación física de las zonas de disponibilidad dentro de una región protege las aplicaciones y los datos de las fallas
del centro de datos.
● Los servicios con redundancia de zona replican sus aplicaciones y datos en las zonas de disponibilidad para protegerlos
de puntos únicos de falla.
● Con las zonas de disponibilidad, Azure ofrece el mejor SLA de tiempo de actividad de VM del 99,99% del sector.
Implementación
Una zona de disponibilidad en una región de Azure es una combinación de un dominio de error y un dominio de actualización. Por
ejemplo, si crea tres o más máquinas virtuales en tres zonas en una región de Azure, sus máquinas virtuales se distribuyen
eficazmente en tres dominios de error y tres dominios de actualización. La plataforma Azure reconoce esta distribución en los
dominios de actualización para asegurarse de que las máquinas virtuales de diferentes zonas no se actualicen al mismo tiempo.
Los servicios de Azure que admiten zonas de disponibilidad se dividen en dos categorías:
● Servicios zonales. Anclar el recurso a una zona específica (por ejemplo, máquinas virtuales, discos administrados,
direcciones IP estándar) o
● Servicios con redundancia de zona. La plataforma se replica automáticamente en todas las zonas (por ejemplo, almacenamiento con redundancia
✔ Para lograr una continuidad empresarial integral en Azure, cree la arquitectura de su aplicación utilizando la combinación
de zonas de disponibilidad con pares de regiones de Azure.
Conceptos de escala
Generalmente, hay dos tipos de escala: escala vertical y escala horizontal.
Escala vertical
El escalado vertical, también conocido como escalar hacia arriba y hacia abajo, significa aumentar o disminuir el tamaño de las máquinas virtuales en
respuesta a una carga de trabajo. El escalado vertical hace que las máquinas virtuales sean más (escalar hacia arriba) o menos (escalar hacia abajo)
● Un servicio creado en máquinas virtuales está infrautilizado (por ejemplo, los fines de semana). Reducir el tamaño de la
máquina virtual puede reducir los costos mensuales.
● Aumentar el tamaño de la máquina virtual para hacer frente a una mayor demanda sin crear máquinas virtuales adicionales.
250 Módulo 8 Máquinas virtuales de Azure
Escala horizontal
Escalado horizontal, también denominado escalado horizontal y vertical, en el que el número de máquinas virtuales se modifica en función de la carga de
trabajo. En este caso, hay un aumento (escalamiento horizontal) o una disminución (escalamiento hacia adentro) en la cantidad de instancias de máquina
virtual.
Consideraciones
● El escalado vertical generalmente tiene más limitaciones. Depende de la disponibilidad de hardware más grande, que alcanza
rápidamente un límite superior y puede variar según la región. El escalado vertical también suele requerir que una máquina
virtual se detenga y reinicie.
● El escalado horizontal es generalmente más flexible en una situación de nube, ya que le permite ejecutar potencialmente
miles de máquinas virtuales para manejar la carga.
● Reaprovisionar significa eliminar una máquina virtual existente y reemplazarla por una nueva. ¿Necesita
conservar sus datos?
Conjuntos de escalas
Los conjuntos de escalado de máquinas virtuales son un recurso de Azure Compute que puede usar para implementar y administrar un conjunto de
idéntico VM. Con todas las máquinas virtuales configuradas de la misma manera, los conjuntos de escalado de máquinas virtuales están diseñados para admitir el escalado automático real
- no se requiere el aprovisionamiento previo de máquinas virtuales, y como tal facilita la creación de servicios a gran escala dirigidos a grandes volúmenes
de computación, macrodatos y cargas de trabajo en contenedores. Por lo tanto, a medida que aumenta la demanda, se pueden agregar más instancias de
máquinas virtuales y, a medida que disminuye la demanda, se pueden eliminar las instancias de máquinas virtuales. El proceso puede ser manual o
automatizado o una combinación de ambos.
administrar fácilmente cientos de máquinas virtuales sin tareas de configuración adicionales o administración de red.
● Los conjuntos de escalado admiten el uso del equilibrador de carga de Azure para la distribución básica del tráfico de capa 4 y
Azure Application Gateway para una distribución de tráfico de capa 7 más avanzada y terminación SSL.
● Los conjuntos de escalas se utilizan para ejecutar varias instancias de su aplicación. Si una de estas instancias de VM tiene un
problema, los clientes continúan accediendo a su aplicación a través de una de las otras instancias de VM con una interrupción
mínima.
● La demanda de los clientes para su aplicación puede cambiar durante el día o la semana. Para satisfacer la demanda de los clientes, los
conjuntos de escalado pueden aumentar automáticamente la cantidad de instancias de VM a medida que aumenta la demanda de
aplicaciones y luego reducir la cantidad de instancias de VM a medida que disminuye la demanda. Esto se conoce como autoescala.
● Los conjuntos de escalado admiten hasta 1000 instancias de VM. Si crea y carga sus propias imágenes de VM personalizadas, el
límite es de 600 instancias de VM.
Disponibilidad de la máquina virtual 251
● Instancia puntual de Azure. Las máquinas virtuales de baja prioridad se asignan a partir del exceso de capacidad informática de Microsoft Azure, lo
que permite que se ejecuten varios tipos de cargas de trabajo a un costo significativamente reducido.
● Utilice discos administrados. Los discos administrados ocultan las cuentas de almacenamiento subyacentes y, en cambio, muestran la
abstracción de un disco. Los discos no administrados exponen las cuentas de almacenamiento subyacentes y los blobs de VHD.
● Habilite el escalado más allá de 100 instancias. Si la respuesta es No, el conjunto de básculas se limitará a 1 grupo de ubicación y
puede tener una capacidad máxima de 100. Si la respuesta es Sí, el conjunto de básculas puede abarcar varios grupos de ubicación. Esto
permite que la capacidad sea de hasta 1000, pero cambia las características de disponibilidad del conjunto de básculas.
● Algoritmo de difusión. Recomendamos implementar con la distribución máxima para la mayoría de las cargas de trabajo, ya que este enfoque
Auto escala
Un conjunto de escalado de máquinas virtuales de Azure puede aumentar o disminuir automáticamente la cantidad de instancias de VM que
ejecutan su aplicación. Esto significa que puede escalar dinámicamente para satisfacer la demanda cambiante.
● Poner a escala. Si la demanda de su aplicación aumenta, la carga en las instancias de VM en su conjunto de escalado
aumenta. Si este aumento de carga es constante, en lugar de solo una demanda breve, puede configurar reglas de
autoescala para aumentar la cantidad de instancias de VM en el conjunto de escalado.
● Escala. En una noche o un fin de semana, la demanda de su aplicación puede disminuir. Si esta carga disminuida es constante
durante un período de tiempo, puede configurar reglas de autoescalado para disminuir la cantidad de instancias de VM en el
conjunto de escalado. Esta acción de escalado reduce el costo de ejecutar su conjunto de escalado, ya que solo ejecuta la
cantidad de instancias necesarias para satisfacer la demanda actual.
● Programar eventos. Programe eventos para aumentar o disminuir automáticamente la capacidad de su báscula configurada en
horarios fijos.
● Menos gastos generales. Reduce la sobrecarga de administración para monitorear y optimizar el desempeño de su
aplicación.
✔ Autoscale minimiza la cantidad de instancias de VM innecesarias que ejecutan su aplicación cuando la demanda es baja, mientras
que los clientes continúan recibiendo un nivel aceptable de rendimiento a medida que aumenta la demanda y se agregan
automáticamente instancias de VM adicionales.
● Número mínimo de máquinas virtuales. El valor mínimo de autoescala en este conjunto de escalas.
● Número máximo de máquinas virtuales. El valor máximo de autoescala en este conjunto de escalas.
● Escala horizontal del umbral de la CPU. El umbral de porcentaje de uso de la CPU para activar la regla de escalado automático.
Disponibilidad de la máquina virtual 253
● Número de máquinas virtuales para aumentar. La cantidad de máquinas virtuales que se agregarán al conjunto de escalado
● Escala en el umbral de la CPU. El umbral de porcentaje de uso de la CPU para activar la escala en la regla de escala automática.
● Número de máquinas virtuales que se reducirán. La cantidad de máquinas virtuales que se eliminarán del conjunto de escalas cuando se active la
6 https://docs.microsoft.com/en-us/azure/monitoring-and-diagnostics/insights-autoscale-best-practices
254 Módulo 8 Máquinas virtuales de Azure
Las extensiones de máquina virtual de Azure son pequeñas aplicaciones que proporcionan tareas de automatización y configuración posteriores
a la implementación en las máquinas virtuales de Azure. Por ejemplo, si una máquina virtual requiere instalación de software, protección
antivirus o un script de configuración en su interior, se puede utilizar una extensión de VM. Las extensiones tienen que ver con la administración
● Administrado con Azure CLI, PowerShell, plantillas de Azure Resource Manager y Azure Portal.
● Se incluye con una nueva implementación de VM o se ejecuta en cualquier sistema existente. Por ejemplo, pueden ser parte de una
implementación más grande, configurando aplicaciones en la provisión de VM o ejecutarse en cualquier sistema operado por extensión
compatible después de la implementación.
Existen diferentes extensiones para máquinas con Windows y Linux y una gran variedad de extensiones propias y de
terceros.
✔ En esta lección nos centraremos en dos extensiones: Extensiones de script personalizadas y Configuración de estado deseado.
Ambas herramientas están basadas en PowerShell.
Para más información, Extensiones y características de la máquina virtual para Windows 7 y Extensiones y características de
la máquina virtual para Linux 8 .
7 https://docs.microsoft.com/en-us/azure/virtual-machines/extensions/features-windows?toc=%2Fazure%2Fvirtual-
machines% 2Fwindows% 2Ftoc.json
8 https://docs.microsoft.com/en-us/azure/virtual-machines/extensions/features-linux
Extensiones de máquina virtual 255
Puede instalar el CSE desde Azure Portal accediendo a las máquinas virtuales Extensiones espada. Una vez que se crea el recurso CSE,
proporcionará un archivo de secuencia de comandos de PowerShell. Su archivo de secuencia de comandos incluirá los comandos de
Power-Shell que desea ejecutar en la máquina virtual. Opcionalmente, puede pasar argumentos, como param1, param2. Una vez que
se carga el archivo, se ejecuta inmediatamente. Los scripts se pueden descargar desde Azure Storage o GitHub, o se pueden
proporcionar en Azure Portal en el tiempo de ejecución de la extensión.
También puede usar PowerShell Set-AzVmCustomScriptExtension mando. Debe cargar el archivo de secuencia de
comandos en un contenedor de blobs y proporcionar el URI en el comando como este:
Consideraciones
● Se acabó el tiempo. Las extensiones de scripts personalizados tienen 90 minutos para ejecutarse. Si su implementación excede
este tiempo, se marca como tiempo de espera. Tenga esto en cuenta al diseñar su guión. Y, por supuesto, su máquina virtual
debe estar funcionando para realizar las tareas.
● Dependencias. Si su extensión requiere acceso a redes o almacenamiento, asegúrese de que el contenido esté
disponible.
● Eventos fallidos. Asegúrese de tener en cuenta cualquier error que pueda ocurrir al ejecutar su script. Por
ejemplo, quedarse sin espacio en disco o restricciones de seguridad y acceso. ¿Qué hará el script si hay un error?
● Informacion delicada. Es posible que su extensión necesite información confidencial como credenciales, nombres de cuentas de
almacenamiento y claves de acceso a cuentas de almacenamiento. ¿Cómo protegerá / cifrará esta información?
✔ ¿Puede pensar en alguna extensión de secuencia de comandos personalizada que desee crear?
Cmdlets de PowerShell y recursos que puede usar para especificar de forma declarativa cómo desea que se configure su
entorno de software. También proporciona un medio para mantener y administrar las configuraciones existentes.
DSC se centra en la creación configuraciones. Una configuración es un script fácil de leer que describe un entorno
compuesto por computadoras (nodos) con características específicas. Estas características pueden ser tan simples como
asegurar que una característica específica de Windows esté habilitada o tan complejas como implementar SharePoint.
Utilice DSC cuando el CSE no funcione para su aplicación.
En este ejemplo, estamos instalando IIS en el localhost. La configuración se guardará como un archivo .ps1.
configuración IISInstall
{
Nodo "localhost"
{
WindowsFeature IIS
{
Asegúrese = "Presente"
Nombre = "servidor web"
}}}
● La Configuración cuadra. Este es el bloque de script más externo. Lo define usando el Configuración
palabra clave y proporcionando un nombre. En este caso, el nombre de la configuración es IISInstall.
● Uno o mas Nodo bloques. Estos definen los nodos (computadoras o VM) que está configurando. En la
configuración anterior, hay un bloque de nodo que se dirige a una computadora llamada "localhost".
● Uno o más bloques de recursos. Aquí es donde la configuración establece las propiedades de los recursos que está
configurando. En este caso, hay un bloque de recursos que usa WindowsFeature. WindowsFeature indica el nombre
(servidor web) de la función o función que desea asegurarse de que se agregue o elimine. Asegúrese de que indique si se
agrega el rol o la función. Tus elecciones están presentes y ausentes.
✔ Windows PowerShell DSC viene con un conjunto de recursos de configuración integrados. Por ejemplo, Recurso
de archivo, Recurso de registro y Recurso de usuario. Utilice el enlace de referencia para ver los recursos que están
disponibles para usted. ¿Hay algún recurso que le pueda interesar?
Nota: Este escenario requiere una máquina virtual de Windows en estado de ejecución.
2. Ejecute este comando y verifique que el estado de la función del servidor web sea Disponible pero no instalado.
2. Haga clic en + Agregar. Tómese un minuto para revisar las diferentes extensiones disponibles.
3. Ubique el Extensión de secuencia de comandos personalizada recurso, seleccione y haga clic Crear.
4. Busque su secuencia de comandos de PowerShell y cargue el archivo. Habrá una notificación de que se cargó el
archivo.
6. Selecciona tu CustomScriptExtension.
7. Hacer clic Ver estado detallado y verificar que el aprovisionamiento se haya realizado correctamente.
13. Verifique que se haya instalado la función de servidor web. Esto puede tardar un par de minutos.
Escenario de laboratorio
Se le asignó la tarea de identificar diferentes opciones para implementar y configurar máquinas virtuales de Azure. En primer lugar,
debe determinar las diferentes opciones de escalabilidad y resiliencia de almacenamiento y computación que puede implementar al
usar máquinas virtuales de Azure. A continuación, debe investigar las opciones de escalabilidad y resistencia de almacenamiento y
computación que están disponibles cuando se usan conjuntos de escalado de máquinas virtuales de Azure. También desea explorar
la capacidad de configurar automáticamente máquinas virtuales y conjuntos de escalado de máquinas virtuales mediante la
extensión Azure Virtual Machine Custom Script.
Objetivos
En este laboratorio, podrá:
● Tarea 1: Implementar máquinas virtuales de Azure resistentes a zonas mediante Azure Portal y una plantilla de Azure
Resource Manager.
● Tarea 2: configurar máquinas virtuales de Azure mediante extensiones de máquina virtual. Tarea 3: Escale
● Tarea 4: Implementar conjuntos de escalado de máquinas virtuales de Azure resistentes a zonas mediante Azure Portal. Tarea 5:
● configurar conjuntos de escalado de máquinas virtuales de Azure mediante extensiones de máquinas virtuales. Tarea 6: Escale el
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Pregunta de repaso 1
Aloja un servicio con dos máquinas virtuales de Azure. Descubre que las interrupciones ocasionales hacen que su servicio falle. ¿Qué
dos acciones puede hacer para minimizar el impacto de las interrupciones? Seleccione dos.
Pregunta de repaso 2
Está investigando Microsoft Azure para su empresa. La empresa está considerando implementar máquinas virtuales basadas en
Windows en Azure. Sin embargo, antes de seguir adelante, el equipo de administración le ha pedido que investigue los costos
asociados con las máquinas virtuales de Azure. Debe documentar las opciones de configuración que probablemente le ahorrarán
dinero a la empresa en sus máquinas virtuales de Azure. ¿Qué opciones debería documentar? (Cada respuesta presenta parte de la
solución. Seleccione cuatro.
?? Utilice las máquinas virtuales menos potentes que satisfagan sus requisitos. Coloque todas
Pregunta de repaso 3
Tiene previsto implementar varias máquinas virtuales Linux en Azure. El equipo de seguridad emite una política de que las máquinas virtuales
Linux deben usar un sistema de autenticación que no sea contraseñas. Debe implementar un método de autenticación para que las máquinas
virtuales de Linux cumplan con el requisito. ¿Qué método de autenticación debería utilizar? Seleccione uno.
?? Claves de acceso
Pregunta de repaso 4
Su empresa tiene máquinas virtuales Windows Server 2012 R2 y máquinas virtuales Ubuntu Linux en Microsoft Azure. La empresa
tiene un nuevo proyecto para estandarizar la configuración de servidores en el entorno de Azure. La empresa opta por utilizar la
configuración de estado deseado (DSC) en todas las máquinas virtuales. Debe asegurarse de que DSC se pueda utilizar en todas las
máquinas virtuales. ¿Qué dos cosas deberías hacer? Seleccione dos.
?? Reemplace las máquinas virtuales de Windows Server 2012 R2 por máquinas virtuales de Windows Server 2016.
260 Módulo 8 Máquinas virtuales de Azure
Pregunta de repaso 5
Otro administrador de TI crea un conjunto de escalado de máquinas virtuales de Azure con 5 máquinas virtuales. Más tarde, observará que todas las
máquinas virtuales se están ejecutando a su máxima capacidad y la CPU se consume por completo. Sin embargo, no se están implementando VM
adicionales en el conjunto de escalado. Debe asegurarse de que se implementen máquinas virtuales adicionales cuando la CPU se consume en un 75%.
Pregunta de repaso 6
Su empresa se está preparando para implementar una aplicación en Microsoft Azure. La aplicación es una unidad autónoma que se
ejecuta de forma independiente en varios servidores. La empresa está trasladando la aplicación a la nube para ofrecer un mejor
rendimiento. Para obtener un mejor rendimiento, el equipo tiene los siguientes requisitos:
● Si la CPU en los servidores supera el 85%, se debe implementar una nueva máquina virtual para proporcionar recursos
adicionales.
● Si la CPU en los servidores cae por debajo del 15%, una máquina virtual de Azure que ejecuta la aplicación debe retirarse para
reducir los costos.
Debe implementar una solución para cumplir con los requisitos y, al mismo tiempo, minimizar la sobrecarga administrativa para
implementar y administrar la solución. ¿Qué deberías hacer? Seleccione uno.
Pregunta de repaso 7
Su empresa está implementando una aplicación empresarial crítica en Microsoft Azure. El tiempo de actividad de la
aplicación es de suma importancia. La aplicación tiene los siguientes componentes:
● 2 servidores web
● 2 servidores de aplicaciones
Debe diseñar el diseño de las máquinas virtuales para cumplir con los siguientes requisitos:
Debe implementar las máquinas virtuales para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
?? Implemente 1 VM de cada nivel en un conjunto de disponibilidad y las VM restantes en un conjunto de disponibilidad independiente.
?? Implemente las máquinas virtuales de la aplicación y la base de datos en un conjunto de disponibilidad y las máquinas virtuales web en un conjunto de
disponibilidad independiente.
?? Implemente un equilibrador de carga para las máquinas virtuales web y un conjunto de disponibilidad para contener las máquinas virtuales de la aplicación y la
base de datos.
Pregunta de repaso 8
Su organización tiene una política de seguridad que prohíbe exponer los puertos SSH al mundo exterior. Debe conectarse
a una máquina virtual de Azure Linux para instalar el software. ¿Qué deberías hacer? Seleccione uno.
?? Trabaje sin conexión y luego vuelva a crear una imagen de la máquina virtual.
Estudio adicional
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. Puede buscar módulos adicionales por producto, función o nivel.
9 https://docs.microsoft.com/en-us/learn/modules/build-app-with-scale-sets/
10 https://docs.microsoft.com/en-us/learn/modules/deploy-vms-from-vhd-templates/
11 https://docs.microsoft.com/en-us/learn/modules/choose-the-right-disk-storage-for-vm-workload/
12 https://docs.microsoft.com/en-us/learn/modules/add-and-size-disks-in-azure-virtual-machines/
13 https://docs.microsoft.com/en-us/learn/modules/protect-vm-settings-with-dsc/
262 Módulo 8 Máquinas virtuales de Azure
Respuestas
Pregunta de repaso 1
Aloja un servicio con dos máquinas virtuales de Azure. Descubre que las interrupciones ocasionales hacen que su
servicio falle. ¿Qué dos acciones puede hacer para minimizar el impacto de las interrupciones? Seleccione dos.
Explicación
Para minimizar el impacto, coloque las máquinas virtuales en un conjunto de disponibilidad y agregue un equilibrador de carga.
Pregunta de repaso 2
Está investigando Microsoft Azure para su empresa. La empresa está considerando implementar máquinas virtuales basadas en
Windows en Azure. Sin embargo, antes de seguir adelante, el equipo de administración le ha pedido que investigue los costos
asociados con las máquinas virtuales de Azure. Debe documentar las opciones de configuración que probablemente le ahorrarán
dinero a la empresa en sus máquinas virtuales de Azure. ¿Qué opciones debería documentar? (Cada respuesta presenta parte de la
solución. Seleccione cuatro.
■ Utilice las máquinas virtuales menos potentes que satisfagan sus requisitos. Coloque todas
Explicación
En este escenario, debe documentar cuáles de las opciones presentadas pueden ahorrarle dinero a la empresa para sus máquinas
virtuales de Azure. Si bien esta no es una lista exhaustiva, las opciones de configuración correctas para ahorrar dinero son: Use
HDD en lugar de SSD, use diferentes regiones de Azure, use las VM menos potentes que cumplan con sus requisitos y traiga su
propia licencia de Windows (en lugar de pagar por una licencia con la VM). Las otras opciones generalmente aumentan el costo.
Preguntas de laboratorio y repaso del módulo 08 263
Pregunta de repaso 3
Tiene previsto implementar varias máquinas virtuales Linux en Azure. El equipo de seguridad emite una política de que las máquinas virtuales
Linux deben usar un sistema de autenticación que no sea contraseñas. Debe implementar un método de autenticación para que las máquinas
virtuales de Linux cumplan con el requisito. ¿Qué método de autenticación debería utilizar? Seleccione uno.
?? Claves de acceso
Explicación
Azure admite dos métodos de autenticación para máquinas virtuales Linux: contraseñas y SSH (a través de un par de claves SSH). Las claves de acceso
y las firmas de acceso compartido son métodos de acceso para el almacenamiento de Azure, no para las máquinas virtuales de Azure. En este
escenario, debe utilizar un par de claves SSH para cumplir con el requisito.
Pregunta de repaso 4
Su empresa tiene máquinas virtuales Windows Server 2012 R2 y máquinas virtuales Ubuntu Linux en Microsoft Azure. La empresa
tiene un nuevo proyecto para estandarizar la configuración de servidores en el entorno de Azure. La empresa opta por utilizar la
configuración de estado deseado (DSC) en todas las máquinas virtuales. Debe asegurarse de que DSC se pueda utilizar en todas las
máquinas virtuales. ¿Qué dos cosas deberías hacer? Seleccione dos.
?? Reemplace las máquinas virtuales de Windows Server 2012 R2 por máquinas virtuales de Windows Server 2016.
Explicación
La configuración de estado deseado (DSC) está disponible para máquinas virtuales basadas en Windows Server y Linux. En este
escenario, solo necesita implementar las extensiones en las VM existentes para comenzar a usar DSC.
Pregunta de repaso 5
Otro administrador de TI crea un conjunto de escalado de máquinas virtuales de Azure con 5 máquinas virtuales. Más tarde, observará que todas las
máquinas virtuales se están ejecutando a su máxima capacidad y la CPU se consume por completo. Sin embargo, no se están implementando VM
adicionales en el conjunto de escalado. Debe asegurarse de que se implementen máquinas virtuales adicionales cuando la CPU se consume en un 75%.
Explicación
Cuando tiene una escala configurada, puede habilitar la escala automática con la opción de escala automática. Cuando habilita la opción,
define los parámetros para cuando escalar. Para cumplir con los requisitos de este escenario, debe habilitar la opción de autoescala para
que se creen máquinas virtuales adicionales cuando la CPU se consume en un 75%. Tenga en cuenta que el script de automatización se
usa para automatizar la implementación de conjuntos de escalado y no está relacionado con la automatización de la construcción de VM
adicionales en el conjunto de escalado.
264 Módulo 8 Máquinas virtuales de Azure
Pregunta de repaso 6
Su empresa se está preparando para implementar una aplicación en Microsoft Azure. La aplicación es una unidad autónoma que se
ejecuta de forma independiente en varios servidores. La empresa está trasladando la aplicación a la nube para ofrecer un mejor
rendimiento. Para obtener un mejor rendimiento, el equipo tiene los siguientes requisitos:
Debe implementar una solución para cumplir con los requisitos y, al mismo tiempo, minimizar la sobrecarga administrativa para
implementar y administrar la solución. ¿Qué deberías hacer? Seleccione uno.
■ Implementar
virtuales. la aplicación en un conjunto de escalado de máquinas
Explicación
En este escenario, debe usar un conjunto de escalado para las máquinas virtuales. Los conjuntos de escalado se pueden escalar hacia arriba o hacia abajo, en
función de criterios definidos (como el conjunto existente de máquinas virtuales que utilizan un gran porcentaje de la CPU disponible). Esto cumple con los
Pregunta de repaso 7
Su empresa está implementando una aplicación empresarial crítica en Microsoft Azure. El tiempo de actividad de la
aplicación es de suma importancia. La aplicación tiene los siguientes componentes:
Debe diseñar el diseño de las máquinas virtuales para cumplir con los siguientes requisitos:
Debe implementar las máquinas virtuales para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
?? Implemente 1 VM de cada nivel en un conjunto de disponibilidad y las VM restantes en un conjunto de disponibilidad independiente.
?? Implemente las máquinas virtuales de la aplicación y la base de datos en un conjunto de disponibilidad y las máquinas virtuales web en un conjunto de
disponibilidad independiente.
?? Implemente un equilibrador de carga para las máquinas virtuales web y un conjunto de disponibilidad para contener las máquinas virtuales de la aplicación y la
base de datos.
Explicación
Un conjunto de disponibilidad debe mantener las VM en el mismo nivel porque eso asegura que las VM no dependan del mismo hardware
físico. Si implementa máquinas virtuales en un solo nivel en varios conjuntos de disponibilidad, existe la posibilidad de que un nivel deje de
estar disponible debido a un problema de hardware. En este escenario, cada nivel debe tener un conjunto de disponibilidad dedicado
(conjunto de disponibilidad web, conjunto de disponibilidad de aplicaciones, conjunto de disponibilidad de base de datos).
Preguntas de laboratorio y repaso del módulo 08 265
Pregunta de repaso 8
Su organización tiene una política de seguridad que prohíbe exponer los puertos SSH al mundo exterior. Debe conectarse a
una máquina virtual de Azure Linux para instalar el software. ¿Qué deberías hacer? Seleccione uno.
?? Trabaje sin conexión y luego vuelva a crear una imagen de la máquina virtual.
Explicación
Configure el servicio Bastion. El servicio Azure Bastion es un nuevo servicio PaaS totalmente administrado por la plataforma que
usted proporciona dentro de su red virtual. Proporciona conectividad RDP y SSH segura y sin problemas a sus máquinas virtuales
directamente en el portal de Azure a través de SSL. Cuando se conecta a través de Azure Bastion, sus máquinas virtuales no
necesitan una dirección IP pública.
Bastion proporciona conectividad RDP y SSH segura a todas las máquinas virtuales en la red virtual en la que está
provisto. El uso de Azure Bastion protege sus máquinas virtuales de exponer los puertos RDP y SSH al mundo exterior y, al
mismo tiempo, proporciona un acceso seguro mediante RDP y SSH. Con Azure Bastion, se conecta a la máquina virtual
directamente desde Azure Portal. No necesita un cliente, agente o software adicional.
Módulo 9 Computación sin servidor
que se ejecute una aplicación web. Estos recursos informáticos son análogos a la granja de servidores en el alojamiento web convencional. Se
pueden configurar una o más aplicaciones para que se ejecuten en los mismos recursos informáticos (o en el mismo plan de App Service).
Cuando crea un plan de App Service en una región determinada (por ejemplo, Europa occidental), se crea un conjunto de recursos
informáticos para ese plan en esa región. Las aplicaciones que coloque en este plan de App Service se ejecutan en estos recursos
informáticos según lo definido por su plan de App Service. Cada plan de App Service define:
● Cantidad de instancias de VM
Cuando crea una aplicación en App Service, se coloca en un plan de App Service. Cuando la aplicación se ejecuta, se ejecuta en todas las
instancias de VM configuradas en el plan de App Service. Si varias aplicaciones están en el mismo plan de App Service, todas comparten las
mismas instancias de VM. Si tiene varias ranuras de implementación para una aplicación, todas las ranuras de implementación también se
ejecutan en las mismas instancias de VM. Si habilita los registros de diagnóstico, realiza copias de seguridad o ejecuta WebJobs, también usan
De esta manera, el plan de App Service es la unidad de escala de las aplicaciones de App Service. Si el plan está configurado para ejecutar cinco
instancias de VM, todas las aplicaciones del plan se ejecutan en las cinco instancias. Si el plan está configurado para la escala automática, todas
las aplicaciones del plan se escalan juntas en función de la configuración de escala automática.
268 Módulo 9 Computación sin servidor
Consideraciones
Dado que paga por los recursos informáticos que asigna su plan de App Service, puede ahorrar dinero si coloca varias
aplicaciones en un plan de App Service. Puede continuar agregando aplicaciones a un plan existente siempre que el plan
tenga suficientes recursos para manejar la carga. Sin embargo, tenga en cuenta que todas las aplicaciones del mismo plan de
App Service comparten los mismos recursos informáticos. Para determinar si la nueva aplicación tiene los recursos
necesarios, debe comprender la capacidad del plan de App Service existente y la carga esperada para la nueva aplicación. La
sobrecarga de un plan de App Service puede causar tiempo de inactividad para sus aplicaciones nuevas y existentes. Aísle su
aplicación en un nuevo plan de App Service cuando:
Uso dev / prueba dev / prueba dedicado producción mejorado alto rendimiento
El nivel de precios de un plan de App Service determina qué funciones de App Service obtiene y cuánto paga
por el plan. Hay algunas categorías de niveles de precios:
● Gratis y Compartido. Los planes de servicio gratuito y compartido son niveles base que se ejecutan en las mismas máquinas virtuales
de Azure que otras aplicaciones. Algunas aplicaciones pueden pertenecer a otros clientes. Estos niveles están destinados a ser utilizados
solo con fines de desarrollo y prueba. No se proporciona ningún SLA para los planes de servicios gratuitos y compartidos. Los planes
● Básico. El plan de servicio básico está diseñado para aplicaciones que tienen menores requisitos de tráfico y no necesitan
funciones avanzadas de gestión de tráfico y escalado automático. El precio se basa en el tamaño y la cantidad de instancias que
ejecuta. El soporte de equilibrio de carga de red integrado distribuye automáticamente el tráfico entre las instancias. El plan de
servicio básico con entornos de ejecución de Linux es compatible con la aplicación web para contenedores.
● Estándar. El plan de servicio estándar está diseñado para ejecutar cargas de trabajo de producción. El precio se basa en el
tamaño y la cantidad de instancias que ejecuta. El soporte de equilibrio de carga de red integrado distribuye automáticamente el
tráfico entre las instancias. El plan Estándar incluye escalado automático que puede ajustar automáticamente la cantidad de
instancias de máquinas virtuales en ejecución para satisfacer sus necesidades de tráfico. El plan de servicio estándar con entornos
de ejecución de Linux es compatible con la aplicación web para contenedores.
1 https://docs.microsoft.com/en-us/azure/app-service/overview-hosting-plans
Planes de Azure App Service 269
● Prima. El plan de servicio Premium está diseñado para proporcionar un rendimiento mejorado para las aplicaciones de producción. El
plan Premium actualizado, Premium v2, incluye máquinas virtuales de la serie Dv2 con procesadores más rápidos, almacenamiento SSD y
una relación doble de memoria a núcleo en comparación con el estándar. El nuevo plan Premium también admite una mayor escala
mediante un mayor recuento de instancias y, al mismo tiempo, brinda todas las capacidades avanzadas que se encuentran en el plan
Estándar. La primera generación del plan Premium todavía está disponible para las necesidades de escalado de los clientes existentes.
● Aislado. El plan de servicio aislado está diseñado para ejecutar cargas de trabajo de misión crítica, que deben ejecutarse en
una red virtual. El plan aislado permite a los clientes ejecutar sus aplicaciones en un entorno privado y dedicado en un centro
de datos de Azure utilizando máquinas virtuales de la serie Dv2 con procesadores más rápidos, almacenamiento SSD y el doble
de la relación de memoria a núcleo en comparación con el estándar. El entorno privado que se utiliza con un plan aislado se
denomina entorno de servicio de aplicaciones. El plan puede escalar a 100 instancias y hay más disponibles a pedido.
Aumentar proporcionalmente. Obtenga más CPU, memoria, espacio en disco y funciones adicionales como máquinas virtuales dedicadas
(VM), dominios y certificados personalizados, ranuras de prueba, ajuste de escala automático y más. Puedes escalar cambiando el nivel de
Poner a escala: Aumente la cantidad de instancias de VM que ejecutan su aplicación. Puede escalar horizontalmente hasta 30
instancias, según su nivel de precios. Los entornos de servicio de aplicaciones en el nivel aislado aumentan aún más su recuento de
escalabilidad horizontal a 100 instancias. El recuento de instancias de escala se puede configurar de forma manual o automática
(escala automática). Autoscale se basa en reglas y programas predefinidos.
Por ejemplo, puede comenzar a probar su aplicación web en un plan de servicio de aplicaciones gratuito y no pagar nada. Cuando
desee agregar su nombre DNS personalizado a la aplicación web, simplemente escale su plan al nivel compartido. Más tarde, cuando
desee crear un enlace SSL, escale su plan al nivel Básico. Cuando desee tener entornos de ensayo, escale al nivel Estándar. Cuando
necesite más núcleos, memoria o almacenamiento, escale a un tamaño de máquina virtual más grande en el mismo nivel.
Lo mismo funciona a la inversa. Cuando sienta que ya no necesita las capacidades o características de un nivel superior,
puede escalar a un nivel inferior, lo que le permite ahorrar dinero.
2 https://azure.microsoft.com/en-us/pricing/details/app-service/windows/
270 Módulo 9 Computación sin servidor
Otras Consideraciones
● La configuración de la báscula tarda solo unos segundos en aplicarse y afecta a todas las aplicaciones de su plan de App Service.
No requieren que cambie su código o vuelva a implementar su aplicación.
● Si su aplicación depende de otros servicios, como Azure SQL Database o Azure Storage, puede escalar estos
recursos por separado. Estos recursos no los administra el plan de App Service.
Las reglas incluyen un disparador y una acción de escala (hacia arriba o hacia abajo). El disparador puede estar basado en métricas o en tiempo.
● Basado en métricas. Las reglas basadas en métricas miden la carga de la aplicación y agregan o eliminan máquinas virtuales en función de esa
carga. Por ejemplo, realice esta acción cuando el uso de la CPU sea superior al 50%. Algunos ejemplos de métricas son el tiempo de CPU, el tiempo
● Basado en el tiempo. Las reglas basadas en el tiempo (basadas en el cronograma) le permiten escalar cuando ve patrones de tiempo en su
carga y desea escalar antes de que ocurra un posible aumento o disminución de la carga. Por ejemplo, active un webhook cada 8 a. M. Los
Consideraciones
● Tener un recuento mínimo de instancias asegura que su aplicación siempre se esté ejecutando incluso sin carga.
● Tener un recuento máximo de instancias limita el costo total por hora posible.
● Puede escalar automáticamente entre el mínimo y el máximo utilizando las reglas que cree.
● Asegúrese de que los valores máximo y mínimo sean diferentes y tengan un margen adecuado entre ellos.
● Utilice siempre una combinación de reglas de escalamiento horizontal y vertical que realice un aumento y una disminución.
● Elija la estadística adecuada para su métrica de diagnóstico (promedio, mínimo, máximo y total).
Planes de Azure App Service 271
● Seleccione siempre un recuento de instancias predeterminado seguro. El recuento de instancias predeterminado es importante porque la escala
automática escala su servicio a ese recuento cuando las métricas no están disponibles.
satisfacción de los criterios de uno de los perfiles de la configuración de escala automática. Autoscale puede notificar una o más direcciones de correo
Configuración Valor
Suscripción Elija su suscripción
Grupo de recursos myRGAppServices ( crear nuevo)
Nombre AppServicePlan1
Sistema operativo Ventanas
Región Este de EE. UU.
3. Tenga en cuenta que hay tres niveles: Desarrollo / Prueba, Producción, y Aislado.
3. Tenga en cuenta que puede especificar un recuento de instancias dependiendo de la selección del plan de App Service.
5. Observe dos modos de escala: Escala basada en una métrica y Escale a un recuento de instancias específico.
3 http://portal.azure.com/
272 Módulo 9 Computación sin servidor
Nota: Esta regla agregará una instancia cuando los porcentajes de CPU sean superiores al 80% durante 10 minutos.
Configuración Valor
Agregación de tiempo Promedio
Umbral 80
Duración 10 minutos
Operación Aumentar el recuento en
Recuento de instancias 1
Enfriarse 5 minutos
9. Tenga en cuenta que puede agregar un Calendario y Especificar fechas de inicio / finalización y Repite días específicos.
10. ¿Ves cómo puedes crear diferentes planes de App Service para tus aplicaciones?
Servicios de aplicaciones de Azure 273
● Optimización de DevOps. Configure la integración e implementación continuas con Azure DevOps, GitHub,
BitBucket, Docker Hub o Azure Container Registry. Promueva las actualizaciones a través de entornos de prueba y
preparación. Administre sus aplicaciones en App Service mediante Azure PowerShell o la interfaz de línea de
comandos (CLI) multiplataforma.
● Escala global con alta disponibilidad. Escale hacia arriba o hacia afuera de forma manual o automática. Aloje sus aplicaciones en
cualquier lugar de la infraestructura del centro de datos global de Microsoft, y App Service SLA promete alta disponibilidad.
● Conexiones a plataformas SaaS y datos locales. Elija entre más de 50 conectores para sistemas
empresariales (como SAP), servicios SaaS (como Salesforce) y servicios de Internet (como Facebook).
Acceda a datos locales mediante conexiones híbridas y redes virtuales de Azure.
● Seguridad y cumplimiento. App Service es compatible con ISO, SOC y PCI. Autentique a los usuarios con Azure Active
Directory o con inicio de sesión social (Google, Facebook, Twitter y Microsoft). Cree restricciones de direcciones IP y
administre identidades de servicio.
● Plantillas de aplicación. Elija entre una extensa lista de plantillas de aplicaciones en Azure Market, como
WordPress, Joomla y Drupal.
● Integración con Visual Studio. Las herramientas dedicadas de Visual Studio agilizan el trabajo de creación,
implementación y depuración.
● API y funciones móviles. App Service proporciona soporte CORS llave en mano para escenarios de API RESTful y simplifica los
escenarios de aplicaciones móviles al permitir la autenticación, sincronización de datos fuera de línea, notificaciones push y más.
● Código sin servidor. Ejecute un fragmento de código o un script a pedido sin tener que aprovisionar o administrar
explícitamente la infraestructura y pagar solo por el tiempo de cómputo que realmente usa su código.
274 Módulo 9 Computación sin servidor
● Nombre. El nombre debe ser único y se utilizará para ubicar su aplicación. Por ejemplo, webappces1.
azurewebsites.net. Puede asignar un nombre de dominio personalizado, si prefiere usarlo en su lugar.
● Pila de tiempo de ejecución. La pila de software para ejecutar la aplicación, incluido el idioma y las versiones del SDK. Para las aplicaciones
de Linux y las aplicaciones de contenedor personalizadas, también puede configurar un comando o archivo de inicio opcional. Las opciones
incluyen: .NET Core, .NET Framework, Node.js, PHP, Python y Ruby. Hay varias versiones de cada uno disponibles.
Configuraciones de la aplicación
Una vez que se crea el servicio de la aplicación, hay información de configuración adicional disponible.
Ciertos ajustes de configuración pueden incluirse en el código del desarrollador o configurarse en el servicio de la aplicación. Aquí hay
algunas configuraciones interesantes.
● Siempre encendido. Mantenga la aplicación cargada incluso cuando no haya tráfico. Es necesario para WebJobs continuos o para
WebJobs que se activan mediante una expresión CRON.
● Afinidad ARR. En una implementación de varias instancias, asegúrese de que el cliente esté enrutado a la misma instancia durante la
duración de la sesión. Puede configurar esta opción en Desactivado para aplicaciones sin estado,
4 https://docs.microsoft.com/en-us/azure/app-service/overview
Servicios de aplicaciones de Azure 275
● Cadenas de conexión. Las cadenas de conexión se cifran en reposo y se transmiten a través de un canal
cifrado.
Despliegue continuo
Azure Portal proporciona integración e implementación continuas listas para usar con Azure DevOps, GitHub, Bitbucket, FTP
o un repositorio local de Git en su máquina de desarrollo. Conecte su aplicación web con cualquiera de las fuentes anteriores
y App Service hará el resto por usted sincronizando automáticamente el código y cualquier cambio futuro en el código en la
aplicación web. Además, con Azure DevOps, puede definir su propio proceso de creación y lanzamiento que compila su
código fuente, ejecuta las pruebas, crea un lanzamiento y finalmente implementa el lanzamiento en su aplicación web cada
vez que confirma el código. Todo eso sucede implícitamente sin necesidad de intervenir.
Despliegue automatizado
La implementación automatizada, o integración continua, es un proceso que se utiliza para implementar nuevas funciones y
corregir errores en un patrón rápido y repetitivo con un impacto mínimo en los usuarios finales. Azure admite la implementación
automatizada directamente desde varias fuentes. Las siguientes opciones están disponibles:
● Azure DevOps: Puede enviar su código a Azure DevOps (anteriormente conocido como Visual Studio Team Services),
crear su código en la nube, ejecutar las pruebas, generar una versión del código y, finalmente, enviar su código a una
aplicación web de Azure.
● GitHub: Azure admite la implementación automatizada directamente desde GitHub. Cuando conecte su repositorio de
GitHub a Azure para la implementación automatizada, cualquier cambio que envíe a su rama de producción en GitHub se
implementará automáticamente para usted.
● Bitbucket: Con sus similitudes con GitHub, puede configurar una implementación automatizada con Bitbucket.
Despliegue manual
Hay algunas opciones que puede usar para enviar manualmente su código a Azure:
● Git: Las aplicaciones web de App Service cuentan con una URL de Git que puede agregar como un repositorio remoto. Al enviarlo al
● CLI: webapp arriba es una característica de la Arizona interfaz de línea de comandos que empaqueta su aplicación y la
implementa. A diferencia de otros métodos de implementación, az webapp up puede crear una nueva aplicación web de App
Service si aún no la ha creado.
● Zipdeploy: Utilice curl o una utilidad HTTP similar para enviar un ZIP de los archivos de su aplicación a App Service.
● Estudio visual: Visual Studio cuenta con un asistente de implementación de App Service que puede guiarlo a través del
proceso de implementación.
● FTP / S: FTP o FTPS es una forma tradicional de enviar su código a muchos entornos de alojamiento, incluido App
Service.
Ranuras de implementación
Cuando implementa su aplicación web, aplicación web en Linux, back-end móvil o aplicación API en Azure App Service, puede usar una
ranura de implementación separada en lugar de la ranura de producción predeterminada cuando se ejecuta en el
Estándar, Premium, o Aislado Nivel del plan de App Service. Las ranuras de implementación son aplicaciones en vivo con sus propios
nombres de host. El contenido de la aplicación y los elementos de configuración se pueden intercambiar entre dos ranuras de
implementación, incluida la ranura de producción.
● Puede validar los cambios de la aplicación en una ranura de implementación provisional antes de intercambiarla con la ranura de producción.
● La implementación de una aplicación en una ranura primero y su intercambio en producción asegura que todas las instancias
de la ranura se calienten antes de cambiarse a producción. Esto elimina el tiempo de inactividad cuando implementa su
aplicación. La redirección del tráfico es perfecta y no se descartan solicitudes debido a operaciones de intercambio. Todo este
flujo de trabajo se puede automatizar configurando Auto Swap cuando no se necesita la validación previa al intercambio.
● Después de un intercambio, la tragamonedas con la aplicación preparada anteriormente ahora tiene la aplicación de producción anterior.
Si los cambios intercambiados en la ranura de producción no son los esperados, puede realizar el mismo intercambio inmediatamente para
El intercambio automático optimiza los escenarios de Azure DevOps en los que desea implementar su aplicación de forma continua sin
arranques en frío ni tiempo de inactividad para los clientes de la aplicación. Cuando se habilita el intercambio automático de una ranura a
producción, cada vez que inserta los cambios de código en esa ranura, App Service cambia automáticamente la aplicación a producción después
de que se haya calentado en la ranura de origen. Actualmente, el intercambio automático no es compatible con aplicaciones web en Linux.
Servicios de aplicaciones de Azure 277
✔ Cada modo de plan de App Service admite una cantidad diferente de ranuras de
Las nuevas ranuras de implementación pueden estar vacías o clonadas. Cuando clona una configuración de otra ranura de implementación, la
configuración clonada es editable. Algunos elementos de configuración siguen el contenido a través de un intercambio (no específico de la ranura),
mientras que otros elementos de configuración permanecen en la misma ranura después de un intercambio (específico de la ranura). La configuración de
● Configuración general, como la versión del marco, 32/64 bits, configuración de la aplicación de
● sockets web (se puede configurar para que se adhiera a una ranura)
● Cadenas de conexión (se pueden configurar para que se adhieran a una ranura)
● Asignaciones de manejadores
● Certificados públicos
● Contenido de WebJobs
● Conexiones híbridas *
Está previsto que las funciones marcadas con un asterisco (*) no se cambien.
● Configuración de escala
● Programadores de WebJobs
5 https://docs.microsoft.com/en-us/azure/app-service/web-sites-staged-publishing?toc=%2Fazure%2Fapp-service%2Ftoc.json
278 Módulo 9 Computación sin servidor
● Restricciones de IP
● Siempre encendido
Nota: No es necesario que utilice App Service para la autenticación y autorización. Muchos marcos web vienen
con funciones de seguridad y puede usarlos si lo desea.
Cómo funciona
El módulo de autenticación y autorización se ejecuta en el mismo espacio aislado que el código de su aplicación. Cuando
está habilitado, cada solicitud HTTP entrante pasa a través de él antes de ser manejado por su código de aplicación. Este
módulo maneja varias cosas para su aplicación:
El módulo se ejecuta por separado del código de su aplicación y se configura mediante la configuración de la aplicación. No se
requieren SDK, idiomas específicos o cambios en el código de su aplicación.
Comportamiento de autorización
En Azure Portal, puede configurar la autorización de App Service con varios comportamientos:
1. Permitir solicitudes anónimas (sin acción): Esta opción difiere la autorización del tráfico no autenticado.
a su código de aplicación. Para las solicitudes autenticadas, App Service también transmite información de
autenticación en los encabezados HTTP. Esta opción proporciona más flexibilidad en el manejo de solicitudes
anónimas. Le permite presentar varios proveedores de inicio de sesión a sus usuarios.
Servicios de aplicaciones de Azure 279
2. Permitir solo solicitudes autenticadas: La opcion es Inicie sesión con <proveedor>. App Service redirige a todos
solicitudes anónimas a /. auth / login / <proveedor> para el proveedor que elija. Si la solicitud anónima proviene
de una aplicación móvil nativa, la respuesta devuelta es una HTTP 401 no autorizado. Con esta opción, no es
necesario que escriba ningún código de autenticación en su aplicación.
Precaución: Restringir el acceso de esta manera se aplica a todas las llamadas a su aplicación, lo que puede no ser deseable para las aplicaciones que
desean una página de inicio disponible públicamente, como en muchas aplicaciones de una sola página.
Registro y seguimiento
Si habilita el registro de aplicaciones, verá rastros de autenticación y autorización directamente en sus archivos de registro. Si
ve un error de autenticación que no esperaba, puede encontrar convenientemente todos los detalles en los registros de su
aplicación existente. Si habilita el seguimiento de solicitudes fallidas, puede ver exactamente qué papel puede haber jugado
el módulo de autenticación y autorización en una solicitud fallida. En los registros de seguimiento, busque referencias a un
módulo llamado EasyAuthModule_32 / 64.
Pasos de configuración
1. Reserve su nombre de dominio. Si aún no se ha registrado para un nombre de dominio externo (es decir, no
*. azurewebsites.net), la forma más sencilla de configurar un dominio personalizado es comprar uno directamente en
Azure Portal. El proceso le permite administrar el nombre de dominio de su aplicación web directamente en el Portal
en lugar de ir a un sitio de terceros para administrarlo. Asimismo, la configuración del nombre de dominio en su
aplicación web se simplifica enormemente. Si no utiliza el portal, puede utilizar cualquier registrador de dominios.
Cuando se registre, su sitio lo guiará a través del proceso.
2. Cree registros DNS que asignen el dominio a su aplicación web de Azure. El sistema de nombres de dominio (DNS)
utiliza registros de datos para asignar nombres de dominio a direcciones IP. Hay varios tipos de registros DNS. Para las
aplicaciones web, creará un registro A o un registro CNAME. Si la dirección IP cambia, una entrada CNAME sigue siendo
válida, mientras que un registro A debe actualizarse. Sin embargo, algunos registradores de dominios no permiten
registros CNAME para el dominio raíz o para dominios comodín. En ese caso, debe utilizar un registro A.
● Un registro CNAME (nombre canónico) asigna un nombre de dominio a otro nombre de dominio. DNS usa el
segundo nombre para buscar la dirección. Los usuarios aún ven el primer nombre de dominio en su navegador. Por
ejemplo, puede asignar contoso.com a yourwebapp.azurewebsites.net.
3. Habilite el dominio personalizado. Después de obtener su dominio y crear su registro DNS, puede usar
el portal para validar el dominio personalizado y agregarlo a su aplicación web. Asegúrese de probar.
✔ Para asignar un nombre DNS personalizado a una aplicación web, el plan de App Service de la aplicación web debe ser un nivel de pago.
manual o programada. Puede configurar las copias de seguridad para que se retengan hasta un período de tiempo indefinido. Puede restaurar
la aplicación a una instantánea de un estado anterior sobrescribiendo la aplicación existente o restaurando a otra aplicación.
Lo que se respalda
App Service puede realizar una copia de seguridad de la siguiente información en un contenedor y una cuenta de almacenamiento de Azure para los que
● Configuración de la aplicación.
● Base de datos conectada a su aplicación (Base de datos SQL, Base de datos Azure para MySQL, Base de datos Azure para
Consideraciones
● La función Copia de seguridad y restauración requiere que el plan de App Service esté en el nivel Estándar o Premium.
Servicios de aplicaciones de Azure 281
● Necesita una cuenta de almacenamiento de Azure y un contenedor en la misma suscripción que la aplicación de la que desea realizar una
copia de seguridad. Una vez que haya realizado una o más copias de seguridad para su aplicación, las copias de seguridad estarán visibles
en la página Contenedores de su cuenta de almacenamiento y su aplicación. En la cuenta de almacenamiento, cada copia de seguridad
consta de un archivo .zip que contiene los datos de la copia de seguridad y un archivo .xml que contiene un manifiesto del contenido del
archivo .zip. Puede descomprimir y explorar estos archivos si desea acceder a sus copias de seguridad sin realizar una restauración de la
aplicación.
● Las copias de seguridad completas son las predeterminadas. Cuando se restaura una copia de seguridad completa, todo el contenido del sitio se reemplaza
con lo que esté en la copia de seguridad. Si un archivo está en el sitio, pero no en la copia de seguridad, se elimina.
● Se admiten copias de seguridad parciales. Las copias de seguridad parciales le permiten elegir exactamente qué archivos desea respaldar. Cuando se
restaura una copia de seguridad parcial, cualquier contenido que se encuentre en uno de los directorios de la lista negra, o cualquier archivo de la lista
negra, se deja como está. Restaura las copias de seguridad parciales de su sitio de la misma manera que restauraría una copia de seguridad regular.
● Puede excluir archivos y carpetas que no desee en la copia de seguridad. Las copias de
● No se admite el uso de una cuenta de almacenamiento habilitada con firewall como destino para sus copias de seguridad.
Perspectivas de la aplicación
Application Insights, una función de Azure Monitor, supervisa sus aplicaciones en vivo. Detectará automáticamente
anomalías en el rendimiento e incluye potentes herramientas de análisis para ayudarlo a diagnosticar problemas y
comprender lo que los usuarios hacen realmente con su aplicación. Está diseñado para ayudarlo a mejorar continuamente el
rendimiento y la usabilidad. Funciona para aplicaciones en una amplia variedad de plataformas, incluidas .NET, Node.js y Java
EE, alojadas en las instalaciones, híbridas o en cualquier nube pública. Se integra con su proceso DevOps y tiene puntos de
conexión a una variedad de herramientas de desarrollo. Puede monitorear y analizar la telemetría desde aplicaciones
móviles al integrarse con Visual Studio App Center.
282 Módulo 9 Computación sin servidor
● Tasas de solicitudes, tiempos de respuesta y tasas de fallas: Descubra qué páginas son más populares, a qué horas
del día y dónde se encuentran sus usuarios. Vea qué páginas funcionan mejor. Si sus tiempos de respuesta y las tasas
de fallas aumentan cuando hay más solicitudes, entonces quizás tenga un problema de recursos.
● Tasas de dependencia, tiempos de respuesta y tasas de falla: Descubra si los servicios externos lo
están frenando.
● Excepciones - Analice las estadísticas agregadas o elija instancias específicas y profundice en el seguimiento de la pila y las solicitudes
relacionadas. Se informan las excepciones tanto del servidor como del navegador.
● Vistas de página y rendimiento de carga: informado por los navegadores de sus usuarios.
● Contadores de rendimiento desde sus máquinas servidor Windows o Linux, como CPU, memoria y
uso de la red.
● Registros de seguimiento de diagnóstico desde su aplicación, para que pueda correlacionar los eventos de seguimiento con las solicitudes.
● Eventos y métricas personalizados que escribe usted mismo en el código del cliente o del servidor, para realizar un seguimiento de los
Azure App Service es en realidad una colección de cuatro servicios, todos los cuales están diseñados para ayudarlo a hospedar y
ejecutar aplicaciones web. Los cuatro servicios (aplicaciones web, aplicaciones móviles, aplicaciones API y aplicaciones lógicas) se
ven diferentes, pero al final todos operan de manera muy similar. Las aplicaciones web son los más utilizados de los cuatro
servicios, y este es el servicio que usaremos en esta práctica de laboratorio.
2. Desde el Todos los servicios hoja, busque y seleccione Servicios de aplicaciones, y haga clic en + Agregar
3. En el Lo esencial pestaña de la Aplicación Web hoja, especifique los siguientes ajustes (reemplace xxxx en el nombre de
la aplicación web con letras y dígitos de modo que el nombre sea único a nivel mundial). Deje los valores predeterminados para
Configuración Valor
Suscripción Elija su suscripción
Grupo de recursos myRGWebApp1 ( crear nuevo)
Nombre myLinuxWebAppxxxx ( único)
6 https://docs.microsoft.com/en-us/azure/azure-monitor/app/app-insights-overview
7 http://portal.azure.com/
Servicios de aplicaciones de Azure 283
Configuración Valor
Publicar Contenedor Docker
Sistema operativo Linux
Región Este de EE. UU. ( ignore las advertencias de disponibilidad del plan de
servicio)
4. Haga clic en Siguiente> Docker y configurar la información del contenedor. El comando de inicio es opcional y
no es necesario en este ejercicio.
Configuración Valor
Opciones Contenedor individual
la aplicación web
4. Haga clic en el URL para abrir la nueva pestaña del navegador y mostrar el mensaje "Hello World, App Service!" página.
5. Vuelva a la Descripción general hoja de su aplicación web y tenga en cuenta que incluye varios gráficos. Si usted
Repita el paso 4 varias veces, debería poder ver la telemetría correspondiente que se muestra en los gráficos.
Esto incluye el número de solicitudes y el tiempo medio de respuesta.
Configuración Valor
Nombre DESARROLLO
Clonar la configuración de myLinuxWebAppXXXX
6. Desde el Ranuras de implementación hoja, tome nota de la Nombres su Estado, y el Tráfico % de cada ranura de
implementación.
7. Haga clic en la ranura de implementación recién creada mylinuxwebappXXXX-DEVELOPMENT. Esto te llevará al Descripción
general Blade de la nueva ranura de implementación.
8. Desde el Descripción general hoja de la ranura de despliegue de DESARROLLO, localice el URL entrada.
284 Módulo 9 Computación sin servidor
9. Haga clic en el URL para abrir la nueva pestaña del navegador y mostrar el mensaje "Hello World, App Service!" página.
Nota: El proceso de clonación de la configuración de la aplicación web en la nueva ranura de implementación incluye la clonación de la
10. Haga clic en el X en la esquina superior derecha de la hoja de la ranura de despliegue de DESARROLLO. Esto te devolverá
hacia Ranuras de implementación hoja de la myLinuxWebAppXXXX Aplicación Web.
2. En el Copias de seguridad hoja, haga clic Configure. Esto abrirá el Configuración de respaldo espada.
3. Desde el Configuración de respaldo hoja, debajo Almacenamiento de respaldo, hacer clic Almacenamiento no configurado a
Configuración Valor
Nombre webappxxxxstorage único)
Tipo de cuenta Almacenamiento (uso general v1)
Actuación Estándar
Replicación Almacenamiento con redundancia local (LRS)
7. Sobre el Cuentas de almacenamiento blade, haga clic en la Cuenta de almacenamiento, webappxxxxstorage, que creó en el
paso anterior.
8. Desde el Contenedores hoja, haga clic en + Envase, ingresar copias de seguridad para el nombre del nuevo contenedor y
establezca el Nivel de acceso público a Privado (sin acceso anónimo).
10. Desde el Contenedores hoja, haga clic copias de seguridad, y haga clic en Seleccione para elegir el contenedor recién creado.
11. En el Configuración de respaldo hoja, haga clic En junto a Copia de seguridad programada, y configure lo siguiente
ajustes de ing.
Configuración Valor
Copia de seguridad cada 1 hora
Iniciar la programación de la copia de Configurar hora de inicio personalizada 30
Servicios de contenedores
Sistema operativo Ejecuta la parte del modo de usuario de Ejecuta un sistema operativo completo
un sistema operativo y se puede adaptar que incluye el kernel, por lo que requiere
para contener solo los servicios más recursos del sistema (CPU, memoria
necesarios para su aplicación, utilizando y almacenamiento).
menos recursos del sistema.
para un solo nodo o Azure Files (recursos almacenamiento local para una sola máquina virtual, o
Tolerancia a fallos Si un nodo del clúster falla, el Las máquinas virtuales pueden conmutar por error
● Mayor densidad de carga de trabajo, lo que resulta en una mejor utilización de los recursos.
286 Módulo 9 Computación sin servidor
Característica Descripción
Tiempos de inicio rápidos Los contenedores pueden iniciarse en segundos sin la necesidad
de Azure.
host.
host.
Despliegue de red virtual Las instancias de contenedor se pueden implementar en una red
virtual de Azure.
8 https://docs.microsoft.com/en-us/virtualization/windowscontainers/about/containers-vs-vm
Servicios de contenedores 287
Grupos de contenedores
El recurso de nivel superior en Azure Container Instances es el grupo de contenedores. Un grupo de contenedores es una colección
de contenedores que se programan en la misma máquina host. Los contenedores de un grupo de contenedores comparten un ciclo
de vida, recursos, red local y volúmenes de almacenamiento. Es similar en concepto a un pod en Kubernetes.
● Consta de dos contenedores. Un contenedor escucha en el puerto 80, mientras que el otro escucha en el puerto 1433.
● Incluye dos recursos compartidos de archivos de Azure como montajes de volumen y cada contenedor monta uno de los recursos compartidos localmente.
Opciones de implementación
A continuación, se muestran dos formas habituales de implementar un grupo de varios contenedores: utilice una plantilla de
Resource Manager o un archivo YAML. Se recomienda una plantilla de Resource Manager cuando necesite implementar recursos de
servicio de Azure adicionales (por ejemplo, un recurso compartido de Azure Files) al implementar las instancias de contenedor. Debido
a la naturaleza más concisa del formato YAML, se recomienda un archivo YAML cuando su implementación incluye solo instancias de
contenedor.
Asignación de recursos
Azure Container Instances asigna recursos como CPU, memoria y, opcionalmente, GPU a un grupo de contenedores
múltiples agregando las solicitudes de recursos de las instancias en el grupo. Tomando los recursos de la CPU como
ejemplo, si crea un grupo de contenedores con dos instancias de contenedor, cada una de las cuales solicita 1 CPU, al grupo
de contenedores se le asignan 2 CPU.
Redes
Los grupos de contenedores pueden compartir una dirección IP externa, uno o más puertos en esa dirección IP y una
etiqueta DNS con un nombre de dominio completo (FQDN). Para permitir que los clientes externos lleguen a un contenedor
dentro del grupo, debe exponer el puerto en la dirección IP y desde el contenedor. Porque contenedores
288 Módulo 9 Computación sin servidor
dentro del grupo que comparte un espacio de nombres de puerto, no se admite la asignación de puertos. La dirección IP y el FQDN de un
Escenarios comunes
Los grupos de contenedores múltiples son útiles en los casos en los que desea dividir una única tarea funcional en una pequeña
cantidad de imágenes de contenedores. Estas imágenes pueden luego ser entregadas por diferentes equipos y tienen requisitos de
recursos separados. El uso de ejemplo podría incluir:
● Un contenedor que sirve una aplicación web y un contenedor que extrae el contenido más reciente del control de código fuente.
● Un contenedor de aplicación y un contenedor de registro. El contenedor de registro recopila los registros y las métricas de salida
de la aplicación principal y los escribe en el almacenamiento a largo plazo.
● Un contenedor de front-end y un contenedor de back-end. El front-end puede servir una aplicación web, con el
back-end ejecutando un servicio para recuperar datos.
Estibador
Docker es una plataforma que permite a los desarrolladores alojar aplicaciones dentro de un contenedor. Un contenedor
es esencialmente un paquete independiente que contiene todo lo necesario para ejecutar una pieza de software. Esto
significa que incluye cosas como:
● Herramientas de sistema.
● Ajustes.
La plataforma Docker está disponible tanto en Linux como en Windows y se puede alojar en Azure. La clave que ofrece un
Docker es la garantía de que el software en contenedor siempre se ejecutará de la misma manera, independientemente de
si se ejecuta localmente en Windows, Linux o en la nube en Azure. Esto significa, por ejemplo, que el software se puede
desarrollar localmente dentro de un contenedor Docker, compartir con los recursos de QA (Quality Assurance) para realizar
pruebas y luego implementarlo en producción en la nube de Azure. Una vez implementada en Azure Cloud, la aplicación se
puede escalar hacia arriba y hacia abajo fácilmente utilizando Azure Container Instances (ACI).
Servicios de contenedores 289
Terminología de Docker
Debe estar familiarizado con los siguientes términos clave antes de usar Docker y las instancias de contenedor para crear,
compilar y probar contenedores:
● Envase. Esta es una instancia de una imagen de Docker. Representa la ejecución de una sola aplicación, proceso
o servicio. Consiste en el contenido de una imagen de Docker, un entorno de ejecución y un conjunto estándar de
instrucciones. Al escalar un servicio, crea varias instancias de un contenedor a partir de la misma imagen. O un
trabajo por lotes puede crear varios contenedores a partir de la misma imagen, pasando diferentes parámetros a
cada instancia.
● Imagen de contenedor. Esto se refiere a un paquete con todas las dependencias y la información necesaria para crear
un contenedor. Las dependencias incluyen marcos y la configuración de implementación y ejecución que utiliza un
tiempo de ejecución de contenedor. Por lo general, una imagen se deriva de varias imágenes base que son capas
apiladas una encima de la otra para formar el sistema de archivos del contenedor. Una imagen es inmutable una vez
creada.
● Construir. Esto se refiere a la acción de crear una imagen de contenedor basada en la información y el contexto
proporcionados por su Dockerfile, además de archivos adicionales en la carpeta donde se crea la imagen. Puede crear
imágenes mediante el comando docker build de Docker.
● Jalar. Esto se refiere al proceso de descargar una imagen de contenedor desde un registro de contenedor.
● Empujar. Esto se refiere al proceso de cargar una imagen de contenedor en un registro de contenedor.
● Dockerfile. Esto se refiere a un archivo de texto que contiene instrucciones sobre cómo crear una imagen de Docker. Es como un
script por lotes; la primera línea indica la imagen base, seguida de instrucciones para instalar los programas necesarios, copiar
archivos, etc. hasta que obtenga el entorno de trabajo que necesita.
290 Módulo 9 Computación sin servidor
Puede crear y ejecutar aplicaciones modernas, portátiles y basadas en microservicios que se benefician de la orquestación y
gestión de Kubernetes de la disponibilidad de esos componentes de la aplicación. Kubernetes admite aplicaciones sin
estado y con estado a medida que los equipos avanzan en la adopción de aplicaciones basadas en microservicios.
Como plataforma abierta, Kubernetes le permite crear sus aplicaciones con su lenguaje de programación preferido,
sistema operativo, bibliotecas o bus de mensajería. Integración continua existente y entrega continua (CI /
CD) se pueden integrar con Kubernetes para programar e implementar lanzamientos.
Azure Kubernetes Service (AKS) proporciona un servicio de Kubernetes administrado que reduce la complejidad de
las tareas de implementación y administración central, incluida la coordinación de actualizaciones. La plataforma
Azure administra los clústeres maestros de AKS y solo paga por los nodos de AKS que ejecutan sus aplicaciones.
AKS se basa en Azure Container Service Engine de código abierto (acs-engine).
Azure Kubernetes Service (AKS) simplifica la implementación de un clúster de Kubernetes administrado en Azure. AKS reduce
la complejidad y la sobrecarga operativa de administrar Kubernetes al descargar gran parte de esa responsabilidad a Azure.
Como servicio alojado de Kubernetes, Azure se encarga de tareas críticas como la supervisión y el mantenimiento del estado
por usted. Además, el servicio es gratuito, solo paga por los nodos de agente dentro de sus clústeres, no por los maestros.
Servicio Azure Kubernetes 291
Características
Característica Descripción
Opciones de implementación flexibles Azure Kubernetes Service ofrece opciones de
implementación impulsadas por el portal, la línea de
comandos y la plantilla (plantillas de Resource Manager y
Terraform). Al implementar un clúster de AKS, el maestro de
Kubernetes y todos los nodos se implementan y configuran
automáticamente. También se pueden configurar
características adicionales como redes avanzadas,
integración de Azure Active Directory y monitoreo durante
el proceso de implementación.
Gestión de identidad y seguridad Los clústeres de AKS admiten el control de acceso basado en
roles (RBAC). También se puede configurar un clúster de AKS
para integrarse con Azure Active Directory. En esta
configuración, el acceso a Kubernetes se puede configurar
según la identidad de Azure Active Directory y la pertenencia al
grupo.
Registro y monitoreo integrados El estado del contenedor le brinda visibilidad del rendimiento
Escalado de nodos de clúster A medida que aumenta la demanda de recursos, los nodos de un
clúster de AKS se pueden escalar para que coincidan. Si la
demanda de recursos cae, los nodos se pueden eliminar
escalando en el clúster. Las operaciones de escala de AKS se
pueden completar mediante Azure Portal o la CLI de Azure.
Actualizaciones de nodos de clúster Azure Kubernetes Service ofrece varias versiones de Kubernetes.
A medida que estén disponibles nuevas versiones en AKS, su
clúster se puede actualizar mediante Azure Portal o la CLI de
Azure. Durante el proceso de actualización, los nodos se
acordonan y drenan cuidadosamente para minimizar la
interrupción de las aplicaciones en ejecución.
Nodos habilitados para GPU AKS admite la creación de grupos de nodos habilitados para GPU.
habilitadas para GPU. Las máquinas virtuales habilitadas para GPU están
gráficos y computación.
292 Módulo 9 Computación sin servidor
Característica Descripción
Integración de herramientas de desarrollo Kubernetes tiene un rico ecosistema de herramientas de
desarrollo y administración como Helm, Draft y la extensión
de Kubernetes para Visual Studio Code. Estas herramientas
funcionan a la perfección con Azure Kubern- tees Service.
Además, Azure Dev Spaces proporciona una experiencia de
desarrollo de Kubernetes rápida e iterativa para los
equipos. Con una configuración mínima, puede ejecutar y
depurar contenedores directamente en Azure Kubernetes
Service (AKS).
Integración de red virtual Un clúster de AKS se puede implementar en una red virtual
existente. En esta configuración, a cada pod del clúster se le
asigna una dirección IP en la red virtual y puede
comunicarse directamente con otros pods del clúster y otros
nodos de la red virtual. Los pods pueden conectarse también
a otros servicios en una red virtual emparejada y a redes
locales a través de ExpressRoute y conexiones VPN de sitio a
sitio (S2S).
Registro de contenedores privados Integre con Azure Container Registry (ACR) para el
almacenamiento privado de sus imágenes de Docker.
Terminología AKS
Vainas son una sola instancia de una aplicación. Una vaina puede contener varios contenedores.
Envase es una imagen ejecutable ligera y portátil que contiene software y todas sus dependencias.
● Nodos maestros de clúster, que proporcionan los servicios básicos de Kubernetes y la orquestación de las cargas de trabajo de las
aplicaciones.
Maestro de clúster
Cuando crea un clúster de AKS, se crea y configura automáticamente un clúster maestro. Este maestro de clúster se
proporciona como un recurso administrado de Azure extraído del usuario. No hay ningún costo para el clúster maestro, solo
los nodos que forman parte del clúster de AKS.
● La kubelet es el agente de Kubernetes que procesa las solicitudes de orquestación del clúster maestro y la programación
de la ejecución de los contenedores solicitados.
● La red virtual es manejada por el proxy de kube en cada nodo. El proxy enruta el tráfico de la red y administra
el direccionamiento IP para servicios y pods.
● La tiempo de ejecución del contenedor es el componente que permite que las aplicaciones en contenedores se ejecuten e interactúen
con recursos adicionales como la red virtual y el almacenamiento. En AKS, Docker se usa como el tiempo de ejecución del contenedor.
Los nodos de la misma configuración se agrupan en grupos de nodos. Un clúster de Kubernetes contiene uno o más
grupos de nodos. La cantidad inicial de nodos y el tamaño se definen cuando crea un clúster de AKS, que crea un grupo
de nodos predeterminado. Este grupo de nodos predeterminado en AKS contiene las VM subyacentes que ejecutan sus
nodos de agente.
Redes AKS
Para permitir el acceso a sus aplicaciones, o para que los componentes de la aplicación se comuniquen entre sí,
Kubernetes proporciona una capa de abstracción a las redes virtuales. Los nodos de Kubernetes están conectados a una
red virtual y pueden proporcionar conectividad entrante y saliente para los pods. La proxy de kube El componente se
ejecuta en cada nodo para proporcionar estas funciones de red.
294 Módulo 9 Computación sin servidor
En Kubernetes, los servicios agrupan lógicamente los pods para permitir el acceso directo a través de una dirección IP o un nombre DNS y en un
puerto específico. También puede distribuir el tráfico mediante un equilibrador de carga. También se puede lograr un enrutamiento más
complejo del tráfico de aplicaciones con los controladores de ingreso. La seguridad y el filtrado del tráfico de red para los pods es posible con las
La plataforma Azure también ayuda a simplificar las redes virtuales para los clústeres de AKS. Cuando crea un equilibrador de carga
de Kubernetes, se crea y configura el recurso del equilibrador de carga de Azure subyacente. A medida que abre los puertos de red a
los pods, se configuran las reglas de grupo de seguridad de red de Azure correspondientes. Para el enrutamiento de aplicaciones
HTTP, Azure también puede configurar DNS externo a medida que se configuran nuevas rutas de entrada.
Servicios
Para simplificar la configuración de red para cargas de trabajo de aplicaciones, Kubernetes usa Servicios para agrupar
lógicamente un conjunto de pods y proporcionar conectividad de red. Están disponibles los siguientes tipos de servicios:
● IP del clúster - Crea una dirección IP interna para usar dentro del clúster de AKS. Bueno para aplicaciones solo
internas que admiten otras cargas de trabajo dentro del clúster.
● NodePort - Crea una asignación de puertos en el nodo subyacente que permite acceder a la aplicación
directamente con la dirección IP y el puerto del nodo.
● LoadBalancer - Crea un recurso de equilibrador de carga de Azure, configura una dirección IP externa y conecta los
pods solicitados al grupo de backend del equilibrador de carga. Para permitir que el tráfico de los clientes llegue a la
aplicación, se crean reglas de equilibrio de carga en los puertos deseados.
Para un control y enrutamiento adicionales del tráfico entrante, puede usar un controlador Ingress.
● ExternalName - Crea una entrada de DNS específica para facilitar el acceso a la aplicación.
La dirección IP para los equilibradores de carga y los servicios se puede asignar dinámicamente, o puede especificar una dirección IP estática
existente para usar. Se pueden asignar direcciones IP estáticas tanto internas como externas. Esta dirección IP estática existente a menudo está
Ambas cosas interno y externo Se pueden crear balanceadores de carga. A los balanceadores de carga internos solo se les asigna una
Vainas
Kubernetes usa pods para ejecutar una instancia de su aplicación. Un pod representa una única instancia de su aplicación.
Los pods suelen tener un mapeo 1: 1 con un contenedor, aunque existen escenarios avanzados en los que un pod puede
contener varios contenedores. Estos pods de varios contenedores se programan juntos en el mismo nodo y permiten que
los contenedores compartan recursos relacionados.
Cuando crea un pod, puede definir límites de recursos para solicitar una cierta cantidad de recursos de CPU o memoria.
El programador de Kubernetes intenta programar los pods para que se ejecuten en un nodo con recursos disponibles
para cumplir con la solicitud. También puede especificar límites máximos de recursos que eviten que un pod
determinado consuma demasiados recursos informáticos del nodo subyacente.
Nota: Una práctica recomendada es incluir límites de recursos para todos los pods para ayudar al programador de Kubernetes a
comprender qué recursos se necesitan y se permiten.
Un pod es un recurso lógico, pero el contenedor (o contenedores) es donde se ejecutan las cargas de trabajo de la aplicación. Los
pods suelen ser recursos efímeros y desechables. Por lo tanto, los pods programados individualmente pierden algunas de las
características de alta disponibilidad y redundancia que ofrece Kubernetes. En cambio, los pods suelen ser implementados y
administrados por controladores de Kubernetes, como el controlador de implementación.
Almacenamiento AKS
Las aplicaciones que se ejecutan en Azure Kubernetes Service (AKS) pueden necesitar almacenar y recuperar datos. Para algunas cargas de
trabajo de aplicaciones, este almacenamiento de datos puede usar un almacenamiento local y rápido en el nodo que ya no es necesario cuando
se eliminan los pods. Otras cargas de trabajo de aplicaciones pueden requerir almacenamiento que persista en volúmenes de datos más
regulares dentro de la plataforma Azure. Es posible que varios pods necesiten compartir los mismos volúmenes de datos o volver a adjuntar
volúmenes de datos si el pod se reprograma en un nodo diferente. Por último, es posible que deba inyectar datos confidenciales o información
Esta sección presenta los conceptos básicos que proporcionan almacenamiento a sus aplicaciones en AKS:
● Volúmenes
● Volúmenes persistentes
● Clases de almacenamiento
Volúmenes
Las aplicaciones a menudo necesitan poder almacenar y recuperar datos. Como Kubernetes generalmente trata los pods
individuales como recursos efímeros y desechables, hay diferentes enfoques disponibles para el uso de las aplicaciones y los datos
persistentes según sea necesario. A volumen representa una forma de almacenar, recuperar y conservar datos en los pods y
durante el ciclo de vida de la aplicación.
Los volúmenes tradicionales para almacenar y recuperar datos se crean como recursos de Kubernetes respaldados por Azure Storage.
Puede crear manualmente estos volúmenes de datos para asignarlos directamente a los pods o hacer que Kubernetes los cree
automáticamente. Estos volúmenes de datos pueden usar Azure Disks o Azure Files:
● Discos de Azure se puede utilizar para crear un Kubernetes DataDisk recurso. Los discos pueden usar el almacenamiento Azure Premium,
respaldado por SSD de alto rendimiento, o el almacenamiento estándar de Azure, respaldado por HDD normales. Para la mayoría de las
cargas de trabajo de producción y desarrollo, utilice el almacenamiento Premium. Los discos de Azure se montan como
ReadWriteOnce, por lo que solo están disponibles para un único nodo. Para los volúmenes de almacenamiento a los que pueden
acceder varios nodos simultáneamente, use Azure Files.
● Archivos de Azure se puede usar para montar un recurso compartido SMB 3.0 respaldado por una cuenta de Azure Storage en pods. Los archivos le
permiten compartir datos entre varios nodos y pods. Actualmente, los archivos solo pueden usar el almacenamiento estándar de Azure respaldado por
Volúmenes persistentes
Los volúmenes se definen y crean como parte del ciclo de vida del pod solo existen hasta que se elimina el pod. Los pods a menudo
esperan que su almacenamiento permanezca si un pod se reprograma en un host diferente durante un evento de mantenimiento,
especialmente en StatefulSets. A volumen persistente PV) es un recurso de almacenamiento creado y administrado por la API de
Kubernetes que puede existir más allá de la vida útil de un pod individual.
Los discos o archivos de Azure se utilizan para proporcionar PersistentVolume. Como se señaló en la sección anterior sobre
Volúmenes, la elección de discos o archivos a menudo está determinada por la necesidad de acceso simultáneo a los datos o al nivel
de rendimiento.
Un PersistentVolume puede ser inactivamente creado por un administrador de clúster, o creado dinámicamente por el servidor API
de Kubernetes. Si un pod está programado y solicita almacenamiento que no está disponible actualmente, Kubernetes puede crear
el almacenamiento de archivos o disco de Azure subyacente y adjuntarlo al pod. El aprovisionamiento dinámico utiliza un StorageClass
para identificar qué tipo de almacenamiento de Azure debe crearse.
Clases de almacenamiento
Para definir diferentes niveles de almacenamiento, como Premium y Estándar, puede crear un StorageClass. StorageClass
también define el reclaimPolicy. Este reclaimPolicy controla el comportamiento del recurso de almacenamiento de Azure
subyacente cuando se elimina el pod y es posible que el volumen persistente ya no sea necesario. El recurso de
almacenamiento subyacente se puede eliminar o retener para su uso con un pod futuro.
● defecto - Utiliza el almacenamiento estándar de Azure para crear un disco administrado. La directiva de recuperación indica que
el disco de Azure subyacente se elimina cuando se elimina el pod que lo utilizó.
● premium administrado - Utiliza el almacenamiento de Azure Premium para crear un disco administrado. La directiva de
reclamación nuevamente indica que el disco de Azure subyacente se elimina cuando se elimina el pod que lo usó.
Esta sección presenta los conceptos básicos que protegen sus aplicaciones en AKS:
● Seguridad de nodo
● Actualizaciones de clústeres
● Seguridad de la red
● Secretos de Kubernetes
Seguridad maestra
En AKS, los componentes maestros de Kubernetes son parte del servicio administrado proporcionado por Microsoft. Cada clúster de
AKS tiene su propio maestro de Kubernetes dedicado y de un solo inquilino para proporcionar el servidor API, el programador, etc.
Este maestro es administrado y mantenido por Microsoft
De forma predeterminada, el servidor de la API de Kubernetes utiliza una dirección IP pública y un nombre de dominio completo
(FQDN). Puede controlar el acceso al servidor de API mediante los controles de acceso basados en roles de Kubernetes y Azure
Active Directory.
Seguridad de nodo
Los nodos de AKS son máquinas virtuales de Azure que administra y mantiene. Los nodos ejecutan una distribución Ubuntu Linux
optimizada con el tiempo de ejecución del contenedor Docker. Cuando se crea o amplía un clúster de AKS, los nodos se
implementan automáticamente con las últimas actualizaciones y configuraciones de seguridad del sistema operativo.
298 Módulo 9 Computación sin servidor
La plataforma Azure aplica automáticamente parches de seguridad del sistema operativo a los nodos todas las noches. Si una
actualización de seguridad del sistema operativo requiere un reinicio del host, ese reinicio no se realiza automáticamente. Puede
reiniciar manualmente los nodos, o un enfoque común es usar Kured 9 , un demonio de reinicio de código abierto para Kubernetes.
Kured se ejecuta como un [DaemonSet] [aks-daemonset] y supervisa cada nodo para detectar la presencia de un archivo que
indique que es necesario reiniciar. Los reinicios se administran en todo el clúster mediante el mismo proceso de cordón y drenaje
que una actualización del clúster.
Los nodos se implementan en una subred de red virtual privada, sin direcciones IP públicas asignadas. Para fines de gestión y
resolución de problemas, SSH está habilitado de forma predeterminada. Este acceso SSH solo está disponible utilizando la dirección
IP interna. Las reglas del grupo de seguridad de la red de Azure se pueden usar para restringir aún más el acceso del rango de IP a
los nodos de AKS. Eliminar la regla SSH del grupo de seguridad de red predeterminada y deshabilitar el servicio SSH en los nodos
evita que la plataforma Azure realice tareas de mantenimiento.
Para proporcionar almacenamiento, los nodos usan Azure Managed Disks. Para la mayoría de los tamaños de nodos de VM, estos son discos
Premium respaldados por SSD de alto rendimiento. Los datos almacenados en discos administrados se cifran automáticamente en reposo
dentro de la plataforma Azure. Para mejorar la redundancia, estos discos también se replican de forma segura dentro del centro de datos de
Azure.
Actualizaciones de clústeres
Por motivos de seguridad y cumplimiento, o para utilizar las funciones más recientes, Azure proporciona herramientas para
orquestar la actualización de un clúster y componentes de AKS. Esta orquestación de actualización incluye los componentes del
agente y el maestro de Kubernetes. Puede ver una lista de las versiones de Kubernetes disponibles para su clúster de AKS. Para
iniciar el proceso de actualización, especifique una de estas versiones disponibles. Luego, Azure acordona y drena de forma segura
cada nodo de AKS y realiza la actualización.
Acordonar y desaguar
Durante el proceso de actualización, los nodos de AKS se acordonan individualmente desde el clúster para que no se programen
nuevos pods en ellos. Luego, los nodos se drenan y actualizan de la siguiente manera:
● El nodo se reinicia, el proceso de actualización se completa y luego vuelve a unirse al clúster de AKS.
● El siguiente nodo del clúster se acordona y drena mediante el mismo proceso hasta que todos los nodos se
actualizan correctamente.
Seguridad de la red
Para conectividad y seguridad con redes locales, puede implementar su clúster de AKS en subredes de redes
virtuales de Azure existentes. Estas redes virtuales pueden tener una conexión de Azure Site-to-Site VPN o Express
Route de regreso a su red local. Los controladores de entrada de Kubernetes se pueden definir con direcciones IP
internas privadas para que los servicios solo sean accesibles a través de esta conexión de red interna.
9 https://github.com/weaveworks/kured
Servicio Azure Kubernetes 299
nodos. A medida que crea servicios con equilibradores de carga, asignaciones de puertos o rutas de entrada, AKS modifica
automáticamente el grupo de seguridad de la red para que el tráfico fluya de manera adecuada.
Secretos de Kubernetes
A Kubernetes Secreto se utiliza para inyectar datos confidenciales en pods, como credenciales o claves de acceso. Primero crea un
secreto utilizando la API de Kubernetes. Cuando define su pod o implementación, se puede solicitar un secreto específico. Los
secretos solo se proporcionan a los nodos que tienen un pod programado que lo requiere, y el secreto se almacena en tmpfs, no
escrito en el disco. Cuando se elimina el último pod de un nodo que requiere un secreto, el secreto se elimina del tmpfs del nodo. Los
secretos se almacenan dentro de un espacio de nombres dado y solo se puede acceder a ellos mediante pods dentro del mismo
espacio de nombres.
El uso de Secrets reduce la información confidencial que se define en el manifiesto YAML del pod o del servicio. En su lugar,
solicita el secreto almacenado en el servidor API de Kubernetes como parte de su manifiesto YAML. Este enfoque solo
proporciona el acceso de pod específico al secreto.
Esta sección presenta los conceptos básicos que lo ayudan a autenticar y asignar permisos en AKS:
● Roles y ClusterRoles
● RoleBindings y ClusterRoleBindings
Las cuentas de usuario normales permiten un acceso más tradicional para administradores o desarrolladores humanos, no solo
para servicios y procesos. Kubernetes en sí no proporciona una solución de gestión de identidades donde se almacenan las
cuentas de usuario y las contraseñas habituales. En cambio, las soluciones de identidad externas se pueden integrar en
Kubernetes. Para los clústeres de AKS, esta solución de identidad integrada es Azure Active Directory.
Con los clústeres de AKS integrados en Azure AD, puede otorgar a los usuarios o grupos acceso a los recursos de Kubernetes dentro de un
espacio de nombres o en todo el clúster. Para obtener un kubectl contexto de configuración, un usuario puede ejecutar el
az aks get-credentials mando. Cuando un usuario luego interactúa con el clúster de AKS con kubectl,
se les solicita que inicien sesión con sus credenciales de Azure AD. Este enfoque proporciona una fuente única para la
administración de cuentas de usuario y las credenciales de contraseña. El usuario solo puede acceder a los recursos definidos por el
administrador del clúster.
Roles y ClusterRoles
Antes de asignar permisos a los usuarios con Kubernetes RBAC, primero defina esos permisos como un
Papel. Los roles de Kubernetes otorgan permisos. No existe el concepto de negar permiso.
Los roles se utilizan para otorgar permisos dentro de un espacio de nombres. Si necesita otorgar permisos en
todo el clúster o agrupar recursos fuera de un espacio de nombres determinado, puede usar ClusterRoles.
Un ClusterRole funciona de la misma manera para otorgar permisos a los recursos, pero se puede aplicar a los recursos en
todo el clúster, no en un espacio de nombres específico.
Servicio Azure Kubernetes 301
RoleBindings y ClusterRoleBindings
Una vez que se definen los roles para otorgar permisos a los recursos, asigna esos permisos de Kubernetes RBAC con un RoleBinding.
Si su clúster de AKS se integra con Azure Active Directory, los enlaces son la forma en que esos usuarios de Azure AD reciben
permisos para realizar acciones dentro del clúster.
Los enlaces de roles se utilizan para asignar roles para un espacio de nombres determinado. Este enfoque le permite segregar lógicamente
un solo clúster de AKS, con usuarios que solo pueden acceder a los recursos de la aplicación en su espacio de nombres
asignado. Si necesita vincular roles en todo el clúster o agrupar recursos fuera de un espacio de nombres determinado,
en su lugar puede usar ClusterRoleBindings.
Un ClusterRoleBinding funciona de la misma manera para vincular roles a los usuarios, pero se puede aplicar a los recursos de todo el
clúster, no a un espacio de nombres específico. Este enfoque le permite otorgar a los administradores o ingenieros de soporte acceso
a todos los recursos del clúster de AKS.
Escala de AKS
A medida que ejecuta aplicaciones en Azure Kubernetes Service (AKS), es posible que deba aumentar o disminuir la cantidad de
recursos informáticos. A medida que cambia la cantidad de instancias de aplicación que necesita, es posible que también deba
cambiar la cantidad de nodos de Kubernetes subyacentes. También es posible que deba aprovisionar rápidamente una gran
cantidad de instancias de aplicaciones adicionales.
Cuando configura el escalador automático de pod horizontal para una implementación determinada, define la cantidad
mínima y máxima de réplicas que se pueden ejecutar. También define la métrica para monitorear y basar cualquier decisión
de escalado, como el uso de CPU.
no se hayan completado correctamente antes de que se realice otra verificación. Este comportamiento podría hacer que el escalador
automático de pod horizontal cambie la cantidad de réplicas antes de que el evento de escala anterior haya podido recibir la carga de trabajo
Para minimizar estos eventos de carrera, se pueden establecer valores de enfriamiento o retraso. Estos valores definen cuánto tiempo debe
esperar el escalador automático de pod horizontal después de un evento de escala antes de que se pueda activar otro evento de escala. Este
comportamiento permite que surta efecto el nuevo recuento de réplicas y que la API de métricas refleje la carga de trabajo distribuida. De
forma predeterminada, la demora en los eventos de escalado es de 3 minutos y la demora en los eventos de escalado es de 5 minutos.
Es posible que deba ajustar estos valores de enfriamiento. Los valores de enfriamiento predeterminados pueden dar la
impresión de que el escalador automático de pod horizontal no escala el recuento de réplicas con la suficiente rapidez. Por
ejemplo, para aumentar más rápidamente el número de réplicas en uso, reduzca el: horizontal-pod-autoscaler-upscale-delay cuando
crea sus definiciones de escalador automático de pod horizontal usando kubectl.
según los recursos informáticos solicitados en el grupo de nodos. De forma predeterminada, el escalador automático del clúster comprueba el
servidor de API cada 10 segundos en busca de cambios necesarios en el recuento de nodos. Si la escala automática del clúster determina que
se requiere un cambio, la cantidad de nodos en su clúster de AKS aumenta o disminuye en consecuencia. El escalador automático de clústeres
funciona con clústeres AKS habilitados para RBAC que ejecutan Kubernetes 1.10.xo superior.
El escalador automático de clúster se usa normalmente junto con el escalador automático de pod horizontal. Cuando se combina, el escalador
automático de pods horizontal aumenta o disminuye el número de pods según la demanda de la aplicación, y el escalador automático del clúster
ajusta el número de nodos según sea necesario para ejecutar esos pods adicionales en consecuencia.
Escalar eventos
Si un nodo no tiene suficientes recursos informáticos para ejecutar un pod solicitado, ese pod no puede avanzar en el
proceso de programación. El pod no puede iniciarse a menos que haya recursos informáticos adicionales disponibles
dentro del grupo de nodos.
Cuando el escalador automático del clúster detecta pods que no se pueden programar debido a limitaciones de recursos del grupo
de nodos, la cantidad de nodos dentro del grupo de nodos aumenta para proporcionar los recursos de cómputo adicionales.
Cuando esos nodos adicionales se implementan con éxito y están disponibles para su uso dentro del grupo de nodos, los pods se
programan para ejecutarse en ellos.
Si su aplicación necesita escalar rápidamente, algunos pods pueden permanecer en un estado a la espera de ser programados hasta que los
nodos adicionales implementados por el escalador automático del clúster puedan aceptar los pods programados. Para las aplicaciones que
tienen una alta demanda de ráfagas, puede escalar con nodos virtuales y Azure Container Instances.
Servicio Azure Kubernetes 303
Reducir eventos
El escalador automático del clúster también supervisa el estado de programación del pod para los nodos que no han recibido
recientemente nuevas solicitudes de programación. Este escenario indica que el grupo de nodos tiene más recursos informáticos de
los necesarios y que se puede reducir el número de nodos.
Un nodo que supera un umbral por el que ya no se necesita durante 10 minutos de forma predeterminada está programado para su
eliminación. Cuando ocurre esta situación, los pods están programados para ejecutarse en otros nodos dentro del grupo de nodos y el escalador
Es posible que sus aplicaciones experimenten alguna interrupción ya que los pods se programan en diferentes nodos cuando el escalador
automático del clúster reduce la cantidad de nodos. Para minimizar las interrupciones, evite las aplicaciones que usan una sola instancia de
pod.
Para escalar rápidamente su clúster de AKS, puede integrarlo con Azure Container Instances (ACI). Kubernetes tiene componentes
integrados para escalar la réplica y el recuento de nodos. Sin embargo, si su aplicación necesita escalar rápidamente, el escalador
automático de pods horizontal puede programar más pods de los que pueden proporcionar los recursos informáticos existentes en el
grupo de nodos. Si se configura, este escenario activaría el escalador automático del clúster para implementar nodos adicionales en el
grupo de nodos, pero es posible que esos nodos demoren unos minutos en aprovisionarse correctamente y permitir que el
programador de Kubernetes ejecute pods en ellos.
ACI le permite implementar rápidamente instancias de contenedores sin una sobrecarga de infraestructura adicional. Cuando se
conecta con AKS, ACI se convierte en una extensión lógica y segura de su clúster de AKS. El componente Virtual Kubelet está instalado
en su clúster de AKS que presenta ACI como un nodo virtual de Kubernetes. Luego, Kubernetes puede programar pods que se
ejecutan como instancias de ACI a través de nodos virtuales, no como pods en nodos de VM directamente en su clúster de AKS.
Su aplicación no requiere ninguna modificación para utilizar nodos virtuales. Las implementaciones se pueden escalar en AKS y ACI y sin
demoras, ya que el escalador automático del clúster implementa nuevos nodos en su clúster de AKS.
Los nodos virtuales se implementan en una subred adicional en la misma red virtual que su clúster de AKS. Esta
configuración de red virtual permite proteger el tráfico entre ACI y AKS. Al igual que un clúster de AKS, una
instancia de ACI es un recurso informático lógico y seguro que está aislado de otros usuarios.
Kubelet virtual
Virtual Kubelet es una implementación de kubelet de Kubernetes de código abierto que se hace pasar por un kubelet.
304 Módulo 9 Computación sin servidor
En este ejemplo de un clúster de Kubernetes, se utiliza kubelet virtual para permitirnos respaldar nuestro clúster de
Kubernetes con servicios como Container Instances y Azure Batch. Estos servicios luego alojan nuestros nodos individuales
en nombre del clúster.
El kubelet virtual se registra a sí mismo como un nodo y permite a los desarrolladores implementar pods y contenedores con sus
propias API. Esto permite que el kubelet virtual proporcione una capa de compensación con una implementación de
pseudo-kubelet que le permite utilizar otros servicios para sus instancias individuales.
Lista de proveedores
● Lote de Azure
● Instancias de contenedor
● AWS Fargate
● HashiCorp Nomad
● OpenStack Zun
● Proveedor personalizado
3. En la página Básicos, configure las siguientes opciones y luego seleccione Siguiente: Escala.
● Detalles del proyecto: Seleccione una suscripción de Azure, luego seleccione o cree un grupo de recursos de Azure, como
myResourceGroup.
10 http://portal.azure.com/
Servicio Azure Kubernetes 305
● Detalles del clúster: Ingrese un nombre de clúster de Kubernetes, como myAKSCluster. Seleccione una región, una versión de
● Grupo de nodos principal: Seleccione un tamaño de nodo de máquina virtual para los nodos de AKS. El tamaño de la máquina virtual no se puede
cambiar una vez que se ha implementado un clúster de AKS. - Seleccione la cantidad de nodos para implementar en el clúster. Para esta demostración,
establezca el recuento de nodos en 1. El recuento de nodos se puede ajustar después de que se haya implementado el clúster.
4. Sobre el Escala página, revise y mantenga las opciones predeterminadas. En la parte inferior de la pantalla, haga clic en Siguiente:
Autenticación.
● Cree una nueva entidad de servicio dejando el campo de entidad de servicio con la (nueva) entidad de servicio
predeterminada. O puede elegir Configurar el principal de servicio para usar uno existente. Si usa uno existente, deberá
proporcionar el ID de cliente SPN y el secreto.
● Habilite la opción para los controles de acceso basados en roles (RBAC) de Kubernetes. Esto proporcionará un control
más detallado sobre el acceso a los recursos de Kubernetes implementados en su clúster de AKS.
6. Por defecto, Redes básicas se usa y Azure Monitor para contenedores está habilitado. Hacer clic Revisar + crear y
entonces Crear cuando se completa la validación.
Conectarse al clúster
1. Para administrar un clúster de Kubernetes, usa kubectl, el cliente de línea de comandos de Kubernetes. El kubectl
El cliente está preinstalado en Azure Cloud Shell.
3. Conéctese al clúster, descargue sus credenciales y configure la CLI de Kubernetes para usarlas.
4. Verifique la conexión a su clúster y devuelva una lista de los nodos del clúster. Asegúrese de que el estado de los
nodos sea Listo.
Ejecuta la aplicación
Nota: Necesitará un archivo de manifiesto de Kubernetes para los siguientes pasos. Navega al Inicio rápido: implementar
un clúster de AKS en el portal 11 .
2. Copie la definición de YAML de la página de inicio rápido. Asegúrese de guardar sus cambios.
3. Implemente la aplicación.
4. Asegúrese de que no haya errores y que el resultado muestre las implementaciones y los servicios creados correctamente.
11 https://docs.microsoft.com/en-us/azure/aks/kubernetes-walkthrough-portal#run-the-application
306 Módulo 9 Computación sin servidor
Prueba la aplicación
1. Cuando se ejecuta la aplicación, un servicio de Kubernetes expone la interfaz de la aplicación a Internet. Este proceso
puede tardar unos minutos en completarse.
3. Espere hasta que la dirección IP EXTERNA cambie de pendiente a una dirección IP pública real. Use Ctrl + C
para salir del comando.
4. Para ver la aplicación Azure Vote en acción, abra un explorador web a la dirección IP externa de su servicio.
Escenario de laboratorio
Debe evaluar el uso de las aplicaciones web de Azure para alojar los sitios web de Contoso, alojados actualmente en los centros de
datos locales de la empresa. Los sitios web se ejecutan en servidores de Windows utilizando la pila de tiempo de ejecución de PHP.
También debe determinar cómo puede implementar las prácticas de DevOps aprovechando las ranuras de implementación de
aplicaciones web de Azure.
Objetivos
En este laboratorio, podrá:
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Escenario de laboratorio
Contoso quiere encontrar una nueva plataforma para sus cargas de trabajo virtualizadas. Identificó una serie de imágenes
de contenedores que se pueden aprovechar para lograr este objetivo. Dado que desea minimizar la administración de
contenedores, planea evaluar el uso de Azure Container Instances para la implementación de imágenes de Docker.
Objetivos
En este laboratorio, podrá:
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
308 Módulo 9 Computación sin servidor
Escenario de laboratorio
Contoso tiene varias aplicaciones de varios niveles que no son adecuadas para ejecutarse con Azure Container Instances.
Para determinar si se pueden ejecutar como cargas de trabajo en contenedores, desea evaluar el uso de Kubernetes como
orquestador de contenedores. Para minimizar aún más la sobrecarga de administración, desea probar Azure Kubernetes
Service, incluida su experiencia de implementación simplificada y capacidades de escalado.
Objetivos
En este laboratorio, podrá:
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Pregunta de repaso 1
Tiene varias aplicaciones ejecutándose en un solo plan de App Service. Verdadero o falso: cada aplicación del plan de servicio puede tener
diferentes reglas de escala.
?? Cierto
?? Falso
Pregunta de repaso 2
¿Cuál de las siguientes configuraciones no se cambia cuando cambia una aplicación? Seleccione tres.
?? Asignaciones de controlador
?? Siempre encendido
Pregunta de repaso 3
Está administrando una aplicación web de producción. La aplicación requiere escalar a cinco instancias, 40 GB de almacenamiento y un
nombre de dominio personalizado. ¿Qué plan de servicio de aplicaciones debería seleccionar? Seleccione uno.
?? Libre
?? Compartido
?? Básico
?? Estándar
?? Prima
Pregunta de repaso 4
Está haciendo una copia de seguridad de su App Service. ¿Cuál de los siguientes se incluye en la copia de seguridad? Seleccione dos.
?? Configuración de la aplicación
Pregunta de repaso 5
Decide trasladar todos sus servicios al servicio Azure Kubernetes. ¿Cuál de los siguientes componentes contribuirá
a su cargo mensual de Azure? Seleccione uno.
?? Nodo maestro
?? Vainas
?? Mesas
Pregunta de repaso 6
¿Cuál de las siguientes afirmaciones no es cierta sobre los grupos de contenedores? Seleccione uno.
Pregunta de repaso 7
¿Cuál de los siguientes es el agente de Kubernetes que procesa las solicitudes de orquestación del maestro del clúster y
programa la ejecución de los contenedores solicitados? Seleccione uno.
?? controlador maestro
?? proxy de kube
?? kubelet
Pregunta de repaso 8
Está configurando redes para el servicio Azure Kubernetes. ¿Cuál de las siguientes opciones asigna el tráfico directo
entrante a los pods? Seleccione uno.
?? Nodo AKS
?? ClusterIP
?? Balanceador de carga
?? NodePort
Pregunta de repaso 9
¿Qué método utiliza Microsoft Azure App Service para obtener las credenciales de los usuarios que intentan acceder a una aplicación?
Seleccione uno.
?? autenticación de paso
Estudio adicional
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. Puede buscar módulos adicionales por producto, función o nivel.
● Realice una implementación de una aplicación web para probar y revertir mediante el uso de ranuras de implementación de App Service 13
● Escale una aplicación web de App Service para satisfacer la demanda de manera eficiente con App Service escalar y escalar
horizontalmente 14
● Cumpla dinámicamente los requisitos cambiantes de rendimiento de las aplicaciones web con reglas de escala automática 15
● Capture y vea los tiempos de carga de la página en su aplicación web de Azure con Application Insights dieciséis
12 https://docs.microsoft.com/en-us/learn/modules/host-a-web-app-with-azure-app-service/
13 https://docs.microsoft.com/en-us/learn/modules/stage-deploy-app-service-deployment-slots/
14 https://docs.microsoft.com/en-us/learn/modules/app-service-scale-up-scale-out/
15 https://docs.microsoft.com/en-us/learn/modules/app-service-autoscale-rules/
dieciséis https://docs.microsoft.com/en-us/learn/modules/capture-page-load-times-application-insights/
17 https://docs.microsoft.com/en-us/learn/modules/intro-to-docker-containers/
Práctica de laboratorio y revisión del módulo 09 311
18 https://docs.microsoft.com/en-us/learn/modules/run-docker-with-azure-container-instances/
19 https://docs.microsoft.com/en-us/learn/modules/intro-to-azure-kubernetes-service/
312 Módulo 9 Computación sin servidor
Respuestas
Pregunta de repaso 1
Tiene varias aplicaciones ejecutándose en un solo plan de App Service. Verdadero o falso: cada aplicación del plan de servicio
puede tener diferentes reglas de escala.
?? Cierto
■ Falso
Explicación
Falso. El plan de App Service es la unidad de escala de las aplicaciones de App Service. Si el plan está configurado para ejecutar cinco instancias de VM,
todas las aplicaciones del plan se ejecutan en las cinco instancias. Si el plan está configurado para el ajuste de escala automático, todas las aplicaciones
Pregunta de repaso 2
¿Cuál de las siguientes configuraciones no se cambia cuando cambia una aplicación? Seleccione tres.
?? Asignaciones de controlador
■ Siempre encendido
Explicación
Publicación de endpoints, Always on y Nombres de dominio personalizados. Algunos elementos de configuración siguen el contenido a través de un intercambio (no
específico de la ranura), mientras que otros elementos de configuración permanecen en la misma ranura después de un intercambio (específico de la ranura).
Pregunta de repaso 3
Está administrando una aplicación web de producción. La aplicación requiere escalar a cinco instancias, 40 GB de almacenamiento y un nombre
de dominio personalizado. ¿Qué plan de servicio de aplicaciones debería seleccionar? Seleccione uno.
?? Libre
?? Compartido
?? Básico
■ Estándar
?? Prima
Explicación
Estándar. El plan de servicio de aplicaciones estándar cumple con los requisitos al menor costo.
Práctica de laboratorio y revisión del módulo 09 313
Pregunta de repaso 4
Está haciendo una copia de seguridad de su App Service. ¿Cuál de los siguientes se incluye en la copia de seguridad? Seleccione dos.
■ Configuración de la aplicación
Explicación
Configuración de la aplicación y base de datos de Azure para MySQL. App Service puede realizar copias de seguridad de la configuración de la
aplicación, el contenido del archivo y una base de datos conectada a su aplicación (SQL Database, Azure Database for MySQL, Azure Database for
PostgreSQL, MySQL en la aplicación). Las copias de seguridad pueden tener hasta 10 GB de contenido de aplicaciones y bases de datos. No se admite el
uso de una cuenta de almacenamiento habilitada con firewall como destino para sus copias de seguridad. Azure Database for MySQL habilitado para
SSL no se respalda.
Pregunta de repaso 5
Decide trasladar todos sus servicios al servicio Azure Kubernetes. ¿Cuál de los siguientes componentes
contribuirá a su cargo mensual de Azure? Seleccione uno.
?? Nodo maestro
?? Vainas
?? Mesas
Explicación
Máquinas virtuales de nodo. Solo paga por las instancias de máquinas virtuales, el almacenamiento y los recursos de red que
consume su clúster de Kubernetes.
Pregunta de repaso 6
¿Cuál de las siguientes afirmaciones no es cierta sobre los grupos de contenedores? Seleccione uno.
Explicación
Está programado en varias máquinas host. Un grupo de contenedores está programado en una sola máquina host.
314 Módulo 9 Computación sin servidor
Pregunta de repaso 7
¿Cuál de los siguientes es el agente de Kubernetes que procesa las solicitudes de orquestación del maestro del clúster y
programa la ejecución de los contenedores solicitados? Seleccione uno.
?? controlador maestro
?? proxy de kube
■ kubelet
Explicación
kubelet. El kubelet procesa las solicitudes de orquestación del clúster maestro y programa la ejecución de los
contenedores solicitados.
Pregunta de repaso 8
Está configurando redes para el servicio Azure Kubernetes. ¿Cuál de las siguientes opciones asigna el tráfico directo
entrante a los pods? Seleccione uno.
?? Nodo AKS
?? ClusterIP
?? Balanceador de carga
■ NodePort
Explicación
NodePort. NodePort asigna el tráfico directo entrante a los pods.
Pregunta de repaso 9
¿Qué método utiliza Microsoft Azure App Service para obtener las credenciales de los usuarios que intentan acceder a una
aplicación? Seleccione uno.
?? autenticación de paso
Explicación
Redirección a un punto final de proveedor. Las aplicaciones de Microsoft Azure App Service redirigen las solicitudes a un punto de conexión que
registra a los usuarios de ese proveedor. App Service puede dirigir automáticamente a todos los usuarios no autenticados al punto final que inicia la
Azure Backup ofrece varios componentes que puede descargar e implementar en el equipo, el servidor o la nube
adecuados. El componente o agente que implemente depende de lo que desee proteger. Todos los componentes de Azure
Backup (sin importar si está protegiendo datos en las instalaciones o en la nube) se pueden usar para realizar copias de
seguridad de los datos en una bóveda de Recovery Services en Azure.
Beneficios clave
● Descargue la copia de seguridad local. Azure Backup ofrece una solución sencilla para realizar copias de seguridad de sus recursos locales
en la nube. Obtenga copias de seguridad a corto y largo plazo sin la necesidad de implementar soluciones de copia de seguridad locales
complejas.
● Realice una copia de seguridad de las máquinas virtuales de IaaS de Azure. Azure Backup proporciona copias de seguridad independientes y aisladas para
proteger contra la destrucción accidental de los datos originales. Las copias de seguridad se almacenan en una bóveda de Recovery Services con gestión integrada
de puntos de recuperación. La configuración y la escalabilidad son simples, las copias de seguridad están optimizadas y puede restaurarlas fácilmente según sea
necesario.
● Obtenga transferencia de datos ilimitada. Azure Backup no limita la cantidad de datos entrantes o salientes
que transfiere, ni cobra por los datos que se transfieren.
Los datos salientes se refieren a los datos transferidos desde una bóveda de Recovery Services durante una operación de restauración.
Si realiza una copia de seguridad inicial sin conexión mediante el servicio de importación / exportación de Azure para importar grandes
● Mantenga los datos seguros. El cifrado de datos permite la transmisión y el almacenamiento seguros de sus datos
en la nube pública. La frase de contraseña de cifrado se almacena localmente y nunca se transmite ni se almacena
en Azure. Si es necesario restaurar alguno de los datos, solo usted tiene la contraseña o clave de cifrado.
316 Módulo 10 Protección de datos
● Obtenga copias de seguridad coherentes con la aplicación. Una copia de seguridad coherente con la aplicación significa que un punto de
recuperación tiene todos los datos necesarios para restaurar la copia de seguridad. Azure Backup proporciona copias de seguridad coherentes
con la aplicación, lo que garantiza que no se requieran correcciones adicionales para restaurar los datos. La restauración de datos coherentes con
la aplicación reduce el tiempo de restauración, lo que le permite volver rápidamente a un estado de ejecución.
● Conserve los datos a corto y largo plazo. Puede utilizar las bóvedas de Recovery Services para la retención de datos a corto y
largo plazo. Azure no limita el tiempo que los datos pueden permanecer en una bóveda de Recovery Services. Puede conservarlo
todo el tiempo que desee. Azure Backup tiene un límite de 9999 puntos de recuperación por instancia protegida.
● Gestión automática de almacenamiento. Los entornos híbridos a menudo requieren un almacenamiento heterogéneo, algunos
en las instalaciones y otros en la nube. Con Azure Backup, no hay ningún costo por usar dispositivos de almacenamiento locales.
Azure Backup asigna y administra automáticamente el almacenamiento de respaldo, y usa un modelo de pago por uso, de modo
que usted solo paga por el almacenamiento que consume.
● Varias opciones de almacenamiento. Azure Backup ofrece dos tipos de replicación para mantener su almacenamiento / datos con
alta disponibilidad.
● El almacenamiento con redundancia local (LRS) replica sus datos tres veces (crea tres copias de sus datos) en una unidad de
escala de almacenamiento en un centro de datos. Todas las copias de los datos existen dentro de la misma región. LRS es una
opción de bajo costo para proteger sus datos de fallas de hardware local.
✔ ¿Cuáles son algunas de las razones por las que su organización podría elegir Azure Backup? ¿Su organización
utiliza Azure Backup?
información de configuración para máquinas virtuales (VM), cargas de trabajo, servidores o estaciones de trabajo. Puede usar las bóvedas de
Recovery Services para almacenar datos de respaldo para varios servicios de Azure, como máquinas virtuales IaaS (Linux o Windows) y bases de
datos SQL de Azure. Las bóvedas de Recovery Services son compatibles con System Center DPM, Windows Server, Azure Backup Server y más.
Las bóvedas de Recovery Services facilitan la organización de sus datos de respaldo, al tiempo que minimizan los gastos generales de
administración.
● El almacén de Recovery Services se puede utilizar para realizar copias de seguridad de los recursos compartidos de archivos de Azure.
● La bóveda de Recovery Services también se puede utilizar para realizar copias de seguridad de archivos y carpetas locales.
1 https://docs.microsoft.com/en-us/azure/backup/backup-overview#why-use-azure-backup
Copias de seguridad de archivos y carpetas 317
✔ Dentro de una suscripción de Azure, puede crear hasta 25 bóvedas de Recovery Services por región.
✔ Observe sus opciones de respaldo para máquinas virtuales. Esto se cubrirá en la próxima lección.
Configurar una cuenta de almacenamiento con archivos compartidos Nota: Si ya tiene una cuenta de
6. Haga clic en + Recurso compartido de archivos y dale a tu nuevo archivo compartido un Nombre y un Cuota.
1. En Azure Portal, escriba Recovery Services y haga clic en Bóvedas de Recovery Services.
4. Su nueva bóveda debe estar en la misma ubicación que el recurso compartido de archivos.
5. Haga clic en Crear. La creación de la bóveda de Recovery Services puede tardar varios minutos. Supervisar la
notificaciones de estado en el área superior derecha del portal. Una vez que se crea su bóveda, aparece en la lista
de bóvedas de Recovery Services.
3. Desde el ¿Dónde se está ejecutando su carga de trabajo? menú desplegable, seleccione Azur.
6. De la lista de cuentas de almacenamiento, seleccione una cuenta de almacenamiento, y haga clic en está bien. Azure busca en el almacenamiento
Tenga en cuenta los archivos compartidos que se pueden respaldar. Si recientemente agregó sus archivos compartidos, espere un poco de tiempo para que
7. En la lista de recursos compartidos de archivos, seleccione uno o más de los archivos compartidos desea hacer una copia de seguridad y haga clic en está bien.
8. En la página Política de copia de seguridad, elija Crear nueva política de copias de seguridad y proporcione información de Nombre,
9. Cuando haya terminado de configurar la copia de seguridad, haga clic en Habilite la copia de seguridad.
1. Explore el Elementos de respaldo espada. Hay información sobre los elementos respaldados y los elementos replicados.
3. Explore el Trabajos de copia de seguridad espada. Aquí puede revisar el estado de sus trabajos de respaldo.
Nota: El agente de copia de seguridad se puede implementar en cualquier máquina virtual o máquina física de Windows Server.
Copias de seguridad de archivos y carpetas 319
1. Cree la bóveda de los servicios de recuperación. Dentro de su suscripción de Azure, deberá crear una bóveda de servicios de
2. Descargue el agente y el archivo de credenciales. El almacén de servicios de recuperación proporciona un vínculo para
descargar Azure Backup Agent. El agente de copia de seguridad se instalará en la máquina local. También hay un archivo
de credenciales que se requiere durante la instalación del agente. Debe tener la última versión del agente. Las versiones
del agente por debajo de 2.0.9083.0 deben actualizarse desinstalando y reinstalando el agente.
3. Instalar y registrar agente. El instalador proporciona un asistente para configurar la ubicación de instalación, el servidor proxy y
la información de la frase de contraseña. El archivo de credenciales descargado se utilizará para registrar al agente.
4. Configure la copia de seguridad. Utilice el agente para crear una política de respaldo que incluya cuándo respaldar, qué respaldar,
Este es un agente con todas las funciones que tiene muchas funciones.
● Copia de seguridad de archivos y carpetas en el sistema operativo Windows físico o virtual (las máquinas virtuales pueden ser locales o en Azure).
Nota: Esta demostración asume que no ha usado Azure Backup Agent antes y necesita una instalación
completa.
1. En Azure Portal, escriba Recovery Services y haga clic en Bóvedas de Recovery Services.
4. Haga clic en Crear. La creación de la bóveda de Recovery Services puede tardar varios minutos. Supervisar la
notificaciones de estado en el área superior derecha del portal. Una vez que se crea su bóveda, aparece en la lista
de bóvedas de Recovery Services.
Configurar la bóveda
2. Desde el ¿Dónde se está ejecutando su carga de trabajo? menú desplegable, seleccione En las instalaciones.
3. Desde el ¿Qué quieres respaldar? menú, seleccione Archivos y carpetas. Observe sus otras opciones.
5. Haga clic en Descargue Agent para Windows Server o Windows Client. Un menú emergente le pide que
correr o ahorrar MARSAgentInstaller.exe.
Copias de seguridad de archivos y carpetas 321
6. De forma predeterminada, el archivo MARSagentinstaller.exe se guarda en su Descargas carpeta. Cuando se completa el instalador,
aparece una ventana emergente que le pregunta si desea ejecutar el instalador o abrir la carpeta. Tú no necesito para instalar el
agente todavía. Puede instalar el agente después de haber descargado las credenciales de la bóveda.
7. Regrese a su bóveda de servicios de recuperación, marque la casilla Ya descargado o usando el último agente de
servicios de recuperación.
8. Hacer clic Descargar. Una vez que las credenciales de la bóveda terminan de descargarse, aparece una ventana emergente que le
pregunta si desea abrir o ahorrar las credenciales. Hacer clic Ahorrar. Si accidentalmente hace clic en Abierto, deje que el diálogo que
intenta abrir las credenciales de la bóveda falle. No puede abrir las credenciales de la bóveda. Continúe con el siguiente paso. Las
Nota: Debe tener la última versión del agente MARS. Las versiones del agente por debajo de 2.0.9083.0 deben
actualizarse desinstalando y reinstalando el agente.
1. Busque y haga doble clic en el MARSagentinstaller.exe desde el Descargas carpeta (u otra guardada
localización). El instalador proporciona una serie de mensajes a medida que extrae, instala y registra el agente de
Recovery Services.
● Proporcione la información de su servidor proxy si usa un servidor proxy para conectarse a Internet.
3. Espere a que se complete el registro del servidor. Esto puede tardar un par de minutos.
4. El agente ahora está instalado y su máquina está registrada en la bóveda. Está listo para configurar y programar su copia
de seguridad.
1. Abra el Servicios de recuperación de Microsoft Azure agente. Puede encontrarlo buscando en su máquina
Servicios de recuperación de Microsoft Azure.
2. Si es la primera vez que utiliza el agente, habrá un Advertencia para crear una política de respaldo. La
La política de respaldo es la programación en la que se toman los puntos de recuperación y el tiempo que se retienen los
puntos de recuperación.
3. Haga clic en Programar copia de seguridad para iniciar el Asistente para programar copias de seguridad.
● Agregar elementos para incluir archivos y carpetas que desee proteger. Seleccione solo algunos archivos de muestra. Tenga en cuenta que
● Especifica el horario de respaldo. Puede programar copias de seguridad diarias (a una velocidad máxima de tres veces al
día) o semanales.
● Selecciona tu Política de retención ajustes. La política de retención especifica la duración durante la cual se almacena la copia de
seguridad. En lugar de simplemente especificar una "política plana" para todos los puntos de respaldo, puede especificar
322 Módulo 10 Protección de datos
diferentes políticas de retención según el momento en que se realiza la copia de seguridad. Puede modificar las políticas de
● Escoge tu página de tipo de copia de seguridad inicial como Automáticamente. Tenga en cuenta que hay una opción para la copia de seguridad
sin conexión.
1. Haga clic en Copia ahora para completar el envío inicial a través de la red.
3. Observe sus opciones para restaurar desde el servidor actual o desde otro servidor.
4. Tenga en cuenta que puede hacer una copia de seguridad de archivos y carpetas individuales o de un volumen completo.
6. Verifique que se pueda acceder al volumen montado en Explorador de archivos y que sus archivos de respaldo estén disponibles.
7. Desmontar la unidad.
5. En el Estrangulamiento pestaña puede habilitar la limitación del uso de ancho de banda de Internet. El estrangulamiento controla cómo
El ancho de banda de la red se utiliza durante la transferencia de datos. Este control puede resultar útil si necesita realizar una copia de seguridad
de los datos durante las horas de trabajo, pero no desea que el proceso de copia de seguridad interfiera con otro tráfico de Internet. La limitación
2. En el asistente, seleccione Deje de utilizar este programa de copias de seguridad y elimine todas las copias de seguridad almacenadas.
admite copias de seguridad coherentes con la aplicación para máquinas virtuales de Windows y Linux. Azure Backup crea puntos de recuperación que se
almacenan en bóvedas de recuperación con redundancia geográfica. Cuando restaura desde un punto de recuperación, puede restaurar toda la máquina
virtual o solo archivos específicos. Los temas de esta lección se centrarán en Azure Backup.
virtuales que utilizan discos administrados. Una instantánea de disco administrado es una copia completa de solo lectura de un disco administrado que se
almacena como un disco administrado estándar de forma predeterminada. Con las instantáneas, puede realizar una copia de seguridad de sus discos
administrados en cualquier momento. Estas instantáneas existen independientemente del disco de origen y se pueden usar para crear nuevos discos
administrados. Se facturan en función del tamaño utilizado. Por ejemplo, si crea una instantánea de un disco administrado con una capacidad
aprovisionada de 64 GiB y un tamaño de datos usados real de 10 GiB, esa instantánea se factura solo por el tamaño de datos usados de 10 GiB.
Imagenes
Los discos administrados también admiten la creación de una imagen personalizada administrada. Puede crear una imagen desde su VHD
personalizado en una cuenta de almacenamiento o directamente desde una VM generalizada (sysprepped). Este proceso captura una sola
imagen. Esta imagen contiene todos los discos administrados asociados con una máquina virtual, incluidos el sistema operativo y los discos de
datos. Esta imagen personalizada administrada permite crear cientos de máquinas virtuales utilizando su imagen personalizada sin la necesidad
● Una instantánea es una copia de un disco en el momento en que se toma la instantánea. Se aplica solo a un disco. Si tiene una
máquina virtual que tiene un disco (el disco del sistema operativo), puede tomar una instantánea o una imagen y crear una
máquina virtual a partir de la instantánea o la imagen.
● Una instantánea no reconoce ningún disco excepto el que contiene. Esto hace que sea problemático usarlo en
escenarios que requieren la coordinación de varios discos, como la creación de bandas. Las instantáneas
deberían poder coordinarse entre sí y esto no es compatible actualmente.
✔ ¿Ha probado alguno de estos métodos de copia de seguridad? ¿Tiene un plan de respaldo?
1. Habilite la copia de seguridad para máquinas virtuales de Azure individuales. Cuando habilita la copia de seguridad, Azure Backup instala una extensión en el agente de
máquina virtual de Azure que se ejecuta en la máquina virtual. El agente realiza una copia de seguridad de toda la máquina virtual.
2. Ejecute el agente de MARS en una máquina virtual de Azure. Esto es útil si desea realizar una copia de seguridad de archivos y carpetas individuales en la máquina
virtual.
3. Realice una copia de seguridad de una máquina virtual de Azure en un servidor de System Center Data Protection Manager (DPM) o un servidor de copia de
seguridad de Microsoft Azure (MABS) que se ejecuta en Azure. Luego, haga una copia de seguridad del servidor DPM / MABS en una bóveda con Azure Backup.
A menudo, aquellos que son nuevos en la implementación de cargas de trabajo en una nube pública no consideran cómo protegerán la carga
de trabajo una vez que esté alojada allí. Este es, por supuesto, un requisito fundamental para la continuidad del negocio. Documente cómo se
protege la carga de trabajo en la actualidad, incluida la frecuencia con la que se realiza una copia de seguridad de la carga de trabajo, qué tipos
de copias de seguridad se realizan y si existe protección de recuperación ante desastres para la carga de trabajo. Las opciones para la
● Ampliación de soluciones de protección de datos locales a Azure. En muchos casos, una organización puede extender su
estrategia de copia de seguridad a Azure eligiendo entre muchas de las soluciones de copia de seguridad disponibles en la
actualidad en Azure Marketplace.
● Uso de características nativas en Azure para habilitar la protección de datos, como Azure Backup. Azure Backup es
un servicio de protección de datos nativo en Azure que permite la protección de cargas de trabajo locales y de
Azure.
Copias de seguridad de máquinas virtuales 325
Un trabajo de copia de seguridad de Azure consta de dos fases. Primero, se toma una instantánea de la máquina virtual. En segundo lugar, la
Un punto de recuperación se considera creado solo después de completar ambos pasos. Como parte de esta actualización, se crea un
punto de recuperación tan pronto como finaliza la instantánea y este punto de recuperación del tipo de instantánea se puede usar
para realizar una restauración con el mismo flujo de restauración. Puede identificar este punto de recuperación en Azure Portal
mediante el uso de "instantánea" como el tipo de punto de recuperación y, una vez que la instantánea se transfiere a la bóveda, el
tipo de punto de recuperación cambia a "instantánea y bóveda".
326 Módulo 10 Protección de datos
Capacidades y consideraciones
● Capacidad para usar instantáneas tomadas como parte de un trabajo de respaldo que está disponible para recuperación sin esperar a que finalice la
● Reduce los tiempos de copia de seguridad y restauración al retener las instantáneas localmente, durante dos días de forma predeterminada. Este valor
● Admite tamaños de disco de hasta 32 TB. Azure Backup no recomienda cambiar el tamaño de los
● discos. Admite discos SSD estándar junto con discos HDD estándar y discos SSD premium.
● Las instantáneas incrementales se almacenan como blobs en la página. A todos los usuarios que utilizan discos no administrados se les cobra por las
instantáneas almacenadas en su cuenta de almacenamiento local. Dado que las colecciones de puntos de restauración que usan las copias de
seguridad de VM administradas usan instantáneas de blobs en el nivel de almacenamiento subyacente, para los discos administrados verá los costos
● Para las cuentas de almacenamiento premium, las instantáneas tomadas para los puntos de recuperación instantánea cuentan para
● Obtiene la capacidad de configurar la retención de instantáneas en función de las necesidades de restauración. Dependiendo del
requisito, puede establecer la retención de instantáneas en un mínimo de un día en la hoja de política de respaldo como se
explica a continuación. Esto le ayudará a ahorrar costes de retención de instantáneas si no realiza restauraciones con frecuencia.
● Es una actualización unidireccional, una vez actualizado a Restauración instantánea, no puede volver atrás.
✔ De forma predeterminada, las instantáneas se conservan durante dos días. Esta función permite la operación de restauración a
partir de estas instantáneas reduciendo los tiempos de restauración. Reduce el tiempo necesario para transformar y copiar datos
desde la bóveda.
Para más información, Obtenga un mejor rendimiento de copia de seguridad y restauración con la capacidad de restauración instantánea de
Azure Backup 2
información de configuración para máquinas virtuales (VM), cargas de trabajo, servidores o estaciones de trabajo. Puede usar las bóvedas de
Recovery Services para almacenar datos de respaldo para varios servicios de Azure, como máquinas virtuales IaaS (Linux o Windows) y bases de
datos SQL de Azure. Las bóvedas de Recovery Services son compatibles con System Center DPM, Windows Server, Azure Backup Server y más.
Las bóvedas de Recovery Services facilitan la organización de sus datos de respaldo, al tiempo que minimizan los gastos generales de
administración.
● El almacén de Recovery Services se puede utilizar para realizar copias de seguridad de máquinas virtuales de Azure.
2 https://docs.microsoft.com/en-us/azure/backup/backup-instant-restore-capability
Copias de seguridad de máquinas virtuales 327
● La bóveda de Recovery Services se puede utilizar para realizar copias de seguridad de máquinas virtuales locales, incluidas:
Hyper-V, VmWare, System State y Bare Metal Recovery.
1. Cree una bóveda de servicios de recuperación. Para realizar una copia de seguridad de sus archivos y carpetas, debe crear una bóveda de Servicios
de recuperación en la región donde desea almacenar los datos. También debe determinar cómo desea que se replique su almacenamiento, ya sea con
redundancia geográfica (predeterminado) o con redundancia local. De forma predeterminada, su bóveda tiene almacenamiento con redundancia
geográfica. Si usa Azure como un punto de conexión de almacenamiento de respaldo principal, use el almacenamiento con redundancia geográfica
predeterminado. Si usa Azure como un punto de conexión de almacenamiento de respaldo no principal, elija almacenamiento con redundancia local, lo
2. Utilice el Portal para definir la copia de seguridad. Proteja sus datos tomando instantáneas de sus datos a intervalos definidos. Estas
instantáneas se conocen como puntos de recuperación y se almacenan en bóvedas de servicios de recuperación. Si es necesario reparar o
reconstruir una máquina virtual, puede restaurarla desde cualquiera de los puntos de recuperación guardados. Una política de respaldo
define una matriz de cuándo se toman las instantáneas de datos y cuánto tiempo se retienen esas instantáneas. Al definir una política para
realizar copias de seguridad de una máquina virtual, puede activar una tarea de copia de seguridad una vez al día.
3. Realice una copia de seguridad de la máquina virtual. El agente de máquina virtual de Azure debe estar instalado en la máquina virtual
de Azure para que funcione la extensión de copia de seguridad. Sin embargo, si su máquina virtual se creó a partir de la galería de Azure, el
agente de máquina virtual ya está presente en la máquina virtual. Las máquinas virtuales que se migran desde centros de datos locales no
tendrían instalado el agente de máquina virtual. En tal caso, es necesario instalar VM Agent.
328 Módulo 10 Protección de datos
Para más información, Planifique la infraestructura de copia de seguridad de su máquina virtual en Azure 3 .
Implementación de restauración de VM
Una vez que las instantáneas de su máquina virtual están seguras en la bóveda de los servicios de recuperación, es fácil recuperarlas.
Una vez que activa la operación de restauración, el servicio de copia de seguridad crea un trabajo para rastrear la operación de restauración.
El servicio de copia de seguridad también crea y muestra temporalmente notificaciones, para que pueda supervisar cómo avanza la copia de
seguridad.
Ventajas
Las ventajas de realizar una copia de seguridad de las máquinas y las aplicaciones en el almacenamiento MABS / DPM y, a continuación, realizar una copia de
seguridad del almacenamiento DPM / MABS en una bóveda son las siguientes:
● La copia de seguridad en MABS / DPM proporciona copias de seguridad con reconocimiento de aplicaciones optimizadas para aplicaciones comunes como
SQL Server, Exchange y SharePoint, además de las copias de seguridad de archivos / carpetas / volúmenes y las copias de seguridad del estado de la máquina
● Para las máquinas locales, no es necesario instalar el agente MARS en cada máquina de la que desee realizar una
copia de seguridad. Cada máquina ejecuta el agente de protección DPM / MABS y el agente MARS solo se ejecuta en
MABS / DPM.
● Tiene más flexibilidad y opciones de programación granular para ejecutar copias de seguridad.
3 https://docs.microsoft.com/en-us/azure/backup/backup-azure-vms-introduction
Copias de seguridad de máquinas virtuales 329
● Puede administrar las copias de seguridad de varias máquinas que reúne en grupos de protección en una sola consola. Esto es
particularmente útil cuando las aplicaciones están distribuidas por niveles en varias máquinas y desea hacer una copia de seguridad de
ellas juntas.
Pasos de respaldo
1. Instale el agente de protección DPM o MABS en las máquinas que desee proteger. Luego, agrega las
máquinas a un grupo de protección DPM.
2. Para proteger las máquinas locales, el servidor DPM o MABS debe estar ubicado en las instalaciones. Para proteger las máquinas
3. virtuales de Azure, el servidor MABS debe estar ubicado en Azure y ejecutarse como una máquina virtual de Azure.
4. Con DPM / MABS, puede proteger los volúmenes, recursos compartidos, archivos y carpetas de las copias de seguridad. También puede proteger el estado del
sistema de una máquina (bare metal) y puede proteger aplicaciones específicas con configuraciones de copia de seguridad compatibles con las aplicaciones.
5. Cuando configura la protección para una máquina o aplicación en DPM / MABS, selecciona realizar una copia de seguridad en el disco local
MABS / DPM para el almacenamiento a corto plazo y en Azure para la protección en línea. También especifica cuándo debe ejecutarse la
copia de seguridad en el almacenamiento DPM / MABS local y cuándo debe ejecutarse la copia de seguridad en línea en Azure.
6. Se realiza una copia de seguridad del disco de la carga de trabajo protegida en los discos MABS / DPM locales, de acuerdo con la
7. El agente MARS que se ejecuta en el servidor DPM / MABS realiza una copia de seguridad de los discos DPM / MABS en la
bóveda.
Componente Beneficios Limites ¿Qué está protegido? ¿Dónde están las copias de seguridad?
almacenado?
Copia de seguridad de Azure Archivos de respaldo y Copia de seguridad 3 veces al día; Archivos y carpetas Servicios de recuperación
Servidor instantáneas; flexión completa Cargas de trabajo de Oracle; volúmenes, máquinas virtuales, bóveda, localmente
restaurar VMware
VM, no
requiere un sistema
Licencia del centro
330 Módulo 10 Protección de datos
Eliminación suave
Azure Storage ahora ofrece eliminación temporal de objetos blob para que pueda recuperar más fácilmente sus datos cuando una
aplicación u otro usuario de la cuenta de almacenamiento los modifique o elimine por error.
Cuando se eliminan datos, pasan a un estado de eliminación suave en lugar de borrarse permanentemente. Cuando la eliminación suave está activada y
sobrescribe los datos, se genera una instantánea de eliminación suave para guardar el estado de los datos sobrescritos. Los objetos eliminados
temporalmente son invisibles a menos que se enumeren explícitamente. Puede configurar la cantidad de tiempo que los datos eliminados
Ajustes de configuración
Cuando crea una cuenta nueva, la eliminación temporal está desactivada de forma predeterminada. La eliminación temporal también está desactivada de forma
predeterminada para las cuentas de almacenamiento existentes. Puede activar y desactivar la función en cualquier momento durante la vida de una cuenta de almacenamiento.
Aún podrá acceder y recuperar los datos eliminados temporalmente cuando la función esté desactivada, suponiendo que los datos
eliminados temporalmente se guardaron cuando la función se activó anteriormente. Cuando activa la eliminación temporal, también
debe configurar el período de retención.
El período de retención indica la cantidad de tiempo que los datos eliminados temporalmente se almacenan y están disponibles para su
recuperación. Para los blobs y las instantáneas de blobs que se eliminan explícitamente, el reloj del período de retención comienza cuando se
eliminan los datos. En el caso de las instantáneas de eliminación temporal generadas por la función de eliminación temporal cuando se
sobrescriben los datos, el reloj comienza cuando se genera la instantánea. Actualmente, puede conservar los datos eliminados temporalmente
Puede cambiar el período de retención de eliminación temporal en cualquier momento. Un período de retención actualizado solo se
aplicará a los datos recién eliminados. Los datos eliminados previamente caducarán según el período de retención que se configuró
cuando se eliminaron esos datos. Intentar eliminar un objeto eliminado temporalmente no afectará su tiempo de caducidad.
✔ La eliminación temporal es compatible con versiones anteriores, por lo que no tiene que realizar ningún cambio en sus
aplicaciones para aprovechar las protecciones que ofrece esta función.
Copias de seguridad de máquinas virtuales 331
funcionamiento durante las interrupciones. Site Recovery replica las cargas de trabajo que se ejecutan en máquinas físicas y virtuales (VM) desde
un sitio principal a una ubicación secundaria. Cuando ocurre una interrupción en su sitio principal, conmuta a la ubicación secundaria y accede a
las aplicaciones desde allí. Una vez que la ubicación principal se esté ejecutando de nuevo, puede volver a acceder a ella.
Escenarios de replicaciones
● Replica máquinas virtuales de Azure de una región de Azure a otra.
● Replica máquinas virtuales VMware locales, máquinas virtuales Hyper-V, servidores físicos (Windows y Linux), máquinas virtuales Azure
Stack en Azure.
● Replica máquinas virtuales VMware locales, máquinas virtuales Hyper-V administradas por System Center VMM y servidores
físicos en un sitio secundario.
Características
● Con Site Recovery, puede configurar y administrar la replicación, la conmutación por error y la conmutación por recuperación desde una
● Site Recovery organiza la replicación sin interceptar los datos de la aplicación. Cuando se replica en Azure, los datos se almacenan en el
almacenamiento de Azure, con la resistencia que proporciona. Cuando se produce la conmutación por error, se crean máquinas
● Site Recovery proporciona replicación continua para máquinas virtuales de Azure y VMware, y una frecuencia de
replicación tan baja como 30 segundos para Hyper-V.
● Puede replicar utilizando puntos de recuperación con instantáneas coherentes con la aplicación. Estas instantáneas capturan los
datos del disco, todos los datos en la memoria y todas las transacciones en proceso.
332 Módulo 10 Protección de datos
● Puede ejecutar conmutaciones por error planificadas para interrupciones esperadas sin pérdida de datos o conmutaciones por error no
planificadas con una pérdida mínima de datos (según la frecuencia de replicación) para desastres inesperados. Puede restablecer
● Site Recovery se integra con Azure para una administración simple de la red de aplicaciones, incluida la reserva de
direcciones IP, la configuración de equilibradores de carga y la integración de Azure Traffic Manager para cambios de
red eficientes.
✔ ¿Está considerando usar Azure Site Recovery y está interesado en alguna de estas características
específicas? ¿Cuál es el más importante para ti?
Cuando habilita la replicación para una máquina virtual de Azure, sucede lo siguiente:
1. La extensión del servicio Site Recovery Mobility se instala automáticamente en la máquina virtual. La extensión registra la
máquina virtual con Site Recovery. Comienza la replicación continua para la máquina virtual. Las escrituras en disco se
transfieren inmediatamente a la cuenta de almacenamiento en caché en la ubicación de origen.
2. Site Recovery procesa los datos en la caché y los envía a la cuenta de almacenamiento de destino o a los discos
administrados de réplica.
3. Una vez que se procesan los datos, se generan puntos de recuperación coherentes con las fallas cada cinco minutos. Los puntos de
recuperación coherentes con la aplicación se generan de acuerdo con la configuración especificada en la política de replicación.
4. Cuando inicia una conmutación por error, las máquinas virtuales se crean en el grupo de recursos de destino, la red virtual de destino, la subred de
destino y en el conjunto de disponibilidad de destino. Durante una conmutación por error, puede utilizar cualquier punto de recuperación.
4 https://docs.microsoft.com/en-us/azure/site-recovery/site-recovery-overview
Preguntas de laboratorio y repaso del Módulo 10 333
Escenario de laboratorio
Se le ha asignado la tarea de evaluar el uso de Azure Recovery Services para realizar copias de seguridad y restaurar
archivos alojados en máquinas virtuales y equipos locales de Azure. Además, desea identificar métodos para proteger los
datos almacenados en la bóveda de Recovery Services de la pérdida de datos accidental o maliciosa.
Objetivos
En este laboratorio, podrá:
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Pregunta de repaso 1
Necesita hacer una copia de seguridad de los archivos y carpetas en Azure. ¿Qué tres pasos debes realizar?
?? Sincronizar configuración.
Pregunta de repaso 2
Usted es responsable de crear un plan de recuperación ante desastres para su centro de datos. Debe poder recrear
máquinas virtuales desde cero. Esto incluye el sistema operativo, su configuración / ajustes y parches. ¿Cuál de las
siguientes opciones proporcionará una copia de seguridad completa de sus máquinas? Seleccione uno.
Pregunta de repaso 3
Tiene varias máquinas virtuales de Azure que actualmente ejecutan cargas de trabajo de producción. Tiene una combinación de
servidores Windows Server y Linux y necesita implementar una estrategia de respaldo para sus cargas de trabajo de producción.
¿Qué función debería utilizar en este caso? Seleccione uno.
?? Instantáneas gestionadas.
?? Azure Migrate.
Pregunta de repaso 4
Planea usar Azure Backup para proteger sus máquinas virtuales y sus datos y está listo para crear una copia de seguridad.
¿Qué es lo primero que debes hacer? Seleccione uno.
Pregunta de repaso 5
Implementa varias máquinas virtuales (VM) en Azure. Usted es responsable de realizar una copia de seguridad de todos los datos
procesados por las máquinas virtuales. En caso de falla, debe restaurar los datos lo más rápido posible. ¿Cuál de estas opciones
recomendaría para restaurar una base de datos utilizada para el desarrollo en un disco de datos? Seleccione uno.
?? Instantánea de disco
Preguntas de laboratorio y repaso del Módulo 10 335
Pregunta de repaso 6
Implementa varias máquinas virtuales (VM) en Azure. Usted es responsable de realizar una copia de seguridad de todos los datos
procesados por las máquinas virtuales. En caso de falla, debe restaurar los datos lo más rápido posible. ¿Cuál de estas opciones
recomendaría para restaurar la máquina virtual completa o los archivos en la máquina virtual? Seleccione uno.
?? Instantánea de disco
Pregunta de repaso 7
Su organización necesita una forma de crear instantáneas con reconocimiento de aplicaciones y realizar copias de seguridad de máquinas
virtuales Linux y máquinas virtuales VMware. Tiene archivos, carpetas, volúmenes y cargas de trabajo que proteger. ¿Recomiendas cuál de las
siguientes soluciones? Seleccione uno.
Pregunta de repaso 8
Planea utilizar la eliminación temporal de la máquina virtual. ¿Cuáles de las siguientes afirmaciones son verdaderas? Seleccione dos.
?? Si elimina una copia de seguridad, la eliminación suave aún proporciona la recuperación de datos.
?? Una bóveda de servicio de recuperación se puede eliminar si solo tiene elementos de copia de seguridad eliminados temporalmente.
Estudio adicional
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. Puede buscar módulos adicionales por producto, función o nivel.
5 https://docs.microsoft.com/en-us/learn/modules/protect-virtual-machines-with-azure-backup/
6 https://docs.microsoft.com/en-us/learn/modules/backup- restaurar-azure-sql /
7 https://docs.microsoft.com/en-us/learn/modules/protect-infrastructure-with-site-recovery/
8 https://docs.microsoft.com/en-us/learn/modules/protect-on- infraestructura-local-con-recuperación-del-sitio-azure /
336 Módulo 10 Protección de datos
Respuestas
Pregunta de repaso 1
Necesita hacer una copia de seguridad de los archivos y carpetas en Azure. ¿Qué tres pasos debes realizar?
?? Sincronizar configuración.
■ Realice
carpetas.
copias de seguridad de archivos y
Explicación
Pregunta de repaso 2
Usted es responsable de crear un plan de recuperación ante desastres para su centro de datos. Debe poder recrear
máquinas virtuales desde cero. Esto incluye el sistema operativo, su configuración / ajustes y parches. ¿Cuál de las
siguientes opciones proporcionará una copia de seguridad completa de sus máquinas? Seleccione uno.
■ Servidor
Azure de copia de seguridad de
Explicación
Azure Backup Server proporciona una capacidad de copia de seguridad completa.
Pregunta de repaso 3
Tiene varias máquinas virtuales de Azure que actualmente ejecutan cargas de trabajo de producción. Tiene una combinación de
servidores Windows Server y Linux y necesita implementar una estrategia de respaldo para sus cargas de trabajo de producción. ¿Qué
función debería utilizar en este caso? Seleccione uno.
?? Instantáneas gestionadas.
■ Copia
Azure.de seguridad de
?? Azure Migrate.
Explicación
Para realizar una copia de seguridad de las máquinas virtuales de Azure que ejecutan cargas de trabajo de producción, use Azure Backup.
Azure Backup admite copias de seguridad coherentes con la aplicación para máquinas virtuales Windows y Linux. Azure Site Recovery
coordina la replicación, la conmutación por error y la conmutación por recuperación de máquinas virtuales y servidores físicos, pero Azure
Backup protegerá y restaurará los datos a un nivel más granular. Las instantáneas administradas proporcionan una copia completa de solo
lectura de un disco administrado y son una solución ideal en entornos de desarrollo y prueba, pero Azure Backup es la mejor opción para
sus cargas de trabajo de producción.
Preguntas de laboratorio y repaso del Módulo 10 337
Pregunta de repaso 4
Planea usar Azure Backup para proteger sus máquinas virtuales y sus datos y está listo para crear una copia de seguridad.
¿Qué es lo primero que debes hacer? Seleccione uno.
Explicación
Al realizar una copia de seguridad de una máquina virtual, primero debe crear una bóveda de Recovery Services en la región donde desea
almacenar los datos. Los puntos de recuperación se almacenan en la bóveda de Recovery Services. Si bien la creación de una política de
respaldo es una buena práctica, no depende de la creación de un respaldo. Se requiere el agente de máquina virtual de Azure en una
máquina virtual de Azure para que funcione la extensión de copia de seguridad. Sin embargo, si la máquina virtual se creó a partir de la
galería de Azure, el agente de máquina virtual ya está presente en la máquina virtual.
Pregunta de repaso 5
Implementa varias máquinas virtuales (VM) en Azure. Usted es responsable de realizar una copia de seguridad de todos los datos
procesados por las máquinas virtuales. En caso de falla, debe restaurar los datos lo más rápido posible. ¿Cuál de estas opciones
recomendaría para restaurar una base de datos utilizada para el desarrollo en un disco de datos? Seleccione uno.
■ Instantánea de disco
Explicación
Puede utilizar instantáneas para restaurar rápidamente los discos de datos de la base de datos.
Pregunta de repaso 6
Implementa varias máquinas virtuales (VM) en Azure. Usted es responsable de realizar una copia de seguridad de todos los
datos procesados por las máquinas virtuales. En caso de falla, debe restaurar los datos lo más rápido posible. ¿Cuál de estas
opciones recomendaría para restaurar la máquina virtual completa o los archivos en la máquina virtual? Seleccione uno.
?? Instantánea de disco
Explicación
Utilice la copia de seguridad de Azure para restaurar una máquina virtual en un momento específico y para restaurar archivos individuales. Azure Backup admite
copias de seguridad coherentes con la aplicación para máquinas virtuales de Windows y Linux.
338 Módulo 10 Protección de datos
Pregunta de repaso 7
Su organización necesita una forma de crear instantáneas con reconocimiento de aplicaciones y realizar copias de seguridad de máquinas
virtuales Linux y máquinas virtuales VMware. Tiene archivos, carpetas, volúmenes y cargas de trabajo que proteger. ¿Recomiendas cuál de las
■ Servidor
Azure de copia de seguridad de
Explicación
El servidor de copia de seguridad de Azure proporciona instantáneas con reconocimiento de aplicaciones, compatibilidad con máquinas virtuales Linux y máquinas
virtuales VMware. El servidor de respaldo puede proteger archivos, carpetas, volúmenes y cargas de trabajo.
Pregunta de repaso 8
Planea utilizar la eliminación temporal de la máquina virtual. ¿Cuáles de las siguientes afirmaciones son verdaderas? Seleccione dos.
■ Si elimina una copia de seguridad, la eliminación temporal aún proporciona la recuperación de datos.
?? Una bóveda de servicio de recuperación se puede eliminar si solo tiene elementos de copia de seguridad eliminados temporalmente.
Explicación
Si elimina una copia de seguridad, la eliminación suave aún proporciona la recuperación de datos. La eliminación temporal es una protección incorporada
Monitor de Azure
Azure incluye varios servicios que realizan individualmente una función o tarea específica en el espacio de
supervisión. Juntos, estos servicios brindan una solución integral para recopilar, analizar y actuar sobre la telemetría
desde su aplicación y los recursos de Azure que los respaldan. También pueden trabajar para monitorear recursos
locales críticos para proporcionar un entorno de monitoreo híbrido. Comprender las herramientas y los datos
disponibles es el primer paso para desarrollar una estrategia de monitoreo completa para su aplicación.
El siguiente diagrama ofrece una vista de alto nivel de Azure Monitor. En el centro del diagrama se encuentran los almacenes
de datos para métricas y registros, que son los dos tipos fundamentales de uso de datos de Azure Monitor. A la izquierda
están las fuentes de datos de seguimiento que pueblan estos almacenes de datos. A la derecha están las diferentes funciones
que realiza Azure Monitor con estos datos recopilados, como análisis, alertas y transmisión a sistemas externos.
340 Módulo 11 Monitoreo
Capacidades clave
● Monitorear y visualizar métricas. Las métricas son valores numéricos disponibles en los recursos de Azure que lo
ayudan a comprender el estado, el funcionamiento y el rendimiento de su sistema.
● Consultar y analizar registros. Los registros son registros de actividad, registros de diagnóstico y telemetría de soluciones de
monitoreo; Las consultas de análisis ayudan con la resolución de problemas y las visualizaciones.
● Configure alertas y acciones. Las alertas le notifican sobre condiciones críticas y potencialmente toman acciones correctivas
1 https://docs.microsoft.com/en-us/azure/azure-monitor/
Monitor de Azure 341
● Métrica son valores numéricos que describen algún aspecto de un sistema en un momento determinado.
Son livianos y capaces de soportar escenarios casi en tiempo real.
● Registros contienen diferentes tipos de datos organizados en registros con diferentes conjuntos de propiedades para cada tipo. La
telemetría, como los eventos y los seguimientos, se almacenan como registros además de los datos de rendimiento para que todos puedan
Para muchos recursos de Azure, los datos recopilados por Azure Monitor se muestran en la página Información general de
Azure Portal. Por ejemplo, las máquinas virtuales tienen varios gráficos que muestran métricas de rendimiento. Haga clic en
cualquiera de los gráficos para abrir los datos en el Explorador de métricas en Azure Portal, lo que le permite trazar los
valores de varias métricas a lo largo del tiempo. Puede ver los gráficos de forma interactiva o anclarlos a un panel para
verlos con otras visualizaciones.
Dato de registro
Los datos de registro recopilados por Azure Monitor se almacenan en Log Analytics, que incluye un lenguaje de consulta
enriquecido 3 para recuperar, consolidar y analizar rápidamente los datos recopilados. Puede crear y probar consultas mediante la
página de Log Analytics en Azure Portal y luego analizar directamente los datos con estas herramientas o guardar consultas para
usar con visualizaciones o reglas de alerta.
Azure Monitor usa una versión de Explorador de datos 4 lenguaje de consulta adecuado para consultas de registro simples, pero que
también incluye funciones avanzadas como agregaciones, uniones y análisis inteligente. Puede aprender rápidamente el lenguaje de
consulta utilizando varias lecciones. Se proporciona orientación particular a los usuarios que ya están familiarizados con SQL y Splunk.
2 https://docs.microsoft.com/en-us/azure/azure-monitor/platform/data-collection
3 https://docs.microsoft.com/en-us/azure/azure-monitor/log-query/log -query-overview
4 https://docs.microsoft.com/en-us/azure/kusto/query/
342 Módulo 11 Monitoreo
Tipos de datos
Azure Monitor puede recopilar datos de diversas fuentes. Puede pensar en monitorear los datos de sus aplicaciones en
niveles que van desde su aplicación, cualquier sistema operativo y servicios en los que se basa, hasta la propia plataforma.
Azure Monitor recopila datos de cada uno de los siguientes niveles:
● Datos de seguimiento de la aplicación: Datos sobre el rendimiento y la funcionalidad del código que ha escrito,
independientemente de su plataforma.
● Datos de supervisión del sistema operativo invitado: Datos sobre el sistema operativo en el que se ejecuta
su aplicación. Esto podría ejecutarse en Azure, otra nube o local.
● Datos de supervisión de inquilinos de Azure: Datos sobre el funcionamiento de los servicios de Azure a nivel de inquilino, como
Tan pronto como crea una suscripción de Azure y comienza a agregar recursos como máquinas virtuales y aplicaciones web,
Azure Monitor comienza a recopilar datos. Los registros de actividad registran cuándo se crean o modifican los recursos. Las
métricas le indican el rendimiento del recurso y los recursos que consume.
Amplíe los datos que está recopilando en el funcionamiento real de los recursos habilitando los diagnósticos y agregando un
agente para calcular los recursos. Esto recopilará telemetría para el funcionamiento interno del recurso y le permitirá
configurar diferentes fuentes de datos para recopilar registros y métricas de los sistemas operativos invitados de Windows y
Linux.
✔ Azure Monitor puede recopilar datos de registro de cualquier cliente REST mediante la API de recopilador de datos. Esto le permite
crear escenarios de monitoreo personalizados y extender el monitoreo a recursos que no exponen la telemetría a través de otras
fuentes.
Asesor de Azure
Advisor es un consultor personalizado en la nube que lo ayuda a seguir las mejores prácticas para optimizar sus
implementaciones de Azure. Analiza la configuración de los recursos y la telemetría de uso y luego recomienda soluciones
que pueden ayudarlo a mejorar la rentabilidad, el rendimiento, la alta disponibilidad y la seguridad de sus recursos de
Azure.
La página de recomendaciones de costos del asesor lo ayuda a optimizar y reducir su gasto general en Azure al
identificar los recursos inactivos y subutilizados.
Seleccione la acción recomendada para una recomendación para implementar la recomendación. Se abrirá
una interfaz simple que le permitirá implementar la recomendación o remitirlo a la documentación que lo
ayude con la implementación.
✔ Advisor proporciona recomendaciones para máquinas virtuales, conjuntos de disponibilidad, puertas de enlace de aplicaciones, servicios
Registro de actividades
El registro de actividad de Azure es un registro de suscripción que proporciona información sobre los eventos de nivel de suscripción que se
han producido en Azure. Esto incluye una variedad de datos, desde datos operativos de Azure Resource Manager hasta actualizaciones sobre
Con el Registro de actividad, puede determinar el 'qué, quién y cuándo' para cualquier operación de escritura (PUT, POST,
DELETE) realizada en los recursos de su suscripción. También puede comprender el estado de la operación y otras
propiedades relevantes. A través de los registros de actividad, puede determinar:
● El estado de la operación.
✔ Los registros de actividad se guardan durante 90 días. Puede consultar cualquier rango de fechas, siempre que la fecha de
inicio no haya pasado más de 90 días. Puede recuperar eventos de su Registro de actividad utilizando Azure Portal,
CLI, cmdlets de PowerShell y API REST de Azure Monitor.
● Gravedad del evento. El nivel de gravedad del evento (informativo, advertencia, error, crítico).
● Nombre de la operación. El nombre de una operación de Azure Resource Manager, por ejemplo, Microsoft.SQL /
servers / Write.
● Buscar. Este es un cuadro de búsqueda de texto abierto que busca esa cadena en todos los campos de todos los eventos.
Categorías de eventos
● Administrativo. Esta categoría contiene el registro de todas las operaciones de creación, actualización, eliminación y
acción realizadas a través de Resource Manager. Ejemplos de los tipos de eventos que observaría en esta categoría
incluyen "crear máquina virtual" y "eliminar grupo de seguridad de red". La categoría Administrativa también incluye
cualquier cambio en el control de acceso basado en roles en una suscripción.
● Salud del servicio. Esta categoría contiene el registro de cualquier incidente de estado del servicio que se haya producido en
Azure. Un ejemplo del tipo de evento que observaría en esta categoría es "SQL Azure en el este de EE. UU. Está experimentando
un tiempo de inactividad". Los eventos de salud del servicio vienen en cinco variedades: Acción requerida, Recuperación asistida,
Incidente, Mantenimiento, Información o Seguridad.
● Salud de los recursos. Esta categoría contiene el registro de cualquier evento de salud de recursos que se haya producido en
sus recursos de Azure. Un ejemplo del tipo de evento que vería en esta categoría es "El estado de salud de la máquina virtual
cambió a no disponible". Los eventos de salud de los recursos pueden representar uno de los cuatro estados de salud:
Disponible, No disponible, Degradado y Desconocido.
● Alerta. Esta categoría contiene el registro de todas las activaciones de alertas de Azure. Un ejemplo del tipo de evento que
observaría en esta categoría es "El porcentaje de CPU en myVM ha superado el 80 durante los últimos 5 minutos".
● Auto escala. Esta categoría contiene el registro de cualquier evento relacionado con el funcionamiento del motor de
escala automática según la configuración de escala automática que haya definido en su suscripción. Un ejemplo del tipo
de evento que observaría en esta categoría es "Error en la acción de escalado automático".
● Recomendación. Esta categoría contiene eventos de recomendación de ciertos tipos de recursos, como sitios
web y servidores SQL. Estos eventos ofrecen recomendaciones sobre cómo utilizar mejor sus recursos.
● Seguridad. Esta categoría contiene el registro de las alertas generadas por Azure Security Center. Un ejemplo
del tipo de evento que observaría en esta categoría es "Archivo sospechoso de doble extensión ejecutado".
● Política. Esta categoría contiene registros de todas las operaciones de acción de efecto realizadas por Azure
Policy. Ejemplos de los tipos de eventos que vería en esta categoría incluyen Auditoría y Denegación.
✔ Una vez que haya definido un conjunto de filtros, puede anclar el estado filtrado al tablero o descargar los resultados de la
búsqueda como un archivo CSV.
Alertas de Azure 345
Alertas de Azure
● Mejor sistema de notificación. Todas las alertas más recientes utilizan grupos de acciones, que son grupos de notificaciones y
acciones con nombre que se pueden reutilizar en varias alertas.
● Una experiencia de autor unificada. Toda la creación de alertas para métricas, registros y registros de actividad en Azure
Monitor, Log Analytics y Application Insights se encuentra en un solo lugar.
● Vea las alertas de Log Analytics en Azure Portal. Ahora también puede observar las alertas de Log Analytics en su
suscripción. Anteriormente, estos estaban en un portal separado.
● Separación de alertas disparadas y reglas de alerta. Las reglas de alerta (la definición de la condición que desencadena una
alerta) y las alertas activadas (una instancia de la activación de la regla de alerta) se diferencian, por lo que las vistas operativa y
de configuración están separadas.
● Mejor flujo de trabajo. La nueva experiencia de creación de alertas guía al usuario a lo largo del proceso de configuración de una regla de
alerta, lo que hace que sea más sencillo descubrir las cosas correctas sobre las que recibir alertas.
Administrar alertas
Puede alertar sobre métricas y registros como se describe en el monitoreo de fuentes de datos. Estos incluyen pero no se
limitan a:
● Valores métricos
Estados de alerta
Puede establecer el estado de una alerta para especificar dónde se encuentra en el proceso de resolución. Cuando se cumplen los
criterios especificados en la regla de alerta, se crea o dispara una alerta, tiene un estado de Nuevo. Puede cambiar el estado cuando
reconoce una alerta y cuando la cierra. Todos los cambios de estado se almacenan en el historial de la alerta. Se admiten los siguientes
estados de alerta.
Expresar Descripción
Nuevo El problema se acaba de detectar y aún no se ha
revisado.
Admitido Un administrador ha revisado la alerta y ha
comenzado a trabajar en ella.
Cerrado El problema ha sido resuelto. Una vez que se ha
cerrado una alerta, puede volver a abrirla
cambiándola a otro estado.
✔ El estado de alerta es diferente e independiente de la condición del monitor. El estado de alerta lo establece el usuario. La condición del
monitor la establece el sistema. Cuando se dispara una alerta, la condición del monitor de la alerta se establece en disparada. Cuando
desaparece la condición subyacente que provocó el disparo de la alerta, la condición del monitor se establece como resuelta. El estado de
5 https://docs.microsoft.com/en-us/azure/monitoring-and-diagnostics/monitoring-overview-unified-alerts
Alertas de Azure 347
Las reglas de alerta están separadas de las alertas y las acciones que se toman cuando se activa una alerta. La regla de alerta captura el
objetivo y los criterios de alerta. La regla de alerta puede estar en un estado habilitado o deshabilitado. Las alertas solo se activan cuando
● Recurso de destino - Define el alcance y las señales disponibles para alertar. Un destino puede ser cualquier recurso de Azure.
Destinos de ejemplo: una máquina virtual, una cuenta de almacenamiento, un conjunto de escalado de máquinas virtuales, un
espacio de trabajo de Log Analytics o un recurso de Application Insights. Para ciertos recursos (como máquinas virtuales), puede
especificar varios recursos como el objetivo de la regla de alerta.
● Señal - Las señales son emitidas por el recurso de destino y pueden ser de varios tipos. Métrica, registro de actividad,
información de aplicaciones y registro.
● Criterios - Criterios es una combinación de señal y lógica aplicada a un recurso de destino. Ejemplos: * Porcentaje de
CPU> 70%; Tiempo de respuesta del servidor> 4 ms; y Recuento de resultados de una consulta de registro> 100.
● Nombre de alerta - Un nombre específico para la regla de alerta configurada por el usuario.
● Gravedad - La gravedad de la alerta una vez que se cumplen los criterios especificados en la regla de alerta. La gravedad
puede variar de 0 a 4.
● Acción - Una acción específica que se toma cuando se dispara la alerta. Se acerca el tema de los Grupos de Acción.
Grupos de acción
Un grupo de acciones es una colección de preferencias de notificación definidas por el propietario de una suscripción de
Azure. Las alertas de Azure Monitor y Service Health utilizan grupos de acción para notificar a los usuarios que se ha activado
una alerta. Varias alertas pueden usar el mismo grupo de acción o diferentes grupos de acción según los requisitos del
usuario.
Cuando se configura una acción para notificar a una persona por correo electrónico o SMS, la persona recibirá una
confirmación que indica que se ha agregado al grupo de acción.
348 Módulo 11 Monitoreo
● Función Azure - Azure functions es un servicio informático sin servidor que le permite ejecutar código desencadenado por
eventos sin tener que aprovisionar o administrar explícitamente la infraestructura.
● Rol de administrador de recursos de Azure de correo electrónico - Enviar correo electrónico a los miembros del rol de la suscripción. El correo
electrónico solo se enviará a los miembros de usuario de Azure AD del rol. El correo electrónico no se enviará a los grupos de Azure AD ni a las
entidades de servicio.
● Correo electrónico / SMS / Push / Voz - Especifique cualquier acción de correo electrónico, SMS, push o voz.
● ITSM - Conecte Azure y un producto / servicio de gestión de servicios de TI (ITSM) compatible. Esto requiere una
conexión ITSM.
● Aplicación lógica - Las aplicaciones lógicas conectan sus aplicaciones y servicios críticos para el negocio mediante la automatización de sus flujos de trabajo.
● Webhook - Un webhook es un punto final HTTP que permite que las aplicaciones externas se comuniquen con su
sistema.
✔ Siempre consulte la documentación para conocer la cantidad de acciones que puede crear.
Demostración: alertas
En esta demostración, crearemos una regla de alerta.
1. En Azure Portal, haga clic en Monitor. La hoja Monitor consolida todas sus configuraciones de monitoreo y
datos en una vista.
Alertas de Azure 349
2. Haga clic en Alertas luego haga clic en + Nueva regla de alerta. Como la mayoría de blades de recursos también tienen alertas en su recurso
1. Haga clic en Seleccione en Destino, para seleccionar un recurso de destino sobre el que desea alertar. Usar Suscripción y
Tipo de recurso menús desplegables para encontrar el recurso que desea monitorear. También puede utilizar la barra de búsqueda para
encontrar su recurso.
2. Si el recurso seleccionado tiene métricas en las que puede crear alertas, las señales disponibles en la parte inferior derecha
incluirán métricas. Puede ver la lista completa de tipos de recursos admitidos para alertas de métricas en este artículo.
1. Una vez que haya seleccionado un recurso de destino, haga clic en Agregar condición.
2. Observará una lista de señales admitidas para el recurso, seleccione la métrica en la que desea crear una alerta.
4. Observe un gráfico para la métrica de las últimas 6 horas. Ajustar el Mostrar historial desplegable.
5. Definir el Lógica de alerta. Esto determinará la lógica que evaluará la regla de alerta métrica.
6. Si está utilizando un umbral estático, el gráfico de métricas puede ayudar a determinar cuál podría ser un
umbral razonable. Si está utilizando Umbrales dinámicos, la tabla métrica mostrará los umbrales calculados en
base a datos recientes.
8. Opcionalmente, agregue otros criterios si desea monitorear una regla de alerta compleja.
1. Complete los detalles de la alerta como Nombre de la regla de alerta, descripción y Gravedad.
2. Agregue un grupo de acción a la alerta, ya sea seleccionando un grupo de acción existente o creando un nuevo grupo de acción.
Log Analytics
Log Analytics
Log Analytics es un servicio que le ayuda a recopilar y analizar los datos generados por los recursos en su
nube y entornos locales.
Las consultas de registro le ayudan a aprovechar al máximo el valor de los datos recopilados en los registros de Azure
Monitor. Un potente lenguaje de consulta le permite unir datos de varias tablas, agregar grandes conjuntos de datos y
realizar operaciones complejas con un código mínimo. Prácticamente se puede responder a cualquier pregunta y realizar un
análisis siempre que se hayan recopilado los datos de respaldo y usted comprenda cómo construir la consulta correcta.
Algunas características de Azure Monitor, como la información y las soluciones, procesan los datos de registro sin exponerlo a las
consultas subyacentes. Para aprovechar al máximo otras características de Azure Monitor, debe comprender cómo se construyen las
consultas y cómo puede usarlas para analizar de forma interactiva los datos en los registros de Azure Monitor.
desde una cuenta específica, usuarios que instalan software no aprobado, reinicios o cierres inesperados del sistema,
evidencia de violaciones de seguridad o problemas específicos en aplicaciones poco acopladas.
● En Grupo de recursos, seleccione un grupo de recursos existente que contenga una o más máquinas virtuales
de Azure.
Fuentes conectadas
Las fuentes conectadas son las computadoras y otros recursos que generan datos recopilados por Log Analytics. Esto puede
incluir agentes instalados en Ventanas 6 y Linux 7 computadoras que se conectan directamente o agentes en un Grupo de
administración de System Center Operations Manager 8 . Log Analytics también puede recopilar datos de Almacenamiento
de Azure 9 .
6 https://docs.microsoft.com/en-us/azure/log-analytics/log-analytics-windows-agents
7 https://docs.microsoft.com/en-us/azure/log-analytics/log-analytics -linux-agents
8 https://docs.microsoft.com/en-us/azure/log-analytics/log-analytics-om-agents
9 https://docs.microsoft.com/en-us/azure/log-analytics / log-analytics-azure-storage
352 Módulo 11 Monitoreo
El siguiente diagrama muestra cómo las fuentes conectadas fluyen los datos al servicio de Log Analytics.
● El servicio Log Analytics (1) recopila datos y los almacena en el repositorio (2). El repositorio está alojado en Azure.
Las fuentes conectadas proporcionan información al servicio Log Analytics.
● Los agentes informáticos (3) generan datos para el servicio Log Analytics. Estos agentes pueden ejecutarse en equipos
con Windows o Linux, equipos virtuales o físicos, equipos en las instalaciones o en la nube, y Azure u otros proveedores
de la nube.
● Se puede conectar un grupo de administración de System Center Operations Manager (SCOM) a Log Analytics. Los
agentes SCOM (4) se comunican con los servidores de administración que envían eventos y datos de rendimiento a Log
Analytics.
● Una cuenta de almacenamiento de Azure (5) también puede recopilar datos de Azure Diagnostics de un rol de trabajador, rol
web o máquina virtual en Azure. Esta información se puede enviar al servicio Log Analytics.
Fuentes de datos
Las fuentes de datos son los diferentes tipos de datos recopilados de cada fuente conectada. Estos pueden incluir eventos y
datos de rendimiento de agentes de Windows y Linux, además de fuentes como registros de IIS y registros de texto
personalizados. Usted configura cada fuente de datos que desea recopilar y la configuración se entrega automáticamente a
cada fuente conectada.
Log Analytics 353
Cuando configura los ajustes de Log Analytics, se muestran las fuentes de datos disponibles. Las fuentes de datos incluyen: registros
de eventos de Windows, contadores de rendimiento de Windows, contadores de rendimiento de Linux, registros de IIS, campos
personalizados, registros personalizados y Syslog. Cada fuente de datos tiene opciones de configuración adicionales. Por ejemplo, el
registro de eventos de Windows se puede configurar para reenviar mensajes de error, advertencia o información.
búsquedas de registros para analizar directamente los datos en el portal o hacer que las búsquedas de registros se ejecuten automáticamente
para crear una alerta si los resultados de la consulta indican una condición importante.
354 Módulo 11 Monitoreo
Para brindar una vista gráfica rápida del estado de su entorno general, puede agregar visualizaciones para búsquedas de
registros guardadas en su tablero. Para analizar datos fuera de Log Analytics, puede exportar los datos del repositorio a
herramientas como Power BI o Excel. También puede aprovechar la API de búsqueda de registros para crear soluciones
personalizadas que aprovechen los datos de Log Analytics o para integrarse con otros sistemas.
La estructura básica de una consulta es una tabla fuente seguida de una serie de operadores separados por un carácter de
barra vertical |. Puede encadenar varios operadores para refinar los datos y realizar funciones avanzadas.
Log Analytics 355
Por ejemplo, esta consulta devuelve un recuento de los 10 errores principales en el registro de eventos durante el último día. Los
Evento
| donde (EventLevelName == "Error") | donde
(TimeGenerated> hace (1 días))
| resumen ErrorCount = count () por Computer | top 10 por
ErrorCount desc
StormEvents | contar
T | límite 5
● cima - Devuelve los primeros N registros ordenados por las columnas especificadas.
2. Esta página proporciona un espacio de trabajo de demostración en vivo donde puede ejecutar y probar consultas.
2. Expandir Favoritos y luego seleccione Todos los registros de Syslog con errores.
5. A medida que tenga tiempo, experimente con otros Favoritos y también Consultas guardadas.
10 https://docs.microsoft.com/en-us/azure/azure-monitor/log-query/query-language
11 https://portal.loganalytics.io/demo
356 Módulo 11 Monitoreo
Vigilante de la red
Vigilante de la red
Vigilante de la red proporciona herramientas para monitorear, diagnosticar, vista métrica, y habilitar o deshabilitar registros
para recursos en una red virtual de Azure. Network Watcher es un servicio regional que le permite monitorear y diagnosticar
condiciones a nivel de escenario de red.
● Automatice el monitoreo de red remoto con captura de paquetes. Supervise y diagnostique problemas de red sin
iniciar sesión en sus máquinas virtuales (VM) mediante Network Watcher. Active la captura de paquetes configurando
alertas y obtenga acceso a información de rendimiento en tiempo real a nivel de paquete. Cuando observe un
problema, puede investigar en detalle para obtener mejores diagnósticos.
● Obtenga información sobre el tráfico de su red mediante registros de flujo. Desarrolle una comprensión más profunda de su
patrón de tráfico de red utilizando los registros de flujo de Network Security Group. La información proporcionada por los registros de
flujo lo ayuda a recopilar datos para el cumplimiento, la auditoría y el monitoreo de su perfil de seguridad de red.
● Diagnosticar problemas de conectividad VPN. Network Watcher le brinda la capacidad de diagnosticar los problemas más
comunes de conexiones y puerta de enlace VPN. Permitiéndole, no solo identificar el problema, sino también usar los registros
detallados creados para ayudar a investigar más a fondo.
Monitor de conexión
El monitor de conexión es una función de Network Watcher que puede supervisar la comunicación entre una máquina virtual
y un punto final. La capacidad del monitor de conexión supervisa la comunicación a intervalos regulares y le informa sobre la
accesibilidad, la latencia y los cambios en la topología de la red entre la máquina virtual y el punto final.
Por ejemplo, puede tener una máquina virtual de servidor web que se comunica con una máquina virtual de servidor de base de datos. Alguien de su
organización puede, sin que usted lo sepa, aplicar una ruta personalizada o una regla de seguridad de red al servidor web o la máquina virtual o subred
Si un punto final se vuelve inalcanzable, la solución de problemas de conexión le informa el motivo. Las posibles razones
pueden ser un problema de resolución de nombres de DNS, la CPU, la memoria o el firewall dentro del sistema operativo de
una VM, o el tipo de salto de una ruta personalizada, o la regla de seguridad para la VM o subred de la conexión saliente. El
monitor de conexión también proporciona la latencia mínima, media y máxima observada a lo largo del tiempo.
✔ Para usar las capacidades de Network Watcher, la cuenta con la que inicie sesión en Azure debe asignarse a los roles
integrados Propietario, Colaborador o Colaborador de red, o asignarse a un rol personalizado. A un rol personalizado se
le pueden otorgar permisos para leer, escribir y eliminar Network Watcher.
12 https://azure.microsoft.com/en-us/services/network-watcher/
358 Módulo 11 Monitoreo
Verificar el flujo de IP: Diagnostique rápidamente problemas de conectividad desde o hacia Internet y desde o hacia el entorno local.
Por ejemplo, confirmar si una regla de seguridad está bloqueando el tráfico de entrada o salida hacia o desde una máquina virtual. La
verificación de flujo de IP es ideal para asegurarse de que las reglas de seguridad se apliquen correctamente. Cuando se utiliza para
la resolución de problemas, si la verificación del flujo de IP no muestra un problema, deberá explorar otras áreas, como las
restricciones del firewall.
Siguiente salto: Para determinar si el tráfico se dirige al destino previsto mostrando el siguiente salto. Esto ayudará a
determinar si el enrutamiento de red está configurado correctamente. El siguiente salto también devuelve la tabla de rutas
asociada con el siguiente salto. Si la ruta se define como una ruta definida por el usuario, se devuelve esa ruta. De lo
contrario, el siguiente salto devuelve la ruta del sistema. Dependiendo de su situación, el siguiente salto podría ser Internet,
Dispositivo virtual, Puerta de enlace de red virtual, VNet local, VNet Peering o Ninguno. Ninguno le permite saber que, si bien
puede haber una ruta de sistema válida hacia el destino, no hay un siguiente salto para enrutar el tráfico hacia el destino.
Cuando crea una red virtual, Azure crea varias rutas de salida predeterminadas para el tráfico de red. El tráfico saliente de
todos los recursos, como las máquinas virtuales, implementados en una red virtual, se enruta en base a Azure ' s rutas
predeterminadas. Puede anular las rutas predeterminadas de Azure o crear rutas adicionales.
Diagnóstico de VPN: Solucionar problemas de puertas de enlace y conexiones. VPN Diagnostics devuelve una gran cantidad de información. La
información resumida está disponible en el portal y se proporciona información más detallada en los archivos de registro. Los archivos de
registro se almacenan en una cuenta de almacenamiento e incluyen elementos como estadísticas de conexión, información de la CPU y la
Registros de flujo de NSG: Los registros de flujo de NSG mapean el tráfico IP a través de un grupo de seguridad de red. Estas
capacidades se pueden utilizar en auditorías y cumplimiento de seguridad. Puede definir un conjunto prescriptivo de reglas de
seguridad como modelo para el gobierno de la seguridad en su organización. Se puede implementar una auditoría de cumplimiento
periódica de manera programática comparando las reglas prescriptivas con las reglas efectivas para cada una de las VM de su red.
Solución de problemas de conexión. La solución de problemas de conexión de Azure Network Watcher es una adición más reciente
al conjunto de herramientas y capacidades de red de Network Watcher. La solución de problemas de conexión le permite solucionar
problemas de conectividad y rendimiento de la red en Azure.
Ejemplo
Cuando implementa una máquina virtual, Azure aplica varias reglas de seguridad predeterminadas a la máquina virtual que permiten o
deniegan el tráfico hacia o desde la máquina virtual. Puede anular las reglas predeterminadas de Azure o crear reglas adicionales. En algún
momento, es posible que una máquina virtual no pueda comunicarse con otros recursos debido a una regla de seguridad.
La capacidad de verificación de flujo de IP le permite especificar una dirección IPv4 de origen y destino, puerto, protocolo
(TCP o UDP) y dirección del tráfico (entrante o saliente). La verificación de flujo de IP luego prueba la comunicación y le
informa si la conexión tiene éxito o falla. Si la conexión falla, la verificación del flujo de IP le indica qué regla de seguridad
permitió o denegó la comunicación, para que pueda resolver el problema.
✔ La verificación de flujo de IP es ideal para asegurarse de que las reglas de seguridad se apliquen correctamente. Cuando se utiliza para la
resolución de problemas, si la verificación del flujo de IP no muestra un problema, deberá explorar otras áreas, como las restricciones del
firewall.
Cuando crea una red virtual, Azure crea varias rutas de salida predeterminadas para el tráfico de red. El tráfico saliente de
todos los recursos, como las máquinas virtuales, implementados en una red virtual, se enruta según las rutas
predeterminadas de Azure. Puede anular las rutas predeterminadas de Azure o crear rutas adicionales.
Ejemplo
Es posible que una máquina virtual ya no pueda comunicarse con otros recursos debido a una ruta específica. La capacidad
del siguiente salto le permite especificar una dirección IPv4 de origen y destino. Luego, el siguiente salto prueba la
comunicación y le informa qué tipo de siguiente salto se utiliza para enrutar el tráfico. Luego, puede eliminar, cambiar o
agregar una ruta para resolver un problema de enrutamiento.
360 Módulo 11 Monitoreo
El siguiente salto también devuelve la tabla de rutas asociada con el siguiente salto. Si la ruta se define como una ruta definida por
el usuario, se devuelve esa ruta. De lo contrario, el siguiente salto devuelve la ruta del sistema. Dependiendo de su situación, el
siguiente salto podría ser Internet, Dispositivo virtual, Puerta de enlace de red virtual, VNet local, VNet Peering o Ninguno. Ninguno
le permite saber que, si bien puede haber una ruta de sistema válida hacia el destino, no hay un siguiente salto para enrutar el
tráfico hacia el destino.
seguridad efectivas.
● Prioridad. Un número entre 100 y 4096. Las reglas se procesan en orden de prioridad, y los números más bajos se procesan antes que los
números más altos, porque los números más bajos tienen una prioridad más alta. Una vez que el tráfico coincide con una regla, el
procesamiento se detiene. Como resultado, las reglas que existen con prioridades más bajas (números más altos) que tienen los mismos
● Fuente. Cualquiera, o una dirección IP individual, bloque de enrutamiento entre dominios sin clase (CIDR) (10.0.0.0/24, por ejemplo),
etiqueta de servicio o grupo de seguridad de la aplicación. Especificar un rango, una etiqueta de servicio o un grupo de seguridad de la
Ejemplo
Las puertas de enlace de red virtual proporcionan conectividad entre recursos locales y otras redes virtuales dentro de Azure.
Monitorear las puertas de enlace y sus conexiones es fundamental para garantizar que la comunicación funcione como se espera. Los
diagnósticos de VPN pueden solucionar problemas del estado de la puerta de enlace o la conexión y proporcionar un registro
detallado. La solicitud es una transacción de larga duración y los resultados se devuelven una vez que se completa el diagnóstico.
La solución de problemas de VPN devuelve una gran cantidad de información. La información resumida está disponible en el portal y se
proporciona información más detallada en los archivos de registro. Los archivos de registro se almacenan en una cuenta de almacenamiento
e incluyen elementos como estadísticas de conexión, información de la CPU y la memoria, errores de seguridad IKE, caída de paquetes y
búferes y eventos.
✔ Puede seleccionar varias puertas de enlace o conexiones para solucionar problemas simultáneamente o puede concentrarse en
un componente individual.
362 Módulo 11 Monitoreo
La captura de paquetes de Network Watcher le permite crear sesiones de captura para rastrear el tráfico hacia y desde una
máquina virtual. Se proporcionan filtros para la sesión de captura para garantizar que capture solo el tráfico que desea. La captura
de paquetes ayuda a diagnosticar anomalías en la red, tanto de forma reactiva como proactiva. Otros usos incluyen la recopilación
de estadísticas de la red, la obtención de información sobre intrusiones en la red, la depuración de la comunicación cliente-servidor
y mucho más. Ser capaz de desencadenar capturas de paquetes de forma remota alivia la carga de ejecutar una captura de
paquetes manualmente en una máquina virtual deseada, lo que ahorra un tiempo valioso.
● Comprobación de la conectividad y la latencia a un punto final remoto, como sitios web y puntos finales de almacenamiento.
● Conectividad entre una máquina virtual de Azure y un recurso de Azure como el servidor SQL de Azure, donde
todo el tráfico de Azure se canaliza a través de una red local.
● Conectividad entre máquinas virtuales en diferentes redes virtuales conectadas mediante emparejamiento de redes virtuales.
✔ Esta función ahora admite (enero de 2020) cuentas de almacenamiento con cortafuegos y puntos finales de servicio para el
almacenamiento.
Supervisión: topología
Suponga que tiene que solucionar un problema de una red virtual creada por sus colegas. A menos que esté
involucrado en el proceso de creación de la red, es posible que no conozca todos los aspectos de la infraestructura.
364 Módulo 11 Monitoreo
tura. Puede utilizar la herramienta de topología para visualizar y comprender la infraestructura con la que está tratando antes
de comenzar a solucionar problemas.
La capacidad de topología de Network Watcher le permite generar un diagrama visual de los recursos en
una red virtual y las relaciones entre los recursos. La siguiente imagen muestra un diagrama de topología
de ejemplo para una red virtual que tiene tres subredes, dos VM, interfaces de red, direcciones IP públicas,
grupos de seguridad de red, tablas de rutas y las relaciones entre los recursos:
La herramienta de topología genera una visualización gráfica de su red virtual de Azure, sus recursos, sus
interconexiones y sus relaciones entre sí.
✔ Para generar la topología, necesita una instancia de Network Watcher en la misma región que la red
virtual.
Preguntas de laboratorio y repaso del Módulo 11 365
Escenario de laboratorio
Debe evaluar la funcionalidad de Azure que proporcionaría información sobre el rendimiento y la configuración de los
recursos de Azure, centrándose en particular en las máquinas virtuales de Azure. Para lograr esto, tiene la intención de
examinar las capacidades de Azure Monitor, incluido Log Analytics.
Objetivos
En este laboratorio, podrá:
● Tarea 2: crear y configurar un área de trabajo de Azure Log Analytics y soluciones basadas en Azure
Automation.
● Tarea 4: configurar los parámetros de diagnóstico de la máquina virtual de Azure. Tarea 5: revisar la
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Pregunta de repaso 1
Su organización tiene una granja web muy grande con más de 100 máquinas virtuales. Le gustaría utilizar Log Analytics para
asegurarse de que estas máquinas respondan a las solicitudes. Planea automatizar el proceso para crear una consulta de
búsqueda. Empiece la consulta identificando la tabla fuente. ¿Qué tabla de fuentes usas? Seleccione uno.
?? Evento
?? SysLog
?? MyLog_CL
?? Alerta
366 Módulo 11 Monitoreo
Pregunta de repaso 2
Su organización tiene una aplicación que se utiliza en toda la empresa. El rendimiento de esta aplicación es fundamental para las
operaciones diarias. Debido a que la aplicación es tan importante, se han identificado cuatro administradores de TI para abordar
cualquier problema. Ha configurado una alerta y debe asegurarse de que se notifique a los administradores si hay un problema. ¿En
qué área del portal proporcionará las direcciones de correo electrónico del administrador? Seleccione uno.
?? Registro de actividades
?? Grupo de actuación
?? Tipo de señal
?? Grupo de acción
Pregunta de repaso 3
Su organización tiene varias máquinas virtuales Linux. Le gustaría utilizar Log Analytics para recuperar mensajes de
error para estas máquinas. Planea automatizar el proceso, por lo que crea una consulta de búsqueda. Empiece la
consulta identificando la tabla fuente. ¿Qué tabla de fuentes usas? Seleccione uno.
?? Evento
?? SysLog
?? MyLog_CL
?? Alerta
Pregunta de repaso 4
Está analizando la red virtual de la empresa y cree que sería útil obtener una representación visual de los
elementos de la red. ¿Qué función puedes usar? Seleccione uno.
Pregunta de repaso 5
Su empresa tiene un sitio web y los usuarios informan errores de conectividad y tiempos de espera. Sospecha que una regla de
seguridad puede estar bloqueando el tráfico hacia o desde una de las máquinas virtuales. Necesita solucionar rápidamente el
problema, entonces, ¿cuál de las siguientes opciones? Seleccione uno.
Pregunta de repaso 6
Está interesado en encontrar una única herramienta que ayude a identificar la alta utilización de la CPU de la máquina virtual, las fallas de resolución de
DNS, las reglas de firewall que bloquean el tráfico y las rutas mal configuradas. ¿Qué herramienta puedes usar? Seleccione uno.
Pregunta de repaso 7
Está revisando la página de Alertas y observa que se ha reconocido una alerta. ¿Qué significa esto? Seleccione uno.
?? El problema se ha cerrado.
Pregunta de repaso 8
Debe determinar quién eliminó un grupo de seguridad de red a través de Resource Manager. Está viendo el Registro de
actividad cuando otro administrador de Azure dice que debe usar esta categoría de eventos para limitar su búsqueda.
Seleccione uno.
?? Administrativo
?? Alerta
?? Recommentación
?? Política
368 Módulo 11 Monitoreo
Estudio adicional
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. Puede buscar módulos adicionales por producto, función o nivel.
● Supervise el estado de su máquina virtual de Azure mediante la recopilación y el análisis de datos de diagnóstico 15
13 https://docs.microsoft.com/en-us/learn/modules/analyze-infrastructure-with-azure-monitor-logs/
14 https://docs.microsoft.com/en-us/learn/modules/incident-response-with-alerting-on-azure/
15 https://docs.microsoft.com/en-us/learn/modules/monitor-azure-vm-using-diagnostic-data/
dieciséis https://docs.microsoft.com/en-us/learn/modules/monitor-diagnose-and-troubleshoot-azure-storage/
Preguntas de laboratorio y repaso del Módulo 11 369
Respuestas
Pregunta de repaso 1
Su organización tiene una granja web muy grande con más de 100 máquinas virtuales. Le gustaría utilizar Log
Analytics para asegurarse de que estas máquinas respondan a las solicitudes. Planea automatizar el proceso para
crear una consulta de búsqueda. Empiece la consulta identificando la tabla fuente. ¿Qué tabla de fuentes usas?
Seleccione uno.
?? Evento
?? SysLog
?? MyLog_CL
?? Alerta
Explicación
La tabla Heartbeat le ayudará a identificar las computadoras que no han tenido un latido en un período de tiempo específico, por
ejemplo, las últimas seis horas.
Pregunta de repaso 2
Su organización tiene una aplicación que se utiliza en toda la empresa. El rendimiento de esta aplicación es fundamental para las
operaciones diarias. Debido a que la aplicación es tan importante, se han identificado cuatro administradores de TI para abordar
cualquier problema. Ha configurado una alerta y debe asegurarse de que se notifique a los administradores si hay un problema. ¿En
qué área del portal proporcionará las direcciones de correo electrónico del administrador? Seleccione uno.
?? Registro de actividades
?? Grupo de actuación
?? Tipo de señal
■ Grupo de acción
Explicación
Al crear la alerta, seleccionará Correo electrónico como Tipo de acción. A continuación, podrá proporcionar las direcciones de
correo electrónico del administrador como parte del Grupo de acción.
Pregunta de repaso 3
Su organización tiene varias máquinas virtuales Linux. Le gustaría utilizar Log Analytics para recuperar mensajes de
error para estas máquinas. Planea automatizar el proceso, por lo que crea una consulta de búsqueda. Empiece la
consulta identificando la tabla fuente. ¿Qué tabla de fuentes usas? Seleccione uno.
?? Evento
■ SysLog
?? MyLog_CL
?? Alerta
Explicación
Syslog es un protocolo de registro de eventos que es común a Linux. Syslog incluye información como mensajes de
error.
370 Módulo 11 Monitoreo
Pregunta de repaso 4
Está analizando la red virtual de la empresa y cree que sería útil obtener una representación visual de los
elementos de la red. ¿Qué función puedes usar? Seleccione uno.
Explicación
La función Topología de Network Watcher proporciona una representación visual de sus elementos de red.
Pregunta de repaso 5
Su empresa tiene un sitio web y los usuarios informan errores de conectividad y tiempos de espera. Sospecha que una regla de
seguridad puede estar bloqueando el tráfico hacia o desde una de las máquinas virtuales. Necesita solucionar rápidamente el
problema, entonces, ¿cuál de las siguientes opciones? Seleccione uno.
Explicación
El diagnóstico de problemas de conectividad es ideal para la función de verificación de flujo de IP de Network Watcher. La
capacidad IP Flow Verify le permite especificar una dirección IPv4 de origen y destino, puerto, protocolo (TCP o UDP) y
dirección del tráfico (entrante o saliente). Luego, IP Flow Verify prueba la comunicación y le informa si la conexión tiene
éxito o falla.
Pregunta de repaso 6
Está interesado en encontrar una única herramienta que ayude a identificar la alta utilización de la CPU de la máquina virtual, las fallas de resolución de
DNS, las reglas de firewall que bloquean el tráfico y las rutas mal configuradas. ¿Qué herramienta puedes usar? Seleccione uno.
Explicación
La solución de problemas de conexión de Azure Network Watcher es una adición más reciente al conjunto de herramientas y
capacidades de red de Network Watcher. La solución de problemas de conexión le permite solucionar problemas de
conectividad y rendimiento de la red en Azure.
Preguntas de laboratorio y repaso del Módulo 11 371
Pregunta de repaso 7
Está revisando la página de Alertas y observa que se ha reconocido una alerta. ¿Qué significa esto?
Seleccione uno.
?? El problema se ha cerrado.
Explicación
Un estado de alerta de Reconocido significa que un administrador ha revisado la alerta y ha comenzado a trabajar en ella. El estado de
alerta es diferente e independiente de la condición del monitor. El estado de alerta lo establece el usuario. La condición del monitor la
establece el sistema.
Pregunta de repaso 8
Debe determinar quién eliminó un grupo de seguridad de red a través de Resource Manager. Está viendo el Registro de
actividad cuando otro administrador de Azure dice que debe usar esta categoría de eventos para limitar su búsqueda.
Seleccione uno.
■ Administrativo
?? Alerta
?? Recommentación
?? Política
Explicación
Administrativo. Esta categoría contiene el registro de todas las operaciones de creación, actualización, eliminación y acción
realizadas a través de Resource Manager. Ejemplos de los tipos de eventos que observaría en esta categoría incluyen "crear
máquina virtual" y "eliminar grupo de seguridad de red". La categoría Administrativa también incluye cualquier cambio en el
control de acceso basado en roles en una suscripción.