Az 104t00a Español

Microsoft
Oficial
Curso
AZ-104T00
Microsoft Azure
Administrador
AZ-104T00
Administrador de Microsoft Azure
II Descargo de responsabilidad
La información contenida en este documento, incluida la URL y otras referencias a sitios web de Internet, está sujeta a cambios sin
previo aviso. A menos que se indique lo contrario, los ejemplos de empresas, organizaciones, productos, nombres de dominio,
direcciones de correo electrónico, logotipos, personas, lugares y eventos que se describen en este documento son ficticios y no están
asociados con ninguna empresa, organización, producto, nombre de dominio, e- dirección de correo, logotipo, persona, lugar o
evento se pretende o debe inferirse. El cumplimiento de todas las leyes de derechos de autor aplicables es responsabilidad del
usuario. Sin limitar los derechos bajo los derechos de autor, ninguna parte de este documento puede ser reproducida, almacenada o
introducida en un sistema de recuperación, o transmitida en cualquier forma o por cualquier medio (electrónico, mecánico,
fotocopiado, grabación o de otro tipo), o para cualquier propósito, sin el permiso expreso por escrito de Microsoft Corporation.
Microsoft puede tener patentes, solicitudes de patentes, marcas comerciales, derechos de autor u otros derechos de propiedad
intelectual que cubran el tema de este documento. Salvo que se disponga expresamente en cualquier contrato de licencia por
escrito de Microsoft, el suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas comerciales,
derechos de autor u otra propiedad intelectual.
Los nombres de fabricantes, productos o URL se proporcionan únicamente con fines informativos y Microsoft
no ofrece declaraciones ni garantías, ya sean expresas, implícitas o legales, con respecto a estos fabricantes o
al uso de los productos con cualquier tecnología de Microsoft. La inclusión de un fabricante o producto no
implica la aprobación por parte de Microsoft del fabricante o producto. Se pueden proporcionar enlaces a
sitios de terceros. Dichos sitios no están bajo el control de Microsoft y Microsoft no es responsable del
contenido de ningún sitio vinculado o de ningún vínculo incluido en un sitio vinculado, ni de ningún cambio o
actualización de dichos sitios. Microsoft no es responsable de la difusión por Internet ni de ninguna otra forma
de transmisión recibida de ningún sitio vinculado. Microsoft le proporciona estos enlaces solo para su
conveniencia,
© 2019 Microsoft Corporation. Reservados todos los derechos.
Microsoft y las marcas comerciales enumeradas en http://www.microsoft.com/trademarks 1 son marcas comerciales del grupo de
empresas Microsoft. El resto de marcas registradas son propiedad de sus respectivos propietarios.
1 http://www.microsoft.com/trademarks
EULA III
TÉRMINOS DE LICENCIA DE MICROSOFT
CURSO DE MICROSOFT DIRIGIDO POR UN INSTRUCTOR
Estos términos de licencia son un acuerdo entre Microsoft Corporation (o según su lugar de residencia, una de sus filiales) y
usted. Por favor léalos. Se aplican a su uso del contenido que acompaña a este acuerdo, que incluye los medios en los que lo
recibió, si corresponde. Estos términos de licencia también se aplican al Contenido del capacitador y cualquier actualización y
suplemento del Contenido con licencia, a menos que otros términos acompañen a esos elementos. si es así, se aplican esas
condiciones.
AL ACCEDER, DESCARGAR O UTILIZAR EL CONTENIDO CON LICENCIA, USTED ACEPTA ESTOS TÉRMINOS.
SI NO LOS ACEPTA, NO ACCEDA, DESCARGUE NI USE EL CONTENIDO LICENCIADO.
Si cumple con estos términos de licencia, tiene los siguientes derechos para cada licencia que adquiera.
1. DEFINICIONES.
1. “Centro de aprendizaje autorizado” significa un miembro del programa Microsoft Imagine Academy (MSIA), un miembro de
la competencia de aprendizaje de Microsoft o cualquier otra entidad que Microsoft pueda designar de vez en cuando.
2. “Sesión de formación autorizada” se refiere a la clase de formación dirigida por un instructor que utiliza el material didáctico
dirigido por un instructor de Microsoft impartida por un instructor en oa través de un Centro de aprendizaje autorizado.
3. “Dispositivo para el aula” significa una (1) computadora dedicada y segura que posee o controla un Centro de aprendizaje autorizado
que se encuentra en las instalaciones de capacitación de un Centro de aprendizaje autorizado que cumple o excede el nivel de
hardware especificado para el Material didáctico dirigido por un instructor de Microsoft en particular.
4. "Usuario final" significa una persona que (i) está debidamente inscrita y asiste a una sesión de capacitación
autorizada o una sesión de capacitación privada, (ii) un empleado de un miembro de MPN (definido a continuación)
o (iii) un empleado de tiempo completo de Microsoft , miembro del programa Microsoft Imagine Academy (MSIA) o
Microsoft Learn for Educators - Educador validado.
5. “Contenido con licencia” hace referencia al contenido que acompaña a este acuerdo, que puede incluir el material didáctico
dirigido por un instructor de Microsoft o el contenido del capacitador.
6. “Entrenador certificado de Microsoft” o “MCT” significa una persona que (i) está contratada para impartir una sesión de
formación a los Usuarios finales en nombre de un Centro de aprendizaje autorizado o Miembro de MPN, y (ii) actualmente
certificado como Entrenador certificado de Microsoft bajo el Programa de Certificación de Microsoft.
7. “Material didáctico dirigido por un instructor de Microsoft” se refiere al curso de capacitación dirigido por un instructor de la marca
Microsoft que educa a los profesionales de TI, desarrolladores, estudiantes de una institución académica y otros estudiantes sobre las
tecnologías de Microsoft. Un título de material didáctico dirigido por un instructor de Microsoft puede tener la marca de material
didáctico MOC, Microsoft Dynamics o Microsoft Business Group.
8. “Miembro del programa Microsoft Imagine Academy (MSIA)” hace referencia a un miembro activo del programa
Microsoft Imagine Academy.
9. “Microsoft Learn for Educators - Educador validado” significa un educador que ha sido validado a través del
programa Microsoft Learn for Educators como educador activo en un colegio, universidad, colegio
comunitario, escuela politécnica o institución K-12.
10. “Miembro de la Competencia de Aprendizaje de Microsoft” significa un miembro activo del programa Microsoft
Partner Network en regla que actualmente tiene el estado de Competencia de Aprendizaje.
11. “MOC” significa el software de curso dirigido por un instructor del “Producto de aprendizaje oficial de Microsoft” conocido como
Curso oficial de Microsoft que educa a los profesionales de TI, desarrolladores, estudiantes de una institución académica y
otros estudiantes sobre las tecnologías de Microsoft.
12. “Miembro de MPN” significa un miembro activo del programa Microsoft Partner Network y al día.
IV EULA
13. “Dispositivo personal” significa una (1) computadora personal, dispositivo, estación de trabajo u otro dispositivo electrónico digital que
usted posee o controla personalmente y que cumple o excede el nivel de hardware especificado para el Material didáctico dirigido por
un instructor de Microsoft en particular.
14. “Sesión de capacitación privada” se refiere a las clases de capacitación impartidas por un instructor que brindan los miembros
de MPN para que los clientes corporativos enseñen un objetivo de aprendizaje predefinido mediante el software de cursos
dirigido por un instructor de Microsoft. Estas clases no se anuncian ni promocionan al público en general y la asistencia a las
clases está restringida a personas empleadas o contratadas por el cliente corporativo.
15. "Instructor" significa (i) un educador acreditado académicamente contratado por un miembro del programa Microsoft
Imagine Academy para impartir una sesión de capacitación autorizada, (ii) un educador acreditado académicamente
validado como un educador validado de Microsoft Learn for Educators, y / o ( iii) un MCT.
16. “Contenido del capacitador” hace referencia a la versión del capacitador del Material didáctico dirigido por un instructor de Microsoft y el contenido
complementario adicional designado únicamente para el uso de los capacitadores para impartir una sesión de capacitación utilizando el Material
didáctico dirigido por un instructor de Microsoft. El contenido del capacitador puede incluir presentaciones de Microsoft PowerPoint, guía de
preparación del capacitador, materiales de capacitación del capacitador, paquetes de Microsoft One Note, guía de configuración del aula y
formulario de comentarios del curso previo al lanzamiento. Para aclarar, Trainer Content no incluye ningún software, discos duros virtuales o
máquinas virtuales.
2. DERECHOS DE USO. El Contenido con licencia se licencia, no se vende. El Contenido con licencia tiene una licencia uno
copia por usuario, de modo que debe adquirir una licencia para cada individuo que acceda o utilice el Contenido
con licencia.
● 2.1 A continuación se muestran cinco conjuntos separados de derechos de uso. Solo se le aplica un conjunto de derechos.
1. Si es miembro del programa Microsoft Imagine Academy (MSIA):
1. Cada licencia adquirida en su nombre solo se puede utilizar para revisar una (1) copia del Material didáctico dirigido por un
instructor de Microsoft en el formulario que se le proporcionó. Si el material didáctico dirigido por un instructor de Microsoft
está en formato digital, puede instalar una (1) copia en hasta tres (3) dispositivos personales. No puede instalar el material
didáctico dirigido por un instructor de Microsoft en un dispositivo que no sea de su propiedad o que no controle.
2. Por cada licencia que adquiera en nombre de un Usuario final o Instructor, puede:
1. distribuir una (1) versión impresa del Material didáctico dirigido por un instructor de Microsoft a un
(1) Usuario final que esté inscrito en la Sesión de capacitación autorizada, y solo inmediatamente
antes del comienzo de la Sesión de capacitación autorizada que es el tema de la Se proporciona
material didáctico dirigido por un instructor de Microsoft, o
2. proporcionar a un (1) usuario final el código de canje único e instrucciones sobre cómo pueden acceder a
una (1) versión digital del material didáctico dirigido por un instructor de Microsoft, o
3. Proporcionar a un (1) Entrenador el código de canje único e instrucciones sobre cómo pueden acceder
a un (1) Contenido del Entrenador.
3. Por cada licencia que adquiera, debe cumplir con lo siguiente:
1. solo proporcionará acceso al Contenido con licencia a aquellas personas que hayan adquirido una
licencia válida para el Contenido con licencia,
2. se asegurará de que cada Usuario final que asista a una Sesión de capacitación autorizada tenga su propia
copia con licencia válida del Material didáctico dirigido por un instructor de Microsoft que es el tema de la
Sesión de capacitación autorizada,
3. se asegurará de que a cada Usuario final que se le proporcione la versión impresa del Material
didáctico dirigido por un instructor de Microsoft se le presente una copia de este acuerdo y cada
EULA V
El usuario aceptará que su uso del material didáctico dirigido por un instructor de Microsoft estará sujeto
a los términos de este contrato antes de proporcionarle el material didáctico dirigido por un instructor
de Microsoft. Se requerirá que cada individuo indique su aceptación de este acuerdo de una manera que
sea exigible según la ley local antes de acceder al material didáctico dirigido por un instructor de
Microsoft.
4. se asegurará de que cada Instructor que imparta una Sesión de capacitación autorizada tenga su propia copia
con licencia válida del Contenido del capacitador que es el tema de la Sesión de capacitación autorizada,
5. Solo utilizará capacitadores calificados que tengan un conocimiento profundo y experiencia con la
tecnología de Microsoft que es el tema del material didáctico dirigido por un instructor de Microsoft que
se enseña en todas sus sesiones de capacitación autorizadas.
6. Solo brindará un máximo de 15 horas de capacitación por semana por cada Sesión de
capacitación autorizada que use un título MOC, y
7. usted reconoce que los instructores que no sean MCT no tendrán acceso a todos los recursos para capacitadores
del material didáctico dirigido por instructores de Microsoft.
2. Si es miembro de la competencia de aprendizaje de Microsoft:
1. Cada licencia adquirida solo se puede utilizar para revisar una (1) copia del material didáctico dirigido por un instructor de
Microsoft en el formulario que se le proporcionó. Si el material del curso dirigido por un instructor de Microsoft está en
formato digital, puede instalar una (1) copia en hasta tres (3) dispositivos personales. No puede instalar el material didáctico
dirigido por un instructor de Microsoft en un dispositivo que no sea de su propiedad o que no controle.
2. Por cada licencia que adquiera en nombre de un Usuario final o MCT, puede:
1. distribuir una (1) versión impresa del Material del curso dirigido por un instructor de Microsoft a
un (1) Usuario final que asista a la Sesión de capacitación autorizada y solo inmediatamente
antes del comienzo de la Sesión de capacitación autorizada que es el tema del Instructor de
Microsoft -Se proporciona material didáctico LED, o
2. proporcionar a un (1) usuario final que asista a la sesión de capacitación autorizada con el código de
canje único e instrucciones sobre cómo puede acceder a una (1) versión digital del material didáctico
dirigido por un instructor de Microsoft, o
3. proporcionará un (1) MCT con el código de canje único e instrucciones sobre cómo pueden
acceder a un (1) Contenido de entrenador.
1. solo proporcionará acceso al Contenido con licencia a aquellas personas que hayan adquirido
una licencia válida para el Contenido con licencia,
2. se asegurará de que cada Usuario final que asista a una Sesión de capacitación autorizada tenga su propia copia
con licencia válida del Material didáctico dirigido por un instructor de Microsoft que es el tema de la Sesión de
capacitación autorizada,
3. se asegurará de que cada Usuario final que reciba una versión impresa del Material didáctico
dirigido por un instructor de Microsoft recibirá una copia de este acuerdo y cada Usuario final
aceptará que su uso del Material didáctico dirigido por un instructor de Microsoft estará sujeto a
los términos de este contrato antes de proporcionarles el material didáctico dirigido por un
instructor de Microsoft. Se requerirá que cada individuo indique su aceptación de este acuerdo de
una manera que sea exigible según la ley local antes de acceder al material didáctico dirigido por
un instructor de Microsoft.
VI EULA
4. se asegurará de que cada MCT que enseñe una Sesión de capacitación autorizada tenga su propia
copia con licencia válida del Contenido del capacitador que es el tema de la Sesión de capacitación
autorizada,
5. Solo utilizará MCT calificados que también posean la credencial de certificación de Microsoft
correspondiente que es el tema del título de MOC que se enseña para todas sus Sesiones de
capacitación autorizadas utilizando MOC,
6. solo proporcionará acceso al material didáctico dirigido por un instructor de Microsoft a los usuarios finales,
y
7. solo brindará acceso al contenido del capacitador a los MCT.
3. Si es miembro de la MPN:
1. Cada licencia adquirida en su nombre solo se puede utilizar para revisar una (1) copia del Material didáctico dirigido por un
instructor de Microsoft en el formulario que se le proporcionó. Si el material didáctico dirigido por un instructor de Microsoft
está en formato digital, puede instalar una (1) copia en hasta tres (3) dispositivos personales. No puede instalar el material
didáctico dirigido por un instructor de Microsoft en un dispositivo que no sea de su propiedad o que no controle.
2. Por cada licencia que adquiera en nombre de un Usuario final o Instructor, puede:
1. distribuir una (1) versión impresa del material didáctico dirigido por un instructor de Microsoft a
un (1) usuario final que asista a la sesión de formación privada, y solo inmediatamente antes del
comienzo de la sesión de formación privada que es el tema del microsoft Se proporciona
material didáctico dirigido por un instructor, o
2. proporcionar a un (1) usuario final que asiste a la sesión de capacitación privada el código de canje
único y las instrucciones sobre cómo pueden acceder a una (1) versión digital del material didáctico
dirigido por un instructor de Microsoft, o
3. usted proporcionará a un (1) Instructor que imparte la Sesión de capacitación privada con el código
de canje único e instrucciones sobre cómo pueden acceder a un (1) Contenido de entrenador.
1. solo proporcionará acceso al Contenido con licencia a aquellas personas que hayan adquirido una
licencia válida para el Contenido con licencia,
2. se asegurará de que cada Usuario final que asista a una Sesión de capacitación privada tenga su propia copia
con licencia válida del Material didáctico dirigido por un instructor de Microsoft que es el tema de la Sesión de
capacitación privada,
3. se asegurará de que cada Usuario final que reciba una versión impresa del Material didáctico
dirigido por un instructor de Microsoft recibirá una copia de este acuerdo y cada Usuario final
aceptará que su uso del Material didáctico dirigido por un instructor de Microsoft estará sujeto a la
términos de este contrato antes de proporcionarles el material didáctico dirigido por un instructor
de Microsoft. Se requerirá que cada individuo indique su aceptación de este acuerdo de una
manera que sea exigible según la ley local antes de acceder al material didáctico dirigido por un
instructor de Microsoft.
4. se asegurará de que cada entrenador que imparta una sesión de capacitación privada tenga su propia copia con
licencia válida del contenido del capacitador que es el tema de la sesión de capacitación privada,
EULA VII
5. Solo utilizará instructores calificados que posean la credencial de certificación de Microsoft correspondiente
que es el tema del material didáctico dirigido por instructores de Microsoft que se imparte en todas sus
sesiones de capacitación privada.
6. Solo utilizará MCT calificados que posean la credencial de certificación de Microsoft correspondiente que
es el tema del título de MOC que se imparte para todas sus Sesiones de capacitación privadas utilizando
MOC,
7. solo proporcionará acceso al material didáctico dirigido por un instructor de Microsoft a los usuarios finales,
y
8. solo proporcionará acceso al contenido del capacitador a los capacitadores.
4. Si es un usuario final:
Por cada licencia que adquiera, puede utilizar el material didáctico dirigido por un instructor de Microsoft únicamente para su uso
personal de formación. Si el material didáctico dirigido por un instructor de Microsoft está en formato digital, puede acceder al
material didáctico dirigido por un instructor de Microsoft en línea utilizando el código de canje único que le proporcionó el
proveedor de formación e instalar y utilizar una (1) copia del material didáctico dirigido por un instructor de Microsoft. en hasta
tres (3) dispositivos personales. También puede imprimir una (1) copia del material didáctico dirigido por un instructor de
Microsoft. No puede instalar el material didáctico dirigido por un instructor de Microsoft en un dispositivo que no sea de su
propiedad o que no controle.
5. Si eres Entrenador.
1. Por cada licencia que adquiera, puede instalar y usar una (1) copia del Contenido del capacitador en el formulario que
se le proporcionó en un (1) Dispositivo personal únicamente para preparar y entregar una Sesión de capacitación
autorizada o una Sesión de capacitación privada, y instale una (1) copia adicional en otro Dispositivo personal como
copia de respaldo, que puede usarse solo para reinstalar el Contenido del entrenador. No puede instalar ni utilizar
una copia del Contenido del entrenador en un dispositivo que no sea de su propiedad o que no controle. También
puede imprimir una (1) copia del contenido del capacitador únicamente para preparar y realizar una sesión de
capacitación autorizada o una sesión de capacitación privada.
2. Si es un MCT, puede personalizar las partes escritas del Contenido del capacitador que están
lógicamente asociadas con la instrucción de una sesión de capacitación de acuerdo con la versión más
reciente del acuerdo MCT.
3. Si elige ejercer los derechos anteriores, acepta cumplir con lo siguiente: (i) las personalizaciones solo se
pueden usar para enseñar Sesiones de capacitación autorizadas y Sesiones de capacitación privadas, y (ii)
todas las personalizaciones cumplirán con este acuerdo. Para mayor claridad, cualquier uso de "personalizar"
se refiere solo a cambiar el orden de las diapositivas y el contenido, y / o no usar todas las diapositivas o el
contenido, no significa cambiar o modificar ninguna diapositiva o contenido.
● 2.2 Separación de componentes. El Contenido con licencia se licencia como una sola unidad y usted
no puede separar sus componentes e instalarlos en diferentes dispositivos.
● 2.3 Redistribución de contenido con licencia. Salvo que se indique expresamente en los derechos
de uso anteriores, no puede distribuir ningún Contenido con licencia ni ninguna parte del mismo (incluidas
las modificaciones permitidas) a terceros sin el permiso expreso por escrito de Microsoft.
● 2.4 Avisos de terceros. El Contenido con licencia puede incluir código de terceros que Microsoft,
no el tercero, le otorga bajo la licencia de este acuerdo. Los avisos, si los hubiera, para el código de terceros
se incluyen solo para su información.
● 2.5 Terminos adicionales. Parte del Contenido con licencia puede contener componentes con términos,
condiciones y licencias adicionales con respecto a su uso. Cualquier término no conflictivo en esas condiciones y
licencias también se aplica a su uso de ese componente respectivo y complementa los términos descritos en este
acuerdo.
VIII EULA
3. CONTENIDO CON LICENCIA BASADO EN TECNOLOGÍA PREVIA AL LANZAMIENTO. Si el tema del Contenido con licencia
el asunto se basa en una versión preliminar de la tecnología de Microsoft (" Prelanzamiento ”), Además de las demás
disposiciones de este contrato, también se aplican estos términos:
1. Contenido con licencia previo al lanzamiento. Este tema del Contenido con licencia se encuentra en la versión preliminar
versión de la tecnología de Microsoft. Es posible que la tecnología no funcione de la forma en que lo hará una versión
final de la tecnología y es posible que cambiemos la tecnología para la versión final. Es posible que tampoco
lancemos una versión final. El Contenido con licencia basado en la versión final de la tecnología puede no contener la
misma información que el Contenido con licencia basado en la versión preliminar. Microsoft no tiene la obligación de
proporcionarle ningún contenido adicional, incluido el Contenido con licencia basado en la versión final de la
tecnología.
2. Realimentación. Si acepta enviar comentarios sobre el Contenido con licencia a Microsoft, ya sea directamente o a
través de un tercero designado, le otorga a Microsoft sin cargo el derecho a usar, compartir y comercializar sus
comentarios de cualquier manera y para cualquier propósito. También otorga a terceros, sin cargo, los derechos de
patente necesarios para que sus productos, tecnologías y servicios utilicen o interactúen con partes específicas de
una tecnología de Microsoft, un producto de Microsoft o un servicio que incluya los comentarios. No proporcionará
comentarios que estén sujetos a una licencia que requiera que Microsof otorgue licencias de su tecnología,
tecnologías o productos a terceros porque incluimos sus comentarios en ellos. Estos derechos sobreviven a este
acuerdo.
3. Término de prelanzamiento. Si es miembro del programa Microsoft Imagine Academy, miembro de la competencia
de aprendizaje de Microsoft, miembro de MPN, Microsoft Learn for Educators - educador validado o capacitador,
dejará de usar todas las copias del contenido con licencia en la tecnología de prelanzamiento en (i ) la fecha en la que
Microsoft le informa es la fecha de finalización para el uso del Contenido con licencia en la tecnología previa al
lanzamiento, o (ii) sesenta (60) días después del lanzamiento comercial de la tecnología que es objeto del Contenido
con licencia, lo que ocurra más temprano (" Plazo de prelanzamiento ”). Una vez que expire o termine el período de
prelanzamiento, eliminará y destruirá irremediablemente todas las copias del Contenido con licencia que tenga o
esté bajo su control.
4. ALCANCE DE LA LICENCIA. El Contenido con licencia se licencia, no se vende. Este acuerdo solo le otorga algunos
derechos para utilizar el Contenido con licencia. Microsoft se reserva todos los demás derechos. A menos que la ley
aplicable le otorgue más derechos a pesar de esta limitación, puede usar el Contenido con licencia solo según lo
expresamente permitido en este acuerdo. Al hacerlo, debe cumplir con las limitaciones técnicas en el Contenido con
licencia que solo le permite usarlo de ciertas maneras. Salvo lo expresamente permitido en este acuerdo, no podrá:
● acceder o permitir que cualquier persona acceda al Contenido con licencia si no ha adquirido una licencia
válida para el Contenido con licencia,
● alterar, eliminar u ocultar los derechos de autor u otros avisos de protección (incluidas las marcas de agua), marcas
o identificaciones incluidas en el Contenido con licencia,
● modificar o crear un trabajo derivado de cualquier Contenido con licencia,
● mostrar públicamente o hacer que el Contenido con licencia esté disponible para que otros accedan o usen,
● copiar, imprimir, instalar, vender, publicar, transmitir, prestar, adaptar, reutilizar, vincular o publicar, poner a
disposición o distribuir el Contenido con licencia a cualquier tercero,
● solucionar cualquier limitación técnica en el Contenido con licencia, o
● aplicar ingeniería inversa, descompilar, eliminar o frustrar cualquier protección o desensamblar el Contenido con
licencia, excepto y solo en la medida en que la ley aplicable lo permita expresamente, a pesar de esta limitación.
5. RESERVA DE DERECHOS Y PROPIEDAD. Microsoft se reserva todos los derechos que no se le otorguen expresamente en
este contrato. El Contenido con licencia está protegido por derechos de autor y otra propiedad intelectual.
EULA IX
leyes y tratados. Microsoft o sus proveedores poseen el título, los derechos de autor y otros derechos de propiedad
intelectual del Contenido con licencia.
6. RESTRICCIONES DE EXPORTACIÓN. El Contenido con licencia está sujeto a las leyes y regulaciones de exportación de los
Estados Unidos. Debe cumplir con todas las leyes y regulaciones de exportación nacionales e internacionales que se aplican al
Contenido con licencia. Estas leyes incluyen restricciones sobre destinos, usuarios finales y uso final. Para obtener información
adicional, visite www.microsoft.com/exporting.
7. SERVICIOS DE APOYO. Debido a que el Contenido con licencia se proporciona "tal cual", no estamos obligados a
brindarle servicios de soporte.
8. TERMINACIÓN. Sin perjuicio de cualquier otro derecho, Microsoft puede rescindir este acuerdo si no
cumple con los términos y condiciones de este acuerdo. Tras la rescisión de este acuerdo por cualquier
motivo, dejará inmediatamente de usar y eliminará y destruirá todas las copias del Contenido con licencia
en su posesión o bajo su control.
9. ENLACES A SITIOS DE TERCEROS. Puede vincular a sitios de terceros mediante el uso del Contenido con licencia.
Los sitios de terceros no están bajo el control de Microsoft, y Microsoft no es responsable del contenido de los
sitios de terceros, de los enlaces contenidos en los sitios de terceros o de los cambios o actualizaciones de los
sitios de terceros. Microsoft no es responsable de la difusión por Internet ni de ninguna otra forma de
transmisión recibida de sitios de terceros. Microsoft le proporciona estos vínculos a sitios de terceros solo para su
conveniencia, y la inclusión de cualquier vínculo no implica un respaldo por parte de Microsoft del sitio de
terceros.
10. ACUERDO COMPLETO. Este acuerdo y cualquier término adicional para el Contenido del capacitador, actualizaciones y
Los suplementos son el acuerdo completo para el Contenido con licencia, las actualizaciones y los suplementos.
11. LEY APLICABLE.
1. Estados Unidos. Si adquirió el Contenido con licencia en los Estados Unidos, la ley del estado de Washington rige la
interpretación de este acuerdo y se aplica a las reclamaciones por incumplimiento, independientemente de los principios
de conflicto de leyes. Las leyes del estado donde vive rigen todos los demás reclamos, incluidos los reclamos bajo las leyes
estatales de protección al consumidor, las leyes de competencia desleal y los casos de agravio.
2. Fuera de Estados Unidos. Si adquirió el Contenido con licencia en cualquier otro país, se aplicarán las leyes
de ese país.
12. EFECTO LEGAL. Este acuerdo, describe ciertos derechos legales. Es posible que tenga otros derechos en virtud de la
leyes de su país. También puede tener derechos con respecto a la parte de la que adquirió el Contenido
con licencia. Este acuerdo no cambia sus derechos bajo las leyes de su país si las leyes de su país no lo
permiten.
13. RENUNCIA DE GARANTÍA. EL CONTENIDO LICENCIADO TIENE LICENCIA "TAL CUAL" Y "SEGÚN DISPONIBILIDAD.
BLE. "USTED ASUME EL RIESGO DE USARLO. MICROSOFT Y SUS RESPECTIVAS FILIALES NO OFRECEN
GARANTÍAS, GARANTÍAS O CONDICIONES EXPRESAS. ES POSIBLE QUE TENGA DERECHOS ADICIONALES
DE CONSUMIDOR BAJO SUS LEYES LOCALES QUE ESTE ACUERDO NO PUEDE CAMBIAR. LAS LEYES
LOCALES, MICROSOFT Y SUS RESPECTIVAS FILIALES EXCLUYEN CUALQUIER GARANTÍA IMPLÍCITA DE
COMERCIABILIDAD, APTITUD PARA UN PROPÓSITO PARTICULAR Y NO INFRACCIÓN.
14. LIMITACIÓN Y EXCLUSIÓN DE RECURSOS Y DAÑOS. PUEDES RECUPERARTE DE

MICROSOFT, SUS RESPECTIVAS AFILIADAS Y SUS PROVEEDORES SOLO DAÑOS DIRECTOS HASTA $ 5.00 USD.
NO PUEDE RECUPERAR NINGÚN OTRO DAÑO, INCLUYENDO DAÑOS CONSECUENTES, PÉRDIDA DE
BENEFICIOS, DAÑOS ESPECIALES, INDIRECTOS O INCIDENTALES.
X EULA
Esta limitación se aplica a
● todo lo relacionado con el Contenido con licencia, los servicios, el contenido (incluido el código) en sitios de Internet de
terceros o programas de terceros; y
● reclamos por incumplimiento de contrato, incumplimiento de garantía, garantía o condición, responsabilidad estricta,
negligencia u otro agravio en la medida permitida por la ley aplicable.
También se aplica incluso si Microsoft sabía o debería haber sabido sobre la posibilidad de los daños. Es posible que la
limitación o exclusión anterior no se aplique a usted porque es posible que su país no permita la exclusión o limitación
de daños incidentales, consecuentes o de otro tipo.
Tenga en cuenta: Dado que este Contenido con licencia se distribuye en Quebec, Canadá, algunas de las cláusulas de este
acuerdo se proporcionan a continuación en francés.
Comentario: Ce le contenu sous license étant distribué au Québec, Canadá, certaines des clauses
dans ce contrat sont fournies ci-dessous en français.
EXONÉRACIÓN DE GARANTIE. Le contenu sous license visé par une license est offert «tel quel». Toda la
utilización de ce contenu sous license est à votre seule risque et péril. Microsoft n'accorde aucune autre
garantie expresse. Vous pouvez bénéficier de droits addnels en vertu du droit local sur la protection dues
consommateurs, que ce contrat ne peut modifier. La ou elles sont permises par le droit locale, les garanties
implicites de qualité marchande, d'adéquation à un use particulier et d'absence de contrafaçon sont exclues.
LIMITATION DES DOMMAGES-INTÉRÊTS ET EXCLUSION DE RESPONSABILITÉ POUR LES DOMMAGES. Vous

pouvez obtenir de Microsoft et de ses fournisseurs une indemnisation en cas de dommages directs
uniquement à hauteur de 5,00 $ US. Vous ne pouvez prétendre à aucune indemnisation pour les autres
dommages, y comprende les dommages spéciaux, indirects ou accessoires et pertes de bénéfices.
Limitación de Cette con respecto a:
● tout ce qui est relié au le contenu sous license, aux services ou au contenu (y el código comprendido)
figurant sur des sites Niveles de Internet o niveles de programas; et.
● les réclamations au título de infracción de contrato o de garantía, o título de responsabilidad estricta, de

negligencia o de derecho de autor faute dans la limitación autorizada par la loi en vigueur.
Elle s'applique également, même si Microsoft connaissait ou devrait connaître l'éventualité d'un tel dommage.
Si votre pays n'autorise pas l'exclusion ou la limitación de responsabilité pour les dommages indirects,
accessoires ou de quelque nature que ce soit, il se peut que la limit ou l'exclusion ci-dessus ne s'appliquera pas
à votre égard .
EFFET JURIDIQUE. Le présent contrat décrit certains droits juridiques. Vous pourriez avoir d'autres droits
prévus par les lois de votre pays. Le présent contrat ne modifie pas les droits que vous confèrent les lois de
votre pays si celles-ci ne le permettent pas.
Revisado en abril de 2019

Contenido
■ Módulo 0 Empiece aquí ... ............................................................ 1

Empieza aqui .............. ............................................................ 1
■ Módulo 1 Identidad ...... ............................................................ 11

Azure Active Directory .... ............................................................ 11
Usuarios y grupos ........ ............................................................ 18
Módulo 01 Práctica de laboratorio y revisión ............................................................ 24
■ Módulo 2 Gobernanza y cumplimiento .............................................. 29

Suscripciones y cuentas ............................................................ 29
Política de Azure ............ ............................................................ 37
Control de acceso basado en roles ............................................................ 44
Módulo 02 Preguntas de laboratorio y repaso ................................................... 50
■ Módulo 3 Administración de Azure ..................................................... 57

Administrador de recursos de Azure ............................................................. 57
Azure Portal y Cloud Shell ........................................................... sesenta y cinco
Plantillas ARM de Azure ............................................................. 68

PowerShell y CLI ...................................................................... 74
■ Módulo 4 Redes virtuales ....................................................... 89

Redes virtuales ......... ............................................................ 89
Direccionamiento IP ........... ............................................................ 94
Grupos de seguridad de red .. ............................................................ 97
Cortafuegos de Azure ........... ............................................................ 101
DNS de Azure ......................................................................... 104
■ Módulo 5 Conectividad entre sitios ..................................................... 123

Emparejamiento de redes
. . .virtuales
......... ............................................................ 123
Conexiones de puerta de enlace VPN ............................................................ 129
Conexiones ExpressRoute ............................................................. 137
Módulo 05 Práctica de laboratorio y revisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
■ Módulo 6 Gestión del tráfico de red ............................................. 151

Enrutamiento de red y puntos de ........................................................ 151
conexión Azure Load Balancer . . . . . ............................................................ 161
Puerta de enlace de aplicaciones de Azure ............................................................ 167
■ Módulo 7 Azure Storage ........................................................... 179

Cuentas de almacenamiento ........ ............................................................ 179
Almacenamiento de blobs ............ ............................................................ 189
Seguridad de almacenamiento ......... ............................................................ 195
Administración de almacenamiento .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
de Azure Files y File Sync ....... ............................................................ 212
Práctica de laboratorio y revisión del módulo 07. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
■ Módulo 8 Máquinas virtuales de Azure ................................................... 231

Planificación de máquinas virtuales ............................................................
.. 231
Creando Máquinas Virtuales ............................................................. 240
Disponibilidad de la máquina virtual ............................................................ 246
Extensiones de máquina virtual ............................................................ 254
Preguntas de laboratorio y repaso del módulo 08 ................................................... 258
■ Módulo 9 Computación sin servidor .................................................... 267

Planes de servicios de aplicaciones de .. ............................................................ 267
Azure Servicios de aplicaciones de Azure
...... ............................................................ 273
Servicios de contenedores .......... ......................................................... 285
Servicio Azure Kubernetes ............................................................. 290
Práctica de laboratorio y revisión del módulo 09
... ......................................................... 307
■ Módulo 10 Protección de datos ......................................................... 315

Copias de seguridad de archivos y ...... ......................................................... 315
carpetas Copias de seguridad de máquinas. .virtuales
... ......................................................... 323
Preguntas de laboratorio y repaso del Módulo 10 ................................................... 333
■ Módulo 11 Monitoreo ............................................................. 339

Monitor de Azure ....................................................................... 339
Alertas de Azure ........................................................................ 345
Log Analytics ........................................................................ 350
Vigilante de la red .................................................................... 357
Preguntas de laboratorio y repaso del Módulo 11 .................................................... 365
Módulo 0 Empiece aquí
Empieza aqui
Acerca de este curso

Descripción del curso
Este curso enseña a los profesionales de TI cómo administrar sus suscripciones de Azure, proteger identidades, administrar
la infraestructura, configurar redes virtuales, conectar Azure y sitios locales, administrar el tráfico de red, implementar
soluciones de almacenamiento, crear y escalar máquinas virtuales, implementar aplicaciones web. y contenedores, haga
copias de seguridad y comparta datos, y supervise su solución.
Nivel: Intermedio
Audiencia
Este curso está dirigido a administradores de Azure. Los administradores de Azure administran los servicios en la nube que abarcan el
almacenamiento, las redes y las capacidades de computación en la nube, con un conocimiento profundo de cada servicio en todo el ciclo de
vida de la TI. Aceptan las solicitudes de los usuarios finales para nuevas aplicaciones en la nube y hacen recomendaciones sobre los servicios
que se deben utilizar para lograr un rendimiento y una escala óptimos, así como el aprovisionamiento, el tamaño, el monitoreo y los ajustes
según corresponda. Este rol requiere comunicarse y coordinarse con los proveedores. Los administradores de Azure usan Azure Portal y, a
medida que se vuelven más competentes, usan PowerShell y la interfaz de línea de comandos.
Prerrequisitos
Los administradores de Azure exitosos comienzan este rol con experiencia en virtualización, redes, identidad y
almacenamiento.
● Comprender las tecnologías de virtualización locales, que incluyen: máquinas virtuales, redes virtuales y discos duros
virtuales.
● Comprender las configuraciones de red, incluido TCP / IP, sistema de nombres de dominio (DNS), redes privadas
virtuales (VPN), firewalls y tecnologías de encriptación.
● Comprensión de los conceptos de Active Directory, incluidos usuarios, grupos y control de acceso basado en roles.
● Comprender la resiliencia y la recuperación ante desastres, incluidas las operaciones de copia de seguridad y restauración.
2 Módulo 0 Empiece aquí
Puede obtener los requisitos previos y una mejor comprensión de Azure tomando AZ-104: Requisitos previos para
administradores de Azure 1 . Esta capacitación en línea gratuita le brindará la experiencia que necesita para tener éxito en
este curso.
Aprendizaje esperado
● Identidades seguras con Azure Active Directory y usuarios y grupos.
● Administre suscripciones, cuentas, políticas de Azure y control de acceso basado en roles.
● Administre Azure mediante las plantillas Resource Manager, Azure Portal, Cloud Shell, Azure PowerShell,
CLI y ARM.
● Configure redes virtuales, incluida la planificación, el direccionamiento IP, Azure DNS, grupos de seguridad de red y
Azure Firewall.
● Configure soluciones de conectividad entre sitios como VNet Peering, puertas de enlace de redes virtuales y conexiones VPN de
sitio a sitio.
● Administre el tráfico de red mediante el enrutamiento de red y los puntos de conexión de servicio, el equilibrador de carga de Azure y
Azure Application Gateway.
● Implemente, administre y proteja las cuentas de almacenamiento de Azure, el almacenamiento de blobs y los archivos de Azure con File
● Sync. Planifique, cree y escale máquinas virtuales.
● Administre Azure App Service, Azure Container Instances y Kubernetes. Realice copias de
● seguridad de archivos, carpetas y máquinas virtuales.
● Supervise la infraestructura de Azure con Azure Monitor, alertas de Azure, Log Analytics y Network Watcher.
Programa de estudios
El contenido del curso incluye una combinación de contenido, demostraciones, laboratorios prácticos, enlaces de referencia y
preguntas de revisión del módulo.
Módulo 01 - Identidad
En este módulo, aprenderá a proteger las identidades con Azure Active Directory e implementar usuarios y
grupos. Este módulo incluye:
● Azure Active Directory
● Usuarios y grupos
● Laboratorio 01: Administración de identidades de Azure Active Directory
Módulo 02 - Gobernanza y cumplimiento
En este módulo, aprenderá a administrar sus suscripciones y cuentas, implementar políticas de Azure y
usar el control de acceso basado en roles. Este módulo incluye:
● Suscripciones y cuentas
● Política de Azure
● Control de acceso basado en roles (RBAC)
● Laboratorio 02a: Administrar suscripciones y RBAC
● Laboratorio 02b: Gestión de la gobernanza mediante la política de Azure
1 https://docs.microsoft.com/en-us/learn/paths/az-104-administrator-prerequisites/
Empieza aqui 3
Módulo 03: Administración de Azure
En este módulo, aprenderá sobre las herramientas que utiliza un administrador de Azure para administrar su
infraestructura. Esto incluye las plantillas de Azure Portal, Cloud Shell, Azure PowerShell, CLI y Resource Manager.
Este módulo incluye:
● Administrador de recursos
● Azure Portal y Cloud Shell
● Plantillas ARM de Azure
● PowerShell y CLI
● Laboratorio 03a: administración de recursos de Azure mediante el portal de Azure
● Laboratorio 03b: administración de recursos de Azure mediante plantillas ARM
● Laboratorio 03c: administración de recursos de Azure mediante Azure PowerShell (opcional)
● Laboratorio 03d: administración de recursos de Azure mediante la CLI de Azure (opcional)
Módulo 04 - Redes virtuales
En este módulo, aprenderá conceptos básicos de redes virtuales como redes virtuales y subredes,
direccionamiento IP, DNS de Azure, grupos de seguridad de red y Firewall de Azure. Este módulo incluye:
● Redes virtuales
● Direccionamiento IP
● Grupos de seguridad de red
● Cortafuegos de Azure
● DNS de Azure
● Laboratorio 04: Implementación de redes virtuales
Módulo 05 - Conectividad entre sitios
En este módulo, aprenderá acerca de las características de conectividad entre sitios, incluidos VNet Peering, Virtual
Network Gateways y VPN Gateway Connections. Este módulo incluye:
● Emparejamiento de redes virtuales
● Conexiones de puerta de enlace VPN
● ExpressRoute y WAN virtual
● Laboratorio 05: Implementación de conectividad entre sitios
Módulo 06 - Gestión del tráfico de la red
En este módulo, aprenderá acerca de las estrategias de tráfico de red, incluido el enrutamiento de red y los puntos de
conexión de servicio, Azure Load Balancer y Azure Application Gateway. Este módulo incluye:
● Enrutamiento de red y puntos finales
● Balanceador de carga de Azure
● Puerta de enlace de aplicaciones de Azure
● Laboratorio 06: Implementación de la gestión del tráfico
Módulo 07: Almacenamiento en Azure

En este módulo, aprenderá sobre las características básicas de almacenamiento, incluidas las cuentas de almacenamiento, el almacenamiento de blobs, los
archivos de Azure y la sincronización de archivos, la seguridad del almacenamiento y las herramientas de almacenamiento. Este módulo incluye:
● Cuentas de almacenamiento
● Almacenamiento de blobs
● Seguridad de almacenamiento
● Administración de almacenamiento
● de Azure Files y File Sync
● Laboratorio 07: Administrar el almacenamiento de Azure
Módulo 08: máquinas virtuales de Azure
En este módulo, aprenderá sobre las máquinas virtuales de Azure, incluida la planificación, la creación, la disponibilidad y
las extensiones. Este módulo incluye:
● Planificación de máquinas virtuales
● Creando Máquinas Virtuales
● Disponibilidad de la máquina virtual
● Extensiones de máquina virtual
● Laboratorio 08 - Administrar máquinas virtuales
Módulo 09 - Computación sin servidor
En este módulo, aprenderá a administrar funciones informáticas sin servidor como Azure App Service, Azure
Container Instances y Kubernetes. Este módulo incluye:
● Planes de servicios de aplicaciones de
● Azure Servicios de aplicaciones de Azure
● Servicios de contenedores
● Servicios de Azure Kubernetes
● Laboratorio 09a: Implementación de aplicaciones web
● Laboratorio 09b: implementación de Azure Container Instances
● Lab 09c: implementación del servicio Azure Kubernetes
Módulo 10 - Protección de datos
En este módulo, aprenderá a realizar copias de seguridad de archivos y carpetas, y copias de seguridad de máquinas virtuales. Este
módulo incluye:
● Copias de seguridad de archivos y carpetas
● Copias de seguridad de máquinas virtuales
● Laboratorio 10: Implementar la protección de datos
Módulo 11 - Monitoreo
En este módulo, aprenderá a monitorear su infraestructura de Azure, incluido Azure Monitor, alertas y
análisis de registros. Este módulo incluye:
● Monitor de Azure
● Alertas de Azure
Empieza aqui 5
● Log Analytics
● Vigilante de la red
● Laboratorio 11 - Monitoreo de implementos
Examen de certificación AZ-104

El AZ-104, Administrador de Microsoft Azure 2 , El examen de certificación está dirigido a candidatos de administrador de
Azure que administran servicios en la nube que abarcan computación, redes, almacenamiento, seguridad y otras
capacidades en la nube dentro de Microsoft Azure. Estos candidatos deben tener un conocimiento profundo de cada servicio
en todo el ciclo de vida de TI; incluidos los servicios, las aplicaciones y los entornos de infraestructura. También podrán
hacernos recomendaciones sobre los servicios para un rendimiento y una escala óptimos, incluida la provisión, el tamaño, el
monitoreo y el ajuste de los recursos de Azure.
El examen incluye cinco áreas de estudio. Los porcentajes indican el peso relativo de cada área en el
examen. Cuanto mayor sea el porcentaje, más preguntas contendrá el examen.
Áreas de estudio AZ-104 Pesos

Administrar las identidades y la gobernanza de Azure 15-20%
Implementar y administrar el almacenamiento 10-15%
Implementar y administrar recursos informáticos de Azure 25-30%
Configurar y administrar redes virtuales 30-35%
Supervisar y realizar copias de seguridad de los recursos de Azure 10-15%
Microsoft Learn
Microsoft Learn ofrece capacitación en habilidades a su propio ritmo sobre una variedad de temas. Estos módulos de aprendizaje
cubren el contenido que acaba de aprender. También puede buscar contenido adicional que pueda resultarle útil.
Módulo 01 - Identidad
● Crear usuarios y grupos de Azure en Azure Active Directory 3
● Administrar usuarios y grupos en Azure Active Directory 4
● Proteja sus recursos de Azure con control de acceso basado en roles 5
● Proteja a los usuarios de Azure Active Directory con autenticación multifactor 6
● Permitir a los usuarios restablecer su contraseña con el restablecimiento de contraseña de autoservicio de Azure Active Directory 7
● Proteja su aplicación con OpenID Connect y Azure AD 8
Módulo 02 - Gobernanza y cumplimiento

● Analice costos y cree presupuestos con Azure Cost Management 9
2 https://www.microsoft.com/en-us/learning/exam-AZ-103.aspx
3 https://docs.microsoft.com/en-us/learn/modules/create-users-and-groups-in-azure-active-directory/
4 https://docs.microsoft.com/en-us/learn/ modules / manage-users-and-groups-in-aad /
5 https://docs.microsoft.com/en-us/learn/modules/secure-azure-resources-with-rbac/ https://docs.microsoft.
6 com / en-us / learn / modules / secure-aad-users-with-mfa /
7 https://docs.microsoft.com/en-us/learn/modules/allow-users-reset-their-password/
8 https://docs.microsoft.com/en-us/learn/modules/secure-app- con-oidc-y-azure-ad /
9 https://docs.microsoft.com/en-us/learn/modules/analyze-costs-create-budgets-azure-cost-management/
● Predecir costos y optimizar el gasto para Azure 10
● Controle y organice los recursos de Azure con Azure Resource Manager 11
● Aplique y supervise los estándares de infraestructura con Azure Policy 12
● Cree roles personalizados para los recursos de Azure con control de acceso basado en roles 13
● Administre el acceso a una suscripción de Azure mediante el control de acceso basado en roles de Azure 14
Módulo 03: Administración de Azure

● Servicios en la nube principales: administre servicios con el portal de Azure dieciséis
● Crear plantillas de Azure Resource Manager 18
● Automatice las tareas de Azure mediante scripts con PowerShell 19
● Administrar máquinas virtuales con la CLI de Azure 20
Módulo 04 - Redes virtuales

● Fundamentos de redes: principios 21
● Diseñe un esquema de direccionamiento IP para su implementación de Azure 22
● Asegure y aísle el acceso a los recursos de Azure mediante el uso de grupos de seguridad de red y puntos de conexión de
servicio 23
Módulo 05 - Conectividad entre sitios

● Distribuya sus servicios en las redes virtuales de Azure e intégrelos mediante el emparejamiento de
redes virtuales. 24
● Conecte su red local a Azure con VPN Gateway 25
● Conecte su red local a la red global de Microsoft mediante ExpressRoute 26
10 https://docs.microsoft.com/en-us/learn/modules/predict-costs-and-optimize-spending/
11 https://docs.microsoft.com/en-us/learn/modules/control-and- organizar-con-azure-resource-manager /
12 https://docs.microsoft.com/en-us/learn/modules/intro-to-governance/
13 https://docs.microsoft.com/en-us/learn/modules/create-custom-azure-roles-with-rbac/
14 https://docs.microsoft.com/en-us/learn/modules/manage- suscripción-acceso-azure-rbac /
15 https://docs.microsoft.com/en-us/learn/modules/secure-azure-resources-with-rbac/
https://docs.microsoft.com/en-us/
dieciséis aprender / módulos / tour-azure-portal /
17 https://docs.microsoft.com/en-us/learn/modules/control-and-organize-with-azure-resource-manager/
18 https://docs.microsoft.com/en-us/learn/modules/ build-azure-vm-templates /
19 https://docs.microsoft.com/en-us/learn/modules/automate-azure-tasks-with-powershell/
20 https://docs.microsoft.com/en-us/learn/modules/manage-virtual- máquinas-con-azure-cli /
21 https://docs.microsoft.com/en-us/learn/modules/network-fundamentals/
22 https://docs.microsoft.com/en-us/learn/modules/design- direccionamiento-ip-para-azure /
23 https://docs.microsoft.com/en-us/learn/modules/secure-and-isolate-with-nsg-and-service-endpoints/
24 https://docs.microsoft.com/en-us/learn/ modules / integr-vnets-with-vnet-peering /
25 https://docs.microsoft.com/en-us/learn/modules/connect-on-premises-network-with-vpn-gateway/ https: //
26 docs. microsoft.com/en-us/learn/modules/connect-on-premises-network-with-expressroute/
Empieza aqui 7
Módulo 06 - Gestión del tráfico de la red

● Administre y controle el flujo de tráfico en su implementación de Azure con rutas 27
● Mejore la escalabilidad y la resistencia de las aplicaciones mediante el uso de Azure Load Balancer 28
● Equilibre la carga del tráfico de su servicio web con Application Gateway 29
● Mejore la disponibilidad de sus servicios y la ubicación de los datos mediante el uso de Azure Traffic Manager 30
Módulo 07: Almacenamiento en Azure

● Cree una cuenta de Azure Storage 31
● Asegure su almacenamiento de Azure 32
● Optimice el rendimiento y los costos del almacenamiento mediante niveles de almacenamiento de blobs 33
● Haga que el almacenamiento de su aplicación sea altamente disponible con almacenamiento con redundancia geográfica de acceso de lectura 34
● Copie y mueva blobs de un contenedor o cuenta de almacenamiento a otro desde la línea de comando
y en el código 35
● Mueva grandes cantidades de datos a la nube con la familia Azure Data Box 36
● Supervise, diagnostique y solucione problemas de su almacenamiento de Azure 37
Módulo 08: máquinas virtuales de Azure

● Cree una aplicación escalable con conjuntos de escalado de máquinas virtuales 38
● Implementar máquinas virtuales de Azure a partir de plantillas VHD 39
● Elija el almacenamiento en disco adecuado para la carga de trabajo de su máquina virtual 40
● Agregar y dimensionar discos en máquinas virtuales de Azure 41
● Proteja la configuración de su máquina virtual con Azure Automation State Configuration 42
Módulo 09 - Computación sin servidor

● Aloje una aplicación web con el servicio de aplicaciones de Azure 43
● Realice una implementación de una aplicación web para probar y revertir mediante el uso de ranuras de implementación de App Service 44
27 https://docs.microsoft.com/en-us/learn/modules/control-network-traffic-flow-with-routes/
28 https://docs.microsoft.com/en-us/learn/modules/improve- app-scalability-resiliency-with-load-balancer /
29 https://docs.microsoft.com/en-us/learn/modules/load-balance-web-traffic-with-application-gateway/ https: //
30 docs. microsoft.com/en-us/learn/modules/distribute-load-with-traffic-manager/
31 https://docs.microsoft.com/en-us/learn/modules/create-azure-storage-account/
32 https://docs.microsoft.com/en-us/learn/modules/secure-azure-storage-account/
33 https://docs.microsoft.com/en-us/learn/modules/optimize-archive-costs- blob-storage /
34 https://docs.microsoft.com/en-us/learn/modules/ha-application-storage-with-grs/
35 https://docs.microsoft.com/en-us/learn/modules/ copy-blobs-from-command-line-and-code /
36 https://docs.microsoft.com/en-us/learn/modules/move-data-with-azure-data-box/ https: // docs.
37 microsoft.com/en-us/learn/modules/monitor-diagnose-and-troubleshoot-azure-storage/
38 https://docs.microsoft.com/en-us/learn/modules/build-app-with-scale- conjuntos /
39 https://docs.microsoft.com/en-us/learn/modules/deploy-vms-from-vhd-templates/
40 https://docs.microsoft.com/en-us/learn/modules/choose-the- almacenamiento-en-disco-derecho-para-carga-de-trabajo-vm /
41 https://docs.microsoft.com/en-us/learn/modules/add-and-size-disks-in-azure-virtual-machines/ https: //
42 docs.microsoft.com/en-us/learn/modules/protect-vm-settings-with-dsc/
43 https://docs.microsoft.com/en-us/learn/modules/host-a-web-app- con-azure-app-service /
44 https://docs.microsoft.com/en-us/learn/modules/stage-deploy-app-service-deployment-slots/
● Escale una aplicación web de App Service para satisfacer la demanda de manera eficiente con App Service escalar y escalar
horizontalmente 45
● Cumpla dinámicamente los requisitos cambiantes de rendimiento de las aplicaciones web con reglas de escala automática 46
● Capture y vea los tiempos de carga de la página en su aplicación web de Azure con Application Insights 47
● Ejecute contenedores de Docker con Azure Container Instances 48
● Introducción al servicio Azure Kubernetes 49
Módulo 10 - Protección de datos

● Proteja sus máquinas virtuales con Azure Backup 50
● Realice una copia de seguridad y restaure su base de datos SQL de Azure 51
● Proteja su infraestructura de Azure con Azure Site Recovery 52
● Proteja su infraestructura local de desastres con Azure Site Recovery 53
Módulo 11 - Monitoreo
● Analice su infraestructura de Azure mediante los registros de Azure Monitor 54
● Mejore la respuesta a incidentes con alertas en Azure 55
● Supervise el estado de su máquina virtual de Azure mediante la recopilación y el análisis de datos de diagnóstico 56
✔ Estos enlaces también se encuentran al final de cada módulo.
Recursos de estudio adicionales

Hay muchos recursos adicionales para ayudarlo a aprender sobre Azure. Le recomendamos que marque estas páginas como
favorito.
● Foros de Azure 58 . Los foros de Azure son muy activos. Puede buscar los hilos para un área de interés específica.
También puede explorar categorías como Azure Storage, Pricing and Billing, Azure Virtual Machines y Azure
Migrate.
● Blog de la comunidad de aprendizaje de Microsoft 59 . Obtenga la información más reciente sobre las pruebas de certificación y los grupos de
estudio de exámenes.
● Canal 9 60 . Channel 9 ofrece una gran cantidad de videos, programas y eventos informativos.
45 https://docs.microsoft.com/en-us/learn/modules/app-service-scale-up-scale-out/
46 https://docs.microsoft.com/en-us/learn/modules/app- service-autoscale-rules /
47 https://docs.microsoft.com/en-us/learn/modules/capture-page-load-times-application-insights/
48 https://docs.microsoft.com/en-us/ learn / modules / run-docker-with-azure-container-instances /
49 https://docs.microsoft.com/en-us/learn/modules/intro-to-azure-kubernetes-service/ https: // docs.
50 microsoft.com/en-us/learn/modules/protect-virtual-machines-with-azure-backup/
51 https://docs.microsoft.com/en-us/learn/modules/backup-restore-azure-sql/
52 https://docs.microsoft.com/en-us/learn/modules/protect-infrastructure-with-site-recovery/
53 https://docs.microsoft.com/en-us/learn/modules/protect-on- premisa-infraestructura-con-azure-site-recovery /
54 https://docs.microsoft.com/en-us/learn/modules/analyze-infrastructure-with-azure-monitor-logs/ https://docs.microsoft.
55 com / en-us / learn / modules / incidente-respuesta-con-alerta-en-azure /
56 https://docs.microsoft.com/en-us/learn/modules/monitor-azure-vm-using-diagnostic- data /
57 https://docs.microsoft.com/en-us/learn/modules/monitor-diagnose-and-troubleshoot-azure-storage/
58 https://social.msdn.microsoft.com/Forums/en-US/ home? category = windowsazureplatform
59 https://www.microsoft.com/en-us/learning/community-blog.aspx
60 https://channel9.msdn.com/
Empieza aqui 9
● Azure Tuesday con Corey 61 . Corey Sanders responde a sus preguntas sobre Microsoft Azure: máquinas virtuales, sitios
web, servicios móviles, desarrollo / pruebas, etc.
● Viernes azur 62 . Únase a Scott Hanselman mientras se relaciona personalmente con los ingenieros que crean los servicios que impulsan
Microsoft Azure, mientras hacen demostraciones de las capacidades, responden las preguntas de Scott y comparten sus conocimientos.
● Blog de Microsoft Azure 63 . Manténgase actualizado sobre lo que está sucediendo en Azure, incluido lo que ahora está en versión preliminar, disponible
de forma general, noticias y actualizaciones, y más.
● Documentación de Azure 64 . Manténgase informado sobre los últimos productos, herramientas y funciones. Obtenga
información sobre precios, socios, soporte y soluciones.
61 https://channel9.msdn.com/Shows/Tuesdays-With-Corey/
62 https://channel9.msdn.com/Shows/Azure-Friday
63 https://azure.microsoft.com/en-us/blog/
64 https://docs.microsoft.com/en-us/azure/
Módulo 1 Identidad
Azure Active Directory

Azure Active Directory
Azure Active Directory (Azure AD) es el servicio de administración de identidades y directorios multiinquilino basado en la nube de
Microsoft. Para los administradores de TI, Azure AD proporciona una solución asequible y fácil de usar para brindar a los empleados y
socios comerciales acceso de inicio de sesión único (SSO) a miles de aplicaciones SaaS en la nube como Office365, Salesforce, DropBox
y Concur.
Para los desarrolladores de aplicaciones, Azure AD le permite centrarse en la creación de su aplicación al hacer que sea rápida y
sencilla de integrar con una solución de gestión de identidades de clase mundial utilizada por millones de organizaciones en todo
el mundo.
12 Módulo 1 Identidad
Beneficios y caracteristicas
● Inicio de sesión único en cualquier aplicación web local o en la nube. Azure Active Directory proporciona un
inicio de sesión único seguro en aplicaciones locales y en la nube, incluido Microsoft Office 365 y miles de
aplicaciones SaaS como Salesforce, Workday, DocuSign, ServiceNow y Box.
● Funciona con dispositivos iOS, Mac OS X, Android y Windows. Los usuarios pueden iniciar aplicaciones desde un
panel de acceso personalizado basado en la web, una aplicación móvil, Office 365 o portales de empresa personalizados
utilizando sus credenciales de trabajo existentes, y tener la misma experiencia ya sea que trabajen en iOS, Mac OS X,
Android y Windows. dispositivos.
● Proteja las aplicaciones web locales con acceso remoto seguro. Acceda a sus aplicaciones web locales desde
cualquier lugar y protéjalas con autenticación multifactor, políticas de acceso condicional y administración de
acceso basada en grupos. Los usuarios pueden acceder a SaaS y aplicaciones web locales desde el mismo portal.
● Extienda fácilmente Active Directory a la nube. Conecte Active Directory y otros directorios locales a Azure
Active Directory con solo unos pocos clics y mantenga un conjunto coherente de usuarios, grupos, contraseñas y
dispositivos en ambos entornos.
● Proteja aplicaciones y datos confidenciales. Mejore la seguridad del acceso a las aplicaciones con capacidades de protección
de identidad únicas que brindan una vista consolidada de las actividades de inicio de sesión sospechosas y las vulnerabilidades
potenciales. Aproveche los informes de seguridad avanzados, las notificaciones, las recomendaciones de corrección y las políticas
basadas en riesgos para proteger su empresa de las amenazas actuales y futuras.
● Reduzca los costos y mejore la seguridad con capacidades de autoservicio. Delegue tareas importantes como el
restablecimiento de contraseñas y la creación y gestión de grupos a sus empleados. Proporcionar acceso a las aplicaciones de
autoservicio y administración de contraseñas mediante pasos de verificación puede reducir las llamadas al servicio de asistencia y
mejorar la seguridad.
✔ Si es cliente de Office365, Azure o Dynamics CRM Online, es posible que no se dé cuenta de que ya está utilizando
Azure AD. Cada inquilino de Office365, Azure y Dynamics CRM ya es un inquilino de Azure AD. Siempre que lo desee,
puede comenzar a usar ese inquilino para administrar el acceso a miles de otras aplicaciones en la nube con las que
se integra Azure AD.
Para más información, Documentación de Azure Active Directory 1
Conceptos de Azure AD
● Identidad. Algo que pueda autenticarse. Una identidad puede ser un usuario con nombre de usuario y contraseña. Las
identidades también incluyen aplicaciones u otros servidores que pueden requerir autenticación a través de claves secretas o
certificados.
● Cuenta. Una identidad que tiene datos asociados. No puede tener una cuenta sin una identidad.
● Cuenta de Azure AD. Una identidad creada a través de Azure AD u otro servicio en la nube de Microsoft, como Office
365. Las identidades se almacenan en Azure AD y son accesibles para las suscripciones al servicio en la nube de su
organización. Esta cuenta a veces también se denomina cuenta profesional o educativa.
● Suscripción de Azure. Se utiliza para pagar los servicios en la nube de Azure. Puede tener muchas suscripciones y están
vinculadas a una tarjeta de crédito.
● Inquilino de Azure. Una instancia dedicada y confiable de Azure AD que se crea automáticamente cuando su
organización se suscribe a una suscripción de servicio en la nube de Microsoft, como Microsoft Azure, Microsoft Intune
u Office 365. Un inquilino de Azure representa una sola organización.
1 https://docs.microsoft.com/en-us/azure/active-directory/
Azure Active Directory 13
● Directorio de Azure AD. Cada inquilino de Azure tiene un directorio de Azure AD dedicado y de confianza. El directorio de Azure
AD incluye los usuarios, los grupos y las aplicaciones del inquilino y se usa para realizar funciones de administración de identidad
y acceso para los recursos del inquilino.
AD DS frente a Azure Active Directory

AD DS es la implementación tradicional de Active Directory basado en Windows Server en un servidor físico o virtual. Aunque
AD DS se considera principalmente un servicio de directorio, es solo un componente del conjunto de tecnologías de Windows
Active Directory, que también incluye los servicios de certificados de Active Directory (AD CS), los servicios de directorio ligero
de Active Directory (AD LDS), los servicios de la federación de Active Directory (AD FS) y los servicios de administración de
derechos de Active Directory (AD RMS). Aunque puede implementar y administrar AD DS en máquinas virtuales de Azure, se
recomienda que use Azure AD en su lugar, a menos que se dirija a cargas de trabajo de IaaS que dependen específicamente
de AD DS.
Azure AD es diferente de AD DS
Aunque Azure AD tiene muchas similitudes con AD DS, también existen muchas diferencias. Es importante darse cuenta de
que usar Azure AD es diferente a implementar un controlador de dominio de Active Directory en una máquina virtual de
Azure y agregarlo a su dominio local. A continuación, se muestran algunas características de Azure AD que lo hacen
diferente.
● Solución de identidad. Azure AD es principalmente una solución de identidad y está diseñado para aplicaciones
basadas en Internet mediante comunicaciones HTTP y HTTPS.
● Consulta de API REST. Dado que Azure AD se basa en HTTP / HTTPS, no se puede consultar a través de LDAP. En su
lugar, Azure AD usa la API REST a través de HTTP y HTTPS.
● Protocolos de comunicación. Dado que Azure AD se basa en HTTP / HTTPS, no usa la autenticación
Kerberos. En su lugar, utiliza protocolos HTTP y HTTPS como SAML, WS-Federation y OpenID Connect para
la autenticación (y OAuth para la autorización).
● Servicios de federación. Azure AD incluye servicios de federación y muchos servicios de terceros (como
Facebook).
● Estructura plana. Los usuarios y grupos de Azure AD se crean en una estructura plana y no hay unidades organizativas
(OU) ni objetos de directiva de grupo (GPO).
✔ Azure AD es un servicio administrado. Solo administra los usuarios, grupos y políticas. Implementar AD DS con
máquinas virtuales usando Azure significa que usted administra la implementación, configuración, máquinas
virtuales, parches y otras tareas de backend.
Ediciones de Azure Active Directory

Azure Active Directory viene en cuatro ediciones: Gratis, aplicaciones de Office 365, Premium P1, y Premium P2.
La edición gratuita se incluye con una suscripción a Azure. Las ediciones Premium están disponibles a través de un contrato
empresarial de Microsoft, el programa de licencias por volumen abierto y el programa de proveedores de soluciones en la nube.
Los suscriptores de Azure y Office 365 también pueden comprar Azure Active Directory Premium P1 y P2 en línea.
Característica Libre Aplicaciones de Office 365 Premium P1 Premium P2

Objetos de directorio 500.000 Ilimitado Ilimitado Ilimitado
Inicio de sesión único Hasta 10 aplicaciones Hasta 10 aplicaciones Ilimitado Ilimitado
Característica Libre Aplicaciones de Office 365 Premium P1 Premium P2

Identidad central y X X X X
Gestión de acceso
ment
Negocios para X X X X
Colaboración empresarial
racionar
Identidad y acceso X X X
Gestión para
Aplicaciones de Office 365
Características premium X X
Identidades híbridas X X
Grupo avanzado X X
Gestión de acceso
ment
Acceso condicional X X
Protección de identidad X
Gobierno de identidad X
ance
Azure Active Directory gratuito. Proporciona administración de usuarios y grupos, sincronización de directorios local,
informes básicos e inicio de sesión único en Azure, Office 365 y muchas aplicaciones SaaS populares.
Aplicaciones de Azure Active Directory Office 365. Esta edición se incluye con O365. Además de las funciones gratuitas, esta
edición proporciona administración de identidad y acceso para aplicaciones de Office 365, incluida la marca, MFA, administración
de acceso de grupo y restablecimiento de contraseña de autoservicio para usuarios de la nube.
Azure Active Directory Premium P1. Además de las funciones gratuitas, P1 también permite que sus usuarios híbridos
accedan a recursos locales y en la nube. También admite administración avanzada, como grupos dinámicos, administración
de grupos de autoservicio, Microsoft Identity Manager (una suite de administración de identidad y acceso local) y
capacidades de escritura diferida en la nube, que permiten el restablecimiento de contraseña de autoservicio para su local
usuarios.
Azure Active Directory Premium P2. Además de las características gratuitas y P1, P2 también ofrece Azure Active Directory Identity
Protection para ayudar a proporcionar acceso condicional basado en el riesgo a sus aplicaciones y datos críticos de la empresa y
Privileged Identity Management para ayudar a descubrir, restringir y monitorear a los administradores y su acceso a los recursos. y
proporcionar acceso justo a tiempo cuando sea necesario.
✔ La Precios de Azure Active Directory 2 La página tiene información detallada sobre lo que se incluye en cada una de
las ediciones. Según la lista de funciones, ¿qué edición necesita su organización?
Unión de Azure AD
Azure Active Directory (Azure AD) permite el inicio de sesión único en dispositivos, aplicaciones y servicios desde cualquier lugar. La
proliferación de dispositivos, incluido Traiga su propio dispositivo (BYOD), permite a los usuarios finales ser productivos donde y cuando sea.
Sin embargo, los administradores de TI deben asegurarse de que los activos corporativos estén protegidos y que los dispositivos cumplan
con los estándares de seguridad y cumplimiento.
2 https://azure.microsoft.com/en-us/pricing/details/active-directory
Azure AD Join está diseñado para proporcionar acceso a las aplicaciones y recursos de la organización y para simplificar las
implementaciones de Windows de los dispositivos de propiedad del trabajo. AD Join tiene estos beneficios.
● Inicio de sesión único (SSO) a sus aplicaciones y servicios SaaS administrados por Azure. Sus usuarios no tendrán avisos de
autenticación adicionales cuando accedan a los recursos de trabajo. La funcionalidad SSO está disponible incluso cuando los
usuarios no están conectados a la red del dominio.
● Roaming compatible con empresas de la configuración del usuario en los dispositivos unidos. Los usuarios no necesitan conectarse a una
cuenta de Microsoft (por ejemplo, Hotmail) para observar la configuración en todos los dispositivos.
● Acceso a Microsoft Store para empresas utilizando una cuenta de Azure AD. Sus usuarios pueden elegir entre un
inventario de aplicaciones preseleccionadas por la organización.
● Windows Hello soporte para un acceso seguro y conveniente a los recursos laborales.
● Restricción de acceso a aplicaciones de solo dispositivos que cumplen con la política de cumplimiento.
● Acceso perfecto a los recursos locales cuando el dispositivo tiene línea de visión con el controlador de
dominio local.
Opciones de conexión
Para obtener un dispositivo bajo el control de Azure AD, tiene dos opciones:
● Registrarse un dispositivo a Azure AD le permite administrar la identidad de un dispositivo. Cuando se registra un dispositivo, el
registro de dispositivo de Azure AD proporciona al dispositivo una identidad que se usa para autenticar el dispositivo cuando un
usuario inicia sesión en Azure AD. Puede usar la identidad para habilitar o deshabilitar un dispositivo.
● Unión un dispositivo es una extensión para registrar un dispositivo. Esto significa que le brinda todos los beneficios
de registrar un dispositivo y además de esto, también cambia el estado local de un dispositivo. Cambiar el estado
local permite a sus usuarios iniciar sesión en un dispositivo utilizando una cuenta de trabajo o escuela de la
organización en lugar de una cuenta personal.
✔ El registro combinado con una solución de administración de dispositivos móviles (MDM) como Microsoft Intune, proporciona
atributos de dispositivo adicionales en Azure AD. Esto le permite crear reglas de acceso condicional que imponen el acceso desde
los dispositivos para cumplir con sus estándares de seguridad y cumplimiento.
✔ Aunque AD Join está destinado a organizaciones que no tienen una infraestructura de Active Directory de
Windows Server local, se puede utilizar para otros escenarios, como sucursales.
Para más información, Introducción a la gestión de dispositivos 3
3 https://docs.microsoft.com/en-us/azure/active-directory/device-management-introduction
dieciséis Módulo 1 Identidad
Restablecimiento de contraseña de autoservicio

La gran mayoría de las llamadas al servicio de asistencia en la mayoría de las empresas son solicitudes para restablecer las contraseñas de los usuarios. Habilitar Restablecimiento
de contraseña de autoservicio ( SSPR) ofrece a los usuarios la posibilidad de pasar por alto el servicio de asistencia técnica y restablecer sus propias contraseñas.
Para configurar el restablecimiento de contraseña de autoservicio, primero debe determinar quién estará habilitado para usar el
restablecimiento de contraseña de autoservicio. Desde su inquilino de Azure AD existente, en el Portal de Azure en Azure Active Directory
Seleccione Restablecimiento de contraseña.
En las propiedades de restablecimiento de contraseña hay tres opciones: Ninguna seleccionada, y Todas.
La Seleccionado La opción es útil para crear grupos específicos que tienen habilitado el restablecimiento de contraseña de
autoservicio. La documentación de Azure recomienda crear un grupo específico con fines de prueba o prueba de concepto antes de
implementarlo en un grupo más grande dentro del inquilino de Azure AD. Una vez que esté listo para implementar esta
funcionalidad en todos los usuarios con cuentas en su inquilino de AD, puede cambiar la configuración a Todas.
Métodos de autenticación
Después de habilitar el restablecimiento de contraseña para usuarios y grupos, usted elige la cantidad de métodos de autenticación
necesarios para restablecer una contraseña y la cantidad de métodos de autenticación disponibles para los usuarios.
Se requiere al menos un método de autenticación para restablecer una contraseña, pero es una buena idea tener métodos adicionales
disponibles. Puede elegir entre una notificación por correo electrónico, un mensaje de texto o un código enviado al teléfono móvil o de la
oficina del usuario, o un conjunto de preguntas de seguridad.

Con respecto a las preguntas de seguridad, estas se pueden configurar para requerir que se registre una cierta cantidad de preguntas
para los usuarios en su inquilino de AD. Además, debe configurar la cantidad de preguntas de seguridad respondidas correctamente
que se requieren para restablecer correctamente la contraseña. Hay una gran cantidad de preguntas de seguridad. Tenga en cuenta
que las preguntas de seguridad pueden ser menos seguras que otros métodos porque algunas personas pueden conocer las
respuestas a las preguntas de otros usuarios.
✔ Las cuentas de administrador de Azure siempre podrán restablecer sus contraseñas, independientemente de la configuración de esta opción.
Usuarios y grupos
Cuentas de usuario
Para ver los usuarios de Azure AD, simplemente acceda a la hoja Todos los usuarios.
Normalmente, Azure AD define a los usuarios de tres formas:
● Identidades en la nube. Estos usuarios solo existen en Azure AD. Algunos ejemplos son las cuentas de administrador
y los usuarios que administra usted mismo. Su origen es Azure Active Directory o Azure Active Directory externo si el
usuario está definido en otra instancia de Azure AD pero necesita acceso a los recursos de suscripción controlados por
este directorio. Cuando estas cuentas se eliminan del directorio principal, se eliminan.
● Identidades sincronizadas con directorios. Estos usuarios existen en un Active Directory local. Una actividad de
sincronización que se produce a través de Azure AD Connect lleva a estos usuarios a Azure. Su fuente es Windows
Server AD.
● Usuarios invitados. Estos usuarios existen fuera de Azure. Algunos ejemplos son cuentas de otros proveedores de la
nube y cuentas de Microsoft, como una cuenta de Xbox LIVE. Su fuente es Usuario invitado. Este tipo de cuenta es útil
cuando los proveedores o contratistas externos necesitan acceso a sus recursos de Azure. Una vez que su ayuda ya no
sea necesaria, puede eliminar la cuenta y todo su acceso.
✔ ¿Ha pensado en el tipo de usuarios que necesitará?
Gestión de cuentas de usuario

Hay varias formas de agregar identidades en la nube a Azure AD.
Portal de Azure
Puede agregar nuevos usuarios a través del Portal de Azure. Además del nombre y el nombre de usuario, hay
información de perfil como cargo y departamento.
Usuarios y grupos 19
Cosas a considerar al administrar usuarios:
● Debe ser administrador global para administrar usuarios.
● El perfil de usuario (imagen, trabajo, información de contacto) es opcional.
● Los usuarios eliminados se pueden restaurar durante 30 días.
● Iniciar sesión y la información del registro de auditoría está disponible.
✔ Los usuarios también se pueden agregar a Azure AD a través del Centro de administración de Office 365, la consola de administración
de Microsoft Intune y la CLI. ¿Cómo planeas agregar usuarios?
Cuentas de usuario masivas

Hay varias formas de usar PowerShell para importar datos a su directorio, pero el método más comúnmente usado es usar
un archivo de valores separados por comas (CSV). Este archivo se puede crear manualmente, por ejemplo, utilizando Excel, o
se puede exportar desde una fuente de datos existente, como una base de datos SQL o una aplicación de recursos humanos.
Si va a utilizar un archivo CSV, aquí hay algunas cosas en las que pensar:
● Convenciones de nombres. Establezca o implemente una convención de nomenclatura para nombres de usuario, nombres
para mostrar y alias. Por ejemplo, un nombre de usuario podría constar de apellido, punto, nombre: Smith.John @
contoso.com.
● Contraseñas. Implemente una convención para la contraseña inicial del usuario recién creado. Encuentre una forma para que
los nuevos usuarios reciban su contraseña de forma segura. Los métodos comúnmente utilizados para esto son generar una
contraseña aleatoria y enviarla por correo electrónico al nuevo usuario o su administrador.
Configurar cuentas de usuarios masivos

Los pasos para usar el archivo CSV son muy sencillos.
1. Utilizar Connect-AzAccount para crear una conexión PowerShell a su directorio Debe conectarse
con una cuenta de administrador que tenga privilegios en su directorio.
2. Cree un nuevo perfil de contraseña para los nuevos usuarios. La contraseña para los nuevos usuarios debe ajustarse a las reglas
de complejidad de contraseña que ha establecido para su directorio.
3. Usar Importar-CSV para importar el archivo csv. Deberá especificar la ruta y el nombre de archivo del archivo CSV.
4. Recorra los usuarios en el archivo construyendo los parámetros de usuario requeridos para cada usuario. Por ejemplo,
nombre principal de usuario, nombre para mostrar, nombre de pila, departamento y cargo.
5. Usar New-AzADUser para crear cada usuario. Asegúrese de habilitar cada cuenta.
Para más información,
Creación masiva de usuarios en Azure Active Directory 4
Cuentas grupales
Azure AD le permite definir dos tipos diferentes de grupos.
● Grupos de seguridad. Estos son los más comunes y se utilizan para administrar el acceso de miembros y computadoras a
recursos compartidos para un grupo de usuarios. Por ejemplo, puede crear un grupo de seguridad para una política de seguridad
específica. Al hacerlo de esta manera, puede otorgar un conjunto de permisos a todos los miembros a la vez, en lugar de tener
que agregar permisos a cada miembro individualmente. Esta opción requiere un administrador de Azure AD.
● Grupos de Office 365. Estos grupos brindan oportunidades de colaboración al brindarles a los miembros acceso a un buzón de
correo compartido, calendario, archivos, sitio de SharePoint y más. Esta opción también le permite dar acceso al grupo a
personas ajenas a su organización. Esta opción está disponible tanto para usuarios como para administradores.
Agregar miembros a grupos

Hay diferentes formas de asignar derechos de acceso:
● Asignado. Le permite agregar usuarios específicos para que sean miembros de este grupo y tengan permisos únicos.
● Usuario dinámico. Le permite utilizar reglas de membresía dinámicas para agregar y eliminar miembros automáticamente. Si los
atributos de un miembro cambian, el sistema examina las reglas de su grupo dinámico para el directorio para ver si el miembro
cumple con los requisitos de la regla (se agrega) o ya no cumple con los requisitos de las reglas (se elimina).
● Dispositivo dinámico (solo grupos de seguridad). Le permite usar reglas de grupo dinámico para agregar y quitar dispositivos
automáticamente. Si los atributos de un dispositivo cambian, el sistema examina las reglas de su grupo dinámico para el
directorio para ver si el dispositivo cumple con los requisitos de la regla (se agrega) o ya no cumple con los requisitos de las
reglas (se elimina).
4 https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/users-bulk-add
✔ ¿Ha pensado en qué grupos necesita crear? ¿Asignaría una membresía directamente o
dinámicamente?
Administrar varios directorios

En Azure Active Directory (Azure AD), cada inquilino es un recurso completamente independiente: un par que es
lógicamente independiente de los otros inquilinos que administra. No existe una relación entre padres e hijos entre
los inquilinos. Esta independencia entre inquilinos incluye independencia de recursos, independencia
administrativa e independencia de sincronización.
Independencia de recursos
● Si crea o elimina un recurso en un inquilino, no tiene ningún impacto en ningún recurso en otro inquilino, con la
excepción parcial de los usuarios externos.
● Si usa uno de sus nombres de dominio con un inquilino, no se puede usar con ningún otro inquilino.
Independencia administrativa
Si un usuario no administrativo del inquilino 'Contoso' crea un inquilino de prueba 'Prueba', entonces:
● De forma predeterminada, el usuario que crea un inquilino se agrega como un usuario externo en ese nuevo inquilino y se le
asigna el rol de administrador global en ese inquilino.
● Los administradores del inquilino 'Contoso' no tienen privilegios administrativos directos para el inquilino 'Prueba', a menos que
un administrador de 'Prueba' les otorgue específicamente estos privilegios. Sin embargo, los administradores de 'Conto- so'
pueden controlar el acceso al inquilino 'Prueba' si controlan la cuenta de usuario que creó 'Prueba'.
● Si agrega / elimina un rol de administrador para un usuario en un inquilino, el cambio no afecta los roles
de administrador que el usuario tiene en otro inquilino.
Independencia de sincronización
Puede configurar cada inquilino de Azure AD de forma independiente para sincronizar los datos desde una única instancia
de:
● La herramienta Azure AD Connect, para sincronizar datos con un solo bosque de AD.
● El conector de inquilino activo de Azure para Forefront Identity Manager, para sincronizar datos con uno o
más bosques locales y / o fuentes de datos que no son de Azure AD.
Agregar un inquilino de Azure AD
Para agregar un inquilino de Azure AD en Azure Portal, inicie sesión en Azure Portal con una cuenta que sea un
administrador global de Azure AD y, a la izquierda, seleccione Nuevo.
Nota: A diferencia de otros recursos de Azure, sus inquilinos no son recursos secundarios de una suscripción de Azure. Si su
suscripción de Azure se cancela o caduca, aún puede acceder a sus datos de inquilino mediante Azure PowerShell,
la API de Microsoft Graph o el centro de administración de Microsoft 365. También puede asociar otra suscripción al
inquilino.
Demostración: usuarios y grupos

En esta demostración, exploraremos los usuarios y grupos de Active Directory.
Nota: Dependiendo de su suscripción, no todas las áreas de la hoja de Active Directory estarán disponibles.
Determinar la información del dominio
1. Acceda a Azure Portal y navegue hasta el Azure Active Directory espada.
2. Anote su nombre de dominio disponible. Por ejemplo, usergmail.onmicrosoft.com.
Explore las cuentas de usuario
1. Seleccione el Usuarios espada.
2. Seleccione Nuevo Usuario. Observe la selección para crear un Nuevo usuario invitado.
3. Agregue un nuevo usuario que revise la información: Usuario. Nombre de usuario, grupos, función de directorio, y Información del trabajo.
4. Una vez creado el usuario, revise la información adicional sobre el usuario.
Explore las cuentas grupales
1. Seleccione el Grupos espada.
2. Agregue un Nuevo grupo.
● Tipo de grupo: Seguridad
● Nombre del grupo: Gerentes
● Tipo de membresía: Asignado
● Miembros: Agregue su nuevo usuario al grupo.
3. Una vez creado el grupo, revise la información adicional sobre el grupo.
Explore PowerShell para la administración de grupos
1. Cree un nuevo grupo llamado Desarrolladores.
New-AzADGroup -DisplayName Developers -MailNickname Developers
2. Recupere el ObjectId del grupo de desarrolladores.
Get-AzADGroup
3. Recupere el ObjectId de usuario para que lo agregue el miembro.
Get-AzADUser
4. Agregue el usuario al grupo. Reemplace groupObjectId y userObjectId.
Add-AzADGroupMember -MemberUserPrincipalName "" myemail@domain.com "" -Tar-

getGroupDisplayName "" MyGroupDisplayName ""
5. Verifique los miembros del grupo. Reemplace groupObjectId.

Get-AzADGroupMember -GroupDisplayName "MyGroupDisplayName"

Módulo 01 Práctica de laboratorio y revisión
Laboratorio 01: Administración de identidades de Azure Active

Directory
Escenario de laboratorio
Para permitir que los usuarios de Contoso se autentiquen mediante Azure AD, se le asignó la tarea de aprovisionar usuarios y cuentas
de grupo. La membresía de los grupos debe actualizarse automáticamente en función de los puestos de trabajo de los usuarios.
También debe crear un inquilino de Azure AD de prueba con una cuenta de usuario de prueba y otorgar permisos limitados a esa
cuenta para los recursos de la suscripción de Contoso Azure.
Objetivos
En este laboratorio, podrá:
● Tarea 1: crear y configurar usuarios de Azure AD.
● Tarea 2: Cree grupos de Azure AD con membresía asignada y dinámica.
● Tarea 3: crear un inquilino de Azure Active Directory (AD).
● Tarea 4: administrar usuarios invitados de Azure AD.
✔ Consulte con su instructor sobre cómo acceder a las instrucciones del laboratorio y al entorno del laboratorio (si se proporciona).
Preguntas de repaso del módulo 01
Pregunta de repaso 1
Sus usuarios desean iniciar sesión en dispositivos, aplicaciones y servicios desde cualquier lugar. Quieren iniciar sesión con una cuenta
profesional o educativa de la organización en lugar de una cuenta personal. Debe asegurarse de que los activos corporativos estén protegidos
y que los dispositivos cumplan con los estándares de seguridad y cumplimiento. Específicamente, debe poder habilitar o deshabilitar un
dispositivo. ¿Qué deberías hacer? Seleccione uno.
?? Habilite el dispositivo en Azure AD.
?? Únase al dispositivo a Azure AD.
?? Conecte el dispositivo a Azure AD.
?? Registre el dispositivo con Azure AD.

Módulo 01 Práctica de laboratorio y revisión 25
Identifique tres diferencias de la siguiente lista entre Azure Active Directory (AD) y los Servicios de dominio de
Active Directory (AD DS). Seleccione tres.
?? Azure AD usa comunicaciones HTTP y HTTPS
?? Azure AD usa la autenticación Kerberos
?? No hay unidades organizativas (OU) ni objetos de directiva de grupo (GPO) en Azure AD
?? Azure AD incluye servicios de federación
?? Azure AD se puede consultar a través de LDAP
Le gustaría agregar un usuario que tenga una cuenta de Microsoft a su suscripción. ¿Qué tipo de cuenta de usuario es esta?
Seleccione uno.
?? Identidad en la nube
?? Sincronizado con directorio
?? Identidad del proveedor
?? Usuario invitado
?? Identidad alojada
Está configurando el autoservicio de restablecimiento de contraseña. ¿Cuál de los siguientes no es un método de validación? Seleccione uno.
?? Una notificación por correo electrónico.
?? Un mensaje de texto o código enviado al teléfono móvil o de oficina de un usuario.
?? Un servicio de buscapersonas.
?? Un conjunto de preguntas de seguridad.
Está asignando roles de Azure AD. ¿Qué rol permitirá al usuario administrar todos los grupos en sus inquilinos de
Teams y poder asignar otros roles de administrador? Seleccione uno.
?? Administrador global
?? Administrador de contraseñas
?? Administrador de seguridad
?? Administrador de usuario
Estudio adicional
cubren el contenido que acaba de aprender. Puede buscar módulos adicionales por producto, función o nivel.
● Crear usuarios y grupos de Azure en Azure Active Directory 5
● Administrar usuarios y grupos en Azure Active Directory 6
● Proteja a los usuarios de Azure Active Directory con autenticación multifactor 8
● Permitir a los usuarios restablecer su contraseña con el restablecimiento de contraseña de autoservicio de Azure Active Directory 9
● Proteja su aplicación con OpenID Connect y Azure AD 10
5 https://docs.microsoft.com/en-us/learn/modules/create-users-and-groups-in-azure-active-directory/
6 https://docs.microsoft.com/en-us/learn/ modules / manage-users-and-groups-in-aad /
7 https://docs.microsoft.com/en-us/learn/modules/secure-azure-resources-with-rbac/ https://docs.microsoft.
8 com / en-us / learn / modules / secure-aad-users-with-mfa /
9 https://docs.microsoft.com/en-us/learn/modules/allow-users-reset-their-password/
10 https://docs.microsoft.com/en-us/learn/modules/secure-app-with-oidc-and-azure-ad/
Respuestas
Sus usuarios desean iniciar sesión en dispositivos, aplicaciones y servicios desde cualquier lugar. Quieren iniciar sesión con una
cuenta profesional o educativa de la organización en lugar de una cuenta personal. Debe asegurarse de que los activos
corporativos estén protegidos y que los dispositivos cumplan con los estándares de seguridad y cumplimiento. Específicamente,
debe poder habilitar o deshabilitar un dispositivo. ¿Qué deberías hacer? Seleccione uno.
?? Habilite el dispositivo en Azure AD.
■ Unir el dispositivo a Azure AD.
?? Conecte el dispositivo a Azure AD.
?? Registre el dispositivo con Azure AD.
Explicación
Únase al dispositivo a Azure AD. Unirse a un dispositivo es una extensión para registrar un dispositivo. Esto significa que le brinda
todos los beneficios de registrar un dispositivo, como poder habilitar o deshabilitar el dispositivo. Además, también cambia el
estado local de un dispositivo. Cambiar el estado local permite a sus usuarios iniciar sesión en un dispositivo utilizando una cuenta
de trabajo o escuela de la organización en lugar de una cuenta personal.
Identifique tres diferencias de la siguiente lista entre Azure Active Directory (AD) y los Servicios de dominio de Active
Directory (AD DS). Seleccione tres.
■ Azure AD usa comunicaciones HTTP y HTTPS
?? Azure AD usa la autenticación Kerberos
■ No hay unidades organizativas (OU) ni objetos de directiva de grupo (GPO) en Azure AD
■ Azure AD incluye servicios de federación
?? Azure AD se puede consultar a través de LDAP
Explicación
Aunque la lista no es de ninguna manera concluyente, y puede identificar otros que no figuran en la lista, aquí hay
varias características de Azure AD que lo hacen diferente a AD DS: Azure AD es principalmente una solución de
identidad y está diseñado para aplicaciones basadas en Internet. aplicaciones mediante comunicaciones HTTP y
HTTPS; Debido a que Azure AD se basa en HTTP / HTTPS, no se puede consultar a través de LDAP. En su lugar,
Azure AD usa la API REST a través de HTTP y HTTPS. Dado que Azure AD se basa en HTTP / HTTPS, no usa la
autenticación Kerberos. En su lugar, utiliza protocolos HTTP y HTTPS como SAML, WS-Federation y OpenID
Connect para la autenticación (y OAuth para la autorización). Los usuarios y grupos de Azure AD se crean en una
estructura plana y no hay unidades organizativas (OU) ni objetos de directiva de grupo (GPO). Si bien Azure AD
incluye servicios de federación,
Le gustaría agregar un usuario que tenga una cuenta de Microsoft a su suscripción. ¿Qué tipo de cuenta de usuario
es esta? Seleccione uno.
?? Identidad en la nube
?? Sincronizado con directorio
?? Identidad del proveedor
■ Usuario invitado
?? Identidad alojada
Explicación
Usuario invitado. Los usuarios invitados son usuarios agregados a Azure AD desde un tercero como Microsoft o Google.
Está configurando el autoservicio de restablecimiento de contraseña. ¿Cuál de los siguientes no es un método de validación? Seleccione
uno.
?? Una notificación por correo electrónico.
?? Un mensaje de texto o código enviado al teléfono móvil o de oficina de un usuario.
■ Un servicio de buscapersonas.
?? Un conjunto de preguntas de seguridad.
Explicación
Un servicio de buscapersonas. Se requiere al menos un método de autenticación para restablecer una contraseña. Las opciones incluyen notificación por correo
electrónico, un mensaje de texto o código enviado al teléfono móvil o de la oficina del usuario, o un conjunto de preguntas de seguridad.
Está asignando roles de Azure AD. ¿Qué rol permitirá al usuario administrar todos los grupos en sus inquilinos de
Teams y poder asignar otros roles de administrador? Seleccione uno.
■ Administrador global
?? Administrador de contraseñas
?? Administrador de seguridad
?? Administrador de usuario
Explicación
Administrador global. Solo el administrador global puede administrar grupos entre inquilinos y asignar otras funciones de
administrador.
Módulo 2 Gobernanza y cumplimiento
Suscripciones y cuentas
Regiones
Microsoft Azure se compone de centros de datos ubicados en todo el mundo. Estos centros de datos están organizados y
disponibles para los usuarios finales por región. A región 1 es un área geográfica del planeta que contiene al menos uno,
pero potencialmente múltiples centros de datos que están muy próximos y conectados en red con una red de baja latencia.
Algunos ejemplos de regiones son Oeste de EE. UU., Centro de Canadá, Europa occidental, Este de Australia, y Japón occidental.
Azure generalmente está disponible en más de 60 regiones y en 140 países.
1 https://azure.microsoft.com/en-us/global-infrastructure/regions/
30 Módulo 2 Gobernanza y cumplimiento
Cosas que debe saber sobre las regiones

● Azure tiene más regiones globales que cualquier otro proveedor de nube.
● Las regiones brindan a los clientes la flexibilidad y la escala necesarias para acercar las aplicaciones a sus usuarios.
● Regions preserva la residencia de datos y ofrece opciones integrales de cumplimiento y flexibilidad para
los clientes.
● Para la mayoría de los servicios de Azure, cuando implementa un recurso en Azure, elige la región donde desea
que se implemente su recurso.
● Algunos servicios o funciones de máquinas virtuales solo están disponibles en determinadas regiones, como tamaños de máquinas virtuales o tipos
de almacenamiento específicos.
● También hay algunos servicios globales de Azure que no requieren que seleccione una región, como Microsoft
Azure Active Directory, Microsoft Azure Traffic Manager o Azure DNS.
● Cada región de Azure está emparejada con otra región dentro de la misma geografía, y juntas forman un par de regiones.
La excepción es el sur de Brasil, que se empareja con una región fuera de su geografía.
Cosas que debe saber sobre las parejas regionales

Un par regional consta de dos regiones dentro de la misma geografía. Azure serializa las actualizaciones de la plataforma
(mantenimiento planificado) en los pares regionales, lo que garantiza que solo se actualice una región de cada par a la vez. Si una
interrupción afecta a varias regiones, al menos una región de cada par tendrá prioridad para la recuperación.
● Aislamiento físico. Cuando es posible, Azure prefiere al menos 300 millas de separación entre centros de datos en un
par regional, aunque esto no es práctico ni posible en todas las geografías. La separación física del centro de datos
reduce la probabilidad de desastres naturales, disturbios civiles, cortes de energía o cortes de la red física que afecten a
ambas regiones a la vez.
Suscripciones y cuentas 31
● Replicación proporcionada por la plataforma. Algunos servicios, como el almacenamiento con redundancia geográfica, proporcionan replicación
automática en la región emparejada.
● Orden de recuperación de la región. En caso de una interrupción generalizada, se prioriza la recuperación de una región de
cada par. Se garantiza que las aplicaciones que se implementan en regiones emparejadas tendrán una de las regiones
recuperadas con prioridad.
● Actualizaciones secuenciales. Las actualizaciones planificadas del sistema Azure se implementan en regiones emparejadas de forma
secuencial (no al mismo tiempo) para minimizar el tiempo de inactividad, el efecto de errores y fallas lógicas en el raro caso de una mala
actualización.
● Residencia de datos. Una región reside dentro de la misma geografía que su par (excepto para el sur de Brasil) para cumplir
con los requisitos de residencia de datos a efectos de jurisdicción fiscal y de aplicación de la ley.
✔ Ver lo último Mapa de regiones de Azure. 2
✔ Ver la lista completa de pares de regiones 3 .
Suscripciones de Azure
Una suscripción de Azure es una unidad lógica de los servicios de Azure que está vinculada a una cuenta de Azure. La
facturación de los servicios de Azure se realiza por suscripción. Si su cuenta es la única cuenta asociada con una
suscripción, entonces usted es responsable de la facturación.
Las suscripciones lo ayudan a organizar el acceso a los recursos del servicio en la nube. También le ayudan a controlar cómo se
informa, factura y paga el uso de recursos. Cada suscripción puede tener una configuración de facturación y pago diferente, por lo
que puede tener diferentes suscripciones y diferentes planes por departamento, proyecto, oficina regional, etc. Todos los servicios
en la nube pertenecen a una suscripción y es posible que se requiera el ID de suscripción para las operaciones programáticas.
Cuentas de Azure
Las suscripciones tienen cuentas. Una cuenta de Azure es simplemente una identidad en Azure Active Directory
(Azure AD) o en un directorio en el que Azure AD confía, como una organización laboral o escolar. Si no perteneces a
2 https://azure.microsoft.com/en-us/global-infrastructure/regions/
3 https://docs.microsoft.com/en-us/azure/best-practices-availability-paired-regions#what-are-paired-regions
En una de estas organizaciones, puede registrarse para obtener una cuenta de Azure mediante su cuenta de Microsoft, en la
que también confía Azure AD.
Obtener acceso a los recursos

Cada suscripción de Azure está asociada a un Azure Active Directory. Los usuarios y servicios que acceden a los
recursos de la suscripción primero deben autenticarse con Azure Active Directory.
✔ ¿Sabes cuántas suscripciones tiene tu organización? ¿Sabe cómo se organizan los recursos en
grupos de recursos?
Obtener una suscripción

Hay varias formas de obtener una suscripción de Azure: acuerdos empresariales, revendedores de Microsoft, socios de
Microsoft y una cuenta personal gratuita.
Acuerdos empresariales
Alguna Convenio de empresa 4 El cliente puede agregar Azure a su contrato haciendo un compromiso monetario por adelantado con
Azure. Ese compromiso se consume durante todo el año mediante el uso de cualquier combinación de la amplia variedad de servicios
en la nube que ofrece Azure desde sus centros de datos globales. Los acuerdos empresariales tienen una
SLA mensual del 99,95%.
Revendedores
Compre Azure a través del Programa de licencias abiertas 5 , que proporciona una forma sencilla y flexible de adquirir
servicios en la nube de su distribuidor de Microsoft. Si ya compró una clave de licencia de Azure en Open,
active una nueva suscripción o agregue más créditos ahora 6 .
Socios
Encontrar un Socio de Microsoft 7 quién puede diseñar e implementar su solución en la nube de Azure. Estos socios tienen la
experiencia empresarial y tecnológica para recomendar soluciones que satisfagan las necesidades únicas de su negocio.
4 https://azure.microsoft.com/en-us/pricing/enterprise-agreement/
5 https://www.microsoft.com/en-us/licensing/licensing-programs/open-license.aspx
6 https://azure.microsoft.com/en-us/offers/ms-azr-0111p/
7 https://azure.microsoft.com/en-us/partners/directory/
Cuenta gratuita personal

Con un cuenta de prueba gratuita 8 puede comenzar a usar Azure de inmediato y no se le cobrará hasta
que elija actualizar.
✔ ¿Qué modelo de suscripción le interesa más?
Uso de suscripción
Azure ofrece opciones de suscripción gratuitas y de pago para adaptarse a diferentes necesidades y requisitos. Las
suscripciones más utilizadas son:
● Libre
● Pago por uso
● Convenio de empresa
● Estudiante
Suscripción gratuita de Azure

Una suscripción gratuita a Azure incluye un crédito de $ 200 para gastar en cualquier servicio durante los primeros 30 días, acceso
gratuito a los productos Azure más populares durante 12 meses y acceso a más de 25 productos que siempre son gratuitos. Esta es
una excelente manera de que los nuevos usuarios comiencen. Para configurar una suscripción gratuita, necesita un número de
teléfono, una tarjeta de crédito y una cuenta de Microsoft.
Nota: la información de la tarjeta de crédito se utiliza únicamente para la verificación de identidad. No se le cobrará por ningún servicio hasta
que actualice.
Suscripción de pago por uso de Azure

Una suscripción Pay-As-You-Go (PAYG) le cobra mensualmente por los servicios que utilizó en ese período de facturación. Este tipo de
suscripción es apropiado para una amplia gama de usuarios, desde individuos hasta pequeñas empresas y también para muchas
organizaciones grandes.
Acuerdo empresarial de Azure

Un acuerdo empresarial brinda flexibilidad para comprar servicios en la nube y licencias de software en un solo
acuerdo, con descuentos para nuevas licencias y Software Assurance. Está dirigido a organizaciones a escala
empresarial.
Suscripción a Azure para estudiantes

Una suscripción a Azure para estudiantes incluye $ 100 en créditos de Azure que se usarán durante los primeros 12 meses más servicios
gratuitos seleccionados sin necesidad de una tarjeta de crédito al registrarse. Debe verificar su condición de estudiante a través de la
dirección de correo electrónico de su organización.
Manejo de costos
Con los productos y servicios de Azure, solo paga por lo que usa. A medida que crea y usa recursos de Azure, se le cobran
por los recursos. Utiliza las funciones de facturación y administración de costos de Azure para realizar
8 https://azure.microsoft.com/en-us/free/
Facturación de tareas administrativas y gestión de facturación de acceso a costes. También tiene características para
monitorear y controlar el gasto de Azure y optimizar el uso de recursos de Azure.
Cost Management muestra los patrones de uso y costos de la organización con análisis avanzados. Los informes en
Administración de costos muestran los costos basados en el uso consumidos por los servicios de Azure y las ofertas de
Marketplace de terceros. Los costos se basan en precios negociados y tienen en cuenta las reservas y los descuentos de
Azure Hybrid Benefit. En conjunto, los informes muestran los costos internos y externos de uso y los cargos de Azure Market.
Otros cargos, como compras de reserva, soporte e impuestos aún no se muestran en los informes. Los informes lo ayudan a
comprender sus gastos y el uso de recursos y pueden ayudarlo a encontrar anomalías en los gastos. También se encuentran
disponibles análisis predictivos. Cost Management usa grupos de administración, presupuestos y recomendaciones de Azure
para mostrar claramente cómo se organizan sus gastos y cómo puede reducirlos.
Puede usar el portal de Azure o varias API para la automatización de exportaciones para integrar datos de costos con sistemas y procesos
externos. También están disponibles la exportación automática de datos de facturación y los informes programados.
Planificar y controlar gastos

Las formas en que la Gestión de costes le ayuda a planificar y controlar sus costes incluyen: Análisis de costes, presupuestos,
recomendaciones y exportación de datos de gestión de costes.
● Análisis de costos. Utiliza el análisis de costos para explorar y analizar sus costos organizacionales. Puede ver los costos
agregados por organización para comprender dónde se acumulan los costos e identificar las tendencias de gasto. Y puede ver
los costos acumulados a lo largo del tiempo para estimar las tendencias de costos mensuales, trimestrales o incluso anuales
con respecto a un presupuesto.
● Presupuestos. Los presupuestos lo ayudan a planificar y cumplir con la responsabilidad financiera en su organización. Ayudan a
evitar que se superen los umbrales o límites de costos. Los presupuestos también pueden ayudarlo a informar a otros sobre sus
gastos para administrar los costos de manera proactiva. Y con ellos, puede ver cómo progresa el gasto a lo largo del tiempo.
● Recomendaciones. Las recomendaciones muestran cómo puede optimizar y mejorar la eficiencia identificando los
recursos inactivos y subutilizados. O pueden mostrar opciones de recursos menos costosas. Cuando actúa de acuerdo
con las recomendaciones, cambia la forma en que usa sus recursos para ahorrar dinero. Para actuar, primero vea las
recomendaciones de optimización de costos para ver las posibles ineficiencias de uso. A continuación, actúa sobre la
base de una recomendación para modificar el uso de recursos de Azure a una opción más rentable. Luego verifica la
acción para asegurarse de que el cambio que realiza sea exitoso.
● Exportación de datos de gestión de costes. Si usa sistemas externos para acceder o revisar los datos de administración de
costos, puede exportar fácilmente los datos desde Azure. Y puede configurar una exportación programada diaria en formato CSV
y almacenar los archivos de datos en el almacenamiento de Azure. Luego, puede acceder a los datos de su sistema externo.
Etiquetas de recursos
Puede aplicar etiquetas a sus recursos de Azure para organizarlos lógicamente por categorías. Cada etiqueta consta
de un nombre y un valor. Por ejemplo, puede aplicar el nombre Ambiente y el valor Producción o
Desarrollo a sus recursos. Después de crear sus etiquetas, las asocie con los recursos adecuados.
Con las etiquetas en su lugar, puede recuperar todos los recursos de su suscripción con ese nombre y valor de etiqueta. Esto
significa que puede recuperar recursos relacionados de diferentes grupos de recursos.
Quizás uno de los mejores usos de las etiquetas sea agrupar los datos de facturación. Cuando descarga el CSV de uso para
servicios, las etiquetas aparecen en la columna Etiquetas. Luego, podría agrupar las máquinas virtuales por centro de costos y
entorno de producción.
Consideraciones
Hay algunas cosas a considerar sobre el etiquetado:
● Cada recurso o grupo de recursos puede tener un máximo de 50 pares de nombre / valor de etiqueta.
● Los recursos de ese grupo de recursos no heredan las etiquetas aplicadas al grupo de recursos.
✔ Si necesita crear muchas etiquetas, querrá hacerlo mediante programación. Puede usar PowerShell o la
CLI.
Ahorro de costes
Reservaciones le ayuda a ahorrar dinero pagando por adelantado un año o tres años de máquina virtual,
capacidad de proceso de SQL Database, rendimiento de Azure Cosmos DB u otros recursos de Azure. El prepago le
permite obtener un descuento en los recursos que utiliza. Las reservas pueden reducir significativamente su ma-
chine, procesamiento de base de datos SQL, Azure Cosmos DB u otros recursos cuestan hasta un 72% sobre los precios de pago
por uso. Las reservas ofrecen un descuento en la facturación y no afectan el estado de ejecución de sus recursos.
Beneficios de Azure Hybrid es un beneficio de precio para los clientes que tienen licencias con Software Assurance, que
ayuda a maximizar el valor de las inversiones en licencias de Windows Server y / o SQL Server existentes en las
instalaciones al migrar a Azure. Existe una Calculadora de ahorros de beneficios híbrida de Azure para ayudarlo a
determinar sus ahorros.
Créditos Azure es un beneficio de crédito mensual que le permite experimentar, desarrollar y probar nuevas soluciones
en Azure. Por ejemplo, como suscriptor de Visual Studio, puede usar Microsoft Azure sin cargo adicional. Con su crédito
mensual de Azure, Azure es su espacio aislado personal para desarrollo y pruebas.
Regiones de Azure los precios pueden variar de una región a otra, incluso en los EE. UU. Verifique los precios en varias
regiones para ver si puede ahorrar un poco.
Presupuestos ayudarlo a planificar e impulsar la responsabilidad organizacional. Con los presupuestos, puede contabilizar los
servicios de Azure que consume o a los que se suscribe durante un período específico. Le ayudan a informar a otras personas sobre
sus gastos para gestionar los costes de forma proactiva y supervisar cómo progresan los gastos a lo largo del tiempo. Cuando se
superan los umbrales presupuestarios que ha creado, solo se activan las notificaciones. Ninguno de sus recursos se ve afectado y su
consumo no se detiene. Puede utilizar presupuestos para comparar y realizar un seguimiento de los gastos a medida que analiza los
costos.
Además, considere:
La Calculadora de precios 9 proporciona estimaciones en todas las áreas de Azure, incluidas la informática, las redes, el almacenamiento, la
web y las bases de datos.
9 https://azure.microsoft.com/en-us/pricing/calculator/
Política de Azure 37
Política de Azure
Grupos de gestión
Si su organización tiene varias suscripciones, es posible que necesite una forma de administrar de manera eficiente el acceso, las
políticas y el cumplimiento de esas suscripciones. Los grupos de administración de Azure proporcionan un nivel de alcance por
encima de las suscripciones. Organizas las suscripciones en contenedores llamados grupos de gestión y aplicar sus condiciones de
gobernanza a los grupos de gestión. Habilitación del grupo de gestión:
● Alineación organizativa para sus suscripciones de Azure a través de agrupaciones y jerarquías personalizadas.
● Orientación de políticas y presupuestos de gastos a través de suscripciones y herencia en las jerarquías.
● Cumplimiento y reporte de costos por organización (negocios / equipos).
Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones aplicadas al grupo
de administración. Por ejemplo, puede aplicar políticas a un grupo de administración que limite las regiones disponibles para
la creación de máquinas virtuales (VM). Esta política se aplicaría a todos los grupos de administración, suscripciones y
recursos de ese grupo de administración al permitir que solo se creen máquinas virtuales en esa región.
Creación de grupos de gestión

Puede crear el grupo de administración mediante el portal, PowerShell o la CLI de Azure. Actualmente, no puede usar
plantillas de Resource Manager para crear grupos de administración.
● La ID del grupo de gestión es el identificador exclusivo de directorio que se utiliza para enviar comandos en este grupo
de administración. Este identificador no se puede editar después de la creación, ya que se usa en todo el sistema Azure
para identificar este grupo.
● El nombre para mostrar field es el nombre que se muestra en Azure Portal. Un nombre para mostrar separado es
un campo opcional al crear el grupo de administración y se puede cambiar en cualquier momento.
✔ ¿Crees que querrás utilizar los grupos de gestión? Para más información, Organice sus
recursos con grupos de administración de Azure 10
Política de Azure
Azure Policy es un servicio en Azure que se usa para crear, asignar y administrar políticas. Estas políticas imponen
diferentes reglas sobre sus recursos, por lo que esos recursos cumplen con sus estándares corporativos y acuerdos
de nivel de servicio. Azure Policy hace esto ejecutando evaluaciones de sus recursos y buscando aquellos que no
cumplan con las políticas que ha creado.
Las principales ventajas de la política de Azure se encuentran en las áreas de aplicación y cumplimiento, escalado y
corrección.
● Ejecución y cumplimiento. Active las políticas integradas o cree políticas personalizadas para todos los tipos de recursos.
Evaluación y aplicación de políticas en tiempo real. Evaluación de cumplimiento periódica y bajo demanda.
● Aplicar políticas a escala. Aplique políticas a un grupo de gestión con control en toda su organización.
Aplique múltiples políticas y estados de políticas agregados con iniciativa de políticas. Defina un alcance de
exclusión.
● Remediación. Remediación en tiempo real y remediación de recursos existentes.
Azure Policy será importante para usted si su equipo ejecuta un entorno en el que necesita gobernar:
● Múltiples equipos de ingeniería (implementando y operando en el entorno)
● Varias suscripciones
● Necesidad de estandarizar / hacer cumplir la forma en que se configuran los recursos en la nube
● Gestione el cumplimiento normativo, el control de costes, la seguridad o la coherencia del diseño.
Casos de uso
● Especifique los tipos de recursos que su organización puede implementar.
10 https://docs.microsoft.com/en-us/azure/azure-resource-manager/management-groups-overview
● Especifique un conjunto de SKU de máquinas virtuales que su organización puede implementar.
● Restrinja las ubicaciones que su organización puede especificar al implementar recursos.
● Haga cumplir una etiqueta obligatoria y su valor.
● Audite si el servicio Azure Backup está habilitado para todas las máquinas virtuales.
Para más información, Documentación de la política de Azure 11
Implementación de la política de Azure
Para implementar las políticas de Azure, puede seguir estos pasos.
1. Examinar las definiciones de políticas. Una definición de política expresa qué evaluar y qué acciones tomar.
Cada definición de política tiene condiciones bajo las cuales se aplica. Y tiene un efecto de acompañamiento que tiene
lugar si se cumplen las condiciones. Por ejemplo, puede evitar que se implementen máquinas virtuales si están expuestas
a una dirección IP pública.
2. Crear definiciones de iniciativas. Una definición de iniciativa es un conjunto de definiciones de políticas para ayudar a rastrear su estado de
cumplimiento para un objetivo más amplio. Por ejemplo, asegurarse de que una sucursal cumpla con las normas.
3. Alcance la definición de la iniciativa. Puede limitar el alcance de la definición de iniciativa a grupos de

administración, suscripciones o grupos de recursos.
4. Ver los resultados de la evaluación de políticas. Una vez que se asigna una definición de iniciativa, puede evaluar el estado de
cumplimiento de todos sus recursos. Los recursos individuales, los grupos de recursos y las suscripciones dentro de un ámbito
pueden estar exentos de que las reglas de políticas lo afecten. Las exclusiones se manejan individualmente para cada asignación.
✔ Incluso si solo tiene unas pocas definiciones de políticas, le recomendamos que cree una definición de iniciativa.
Definiciones de políticas
Hay muchas definiciones de políticas integradas entre las que puede elegir. Ordenar por categoría le ayudará a
encontrar lo que necesita. Por ejemplo,
● Las SKU de máquina virtual permitidas le permiten especificar un conjunto de SKU de máquina virtual que su organización
puede implementar.
● La política de ubicaciones permitidas le permite restringir las ubicaciones que su organización puede especificar al
implementar recursos. Esto se puede utilizar para hacer cumplir sus requisitos de cumplimiento geográfico.
11 https://docs.microsoft.com/azure/azure-policy/
Si no hay una política aplicable, puede agregar una nueva definición de política. La forma más sencilla de hacerlo es importar
una política de GitHub 12 . Casi todos los días se agregan nuevas definiciones de políticas.
✔ Las definiciones de políticas tienen un formato JSON específico 13 . Como administrador de Azure, no necesitará
crear archivos en este formato, pero es posible que desee revisar el formato, solo para familiarizarse.
Crear definiciones de iniciativas

Una vez que haya determinado qué definiciones de políticas necesita, cree una definición de iniciativa. Esta definición
incluirá una o más políticas. Hay una lista de selección en el lado derecho de la página de definición de Nueva Iniciativa
(no se muestra) para hacer su selección.
12 https://github.com/Azure/azure-policy/tree/master/samples
13 https://docs.microsoft.com/en-us/azure/azure-policy/policy-definition
✔ Actualmente, una definición de iniciativa puede tener hasta 100 políticas.
✔ ¿Qué planificación se necesitará para organizar sus definiciones de políticas?
Alcance de la iniciativa
Una vez creada nuestra Definición de Iniciativa, puede asignar la definición para establecer su alcance. Un
alcance determina en qué recursos o agrupación de recursos se aplica la asignación de política.
Puede seleccionar la suscripción y, opcionalmente, un grupo de recursos.

Determine el cumplimiento
Una vez que su política esté en su lugar, puede usar la hoja de Cumplimiento para revisar las iniciativas que no cumplen, las
políticas que no cumplen y los recursos que no cumplen.
Cuando se evalúa una condición con respecto a sus recursos existentes y se determina que es verdadera, esos recursos se
marcan como no compatibles con la política. Aunque el portal no muestra la lógica de evaluación, sí se muestran los
resultados del estado de cumplimiento. El resultado del estado de cumplimiento es compatible o no compatible.
✔ La evaluación de la política se realiza aproximadamente una vez por hora, lo que significa que si realiza cambios en la
definición de su política y crea una asignación de política, se volverá a evaluar sobre sus recursos en una hora.
Demostración: política de Azure

En esta demostración, trabajaremos con políticas de Azure.
Asignar una política
1. Acceda al portal de Azure.
2. Busque y seleccione Política.
3. Seleccione Asignaciones en el lado izquierdo de la página de Azure Policy.
4. Seleccione Asignar política en la parte superior de la página Política - Asignaciones.
5. Observe el Alcance que determina qué recursos o agrupación de recursos la asignación de política
se hace cumplir.
6. Selecciona el Puntos suspensivos en la definición de políticas para abrir la lista de definiciones disponibles. Tómese un tiempo para revisar las
definiciones de políticas integradas.
7. Busque y seleccione Ubicaciones permitidas. Esta política le permite restringir las ubicaciones que su organización
puede especificar al implementar recursos.
8. Mueve el Parámetros pestaña y usando el menú desplegable, seleccione una o más ubicaciones permitidas. Hacer
9. clic Revisar + crear y entonces Crear para crear la política.
Crear y asignar una definición de iniciativa.
1. Seleccione Definiciones en Creación en el lado izquierdo de la página de Azure Policy.
2. Seleccione + Definición de iniciativa en la parte superior de la página para abrir la página de definición de la iniciativa.
3. Proporcione un Nombre y Descripción.
4. Crear nuevo Categoría.
5. Desde el panel derecho Agregar la Ubicaciones permitidas política.

6. Agregue una póliza adicional de su elección.
7. Ahorrar tus cambios y luego Asignar la definición de su iniciativa a su suscripción.
Verificar el cumplimiento
1. Vuelva a la página del servicio Azure Policy.
2. Seleccione Cumplimiento.
3. Revise el estado de su póliza y su definición.
Verifique las tareas de remediación
2. Seleccione Remediación.
3. Revise las tareas de reparación que se enumeran.
Elimina tu política e iniciativa
2. Seleccione Asignaciones.
3. Seleccione su Ubicaciones permitidas política.
4. Haga clic en Eliminar asignación.
6. Seleccione Iniciativas.
7. Seleccione su nueva iniciativa.
8. Haga clic en Eliminar iniciativa.

Control de acceso basado en roles
Control de acceso basado en roles

La gestión del acceso a los recursos de la nube es una función fundamental para cualquier organización que utilice la nube.
El control de acceso basado en roles (RBAC) lo ayuda a administrar quién tiene acceso a los recursos de Azure, qué pueden
hacer con esos recursos y a qué áreas tienen acceso.
RBAC es un sistema de autorización creado en Azure Resource Manager que proporciona una administración de
acceso detallada de los recursos en Azure.
¿Qué puedo hacer con RBAC?

A continuación, se muestran algunos ejemplos de lo que puede hacer con RBAC:
● Permitir que una aplicación acceda a todos los recursos de un grupo de recursos
● Permita que un usuario administre máquinas virtuales en una suscripción y otro usuario administre redes
virtuales
● Permitir que un grupo de DBA administre bases de datos SQL en una suscripción
● Permitir que un usuario administre todos los recursos en un grupo de recursos, como máquinas virtuales, sitios web y
subredes.
Conceptos
● Principal de seguridad. Objeto que representa algo que solicita acceso a recursos. Ejemplos: usuario, grupo,
entidad de servicio, identidad administrada
● Definición de roles. Colección de permisos que enumera las operaciones que se pueden realizar. Ejemplos: lector,
colaborador, propietario, administrador de acceso de usuario
● Alcance. Límite para el nivel de acceso que se solicita. Ejemplos: grupo de administración, suscripción, grupo de
recursos, recurso
● Asignación. Adjuntar una definición de rol a una entidad de seguridad en un ámbito particular. Los usuarios pueden otorgar
el acceso descrito en una definición de rol creando una asignación. Las asignaciones de denegación son actualmente de solo
lectura y solo Azure puede establecerlas.
Mejores prácticas para usar RBAC

Con RBAC, puede segregar las tareas dentro de su equipo y otorgar solo la cantidad de acceso a los usuarios que
necesitan para realizar sus trabajos. En lugar de otorgar permisos ilimitados a todos en su suscripción o recursos de
Azure, puede permitir solo determinadas acciones en un ámbito particular.
Al planificar su estrategia de control de acceso, es una buena práctica otorgar a los usuarios el mínimo privilegio para
realizar su trabajo. El siguiente diagrama muestra un patrón sugerido para usar RBAC.
Control de acceso basado en roles 45
Definiciones de roles
Cada rol es un conjunto de propiedades definidas en un archivo JSON. Esta definición de rol incluye Nombre, Id y
Descripción. También incluye los permisos permitidos (Acciones), los permisos denegados (NotActions) y el alcance (acceso
de lectura, etc.) para el rol. Por ejemplo,
Nombre: Propietario
Número de identificación: 8e3af657-a8ff-443c-a75c-2fe8c4bcb65

IsCustom: Falso
Descripción: Administre todo, incluido el acceso a los recursos. Acciones: {*}
NotActions: {}
AssignableScopes: {/}
En este ejemplo, el rol de propietario significa todas las acciones (asterisco), ninguna acción denegada y todos los ámbitos (/).
Acciones y no acciones
Las propiedades Actions y NotActions se pueden personalizar para otorgar y denegar los permisos exactos que necesita. Esta
tabla define las funciones del propietario, colaborador y lector.
Rol incorporado Acción NotActions

Propietario (permitir todas las acciones) *
Colaborador (permitir todas las acciones * Microsoft.Authorization / * / Delete,
excepto escribir o eliminar la Microsoft.Authorization / * / Write,
asignación de roles) Microsoft.Authorization / elevar-
Acceso / Acción
Lector (permitir todas las acciones de lectura) * /leer
Alcance su rol
Definir las propiedades Actions y NotActions no es suficiente para implementar completamente un rol. También debe definir
adecuadamente su función.
La propiedad AssignableScopes del rol especifica los ámbitos (suscripciones, grupos de recursos o recursos) dentro de los
cuales el rol personalizado está disponible para su asignación. Puede hacer que el rol personalizado esté disponible para
su asignación solo en las suscripciones o grupos de recursos que lo requieran, y no saturar la experiencia del usuario para
el resto de las suscripciones o grupos de recursos.
* / subscriptions / [id. de suscripción]

* / subscriptions / [id. de suscripción] / resourceGroups / [nombre del grupo de recursos]
* / subscriptions / [id. de suscripción] / resourceGroups / [nombre del grupo de recursos] / [recurso]
Ejemplo 1
Haga que un rol esté disponible para su asignación en dos suscripciones.
"/ Subscriptions / c276fc76-9cd4-44c9-99a7-4fd71546436e", "/ subscriptions /

e91d47c4-76f3-4271-a796-21b4ecfe3624"
Ejemplo 2
Hace que un rol esté disponible para su asignación solo en el grupo de recursos de red.
“/ Subscriptions / c276fc76-9cd4-44c9-99a7-4fd71546436e / resourceGroups / Net- work”
Asignación de roles
Una asignación de rol es el proceso de adjuntar una definición de rol a un usuario, grupo, entidad de servicio o identidad administrada
en un ámbito particular con el propósito de otorgar acceso. El acceso se otorga mediante la creación de una asignación de funciones y
el acceso se revoca al eliminar una asignación de funciones.
Este diagrama muestra un ejemplo de asignación de funciones. En este ejemplo, al grupo de marketing se le ha asignado el rol de
colaborador para el grupo de recursos de ventas farmacéuticas. Esto significa que los usuarios del grupo Comercialización pueden
crear o administrar cualquier recurso de Azure en el grupo de recursos de ventas farmacéuticas. Los usuarios de marketing no tienen
acceso a recursos fuera del grupo de recursos de ventas farmacéuticas, a menos que formen parte de otra asignación de funciones.
Tenga en cuenta que no es necesario otorgar acceso a toda la suscripción. Los roles también se pueden asignar para grupos
de recursos, así como para recursos individuales. En Azure RBAC, un recurso hereda las asignaciones de roles de sus
recursos primarios. Por lo tanto, si a un usuario, grupo o servicio se le otorga acceso solo a un grupo de recursos dentro de
una suscripción, solo podrán acceder a ese grupo de recursos y recursos dentro de él, y no a los otros grupos de recursos
dentro de la suscripción.
Como otro ejemplo, se puede agregar un grupo de seguridad a la función Lector para un grupo de recursos, pero se puede agregar a la
función Colaborador para una base de datos dentro de ese grupo de recursos.
Roles de Azure RBAC frente a roles de Azure AD

Si es nuevo en Azure, es posible que le resulte un poco difícil comprender todos los roles diferentes en Azure. Este
artículo ayuda a explicar los siguientes roles y cuándo usaría cada uno:
● Roles de administrador de suscripción clásicos
● Roles de control de acceso basado en roles (RBAC) de Azure
● Roles de administrador de Azure Active Directory (Azure AD)
Para comprender mejor los roles en Azure, es útil conocer parte del historial. Cuando se lanzó Azure inicialmente, el acceso
a los recursos se administraba con solo tres roles de administrador: administrador de cuentas, administrador de servicios y
coadministrador. Posteriormente, se agregó el control de acceso basado en roles (RBAC) para los recursos de Azure. Azure
RBAC es un sistema de autorización más nuevo que proporciona una administración de acceso detallada a los recursos de
Azure. RBAC incluye muchos roles integrados, se pueden asignar en diferentes ámbitos y le permite crear sus propios roles
personalizados. Para administrar recursos en Azure AD, como usuarios, grupos y dominios, existen varios roles de
administrador de Azure AD.
Diferencias entre los roles de Azure RBAC y los roles de Azure AD

En un nivel alto, los roles de Azure RBAC controlan los permisos para administrar los recursos de Azure, mientras que los roles de
administrador de Azure AD controlan los permisos para administrar los recursos de Azure Active Directory. La siguiente tabla
compara algunas de las diferencias.
Roles de Azure RBAC Roles de Azure AD
Administre el acceso a los recursos de Azure. Administre el acceso a los recursos de Azure Active Directory.
El alcance se puede especificar en varios niveles (grupo El alcance está a nivel de inquilino.
de gestión, suscripción, grupo de recursos, recurso).
Se puede acceder a la información del rol en Azure Portal, Se puede acceder a la información del rol en el portal de administración
Azure CLI, Azure PowerShell, plantillas de Azure Resource de Azure, el portal de administración de Office 365, Microsoft Graph
Manager, API REST. AzureAD PowerShell.
✔ Se deben evitar los roles de administrador clásicos si usa Azure Resource Manager.
Autenticación RBAC
RBAC incluye muchos roles integrados, se pueden asignar en diferentes ámbitos y le permite crear sus propios roles
personalizados. Para administrar recursos en Azure AD, como usuarios, grupos y dominios, existen varios roles de
administrador de Azure AD.
Este diagrama es una vista de alto nivel de cómo se relacionan los roles de Azure RBAC y los roles de administrador de Azure
AD.
¿Ve cómo los roles de administrador de Azure AD y los roles de Azure RBAC trabajan juntos para autenticar a los usuarios?
Roles de Azure RBAC

Azure incluye varios roles integrados que puede usar. A continuación, se enumeran cuatro funciones integradas fundamentales. Los tres
primeros se aplican a todos los tipos de recursos.
● Dueño. Tiene acceso completo a todos los recursos, incluido el derecho a delegar el acceso a otros. El administrador del
servicio y los coadministradores tienen asignado el rol de propietario en el ámbito de la suscripción. Esto se aplica a todos los
tipos de recursos.
● Contribuyente. Puede crear y administrar todo tipo de recursos de Azure, pero no puede otorgar acceso a otros. Esto se
aplica a todos los tipos de recursos.
● Lector. Puede ver los recursos de Azure existentes. Esto se aplica a todos los tipos de recursos.
● Administrador de acceso de usuario. Le permite administrar el acceso de los usuarios a los recursos de Azure. Esto se aplica a
la gestión del acceso, más que a la gestión de recursos.
El resto de los roles integrados permiten la administración de recursos específicos de Azure. Por ejemplo, el Colaborador de la
máquina virtual El rol permite a un usuario crear y administrar máquinas virtuales. Si los roles integrados no satisfacen las
necesidades específicas de su organización, puede crear sus propios roles personalizados.
Azure ha introducido operaciones de datos que le permiten otorgar acceso a los datos dentro de un objeto. Por ejemplo, si un
usuario tiene acceso a datos de lectura en una cuenta de almacenamiento, entonces puede leer los blobs o mensajes dentro de
esa cuenta de almacenamiento.
Demostración: Azure RBAC

En esta demostración, aprenderemos sobre las asignaciones de roles.
Localizar la hoja de control de acceso
1. Acceda a Azure Portal y seleccione un grupo de recursos. Anote el grupo de recursos que utiliza.
2. Seleccione el Control de acceso (IAM) espada.
3. Esta hoja estará disponible para muchos recursos diferentes para que pueda controlar el acceso.
Revisar los permisos del rol
1. Seleccione el Roles pestaña (arriba).
2. Revise la gran cantidad de roles integrados que están disponibles.
3. Haga doble clic en un rol y luego seleccione Permisos ( cima).
4. Continúe profundizando en el rol hasta que pueda ver el Leer, escribir y eliminar acciones para ese rol.
5. Regrese a la Control de acceso (IAM) espada.
Agregar una asignación de funciones
1. Cree un usuario.
2. Seleccione Agregue la asignación de roles.
● Papel: Dueño
● Seleccione: Gerentes
● Ahorrar sus cambios.
3. Seleccione Verifique el acceso.
4. Seleccione el usuario.
5. Observe que el usuario es parte del grupo Administradores y es propietario.
6. Tenga en cuenta que puede Denegar asignaciones.
Explore los comandos de PowerShell
1. Abra Azure Cloud Shell.
2. Seleccione el menú desplegable de PowerShell.
3. Enumere las definiciones de funciones.
Get-AzRoleDefinition | FT Nombre, Descripción
4. Enumere las acciones de un rol.
Propietario de Get-AzRoleDefinition | Acciones FL, NotActions
5. Enumere las asignaciones de roles.
Get-AzRoleAssignment -ResourceGroupName <nombre del grupo de recursos>

Módulo 02 Preguntas de laboratorio y repaso
Laboratorio 02a: administración de suscripciones y Azure

RBAC
Para mejorar la administración de los recursos de Azure en Contoso, se le ha asignado la tarea de implementar la
siguiente funcionalidad:
● utilizando grupos de administración para las suscripciones de Azure de Contoso.
● otorgar permisos de usuario para enviar solicitudes de soporte. Este usuario solo podría crear tickets
de solicitud de soporte y ver grupos de recursos.
Objetivos
● Tarea 1: Implementar grupos de gestión.
● Tarea 2: crear roles RBAC personalizados.
● Tarea 3: Asignar roles de RBAC.
Laboratorio 02b: Gestión de la gobernanza mediante la política de Azure
Para mejorar la administración de los recursos de Azure en Contoso, se le ha asignado la tarea de implementar la
siguiente funcionalidad:
● etiquetado de grupos de recursos que incluyen solo recursos de infraestructura (como cuentas de almacenamiento de
Cloud Shell)
● Asegurar que solo se puedan agregar recursos de infraestructura debidamente etiquetados a los grupos de recursos de
infraestructura.
● remediar cualquier recurso que no cumpla con las normas
Objetivos
En este laboratorio, haremos lo siguiente:
● Tarea 1: crear y asignar etiquetas a través de Azure Portal.
● Tarea 2: Aplicar el etiquetado a través de una política de Azure.

Módulo 02 Preguntas de laboratorio y repaso 51
● Tarea 3: Aplicar etiquetado a través de una política de Azure.
Debe orientar las políticas y revisar los presupuestos de gastos en varias suscripciones que administra. ¿Qué deberías hacer?
Seleccione uno.
?? Crear grupos de recursos
?? Crear grupos de gestión
?? Crea grupos de facturación
?? Crear políticas de Azure
Le gustaría categorizar los recursos y la facturación para diferentes departamentos como TI y RR.HH. La facturación
debe consolidarse en varios grupos de recursos y debe asegurarse de que todos cumplan con la solución. ¿Qué
deberías hacer? {Elija dos para completar una solución}.
?? Crea etiquetas para cada departamento.
?? Cree un grupo de facturación para cada departamento.
?? Cree una política de Azure.
?? Agregue los grupos a un solo grupo de recursos.
?? Cree una regla de cuenta de suscripción.
El contralor financiero de su empresa desea que se le notifique cada vez que la empresa esté a medio camino de gastar el dinero
asignado para los servicios en la nube. ¿Qué deberías hacer? Seleccione uno.
?? Cree una reserva de Azure.
?? Crea un presupuesto y un umbral de gasto.
?? Crea un grupo de gestión.
?? Ingrese cargas de trabajo en la calculadora de costo total de propiedad.
Su organización tiene varias políticas de Azure que les gustaría crear y hacer cumplir para una nueva sucursal.
¿Qué deberías hacer? Seleccione uno.
?? Crear una iniciativa de política
?? Crea un grupo de gestión
?? Crea un grupo de recursos
?? Crear nuevas suscripciones

¿Cuál de los siguientes sería un buen ejemplo de cuándo usar un bloqueo de recursos? Seleccione uno.
?? Un circuito ExpressRoute con conectividad a su red local.
?? Una máquina virtual que no es de producción que se usa para probar compilaciones de aplicaciones ocasionales.
?? Una cuenta de almacenamiento utilizada para almacenar temporalmente imágenes procesadas en un entorno de desarrollo.
?? Un grupo de recursos para una nueva sucursal que recién se está iniciando.
Su empresa contrata a un nuevo administrador de TI. Necesita administrar un grupo de recursos con servidores web
de primer nivel, incluida la asignación de permisos. Sin embargo, no debería tener acceso a otros grupos de recursos
dentro de la suscripción. Debe configurar el acceso basado en roles. ¿Qué deberías hacer? Seleccione uno.
?? Asignarla como propietaria de la suscripción.
?? Asignarla como colaborador de suscripción.
?? Asignarla como propietaria del grupo de recursos.
?? Asignela como colaboradora del grupo de recursos.
Tiene tres máquinas virtuales (VM1, VM2 y VM3) en un grupo de recursos. El Helpdesk contrata a un nuevo
empleado. El nuevo empleado debe poder modificar la configuración en VM3, pero no en VM1 y VM2. Su solución
debe minimizar los gastos administrativos. ¿Qué deberías hacer? Seleccione uno.
?? Asigne al usuario la función Colaborador en el grupo de recursos.
?? Asigne al usuario el rol de colaborador en VM3.
?? Mueva VM3 a un nuevo grupo de recursos y asigne al usuario la función Colaborador en VM3.
?? Asigne al usuario a la función Colaborador en el grupo de recursos y, luego, asigne al usuario la función Propietario
en VM3.
Estudio adicional
● Analice costos y cree presupuestos con Azure Cost Management 14
● Predecir costos y optimizar el gasto para Azure 15
● Controle y organice los recursos de Azure con Azure Resource Manager dieciséis
● Aplique y supervise los estándares de infraestructura con Azure Policy 17
● Cree roles personalizados para los recursos de Azure con control de acceso basado en roles 18
14 https://docs.microsoft.com/en-us/learn/modules/analyze-costs-create-budgets-azure-cost-management/
15 https://docs.microsoft.com/en-us/learn/modules/predict-costs-and-optimize-spending/
dieciséis https://docs.microsoft.com/en-us/learn/modules/control-and-organize-with-azure-resource-manager/
17 https://docs.microsoft.com/en-us/learn/modules/intro-to-governance/
18 https://docs.microsoft.com/en-us/learn/modules/create-custom-azure-roles-with-rbac/
● Administre el acceso a una suscripción de Azure mediante el control de acceso basado en roles de Azure 19
19 https://docs.microsoft.com/en-us/learn/modules/manage-subscription-access-azure-rbac/
20 https://docs.microsoft.com/en-us/learn/modules/secure-azure-resources-with-rbac/
Respuestas
Debe orientar las políticas y revisar los presupuestos de gastos en varias suscripciones que administra. ¿Qué deberías
hacer? Seleccione uno.
?? Crear grupos de recursos
■ Crear grupos de administración
?? Crea grupos de facturación
?? Crear políticas de Azure
Explicación
Crea grupos de gestión. Los grupos de administración se pueden utilizar para organizar y administrar suscripciones.
Le gustaría categorizar los recursos y la facturación para diferentes departamentos como TI y RR.HH. La
facturación debe consolidarse en varios grupos de recursos y debe asegurarse de que todos cumplan con
la solución. ¿Qué deberías hacer? {Elija dos para completar una solución}.
■ Cree etiquetas para cada departamento.
?? Cree un grupo de facturación para cada departamento.
■ Cree una política de Azure.
?? Agregue los grupos a un solo grupo de recursos.
?? Cree una regla de cuenta de suscripción.
Explicación
Cree etiquetas para cada departamento y cree una política de Azure. Debe crear una etiqueta con un par clave: valor como
departamento: RRHH. A continuación, puede crear una política de Azure que requiera que se aplique la etiqueta antes de crear un
recurso.
El contralor financiero de su empresa desea que se le notifique cada vez que la empresa esté a medio camino de gastar el
dinero asignado para los servicios en la nube. ¿Qué deberías hacer? Seleccione uno.
?? Cree una reserva de Azure.
■ Cree un presupuesto y un umbral de gastos.
?? Crea un grupo de gestión.
?? Ingrese cargas de trabajo en la calculadora de costo total de propiedad.
Explicación
Crea un presupuesto y un umbral de gasto. Las alertas de facturación le ayudan a supervisar y administrar la actividad de facturación de
sus cuentas de Azure. Puede configurar un total de cinco alertas de facturación por suscripción, con un umbral diferente y hasta dos
destinatarios de correo electrónico para cada alerta. Los presupuestos mensuales se evalúan frente al gasto cada cuatro horas. Los
presupuestos se restablecen automáticamente al final de un período.
Su organización tiene varias políticas de Azure que les gustaría crear y hacer cumplir para una nueva sucursal. ¿Qué
deberías hacer? Seleccione uno.
■ Crear una iniciativa de política
?? Crea un grupo de gestión
?? Crea un grupo de recursos
?? Crear nuevas suscripciones
Explicación
Cree una iniciativa de política. Una iniciativa de política incluiría todas las políticas de interés. Una vez creada su iniciativa,
puede asignar la definición para establecer su alcance. Un alcance determina en qué recursos o agrupación de recursos
se aplica la asignación de política.
¿Cuál de los siguientes sería un buen ejemplo de cuándo usar un bloqueo de recursos? Seleccione uno.
■ Un circuito ExpressRoute con conectividad a su red local.
?? Una máquina virtual que no es de producción que se usa para probar compilaciones de aplicaciones ocasionales.
?? Una cuenta de almacenamiento utilizada para almacenar temporalmente imágenes procesadas en un entorno de desarrollo.
?? Un grupo de recursos para una nueva sucursal que recién se está iniciando.
Explicación
Un circuito ExpressRoute con conectividad a su red local. Los bloqueos de recursos evitan que otros usuarios
de su organización eliminen o modifiquen accidentalmente recursos críticos.
Su empresa contrata a un nuevo administrador de TI. Necesita administrar un grupo de recursos con servidores web de
primer nivel, incluida la asignación de permisos. Sin embargo, no debería tener acceso a otros grupos de recursos dentro
de la suscripción. Debe configurar el acceso basado en roles. ¿Qué deberías hacer? Seleccione uno.
?? Asignarla como propietaria de la suscripción.
?? Asignarla como colaborador de suscripción.
■ Asignarla como propietaria del grupo de recursos.
?? Asignela como colaboradora del grupo de recursos.
Explicación
Asígnela como propietaria del grupo de recursos. El nuevo administrador de TI debe poder asignar permisos.
Tiene tres máquinas virtuales (VM1, VM2 y VM3) en un grupo de recursos. El Helpdesk contrata a un nuevo
empleado. El nuevo empleado debe poder modificar la configuración en VM3, pero no en VM1 y VM2. Su solución
debe minimizar los gastos administrativos. ¿Qué deberías hacer? Seleccione uno.
?? Asigne al usuario la función Colaborador en el grupo de recursos.
■ Asignar al usuario a la función Colaborador en VM3.
?? Mueva VM3 a un nuevo grupo de recursos y asigne al usuario la función Colaborador en VM3.
?? Asigne al usuario a la función Colaborador en el grupo de recursos y, luego, asigne al usuario la función Propietario
en VM3.
Explicación
Asigne al usuario el rol de colaborador en VM3. Esto significa que el usuario no tendrá acceso a VM1 o VM2. El rol de
colaborador permitirá al usuario cambiar la configuración en VM1.
Módulo 3 Administración de Azure
Administrador de recursos de Azure
Administrador de recursos
La infraestructura de su aplicación generalmente se compone de muchos componentes, tal vez una máquina virtual, una cuenta de
almacenamiento y una red virtual, o una aplicación web, una base de datos, un servidor de base de datos y servicios de terceros.
Estos componentes no son entidades separadas, sino partes relacionadas e interdependientes de una sola entidad. Desea
implementarlos, administrarlos y monitorearlos como un grupo.
Azure Resource Manager le permite trabajar con los recursos de su solución como grupo. Puede implementar, actualizar o
eliminar todos los recursos de su solución en una sola operación coordinada. Utiliza una plantilla para la implementación y
esa plantilla puede funcionar para diferentes entornos, como pruebas, preparación y producción. Resource Manager
proporciona funciones de seguridad, auditoría y etiquetado para ayudarlo a administrar sus recursos después de la
implementación.
Capa de gestión coherente

Resource Manager proporciona una capa de administración coherente para realizar tareas a través de Azure PowerShell, la CLI de Azure, el
portal de Azure, la API de REST y los SDK de cliente. Todas las capacidades que están disponibles en Azure Portal también están disponibles a
través de Azure PowerShell, la CLI de Azure, las API de REST de Azure y los SDK de cliente. La funcionalidad lanzada inicialmente a través de las
API se representará en el portal dentro de los 180 días posteriores al lanzamiento inicial.
Elija las herramientas y API que mejor se adapten a sus necesidades: tienen la misma capacidad y brindan resultados consistentes.
La siguiente imagen muestra cómo interactúan todas las herramientas con la misma API de Azure Resource Manager.
La API pasa las solicitudes al servicio Resource Manager, que autentica y autoriza las solicitudes. Resource Manager
luego enruta las solicitudes a los proveedores de recursos adecuados.
58 Módulo 3 Administración de Azure
Beneficios
Resource Manager ofrece varios beneficios:
● Puede implementar, administrar y monitorear todos los recursos para su solución como grupo, en lugar de
manejar estos recursos individualmente.
● Puede implementar repetidamente su solución a lo largo del ciclo de vida del desarrollo y tener la confianza de que sus
recursos se implementan en un estado coherente.
● Puede administrar su infraestructura a través de plantillas declarativas en lugar de scripts.
● Puede definir las dependencias entre los recursos para que se implementen en el orden correcto.
● Puede aplicar el control de acceso a todos los servicios en su grupo de recursos porque el control de acceso basado en roles
(RBAC) está integrado de forma nativa en la plataforma de administración.
● Puede aplicar etiquetas a los recursos para organizar de forma lógica todos los recursos de su suscripción.
● Puede aclarar la facturación de su organización al ver los costos de un grupo de recursos que comparten la misma etiqueta.
Guia
Las siguientes sugerencias lo ayudarán a aprovechar al máximo Resource Manager cuando trabaje con sus
soluciones.
● Defina e implemente su infraestructura a través de la sintaxis declarativa en las plantillas de Resource Manager, en lugar
de a través de comandos imperativos.
● Defina todos los pasos de implementación y configuración en la plantilla. No debería tener pasos manuales
para configurar su solución.
● Ejecute comandos imperativos para administrar sus recursos, como iniciar o detener una aplicación o máquina.
● Organice los recursos con el mismo ciclo de vida en un grupo de recursos. Utilice etiquetas para el resto de la organización de
recursos.
Terminología
Si es nuevo en Azure Resource Manager (ARM), es posible que no esté familiarizado con algunos términos.
● recurso - Un elemento administrable que está disponible a través de Azure. Algunos recursos comunes son una máquina virtual,
una cuenta de almacenamiento, una aplicación web, una base de datos y una red virtual, pero hay muchos más.
Administrador de recursos de Azure 59
● grupo de recursos - Un contenedor que contiene recursos relacionados para una solución de Azure. El grupo de
recursos puede incluir todos los recursos de la solución o solo los recursos que desea administrar como grupo.
Usted decide cómo desea asignar los recursos a los grupos de recursos según lo que tenga más sentido para su
organización.
● proveedor de recursos - Un servicio que proporciona los recursos que puede implementar y administrar a través de Resource
Manager. Cada proveedor de recursos ofrece operaciones para trabajar con los recursos que se implementan. Algunos
proveedores de recursos comunes son Microsoft.Compute, que suministra el recurso de la máquina virtual, Microsoft.Storage,
que suministra el recurso de la cuenta de almacenamiento, y Microsoft. Web, que proporciona recursos relacionados con
aplicaciones web.
● Plantilla ARM - Un archivo de notación de objetos JavaScript (JSON) que define uno o más recursos para implementar
en un grupo de recursos. También define las dependencias entre los recursos implementados. La plantilla se puede
usar para implementar los recursos de manera consistente y repetida.
● sintaxis declarativa - Sintaxis que te permite decir "Esto es lo que pretendo crear" sin tener que escribir la
secuencia de comandos de programación para crearlo. La plantilla de Resource Manager es un ejemplo de
sintaxis declarativa. En el archivo, define las propiedades de la infraestructura que se implementará en Azure.
Proveedores de recursos
Cada proveedor de recursos ofrece un conjunto de recursos y operaciones para trabajar con un servicio de Azure. Por
ejemplo, si desea almacenar claves y secretos, trabaja con el Microsoft.KeyVault proveedor de recursos. Este proveedor de
recursos ofrece un tipo de recurso denominado bóvedas para crear la bóveda de claves.
El nombre de un tipo de recurso tiene el formato: { proveedor-recurso} / {tipo-recurso}. Por ejemplo, el tipo de almacén de
claves es Microsoft.KeyVault / bóvedas.
✔ Antes de comenzar a implementar sus recursos, debe comprender los proveedores de recursos disponibles.
Conocer los nombres de los proveedores de recursos y los recursos le ayuda a definir los recursos que desea
implementar en Azure. Además, debe conocer las ubicaciones válidas y las versiones de API para cada tipo de
recurso.
Implementaciones de grupos de recursos

Los recursos se pueden implementar en cualquier grupo de recursos nuevo o existente. La implementación de recursos en un grupo de
recursos se convierte en un trabajo en el que puede realizar un seguimiento de la ejecución de la plantilla. Si la implementación falla, el
resultado del trabajo puede describir por qué falló la implementación. Ya sea que la implementación sea un recurso único para un grupo o una
plantilla para un grupo, puede usar la información para corregir cualquier error y volver a implementar. Las implementaciones son
incrementales; Si un grupo de recursos contiene dos aplicaciones web y decide implementar una tercera, las aplicaciones web existentes no se
eliminarán. Actualmente, las implementaciones inmutables no se admiten en un grupo de recursos. Para implementar una implementación
inmutable, debe crear un nuevo grupo de recursos.
Consideraciones
Los grupos de recursos son, en su forma más simple, una colección lógica de recursos. Hay un par de pequeñas reglas para los
grupos de recursos.
● Los recursos solo pueden existir en un grupo de recursos.
● No se puede cambiar el nombre de los grupos de recursos.
● Los grupos de recursos pueden tener recursos de diferentes tipos (servicios).
● Los grupos de recursos pueden tener recursos de muchas regiones diferentes.

Crear grupos de recursos

Hay algunos factores importantes a considerar al definir su grupo de recursos:
● Todos los recursos de su grupo deben compartir el mismo ciclo de vida. Los implementa, actualiza y elimina juntos. Si
un recurso, como un servidor de base de datos, necesita existir en un ciclo de implementación diferente, debe estar en
otro grupo de recursos.
● Cada recurso solo puede existir en un grupo de recursos.
● Puede agregar o quitar un recurso a un grupo de recursos en cualquier
● momento. Puede mover un recurso de un grupo de recursos a otro grupo.
● Un grupo de recursos puede contener recursos que residen en diferentes regiones.
● Se puede utilizar un grupo de recursos para determinar el alcance del control de acceso para acciones administrativas.
● Un recurso puede interactuar con recursos de otros grupos de recursos. Esta interacción es común cuando los dos recursos
están relacionados pero no comparten el mismo ciclo de vida (por ejemplo, aplicaciones web que se conectan a una base de
datos).
Al crear un grupo de recursos, debe proporcionar una ubicación para ese grupo de recursos. Quizás se esté preguntando,
“¿Por qué un grupo de recursos necesita una ubicación? Y, si los recursos pueden tener ubicaciones diferentes a las del
grupo de recursos, ¿por qué es importante la ubicación del grupo de recursos? " El grupo de recursos almacena metadatos
sobre los recursos. Por lo tanto, cuando especifica una ubicación para el grupo de recursos, está especificando dónde se
almacenan esos metadatos. Por motivos de cumplimiento, es posible que deba asegurarse de que sus datos se almacenen
en una región en particular.
✔ Al establecer el alcance de los permisos para un grupo de recursos, puede agregar / quitar y modificar recursos fácilmente sin tener
que volver a crear asignaciones y alcances.
Bloqueos del administrador de recursos

Una preocupación común con los recursos aprovisionados en Azure es la facilidad con la que se pueden eliminar. Un administrador
demasiado entusiasta o descuidado puede borrar accidentalmente meses de trabajo con unos pocos clics. Los bloqueos del
administrador de recursos permiten a las organizaciones implementar una estructura que evita la eliminación accidental de
recursos en Azure.
● Puede asociar el candado con una suscripción, un grupo de recursos o un recurso.
● Los bloqueos los heredan los recursos secundarios.

Tipos de bloqueo
Hay dos tipos de bloqueos de recursos.
● Cerraduras de solo lectura, que evitan cualquier cambio en el recurso.
● Eliminar bloqueos, que evitan la eliminación.
✔ Solo los roles de propietario y administrador de acceso de usuario pueden crear o eliminar bloqueos de administración.
Recursos en movimiento
A veces, es posible que deba mover recursos a una nueva suscripción o un nuevo grupo de recursos en la
misma suscripción.
Al mover recursos, tanto el grupo de origen como el grupo de destino se bloquean durante la operación. Las operaciones de
escritura y eliminación se bloquean en los grupos de recursos hasta que se completa el movimiento. Este bloqueo significa que no
puede agregar, actualizar o eliminar recursos en los grupos de recursos, pero no significa que los recursos estén congelados. Por
ejemplo, si mueve una máquina virtual a un nuevo grupo de recursos, una aplicación que accede a la máquina virtual no
experimenta tiempo de inactividad.
Limitaciones
Antes de comenzar este proceso, asegúrese de leer el Mover el soporte operativo para los recursos 1 página.
Esta página detalla qué recursos se pueden mover entre grupos de recursos y suscripciones.
1 https://docs.microsoft.com/en-us/azure/azure-resource-manager/management/move-support-resources
Implementación
Para mover recursos, seleccione el grupo de recursos que contiene esos recursos y luego seleccione el Moverse
botón. Seleccione los recursos para mover y el grupo de recursos de destino. Reconozca que necesita actualizar los
scripts.
✔ El hecho de que un servicio se pueda mover no significa que no haya restricciones. Por ejemplo, puede mover una
red virtual, pero también debe mover sus recursos dependientes, como puertas de enlace.
Eliminar recursos y grupos de recursos

Tenga cuidado al eliminar un grupo de recursos. Al eliminar un grupo de recursos, se eliminan todos los recursos que
contiene. Ese grupo de recursos puede contener recursos de los que dependen los recursos de otros grupos de
recursos.
Usar PowerShell para eliminar grupos de recursos

Para eliminar el uso de un grupo de recursos, Remove-AzResourceGroup. En este ejemplo, quitamos el
grupo de recursos ContosoRG01 de la suscripción. El cmdlet le solicita confirmación y no devuelve
ningún resultado.
Remove-AzResourceGroup -Name "ContosoRG01"
Eliminar recursos
También puede eliminar recursos individuales dentro de un grupo de recursos. Por ejemplo, aquí estamos eliminando una red
virtual. Tenga en cuenta que puede cambiar el grupo de recursos en esta página.
Límites de recursos
Azure ofrece la posibilidad de observar el número de cada tipo de recurso de red que ha implementado en su suscripción y
cuáles son sus límites de suscripción. La capacidad de ver el uso de recursos contra los límites es útil para realizar un
seguimiento del uso actual y planificar el uso futuro.
● Los límites que se muestran son los límites de su suscripción.
● Si necesita aumentar un límite predeterminado, hay un enlace Solicitar aumento. Completará y enviará la
solicitud de soporte.
● Todos los recursos tienen un límite máximo enumerado en Azure limites 2 . Si su límite actual ya está en el
número máximo, no se puede aumentar el límite.
Demostración: administrador de recursos

En esta demostración, trabajaremos con Azure Resource Manager.
Nota: Solo los roles de propietario y administrador de acceso de usuario pueden administrar los bloqueos de los recursos.
Administrar grupos de recursos en el portal
2. Cree un grupo de recursos. Recuerde el nombre de este grupo de recursos.
3. En el Ajustes hoja para el grupo de recursos, seleccione Cerraduras.
4. Para agregar un candado, seleccione Agregar. Si desea crear un bloqueo a nivel principal, seleccione el principal. El actualmente
El recurso seleccionado hereda el bloqueo del padre. Por ejemplo, puede bloquear el grupo de recursos para aplicar un
bloqueo a todos sus recursos.
5. Dale a la cerradura un nombre y Tipo de bloqueo. Opcionalmente, puede agregar notas que describan el candado. Para
6. eliminar el bloqueo, seleccione los puntos suspensivos y Borrar de las opciones disponibles.
Administrar grupos de recursos con PowerShell
1. Acceda a Cloud Shell.
2. Cree el bloqueo de recursos y confirme su acción.
New-AzResourceLock -LockName <lockName> -LockLevel CanNotDelete -Resource- GroupName

<resourceGroupName>
2 https://docs.microsoft.com/en-us/azure/azure-subscription-service-limits?toc=%2fazure%2fnetworking%2ftoc.json
3. Ver información de bloqueo de recursos. Observe el LockId que se utilizará en el siguiente paso para eliminar el bloqueo.
Get-AzResourceLock
4. Elimine el bloqueo de recursos y confirme su acción.
Remove-AzResourceLock -LockName <Nombre> -ResourceGroupName <Grupo de recursos>
5. Verifique que se haya eliminado el bloqueo de recursos.
Get-AzResourceLock
✔ Configurar bloqueos de recursos, mover recursos entre grupos de recursos y eliminar grupos de recursos son parte del
examen de certificación.
Azure Portal y Cloud Shell sesenta y cinco
Azure Portal y Cloud Shell

Portal de Azure
La Portal de Azure le permite crear, administrar y monitorear todo, desde simples aplicaciones web hasta complejas
aplicaciones en la nube en una única consola unificada.
● Busque recursos, servicios y documentos.
● Gestionar recursos.
● Cree paneles de control personalizados y
● favoritos. Acceda a Cloud Shell.
● Recibir notificaciones.
● Vínculos a la documentación de Azure.
✔ Puede acceder al portal en https://portal.azure.com.
Demostración: Portal de Azure

En esta demostración, explorará Azure Portal.
Ayuda y atajos de teclado
1. Acceda al Portal de Azure.
2. Haga clic en? Icono de ayuda y soporte en el banner superior.
3. Seleccione Tour guiado de lanzamiento y haga clic en Empezar recorrido. Revise la información de ayuda.
4. Seleccione Atajos de teclado y lea los atajos disponibles. ¿Alguno parece de interés?
5. Cierre la página de ayuda y mantenga presionado GRAMO y presione D para ir a tu Panel de control.
Personalizando tu experiencia
1. Examine los iconos junto al menú desplegable Panel. Por ejemplo, Nuevo panel, Cargar, Descargar, Editar
y Clonar.
2. Haga clic en Nuevo tablero.

3. Practique agregar, fijar, mover, cambiar el tamaño y eliminar mosaicos. Hacer clic Terminado
4. de personalizar para guardar sus ediciones.
5. Selecciona el Ajustes icono en el banner superior. Experimente con diferentes temas de colores. Solicitar sus
cambios.
6. Practica reordenar tu Favoritos lista. Para ello, mantenga presionados y arrastre los elementos de la lista hacia arriba o hacia
7. abajo. Observe cómo al hacer clic en un Favorito lo lleva a esa página.
8. Haga clic en el Gestión de costes y facturación espada. Alfiler su información de Suscripción a su Panel de Control.
9. Visite el Panel de control y realice los cambios de disposición que desee.
10. Utilice el buscar cuadro de texto en la parte superior de la página.
11. Tipo recurso y se proporcionan coincidencias de contexto de aviso.
12. Seleccione Grupos de recursos y luego haga clic en + Agregar.
13. Revisar y crear su primer grupo de recursos.
Azure Cloud Shell

Azure Cloud Shell es un shell interactivo al que se puede acceder mediante explorador para administrar los recursos de Azure. Proporciona la
flexibilidad de elegir la experiencia de shell que mejor se adapte a su forma de trabajar. Los usuarios de Linux pueden optar por una experiencia
Bash, mientras que los usuarios de Windows pueden optar por PowerShell.
Cloud Shell permite el acceso a una experiencia de línea de comandos basada en navegador creada teniendo en cuenta las tareas de
administración de Azure. Aproveche Cloud Shell para trabajar sin ataduras desde una máquina local de una manera que solo la nube puede
proporcionar.
Características de Azure Cloud Shell

● Es temporal y requiere que se monte un recurso compartido de Azure Files nuevo o existente.
● Ofrece un editor de texto gráfico integrado basado en el editor Monaco de código abierto.
● Se autentica automáticamente para tener acceso instantáneo a sus recursos.

Azure Portal y Cloud Shell 67
● Se ejecuta en un host temporal proporcionado por sesión y por usuario. Se
● agota después de 20 minutos sin actividad interactiva.
● Requiere un grupo de recursos, una cuenta de almacenamiento y un recurso compartido de
● archivos de Azure. Utiliza el mismo recurso compartido de archivos de Azure para Bash y
● PowerShell. Se le asigna una máquina por cuenta de usuario.
● Persiste $ HOME usando una imagen de 5 GB almacenada en su recurso compartido de
● archivos. Los permisos se establecen como un usuario regular de Linux en Bash.
Demostración: Cloud Shell

En esta demostración, experimentaremos con Cloud Shell.
Configurar Cloud Shell
2. Haga clic en el Cloud Shell icono en el banner superior.
3. En la página Bienvenido al Shell, observe sus selecciones para Bash o PowerShell. Seleccione Potencia Shell.
4. Azure Cloud Shell requiere un recurso compartido de archivos de Azure para conservar los archivos. Cuando tenga tiempo, haga clic en Más
información para obtener información sobre el almacenamiento de Cloud Shell y los precios asociados.
5. Selecciona tu Suscripción, y haga clic en Crear almacenamiento.
Experimente con Azure PowerShell
1. Espere a que se cree su almacenamiento y se inicialice su cuenta.
2. En el indicador de PowerShell, escriba Get-AzSubscription para ver sus suscripciones.
3. Tipo Get-AzResourceGroup para ver la información del grupo de recursos.
Experimente con el caparazón Bash
1. Utilice el menú desplegable para cambiar al Intento shell y confirme su elección.
2. En el indicador de shell de Bash, escriba lista de cuentas az para ver sus suscripciones. Además, intente completar la pestaña.
3. Tipo lista de recursos az para ver la información de recursos.
Experimente con el editor de la nube
1. Para usar el editor en la nube, escriba código .. También puede seleccionar el icono de llaves.
2. Seleccione un archivo del panel de navegación izquierdo. Por ejemplo, . perfil.
3. Observe en el banner superior del editor, las selecciones de Configuración (Tamaño del texto y fuente) y Cargar / Descargar archivos.
4. Observe en las elipses (...) en el extremo derecho para Guardar, Cerrar editor y Abrir archivo.
5. Experimente a medida que tenga tiempo, luego cerca el Editor de la nube. Cierre Cloud Shell.
6.
Azure PowerShell y CLI

Azure PowerShell
Azure PowerShell es un módulo que se agrega a Windows PowerShell o PowerShell Core para permitirle conectarse a
su suscripción de Azure y administrar recursos. Azure PowerShell requiere PowerShell para funcionar. PowerShell
proporciona servicios como la ventana de shell y el análisis de comandos. Azure PowerShell agrega los comandos
específicos de Azure.
Por ejemplo, Azure PowerShell proporciona la New-AzVm comando que crea una máquina virtual dentro de
su suscripción de Azure. Para usarlo, debe iniciar la aplicación PowerShell y luego emitir un comando como
el siguiente comando:
New-AzVm `
- ResourceGroupName "CrmTestingResourceGroup" `
- Nombre "CrmUnitTests" `
- Imagen "UbuntuLTS"
...
Azure PowerShell también está disponible de dos formas: dentro de un navegador a través de Azure Cloud Shell o con una
instalación local en Linux, macOS o el sistema operativo Windows. En ambos casos, tiene dos modos para elegir: puede
usarlo en el modo interactivo en el que emite manualmente un comando a la vez, o en el modo de secuencia de comandos
en el que ejecuta una secuencia de comandos que consta de varios comandos.
¿Qué es el módulo Az?
Arizona es el nombre formal del módulo de Azure PowerShell que contiene cmdlets para trabajar con las características de
Azure. Contiene cientos de cmdlets que le permiten controlar casi todos los aspectos de cada recurso de Azure. Puede
trabajar con las siguientes funciones y más:
● Grupos de recursos
● Almacenamiento
● Máquinas virtuales
● Azure AD
● Contenedores
● Aprendizaje automático
Este módulo es un componente de código abierto disponible en GitHub 3 .
Nota: Es posible que haya visto o usado comandos de Azure PowerShell que usaban un: AzureRM formato. En diciembre de 2018,
Microsoft lanzó para disponibilidad general el reemplazo del módulo AzureRM con el módulo Az. Este nuevo módulo tiene varias
características, en particular un prefijo de sustantivo de cmdlet abreviado de - Arizona, que reemplaza AzureRM. La Arizona El
módulo se envía con compatibilidad con versiones anteriores para el módulo AzureRM, por lo que
- AzureRM El formato cmdlet funcionará. Sin embargo, en el futuro, debe realizar la transición al módulo Az y usar: Arizona
comandos.
✔ Marcar el Referencia de Azure PowerShell 4
3 https://github.com/Azure/azure-powershell
4 https://docs.microsoft.com/en-us/powershell/module/az.compute/get-azvm?view=azps-3.3.0
Azure PowerShell y CLI 69
Módulos y cmdlets de PowerShell

Un comando de PowerShell se llama cmdlet pronunciado "command-let"). A cmdlet es un comando que manipula una
sola función. El término cmdlet pretende implicar que es un comando pequeño. Por convención, se alienta a los
autores de cmdlets a mantener los cmdlets simples y con un solo propósito.
El producto PowerShell base se envía con cmdlets que funcionan con características como sesiones y trabajos en segundo
plano. Agrega módulos a su instalación de PowerShell para obtener cmdlets que manipulan otras características. Por
ejemplo, existen módulos de terceros para trabajar con ftp, administrar su sistema operativo y acceder al sistema de
archivos.
Los cmdlets siguen una convención de nomenclatura de verbo-sustantivo; por ejemplo, Get-Process, Format-Table, y Empieza el servicio.
También hay una convención para la elección de verbos. Puedes usar Get-Verb para recuperar ejemplos, como:
● obtener recupera datos.
● colocar inserta o actualiza datos.
● formato Formatea los datos.
● fuera dirige la salida a un destino.
Se recomienda a los autores de cmdlet que incluyan un archivo de ayuda para cada cmdlet. La Consigue ayuda cmdlet muestra el
archivo de ayuda para cualquier cmdlet. Por ejemplo, puede obtener ayuda sobre el Get-ChildItem cmdlet con la siguiente
declaración:
Get-Help Get-ChildItem -detailed
Los cmdlets se envían en _modules. A Módulo de PowerShell es un archivo DLL que incluye el código para procesar cada
cmdlet disponible. Los cmdlets se cargan en PowerShell cargando el módulo que los contiene. Puede obtener una lista de los
módulos cargados utilizando el Obtener-módulo mando:
Obtener-módulo
Esto generará algo como el siguiente código:
ModuleType Versión Nombre ExportedCom-

mands
---------------- ---- --------------
--
Manifiesto 3.1.0.0 Microsoft.PowerShell.Management {Add-Computer,
Add-Content, Checkpoint-Computer, Clear-Con ...
Manifiesto 3.1.0.0 Microsoft.PowerShell.Utility {Añadir miembro,
Agregar tipo, borrar variable, comparar objeto ...}
Binario 1.0.0.1 Gestión de paquetes {Find-Package,
Find-PackageProvider, Get-Package, Get-Pack ...
Texto 1.0.0.1 PowerShellGet {Buscar-comando,
Find-DscResource, Find-Module, Find-RoleCap ...
Texto 2.0.0 PSReadline {Get-PSRead-
LineKeyHandler, Get-PSReadLineOption, Remove-PS ...
Demostración: trabajar con PowerShell

En esta demostración, instalaremos el módulo Azure Az PowerShell. El módulo Az está disponible en un repositorio
global llamado Galería de PowerShell. Puede instalar el módulo en su máquina local a través del Módulo de
instalación mando. Necesita un indicador de shell de PowerShell elevado para instalar módulos de la Galería de
PowerShell.
Nota: Si en algún momento recibe errores sobre ejecutar scripts está deshabilitado asegúrese de establecer la política de ejecución.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachine
Instalar el módulo Az
1. Abra el Comienzo menú y tipo Windows PowerShell.
2. Haga clic con el botón derecho en el Windows PowerShell icono y seleccione Ejecutar como administrador.
3. En el Control de cuentas del usuario diálogo, seleccione Si.
4. Escriba el siguiente comando y luego presione Entrar. Este comando instala el módulo para todos los usuarios de forma
predeterminada. (Está controlado por el parámetro de alcance). AllowClobber sobrescribe el módulo de PowerShell anterior.
Install-Module -Name Az -AllowClobber
Instale NuGet (si es necesario)
1. Dependiendo de la versión de NuGet que haya instalado, es posible que reciba un mensaje para descargar e instalar la
última versión.
2. Si se le solicita, instale e importe el proveedor de NuGet.
Confía en el repositorio
1. De forma predeterminada, la Galería de PowerShell no está configurada como un repositorio de confianza para PowerShellGet. La
primera vez que use la Galería de PowerShell, se le preguntará.
Está instalando los módulos desde un repositorio que no es de confianza. Si confía en este repositorio,
cambie su valor InstallationPolicy ejecutando el cmdlet Set-PS- Repository. ¿Está seguro de que desea
instalar los módulos de PSGallery '?
2. Como se le solicite, instale los módulos.
Conéctese a Azure y vea la información de su suscripción
1. Conéctese a Azure.
Connect-AzAccount
2. Cuando se le solicite, proporcione sus credenciales.
3. Verifique la información de su suscripción.
Get-AzSubscription
Crea recursos
1. Cree un nuevo grupo de recursos. Proporcione una ubicación diferente si lo desea. La nombre debe ser único dentro
su suscripción. La localización determina dónde se almacenarán los metadatos de su grupo de recursos. Utiliza cadenas
como "Oeste de EE. UU.", "Norte de Europa" o "Oeste de la India" para especificar la ubicación; como alternativa, puede
utilizar equivalentes de una sola palabra, como westus, northeurope u westindia. La sintaxis principal es:
New-AzResourceGroup -name <nombre> -location <ubicación>
2. Verifique su grupo de recursos.
Get-AzResourceGroup
3. Elimine su grupo de recursos. Cuando se le solicite, confirme.
Prueba Remove-AzResourceGroup -Name
CLI de Azure
La CLI de Azure es un programa de línea de comandos para conectarse a Azure y ejecutar comandos administrativos en
los recursos de Azure. Se ejecuta en Linux, macOS y Windows, y permite a los administradores y desarrolladores
ejecutar sus comandos a través de una terminal o una línea de comandos (¡o un script!) En lugar de un navegador web.
Por ejemplo, para reiniciar una máquina virtual, usaría un comando como el siguiente:
az vm restart -g MyResourceGroup -n MyVm
La CLI de Azure proporciona herramientas de línea de comandos multiplataforma para administrar los recursos de Azure. Puede instalarlo
localmente en computadoras que ejecutan los sistemas operativos Linux, macOS o Windows. También puede usar la CLI de Azure desde un
navegador a través de Azure Cloud Shell.
En ambos casos, la CLI de Azure se puede usar de forma interactiva o mediante scripts:
● Interactivo. Primero, para los sistemas operativos Windows, inicie un shell como cmd.exe, o para Linux o
macOS, use Bash. Luego emita el comando en el indicador de shell.
● Con guión. Ensamble los comandos de la CLI de Azure en un script de shell utilizando la sintaxis de script del shell
elegido. Luego ejecute el script.
La CLI de Azure le permite controlar casi todos los aspectos de cada recurso de Azure. Puede trabajar con grupos de
recursos, almacenamiento, máquinas virtuales, Azure Active Directory (Azure AD), contenedores, aprendizaje automático, etc.
Los comandos de la CLI están estructurados en grupos y subgrupos. Cada grupo representa un servicio proporcionado por
Azure y los subgrupos dividen los comandos de estos servicios en agrupaciones lógicas. Por ejemplo, el
almacenamiento grupo contiene subgrupos que incluyen cuenta, blob, almacenamiento, y cola.
Entonces, ¿cómo encuentra los comandos particulares que necesita? Una forma es usar az find. Por ejemplo, si desea
buscar comandos que puedan ayudarlo a administrar un blob de almacenamiento, puede usar el siguiente comando de
búsqueda:
az find -q blob
Si ya conoce el nombre del comando que desea, el - ayuda El argumento para ese comando le brindará información
más detallada sobre el comando, y para un grupo de comandos, una lista de los subcomandos disponibles. Por
ejemplo, así es como puede obtener una lista de los subgrupos y comandos para administrar el almacenamiento de
blobs:
az storage blob --help
✔ Marcar el Referencia de la CLI de Azure 5 .
Demostración: trabajar con la CLI de Azure

En esta demostración, instalaremos y usaremos la CLI para crear recursos.
Instale la CLI en Windows
Instale la CLI de Azure en el sistema operativo Windows mediante el instalador de MSI:
1. Ir a https://aka.ms/installazurecliwindows, y en el cuadro de diálogo de seguridad del navegador, haga clic en Correr.
2. En el instalador, acepte los términos de la licencia y luego haga clic en Instalar en pc.
3. En el Control de cuentas del usuario diálogo, seleccione Si.
Verificar la instalación de la CLI de Azure
1. Ejecute la CLI de Azure abriendo un shell de Bash para Linux o macOS, o desde el símbolo del sistema o
PowerShell para Windows.
2. Inicie la CLI de Azure y verifique su instalación ejecutando la verificación de versión:
az --version
Nota: La ejecución de la CLI de Azure desde PowerShell tiene algunas ventajas sobre la ejecución de la CLI de Azure desde el símbolo
del sistema de Windows. PowerShell proporciona más funciones de finalización de pestañas que el símbolo del sistema.
Iniciar sesión en Azure
1. Como está trabajando con una instalación de CLI de Azure local, deberá autenticarse antes de poder
ejecutar los comandos de Azure. Para ello, utilice la CLI de Azure acceso mando:
az login
2. La CLI de Azure normalmente iniciará su navegador predeterminado para abrir la página de inicio de sesión de Azure. Si esto
no funciona, siga las instrucciones de la línea de comandos e ingrese un código de autorización en https://aka.ms/
devicelogin.
3. Después de iniciar sesión correctamente, estará conectado a su suscripción de Azure.
Crea un grupo de recursos
1. A menudo, necesitará crear un nuevo grupo de recursos antes de crear un nuevo servicio de Azure, por lo que usaremos
grupos de recursos como ejemplo para mostrar cómo crear recursos de Azure desde la CLI.
2. CLI de Azure crear grupo comando crea un grupo de recursos. Debe especificar un nombre y una ubicación. La nombre debe
ser único dentro de su suscripción. La localización determina dónde se almacenarán los metadatos de su grupo de
recursos. Utiliza cadenas como "Oeste de EE. UU.", "Norte de Europa" o "Oeste de la India" para especificar la ubicación;
como alternativa, puede utilizar equivalentes de una sola palabra, como westus, northeurope u westindia. La sintaxis
principal es:
az group create --name <nombre> --location <ubicación>
5 https://docs.microsoft.com/en-us/cli/azure/?view=azure-cli-latest
Verificar el grupo de recursos
1. Para muchos recursos de Azure, la CLI de Azure proporciona una lista subcomando para ver los detalles del recurso. Para
ejemplo, la CLI de Azure lista de grupo comando enumera sus grupos de recursos de Azure. Esto es útil para verificar
si la creación del grupo de recursos fue exitosa:
lista de grupos az
2. Para obtener una vista más concisa, puede formatear la salida como una tabla simple:
az group list - tabla de salida
3. Si tiene varios elementos en la lista de grupos, puede filtrar los valores devueltos agregando un consulta opción.
Prueba este comando:
lista de grupos az --query "[? name == '<rg name>']"

Plantillas ARM
Ventajas de la plantilla
Un Plantilla de Azure Resource Manager define con precisión todos los recursos de Resource Manager en una implementación.
Puede implementar una plantilla de Resource Manager en un grupo de recursos como una sola operación.
El uso de plantillas de Resource Manager hará que sus implementaciones sean más rápidas y repetibles. Por
ejemplo, ya no tiene que crear una VM en el portal, esperar a que termine y luego crear la siguiente VM. Resource
Manager se encarga de toda la implementación por usted.
Beneficios de la plantilla
● Las plantillas mejoran la coherencia. Las plantillas de Resource Manager proporcionan un lenguaje común para que usted y
otros describan sus implementaciones. Independientemente de la herramienta o SDK que utilice para implementar la plantilla,
la estructura, el formato y las expresiones dentro de la plantilla siguen siendo los mismos.
● Las plantillas ayudan a expresar implementaciones complejas. Las plantillas le permiten implementar varios
recursos en el orden correcto. Por ejemplo, no querrá implementar una máquina virtual antes de crear un disco
de sistema operativo (SO) o una interfaz de red. Resource Manager mapea cada recurso y sus recursos
dependientes, y crea primero los recursos dependientes. El mapeo de dependencias ayuda a garantizar que la
implementación se lleve a cabo en el orden correcto.
● Las plantillas reducen las tareas manuales propensas a errores. Crear y conectar recursos manualmente puede
llevar mucho tiempo y es fácil cometer errores. Resource Manager garantiza que la implementación se realice de la
misma manera en todo momento.
● Las plantillas son código. Las plantillas expresan sus requisitos a través del código. Piense en una plantilla como un tipo de
infraestructura como código que se puede compartir, probar y versionar de manera similar a cualquier otra pieza de software.
Además, debido a que las plantillas son código, puede crear un "rastro de papel" que puede seguir. El código de la plantilla
documenta la implementación. La mayoría de los usuarios mantienen sus plantillas bajo algún tipo de control de revisión, como
GIT. Cuando cambia la plantilla, su historial de revisión también documenta cómo la plantilla (y su implementación) ha
evolucionado con el tiempo.
● Las plantillas promueven la reutilización. Su plantilla puede contener parámetros que se completan cuando se ejecuta la
plantilla. Un parámetro puede definir un nombre de usuario o contraseña, un nombre de dominio, etc. Los parámetros de la
plantilla le permiten crear múltiples versiones de su infraestructura, como la puesta en escena y la producción, sin dejar de utilizar
exactamente la misma plantilla.
● Las plantillas se pueden vincular. Puede vincular las plantillas de Resource Manager para que las propias plantillas
sean modulares. Puede escribir pequeñas plantillas en las que cada una define una parte de una solución y luego
combinarlas para crear un sistema completo.
● Las plantillas simplifican la orquestación. Solo necesita implementar la plantilla para implementar todos sus
recursos. Normalmente, esto requeriría múltiples operaciones.
Esquema de plantilla
Las plantillas ARM están escritas en JSON, lo que le permite expresar los datos almacenados como un objeto (como una
máquina virtual) en texto. Un documento JSON es esencialmente una colección de pares clave-valor. Cada clave es una cadena,
cuyo valor puede ser:
● Una cuerda
● Un número
Plantillas ARM 75
● Una expresión booleana
● Una lista de valores
● Un objeto (que es una colección de otros pares clave-valor)
Una plantilla de Resource Manager puede contener secciones que se expresan mediante notación JSON, pero que no están
relacionadas con el lenguaje JSON en sí:
{
"$ esquema": "http://schema.management.azure.com/schemas/2019-04"contentVersion":
01 / deploymentTemplate.json # ",
"",
"parámetros": {},
"variables": {},
"funciones": [],
"recursos": [],
"salidas": {}
}
Nombre del elemento Requerido Descripción

$ esquema sí Ubicación del archivo de esquema JSON que
describe la versión del idioma de la plantilla.
Utilice la URL que se muestra en el ejemplo
anterior.
contentVersion sí Versión de la plantilla (como

1.0.0.0). Puede proporcionar cualquier
valor para este elemento. Utilice este
valor para documentar cambios
significativos en su plantilla. Al
implementar recursos usando la
plantilla, este valor se puede usar para
asegurarse de que se esté usando la
plantilla correcta.
parámetros No Valores que se proporcionan cuando se
ejecuta la implementación para personalizar
la implementación de recursos.
variables No Valores que se utilizan como

fragmentos JSON en la plantilla para
simplificar el lenguaje de la plantilla
Expresiones
funciones No Funciones definidas por el usuario que
están disponibles dentro de la plantilla.
recursos sí Tipos de recursos que se

implementan o actualizan en un
grupo de recursos.
salidas No Valores que se devuelven después de la
implementación.
Para más información, Comprender la estructura y la sintaxis de las plantillas de Azure Resource Manager 6 .
6 https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-authoring-templates
Parámetros de plantilla
En la sección de parámetros de la plantilla, especifica los valores que puede ingresar al implementar los
recursos.
Las propiedades disponibles para un parámetro son:
"parámetros": {
"<nombre-parámetro>": {
"tipo": "<tipo-de-valor-parámetro>",
"defaultValue": "<valor-predeterminado-de-parámetro>",
"allowedValues": ["<array-of-valores-allowed-values>"], "minValue":
<minimum-value-for-int>,
"maxValue": <valor-máximo-por-int>,
"minLength": <minimum-length-for-string-or-array>,
"maxLength": <maximum-length-for-string-or-array-parameters>, "metadata": {
"descripción": "<descripción-del-parámetro>"
}
}
}
Aquí hay un ejemplo que ilustra dos parámetros: uno para el nombre de usuario de una máquina virtual (VM) y otro para su
contraseña:
"parámetros": {
"adminUsername": {
"tipo": "cadena",
"metadatos": {
"description": "Nombre de usuario de la máquina virtual". }
},
"clave de administrador": {
"tipo": "cadena de seguridad",
"metadatos": {
"description": "Contraseña para la máquina virtual". }
✔ Está limitado a 256 parámetros en una plantilla. Puede reducir el número de parámetros mediante el uso de
objetos que contienen varias propiedades.
Plantillas de inicio rápido

Plantillas de inicio rápido de Azure 7 son plantillas de Resource Manager proporcionadas por la comunidad de Azure.
7 https://azure.microsoft.com/en-us/resources/templates/
Plantillas ARM 77
Las plantillas proporcionan todo lo que necesita para implementar su solución, mientras que otras pueden servir como punto de
partida para su plantilla. De cualquier manera, puede estudiar estas plantillas para aprender cómo crear y estructurar mejor sus
propias plantillas.
● El archivo README.md proporciona una descripción general de lo que hace la plantilla.
● El archivo azuredeploy.json define los recursos que se implementarán.
● El archivo azuredeploy.parameters.json proporciona los valores que necesita la plantilla.
✔ Tómese unos minutos para explorar las plantillas disponibles. ¿Algo de interés?
Demostración: plantillas de inicio rápido

En esta demostración, exploraremos las plantillas QuickStart.
Explore la galería
1. Empiece por navegar al Galería de plantillas de inicio rápido de Azure 8 . En la galería encontrarás un número
de plantillas populares y recientemente actualizadas. Estas plantillas funcionan tanto con recursos de Azure como con
paquetes de software populares.
2. Examine los diferentes tipos de plantillas disponibles.
3. ¿Hay alguna plantilla que le interese?
Explore una plantilla
1. Digamos que te encuentras con Implementar una máquina virtual de Windows simple 9 plantilla.
Nota: La Implementar en Azure El botón le permite implementar la plantilla directamente a través del portal de Azure si lo
desea.
Nota: Desplácese hacia abajo hasta Usar la plantilla Potencia Shell código. Necesitarás el TemplateURI en la próxima demostración. Copie
el valor. Por ejemplo,
https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master /
101-vm-simple-windows / azuredeploy.json
8 https://azure.microsoft.com/resources/templates?azure-portal=true
9 https://azure.microsoft.com/resources/templates/101-vm-simple-windows?azure-portal=true
2. Hacer clic Navegar en GitHub para navegar al código fuente de la plantilla en GitHub.
3. Observe desde esta página que también puede Implementar en Azure. Tómese un minuto para ver el archivo Léame. Esto
ayuda a determinar si la plantilla es para usted.
4. Hacer clic Visualizar para navegar a la Visualizador de Azure Resource Manager.
5. Observe los recursos que componen la implementación, incluida una máquina virtual, una cuenta de almacenamiento y
recursos de red.
6. Utilice su ratón para organizar los recursos. También puede usar la rueda de desplazamiento del mouse para acercar y alejar.
7. Haga clic en el recurso de VM etiquetado SimpleWinVM.
8. Revise el código fuente que define el recurso de VM.
● El tipo de recurso es Microsoft.Compute / virtualMachines.
● Su ubicación, o región de Azure, proviene del parámetro de plantilla denominado localización.
● El tamaño de la VM es Standard_A2.
● El nombre de la computadora se lee de una variable de plantilla y el nombre de usuario y la contraseña de la máquina virtual
se leen de los parámetros de la plantilla.
9. Regrese a la página de Inicio rápido que muestra los archivos en la plantilla. Copie el enlace a azuredeploy. json
archivo.
✔ Necesitará el enlace de la plantilla en la siguiente demostración.
Demostración: ejecutar plantillas con PowerShell

En esta demostración, crearemos nuevos recursos de Azure utilizando plantillas de PowerShell y Resource
Manager.
Conéctese a su suscripción
1. Si está trabajando con una instalación local de PowerShell, deberá autenticarse antes de poder ejecutar los
comandos de Azure. Para hacer esto, abra PowerShell ISE, o una consola de PowerShell como administrador, y
ejecute el siguiente comando:
Connect-AzAccount
2. Después de iniciar sesión correctamente, los detalles de su cuenta y suscripción deberían aparecer en la ventana de la
consola de PowerShell. Ahora debe seleccionar una suscripción o un contexto en el que desplegará sus recursos. Si
solo hay una suscripción, establecerá el contexto para esa suscripción de forma predeterminada. De lo contrario,
puede especificar la suscripción en la que implementar los recursos ejecutando los siguientes comandos en secuencia:
Get-AzContext
Set-AzContext -subscription <su ID de suscripción>
Crea el grupo de recursos
1. A menudo, deberá crear un nuevo grupo de recursos antes de crear un nuevo servicio o recurso de Azure.
Usaremos grupos de recursos como ejemplo para mostrar cómo crear recursos de Azure desde Azure
Power-Shell.
Plantillas ARM 79
2. Azure PowerShell New-AzResourceGroup comando crea un grupo de recursos. Debes especificar

un nombre y ubicación. El nombre debe ser único dentro de su suscripción y la ubicación determina dónde se
almacenarán los metadatos de su grupo de recursos. Utiliza cadenas como Oeste de EE. UU., Norte de Europa u Oeste de
la India para especificar la ubicación. Alternativamente, puede utilizar equivalentes de una sola palabra, como westus,
northeurope u westindia.
3. Cree el grupo de recursos en el que implementaremos nuestros recursos utilizando los siguientes comandos.
New-AzResourceGroup -Name <nombre del grupo de recursos> -Location <su centro de datos más
cercano>
Implementar la plantilla en el grupo de recursos
1. Implemente la plantilla con este comando.
$ templateUri = <ubicación de la plantilla de la demostración anterior>

New-AzResourceGroupDeployment -Name rg9deployment1 -ResourceGroupName rg9
- TemplateUri $ templateUri
2. Se le pedirá que ingrese valores para:
● Adminusername. Por ejemplo, azureuser.
● Contraseña. Cualquier contraseña compatible funcionará, por ejemplo, Passw0rd0134. DnsLabelprefix.
● Este es cualquier nombre DNS único, como sus iniciales y números aleatorios.
3. Para hacer que los scripts estén libres de entrada manual, puede crear un archivo .ps1 y luego ingresar todos los
comandos y entradas. Puede utilizar valores de parámetro en el script para definir el usuario Contraseña y dnslabel-
prefijo valores y luego ejecute el archivo de PowerShell sin entrada. Usa el archivo build.ps1 10 como un ejemplo de cómo
puede hacer esto.
Nota: En el ejemplo anterior, llamamos a una plantilla disponible públicamente en GitHub. También puede llamar a una plantilla local
o una ubicación de almacenamiento segura, y puede definir el nombre de archivo y la ubicación de la plantilla como una variable para
usar en el script. También puede especificar el modo de implementación, incluido incremental o completo.
Verificar la plantilla implementada
1. Una vez que haya implementado correctamente la plantilla, debe verificar la implementación. Para hacer esto, ejecute los
siguientes comandos:
Get-AzVM
2. Anote el nombre de la máquina virtual, luego ejecute el siguiente comando para obtener detalles adicionales de la máquina virtual:
Get-AzVM -Name <su nombre de VM, es decir, SimpleWinVM> -resourcegroupname <su nombre de grupo
de recursos>
3. También puede enumerar las VM de su suscripción con el Get-AzVM -Status mando. Esto también puede
especificar una máquina virtual con el - Nombre propiedad. En el siguiente ejemplo, lo asignamos a una variable de PowerShell:
$ vm = Get-AzVM -Name <su nombre de VM, es decir, SimpleWinVM> -ResourceGroupName <su nombre
de grupo de recursos>
10 https://github.com/Microsoft/PartsUnlimited/blob/master/build.ps1?azure-portal=true
4. Lo interesante es que este es un objeto con el que puedes interactuar. Por ejemplo, puede tomar ese
objeto, realizar cambios y luego enviar los cambios a Azure con el Actualización-AzVM mando:
$ ResourceGroupName = "ExerciseResources"
$ vm = Get-AzVM -Name MyVM -ResourceGroupName $ ResourceGroupName $
vm.HardwareProfile.vmSize = "Standard_A3"
Update-AzVM -ResourceGroupName $ ResourceGroupName -VM $ vm
Nota: Dependiendo de la ubicación de su centro de datos, podría recibir un error relacionado con el tamaño de la máquina virtual
que no está disponible en su región. Puede modificar el valor de vmSize a uno que esté disponible en su región.
✔ El modo interactivo de PowerShell es apropiado para tareas puntuales. En nuestro ejemplo, probablemente usaremos el
mismo grupo de recursos durante la vida del proyecto, lo que significa que crearlo de forma interactiva es razonable. El
modo interactivo suele ser más rápido y fácil para esta tarea que escribir un script y luego ejecutarlo solo una vez.
Laboratorio 03a: administración de recursos de Azure mediante el

portal de Azure
Debe explorar las capacidades básicas de administración de Azure asociadas con el aprovisionamiento de recursos y su
organización en función de grupos de recursos, incluido el movimiento de recursos entre grupos de recursos. También
desea explorar opciones para proteger los recursos del disco para que no se eliminen accidentalmente, al mismo tiempo
que permite modificar sus características de rendimiento y tamaño.
Objetivos
En este laboratorio, haremos lo siguiente:
● Tarea 1: crear grupos de recursos e implementar recursos en grupos de recursos.
● Tarea 2: mover recursos entre grupos de recursos.
● Tarea 3: Implementar y probar bloqueos de recursos.
Laboratorio 03b: administración de recursos de Azure

mediante plantillas ARM
Ahora que ha explorado las capacidades de administración básicas de Azure asociadas con el aprovisionamiento de
recursos y su organización en función de los grupos de recursos mediante Azure Portal, debe realizar la tarea
equivalente mediante las plantillas de Azure Resource Manager.
Objetivos
● Tarea 1: revisar una plantilla ARM para la implementación de un disco administrado de Azure.
● Tarea 2: Cree un disco administrado de Azure mediante una plantilla ARM.
● Tarea 3: Revise la implementación basada en plantillas ARM del disco administrado.
Laboratorio 03c: administración de recursos de Azure mediante

Power-Shell
Ahora que ha explorado las capacidades de administración básicas de Azure asociadas con el aprovisionamiento de recursos
y su organización en función de los grupos de recursos mediante el portal de Azure y las plantillas de Azure Resource
Manager, debe realizar la tarea equivalente mediante Azure PowerShell. Para evitar la instalación de módulos de Azure
PowerShell, aprovechará el entorno de PowerShell disponible en Azure Cloud Shell.
Objetivos
● Tarea 1: Inicie una sesión de PowerShell en Azure Cloud Shell.
● Tarea 2: Cree un grupo de recursos y un disco administrado de Azure mediante Azure PowerShell.
● Tarea 3: configurar el disco administrado mediante Azure PowerShell.
Laboratorio 03d: administración de recursos de Azure mediante la CLI
Ahora que ha explorado las capacidades básicas de administración de Azure asociadas con el aprovisionamiento de recursos
y su organización en función de los grupos de recursos mediante Azure Portal, las plantillas de Azure Resource Manager y
Azure PowerShell, debe realizar la tarea equivalente mediante la CLI de Azure. Para evitar la instalación de la CLI de Azure,
aprovechará el entorno Bash disponible en Azure Cloud Shell.
Objetivos
● Tarea 1: Inicie una sesión de Bash en Azure Cloud Shell.
● Tarea 2: Cree un grupo de recursos y un disco administrado de Azure mediante la CLI de Azure.
● Tarea 3: configurar el disco administrado mediante la CLI de Azure.
Está creando un nuevo grupo de recursos para utilizarlo en las pruebas. ¿Cuáles de los siguientes parámetros son
necesarios cuando crea un grupo de recursos con PowerShell o la CLI? Seleccione dos.
?? Localización
?? Nombre
?? Región
?? Suscripción
?? Etiqueta
¿Cuál de las siguientes opciones no es cierta sobre Cloud Shell?
?? Se autentica automáticamente para tener acceso instantáneo a sus recursos.
?? A Cloud Shell se le asignan varias máquinas por cuenta de usuario.
?? Proporciona sesiones de Bash y PowerShell.
?? Proporciona un editor.
?? Requiere un recurso compartido de archivos de Azure.
Está administrando Azure localmente mediante PowerShell. Ha iniciado la aplicación como administrador. ¿Cuál de los
siguientes comandos haría primero?
?? Connect-AzAccount
?? Get-AzResourceGroup
?? Get-AzSubscription
?? New-AzResourceGroup
Tiene una nueva suscripción de Azure y necesita mover recursos a esa suscripción. ¿Cuál de los siguientes recursos
no se puede mover? Seleccione uno.
?? Bóveda de llaves
?? Cuenta de almacenamiento
?? Inquilino
?? Máquina virtual
¿Cuál de los siguientes no es un elemento del esquema de plantilla? Seleccione uno.
?? Funciones
?? Entradas
?? Salidas
?? Parámetros
¿Cuál de las siguientes opciones describe mejor el formato de una plantilla de Azure Resource Manager? Seleccione uno.
?? Un documento de Markdown con una tabla de punteros
?? Un documento JSON con pares clave-valor
?? Un documento TXT con pares clave-valor
?? Un documento XML con pares elemento-valor
Está revisando el uso de su máquina virtual. Observa que ha alcanzado el límite de máquinas virtuales en la región
Este de EE. UU. ¿Cuál de las siguientes opciones ofrece la solución más sencilla? Seleccione uno.
?? Agregar otro grupo de recursos
?? Cambiar su plan de suscripción
?? Solicite soporte aumente su límite
?? Cambie el tamaño de sus máquinas virtuales para manejar cargas de trabajo más grandes
Su jefe le pide que explique cómo utiliza Azure los grupos de recursos. Proporciona toda la siguiente información,
excepto? Seleccione uno.
?? Los recursos pueden estar en un solo grupo de recursos.
?? Los recursos se pueden mover de un grupo de recursos a otro.
?? Los grupos de recursos se pueden anidar.
?? El control de acceso basado en roles se puede aplicar al grupo de recursos.
Estudio adicional
● Servicios en la nube principales: administre servicios con el portal de Azure 11
11 https://docs.microsoft.com/en-us/learn/modules/tour-azure-portal/
12 https://docs.microsoft.com/en-us/learn/modules/control-and-organize-with-azure-resource-manager/
● Crear plantillas de Azure Resource Manager 13
● Automatice las tareas de Azure mediante scripts con PowerShell 14
● Administrar máquinas virtuales con la CLI de Azure 15
13 https://docs.microsoft.com/en-us/learn/modules/build-azure-vm-templates/
14 https://docs.microsoft.com/en-us/learn/modules/automate-azure-tasks-with-powershell/
15 https://docs.microsoft.com/en-us/learn/modules/manage-virtual-machines-with-azure-cli/
Respuestas
Está creando un nuevo grupo de recursos para utilizarlo en las pruebas. ¿Cuáles de los siguientes parámetros son
necesarios cuando crea un grupo de recursos con PowerShell o la CLI? Seleccione dos.
■ Ubicación
■ Nombre
?? Región
?? Suscripción
?? Etiqueta
Explicación
PowerShell (New-AzResourceGroup) y CLI (creación de grupo az) requieren la ubicación y el nombre.
¿Cuál de las siguientes opciones no es cierta sobre Cloud Shell?
?? Se autentica automáticamente para tener acceso instantáneo a sus recursos.
■ A Cloud Shell se le asignan varias máquinas por cuenta de usuario.
?? Proporciona sesiones de Bash y PowerShell.
?? Proporciona un editor.
?? Requiere un recurso compartido de archivos de Azure.
Explicación
A Cloud Shell se le asignan varias máquinas por cuenta de usuario, no es cierto. A la shell de nube se le asigna una máquina
por cuenta de usuario.
Está administrando Azure localmente mediante PowerShell. Ha iniciado la aplicación como administrador.
¿Cuál de los siguientes comandos haría primero?
■ Connect-AzAccount
?? Get-AzResourceGroup
?? Get-AzSubscription
?? New-AzResourceGroup
Explicación
Connect-AzAccount. Cuando trabaja localmente, no inicia sesión automáticamente en Azure. Entonces, lo
primero que debe hacer es conectarse a Azure y proporcionar sus credenciales.
Tiene una nueva suscripción de Azure y necesita mover recursos a esa suscripción. ¿Cuál de los siguientes
recursos no se puede mover? Seleccione uno.
?? Bóveda de llaves
?? Cuenta de almacenamiento
■ Inquilino
?? Máquina virtual
Explicación
Inquilino. Un inquilino no se puede mover entre suscripciones.
¿Cuál de los siguientes no es un elemento del esquema de plantilla? Seleccione uno.
?? Funciones
■ Entradas
?? Salidas
?? Parámetros
Explicación
Entradas. Las entradas no forman parte del esquema de la plantilla.
¿Cuál de las siguientes opciones describe mejor el formato de una plantilla de Azure Resource Manager? Seleccione uno.
?? Un documento de Markdown con una tabla de punteros
■ Un documento JSON con pares clave-valor
?? Un documento TXT con pares clave-valor
?? Un documento XML con pares elemento-valor
Explicación
Un documento JSON con pares clave-valor. Una plantilla de recursos de Azure es un documento JSON con pares clave-valor.
Está revisando el uso de su máquina virtual. Observa que ha alcanzado el límite de máquinas virtuales en la
región Este de EE. UU. ¿Cuál de las siguientes opciones ofrece la solución más sencilla? Seleccione uno.
?? Agregar otro grupo de recursos
?? Cambiar su plan de suscripción
■ Solicite apoyo aumente su límite
?? Cambie el tamaño de sus máquinas virtuales para manejar cargas de trabajo más grandes
Explicación
Solicite soporte aumente su límite. Si necesita aumentar un límite predeterminado, hay un enlace Solicitar
aumento. Completará y enviará la solicitud de soporte.
Su jefe le pide que explique cómo utiliza Azure los grupos de recursos. Proporciona toda la siguiente
información, excepto? Seleccione uno.
?? Los recursos pueden estar en un solo grupo de recursos.
?? Los recursos se pueden mover de un grupo de recursos a otro.
■ Los grupos de recursos se pueden anidar.
?? El control de acceso basado en roles se puede aplicar al grupo de recursos.
Explicación
Los grupos de recursos no se pueden anidar.
Módulo 4 Redes virtuales
Redes virtuales
Componentes de red de Azure
Un incentivo importante para adoptar soluciones en la nube como Azure es permitir que los departamentos de tecnología de la
información (TI) muevan los recursos del servidor a la nube. Esto puede ahorrar dinero y simplificar las operaciones al eliminar la
necesidad de mantener costosos centros de datos con fuentes de alimentación ininterrumpidas, generadores, varias cajas de
seguridad, servidores de bases de datos agrupados, etc. Para las pequeñas y medianas empresas, que pueden no tener la
experiencia para mantener su propia infraestructura robusta, el cambio a la nube es particularmente atractivo.
Una vez que los recursos se trasladan a Azure, requieren la misma funcionalidad de red que una implementación local y, en
escenarios específicos, requieren cierto nivel de aislamiento de la red. Los componentes de red de Azure ofrecen una
variedad de funcionalidades y servicios que pueden ayudar a las organizaciones a diseñar y construir servicios de
infraestructura en la nube que cumplan con sus requisitos. Azure tiene muchos componentes de red.
90 Módulo 4 Redes virtuales
Redes virtuales
Una red virtual de Azure (VNet) es una representación de su propia red en la nube. Es un aislamiento lógico de la nube de
Azure dedicada a su suscripción. Puede usar redes virtuales para aprovisionar y administrar redes privadas virtuales (VPN) en
Azure y, opcionalmente, vincular las redes virtuales con otras redes virtuales en Azure o con su infraestructura de TI local
para crear soluciones híbridas o entre instalaciones. Cada red virtual que cree tiene su propio bloque CIDR y se puede
vincular a otras redes virtuales y redes locales si los bloques CIDR no se superponen. También tiene control de la
configuración del servidor DNS para redes virtuales y la segmentación de la red virtual en subredes.
Las redes virtuales se pueden utilizar de muchas formas.
● Cree una red virtual exclusiva en la nube privada dedicada. A veces, no necesita una configuración entre locales para
su solución. Cuando crea una red virtual, sus servicios y máquinas virtuales dentro de su red virtual pueden
Redes virtuales 91
comunicarse de forma directa y segura entre sí en la nube. Aún puede configurar conexiones de punto final para las
máquinas virtuales y los servicios que requieren comunicación por Internet, como parte de su solución.
● Amplíe de forma segura su centro de datos con redes virtuales. Puede crear VPN tradicionales de sitio a sitio (S2S) para escalar de
forma segura la capacidad de su centro de datos. Las VPN de S2S utilizan IPSEC para proporcionar una conexión segura entre su puerta
de enlace VPN corporativa y Azure.
● Habilite escenarios de nube híbrida. Las redes virtuales le brindan la flexibilidad para admitir una variedad de escenarios de
nube híbrida. Puede conectar de forma segura aplicaciones basadas en la nube a cualquier tipo de sistema local, como
mainframes y sistemas Unix.
Para más información, Documentación de red virtual 1 .
Subredes
Una red virtual se puede segmentar en una o más subredes. Las subredes proporcionan divisiones lógicas dentro de su
red. Las subredes pueden ayudar a mejorar la seguridad, aumentar el rendimiento y facilitar la administración de la red.
Cada subred contiene un rango de direcciones IP que se encuentran dentro del espacio de direcciones de la red virtual. Cada
subred debe tener un rango de direcciones único, especificado en formato CIDR. El rango de direcciones no puede superponerse
con otras subredes en la red virtual en la misma suscripción.
Consideraciones
● Requisitos de servicio. Cada servicio implementado directamente en la red virtual tiene requisitos específicos para el
enrutamiento y los tipos de tráfico que se deben permitir dentro y fuera de las subredes. Un servicio puede requerir, o
crear, su propia subred, por lo que debe haber suficiente espacio sin asignar para que lo hagan. Por ejemplo, si
conecta una red virtual a una red local mediante una puerta de enlace de VPN de Azure, la red virtual debe tener una
subred dedicada para la puerta de enlace.
● Aparatos virtuales. Azure enruta el tráfico de red entre todas las subredes de una red virtual, de forma predeterminada.
Puede anular el enrutamiento predeterminado de Azure para evitar el enrutamiento de Azure entre subredes o para
enrutar el tráfico entre subredes a través de un dispositivo virtual de red. Por lo tanto, si necesita que el tráfico entre
recursos en la misma red virtual fluya a través de un dispositivo virtual de red (NVA), implemente los recursos en
diferentes subredes.
● Puntos finales de servicio. Puede limitar el acceso a los recursos de Azure, como una cuenta de almacenamiento de Azure o una
base de datos SQL de Azure, a subredes específicas con un punto de conexión de servicio de red virtual. Además, puede denegar
el acceso a los recursos de Internet. Puede crear varias subredes y habilitar un punto final de servicio para algunas subredes,
pero no para otras.
1 https://docs.microsoft.com/en-us/azure/virtual-network/
● Grupos de seguridad de red. Puede asociar cero o un grupo de seguridad de red a cada subred en una red
virtual. Puede asociar el mismo grupo de seguridad de red o uno diferente a cada subred. Cada grupo de
seguridad de red contiene reglas que permiten o deniegan el tráfico hacia y desde fuentes y destinos.
✔ Azure reserva las tres primeras direcciones IP y la última dirección IP en cada rango de direcciones de subred.
Implementación de redes virtuales

Puede crear nuevas redes virtuales en cualquier momento. También puede agregar redes virtuales cuando crea una
máquina virtual. De cualquier manera, deberá definir el espacio de direcciones y al menos una subred. De forma
predeterminada, puede crear hasta 50 redes virtuales por suscripción por región, aunque puede aumentar este límite a 500
poniéndose en contacto con el soporte de Azure.
✔ Los límites predeterminados de los recursos de red de Azure pueden cambiar periódicamente, por lo que es una buena idea consultar la
documentación para obtener la información más reciente.
✔ Siempre planifique utilizar un espacio de direcciones que no esté en uso en su organización, ya sea en las instalaciones o en otras
redes virtuales. Incluso si planea que una red virtual sea solo en la nube, es posible que desee realizar una conexión VPN más
adelante. Si hay alguna superposición en los espacios de direcciones en ese punto, tendrá que reconfigurar o volver a crear la red
virtual. La próxima lección se centrará en el direccionamiento IP.
Demostración: creación de redes virtuales

En esta demostración, creará redes virtuales.
Nota: Puede utilizar los valores sugeridos para la configuración o sus propios valores personalizados si lo prefiere.
Crea una red virtual en el portal
1. Inicie sesión en Azure Portal y busque Redes virtuales.
2. En la página Redes virtuales, haga clic en Agregar.
● Nombre: myVNet1.
● Habla a: 10.1.0.0/16.
● Suscripción: Seleccione su suscripción.
● Grupo de recursos: Seleccione nuevo o elija un grupo de recursos existente
● Localización - Selecciona tu ubicación

Redes virtuales 93
● Subred - Ingresar mySubnet1.
● Subred: rango de direcciones: 10.1.0.0/24
3. Deje el resto de la configuración predeterminada y seleccione Crear.
4. Verifique que se haya creado su red virtual.
Crea una red virtual usando PowerShell
1. Cree una red virtual. Utilice valores según corresponda.
$ myVNet2 = New-AzVirtualNetwork -ResourceGroupName myResourceGroup -Loca-tion EastUS -Name

myVNet2 -AddressPrefix 10.0.0.0/16
2. Verifique la información de su nueva red virtual.
Get-AzVirtualNetwork -Name myVNet2
3. Cree una subred. Utilice valores según corresponda.
$ mySubnet2 = Add-AzVirtualNetworkSubnetConfig -Name mySubnet2 -AddressPrefix

10.0.0.0/24 -VirtualNetwork $ myVNet2
4. Verifique la información de su nueva subred.
Get-AzVirtualNetworkSubnetConfig -Name mySubnet2 -VirtualNetwork $ myVNet2
5. Asocie la subred a la red virtual.
$ mySubnet2 | Set-AzVirtualNetwork
6. Regrese al portal y verifique que se haya creado su nueva red virtual con subred.
Direccionamiento IP
Direccionamiento IP
Puede asignar direcciones IP a los recursos de Azure para comunicarse con otros recursos de Azure, su red
local e Internet. Hay dos tipos de direcciones IP que puede usar en Azure. Las redes virtuales pueden
contener espacios de direcciones IP públicos y privados.
1. Direcciones IP privadas: Se utiliza para la comunicación dentro de una red virtual de Azure (VNet) y su
Red local, cuando usa una puerta de enlace VPN o un circuito ExpressRoute para extender su red a Azure.
2. Direcciones IP públicas: Se utiliza para la comunicación con Internet, incluida la cara pública de Azure.
servicios.
Direccionamiento estático vs dinámico

Las direcciones IP también se pueden asignar estáticamente o dinámicamente. Las direcciones IP estáticas no cambian y
son las mejores para ciertas situaciones como:
● Resolución de nombres DNS, donde un cambio en la dirección IP requeriría actualizar los registros del host.
● Modelos de seguridad basados en direcciones IP que requieren que las aplicaciones o los servicios tengan una dirección IP estática.
● Certificados SSL vinculados a una dirección IP.
● Reglas de firewall que permiten o niegan el tráfico mediante rangos de direcciones IP.
● VM basadas en roles, como controladores de dominio y servidores DNS.
✔ Como práctica recomendada, puede decidir separar los recursos IP asignados de forma dinámica y estática en
diferentes subredes. Además, las direcciones IP nunca se administran desde una máquina virtual.
Creación de direcciones IP públicas

Direccionamiento IP 95
Versión IP. Seleccione IPv4 o IPv6 o Ambos. Si selecciona Ambas, se crearán 2 direcciones IP públicas: 1
dirección IPv4 y 1 dirección IPv6.
SKU. No puede cambiar el SKU después de que se crea la dirección IP pública. Una máquina virtual independiente, máquinas virtuales
dentro de un conjunto de disponibilidad o conjuntos de escalado de máquinas virtuales pueden usar SKU básicos o estándar. No se permite
mezclar SKU entre máquinas virtuales dentro de conjuntos de disponibilidad o conjuntos de escalado o máquinas virtuales independientes.
Nombre. El nombre debe ser exclusivo dentro del grupo de recursos que seleccione.
Asignación de dirección IP
● Dinámica. Las direcciones dinámicas se asignan solo después de que se asocia una dirección IP pública a un
recurso de Azure y el recurso se inicia por primera vez. Las direcciones dinámicas pueden cambiar si se asignan a
un recurso, como una máquina virtual, y la máquina virtual se detiene (desasigna) y luego se reinicia. La dirección
sigue siendo la misma si una máquina virtual se reinicia o se detiene (pero no se desasigna). Las direcciones
dinámicas se liberan cuando un recurso de dirección IP pública se disocia de un recurso al que está asociado.
● Estático. Las direcciones estáticas se asignan cuando se crea una dirección IP pública. Las direcciones estáticas no se
liberan hasta que se elimina un recurso de dirección IP pública. Si la dirección no está asociada a un recurso, puede
cambiar el método de asignación después de que se crea la dirección. Si la dirección está asociada a un recurso, es
posible que no pueda cambiar el método de asignación. Si selecciona IPv6 para la versión de IP, el método de asignación
debe ser Dinámico para SKU básico. Las direcciones SKU estándar son estáticas tanto para IPv4 como para IPv6.
Direcciones IP públicas
Un recurso de dirección IP pública se puede asociar con interfaces de red de máquinas virtuales, balanceadores de carga orientados a
Internet, puertas de enlace VPN y puertas de enlace de aplicaciones.
Direcciones IP públicas Asociación de dirección IP Dinámica Estático
Máquina virtual NIC sí sí

Balanceador de carga Configuración de front-end Sí sí
Puerta de enlace VPN Configuración de IP de puerta de enlace sí Sí*
ción
Puerta de enlace de aplicaciones Configuración de front-end Sí Sí*
* Las direcciones IP estáticas solo están disponibles en ciertos SKU.
SKU de dirección
Cuando crea una dirección IP pública, se le ofrece la opción de SKU entre Básico o Estándar. Su elección de SKU
afecta el método de asignación de IP, la seguridad, los recursos disponibles y la redundancia. Esta tabla resume
las diferencias.
Característica SKU básico SKU estándar

Asignación de IP Estático o dinámico Estático
Seguridad Abrir por defecto Son seguras de forma predeterminada y están
cerradas al tráfico entrante.
Recursos Interfaces de red, puerta de VPN, balanceadores Interfaces de red o públicas

formas, puertas de enlace de aplicaciones y equilibradores de carga estándar
de carga orientados a Internet

Característica SKU básico SKU estándar

Redundancia No zona redundante Zona redundante por defecto
Direcciones IP privadas
Un recurso de dirección IP privada se puede asociar con interfaces de red de máquinas virtuales, balanceadores de carga
internos y puertas de enlace de aplicaciones. Azure puede proporcionar una dirección IP (asignación dinámica) o puede
asignar la dirección IP (asignación estática).
Direcciones IP privadas Asociación de dirección IP Dinámica Estático
Máquina virtual NIC sí sí

Balanceador de carga interno Configuración de front-end Sí sí
Puerta de enlace de aplicaciones Configuración de front-end Sí sí
Se asigna una dirección IP privada del rango de direcciones de la subred de la red virtual en la que se implementa un
recurso.
● Dinámica. Azure asigna la siguiente dirección IP no asignada o reservada disponible en el rango de direcciones de la
subred. Por ejemplo, Azure asigna 10.0.0.10 a un nuevo recurso, si las direcciones 10.0.0.4-10.0.0.9 ya están asignadas
a otros recursos. Dinámico es el método de asignación predeterminado.
● Estático. Usted selecciona y asigna cualquier dirección IP no asignada o no reservada en el rango de direcciones de la
subred. Por ejemplo, si el rango de direcciones de una subred es 10.0.0.0/16 y las direcciones 10.0.0.4-10.0.0.9 ya están
asignadas a otros recursos, puede asignar cualquier dirección entre 10.0.0.10 - 10.0.255.254.
Grupos de seguridad de red 97
Grupos de seguridad de red
Grupos de seguridad de red

Puede limitar el tráfico de red a los recursos de una red virtual mediante un grupo de seguridad de red (NSG). Un grupo de
seguridad de red contiene una lista de reglas de seguridad que permiten o deniegan el tráfico de red entrante o saliente. Un grupo
de seguridad de red se puede asociar a una subred o una interfaz de red.
Subredes
Puede asignar NSG a subredes y crear subredes filtradas protegidas (también llamadas DMZ). Estos NSG pueden restringir
el flujo de tráfico a todas las máquinas que residen dentro de esa subred. Cada subred puede tener uno o ninguno grupos
de seguridad de red asociados.
Interfaces de red
Puede asignar NSG a una NIC para que todo el tráfico que fluya a través de esa NIC esté controlado por reglas de NSG. Cada
interfaz de red que existe en una subred puede tener uno o cero grupos de seguridad de red asociados.
Asociaciones
Cuando crea un NSG, la hoja Descripción general proporciona información sobre el NSG, como subredes
asociadas, interfaces de red asociadas y reglas de seguridad.
✔ Generalmente, esto se usa para VM específicas con roles de Dispositivos virtuales de red (NVA); de lo contrario,
se recomienda vincular el NSG al nivel de subred y reutilizarlo en sus VNET y subredes.
Para más información, Grupos de seguridad de red 2 .
Reglas de NSG
Las reglas de seguridad en los grupos de seguridad de red le permiten filtrar el tipo de tráfico de red que puede entrar y salir de
las subredes de la red virtual y las interfaces de red. Azure crea varias reglas de seguridad predeterminadas dentro de cada grupo
de seguridad de red.
Puede agregar más reglas especificando Nombre, Prioridad, Puerto, Protocolo (Cualquiera, TCP, UDP), Origen (Cualquiera,
Direcciones IP, Etiqueta de servicio), Destino (Cualquiera, Direcciones IP, Red virtual) y Acción (Permitir o Denegar ). No puede
eliminar las reglas predeterminadas, pero puede agregar otras reglas con mayor prioridad.
Azure crea las reglas predeterminadas en cada grupo de seguridad de red que cree. No puede eliminar las reglas
predeterminadas, pero puede anularlas creando reglas con prioridades más altas.
2 https://docs.microsoft.com/en-us/azure/virtual-network/security-overview
Reglas de entrada
Hay tres reglas de seguridad de entrada predeterminadas. Las reglas niegan todo el tráfico entrante excepto desde la red virtual y
los balanceadores de carga de Azure.
Reglas de salida
Hay tres reglas de seguridad salientes predeterminadas. Las reglas solo permiten el tráfico saliente a Internet
y la red virtual.
Reglas efectivas de NSG

Los NSG se evalúan de forma independiente y debe existir una regla de "permitir" en ambos niveles; de lo contrario, no se admitirá
el tráfico.
Grupos de seguridad de red 99
En el ejemplo anterior, si hubiera tráfico entrante en el puerto 80, necesitaría tener el NSG en el nivel de subred
ALLOW puerto 80, y también necesitaría otro NSG con la regla ALLOW en el puerto 80 en el nivel de NIC. Para el
tráfico entrante, primero se evalúa el NSG configurado en el nivel de subred, luego se evalúa el NSG configurado en
el nivel de NIC. Para el tráfico saliente, es lo contrario.
Si tiene varios NSG y no está seguro de qué reglas de seguridad se están aplicando, puede usar el Reglas de
seguridad efectivas Enlace. Por ejemplo, puede verificar las reglas de seguridad que se aplican a una interfaz de
red.
Creación de reglas de NSG

Es fácil agregar reglas de entrada y salida. Hay una página básica y avanzada. La opción avanzada le permite
seleccionar entre una gran variedad de servicios como HTTPS, RDP, FTP y DNS.
Servicio. El servicio especifica el protocolo de destino y el rango de puertos para esta regla. Puede elegir un servicio
predefinido, como HTTPS y SSH. Cuando selecciona un servicio, el rango de puertos se completa automáticamente. Elija
personalizado para proporcionar su propio rango de puertos.
Rangos de puertos. Si elige un servicio personalizado, proporcione un solo puerto, como 80; un rango de puertos, como 1024-65635;
o una lista separada por comas de puertos individuales y / o rangos de puertos, como 80, 1024-65535. Esto especifica en qué puertos
se permitirá o denegará el tráfico mediante esta regla. Proporcione un asterisco (*) para permitir el tráfico en cualquier puerto.
Prioridad. Las reglas se procesan en orden de prioridad. Cuanto menor sea el número, mayor es la prioridad. Recomendamos dejar
espacios entre las reglas: 100, 200, 300, etc. Esto es así para que sea más fácil agregar nuevas reglas sin editar las existentes.
Ingrese un valor entre 100-4096 que sea único para todas las reglas de seguridad dentro del grupo de seguridad de la red.
✔ ¿Hay algún servicio que le interese?
Demostración: NSG
En esta demostración, explorará NSG y puntos finales de servicio.
Acceder a la hoja NSG
2. Busque y acceda al Grupos de seguridad de red espada.
3. Si tiene máquinas virtuales, es posible que ya tenga NSG. Observe la capacidad de filtrar la lista.
Agregar una nueva NSG
1. + Agregar un grupo de seguridad de red.
● Nombre: seleccione un nombre único
● Suscripción: seleccione su suscripción
● Grupo de recursos: crear un grupo de recursos nuevo o seleccionar uno existente
● Localización: tu elección
● Hacer clic Crear
2. Espere a que se implemente el nuevo NSG.
Explore las reglas de entrada y salida
1. Seleccione su nuevo NSG.
2. Observe que el NSG se puede asociar con subredes e interfaces de red (información resumida por encima de las
reglas).
3. Observe las tres reglas NSG de entrada y tres de salida. Debajo Ajustes
4. Seleccione Reglas de seguridad de entrada.
5. Aviso que puede usar Reglas predeterminadas para ocultar las reglas predeterminadas.
6. + Agregar una nueva regla de seguridad entrante. Hacer clic Básico para cambiar al modo avanzado.
Utilizar el Servicio desplegable para revisar los servicios predefinidos que están disponibles.
7.
8.
9. Cuando realiza una selección de servicio (como HTTPS), el rango de puertos (como 443) se completa automáticamente.
Esto facilita la configuración de la regla.
10. Utilice el icono de Información junto a la etiqueta de Prioridad para aprender cómo configurar la prioridad.
11. Salga de la regla sin realizar ningún cambio.
12. Cuando tenga tiempo, revise cómo agregar una regla de seguridad saliente.
Cortafuegos de Azure 101
Cortafuegos de Azure
Cortafuegos de Azure
Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que protege los recursos de la red
virtual de Azure. Es un firewall con estado completo como servicio con alta disponibilidad incorporada y escalabilidad
ilimitada en la nube. Puede crear, hacer cumplir y registrar de forma centralizada políticas de conectividad de red y
aplicaciones a través de suscripciones y redes virtuales. Azure Firewall usa una dirección IP pública estática para los
recursos de su red virtual, lo que permite que los firewalls externos identifiquen el tráfico que se origina en su red virtual. El
servicio está completamente integrado con Azure Monitor para registro y análisis.
Características de Azure Firewall

● Alta disponibilidad incorporada. La alta disponibilidad está integrada, por lo que no se requieren equilibradores de carga
adicionales y no es necesario configurar nada.
● Zonas de disponibilidad. Azure Firewall se puede configurar durante la implementación para abarcar varias zonas de disponibilidad para
aumentar la disponibilidad.
● Escalabilidad ilimitada de la nube. Azure Firewall puede ampliarse tanto como necesite para adaptarse a los flujos
de tráfico de red cambiantes, por lo que no necesita presupuestar su tráfico pico.
● Reglas de filtrado de FQDN de la aplicación. Puede limitar el tráfico HTTP / S saliente o el tráfico de Azure SQL a una lista
específica de nombres de dominio completos (FQDN), incluidos los comodines.
● Reglas de filtrado de tráfico de red. Puede crear de forma centralizada reglas de filtrado de red para permitir o
denegar por dirección IP de origen y destino, puerto y protocolo. Azure Firewall tiene estado completo, por lo que
puede distinguir paquetes legítimos para diferentes tipos de conexiones. Las reglas se aplican y registran a través de
múltiples suscripciones y redes virtuales.
● Inteligencia de amenazas. El filtrado basado en inteligencia de amenazas se puede habilitar para que su firewall alerte y
denegue el tráfico desde / hacia dominios y direcciones IP maliciosas conocidas. Las direcciones IP y los dominios se obtienen
de la fuente de Microsoft Threat Intelligence.
● Varias direcciones IP públicas. Puede asociar varias direcciones IP públicas (hasta 100) con su firewall.
Implementación de Azure Firewall

Consideremos un ejemplo simple en el que queremos usar Azure Firewall para proteger la ruta de nuestro servidor de carga de
trabajo controlando el tráfico de la red.
1. Crea la infraestructura de red. En este caso, tenemos una red virtual con tres subredes.
2. Implemente el firewall. El cortafuegos está asociado a la red virtual. En este caso, está en una subred separada con una
dirección IP pública y privada. La dirección IP privada se utilizará en una nueva tabla de enrutamiento.
3. Crea una ruta predeterminada. Cree una tabla de enrutamiento para dirigir el tráfico de la carga de trabajo de la red
al firewall. La ruta se asociará con la subred de carga de trabajo. Todo el tráfico de esa subred se enrutará a la
dirección IP privada del firewall.
4. Configure una regla de aplicación.
En implementaciones de producción, un Modelo de cubo y radios 3 Se recomienda cuando el firewall esté en su propia red virtual y los
servidores de carga de trabajo estén en redes virtuales emparejadas en la misma región con una o más subredes.
Reglas del cortafuegos

Hay tres tipos de reglas que puede configurar en Azure Firewall. Recuerde, de forma predeterminada, Azure Firewall
bloquea todo el tráfico, a menos que lo habilite.
Reglas NAT
Puede configurar la traducción de direcciones de red de destino (DNAT) de Azure Firewall para traducir y filtrar el tráfico
entrante a sus subredes. Cada regla de la colección de reglas NAT se utiliza para traducir la IP pública y el puerto de su
firewall a una IP y un puerto privados. Los escenarios en los que las reglas de NAT pueden ser útiles son la publicación de
aplicaciones SSH, RDP o que no son HTTP / S en Internet. Una regla NAT que enruta el tráfico debe ir acompañada de una
regla de red coincidente para permitir el tráfico. Los ajustes de configuración incluyen:
● Nombre: Una etiqueta para la regla.
● Protocolo: TCP o UDP.
● Dirección de la fuente: * ( Internet), una dirección de Internet específica o un bloque de CIDR.
3 https://docs.microsoft.com/en-us/azure/architecture/reference-architectures/hybrid-networking/hub-spoke
Cortafuegos de Azure 103
● Dirección de destino: La dirección externa del firewall que inspeccionará la regla.
● Puertos de destino: Los puertos TCP o UDP que escuchará la regla en la dirección IP externa del firewall.
● Dirección traducida: La dirección IP del servicio (máquina virtual, equilibrador de carga interno, etc.) que aloja o
presenta el servicio de forma privada.
● Puerto traducido: El puerto al que el Firewall de Azure enrutará el tráfico entrante.
Reglas de red
Cualquier tráfico que no sea HTTP / S y que pueda fluir a través del firewall debe tener una regla de red.
Por ejemplo, si los recursos de una subred deben comunicarse con los recursos de otra subred, debe
configurar una regla de red desde el origen hasta el destino. Los ajustes de configuración incluyen:
● Nombre: Una etiqueta amigable para la regla.
● Protocolo: Puede ser TCP, UDP, ICMP (ping y traceroute) o Cualquiera.
● Dirección de la fuente: La dirección o el bloque CIDR de la fuente.
● Direcciones de destino: Las direcciones o bloques CIDR de los destinos.
● Puertos de destino: El puerto de destino del tráfico.
Reglas de aplicación
Las reglas de aplicación definen nombres de dominio completos (FQDN) a los que se puede acceder desde una subred. Por
ejemplo, especifique el tráfico de red de Windows Update a través del firewall. Los ajustes de configuración incluyen:
● Nombre: Una etiqueta amigable para la regla.
● Direcciones de origen: La dirección IP de la fuente.
● Protocolo: Puerto: Si esto es para HTTP / HTTPS y el puerto en el que está escuchando el servidor web.
● FQDN de destino: El nombre de dominio del servicio, como www.contoso.com. Tenga en cuenta que se pueden utilizar
comodines. Una etiqueta FQDN representa un grupo de nombres de dominio completos (FQDN) asociados con
servicios de Microsoft conocidos. Las etiquetas de FQDN de ejemplo incluyen Windows Update, App Service
Environment y Azure Backup.
Procesamiento de reglas
Cuando se inspecciona un paquete para determinar si está permitido o no, las reglas se procesan en este orden:
1. Reglas de red
2. Reglas de aplicación (red y aplicación)
Las reglas terminan. Una vez que se encuentra una coincidencia positiva que permite el paso del tráfico, no se verifican más
reglas.
DNS de Azure
Dominios y dominios personalizados
Nombre de dominio inicial

De forma predeterminada, cuando crea una suscripción de Azure, se crea un dominio de Azure AD para usted. Esta instancia
del dominio tiene nombre de dominio inicial en la forma nombreDominio.onmicrosoft.com. El dominio inicial
name, aunque es completamente funcional, está destinado principalmente a ser utilizado como un mecanismo de arranque hasta que se verifique
un nombre de dominio personalizado.
Nombre de dominio personalizado

Aunque el nombre de dominio inicial de un directorio no se puede cambiar ni eliminar, puede agregar cualquier nombre de dominio
personalizado enrutable que controle. Esto simplifica la experiencia de inicio de sesión del usuario al permitir que el usuario inicie sesión con
credenciales con las que está familiarizado. Por ejemplo, a contosogold.onmicrosoft.com, se le podría asignar un nombre de dominio
personalizado más simple de contosogold.com.
Información práctica sobre nombres de dominio

● Solo un administrador global puede realizar tareas de administración de dominio en Azure AD; de forma predeterminada, este es
el usuario que creó la suscripción.
● Los nombres de dominio en Azure AD son únicos a nivel mundial. Si un directorio de Azure AD ha verificado un nombre de
dominio, ningún otro directorio de Azure AD puede verificar o usar ese mismo nombre de dominio.
● Antes de que Azure AD pueda usar un nombre de dominio personalizado, el nombre de dominio personalizado debe agregarse a
su directorio y verificarse. Esto se trata en el siguiente tema.
Para más información, Administrar nombres de dominio personalizados en Azure Active Directory 4 .
Verificación de nombres de dominio personalizados

Cuando un administrador agrega un nombre de dominio personalizado a Azure AD, inicialmente se encuentra en un estado no verificado. Azure
AD no permitirá que ningún recurso de directorio use un nombre de dominio no verificado. Esto asegura que solo un directorio pueda usar un
nombre de dominio y que la organización que usa el nombre de dominio sea propietaria de ese nombre de dominio.
4 https://docs.microsoft.com/en-us/azure/active-directory/active-directory-domains-manage-azure-portal
DNS de Azure 105
Por lo tanto, después de agregar el nombre de dominio personalizado, debe demostrar la propiedad del nombre de dominio.
A esto se le llama verificación. y se hace agregando un registro DNS (MX o TXT) proporcionado por Azure en la zona DNS de
su empresa. Una vez que se agrega este registro, Azure consultará el dominio DNS para conocer la presencia del registro.
Esto puede tardar varios minutos o varias horas. Si Azure verifica la presencia del registro DNS, agregará el nombre de
dominio a la suscripción.
✔ Tenga en cuenta que puede utilizar un registro TXT o MX.
Zonas DNS de Azure

Azure DNS proporciona un servicio DNS seguro y confiable para administrar y resolver nombres de dominio en una red
virtual sin necesidad de agregar una solución DNS personalizada.
Una zona DNS aloja los registros DNS de un dominio. Por lo tanto, para comenzar a alojar su dominio en Azure DNS,
debe crear una zona DNS para ese nombre de dominio. Luego, cada registro DNS para su dominio se crea dentro de
esta zona DNS.
Desde el portal, puede agregar fácilmente una zona DNS y luego ver información, incluido el nombre, la cantidad de registros, el
grupo de recursos, la ubicación (siempre global), la suscripción y los servidores de nombres.
Consideraciones
● El nombre de la zona debe ser único dentro del grupo de recursos y la zona no debe existir todavía. El mismo nombre de
● zona se puede reutilizar en un grupo de recursos diferente o en una suscripción de Azure diferente.
● Cuando varias zonas comparten el mismo nombre, a cada instancia se le asignan direcciones de servidor de nombres diferentes.
● El dominio raíz / principal está registrado en el registrador y apunta a Azure NS. Los dominios
● secundarios se registran directamente en AzureDNS.
✔ No es necesario tener un nombre de dominio para crear una zona DNS con ese nombre de dominio en Azure
DNS. Sin embargo, debe ser propietario del dominio para configurarlo.
Delegación de DNS
Para delegar su dominio a Azure DNS, primero debe conocer los nombres del servidor de nombres para su zona. Cada vez
que se crea una zona DNS, Azure DNS asigna servidores de nombres de un grupo. Una vez que se asignan los servidores de
nombres, Azure DNS crea automáticamente registros NS autorizados en su zona.
La forma más sencilla de localizar los servidores de nombres asignados a su zona es a través de Azure Portal. En este
ejemplo, a la zona 'contoso.net' se le han asignado cuatro servidores de nombres: 'ns1-01.azure-dns.com', 'ns2-01.
azure-dns.net ',' ns3-01.azure-dns.org 'y' ns4-01.azure-dns.info ':
DNS de Azure 107
Una vez que se crea la zona DNS y tiene los servidores de nombres, debe actualizar el dominio principal. Cada registrador
tiene sus propias herramientas de administración de DNS para cambiar los registros del servidor de nombres de un
dominio. En la página de administración de DNS del registrador, edite los registros NS y reemplace los registros NS por los
que creó Azure DNS.
✔ Al delegar un dominio a Azure DNS, debe usar los nombres de servidor de nombres proporcionados por Azure DNS. Siempre
debe utilizar los cuatro nombres de servidor de nombres, independientemente del nombre de su dominio.
Dominios secundarios
Si desea configurar una zona secundaria independiente, puede delegar un subdominio en Azure DNS. Por ejemplo,
después de configurar contoso.com en Azure DNS, puede configurar una zona secundaria independiente para los socios.
contoso.com.
La configuración de un subdominio sigue el mismo proceso que la delegación típica. La única diferencia es que los
registros NS deben crearse en la zona principal contoso.com en Azure DNS, en lugar de en el registrador de dominios.
✔ Las zonas principal y secundaria pueden estar en el mismo grupo de recursos o en uno diferente. Observe que el nombre del conjunto de
registros en la zona principal coincide con el nombre de la zona secundaria, en este caso socios.
Conjuntos de registros DNS

Es importante comprender la diferencia entre los conjuntos de registros DNS y los registros DNS individuales. Un conjunto de
registros es una colección de registros en una zona que tienen el mismo nombre y son del mismo tipo.
Puede agregar hasta 20 registros a cualquier conjunto de registros. Un conjunto de registros no puede contener dos registros idénticos. Se
pueden crear conjuntos de registros vacíos (con cero registros), pero no aparecen en los servidores de nombres DNS de Azure. Los conjuntos de
registros de tipo CNAME pueden contener un registro como máximo.
La Agregar conjunto de registros La página cambiará según el tipo de registro que seleccione. Para un registro A, necesitará el TTL
(tiempo de vida) y la dirección IP. El tiempo de vida, o TTL, especifica cuánto tiempo los clientes almacenan en caché cada registro
antes de volver a consultarlo.
DNS para dominios privados

Al usar zonas DNS privadas, puede usar sus propios nombres de dominio personalizados en lugar de los nombres proporcionados
por Azure disponibles en la actualidad. El uso de nombres de dominio personalizados le ayuda a adaptar la arquitectura de su red
virtual para que se adapte mejor a las necesidades de su organización. Proporciona resolución de nombres para máquinas virtuales
(VM) dentro de una red virtual y entre redes virtuales. Además, puede configurar los nombres de las zonas con una vista de horizonte
dividido, lo que permite que una zona DNS privada y una pública compartan el nombre.
DNS de Azure 109
Si especifica una red virtual de registro, los registros DNS de las máquinas virtuales de esa red virtual que están
registradas en la zona privada no se pueden ver ni recuperar de las API de Azure Powershell y la CLI de Azure, pero los
registros de la máquina virtual están registrados y se resolverán correctamente .
Beneficios de Azure DNS

● Elimina la necesidad de soluciones DNS personalizadas. Anteriormente, muchos clientes creaban soluciones DNS
personalizadas para administrar zonas DNS en su red virtual. Ahora puede realizar la administración de la zona DNS
mediante la infraestructura nativa de Azure, lo que elimina la carga de crear y administrar soluciones DNS
personalizadas.
● Utilice todos los tipos de registros DNS habituales. Azure DNS admite registros A, AAAA, CNAME, MX, PTR, SOA, SRV y
TXT.
● Gestión automática de registros de nombre de host. Además de hospedar sus registros DNS personalizados, Azure
mantiene automáticamente registros de nombre de host para las máquinas virtuales en las redes virtuales especificadas. En
este escenario, puede optimizar los nombres de dominio que utiliza sin necesidad de crear soluciones de DNS
personalizadas o modificar aplicaciones.
● Resolución de nombre de host entre redes virtuales. A diferencia de los nombres de host proporcionados por Azure, las zonas DNS
privadas se pueden compartir entre redes virtuales. Esta capacidad simplifica los escenarios de descubrimiento de servicios y entre
redes, como el emparejamiento de redes virtuales.
● Herramientas familiares y experiencia de usuario. Para reducir la curva de aprendizaje, esta nueva oferta utiliza
herramientas Azure DNS bien establecidas (PowerShell, plantillas de Azure Resource Manager y la API REST).
● Soporte DNS de horizonte dividido. Con Azure DNS, puede crear zonas con el mismo nombre que se resuelven en
diferentes respuestas desde dentro de una red virtual y desde la Internet pública. Un escenario típico para DNS de
horizonte dividido es proporcionar una versión dedicada de un servicio para usar dentro de su red virtual.
● Disponible en todas las regiones de Azure. La característica de zonas privadas de DNS de Azure está disponible en todas las regiones de Azure en
la nube pública de Azure.
Escenarios de zona privada
Escenario 1: resolución de nombres en el ámbito de una sola red

virtual
En este escenario, tiene una red virtual en Azure que tiene varios recursos de Azure, incluidas las máquinas
virtuales (VM). Desea resolver los recursos desde dentro de la red virtual a través de un nombre de dominio
específico (zona DNS) y necesita que la resolución de nombres sea privada y no accesible desde el
Internet. Además, para las máquinas virtuales dentro de la red virtual, es necesario que Azure las registre automáticamente en la
zona DNS.
En este escenario, VNET1 contiene dos VM (VM1 y VM2). Cada una de estas máquinas virtuales tiene direcciones IP privadas.
Por lo tanto, si crea una zona privada denominada contoso.com y vincula esta red virtual como una red virtual de registro,
Azure DNS creará automáticamente dos registros A en la zona. Ahora, las consultas de DNS de VM1 para resolver
VM2.contoso.com recibirán una respuesta de DNS que contiene la IP privada de VM2. Además, una consulta DNS inversa
(PTR) para la IP privada de VM1 (10.0.0.1) emitida desde VM2 recibirá una respuesta de DNS que contiene el FQDN de VM1,
como se esperaba.
Escenario 2: resolución de nombres para varias redes

La resolución de nombres en múltiples redes virtuales es probablemente el uso más común para las zonas privadas
de DNS. El siguiente diagrama muestra una versión simple de este escenario donde solo hay dos redes virtuales:
VNet1 y VNet2.
● VNet1 se designa como Registro red virtual y VNET2 se designa como un Resolución
red virtual.
● La intención es que ambas redes virtuales compartan una zona común contoso.com.
● Las redes virtuales de Resolución y Registro están vinculadas a la zona.
● Los registros DNS para las VM de la red virtual de registro se crean automáticamente. Puede agregar manualmente registros DNS
para máquinas virtuales en la red virtual de resolución.
Con esta configuración, observará el siguiente comportamiento para las consultas DNS directas e inversas:
1. Se resuelven las consultas de DNS en las redes virtuales. Una consulta de DNS de una máquina virtual en la resolución
VNet, para una VM en la VNet de registro, recibirá una respuesta de DNS que contiene la IP privada de la VM.
2. Las consultas DNS inversas tienen como ámbito la misma red virtual. Una consulta de DNS inverso (PTR) de un
La máquina virtual en la red virtual de resolución, para una máquina virtual en la red virtual de registro, recibirá una respuesta de DNS que contiene
el FQDN de la máquina virtual. Pero, una consulta de DNS inversa de una máquina virtual en la red virtual de resolución, para una máquina virtual
en la misma red virtual, recibirá NXDOMAIN.

DNS de Azure 111
✔ También hay Funcionalidad Split-Horizon 5 guión.
Demostración: resolución de nombres DNS

En esta demostración, explorará Azure DNS.
Nota: Hay un laboratorio de DNS.
Crea una zona DNS
2. Busque el Zonas DNS Servicio.
3. En el Crear zona DNS Blade ingrese los siguientes valores, y Crear la nueva zona DNS.
● Nombre: contoso.internal.com
● Suscripción: < su suscripción>
● Grupo de recursos: Seleccionar o crear un grupo de recursos
● Localización: Selecciona tu ubicación
4. Espere a que se cree la zona DNS.
5. Es posible que deba Actualizar la página.
Agregar un conjunto de registros DNS
1. Seleccione + Conjunto de registros.
2. Utilice el Tipo desplegable para ver los diferentes tipos de registros.
3. Observe cómo cambia la información requerida a medida que cambia los tipos de registro.
4. Cambie el Tipo a A e ingrese estos valores.
● Nombre: Un registro
● Dirección IP: 1.2.3.4
5. Tenga en cuenta que puede agregar otros registros.
6. Haga clic en OK para guardar su registro.
7. Actualizar la página para observar el nuevo conjunto de registros.
8. Anote el nombre de su grupo de recursos.
Use PowerShell para ver la información de DNS
1. Abra Cloud Shell.
2. Obtenga información sobre sus zonas DNS. Observe los servidores de nombres y el número de conjuntos de registros.
Get-AzDnsZone -Name "contoso.internal.com" -ResourceGroupName <resourcegroupname>
3. Obtenga información sobre su conjunto de registros DNS.
5 https://docs.microsoft.com/en-us/azure/dns/private-dns-scenarios#scenario-split-horizon-functionality
Get-AzDnsRecordSet -ResourceGroupName <resourcegroupname> -ZoneName contoso.internal.com
Ver sus servidores de nombres
1. Acceda a Azure Portal y su zona DNS.
2. Revise la información del servidor de nombres. Debe haber cuatro servidores de nombres.
3. Anote el grupo de recursos.
5. Utilice PowerShell para confirmar sus registros NS.
# Recuperar la información de la zona

$ zone = Get-AzDnsZone –Name contoso.internal.com –ResourceGroupName <nombre de grupo de
recursos>
# Recuperar los registros del servidor de nombres

Get-AzDnsRecordSet –Nombre “@” –RecordType NS –Zone $ zone
Prueba la resolución
1. Continúe en Cloud Shell.
2. Utilice un servidor de nombres en su zona para revisar registros.
nslookup arecord.contoso.internal.com <servidor de nombres para la zona>
3. Nslookup debe proporcionar la dirección IP para el registro.
Explore las métricas de DNS
1. Regrese al portal de Azure.
2. Seleccione una zona DNS y luego seleccione Métrica.
3. Utilice el Métrica desplegable para ver las diferentes métricas que están disponibles.
4. Seleccione Volumen de consultas. Si ha estado usando nslookup, debería haber consultas.
5. Utilice el Gráfico de linea desplegable para observar otros tipos de gráficos, como Gráfico de áreas, Gráfico de barras y Dispersión
Gráfico.
Para más información, Nslookup 6
6 https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/nslookup
Laboratorio 04: Implementación de redes virtuales
Necesita explorar las capacidades de redes virtuales de Azure. Para comenzar, planea crear una red virtual en Azure que
albergará un par de máquinas virtuales de Azure. Dado que tiene la intención de implementar la segmentación basada en la
red, los implementará en diferentes subredes de la red virtual. También desea asegurarse de que sus direcciones IP públicas
y privadas no cambien con el tiempo. Para cumplir con los requisitos de seguridad de Contoso, debe proteger los puntos de
conexión públicos de las máquinas virtuales de Azure accesibles desde Internet. Por último, debe implementar la resolución
de nombres DNS para las máquinas virtuales de Azure tanto dentro de la red virtual como desde Internet.
Objetivos
● Tarea 1: crear y configurar una red virtual.
● Tarea 2: Implementar máquinas virtuales en la red virtual.

● Tarea 3: configurar direcciones IP públicas y privadas de máquinas virtuales de Azure.
● Tarea 4: configurar grupos de seguridad de red.
● Tarea 5: configurar DNS de Azure para la resolución de nombres internos.
● Tarea 6: configurar DNS de Azure para la resolución de nombres externos.
Su empresa tiene un inquilino de Azure existente llamado alpineskihouse.onmicrosoft.com. La empresa quiere empezar a
utilizar alpineskihouse.com para sus recursos de Azure. Agrega un dominio personalizado a Azure.
Ahora, debe agregar un registro DNS para prepararse para verificar el dominio personalizado. ¿Cuáles de los siguientes tipos
de registros podría crear?
?? Agregue un registro PTR a la zona DNS.
?? Agregue un registro TXT a la zona DNS.
?? Agregue un registro MX a la zona DNS.
?? Agregue un registro SRV a la zona DNS.
?? Agregue un registro CNAME a la zona DNS.
Está pensando en configurar la red en Microsoft Azure. Su empresa tiene una nueva presencia de Microsoft
Azure con las siguientes características de red:
● 1 Red virtual.
● 1 subred usando 192.168.0.0/23 (no tiene recursos existentes).
Su centro de datos local tiene las siguientes características de red:
● 10 subredes usando 192.168.1.0/24 a 192.168.10.0/24.
La empresa tiene la intención de utilizar 192.168.1.0/24 local y 192.168.0.0/24 en Azure. Debe actualizar el entorno
de su empresa para habilitar la funcionalidad necesaria. ¿Qué deberías hacer? (Cada respuesta representa parte de
la solución. Elija dos).
?? Elimine 192.168.0.0/23 de Azure.
?? Elimine 192.168.1.0/24 en el entorno local.
?? Cree una subred pública coincidente en Azure y en el entorno local.
?? Cree una subred para 192.168.0.0/23 en el entorno local.
?? Cree una subred para 192.168.0.0/24 en Azure.

Está planificando la implementación de su red de Azure para respaldar la migración de su empresa a Azure. Su primera
tarea es prepararse para la implementación del primer conjunto de VM. El primer conjunto de VM que está implementando
tiene los siguientes requisitos:
● Los consumidores en Internet deben poder comunicarse directamente con la aplicación web en las
VM.
● La configuración de IP debe tener redundancia de zona.
Debe configurar el entorno para prepararse para la primera máquina virtual. Además, debe minimizar los costos, siempre
que sea posible, sin dejar de cumplir los requisitos. ¿Qué deberías hacer? Seleccione uno.
?? Cree una dirección IP pública estándar. Durante la creación de la primera VM, asocie la dirección IP
pública con la NIC de la VM.
?? Cree una dirección IP pública estándar. Una vez creada la primera máquina virtual, elimine la dirección IP privada y
asigne la dirección IP pública a la NIC.
?? Cree una dirección IP pública básica. Durante la creación de la primera VM, asocie la dirección IP pública con la
VM.
?? Cree una dirección IP pública básica. Una vez creada la primera máquina virtual, elimine la dirección IP privada y asigne la
dirección IP pública a la NIC.
Implementa un nuevo dominio llamado contoso.com en los controladores de dominio en Azure. Tiene las siguientes máquinas virtuales
unidas a un dominio en Azure:
● VM1 a las 10.20.30.10
● VM2 a las 10.20.30.11
● VM3 a las 10.20.30.12
● VM99 a las 10.20.40.101
Debe agregar registros DNS para que los nombres de host se resuelvan en sus respectivas direcciones IP. Además, debe
agregar un registro DNS para que intranet.contoso.com se resuelva en VM99. ¿Qué deberías hacer? (Cada respuesta
presenta parte de la solución. Elija dos).
?? Agregue registros AAAA para cada VM.
?? Agregue registros A para cada VM.
?? Agregue un registro TXT para intranet.contoso.com con el texto de VM99.contoso.com.
?? Agregue un registro SRV para intranet.contoso.com con el destino apuntando a VM99.contoso.com
?? Agregue un registro CNAME para intranet.contoso.com con un valor de VM99.contoso.com.

Su empresa se está preparando para trasladar algunos servicios y máquinas virtuales a Microsoft Azure. La empresa ha optado por
utilizar Azure DNS para proporcionar resolución de nombres. Un proyecto comienza a configurar la resolución de nombres. El
proyecto identifica los siguientes requisitos:
● Se utilizará un nuevo dominio.
● El dominio tendrá registros DNS para recursos internos y externos.
● Minimice los gastos administrativos continuos.
Debe preparar y configurar el entorno con un nuevo nombre de dominio y un nombre de host de prueba de WWW.
¿Cuál de los siguientes pasos debería realizar? (Cada respuesta presenta parte de la solución. Elija tres).
?? Registre un nombre de dominio con un registrador de dominios.
?? Registre un nombre de dominio con Microsoft Azure.
?? Delegue el nuevo nombre de dominio en Azure DNS.
?? Agregue un registro de dirección (A) para los servidores de nombres de Azure en la zona.
?? Agregue registros de pegamento DNS para apuntar a los servidores de nombres de Azure.
?? Agregue un registro para WWW.
Tiene una máquina virtual con dos NIC denominadas NIC1 y NIC2. NIC1 está conectado a la subred 10.10.8.0/24. NIC2 está conectado
a la subred 10.20.8.0/24. Planea actualizar la configuración de la máquina virtual para proporcionar la siguiente funcionalidad:
● Habilite la comunicación directa desde Internet al puerto TCP 443.
● Mantenga la comunicación existente entre las subredes 10.10.8.0/24 y 10.20.8.0/24.
● Mantenga una configuración simple siempre que sea posible.
Debe actualizar la configuración de la máquina virtual para admitir la nueva funcionalidad. ¿Qué deberías hacer? Seleccione uno.
?? Elimine la dirección IP privada de NIC2 y luego asígnele una dirección IP pública. Luego, crea un
regla de seguridad entrante.
?? Agregue una tercera NIC y asóciele una dirección IP pública. Luego, cree una regla de seguridad entrante.
?? Asocie una dirección IP pública a NIC2 y cree una regla de seguridad entrante.
?? Cree una regla de seguridad entrante para el puerto TCP 443.

Actualmente, utiliza grupos de seguridad de red (NSG) para controlar cómo fluye el tráfico de su red hacia y desde sus
subredes e interfaces de red virtuales. Quiere personalizar el funcionamiento de sus NSG. Para todo el tráfico
entrante, debe aplicar sus reglas de seguridad tanto al nivel de la máquina virtual como de la subred. ¿Cuál de las
siguientes opciones le permitirá lograr esto? (Escoge dos)
?? Configure la regla de seguridad AllowVNetInBound para todos los NSG nuevos.
?? Cree reglas para NIC y subredes con una acción de permiso.
?? Elimina las reglas predeterminadas.
?? Agregue reglas con una prioridad más alta que las reglas predeterminadas.
Debe asegurarse de que Azure DNS pueda resolver nombres para su dominio registrado. ¿Qué deberías
implementar? Seleccione uno.
?? delegación de zona
?? un registro CNAME
?? un registro MX
?? una zona secundaria
?? una zona primaria con un registro NS
Está configurando Azure Firewall. Debe permitir el tráfico de red de Windows Update a través del firewall.
¿Cuál de los siguientes debería utilizar?
?? Reglas de aplicación
?? Reglas de entrada de destino
?? Reglas NAT
?? Reglas de red
Estudio adicional
● Fundamentos de redes: principios 7
● Diseñe un esquema de direccionamiento IP para su implementación de Azure 8
● Asegure y aísle el acceso a los recursos de Azure mediante el uso de grupos de seguridad de red y puntos de conexión de
servicio 9
7 https://docs.microsoft.com/en-us/learn/modules/network-fundamentals/
8 https://docs.microsoft.com/en-us/learn/modules/design-ip-addressing-for-azure/
9 https://docs.microsoft.com/en-us/learn/modules/secure-and-isolate-with-nsg-and-service-endpoints/
Respuestas
Su empresa tiene un inquilino de Azure existente llamado alpineskihouse.onmicrosoft.com. La empresa quiere empezar a
utilizar alpineskihouse.com para sus recursos de Azure. Agrega un dominio personalizado a Azure. Ahora, debe agregar un
registro DNS para prepararse para verificar el dominio personalizado. ¿Cuáles de los siguientes tipos de registros podría
crear?
?? Agregue un registro PTR a la zona DNS.
■ Agregue un registro TXT a la zona DNS.
■ Agregue un registro MX a la zona DNS.
?? Agregue un registro SRV a la zona DNS.
?? Agregue un registro CNAME a la zona DNS.
Explicación
De forma predeterminada, Azure le pedirá que cree un registro TXT personalizado en su zona DNS para verificar un dominio
personalizado. Opcionalmente, puede utilizar un registro MX en su lugar. El resultado es el mismo. No se admiten otros tipos de
registros.
Está pensando en configurar la red en Microsoft Azure. Su empresa tiene una nueva presencia de Microsoft
Azure con las siguientes características de red:
Su centro de datos local tiene las siguientes características de red:
La empresa tiene la intención de utilizar 192.168.1.0/24 local y 192.168.0.0/24 en Azure. Debe actualizar el
entorno de su empresa para habilitar la funcionalidad necesaria. ¿Qué deberías hacer? (Cada respuesta
representa parte de la solución. Elija dos).
■ Elimine 192.168.0.0/23 de Azure.
?? Elimine 192.168.1.0/24 en el entorno local.
?? Cree una subred pública coincidente en Azure y en el entorno local.
?? Cree una subred para 192.168.0.0/23 en el entorno local.
■ Cree una subred para 192.168.0.0/24 en Azure.
Explicación
Primero, debe eliminar 192.168.0.0/23 de Azure. Se superpone con 192.168.1.0/24, que tiene la intención de usar en las
instalaciones. En segundo lugar, debe crear una subred para 192.168.0.0/24 en Azure para habilitar el uso en Azure.
Está planificando la implementación de su red de Azure para respaldar la migración de su empresa a Azure. Su primera
tarea es prepararse para la implementación del primer conjunto de VM. El primer conjunto de VM que está
implementando tiene los siguientes requisitos:
Debe configurar el entorno para prepararse para la primera máquina virtual. Además, debe minimizar los costos,
siempre que sea posible, sin dejar de cumplir los requisitos. ¿Qué deberías hacer? Seleccione uno.
■ Cree una dirección IP pública estándar. Durante la creación de la primera VM, asocie la dirección IP pública
con la NIC de la VM.
?? Cree una dirección IP pública estándar. Una vez creada la primera máquina virtual, elimine la dirección IP privada y
asigne la dirección IP pública a la NIC.
?? Cree una dirección IP pública básica. Durante la creación de la primera VM, asocie la dirección IP pública con la
VM.
?? Cree una dirección IP pública básica. Una vez creada la primera máquina virtual, elimine la dirección IP privada y asigne la
dirección IP pública a la NIC.
Explicación
Para cumplir con el requisito de comunicarse directamente con los consumidores en Internet, debe utilizar una dirección IP pública. Para
cumplir con el requisito de tener una configuración de zona redundante, debe utilizar una dirección IP pública estándar. De las opciones
de respuesta, solo la respuesta que crea la dirección IP pública estándar primero y luego la asocia durante la creación de la máquina
virtual, funciona y cumple con los requisitos. No puede configurar una máquina virtual con solo una dirección IP pública. En cambio, todas
las máquinas virtuales tienen una dirección IP privada y, opcionalmente, pueden tener una o más direcciones IP públicas.
Implementa un nuevo dominio llamado contoso.com en los controladores de dominio en Azure. Tiene las siguientes máquinas virtuales
unidas a un dominio en Azure:
Debe agregar registros DNS para que los nombres de host se resuelvan en sus respectivas direcciones IP. Además,
debe agregar un registro DNS para que intranet.contoso.com se resuelva en VM99. ¿Qué deberías hacer? (Cada
respuesta presenta parte de la solución. Elija dos).
?? Agregue registros AAAA para cada VM.
■ Agregue registros A para cada VM.
?? Agregue un registro TXT para intranet.contoso.com con el texto de VM99.contoso.com.
?? Agregue un registro SRV para intranet.contoso.com con el destino apuntando a VM99.contoso.com
■ Agregue un registro CNAME para intranet.contoso.com con un valor de VM99.contoso.com.
Explicación
En este escenario, los nombres de host tienen direcciones IP IPv4. Por lo tanto, para resolver esos nombres de host, debe
agregar registros A para cada una de las VM. Para permitir que intranet.contoso.com se resuelva en VM99.contoso.com, debe
agregar un registro CNAME. Un registro CNAME a menudo se denomina "alias".
Su empresa se está preparando para trasladar algunos servicios y máquinas virtuales a Microsoft Azure. La empresa ha optado por
utilizar Azure DNS para proporcionar resolución de nombres. Un proyecto comienza a configurar la resolución de nombres. El
proyecto identifica los siguientes requisitos:
Debe preparar y configurar el entorno con un nuevo nombre de dominio y un nombre de host de prueba
de WWW. ¿Cuál de los siguientes pasos debería realizar? (Cada respuesta presenta parte de la solución.
Elija tres).
■ Registre un nombre de dominio con un registrador de dominios.
?? Registre un nombre de dominio con Microsoft Azure.
■ Delegue el nuevo nombre de dominio en Azure DNS.
?? Agregue un registro de dirección (A) para los servidores de nombres de Azure en la zona.
?? Agregue registros de pegamento DNS para apuntar a los servidores de nombres de Azure.
■ Agregar un registro para WWW.
Explicación
Para los nombres de dominio privados, debe registrarse con un registrador porque Azure no es un registrador. A partir de entonces, debe
delegar el nuevo nombre de dominio a Azure DNS, lo que permite que Azure DNS tenga autoridad para el dominio. Después de la
delegación, debe agregar un nombre de host de prueba de WWW y una resolución de nombre de prueba.
Tiene una máquina virtual con dos NIC denominadas NIC1 y NIC2. NIC1 está conectado a la subred 10.10.8.0/24. NIC2 está conectado
a la subred 10.20.8.0/24. Tiene previsto actualizar la configuración de la máquina virtual para proporcionar la siguiente funcionalidad:
Debe actualizar la configuración de la máquina virtual para admitir la nueva funcionalidad. ¿Qué deberías hacer? Seleccione uno.
?? Elimine la dirección IP privada de NIC2 y luego asígnele una dirección IP pública. Luego, crea un
regla de seguridad entrante.
?? Agregue una tercera NIC y asóciele una dirección IP pública. Luego, cree una regla de seguridad entrante.
■ Asocie una dirección IP pública a NIC2 y cree una regla de seguridad entrante.
?? Cree una regla de seguridad entrante para el puerto TCP 443.
Explicación
Para habilitar la comunicación directa desde Internet a la VM, debe tener una dirección IP pública. También necesita
una regla de seguridad entrante. Puede asociar la dirección IP pública con NIC1 o NIC2, aunque este escenario solo
presenta una opción para asociarla con NIC2, por lo que esa es la respuesta correcta.
Actualmente, utiliza grupos de seguridad de red (NSG) para controlar cómo fluye el tráfico de su red hacia y desde
sus subredes e interfaces de red virtuales. Quiere personalizar el funcionamiento de sus NSG. Para todo el tráfico
entrante, debe aplicar sus reglas de seguridad tanto al nivel de la máquina virtual como de la subred.
¿Cuál de las siguientes opciones le permitirá lograr esto? (Escoge dos)
?? Configure la regla de seguridad AllowVNetInBound para todos los NSG nuevos.
■ Cree reglas para NIC y subredes con una acción de permiso.
?? Elimina las reglas predeterminadas.
■ Agregue reglas con una prioridad más alta que las reglas predeterminadas.
Explicación
Debe agregar reglas con una prioridad más alta que las reglas predeterminadas si es necesario, ya que no puede eliminar las reglas
predeterminadas. Además, para cumplir con el requisito de aplicar reglas de seguridad tanto a nivel de VM como de subred, debe crear
reglas con una acción de permiso para ambos. No es necesario configurar la regla AllowVnetInBound, ya que es una regla predeterminada
para cualquier nuevo grupo de seguridad que cree.
Debe asegurarse de que Azure DNS pueda resolver nombres para su dominio registrado. ¿Qué deberías
implementar? Seleccione uno.
■ delegación de zona
?? un registro CNAME
?? un registro MX
?? una zona secundaria
?? una zona primaria con un registro NS
Explicación
Una vez que cree su zona DNS en Azure DNS, debe configurar registros NS en la zona principal para asegurarse de que Azure
DNS sea la fuente autorizada para la resolución de nombres para su zona. Para los dominios comprados a un registrador, su
registrador ofrecerá la opción de configurar estos registros NS. Al delegar un dominio a Azure DNS, debe usar los nombres de
servidor de nombres proporcionados por Azure DNS. La delegación de dominio no requiere que el nombre del servidor de
nombres use el mismo dominio de nivel superior que su dominio.
Está configurando Azure Firewall. Debe permitir el tráfico de red de Windows Update a través del firewall.
¿Cuál de los siguientes debería utilizar?
■ Reglas de aplicación
?? Reglas de entrada de destino
?? Reglas NAT
?? Reglas de red
Explicación
Reglas de aplicación. Las reglas de aplicación definen nombres de dominio completos (FQDN) a los que se puede acceder desde
una subred. Eso sería apropiado para permitir el tráfico de red de Windows Update.
Módulo 5 Conectividad entre sitios
Emparejamiento de redes virtuales
Emparejamiento de redes virtuales

Quizás la forma más sencilla y rápida de conectar sus redes virtuales es usar el emparejamiento de redes virtuales. El emparejamiento de redes
virtuales le permite conectar sin problemas dos redes virtuales de Azure. Una vez emparejadas, las redes virtuales aparecen como una, con
fines de conectividad. Hay dos tipos de emparejamiento de redes virtuales.
● Emparejamiento de VNet regional conecta redes virtuales de Azure en la misma región.
● Emparejamiento de red virtual global conecta redes virtuales de Azure en diferentes regiones. Al crear un emparejamiento
global, las redes virtuales emparejadas pueden existir en cualquier región de nube pública de Azure o regiones de nube de China,
pero no en regiones de nube de gobierno. Solo puede emparejar redes virtuales en la misma región en las regiones de nube de
Azure Government.
Beneficios del emparejamiento de redes virtuales

Los beneficios de utilizar el emparejamiento de redes virtuales locales o globales incluyen:
● Privado. El tráfico de red entre redes virtuales emparejadas es privado. El tráfico entre las redes
virtuales se mantiene en la red troncal de Microsoft. No se requiere Internet pública, pasarelas o
cifrado en la comunicación entre las redes virtuales.
● Actuación. Una conexión de baja latencia y alto ancho de banda entre recursos en diferentes redes
virtuales.
● Comunicación. La capacidad de los recursos de una red virtual para comunicarse con los recursos de una red
virtual diferente, una vez que se emparejan las redes virtuales.
124 Módulo 5 Conectividad entre sitios
● Sin costura. La capacidad de transferir datos entre suscripciones de Azure, modelos de implementación y entre regiones
de Azure.
● Sin interrupciones. No hay tiempo de inactividad de los recursos en la red virtual al crear el emparejamiento o después de
que se crea el emparejamiento.
Requisitos especiales de emparejamiento de redes virtuales globales

El emparejamiento de redes virtuales globales tiene los mismos beneficios y pasos de configuración que el emparejamiento regional, pero existen
algunos requisitos especiales.
● Regiones de nubes. Al crear un emparejamiento global, las redes virtuales emparejadas pueden existir en cualquier región de
nube pública de Azure o regiones de nube de China, pero no en regiones de nube de gobierno. Solo puede emparejar redes
virtuales en la misma región en las regiones de nube de Azure Government.
● Recursos de red virtual. Los recursos de una red virtual no pueden comunicarse con la dirección IP de un
equilibrador de carga interno de Azure en la red virtual emparejada. El equilibrador de carga y los recursos
que se comunican con él deben estar en la misma red virtual.
Para más información, Peering de red virtual 1
Tránsito y conectividad de puerta de enlace

Cuando se emparejan redes virtuales, puede configurar una puerta de enlace VPN en la red virtual emparejada como punto de
tránsito. En este caso, una red virtual emparejada puede utilizar la puerta de enlace remota para obtener acceso a otros recursos.
Una red virtual solo puede tener una puerta de enlace. El tránsito de puerta de enlace es compatible con VNet Peering y Global
VNet Peering.
Cuando permite el tránsito de puerta de enlace, la red virtual puede comunicarse con recursos fuera del emparejamiento. Por
ejemplo, la puerta de enlace de subred podría:
● Utilice una VPN de sitio a sitio para conectarse a una red local.
● Use una conexión de red virtual a red virtual a otra red virtual.
● Utilice una VPN de punto a sitio para conectarse a un cliente.
En estos escenarios, el tránsito de la puerta de enlace permite que las redes virtuales emparejadas compartan la puerta de enlace y obtengan
acceso a los recursos. Esto significa que no es necesario implementar una puerta de enlace VPN en la red virtual de pares.
1 https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-peering-overview
Emparejamiento de redes virtuales 125
✔ La configuración de emparejamiento de VNet predeterminada proporciona conectividad completa. Los grupos de seguridad
de red se pueden aplicar en cualquier red virtual para bloquear el acceso a otras redes virtuales o subredes, si se desea. Al
configurar el emparejamiento de redes virtuales, puede abrir o cerrar las reglas del grupo de seguridad de red entre las redes
virtuales.
Configurar el emparejamiento de redes virtuales

Estos son los pasos para configurar el emparejamiento de redes virtuales. Tenga en cuenta que necesitará dos redes
virtuales. Para probar el emparejamiento, necesitará una máquina virtual en cada red. Inicialmente, las VM no podrán
comunicarse, pero después de la configuración, la comunicación funcionará. El paso nuevo es configurar el emparejamiento
de las redes virtuales.
1. Cree dos redes virtuales.
2. Observa las redes virtuales.
3. Cree máquinas virtuales en cada red virtual.
4. Pruebe la comunicación entre las máquinas virtuales.
Para configurar el emparejamiento, utilice el Agregar intercambio de tráfico página. Solo hay que considerar unos pocos parámetros de configuración
opcionales.
Permitir tráfico reenviado. Permite el tráfico que no se origina en la red virtual de pares en su red
virtual.
Permitir el tránsito de la puerta de enlace. Permite que la red virtual del mismo nivel utilice su puerta de enlace de red virtual. El par no
puede tener una puerta de enlace configurada.
✔ Cuando agrega un emparejamiento en una red virtual, la segunda configuración de red virtual se agrega
automáticamente.
✔ Si selecciona 'Permitir tránsito de puerta de enlace' en una red virtual; luego debe seleccionar 'Usar puertas de
enlace remotas' en la otra red virtual.
Encadenamiento de servicios
VNet Peering no es transitivo. Esto significa que si establece VNet Peering entre VNet1 y VNet2 y entre VNet2 y VNet3, las
capacidades de VNet Peering no se aplican entre VNet1 y VNet3. Sin embargo, puede aprovechar las rutas definidas por el
usuario y el encadenamiento de servicios para implementar enrutamiento personalizado que proporcionará transitividad.
Esto le permite:
● Implementar una arquitectura de radios y concentradores de varios niveles.
● Supere el límite en la cantidad de emparejamientos de redes virtuales por red virtual.
Arquitectura de hub y radios

Puede implementar redes de concentrador y radio, donde la red virtual de concentrador puede albergar componentes de
infraestructura como un dispositivo virtual de red o una puerta de enlace VPN. Todas las redes virtuales radiales pueden
emparejarse con la red virtual del concentrador. El tráfico puede fluir a través de dispositivos virtuales de red o puertas de enlace
VPN en la red virtual del concentrador.
Rutas definidas por el usuario y encadenamiento de servicios

El emparejamiento de red virtual permite que el siguiente salto en una ruta definida por el usuario sea la dirección IP de una máquina
virtual en la red virtual emparejada o una puerta de enlace VPN.
El encadenamiento de servicios le permite dirigir el tráfico desde una red virtual a un dispositivo virtual, o puerta de enlace de
red virtual, en una red virtual emparejada, a través de rutas definidas por el usuario.
Comprobando la conectividad
Puede comprobar el estado del emparejamiento de redes virtuales. El emparejamiento no se establece correctamente hasta que se muestra el estado de
emparejamiento de ambos emparejamientos de red virtual Actualizando.
● Actualizando. Cuando crea el emparejamiento a la segunda red virtual desde la primera red virtual, el estado del
emparejamiento es Iniciado.
● Conectado. Cuando crea el emparejamiento desde la segunda red virtual a la primera red virtual, el
estado cambia de Iniciado a Conectado.
Demostración: emparejamiento de redes virtuales

Nota: Para esta demostración, necesitará dos redes virtuales.
Emparejamiento de redes virtuales 127
Configurar el emparejamiento de redes virtuales en la primera red virtual
1. En el Portal de Azure, seleccione la primera red virtual.
2. Bajo AJUSTES, Seleccione Peerings.
3. Seleccione + Agregar.
● Proporcionar una nombre para el primer emparejamiento de red virtual. Por ejemplo, VNet1toVNet2. En el Red
● virtual desplegable, seleccione la segunda red virtual con la que le gustaría emparejarse. Tenga en cuenta la
● región, esto será necesario cuando configure la puerta de enlace VPN.
● Proporcione un nombre para el segundo emparejamiento de red virtual. Por ejemplo, VNet2toVNet1.
● Utilice los iconos informativos para revisar el acceso a la red, el tráfico reenviado y la configuración de tránsito de la puerta de
enlace.
● Marque la casilla para Permitir el tránsito de la puerta de enlace. Tenga en cuenta el error de que la red virtual no tiene puerta de
enlace.
● Asegúrate que Permitir el tránsito de la puerta de enlace la casilla de verificación no está
● seleccionada. Hacer clic OK para guardar su configuración.
Configurar una puerta de enlace VPN
1. En el Portal de Azure, buscar pasarelas de red virtuales.
● Proporcionar una nombre para su puerta de enlace de red virtual. Por ejemplo, VNet1Gateway.
● Asegúrese de que la puerta de enlace esté en la misma región que la primera red virtual. En el red
● virtual desplegable seleccione la primera red virtual. En el Dirección IP pública área, Crear nuevo y
● asigne un nombre a la dirección IP. Hacer clic Crea y revisa. Aborde cualquier error de validación.
● Hacer clic Crear.
3. Supervise las notificaciones para asegurarse de que la puerta de enlace se haya creado correctamente.
Permitir el tránsito de la puerta de enlace
1. En el Portal de Azure, Regrese a su primera red virtual.
2. En el Descripción general cuchilla, fíjate en la nueva Dispositivo conectado para su puerta de enlace VPN.
3. Seleccione la puerta de enlace y observe que puede realizar una verificación de estado y revisar las estadísticas de acceso.
4. Regrese a la página anterior y debajo AJUSTES, Seleccione Peerings.
● Seleccione el emparejamiento y habilite Permitir el tránsito de la puerta de enlace. Observe que se ha resuelto el error
anterior.
● Observe que después de hacer esta selección, Utilice pasarelas remotas está desactivado.
5. Ahorrar sus cambios.
Confirme el emparejamiento de VNet en la segunda red virtual
1. En el Portal de Azure, seleccione la segunda red virtual.
2. Bajo AJUSTES, Seleccione Peerings.

3. Observe que se ha creado un emparejamiento automáticamente. El nombre es el que proporcionó cuando se

configuró el primer emparejamiento de red virtual.
4. Note que el Estado de intercambio de tráfico es Conectado.
5. Haga clic en el emparejamiento.
● Darse cuenta de Permitir el tránsito de la puerta de enlace no se puede seleccionar.
● Utilice el icono de información para revisar el Utilice pasarelas remotas configuración.
6. Descarte sus cambios.

Conexiones de puerta de enlace VPN 129
Conexiones de puerta de enlace VPN
Puertas de enlace VPN

Una puerta de enlace VPN es un tipo específico de puerta de enlace de red virtual que se usa para enviar tráfico cifrado
entre una red virtual de Azure y una ubicación local a través de la Internet pública. También puede usar una puerta de
enlace VPN para enviar tráfico cifrado entre redes virtuales de Azure a través de la red de Microsoft. Cada red virtual puede
tener solo una puerta de enlace VPN. Sin embargo, puede crear varias conexiones a la misma puerta de enlace VPN. Cuando
crea varias conexiones a la misma puerta de enlace VPN, todos los túneles VPN comparten el ancho de banda de puerta de
enlace disponible.
● Sitio a Sitio conexiones conectan centros de datos locales a redes virtuales de Azure
● Red a red conexiones conectan redes virtuales de Azure (personalizado)
● Punto a sitio (VPN de usuario) conexiones conectan dispositivos individuales a redes virtuales de Azure
Una puerta de enlace de red virtual se compone de dos o más máquinas virtuales que se implementan en una subred específica que usted crea llamada
subred de puerta de enlace. Las máquinas virtuales de puerta de enlace de red virtual contienen tablas de enrutamiento y ejecutan servicios de puerta de
enlace específicos. Estas máquinas virtuales se crean cuando crea la puerta de enlace de red virtual. No puede configurar directamente las máquinas
virtuales que forman parte de la puerta de enlace de red virtual.
Las puertas de enlace VPN se pueden implementar en las zonas de disponibilidad de Azure. Esto aporta resistencia, escalabilidad y mayor
disponibilidad a las puertas de enlace de redes virtuales. La implementación de puertas de enlace en las zonas de disponibilidad de Azure
separa física y lógicamente las puertas de enlace dentro de una región, al tiempo que protege su conectividad de red local a Azure de fallas a
nivel de zona.
✔ La creación de una puerta de enlace de red virtual puede tardar hasta 45 minutos en completarse.
Implementar conexiones de sitio a sitio

Estos son los pasos para crear conexiones de red virtual a red virtual. La parte local es necesaria solo si está
configurando de sitio a sitio. Repasaremos en detalle cada paso.
Cree redes virtuales y subredes. A estas alturas, debería estar familiarizado con la creación de redes y subredes
virtuales. Recuerde que esta red virtual debe conectarse a una ubicación local. Necesita coordinarse con su
administrador de red local para reservar un rango de direcciones IP que puede usar específicamente para esta
red virtual.
Especifique el servidor DNS (opcional). No se requiere DNS para crear una conexión de sitio a sitio. Sin embargo,
si desea tener una resolución de nombres para los recursos que se implementan en su red virtual, debe especificar
un servidor DNS en la configuración de la red virtual.
✔ Tómese el tiempo para planificar cuidadosamente la configuración de su red. Si existe un rango de direcciones IP
duplicado en ambos lados de la conexión VPN, el tráfico no se enrutará de la manera esperada.
Cree la subred de la puerta de enlace

Antes de crear una puerta de enlace de red virtual para su red virtual, primero debe crear la subred de la puerta de enlace.
La subred de la puerta de enlace contiene las direcciones IP que utiliza la puerta de enlace de la red virtual. Si es posible,
es mejor crear una subred de puerta de enlace utilizando un bloque CIDR de / 28 o / 27 para proporcionar suficientes
direcciones IP para adaptarse a futuros requisitos de configuración adicionales.
Cuando crea la subred de la puerta de enlace, las máquinas virtuales de la puerta de enlace se implementan en la subred de la puerta de enlace y se
configuran con la configuración de puerta de enlace VPN requerida. Nunca debe implementar otros recursos (por ejemplo, máquinas virtuales adicionales)
en la subred de la puerta de enlace. La subred de la puerta de enlace debe tener un nombre GatewaySubnet.
Para implementar una puerta de enlace en su red virtual, simplemente agregue una subred de puerta de enlace.
✔ Cuando trabaje con subredes de puerta de enlace, evite asociar un grupo de seguridad de red (NSG) a la subred de puerta de
enlace. La asociación de un grupo de seguridad de red a esta subred puede hacer que su puerta de enlace VPN deje de funcionar
como se esperaba.
✔ Este es el mismo paso para configurar VNet Peering.
Configuración de puerta de enlace VPN

La configuración de la puerta de enlace VPN que eligió es fundamental para crear una conexión exitosa.
● Tipo de puerta de enlace. VPN o ExpressRoute.
● Tipo de VPN. Basado en ruta o basado en políticas. El tipo de VPN que puede elegir depende de la marca y el modelo de su
dispositivo VPN y del tipo de conexión VPN que desea crear. Elija una puerta de enlace basada en rutas si tiene la intención de
utilizar conexiones punto a sitio, redes intervirtuales o múltiples conexiones de sitio a sitio; si está creando una puerta de enlace
de tipo VPN para que coexista con una puerta de enlace ExpressRoute; o si necesita utilizar IKEv2. Las puertas de enlace basadas
en políticas solo admiten IKEv1. La mayoría de los tipos de VPN se basan en rutas.
● SKU. Utilice el menú desplegable para seleccionar una SKU de puerta de enlace. Los tipos de VPN basados en rutas se
ofrecen en tres SKU: Básico, Estándar y Alto rendimiento. Se debe elegir el rendimiento estándar o alto si está utilizando
ExpressRoute. Se debe seleccionar un SKU de alto rendimiento si está utilizando el modo activo-activo. Su elección
afectará la cantidad de túneles que puede tener y el punto de referencia de rendimiento agregado. El punto de
referencia se basa en mediciones de múltiples túneles agregados a través de una única puerta de enlace. No es un
rendimiento garantizado debido a las condiciones del tráfico de Internet y al comportamiento de su aplicación.
● Generacion. Generación1 o Generación2. No se permite cambiar de generación o cambiar SKU entre

generaciones. Los SKU Basic y VpnGw1 solo se admiten en Generation1. Los SKU de VpnGw4 y VpnGw5
solo se admiten en Generation2.
● Redes virtuales. La red virtual que podrá enviar y recibir tráfico a través de la puerta de enlace de la red
virtual. Una red virtual no se puede asociar con más de una puerta de enlace.
✔ Una vez creada la puerta de enlace, vea la dirección IP que se le ha asignado mirando la red virtual en el portal. La
puerta de enlace debería aparecer como un dispositivo conectado.
Tipos de puerta de enlace VPN

Cuando crea la puerta de enlace de red virtual para una configuración de puerta de enlace VPN, debe especificar un tipo de
VPN. El tipo de VPN que elija depende de la topología de conexión que desee crear. Por ejemplo, una conexión punto a sitio
(P2S) requiere un tipo de VPN basada en ruta. Un tipo de VPN también puede depender del hardware que esté utilizando. Las
configuraciones de sitio a sitio (S2S) requieren un dispositivo VPN. Algunos dispositivos VPN solo admiten un determinado
tipo de VPN.
El tipo de VPN que seleccione debe satisfacer todos los requisitos de conexión para la solución que desea crear. Por
ejemplo, si desea crear una conexión de puerta de enlace VPN S2S y una conexión de puerta de enlace VPN P2S para
la misma red virtual, usaría el tipo de VPN basada en ruta porque P2S requiere un tipo de VPN basada en ruta.
También deberá verificar que su dispositivo VPN sea compatible con una conexión VPN basada en rutas.
● VPN basadas en rutas. Uso de VPN basadas en rutas rutas en la tabla de enrutamiento o reenvío de IP para dirigir los paquetes
a sus interfaces de túnel correspondientes. A continuación, las interfaces del túnel cifran o descifran los paquetes que entran y
salen de los túneles. La política (o selector de tráfico) para las VPN basadas en rutas se configuran como cualquiera a cualquiera
(o comodines).
● VPN basadas en políticas. Las VPN basadas en políticas cifran y dirigen paquetes a través de túneles IPsec según las
políticas IPsec configuradas con las combinaciones de prefijos de dirección entre su red local y la red virtual de Azure.
La política (o selector de tráfico) generalmente se define como una lista de acceso en la configuración del dispositivo
VPN. Cuando utilice una VPN basada en políticas, tenga en cuenta las siguientes limitaciones:
● Las VPN basadas en políticas solo se pueden usar en la SKU de puerta de enlace básica y no son compatibles con otras SKU de
puerta de enlace.
● Puede tener solo 1 túnel cuando usa una VPN basada en políticas.
● Solo puede utilizar VPN basadas en políticas para conexiones S2S y solo para determinadas configuraciones. La mayoría de las
configuraciones de VPN Gateway requieren una VPN basada en rutas.
✔ Una vez que se ha creado una puerta de enlace de red virtual, no puede cambiar el tipo de VPN.
Generaciones y SKU de puerta de enlace

Cuando crea una puerta de enlace de red virtual, debe especificar la SKU de la puerta de enlace que desea usar.
Seleccione el SKU que satisfaga sus requisitos según los tipos de cargas de trabajo, rendimientos, funciones y SLA.
Gen SKU S2S / VNet a VNet Conexión P2S IKEv2 Agregar

Túneles ciones Rendimiento
Punto de referencia
1 VpnGw1 / Az Max. 30 Max. 250 650 Mbps

1 VpnGw2 / Az Max. 30 Max. 500 1,0 Gbps
2 VpnGw2 / Az Max. 30 Max. 500 1,25 Gbps
1 VPNGw3 / Az Max. 30 Max. 1000 1,25 Gbps
El Benchmark de rendimiento agregado se basa en mediciones de múltiples túneles agregados a través de una única puerta de
enlace. El Benchmark de rendimiento agregado para una puerta de enlace VPN es S2S + P2S combinados. El Benchmark de
rendimiento agregado no es un rendimiento garantizado debido a las condiciones del tráfico de Internet y al comportamiento de sus
aplicaciones.
✔ El SKU básico (no se muestra) se considera un SKU heredado.

Cree la puerta de enlace de la red local

La puerta de enlace de la red local normalmente se refiere a la ubicación local. Le da al sitio un nombre con el que Azure
puede hacer referencia a él y, a continuación, especifica la dirección IP del dispositivo VPN local para la conexión. También
especifica los prefijos de dirección IP que se enrutarán a través de la puerta de enlace VPN al dispositivo VPN. Los prefijos de
dirección que especifica son los prefijos ubicados en la red local.
Dirección IP. La dirección IP pública de la puerta de enlace local.
Espacio de dirección. Uno o más rangos de direcciones IP (en notación CIDR) que definen el espacio de direcciones de su
red local. Por ejemplo: 192.168.0.0/16. Si planea usar esta puerta de enlace de red local en una conexión habilitada para
BGP, entonces el prefijo mínimo que debe declarar es la dirección de host de su dirección IP de BGP Peer en su dispositivo
VPN.
Configurar el dispositivo VPN local

Microsoft ha validado una lista de dispositivos VPN estándar que deberían funcionar bien con la puerta de enlace VPN. Esta
lista se creó en asociación con fabricantes de dispositivos como Cisco, Juniper, Ubiquiti y Barracuda Networks. Si no observa
su dispositivo en la lista de dispositivos VPN validados (enlace de referencia), es posible que su dispositivo aún funcione con
una conexión de sitio a sitio. Comuníquese con el fabricante de su dispositivo para obtener asistencia adicional e
instrucciones de configuración.
Para configurar su dispositivo VPN, necesita lo siguiente:
● Una clave compartida. Esta es la misma clave compartida que especificará al crear la conexión VPN
(siguiente paso).
● La dirección IP pública de su puerta de enlace VPN. Cuando creó la puerta de enlace VPN, es posible que haya
configurado una nueva dirección IP pública o haya utilizado una dirección IP existente.
✔ Dependiendo del dispositivo VPN que tenga, es posible que pueda descargar un script de configuración de dispositivo
VPN 2 .
Para más información, Lista de dispositivos VPN validados 3 .
2 https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-download-vpndevicescript
3 https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway -about-vpn-devices
Crea la conexión VPN

Una vez que se crean sus puertas de enlace VPN, puede crear la conexión entre ellas. Si sus redes virtuales están en
la misma suscripción, puede usar el portal.
● Nombre. Ingrese un nombre para su conexión.
● Tipo de conección. Seleccione Sitio a sitio (IPSec) en el menú desplegable.
● Clave compartida (PSK). En este campo, ingrese una clave compartida para su conexión. Puede generar o crear
esta clave usted mismo. En una conexión de sitio a sitio, la clave que usa es la misma para su dispositivo local y su
conexión de puerta de enlace de red virtual. El concepto es similar aquí, excepto que en lugar de conectarse a un
dispositivo VPN, se está conectando a otra puerta de enlace de red virtual.
Verifique la conexión VPN

Una vez que haya configurado todos los componentes de sitio a sitio, es hora de verificar que todo esté
funcionando. Puede verificar las conexiones en el portal o mediante PowerShell.
Escenarios de alta disponibilidad
Activo / en espera
Cada puerta de enlace de Azure VPN consta de dos instancias en una configuración de espera activa. Para cualquier mantenimiento
planificado o interrupción no planificada que le ocurra a la instancia activa, la instancia en espera tomará el control (conmutación por
error) automáticamente y reanudará las conexiones S2S VPN o VNet-to-VNet. El cambio provocará una breve interrupción. Para el
mantenimiento planificado, la conectividad debe restablecerse en un plazo de 10 a 15 segundos. Para problemas no planificados, la
recuperación de la conexión será más larga, aproximadamente de 1 minuto a 1 minuto y medio en el peor de los casos. Para las
conexiones de cliente P2S VPN a la puerta de enlace, las conexiones P2S se desconectarán y los usuarios deberán volver a conectarse
desde las máquinas cliente.
Activo / activo
Ahora puede crear una puerta de enlace de VPN de Azure en una configuración activo-activo, donde ambas instancias de las
máquinas virtuales de la puerta de enlace establecerán túneles VPN de S2S a su dispositivo VPN local.
En esta configuración, cada instancia de puerta de enlace de Azure tendrá una dirección IP pública única y cada una
establecerá un túnel VPN IPsec / IKE S2S a su dispositivo VPN local especificado en su puerta de enlace y conexión de
red local. Tenga en cuenta que ambos túneles VPN son en realidad parte de la misma conexión. Aún necesitará
configurar su dispositivo VPN local para aceptar o establecer dos túneles VPN S2S a esas dos direcciones IP públicas
de puerta de enlace VPN de Azure.
Debido a que las instancias de la puerta de enlace de Azure están en configuración activa-activa, el tráfico de su red
virtual de Azure a su red local se enrutará a través de ambos túneles simultáneamente, incluso si su dispositivo VPN
local puede favorecer un túnel sobre el otro. Tenga en cuenta que el mismo flujo de TCP o UDP siempre atravesará el
mismo túnel o ruta, a menos que ocurra un evento de mantenimiento en una de las instancias.
Cuando ocurre un mantenimiento planificado o un evento no planificado en una instancia de puerta de

enlace, el túnel IPsec desde esa instancia hasta su dispositivo VPN local se desconectará. Las rutas
correspondientes en sus dispositivos VPN deben eliminarse o retirarse automáticamente para que el tráfico
se cambie al otro túnel IPsec activo. En el lado de Azure, el cambio ocurrirá automáticamente de la instancia
afectada a la instancia activa.
Demostración: conexiones de puerta de enlace VPN

En esta demostración, exploraremos las puertas de enlace de redes virtuales.
Nota: Esta demostración funciona mejor con dos redes virtuales con subredes. Todos los pasos están en el
portal.
Explore la hoja de subred de Gateway
1. Para una de sus redes virtuales, seleccione el Subredes espada.
2. Seleccione + Subred de puerta de enlace. Observe que el nombre de la subred no se puede cambiar. Observe la habla a
distancia de la subred de la puerta de enlace. La dirección debe estar contenida en el espacio de direcciones de la red
virtual.
3. Recuerde que cada red virtual necesita una subred de puerta de enlace.
4. Cierre la página Agregar subred de puerta de enlace. No es necesario que guarde los cambios.
Explore la hoja de dispositivos conectados
1. Para la red virtual, seleccione el Dispositivos conectados espada.
2. Después de implementar una subred de puerta de enlace, aparecerá en la lista de dispositivos conectados.
Explore la adición de una puerta de enlace de red virtual
1. Busque Pasarelas de red virtuales.
2. Haga clic en + Agregar.
3. Revise cada configuración de la puerta de enlace virtual netowrk.
4. Utilice los iconos de información para obtener más información sobre la configuración.
5. Observe el Tipo de puerta de enlace, tipo de VPN, y SKU.
6. Observe la necesidad de una Dirección IP pública.
7. Recuerde que cada red virtual necesitará una puerta de enlace de red virtual.
8. Cierre la puerta de enlace Agregar red virtual. No es necesario que guarde los cambios.
Explore la adición de una conexión entre las redes virtuales
1. Busque Conexiones.
2. Haga clic en + Agregar.
3. Observe el Tipo de conección puede ser VNet-to-VNet, Site-to-Site (IPsec) o ExpressRoute.
4. Proporcione suficiente información para que pueda hacer clic en el OK botón.
5. En el Ajustes página, tenga en cuenta que deberá seleccionar las dos redes virtuales diferentes.
6. Lea la información de ayuda en el Establecer conectividad bidireccional caja.
7. Observe el Clave compartida (PSK) información.
8. Cierre la página Agregar conexión. No es necesario que guarde los cambios.

Conexiones ExpressRoute 137
Conexiones ExpressRoute
ExpressRoute
Azure ExpressRoute le permite extender sus redes locales a la nube de Microsoft a través de una conexión privada
dedicada facilitada por un proveedor de conectividad. Con ExpressRoute, puede establecer conexiones a los servicios
en la nube de Microsoft, como Microsoft Azure, Office 365 y CRM Online.
Haga que sus conexiones sean rápidas, confiables y privadas

Use Azure ExpressRoute para crear conexiones privadas entre los centros de datos y la infraestructura de Azure en sus
instalaciones o en un entorno de colocación. Las conexiones ExpressRoute no pasan por la Internet pública y ofrecen más
confiabilidad, velocidades más rápidas y latencias más bajas que las conexiones típicas de Internet. En algunos casos, el uso
de conexiones ExpressRoute para transferir datos entre sistemas locales y Azure puede brindarle importantes beneficios de
costos.
Con ExpressRoute, establezca conexiones a Azure en una ubicación de ExpressRoute, como una instalación de proveedor de
Exchange, o conéctese directamente a Azure desde su red WAN existente, como una VPN de conmutación de etiquetas
multiprotocolo (MPLS), proporcionada por un proveedor de servicios de red.
Utilice una nube privada virtual para almacenamiento, copia de seguridad y

recuperación
ExpressRoute le brinda una conexión rápida y confiable a Azure con anchos de banda de hasta 100 Gbps, lo que lo hace
excelente para escenarios como la migración periódica de datos, la replicación para la continuidad del negocio, la
recuperación ante desastres y otras estrategias de alta disponibilidad. Puede ser una opción rentable para transferir
grandes cantidades de datos, como conjuntos de datos para aplicaciones informáticas de alto rendimiento, o mover
grandes máquinas virtuales entre su entorno de desarrollo y pruebas en una nube privada virtual de Azure y sus entornos
de producción locales.
Amplíe y conecte sus centros de datos

Utilice ExpressRoute para conectarse y agregar capacidad de almacenamiento y procesamiento a sus centros de datos
existentes. Con alto rendimiento y latencias rápidas, Azure se sentirá como una extensión natural hacia o entre sus centros
de datos, por lo que disfrutará de la escala y la economía de la nube pública sin tener que comprometer el rendimiento de la
red.
Cree aplicaciones híbridas

Con conexiones predecibles, confiables y de alto rendimiento que ofrece ExpressRoute, cree aplicaciones que
abarquen la infraestructura local y Azure sin comprometer la privacidad o el rendimiento. Por ejemplo,
ejecute una aplicación de intranet corporativa en Azure que autentique a sus clientes con un servicio de
Active Directory local y atienda a todos sus clientes corporativos sin que el tráfico se enrute a través de la
Internet pública.
Para más información, ExpressRoute 4 .
Capacidades de ExpressRoute
ExpressRoute es compatible con todas las regiones y ubicaciones de Azure. El siguiente mapa proporciona una lista de las regiones
de Azure y las ubicaciones de ExpressRoute. Las ubicaciones de ExpressRoute se refieren a aquellas en las que Microsoft se relaciona
con varios proveedores de servicios. Tendrá acceso a los servicios de Azure en todas las regiones dentro de una región geopolítica si
se conectó al menos a una ubicación de ExpressRoute dentro de la región geopolítica.
Beneficios de ExpressRoute
Conectividad de capa 3
Microsoft usa BGP, un protocolo de enrutamiento dinámico estándar de la industria, para intercambiar rutas entre su
red local, sus instancias en Azure y direcciones públicas de Microsoft. Establecemos múltiples sesiones BGP con su
red para diferentes perfiles de tráfico.
Redundancia
Cada circuito ExpressRoute consta de dos conexiones a dos enrutadores de borde de Microsoft Enterprise (MSEE)
desde el proveedor de conectividad / el borde de su red. Microsoft requiere una conexión BGP dual del proveedor
de conectividad / del borde de su red, una para cada MSEE. El gráfico de los temas anteriores muestra la conexión
primaria y secundaria.
Conectividad a los servicios en la nube de Microsoft
Las conexiones de ExpressRoute permiten el acceso a los siguientes servicios: servicios de Microsoft Azure, servicios de Microsoft
Office 365 y Microsoft Dynamics 365. Office 365 se creó para que se pueda acceder a él de forma segura y confiable a través de
Internet, por lo que ExpressRoute requiere la autorización de Microsoft.
Conectividad a todas las regiones dentro de una región geopolítica
4 https://azure.microsoft.com/en-us/services/expressroute/
Puede conectarse a Microsoft en una de nuestras ubicaciones de emparejamiento y acceder a regiones dentro de la región
geopolítica. Por ejemplo, si se conecta a Microsoft en Ámsterdam a través de ExpressRoute, tendrá acceso a todos los
servicios en la nube de Microsoft alojados en el norte y oeste de Europa.
Conectividad global con el complemento premium ExpressRoute
Puede habilitar la función complementaria premium ExpressRoute para extender la conectividad a través de los límites
geopolíticos. Por ejemplo, si se conecta a Microsoft en Ámsterdam a través de ExpressRoute, tendrá acceso a todos los
servicios en la nube de Microsoft alojados en todas las regiones del mundo (se excluyen las nubes nacionales).
A través de la conectividad local con ExpressRoute Global Reach
Puede habilitar ExpressRoute Global Reach para intercambiar datos entre sus sitios locales conectando sus
circuitos ExpressRoute. Por ejemplo, si tiene un centro de datos privado en California conectado a
ExpressRoute en Silicon Valley y otro centro de datos privado en Texas conectado a ExpressRoute en Dallas,
con ExpressRoute Global Reach, puede conectar sus centros de datos privados juntos a través de dos circuitos
ExpressRoute. Su tráfico entre centros de datos atravesará la red de Microsoft.
Opciones de ancho de banda
Puede comprar circuitos ExpressRoute para una amplia gama de anchos de banda de 50 Mbps a 100 Gbit. Asegúrese de
consultar con su proveedor de conectividad para determinar los anchos de banda que admiten.
Modelos de facturación flexibles
Puede elegir el modelo de facturación que mejor se adapte a sus necesidades. Elija entre los modelos de facturación que se enumeran a continuación.
● Datos ilimitados. La facturación se basa en una tarifa mensual; todas las transferencias de datos entrantes y salientes se incluyen de
forma gratuita.
● Datos medidos. La facturación se basa en una tarifa mensual; toda la transferencia de datos entrantes es gratuita. La transferencia de datos salientes
se cobra por GB de transferencia de datos. Las tasas de transferencia de datos varían según la región.
● Complemento premium de ExpressRoute. Este complemento incluye mayores límites de la tabla de enrutamiento, mayor
número de redes virtuales, conectividad global y conexiones a Office 365 y Dynamics 365. Lea más en el enlace de preguntas
frecuentes.
Coexistencia de sitio a sitio y ExpressRoute

ExpressRoute es una conexión privada y directa desde su WAN (no a través de la Internet pública) a los servicios de
Microsoft, incluido Azure. El tráfico de VPN de sitio a sitio viaja cifrado a través de la Internet pública. Poder
configurar las conexiones de VPN de sitio a sitio y ExpressRoute para la misma red virtual tiene varias ventajas.
Puede configurar una VPN de sitio a sitio como una ruta segura de conmutación por error para ExpressRoute o usar VPN de sitio a
sitio para conectarse a sitios que no forman parte de su red, pero que están conectados a través de ExpressRoute. Tenga en cuenta
que esta configuración requiere dos puertas de enlace de red virtual para la misma red virtual, una que usa el tipo de puerta de
enlace VPN, y el otro usando el tipo de puerta de enlace ExpressRoute.
Ejemplo de conexiones coexistentes de ExpressRoute y VPN

Gateway
Modelos de conexión ExpressRoute

Puede crear una conexión entre su red local y la nube de Microsoft de tres formas diferentes, coubicada en un intercambio en
la nube, conexión Ethernet punto a punto y conexión Cualquiera a cualquiera (IPVPN). Los proveedores de conectividad
pueden ofrecer uno o más modelos de conectividad. Puede trabajar con su proveedor de conectividad para elegir el modelo
que mejor se adapte a sus necesidades.
Ubicado en un intercambio en la nube

Si comparte la ubicación en una instalación con un intercambio en la nube, puede solicitar conexiones cruzadas virtuales a la nube
de Microsoft a través del intercambio Ethernet del proveedor de coubicación. Los proveedores de coubicación pueden ofrecer
conexiones cruzadas de capa 2 o conexiones cruzadas administradas de capa 3 entre su infraestructura en la instalación de
coubicación y la nube de Microsoft.
Conexiones Ethernet punto a punto

Puede conectar sus oficinas / centros de datos locales a la nube de Microsoft a través de enlaces Ethernet de punto a
punto. Los proveedores de Ethernet punto a punto pueden ofrecer conexiones de Capa 2 o conexiones administradas
de Capa 3 entre su sitio y la nube de Microsoft.
Redes de cualquiera a cualquiera (IPVPN)

Puede integrar su WAN con la nube de Microsoft. Los proveedores de IPVPN, normalmente VPN de conmutación de
etiquetas multiprotocolo (MPLS), ofrecen conectividad de cualquiera a cualquier entre sus sucursales y centros de datos. La
nube de Microsoft se puede interconectar a su WAN para que parezca como cualquier otra sucursal. Los proveedores de
WAN suelen ofrecer conectividad administrada de capa 3.
✔ Actualmente, las opciones de implementación para las conexiones coexistentes de S2S y ExpressRoute solo son posibles a
través de PowerShell y no de Azure Portal.
Comparación de conexiones entre sitios

Hay muchas opciones de conexión entre sitios. Esta tabla resume cómo hacer una selección.
Conexión Servicios de Azure Anchos de banda Protocolos Caso de uso típico

Soportado
Red virtual, Servicio de IaaS de Azure Basado en el Activo pasivo Desarrollo, prueba y laboratorio
punto a sitio es, Azure Virtual SKU de puerta de enlace entornos para
Máquinas servicios en la nube y
maquinas virtuales.
Red virtual, Servicio de IaaS de Azure Normalmente <1 Gbps Activo / pasivo, Desarrollo, prueba y laboratorio
Sitio a Sitio es, Azure Virtual agregado Activo / activo Ambientes.

Máquinas En pequeña escala
producción
cargas de trabajo y
maquinas virtuales.
ExpressRoute IaaS de Azure y 50 Mbps hasta 100 Gbps activo / Clase empresarial
Servicios PaaS, activo y mision-criti-
Microsoft Office cargas de trabajo cal. Grande
365 servicios soluciones de datos.
WAN virtuales
Azure Virtual WAN es un servicio de red que proporciona conectividad de sucursal optimizada y automatizada hacia y a
través de Azure. Las regiones de Azure sirven como centros a los que puede elegir conectar sus sucursales. Puede
aprovechar la red troncal de Azure para conectar también sucursales y disfrutar de la conectividad de sucursal a red
virtual. Hay una lista de socios que admiten la automatización de la conectividad con Azure Virtual WAN VPN.
Azure Virtual WAN reúne muchos servicios de conectividad en la nube de Azure, como VPN de sitio a sitio, VPN de usuario
(punto a sitio) y ExpressRoute en una única interfaz operativa. La conectividad a redes virtuales de Azure se establece
mediante conexiones de red virtual. Permite una arquitectura de red de tránsito global basada en un modelo clásico de
conectividad de concentrador y radio en el que el 'concentrador' de red alojado en la nube permite la conectividad transitiva
entre puntos finales que pueden distribuirse en diferentes tipos de 'radios'.
Ventajas de la WAN virtual

● Soluciones de conectividad integradas en hub y radios. Automatice la configuración y la conectividad
de sitio a sitio entre sitios locales y un centro de Azure.
● Instalación y configuración automatizadas de radios. Conecte sus redes virtuales y cargas de trabajo al centro de
Azure sin problemas.
● Solución de problemas intuitiva. Puede ver el flujo de un extremo a otro dentro de Azure y luego usar esta información para
realizar las acciones necesarias.
Tipos de WAN virtuales

Hay dos tipos de WAN virtuales: básica y estándar.
Tipo de WAN virtual Tipo de cubo Configuraciones disponibles
Básico Básico Solo VPN de sitio a sitio

Estándar Estándar ExpressRoute, VPN de usuario (P2S).
VPN (sitio a sitio), Inter-hub y
VNet-to-VNet transitando a través de
el hub virtual.
Para más información, Acerca de Azure Virtual WAN 5 .
5 https://docs.microsoft.com/en-us/azure/virtual-wan/virtual-wan-about
Laboratorio 05: Implementación de conectividad entre sitios
Contoso tiene sus centros de datos en las oficinas de Boston, Nueva York y Seattle conectados a través de enlaces
de red de área amplia en malla, con conectividad total entre ellos. Debe implementar un entorno de laboratorio
que refleje la topología de las redes locales de Contoso y verifique su funcionalidad.
Objetivos
● Tarea 1: aprovisionar el entorno de laboratorio.
● Tarea 2: Configurar el emparejamiento de redes virtuales locales y globales.
● Tarea 3: probar la conectividad entre sitios.
Caja
«Display_name: Pregunta de revisión 1; max_attempts: 2; showanswer: terminado; peso: 1; crédito_parcial: EDC»
Desea conectar diferentes redes virtuales en la misma región, así como diferentes regiones, y decide usar el emparejamiento de redes
virtuales para lograr esto. ¿Cuál de las siguientes afirmaciones no es cierta sobre el emparejamiento de redes virtuales? Seleccione uno.
(x) Las redes virtuales pueden existir en cualquier región de la nube de Azure.
() El tráfico de red entre redes virtuales emparejadas es privado.

() El intercambio de tráfico es fácil de configurar y administrar, y requiere poco o ningún tiempo de inactividad. ()
El tránsito de la puerta de enlace se puede configurar regional o globalmente.
[explicación]
Las redes virtuales de emparejamiento de redes virtuales no pueden existir en diferentes regiones.
[explicación]
Su empresa se está preparando para implementar una VPN de sitio a sitio en Microsoft Azure. Está seleccionado para
planificar e implementar la VPN. Actualmente, tiene una suscripción de Azure, una red virtual de Azure y una subred de
puerta de enlace de Azure. Debe preparar el entorno local y Microsoft Azure para cumplir con los requisitos previos de la VPN
de sitio a sitio. Más tarde, creará la conexión VPN y la probará. ¿Qué deberías hacer? (Cada respuesta presenta parte de la
solución. Seleccione tres.
?? Obtenga un dispositivo VPN para el entorno local.
?? Obtenga un dispositivo VPN para el entorno de Azure.
?? Cree una puerta de enlace de red virtual (VPN) y la puerta de enlace de red local en Azure.
?? Cree una puerta de enlace de red virtual (ExpressRoute) en Azure.
?? Obtenga una dirección IP pública IPv4 sin NAT para el dispositivo VPN.
?? Obtenga una dirección IP pública IPv4 detrás de NAT para el dispositivo VPN.
Su empresa se está preparando para implementar la conectividad persistente a Microsoft Azure. La empresa
tiene un solo sitio, la sede, que tiene un centro de datos en las instalaciones. La empresa establece los siguientes
requisitos para la conectividad:
● La conectividad debe ser persistente.
● La conectividad debe proporcionar todo el sitio local.
Necesita implementar una solución de conectividad para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
?? Implemente una VPN de sitio a sitio.
?? Implementar una nube privada virtual (VPC).
?? Implementar una puerta de enlace privada virtual (VGW).
?? Implemente una VPN de red virtual a red virtual.
?? Implemente una VPN de punto a sitio.

Está configurando VNet Peering a través de dos redes virtuales de Azure, VNET1 y VNET2. Está configurando las puertas de
enlace VPN. Desea que VNET2 pueda utilizar la puerta de enlace de VNET1 para acceder a recursos fuera del
emparejamiento. ¿Qué deberías hacer? Seleccione uno.
?? Seleccione permitir el tránsito de la puerta de enlace en VNET1 y use puertas de enlace remotas en VNET2.
?? Seleccione permitir el tránsito de la puerta de enlace y utilice puertas de enlace remotas en VNET1 y VNET2.
?? No seleccione permitir tránsito de puerta de enlace ni utilice puertas de enlace remotas en VNET1 o VNET2.
Está configurando una conexión VPN de sitio a sitio entre su red local y su red de Azure. La red local utiliza un
dispositivo VPN Cisco ASA. Ha verificado para asegurarse de que el dispositivo esté en la lista validada de
dispositivos VPN. Antes de proceder a configurar el dispositivo, ¿qué dos piezas de información debe
asegurarse de tener? Seleccione dos.
?? La clave de firma de acceso compartido de la bóveda de servicios de recuperación.
?? La clave compartida que proporcionó cuando creó su conexión VPN de sitio a sitio.
?? El método de enrutamiento de la puerta de enlace proporcionado cuando creó su conexión VPN de sitio a sitio.
?? La dirección IP estática de su puerta de enlace de red virtual.
?? La dirección IP pública de su puerta de enlace de red virtual.
?? El usuario y la contraseña de la puerta de enlace de la red virtual.
Administra un gran centro de datos que se está quedando sin espacio. Propone ampliar el centro de datos a Azure mediante
una red privada virtual de conmutación de etiquetas multiprotocolo. ¿Qué opción de conectividad elegirías? Seleccione uno.
?? Punto a sitio
?? Emparejamiento VPN
?? Multi-sitio
?? Sitio a Sitio
?? ExpressRoute
?? Red virtual a red virtual

Está creando una conexión entre dos redes virtuales. El rendimiento es una preocupación clave. ¿Cuál de las siguientes
opciones influirá más en el rendimiento? Seleccione uno.
?? Asegurándose de seleccionar una VPN basada en rutas.
?? Asegurándose de seleccionar una VPN basada en políticas.
?? Asegurándose de especificar un servidor DNS.
?? Asegurarse de seleccionar una SKU de puerta de enlace adecuada.
Su gerente le solicita que verifique cierta información sobre las WAN virtuales de Azure. ¿Cuáles de las siguientes afirmaciones
son verdaderas? Seleccione tres.
?? Debe utilizar uno de los proveedores de socios de conectividad aprobados.
?? Debe utilizar un dispositivo VPN que proporcione compatibilidad con IKEv2 / IKEv1 IPsec.
?? Virtual WAN es compatible con ExpressRoute.
?? Virtual WAN admite conexiones de sitio a sitio.
?? Virtual WAN no admite conexiones de punto a sitio.
?? Puede cambiar entre los planes Básico y Estándar en cualquier momento.
Estudio adicional
● Distribuya sus servicios en las redes virtuales de Azure e intégrelos mediante el emparejamiento de
redes virtuales. 6
● Conecte su red local a Azure con VPN Gateway 7
● Conecte su red local a la red global de Microsoft mediante ExpressRoute 8
6 https://docs.microsoft.com/en-us/learn/modules/integrate-vnets-with-vnet-peering/
7 https://docs.microsoft.com/en-us/learn/modules/connect-on- local-red-con-vpn-gateway /
8 https://docs.microsoft.com/en-us/learn/modules/connect-on-premises-network-with-expressroute/
Respuestas
Su empresa se está preparando para implementar una VPN de sitio a sitio en Microsoft Azure. Está seleccionado
para planificar e implementar la VPN. Actualmente, tiene una suscripción de Azure, una red virtual de Azure y una
subred de puerta de enlace de Azure. Debe preparar el entorno local y Microsoft Azure para cumplir con los
requisitos previos de la VPN de sitio a sitio. Más tarde, creará la conexión VPN y la probará. ¿Qué deberías hacer?
(Cada respuesta presenta parte de la solución. Seleccione tres.
■ Obtenga un dispositivo VPN para el entorno local.
?? Obtenga un dispositivo VPN para el entorno de Azure.
■ Cree una puerta de enlace de red virtual (VPN) y la puerta de enlace de red local en Azure.
?? Cree una puerta de enlace de red virtual (ExpressRoute) en Azure.
■ Obtenga una dirección IP pública IPv4 sin NAT para el dispositivo VPN.
?? Obtenga una dirección IP pública IPv4 detrás de NAT para el dispositivo VPN.
Explicación
Los requisitos previos para una VPN de sitio a sitio son tener un dispositivo VPN compatible local, tener una IP pública
IPv4 sin NAT en el dispositivo VPN local y crear una puerta de enlace VPN y una puerta de enlace de red local en Azure.
IPv6 no es compatible con VPN. ExpressRoute es una configuración diferente y no forma parte de una VPN de sitio a
sitio.
Su empresa se está preparando para implementar la conectividad persistente a Microsoft Azure. La empresa tiene
un solo sitio, la sede, que tiene un centro de datos en las instalaciones. La empresa establece los siguientes
requisitos para la conectividad:
Necesita implementar una solución de conectividad para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione
uno.
■ Implementar una VPN de sitio a sitio.
?? Implementar una nube privada virtual (VPC).
?? Implementar una puerta de enlace privada virtual (VGW).
?? Implemente una VPN de red virtual a red virtual.
?? Implemente una VPN de punto a sitio.
Explicación
En este escenario, solo una de las respuestas proporciona conectividad persistente a Azure: la VPN de sitio a sitio. Una red
virtual a red virtual conecta dos redes virtuales de Azure. Se utiliza una VPN de punto a sitio para conexiones individuales (por
ejemplo, para un desarrollador). Una VPC y VGW son relevantes para Amazon AWS.
Está configurando VNet Peering a través de dos redes virtuales de Azure, VNET1 y VNET2. Está configurando las puertas de
enlace VPN. Desea que VNET2 pueda utilizar la puerta de enlace de VNET1 para acceder a recursos fuera del emparejamiento.
■ Seleccione permitir el tránsito de la puerta de enlace en VNET1 y utilice puertas de enlace remotas en VNET2.
?? Seleccione permitir el tránsito de la puerta de enlace y utilice puertas de enlace remotas en VNET1 y VNET2.
?? No seleccione permitir tránsito de puerta de enlace ni utilice puertas de enlace remotas en VNET1 o VNET2.
Explicación
Seleccione permitir el tránsito de la puerta de enlace en VNET1 y use puertas de enlace remotas en VNET2. VNET1 permitirá que VNET2
transite recursos externos y VNET2 esperará utilizar una puerta de enlace remota.
Está configurando una conexión VPN de sitio a sitio entre su red local y su red de Azure. La red local utiliza un
dispositivo VPN Cisco ASA. Ha verificado para asegurarse de que el dispositivo esté en la lista validada de
dispositivos VPN. Antes de proceder a configurar el dispositivo, ¿qué dos datos debe asegurarse de tener?
Seleccione dos.
?? La clave de firma de acceso compartido de la bóveda de servicios de recuperación.
■ La clave compartida que proporcionó cuando creó su conexión VPN de sitio a sitio.
?? El método de enrutamiento de la puerta de enlace proporcionado cuando creó su conexión VPN de sitio a sitio.
?? La dirección IP estática de su puerta de enlace de red virtual.
■ La dirección IP pública de su puerta de enlace de red virtual.
?? El usuario y la contraseña de la puerta de enlace de la red virtual.
Explicación
Necesitará dos cosas: la clave compartida y la dirección IP pública de su puerta de enlace de red virtual. La clave
compartida se proporcionó cuando creó la conexión VPN de sitio a sitio.
Administra un gran centro de datos que se está quedando sin espacio. Propone ampliar el centro de datos a Azure
mediante una red privada virtual de conmutación de etiquetas multiprotocolo. ¿Qué opción de conectividad elegirías?
Seleccione uno.
?? Punto a sitio
?? Emparejamiento VPN
?? Multi-sitio
?? Sitio a Sitio
■ ExpressRoute
?? Red virtual a red virtual
Explicación
ExpressRoute es la mejor opción para ampliar el centro de datos, ya que puede utilizar un modelo de conectividad de cualquiera a
cualquiera (IPVPN). Una VPN MPLS, normalmente proporcionada por una red IPVPN, permite la conectividad entre la nube de
Microsoft y sus sucursales y centros de datos.
Está creando una conexión entre dos redes virtuales. El rendimiento es una preocupación clave. ¿Cuál de las siguientes
opciones influirá más en el rendimiento? Seleccione uno.
?? Asegurándose de seleccionar una VPN basada en rutas.
?? Asegurándose de seleccionar una VPN basada en políticas.
?? Asegurándose de especificar un servidor DNS.
■ Asegurarse de seleccionar una SKU de puerta de enlace adecuada.
Explicación
La selección de SKU de Gateway afecta directamente el rendimiento. Las SKU de puerta de enlace controlan la cantidad de
túneles y conexiones que están disponibles. Esto afecta el rendimiento total agregado de la conexión.
Su gerente le solicita que verifique cierta información sobre las WAN virtuales de Azure. ¿Cuáles de las siguientes afirmaciones
son verdaderas? Seleccione tres.
?? Debe utilizar uno de los proveedores de socios de conectividad aprobados.
■ Debe utilizar un dispositivo VPN que proporcione compatibilidad con IKEv2 / IKEv1 IPsec.
■ Virtual WAN es compatible con ExpressRoute.
■ Virtual WAN admite conexiones de sitio a sitio.
?? Virtual WAN no admite conexiones de punto a sitio.
?? Puede cambiar entre los planes Básico y Estándar en cualquier momento.
Explicación
Virtual WAN admite ExpressRoute y cualquier dispositivo VPN que sea compatible con IKEv2 / IKEv1 IPSec.
Módulo 6 Gestión del tráfico de red
Enrutamiento de red y puntos finales
Rutas del sistema

Usos de Azure rutas del sistema para dirigir el tráfico de red entre máquinas virtuales, redes locales e Internet. Las
siguientes situaciones son gestionadas por estas rutas del sistema:
● Tráfico entre máquinas virtuales en la misma subred.
● Entre máquinas virtuales en diferentes subredes en la misma red virtual.
● Flujo de datos de las máquinas virtuales a Internet.
● Comunicación de sitio a sitio y ExpressRoute a través de la puerta de enlace VPN.
Por ejemplo, considere esta red virtual con dos subredes. Azure administra todas las comunicaciones entre
las subredes y desde la interfaz a Internet mediante las rutas del sistema predeterminadas.
✔ La información sobre las rutas del sistema se registra en una tabla de rutas. Una tabla de rutas contiene un conjunto de
reglas, llamadas rutas, que especifica cómo se deben enrutar los paquetes en una red virtual. Las tablas de enrutamiento se
asocian a subredes y cada paquete que sale de una subred se maneja según la tabla de enrutamiento asociada. Los paquetes
se hacen coincidir con las rutas que utilizan el destino. El destino puede ser una dirección IP, una red virtual
152 Módulo 6 Gestión del tráfico de red
puerta de enlace, un dispositivo virtual o Internet. Si no se puede encontrar una ruta coincidente, el paquete se
descarta.
Rutas definidas por el usuario

Como se explicó en el tema anterior, Azure maneja automáticamente todo el enrutamiento del tráfico de red. Pero,
¿y si quieres hacer algo diferente? Por ejemplo, puede tener una máquina virtual que realiza una función de red,
como enrutamiento, cortafuegos u optimización de WAN. Es posible que desee que cierto tráfico de subred se dirija
a este dispositivo virtual. Por ejemplo, puede colocar un dispositivo entre subredes o una subred e Internet.
En estas situaciones, puede configurar rutas definidas por el usuario (UDR). Las UDR controlan el tráfico de la red mediante la
definición de rutas que especifican el siguiente salto del flujo de tráfico. Este salto puede ser una puerta de enlace de red virtual,
una red virtual, Internet o un dispositivo virtual.
✔ Cada tabla de enrutamiento se puede asociar a varias subredes, pero una subred solo se puede asociar a una
única tabla de enrutamiento. No hay cargos adicionales por crear tablas de ruta en Microsoft Azure. ¿Crees que
necesitarás crear rutas personalizadas?
Para más información, Rutas personalizadas 1 .
Ejemplo de enrutamiento
Repasemos un ejemplo de enrutamiento de red específico. En este ejemplo, tiene una red virtual que incluye tres
subredes.
● Las subredes son Privadas, DMZ y Públicas. En la subred DMZ hay un dispositivo virtual de red (NVA). Las NVA son
máquinas virtuales que ayudan con las funciones de red, como el enrutamiento y la optimización del firewall.
● Desea asegurarse de que todo el tráfico de la subred pública pase por la NVA a la subred privada.
1 https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-udr-overview#custom-routes
Enrutamiento de red y puntos finales 153
1. Cree una tabla de enrutamiento.
2. Agregue una ruta personalizada que requiera que todo el tráfico de la subred privada se dirija a un dispositivo de red.
3. Asocie la nueva ruta a la subred pública.
✔ De forma predeterminada, al utilizar las rutas del sistema, el tráfico iría directamente a la subred privada. Sin embargo,
con una ruta definida por el usuario, puede forzar el tráfico a través del dispositivo virtual.
Crear una tabla de enrutamiento

Crear una tabla de enrutamiento es muy sencillo. Debes proveer Nombre, suscripción, grupo de recursos,
ubicación, y si quieres usar Propagación de la ruta de la puerta de enlace de la red virtual.
Se utiliza un protocolo de enrutamiento estándar para intercambiar información de enrutamiento y accesibilidad entre dos o más
redes. Las rutas se agregan automáticamente a la tabla de rutas para todas las subredes con la propagación de puerta de enlace
de red virtual habilitada. En la mayoría de situaciones, esto es lo que desea. Por ejemplo, si está utilizando ExpressRoute, querrá
que todas las subredes tengan esa información de enrutamiento.
Para más información, Descripción general de BGP con Azure VPN Gateways 2 .
Crear una ruta personalizada

Por nuestro ejemplo,
● La nueva ruta se llama ToPrivateSubnet.
● La subred privada está en 10.0.1.0/24.
● La ruta utiliza un dispositivo virtual. Observe las otras opciones para Tipo de salto siguiente: puerta de enlace de red
virtual, red virtual, Internet y ninguno.
● El dispositivo virtual se encuentra en 10.0.2.4.
En resumen, esta ruta se aplica a cualquier prefijo de dirección en 10.0.1.0/24 (subred privada). El tráfico dirigido a
estas direcciones se enviará al dispositivo virtual con una dirección 10.0.2.4.
Asociar la tabla de ruta

El último paso de nuestro ejemplo es asociar la subred pública con la nueva tabla de enrutamiento. Cada subred puede tener
una o ninguna tabla de rutas asociada.
2 https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-bgp-overview?toc=%2fazure%2fvirtual-network%2ftoc.json
✔ En este ejemplo, recuerde que el dispositivo virtual no debe tener una dirección IP pública y el reenvío de
IP debe estar habilitado en el dispositivo.
Demostración: tablas de enrutamiento personalizadas

En esta demostración, aprenderemos cómo crear una tabla de rutas, definir una ruta personalizada y asociar la ruta
con una subred.
Nota: Esta demostración requiere una red virtual con al menos una subred.
Crea una tabla de enrutamiento
2. En la parte superior izquierda de la pantalla, seleccione Servicios, y luego navega a Tablas de ruta.
● Nombre: myRouteTablePublic
● Suscripción: seleccione su suscripción
● Grupo de recursos: crear o seleccionar un grupo de recursos
● Localización: Selecciona tu ubicación
● Propagación de la ruta de la puerta de enlace de la red virtual: Activado
4. Seleccione Crear.
5. Espere a que se implemente la nueva tabla de enrutamiento.
Agregar una ruta
1. Seleccione su nueva tabla de enrutamiento y luego seleccione Rutas.
● Nombre: ToPrivateSubnet
● Prefijo de dirección: 10.0.1.0/24
● Tipo de salto siguiente: Dispositivo virtual
● Dirección del siguiente salto: 10.0.2.4
3. Lea la nota informativa: asegúrese de tener habilitado el reenvío de IP en su dispositivo virtual. Puede habilitar
esto navegando a la configuración de la dirección IP de la interfaz de red respectiva.
5. Espere a que se implemente la nueva ruta.
Asociar una tabla de enrutamiento a una subred
1. Navegue hasta la subred que desea asociar con la tabla de enrutamiento.
2. Seleccione Tabla de ruta.
3. Seleccione su nueva tabla de enrutamiento, myRouteTablePublic.
Use PowerShell para ver su información de enrutamiento
2. Vea información sobre su nueva tabla de enrutamiento.
Get-AzRouteTable
3. Verifique el Rutas y Subred la información es correcta.
Puntos finales de servicio

Un extremo de servicio de red virtual proporciona la identidad de su red virtual al servicio de Azure. Una vez que los puntos
de conexión del servicio están habilitados en su red virtual, puede proteger los recursos del servicio de Azure en su red virtual
agregando una regla de red virtual a los recursos.
Hoy en día, el tráfico de servicios de Azure desde una red virtual usa direcciones IP públicas como direcciones IP de origen. Con los
puntos de conexión de servicio, el tráfico del servicio cambia para usar direcciones privadas de redes virtuales como direcciones IP
de origen al acceder al servicio de Azure desde una red virtual. Este conmutador le permite acceder a los servicios sin la necesidad
de direcciones IP públicas reservadas que se utilizan en los firewalls de IP.
¿Por qué utilizar un punto final de servicio?

● Seguridad mejorada para sus recursos de servicio de Azure. El espacio de direcciones privadas de la red virtual puede
superponerse y, por lo tanto, no se puede utilizar para identificar de forma única el tráfico que se origina en su red virtual. Los
puntos de conexión de servicio brindan la capacidad de proteger los recursos del servicio de Azure en su red virtual, al extender
la identidad de VNet al servicio. Una vez que los puntos de conexión del servicio están habilitados en su red virtual, puede
proteger los recursos del servicio de Azure en su red virtual agregando una regla de red virtual a los recursos. Esto proporciona
una seguridad mejorada al eliminar por completo el acceso público a Internet a los recursos y permitir el tráfico solo desde su
red virtual.
● Enrutamiento óptimo para el tráfico de servicios de Azure desde su red virtual. Hoy en día, cualquier ruta en su red virtual que fuerce
el tráfico de Internet a sus instalaciones y / o dispositivos virtuales, conocida como tunelización forzada, también obliga al tráfico del
servicio de Azure a seguir la misma ruta que el tráfico de Internet. Los puntos finales de servicio proporcionan un enrutamiento óptimo
para el tráfico de Azure.
● Los endpoints siempre llevan el tráfico del servicio directamente desde su red virtual al servicio en la red
troncal de Microsoft Azure. Mantener el tráfico en la red troncal de Azure le permite continuar auditando y
monitoreando el tráfico de Internet saliente desde sus redes virtuales, a través de un túnel forzado, sin afectar el
tráfico del servicio. Obtenga más información sobre las rutas definidas por el usuario y la tunelización forzada.
● Fácil de configurar con menos gastos de gestión. Ya no necesita direcciones IP públicas y reservadas en sus redes
virtuales para proteger los recursos de Azure a través del firewall de IP. No se requieren dispositivos NAT o de puerta de
enlace para configurar los puntos finales del servicio. Los puntos finales de servicio se configuran con un simple clic en
una subred. No hay una sobrecarga adicional para mantener los puntos finales.
✔ Con los puntos finales de servicio, las direcciones IP de origen de las máquinas virtuales en la subred para el tráfico del servicio cambian de
usar direcciones IPv4 públicas a usar direcciones IPv4 privadas. Las reglas de firewall del servicio de Azure existentes que utilizan direcciones IP
públicas de Azure dejarán de funcionar con este conmutador. Asegúrese de que las reglas del firewall del servicio de Azure permitan este cambio
antes de configurar los puntos de conexión del servicio. También puede experimentar una interrupción temporal del tráfico del servicio desde
esta subred mientras configura los puntos finales del servicio.
Servicios de punto final de servicio

Es fácil agregar un punto final de servicio a la red virtual. Hay varios servicios disponibles que incluyen:
Azure Active Directory, Azure Cosmos DB, EventHub, KeyVault, Service Bus, SQL y Storage.
Azure Storage. Generalmente disponible en todas las regiones de Azure. Este punto de conexión proporciona al tráfico una ruta
óptima al servicio Azure Storage. Cada cuenta de almacenamiento admite hasta 100 reglas de red virtual.
Azure SQL Database y Azure SQL Data Warehouse. Generalmente disponible en todas las regiones de Azure. Una
característica de seguridad de firewall que controla si el servidor de base de datos para sus bases de datos únicas y grupo
elástico en Azure SQL Database o para sus bases de datos en SQL Data Warehouse acepta comunicaciones que se envían
desde subredes particulares en redes virtuales.
Base de datos Azure para servidor PostgreSQL y MySQL. Generalmente disponible en las regiones de Azure donde está
disponible el servicio de base de datos. Los puntos de conexión y las reglas de los servicios de red virtual (VNet) amplían el espacio
de direcciones privadas de una red virtual a su servidor de Azure Database for PostgreSQL y MySQL.
Azure Cosmos DB. Generalmente disponible en todas las regiones de Azure. Puede configurar la cuenta de Azure Cosmos
para permitir el acceso solo desde una subred específica de la red virtual (VNet). Al permitir que el punto de conexión de
servicio acceda a Azure Cosmos DB en la subred dentro de una red virtual, el tráfico de esa subred se envía a
Azure Cosmos DB con la identidad de la subred y la red virtual. Una vez que el punto de conexión de servicio de Azure
Cosmos DB está habilitado, puede limitar el acceso a la subred agregándolo a su cuenta de Azure Cosmos.
Azure Key Vault. Generalmente disponible en todas las regiones de Azure. Los puntos de conexión del servicio de red virtual para
Azure Key Vault le permiten restringir el acceso a una red virtual específica. Los puntos finales también le permiten restringir el
acceso a una lista de rangos de direcciones IPv4 (protocolo de Internet versión 4). A cualquier usuario que se conecte a su bóveda de
claves desde fuera de esas fuentes se le niega el acceso.
Azure Service Bus y Azure Event Hubs. Generalmente disponible en todas las regiones de Azure. La integración de Service
Bus con puntos finales de servicio de red virtual (VNet) permite el acceso seguro a las capacidades de mensajería desde
cargas de trabajo como máquinas virtuales que están vinculadas a redes virtuales, con la ruta del tráfico de red protegida en
ambos extremos.
✔ La adición de puntos finales de servicio puede tardar hasta 15 minutos en completarse. Cada integración de punto de conexión de servicio tiene su
propia página de documentación de Azure.
Enlace privado
Azure Private Link proporciona conectividad privada desde una red virtual a la plataforma Azure como servicio
(PaaS), propiedad del cliente o servicios de socios de Microsoft. Simplifica la arquitectura de red y protege la
conexión entre los puntos finales en Azure al eliminar la exposición de datos a la Internet pública.
● Conectividad privada a servicios en Azure. El tráfico permanece en la red de Microsoft, sin acceso público a Internet.
Conéctese de forma privada a los servicios que se ejecutan en otras regiones de Azure. Private Link es global y no tiene
restricciones regionales.
● Integración con redes locales y emparejadas. Acceda a puntos finales privados a través de peering privados o túneles
VPN desde redes virtuales emparejadas o locales. Microsoft aloja el tráfico, por lo que no es necesario configurar el
emparejamiento público o utilizar Internet para migrar sus cargas de trabajo a la nube.
● Protección contra la exfiltración de datos para recursos de Azure. Use Private Link para asignar puntos de conexión
privados a los recursos de Azure PaaS. En el caso de un incidente de seguridad dentro de su red, solo el recurso
mapeado sería accesible, eliminando la amenaza de exfiltración de datos.
● Servicios entregados directamente a las redes virtuales de sus clientes. Consuma de forma privada Azure PaaS, el
socio de Microsoft y sus propios servicios en sus redes virtuales en Azure. Private Link funciona en todos los inquilinos
de Azure Active Directory (Azure AD) para ayudar a unificar su experiencia en todos los servicios. Envíe, apruebe o
rechace solicitudes directamente, sin permisos ni controles de acceso basados en roles.
Cómo funciona
Use Private Link para llevar los servicios entregados en Azure a su red virtual privada asignándolo a un punto de conexión
privado. O preste sus propios servicios de forma privada en las redes virtuales de sus clientes. Todo el tráfico hacia
el servicio se puede enrutar a través del punto final privado, por lo que no se necesitan puertas de enlace, dispositivos
NAT, conexiones ExpressRoute o VPN o direcciones IP públicas. Private Link mantiene el tráfico en la red global de
Microsoft.
Para más información, Documentación de enlace privado 3 .
3 https://docs.microsoft.com/en-us/azure/private-link/
Balanceador de carga de Azure 161
Balanceador de carga de Azure
Balanceador de carga de Azure

Azure Load Balancer ofrece alta disponibilidad y rendimiento de red a sus aplicaciones. El equilibrador de carga
distribuye el tráfico entrante a los recursos de backend mediante reglas de equilibrio de carga y sondeos de
estado.
● Las reglas de equilibrio de carga determinan cómo se distribuye el tráfico al backend.
● Las sondas de estado garantizan que los recursos en el backend estén en buen estado.
Load Balancer se puede utilizar tanto para escenarios entrantes como salientes y escala hasta millones de flujos
de aplicaciones TCP y UDP.
✔ Tenga en cuenta este diagrama, ya que cubre los cuatro componentes que deben configurarse para su balanceador de carga: Configuración
de IP de frontend, grupos de backend, sondas de salud, y Reglas de equilibrio de carga.
Para más información, Documentación de Load Balancer 4 .
Balanceador de carga público

Hay dos tipos de balanceadores de carga: público y interno.
Un equilibrador de carga público asigna la dirección IP pública y el número de puerto del tráfico entrante a la dirección IP
privada y el número de puerto de la VM, y viceversa para el tráfico de respuesta de la VM. Al aplicar reglas de equilibrio de
carga, puede distribuir tipos específicos de tráfico entre varias máquinas virtuales o servicios. Por ejemplo, puede
distribuir la carga del tráfico de solicitudes web entrantes entre varios servidores web.
La siguiente figura muestra los clientes de Internet que envían solicitudes de página web a la dirección IP pública de una aplicación web en el
puerto TCP 80. Azure Load Balancer distribuye las solicitudes entre las tres máquinas virtuales en el conjunto con equilibrio de carga.
4 https://docs.microsoft.com/en-us/azure/load-balancer/
Balanceador de carga interno

Un equilibrador de carga interno dirige el tráfico solo a los recursos que se encuentran dentro de una red virtual o que usan
una VPN para acceder a la infraestructura de Azure. Las direcciones IP frontend y las redes virtuales nunca se exponen
directamente a un punto final de Internet. Las aplicaciones de línea de negocio internas se ejecutan en Azure y se accede a
ellas desde Azure o desde recursos locales. Por ejemplo, un equilibrador de carga interno podría recibir solicitudes de bases
de datos que deben distribuirse a servidores SQL backend.
Un balanceador de carga interno habilita los siguientes tipos de balanceo de carga:
● Dentro de una red virtual. Equilibrio de carga de máquinas virtuales en la red virtual a un conjunto de máquinas virtuales que
residen dentro de la misma red virtual.
● Para una red virtual entre locales. Equilibrio de carga de equipos locales a un conjunto de VM que
residen dentro de la misma red virtual.
● Para aplicaciones de varios niveles. Equilibrio de carga para aplicaciones de varios niveles con conexión a Internet donde los
niveles de backend no están con conexión a Internet. Los niveles de backend requieren un equilibrio de carga de tráfico desde el
nivel orientado a Internet.

● Para aplicaciones de línea de negocio. Equilibrio de carga para aplicaciones de línea de negocio hospedadas en Azure
sin hardware ni software de equilibrador de carga adicional. Este escenario incluye servidores locales que se encuentran
en el conjunto de equipos cuyo tráfico tiene equilibrio de carga.
✔ Se podría colocar un equilibrador de carga público delante del equilibrador de carga interno para crear una aplicación de
varios niveles.
SKU del equilibrador de carga

Cuando cree un equilibrador de carga de Azure, seleccionará el tipo (interno o público) de equilibrador de carga. También
seleccionará el SKU. El balanceador de carga admite SKU básicos y estándar, cada uno de los cuales difiere en la escala del
escenario, las características y los precios. Standard Load Balancer es el producto Load Balancer más nuevo con un conjunto
de funciones ampliado y más granular sobre Basic Load Balancer. Es un superconjunto de Basic Load Balancer.
Consideraciones
● Los SKU no son modificables. No puede cambiar el SKU de un recurso existente.
● Un recurso de máquina virtual independiente, un recurso de conjunto de disponibilidad o un recurso de conjunto de escalado de máquina virtual
pueden hacer referencia a un SKU, nunca a ambos.
● Una regla de Load Balancer no puede abarcar dos redes virtuales. Los frontends y sus instancias de backend
relacionadas deben estar en la misma red virtual.
● No hay cargo por el balanceador de carga básico. El balanceador de carga estándar se cobra según la
cantidad de reglas y datos procesados.
✔ Los nuevos diseños y arquitecturas deben considerar el uso de Standard Load Balancer.
Grupos de backend
Para distribuir el tráfico, un grupo de direcciones de back-end contiene las direcciones IP de las NIC virtuales que están
conectadas al equilibrador de carga.
La forma de configurar el grupo de backend depende de si está utilizando el SKU estándar o básico.
SKU estándar SKU básico

Extremos del grupo de backend Cualquier VM en una sola virtual VM en un único conjunto de disponibilidad o
red, incluida una mezcla de Juego de básculas VM.
VM, conjuntos de disponibilidad y conjuntos de
escalado de VM.
Los grupos de backend se configuran desde la hoja Grupo de backend. Para el SKU estándar, puede conectarse a un conjunto de disponibilidad,
una sola máquina virtual o un conjunto de escalado de máquinas virtuales.
✔ En el SKU estándar, puede tener hasta 1000 instancias en el grupo de backend. En el SKU básico puede
tener hasta 100 instancias.
Reglas del equilibrador de carga

Se usa una regla de balanceador de carga para definir cómo se distribuye el tráfico al grupo de backend. La regla asigna una
combinación de puerto y una IP de frontend determinada a un conjunto de direcciones IP de backend y una combinación de puertos.
Para crear la regla, la información de la interfaz, el backend y la sonda de estado ya debe estar configurada. Aquí hay una regla que
pasa las conexiones TCP frontend a un conjunto de servidores backend web (puerto 80). La regla usa una sonda de estado que verifica
el puerto HTTP 80.
✔ Las reglas de equilibrio de carga se pueden usar en combinación con las reglas NAT. Por ejemplo, puede usar NAT desde la
dirección pública del balanceador de carga a TCP 3389 en una máquina virtual específica. Esto permite el acceso al escritorio
remoto desde fuera de Azure. Observe que en este caso, la regla NAT se adjunta explícitamente a una VM (o interfaz de red) para
completar la ruta al destino; mientras que una regla de equilibrio de carga no tiene por qué serlo.
Persistencia de la sesión
De forma predeterminada, Azure Load Balancer distribuye el tráfico de red por igual entre varias instancias de VM. El equilibrador
de carga utiliza un hash de 5 tuplas (IP de origen, puerto de origen, IP de destino, puerto de destino y tipo de protocolo) para
asignar el tráfico a los servidores disponibles. Proporciona pegajosidad solo dentro de una sesión de transporte.
La persistencia de la sesión especifica cómo se debe manejar el tráfico de un cliente. El comportamiento predeterminado (Ninguno) es que las
solicitudes sucesivas de un cliente pueden ser manejadas por cualquier máquina virtual. Puede cambiar este comportamiento.
● Ninguno (predeterminado) especifica que cualquier máquina virtual puede manejar la solicitud.
● IP del cliente especifica que las solicitudes sucesivas de la misma dirección IP de cliente serán manejadas por la
misma máquina virtual.
● IP y protocolo del cliente especifica que las solicitudes sucesivas de la misma dirección IP de cliente y combinación de
protocolo serán manejadas por la misma máquina virtual.
✔ Mantener la información de persistencia de la sesión es muy importante en las aplicaciones que utilizan un carrito de compras.
¿Puedes pensar en otras aplicaciones?
Sondas de salud
Una sonda de estado permite que el equilibrador de carga controle el estado de su aplicación. La sonda de estado agrega o quita
máquinas virtuales dinámicamente de la rotación del balanceador de carga según su respuesta a las verificaciones de estado.
Cuando una sonda no responde, el balanceador de carga deja de enviar nuevas conexiones a las instancias en mal estado.
Hay dos formas principales de configurar las sondas de salud: HTTP y TCP.
Sonda personalizada HTTP. El balanceador de carga sondea regularmente su punto final (cada 15 segundos, de forma
predeterminada). La instancia está en buen estado si responde con un HTTP 200 dentro del período de tiempo de espera
(predeterminado de 31 segundos). Cualquier estado que no sea HTTP 200 hace que esta sonda falle. Puede especificar el
puerto (Port), el URI para solicitar el estado de salud del backend (URI), la cantidad de tiempo entre los intentos de sondeo
(Intervalo) y la cantidad de fallas que deben ocurrir para que la instancia se considere insalubre (Insuficiente umbral).
Sonda personalizada de TCP. Esta sonda se basa en el establecimiento de una sesión TCP correcta en un puerto de sonda definido.
Si existe el oyente especificado en la máquina virtual, la sonda se realiza correctamente. Si se rechaza la conexión, la sonda falla.
Puede especificar el puerto, el intervalo y el umbral en mal estado.
✔ También hay una sonda de agente invitado. Esta sonda usa el agente invitado dentro de la VM. No se recomienda
cuando son posibles configuraciones de sonda personalizadas HTTP o TCP.
Puerta de enlace de aplicaciones de Azure 167
Puerta de enlace de aplicaciones de Azure
Puerta de enlace de aplicaciones

Application Gateway administra las solicitudes que las aplicaciones cliente pueden enviar a una aplicación web. Application Gateway
enruta el tráfico a un grupo de servidores web según la URL de una solicitud. Esto se conoce como enrutamiento de la capa de
aplicación. El grupo de servidores web puede ser máquinas virtuales de Azure, conjuntos de escalado de máquinas virtuales de
Azure, Azure App Service e incluso servidores locales.
Application Gateway equilibrará automáticamente la carga de las solicitudes enviadas a los servidores de cada grupo de back-end
mediante un mecanismo de operación por turnos. Sin embargo, puede configurar la permanencia de la sesión, si necesita asegurarse
de que todas las solicitudes de un cliente en la misma sesión se enruten al mismo servidor en un grupo de back-end.
El equilibrio de carga funciona con el enrutamiento OSI Layer 7 implementado por el enrutamiento de Application Gateway, lo que
significa que equilibra la carga de las solicitudes en función de los parámetros de enrutamiento (nombres de host y rutas) utilizados
por las reglas de Application Gateway. En comparación, otros equilibradores de carga, como Azure Load Balancer, funcionan en el
nivel OSI Layer 4 y distribuyen el tráfico según la dirección IP del destino de una solicitud.
Operar en OSI Layer 7 permite el equilibrio de carga para aprovechar las otras características que proporciona
Application Gateway.
Características adicionales
● Soporte para los protocolos HTTP, HTTPS, HTTP / 2 y WebSocket.
● Un firewall de aplicaciones web para protegerse contra las vulnerabilidades de las aplicaciones web.
● Cifrado de solicitudes de extremo a extremo.
● Ajuste de escala automático, para ajustar dinámicamente la capacidad a medida que cambia la carga
de tráfico web. Para más información, ¿Qué es Azure Application Gateway? 5 .
Enrutamiento de puerta de enlace de aplicaciones

Los clientes envían solicitudes a sus aplicaciones web a la dirección IP o al nombre DNS de la puerta de enlace. La puerta de enlace enruta
las solicitudes a un servidor web seleccionado en el grupo de back-end, utilizando un conjunto de reglas configuradas para que la puerta
de enlace determine dónde debe ir la solicitud.
Hay dos métodos principales para enrutar el tráfico, el enrutamiento basado en rutas y el alojamiento de varios sitios.
5 https://docs.microsoft.com/en-us/azure/application-gateway/overview
Enrutamiento basado en ruta

El enrutamiento basado en rutas le permite enviar solicitudes con diferentes rutas en la URL a un grupo diferente de servidores
back-end. Por ejemplo, puede dirigir las solicitudes con la ruta / video / * a un grupo de back-end que contenga servidores
optimizados para manejar la transmisión de video, y dirigir las solicitudes / images / * a un grupo de servidores que manejan la
recuperación de imágenes.
Enrutamiento de varios sitios

El alojamiento de varios sitios le permite configurar más de una aplicación web en la misma instancia de puerta de enlace de
aplicaciones. En una configuración de sitios múltiples, registra varios nombres DNS (CNAME) para la dirección IP de
Application Gateway, especificando el nombre de cada sitio. Application Gateway utiliza escuchas independientes para
esperar las solicitudes de cada sitio. Cada oyente pasa la solicitud a una regla diferente, que puede enrutar las solicitudes a
los servidores en un grupo de back-end diferente. Por ejemplo, puede configurar Application Gateway para dirigir todas las
solicitudes de http://contoso.com a los servidores de un grupo de back-end y las solicitudes de http://fabrikam.com a otro
grupo de back-end. El siguiente diagrama muestra esta configuración.
Las configuraciones de múltiples sitios son útiles para admitir aplicaciones de múltiples inquilinos, donde cada inquilino tiene su
propio conjunto de máquinas virtuales u otros recursos que alojan una aplicación web.
Puerta de enlace de aplicaciones de Azure 169
Características adicionales
● Redirección. La redirección se puede utilizar a otro sitio o de HTTP a HTTPS.
● Vuelva a escribir los encabezados HTTP. Los encabezados HTTP permiten al cliente y al servidor pasar información adicional
con la solicitud o la respuesta.
● Páginas de error personalizadas. Application Gateway le permite crear páginas de error personalizadas en lugar de mostrar páginas de
error predeterminadas. Puede utilizar su propia marca y diseño mediante una página de error personalizada.
Configuración de puerta de enlace de aplicaciones

Application Gateway tiene una serie de componentes que se combinan para enrutar solicitudes a un grupo de servidores web y para
verificar el estado de estos servidores web.
Dirección IP de front-end
Las solicitudes de los clientes se reciben a través de una dirección IP de front-end. Puede configurar Application Gateway para que
tenga una dirección IP pública, una dirección IP privada o ambas. Application Gateway no puede tener más de una dirección IP
pública y una privada.
Oyentes
Application Gateway utiliza uno o más escuchas para recibir solicitudes entrantes. Un oyente acepta el tráfico que llega a una
combinación específica de protocolo, puerto, host y dirección IP. Cada oyente enruta las solicitudes a un grupo de servidores
back-end siguiendo las reglas de enrutamiento que usted especifique. Un oyente puede ser básico o multisitio. Un oyente básico
solo enruta una solicitud en función de la ruta en la URL. Un oyente de sitios múltiples también puede enrutar solicitudes utilizando
el elemento de nombre de host de la URL.
Los oyentes también manejan certificados SSL para proteger su aplicación entre el usuario y Application
Gateway.
Reglas de enrutamiento
Una regla de enrutamiento vincula a un oyente a los grupos de back-end. Una regla especifica cómo interpretar el nombre de host y
los elementos de la ruta en la URL de una solicitud y dirigir la solicitud al grupo de back-end correspondiente. Una regla de
enrutamiento también tiene un conjunto asociado de configuraciones HTTP. Estas configuraciones indican si (y cómo) el tráfico está
encriptado entre Application Gateway y los servidores back-end, y otra información de configuración como: Protocolo, Permanencia de
la sesión, Drenaje de la conexión, Período de tiempo de espera de la solicitud y Sondas de estado.
Grupos de back-end
Un grupo de back-end hace referencia a una colección de servidores web. Usted proporciona la dirección IP de cada servidor web y el
puerto en el que escucha las solicitudes al configurar el grupo. Cada grupo puede especificar un conjunto fijo de máquinas virtuales,
un conjunto de escalado de máquinas virtuales, una aplicación hospedada por Azure App Services o una colección de servidores
locales. Cada grupo de back-end tiene un equilibrador de carga asociado que distribuye el trabajo en el grupo.
Firewall de aplicaciones web

El firewall de aplicaciones web (WAF) es un componente opcional que maneja las solicitudes entrantes antes de que lleguen a un
oyente. El firewall de aplicaciones web comprueba cada solicitud en busca de muchas amenazas comunes, según el Proyecto de
seguridad de aplicaciones web abiertas (OWASP). Estos incluyen: inyección de SQL, secuencias de comandos entre sitios, inyección de
comandos, contrabando de solicitudes HTTP, división de respuestas HTTP, inclusión de archivos remotos, Bots, rastreadores y
escáneres, e infracciones y anomalías del protocolo HTTP.
OWASP ha definido un conjunto de reglas genéricas para detectar ataques. Estas reglas se denominan Core Rule Set (CRS). Los
conjuntos de reglas están bajo revisión continua a medida que los ataques evolucionan en sofisticación. WAF admite dos conjuntos de
reglas, CRS 2.2.9 y CRS 3.0. CRS 3.0 es el conjunto de reglas predeterminado y más reciente. Si es necesario, puede optar por
seleccionar solo reglas específicas en un conjunto de reglas, dirigidas a determinadas amenazas. Además, puede personalizar el
firewall para especificar qué elementos de una solicitud se deben examinar y limitar el tamaño de los mensajes para evitar que las
cargas masivas abrumen sus servidores.
WAF se habilita en su Application Gateway seleccionando el nivel WAF cuando crea una puerta de enlace.
Sondas de salud
Las sondas de estado son una parte importante para ayudar al equilibrador de carga a determinar qué servidores están disponibles para el
equilibrio de carga en un grupo de back-end. Application Gateway utiliza una sonda de estado para enviar una solicitud a un servidor. Si el
servidor devuelve una respuesta HTTP con un código de estado entre 200 y 399, se considera que el servidor está en buen estado.
Si no configura una sonda de estado, Application Gateway crea una sonda predeterminada que espera 30 segundos
antes de decidir que un servidor no está disponible.
Laboratorio 06: Implementación de la gestión del tráfico
Se le asignó la tarea de probar la administración del tráfico de red dirigido a máquinas virtuales de Azure en la topología de
red de concentrador y radio, que Contoso considera implementar en su entorno de Azure (en lugar de crear la topología de
malla, que probó en el laboratorio anterior). Esta prueba debe incluir la implementación de conectividad entre radios
confiando en rutas definidas por el usuario que obligan al tráfico a fluir a través del concentrador, así como la distribución
del tráfico a través de máquinas virtuales mediante el uso de equilibradores de carga de capa 4 y capa 7. Para este
propósito, tiene la intención de usar Azure Load Balancer (capa 4) y Azure Application Gateway (capa 7).
Objetivos
● Tarea 2: Configurar la topología de la red radial y concentradora.
● Tarea 3: probar la transitividad del emparejamiento de redes virtuales.
● Tarea 4: Configurar el enrutamiento en la topología de concentrador y radio.
● Tarea 5: implementar Azure Load Balancer.

● Tarea 6: implementar Azure Application Gateway.
¿Cuál de las dos características siguientes de la red de Azure proporciona la capacidad de redirigir todo el tráfico de Internet a los
servidores locales de su empresa para la inspección de paquetes? Seleccione dos.
?? Rutas definidas por el usuario
?? Conectividad de red entre locales
?? Gestor de tráfico
?? Túneles forzados
?? Rutas del sistema
Su empresa proporciona a los clientes una red virtual en la nube. Tiene docenas de máquinas virtuales Linux en otra
red virtual. Debe instalar un equilibrador de carga de Azure para dirigir el tráfico entre las redes virtuales. ¿Qué
deberías hacer? Seleccione uno.
?? Instale un equilibrador de carga privado.
?? Instale un equilibrador de carga público.
?? Instale un equilibrador de carga externo.
?? Instale un equilibrador de carga interno.
?? Instale un equilibrador de carga de red.
Su empresa tiene un sitio web regional popular. La compañía planea trasladarlo a Microsoft Azure y alojarlo en la
región este de Canadá. El equipo web ha establecido los siguientes requisitos para la gestión del tráfico web:
● Distribuya uniformemente las solicitudes web entrantes en una granja de 10 máquinas virtuales de Azure.
● Admite muchas solicitudes entrantes, incluidos los picos durante las horas pico.
● Minimiza la complejidad.
● Minimice los costos continuos.
¿Cuál de las siguientes opciones seleccionaría para este escenario? Seleccione uno.
?? Administrador de tráfico de Azure
?? Balanceador de carga de Azure
?? Puerta de enlace de aplicaciones de Azure
?? Servicios en la nube de Azure

Implementa un equilibrador de carga interno entre su nivel web y los servidores de nivel de aplicación. Configure una sonda de estado HTTP
personalizada. ¿Cuáles de los siguientes dos no son ciertos? Seleccione dos.
?? El equilibrador de carga administra la prueba de estado.
?? De forma predeterminada, la sonda de estado comprueba el punto final cada 30 segundos.
?? La instancia está en buen estado si responde con un error HTTP 200.
?? Puede cambiar la cantidad de tiempo entre las comprobaciones de la sonda de estado.
?? Puede cambiar la cantidad de fallas dentro de un período de tiempo.
¿Qué criterios utiliza Application Gateway para enrutar solicitudes a un servidor web? Seleccione uno.
?? El nombre de host, el puerto y la ruta en la URL de la solicitud.
?? La dirección IP del servidor web que es el destino de la solicitud.
?? La región en la que se encuentran los servidores que alojan la aplicación web.
?? La información de autenticación de los usuarios.
¿Qué estrategia de equilibrio de carga implementa Application Gateway? Seleccione uno.
?? Distribuye las solicitudes a cada servidor disponible en un grupo de backend, a su vez, por turnos.
?? Distribuye solicitudes al servidor en el grupo de backend con la carga más ligera.
?? Sondea cada servidor en el grupo de backend por turno y envía la solicitud al primer servidor que responde.
?? Utiliza un servidor en el grupo de backend hasta que ese servidor alcanza el 50% de carga, luego se mueve al siguiente servidor.
Su empresa tiene un sitio web que permite a los usuarios personalizar su experiencia descargando una aplicación. La
demanda de la aplicación ha aumentado, por lo que ha agregado otra red virtual con dos máquinas virtuales. Estas
máquinas están dedicadas a servir las descargas de aplicaciones. Debe asegurarse de que las solicitudes de descarga
adicionales no afecten el rendimiento del sitio web. Su solución debe enrutar todas las solicitudes de descarga a los dos
nuevos servidores que ha instalado. ¿Qué acción recomendarías? Seleccione uno.
?? Agregue una ruta definida por el usuario.
?? Cree una puerta de enlace de red local.
?? Configure una nueva tabla de enrutamiento.
?? Agregue una puerta de enlace de aplicaciones.

Está implementando Application Gateway y desea asegurarse de que las solicitudes entrantes se verifiquen en busca de amenazas de seguridad
comunes, como secuencias de comandos entre sitios y rastreadores. Para abordar sus inquietudes, ¿qué debe hacer? Seleccione uno.
?? Instalar un equilibrador de carga externo
?? Instalar un equilibrador de carga interno
?? Instalar Azure Firewall
?? Instale el firewall de aplicaciones web
Estudio adicional
● Administre y controle el flujo de tráfico en su implementación de Azure con rutas 6
● Mejore la escalabilidad y la resistencia de las aplicaciones mediante el uso de Azure Load Balancer 7
● Equilibre la carga del tráfico de su servicio web con Application Gateway 8
● Mejore la disponibilidad de sus servicios y la ubicación de los datos mediante el uso de Azure Traffic Manager 9
6 https://docs.microsoft.com/en-us/learn/modules/control-network-traffic-flow-with-routes/
7 https://docs.microsoft.com/en-us/learn/modules/improve- app-scalability-resiliency-with-load-balancer /
8 https://docs.microsoft.com/en-us/learn/modules/load-balance-web-traffic-with-application-gateway/ https: //
9 docs. microsoft.com/en-us/learn/modules/distribute-load-with-traffic-manager/
Respuestas
¿Cuál de las dos características siguientes de la red de Azure proporciona la capacidad de redirigir todo el tráfico de Internet
a los servidores locales de su empresa para la inspección de paquetes? Seleccione dos.
■ Rutas definidas por el usuario
?? Conectividad de red entre locales
?? Gestor de tráfico
■ Túneles forzados
?? Rutas del sistema
Explicación
Rutas definidas por el usuario y tunelización forzada. Puede utilizar la tunelización forzada para redirigir el tráfico vinculado a Internet a
la infraestructura local de la empresa. La tunelización forzada se usa comúnmente en escenarios donde las organizaciones desean
implementar inspección de paquetes o auditorías corporativas. La tunelización forzada en Azure se configura a través de rutas definidas
por el usuario (UDR) de la red virtual.
Su empresa proporciona a los clientes una red virtual en la nube. Tiene docenas de máquinas virtuales Linux
en otra red virtual. Debe instalar un equilibrador de carga de Azure para dirigir el tráfico entre las redes
virtuales. ¿Qué deberías hacer? Seleccione uno.
?? Instale un equilibrador de carga privado.
?? Instale un equilibrador de carga público.
?? Instale un equilibrador de carga externo.
■ Instale un equilibrador de carga interno.
?? Instale un equilibrador de carga de red.
Explicación
Instale un equilibrador de carga interno. Azure tiene dos tipos de balanceadores de carga: públicos e internos. Un equilibrador de carga
interno dirige el tráfico solo a los recursos que se encuentran dentro de una red virtual o que usan una VPN para acceder a la infraestructura
de Azure.
Su empresa tiene un sitio web regional popular. La compañía planea trasladarlo a Microsoft Azure y alojarlo en
la región este de Canadá. El equipo web ha establecido los siguientes requisitos para la gestión del tráfico web:
¿Cuál de las siguientes opciones seleccionaría para este escenario? Seleccione uno.
?? Administrador de tráfico de Azure
■ Azure Load Balancer
?? Puerta de enlace de aplicaciones de Azure
?? Servicios en la nube de Azure
Explicación
Balanceador de carga de Azure. En este escenario, los requisitos exigen un equilibrio de carga de un sitio web con una
complejidad y unos costes mínimos. El sitio web está en una sola región, lo que excluye a Azure Traffic Manager (que está
orientado a una aplicación web distribuida). Azure CDN es complejo y costoso y es más adecuado para entregar contenido web
estático en varias ubicaciones en todo el mundo (con el máximo rendimiento). Los servicios en la nube de Azure son adecuados
para aplicaciones y API, no para este escenario.
Implementa un equilibrador de carga interno entre su nivel web y los servidores de nivel de aplicación. Configure una sonda de
estado HTTP personalizada. ¿Cuáles de los siguientes dos no son ciertos? Seleccione dos.
?? El equilibrador de carga administra la prueba de estado.
■ De forma predeterminada, la sonda de estado comprueba el punto final cada 30 segundos.
?? La instancia está en buen estado si responde con un error HTTP 200.
?? Puede cambiar la cantidad de tiempo entre las comprobaciones de la sonda de estado.
■ Puede cambiar la cantidad de fallas dentro de un período de tiempo.
Explicación
De forma predeterminada, la sonda de estado comprueba los puntos finales cada 15 segundos, no cada 30 segundos. Puede cambiar
el número de fallas consecutivas, pero no puede especificar un período de tiempo para las fallas.
¿Qué criterios utiliza Application Gateway para enrutar solicitudes a un servidor web? Seleccione uno.
■ El nombre de host, el puerto y la ruta en la URL de la solicitud.
?? La dirección IP del servidor web que es el destino de la solicitud.
?? La región en la que se encuentran los servidores que alojan la aplicación web.
?? La información de autenticación de los usuarios.
Explicación
El nombre de host, el puerto y la ruta en la URL de la solicitud.
¿Qué estrategia de equilibrio de carga implementa Application Gateway? Seleccione uno.
■ Distribuye las solicitudes a cada servidor disponible en un grupo de backend por turnos, por turnos.
?? Distribuye solicitudes al servidor en el grupo de backend con la carga más ligera.
?? Sondea cada servidor en el grupo de backend por turno y envía la solicitud al primer servidor que responde.
?? Utiliza un servidor en el grupo de backend hasta que ese servidor alcanza el 50% de carga, luego se mueve al siguiente servidor.
Explicación
Application Gateway distribuye las solicitudes a cada servidor disponible en el grupo de backend mediante el método de
operación por turnos.
Su empresa tiene un sitio web que permite a los usuarios personalizar su experiencia descargando una aplicación. La
demanda de la aplicación ha aumentado, por lo que ha agregado otra red virtual con dos máquinas virtuales. Estas
máquinas están dedicadas a servir las descargas de aplicaciones. Debe asegurarse de que las solicitudes de descarga
adicionales no afecten el rendimiento del sitio web. Su solución debe enrutar todas las solicitudes de descarga a los dos
nuevos servidores que ha instalado. ¿Qué acción recomendarías? Seleccione uno.
?? Agregue una ruta definida por el usuario.
?? Cree una puerta de enlace de red local.
?? Configure una nueva tabla de enrutamiento.
■ Agregar una puerta de enlace de aplicaciones.
Explicación
Puerta de enlace de aplicaciones. Application Gateway le permite controlar la distribución del tráfico de usuarios a sus puntos finales que
se ejecutan en diferentes centros de datos de todo el mundo.
Está implementando Application Gateway y desea asegurarse de que las solicitudes entrantes se verifiquen en busca de amenazas de seguridad
comunes, como secuencias de comandos entre sitios y rastreadores. Para abordar sus inquietudes, ¿qué debe hacer? Seleccione uno.
?? Instalar un equilibrador de carga externo
?? Instalar un equilibrador de carga interno
?? Instalar Azure Firewall
■ Instale el firewall de aplicaciones web
Explicación
Instale el firewall de aplicaciones web. El firewall de aplicaciones web (WAF) es un componente opcional que maneja las solicitudes
entrantes antes de que lleguen a un oyente. El firewall de aplicaciones web comprueba cada solicitud en busca de muchas
amenazas comunes, según el Proyecto de seguridad de aplicaciones web abiertas (OWASP).
Módulo 7 Azure Storage
Cuentas de almacenamiento
Almacenamiento de Azure
Azure Storage es la solución de almacenamiento en la nube de Microsoft para escenarios modernos de almacenamiento de datos. Azure
Storage ofrece un almacén de objetos escalable masivamente para objetos de datos, un servicio de sistema de archivos para la nube, un
almacén de mensajería para mensajería confiable y un almacén NoSQL. Azure Storage es:
● Durable y de alta disponibilidad. La redundancia garantiza que sus datos estén seguros en caso de fallas transitorias de
hardware. También puede optar por replicar datos en centros de datos o regiones geográficas para obtener protección
adicional contra catástrofes locales o desastres naturales. Los datos replicados de esta manera permanecen altamente
disponibles en caso de una interrupción inesperada.
● Seguro. Todos los datos escritos en Azure Storage están cifrados por el servicio. Azure Storage le proporciona un
control detallado sobre quién tiene acceso a sus datos.
● Escalable. Azure Storage está diseñado para ser escalable masivamente para satisfacer las necesidades de rendimiento y
almacenamiento de datos de las aplicaciones actuales.
● Administrado. Microsoft Azure se encarga del mantenimiento de hardware, las actualizaciones y los problemas críticos por usted.
● Accesible. Se puede acceder a los datos de Azure Storage desde cualquier lugar del mundo a través de HTTP o HTTPS.
Microsoft proporciona SDK para Azure Storage en una variedad de lenguajes (.NET, Java, Node.js, Python, PHP, Ruby,
Go y otros), así como una API REST madura. Azure Storage admite la creación de scripts en Azure PowerShell o la CLI
de Azure. Y Azure Portal y Azure Storage Explorer ofrecen soluciones visuales sencillas para trabajar con sus datos.
Azure Storage es un servicio que puede usar para almacenar archivos, mensajes, tablas y otros tipos de información. Puede usar el
almacenamiento de Azure por sí solo, por ejemplo, como un recurso compartido de archivos, pero los desarrolladores lo usan a menudo como
un almacén de datos de trabajo. Estas tiendas pueden ser utilizadas por sitios web, aplicaciones móviles, aplicaciones de escritorio y muchos
otros tipos de soluciones personalizadas. Azure Storage también es utilizado por máquinas virtuales IaaS y servicios en la nube PaaS.
Generalmente, puede pensar en el almacenamiento de Azure en tres categorías.
● Almacenamiento para máquinas virtuales. Esto incluye discos y archivos. Los discos son almacenamiento en bloque persistente para máquinas virtuales de
IaaS de Azure. Los archivos son recursos compartidos de archivos completamente administrados en la nube.
180 Módulo 7 Azure Storage
● Datos no estructurados. Esto incluye Blobs y Data Lake Store. Los blobs son un almacén de objetos en la nube altamente escalable y
basado en REST. Data Lake Store es un sistema de archivos distribuido de Hadoop (HDFS) como servicio.
● Datos estructurados. Esto incluye tablas, Cosmos DB y Azure SQL DB. Las tablas son un almacén NoSQL de clave / valor que se escala
automáticamente. Cosmos DB es un servicio de base de datos distribuido globalmente. Azure SQL DB es una base de datos como servicio
completamente administrada construida en SQL.
Las cuentas de almacenamiento de uso general tienen dos niveles: Estándar y Prima.
● Estándar Las cuentas de almacenamiento están respaldadas por unidades magnéticas (HDD) y ofrecen el menor costo por GB. Son
mejores para aplicaciones que requieren almacenamiento masivo o donde se accede a los datos con poca frecuencia.
● Prima Las cuentas de almacenamiento están respaldadas por unidades de estado sólido (SSD) y ofrecen un rendimiento constante de
baja latencia. Solo se pueden usar con discos de máquinas virtuales de Azure y son los mejores para aplicaciones con uso intensivo de E
/ S, como bases de datos.
✔ No es posible convertir una cuenta de almacenamiento estándar en una cuenta de almacenamiento Premium o viceversa. Debe
crear una nueva cuenta de almacenamiento con el tipo deseado y copiar los datos, si corresponde, a una nueva cuenta de
almacenamiento.
Para más información, Almacenamiento de Azure 1 .
Servicios de almacenamiento de Azure

Azure Storage incluye estos servicios de datos, a cada uno de los cuales se accede a través de una cuenta de almacenamiento.
● Contenedores de Azure (blobs): Un almacén de objetos escalable masivamente para texto y datos binarios.
● Archivos de Azure: Recursos compartidos de archivos administrados para implementaciones en la nube o locales.
● Colas de Azure: Una tienda de mensajería para mensajería confiable entre los componentes de la aplicación.
● Tablas de Azure: Una tienda NoSQL para el almacenamiento sin esquema de datos estructurados.
Almacenamiento de contenedores (blob)

Azure Blob Storage es la solución de almacenamiento de objetos de Microsoft para la nube. El almacenamiento de blobs está optimizado para
almacenar cantidades masivas de datos no estructurados, como texto o datos binarios. El almacenamiento de blobs es ideal para:
● Entrega de imágenes o documentos directamente a un navegador.
● Almacenamiento de archivos para acceso distribuido.
● Transmisión de video y audio.
● Almacenamiento de datos para copia de seguridad y restauración, recuperación ante desastres y archivo.
● Almacenamiento de datos para su análisis por parte de un servicio local o alojado en Azure.
Se puede acceder a los objetos en Blob Storage desde cualquier parte del mundo a través de HTTP o HTTPS. Los usuarios o las
aplicaciones cliente pueden acceder a los blobs a través de URL, la API de REST de Azure Storage, Azure PowerShell, la CLI de Azure
o una biblioteca cliente de Azure Storage. Las bibliotecas de cliente de almacenamiento están disponibles para varios idiomas,
incluido. NET, Java, Node.js, Python, PHP y Ruby.
Archivos de Azure
Azure Files le permite configurar recursos compartidos de archivos de red de alta disponibilidad a los que se puede acceder mediante el
protocolo estándar Server Message Block (SMB). Eso significa que varias máquinas virtuales pueden compartir los mismos archivos
1 https://azure.microsoft.com/en-us/services/storage/
Cuentas de almacenamiento 181
con acceso de lectura y escritura. También puede leer los archivos mediante la interfaz REST o las bibliotecas del cliente de
almacenamiento.
Una cosa que distingue a Azure Files de los archivos en un recurso compartido de archivos corporativos es que puede acceder a los
archivos desde cualquier lugar del mundo mediante una URL que apunta al archivo e incluye un token de firma de acceso compartido
(SAS). Puede generar tokens SAS; permiten el acceso específico a un activo privado durante un período de tiempo específico.
Los recursos compartidos de archivos se pueden usar para muchos escenarios comunes:
● Muchas aplicaciones locales utilizan archivos compartidos. Esta característica facilita la migración de las aplicaciones que
comparten datos a Azure. Si monta el recurso compartido de archivos en la misma letra de unidad que utiliza la aplicación local,
la parte de su aplicación que accede al recurso compartido de archivos debería funcionar con cambios mínimos, si es que hay
alguno.
● Los archivos de configuración se pueden almacenar en un recurso compartido de archivos y se puede acceder a ellos desde varias máquinas virtuales. Las
herramientas y utilidades utilizadas por varios desarrolladores en un grupo se pueden almacenar en un archivo compartido, lo que garantiza que todos puedan
encontrarlas y que utilicen la misma versión.
● Los registros de diagnóstico, las métricas y los volcados por caída son solo tres ejemplos de datos que pueden escribirse en un archivo
compartido y procesarse o analizarse más tarde.
A esta vez, las listas de control de acceso (ACL) y autenticación basadas en Active Directory no son compatibles, pero
lo estarán en algún momento en el futuro. Las credenciales de la cuenta de almacenamiento se utilizan para proporcionar autenticación para acceder al
archivo compartido. Esto significa que cualquiera que tenga el recurso compartido montado tendrá acceso completo de lectura / escritura al recurso
compartido.
Almacenamiento en cola
El servicio Azure Queue se usa para almacenar y recuperar mensajes. Los mensajes en cola pueden tener un tamaño de hasta 64 KB
y una cola puede contener millones de mensajes. Las colas se utilizan generalmente para almacenar listas de mensajes que se
procesarán de forma asincrónica.
Por ejemplo, supongamos que desea que sus clientes puedan cargar imágenes y desea crear miniaturas para
cada imagen. Puede hacer que su cliente espere a que cree las miniaturas mientras carga las imágenes. Una
alternativa sería utilizar una cola. Cuando el cliente finalice su carga, escriba un mensaje en la cola. Luego,
haga que una función de Azure recupere el mensaje de la cola y cree las miniaturas. Cada una de las partes de
este procesamiento se puede escalar por separado, lo que le brinda más control al ajustarlo para su uso.
Almacenamiento de mesa
Azure Table Storage ahora forma parte de Azure Cosmos DB. Además del servicio de almacenamiento de tablas de Azure
existente, existe una nueva oferta de API de tablas de Azure Cosmos DB que proporciona tablas de rendimiento
optimizado, distribución global e índices secundarios automáticos. Para obtener más información y probar la nueva
experiencia premium, consulte Azure Cosmos DB Table API.
Tipos de cuentas de almacenamiento

Azure Storage ofrece varios tipos de cuentas de almacenamiento. Cada tipo admite diferentes funciones y tiene su propio
modelo de precios. Considere estas diferencias antes de crear una cuenta de almacenamiento para determinar el tipo de
cuenta que es mejor para sus aplicaciones. Los tipos de cuentas de almacenamiento son:
Tipo de cuenta de almacenamiento Servicios apoyados Rendimiento apoyado Opciones de replicación

gradas
BlobStorage Blob (bloquear blobs y Estándar LRS, GRS, RA-GRS

añadir blobs únicamente)
V1 de uso general Blob, archivo, cola, tabla Estándar, Premium LRS, GRS, RA-GRS
y disco
V2 de uso general Blob, archivo, cola, tabla Estándar, Premium LRS, GRS, RA-GRS, ZRS,
y disco ZGRS (vista previa), RA-
ZGRS (vista previa)
Almacenamiento de blobs en bloque Blob (bloquear blobs y Prima LRS, ZRS (limitado
añadir blobs únicamente) regiones)
Almacenamiento de archivos Solo archivos Prima LRS, ZRS (limitado
regiones)
Cuentas v1 de uso general (almacenamiento). Tipo de cuenta heredada para blobs, archivos, colas y tablas. Usar
cuentas v2 de propósito general en su lugar cuando sea posible.
Cuentas v2 de uso general (StorageV2). Tipo de cuenta de almacenamiento básico para blobs, archivos, colas y tablas.
Recomendado para la mayoría de escenarios que usan Azure Storage.
Bloquear cuentas de almacenamiento de blobs (BlockBlobStorage). Cuentas de almacenamiento de blobs con características de
rendimiento premium. Recomendado para escenarios con altas tasas de transacciones, que utilizan objetos más pequeños o que requieren
una latencia de almacenamiento constantemente baja.
Cuentas de almacenamiento FileStorage (FileStorage). Cuentas de almacenamiento de solo archivos con características de
rendimiento premium. Recomendado para aplicaciones empresariales o de escala de alto rendimiento.
Cuentas de almacenamiento de blobs (BlobStorage). Cuentas de almacenamiento solo de blobs. En su lugar, utilice cuentas v2 de uso
general cuando sea posible.
✔ Todas las cuentas de almacenamiento se cifran mediante el cifrado del servicio de almacenamiento (SSE) para los datos en reposo.
Estrategias de replicación
Los datos de su cuenta de almacenamiento de Azure siempre se replican para garantizar la durabilidad y alta disponibilidad.
La replicación de Azure Storage copia sus datos para protegerlos de eventos planificados y no planificados que van desde
fallas de hardware transitorias, cortes de energía o de red, desastres naturales masivos, etc. Puede optar por replicar sus
datos dentro del mismo centro de datos, en centros de datos zonales dentro de la misma región e incluso en todas las
regiones. La replicación garantiza que su cuenta de almacenamiento cumpla con el Acuerdo de nivel de servicio (SLA) para
almacenamiento incluso en caso de fallas.
Comparación de opciones de replicación

La siguiente tabla proporciona una descripción general rápida del alcance de durabilidad y disponibilidad que cada estrategia de
replicación le proporcionará para un tipo de evento determinado (o evento de impacto similar).
LRS ZRS GRS / RA-GRS GZRS / RA-GZRS

Nodo no disponible sí sí sí sí
ity dentro de un centro
de datos
LRS ZRS GRS / RA-GRS GZRS / RA-GZRS

Un dato completo No sí sí sí
centro (zonal o
no zonal)
se vuelve inútil
capaz
Una región No No sí sí
corte
Leer acceso a No No Sí (con RA-GRS) Sí (con RA-GZRS)
sus datos (en un
remoto, geo-representante
región licada) en
el evento de
en toda la región
indisponibilidad
Disponible en GPv1, GPv2, Blob GPv2 GPv1, GPv2, Blob GPv2

cuenta de almacenamiento
tipos
Almacenamiento localmente redundante

LRS es el opción de replicación de menor costo y ofrece la menor durabilidad en comparación con otras opciones. Si ocurre un desastre a
nivel del centro de datos (por ejemplo, un incendio o una inundación), todas las réplicas pueden perderse o ser irrecuperables.
A pesar de sus limitaciones, LRS puede ser apropiado en estos escenarios:
● Si su aplicación almacena datos que se pueden reconstruir fácilmente en caso de pérdida de datos.
● Si sus datos cambian constantemente, por ejemplo, una transmisión en vivo, y el almacenamiento de los datos realmente no es necesario.
● Si su aplicación está restringida a replicar datos solo dentro de un país debido a los requisitos de
gobernanza de datos.
Almacenamiento redundante de zona

Zone Redundant Storage (ZRS) replica sincrónicamente sus datos en tres (3) clústeres de almacenamiento en una sola región.
Cada clúster de almacenamiento está físicamente separado de los demás y reside en su propia zona de disponibilidad. Cada
zona de disponibilidad, y el clúster ZRS dentro de ella, es autónoma, con servicios públicos y capacidades de red
independientes. El almacenamiento de sus datos en una cuenta ZRS garantiza que podrá acceder y administrar sus datos si
una zona deja de estar disponible. ZRS proporciona un rendimiento excelente y una latencia extremadamente baja.
Aquí hay algunas cosas más que debe saber sobre ZRS:
● ZRS aún no está disponible en todas las regiones.
● El cambio a ZRS desde otra opción de replicación de datos requiere el movimiento de datos físicos de un solo sello de
almacenamiento a varios sellos dentro de una región.
● Es posible que ZRS no proteja sus datos contra un desastre regional en el que varias zonas se vean afectadas
permanentemente. En cambio, ZRS ofrece resistencia para sus datos en caso de indisponibilidad.
Almacenamiento con redundancia geográfica

Almacenamiento con redundancia geográfica (GRS) replica sus datos en una región secundaria ( a cientos de millas de la ubicación
principal de los datos de origen). GRS cuesta más que LRS, pero GRS proporciona un mayor nivel de durabilidad para sus datos, incluso
si hay una interrupción regional. GRS está diseñado para proporcionar al menos
99,99999999999999% ( 16 9's) durabilidad. Si su cuenta de almacenamiento tiene GRS habilitado, entonces sus datos son
duraderos incluso en el caso de una interrupción regional completa o un desastre en el que la región principal no se puede
recuperar.
Para una cuenta de almacenamiento con GRS o RA-GRS habilitado, todos los datos se replican primero con almacenamiento con
redundancia local (LRS). Una actualización se confirma primero en la ubicación principal y se replica mediante LRS. Luego, la
actualización se replica de forma asincrónica en la región secundaria mediante GRS. Cuando los datos se escriben en la ubicación
secundaria, también se replican dentro de esa ubicación mediante LRS. Tanto la región primaria como la secundaria administran
réplicas en dominios de falla separados y actualizan dominios dentro de una unidad de escala de almacenamiento. La unidad de escala
de almacenamiento es la unidad de replicación básica dentro del centro de datos. LRS proporciona la replicación en este nivel. Si opta
por GRS, tiene dos opciones relacionadas para elegir:
● GRS replica sus datos en otro centro de datos en una región secundaria, pero esos datos están disponibles para ser leídos solo si
Microsoft inicia una conmutación por error de la región primaria a la secundaria.
● Almacenamiento con redundancia geográfica con acceso de lectura ( RA-GRS) se basa en GRS. RA-GRS replica sus
datos en otro centro de datos en una región secundaria y también le brinda la opción de leer desde la región
secundaria. Con RA-GRS, puede leer desde el secundario independientemente de si Microsoft inicia una conmutación
por error del primario al secundario.
Almacenamiento redundante de zona geográfica

Almacenamiento con redundancia de zona geográfica (GZRS) combina la alta disponibilidad del almacenamiento con redundancia de
zona con la protección contra interrupciones regionales proporcionada por el almacenamiento con redundancia geográfica. Los datos
en una cuenta de almacenamiento de GZRS se replican en tres zonas de disponibilidad de Azure en la región principal y también se replican en
una región geográfica secundaria para protección contra desastres regionales. Cada región de Azure está emparejada con otra región dentro
de la misma geografía, y juntas forman un par regional.
Con una cuenta de almacenamiento GZRS, puede continuar leyendo y escribiendo datos si una zona de disponibilidad deja de estar
disponible o es irrecuperable. Además, sus datos también son duraderos en el caso de una interrupción regional completa o un
desastre en el que la región principal no se puede recuperar. GZRS está diseñado para proporcionar al menos
99,99999999999999% (16 9) durabilidad de los objetos durante un año determinado. GZRS también ofrece los mismos objetivos de
escalabilidad que LRS, ZRS, GRS o RA-GRS. Opcionalmente, puede habilitar el acceso de lectura a los datos en la región secundaria con
almacenamiento con redundancia de zona geográfica de acceso de lectura (RA-GZRS) si sus aplicaciones necesitan poder leer datos en
caso de un desastre en la región principal.
Microsoft recomienda utilizar GZRS para aplicaciones que requieran consistencia, durabilidad, alta disponibilidad,
excelente rendimiento y resistencia para la recuperación ante desastres. Para la seguridad adicional del acceso de lectura
a la región secundaria en caso de un desastre regional, habilite RA-GZRS para su cuenta de almacenamiento.
Acceder al almacenamiento
Cada objeto que almacena en Azure Storage tiene una dirección URL única. El nombre de la cuenta de almacenamiento
forma el subdominio de esa dirección. La combinación de subdominio y nombre de dominio, que es específica de cada
servicio, forma un punto final para su cuenta de almacenamiento.
Por ejemplo, si su cuenta de almacenamiento se llama mystorageaccount, entonces los puntos finales predeterminados para su cuenta de
almacenamiento son:
● Servicio de contenedor: http://mystorageaccount.blob.core.windows.net

● Servicio de mesa: http://mystorageaccount.table.core.windows.net
● Servicio de cola: http://mystorageaccount.queue.core.windows.net
● Servicio de archivos: http://mystorageaccount.file.core.windows.net
La URL para acceder a un objeto en una cuenta de almacenamiento se crea agregando la ubicación del objeto en la
cuenta de almacenamiento al punto final. Por ejemplo, para acceder myblob en el mycontainer, utilice este formato:
http://mystorageaccount.blob.core.windows.net/mycontainer/myblob.
Configurar un dominio personalizado

Puede configurar un dominio personalizado para acceder a los datos de blobs en su cuenta de almacenamiento de Azure. Como se
mencionó anteriormente, el punto de conexión predeterminado para Azure Blob Storage es <storage-account-name>
.blob.core.windows. neto. También puede utilizar el punto final web que se genera como parte de la función de sitios web estáticos. Si
asigna un dominio y subdominio personalizados, como www.contoso.com, al punto de conexión de blob o web de su cuenta de
almacenamiento, sus usuarios pueden usar ese dominio para acceder a los datos de blob en su cuenta de almacenamiento. Hay dos
formas de configurar este servicio: mapeo CNAME directo y un dominio intermediario.
✔ Azure Storage aún no admite HTTPS de forma nativa con dominios personalizados. Actualmente, puede usar Azure CDN para
acceder a blobs mediante dominios personalizados a través de HTTPS.
Mapeo CNAME directo por ejemplo, para habilitar un dominio personalizado para el subdominio blobs.contoso.com en una cuenta de
almacenamiento de Azure, cree un registro CNAME que apunte desde blobs.contoso.com a la cuenta de almacenamiento de Azure
[cuenta de almacenamiento] .blob.core.windows .neto. El siguiente ejemplo asigna un dominio a una cuenta de almacenamiento de
Azure en DNS:
Registro CNAME Objetivo
blobs.contoso.com contosoblobs.blob.core.windows.net
Mapeo intermedio con verificar La asignación de un dominio que ya está en uso dentro de Azure puede resultar en un
tiempo de inactividad menor a medida que se actualiza el dominio. Si tiene una aplicación con un SLA, al usar el dominio
puede evitar el tiempo de inactividad usando una segunda opción, el subdominio asverify, para validar el dominio. Al
anteponer una verificación a su propio subdominio, permite que Azure reconozca su dominio personalizado sin modificar
el registro DNS del dominio. Después de modificar el registro DNS para el dominio, se asignará al punto final de blob sin
tiempo de inactividad.
Los siguientes ejemplos mapean un dominio a la cuenta de almacenamiento de Azure en DNS con el dominio intermediario
asverify:
Registro CNAME Objetivo
asverify.blobs.contoso.com asverify.contosoblobs.blob.core.windows.net
blobs.contoso.com contosoblobs.blob.core.windows.net
✔ Una cuenta de Blob Storage solo expone el extremo del servicio Blob. Y también puede configurar un nombre de dominio
personalizado para usar con su cuenta de almacenamiento.
Protección de los puntos finales de almacenamiento

Los pasos necesarios para restringir el acceso a la red a los servicios de Azure varían según los servicios. Para acceder a una
cuenta de almacenamiento, usaría el Cortafuegos y redes virtuales blade para agregar las redes virtuales que tendrán acceso.
Tenga en cuenta que también puede configurar para permitir el acceso a uno o más rangos de IP públicos.
● Los firewalls y las redes virtuales permiten restringir el acceso a la cuenta de almacenamiento desde subredes
específicas en redes virtuales
● Las subredes y las redes virtuales deben existir en la misma región o par de regiones de Azure que la cuenta de
almacenamiento
✔ Es importante probar y asegurarse de que el punto final del servicio esté limitando el acceso como se esperaba.
Demostración: protección de los puntos finales de almacenamiento

En esta demostración, crearemos cuentas de almacenamiento, cargaremos un archivo y aseguraremos el punto final del archivo.
Crea una cuenta de almacenamiento en el portal.
1. En Azure Portal, seleccione Todos los servicios. En la lista de recursos, escriba Cuentas de almacenamiento. Como comienzas
escribiendo, la lista se filtra según su entrada. Seleccione Cuentas de almacenamiento.
2. En la ventana Cuentas de almacenamiento que aparece, elija Agregar.
3. Selecciona el suscripción en el que crear la cuenta de almacenamiento. En el campo Grupo de recursos, seleccione Crear
4. nuevo. Ingrese un nombre para su nuevo grupo de recursos.
5. Entrar a nombre para su cuenta de almacenamiento. El nombre que elija debe ser único en Azure. El nombre
también debe tener entre 3 y 24 caracteres de longitud y solo puede incluir números y letras minúsculas.
6. Seleccione un localización para su cuenta de almacenamiento o utilice la ubicación predeterminada. Deje estos
7. campos configurados con sus valores predeterminados:
● Modelo de implementación: Administrador de recursos
● Actuación: Estándar
● Tipo de cuenta: StorageV2 (v2 de uso general)
● Replicación: Almacenamiento con redundancia local (LRS)
● Nivel de acceso: Caliente
8. Seleccione Revisar + Crear para revisar la configuración de su cuenta de almacenamiento y crear la cuenta.
10. Si tiene tiempo, revise el código de PowerShell y CLI al final de esta demostración.
Sube un archivo a la cuenta de almacenamiento
1. Dentro de la cuenta de almacenamiento, cree una recurso compartido de archivos, y subir un archivo.
2. Para la cuenta de almacenamiento, utilice el Firma de acceso compartido hoja a Genera SAS y conexión
cuerda.
3. Utilice el Explorador de Storage y la cadena de conexión para acceder al recurso compartido de archivos.
4. Asegúrese de que puede ver su archivo cargado.
Nota: Esta parte de la demostración requiere una red virtual con una subred.
Crear un punto final de servicio de subred
1. Seleccione su red virtual y luego seleccione una subred en la red virtual.
2. Bajo Puntos finales de servicio, ver el Servicios desplegable y los diferentes servicios que se pueden
asegurado con un punto final.
3. Compruebe el Microsoft.Storage opción.
Asegure el almacenamiento al punto final del servicio
1. Regrese a su cuenta de almacenamiento.
2. Seleccione Cortafuegos y redes virtuales.
3. Cambiar a Redes seleccionadas.
4. Agregue una red virtual existente, verifique que su subred con el nuevo punto final de servicio esté en la lista.
Pruebe el punto final de almacenamiento
1. Vuelva al Explorador de almacenamiento.
2. Actualizar la cuenta de almacenamiento.
3. Ahora debería tener un error de acceso similar a este:
Crea una cuenta de almacenamiento usando PowerShell (opcional)
Use el siguiente código para crear una cuenta de almacenamiento con PowerShell. Cambie los tipos y nombres de
almacenamiento para adaptarlos a sus necesidades.
Get-AzLocation | seleccione Ubicación $

location = "westus"
$ resourceGroup = "almacenamiento-demo-grupo-de-recursos"
New-AzResourceGroup -Name $ resourceGroup -Location $ location New-AzStorageAccount
-ResourceGroupName $ resourceGroup -Name "storagedemo"
- Ubicación $ ubicación -SkuName Standard_LRS -Kind StorageV2
Cree una cuenta de almacenamiento con la CLI de Azure (opcional)
Use el siguiente código para crear una cuenta de almacenamiento con la CLI de Azure. Cambie los tipos y nombres de almacenamiento para
adaptarlos a sus necesidades.
az group create --name storage-resource-group --location westus az account list-locations

--query "[]. {Region: name}" --out table
az Storage account create --name storagedemo --resource-group storage -re
grupo de origen - ubicación westus --sku Standard_LRS --kind StorageV2
Nota: Si planea usar la cuenta de almacenamiento en otros escenarios, asegúrese de devolver la cuenta a Todas las
redes en el Cortafuegos y redes virtuales espada.
Almacenamiento de blobs 189
Almacenamiento de blobs
Almacenamiento de blobs
Azure Blob Storage es un servicio que almacena datos no estructurados en la nube como objetos / blobs. Blob Storage puede almacenar cualquier tipo de
texto o datos binarios, como un documento, un archivo multimedia o un instalador de aplicaciones. El almacenamiento de blobs también se conoce como
almacenamiento de objetos.
Los usos comunes del almacenamiento de blobs incluyen:
● Entrega de imágenes o documentos directamente a un navegador.
● Almacenamiento de archivos para acceso distribuido, como la instalación.
● Transmisión de video y audio.
● Almacenamiento de datos para copia de seguridad y restauración, recuperación ante desastres y archivo.
● Almacenamiento de datos para su análisis por parte de un servicio local o alojado en Azure.
Recursos del servicio Blob

Blob Storage ofrece tres tipos de recursos:
● La cuenta de almacenamiento
● Contenedores en la cuenta de almacenamiento
● Gotas en un recipiente
El siguiente diagrama muestra la relación entre estos recursos.
✔ Dentro de la cuenta de almacenamiento, puede agrupar tantos blobs como necesite en un contenedor. Para más
información, Almacenamiento de blobs de Azure 2 .
2 https://azure.microsoft.com/en-us/services/storage/blobs/
Contenedores de blobs
Un contenedor proporciona una agrupación de un conjunto de blobs. Todas las manchas deben estar en un contenedor. Una cuenta
puede contener un número ilimitado de contenedores. Un contenedor puede almacenar un número ilimitado de blobs. Puede crear
el contenedor en Azure Portal.
Nombre: El nombre solo puede contener letras minúsculas, números y guiones, y debe comenzar con una
letra o un número. El nombre también debe tener entre 3 y 63 caracteres.
Nivel de acceso público: Especifica si se puede acceder públicamente a los datos del contenedor. De forma predeterminada, los datos del contenedor
son privados para el propietario de la cuenta.
● Usar Privado para garantizar que no haya acceso anónimo al contenedor y a los blobs.
● Usar Gota para permitir el acceso de lectura público anónimo solo para blobs.
● Usar Envase para permitir el acceso público anónimo de lectura y lista a todo el contenedor, incluidos los
blobs.
✔ También puede crear el contenedor de blobs con PowerShell usando el New-AzStorageContainer comando.
✔ ¿Has pensado en cómo organizarás tus contenedores?
Niveles de acceso a blobs

Azure Storage proporciona diferentes opciones para acceder a los datos de blobs de bloques (como se muestra en la captura de
pantalla), según los patrones de uso. Cada nivel de acceso en Azure Storage está optimizado para un patrón particular de uso de
datos. Al seleccionar el nivel de acceso correcto para sus necesidades, puede almacenar sus datos de blobs en bloque de la manera
más rentable.
● Caliente. El nivel Hot está optimizado para el acceso frecuente de objetos en la cuenta de almacenamiento. El acceso a los datos en el nivel
Hot es más rentable, mientras que los costos de almacenamiento son algo más altos. Las nuevas cuentas de almacenamiento se crean en
el nivel Hot de forma predeterminada.

● Fresco. El nivel Cool está optimizado para almacenar grandes cantidades de datos a los que se accede con poca
frecuencia y se almacenan durante al menos 30 días. Almacenar datos en el nivel Cool es más rentable, pero acceder a
esos datos puede ser algo más costoso que acceder a los datos en el nivel Hot.
● Archivo. El nivel de archivo está optimizado para datos que pueden tolerar varias horas de latencia de recuperación y
permanecerán en el nivel de archivo durante al menos 180 días. El nivel de archivo es la opción más rentable para
almacenar datos, pero acceder a esos datos es más costoso que acceder a los datos de los niveles Hot o Cool.
✔ Si hay un cambio en el patrón de uso de sus datos, puede cambiar entre estos niveles de acceso en cualquier
momento.
Gestión del ciclo de vida de blobs
Los conjuntos de datos tienen ciclos de vida únicos. Al principio del ciclo de vida, las personas acceden a algunos datos con frecuencia. Pero la
necesidad de acceso disminuye drásticamente a medida que los datos envejecen. Algunos datos permanecen inactivos en la nube y rara vez se accede a
ellos una vez almacenados. Algunos datos caducan días o meses después de su creación, mientras que otros conjuntos de datos se leen y modifican
activamente a lo largo de su vida útil. La administración del ciclo de vida del almacenamiento de blobs de Azure ofrece una política rica basada en reglas
para las cuentas de almacenamiento de blobs y GPv2. Utilice la política para realizar la transición de sus datos a los niveles de acceso adecuados o
caduque al final del ciclo de vida de los datos.
La política de gestión del ciclo de vida le permite:
● Realice la transición de blobs a un nivel de almacenamiento más frío (de caliente a frío, de caliente a archivado o de frío a archivado) para optimizar el
rendimiento y el coste.
● Elimina blobs al final de sus ciclos de vida.
● Defina las reglas que se ejecutarán una vez al día en el nivel de la cuenta de almacenamiento.
● Aplique reglas a contenedores o un subconjunto de blobs (usando prefijos como filtros).
Considere un escenario en el que los datos obtienen acceso frecuente durante las primeras etapas del ciclo de vida, pero solo ocasionalmente después de
dos semanas. Más allá del primer mes, rara vez se accede al conjunto de datos. En este escenario, el almacenamiento en caliente es mejor durante las
primeras etapas. El almacenamiento en frío es más apropiado para el acceso ocasional. El almacenamiento de archivos es la mejor opción de nivel después
de que los datos envejecen más de un mes. Ajustando los niveles de almacenamiento con respecto a
la edad de los datos, puede diseñar las opciones de almacenamiento menos costosas para sus necesidades. Para lograr esta transición, las reglas
de la política de administración del ciclo de vida están disponibles para mover los datos antiguos a niveles más fríos.
Carga de blobs
Un blob puede ser un archivo de cualquier tipo y tamaño. Azure Storage ofrece tres tipos de blobs: cuadra manchas página manchas
y adjuntar manchas. Usted especifica el tipo de blob y el nivel de acceso cuando crea el blob.
● Bloquear blobs (predeterminado) consisten en bloques de datos ensamblados para hacer un blob. La mayoría de los escenarios que
utilizan Blob Storage emplean blobs en bloque. Los blobs en bloque son ideales para almacenar texto y datos binarios en la nube, como
archivos, imágenes y videos.
● Anexar blobs son como blobs de bloques en el sentido de que están formados por bloques, pero están optimizados para
operaciones de adición, por lo que son útiles para escenarios de registro.
● Blobs en la página pueden tener un tamaño de hasta 8 TB y son más eficientes para operaciones frecuentes de lectura / escritura. Las máquinas virtuales de Azure
usan blobs de página como sistema operativo y discos de datos.
✔ Una vez que se ha creado el blob, no se puede cambiar su tipo.
Herramientas de carga de blobs

Existen varios métodos para cargar datos en el almacenamiento de blobs, incluidos los siguientes métodos:
● AzCopy es una herramienta de línea de comandos fácil de usar para Windows y Linux que copia datos hacia y desde Blob
Storage, entre contenedores o entre cuentas de almacenamiento.
● La Biblioteca de movimiento de datos de Azure Storage es una biblioteca .NET para mover datos entre servicios de
Azure Storage. La utilidad AzCopy se crea con la biblioteca Data Movement.
● Fábrica de datos de Azure admite la copia de datos hacia y desde Blob Storage mediante el uso de la clave de cuenta, la firma de acceso
compartido, la entidad de servicio o las identidades administradas para las autenticaciones de recursos de Azure.
● Blobfuse es un controlador de sistema de archivos virtual para Azure Blob Storage. Puede usar blobfuse para acceder a sus datos de
blob de bloques existentes en su cuenta de almacenamiento a través del sistema de archivos de Linux.
● Disco de caja de datos de Azure es un servicio para transferir datos locales a Blob Storage cuando grandes conjuntos de
datos o restricciones de red hacen que la carga de datos por cable no sea realista. Puede usar Azure Data Box Disk para
solicitar discos de estado sólido (SSD) de Microsoft. Luego, puede copiar sus datos en esos discos y enviarlos de regreso a
Microsoft para que se carguen en Blob Storage.
● La Importación / Exportación de Azure El servicio proporciona una forma de exportar grandes cantidades de datos desde su
cuenta de almacenamiento a los discos duros que usted proporciona y que Microsoft luego le envía con sus datos.
✔ Por supuesto, siempre puede usar Azure Storage Explorer.
Precios de almacenamiento
Todas las cuentas de almacenamiento usan un modelo de precios para el almacenamiento de blobs según el nivel de cada blob. Al usar una cuenta de
almacenamiento, se aplican las siguientes consideraciones de facturación:
● Niveles de rendimiento: Además de la cantidad de datos almacenados, el costo de almacenamiento de datos varía según el
nivel de almacenamiento. El costo por gigabyte disminuye a medida que el nivel se enfría.
● Costos de acceso a datos: Los cargos por acceso a datos aumentan a medida que el nivel se enfría. Para los datos en el nivel de
almacenamiento frío y de archivo, se le cobra un cargo de acceso a datos por gigabyte para las lecturas.
● Costos de transacción: Hay un cargo por transacción para todos los niveles que aumenta a medida que el nivel se enfría.
● Costos de transferencia de datos de replicación geográfica: Este cargo solo se aplica a las cuentas con la replicación geográfica
configurada, incluidos GRS y RA-GRS. La transferencia de datos de replicación geográfica incurre en un cargo por gigabyte.
● Costos de transferencia de datos salientes: Las transferencias de datos salientes (datos que se transfieren fuera de una
región de Azure) generan facturación por uso de ancho de banda por gigabyte, de acuerdo con las cuentas de
almacenamiento de uso general.
● Cambiar el nivel de almacenamiento: Cambiar el nivel de almacenamiento de la cuenta de frío a caliente genera un cargo
equivalente a leer todos los datos existentes en la cuenta de almacenamiento. Sin embargo, cambiar el nivel de almacenamiento
de la cuenta de caliente a frío implica un cargo equivalente a escribir todos los datos en el nivel frío (solo cuentas GPv2).
Demostración: almacenamiento de blobs

En esta demostración, explorará el almacenamiento de blobs.
Nota: Esta demostración requiere una cuenta de almacenamiento.
Crea un contenedor
1. Vaya a una cuenta de almacenamiento en Azure Portal.
2. En el menú de la izquierda de la cuenta de almacenamiento, desplácese hasta el Servicio de blobs sección, luego seleccione Blobs.
3. Seleccione el + Envase botón.
4. Escriba a Nombre para su nuevo contenedor. El nombre del contenedor debe estar en minúsculas, debe comenzar con una letra
o número, y puede incluir solo letras, números y el carácter de guión (-).
5. Establezca el nivel de acceso público al contenedor. El nivel predeterminado es Privado (sin acceso anónimo).
6. Seleccione OK para crear el contenedor.
Cargar un blob en bloque
1. En Azure Portal, navegue hasta el contenedor que creó en la sección anterior.

2. Seleccione el contenedor para mostrar una lista de blobs que contiene. Dado que este contenedor es nuevo, todavía no contendrá ningún
blobs.
3. Selecciona el Subir para cargar un blob en el contenedor. Ampliar la Avanzado sección. Observe la Tipo
4. de autenticación, tipo de blob, tamaño de bloque, y la habilidad de Sube a una carpeta.
5.
6. Observe el valor predeterminado Tipo de autenticación el tipo es SAS.
7. Explore su sistema de archivos local para encontrar un archivo para cargar como un blob en bloque y seleccione Subir.
8. Sube tantos blobs como quieras de esta forma. Observará que los nuevos blobs ahora se enumeran dentro del
contenedor.
Descargar un blob en bloque
Puede descargar un blob en bloque para mostrarlo en el navegador o guardarlo en su sistema de archivos local.
1. Navegue a la lista de blobs que cargó en la sección anterior.
2. Haga clic con el botón derecho en el blob que desea descargar y seleccione Descargar.
Seguridad de almacenamiento 195
Seguridad de almacenamiento
Seguridad de almacenamiento
Azure Storage proporciona un conjunto completo de capacidades de seguridad que, en conjunto, permiten a los desarrolladores crear
aplicaciones seguras. En esta lección, nos enfocamos en las firmas de acceso compartido, pero también cubrimos el cifrado de
almacenamiento y algunas de las mejores prácticas. Estas son las capacidades de seguridad de alto nivel para el almacenamiento de Azure:
● Cifrado. Todos los datos escritos en Azure Storage se cifran automáticamente mediante Storage Service
Encryption (SSE).
● Autenticación. Azure Active Directory (Azure AD) y el control de acceso basado en roles (RBAC) son compatibles con Azure Storage tanto
para las operaciones de administración de recursos como para las operaciones de datos, de la siguiente manera:
● Puede asignar roles de RBAC dentro del ámbito de la cuenta de almacenamiento a las entidades de seguridad y usar Azure AD para
autorizar las operaciones de administración de recursos, como la administración de claves.
● La integración de Azure AD es compatible con las operaciones de datos en los servicios Blob y Queue.
● Datos en tránsito. Los datos se pueden proteger en tránsito entre una aplicación y Azure mediante el cifrado del lado
del cliente, HTTPS o SMB 3.0.
● Cifrado de disco. Los discos de datos y el sistema operativo que usan las máquinas virtuales de Azure se pueden cifrar con Azure Disk
Encryption.
● Firmas de acceso compartido. El acceso delegado a los objetos de datos en Azure Storage se puede otorgar
mediante firmas de acceso compartido.
Opciones de autorización
Cada solicitud realizada contra un recurso seguro en el servicio Blob, Archivo, Cola o Tabla debe estar autorizada. La
autorización garantiza que los recursos de su cuenta de almacenamiento sean accesibles solo cuando usted lo
desee, y solo para aquellos usuarios o aplicaciones a los que otorgue acceso. Las opciones para autorizar solicitudes
a Azure Storage incluyen:
● Azure Active Directory (Azure AD). Azure AD es el servicio de gestión de acceso e identidad basado en la nube de
Microsoft. Con Azure AD, puede asignar acceso detallado a usuarios, grupos o aplicaciones a través del control de
acceso basado en roles (RBAC).
● Llave compartida. La autorización de clave compartida se basa en las claves de acceso de su cuenta y otros parámetros
para producir una cadena de firma encriptada que se pasa en la solicitud en el encabezado de Autorización.
● Firmas de acceso compartido. Las firmas de acceso compartido (SAS) delegan el acceso a un recurso particular en su
cuenta con permisos específicos y durante un intervalo de tiempo específico.
● Acceso anónimo a contenedores y blobs. Opcionalmente, puede hacer públicos los recursos de blob a nivel de contenedor o
de blob. Cualquier usuario puede acceder a un contenedor público o un blob para obtener acceso de lectura anónimo. Las
solicitudes de lectura de blobs y contenedores públicos no requieren autorización.
Firmas de acceso compartido

Una firma de acceso compartido (SAS) es un URI que otorga derechos de acceso restringidos a los recursos de Azure Storage (un blob
específico en este caso). Puede proporcionar una firma de acceso compartido a los clientes a los que no se les debe confiar la clave de
su cuenta de almacenamiento, pero a quienes desea delegar el acceso a ciertos recursos de la cuenta de almacenamiento. Al
distribuir un URI de firma de acceso compartido a estos clientes, les otorga acceso a un recurso durante un período de tiempo
específico. SAS es una forma segura de compartir sus recursos de almacenamiento sin comprometer las claves de su cuenta.
Un SAS le brinda control granular sobre el tipo de acceso que otorga a los clientes que tienen el SAS, incluyendo:
● Un SAS a nivel de cuenta puede delegar el acceso a múltiples servicios de almacenamiento. Por ejemplo, blob, archivo, cola y
tabla.
● Un intervalo durante el cual el SAS es válido, incluida la hora de inicio y la hora de vencimiento.
● Los permisos otorgados por SAS. Por ejemplo, un SAS para un blob puede otorgar permisos de lectura y
escritura a ese blob, pero no permisos de eliminación.
Opcionalmente, también puede:
● Especifique una dirección IP o un rango de direcciones IP desde las que Azure Storage aceptará el SAS. Por
ejemplo, puede especificar un rango de direcciones IP que pertenezcan a su organización.
● El protocolo sobre el que Azure Storage aceptará SAS. Puede utilizar este parámetro opcional para restringir el
acceso a los clientes que utilizan HTTPS.
✔ Hay dos tipos de SAS: cuenta y Servicio. La cuenta SAS delega el acceso a los recursos en uno o más de los
servicios de almacenamiento. El servicio SAS delega el acceso a un recurso en solo uno de los servicios de
almacenamiento.
✔ Una política de acceso almacenada puede proporcionar un nivel adicional de control sobre SAS de nivel de servicio en el lado del
servidor. Puede agrupar firmas de acceso compartido y proporcionar restricciones adicionales para las firmas que están sujetas a la
política.
Para más información:
¿Qué es una firma de acceso compartido? - https://docs.microsoft.com/en-us/azure/storage/common/

storage-dotnet-shared-access-signature-part-1? toc =% 2fazure% 2fstorage% 2fblobs% 2ftoc. json #
que-es-una-firma-de-acceso-compartido 3
3 https://docs.microsoft.com/en-us/azure/storage/common/storage-dotnet-shared-access-signature-part-1?toc=%2fazure%2fstorage%2fbl obs%
2ftoc.json
Definir una política de acceso almacenada - https://docs.microsoft.com/en-us/rest/api/storageservices/de-

fine-stored-access-policy
Parámetros URI y SAS

A medida que crea su SAS, se crea un URI utilizando parámetros y tokens. El URI consta de su URI de recursos de
almacenamiento y el token SAS.
Aquí hay un URI de ejemplo. Cada parte se describe en la tabla siguiente.
https://myaccount.blob.core.windows.net/?restype=service&comp=proper- ties & sv = 2015-04-05 &

ss = bf & srt = s & st = 2015-04-29T22% 3A18% 3A26Z & se = 2015-04- 30T02% 3A23 % 3A26Z & sr = b
& sp = rw & sip = 168.1.5.60-168.1.5.70 & spr = https & sig = F% 6GRVAZ5Cdj2Pw4txxxxx
Nombre Porción SAS Descripción

URI de recurso https: //myaccount.blob.core. El punto final del servicio Blob, con
windows.net/?restype=ser- parámetros para obtener propiedades del
vice & comp = propiedades servicio (cuando se llama con GET) o
establecer propiedades del servicio
(cuando se llama con SET).
Versión de servicios de almacenamiento sv = 2015-04-05 Para los servicios de almacenamiento

versión 2012-02-12 y posteriores, este
parámetro indica la versión a utilizar.
Servicios ss = bf El SAS se aplica a los servicios

Blob y File
Tipos de recursos srt = s El SAS se aplica a las operaciones de
nivel de servicio.
Hora de inicio st = 2015-04- Especificado en hora UTC. Si desea

29T22% 3A18% 3A26Z que el SAS sea válido de inmediato,
omita la hora de inicio.
Tiempo de expiración se = 2015-04- Especificado en hora UTC.
30T02% 3A23% 3A26Z
Recurso sr = b El recurso es una mancha.
Permisos sp = rw Los permisos otorgan acceso a

operaciones de lectura y escritura.
Rango de IP sorbo = 168.1.5.60-168.1.5.70 El rango de direcciones IP desde las
que se aceptará una solicitud.
Protocolo spr = https Solo se permiten solicitudes que
utilicen HTTPS.
Nombre Porción SAS Descripción

Firma sig = F% 6GRVAZ5Cdj2Pw4tgU7Il- Se usa para autenticar el acceso a
STkWgn7bUkkAg8P6HESXwm- la gota. La firma es una clave
f% 4B HMAC calculado sobre una cadena
para firmar y utilizar el
Algoritmo SHA256, y luego
codificado con codificación Base64.
Para más información, Parámetros de firma de acceso compartido 4 .
Demostración - SAS (Portal)

En esta demostración, crearemos una firma de acceso compartido.
Nota: Esta demostración requiere una cuenta de almacenamiento, con un contenedor de blobs y un archivo cargado.
Crea un SAS a nivel de servicio
1. Inicie sesión en Azure Portal.
2. Busque la cuenta de almacenamiento con la que desea trabajar y ábrala. Profundiza en tu contenedor de blobs.
3. Haga clic en el archivo al que le gustaría proporcionar acceso.
4. Seleccione el Generar SAS pestaña.
5. Configure la firma de acceso compartido utilizando los siguientes parámetros:
● Permisos: Leer
● Fecha / hora de inicio y caducidad: Fecha de inicio de hoy, 1 año de vencimiento
● Protocolos permitidos: HTTPS
● Clave de firma: Key1
6. Copie el URL SAS de Blob Server y pegue la URL en un navegador.
7. Verifique que se muestre el archivo de blob.
8. Revise los diferentes parámetros de URL que aprendió en la lección.
Cree una SAS a nivel de cuenta
1. Regrese a su cuenta de almacenamiento.
2. Haga clic en Firma de acceso compartido.
3. Tenga en cuenta que puede configurar una variedad de servicios, tipos de recursos y permisos.
4. Haga clic en Genere SAS y cadena de conexión.
5. Revise la cadena de conexión, el token SAS y la información de URL que se proporciona.
Cifrado del servicio de almacenamiento

Azur Cifrado del servicio de almacenamiento ( SSE) para datos en reposo lo ayuda a proteger sus datos para cumplir con los
compromisos de cumplimiento y seguridad de su organización. Con esta característica, la plataforma de almacenamiento de Azure
4 https://docs.microsoft.com/en-us/azure/storage/common/storage-dotnet-shared-access-signature-part-1?toc=%2fazure%2fstorage%2fbl obs%
2ftoc.json
cifra automáticamente sus datos antes de conservarlos en Azure Managed Disks, Azure Blob, Queue, Table Storage
o Azure Files, y descifra los datos antes de recuperarlos.
El manejo del cifrado, el cifrado en reposo, el descifrado y la gestión de claves en Storage Service Encryption es
transparente para los usuarios. Todos los datos escritos en la plataforma de almacenamiento de Azure se cifran
mediante cifrado AES de 256 bits, uno de los cifrados de bloque más sólidos disponibles.
✔ SSE está habilitado para todas las cuentas de almacenamiento nuevas y existentes y no se puede deshabilitar. Debido a que sus datos están protegidos
de forma predeterminada, no es necesario que modifique su código ni sus aplicaciones.
Claves administradas por el cliente

Si lo prefiere, puede usar Azure Key Vault para administrar sus claves de cifrado. Con Key Vault puede crear sus
propias claves de cifrado y almacenarlas en un almacén de claves, o puede utilizar las API de Azure Key Vault para
generar claves de cifrado.
El uso de claves personalizadas le brinda más flexibilidad y control al crear, deshabilitar, auditar, rotar y
definir controles de acceso.
✔ Para usar claves administradas por el cliente con SSE, puede crear una clave y un almacén de claves nuevos o puede usar una clave
y un almacén de claves existentes. La cuenta de almacenamiento y el almacén de claves deben estar en la misma región, pero
pueden estar en diferentes suscripciones.
Prácticas recomendadas de seguridad de almacenamiento
Riesgos
Cuando utiliza firmas de acceso compartido en sus aplicaciones, debe tener en cuenta dos riesgos potenciales.
● Si un SAS se ve comprometido, cualquiera que lo obtenga puede utilizarlo.
● Si un SAS proporcionado a una aplicación cliente caduca y la aplicación no puede recuperar un nuevo SAS de su
servicio, es posible que la funcionalidad de la aplicación se vea obstaculizada.
Recomendaciones
Las siguientes recomendaciones para el uso de firmas de acceso compartido pueden ayudar a mitigar los riesgos.
● Utilice siempre HTTPS para crear o distribuir un SAS. Si un SAS se pasa a través de HTTP y se intercepta, un atacante
que realiza un ataque man-in-the-middle puede leer el SAS y luego usarlo tal como podría haberlo hecho el usuario
previsto, lo que podría comprometer datos confidenciales o permitir la corrupción de datos por el usuario
malintencionado.
● Consulte las políticas de acceso almacenadas siempre que sea posible. Las políticas de acceso almacenado le brindan la
opción de revocar permisos sin tener que volver a generar las claves de la cuenta de almacenamiento. Establezca la caducidad de
estos muy lejos en el futuro (o infinito) y asegúrese de que se actualice regularmente para moverlo más en el futuro.
● Utilice tiempos de vencimiento a corto plazo en un SAS ad hoc. De esta manera, incluso si un SAS está comprometido, es válido solo por
un corto tiempo. Esta práctica es especialmente importante si no puede hacer referencia a una política de acceso almacenada. Los tiempos
de vencimiento a corto plazo también limitan la cantidad de datos que se pueden escribir en un blob al limitar el tiempo disponible para
cargarlo.
● Haga que los clientes renueven automáticamente la SAS si es necesario. Los clientes deben renovar el SAS mucho antes del
vencimiento, a fin de permitir tiempo para reintentos si el servicio que proporciona el SAS no está disponible. Si su SAS está
destinado a utilizarse para una pequeña cantidad de operaciones inmediatas y de corta duración que se espera que se completen
dentro del período de vencimiento, entonces esto puede ser innecesario ya que no se espera que se renueve el SAS. Sin embargo,
si tiene un cliente que realiza solicitudes de forma rutinaria a través de SAS, entonces entra en juego la posibilidad de caducidad.
La consideración clave es equilibrar la necesidad de que el SAS sea de corta duración (como se indicó anteriormente) con la
necesidad de garantizar que el cliente solicite la renovación con suficiente anticipación (para evitar interrupciones debido a que el
SAS expira antes de una renovación exitosa).
● Tenga cuidado con la hora de inicio de SAS. Si establece la hora de inicio de un SAS en ahora, debido a la desviación del reloj
(diferencias en la hora actual según las diferentes máquinas), es posible que se observen fallas de forma intermitente durante
los primeros minutos. En general, configure la hora de inicio para que sea de al menos 15 minutos en el pasado. O no lo
configure en absoluto, lo que lo hará válido de inmediato en todos los casos. Lo mismo se aplica generalmente al tiempo de
vencimiento también; recuerde que puede observar hasta 15 minutos de desviación del reloj en cualquier dirección en cualquier
solicitud. Para los clientes que usan una versión REST anterior a 2012-02-12, la duración máxima para un SAS que no hace
referencia a una política de acceso almacenada es de 1 hora, y cualquier política que especifique un plazo más largo fallará.
● Sea específico con el recurso al que se accede. Una práctica recomendada de seguridad es proporcionar al usuario los
privilegios mínimos requeridos. Si un usuario solo necesita acceso de lectura a una sola entidad, concédale lectura
acceso a esa única entidad, y no acceso de lectura / escritura / eliminación a todas las entidades. Esto también ayuda a
disminuir el daño si un SAS se ve comprometido porque el SAS tiene menos poder en manos de un atacante.
● Comprenda que se facturará a su cuenta por cualquier uso, incluido el realizado con SAS. Si proporciona acceso de escritura
a un blob, un usuario puede optar por cargar un blob de 200 GB. Si también les ha otorgado acceso de lectura, pueden optar por
descargarlo 10 veces, incurriendo en costos de salida de 2 TB para usted. Nuevamente, proporcione permisos limitados para
ayudar a mitigar las posibles acciones de los usuarios malintencionados. Utilice SAS de corta duración para reducir esta amenaza
(pero tenga en cuenta la desviación del reloj en la hora de finalización).
● Valide los datos escritos con SAS. Cuando una aplicación cliente escribe datos en su cuenta de almacenamiento, tenga
en cuenta que puede haber problemas con esos datos. Si su aplicación requiere que los datos sean validados o
autorizados antes de que estén listos para su uso, debe realizar esta validación después de que los datos estén escritos y
antes de que sean utilizados por su aplicación. Esta práctica también protege contra la escritura de datos corruptos o
maliciosos en su cuenta, ya sea por un usuario que adquirió correctamente el SAS o por un usuario que explota un SAS
filtrado.
● No asuma que SAS es siempre la opción correcta. A veces, los riesgos asociados con una operación en particular contra su
cuenta de almacenamiento superan los beneficios de SAS. Para tales operaciones, cree un servicio de nivel medio que escriba
en su cuenta de almacenamiento después de realizar la validación, autenticación y auditoría de las reglas comerciales.
Además, a veces es más sencillo administrar el acceso de otras formas. Por ejemplo, si desea hacer que todos los blobs en un
contenedor sean de lectura pública, puede hacer que el contenedor sea Público, en lugar de proporcionar un SAS a cada
cliente para el acceso.
● Utilice Storage Analytics para supervisar su aplicación. Puede utilizar el registro y las métricas para observar cualquier
aumento en las fallas de autenticación debido a una interrupción en el servicio de su proveedor SAS o a la eliminación inadvertida
de una política de acceso almacenada.
Archivos de Azure y sincronización de archivos
Archivos vs blobs
Almacenamiento de archivos 5 ofrece almacenamiento compartido para aplicaciones que utilizan el estándar de la industria Protocolo SMB 6 . Las máquinas virtuales y los
servicios en la nube de Microsoft Azure pueden compartir datos de archivos entre los componentes de la aplicación a través de recursos compartidos montados, y las
aplicaciones locales también pueden acceder a los datos de archivos en el recurso compartido.
Las aplicaciones que se ejecutan en máquinas virtuales de Azure o servicios en la nube pueden montar un recurso compartido de almacenamiento de archivos para
acceder a los datos del archivo, del mismo modo que una aplicación de escritorio montaría un recurso compartido SMB típico. Cualquier número de máquinas virtuales o
roles de Azure puede montar y acceder al recurso compartido de almacenamiento de archivos simultáneamente.
Usos comunes del almacenamiento de archivos

● Reemplazar y complementar. Azure Files se puede usar para reemplazar o complementar completamente los servidores de archivos
locales tradicionales o los dispositivos NAS.
● Accede desde cualquier lugar. Los sistemas operativos populares como Windows, macOS y Linux pueden montar directamente archivos
compartidos de Azure en cualquier lugar del mundo.
● Levantar y cambiar. Azure Files hace que sea fácil "levantar y mover" aplicaciones a la nube que esperan que un recurso compartido de archivos
almacene la aplicación de archivos o los datos del usuario.
● Sincronización de archivos de Azure. Los recursos compartidos de archivos de Azure también se pueden replicar con Azure File Sync en
servidores Windows, ya sea en las instalaciones o en la nube, para el rendimiento y el almacenamiento en caché distribuido de los datos donde
se utilizan.
● Aplicaciones compartidas. Almacenar la configuración de la aplicación compartida, por ejemplo, en archivos de configuración.
● Datos de diagnóstico. Almacenar datos de diagnóstico como registros, métricas y volcados de memoria en una ubicación compartida.
● Herramientas y utilidades. Almacenamiento de herramientas y utilidades necesarias para desarrollar o administrar máquinas
virtuales de Azure o servicios en la nube.
Comparación de archivos y blobs

A veces es difícil decidir cuándo utilizar archivos compartidos en lugar de blobs o discos compartidos. Tómese un minuto para revisar
esta tabla que compara las diferentes características.
Característica Descripción Cuándo usar

Archivos de Azure Proporciona una interfaz SMB, bibliotecas Desea "levantar y cambiar" y ya utiliza
cliente y una interfaz REST que permite el aplicación a la nube qué API del
acceso desde cualquier lugar a los archivos el archivo nativo entre este y otras
almacenados. sistema compartir datos
aplicaciones para el desarrollo de la
ciones que se ejecutan en Azure. Quieres
tienda y al que se accede desde

herramientas de depuración que deben ser
muchas aplicaciones virtuales.

máquinas.
5 https://docs.microsoft.com/en-us/azure/storage/files/storage-files-introduction
6 https://msdn.microsoft.com/library/windows/desktop/aa365233.aspx
Archivos de Azure y sincronización de archivos 203
Característica Descripción Cuándo usar

Azure Blobs Proporciona bibliotecas cliente y una Desea que su aplicación admita
interfaz REST que permite almacenar escenarios de transmisión y
y acceder a datos no estructurados a acceso aleatorio.
gran escala en blobs de bloques. para poder acceder a los datos de la
aplicación desde cualquier lugar.
Otras características distintivas, al seleccionar archivos de Azure.
● Los archivos de Azure son verdaderos objetos de directorio. Los blobs de Azure son un espacio de nombres plano.
● Se accede a los archivos de Azure a través de recursos compartidos de archivos. Se accede a los blobs de Azure a través de un contenedor.
● Los archivos de Azure proporcionan acceso compartido a varias máquinas virtuales. Los discos de Azure son exclusivos de una
sola máquina virtual.
✔ Azure Files ofrece recursos compartidos de archivos totalmente administrados en la nube a los que se puede acceder a través del protocolo Server
Message Block (SMB) estándar de la industria. Los recursos compartidos de archivos de Azure se pueden montar simultáneamente mediante
implementaciones en la nube o locales de Windows, Linux y macOS.
Para más información, ¿Qué es Azure Files? 7 .
Administrar archivos compartidos

Para acceder a sus archivos, necesitará una cuenta de almacenamiento. Una vez que esté en su lugar, proporcione el recurso compartido de archivos Nombre
y el Cuota. La cuota se refiere al tamaño total de los archivos del recurso compartido.
Asignación de recursos compartidos de archivos (Windows)

Puede conectarse a su recurso compartido de archivos de Azure con Windows o Windows Server. Toda esta información está disponible
seleccionando Conectar desde su página para compartir archivos.
7 https://docs.microsoft.com/en-us/azure/storage/files/storage-files-introduction
✔ Asegúrese de que el puerto 445 esté abierto. Azure Files usa el protocolo SMB. SMB se comunica a través del puerto TCP 445; asegúrese de
que su firewall no esté bloqueando los puertos TCP 445 de la máquina cliente.
Montaje de archivos compartidos (Linux)
Los recursos compartidos de archivos de Azure se pueden montar en distribuciones de Linux mediante el cliente del kernel de CIFS. Esto se puede
hacer bajo demanda con un comando de montaje o en el arranque (persistente) creando una entrada en / etc / fstab.
Se requiere transferencia segura

La opción de transferencia segura mejora la seguridad de su cuenta de almacenamiento al permitir solo solicitudes a la cuenta de
almacenamiento mediante una conexión segura. Por ejemplo, al llamar a las API REST para acceder a sus cuentas de almacenamiento,
debe conectarse mediante HTTP. Cualquier solicitud que utilice HTTP será rechazada cuando Se requiere transferencia segura está
habilitado.
✔ Dado que Azure Storage no admite HTTP para nombres de dominio personalizados, esta opción no se aplica con un
nombre de dominio personalizado.
Instantáneas de archivos compartidos

Azure Files proporciona la capacidad de compartir instantáneas de archivos compartidos. Las instantáneas de recursos compartidos capturan el
estado de recursos compartidos en ese momento. Una instantánea compartida es una copia puntual y de solo lectura de sus datos.
La capacidad de compartir instantáneas se proporciona a nivel de recursos compartidos de archivos. La recuperación se proporciona a nivel de archivo individual, para
permitir la restauración de archivos individuales. No puede eliminar un recurso compartido que tenga instantáneas de recursos compartidos a menos que primero
elimine todas las instantáneas de recursos compartidos.
Las instantáneas compartidas son de naturaleza incremental. Solo se guardan los datos que han cambiado después de la instantánea
compartida más reciente. Esto minimiza el tiempo necesario para crear la instantánea compartida y ahorra costos de almacenamiento.
Aunque las instantáneas de recursos compartidos se guardan de forma incremental, es necesario conservar solo la instantánea de recursos
compartidos más reciente para restaurar el recurso compartido.
Cuándo usar compartir instantáneas

● Protección contra errores de aplicación y corrupción de datos. Las aplicaciones que utilizan archivos compartidos realizan
operaciones como escritura, lectura, almacenamiento, transmisión y procesamiento. Si una aplicación está mal configurada o se
introduce un error involuntario, pueden producirse daños o sobrescritura accidental en algunos bloques. Para ayudar a
protegerse contra estos escenarios, puede tomar una instantánea compartida antes de implementar un nuevo código de
aplicación. Si se introduce un error o un error de aplicación con la nueva implementación, puede volver a una versión anterior de
sus datos en ese recurso compartido de archivos.
● Protección contra eliminaciones accidentales o cambios no deseados. Imagina que estás trabajando en un archivo de texto
en un archivo compartido. Una vez que se cierra el archivo de texto, pierde la capacidad de deshacer los cambios. En estos casos,
deberá recuperar una versión anterior del archivo. Puede usar instantáneas compartidas para recuperar versiones anteriores del
archivo si se le cambia el nombre o se elimina accidentalmente.
● Propósitos generales de respaldo. Después de crear un recurso compartido de archivos, puede crear periódicamente una instantánea compartida del recurso
compartido de archivos para usarlo para la copia de seguridad de datos. Una instantánea compartida, cuando se toma periódicamente, ayuda a mantener las
versiones anteriores de los datos que se pueden usar para los requisitos de auditoría futuros o la recuperación ante desastres.
Demostración: archivos compartidos

En esta demostración, trabajaremos con archivos compartidos e instantáneas.
Nota: Estos pasos requieren una cuenta de almacenamiento.
Cree un archivo compartido y cargue un archivo
1. Acceda a su cuenta de almacenamiento y haga clic en Archivos.
2. Haga clic en + Recurso compartido de archivos y dale a tu nuevo archivo compartido un Nombre y un Cuota.
3. Una vez creado el recurso compartido de archivos Subir un archivo.
4. Observe la capacidad de Agregar un directorio, Eliminar recurso compartido, y editar el Cuota.

Administrar instantáneas
1. Acceda a su recurso compartido de archivos.
2. Seleccione Crear instantánea.
3. Seleccione Ver instantáneas y verifique que se haya creado su instantánea.
4. Haga clic en la instantánea y verifique que incluya su archivo cargado.
5. Haga clic en el archivo que forma parte de la instantánea y revise el Propiedades de archivo.
6. Observe las opciones para Descargar y Restaurar el archivo de instantánea.
7. Acceda al recurso compartido de archivos y elimine el archivo que cargó anteriormente.
8. Restaurar el archivo de la instantánea.
Crear un recurso compartido de archivos (PowerShell)
1. Reúna el nombre de la cuenta de almacenamiento y la clave de la cuenta de almacenamiento.
Get-AzStorageAccount | fl * nombre *
Get-AzStorageAccount -ResourceGroupName "YourResourceGroupName" -Name
"YourStorageAccountName"
2. Recupere una clave de acceso para su cuenta de almacenamiento.
$ storageAccountKeys = Get-AzStorageAccountKey -ResourceGroupName $ resource- GroupName -Name $

storageAccountName
3. Cree un contexto para su cuenta y clave de almacenamiento. El contexto encapsula el nombre de la cuenta de
almacenamiento y la clave de la cuenta.
$ storageContext = New-AzStorageContext -StorageAccountName "YourStorageAc- countName"

-StorageAccountKey $ storageAccountKeys [0] .value
4. Cree el recurso compartido de archivos. El nombre de su recurso compartido de archivos debe estar en minúsculas.
$ share = New-AzStorageShare "YourFileShareName" -Context $ storageContext
Montar un recurso compartido de archivos (PowerShell)
Nota: Ejecute los siguientes comandos desde una sesión de PowerShell normal (es decir, no elevada) para montar el recurso
compartido de archivos de Azure. Recuerde reemplazar <your-resource-group-name>, <your-storage-account-name>,
<your-file-share-name> y la letra de la unidad deseada con la información adecuada.
$ resourceGroupName = "su-nombre-del-grupo-de-recursos"
$ storageAccountName = "su-nombre-de-cuenta-de-almacenamiento"
$ fileShareName = "su-nombre-compartido-de-archivos"
# Estos comandos requieren que inicie sesión en su cuenta de Azure, ejecute Login-AzAccount si no
lo ha hecho
# Ya iniciado sesión.
$ storageAccount = Get-AzStorageAccount -ResourceGroupName $ resourceGroupN- ame -Name $
storageAccountName
$ storageAccountKeys = Get-AzStorageAccountKey -ResourceGroupName $ resource- GroupName -Name $
storageAccountName
$ fileShare = Get-AzStorageShare -Context $ storageAccount.Context | Where-Object {
$ _. Nombre -eq $ fileShareName-y $ _. IsSnapshot -eq $ false}
if ($ fileShare -eq $ null) {

throw [System.Exception] :: new ("No se encontró el recurso compartido de archivos de Azure")}
# El valor dado al parámetro raíz del cmdlet New-PSDrive es la dirección de host para la cuenta de
almacenamiento,
# storage-account.file.core.windows.net para las regiones públicas de Azure. $ fileShare.

StorageUri.PrimaryUri.Host es
# se usa porque las regiones de Azure no públicas, como las nubes soberanas o las implementaciones de
Azure Stack, tendrán diferentes
# hosts para recursos compartidos de archivos de Azure (y otros recursos de almacenamiento).

$ contraseña = ConvertTo-SecureString -String $ storageAccountKeys [0] .Value
- AsPlainText -Force
$ credential = New-Object System.Management.Automation.PSCredential -Argu-mentList "AZURE \ $ ($
storageAccount.StorageAccountName)", $ contraseña New-PSDrive -Name deseada-drive-letter
-PSProvider FileSystem -Root "\\ $ ($ fileShare.StorageUri.PrimaryUri.Host) \ $ ($ fileShare.Name)
"-Credential $ credential -Persist
Cuando haya terminado, puede desmontar el recurso compartido de archivos ejecutando el siguiente comando:
Remove-PSDrive -Name letra-de-unidad-deseada
Sincronización de archivos
Usar Sincronización de archivos de Azure para centralizar los recursos compartidos de archivos de su organización en Azure Files, al tiempo
que mantiene la flexibilidad, el rendimiento y la compatibilidad de un servidor de archivos local. Azure File Sync transforma Windows Server en
un caché rápido de su recurso compartido de archivos de Azure. Puede usar cualquier protocolo que esté disponible en Windows Server para
acceder a sus datos localmente, incluidos SMB, NFS y FTPS. Puede tener tantos cachés como necesite en todo el mundo.
La sincronización de archivos tiene muchos usos y ventajas.
1. Levantar y cambiar. La capacidad de mover aplicaciones que requieren acceso entre Azure y local
sistemas. Proporcione acceso de escritura a los mismos datos en servidores Windows y archivos de Azure. Esto permite que las
empresas con varias oficinas tengan la necesidad de compartir archivos con todas las oficinas.
2. Sucursales. Las sucursales necesitan hacer una copia de seguridad de los archivos o debe configurar un nuevo servidor que se conecte al
almacenamiento de Azure.
3. Copia de seguridad y recuperación ante desastres. Una vez implementada la sincronización de archivos, Azure Backup realizará una copia de seguridad de sus
datos locales. Además, puede restaurar los metadatos de los archivos de inmediato y recuperar los datos según sea necesario para una rápida recuperación ante
desastres.
4. Archivado de archivos. Solo los datos a los que se ha accedido recientemente se encuentran en servidores locales. Los datos no utilizados se trasladan a Azure en lo
que se denomina Cloud Tiering.
✔ La clasificación por niveles en la nube es una característica opcional de Azure File Sync en la que los archivos a los que se accede con frecuencia se
almacenan en caché localmente en el servidor, mientras que todos los demás archivos se clasifican en Azure Files según la configuración de la política.
Cuando un archivo tiene niveles, el sistema de archivos de Azure File Sync reemplaza el archivo localmente con un puntero o punto de análisis. El punto de
análisis representa una dirección URL del archivo en Azure Files. Cuando un usuario abre un archivo en niveles, Azure File Sync recupera sin problemas los
datos del archivo de Azure Files sin que el usuario necesite saber que el archivo está realmente almacenado en Azure. Los archivos de niveles en la nube
tendrán iconos atenuados con un atributo de archivo O sin conexión para que el usuario sepa que el archivo solo está en Azure.
Para más información, Planificación de una implementación de Azure File Sync 8 .
Componentes de sincronización de archivos

Para aprovechar al máximo Azure File Sync, es importante comprender la terminología.
8 https://docs.microsoft.com/en-us/azure/storage/files/storage-sync-files-planning
Servicio de sincronización de almacenamiento. Storage Sync Service es el recurso de Azure de nivel superior para Azure File Sync. El recurso Storage Sync
Service es un par del recurso de la cuenta de almacenamiento y se puede implementar de manera similar en grupos de recursos de Azure. Se requiere un
recurso de nivel superior distinto del recurso de la cuenta de almacenamiento porque el Servicio de sincronización de almacenamiento puede crear
relaciones de sincronización con varias cuentas de almacenamiento a través de varios grupos de sincronización. Una suscripción puede tener
implementados varios recursos del Servicio de sincronización de almacenamiento.
Grupo de sincronización. Un grupo de sincronización define la topología de sincronización para un conjunto de archivos. Los puntos finales dentro de un
grupo de sincronización se mantienen sincronizados entre sí. Si, por ejemplo, tiene dos conjuntos distintos de archivos que desea administrar con Azure
File Sync, debe crear dos grupos de sincronización y agregar diferentes puntos de conexión a cada grupo de sincronización. Un servicio de sincronización
de almacenamiento puede alojar tantos grupos de sincronización como necesite.
Servidor registrado. El objeto de servidor registrado representa una relación de confianza entre su servidor (o clúster) y el Servicio de
sincronización de almacenamiento. Puede registrar tantos servidores en una instancia de Storage Sync Service como desee. Sin
embargo, un servidor (o clúster) se puede registrar con un solo servicio de sincronización de almacenamiento a la vez.
Agente de Azure File Sync. El agente de Azure File Sync es un paquete descargable que permite sincronizar Windows Server
con un recurso compartido de archivos de Azure. El agente de Azure File Sync tiene tres componentes principales:
● FileSyncSvc.exe: el servicio de fondo de Windows que se encarga de supervisar los cambios en los puntos de
conexión del servidor y de iniciar sesiones de sincronización con Azure.
● StorageSync.sys: el filtro del sistema de archivos de Azure File Sync, que se encarga de organizar los archivos en niveles en Azure Files (cuando la
distribución en niveles en la nube está habilitada).
● Cmdlets de administración de PowerShell: cmdlets de PowerShell que usa para interactuar con Microsoft. Proveedor de
recursos de Azure StorageSync. Puede encontrarlos en las siguientes ubicaciones (predeterminadas):
● C: \ Archivos de programa \ Azure \ StorageSyncAgent \ StorageSync.Management.PowerShell.Cmdlets.dll
● C: \ Archivos de programa \ Azure \ StorageSyncAgent \ StorageSync.Management.ServerCmdlets.dll
Punto final del servidor. Un extremo del servidor representa una ubicación específica en un servidor registrado, como una carpeta en un
volumen de servidor. Pueden existir varios puntos finales de servidor en el mismo volumen si sus espacios de nombres no se superponen (por
ejemplo, F: \ sync1 y F: \ sync2). Puede configurar las políticas de niveles de la nube individualmente para cada punto final del servidor. Puede
crear un punto final de servidor a través de un punto de montaje. Tenga en cuenta que los puntos de montaje dentro del servidor
se omiten los puntos finales. Puede crear un punto final de servidor en el volumen del sistema, pero existen dos
limitaciones si lo hace:
● No se puede habilitar la organización por niveles en la nube.
● No se realiza la restauración rápida del espacio de nombres (donde el sistema reduce rápidamente todo el espacio de
nombres y luego comienza a recuperar el contenido).
Punto final en la nube. Un punto de conexión en la nube es un recurso compartido de archivos de Azure que forma parte de un grupo de sincronización. Todo el recurso
compartido de archivos de Azure se sincroniza y un recurso compartido de archivos de Azure puede ser miembro de un solo punto de conexión en la nube. Por lo tanto, un
recurso compartido de archivos de Azure puede ser miembro de un solo grupo de sincronización. Si agrega un recurso compartido de archivos de Azure que tiene un
conjunto de archivos existente como un punto de conexión en la nube a un grupo de sincronización, los archivos existentes se combinan con cualquier otro archivo que ya
esté en otros puntos de conexión en el grupo de sincronización.
Pasos de sincronización de archivos

Hay varios pasos de alto nivel para configurar File Sync.
1. Implemente el servicio de sincronización de almacenamiento. El servicio de sincronización de almacenamiento se puede implementar desde Azure Portal.
Deberá proporcionar el nombre, la suscripción, el grupo de recursos y la ubicación.
2. Prepare Windows Server para usar con Azure File Sync. Para cada servidor que desee usar con Azure File Sync,
incluidos los nodos de servidor en un clúster de conmutación por error, deberá configurar el servidor. Los pasos de
preparación incluyen deshabilitar temporalmente la seguridad mejorada de Internet Explorer y asegurarse de tener la
última versión de PowerShell.
3. Instale el Agente de sincronización de archivos de Azure. El agente de Azure File Sync es un paquete descargable que permite
sincronizar Windows Server con un recurso compartido de archivos de Azure. El paquete de instalación del agente de Azure File
Sync debería instalarse con relativa rapidez. Le recomendamos que mantenga la ruta de instalación predeterminada y que
habilite Microsoft Update para mantener actualizado Azure File Sync.
4. Registre Windows Server con Storage Sync Service. Cuando finaliza la instalación del agente de Azure File Sync, la IU de
registro del servidor se abre automáticamente. El registro de Windows Server con un servicio de sincronización de
almacenamiento establece una relación de confianza entre su servidor (o clúster) y la sincronización de almacenamiento
Servicio. El registro requiere su ID de suscripción, grupo de recursos y servicio de sincronización de almacenamiento (creado en el paso
uno). Un servidor (o clúster) se puede registrar con un solo servicio de sincronización de almacenamiento a la vez.
✔ Una vez que la sincronización de archivos esté configurada, deberá configurar la sincronización de archivos.
Gestionar el almacenamiento
Explorador de Azure Storage

Azure Storage Explorer es una aplicación independiente que facilita el trabajo con datos de Azure Storage en Windows,
macOS y Linux. Con Storage Explorer puede acceder a múltiples cuentas y suscripciones y administrar todo su contenido
de almacenamiento.
Para acceder completamente a los recursos después de iniciar sesión, el Explorador de almacenamiento requiere permisos de
administración (Azure Resource Manager) y de capa de datos. Esto significa que necesita permisos de Azure Active Directory (Azure
AD), que le dan acceso a su cuenta de almacenamiento, los contenedores de la cuenta y los datos de los contenedores.
Conectando al almacenamiento
● Conéctese a las cuentas de almacenamiento asociadas con sus suscripciones de Azure.
● Conéctese a servicios y cuentas de almacenamiento que se comparten desde otras suscripciones de Azure.
● Conéctese y administre el almacenamiento local mediante Azure Storage Emulator.
Además, puede trabajar con cuentas de almacenamiento en Azure global y nacional:
● Conéctese a una suscripción de Azure. Administre los recursos de almacenamiento que pertenecen a su suscripción de
Azure.
● Trabajar con almacenamiento de desarrollo local. Administre el almacenamiento local con Azure Storage Emulator.
Gestionar el almacenamiento 213
● Adjuntar a almacenamiento externo. Administre los recursos de almacenamiento que pertenecen a otra suscripción de Azure o que se encuentran
en nubes de Azure nacionales mediante el nombre, la clave y los puntos de conexión de la cuenta de almacenamiento (que se muestran a
continuación).
● Adjunte una cuenta de almacenamiento mediante un SAS. Administre los recursos de almacenamiento que pertenecen a otra
suscripción de Azure mediante una firma de acceso compartido (SAS).
● Adjunte un servicio mediante un SAS. Administre un servicio de almacenamiento específico (contenedor de blobs, cola o tabla)
que pertenezca a otra suscripción de Azure mediante un SAS.
● Conéctese a una cuenta de Azure Cosmos DB mediante una cadena de conexión. Administre la cuenta de Cosmos DB
mediante una cadena de conexión.
Acceder a cuentas de almacenamiento externo

Como se mencionó anteriormente, Storage Explorer le permite adjuntar a cuentas de almacenamiento externo para que las cuentas de
almacenamiento se puedan compartir fácilmente. Para crear la conexión, necesitará el almacenamiento Nombre de la cuenta y
Clave de cuenta. En el portal, la clave de la cuenta se llama clave1.
Para usar un nombre y una clave de una nube nacional, use el Dominio de terminales de almacenamiento desplegable para seleccionar
Otro y luego ingrese el dominio de punto final de almacenamiento personalizado.
✔ Acceda a claves para autenticar sus aplicaciones al realizar solicitudes a esta cuenta de almacenamiento de Azure.
Almacene sus claves de acceso de forma segura, por ejemplo, con Azure Key Vault, y no las comparta. Recomendamos
regenerar sus claves de acceso con regularidad. Se le proporcionan dos claves de acceso para que pueda mantener las
conexiones usando una clave mientras regenera la otra.
Cuando vuelva a generar sus claves de acceso, debe actualizar todos los recursos y aplicaciones de Azure que acceden a esta
cuenta de almacenamiento para usar las nuevas claves. Esta acción no interrumpirá el acceso a los discos de sus máquinas
virtuales. Cubriremos las claves de acceso con más detalle más adelante.
✔ Tenga en cuenta que este método de conexión proporciona acceso a toda la cuenta de almacenamiento.
Para más información, Empiece a utilizar el Explorador de Storage 9 .
Servicio de Importación y Exportación

El servicio Azure Import / Export se usa para importar de forma segura grandes cantidades de datos a Azure Blob Storage y Azure
Files mediante el envío de unidades de disco a un centro de datos de Azure. Este servicio también se puede usar para transferir
datos desde Azure Blob Storage a unidades de disco y enviarlos a sus sitios locales. Datos de uno o más discos
9 https://docs.microsoft.com/en-us/azure/vs-azure-tools-storage-manage-with-storage-explorer?tabs=windows
las unidades se pueden importar a Azure Blob Storage o Azure Files. Con el servicio de importación / exportación de Azure, usted
mismo proporciona sus propias unidades de disco y transfiere los datos.
Casos de uso
Considere usar el servicio de importación / exportación de Azure cuando la carga o descarga de datos a través de la red sea
demasiado lenta o la obtención de ancho de banda de red adicional tenga un costo prohibitivo. Los escenarios en los que esto sería
útil incluyen:
● Migrar datos a la nube. Mueva grandes cantidades de datos a Azure de forma rápida y rentable.
● Distribución de contenido. Envíe datos rápidamente a los sitios de sus clientes.
● Respaldo. Realice copias de seguridad de sus datos locales para almacenarlos en Azure Blob Storage.
● Recuperación de datos. Recupere una gran cantidad de datos almacenados en el almacenamiento de blobs y envíelos a su
ubicación local.
Importar trabajos
Un trabajo de importación transfiere de forma segura grandes cantidades de datos a Azure Blob Storage (blobs en bloques y páginas)
y Azure Files mediante el envío de unidades de disco a un centro de datos de Azure. En este caso, enviará discos duros que contengan
sus datos.
Para realizar una importación, siga estos pasos:
● Cree una cuenta de Azure Storage.
● Identifique la cantidad de discos que necesitará para acomodar todos los datos que desea transferir.
● Identifique un equipo que usará para realizar la copia de datos, adjunte los discos físicos que enviará al centro de
datos de Azure de destino e instale la herramienta WAImportExport.
● Ejecute la herramienta WAImportExport para copiar los datos, cifrar la unidad con BitLocker y generar archivos de diario.
● Use Azure Portal para crear un trabajo de importación que haga referencia a la cuenta de Azure Storage. Como parte de la
definición del trabajo, especifique la dirección de destino que representa la región de Azure donde reside la cuenta de Azure
Storage.
● Envíe los discos al destino que especificó al crear el trabajo de importación y actualice el trabajo
proporcionando el número de seguimiento del envío.
● Una vez que los discos llegan al destino, el personal del centro de datos de Azure realizará una copia de los datos
en la cuenta de Azure Storage de destino y le enviará los discos.
Exportar trabajos
Los trabajos de exportación transfieren datos desde el almacenamiento de Azure a unidades de disco duro y se envían a sus sitios locales.
Para realizar una exportación, siga estos pasos:
● Identifique los datos de los blobs de Azure Storage que desea exportar.
● Identifique la cantidad de discos que necesitará para acomodar todos los datos que desea transferir.
● Use Azure Portal para crear un trabajo de exportación que haga referencia a la cuenta de Azure Storage. Como parte de la
definición del trabajo, especifique los blobs que desea exportar, la dirección de devolución y el número de cuenta de su operador.
Microsoft le enviará sus discos una vez que se complete el proceso de exportación.
● Envíe la cantidad necesaria de discos a la región de Azure que aloja la cuenta de almacenamiento. Actualice el trabajo
proporcionando el número de seguimiento del envío.
● Una vez que los discos llegan al destino, el personal del centro de datos de Azure realizará la copia de datos de la
cuenta de almacenamiento a los discos que proporcionó, cifrará los volúmenes en los discos mediante BitLocker y se
los enviará de vuelta. Las claves de BitLocker estarán disponibles en Azure Portal, lo que le permitirá descifrar el
contenido de los discos y copiarlos en su almacenamiento local.
Herramienta de importación / exportación (WAImportExport)

La Herramienta de importación / exportación de Azure es la herramienta de preparación y reparación de unidades que puede utilizar con el
servicio Microsoft Azure Import / Export. Puede utilizar la herramienta para las siguientes funciones:
● Antes de crear un trabajo de importación, puede usar esta herramienta para copiar datos en los discos duros que va a enviar a
un centro de datos de Azure.
● Una vez que se ha completado un trabajo de importación, puede usar esta herramienta para reparar los blobs que estén dañados,
falten o estén en conflicto con otros blobs.
● Después de recibir las unidades de un trabajo de exportación completado, puede usar esta herramienta para reparar cualquier archivo
que esté dañado o que falte en las unidades.
El servicio de importación / exportación requiere el uso de discos duros o SSD internos SATA II / III. Cada disco contiene un único
volumen NTFS que cifra con BitLocker al preparar la unidad. Para preparar una unidad, debe conectarla a una computadora que
ejecute una versión de 64 bits del sistema operativo de servidor o cliente Windows y ejecutar la herramienta WAImportExport desde
esa computadora. La herramienta WAImportExport maneja la copia de datos, el cifrado de volumen y la creación de archivos de
diario. Los archivos de diario son necesarios para crear un trabajo de importación / exportación y ayudar a garantizar la integridad
de la transferencia de datos.
✔ Puede crear trabajos directamente desde Azure Portal o puede hacerlo mediante programación mediante la API de REST de
importación / exportación de Azure Storage.
Para más información, Servicio de importación y exportación de Azure 10 .
10 https://azure.microsoft.com/en-us/documentation/articles/storage-import-export-service/
AzCopy
Un método alternativo para transferir datos es AzCopy. AzCopy v10 es la utilidad de línea de comandos de próxima generación para
copiar datos hacia / desde el almacenamiento de archivos y blobs de Microsoft Azure, que ofrece una interfaz de línea de comandos
rediseñada y una nueva arquitectura para transferencias de datos confiables de alto rendimiento. Con AzCopy, puede copiar datos
entre un sistema de archivos y una cuenta de almacenamiento, o entre cuentas de almacenamiento.
Nuevas características
Sincronice un sistema de archivos con Azure Blob o viceversa. Ideal para escenarios de copia incremental.
● Admite las API de Azure Data Lake Storage Gen2.
● Admite copiar una cuenta completa (solo servicio Blob) a otra cuenta.
● La copia de cuenta a cuenta ahora usa las nuevas API Put from URL. No se necesita transferencia de datos al cliente, lo que
hace que la transferencia sea más rápida.
● Enumerar / eliminar archivos y blobs en una ruta determinada.
● Admite patrones de comodines en una ruta, así como indicadores de –incluir y –excluir.
● Resistencia mejorada: cada instancia de AzCopy creará una orden de trabajo y un archivo de registro relacionado. Puede ver y reiniciar
trabajos anteriores y reanudar trabajos fallidos. AzCopy también reintentará automáticamente una transferencia después de una falla.
● Mejoras generales de rendimiento.
Opciones de autenticación
● Azure Active Directory ( Compatible con los servicios Blob y ADLS Gen2). Utilice. \ Azcopy login para iniciar sesión con
Azure Active Directory. El usuario debe tener Colaborador de datos de Storage Blob rol asignado para escribir en Blob
Storage mediante la autenticación de Azure Active Directory.
● Tokens SAS ( compatible con servicios de archivos y blobs). Agregue el token SAS a la ruta de blob en la línea de
comandos para usarlo.
Empezando
AzCopy tiene una sintaxis simple auto-documentada. A continuación, le indicamos cómo puede obtener una lista de los comandos disponibles:
AzCopy /?
La sintaxis básica de los comandos de AzCopy es:
copia azcopy [origen] [destino] [banderas]
✔ AzCopy está disponible en Windows, Linux y MacOS.
Para más información, Empiece con AZCopy 11 .
Demostración: Explorador de almacenamiento

Nota: Si tiene una versión anterior del Explorador de almacenamiento, asegúrese de actualizar.
11 https://docs.microsoft.com/en-us/azure/storage/common/storage-use-azcopy
Nota: Para la demostración solo haremos una conexión de cuenta de almacenamiento básica.
En esta demostración, revisaremos varias tareas comunes de Azure Storage Explorer.
Descargue e instale el Explorador de Storage
1. Descargue e instale Azure Storage Explorer: https://azure.microsoft.com/en-us/features/

explorador de almacenamiento /
2. Después de la instalación, inicie la herramienta.
3. Revise las notas de la versión y las opciones del menú.
Conectarse a una suscripción de Azure
1. En el Explorador de Storage, seleccione Cuentas de administración, segundo icono arriba a la izquierda. Esto te llevará a la cuenta.
Panel de gestión.
2. El panel izquierdo ahora muestra todas las cuentas de Azure en las que ha iniciado sesión. Para conectarse a otra cuenta,
seleccione Agregar una cuenta.
3. Si desea iniciar sesión en una nube nacional o en una pila de Azure, haga clic en el menú desplegable del entorno de Azure para
seleccionar qué nube de Azure desea usar.
4. Una vez que haya elegido su entorno, haga clic en el Registrarse… botón.
5. Después de iniciar sesión correctamente con una cuenta de Azure, la cuenta y las suscripciones de Azure
asociadas con esa cuenta se agregan al panel izquierdo.
6. Seleccione las suscripciones de Azure con las que desea trabajar y luego seleccione Solicitar.
7. El panel izquierdo muestra las cuentas de almacenamiento asociadas con las suscripciones de Azure seleccionadas.
Nota: La siguiente sección requiere una cuenta de almacenamiento de Azure.
Adjuntar una cuenta de almacenamiento de Azure
1. Acceda a Azure Portal y a su cuenta de almacenamiento.
2. Explore la elección de Explorador de almacenamiento.
3. Seleccione Claves de acceso y lea la información sobre el uso de las claves.
4. Para conectarse en el Explorador de Storage, necesitará el Nombre de la cuenta de almacenamiento y Key1 información.
5. En el Explorador de Storage, Agregar una cuenta.
6. Pegue el nombre de su cuenta en el cuadro de texto Nombre de la cuenta, pegue la clave de su cuenta (el valor key1 de
Azure Portal) en el cuadro de texto Clave de la cuenta y luego seleccione Próximo.
7. Verifique que su cuenta de almacenamiento esté disponible en el panel de navegación. Es posible que deba actualizar la página.
8. Haga clic con el botón derecho en su cuenta de almacenamiento y observe las opciones que incluyen Abrir en portal, copiar clave primaria,
y Agregar a acceso rápido.
Genere una cadena de conexión SAS para la cuenta que desea compartir
1 en Explorador de almacenamiento, haga clic con el botón derecho en la cuenta de almacenamiento que desea compartir y luego seleccione Comparta
Firma de acceso.
2. Especifique el período de tiempo y los permisos que desea para la cuenta y luego haga clic en el Crear
botón.
3. Junto al cuadro de texto Cadena de conexión, seleccione Dupdo para copiarlo en el portapapeles y luego haga clic en Cerca.
Adjuntar a una cuenta de almacenamiento mediante una cadena de conexión SAS
1 en Explorador de almacenamiento, abre el Conectar diálogo.
2. Elija Usa una cadena de conexión y luego haga clic en Próximo.
3. Pegue su cadena de conexión en el Cadena de conexión: campo. La Nombre para mostrar: el campo debe
poblar. Haga clic en el próximo botón.
4. Verifique que la información sea correcta y seleccione Conectar.
5. Una vez que la cuenta de almacenamiento se ha adjuntado correctamente, la cuenta de almacenamiento se muestra en el
Local y adjunto nodo con ( SAS) anexado a su nombre.
Demostración - AzCopy
En esta demostración, exploraremos AzCopy.
Instale la herramienta AzCopy
1. Descargue su versión de AZCopy - Empiece con AZCopy 12
2. Instale y ejecute la herramienta.
Explore la ayuda
1. Vea la ayuda.
azcopy /?
2. Desplácese hasta la parte superior de la información de ayuda y lea sobre la Opciones comunes, como: fuente, destino
ción, clave de origen y clave de destino.
3. Desplácese hacia abajo Muestras sección. Intentaremos varios de estos ejemplos. Son alguno de estos
ejemplos particularmente interesantes para usted?
Descargar un blob de Blob Storage al sistema de archivos
Nota: Este ejemplo requiere una cuenta de almacenamiento de Azure con un contenedor de blobs y un archivo de blob. También
necesitará capturar parámetros en un editor de texto como el Bloc de notas.
2. Acceda a su cuenta de almacenamiento con el blob que desea descargar.
3. Seleccione Claves de acceso y copia el Clave Key1 valor. Esta sera la sourcekey: valor.
4. Desplácese hasta el blob de interés y visualice el archivo. Propiedades.
5. Copie el URL información. Esta sera la fuente: valor.
6. Busque un directorio de destino local. Esta sera la dest: valor. También se requiere un nombre de archivo.
7. Construya el comando usando sus valores.
azcopy / source: sourceURL / dest: destinationdirectoryandfilename / sourcekey: "clave"
8. Si tiene errores, léalos detenidamente y haga las correcciones.
9. Verifique que el blob se haya descargado en su directorio local.
12 https://docs.microsoft.com/en-us/azure/storage/common/storage-use-azcopy-v10
Cargar archivos en Azure Blob Storage Nota: El ejemplo continúa del ejemplo anterior y requiere
un directorio local con archivos.
1. El fuente: para el comando será un directorio local con archivos.
2. El dest: será la URL de blob utilizada en el ejemplo anterior. Asegúrese de eliminar el nombre del archivo, solo incluya
la cuenta de almacenamiento y el contenedor.
3. El destkey: será la clave utilizada en el ejemplo anterior.
4. Construya el comando usando sus valores.
azcopy / source: source / dest: destinationcontainer / destkey: key
5. Si tiene errores, léalos detenidamente y haga las correcciones.
6. Verifique que sus archivos locales se hayan copiado en el contenedor de Azure.
7. Observe que hay conmutadores a subdirectorios recurrentes y coincidencia de patrones.

Laboratorio 07: Administración de almacenamiento de Azure
Debe evaluar el uso del almacenamiento de Azure para almacenar archivos que residen actualmente en almacenes de datos locales.
Si bien no se accede con frecuencia a la mayoría de estos archivos, existen algunas excepciones. Le gustaría minimizar el costo de
almacenamiento colocando los archivos a los que se accede con menos frecuencia en niveles de almacenamiento de menor precio.
También planea explorar diferentes mecanismos de protección que ofrece Azure Storage, incluido el acceso a la red, la autenticación,
la autorización y la replicación. Por último, desea determinar en qué medida el servicio Azure Files podría ser adecuado para hospedar
sus recursos compartidos de archivos locales.
Objetivos
● Tarea 2: crear y configurar cuentas de Azure Storage. Tarea 3:
● administrar el almacenamiento de blobs.
● Tarea 4: administrar la autenticación y la autorización para Azure Storage. Tarea 5:
● crear y configurar recursos compartidos de Azure Files.
● Tarea 6: administrar el acceso a la red para Azure Storage.
Práctica de laboratorio y revisión del módulo 07 221
Trabaja para una empresa de desarrollo de código abierto. Utiliza Microsoft Azure para una variedad de necesidades de almacenamiento. Hasta
ahora, todo el almacenamiento se utilizaba únicamente para fines internos. Está organizado en bloques de blobs. Cada blob de bloque está en
su propio contenedor. Cada contenedor tiene la configuración predeterminada. En total, tienes 50 blobs en bloque. La compañía ha decidido
proporcionar acceso de lectura a los datos en los blobs de bloques, como parte de la publicación de más información sobre sus esfuerzos de
desarrollo de código abierto. Necesita reconfigurar el almacenamiento para cumplir con los siguientes requisitos:
● Todos los blobs en bloque deben ser legibles por usuarios de Internet anónimos.
Debe configurar el almacenamiento para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
?? Cree un nuevo contenedor, mueva todos los blobs al nuevo contenedor y luego establezca el nivel de acceso público en
Blob.
?? Establezca el nivel de acceso público en Blob en todos los contenedores existentes.
?? Cree una nueva firma de acceso compartido para la cuenta de almacenamiento y luego establezca los permisos permitidos en Lectura,
establezca los tipos de recursos permitidos en Objeto y establezca los servicios permitidos en Blob.
?? Cree una nueva clave de acceso para la cuenta de almacenamiento y luego proporcione la cadena de conexión en la información
de conectividad de almacenamiento al público.
Su empresa tiene previsto almacenar datos de registro, archivos de volcado por caída y otros datos de diagnóstico para máquinas virtuales de
Azure en Azure. La empresa ha emitido los siguientes requisitos para el almacenamiento:
● Los administradores deben poder buscar los datos en el Explorador de archivos.
● Se debe admitir el acceso a través de SMB 3.0.
● El almacenamiento debe soportar cuotas.
Debe elegir el tipo de almacenamiento para cumplir con los requisitos. ¿Qué tipo de almacenamiento debería utilizar? Seleccione
uno.
?? Archivos de Azure
?? Almacenamiento de mesa
?? Almacenamiento de blobs
?? Almacenamiento en cola
Su empresa proporciona software en la nube para auditar el acceso administrativo en los recursos de Microsoft Azure. El software registra
todas las acciones administrativas (incluidos todos los clics y la entrada de texto) en los archivos de registro. El software está a punto de salir de
la versión beta y la empresa está preocupada por el rendimiento del almacenamiento. Debe implementar una solución de almacenamiento para
los archivos de registro a fin de maximizar el rendimiento. ¿Qué deberías hacer? Seleccione uno.
?? Implemente Azure Files con SMB 3.0.
?? Implemente Azure Table Storage.
?? Implemente Azure Queues Storage.
?? Implemente el almacenamiento de blobs mediante blobs en bloque.
?? Implemente el almacenamiento de blobs mediante la adición de blobs.
Su empresa está creando una aplicación en Azure. La aplicación tiene los siguientes requisitos de almacenamiento:
● El almacenamiento debe ser accesible mediante programación a través de una API REST.
● El almacenamiento debe ser globalmente redundante.
● El almacenamiento debe ser accesible de forma privada dentro del entorno Azure de la empresa.
● El almacenamiento debe ser óptimo para datos no estructurados.
¿Qué tipo de almacenamiento de Azure debería usar para la aplicación? Seleccione uno.
?? Tienda de Azure Data Lake
?? Almacenamiento de tablas de Azure
?? Almacenamiento de blobs de Azure
?? Almacenamiento de archivos de Azure
Utiliza una cuenta de almacenamiento de Microsoft Azure para almacenar una gran cantidad de archivos de audio y video. Crea
contenedores para almacenar cada tipo de archivo y desea limitar el acceso a esos archivos por períodos específicos. Además, solo
se puede acceder a los archivos a través de firmas de acceso compartido (SAS).
Necesita la capacidad de revocar el acceso a los archivos y cambiar el período durante el cual los usuarios pueden
acceder a los archivos. ¿Qué debe hacer para lograr esto de la manera más simple y efectiva? Seleccione uno.
?? Cree un SAS para cada usuario y elimine el SAS cuando desee evitar el acceso.
?? Utilice Azure Rights Management Services (RMS) para controlar el acceso a cada archivo.
?? Implemente políticas de acceso almacenado para cada contenedor para permitir la revocación del acceso o el cambio de
duración.
?? Regenere periódicamente la clave de la cuenta para controlar el acceso a los archivos.

Debe proporcionar a un empleado del personal contingente acceso temporal de solo lectura al contenido de un contenedor de cuenta
de almacenamiento de Azure denominado media. Es importante que otorgue acceso respetando el principio de seguridad de
privilegios mínimos. ¿Qué deberías hacer? Seleccione uno.
?? Establezca el nivel de acceso público en Contenedor.
?? Genere un token de firma de acceso compartido (SAS) para el contenedor.
?? Comparta la etiqueta de entidad contenedora (Etag) con el miembro del personal contingente.
?? Configure una regla de intercambio de recursos de origen cruzado (CORS) para la cuenta de almacenamiento.
Estás usando almacenamiento de blobs. ¿Cual de los siguientes es verdadero? Seleccione uno.
?? El nivel de acceso fresco es para el acceso frecuente de objetos en la cuenta de almacenamiento.
?? El nivel de acceso directo es para almacenar grandes cantidades de datos a los que se accede con poca frecuencia.
?? El nivel de rendimiento que seleccione no afecta los precios.
?? Puede cambiar entre niveles de rendimiento calientes y fríos en cualquier momento.
Está planeando un modelo de delegación para su almacenamiento de Azure. La empresa ha emitido los siguientes requisitos para el
acceso al almacenamiento de Azure:
● Las aplicaciones en el entorno de no producción deben tener acceso automatizado por tiempo limitado
● Las aplicaciones en el entorno de producción deben tener acceso irrestricto a los recursos de almacenamiento.
Debe configurar el acceso al almacenamiento para cumplir con los requisitos. ¿Qué deberías hacer? (Cada respuesta presenta parte
de la solución. Seleccione dos.
?? Utilice firmas de acceso compartido para las aplicaciones que no son de producción.
?? Utilice firmas de acceso compartido para las aplicaciones de producción.
?? Utilice las claves de acceso para las aplicaciones que no son de producción.
?? Utilice las claves de acceso para las aplicaciones de producción.
?? Utilice políticas de acceso almacenado para las aplicaciones de producción.
?? Utilice el intercambio de recursos de origen cruzado para las aplicaciones que no son de producción.
Su empresa tiene un servidor de archivos llamado FS01. El servidor tiene una única carpeta compartida que permite a los usuarios acceder a
los archivos compartidos. La empresa quiere que los mismos archivos estén disponibles en Microsoft Azure. La empresa tiene los siguientes
requisitos:
● Microsoft Azure debe mantener exactamente los mismos datos que la carpeta compartida en FS01.
● Los archivos eliminados en cualquier lado (en las instalaciones o en la nube) se eliminarán posterior y automáticamente del
otro lado (en las instalaciones o en la nube).
Necesita implementar una solución para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
?? Implementar espacios de nombres DFS.
?? Instale y use AZCopy.
?? Implemente Azure File Sync.
?? Instale y use Azure Storage Explorer.
?? Implemente el almacenamiento en niveles.
Cuál de las siguientes opciones replica sus datos en una región secundaria, mantiene seis copias de sus datos y es la opción de
replicación predeterminada. Seleccione uno.
?? Almacenamiento con redundancia local
?? Almacenamiento con redundancia geográfica
?? Almacenamiento con redundancia geográfica con acceso de lectura
?? Almacenamiento con redundancia de zona
Tiene una cuenta de almacenamiento existente en Microsoft Azure. Almacena datos no estructurados. Creas una nueva cuenta de
almacenamiento. Debe mover la mitad de los datos de la cuenta de almacenamiento existente a la nueva cuenta de almacenamiento. ¿Qué
herramienta deberías utilizar? Seleccione uno.
?? Utilice el portal de Azure
?? Usar el Administrador de recursos del servidor de archivos
?? Usar la herramienta de línea de comandos de Robocopy
?? Utilice la herramienta de línea de comandos AzCopy
Estudio adicional
● Cree una cuenta de Azure Storage 13
● Asegure su almacenamiento de Azure 14
● Optimice el rendimiento y los costos del almacenamiento mediante niveles de almacenamiento de blobs 15
● Haga que el almacenamiento de su aplicación sea altamente disponible con almacenamiento con redundancia geográfica de acceso de lectura dieciséis
13 https://docs.microsoft.com/en-us/learn/modules/create-azure-storage-account/
14 https://docs.microsoft.com/en-us/learn/modules/secure-azure-storage-account/
15 https://docs.microsoft.com/en-us/learn/modules/optimize-archive-costs-blob-storage/
dieciséis https://docs.microsoft.com/en-us/learn/modules/ha-application-storage-with-grs/
● Copie y mueva blobs de un contenedor o cuenta de almacenamiento a otro desde la línea de comando
y en el código 17
● Mueva grandes cantidades de datos a la nube con la familia Azure Data Box 18
17 https://docs.microsoft.com/en-us/learn/modules/copy-blobs-from-command-line-and-code/
18 https://docs.microsoft.com/en-us/learn/modules/move-data-with-azure-data-box/
19 https://docs.microsoft.com/en-us/learn/modules/monitor-diagnose-and-troubleshoot-azure-storage/
Respuestas
Trabaja para una empresa de desarrollo de código abierto. Utiliza Microsoft Azure para una variedad de necesidades de
almacenamiento. Hasta ahora, todo el almacenamiento se utilizaba únicamente para fines internos. Está organizado en bloques de
blobs. Cada blob de bloque está en su propio contenedor. Cada contenedor tiene la configuración predeterminada. En total, tienes 50
blobs en bloque. La compañía ha decidido proporcionar acceso de lectura a los datos en los blobs de bloques, como parte de la
publicación de más información sobre sus esfuerzos de desarrollo de código abierto. Necesita reconfigurar el almacenamiento para
cumplir con los siguientes requisitos:
Debe configurar el almacenamiento para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
■ Cree un nuevo contenedor, mueva todos los blobs al nuevo contenedor y luego establezca el nivel de acceso público en
Blob.
?? Establezca el nivel de acceso público en Blob en todos los contenedores existentes.
?? Cree una nueva firma de acceso compartido para la cuenta de almacenamiento y luego establezca los permisos permitidos en Lectura,
establezca los tipos de recursos permitidos en Objeto y establezca los servicios permitidos en Blob.
?? Cree una nueva clave de acceso para la cuenta de almacenamiento y luego proporcione la cadena de conexión en la información
de conectividad de almacenamiento al público.
Explicación
En este escenario, debe reconfigurar 50 contenedores. Si bien puede hacer eso, va en contra del requisito de reducir la sobrecarga
administrativa de futuros cambios de acceso. Una firma de acceso compartido podría funcionar aquí, pero no con la configuración
descrita en la opción de respuesta. Una clave de acceso está diseñada para que la utilicen sus aplicaciones cuando se comunican
internamente en Azure con el almacenamiento. En este escenario, debe crear un nuevo contenedor, mover los blobs existentes y
luego establecer el nivel de acceso público en Blob. En el futuro, cuando se requieran cambios de acceso, puede configurar el
contenedor único (que contendría todos los blobs).
Su empresa tiene previsto almacenar datos de registro, archivos de volcado por caída y otros datos de diagnóstico para máquinas virtuales de
Azure en Azure. La empresa ha emitido los siguientes requisitos para el almacenamiento:
Debe elegir el tipo de almacenamiento para cumplir con los requisitos. ¿Qué tipo de almacenamiento debería utilizar?
Seleccione uno.
■ Archivos de Azure
?? Almacenamiento de mesa
?? Almacenamiento de blobs
?? Almacenamiento en cola
Explicación
Azure Files es compatible con SMB 3.0, se puede acceder a él a través del Explorador de archivos y admite cuotas. Los otros tipos de almacenamiento no
cumplen con los requisitos. Si bien el almacenamiento de blobs es bueno para datos no estructurados, no se puede acceder a él a través de SMB 3.0.
Su empresa proporciona software en la nube para auditar el acceso administrativo en los recursos de Microsoft Azure. El software registra
todas las acciones administrativas (incluidos todos los clics y la entrada de texto) en los archivos de registro. El software está a punto de salir
de la versión beta y la empresa está preocupada por el rendimiento del almacenamiento. Debe implementar una solución de almacenamiento
para los archivos de registro a fin de maximizar el rendimiento. ¿Qué deberías hacer? Seleccione uno.
?? Implemente Azure Files con SMB 3.0.
?? Implemente Azure Table Storage.
?? Implemente Azure Queues Storage.
?? Implemente el almacenamiento de blobs mediante blobs en bloque.
■ Implemente
blobs. el almacenamiento de blobs mediante la adición de
Explicación
Anexar blobs optimiza las operaciones de anexión (escribe la adición en un archivo de registro, por ejemplo). En este escenario, la empresa necesita
escribir datos en archivos de registro, a menudo agregando datos (hasta que se genere un nuevo archivo de registro). Los blobs en bloque son rentables
pero no están diseñados específicamente para operaciones de adición, por lo que el rendimiento no es tan alto. El almacenamiento en cola se utiliza para
que las aplicaciones se comuniquen. Table Storage es una base de datos NoSQL pero no está optimizada para este escenario. Azure Files está diseñado
para el almacenamiento SMB, como los servidores Windows, pero no ofrece la solución optimizada que ofrecen los blobs adjuntos.
Su empresa está creando una aplicación en Azure. La aplicación tiene los siguientes requisitos de almacenamiento:
¿Qué tipo de almacenamiento de Azure debería usar para la aplicación? Seleccione uno.
?? Tienda de Azure Data Lake
?? Almacenamiento de tablas de Azure
■ Azure Blob Storage
?? Almacenamiento de archivos de Azure
Explicación
Azure Blob Storage es óptimo para datos no estructurados y cumple con los requisitos de la aplicación de la empresa. Azure Data
Lake admite algunos de los requisitos, como datos no estructurados y acceso a la API REST. Sin embargo, Azure Data Lake está
diseñado para cargas de trabajo de análisis y solo está disponible con redundancia local (múltiples copias de datos en una única
región de Azure).
Utiliza una cuenta de almacenamiento de Microsoft Azure para almacenar una gran cantidad de archivos de audio y video. Crea
contenedores para almacenar cada tipo de archivo y desea limitar el acceso a esos archivos por períodos específicos. Además, solo se
puede acceder a los archivos a través de firmas de acceso compartido (SAS).
Necesita la capacidad de revocar el acceso a los archivos y cambiar el período durante el cual los usuarios pueden
acceder a los archivos. ¿Qué debe hacer para lograr esto de la manera más simple y efectiva? Seleccione uno.
?? Cree un SAS para cada usuario y elimine el SAS cuando desee evitar el acceso.
?? Utilice Azure Rights Management Services (RMS) para controlar el acceso a cada archivo.
■ Implementar políticas de acceso almacenado para cada contenedor para permitir la revocación del acceso o el cambio de
duración.
?? Regenere periódicamente la clave de la cuenta para controlar el acceso a los archivos.
Explicación
Debe implementar políticas de acceso almacenadas que le permitan cambiar el acceso según los permisos o la duración
reemplazando la política por una nueva o eliminándola por completo para revocar el acceso. Si bien Azure RMS protegería los
archivos, habría una complejidad administrativa involucrada, mientras que las políticas de acceso almacenadas logran el objetivo
de la manera más simple. La creación de un SAS para cada usuario también implicaría una gran cantidad de gastos
administrativos. La regeneración de claves evitaría que todos los usuarios accedan a todos los archivos al mismo tiempo.
Debe proporcionar a un empleado del personal contingente acceso temporal de solo lectura al contenido de un contenedor de cuenta
de almacenamiento de Azure denominado media. Es importante que otorgue acceso respetando el principio de seguridad de
privilegios mínimos. ¿Qué deberías hacer? Seleccione uno.
?? Establezca el nivel de acceso público en Contenedor.
■ Genere un token de firma de acceso compartido (SAS) para el contenedor.
?? Comparta la etiqueta de entidad contenedora (Etag) con el miembro del personal contingente.
?? Configure una regla de intercambio de recursos de origen cruzado (CORS) para la cuenta de almacenamiento.
Explicación
Debe generar un token SAS para el contenedor que proporcione acceso a contenedores completos o blobs. No debe
compartir el Etag con el miembro del personal del contingente. Azure utiliza Etags para controlar el acceso simultáneo a
los recursos y no ofrece los controles de seguridad adecuados. Establecer el nivel de acceso público a Contenedor no se
ajustaría al principio de privilegio mínimo, ya que el contenedor ahora se abre a conexiones públicas sin límite de
tiempo. CORS es un mecanismo de Protocolo de transferencia de Hypertest (HTTP) que permite el acceso a recursos
entre dominios, pero no proporciona control de acceso a recursos basado en seguridad.
Estás usando almacenamiento de blobs. ¿Cual de los siguientes es verdadero? Seleccione uno.
?? El nivel de acceso fresco es para el acceso frecuente de objetos en la cuenta de almacenamiento.
?? El nivel de acceso directo es para almacenar grandes cantidades de datos a los que se accede con poca frecuencia.
?? El nivel de rendimiento que seleccione no afecta los precios.
■ Puede cambiar entre niveles de rendimiento calientes y fríos en cualquier momento.
Explicación
Puede cambiar entre niveles de rendimiento en cualquier momento. Cambiar el nivel de almacenamiento de la cuenta de frío a caliente
genera un cargo equivalente a leer todos los datos existentes en la cuenta de almacenamiento. Sin embargo, cambiar el nivel de
almacenamiento de la cuenta de caliente a frío implica un cargo equivalente a escribir todos los datos en el nivel frío (solo cuentas GPv2).
Está planeando un modelo de delegación para su almacenamiento de Azure. La empresa ha emitido los siguientes requisitos
para el acceso al almacenamiento de Azure:
Debe configurar el acceso al almacenamiento para cumplir con los requisitos. ¿Qué deberías hacer? (Cada respuesta
presenta parte de la solución. Seleccione dos.
■ Utilice firmas de acceso compartido para las aplicaciones que no son de producción.
?? Utilice firmas de acceso compartido para las aplicaciones de producción.
?? Utilice las claves de acceso para las aplicaciones que no son de producción.
■ Utilice claves de acceso para las aplicaciones de producción.
?? Utilice políticas de acceso almacenado para las aplicaciones de producción.
?? Utilice el intercambio de recursos de origen cruzado para las aplicaciones que no son de producción.
Explicación
Las firmas de acceso compartido proporcionan una forma de proporcionar un acceso de almacenamiento más granular que las claves de
acceso. Por ejemplo, puede limitar el acceso a "solo lectura" y puede limitar los servicios y tipos de recursos. Las firmas de acceso
compartido se pueden configurar durante un período de tiempo específico, que cumple con los requisitos del escenario. Las claves de
acceso brindan acceso sin restricciones a los recursos de almacenamiento, que es el requisito para las aplicaciones de producción en este
escenario.
Su empresa tiene un servidor de archivos llamado FS01. El servidor tiene una única carpeta compartida que permite a los usuarios
acceder a los archivos compartidos. La empresa quiere que los mismos archivos estén disponibles en Microsoft Azure. La empresa
tiene los siguientes requisitos:
Necesita implementar una solución para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
?? Implementar espacios de nombres DFS.
?? Instale y use AZCopy.
■ Implementar Azure File Sync.
?? Instale y use Azure Storage Explorer.
?? Implemente el almacenamiento en niveles.
Explicación
En este escenario, solo la sincronización de archivos de Azure puede mantener FS01 y Azure sincronizados y mantener los mismos datos. Si bien AZCopy
puede copiar datos, no es una solución de sincronización que ambas fuentes mantengan exactamente los mismos archivos. El almacenamiento en
niveles se utiliza para el nivel interno (SSD y HDD, por ejemplo). Si bien la replicación DFS podría caber aquí, el espacio de nombres DFS no ofrece el
componente de replicación. Storage Explorer es una herramienta para administrar diferentes plataformas de almacenamiento.
Cuál de las siguientes opciones replica sus datos en una región secundaria, mantiene seis copias de sus datos y es la opción
de replicación predeterminada. Seleccione uno.
?? Almacenamiento con redundancia local
?? Almacenamiento con redundancia geográfica
■ Almacenamiento
lectura con redundancia geográfica con acceso de
?? Almacenamiento con redundancia de zona
Explicación
El almacenamiento con redundancia geográfica con acceso de lectura (GRS) es la opción de replicación predeterminada.
Tiene una cuenta de almacenamiento existente en Microsoft Azure. Almacena datos no estructurados. Creas una nueva cuenta de
almacenamiento. Debe mover la mitad de los datos de la cuenta de almacenamiento existente a la nueva cuenta de almacenamiento.
¿Qué herramienta deberías utilizar? Seleccione uno.
?? Utilice el portal de Azure
?? Usar el Administrador de recursos del servidor de archivos
?? Usar la herramienta de línea de comandos de Robocopy
■ Utilice la herramienta de línea de comandos AzCopy
Explicación
La clave en este escenario es que necesita mover datos entre cuentas de almacenamiento. La herramienta AzCopy puede funcionar con dos
cuentas de almacenamiento diferentes. Las otras herramientas no copian datos entre cuentas de almacenamiento. Alternativamente,
aunque no es una de las opciones de respuesta, puede usar el Explorador de Storage para copiar datos entre cuentas de almacenamiento.
Módulo 8 Máquinas virtuales de Azure
Planificación de máquinas virtuales
Servicios en la nube IaaS

Azure Virtual Machines es uno de los varios tipos de recursos informáticos escalables bajo demanda que ofrece
Azure. Por lo general, elegirá una máquina virtual si necesita más control sobre el entorno informático que las
opciones que ofrecen las opciones como App Service o Cloud Services. Azure Virtual Machines le proporciona un
sistema operativo, almacenamiento y capacidades de red y puede ejecutar una amplia gama de aplicaciones.
Las máquinas virtuales forman parte de la oferta de infraestructura como servicio (IaaS). IaaS es una infraestructura informática
instantánea, aprovisionada y administrada a través de Internet. Escale rápidamente hacia arriba y hacia abajo según la demanda y
pague solo por lo que usa.
232 Módulo 8 Máquinas virtuales de Azure
Escenarios empresariales de IaaS

● Prueba y desarrollo. Los equipos pueden configurar y desmantelar rápidamente entornos de prueba y desarrollo, lo que permite lanzar
nuevas aplicaciones al mercado más rápidamente. IaaS hace que sea rápido y económico escalar hacia arriba y hacia abajo los entornos de
desarrollo y pruebas.
● Alojamiento de páginas web. La ejecución de sitios web que utilizan IaaS puede ser menos costosa que el alojamiento web tradicional.
● Almacenamiento, respaldo y recuperación. Las organizaciones evitan el desembolso de capital para el almacenamiento y la complejidad de la
administración del almacenamiento, que generalmente requiere un personal capacitado para administrar los datos y cumplir con los requisitos legales
y de cumplimiento. IaaS es útil para manejar una demanda impredecible y necesidades de almacenamiento en constante crecimiento. También puede
simplificar la planificación y la gestión de los sistemas de copia de seguridad y recuperación.
● Computación de alto rendimiento. La computación de alto rendimiento (HPC) en supercomputadoras, redes de computadoras
o grupos de computadoras ayuda a resolver problemas complejos que involucran millones de variables o cálculos. Los ejemplos
incluyen simulaciones de plegamiento de proteínas y terremotos, predicciones climáticas y meteorológicas, modelos financieros
y evaluación de diseños de productos.
● Análisis de Big Data. Big data es un término popular para conjuntos de datos masivos que contienen patrones, tendencias y
asociaciones potencialmente valiosos. La minería de conjuntos de datos para localizar o detectar estos patrones ocultos requiere una
gran cantidad de potencia de procesamiento, que IaaS proporciona económicamente.
● Centro de datos extendido. Agregue capacidad a su centro de datos agregando máquinas virtuales en Azure
en lugar de incurrir en los costos de agregar físicamente hardware o espacio a su ubicación física. Conecte su
red física a la red en la nube de Azure sin problemas.
✔ ¿Utiliza máquinas virtuales en Azure? ¿Qué escenarios te interesan?
Lista de verificación de planificación

El aprovisionamiento de máquinas virtuales en Azure requiere planificación. Antes de crear una sola máquina virtual, asegúrese de haber
pensado en lo siguiente:
● Comience con la red Nombre
● la máquina virtual
● Decidir la ubicación de la VM
● Determinar el tamaño de la VM
● Comprender el modelo de precios
● Almacenamiento para la VM
● Seleccione un sistema operativo
Empiece por la red

Las redes virtuales (VNets) se utilizan en Azure para proporcionar conectividad privada entre Azure Virtual Machines y otros
servicios de Azure. Las máquinas virtuales y los servicios que forman parte de la misma red virtual pueden acceder entre sí.
De forma predeterminada, los servicios fuera de la red virtual no se pueden conectar a los servicios dentro de la red virtual.
Sin embargo, puede configurar la red para permitir el acceso al servicio externo, incluidos sus servidores locales.
Este último punto es el motivo por el que debería dedicar algún tiempo a pensar en la configuración de su red. Las
direcciones de red y las subredes no son triviales de cambiar una vez que las haya configurado, y si planea conectar
la red de su empresa privada a los servicios de Azure, querrá asegurarse de considerar la topología antes de instalar
cualquier máquina virtual.
Planificación de máquinas virtuales 233
Nombra la VM
Un dato en el que la gente no suele pensar mucho es el nombre de la máquina virtual. El nombre de la máquina virtual se utiliza como
nombre de la computadora, que se configura como parte del sistema operativo. Puede especificar un nombre de hasta 15 caracteres
en una máquina virtual de Windows y 64 caracteres en una máquina virtual de Linux.
Este nombre también define un recurso de Azure administrable y no es trivial cambiarlo más tarde. Eso significa que debe
elegir nombres que sean significativos y coherentes, para que pueda identificar fácilmente lo que hace la máquina virtual.
Una buena convención es incluir la siguiente información en el nombre:
Elemento Ejemplo Notas

Ambiente dev, prod, QA Identifica el entorno del
recurso.
Localización uw (oeste de EE. UU.), ue (este de EE. UU.) Identifica la región en la que se
implementa el recurso.
Ejemplo 01, 02 Para recursos que tienen más de
una instancia con nombre
(servidores web, etc.)
Producto o servicio Servicio Identifica el producto, la
aplicación o el servicio que admite
el recurso.
Papel sql, web, mensajería Identifica el rol del recurso
asociado
Por ejemplo, devusc-webvm01 podría representar el primer servidor web de desarrollo alojado en la ubicación del
centro sur de EE. UU.
Ubicación y precio
Decide la ubicación de la VM
Azure tiene centros de datos en todo el mundo llenos de servidores y discos. Estos centros de datos están agrupados en regiones
geográficas ('Oeste de EE. UU.', 'Norte de Europa', 'Sudeste de Asia', etc.) para proporcionar redundancia y disponibilidad.
Cuando crea e implementa una máquina virtual, debe seleccionar una región donde desea que se asignen los recursos
(CPU, almacenamiento, etc.). Esto le permite colocar sus máquinas virtuales lo más cerca posible de sus usuarios para
mejorar el rendimiento y cumplir con los requisitos legales, de cumplimiento o tributarios.
Otras dos cosas en las que pensar con respecto a la elección de la ubicación.
● La ubicación puede limitar sus opciones disponibles. Cada región tiene un hardware diferente disponible y algunas
configuraciones no están disponibles en todas las regiones.
● Existen diferencias de precio entre ubicaciones. Si su carga de trabajo no está vinculada a una ubicación específica,
puede ser muy rentable verificar la configuración requerida en varias regiones para encontrar el precio más bajo.
Conozca las opciones de precios

Hay dos costos separados que se cobrará la suscripción por cada VM: computación y almacenamiento. Al
separar estos costos, los escala de forma independiente y solo paga por lo que necesita.
Calcular costos - Los gastos de computación se cotizan por hora, pero se facturan por minuto. Por ejemplo, solo se le
cobrará por 55 minutos de uso si la VM se implementa durante 55 minutos. No se le cobrará por la capacidad informática si
detiene y desasigna la VM, ya que esto libera el hardware. El precio por hora varía según el tamaño de la máquina virtual y el
sistema operativo que seleccione. El costo de una máquina virtual incluye el cargo por el sistema operativo Windows. Las
instancias basadas en Linux son más baratas porque no hay cargo por licencia del sistema operativo.
Costos de almacenamiento - Se le cobra por separado por el almacenamiento que usa la máquina virtual. El estado de la VM no tiene relación
con los cargos de almacenamiento en los que se incurrirá; incluso si la máquina virtual se detiene / desasigna y no se le factura por la máquina
virtual en ejecución, se le cobrará por el almacenamiento utilizado por los discos.
Puede elegir entre dos opciones de pago para los costos de cálculo:
1. Basado en consumo - Con la opción basada en el consumo, paga la capacidad de cómputo por
segundo. Puede aumentar o disminuir la capacidad informática a pedido, así como iniciar o detener en cualquier
momento. Prefiera esta opción si ejecuta aplicaciones con cargas de trabajo impredecibles o a corto plazo que no se
pueden interrumpir. Por ejemplo, si está haciendo una prueba rápida o desarrollando una aplicación en una máquina
virtual, esta sería la opción adecuada.
2. Instancias de máquinas virtuales reservadas: La opción de Instancias de máquina virtual reservadas (RI) es una compra anticipada de una
máquina virtual durante uno o tres años en una región específica. El compromiso se realiza por adelantado y, a cambio, obtiene hasta un
72% de ahorro en el precio en comparación con el precio de pago por uso. Las instancias reservadas son flexibles y pueden cambiarse o
devolverse fácilmente por un cargo por cancelación anticipada. Prefiera esta opción si la máquina virtual debe ejecutarse de forma continua
o si necesita previsibilidad presupuestaria y puede comprometerse a usar la máquina virtual durante al menos un año.
Dimensionamiento de la máquina virtual

Una vez que haya configurado el nombre y la ubicación, debe decidir el tamaño de su máquina virtual. En lugar de especificar la potencia de procesamiento,
la memoria y la capacidad de almacenamiento de forma independiente, Azure proporciona diferentes tamaños de máquina virtual que ofrecen variaciones
de estos elementos en diferentes tamaños. Azure proporciona una amplia gama de opciones de tamaño de máquina virtual que le permiten seleccionar la
combinación adecuada de procesamiento, memoria y almacenamiento para lo que desea hacer.
La mejor manera de determinar el tamaño apropiado de la máquina virtual es considerar el tipo de carga de trabajo que su máquina virtual necesita para
ejecutar. Según la carga de trabajo, puede elegir entre un subconjunto de tamaños de VM disponibles. Las opciones de carga de trabajo se clasifican de la
siguiente manera en Azure:
Serie Propósito Ejemplo de uso

A VM económicas de nivel de entrada para Servidores de desarrollo y prueba,
desarrollo o pruebas servidores web de bajo tráfico, bases de
datos pequeñas y medianas, servidores
para pruebas de conceptos y código
repositorios.
Bs VM económicas con capacidad de expansión Servidores de desarrollo y prueba, servidores
web de bajo tráfico, bases de datos
pequeñas, microservicios, servidores para
prueba de conceptos, compilación
servidores.

D Computación de propósito general Aplicaciones de nivel empresarial,
bases de datos relacionales, en memoria
almacenamiento en caché y análisis. Las

últimas generaciones son ideales para
aplicaciones que exigen CPU más rápidas,
mejor rendimiento del disco local o mayor
memoria.
Corriente continua Proteja los datos en uso Consultas confidenciales en bases de

datos, creación de una red de
consorcio confidencial escalable
funciona y protege los algoritmos de aprendizaje
automático de varias partes. Las máquinas
virtuales de la serie DC son ideales para crear
aplicaciones seguras basadas en enclaves.
ciones para proteger el código y los datos de
los clientes mientras está en uso.
mi Optimizado para in-memory SAP HANA (solo E64s_v3), capa de

aplicaciones de hiperproceso aplicación SAP S / 4 HANA, capa de
aplicación SAP NetWeaver, SQL
Hekaton y otros grandes
en memoria crítico para el negocio
cargas de trabajo.
F Computación virtual optimizada Procesamiento por lotes, servidores

máquinas web, análisis y juegos.
GRAMO Máquinas virtuales optimizadas para memoria Grandes bases de datos SQL y NoSQL,
y almacenamiento ERP, SAP y soluciones de almacenamiento
de datos.
H Computación de alto rendimiento Dinámica de fluidos, análisis de elementos
maquinas virtuales finitos, procesamiento sísmico,
simulación de yacimientos, análisis de riesgos,
automatización del diseño electrónico,
renderizado, Spark, clima

modelado, simulación cuántica,
química computacional, calor
simulación de transferencia.
Ls Almacenamiento virtual optimizado Bases de datos NoSQL como

máquinas Cassandra, MongoDB, Cloudera,
y Redis. Las aplicaciones de
almacenamiento de datos y las grandes
bases de datos transaccionales también
son excelentes casos de uso.
M y Mv2 Memoria virtual optimizada SAP HANA, SAP S / 4 HANA, SQL

máquinas Hekaton y otros grandes
en memoria crítico para el negocio
cargas de trabajo que requieren masivas
potencia de cálculo en paralelo.


norte Máquinas virtuales habilitadas para GPU Simulación, aprendizaje profundo,
renderizado de gráficos, video

edición, juegos y visualización
remota.
Cambiar el tamaño de las máquinas virtuales

Azure le permite cambiar el tamaño de la máquina virtual cuando el tamaño existente ya no satisface sus necesidades. Puede cambiar el tamaño de la
máquina virtual, siempre que su configuración de hardware actual esté permitida en el nuevo tamaño. Esto proporciona un enfoque completamente ágil y
elástico para la gestión de máquinas virtuales.
Si detiene y desasigna la VM, puede seleccionar cualquier tamaño disponible en su región, ya que esto elimina
su VM del clúster en el que se estaba ejecutando.
✔ Tenga cuidado al cambiar el tamaño de las máquinas virtuales de producción; es posible que sea necesario reiniciarlas, lo que
puede provocar una interrupción temporal y cambiar algunos valores de configuración, como la dirección IP.
Para más información, Serie de máquinas virtuales 1
Discos de máquina virtual

Al igual que cualquier otra computadora, las máquinas virtuales en Azure usan discos como un lugar para almacenar un sistema operativo,
aplicaciones y datos. Todas las máquinas virtuales de Azure tienen al menos dos discos: un disco del sistema operativo Windows (en el caso de
una máquina virtual de Windows) y un disco temporal. Las máquinas virtuales también pueden tener uno o más discos de datos. Todos los
discos se almacenan como VHD.
Discos del sistema operativo

Cada máquina virtual tiene un disco de sistema operativo adjunto. Ese disco de sistema operativo tiene un sistema operativo preinstalado, que se
seleccionó cuando se creó la máquina virtual. Está registrado como una unidad SATA y etiquetado como la unidad C: de forma predeterminada.
Disco temporal
Cada máquina virtual contiene un disco temporal, que no es un disco administrado. El disco temporal proporciona almacenamiento a corto
plazo para aplicaciones y procesos y está diseñado para almacenar únicamente datos como archivos de página o de intercambio. Los datos del
disco temporal se pueden perder durante un evento de mantenimiento o cuando vuelve a implementar una VM. Durante un reinicio estándar de
la máquina virtual, los datos en la unidad temporal deben persistir. Sin embargo, hay casos
1 https://azure.microsoft.com/en-us/pricing/details/virtual-machines/series/
donde los datos pueden no persistir, como mudarse a un nuevo host. Por lo tanto, los datos de la unidad
temporal no deben ser datos críticos para el sistema.
● En las máquinas virtuales de Windows, este disco está etiquetado como la unidad D: de forma predeterminada y se usa para
almacenar pagefile.sys.
● En las máquinas virtuales Linux, el disco suele ser / dev / sdb y el agente de Azure Linux lo formatea y
monta en / mnt.
✔ No almacene datos en el disco temporal. Proporciona almacenamiento temporal para aplicaciones y procesos y está destinado a
almacenar únicamente datos como archivos de página o de intercambio.
Discos de datos
Un disco de datos es un disco administrado que se adjunta a una máquina virtual para almacenar datos de aplicaciones u otros datos
que necesita conservar. Los discos de datos están registrados como unidades SCSI y están etiquetados con una letra que elija. Cada
disco de datos tiene una capacidad máxima de 4095 gibibytes (GiB). El tamaño de la máquina virtual determina cuántos discos de
datos puede adjuntar y el tipo de almacenamiento que puede utilizar para alojar los discos.
Operaciones de almacenamiento
Azure Premium Storage ofrece compatibilidad con discos de alto rendimiento y baja latencia para máquinas virtuales (VM) con cargas
de trabajo intensivas de entrada / salida (E / S). Los discos de VM que utilizan Premium Storage almacenan datos en unidades de
estado sólido (SSD). Para aprovechar la velocidad y el rendimiento de los discos de almacenamiento premium, puede migrar los discos
de VM existentes a Premium Storage.
En Azure, puede adjuntar varios discos de almacenamiento premium a una máquina virtual. El uso de varios discos brinda a sus
aplicaciones hasta 256 TB de almacenamiento por VM. Con Premium Storage, sus aplicaciones pueden lograr 80,000 operaciones de E
/ S por segundo (IOPS) por VM y un rendimiento de disco de hasta 2,000 megabytes por segundo (MB / s) por VM. Las operaciones de
lectura le dan latencias muy bajas.
Azure ofrece dos formas de crear discos de almacenamiento premium para máquinas virtuales:
Discos no administrados
El método original es utilizar discos no administrados. En un disco no administrado, administra las cuentas de almacenamiento que usa para
almacenar los archivos del disco duro virtual (VHD) que corresponden a sus discos VM. Los archivos VHD se almacenan como blobs de página
en cuentas de almacenamiento de Azure.
Discos administrados
Un disco administrado de Azure es un disco duro virtual (VHD). Puede pensar en ello como un disco físico en un servidor local, pero
virtualizado. Los discos administrados de Azure se almacenan como blobs de página, que son un objeto de almacenamiento de E / S
aleatorio en Azure. Llamamos a un disco administrado 'administrado' porque es una abstracción de blobs de páginas, contenedores
de blobs y cuentas de almacenamiento de Azure. Con los discos administrados, todo lo que tiene que hacer es aprovisionar el disco y
Azure se encarga del resto. Cuando selecciona usar discos administrados de Azure con sus cargas de trabajo, Azure crea y administra
el disco por usted. Los tipos de discos disponibles son unidades de estado ultra sólido (SSD), SSD premium, SSD estándar y unidades
de disco duro estándar (HDD).
✔ Para obtener el mejor rendimiento de su aplicación, le recomendamos que migre cualquier disco de máquina virtual que requiera
altas IOPS a Premium Storage. Si su disco no requiere altas IOPS, puede ayudar a limitar los costos manteniéndolo en Azure Storage
estándar. En el almacenamiento estándar, los datos del disco VM se almacenan en unidades de disco duro (HDD) en lugar de en
SSD.
✔ Los discos administrados son necesarios para el SLA de máquina virtual de instancia única (99,95%).
Sistemas operativos compatibles

Azure proporciona una variedad de imágenes de SO que puede instalar en la máquina virtual, incluidas varias versiones de Windows y sabores
de Linux. Como se mencionó anteriormente, la elección del sistema operativo influirá en el precio de su computación por hora, ya que Azure
incluye el costo de la licencia del sistema operativo en el precio.
Si busca algo más que imágenes de SO base, puede buscar en Azure Marketplace imágenes de instalación más
sofisticadas que incluyan el SO y herramientas de software populares instaladas para escenarios específicos. Por
ejemplo, si necesita un nuevo sitio de WordPress, la pila de tecnología estándar consistiría en un servidor Linux, un
servidor web Apache, una base de datos MySQL y PHP. En lugar de configurar y configurar cada componente, puede
aprovechar una imagen de Marketplace e instalar toda la pila de una vez.
Por último, si no puede encontrar una imagen de sistema operativo adecuada, puede crear su imagen de disco con lo que necesita, cargarla en
el almacenamiento de Azure y usarla para crear una máquina virtual de Azure. Tenga en cuenta que Azure solo admite sistemas operativos de
64 bits.
Software de servidor de Windows

Todo el software de Microsoft que esté instalado en el entorno de la máquina virtual de Azure debe tener la licencia correcta.
De forma predeterminada, las máquinas virtuales de Azure incluyen una licencia para muchos productos comunes, incluidos
Windows Server (funciones y características seleccionadas), Microsoft Exchange, Microsoft SQL Server y Microsoft SharePoint
Server. Algunas ofertas de máquinas virtuales de Azure pueden incluir software adicional de Microsoft por hora o por
evaluación. Las licencias para otro software deben obtenerse por separado.
✔ Microsoft no admite una actualización del sistema operativo Windows de una máquina virtual Microsoft
Azure. En su lugar, debe crear una nueva máquina virtual de Azure que ejecute la versión compatible del
sistema operativo que se requiere y luego migrar la carga de trabajo.
Software de servidor Linux

Azure admite muchas distribuciones y versiones de Linux, incluidos CentOS de OpenLogic, Core OS, Debian,
Oracle Linux, Red Hat Enterprise Linux y Ubuntu.
✔ Las distribuciones respaldadas por Linux admiten una actualización del sistema operativo de una máquina virtual de Microsoft
Azure en caso de una licencia completa de código abierto. Si se utiliza una distribución de Linux con licencia, siga las reglas específicas
de los socios para actualizar (BYOL u otro).
Para más información, Soporte de software de servidor de Microsoft para máquinas virtuales de Microsoft Azure 2 y
Linux en distribuciones respaldadas por Azure 3 .
Conexiones de máquinas virtuales

Hay varias formas de acceder a sus máquinas virtuales en Azure.
2 https://support.microsoft.com/en-us/help/2721672/microsoft-server-software-support-for-microsoft-azure-virtual-machines
3 https://docs.microsoft.com/en-us/azure / máquinas-virtuales / linux / endorsed-distros
Máquinas virtuales basadas en Windows

Utilizará el cliente de escritorio remoto para conectarse a la máquina virtual basada en Windows alojada en Azure. La mayoría de las
versiones de Windows contienen de forma nativa soporte para el protocolo de escritorio remoto (RDP).
Máquinas virtuales basadas en Linux

Para conectarse a una máquina virtual basada en Linux, necesita un cliente de protocolo de shell seguro (SSH). Por ejemplo, PuTTY,
que es un emulador de terminal gratuito y de código abierto, una consola serie y una aplicación de transferencia de archivos de red.
PuTTY admite varios protocolos de red, incluidos SCP, SSH, Telnet, rlogin y conexión de socket sin formato. También se puede
conectar a un puerto serie.
Nota: Cómo conectarse mediante RDP y SSH se tratará con más detalle en la siguiente lección.
Conexiones de bastión
El servicio Azure Bastion es un nuevo servicio PaaS totalmente administrado por la plataforma que usted proporciona dentro de su
red virtual. Proporciona conectividad RDP / SSH segura y sin problemas a sus máquinas virtuales directamente en el portal de Azure a
través de SSL. Cuando se conecta a través de Azure Bastion, sus máquinas virtuales no necesitan una dirección IP pública.
Bastion proporciona conectividad RDP y SSH segura a todas las máquinas virtuales en la red virtual en la que está
provisto. El uso de Azure Bastion protege sus máquinas virtuales de exponer los puertos RDP / SSH al mundo
exterior y, al mismo tiempo, proporciona un acceso seguro mediante RDP / SSH. Con Azure Bastion, se conecta a la
máquina virtual directamente desde Azure Portal. No necesita un cliente, agente o software adicional.
Creando Máquinas Virtuales
Creación de máquinas virtuales en el portal

Cuando crea máquinas virtuales en el portal, una de sus primeras decisiones es la imagen a utilizar. Azure es
compatible con los sistemas operativos Windows y Linux. Existen plataformas de servidor y cliente.
Hay imágenes adicionales disponibles buscando en Marketplace.
Después de seleccionar su imagen, el portal lo guiará a través de información de configuración adicional.
Básico - Detalles del proyecto, cuenta de administrador, reglas del puerto entrante
Discos - Tipo de disco del sistema operativo, discos de datos
Redes - Redes virtuales, equilibrio de carga
Gestión - Monitoreo, apagado automático, respaldo
Avanzado - Agregue configuraciones, agentes, scripts o aplicaciones adicionales a través de extensiones de máquinas virtuales o
cloud-init.
Máquinas virtuales de Windows

El uso de las imágenes de Windows Server de la Galería de máquinas virtuales de Azure Marketplace se le proporciona para
usar con instancias de máquinas virtuales bajo su suscripción de Azure, que se rigen por los Términos de servicios en línea.
Estas instancias de máquinas virtuales están limitadas para su uso con Azure.
Últimas imágenes
● Windows Server 2019 es la última versión de Long-Term Servicing Channel (LTSC) con cinco años de
soporte estándar + cinco años de soporte extendido. Elija la imagen adecuada para su aplicación.
Creando Máquinas Virtuales 241
necesidades de instalación: 1) Servidor con experiencia de escritorio incluye todos los roles, incluida la interfaz gráfica de
usuario (GUI), 2) Server Core omite la GUI para una huella de SO más pequeña, o 3) La opción de contenedores incluye el
servidor con experiencia de escritorio, además imágenes de contenedores.
● Centro de datos de Windows Server 2019: servidor con experiencia de escritorio
● Centro de datos de Windows Server 2019: con contenedores
● Centro de datos de Windows Server 2019 - Server Core
● Centro de datos de Windows Server 2019: Server Core con contenedores
Las versiones del canal semianual de Windows Server ofrecen nuevas capacidades del sistema operativo a un ritmo más
rápido y se basan en la opción de instalación Server Core de la edición Datacenter. Se publica una nueva versión cada seis
meses y se admite durante 18 meses. Consulte la página de soporte del ciclo de vida para conocer las fechas de soporte y
utilice siempre la última versión si es posible.
✔ También hay una gran cantidad de imágenes de Windows Server 2016 y Windows Server 2012. Para
más información, Documentación de máquinas virtuales de Windows 4 .
Conexiones de VM de Windows
Para administrar una máquina virtual de Windows de Azure, puede usar el mismo conjunto de herramientas que usó para implementarla. Sin
embargo, también querrá interactuar con un sistema operativo (SO) que se ejecute dentro de la VM. Los métodos que puede utilizar para
lograr esto son específicos del sistema operativo e incluyen las siguientes opciones:
● Protocolo de escritorio remoto (RDP) le permite establecer una sesión de interfaz gráfica de usuario (GUI) en una máquina
virtual de Azure que ejecuta cualquier versión compatible de Windows. Azure Portal habilita automáticamente la
Botón de conexión en la hoja de máquina virtual de Azure Windows si la máquina virtual se está ejecutando y se
puede acceder a ella a través de una dirección IP pública o privada, y si acepta tráfico entrante en el puerto TCP 3389.
Después de hacer clic en este botón, el portal proporcionará automáticamente un archivo .rdp, que puede abrir o
descargar. Al abrir el archivo, se inicia una conexión RDP a la VM correspondiente. Recibirá una advertencia de que el
archivo .rdp es de un editor desconocido. Se esperaba esto. Al conectarse, asegúrese de utilizar las credenciales de la
máquina virtual. Azure PowerShell Get-AzRemoteDesktopFile cmdlet proporciona la misma funcionalidad.
● Administración remota de Windows (WinRM) le permite establecer una sesión de línea de comandos en una máquina
virtual de Azure que ejecuta cualquier versión compatible de Windows. También puede utilizar WinRM para ejecutar
scripts de Windows PowerShell no interactivos. WinRM facilita la seguridad adicional de la sesión mediante el uso de
certificados. Puede cargar un certificado que desee usar en Azure Key Vault antes de establecer una sesión. El proceso de
configuración de la conectividad WinRM incluye los siguientes pasos de alto nivel:
● Creación de una bóveda de claves.
4 https://docs.microsoft.com/en-us/azure/virtual-machines/windows/
● Creación de un certificado autofirmado.
● Subiendo el certificado al almacén de claves.
● Identificar la URL del certificado cargado en el almacén de claves.
● Hacer referencia a la URL en la configuración de la máquina virtual de Azure.
✔ WinRM utiliza el puerto TCP 5986 de forma predeterminada, pero puede cambiarlo a un valor personalizado. En cualquier caso,
debe asegurarse de que ningún grupo de seguridad de red esté bloqueando el tráfico entrante en el puerto que elija.
Demostración: creación de una máquina virtual en el portal

En esta demostración, crearemos y accederemos a una máquina virtual de Windows en el portal.
Crea la máquina virtual
1. Elija Crea un recurso en la esquina superior izquierda de Azure Portal.
2. En el cuadro de búsqueda que se encuentra encima de la lista de recursos de Azure Marketplace, busque Windows Server 2016
Centro de datos. Después de localizar la imagen, haga clic en Crear.
3. En el Lo esencial pestaña, debajo Detalles del proyecto, asegúrese de seleccionar la suscripción correcta y luego
elija Crear nuevo grupo de recursos. Tipo myResourceGroup por el nombre.
4. Debajo Detalles de la instancia, tipo myVM Para el Nombre de la máquina virtual y elige Este de EE. UU. para tu
Localización. Deja los demás valores predeterminados.
5. Debajo Cuenta de administrador, proporcionar un nombre de usuario, como azureuser y una contraseña. La
contraseña debe tener al menos 12 caracteres y cumplir con los requisitos de complejidad definidos.
6. Debajo Reglas del puerto de entrada, escoger Permitir puertos seleccionados y luego seleccione RDP (3389) y HTTP
desde el menú desplegable.
7. Muévete a la Gestión pestaña, y debajo Vigilancia turno Apagado Diagnóstico de arranque. Esto eliminará los errores
de validación.
8. Deje los valores predeterminados restantes y luego seleccione el Revisar + crear en la parte inferior de la página.
Espere la validación, luego haga clic en Crear.
Conéctese a la máquina virtual
Cree una conexión de escritorio remoto a la máquina virtual. Estas instrucciones le indican cómo conectarse a su máquina
virtual desde una computadora con Windows. En una Mac, debe instalar un cliente RDP desde Mac App Store.
1. Seleccione el Conectar en la página de propiedades de la máquina virtual.
2. En el Conectarse a la máquina virtual página, mantenga las opciones predeterminadas para conectarse por nombre DNS a través del puerto
3389 y haga clic en Descarga el archivo RDP.
3. Abra el archivo RDP descargado y seleccione Conectar Cuando se le solicite.
4. En el Seguridad de Windows ventana, seleccione Más elecciones y entonces Utilice una cuenta diferente. Escriba el nombre
de usuario como localhost \ username, ingrese la contraseña que creó para la máquina virtual y luego seleccione
está bien.
5. Es posible que reciba una advertencia de certificado durante el proceso de inicio de sesión. Seleccione sí o Continuar para crear la
conexión.
Instalar servidor web
Para observar su máquina virtual en acción, instale el servidor web IIS. Abra un indicador de PowerShell en la máquina virtual y
ejecute el siguiente comando:
Install-WindowsFeature -name Web-Server -IncludeManagementTools
Cuando termine, cierre la conexión RDP a la VM.
Ver la página de bienvenida de IIS
En el portal, seleccione la VM y en la descripción general de la VM, use el Haga clic para copiar a la derecha de la dirección IP
pública para copiarla y pegarla en una pestaña del navegador. Se abrirá la página de bienvenida de IIS predeterminada.
Limpiar recursos
✔ Cuando ya no sea necesario, puede eliminar el grupo de recursos, la máquina virtual y todos los recursos relacionados. Para
hacerlo, seleccione el grupo de recursos para la máquina virtual, seleccione Borrar, luego confirme el nombre del grupo de recursos
que desea eliminar.
Máquinas virtuales Linux

Azure admite muchas distribuciones y versiones de Linux, incluidos CentOS de OpenLogic, Core OS, Debian,
Oracle Linux, Red Hat Enterprise Linux y Ubuntu.
Aquí hay algunas cosas que debe saber sobre las distribuciones de Linux.
● Hay cientos de imágenes de Linux en Azure Marketplace.
● Linux tiene las mismas opciones de implementación que para las máquinas virtuales de Windows: PowerShell
(Administrador de recursos), Portal e Interfaz de línea de comandos.
● Puede administrar sus máquinas virtuales Linux con una gran cantidad de herramientas DevOps de código abierto populares,
como Puppet y Chef.
✔ Tómese unos minutos para revisar las distribuciones de Marketplace Linux. ¿Hay alguno que le interese? Para más
información, Máquinas virtuales Linux 5 .
Conexiones de VM Linux
Cuando crea una máquina virtual Linux, puede decidir autenticarse con un Clave pública SSH o Contraseña.
5 https://docs.microsoft.com/en-us/azure/virtual-machines/linux/
Conexiones SSH
SSH es un protocolo de conexión cifrado que permite inicios de sesión seguros a través de conexiones no seguras. SSH es el protocolo
de conexión predeterminado para máquinas virtuales Linux alojadas en Azure. Aunque SSH en sí mismo proporciona una conexión
encriptada, el uso de contraseñas con conexiones SSH todavía deja a la VM vulnerable a ataques de fuerza bruta o adivinanzas de
contraseñas. Un método más seguro y preferido para conectarse a una máquina virtual mediante SSH es mediante el uso de un par
de claves pública-privada, también conocidas como claves SSH.
● La Llave pública se coloca en su máquina virtual Linux o en cualquier otro servicio que desee utilizar con criptografía de clave
pública.
● La llave privada permanece en su sistema local. Proteja esta clave privada. No lo compartas.
Cuando utiliza un cliente SSH para conectarse a su máquina virtual Linux (que tiene la clave pública), la máquina virtual
remota prueba el cliente para asegurarse de que posee la clave privada. Si el cliente tiene la clave privada, se le otorga
acceso a la VM.
Según las políticas de seguridad de su organización, puede reutilizar un único par de claves pública-privada para acceder a varios
servicios y máquinas virtuales de Azure. No necesita un par de claves por separado para cada VM o servicio al que desee acceder.
Su clave pública se puede compartir con cualquier persona, pero solo usted (o su infraestructura de seguridad local)
debe poseer su clave privada.
✔ Actualmente, Azure requiere al menos una longitud de clave de 2048 bits y el formato SSH-RSA para claves públicas y privadas.
Demostración: conexión a máquinas virtuales

Linux
En esta demostración, crearemos una máquina Linux y accederemos a la máquina con SSL.
Nota: Asegúrese de que el puerto 22 esté abierto para que funcione la conexión.
Crea las claves SSH
1. Descargue la herramienta PuTTY. Esto incluirá PuTTYgen - https://putty.org/.
2. Una vez instalado, ubique y abra el PuTTYgen programa.
3. En el Parámetros grupo de opciones elegir RSA.
4. Haga clic en el Generar botón.
5. Mueva el mouse por el área en blanco de la ventana para generar algo de aleatoriedad.
6. Copie el texto del Clave pública para pegar en el archivo de claves autorizadas.
7. Opcionalmente, puede especificar un Frase de contraseña clave y entonces Confirme la contraseña. Se le pedirá la
frase de contraseña cuando se autentique en la VM con su clave SSH privada. Sin una frase de contraseña, si alguien
obtiene su clave privada, puede iniciar sesión en cualquier VM o servicio que use esa clave. Le recomendamos que cree
una frase de contraseña. Sin embargo, si olvida la frase de contraseña, no hay forma de recuperarla.
8. Hacer clic Guarde la clave privada.
9. Elija una ubicación y un nombre de archivo y haga clic en Ahorrar. Necesitará este archivo para acceder a la VM.
Cree la máquina Linux y asigne la clave SSH pública
1. En el portal, cree una máquina Linux de su elección.
2. Elija Clave pública SSH Para el Tipo de autenticación ( en vez de Contraseña ).
3. Proporcione un Nombre de usuario.
4. Pegue la clave SSH pública de PuTTY en el Clave pública SSH área de texto. Asegúrese de que la clave se valida con
una marca de verificación.
5. Crea la VM. Espere a que se despliegue. Acceda a la
6. máquina virtual en ejecución.
7. Desde el Descripción general hoja, haga clic Conectar.
8. Tome nota de su información de inicio de sesión, incluido el usuario y la dirección IP pública.
Accede al servidor usando SSH
1. Abra el Masilla herramienta.
2. Ingrese nombre de usuario @ publicIpAddress donde nombre de usuario es el valor que asignó al crear la máquina virtual
y publicIpAddress es el valor que obtuvo de Azure Portal.
3. Especificar 22 Para el Puerto.
4. Escoger SSH en el Tipo de conección grupo de opciones. Navegar
5. a SSH en el panel Categoría, luego haga clic en Auth.
6. Haga clic en el Navegar botón junto a Archivo de clave privada para autenticación.
7. Navegue hasta el archivo de clave privada guardado cuando generó las claves SSH y haga clic en Abierto.
8. Desde la pantalla principal de PuTTY, haga clic en Abierto.
9. Ahora estará conectado a la línea de comandos de su servidor.

Disponibilidad de la máquina virtual
Mantenimiento y tiempo de inactividad

Como administrador de Azure, debe estar preparado para fallas planificadas y no planificadas. Hay tres escenarios que
pueden hacer que su máquina virtual en Azure se vea afectada: mantenimiento de hardware no planificado, tiempo de
inactividad inesperado y mantenimiento planificado.
Un Mantenimiento de hardware no planificado El evento ocurre cuando la plataforma Azure predice que el hardware o cualquier
componente de la plataforma asociado a una máquina física está a punto de fallar. Cuando la plataforma predice una falla, generará
un evento de mantenimiento de hardware no planificado. Azure usa la tecnología Live Migration para migrar las máquinas virtuales
del hardware defectuoso a una máquina física en buen estado. La migración en vivo es una operación de conservación de la máquina
virtual que solo detiene la máquina virtual durante un período breve, pero el rendimiento puede reducirse antes y / o después del
evento.
Tiempo de inactividad inesperado es cuando el hardware o la infraestructura física de la máquina virtual falla inesperadamente.
Esto puede incluir fallas en la red local, fallas en el disco local u otras fallas en el nivel del bastidor. Cuando se detecta, la plataforma
Azure migra (repara) automáticamente su máquina virtual a una máquina física en buen estado en el mismo centro de datos.
Durante el procedimiento de recuperación, las máquinas virtuales experimentan un tiempo de inactividad (reinicio) y, en algunos
casos, la pérdida de la unidad temporal.
Mantenimiento planificado Los eventos son actualizaciones periódicas realizadas por Microsoft a la plataforma Azure subyacente
para mejorar la confiabilidad, el rendimiento y la seguridad generales de la infraestructura de la plataforma en la que se ejecutan sus
máquinas virtuales. La mayoría de estas actualizaciones se realizan sin ningún impacto en sus máquinas virtuales o servicios en la
nube.
Nota: Microsoft no actualiza automáticamente el sistema operativo o el software de su máquina virtual. Tienes el control total y la
responsabilidad de eso. Sin embargo, el host de software y el hardware subyacentes se revisan periódicamente para garantizar la
confiabilidad y el alto rendimiento en todo momento.
✔ ¿Qué planes tiene para minimizar el efecto del tiempo de inactividad?
Conjuntos de disponibilidad
Un Conjunto de disponibilidad es una función lógica que se utiliza para garantizar que se implemente un grupo de máquinas virtuales
relacionadas para que no estén todas sujetas a un solo punto de falla y no todas se actualicen al mismo tiempo durante una actualización del
sistema operativo host en el centro de datos. Las máquinas virtuales ubicadas en un conjunto de disponibilidad deben realizar un conjunto
idéntico de funcionalidades y tener el mismo software instalado.
Azure garantiza que las máquinas virtuales que coloque en un conjunto de disponibilidad se ejecuten en varios servidores físicos, racks
informáticos, unidades de almacenamiento y conmutadores de red. Si se produce una falla en el hardware o en el software de Azure, solo un
subconjunto de sus máquinas virtuales se verá afectado y su aplicación general permanecerá activa y seguirá estando disponible para sus
clientes.
Los conjuntos de disponibilidad son una capacidad esencial cuando desea crear soluciones confiables en la nube. Al crear conjuntos
de disponibilidad, tenga en cuenta estos principios.
● Para obtener redundancia, configure varias máquinas virtuales en un conjunto de disponibilidad.
● Configure cada nivel de aplicación en conjuntos de disponibilidad separados.

Disponibilidad de la máquina virtual 247
● Combine un equilibrador de carga con conjuntos de disponibilidad.
● Use discos administrados con las máquinas virtuales.
Puede crear conjuntos de disponibilidad a través de Azure Portal en la sección de recuperación ante desastres. Además, puede
crearlos utilizando plantillas de Resource Manager o cualquiera de las herramientas de scripts o API.
Acuerdos de Nivel de Servicio

● Para todas las máquinas virtuales que tienen dos o más instancias implementadas en dos o más zonas de
disponibilidad en la misma región de Azure, garantizamos que tendrá conectividad de máquina virtual con al menos
una instancia al menos el 99,99% del tiempo.
● Para todas las máquinas virtuales que tienen dos o más instancias implementadas en el mismo conjunto de disponibilidad,
garantizamos que tendrá conectividad de máquina virtual con al menos una instancia al menos el 99,95% del tiempo.
● Para cualquier máquina virtual de instancia única que utilice almacenamiento premium para todos los discos del sistema operativo y
los discos de datos, le garantizamos que tendrá una conectividad de máquina virtual de al menos el 99,9%.
✔ Puede crear una máquina virtual y un conjunto de disponibilidad al mismo tiempo. Una máquina virtual solo se puede agregar a
un conjunto de disponibilidad cuando se crea. Para cambiar el conjunto de disponibilidad, debe eliminar y luego volver a crear la
máquina virtual.
Dominios de actualización y fallas

Update Domains y Fault Domains ayuda a Azure a mantener una alta disponibilidad y tolerancia a fallos al implementar y
actualizar aplicaciones. Cada máquina virtual de un conjunto de disponibilidad se coloca en un dominio de actualización y
dos dominios de error.
Actualizar dominios
Un actualizar dominio (UD) es un grupo de nodos que se actualizan juntos durante el proceso de actualización de un servicio
(implementación). Un dominio de actualización permite que Azure realice actualizaciones incrementales o continuas en una
implementación. Cada dominio de actualización contiene un conjunto de máquinas virtuales y hardware físico asociado que se
pueden actualizar y reiniciar al mismo tiempo. Durante el mantenimiento planificado, solo se reinicia un dominio de actualización a
la vez. De forma predeterminada, hay cinco dominios de actualización (no configurables por el usuario), pero puede configurar hasta
veinte dominios de actualización.
Dominios de fallas
A dominio de falla (FD) es un grupo de nodos que representan una unidad física de falla. Un dominio de falla define un grupo de máquinas
virtuales que comparten un conjunto común de hardware, conmutadores, que comparten un único punto de falla. Por ejemplo, un bastidor de
servidor al que se le da servicio mediante un conjunto de conmutadores de red o de alimentación. Las máquinas virtuales en un conjunto de
disponibilidad se colocan en al menos dos dominios de falla. Esto mitiga los efectos de fallas de hardware, cortes de red, interrupciones de
energía o actualizaciones de software. Piense en un dominio de fallas como nodos que pertenecen al mismo bastidor físico.
✔ Colocar sus máquinas virtuales en un conjunto de disponibilidad no protege su aplicación de fallas específicas del sistema
operativo o de la aplicación. Para eso, debe revisar otras técnicas de copia de seguridad y recuperación ante desastres.
Zonas de disponibilidad
Availability Zones es una oferta de alta disponibilidad que protege sus aplicaciones y datos de fallas en el centro de
datos.
Consideraciones
● Las zonas de disponibilidad son ubicaciones físicas únicas dentro de una región de Azure.
● Cada zona está formada por uno o más centros de datos equipados con alimentación, refrigeración y redes
independientes.
● Para garantizar la resistencia, hay un mínimo de tres zonas separadas en todas las regiones habilitadas.
● La separación física de las zonas de disponibilidad dentro de una región protege las aplicaciones y los datos de las fallas
del centro de datos.
● Los servicios con redundancia de zona replican sus aplicaciones y datos en las zonas de disponibilidad para protegerlos
de puntos únicos de falla.
● Con las zonas de disponibilidad, Azure ofrece el mejor SLA de tiempo de actividad de VM del 99,99% del sector.
Implementación
Una zona de disponibilidad en una región de Azure es una combinación de un dominio de error y un dominio de actualización. Por
ejemplo, si crea tres o más máquinas virtuales en tres zonas en una región de Azure, sus máquinas virtuales se distribuyen
eficazmente en tres dominios de error y tres dominios de actualización. La plataforma Azure reconoce esta distribución en los
dominios de actualización para asegurarse de que las máquinas virtuales de diferentes zonas no se actualicen al mismo tiempo.
Cree alta disponibilidad en la arquitectura de su aplicación colocando sus recursos informáticos, de

almacenamiento, de red y de datos dentro de una zona y replicando en otras zonas.
Los servicios de Azure que admiten zonas de disponibilidad se dividen en dos categorías:
● Servicios zonales. Anclar el recurso a una zona específica (por ejemplo, máquinas virtuales, discos administrados,
direcciones IP estándar) o
● Servicios con redundancia de zona. La plataforma se replica automáticamente en todas las zonas (por ejemplo, almacenamiento con redundancia
de zona, base de datos SQL).
✔ Para lograr una continuidad empresarial integral en Azure, cree la arquitectura de su aplicación utilizando la combinación
de zonas de disponibilidad con pares de regiones de Azure.
Conceptos de escala
Generalmente, hay dos tipos de escala: escala vertical y escala horizontal.
Escala vertical
El escalado vertical, también conocido como escalar hacia arriba y hacia abajo, significa aumentar o disminuir el tamaño de las máquinas virtuales en
respuesta a una carga de trabajo. El escalado vertical hace que las máquinas virtuales sean más (escalar hacia arriba) o menos (escalar hacia abajo)
poderosas. La escala vertical puede resultar útil cuando:
● Un servicio creado en máquinas virtuales está infrautilizado (por ejemplo, los fines de semana). Reducir el tamaño de la
máquina virtual puede reducir los costos mensuales.
● Aumentar el tamaño de la máquina virtual para hacer frente a una mayor demanda sin crear máquinas virtuales adicionales.
Escala horizontal
Escalado horizontal, también denominado escalado horizontal y vertical, en el que el número de máquinas virtuales se modifica en función de la carga de
trabajo. En este caso, hay un aumento (escalamiento horizontal) o una disminución (escalamiento hacia adentro) en la cantidad de instancias de máquina
virtual.
Consideraciones
● El escalado vertical generalmente tiene más limitaciones. Depende de la disponibilidad de hardware más grande, que alcanza
rápidamente un límite superior y puede variar según la región. El escalado vertical también suele requerir que una máquina
virtual se detenga y reinicie.
● El escalado horizontal es generalmente más flexible en una situación de nube, ya que le permite ejecutar potencialmente
miles de máquinas virtuales para manejar la carga.
● Reaprovisionar significa eliminar una máquina virtual existente y reemplazarla por una nueva. ¿Necesita
conservar sus datos?
Conjuntos de escalas
Los conjuntos de escalado de máquinas virtuales son un recurso de Azure Compute que puede usar para implementar y administrar un conjunto de
idéntico VM. Con todas las máquinas virtuales configuradas de la misma manera, los conjuntos de escalado de máquinas virtuales están diseñados para admitir el escalado automático real
- no se requiere el aprovisionamiento previo de máquinas virtuales, y como tal facilita la creación de servicios a gran escala dirigidos a grandes volúmenes
de computación, macrodatos y cargas de trabajo en contenedores. Por lo tanto, a medida que aumenta la demanda, se pueden agregar más instancias de
máquinas virtuales y, a medida que disminuye la demanda, se pueden eliminar las instancias de máquinas virtuales. El proceso puede ser manual o
automatizado o una combinación de ambos.
Beneficios de Scale Set

● Todas las instancias de VM se crean a partir de la misma configuración e imagen del sistema operativo base. Este enfoque le permite
administrar fácilmente cientos de máquinas virtuales sin tareas de configuración adicionales o administración de red.
● Los conjuntos de escalado admiten el uso del equilibrador de carga de Azure para la distribución básica del tráfico de capa 4 y
Azure Application Gateway para una distribución de tráfico de capa 7 más avanzada y terminación SSL.
● Los conjuntos de escalas se utilizan para ejecutar varias instancias de su aplicación. Si una de estas instancias de VM tiene un
problema, los clientes continúan accediendo a su aplicación a través de una de las otras instancias de VM con una interrupción
mínima.
● La demanda de los clientes para su aplicación puede cambiar durante el día o la semana. Para satisfacer la demanda de los clientes, los
conjuntos de escalado pueden aumentar automáticamente la cantidad de instancias de VM a medida que aumenta la demanda de
aplicaciones y luego reducir la cantidad de instancias de VM a medida que disminuye la demanda. Esto se conoce como autoescala.
● Los conjuntos de escalado admiten hasta 1000 instancias de VM. Si crea y carga sus propias imágenes de VM personalizadas, el
límite es de 600 instancias de VM.
Implementación de conjuntos de escalas
● Recuento de instancias iniciales. Número de máquinas virtuales en el conjunto de escalas (0 a 1000).
● Tamaño de la instancia. El tamaño de cada máquina virtual en el conjunto de escalas.
● Instancia puntual de Azure. Las máquinas virtuales de baja prioridad se asignan a partir del exceso de capacidad informática de Microsoft Azure, lo
que permite que se ejecuten varios tipos de cargas de trabajo a un costo significativamente reducido.
● Utilice discos administrados. Los discos administrados ocultan las cuentas de almacenamiento subyacentes y, en cambio, muestran la
abstracción de un disco. Los discos no administrados exponen las cuentas de almacenamiento subyacentes y los blobs de VHD.
● Habilite el escalado más allá de 100 instancias. Si la respuesta es No, el conjunto de básculas se limitará a 1 grupo de ubicación y
puede tener una capacidad máxima de 100. Si la respuesta es Sí, el conjunto de básculas puede abarcar varios grupos de ubicación. Esto
permite que la capacidad sea de hasta 1000, pero cambia las características de disponibilidad del conjunto de básculas.
● Algoritmo de difusión. Recomendamos implementar con la distribución máxima para la mayoría de las cargas de trabajo, ya que este enfoque
proporciona la mejor distribución en la mayoría de los casos.
Auto escala
Un conjunto de escalado de máquinas virtuales de Azure puede aumentar o disminuir automáticamente la cantidad de instancias de VM que
ejecutan su aplicación. Esto significa que puede escalar dinámicamente para satisfacer la demanda cambiante.
Beneficios de la escala automática

● Ajusta automáticamente la capacidad. Vamos a crear reglas que definan el rendimiento aceptable para una experiencia de
cliente positiva. Cuando se alcanzan esos umbrales definidos, las reglas de autoescala actúan para ajustar la capacidad de su
conjunto de escalas.
● Poner a escala. Si la demanda de su aplicación aumenta, la carga en las instancias de VM en su conjunto de escalado
aumenta. Si este aumento de carga es constante, en lugar de solo una demanda breve, puede configurar reglas de
autoescala para aumentar la cantidad de instancias de VM en el conjunto de escalado.
● Escala. En una noche o un fin de semana, la demanda de su aplicación puede disminuir. Si esta carga disminuida es constante
durante un período de tiempo, puede configurar reglas de autoescalado para disminuir la cantidad de instancias de VM en el
conjunto de escalado. Esta acción de escalado reduce el costo de ejecutar su conjunto de escalado, ya que solo ejecuta la
cantidad de instancias necesarias para satisfacer la demanda actual.
● Programar eventos. Programe eventos para aumentar o disminuir automáticamente la capacidad de su báscula configurada en
horarios fijos.
● Menos gastos generales. Reduce la sobrecarga de administración para monitorear y optimizar el desempeño de su
aplicación.
✔ Autoscale minimiza la cantidad de instancias de VM innecesarias que ejecutan su aplicación cuando la demanda es baja, mientras
que los clientes continúan recibiendo un nivel aceptable de rendimiento a medida que aumenta la demanda y se agregan
automáticamente instancias de VM adicionales.
Implementación de escala automática

Cuando crea un conjunto de escalas, puede habilitar Autoscale. También debe definir un número mínimo, máximo y
predeterminado de instancias de VM. Cuando se aplican las reglas de autoescala, estos límites de instancias aseguran
que no escale más allá del número máximo de instancias o que escale más allá del mínimo de instancias.
● Número mínimo de máquinas virtuales. El valor mínimo de autoescala en este conjunto de escalas.
● Número máximo de máquinas virtuales. El valor máximo de autoescala en este conjunto de escalas.
● Escala horizontal del umbral de la CPU. El umbral de porcentaje de uso de la CPU para activar la regla de escalado automático.
● Número de máquinas virtuales para aumentar. La cantidad de máquinas virtuales que se agregarán al conjunto de escalado
cuando se active la regla de escalado horizontal.
● Escala en el umbral de la CPU. El umbral de porcentaje de uso de la CPU para activar la escala en la regla de escala automática.
● Número de máquinas virtuales que se reducirán. La cantidad de máquinas virtuales que se eliminarán del conjunto de escalas cuando se active la
regla de escala en escala automática.
Para más información, Prácticas recomendadas para la escala automática 6 .
6 https://docs.microsoft.com/en-us/azure/monitoring-and-diagnostics/insights-autoscale-best-practices
Extensiones de máquina virtual
Extensiones de máquina virtual

Crear y mantener máquinas virtuales puede suponer mucho trabajo, y gran parte de él es repetitivo, requiriendo los mismos
pasos cada vez. Afortunadamente, existen varias formas de automatizar las tareas de creación, mantenimiento y eliminación
de máquinas virtuales. Una forma es usar una máquina virtual extensión.
Las extensiones de máquina virtual de Azure son pequeñas aplicaciones que proporcionan tareas de automatización y configuración posteriores
a la implementación en las máquinas virtuales de Azure. Por ejemplo, si una máquina virtual requiere instalación de software, protección
antivirus o un script de configuración en su interior, se puede utilizar una extensión de VM. Las extensiones tienen que ver con la administración
de sus máquinas virtuales.
Las extensiones de máquina virtual de Azure pueden ser:
● Administrado con Azure CLI, PowerShell, plantillas de Azure Resource Manager y Azure Portal.
● Se incluye con una nueva implementación de VM o se ejecuta en cualquier sistema existente. Por ejemplo, pueden ser parte de una
implementación más grande, configurando aplicaciones en la provisión de VM o ejecutarse en cualquier sistema operado por extensión
compatible después de la implementación.
Existen diferentes extensiones para máquinas con Windows y Linux y una gran variedad de extensiones propias y de
terceros.
✔ En esta lección nos centraremos en dos extensiones: Extensiones de script personalizadas y Configuración de estado deseado.
Ambas herramientas están basadas en PowerShell.
Para más información, Extensiones y características de la máquina virtual para Windows 7 y Extensiones y características de
la máquina virtual para Linux 8 .
7 https://docs.microsoft.com/en-us/azure/virtual-machines/extensions/features-windows?toc=%2Fazure%2Fvirtual-
machines% 2Fwindows% 2Ftoc.json
8 https://docs.microsoft.com/en-us/azure/virtual-machines/extensions/features-linux
Extensiones de máquina virtual 255
Extensión de secuencia de comandos personalizada

La extensión de scripts personalizados (CSE) se puede utilizar para iniciar y ejecutar automáticamente las tareas de personalización de
la máquina virtual después de la configuración. Su extensión de secuencia de comandos puede realizar tareas muy simples, como
detener la máquina virtual o instalar un componente de software. Sin embargo, el guión podría ser más complejo y realizar una serie
de tareas.
Puede instalar el CSE desde Azure Portal accediendo a las máquinas virtuales Extensiones espada. Una vez que se crea el recurso CSE,
proporcionará un archivo de secuencia de comandos de PowerShell. Su archivo de secuencia de comandos incluirá los comandos de
Power-Shell que desea ejecutar en la máquina virtual. Opcionalmente, puede pasar argumentos, como param1, param2. Una vez que
se carga el archivo, se ejecuta inmediatamente. Los scripts se pueden descargar desde Azure Storage o GitHub, o se pueden
proporcionar en Azure Portal en el tiempo de ejecución de la extensión.
También puede usar PowerShell Set-AzVmCustomScriptExtension mando. Debe cargar el archivo de secuencia de
comandos en un contenedor de blobs y proporcionar el URI en el comando como este:
Set-AzVmCustomScriptExtension -FileUri https: //scriptstore.blob.core.

windows.net/scripts/Install_IIS.ps1 -Ejecutar "PowerShell.exe" -VmName vmName
- ResourceGroupName resourceGroup -Location "ubicación"
Consideraciones
● Se acabó el tiempo. Las extensiones de scripts personalizados tienen 90 minutos para ejecutarse. Si su implementación excede
este tiempo, se marca como tiempo de espera. Tenga esto en cuenta al diseñar su guión. Y, por supuesto, su máquina virtual
debe estar funcionando para realizar las tareas.
● Dependencias. Si su extensión requiere acceso a redes o almacenamiento, asegúrese de que el contenido esté
disponible.
● Eventos fallidos. Asegúrese de tener en cuenta cualquier error que pueda ocurrir al ejecutar su script. Por
ejemplo, quedarse sin espacio en disco o restricciones de seguridad y acceso. ¿Qué hará el script si hay un error?
● Informacion delicada. Es posible que su extensión necesite información confidencial como credenciales, nombres de cuentas de
almacenamiento y claves de acceso a cuentas de almacenamiento. ¿Cómo protegerá / cifrará esta información?
✔ ¿Puede pensar en alguna extensión de secuencia de comandos personalizada que desee crear?
Configuración de estado deseada

La configuración de estado deseado (DSC) es una plataforma de administración en Windows PowerShell que permite
implementar y administrar datos de configuración para servicios de software y administrar el entorno en el que se ejecutan
estos servicios. DSC proporciona un conjunto de extensiones de idioma de Windows PowerShell, Windows
Cmdlets de PowerShell y recursos que puede usar para especificar de forma declarativa cómo desea que se configure su
entorno de software. También proporciona un medio para mantener y administrar las configuraciones existentes.
DSC se centra en la creación configuraciones. Una configuración es un script fácil de leer que describe un entorno
compuesto por computadoras (nodos) con características específicas. Estas características pueden ser tan simples como
asegurar que una característica específica de Windows esté habilitada o tan complejas como implementar SharePoint.
Utilice DSC cuando el CSE no funcione para su aplicación.
En este ejemplo, estamos instalando IIS en el localhost. La configuración se guardará como un archivo .ps1.
configuración IISInstall
{
Nodo "localhost"
{
WindowsFeature IIS
{
Asegúrese = "Presente"
Nombre = "servidor web"
}}}
Observe que el script DSC consta de lo siguiente:
● La Configuración cuadra. Este es el bloque de script más externo. Lo define usando el Configuración
palabra clave y proporcionando un nombre. En este caso, el nombre de la configuración es IISInstall.
● Uno o mas Nodo bloques. Estos definen los nodos (computadoras o VM) que está configurando. En la
configuración anterior, hay un bloque de nodo que se dirige a una computadora llamada "localhost".
● Uno o más bloques de recursos. Aquí es donde la configuración establece las propiedades de los recursos que está
configurando. En este caso, hay un bloque de recursos que usa WindowsFeature. WindowsFeature indica el nombre
(servidor web) de la función o función que desea asegurarse de que se agregue o elimine. Asegúrese de que indique si se
agrega el rol o la función. Tus elecciones están presentes y ausentes.
✔ Windows PowerShell DSC viene con un conjunto de recursos de configuración integrados. Por ejemplo, Recurso
de archivo, Recurso de registro y Recurso de usuario. Utilice el enlace de referencia para ver los recursos que están
disponibles para usted. ¿Hay algún recurso que le pueda interesar?
Demostración: extensión de secuencia de comandos personalizada

En esta demostración, exploraremos las extensiones de scripts personalizados.
Nota: Este escenario requiere una máquina virtual de Windows en estado de ejecución.
Verifique que la función del servidor web esté disponible
1. Conéctese (RDP) a su máquina virtual de Windows y abra un indicador de PowerShell.
2. Ejecute este comando y verifique que el estado de la función del servidor web sea Disponible pero no instalado.
Get-WindowsFeature -name Web-Server
Cree un archivo de secuencia de comandos de PowerShell para instalar el servidor web
1. Crea un archivo Install_IIS.ps1 en su máquina local.
2. Edite el archivo y agregue este comando:
Install-WindowsFeature -Name Web-Server

Extensiones de máquina virtual 257
Configurar una extensión en el portal para ejecutar el script
1. En Azure Portal, acceda a su máquina virtual y seleccione Extensiones.
2. Haga clic en + Agregar. Tómese un minuto para revisar las diferentes extensiones disponibles.
3. Ubique el Extensión de secuencia de comandos personalizada recurso, seleccione y haga clic Crear.
4. Busque su secuencia de comandos de PowerShell y cargue el archivo. Habrá una notificación de que se cargó el
archivo.
5. Hacer clic está bien.
6. Selecciona tu CustomScriptExtension.
7. Hacer clic Ver estado detallado y verificar que el aprovisionamiento se haya realizado correctamente.
Verifique que el servidor web esté instalado
12. Regrese a la sesión RDP de su máquina virtual.
13. Verifique que se haya instalado la función de servidor web. Esto puede tardar un par de minutos.
Get-WindowsFeature -name Web-Server
Nota: También puede usar PowerShell Set-AzVmCustomScriptExtension comando para implementar la

extensión. Debería cargar el script en el contenedor de blobs y usar el URI. Haremos esto en la próxima
demostración.
Preguntas de laboratorio y repaso del módulo 08
Laboratorio 08 - Administrar máquinas virtuales
Se le asignó la tarea de identificar diferentes opciones para implementar y configurar máquinas virtuales de Azure. En primer lugar,
debe determinar las diferentes opciones de escalabilidad y resiliencia de almacenamiento y computación que puede implementar al
usar máquinas virtuales de Azure. A continuación, debe investigar las opciones de escalabilidad y resistencia de almacenamiento y
computación que están disponibles cuando se usan conjuntos de escalado de máquinas virtuales de Azure. También desea explorar
la capacidad de configurar automáticamente máquinas virtuales y conjuntos de escalado de máquinas virtuales mediante la
extensión Azure Virtual Machine Custom Script.
Objetivos
● Tarea 1: Implementar máquinas virtuales de Azure resistentes a zonas mediante Azure Portal y una plantilla de Azure
Resource Manager.
● Tarea 2: configurar máquinas virtuales de Azure mediante extensiones de máquina virtual. Tarea 3: Escale
● el procesamiento y el almacenamiento para máquinas virtuales de Azure.
● Tarea 4: Implementar conjuntos de escalado de máquinas virtuales de Azure resistentes a zonas mediante Azure Portal. Tarea 5:
● configurar conjuntos de escalado de máquinas virtuales de Azure mediante extensiones de máquinas virtuales. Tarea 6: Escale el
● procesamiento y el almacenamiento para conjuntos de escalado de máquinas virtuales de Azure.
Aloja un servicio con dos máquinas virtuales de Azure. Descubre que las interrupciones ocasionales hacen que su servicio falle. ¿Qué
dos acciones puede hacer para minimizar el impacto de las interrupciones? Seleccione dos.
?? Agrega un equilibrador de carga.
?? Coloque las máquinas virtuales en un conjunto de disponibilidad.
?? Coloque las máquinas virtuales en un conjunto de escalas.
?? Agregue una puerta de enlace de red.
?? Agregue una tercera instancia de la máquina virtual.

Preguntas de laboratorio y repaso del módulo 08 259
Está investigando Microsoft Azure para su empresa. La empresa está considerando implementar máquinas virtuales basadas en
Windows en Azure. Sin embargo, antes de seguir adelante, el equipo de administración le ha pedido que investigue los costos
asociados con las máquinas virtuales de Azure. Debe documentar las opciones de configuración que probablemente le ahorrarán
dinero a la empresa en sus máquinas virtuales de Azure. ¿Qué opciones debería documentar? (Cada respuesta presenta parte de la
solución. Seleccione cuatro.
?? Utilice HDD en lugar de SSD para el almacenamiento de VM.
?? Utilice almacenamiento premium no administrado en lugar de almacenamiento estándar administrado.
?? Traiga sus propias imágenes personalizadas de Windows.
?? Utilice diferentes regiones de Azure.
?? Utilice las máquinas virtuales menos potentes que satisfagan sus requisitos. Coloque todas
?? las máquinas virtuales en el mismo grupo de recursos.
?? Traiga su propia licencia de Windows para cada VM.
Tiene previsto implementar varias máquinas virtuales Linux en Azure. El equipo de seguridad emite una política de que las máquinas virtuales
Linux deben usar un sistema de autenticación que no sea contraseñas. Debe implementar un método de autenticación para que las máquinas
virtuales de Linux cumplan con el requisito. ¿Qué método de autenticación debería utilizar? Seleccione uno.
?? Par de claves SSH
?? Autenticación multifactor de Azure
?? Claves de acceso
?? Firma de acceso compartido
?? Certificado de bóveda de seguridad
Su empresa tiene máquinas virtuales Windows Server 2012 R2 y máquinas virtuales Ubuntu Linux en Microsoft Azure. La empresa
tiene un nuevo proyecto para estandarizar la configuración de servidores en el entorno de Azure. La empresa opta por utilizar la
configuración de estado deseado (DSC) en todas las máquinas virtuales. Debe asegurarse de que DSC se pueda utilizar en todas las
máquinas virtuales. ¿Qué dos cosas deberías hacer? Seleccione dos.
?? Reemplace las VM de Ubuntu con VM de Red Hat Enterprise Linux.
?? Implemente la extensión DSC para máquinas virtuales de Windows Server.
?? Implemente la extensión DSC para máquinas virtuales Linux.
?? Reemplace las máquinas virtuales de Windows Server 2012 R2 por máquinas virtuales de Windows Server 2016.
Otro administrador de TI crea un conjunto de escalado de máquinas virtuales de Azure con 5 máquinas virtuales. Más tarde, observará que todas las
máquinas virtuales se están ejecutando a su máxima capacidad y la CPU se consume por completo. Sin embargo, no se están implementando VM
adicionales en el conjunto de escalado. Debe asegurarse de que se implementen máquinas virtuales adicionales cuando la CPU se consume en un 75%.
?? Habilite la opción de autoescala.
?? Aumente el recuento de instancias.
?? Agregue el script de automatización del conjunto de básculas a la biblioteca.
?? Implemente el script de automatización del conjunto de escalas.
Su empresa se está preparando para implementar una aplicación en Microsoft Azure. La aplicación es una unidad autónoma que se
ejecuta de forma independiente en varios servidores. La empresa está trasladando la aplicación a la nube para ofrecer un mejor
rendimiento. Para obtener un mejor rendimiento, el equipo tiene los siguientes requisitos:
● Si la CPU en los servidores supera el 85%, se debe implementar una nueva máquina virtual para proporcionar recursos
adicionales.
● Si la CPU en los servidores cae por debajo del 15%, una máquina virtual de Azure que ejecuta la aplicación debe retirarse para
reducir los costos.
Debe implementar una solución para cumplir con los requisitos y, al mismo tiempo, minimizar la sobrecarga administrativa para
implementar y administrar la solución. ¿Qué deberías hacer? Seleccione uno.
?? Implemente la aplicación en un conjunto de escalado de máquinas virtuales.
?? Implemente la aplicación en un conjunto de disponibilidad de máquina virtual.
?? Implemente la aplicación mediante una plantilla de administrador de recursos.
?? Implemente la aplicación y use la configuración de estado deseado (DSC) de PowerShell.
Su empresa está implementando una aplicación empresarial crítica en Microsoft Azure. El tiempo de actividad de la
aplicación es de suma importancia. La aplicación tiene los siguientes componentes:
● 2 servidores web
● 2 servidores de aplicaciones
● 2 servidores de base de datos
Debe diseñar el diseño de las máquinas virtuales para cumplir con los siguientes requisitos:
● Cada máquina virtual de un nivel debe ejecutarse en un hardware diferente

● Se debe maximizar el tiempo de actividad de la aplicación
Debe implementar las máquinas virtuales para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
?? Implemente 1 VM de cada nivel en un conjunto de disponibilidad y las VM restantes en un conjunto de disponibilidad independiente.
?? Implemente las VM de cada nivel en un conjunto de disponibilidad dedicado para el nivel.
?? Implemente las máquinas virtuales de la aplicación y la base de datos en un conjunto de disponibilidad y las máquinas virtuales web en un conjunto de
disponibilidad independiente.
?? Implemente un equilibrador de carga para las máquinas virtuales web y un conjunto de disponibilidad para contener las máquinas virtuales de la aplicación y la
base de datos.
Su organización tiene una política de seguridad que prohíbe exponer los puertos SSH al mundo exterior. Debe conectarse
a una máquina virtual de Azure Linux para instalar el software. ¿Qué deberías hacer? Seleccione uno.
?? Configurar el servicio Bastion
?? Configurar una configuración de invitado en la máquina virtual
?? Cree una extensión de secuencia de comandos personalizada
?? Trabaje sin conexión y luego vuelva a crear una imagen de la máquina virtual.
Estudio adicional
● Cree una aplicación escalable con conjuntos de escalado de máquinas virtuales 9
● Implementar máquinas virtuales de Azure a partir de plantillas VHD 10
● Elija el almacenamiento en disco adecuado para la carga de trabajo de su máquina virtual 11
● Agregar y dimensionar discos en máquinas virtuales de Azure 12
● Proteja la configuración de su máquina virtual con Azure Automation State Configuration 13
9 https://docs.microsoft.com/en-us/learn/modules/build-app-with-scale-sets/
10 https://docs.microsoft.com/en-us/learn/modules/deploy-vms-from-vhd-templates/
11 https://docs.microsoft.com/en-us/learn/modules/choose-the-right-disk-storage-for-vm-workload/
12 https://docs.microsoft.com/en-us/learn/modules/add-and-size-disks-in-azure-virtual-machines/
13 https://docs.microsoft.com/en-us/learn/modules/protect-vm-settings-with-dsc/
Respuestas
Aloja un servicio con dos máquinas virtuales de Azure. Descubre que las interrupciones ocasionales hacen que su
servicio falle. ¿Qué dos acciones puede hacer para minimizar el impacto de las interrupciones? Seleccione dos.
■ Agregue un equilibrador de carga.
■ Coloque las máquinas virtuales en un conjunto de disponibilidad.
?? Coloque las máquinas virtuales en un conjunto de escalas.
?? Agregue una puerta de enlace de red.
?? Agregue una tercera instancia de la máquina virtual.
Explicación
Para minimizar el impacto, coloque las máquinas virtuales en un conjunto de disponibilidad y agregue un equilibrador de carga.
Está investigando Microsoft Azure para su empresa. La empresa está considerando implementar máquinas virtuales basadas en
Windows en Azure. Sin embargo, antes de seguir adelante, el equipo de administración le ha pedido que investigue los costos
asociados con las máquinas virtuales de Azure. Debe documentar las opciones de configuración que probablemente le ahorrarán
dinero a la empresa en sus máquinas virtuales de Azure. ¿Qué opciones debería documentar? (Cada respuesta presenta parte de la
solución. Seleccione cuatro.
■ Utilice HDD en lugar de SSD para el almacenamiento de VM.
?? Utilice almacenamiento premium no administrado en lugar de almacenamiento estándar administrado.
?? Traiga sus propias imágenes personalizadas de Windows.
■ Utilice diferentes regiones de Azure.
■ Utilice las máquinas virtuales menos potentes que satisfagan sus requisitos. Coloque todas
?? las máquinas virtuales en el mismo grupo de recursos.
■ Traiga su propia licencia de Windows para cada VM.
Explicación
En este escenario, debe documentar cuáles de las opciones presentadas pueden ahorrarle dinero a la empresa para sus máquinas
virtuales de Azure. Si bien esta no es una lista exhaustiva, las opciones de configuración correctas para ahorrar dinero son: Use
HDD en lugar de SSD, use diferentes regiones de Azure, use las VM menos potentes que cumplan con sus requisitos y traiga su
propia licencia de Windows (en lugar de pagar por una licencia con la VM). Las otras opciones generalmente aumentan el costo.
Tiene previsto implementar varias máquinas virtuales Linux en Azure. El equipo de seguridad emite una política de que las máquinas virtuales
Linux deben usar un sistema de autenticación que no sea contraseñas. Debe implementar un método de autenticación para que las máquinas
virtuales de Linux cumplan con el requisito. ¿Qué método de autenticación debería utilizar? Seleccione uno.
■ par de claves SSH
?? Autenticación multifactor de Azure
?? Claves de acceso
?? Firma de acceso compartido
?? Certificado de bóveda de seguridad
Explicación
Azure admite dos métodos de autenticación para máquinas virtuales Linux: contraseñas y SSH (a través de un par de claves SSH). Las claves de acceso
y las firmas de acceso compartido son métodos de acceso para el almacenamiento de Azure, no para las máquinas virtuales de Azure. En este
escenario, debe utilizar un par de claves SSH para cumplir con el requisito.
Su empresa tiene máquinas virtuales Windows Server 2012 R2 y máquinas virtuales Ubuntu Linux en Microsoft Azure. La empresa
tiene un nuevo proyecto para estandarizar la configuración de servidores en el entorno de Azure. La empresa opta por utilizar la
configuración de estado deseado (DSC) en todas las máquinas virtuales. Debe asegurarse de que DSC se pueda utilizar en todas las
máquinas virtuales. ¿Qué dos cosas deberías hacer? Seleccione dos.
?? Reemplace las VM de Ubuntu con VM de Red Hat Enterprise Linux.
■ Implemente la extensión DSC para máquinas virtuales de Windows Server.
■ Implemente la extensión DSC para máquinas virtuales Linux.
?? Reemplace las máquinas virtuales de Windows Server 2012 R2 por máquinas virtuales de Windows Server 2016.
Explicación
La configuración de estado deseado (DSC) está disponible para máquinas virtuales basadas en Windows Server y Linux. En este
escenario, solo necesita implementar las extensiones en las VM existentes para comenzar a usar DSC.
Otro administrador de TI crea un conjunto de escalado de máquinas virtuales de Azure con 5 máquinas virtuales. Más tarde, observará que todas las
máquinas virtuales se están ejecutando a su máxima capacidad y la CPU se consume por completo. Sin embargo, no se están implementando VM
adicionales en el conjunto de escalado. Debe asegurarse de que se implementen máquinas virtuales adicionales cuando la CPU se consume en un 75%.
■ Habilite la opción de escala automática.
?? Aumente el recuento de instancias.
?? Agregue el script de automatización del conjunto de básculas a la biblioteca.
?? Implemente el script de automatización del conjunto de escalas.
Explicación
Cuando tiene una escala configurada, puede habilitar la escala automática con la opción de escala automática. Cuando habilita la opción,
define los parámetros para cuando escalar. Para cumplir con los requisitos de este escenario, debe habilitar la opción de autoescala para
que se creen máquinas virtuales adicionales cuando la CPU se consume en un 75%. Tenga en cuenta que el script de automatización se
usa para automatizar la implementación de conjuntos de escalado y no está relacionado con la automatización de la construcción de VM
adicionales en el conjunto de escalado.
Su empresa se está preparando para implementar una aplicación en Microsoft Azure. La aplicación es una unidad autónoma que se
ejecuta de forma independiente en varios servidores. La empresa está trasladando la aplicación a la nube para ofrecer un mejor
rendimiento. Para obtener un mejor rendimiento, el equipo tiene los siguientes requisitos:
Debe implementar una solución para cumplir con los requisitos y, al mismo tiempo, minimizar la sobrecarga administrativa para
implementar y administrar la solución. ¿Qué deberías hacer? Seleccione uno.
■ Implementar
virtuales. la aplicación en un conjunto de escalado de máquinas
?? Implemente la aplicación en un conjunto de disponibilidad de máquina virtual.
?? Implemente la aplicación mediante una plantilla de administrador de recursos.
?? Implemente la aplicación y use la configuración de estado deseado (DSC) de PowerShell.
Explicación
En este escenario, debe usar un conjunto de escalado para las máquinas virtuales. Los conjuntos de escalado se pueden escalar hacia arriba o hacia abajo, en
función de criterios definidos (como el conjunto existente de máquinas virtuales que utilizan un gran porcentaje de la CPU disponible). Esto cumple con los
requisitos del escenario.
Su empresa está implementando una aplicación empresarial crítica en Microsoft Azure. El tiempo de actividad de la
aplicación es de suma importancia. La aplicación tiene los siguientes componentes:
Debe diseñar el diseño de las máquinas virtuales para cumplir con los siguientes requisitos:
Debe implementar las máquinas virtuales para cumplir con los requisitos. ¿Qué deberías hacer? Seleccione uno.
?? Implemente 1 VM de cada nivel en un conjunto de disponibilidad y las VM restantes en un conjunto de disponibilidad independiente.
■ Implemente las VM de cada nivel en un conjunto de disponibilidad dedicado para el nivel.
?? Implemente las máquinas virtuales de la aplicación y la base de datos en un conjunto de disponibilidad y las máquinas virtuales web en un conjunto de
disponibilidad independiente.
?? Implemente un equilibrador de carga para las máquinas virtuales web y un conjunto de disponibilidad para contener las máquinas virtuales de la aplicación y la
base de datos.
Explicación
Un conjunto de disponibilidad debe mantener las VM en el mismo nivel porque eso asegura que las VM no dependan del mismo hardware
físico. Si implementa máquinas virtuales en un solo nivel en varios conjuntos de disponibilidad, existe la posibilidad de que un nivel deje de
estar disponible debido a un problema de hardware. En este escenario, cada nivel debe tener un conjunto de disponibilidad dedicado
(conjunto de disponibilidad web, conjunto de disponibilidad de aplicaciones, conjunto de disponibilidad de base de datos).
Su organización tiene una política de seguridad que prohíbe exponer los puertos SSH al mundo exterior. Debe conectarse a
una máquina virtual de Azure Linux para instalar el software. ¿Qué deberías hacer? Seleccione uno.
■ Configurar el servicio Bastion
?? Configurar una configuración de invitado en la máquina virtual
?? Cree una extensión de secuencia de comandos personalizada
?? Trabaje sin conexión y luego vuelva a crear una imagen de la máquina virtual.
Explicación
Configure el servicio Bastion. El servicio Azure Bastion es un nuevo servicio PaaS totalmente administrado por la plataforma que
usted proporciona dentro de su red virtual. Proporciona conectividad RDP y SSH segura y sin problemas a sus máquinas virtuales
directamente en el portal de Azure a través de SSL. Cuando se conecta a través de Azure Bastion, sus máquinas virtuales no
necesitan una dirección IP pública.
Bastion proporciona conectividad RDP y SSH segura a todas las máquinas virtuales en la red virtual en la que está
provisto. El uso de Azure Bastion protege sus máquinas virtuales de exponer los puertos RDP y SSH al mundo exterior y, al
mismo tiempo, proporciona un acceso seguro mediante RDP y SSH. Con Azure Bastion, se conecta a la máquina virtual
directamente desde Azure Portal. No necesita un cliente, agente o software adicional.
Módulo 9 Computación sin servidor
Planes de Azure App Service
Planes de Azure App Service

En App Service, una aplicación se ejecuta en un plan de App Service. Un plan de App Service define un conjunto de recursos informáticos para
que se ejecute una aplicación web. Estos recursos informáticos son análogos a la granja de servidores en el alojamiento web convencional. Se
pueden configurar una o más aplicaciones para que se ejecuten en los mismos recursos informáticos (o en el mismo plan de App Service).
Cuando crea un plan de App Service en una región determinada (por ejemplo, Europa occidental), se crea un conjunto de recursos
informáticos para ese plan en esa región. Las aplicaciones que coloque en este plan de App Service se ejecutan en estos recursos
informáticos según lo definido por su plan de App Service. Cada plan de App Service define:
● Región ( Oeste de EE. UU., Este de EE. UU., Etc.)
● Cantidad de instancias de VM
● Tamaño de las instancias de VM ( Pequeño mediano Grande)
Cómo se ejecuta y escala la aplicación

En los niveles gratuito y compartido, una aplicación recibe minutos de CPU en una instancia de VM compartida y no se puede escalar horizontalmente. En otros niveles,
una aplicación se ejecuta y escala de la siguiente manera.
Cuando crea una aplicación en App Service, se coloca en un plan de App Service. Cuando la aplicación se ejecuta, se ejecuta en todas las
instancias de VM configuradas en el plan de App Service. Si varias aplicaciones están en el mismo plan de App Service, todas comparten las
mismas instancias de VM. Si tiene varias ranuras de implementación para una aplicación, todas las ranuras de implementación también se
ejecutan en las mismas instancias de VM. Si habilita los registros de diagnóstico, realiza copias de seguridad o ejecuta WebJobs, también usan
ciclos de CPU y memoria en estas instancias de VM.
De esta manera, el plan de App Service es la unidad de escala de las aplicaciones de App Service. Si el plan está configurado para ejecutar cinco
instancias de VM, todas las aplicaciones del plan se ejecutan en las cinco instancias. Si el plan está configurado para la escala automática, todas
las aplicaciones del plan se escalan juntas en función de la configuración de escala automática.
268 Módulo 9 Computación sin servidor
Consideraciones
Dado que paga por los recursos informáticos que asigna su plan de App Service, puede ahorrar dinero si coloca varias
aplicaciones en un plan de App Service. Puede continuar agregando aplicaciones a un plan existente siempre que el plan
tenga suficientes recursos para manejar la carga. Sin embargo, tenga en cuenta que todas las aplicaciones del mismo plan de
App Service comparten los mismos recursos informáticos. Para determinar si la nueva aplicación tiene los recursos
necesarios, debe comprender la capacidad del plan de App Service existente y la carga esperada para la nueva aplicación. La
sobrecarga de un plan de App Service puede causar tiempo de inactividad para sus aplicaciones nuevas y existentes. Aísle su
aplicación en un nuevo plan de App Service cuando:
● La aplicación consume muchos recursos.
● Desea escalar la aplicación independientemente de las otras aplicaciones en el plan existente.
● La aplicación necesita recursos en una región geográfica diferente. Para
más información, Descripción general del plan de Azure App Service 1 .
Niveles de precios del plan de servicio de la aplicación

Seleccionado Libre Compartido Básico Estándar Prima Aislado
Característica
Uso dev / prueba dev / prueba dedicado producción mejorado alto rendimiento
dev / prueba cargas de trabajo escala y mance

actuación seguridad, y
aislamiento
Web, móvil, 10 100 Ilimitado Ilimitado Ilimitado Ilimitado

o aplicaciones API
Espacio del disco 1 GB 1 GB 10 GB 50 GB 250 GB 1 TB

Auto escala - - - Soportado Soportado Soportado
Despliegue - - - 5 20 20
ranuras
Instancia máxima - Hasta 3 Hasta 10 Hasta 30 Hasta 100

es
El nivel de precios de un plan de App Service determina qué funciones de App Service obtiene y cuánto paga
por el plan. Hay algunas categorías de niveles de precios:
● Gratis y Compartido. Los planes de servicio gratuito y compartido son niveles base que se ejecutan en las mismas máquinas virtuales
de Azure que otras aplicaciones. Algunas aplicaciones pueden pertenecer a otros clientes. Estos niveles están destinados a ser utilizados
solo con fines de desarrollo y prueba. No se proporciona ningún SLA para los planes de servicios gratuitos y compartidos. Los planes
gratuitos y compartidos se miden por aplicación.
● Básico. El plan de servicio básico está diseñado para aplicaciones que tienen menores requisitos de tráfico y no necesitan
funciones avanzadas de gestión de tráfico y escalado automático. El precio se basa en el tamaño y la cantidad de instancias que
ejecuta. El soporte de equilibrio de carga de red integrado distribuye automáticamente el tráfico entre las instancias. El plan de
servicio básico con entornos de ejecución de Linux es compatible con la aplicación web para contenedores.
● Estándar. El plan de servicio estándar está diseñado para ejecutar cargas de trabajo de producción. El precio se basa en el
tamaño y la cantidad de instancias que ejecuta. El soporte de equilibrio de carga de red integrado distribuye automáticamente el
tráfico entre las instancias. El plan Estándar incluye escalado automático que puede ajustar automáticamente la cantidad de
instancias de máquinas virtuales en ejecución para satisfacer sus necesidades de tráfico. El plan de servicio estándar con entornos
de ejecución de Linux es compatible con la aplicación web para contenedores.
1 https://docs.microsoft.com/en-us/azure/app-service/overview-hosting-plans
Planes de Azure App Service 269
● Prima. El plan de servicio Premium está diseñado para proporcionar un rendimiento mejorado para las aplicaciones de producción. El
plan Premium actualizado, Premium v2, incluye máquinas virtuales de la serie Dv2 con procesadores más rápidos, almacenamiento SSD y
una relación doble de memoria a núcleo en comparación con el estándar. El nuevo plan Premium también admite una mayor escala
mediante un mayor recuento de instancias y, al mismo tiempo, brinda todas las capacidades avanzadas que se encuentran en el plan
Estándar. La primera generación del plan Premium todavía está disponible para las necesidades de escalado de los clientes existentes.
● Aislado. El plan de servicio aislado está diseñado para ejecutar cargas de trabajo de misión crítica, que deben ejecutarse en
una red virtual. El plan aislado permite a los clientes ejecutar sus aplicaciones en un entorno privado y dedicado en un centro
de datos de Azure utilizando máquinas virtuales de la serie Dv2 con procesadores más rápidos, almacenamiento SSD y el doble
de la relación de memoria a núcleo en comparación con el estándar. El entorno privado que se utiliza con un plan aislado se
denomina entorno de servicio de aplicaciones. El plan puede escalar a 100 instancias y hay más disponibles a pedido.
Para más información, Precios del plan de servicio de aplicaciones 2 .
Escalado del plan de servicio de aplicaciones

Hay dos flujos de trabajo para el escalado de aplicaciones web, aumentar proporcionalmente y poner a escala. Las aplicaciones se pueden escalar de forma
manual o automática (autoescala).
Aumentar proporcionalmente. Obtenga más CPU, memoria, espacio en disco y funciones adicionales como máquinas virtuales dedicadas
(VM), dominios y certificados personalizados, ranuras de prueba, ajuste de escala automático y más. Puedes escalar cambiando el nivel de
precios del plan de App Service al que pertenece tu aplicación.
Poner a escala: Aumente la cantidad de instancias de VM que ejecutan su aplicación. Puede escalar horizontalmente hasta 30
instancias, según su nivel de precios. Los entornos de servicio de aplicaciones en el nivel aislado aumentan aún más su recuento de
escalabilidad horizontal a 100 instancias. El recuento de instancias de escala se puede configurar de forma manual o automática
(escala automática). Autoscale se basa en reglas y programas predefinidos.
Cambiar su plan de App Service (escalar)

Su plan de App Service se puede ampliar o reducir en cualquier momento. Es tan simple como cambiar el nivel de precios
del plan. Puede elegir un nivel de precios más bajo al principio y ampliarlo más tarde cuando necesite más funciones de App
Service.
Por ejemplo, puede comenzar a probar su aplicación web en un plan de servicio de aplicaciones gratuito y no pagar nada. Cuando
desee agregar su nombre DNS personalizado a la aplicación web, simplemente escale su plan al nivel compartido. Más tarde, cuando
desee crear un enlace SSL, escale su plan al nivel Básico. Cuando desee tener entornos de ensayo, escale al nivel Estándar. Cuando
necesite más núcleos, memoria o almacenamiento, escale a un tamaño de máquina virtual más grande en el mismo nivel.
Lo mismo funciona a la inversa. Cuando sienta que ya no necesita las capacidades o características de un nivel superior,
puede escalar a un nivel inferior, lo que le permite ahorrar dinero.
2 https://azure.microsoft.com/en-us/pricing/details/app-service/windows/
Otras Consideraciones
● La configuración de la báscula tarda solo unos segundos en aplicarse y afecta a todas las aplicaciones de su plan de App Service.
No requieren que cambie su código o vuelva a implementar su aplicación.
● Si su aplicación depende de otros servicios, como Azure SQL Database o Azure Storage, puede escalar estos
recursos por separado. Estos recursos no los administra el plan de App Service.
Escala horizontal del plan de servicio de aplicaciones

Autoscale le permite tener la cantidad correcta de recursos en ejecución para manejar la carga en su aplicación. Le permite
agregar recursos para manejar los aumentos de carga y también ahorrar dinero al eliminar los recursos que están inactivos.
Usted especifica una cantidad mínima y máxima de instancias para ejecutar y agregar o quitar máquinas virtuales
automáticamente según un conjunto de reglas. Cuando se cumplen las condiciones de la regla, se activan una o más acciones
de autoescala.
Configuración de escala automática

El motor de autoescala lee una configuración de escala automática para determinar si se debe escalar hacia arriba o hacia abajo. Los ajustes de
escala automática se agrupan en perfiles.
Las reglas incluyen un disparador y una acción de escala (hacia arriba o hacia abajo). El disparador puede estar basado en métricas o en tiempo.
● Basado en métricas. Las reglas basadas en métricas miden la carga de la aplicación y agregan o eliminan máquinas virtuales en función de esa
carga. Por ejemplo, realice esta acción cuando el uso de la CPU sea superior al 50%. Algunos ejemplos de métricas son el tiempo de CPU, el tiempo
medio de respuesta y las solicitudes.
● Basado en el tiempo. Las reglas basadas en el tiempo (basadas en el cronograma) le permiten escalar cuando ve patrones de tiempo en su
carga y desea escalar antes de que ocurra un posible aumento o disminución de la carga. Por ejemplo, active un webhook cada 8 a. M. Los
sábados en una zona horaria determinada.
Consideraciones
● Tener un recuento mínimo de instancias asegura que su aplicación siempre se esté ejecutando incluso sin carga.
● Tener un recuento máximo de instancias limita el costo total por hora posible.
● Puede escalar automáticamente entre el mínimo y el máximo utilizando las reglas que cree.
● Asegúrese de que los valores máximo y mínimo sean diferentes y tengan un margen adecuado entre ellos.
● Utilice siempre una combinación de reglas de escalamiento horizontal y vertical que realice un aumento y una disminución.
● Elija la estadística adecuada para su métrica de diagnóstico (promedio, mínimo, máximo y total).
Planes de Azure App Service 271
● Seleccione siempre un recuento de instancias predeterminado seguro. El recuento de instancias predeterminado es importante porque la escala
automática escala su servicio a ese recuento cuando las métricas no están disponibles.
● Configure siempre las notificaciones de escala automática.
Configuración de las notificaciones

Una configuración de notificación define qué notificaciones deben ocurrir cuando se produce un evento de escala automática en función de la
satisfacción de los criterios de uno de los perfiles de la configuración de escala automática. Autoscale puede notificar una o más direcciones de correo
electrónico o realizar llamadas a uno o más webhooks.
Demostración: cree un plan de servicio de aplicaciones

En esta demostración, crearemos y trabajaremos con planes de Azure App Service.
Crear un plan de servicio de aplicaciones
1. Inicie sesión en Portal de Azure 3 .
2. Busque y seleccione Planes de servicios de aplicaciones.
3. Haga clic en + Agregar para crear un nuevo plan de App Service.
Configuración Valor
Suscripción Elija su suscripción
Grupo de recursos myRGAppServices ( crear nuevo)
Nombre AppServicePlan1
Sistema operativo Ventanas
Región Este de EE. UU.
4. Haga clic en Revisar + Crear y entonces Crear.
5. Espere a que se implemente su nuevo plan de App Service.
Revisar niveles de precios
1. Busque su nuevo plan de App Service.
2. Bajo Ajustes, hacer clic Escalar (plan de servicio de aplicaciones).
3. Tenga en cuenta que hay tres niveles: Desarrollo / Prueba, Producción, y Aislado.
4. Haga clic en cada nivel y revise las características y el hardware incluidos.
5. ¿Cómo se comparan los niveles?
Revisar el ajuste de escala automático
1. Bajo Ajustes hacer clic Escala horizontal (App Service Plan).
2. Observe que el valor predeterminado es Escala manual.
3. Tenga en cuenta que puede especificar un recuento de instancias dependiendo de la selección del plan de App Service.
4. Haga clic en Autoescala personalizada.
5. Observe dos modos de escala: Escala basada en una métrica y Escale a un recuento de instancias específico.
6. Haga clic en Agrega una regla.
3 http://portal.azure.com/
Nota: Esta regla agregará una instancia cuando los porcentajes de CPU sean superiores al 80% durante 10 minutos.
Agregación de tiempo Promedio
Nombre de métrica Porcentaje de CPU

Operador Mas grande que
Umbral 80
Duración 10 minutos
Operación Aumentar el recuento en
Recuento de instancias 1
Enfriarse 5 minutos
7. Agregar su regla cambia.
8. Revise el Límites de instancia: mínimo, máximo, y Defecto.
9. Tenga en cuenta que puede agregar un Calendario y Especificar fechas de inicio / finalización y Repite días específicos.
10. ¿Ves cómo puedes crear diferentes planes de App Service para tus aplicaciones?
Servicios de aplicaciones de Azure 273
Servicios de aplicaciones de Azure
Descripción general del servicio de aplicaciones

Azure App Service reúne todo lo que necesita para crear sitios web, backends móviles y API web para cualquier
plataforma o dispositivo. Las aplicaciones se ejecutan y escalan con facilidad en entornos basados en Windows y
Linux. Hay muchas opciones de implementación.
Razones para utilizar los servicios de aplicaciones

● Múltiples lenguajes y frameworks. App Service tiene soporte de primera clase para ASP.NET, Java, Ruby, Node.js, PHP
o Python. También puede ejecutar PowerShell y otros scripts o ejecutables como servicios en segundo plano.
● Optimización de DevOps. Configure la integración e implementación continuas con Azure DevOps, GitHub,
BitBucket, Docker Hub o Azure Container Registry. Promueva las actualizaciones a través de entornos de prueba y
preparación. Administre sus aplicaciones en App Service mediante Azure PowerShell o la interfaz de línea de
comandos (CLI) multiplataforma.
● Escala global con alta disponibilidad. Escale hacia arriba o hacia afuera de forma manual o automática. Aloje sus aplicaciones en
cualquier lugar de la infraestructura del centro de datos global de Microsoft, y App Service SLA promete alta disponibilidad.
● Conexiones a plataformas SaaS y datos locales. Elija entre más de 50 conectores para sistemas
empresariales (como SAP), servicios SaaS (como Salesforce) y servicios de Internet (como Facebook).
Acceda a datos locales mediante conexiones híbridas y redes virtuales de Azure.
● Seguridad y cumplimiento. App Service es compatible con ISO, SOC y PCI. Autentique a los usuarios con Azure Active
Directory o con inicio de sesión social (Google, Facebook, Twitter y Microsoft). Cree restricciones de direcciones IP y
administre identidades de servicio.
● Plantillas de aplicación. Elija entre una extensa lista de plantillas de aplicaciones en Azure Market, como
WordPress, Joomla y Drupal.
● Integración con Visual Studio. Las herramientas dedicadas de Visual Studio agilizan el trabajo de creación,
implementación y depuración.
● API y funciones móviles. App Service proporciona soporte CORS llave en mano para escenarios de API RESTful y simplifica los
escenarios de aplicaciones móviles al permitir la autenticación, sincronización de datos fuera de línea, notificaciones push y más.
● Código sin servidor. Ejecute un fragmento de código o un script a pedido sin tener que aprovisionar o administrar
explícitamente la infraestructura y pagar solo por el tiempo de cómputo que realmente usa su código.
✔ Para la certificación de Azure Adminstrator, céntrese en las tareas de implementación. Para
más información: Descripción general de Azure App Service 4
Creación de un servicio de aplicaciones

Al crear un servicio de aplicaciones, deberá especificar un grupo de recursos y un plan de servicio. Entonces hay algunas
otras opciones de configuración. Es posible que deba pedir ayuda a su desarrollador para completar esta información.
● Nombre. El nombre debe ser único y se utilizará para ubicar su aplicación. Por ejemplo, webappces1.
azurewebsites.net. Puede asignar un nombre de dominio personalizado, si prefiere usarlo en su lugar.
● Publicar. El servicio de aplicaciones puede alojar código o un contenedor de Docker.
● Pila de tiempo de ejecución. La pila de software para ejecutar la aplicación, incluido el idioma y las versiones del SDK. Para las aplicaciones
de Linux y las aplicaciones de contenedor personalizadas, también puede configurar un comando o archivo de inicio opcional. Las opciones
incluyen: .NET Core, .NET Framework, Node.js, PHP, Python y Ruby. Hay varias versiones de cada uno disponibles.
● Sistema operativo. Las opciones son Linux y Windows.
● Región. Su elección afectará la disponibilidad del plan de servicio de la aplicación.
Configuraciones de la aplicación
Una vez que se crea el servicio de la aplicación, hay información de configuración adicional disponible.
Ciertos ajustes de configuración pueden incluirse en el código del desarrollador o configurarse en el servicio de la aplicación. Aquí hay
algunas configuraciones interesantes.
● Siempre encendido. Mantenga la aplicación cargada incluso cuando no haya tráfico. Es necesario para WebJobs continuos o para
WebJobs que se activan mediante una expresión CRON.
● Afinidad ARR. En una implementación de varias instancias, asegúrese de que el cliente esté enrutado a la misma instancia durante la
duración de la sesión. Puede configurar esta opción en Desactivado para aplicaciones sin estado,
4 https://docs.microsoft.com/en-us/azure/app-service/overview
● Cadenas de conexión. Las cadenas de conexión se cifran en reposo y se transmiten a través de un canal
cifrado.
Despliegue continuo
Azure Portal proporciona integración e implementación continuas listas para usar con Azure DevOps, GitHub, Bitbucket, FTP
o un repositorio local de Git en su máquina de desarrollo. Conecte su aplicación web con cualquiera de las fuentes anteriores
y App Service hará el resto por usted sincronizando automáticamente el código y cualquier cambio futuro en el código en la
aplicación web. Además, con Azure DevOps, puede definir su propio proceso de creación y lanzamiento que compila su
código fuente, ejecuta las pruebas, crea un lanzamiento y finalmente implementa el lanzamiento en su aplicación web cada
vez que confirma el código. Todo eso sucede implícitamente sin necesidad de intervenir.
Despliegue automatizado
La implementación automatizada, o integración continua, es un proceso que se utiliza para implementar nuevas funciones y
corregir errores en un patrón rápido y repetitivo con un impacto mínimo en los usuarios finales. Azure admite la implementación
automatizada directamente desde varias fuentes. Las siguientes opciones están disponibles:
● Azure DevOps: Puede enviar su código a Azure DevOps (anteriormente conocido como Visual Studio Team Services),
crear su código en la nube, ejecutar las pruebas, generar una versión del código y, finalmente, enviar su código a una
aplicación web de Azure.
● GitHub: Azure admite la implementación automatizada directamente desde GitHub. Cuando conecte su repositorio de
GitHub a Azure para la implementación automatizada, cualquier cambio que envíe a su rama de producción en GitHub se
implementará automáticamente para usted.
● Bitbucket: Con sus similitudes con GitHub, puede configurar una implementación automatizada con Bitbucket.
Despliegue manual
Hay algunas opciones que puede usar para enviar manualmente su código a Azure:
● Git: Las aplicaciones web de App Service cuentan con una URL de Git que puede agregar como un repositorio remoto. Al enviarlo al
repositorio remoto, se implementará su aplicación.

● CLI: webapp arriba es una característica de la Arizona interfaz de línea de comandos que empaqueta su aplicación y la
implementa. A diferencia de otros métodos de implementación, az webapp up puede crear una nueva aplicación web de App
Service si aún no la ha creado.
● Zipdeploy: Utilice curl o una utilidad HTTP similar para enviar un ZIP de los archivos de su aplicación a App Service.
● Estudio visual: Visual Studio cuenta con un asistente de implementación de App Service que puede guiarlo a través del
proceso de implementación.
● FTP / S: FTP o FTPS es una forma tradicional de enviar su código a muchos entornos de alojamiento, incluido App
Service.
Ranuras de implementación
Cuando implementa su aplicación web, aplicación web en Linux, back-end móvil o aplicación API en Azure App Service, puede usar una
ranura de implementación separada en lugar de la ranura de producción predeterminada cuando se ejecuta en el
Estándar, Premium, o Aislado Nivel del plan de App Service. Las ranuras de implementación son aplicaciones en vivo con sus propios
nombres de host. El contenido de la aplicación y los elementos de configuración se pueden intercambiar entre dos ranuras de
implementación, incluida la ranura de producción.
Ventajas de la ranura de implementación

El uso de espacios de producción y puesta en escena separados tiene varias ventajas.
● Puede validar los cambios de la aplicación en una ranura de implementación provisional antes de intercambiarla con la ranura de producción.
● La implementación de una aplicación en una ranura primero y su intercambio en producción asegura que todas las instancias
de la ranura se calienten antes de cambiarse a producción. Esto elimina el tiempo de inactividad cuando implementa su
aplicación. La redirección del tráfico es perfecta y no se descartan solicitudes debido a operaciones de intercambio. Todo este
flujo de trabajo se puede automatizar configurando Auto Swap cuando no se necesita la validación previa al intercambio.
● Después de un intercambio, la tragamonedas con la aplicación preparada anteriormente ahora tiene la aplicación de producción anterior.
Si los cambios intercambiados en la ranura de producción no son los esperados, puede realizar el mismo intercambio inmediatamente para
recuperar su “último sitio bueno conocido”.
El intercambio automático optimiza los escenarios de Azure DevOps en los que desea implementar su aplicación de forma continua sin
arranques en frío ni tiempo de inactividad para los clientes de la aplicación. Cuando se habilita el intercambio automático de una ranura a
producción, cada vez que inserta los cambios de código en esa ranura, App Service cambia automáticamente la aplicación a producción después
de que se haya calentado en la ranura de origen. Actualmente, el intercambio automático no es compatible con aplicaciones web en Linux.
✔ Cada modo de plan de App Service admite una cantidad diferente de ranuras de
implementación. Para más información, Configurar entornos de ensayo 5
Creación de espacios de implementación
Las nuevas ranuras de implementación pueden estar vacías o clonadas. Cuando clona una configuración de otra ranura de implementación, la
configuración clonada es editable. Algunos elementos de configuración siguen el contenido a través de un intercambio (no específico de la ranura),
mientras que otros elementos de configuración permanecen en la misma ranura después de un intercambio (específico de la ranura). La configuración de
la ranura de implementación se divide en tres categorías.
● Configuración de aplicaciones específicas de la ranura y cadenas de conexión, si corresponde.
● Configuración de implementación continua, si está habilitada.
● Configuración de autenticación de App Service, si está habilitada.
Configuraciones que se intercambian:
● Configuración general, como la versión del marco, 32/64 bits, configuración de la aplicación de
● sockets web (se puede configurar para que se adhiera a una ranura)
● Cadenas de conexión (se pueden configurar para que se adhieran a una ranura)
● Asignaciones de manejadores
● Certificados públicos
● Contenido de WebJobs
● Conexiones híbridas *
● Integración de red virtual *
● Puntos finales de servicio *
● Red de entrega de contenido de Azure *
Está previsto que las funciones marcadas con un asterisco (*) no se cambien.
Configuraciones que no se intercambian:
● Publicar puntos finales
● Nombres de dominio personalizados
● Certificados no públicos y configuración TLS / SSL
● Configuración de escala
● Programadores de WebJobs
5 https://docs.microsoft.com/en-us/azure/app-service/web-sites-staged-publishing?toc=%2Fazure%2Fapp-service%2Ftoc.json
● Restricciones de IP
● Siempre encendido
● Configuración del registro de diagnóstico
● Uso compartido de recursos de origen cruzado (CORS)
Asegurar un servicio de aplicaciones

Azure App Service proporciona compatibilidad integrada de autenticación y autorización, por lo que puede iniciar sesión en los
usuarios y acceder a los datos escribiendo un código mínimo o nulo en su aplicación web, API y back-end móvil, y también en
Azure Functions.
La autenticación y autorización seguras requieren un conocimiento profundo de la seguridad, incluida la federación,

el cifrado, la gestión de tokens web JSON (JWT), los tipos de concesión, etc. App Service proporciona estas utilidades
para que pueda dedicar más tiempo y energía a proporcionar valor comercial a su cliente.
Nota: No es necesario que utilice App Service para la autenticación y autorización. Muchos marcos web vienen
con funciones de seguridad y puede usarlos si lo desea.
Cómo funciona
El módulo de autenticación y autorización se ejecuta en el mismo espacio aislado que el código de su aplicación. Cuando
está habilitado, cada solicitud HTTP entrante pasa a través de él antes de ser manejado por su código de aplicación. Este
módulo maneja varias cosas para su aplicación:
● Autentica a los usuarios con el proveedor especificado.
● Valida, almacena y actualiza tokens.
● Gestiona la sesión autenticada.
● Inyecta información de identidad en los encabezados de las solicitudes.
El módulo se ejecuta por separado del código de su aplicación y se configura mediante la configuración de la aplicación. No se
requieren SDK, idiomas específicos o cambios en el código de su aplicación.
Comportamiento de autorización
En Azure Portal, puede configurar la autorización de App Service con varios comportamientos:
1. Permitir solicitudes anónimas (sin acción): Esta opción difiere la autorización del tráfico no autenticado.
a su código de aplicación. Para las solicitudes autenticadas, App Service también transmite información de
autenticación en los encabezados HTTP. Esta opción proporciona más flexibilidad en el manejo de solicitudes
anónimas. Le permite presentar varios proveedores de inicio de sesión a sus usuarios.
2. Permitir solo solicitudes autenticadas: La opcion es Inicie sesión con <proveedor>. App Service redirige a todos
solicitudes anónimas a /. auth / login / <proveedor> para el proveedor que elija. Si la solicitud anónima proviene
de una aplicación móvil nativa, la respuesta devuelta es una HTTP 401 no autorizado. Con esta opción, no es
necesario que escriba ningún código de autenticación en su aplicación.
Precaución: Restringir el acceso de esta manera se aplica a todas las llamadas a su aplicación, lo que puede no ser deseable para las aplicaciones que
desean una página de inicio disponible públicamente, como en muchas aplicaciones de una sola página.
Registro y seguimiento
Si habilita el registro de aplicaciones, verá rastros de autenticación y autorización directamente en sus archivos de registro. Si
ve un error de autenticación que no esperaba, puede encontrar convenientemente todos los detalles en los registros de su
aplicación existente. Si habilita el seguimiento de solicitudes fallidas, puede ver exactamente qué papel puede haber jugado
el módulo de autenticación y autorización en una solicitud fallida. En los registros de seguimiento, busque referencias a un
módulo llamado EasyAuthModule_32 / 64.
Nombres de dominio personalizados

Cuando crea una aplicación web, Azure la asigna a un subdominio de azurewebsites.net. Por ejemplo, si su aplicación web se llama
contoso, la URL es contoso.azurewebsites.net. Azure también asigna una dirección IP virtual. Para una aplicación web de producción,
es posible que desee que los usuarios vean un nombre de dominio personalizado.
Pasos de configuración
1. Reserve su nombre de dominio. Si aún no se ha registrado para un nombre de dominio externo (es decir, no
*. azurewebsites.net), la forma más sencilla de configurar un dominio personalizado es comprar uno directamente en
Azure Portal. El proceso le permite administrar el nombre de dominio de su aplicación web directamente en el Portal
en lugar de ir a un sitio de terceros para administrarlo. Asimismo, la configuración del nombre de dominio en su
aplicación web se simplifica enormemente. Si no utiliza el portal, puede utilizar cualquier registrador de dominios.
Cuando se registre, su sitio lo guiará a través del proceso.
2. Cree registros DNS que asignen el dominio a su aplicación web de Azure. El sistema de nombres de dominio (DNS)
utiliza registros de datos para asignar nombres de dominio a direcciones IP. Hay varios tipos de registros DNS. Para las
aplicaciones web, creará un registro A o un registro CNAME. Si la dirección IP cambia, una entrada CNAME sigue siendo
válida, mientras que un registro A debe actualizarse. Sin embargo, algunos registradores de dominios no permiten
registros CNAME para el dominio raíz o para dominios comodín. En ese caso, debe utilizar un registro A.
● Un registro A (dirección) asigna un nombre de dominio a una dirección IP.

● Un registro CNAME (nombre canónico) asigna un nombre de dominio a otro nombre de dominio. DNS usa el
segundo nombre para buscar la dirección. Los usuarios aún ven el primer nombre de dominio en su navegador. Por
ejemplo, puede asignar contoso.com a yourwebapp.azurewebsites.net.
3. Habilite el dominio personalizado. Después de obtener su dominio y crear su registro DNS, puede usar
el portal para validar el dominio personalizado y agregarlo a su aplicación web. Asegúrese de probar.
✔ Para asignar un nombre DNS personalizado a una aplicación web, el plan de App Service de la aplicación web debe ser un nivel de pago.
Copia de seguridad de un servicio de aplicaciones

La función Copia de seguridad y restauración de Azure App Service le permite crear fácilmente copias de seguridad de aplicaciones de forma
manual o programada. Puede configurar las copias de seguridad para que se retengan hasta un período de tiempo indefinido. Puede restaurar
la aplicación a una instantánea de un estado anterior sobrescribiendo la aplicación existente o restaurando a otra aplicación.
Lo que se respalda
App Service puede realizar una copia de seguridad de la siguiente información en un contenedor y una cuenta de almacenamiento de Azure para los que
haya configurado su aplicación.
● Configuración de la aplicación.
● Contenido del archivo.
● Base de datos conectada a su aplicación (Base de datos SQL, Base de datos Azure para MySQL, Base de datos Azure para
PostgreSQL, MySQL en la aplicación).
Consideraciones
● La función Copia de seguridad y restauración requiere que el plan de App Service esté en el nivel Estándar o Premium.
● Puede configurar las copias de seguridad de forma manual o programada.
● Necesita una cuenta de almacenamiento de Azure y un contenedor en la misma suscripción que la aplicación de la que desea realizar una
copia de seguridad. Una vez que haya realizado una o más copias de seguridad para su aplicación, las copias de seguridad estarán visibles
en la página Contenedores de su cuenta de almacenamiento y su aplicación. En la cuenta de almacenamiento, cada copia de seguridad
consta de un archivo .zip que contiene los datos de la copia de seguridad y un archivo .xml que contiene un manifiesto del contenido del
archivo .zip. Puede descomprimir y explorar estos archivos si desea acceder a sus copias de seguridad sin realizar una restauración de la
aplicación.
● Las copias de seguridad completas son las predeterminadas. Cuando se restaura una copia de seguridad completa, todo el contenido del sitio se reemplaza
con lo que esté en la copia de seguridad. Si un archivo está en el sitio, pero no en la copia de seguridad, se elimina.
● Se admiten copias de seguridad parciales. Las copias de seguridad parciales le permiten elegir exactamente qué archivos desea respaldar. Cuando se
restaura una copia de seguridad parcial, cualquier contenido que se encuentre en uno de los directorios de la lista negra, o cualquier archivo de la lista
negra, se deja como está. Restaura las copias de seguridad parciales de su sitio de la misma manera que restauraría una copia de seguridad regular.
● Puede excluir archivos y carpetas que no desee en la copia de seguridad. Las copias de
● seguridad pueden tener hasta 10 GB de contenido de aplicaciones y bases de datos.
● No se admite el uso de una cuenta de almacenamiento habilitada con firewall como destino para sus copias de seguridad.
Perspectivas de la aplicación
Application Insights, una función de Azure Monitor, supervisa sus aplicaciones en vivo. Detectará automáticamente
anomalías en el rendimiento e incluye potentes herramientas de análisis para ayudarlo a diagnosticar problemas y
comprender lo que los usuarios hacen realmente con su aplicación. Está diseñado para ayudarlo a mejorar continuamente el
rendimiento y la usabilidad. Funciona para aplicaciones en una amplia variedad de plataformas, incluidas .NET, Node.js y Java
EE, alojadas en las instalaciones, híbridas o en cualquier nube pública. Se integra con su proceso DevOps y tiene puntos de
conexión a una variedad de herramientas de desarrollo. Puede monitorear y analizar la telemetría desde aplicaciones
móviles al integrarse con Visual Studio App Center.
Características de Application Insights

Application Insights está dirigido al equipo de desarrollo, para ayudarlo a comprender cómo funciona su
aplicación y cómo se utiliza. Supervisa:
● Tasas de solicitudes, tiempos de respuesta y tasas de fallas: Descubra qué páginas son más populares, a qué horas
del día y dónde se encuentran sus usuarios. Vea qué páginas funcionan mejor. Si sus tiempos de respuesta y las tasas
de fallas aumentan cuando hay más solicitudes, entonces quizás tenga un problema de recursos.
● Tasas de dependencia, tiempos de respuesta y tasas de falla: Descubra si los servicios externos lo
están frenando.
● Excepciones - Analice las estadísticas agregadas o elija instancias específicas y profundice en el seguimiento de la pila y las solicitudes
relacionadas. Se informan las excepciones tanto del servidor como del navegador.
● Vistas de página y rendimiento de carga: informado por los navegadores de sus usuarios.
● Recuentos de usuarios y sesiones.
● Contadores de rendimiento desde sus máquinas servidor Windows o Linux, como CPU, memoria y
uso de la red.
● Diagnóstico de host desde Docker o Azure.
● Registros de seguimiento de diagnóstico desde su aplicación, para que pueda correlacionar los eventos de seguimiento con las solicitudes.
● Eventos y métricas personalizados que escribe usted mismo en el código del cliente o del servidor, para realizar un seguimiento de los
eventos comerciales, como artículos vendidos o juegos ganados.
Para más información, Perspectivas de la aplicación 6
Demostración: creación de un servicio de aplicaciones

En esta demostración, crearemos una nueva aplicación web que ejecuta un contenedor Docker. El contenedor muestra un mensaje
de bienvenida.
Crear una aplicación web
Azure App Service es en realidad una colección de cuatro servicios, todos los cuales están diseñados para ayudarlo a hospedar y
ejecutar aplicaciones web. Los cuatro servicios (aplicaciones web, aplicaciones móviles, aplicaciones API y aplicaciones lógicas) se
ven diferentes, pero al final todos operan de manera muy similar. Las aplicaciones web son los más utilizados de los cuatro
servicios, y este es el servicio que usaremos en esta práctica de laboratorio.
En esta tarea, creará una aplicación web de Azure App Service.
2. Desde el Todos los servicios hoja, busque y seleccione Servicios de aplicaciones, y haga clic en + Agregar
3. En el Lo esencial pestaña de la Aplicación Web hoja, especifique los siguientes ajustes (reemplace xxxx en el nombre de
la aplicación web con letras y dígitos de modo que el nombre sea único a nivel mundial). Deje los valores predeterminados para
todo lo demás, incluido el plan de servicio de la aplicación.
Suscripción Elija su suscripción
Grupo de recursos myRGWebApp1 ( crear nuevo)
Nombre myLinuxWebAppxxxx ( único)
6 https://docs.microsoft.com/en-us/azure/azure-monitor/app/app-insights-overview
Publicar Contenedor Docker
Sistema operativo Linux
Región Este de EE. UU. ( ignore las advertencias de disponibilidad del plan de
servicio)
4. Haga clic en Siguiente> Docker y configurar la información del contenedor. El comando de inicio es opcional y
no es necesario en este ejercicio.
Opciones Contenedor individual
Fuente de imagen Inicio rápido
Muestra Python Hola Mundo
5. Haga clic en Revisar + crear, y luego haga clic en Crear. Pruebe
la aplicación web
En esta tarea, probaremos la aplicación web.
1. Espere a que se implemente la aplicación web.
2. Desde Notificaciones hacer clic Ir al recurso.
3. En el Descripción general hoja, localice el URL entrada.
4. Haga clic en el URL para abrir la nueva pestaña del navegador y mostrar el mensaje "Hello World, App Service!" página.
5. Vuelva a la Descripción general hoja de su aplicación web y tenga en cuenta que incluye varios gráficos. Si usted
Repita el paso 4 varias veces, debería poder ver la telemetría correspondiente que se muestra en los gráficos.
Esto incluye el número de solicitudes y el tiempo medio de respuesta.
Configurar ranuras de implementación
En esta tarea, configuraremos los espacios de implementación para la aplicación web.
1. En la hoja Aplicación web, haga clic en Ranuras de implementación.
2. En el Ranuras de implementación hoja, haga clic en + Agregar espacio
3. Desde el Agregar una ranura blade, configure los siguientes ajustes.
Nombre DESARROLLO
Clonar la configuración de myLinuxWebAppXXXX
4. Hacer clic Agregar.
5. Si el Agregar una ranura la hoja permanece abierta, haga clic Cerca.
6. Desde el Ranuras de implementación hoja, tome nota de la Nombres su Estado, y el Tráfico % de cada ranura de
implementación.
7. Haga clic en la ranura de implementación recién creada mylinuxwebappXXXX-DEVELOPMENT. Esto te llevará al Descripción
general Blade de la nueva ranura de implementación.
8. Desde el Descripción general hoja de la ranura de despliegue de DESARROLLO, localice el URL entrada.
9. Haga clic en el URL para abrir la nueva pestaña del navegador y mostrar el mensaje "Hello World, App Service!" página.
Nota: El proceso de clonación de la configuración de la aplicación web en la nueva ranura de implementación incluye la clonación de la
imagen de Docker base de la implementación inicial.
10. Haga clic en el X en la esquina superior derecha de la hoja de la ranura de despliegue de DESARROLLO. Esto te devolverá
hacia Ranuras de implementación hoja de la myLinuxWebAppXXXX Aplicación Web.
Configurar copia de seguridad
1. En la hoja Aplicación web, haga clic en Copias de seguridad.
2. En el Copias de seguridad hoja, haga clic Configure. Esto abrirá el Configuración de respaldo espada.
3. Desde el Configuración de respaldo hoja, debajo Almacenamiento de respaldo, hacer clic Almacenamiento no configurado a
configurar una cuenta de almacenamiento para las copias de seguridad.
4. Sobre el Cuentas de almacenamiento hoja, haga clic en + Cuenta de almacenamiento.
5. Desde el Crear cuenta de almacenamiento blade, configure los siguientes ajustes.
Nombre webappxxxxstorage único)
Tipo de cuenta Almacenamiento (uso general v1)
Actuación Estándar
Replicación Almacenamiento con redundancia local (LRS)
Localización (EE. UU.) Este de EE. UU.)
7. Sobre el Cuentas de almacenamiento blade, haga clic en la Cuenta de almacenamiento, webappxxxxstorage, que creó en el
paso anterior.
8. Desde el Contenedores hoja, haga clic en + Envase, ingresar copias de seguridad para el nombre del nuevo contenedor y
establezca el Nivel de acceso público a Privado (sin acceso anónimo).
10. Desde el Contenedores hoja, haga clic copias de seguridad, y haga clic en Seleccione para elegir el contenedor recién creado.
Esto te llevará de regreso al Configuración de respaldo espada.
11. En el Configuración de respaldo hoja, haga clic En junto a Copia de seguridad programada, y configure lo siguiente
ajustes de ing.
Copia de seguridad cada 1 hora
Iniciar la programación de la copia de Configurar hora de inicio personalizada 30
seguridad desde la retención (días)
Mantenga al menos una copia de seguridad sí
12. Haga clic en Ahorrar.

Servicios de contenedores 285
Servicios de contenedores
Contenedores vs máquinas virtuales

La virtualización de hardware ha hecho posible ejecutar múltiples instancias aisladas de sistemas operativos
simultáneamente en el mismo hardware físico. Los contenedores representan la siguiente etapa en la virtualización de los
recursos informáticos. La virtualización basada en contenedores le permite virtualizar el sistema operativo. De esta forma,
puede ejecutar varias aplicaciones dentro de la misma instancia de un sistema operativo, mientras mantiene el aislamiento
entre las aplicaciones. Esto significa que los contenedores dentro de una VM proporcionan una funcionalidad similar a la de
las VM dentro de un servidor físico. Para comprender mejor este concepto, es útil comparar contenedores y máquinas
virtuales.
Característica Contenedores Maquinas virtuales

Aislamiento Normalmente proporciona peso ligero Proporciona un aislamiento completo de
aislamiento del host y otros el sistema operativo host y otras
contenedores, pero no proporciona un máquinas virtuales. Esto es útil cuando
límite de seguridad tan fuerte como un límite de seguridad sólido es
una máquina virtual. fundamental, como alojar aplicaciones
de empresas de la competencia en el
mismo servidor o clúster.
Sistema operativo Ejecuta la parte del modo de usuario de Ejecuta un sistema operativo completo
un sistema operativo y se puede adaptar que incluye el kernel, por lo que requiere
para contener solo los servicios más recursos del sistema (CPU, memoria
necesarios para su aplicación, utilizando y almacenamiento).
menos recursos del sistema.
Despliegue Implemente contenedores individuales Implemente máquinas virtuales individuales
utilizando Docker a través de la línea de mediante el Centro de administración de Windows
comandos; Implemente varios o el Administrador de Hyper-V; desplegar
contenedores mediante un orquestador varias máquinas virtuales mediante

como Azure Kubernetes Service. Power-Shell o System Center Virtual
Machine Manager.
Almacenamiento persistente Use Azure Disks para el almacenamiento local Utilice un disco duro virtual (VHD) para un recurso
para un solo nodo o Azure Files (recursos almacenamiento local para una sola máquina virtual, o
compartidos SMB) para el almacenamiento compartido de archivos SMB para el almacenamiento
compartido por varios nodos o servidores. compartido por varios servidores.
Tolerancia a fallos Si un nodo del clúster falla, el Las máquinas virtuales pueden conmutar por error
orquestador vuelve a crear rápidamente a otro servidor en un clúster, y el sistema operativo
cualquier contenedor que se ejecute en de la máquina virtual se reinicia en el nuevo
él en otro nodo del clúster. servidor.
Ventajas del contenedor

Los contenedores ofrecen varias ventajas sobre las máquinas físicas y virtuales, que incluyen:
● Mayor flexibilidad y velocidad al desarrollar y compartir el código de la aplicación.
● Prueba de aplicación simplificada.
● Implementación de aplicaciones optimizada y acelerada.
● Mayor densidad de carga de trabajo, lo que resulta en una mejor utilización de los recursos.
Para más información, Contenedores vs máquinas virtuales 8
Instancias de contenedor de Azure

Los contenedores se están convirtiendo en la forma preferida de empaquetar, implementar y administrar aplicaciones en la nube.
Azure Container Instances ofrece la forma más rápida y sencilla de ejecutar un contenedor en Azure, sin tener que administrar
ninguna máquina virtual y sin tener que adoptar un servicio de nivel superior. Azure Container Instances es una excelente solución
para cualquier escenario que pueda operar en contenedores aislados, incluidas aplicaciones simples, automatización de tareas y
trabajos de compilación.
Característica Descripción
Tiempos de inicio rápidos Los contenedores pueden iniciarse en segundos sin la necesidad
de aprovisionar y administrar máquinas virtuales.
Conectividad IP pública y nombres DNS Los contenedores se pueden exponer directamente a

Internet con una dirección IP y un FQDN.
Seguridad a nivel de hipervisor Las aplicaciones de contenedor están tan aisladas en un
contenedor como lo estarían en una máquina virtual.
Tamaños personalizados Los nodos de contenedor se pueden escalar dinámicamente para
adaptarse a las demandas de recursos reales de una aplicación.
Almacenamiento persistente Los contenedores admiten el montaje directo de archivos compartidos
de Azure.
Contenedores de Linux y Windows Las instancias de contenedor admiten la programación de grupos de
contenedores múltiples que comparten los recursos de la máquina
host.
Grupos programados conjuntamente Las instancias de contenedor admiten la programación de grupos de
contenedores múltiples que comparten los recursos de la máquina
host.
Despliegue de red virtual Las instancias de contenedor se pueden implementar en una red
virtual de Azure.
8 https://docs.microsoft.com/en-us/virtualization/windowscontainers/about/containers-vs-vm
Grupos de contenedores
El recurso de nivel superior en Azure Container Instances es el grupo de contenedores. Un grupo de contenedores es una colección
de contenedores que se programan en la misma máquina host. Los contenedores de un grupo de contenedores comparten un ciclo
de vida, recursos, red local y volúmenes de almacenamiento. Es similar en concepto a un pod en Kubernetes.
Un ejemplo de grupo de contenedores:
● Está programado en una sola máquina host.
● Se le asigna una etiqueta de nombre DNS.
● Expone una única dirección IP pública, con un puerto expuesto.
● Consta de dos contenedores. Un contenedor escucha en el puerto 80, mientras que el otro escucha en el puerto 1433.
● Incluye dos recursos compartidos de archivos de Azure como montajes de volumen y cada contenedor monta uno de los recursos compartidos localmente.
Opciones de implementación
A continuación, se muestran dos formas habituales de implementar un grupo de varios contenedores: utilice una plantilla de
Resource Manager o un archivo YAML. Se recomienda una plantilla de Resource Manager cuando necesite implementar recursos de
servicio de Azure adicionales (por ejemplo, un recurso compartido de Azure Files) al implementar las instancias de contenedor. Debido
a la naturaleza más concisa del formato YAML, se recomienda un archivo YAML cuando su implementación incluye solo instancias de
contenedor.
Asignación de recursos
Azure Container Instances asigna recursos como CPU, memoria y, opcionalmente, GPU a un grupo de contenedores
múltiples agregando las solicitudes de recursos de las instancias en el grupo. Tomando los recursos de la CPU como
ejemplo, si crea un grupo de contenedores con dos instancias de contenedor, cada una de las cuales solicita 1 CPU, al grupo
de contenedores se le asignan 2 CPU.
Redes
Los grupos de contenedores pueden compartir una dirección IP externa, uno o más puertos en esa dirección IP y una
etiqueta DNS con un nombre de dominio completo (FQDN). Para permitir que los clientes externos lleguen a un contenedor
dentro del grupo, debe exponer el puerto en la dirección IP y desde el contenedor. Porque contenedores
dentro del grupo que comparte un espacio de nombres de puerto, no se admite la asignación de puertos. La dirección IP y el FQDN de un
grupo de contenedores se publicarán cuando se elimine el grupo de contenedores.
Escenarios comunes
Los grupos de contenedores múltiples son útiles en los casos en los que desea dividir una única tarea funcional en una pequeña
cantidad de imágenes de contenedores. Estas imágenes pueden luego ser entregadas por diferentes equipos y tienen requisitos de
recursos separados. El uso de ejemplo podría incluir:
● Un contenedor que sirve una aplicación web y un contenedor que extrae el contenido más reciente del control de código fuente.
● Un contenedor de aplicación y un contenedor de registro. El contenedor de registro recopila los registros y las métricas de salida
de la aplicación principal y los escribe en el almacenamiento a largo plazo.
● Un contenedor de aplicaciones y un contenedor de monitoreo. El contenedor de monitoreo realiza periódicamente una

solicitud a la aplicación para asegurarse de que se está ejecutando y responde correctamente, y genera una alerta si no lo está.
● Un contenedor de front-end y un contenedor de back-end. El front-end puede servir una aplicación web, con el
back-end ejecutando un servicio para recuperar datos.
Estibador
Docker es una plataforma que permite a los desarrolladores alojar aplicaciones dentro de un contenedor. Un contenedor
es esencialmente un paquete independiente que contiene todo lo necesario para ejecutar una pieza de software. Esto
significa que incluye cosas como:
● El código ejecutable de la aplicación.
● El entorno de tiempo de ejecución (como .NET Core).
● Herramientas de sistema.
● Ajustes.
La plataforma Docker está disponible tanto en Linux como en Windows y se puede alojar en Azure. La clave que ofrece un
Docker es la garantía de que el software en contenedor siempre se ejecutará de la misma manera, independientemente de
si se ejecuta localmente en Windows, Linux o en la nube en Azure. Esto significa, por ejemplo, que el software se puede
desarrollar localmente dentro de un contenedor Docker, compartir con los recursos de QA (Quality Assurance) para realizar
pruebas y luego implementarlo en producción en la nube de Azure. Una vez implementada en Azure Cloud, la aplicación se
puede escalar hacia arriba y hacia abajo fácilmente utilizando Azure Container Instances (ACI).
Terminología de Docker
Debe estar familiarizado con los siguientes términos clave antes de usar Docker y las instancias de contenedor para crear,
compilar y probar contenedores:
● Envase. Esta es una instancia de una imagen de Docker. Representa la ejecución de una sola aplicación, proceso
o servicio. Consiste en el contenido de una imagen de Docker, un entorno de ejecución y un conjunto estándar de
instrucciones. Al escalar un servicio, crea varias instancias de un contenedor a partir de la misma imagen. O un
trabajo por lotes puede crear varios contenedores a partir de la misma imagen, pasando diferentes parámetros a
cada instancia.
● Imagen de contenedor. Esto se refiere a un paquete con todas las dependencias y la información necesaria para crear
un contenedor. Las dependencias incluyen marcos y la configuración de implementación y ejecución que utiliza un
tiempo de ejecución de contenedor. Por lo general, una imagen se deriva de varias imágenes base que son capas
apiladas una encima de la otra para formar el sistema de archivos del contenedor. Una imagen es inmutable una vez
creada.
● Construir. Esto se refiere a la acción de crear una imagen de contenedor basada en la información y el contexto
proporcionados por su Dockerfile, además de archivos adicionales en la carpeta donde se crea la imagen. Puede crear
imágenes mediante el comando docker build de Docker.
● Jalar. Esto se refiere al proceso de descargar una imagen de contenedor desde un registro de contenedor.
● Empujar. Esto se refiere al proceso de cargar una imagen de contenedor en un registro de contenedor.
● Dockerfile. Esto se refiere a un archivo de texto que contiene instrucciones sobre cómo crear una imagen de Docker. Es como un
script por lotes; la primera línea indica la imagen base, seguida de instrucciones para instalar los programas necesarios, copiar
archivos, etc. hasta que obtenga el entorno de trabajo que necesita.
Servicio Azure Kubernetes

Servicio Azure Kubernetes
Servicio de Azure Kubernetes (AKS)

Kubernetes es una plataforma en rápida evolución que administra aplicaciones basadas en contenedores y sus componentes de
almacenamiento y redes asociados. La atención se centra en las cargas de trabajo de la aplicación, no en los componentes de la
infraestructura subyacente. Kubernetes proporciona un enfoque declarativo para las implementaciones, respaldado por un conjunto
sólido de API para operaciones de administración.
Puede crear y ejecutar aplicaciones modernas, portátiles y basadas en microservicios que se benefician de la orquestación y
gestión de Kubernetes de la disponibilidad de esos componentes de la aplicación. Kubernetes admite aplicaciones sin
estado y con estado a medida que los equipos avanzan en la adopción de aplicaciones basadas en microservicios.
Como plataforma abierta, Kubernetes le permite crear sus aplicaciones con su lenguaje de programación preferido,
sistema operativo, bibliotecas o bus de mensajería. Integración continua existente y entrega continua (CI /
CD) se pueden integrar con Kubernetes para programar e implementar lanzamientos.
Azure Kubernetes Service (AKS) proporciona un servicio de Kubernetes administrado que reduce la complejidad de
las tareas de implementación y administración central, incluida la coordinación de actualizaciones. La plataforma
Azure administra los clústeres maestros de AKS y solo paga por los nodos de AKS que ejecutan sus aplicaciones.
AKS se basa en Azure Container Service Engine de código abierto (acs-engine).
Azure Kubernetes Service (AKS) simplifica la implementación de un clúster de Kubernetes administrado en Azure. AKS reduce
la complejidad y la sobrecarga operativa de administrar Kubernetes al descargar gran parte de esa responsabilidad a Azure.
Como servicio alojado de Kubernetes, Azure se encarga de tareas críticas como la supervisión y el mantenimiento del estado
por usted. Además, el servicio es gratuito, solo paga por los nodos de agente dentro de sus clústeres, no por los maestros.
Servicio Azure Kubernetes 291
Características
Opciones de implementación flexibles Azure Kubernetes Service ofrece opciones de
implementación impulsadas por el portal, la línea de
comandos y la plantilla (plantillas de Resource Manager y
Terraform). Al implementar un clúster de AKS, el maestro de
Kubernetes y todos los nodos se implementan y configuran
automáticamente. También se pueden configurar
características adicionales como redes avanzadas,
integración de Azure Active Directory y monitoreo durante
el proceso de implementación.
Gestión de identidad y seguridad Los clústeres de AKS admiten el control de acceso basado en
roles (RBAC). También se puede configurar un clúster de AKS
para integrarse con Azure Active Directory. En esta
configuración, el acceso a Kubernetes se puede configurar
según la identidad de Azure Active Directory y la pertenencia al
grupo.
Registro y monitoreo integrados El estado del contenedor le brinda visibilidad del rendimiento
mediante la recopilación de métricas de memoria y procesador de
contenedores, nodos y controladores. También se recogen registros
de contenedores. Estos datos se almacenan en su área de trabajo de
Log Analytics y están disponibles a través del portal de Azure, la CLI
de Azure o un punto de conexión REST.
Escalado de nodos de clúster A medida que aumenta la demanda de recursos, los nodos de un
clúster de AKS se pueden escalar para que coincidan. Si la
demanda de recursos cae, los nodos se pueden eliminar
escalando en el clúster. Las operaciones de escala de AKS se
pueden completar mediante Azure Portal o la CLI de Azure.
Actualizaciones de nodos de clúster Azure Kubernetes Service ofrece varias versiones de Kubernetes.
A medida que estén disponibles nuevas versiones en AKS, su
clúster se puede actualizar mediante Azure Portal o la CLI de
Azure. Durante el proceso de actualización, los nodos se
acordonan y drenan cuidadosamente para minimizar la
interrupción de las aplicaciones en ejecución.
Enrutamiento de aplicaciones HTTP La solución de enrutamiento de aplicaciones HTTP facilita el acceso a
las aplicaciones implementadas en su clúster de AKS. Cuando está
habilitada, la solución de enrutamiento de la aplicación HTTP
configura un controlador de entrada en su clúster de AKS. A medida
que se implementan las aplicaciones, los nombres DNS de acceso
público se configuran automáticamente.
Nodos habilitados para GPU AKS admite la creación de grupos de nodos habilitados para GPU.
Actualmente, Azure proporciona una o varias máquinas virtuales
habilitadas para GPU. Las máquinas virtuales habilitadas para GPU están
diseñadas para cargas de trabajo de visualización y uso intensivo de
gráficos y computación.
Integración de herramientas de desarrollo Kubernetes tiene un rico ecosistema de herramientas de
desarrollo y administración como Helm, Draft y la extensión
de Kubernetes para Visual Studio Code. Estas herramientas
funcionan a la perfección con Azure Kubern- tees Service.
Además, Azure Dev Spaces proporciona una experiencia de
desarrollo de Kubernetes rápida e iterativa para los
equipos. Con una configuración mínima, puede ejecutar y
depurar contenedores directamente en Azure Kubernetes
Service (AKS).
Integración de red virtual Un clúster de AKS se puede implementar en una red virtual
existente. En esta configuración, a cada pod del clúster se le
asigna una dirección IP en la red virtual y puede
comunicarse directamente con otros pods del clúster y otros
nodos de la red virtual. Los pods pueden conectarse también
a otros servicios en una red virtual emparejada y a redes
locales a través de ExpressRoute y conexiones VPN de sitio a
sitio (S2S).
Registro de contenedores privados Integre con Azure Container Registry (ACR) para el
almacenamiento privado de sus imágenes de Docker.
Terminología AKS
Quinielas son grupos de nodos con configuraciones idénticas.
Nodos son máquinas virtuales individuales que ejecutan aplicaciones en contenedores.
Vainas son una sola instancia de una aplicación. Una vaina puede contener varios contenedores.
Envase es una imagen ejecutable ligera y portátil que contiene software y todas sus dependencias.
Despliegue tiene uno o más pods idénticos administrados por Kubernetes.
Manifiesto es el archivo YAML que describe una implementación.

Clústeres y nodos de AKS

Un clúster de Kubernetes se divide en dos componentes:
● Nodos maestros de clúster, que proporcionan los servicios básicos de Kubernetes y la orquestación de las cargas de trabajo de las
aplicaciones.
● Nodos que ejecutan las cargas de trabajo de su aplicación.
Maestro de clúster
Cuando crea un clúster de AKS, se crea y configura automáticamente un clúster maestro. Este maestro de clúster se
proporciona como un recurso administrado de Azure extraído del usuario. No hay ningún costo para el clúster maestro, solo
los nodos que forman parte del clúster de AKS.
Nodos y grupos de nodos

Para ejecutar sus aplicaciones y servicios de soporte, necesita un nodo de Kubernetes. Un Clúster de AKS contiene uno o más
nodos (Azure Virtual Machines) que ejecutan los componentes del nodo de Kubernetes y el tiempo de ejecución del
contenedor.
● La kubelet es el agente de Kubernetes que procesa las solicitudes de orquestación del clúster maestro y la programación
de la ejecución de los contenedores solicitados.
● La red virtual es manejada por el proxy de kube en cada nodo. El proxy enruta el tráfico de la red y administra
el direccionamiento IP para servicios y pods.
● La tiempo de ejecución del contenedor es el componente que permite que las aplicaciones en contenedores se ejecuten e interactúen
con recursos adicionales como la red virtual y el almacenamiento. En AKS, Docker se usa como el tiempo de ejecución del contenedor.
Los nodos de la misma configuración se agrupan en grupos de nodos. Un clúster de Kubernetes contiene uno o más
grupos de nodos. La cantidad inicial de nodos y el tamaño se definen cuando crea un clúster de AKS, que crea un grupo
de nodos predeterminado. Este grupo de nodos predeterminado en AKS contiene las VM subyacentes que ejecutan sus
nodos de agente.
Redes AKS
Para permitir el acceso a sus aplicaciones, o para que los componentes de la aplicación se comuniquen entre sí,
Kubernetes proporciona una capa de abstracción a las redes virtuales. Los nodos de Kubernetes están conectados a una
red virtual y pueden proporcionar conectividad entrante y saliente para los pods. La proxy de kube El componente se
ejecuta en cada nodo para proporcionar estas funciones de red.
En Kubernetes, los servicios agrupan lógicamente los pods para permitir el acceso directo a través de una dirección IP o un nombre DNS y en un
puerto específico. También puede distribuir el tráfico mediante un equilibrador de carga. También se puede lograr un enrutamiento más
complejo del tráfico de aplicaciones con los controladores de ingreso. La seguridad y el filtrado del tráfico de red para los pods es posible con las
políticas de red de Kubernetes.
La plataforma Azure también ayuda a simplificar las redes virtuales para los clústeres de AKS. Cuando crea un equilibrador de carga
de Kubernetes, se crea y configura el recurso del equilibrador de carga de Azure subyacente. A medida que abre los puertos de red a
los pods, se configuran las reglas de grupo de seguridad de red de Azure correspondientes. Para el enrutamiento de aplicaciones
HTTP, Azure también puede configurar DNS externo a medida que se configuran nuevas rutas de entrada.
Servicios
Para simplificar la configuración de red para cargas de trabajo de aplicaciones, Kubernetes usa Servicios para agrupar
lógicamente un conjunto de pods y proporcionar conectividad de red. Están disponibles los siguientes tipos de servicios:
● IP del clúster - Crea una dirección IP interna para usar dentro del clúster de AKS. Bueno para aplicaciones solo
internas que admiten otras cargas de trabajo dentro del clúster.
● NodePort - Crea una asignación de puertos en el nodo subyacente que permite acceder a la aplicación
directamente con la dirección IP y el puerto del nodo.
● LoadBalancer - Crea un recurso de equilibrador de carga de Azure, configura una dirección IP externa y conecta los
pods solicitados al grupo de backend del equilibrador de carga. Para permitir que el tráfico de los clientes llegue a la
aplicación, se crean reglas de equilibrio de carga en los puertos deseados.
Para un control y enrutamiento adicionales del tráfico entrante, puede usar un controlador Ingress.
● ExternalName - Crea una entrada de DNS específica para facilitar el acceso a la aplicación.
La dirección IP para los equilibradores de carga y los servicios se puede asignar dinámicamente, o puede especificar una dirección IP estática
existente para usar. Se pueden asignar direcciones IP estáticas tanto internas como externas. Esta dirección IP estática existente a menudo está
vinculada a una entrada de DNS.
Ambas cosas interno y externo Se pueden crear balanceadores de carga. A los balanceadores de carga internos solo se les asigna una
dirección IP privada, por lo que no se puede acceder a ellos desde Internet.

Vainas
Kubernetes usa pods para ejecutar una instancia de su aplicación. Un pod representa una única instancia de su aplicación.
Los pods suelen tener un mapeo 1: 1 con un contenedor, aunque existen escenarios avanzados en los que un pod puede
contener varios contenedores. Estos pods de varios contenedores se programan juntos en el mismo nodo y permiten que
los contenedores compartan recursos relacionados.
Cuando crea un pod, puede definir límites de recursos para solicitar una cierta cantidad de recursos de CPU o memoria.
El programador de Kubernetes intenta programar los pods para que se ejecuten en un nodo con recursos disponibles
para cumplir con la solicitud. También puede especificar límites máximos de recursos que eviten que un pod
determinado consuma demasiados recursos informáticos del nodo subyacente.
Nota: Una práctica recomendada es incluir límites de recursos para todos los pods para ayudar al programador de Kubernetes a
comprender qué recursos se necesitan y se permiten.
Un pod es un recurso lógico, pero el contenedor (o contenedores) es donde se ejecutan las cargas de trabajo de la aplicación. Los
pods suelen ser recursos efímeros y desechables. Por lo tanto, los pods programados individualmente pierden algunas de las
características de alta disponibilidad y redundancia que ofrece Kubernetes. En cambio, los pods suelen ser implementados y
administrados por controladores de Kubernetes, como el controlador de implementación.
Almacenamiento AKS
Las aplicaciones que se ejecutan en Azure Kubernetes Service (AKS) pueden necesitar almacenar y recuperar datos. Para algunas cargas de
trabajo de aplicaciones, este almacenamiento de datos puede usar un almacenamiento local y rápido en el nodo que ya no es necesario cuando
se eliminan los pods. Otras cargas de trabajo de aplicaciones pueden requerir almacenamiento que persista en volúmenes de datos más
regulares dentro de la plataforma Azure. Es posible que varios pods necesiten compartir los mismos volúmenes de datos o volver a adjuntar
volúmenes de datos si el pod se reprograma en un nodo diferente. Por último, es posible que deba inyectar datos confidenciales o información
de configuración de la aplicación en los pods.
Esta sección presenta los conceptos básicos que proporcionan almacenamiento a sus aplicaciones en AKS:
● Volúmenes
● Volúmenes persistentes
● Clases de almacenamiento
● Reclamaciones de volumen persistente

Volúmenes
Las aplicaciones a menudo necesitan poder almacenar y recuperar datos. Como Kubernetes generalmente trata los pods
individuales como recursos efímeros y desechables, hay diferentes enfoques disponibles para el uso de las aplicaciones y los datos
persistentes según sea necesario. A volumen representa una forma de almacenar, recuperar y conservar datos en los pods y
durante el ciclo de vida de la aplicación.
Los volúmenes tradicionales para almacenar y recuperar datos se crean como recursos de Kubernetes respaldados por Azure Storage.
Puede crear manualmente estos volúmenes de datos para asignarlos directamente a los pods o hacer que Kubernetes los cree
automáticamente. Estos volúmenes de datos pueden usar Azure Disks o Azure Files:
● Discos de Azure se puede utilizar para crear un Kubernetes DataDisk recurso. Los discos pueden usar el almacenamiento Azure Premium,
respaldado por SSD de alto rendimiento, o el almacenamiento estándar de Azure, respaldado por HDD normales. Para la mayoría de las
cargas de trabajo de producción y desarrollo, utilice el almacenamiento Premium. Los discos de Azure se montan como
ReadWriteOnce, por lo que solo están disponibles para un único nodo. Para los volúmenes de almacenamiento a los que pueden
acceder varios nodos simultáneamente, use Azure Files.
● Archivos de Azure se puede usar para montar un recurso compartido SMB 3.0 respaldado por una cuenta de Azure Storage en pods. Los archivos le
permiten compartir datos entre varios nodos y pods. Actualmente, los archivos solo pueden usar el almacenamiento estándar de Azure respaldado por
discos duros normales.
Volúmenes persistentes
Los volúmenes se definen y crean como parte del ciclo de vida del pod solo existen hasta que se elimina el pod. Los pods a menudo
esperan que su almacenamiento permanezca si un pod se reprograma en un host diferente durante un evento de mantenimiento,
especialmente en StatefulSets. A volumen persistente PV) es un recurso de almacenamiento creado y administrado por la API de
Kubernetes que puede existir más allá de la vida útil de un pod individual.
Los discos o archivos de Azure se utilizan para proporcionar PersistentVolume. Como se señaló en la sección anterior sobre
Volúmenes, la elección de discos o archivos a menudo está determinada por la necesidad de acceso simultáneo a los datos o al nivel
de rendimiento.
Un PersistentVolume puede ser inactivamente creado por un administrador de clúster, o creado dinámicamente por el servidor API
de Kubernetes. Si un pod está programado y solicita almacenamiento que no está disponible actualmente, Kubernetes puede crear
el almacenamiento de archivos o disco de Azure subyacente y adjuntarlo al pod. El aprovisionamiento dinámico utiliza un StorageClass
para identificar qué tipo de almacenamiento de Azure debe crearse.
Clases de almacenamiento
Para definir diferentes niveles de almacenamiento, como Premium y Estándar, puede crear un StorageClass. StorageClass
también define el reclaimPolicy. Este reclaimPolicy controla el comportamiento del recurso de almacenamiento de Azure
subyacente cuando se elimina el pod y es posible que el volumen persistente ya no sea necesario. El recurso de
almacenamiento subyacente se puede eliminar o retener para su uso con un pod futuro.
En AKS, se crean dos StorageClasses iniciales:
● defecto - Utiliza el almacenamiento estándar de Azure para crear un disco administrado. La directiva de recuperación indica que
el disco de Azure subyacente se elimina cuando se elimina el pod que lo utilizó.
● premium administrado - Utiliza el almacenamiento de Azure Premium para crear un disco administrado. La directiva de
reclamación nuevamente indica que el disco de Azure subyacente se elimina cuando se elimina el pod que lo usó.
Si no se especifica StorageClass para un volumen persistente, se usa el StorageClass predeterminado. Tenga

cuidado al solicitar volúmenes persistentes para que utilicen el almacenamiento adecuado que necesita. Puede
crear una StorageClass para necesidades adicionales usando kubectl. El siguiente ejemplo usa Premium Managed
Disks y especifica que el Azure Disk subyacente debe retenerse cuando se elimina el pod:
Reclamaciones de volumen persistente

Un PersistentVolumeClaim solicita el almacenamiento en Disco o Archivo de un StorageClass, modo de acceso y tamaño en particular.
El servidor de la API de Kubernetes puede aprovisionar dinámicamente el recurso de almacenamiento subyacente en Azure si no hay
ningún recurso existente para cumplir con el reclamo basado en el StorageClass definido. La definición del pod incluye el montaje de
volumen una vez que el volumen se ha conectado al pod.
Un PersistentVolume es atado a PersistentVolumeClaim una vez que se ha asignado un recurso de almacenamiento

disponible al pod que lo solicita. Hay una asignación 1: 1 de volúmenes persistentes a reclamaciones.
Seguridad del servicio AKS

Para proteger los datos de sus clientes mientras ejecuta cargas de trabajo de aplicaciones en Azure Kubernetes Service (AKS), la
seguridad de su clúster es una consideración clave. Kubernetes incluye componentes de seguridad como políticas de red y secretos.
Luego, Azure agrega componentes como grupos de seguridad de red y actualizaciones de clústeres orquestadas. Estos componentes
de seguridad se combinan para mantener su clúster de AKS ejecutando las últimas actualizaciones de seguridad del sistema
operativo y versiones de Kubernetes, y con tráfico seguro de pod y acceso a credenciales confidenciales.
Esta sección presenta los conceptos básicos que protegen sus aplicaciones en AKS:
● Seguridad de los componentes maestros
● Seguridad de nodo
● Actualizaciones de clústeres
● Seguridad de la red
● Secretos de Kubernetes
Seguridad maestra
En AKS, los componentes maestros de Kubernetes son parte del servicio administrado proporcionado por Microsoft. Cada clúster de
AKS tiene su propio maestro de Kubernetes dedicado y de un solo inquilino para proporcionar el servidor API, el programador, etc.
Este maestro es administrado y mantenido por Microsoft
De forma predeterminada, el servidor de la API de Kubernetes utiliza una dirección IP pública y un nombre de dominio completo
(FQDN). Puede controlar el acceso al servidor de API mediante los controles de acceso basados en roles de Kubernetes y Azure
Active Directory.
Seguridad de nodo
Los nodos de AKS son máquinas virtuales de Azure que administra y mantiene. Los nodos ejecutan una distribución Ubuntu Linux
optimizada con el tiempo de ejecución del contenedor Docker. Cuando se crea o amplía un clúster de AKS, los nodos se
implementan automáticamente con las últimas actualizaciones y configuraciones de seguridad del sistema operativo.
La plataforma Azure aplica automáticamente parches de seguridad del sistema operativo a los nodos todas las noches. Si una
actualización de seguridad del sistema operativo requiere un reinicio del host, ese reinicio no se realiza automáticamente. Puede
reiniciar manualmente los nodos, o un enfoque común es usar Kured 9 , un demonio de reinicio de código abierto para Kubernetes.
Kured se ejecuta como un [DaemonSet] [aks-daemonset] y supervisa cada nodo para detectar la presencia de un archivo que
indique que es necesario reiniciar. Los reinicios se administran en todo el clúster mediante el mismo proceso de cordón y drenaje
que una actualización del clúster.
Los nodos se implementan en una subred de red virtual privada, sin direcciones IP públicas asignadas. Para fines de gestión y
resolución de problemas, SSH está habilitado de forma predeterminada. Este acceso SSH solo está disponible utilizando la dirección
IP interna. Las reglas del grupo de seguridad de la red de Azure se pueden usar para restringir aún más el acceso del rango de IP a
los nodos de AKS. Eliminar la regla SSH del grupo de seguridad de red predeterminada y deshabilitar el servicio SSH en los nodos
evita que la plataforma Azure realice tareas de mantenimiento.
Para proporcionar almacenamiento, los nodos usan Azure Managed Disks. Para la mayoría de los tamaños de nodos de VM, estos son discos
Premium respaldados por SSD de alto rendimiento. Los datos almacenados en discos administrados se cifran automáticamente en reposo
dentro de la plataforma Azure. Para mejorar la redundancia, estos discos también se replican de forma segura dentro del centro de datos de
Azure.
Actualizaciones de clústeres
Por motivos de seguridad y cumplimiento, o para utilizar las funciones más recientes, Azure proporciona herramientas para
orquestar la actualización de un clúster y componentes de AKS. Esta orquestación de actualización incluye los componentes del
agente y el maestro de Kubernetes. Puede ver una lista de las versiones de Kubernetes disponibles para su clúster de AKS. Para
iniciar el proceso de actualización, especifique una de estas versiones disponibles. Luego, Azure acordona y drena de forma segura
cada nodo de AKS y realiza la actualización.
Acordonar y desaguar
Durante el proceso de actualización, los nodos de AKS se acordonan individualmente desde el clúster para que no se programen
nuevos pods en ellos. Luego, los nodos se drenan y actualizan de la siguiente manera:
● Los pods existentes se terminan correctamente y se programan en los nodos restantes.
● El nodo se reinicia, el proceso de actualización se completa y luego vuelve a unirse al clúster de AKS.
● Los pods están programados para ejecutarse nuevamente en ellos.
● El siguiente nodo del clúster se acordona y drena mediante el mismo proceso hasta que todos los nodos se
actualizan correctamente.
Seguridad de la red
Para conectividad y seguridad con redes locales, puede implementar su clúster de AKS en subredes de redes
virtuales de Azure existentes. Estas redes virtuales pueden tener una conexión de Azure Site-to-Site VPN o Express
Route de regreso a su red local. Los controladores de entrada de Kubernetes se pueden definir con direcciones IP
internas privadas para que los servicios solo sean accesibles a través de esta conexión de red interna.
Grupos de seguridad de red de Azure

Para filtrar el flujo de tráfico en redes virtuales, Azure usa reglas de grupo de seguridad de red. Estas reglas definen los rangos de IP
de origen y destino, los puertos y los protocolos a los que se les permite o deniega el acceso a los recursos. Las reglas
predeterminadas se crean para permitir el tráfico TLS al servidor de la API de Kubernetes y para el acceso SSH al
9 https://github.com/weaveworks/kured
nodos. A medida que crea servicios con equilibradores de carga, asignaciones de puertos o rutas de entrada, AKS modifica
automáticamente el grupo de seguridad de la red para que el tráfico fluya de manera adecuada.
Secretos de Kubernetes
A Kubernetes Secreto se utiliza para inyectar datos confidenciales en pods, como credenciales o claves de acceso. Primero crea un
secreto utilizando la API de Kubernetes. Cuando define su pod o implementación, se puede solicitar un secreto específico. Los
secretos solo se proporcionan a los nodos que tienen un pod programado que lo requiere, y el secreto se almacena en tmpfs, no
escrito en el disco. Cuando se elimina el último pod de un nodo que requiere un secreto, el secreto se elimina del tmpfs del nodo. Los
secretos se almacenan dentro de un espacio de nombres dado y solo se puede acceder a ellos mediante pods dentro del mismo
espacio de nombres.
El uso de Secrets reduce la información confidencial que se define en el manifiesto YAML del pod o del servicio. En su lugar,
solicita el secreto almacenado en el servidor API de Kubernetes como parte de su manifiesto YAML. Este enfoque solo
proporciona el acceso de pod específico al secreto.
AKS y Azure Active Directory

Hay diferentes formas de autenticarse y proteger los clústeres de Kubernetes. Con los controles de acceso basados en
roles (RBAC), puede otorgar a los usuarios o grupos acceso solo a los recursos que necesitan. Con Azure Kubernetes Service
(AKS), puede mejorar aún más la estructura de seguridad y permisos mediante Azure Active Directory. Estos enfoques lo
ayudan a proteger las cargas de trabajo de sus aplicaciones y los datos de los clientes.
Esta sección presenta los conceptos básicos que lo ayudan a autenticar y asignar permisos en AKS:
● Cuentas de servicio de Kubernetes
● Integración de Azure Active Directory
● Controles de acceso basados en roles (RBAC)
● Roles y ClusterRoles
● RoleBindings y ClusterRoleBindings
Cuentas de servicio de Kubernetes

Uno de los tipos de usuarios principales en Kubernetes es una cuenta de servicio. Existe una cuenta de servicio en la API de
Kubernetes y la administra. Las credenciales de las cuentas de servicio se almacenan como secretos de Kubernetes, lo que permite
que los pods autorizados las utilicen para comunicarse con el servidor API. La mayoría de las solicitudes de API proporcionan un token
de autenticación para una cuenta de servicio o una cuenta de usuario normal.
Las cuentas de usuario normales permiten un acceso más tradicional para administradores o desarrolladores humanos, no solo
para servicios y procesos. Kubernetes en sí no proporciona una solución de gestión de identidades donde se almacenan las
cuentas de usuario y las contraseñas habituales. En cambio, las soluciones de identidad externas se pueden integrar en
Kubernetes. Para los clústeres de AKS, esta solución de identidad integrada es Azure Active Directory.
Integración de Azure Active Directory

La seguridad de los clústeres de AKS se puede mejorar con la integración de Azure Active Directory (AD). Construido sobre décadas de
administración de identidades empresariales, Azure AD es un servicio de administración de identidades y directorio de múltiples
inquilinos basado en la nube que combina servicios de directorio central, administración de acceso a aplicaciones y protección de
identidad. Con Azure AD, puede integrar identidades locales en clústeres de AKS para proporcionar una fuente única para la
seguridad y la administración de cuentas.
Con los clústeres de AKS integrados en Azure AD, puede otorgar a los usuarios o grupos acceso a los recursos de Kubernetes dentro de un
espacio de nombres o en todo el clúster. Para obtener un kubectl contexto de configuración, un usuario puede ejecutar el
az aks get-credentials mando. Cuando un usuario luego interactúa con el clúster de AKS con kubectl,
se les solicita que inicien sesión con sus credenciales de Azure AD. Este enfoque proporciona una fuente única para la
administración de cuentas de usuario y las credenciales de contraseña. El usuario solo puede acceder a los recursos definidos por el
administrador del clúster.
Controles de acceso basados en roles (RBAC)

Para proporcionar un filtrado granular de las acciones que los usuarios pueden realizar, Kubernetes utiliza controles de acceso
basados en roles (RBAC). Este mecanismo de control le permite asignar permisos a usuarios o grupos de usuarios para hacer
cosas como crear o modificar recursos o ver registros de cargas de trabajo de aplicaciones en ejecución. Estos permisos se
pueden establecer en un solo espacio de nombres o se pueden otorgar en todo el clúster de AKS. Con Kubernetes RBAC, crea roles
para definir permisos y luego los asigna roles a los usuarios con vinculaciones de roles.
Controles de acceso basados en roles de Azure (RBAC)

Un mecanismo adicional para controlar el acceso a los recursos son los controles de acceso basados en roles de Azure
(RBAC). Kubernetes RBAC está diseñado para trabajar con recursos dentro de su clúster de AKS, y Azure RBAC está diseñado
para trabajar con recursos dentro de su suscripción de Azure. Con Azure RBAC, crea un definición de rol que describe los
permisos que se aplicarán. A continuación, se asigna a un usuario o grupo esta definición de función para un determinado alcance,
que podría ser un recurso individual, un grupo de recursos o en toda la suscripción.
Roles y ClusterRoles
Antes de asignar permisos a los usuarios con Kubernetes RBAC, primero defina esos permisos como un
Papel. Los roles de Kubernetes otorgan permisos. No existe el concepto de negar permiso.
Los roles se utilizan para otorgar permisos dentro de un espacio de nombres. Si necesita otorgar permisos en
todo el clúster o agrupar recursos fuera de un espacio de nombres determinado, puede usar ClusterRoles.
Un ClusterRole funciona de la misma manera para otorgar permisos a los recursos, pero se puede aplicar a los recursos en
todo el clúster, no en un espacio de nombres específico.
RoleBindings y ClusterRoleBindings
Una vez que se definen los roles para otorgar permisos a los recursos, asigna esos permisos de Kubernetes RBAC con un RoleBinding.
Si su clúster de AKS se integra con Azure Active Directory, los enlaces son la forma en que esos usuarios de Azure AD reciben
permisos para realizar acciones dentro del clúster.
Los enlaces de roles se utilizan para asignar roles para un espacio de nombres determinado. Este enfoque le permite segregar lógicamente
un solo clúster de AKS, con usuarios que solo pueden acceder a los recursos de la aplicación en su espacio de nombres
asignado. Si necesita vincular roles en todo el clúster o agrupar recursos fuera de un espacio de nombres determinado,
en su lugar puede usar ClusterRoleBindings.
Un ClusterRoleBinding funciona de la misma manera para vincular roles a los usuarios, pero se puede aplicar a los recursos de todo el
clúster, no a un espacio de nombres específico. Este enfoque le permite otorgar a los administradores o ingenieros de soporte acceso
a todos los recursos del clúster de AKS.
Escala de AKS
A medida que ejecuta aplicaciones en Azure Kubernetes Service (AKS), es posible que deba aumentar o disminuir la cantidad de
recursos informáticos. A medida que cambia la cantidad de instancias de aplicación que necesita, es posible que también deba
cambiar la cantidad de nodos de Kubernetes subyacentes. También es posible que deba aprovisionar rápidamente una gran
cantidad de instancias de aplicaciones adicionales.
Escalar manualmente pods o nodos

Puede escalar manualmente las réplicas (pods) y los nodos para probar cómo responde su aplicación a un cambio en los recursos y el
estado disponibles. El escalado manual de recursos también le permite definir una cantidad determinada de recursos a utilizar para
mantener un costo fijo, como la cantidad de nodos. Para escalar manualmente, define la réplica o el recuento de nodos, y la API de
Kubernetes programa la creación de pods adicionales o los nodos de drenaje.
Escalador automático de pod horizontal

Kubernetes usa el escalador automático de pod horizontal (HPA) para monitorear la demanda de recursos y escalar
automáticamente la cantidad de réplicas. De forma predeterminada, el escalador automático de pod horizontal comprueba la API de
métricas cada 30 segundos para ver si hay cambios necesarios en el recuento de réplicas. Cuando se requieren cambios, el número
de réplicas aumenta o disminuye en consecuencia. El escalador automático de pod horizontal funciona con clústeres de AKS que han
implementado Metrics Server para Kubernetes 1.8+.
Cuando configura el escalador automático de pod horizontal para una implementación determinada, define la cantidad
mínima y máxima de réplicas que se pueden ejecutar. También define la métrica para monitorear y basar cualquier decisión
de escalado, como el uso de CPU.
Enfriamiento de eventos de escala

Como el escalador automático de pod horizontal verifica la API de métricas cada 30 segundos, es posible que los eventos de escala anteriores
no se hayan completado correctamente antes de que se realice otra verificación. Este comportamiento podría hacer que el escalador
automático de pod horizontal cambie la cantidad de réplicas antes de que el evento de escala anterior haya podido recibir la carga de trabajo
de la aplicación y las demandas de recursos se ajusten en consecuencia.
Para minimizar estos eventos de carrera, se pueden establecer valores de enfriamiento o retraso. Estos valores definen cuánto tiempo debe
esperar el escalador automático de pod horizontal después de un evento de escala antes de que se pueda activar otro evento de escala. Este
comportamiento permite que surta efecto el nuevo recuento de réplicas y que la API de métricas refleje la carga de trabajo distribuida. De
forma predeterminada, la demora en los eventos de escalado es de 3 minutos y la demora en los eventos de escalado es de 5 minutos.
Es posible que deba ajustar estos valores de enfriamiento. Los valores de enfriamiento predeterminados pueden dar la
impresión de que el escalador automático de pod horizontal no escala el recuento de réplicas con la suficiente rapidez. Por
ejemplo, para aumentar más rápidamente el número de réplicas en uso, reduzca el: horizontal-pod-autoscaler-upscale-delay cuando
crea sus definiciones de escalador automático de pod horizontal usando kubectl.
Escalador automático de clúster

Para responder a las demandas cambiantes de los pods, Kubernetes tiene un escalador automático de clúster que ajusta la cantidad de nodos
según los recursos informáticos solicitados en el grupo de nodos. De forma predeterminada, el escalador automático del clúster comprueba el
servidor de API cada 10 segundos en busca de cambios necesarios en el recuento de nodos. Si la escala automática del clúster determina que
se requiere un cambio, la cantidad de nodos en su clúster de AKS aumenta o disminuye en consecuencia. El escalador automático de clústeres
funciona con clústeres AKS habilitados para RBAC que ejecutan Kubernetes 1.10.xo superior.
El escalador automático de clúster se usa normalmente junto con el escalador automático de pod horizontal. Cuando se combina, el escalador
automático de pods horizontal aumenta o disminuye el número de pods según la demanda de la aplicación, y el escalador automático del clúster
ajusta el número de nodos según sea necesario para ejecutar esos pods adicionales en consecuencia.
Escalar eventos
Si un nodo no tiene suficientes recursos informáticos para ejecutar un pod solicitado, ese pod no puede avanzar en el
proceso de programación. El pod no puede iniciarse a menos que haya recursos informáticos adicionales disponibles
dentro del grupo de nodos.
Cuando el escalador automático del clúster detecta pods que no se pueden programar debido a limitaciones de recursos del grupo
de nodos, la cantidad de nodos dentro del grupo de nodos aumenta para proporcionar los recursos de cómputo adicionales.
Cuando esos nodos adicionales se implementan con éxito y están disponibles para su uso dentro del grupo de nodos, los pods se
programan para ejecutarse en ellos.
Si su aplicación necesita escalar rápidamente, algunos pods pueden permanecer en un estado a la espera de ser programados hasta que los
nodos adicionales implementados por el escalador automático del clúster puedan aceptar los pods programados. Para las aplicaciones que
tienen una alta demanda de ráfagas, puede escalar con nodos virtuales y Azure Container Instances.
Reducir eventos
El escalador automático del clúster también supervisa el estado de programación del pod para los nodos que no han recibido
recientemente nuevas solicitudes de programación. Este escenario indica que el grupo de nodos tiene más recursos informáticos de
los necesarios y que se puede reducir el número de nodos.
Un nodo que supera un umbral por el que ya no se necesita durante 10 minutos de forma predeterminada está programado para su
eliminación. Cuando ocurre esta situación, los pods están programados para ejecutarse en otros nodos dentro del grupo de nodos y el escalador
automático del clúster reduce la cantidad de nodos.
Es posible que sus aplicaciones experimenten alguna interrupción ya que los pods se programan en diferentes nodos cuando el escalador
automático del clúster reduce la cantidad de nodos. Para minimizar las interrupciones, evite las aplicaciones que usan una sola instancia de
pod.
Escalado de AKS a ACI
Para escalar rápidamente su clúster de AKS, puede integrarlo con Azure Container Instances (ACI). Kubernetes tiene componentes
integrados para escalar la réplica y el recuento de nodos. Sin embargo, si su aplicación necesita escalar rápidamente, el escalador
automático de pods horizontal puede programar más pods de los que pueden proporcionar los recursos informáticos existentes en el
grupo de nodos. Si se configura, este escenario activaría el escalador automático del clúster para implementar nodos adicionales en el
grupo de nodos, pero es posible que esos nodos demoren unos minutos en aprovisionarse correctamente y permitir que el
programador de Kubernetes ejecute pods en ellos.
ACI le permite implementar rápidamente instancias de contenedores sin una sobrecarga de infraestructura adicional. Cuando se
conecta con AKS, ACI se convierte en una extensión lógica y segura de su clúster de AKS. El componente Virtual Kubelet está instalado
en su clúster de AKS que presenta ACI como un nodo virtual de Kubernetes. Luego, Kubernetes puede programar pods que se
ejecutan como instancias de ACI a través de nodos virtuales, no como pods en nodos de VM directamente en su clúster de AKS.
Su aplicación no requiere ninguna modificación para utilizar nodos virtuales. Las implementaciones se pueden escalar en AKS y ACI y sin
demoras, ya que el escalador automático del clúster implementa nuevos nodos en su clúster de AKS.
Los nodos virtuales se implementan en una subred adicional en la misma red virtual que su clúster de AKS. Esta
configuración de red virtual permite proteger el tráfico entre ACI y AKS. Al igual que un clúster de AKS, una
instancia de ACI es un recurso informático lógico y seguro que está aislado de otros usuarios.
Kubelet virtual
Virtual Kubelet es una implementación de kubelet de Kubernetes de código abierto que se hace pasar por un kubelet.
En este ejemplo de un clúster de Kubernetes, se utiliza kubelet virtual para permitirnos respaldar nuestro clúster de
Kubernetes con servicios como Container Instances y Azure Batch. Estos servicios luego alojan nuestros nodos individuales
en nombre del clúster.
El kubelet virtual se registra a sí mismo como un nodo y permite a los desarrolladores implementar pods y contenedores con sus
propias API. Esto permite que el kubelet virtual proporcione una capa de compensación con una implementación de
pseudo-kubelet que le permite utilizar otros servicios para sus instancias individuales.
Lista de proveedores
● Lote de Azure
● Instancias de contenedor
● Instancia de contenedor elástico en la nube de Alibaba (ECI)
● AWS Fargate
● Interfaz de tiempo de ejecución de contenedor de Kubernetes
● (CRI) Instancia de contenedor de nube de Huawei (CCI)
● HashiCorp Nomad
● OpenStack Zun
● Proveedor personalizado
Demostración: implementación del servicio Azure

Kubernetes
En esta demostración, implementaremos un servicio Azure Kubernetes.
Crea un servicio de Kubernetes
2. Busque y seleccione Servicios de Kubernetes, y luego haga clic en + Agregar.
3. En la página Básicos, configure las siguientes opciones y luego seleccione Siguiente: Escala.
● Detalles del proyecto: Seleccione una suscripción de Azure, luego seleccione o cree un grupo de recursos de Azure, como
myResourceGroup.
● Detalles del clúster: Ingrese un nombre de clúster de Kubernetes, como myAKSCluster. Seleccione una región, una versión de
Kubernetes y un prefijo de nombre DNS para el clúster de AKS.
● Grupo de nodos principal: Seleccione un tamaño de nodo de máquina virtual para los nodos de AKS. El tamaño de la máquina virtual no se puede
cambiar una vez que se ha implementado un clúster de AKS. - Seleccione la cantidad de nodos para implementar en el clúster. Para esta demostración,
establezca el recuento de nodos en 1. El recuento de nodos se puede ajustar después de que se haya implementado el clúster.
4. Sobre el Escala página, revise y mantenga las opciones predeterminadas. En la parte inferior de la pantalla, haga clic en Siguiente:
Autenticación.
5. Sobre el Autenticación página, configure las siguientes opciones:
● Cree una nueva entidad de servicio dejando el campo de entidad de servicio con la (nueva) entidad de servicio
predeterminada. O puede elegir Configurar el principal de servicio para usar uno existente. Si usa uno existente, deberá
proporcionar el ID de cliente SPN y el secreto.
● Habilite la opción para los controles de acceso basados en roles (RBAC) de Kubernetes. Esto proporcionará un control
más detallado sobre el acceso a los recursos de Kubernetes implementados en su clúster de AKS.
6. Por defecto, Redes básicas se usa y Azure Monitor para contenedores está habilitado. Hacer clic Revisar + crear y
entonces Crear cuando se completa la validación.
7. Se necesitan unos minutos para crear el clúster de AKS.
Conectarse al clúster
1. Para administrar un clúster de Kubernetes, usa kubectl, el cliente de línea de comandos de Kubernetes. El kubectl
El cliente está preinstalado en Azure Cloud Shell.
2. Abra el Cloud Shell, Selecciona el Intento cáscara.
3. Conéctese al clúster, descargue sus credenciales y configure la CLI de Kubernetes para usarlas.
az aks get-credentials --resource-group myResourceGroup --name myAKSCluster
4. Verifique la conexión a su clúster y devuelva una lista de los nodos del clúster. Asegúrese de que el estado de los
nodos sea Listo.
kubectl obtener nodos
Ejecuta la aplicación
Nota: Necesitará un archivo de manifiesto de Kubernetes para los siguientes pasos. Navega al Inicio rápido: implementar
un clúster de AKS en el portal 11 .
1. En Cloud Shell, use el nano azure-vote.yaml o vi azure-vote.yaml comando para crear un

archivo llamado azure-vote.yaml.
2. Copie la definición de YAML de la página de inicio rápido. Asegúrese de guardar sus cambios.
3. Implemente la aplicación.
kubectl apply -f azure-vote.yaml
4. Asegúrese de que no haya errores y que el resultado muestre las implementaciones y los servicios creados correctamente.
11 https://docs.microsoft.com/en-us/azure/aks/kubernetes-walkthrough-portal#run-the-application
Prueba la aplicación
1. Cuando se ejecuta la aplicación, un servicio de Kubernetes expone la interfaz de la aplicación a Internet. Este proceso
puede tardar unos minutos en completarse.
2. Continúe en el shell de la nube para monitorear el progreso de la implementación.
kubectl get service azure-vote-front --watch
3. Espere hasta que la dirección IP EXTERNA cambie de pendiente a una dirección IP pública real. Use Ctrl + C
para salir del comando.
4. Para ver la aplicación Azure Vote en acción, abra un explorador web a la dirección IP externa de su servicio.
5. Vuelva a Azure Portal y su recurso myAKSCluster.
6. Bajo Vigilancia escoger Perspectivas. Revise la información disponible.
7. Cuando tenga tiempo, revise otras áreas del grupo.

Laboratorio 09a: Implementación de aplicaciones web
Debe evaluar el uso de las aplicaciones web de Azure para alojar los sitios web de Contoso, alojados actualmente en los centros de
datos locales de la empresa. Los sitios web se ejecutan en servidores de Windows utilizando la pila de tiempo de ejecución de PHP.
También debe determinar cómo puede implementar las prácticas de DevOps aprovechando las ranuras de implementación de
aplicaciones web de Azure.
Objetivos
● Tarea 1: crear una aplicación web de Azure.
● Tarea 2: Cree una ranura de implementación provisional.
● Tarea 3: configurar los ajustes de implementación de la aplicación web. Tarea 4:
● Implementar código en la ranura de implementación provisional. Tarea 5:
● intercambie las ranuras de preparación.
● Tarea 6: configurar y probar el ajuste de escala automático de la aplicación web de Azure.
Laboratorio 09b: Implementación de instancias de contenedor de Azure
Contoso quiere encontrar una nueva plataforma para sus cargas de trabajo virtualizadas. Identificó una serie de imágenes
de contenedores que se pueden aprovechar para lograr este objetivo. Dado que desea minimizar la administración de
contenedores, planea evaluar el uso de Azure Container Instances para la implementación de imágenes de Docker.
Objetivos
● Tarea 1: implementar una imagen de Docker mediante Azure Container Instance
● Tarea 2: revisar la funcionalidad de Azure Container Instance
Laboratorio 09c: Implementación del servicio Azure Kubernetes
Contoso tiene varias aplicaciones de varios niveles que no son adecuadas para ejecutarse con Azure Container Instances.
Para determinar si se pueden ejecutar como cargas de trabajo en contenedores, desea evaluar el uso de Kubernetes como
orquestador de contenedores. Para minimizar aún más la sobrecarga de administración, desea probar Azure Kubernetes
Service, incluida su experiencia de implementación simplificada y capacidades de escalado.
Objetivos
● Tarea 1: implementar un clúster de servicios de Azure Kubernetes
● Tarea 2: Implementar pods en el clúster de Azure Kubernetes Service
● Tarea 3: escalar cargas de trabajo en contenedores en el clúster de servicios de Azure Kubernetes
Tiene varias aplicaciones ejecutándose en un solo plan de App Service. Verdadero o falso: cada aplicación del plan de servicio puede tener
diferentes reglas de escala.
?? Cierto
?? Falso
¿Cuál de las siguientes configuraciones no se cambia cuando cambia una aplicación? Seleccione tres.
?? Asignaciones de controlador
?? Publicar puntos finales
?? Configuración general, como versión de marco, 32/64 bits, sockets web
?? Siempre encendido
?? Nombres de dominio personalizados

Está administrando una aplicación web de producción. La aplicación requiere escalar a cinco instancias, 40 GB de almacenamiento y un
nombre de dominio personalizado. ¿Qué plan de servicio de aplicaciones debería seleccionar? Seleccione uno.
?? Libre
?? Compartido
?? Básico
?? Estándar
?? Prima
Está haciendo una copia de seguridad de su App Service. ¿Cuál de los siguientes se incluye en la copia de seguridad? Seleccione dos.
?? Configuración de la aplicación
?? Base de datos de Azure para MySQL
?? Archivos y contenido de la base de datos por un total de 15 GB
?? Cuenta de almacenamiento con firewall habilitado
?? Azure Database for MySQL habilitado para SSL
Decide trasladar todos sus servicios al servicio Azure Kubernetes. ¿Cuál de los siguientes componentes contribuirá
a su cargo mensual de Azure? Seleccione uno.
?? Nodo maestro
?? Vainas
?? Máquinas virtuales de nodo
?? Mesas
¿Cuál de las siguientes afirmaciones no es cierta sobre los grupos de contenedores? Seleccione uno.
?? Está programado en varias máquinas host.
?? Se le asigna una etiqueta de nombre DNS.
?? Expone una única dirección IP pública, con un puerto expuesto.
?? Consta de dos contenedores.
?? Incluye dos recursos compartidos de archivos de Azure como montajes de volumen.

¿Cuál de los siguientes es el agente de Kubernetes que procesa las solicitudes de orquestación del maestro del clúster y
programa la ejecución de los contenedores solicitados? Seleccione uno.
?? controlador maestro
?? tiempo de ejecución del contenedor
?? proxy de kube
?? kubelet
Está configurando redes para el servicio Azure Kubernetes. ¿Cuál de las siguientes opciones asigna el tráfico directo
entrante a los pods? Seleccione uno.
?? Nodo AKS
?? ClusterIP
?? Balanceador de carga
?? NodePort
¿Qué método utiliza Microsoft Azure App Service para obtener las credenciales de los usuarios que intentan acceder a una aplicación?
Seleccione uno.
?? credenciales que se almacenan en el navegador
?? autenticación de paso
?? redirección a un punto final de proveedor
?? sincronización de cuentas entre proveedores
Estudio adicional
● Aloje una aplicación web con el servicio de aplicaciones de Azure 12
● Realice una implementación de una aplicación web para probar y revertir mediante el uso de ranuras de implementación de App Service 13
● Escale una aplicación web de App Service para satisfacer la demanda de manera eficiente con App Service escalar y escalar
horizontalmente 14
● Cumpla dinámicamente los requisitos cambiantes de rendimiento de las aplicaciones web con reglas de escala automática 15
● Capture y vea los tiempos de carga de la página en su aplicación web de Azure con Application Insights dieciséis
● Introducción a los contenedores Docker 17
12 https://docs.microsoft.com/en-us/learn/modules/host-a-web-app-with-azure-app-service/
13 https://docs.microsoft.com/en-us/learn/modules/stage-deploy-app-service-deployment-slots/
14 https://docs.microsoft.com/en-us/learn/modules/app-service-scale-up-scale-out/
15 https://docs.microsoft.com/en-us/learn/modules/app-service-autoscale-rules/
dieciséis https://docs.microsoft.com/en-us/learn/modules/capture-page-load-times-application-insights/
17 https://docs.microsoft.com/en-us/learn/modules/intro-to-docker-containers/
● Ejecute contenedores de Docker con Azure Container Instances 18
● Introducción al servicio Azure Kubernetes 19
18 https://docs.microsoft.com/en-us/learn/modules/run-docker-with-azure-container-instances/
19 https://docs.microsoft.com/en-us/learn/modules/intro-to-azure-kubernetes-service/
Respuestas
Tiene varias aplicaciones ejecutándose en un solo plan de App Service. Verdadero o falso: cada aplicación del plan de servicio
puede tener diferentes reglas de escala.
?? Cierto
■ Falso
Explicación
Falso. El plan de App Service es la unidad de escala de las aplicaciones de App Service. Si el plan está configurado para ejecutar cinco instancias de VM,
todas las aplicaciones del plan se ejecutan en las cinco instancias. Si el plan está configurado para el ajuste de escala automático, todas las aplicaciones
del plan se escalan juntas en función de la configuración de escala automática.
¿Cuál de las siguientes configuraciones no se cambia cuando cambia una aplicación? Seleccione tres.
?? Asignaciones de controlador
■ Publicación de puntos finales
?? Configuración general, como versión de marco, 32/64 bits, sockets web
■ Siempre encendido
■ Nombres de dominio personalizados
Explicación
Publicación de endpoints, Always on y Nombres de dominio personalizados. Algunos elementos de configuración siguen el contenido a través de un intercambio (no
específico de la ranura), mientras que otros elementos de configuración permanecen en la misma ranura después de un intercambio (específico de la ranura).
Está administrando una aplicación web de producción. La aplicación requiere escalar a cinco instancias, 40 GB de almacenamiento y un nombre
de dominio personalizado. ¿Qué plan de servicio de aplicaciones debería seleccionar? Seleccione uno.
?? Libre
?? Compartido
?? Básico
■ Estándar
?? Prima
Explicación
Estándar. El plan de servicio de aplicaciones estándar cumple con los requisitos al menor costo.
Está haciendo una copia de seguridad de su App Service. ¿Cuál de los siguientes se incluye en la copia de seguridad? Seleccione dos.
■ Configuración de la aplicación
■ Base de datos de Azure para MySQL
?? Archivos y contenido de la base de datos por un total de 15 GB
?? Cuenta de almacenamiento con firewall habilitado
?? Azure Database for MySQL habilitado para SSL
Explicación
Configuración de la aplicación y base de datos de Azure para MySQL. App Service puede realizar copias de seguridad de la configuración de la
aplicación, el contenido del archivo y una base de datos conectada a su aplicación (SQL Database, Azure Database for MySQL, Azure Database for
PostgreSQL, MySQL en la aplicación). Las copias de seguridad pueden tener hasta 10 GB de contenido de aplicaciones y bases de datos. No se admite el
uso de una cuenta de almacenamiento habilitada con firewall como destino para sus copias de seguridad. Azure Database for MySQL habilitado para
SSL no se respalda.
Decide trasladar todos sus servicios al servicio Azure Kubernetes. ¿Cuál de los siguientes componentes
contribuirá a su cargo mensual de Azure? Seleccione uno.
?? Nodo maestro
?? Vainas
■ Máquinas virtuales de nodo
?? Mesas
Explicación
Máquinas virtuales de nodo. Solo paga por las instancias de máquinas virtuales, el almacenamiento y los recursos de red que
consume su clúster de Kubernetes.
¿Cuál de las siguientes afirmaciones no es cierta sobre los grupos de contenedores? Seleccione uno.
■ Está programado en varios equipos host.
?? Se le asigna una etiqueta de nombre DNS.
?? Expone una única dirección IP pública, con un puerto expuesto.
?? Consta de dos contenedores.
?? Incluye dos recursos compartidos de archivos de Azure como montajes de volumen.
Explicación
Está programado en varias máquinas host. Un grupo de contenedores está programado en una sola máquina host.
¿Cuál de los siguientes es el agente de Kubernetes que procesa las solicitudes de orquestación del maestro del clúster y
programa la ejecución de los contenedores solicitados? Seleccione uno.
?? controlador maestro
?? tiempo de ejecución del contenedor
?? proxy de kube
■ kubelet
Explicación
kubelet. El kubelet procesa las solicitudes de orquestación del clúster maestro y programa la ejecución de los
contenedores solicitados.
Está configurando redes para el servicio Azure Kubernetes. ¿Cuál de las siguientes opciones asigna el tráfico directo
entrante a los pods? Seleccione uno.
?? Nodo AKS
?? ClusterIP
?? Balanceador de carga
■ NodePort
Explicación
NodePort. NodePort asigna el tráfico directo entrante a los pods.
¿Qué método utiliza Microsoft Azure App Service para obtener las credenciales de los usuarios que intentan acceder a una
aplicación? Seleccione uno.
?? credenciales que se almacenan en el navegador
?? autenticación de paso
■ redireccionamiento a un punto final de proveedor
?? sincronización de cuentas entre proveedores
Explicación
Redirección a un punto final de proveedor. Las aplicaciones de Microsoft Azure App Service redirigen las solicitudes a un punto de conexión que
registra a los usuarios de ese proveedor. App Service puede dirigir automáticamente a todos los usuarios no autenticados al punto final que inicia la
sesión de los usuarios. Curso: Módulo 4

Módulo 10 Protección de datos
Copias de seguridad de archivos y carpetas
Copia de seguridad de Azure

Copia de seguridad de Azure es el servicio basado en Azure que puede utilizar para realizar copias de seguridad (o proteger) y
restaurar sus datos en la nube de Microsoft. Azure Backup reemplaza su solución de respaldo local o externa existente con una
solución basada en la nube que es confiable, segura y rentable.
Azure Backup ofrece varios componentes que puede descargar e implementar en el equipo, el servidor o la nube
adecuados. El componente o agente que implemente depende de lo que desee proteger. Todos los componentes de Azure
Backup (sin importar si está protegiendo datos en las instalaciones o en la nube) se pueden usar para realizar copias de
seguridad de los datos en una bóveda de Recovery Services en Azure.
Beneficios clave
● Descargue la copia de seguridad local. Azure Backup ofrece una solución sencilla para realizar copias de seguridad de sus recursos locales
en la nube. Obtenga copias de seguridad a corto y largo plazo sin la necesidad de implementar soluciones de copia de seguridad locales
complejas.
● Realice una copia de seguridad de las máquinas virtuales de IaaS de Azure. Azure Backup proporciona copias de seguridad independientes y aisladas para
proteger contra la destrucción accidental de los datos originales. Las copias de seguridad se almacenan en una bóveda de Recovery Services con gestión integrada
de puntos de recuperación. La configuración y la escalabilidad son simples, las copias de seguridad están optimizadas y puede restaurarlas fácilmente según sea
necesario.
● Obtenga transferencia de datos ilimitada. Azure Backup no limita la cantidad de datos entrantes o salientes
que transfiere, ni cobra por los datos que se transfieren.
Los datos salientes se refieren a los datos transferidos desde una bóveda de Recovery Services durante una operación de restauración.
Si realiza una copia de seguridad inicial sin conexión mediante el servicio de importación / exportación de Azure para importar grandes
cantidades de datos, existe un costo asociado con los datos entrantes.
● Mantenga los datos seguros. El cifrado de datos permite la transmisión y el almacenamiento seguros de sus datos
en la nube pública. La frase de contraseña de cifrado se almacena localmente y nunca se transmite ni se almacena
en Azure. Si es necesario restaurar alguno de los datos, solo usted tiene la contraseña o clave de cifrado.
316 Módulo 10 Protección de datos
● Obtenga copias de seguridad coherentes con la aplicación. Una copia de seguridad coherente con la aplicación significa que un punto de
recuperación tiene todos los datos necesarios para restaurar la copia de seguridad. Azure Backup proporciona copias de seguridad coherentes
con la aplicación, lo que garantiza que no se requieran correcciones adicionales para restaurar los datos. La restauración de datos coherentes con
la aplicación reduce el tiempo de restauración, lo que le permite volver rápidamente a un estado de ejecución.
● Conserve los datos a corto y largo plazo. Puede utilizar las bóvedas de Recovery Services para la retención de datos a corto y
largo plazo. Azure no limita el tiempo que los datos pueden permanecer en una bóveda de Recovery Services. Puede conservarlo
todo el tiempo que desee. Azure Backup tiene un límite de 9999 puntos de recuperación por instancia protegida.
● Gestión automática de almacenamiento. Los entornos híbridos a menudo requieren un almacenamiento heterogéneo, algunos
en las instalaciones y otros en la nube. Con Azure Backup, no hay ningún costo por usar dispositivos de almacenamiento locales.
Azure Backup asigna y administra automáticamente el almacenamiento de respaldo, y usa un modelo de pago por uso, de modo
que usted solo paga por el almacenamiento que consume.
● Varias opciones de almacenamiento. Azure Backup ofrece dos tipos de replicación para mantener su almacenamiento / datos con
alta disponibilidad.
● El almacenamiento con redundancia local (LRS) replica sus datos tres veces (crea tres copias de sus datos) en una unidad de
escala de almacenamiento en un centro de datos. Todas las copias de los datos existen dentro de la misma región. LRS es una
opción de bajo costo para proteger sus datos de fallas de hardware local.
● El almacenamiento con redundancia geográfica (GRS) es la opción de replicación predeterminada y recomendada.

GRS replica sus datos en una región secundaria (a cientos de millas de la ubicación principal de los datos de origen).
GRS cuesta más que LRS, pero GRS proporciona un mayor nivel de durabilidad para sus datos, incluso si hay una
interrupción regional.
✔ ¿Cuáles son algunas de las razones por las que su organización podría elegir Azure Backup? ¿Su organización
utiliza Azure Backup?
Para más información, ¿Qué es Azure Backup? 1
Opciones de copia de seguridad de la bóveda del servicio de recuperación

La Bóveda de servicios de recuperación es una entidad de almacenamiento en Azure que aloja datos. Los datos suelen ser copias de datos o
información de configuración para máquinas virtuales (VM), cargas de trabajo, servidores o estaciones de trabajo. Puede usar las bóvedas de
Recovery Services para almacenar datos de respaldo para varios servicios de Azure, como máquinas virtuales IaaS (Linux o Windows) y bases de
datos SQL de Azure. Las bóvedas de Recovery Services son compatibles con System Center DPM, Windows Server, Azure Backup Server y más.
Las bóvedas de Recovery Services facilitan la organización de sus datos de respaldo, al tiempo que minimizan los gastos generales de
administración.
● El almacén de Recovery Services se puede utilizar para realizar copias de seguridad de los recursos compartidos de archivos de Azure.
● La bóveda de Recovery Services también se puede utilizar para realizar copias de seguridad de archivos y carpetas locales.
1 https://docs.microsoft.com/en-us/azure/backup/backup-overview#why-use-azure-backup
Copias de seguridad de archivos y carpetas 317
✔ Dentro de una suscripción de Azure, puede crear hasta 25 bóvedas de Recovery Services por región.
✔ Observe sus opciones de respaldo para máquinas virtuales. Esto se cubrirá en la próxima lección.
Demostración: Copia de seguridad de recursos compartidos de archivos de Azure

En esta demostración, exploraremos la copia de seguridad de un recurso compartido de archivos en Azure Portal.
Configurar una cuenta de almacenamiento con archivos compartidos Nota: Si ya tiene una cuenta de
almacenamiento y un recurso compartido de archivos, puede omitir este paso.
1. En Azure Portal, busque Cuentas de almacenamiento.
2. Agregar una nueva cuenta de almacenamiento.
3. Proporcione la información de la cuenta de almacenamiento (su elección).
4. Haga clic en Revisar + crear y entonces Crear.
5. Acceda a su cuenta de almacenamiento y haga clic en Archivos.
6. Haga clic en + Recurso compartido de archivos y dale a tu nuevo archivo compartido un Nombre y un Cuota.
7. Después de crear su recurso compartido de archivos Cargar un
archivo. Crear una bóveda de Recovery Services
1. En Azure Portal, escriba Recovery Services y haga clic en Bóvedas de Recovery Services.
2. Haga clic en Agregar.
3. Proporcione un Nombre, suscripción, grupo de recursos, y Localización.
4. Su nueva bóveda debe estar en la misma ubicación que el recurso compartido de archivos.
5. Haga clic en Crear. La creación de la bóveda de Recovery Services puede tardar varios minutos. Supervisar la
notificaciones de estado en el área superior derecha del portal. Una vez que se crea su bóveda, aparece en la lista
de bóvedas de Recovery Services.
6. Si después de varios minutos no se agrega la bóveda, haga clic en Actualizar.

Configurar la copia de seguridad de archivos compartidos
1. Abra su bóveda de servicios de recuperación.
2. Haga clic en Respaldo y cree una nueva instancia de respaldo.
3. Desde el ¿Dónde se está ejecutando su carga de trabajo? menú desplegable, seleccione Azur.
4. Desde el ¿Qué quieres respaldar? menú, seleccione Azure FileShare.
5. Haga clic en Respaldo.
6. De la lista de cuentas de almacenamiento, seleccione una cuenta de almacenamiento, y haga clic en está bien. Azure busca en el almacenamiento
Tenga en cuenta los archivos compartidos que se pueden respaldar. Si recientemente agregó sus archivos compartidos, espere un poco de tiempo para que
aparezcan los archivos compartidos.
7. En la lista de recursos compartidos de archivos, seleccione uno o más de los archivos compartidos desea hacer una copia de seguridad y haga clic en está bien.
8. En la página Política de copia de seguridad, elija Crear nueva política de copias de seguridad y proporcione información de Nombre,
Programación y Retención. Hacer clic está bien.
9. Cuando haya terminado de configurar la copia de seguridad, haga clic en Habilite la copia de seguridad.
Verificar la copia de seguridad del recurso compartido de archivos
1. Explore el Elementos de respaldo espada. Hay información sobre los elementos respaldados y los elementos replicados.
2. Explore el Políticas de respaldo espada. Puede agregar o eliminar políticas de respaldo.
3. Explore el Trabajos de copia de seguridad espada. Aquí puede revisar el estado de sus trabajos de respaldo.
Implementación de copias de seguridad de carpetas y

archivos locales
Hay varios pasos para configurar la copia de seguridad de Azure de archivos y carpetas locales.
Nota: El agente de copia de seguridad se puede implementar en cualquier máquina virtual o máquina física de Windows Server.
1. Cree la bóveda de los servicios de recuperación. Dentro de su suscripción de Azure, deberá crear una bóveda de servicios de
recuperación para las copias de seguridad.
2. Descargue el agente y el archivo de credenciales. El almacén de servicios de recuperación proporciona un vínculo para
descargar Azure Backup Agent. El agente de copia de seguridad se instalará en la máquina local. También hay un archivo
de credenciales que se requiere durante la instalación del agente. Debe tener la última versión del agente. Las versiones
del agente por debajo de 2.0.9083.0 deben actualizarse desinstalando y reinstalando el agente.
3. Instalar y registrar agente. El instalador proporciona un asistente para configurar la ubicación de instalación, el servidor proxy y
la información de la frase de contraseña. El archivo de credenciales descargado se utilizará para registrar al agente.
4. Configure la copia de seguridad. Utilice el agente para crear una política de respaldo que incluya cuándo respaldar, qué respaldar,
cuánto tiempo conservar los elementos y configuraciones como la limitación de la red.
Agente de servicios de recuperación de Microsoft Azure

Azure Backup para archivos y carpetas se basa en el agente de Microsoft Azure Recovery Services (MARS) que se instalará
en el cliente o servidor de Windows.
Este es un agente con todas las funciones que tiene muchas funciones.
● Copia de seguridad de archivos y carpetas en el sistema operativo Windows físico o virtual (las máquinas virtuales pueden ser locales o en Azure).
● No se requiere un servidor de respaldo por separado.
● No consciente de la aplicación; restauración a nivel de archivo, carpeta y volumen solamente.
● Copia de seguridad y restauración de contenido.
● Sin soporte para Linux.
Demostración: copia de seguridad de archivos y carpetas

En esta demostración, recorreremos el proceso para realizar copias de seguridad y restaurar archivos y carpetas de
Windows a Azure.
Nota: Esta demostración asume que no ha usado Azure Backup Agent antes y necesita una instalación
completa.
Crear una bóveda de Recovery Services
1. En Azure Portal, escriba Recovery Services y haga clic en Bóvedas de Recovery Services.
2. Haga clic en Agregar.
3. Proporcione un Nombre, suscripción, grupo de recursos, y Localización.
4. Haga clic en Crear. La creación de la bóveda de Recovery Services puede tardar varios minutos. Supervisar la
notificaciones de estado en el área superior derecha del portal. Una vez que se crea su bóveda, aparece en la lista
de bóvedas de Recovery Services.
5. Si después de varios minutos no observa su bóveda, haga clic en Actualizar.
Configurar la bóveda
1. Para su bóveda de servicios de recuperación, haga clic en Respaldo.
2. Desde el ¿Dónde se está ejecutando su carga de trabajo? menú desplegable, seleccione En las instalaciones.
3. Desde el ¿Qué quieres respaldar? menú, seleccione Archivos y carpetas. Observe sus otras opciones.
4. Haga clic en Preparar la infraestructura.
5. Haga clic en Descargue Agent para Windows Server o Windows Client. Un menú emergente le pide que
correr o ahorrar MARSAgentInstaller.exe.
6. De forma predeterminada, el archivo MARSagentinstaller.exe se guarda en su Descargas carpeta. Cuando se completa el instalador,
aparece una ventana emergente que le pregunta si desea ejecutar el instalador o abrir la carpeta. Tú no necesito para instalar el
agente todavía. Puede instalar el agente después de haber descargado las credenciales de la bóveda.
7. Regrese a su bóveda de servicios de recuperación, marque la casilla Ya descargado o usando el último agente de
servicios de recuperación.
8. Hacer clic Descargar. Una vez que las credenciales de la bóveda terminan de descargarse, aparece una ventana emergente que le
pregunta si desea abrir o ahorrar las credenciales. Hacer clic Ahorrar. Si accidentalmente hace clic en Abierto, deje que el diálogo que
intenta abrir las credenciales de la bóveda falle. No puede abrir las credenciales de la bóveda. Continúe con el siguiente paso. Las
credenciales de la bóveda están en el Descargas carpeta.
Nota: Debe tener la última versión del agente MARS. Las versiones del agente por debajo de 2.0.9083.0 deben
actualizarse desinstalando y reinstalando el agente.
Instalar y registrar el agente
1. Busque y haga doble clic en el MARSagentinstaller.exe desde el Descargas carpeta (u otra guardada
localización). El instalador proporciona una serie de mensajes a medida que extrae, instala y registra el agente de
Recovery Services.
2. Para completar el asistente, debe:
● Elija una ubicación para la instalación y la carpeta de caché.
● Proporcione la información de su servidor proxy si usa un servidor proxy para conectarse a Internet.
● Proporcione los detalles de su nombre de usuario y contraseña si usa un proxy autenticado. Si se le
● solicita, instale el software que falte.
● Proporcione las credenciales de la bóveda descargadas
● Ingrese y guarde la contraseña de cifrado en un lugar seguro.
3. Espere a que se complete el registro del servidor. Esto puede tardar un par de minutos.
4. El agente ahora está instalado y su máquina está registrada en la bóveda. Está listo para configurar y programar su copia
de seguridad.
Crea la política de respaldo
1. Abra el Servicios de recuperación de Microsoft Azure agente. Puede encontrarlo buscando en su máquina
Servicios de recuperación de Microsoft Azure.
2. Si es la primera vez que utiliza el agente, habrá un Advertencia para crear una política de respaldo. La
La política de respaldo es la programación en la que se toman los puntos de recuperación y el tiempo que se retienen los
puntos de recuperación.
3. Haga clic en Programar copia de seguridad para iniciar el Asistente para programar copias de seguridad.
● Leer el Empezando página.
● Agregar elementos para incluir archivos y carpetas que desee proteger. Seleccione solo algunos archivos de muestra. Tenga en cuenta que
puede excluir archivos de la copia de seguridad.
● Especifica el horario de respaldo. Puede programar copias de seguridad diarias (a una velocidad máxima de tres veces al
día) o semanales.
● Selecciona tu Política de retención ajustes. La política de retención especifica la duración durante la cual se almacena la copia de
seguridad. En lugar de simplemente especificar una "política plana" para todos los puntos de respaldo, puede especificar
diferentes políticas de retención según el momento en que se realiza la copia de seguridad. Puede modificar las políticas de
retención diarias, semanales, mensuales y anuales para satisfacer sus necesidades.
● Escoge tu página de tipo de copia de seguridad inicial como Automáticamente. Tenga en cuenta que hay una opción para la copia de seguridad
sin conexión.
● Confirmar tus elecciones y Terminar el mago.
Copia de seguridad de archivos y carpetas
1. Haga clic en Copia ahora para completar el envío inicial a través de la red.
2. En el asistente, confirme su configuración y luego haga clic en Apoyo.
3. Puede Cerca el mago. Seguirá ejecutándose en segundo plano.
4. El Estado de su copia de seguridad se mostrará en la primera página del agente.
5. Puedes Ver detalles para más información.
Explore la configuración de recuperación
1. Haga clic en Recuperar datos.
2. Recorra el asistente haciendo selecciones basadas en la configuración de la copia de seguridad.
3. Observe sus opciones para restaurar desde el servidor actual o desde otro servidor.
4. Tenga en cuenta que puede hacer una copia de seguridad de archivos y carpetas individuales o de un volumen completo.
5. Seleccione un volumen y Montar la unidad. Esto puede tardar un par de minutos.
6. Verifique que se pueda acceder al volumen montado en Explorador de archivos y que sus archivos de respaldo estén disponibles.
7. Desmontar la unidad.
Explore las propiedades de la copia de seguridad
1. Haga clic en Cambiar propiedades.
2. Explore las diferentes pestañas.
3. En el Cifrado pestaña puede cambiar la contraseña.
4. En el Configuración de proxy pestaña puede agregar información de proxy.
5. En el Estrangulamiento pestaña puede habilitar la limitación del uso de ancho de banda de Internet. El estrangulamiento controla cómo
El ancho de banda de la red se utiliza durante la transferencia de datos. Este control puede resultar útil si necesita realizar una copia de seguridad
de los datos durante las horas de trabajo, pero no desea que el proceso de copia de seguridad interfiera con otro tráfico de Internet. La limitación
se aplica a las actividades de copia de seguridad y restauración.
Elimina tu programación de copias de seguridad
1. Haga clic en Programar copia de seguridad.
2. En el asistente, seleccione Deje de utilizar este programa de copias de seguridad y elimine todas las copias de seguridad almacenadas.
3. Verifique sus opciones y haga clic en Terminar.
4. Se le pedirá un pin de seguridad de la bóveda de servicios de recuperación.
5. En Azure Portal, ubique su bóveda de servicios de recuperación.
6. Seleccione Propiedades y luego PIN de seguridad Generar.
7. Copie el PIN en el agente de copia de seguridad para terminar de eliminar la programación.

Copias de seguridad de máquinas virtuales 323
Copias de seguridad de máquinas virtuales
Protección de datos de máquinas virtuales

Puede proteger sus datos realizando copias de seguridad a intervalos regulares. Hay varias opciones de
respaldo disponibles para VM, según su caso de uso.
Copia de seguridad de Azure

Para realizar una copia de seguridad de las máquinas virtuales de Azure que ejecutan cargas de trabajo de producción, use Azure Backup. Azure Backup
admite copias de seguridad coherentes con la aplicación para máquinas virtuales de Windows y Linux. Azure Backup crea puntos de recuperación que se
almacenan en bóvedas de recuperación con redundancia geográfica. Cuando restaura desde un punto de recuperación, puede restaurar toda la máquina
virtual o solo archivos específicos. Los temas de esta lección se centrarán en Azure Backup.
Recuperación del sitio de Azure

Azure Site Recovery protege sus máquinas virtuales de un escenario de desastre importante cuando toda una región experimenta
una interrupción debido a un desastre natural importante o una interrupción generalizada del servicio. Puede configurar Azure Site
Recovery para sus máquinas virtuales de modo que pueda recuperar su aplicación con un solo clic en cuestión de minutos. Puede
replicar en una región de Azure de su elección.
Instantáneas de disco administradas

En los entornos de desarrollo y prueba, las instantáneas proporcionan una opción rápida y sencilla para realizar copias de seguridad de las máquinas
virtuales que utilizan discos administrados. Una instantánea de disco administrado es una copia completa de solo lectura de un disco administrado que se
almacena como un disco administrado estándar de forma predeterminada. Con las instantáneas, puede realizar una copia de seguridad de sus discos
administrados en cualquier momento. Estas instantáneas existen independientemente del disco de origen y se pueden usar para crear nuevos discos
administrados. Se facturan en función del tamaño utilizado. Por ejemplo, si crea una instantánea de un disco administrado con una capacidad
aprovisionada de 64 GiB y un tamaño de datos usados real de 10 GiB, esa instantánea se factura solo por el tamaño de datos usados de 10 GiB.
Imagenes
Los discos administrados también admiten la creación de una imagen personalizada administrada. Puede crear una imagen desde su VHD
personalizado en una cuenta de almacenamiento o directamente desde una VM generalizada (sysprepped). Este proceso captura una sola
imagen. Esta imagen contiene todos los discos administrados asociados con una máquina virtual, incluidos el sistema operativo y los discos de
datos. Esta imagen personalizada administrada permite crear cientos de máquinas virtuales utilizando su imagen personalizada sin la necesidad
de copiar o administrar cuentas de almacenamiento.

Imágenes versus instantáneas

Es importante comprender la diferencia entre imágenes e instantáneas. Con los discos administrados, puede tomar una
imagen de una máquina virtual generalizada que se ha desasignado. Esta imagen incluye todos los discos conectados a la
VM. Puede usar esta imagen para crear una máquina virtual e incluye todos los discos.
● Una instantánea es una copia de un disco en el momento en que se toma la instantánea. Se aplica solo a un disco. Si tiene una
máquina virtual que tiene un disco (el disco del sistema operativo), puede tomar una instantánea o una imagen y crear una
máquina virtual a partir de la instantánea o la imagen.
● Una instantánea no reconoce ningún disco excepto el que contiene. Esto hace que sea problemático usarlo en
escenarios que requieren la coordinación de varios discos, como la creación de bandas. Las instantáneas
deberían poder coordinarse entre sí y esto no es compatible actualmente.
✔ ¿Ha probado alguno de estos métodos de copia de seguridad? ¿Tiene un plan de respaldo?
Necesidades de protección de la carga de trabajo

Existen varios métodos para realizar copias de seguridad de máquinas virtuales.
1. Habilite la copia de seguridad para máquinas virtuales de Azure individuales. Cuando habilita la copia de seguridad, Azure Backup instala una extensión en el agente de
máquina virtual de Azure que se ejecuta en la máquina virtual. El agente realiza una copia de seguridad de toda la máquina virtual.
2. Ejecute el agente de MARS en una máquina virtual de Azure. Esto es útil si desea realizar una copia de seguridad de archivos y carpetas individuales en la máquina
virtual.
3. Realice una copia de seguridad de una máquina virtual de Azure en un servidor de System Center Data Protection Manager (DPM) o un servidor de copia de
seguridad de Microsoft Azure (MABS) que se ejecuta en Azure. Luego, haga una copia de seguridad del servidor DPM / MABS en una bóveda con Azure Backup.
A menudo, aquellos que son nuevos en la implementación de cargas de trabajo en una nube pública no consideran cómo protegerán la carga
de trabajo una vez que esté alojada allí. Este es, por supuesto, un requisito fundamental para la continuidad del negocio. Documente cómo se
protege la carga de trabajo en la actualidad, incluida la frecuencia con la que se realiza una copia de seguridad de la carga de trabajo, qué tipos
de copias de seguridad se realizan y si existe protección de recuperación ante desastres para la carga de trabajo. Las opciones para la
protección de la carga de trabajo incluyen:
● Ampliación de soluciones de protección de datos locales a Azure. En muchos casos, una organización puede extender su
estrategia de copia de seguridad a Azure eligiendo entre muchas de las soluciones de copia de seguridad disponibles en la
actualidad en Azure Marketplace.
● Uso de características nativas en Azure para habilitar la protección de datos, como Azure Backup. Azure Backup es
un servicio de protección de datos nativo en Azure que permite la protección de cargas de trabajo locales y de
Azure.
Instantáneas de máquinas virtuales
Un trabajo de copia de seguridad de Azure consta de dos fases. Primero, se toma una instantánea de la máquina virtual. En segundo lugar, la
instantánea de la máquina virtual se transfiere al almacén de Azure Recovery Services.
Un punto de recuperación se considera creado solo después de completar ambos pasos. Como parte de esta actualización, se crea un
punto de recuperación tan pronto como finaliza la instantánea y este punto de recuperación del tipo de instantánea se puede usar
para realizar una restauración con el mismo flujo de restauración. Puede identificar este punto de recuperación en Azure Portal
mediante el uso de "instantánea" como el tipo de punto de recuperación y, una vez que la instantánea se transfiere a la bóveda, el
tipo de punto de recuperación cambia a "instantánea y bóveda".
Capacidades y consideraciones
● Capacidad para usar instantáneas tomadas como parte de un trabajo de respaldo que está disponible para recuperación sin esperar a que finalice la
transferencia de datos a la bóveda.
● Reduce los tiempos de copia de seguridad y restauración al retener las instantáneas localmente, durante dos días de forma predeterminada. Este valor
de retención de instantáneas predeterminado se puede configurar en cualquier valor entre 1 y 5 días.
● Admite tamaños de disco de hasta 32 TB. Azure Backup no recomienda cambiar el tamaño de los
● discos. Admite discos SSD estándar junto con discos HDD estándar y discos SSD premium.
● Las instantáneas incrementales se almacenan como blobs en la página. A todos los usuarios que utilizan discos no administrados se les cobra por las
instantáneas almacenadas en su cuenta de almacenamiento local. Dado que las colecciones de puntos de restauración que usan las copias de
seguridad de VM administradas usan instantáneas de blobs en el nivel de almacenamiento subyacente, para los discos administrados verá los costos
correspondientes a los precios de las instantáneas de blobs y son incrementales.
● Para las cuentas de almacenamiento premium, las instantáneas tomadas para los puntos de recuperación instantánea cuentan para
el límite de 10 TB de espacio asignado.
● Obtiene la capacidad de configurar la retención de instantáneas en función de las necesidades de restauración. Dependiendo del
requisito, puede establecer la retención de instantáneas en un mínimo de un día en la hoja de política de respaldo como se
explica a continuación. Esto le ayudará a ahorrar costes de retención de instantáneas si no realiza restauraciones con frecuencia.
● Es una actualización unidireccional, una vez actualizado a Restauración instantánea, no puede volver atrás.
✔ De forma predeterminada, las instantáneas se conservan durante dos días. Esta función permite la operación de restauración a
partir de estas instantáneas reduciendo los tiempos de restauración. Reduce el tiempo necesario para transformar y copiar datos
desde la bóveda.
Para más información, Obtenga un mejor rendimiento de copia de seguridad y restauración con la capacidad de restauración instantánea de
Azure Backup 2
Opciones de copia de seguridad de VM de Recovery Services Vault

Bóveda de servicios de recuperación es una entidad de almacenamiento en Azure que aloja datos. Los datos suelen ser copias de datos o
información de configuración para máquinas virtuales (VM), cargas de trabajo, servidores o estaciones de trabajo. Puede usar las bóvedas de
Recovery Services para almacenar datos de respaldo para varios servicios de Azure, como máquinas virtuales IaaS (Linux o Windows) y bases de
datos SQL de Azure. Las bóvedas de Recovery Services son compatibles con System Center DPM, Windows Server, Azure Backup Server y más.
Las bóvedas de Recovery Services facilitan la organización de sus datos de respaldo, al tiempo que minimizan los gastos generales de
administración.
● El almacén de Recovery Services se puede utilizar para realizar copias de seguridad de máquinas virtuales de Azure.
2 https://docs.microsoft.com/en-us/azure/backup/backup-instant-restore-capability
● La bóveda de Recovery Services se puede utilizar para realizar copias de seguridad de máquinas virtuales locales, incluidas:
Hyper-V, VmWare, System State y Bare Metal Recovery.
Implementación de copias de seguridad de máquinas virtuales

Hacer una copia de seguridad de las máquinas virtuales de Azure con Azure Backup es fácil y sigue un proceso simple.
1. Cree una bóveda de servicios de recuperación. Para realizar una copia de seguridad de sus archivos y carpetas, debe crear una bóveda de Servicios
de recuperación en la región donde desea almacenar los datos. También debe determinar cómo desea que se replique su almacenamiento, ya sea con
redundancia geográfica (predeterminado) o con redundancia local. De forma predeterminada, su bóveda tiene almacenamiento con redundancia
geográfica. Si usa Azure como un punto de conexión de almacenamiento de respaldo principal, use el almacenamiento con redundancia geográfica
predeterminado. Si usa Azure como un punto de conexión de almacenamiento de respaldo no principal, elija almacenamiento con redundancia local, lo
que reducirá el costo de almacenamiento de datos en Azure.
2. Utilice el Portal para definir la copia de seguridad. Proteja sus datos tomando instantáneas de sus datos a intervalos definidos. Estas
instantáneas se conocen como puntos de recuperación y se almacenan en bóvedas de servicios de recuperación. Si es necesario reparar o
reconstruir una máquina virtual, puede restaurarla desde cualquiera de los puntos de recuperación guardados. Una política de respaldo
define una matriz de cuándo se toman las instantáneas de datos y cuánto tiempo se retienen esas instantáneas. Al definir una política para
realizar copias de seguridad de una máquina virtual, puede activar una tarea de copia de seguridad una vez al día.
3. Realice una copia de seguridad de la máquina virtual. El agente de máquina virtual de Azure debe estar instalado en la máquina virtual
de Azure para que funcione la extensión de copia de seguridad. Sin embargo, si su máquina virtual se creó a partir de la galería de Azure, el
agente de máquina virtual ya está presente en la máquina virtual. Las máquinas virtuales que se migran desde centros de datos locales no
tendrían instalado el agente de máquina virtual. En tal caso, es necesario instalar VM Agent.
Para más información, Planifique la infraestructura de copia de seguridad de su máquina virtual en Azure 3 .
Implementación de restauración de VM
Una vez que las instantáneas de su máquina virtual están seguras en la bóveda de los servicios de recuperación, es fácil recuperarlas.
Una vez que activa la operación de restauración, el servicio de copia de seguridad crea un trabajo para rastrear la operación de restauración.
El servicio de copia de seguridad también crea y muestra temporalmente notificaciones, para que pueda supervisar cómo avanza la copia de
seguridad.
Servidor de copia de seguridad de Azure

Otro método para realizar copias de seguridad de las máquinas virtuales es utilizar un servidor de Data Protection Manager (DPM) o
Microsoft Azure Backup Server (MABS). Este método se puede utilizar para cargas de trabajo especializadas, máquinas virtuales o
archivos, carpetas y volúmenes. Las cargas de trabajo especializadas pueden incluir SharePoint, Exchange y SQL Server.
Ventajas
Las ventajas de realizar una copia de seguridad de las máquinas y las aplicaciones en el almacenamiento MABS / DPM y, a continuación, realizar una copia de
seguridad del almacenamiento DPM / MABS en una bóveda son las siguientes:
● La copia de seguridad en MABS / DPM proporciona copias de seguridad con reconocimiento de aplicaciones optimizadas para aplicaciones comunes como
SQL Server, Exchange y SharePoint, además de las copias de seguridad de archivos / carpetas / volúmenes y las copias de seguridad del estado de la máquina
(bare-metal, estado del sistema).
● Para las máquinas locales, no es necesario instalar el agente MARS en cada máquina de la que desee realizar una
copia de seguridad. Cada máquina ejecuta el agente de protección DPM / MABS y el agente MARS solo se ejecuta en
MABS / DPM.
● Tiene más flexibilidad y opciones de programación granular para ejecutar copias de seguridad.
3 https://docs.microsoft.com/en-us/azure/backup/backup-azure-vms-introduction
● Puede administrar las copias de seguridad de varias máquinas que reúne en grupos de protección en una sola consola. Esto es
particularmente útil cuando las aplicaciones están distribuidas por niveles en varias máquinas y desea hacer una copia de seguridad de
ellas juntas.
Pasos de respaldo
1. Instale el agente de protección DPM o MABS en las máquinas que desee proteger. Luego, agrega las
máquinas a un grupo de protección DPM.
2. Para proteger las máquinas locales, el servidor DPM o MABS debe estar ubicado en las instalaciones. Para proteger las máquinas
3. virtuales de Azure, el servidor MABS debe estar ubicado en Azure y ejecutarse como una máquina virtual de Azure.
4. Con DPM / MABS, puede proteger los volúmenes, recursos compartidos, archivos y carpetas de las copias de seguridad. También puede proteger el estado del
sistema de una máquina (bare metal) y puede proteger aplicaciones específicas con configuraciones de copia de seguridad compatibles con las aplicaciones.
5. Cuando configura la protección para una máquina o aplicación en DPM / MABS, selecciona realizar una copia de seguridad en el disco local
MABS / DPM para el almacenamiento a corto plazo y en Azure para la protección en línea. También especifica cuándo debe ejecutarse la
copia de seguridad en el almacenamiento DPM / MABS local y cuándo debe ejecutarse la copia de seguridad en línea en Azure.
6. Se realiza una copia de seguridad del disco de la carga de trabajo protegida en los discos MABS / DPM locales, de acuerdo con la
programación que especificó.
7. El agente MARS que se ejecuta en el servidor DPM / MABS realiza una copia de seguridad de los discos DPM / MABS en la
bóveda.
Comparación de componentes de respaldo

Esta tabla resume el agente de Azure Backup (MARS) y los casos de uso de Azure Backup Server.
Componente Beneficios Limites ¿Qué está protegido? ¿Dónde están las copias de seguridad?
almacenado?
Copia de seguridad de Azure Archivos de respaldo y Copia de seguridad 3 veces al día; Archivos y carpetas Servicios de recuperación
(MARTE) agente carpetas en físico no aplicación bóveda
o Windows virtual consciente; archivo, carpeta,
OS; no separado y nivel de volumen

servidor de respaldo restaurar solo; No
requerido soporte para Linux
Copia de seguridad de Azure App consciente Archivos, carpetas,
No se puede hacer una copia de seguridad Servicios de recuperación
Servidor instantáneas; flexión completa Cargas de trabajo de Oracle; volúmenes, máquinas virtuales, bóveda, localmente
para cuando siempre requiere aplicaciones, y disco adjunto

copias de seguridad; recuperaciónLive Azure sub- cargas de trabajo
granularidad; linux descripción No

apoyo en soporte para cinta
Hyper-V y respaldo
VM de VMware;
copia de seguridad y
restaurar VMware
VM, no
requiere un sistema
Licencia del centro
Eliminación suave
Azure Storage ahora ofrece eliminación temporal de objetos blob para que pueda recuperar más fácilmente sus datos cuando una
aplicación u otro usuario de la cuenta de almacenamiento los modifique o elimine por error.
Cómo funciona la eliminación suave

Cuando está habilitado, la eliminación suave le permite guardar y recuperar sus datos cuando se eliminan blobs o instantáneas de
blobs. Esta protección se extiende a los datos BLOB que se borran como resultado de una sobrescritura.
Cuando se eliminan datos, pasan a un estado de eliminación suave en lugar de borrarse permanentemente. Cuando la eliminación suave está activada y
sobrescribe los datos, se genera una instantánea de eliminación suave para guardar el estado de los datos sobrescritos. Los objetos eliminados
temporalmente son invisibles a menos que se enumeren explícitamente. Puede configurar la cantidad de tiempo que los datos eliminados
temporalmente se pueden recuperar antes de que caduquen permanentemente.
Ajustes de configuración
Cuando crea una cuenta nueva, la eliminación temporal está desactivada de forma predeterminada. La eliminación temporal también está desactivada de forma
predeterminada para las cuentas de almacenamiento existentes. Puede activar y desactivar la función en cualquier momento durante la vida de una cuenta de almacenamiento.
Aún podrá acceder y recuperar los datos eliminados temporalmente cuando la función esté desactivada, suponiendo que los datos
eliminados temporalmente se guardaron cuando la función se activó anteriormente. Cuando activa la eliminación temporal, también
debe configurar el período de retención.
El período de retención indica la cantidad de tiempo que los datos eliminados temporalmente se almacenan y están disponibles para su
recuperación. Para los blobs y las instantáneas de blobs que se eliminan explícitamente, el reloj del período de retención comienza cuando se
eliminan los datos. En el caso de las instantáneas de eliminación temporal generadas por la función de eliminación temporal cuando se
sobrescriben los datos, el reloj comienza cuando se genera la instantánea. Actualmente, puede conservar los datos eliminados temporalmente
entre 1 y 365 días.
Puede cambiar el período de retención de eliminación temporal en cualquier momento. Un período de retención actualizado solo se
aplicará a los datos recién eliminados. Los datos eliminados previamente caducarán según el período de retención que se configuró
cuando se eliminaron esos datos. Intentar eliminar un objeto eliminado temporalmente no afectará su tiempo de caducidad.
✔ La eliminación temporal es compatible con versiones anteriores, por lo que no tiene que realizar ningún cambio en sus
aplicaciones para aprovechar las protecciones que ofrece esta función.
Recuperación del sitio de Azure

Site Recovery ayuda a garantizar la continuidad empresarial al mantener las aplicaciones empresariales y las cargas de trabajo en
funcionamiento durante las interrupciones. Site Recovery replica las cargas de trabajo que se ejecutan en máquinas físicas y virtuales (VM) desde
un sitio principal a una ubicación secundaria. Cuando ocurre una interrupción en su sitio principal, conmuta a la ubicación secundaria y accede a
las aplicaciones desde allí. Una vez que la ubicación principal se esté ejecutando de nuevo, puede volver a acceder a ella.
Escenarios de replicaciones
● Replica máquinas virtuales de Azure de una región de Azure a otra.
● Replica máquinas virtuales VMware locales, máquinas virtuales Hyper-V, servidores físicos (Windows y Linux), máquinas virtuales Azure
Stack en Azure.
● Replica instancias de AWS Windows en Azure.
● Replica máquinas virtuales VMware locales, máquinas virtuales Hyper-V administradas por System Center VMM y servidores
físicos en un sitio secundario.
Características
● Con Site Recovery, puede configurar y administrar la replicación, la conmutación por error y la conmutación por recuperación desde una
única ubicación en Azure Portal.
● La replicación en Azure elimina el costo y la complejidad de mantener un centro de datos secundario.
● Site Recovery organiza la replicación sin interceptar los datos de la aplicación. Cuando se replica en Azure, los datos se almacenan en el
almacenamiento de Azure, con la resistencia que proporciona. Cuando se produce la conmutación por error, se crean máquinas
virtuales de Azure, según los datos replicados.
● Site Recovery proporciona replicación continua para máquinas virtuales de Azure y VMware, y una frecuencia de
replicación tan baja como 30 segundos para Hyper-V.
● Puede replicar utilizando puntos de recuperación con instantáneas coherentes con la aplicación. Estas instantáneas capturan los
datos del disco, todos los datos en la memoria y todas las transacciones en proceso.
● Puede ejecutar conmutaciones por error planificadas para interrupciones esperadas sin pérdida de datos o conmutaciones por error no
planificadas con una pérdida mínima de datos (según la frecuencia de replicación) para desastres inesperados. Puede restablecer
fácilmente a su sitio principal cuando esté disponible nuevamente.
● Site Recovery se integra con Azure para una administración simple de la red de aplicaciones, incluida la reserva de
direcciones IP, la configuración de equilibradores de carga y la integración de Azure Traffic Manager para cambios de
red eficientes.
✔ ¿Está considerando usar Azure Site Recovery y está interesado en alguna de estas características
específicas? ¿Cuál es el más importante para ti?
Para más información, Documentación de Azure Site Recovery 4 .
Arquitectura de Azure a Azure
Cuando habilita la replicación para una máquina virtual de Azure, sucede lo siguiente:
1. La extensión del servicio Site Recovery Mobility se instala automáticamente en la máquina virtual. La extensión registra la
máquina virtual con Site Recovery. Comienza la replicación continua para la máquina virtual. Las escrituras en disco se
transfieren inmediatamente a la cuenta de almacenamiento en caché en la ubicación de origen.
2. Site Recovery procesa los datos en la caché y los envía a la cuenta de almacenamiento de destino o a los discos
administrados de réplica.
3. Una vez que se procesan los datos, se generan puntos de recuperación coherentes con las fallas cada cinco minutos. Los puntos de
recuperación coherentes con la aplicación se generan de acuerdo con la configuración especificada en la política de replicación.
4. Cuando inicia una conmutación por error, las máquinas virtuales se crean en el grupo de recursos de destino, la red virtual de destino, la subred de
destino y en el conjunto de disponibilidad de destino. Durante una conmutación por error, puede utilizar cualquier punto de recuperación.
4 https://docs.microsoft.com/en-us/azure/site-recovery/site-recovery-overview
Preguntas de laboratorio y repaso del Módulo 10 333
Preguntas de laboratorio y repaso del Módulo 10
Laboratorio 10 - Copia de seguridad de máquinas virtuales
Se le ha asignado la tarea de evaluar el uso de Azure Recovery Services para realizar copias de seguridad y restaurar
archivos alojados en máquinas virtuales y equipos locales de Azure. Además, desea identificar métodos para proteger los
datos almacenados en la bóveda de Recovery Services de la pérdida de datos accidental o maliciosa.
Objetivos
● Tarea 2: Cree una bóveda de Recovery Services.
● Tarea 3: implementar la copia de seguridad a nivel de máquina virtual de Azure. Tarea
● 4: Implementar la copia de seguridad de archivos y carpetas.
● Tarea 5: Realice la recuperación de archivos mediante el agente de Servicios de recuperación de Azure.
● Tarea 6: Realice la recuperación de archivos mediante instantáneas de máquinas virtuales de Azure.
● Tarea 7: Revise la funcionalidad de eliminación temporal de Azure Recovery Services.
Necesita hacer una copia de seguridad de los archivos y carpetas en Azure. ¿Qué tres pasos debes realizar?
?? Descargue, instale y registre el agente de respaldo.
?? Sincronizar configuración.
?? Realice copias de seguridad de archivos y carpetas.
?? Cree una bóveda de servicios de respaldo.
?? Cree una bóveda de servicios de recuperación.

Usted es responsable de crear un plan de recuperación ante desastres para su centro de datos. Debe poder recrear
máquinas virtuales desde cero. Esto incluye el sistema operativo, su configuración / ajustes y parches. ¿Cuál de las
siguientes opciones proporcionará una copia de seguridad completa de sus máquinas? Seleccione uno.
?? Agente de Azure Backup (MARS)
?? Habilitar instantáneas de disco
?? Recuperación del sitio de Azure
?? Servidor de copia de seguridad de Azure
Tiene varias máquinas virtuales de Azure que actualmente ejecutan cargas de trabajo de producción. Tiene una combinación de
servidores Windows Server y Linux y necesita implementar una estrategia de respaldo para sus cargas de trabajo de producción.
¿Qué función debería utilizar en este caso? Seleccione uno.
?? Instantáneas gestionadas.
?? Copia de seguridad de Azure.
?? Recuperación del sitio de Azure.
?? Azure Migrate.
Planea usar Azure Backup para proteger sus máquinas virtuales y sus datos y está listo para crear una copia de seguridad.
¿Qué es lo primero que debes hacer? Seleccione uno.
?? Defina puntos de recuperación.
?? Cree una bóveda de Recovery Services.
?? Crea una política de respaldo.
?? Instale el agente de máquina virtual de Azure.
Implementa varias máquinas virtuales (VM) en Azure. Usted es responsable de realizar una copia de seguridad de todos los datos
procesados por las máquinas virtuales. En caso de falla, debe restaurar los datos lo más rápido posible. ¿Cuál de estas opciones
recomendaría para restaurar una base de datos utilizada para el desarrollo en un disco de datos? Seleccione uno.
?? Copia de seguridad de la máquina virtual
?? Copia de seguridad de imagen de disco
?? Instantánea de disco
recomendaría para restaurar la máquina virtual completa o los archivos en la máquina virtual? Seleccione uno.
Su organización necesita una forma de crear instantáneas con reconocimiento de aplicaciones y realizar copias de seguridad de máquinas
virtuales Linux y máquinas virtuales VMware. Tiene archivos, carpetas, volúmenes y cargas de trabajo que proteger. ¿Recomiendas cuál de las
siguientes soluciones? Seleccione uno.
?? Servidor de copia de seguridad de Azure
?? Habilitar la copia de seguridad para máquinas virtuales de Azure individuales
Planea utilizar la eliminación temporal de la máquina virtual. ¿Cuáles de las siguientes afirmaciones son verdaderas? Seleccione dos.
?? La eliminación temporal proporciona una retención de datos extendida de 20 días.
?? Si elimina una copia de seguridad, la eliminación suave aún proporciona la recuperación de datos.
?? La eliminación temporal es una protección incorporada sin costo adicional.
?? Los elementos de eliminación temporal se almacenan en el almacenamiento de archivos.
?? Una bóveda de servicio de recuperación se puede eliminar si solo tiene elementos de copia de seguridad eliminados temporalmente.
Estudio adicional
● Proteja sus máquinas virtuales con Azure Backup 5
● Realice una copia de seguridad y restaure su base de datos SQL de Azure 6
● Proteja su infraestructura de Azure con Azure Site Recovery 7
● Proteja su infraestructura local de desastres con Azure Site Recovery 8
5 https://docs.microsoft.com/en-us/learn/modules/protect-virtual-machines-with-azure-backup/
6 https://docs.microsoft.com/en-us/learn/modules/backup- restaurar-azure-sql /
7 https://docs.microsoft.com/en-us/learn/modules/protect-infrastructure-with-site-recovery/
8 https://docs.microsoft.com/en-us/learn/modules/protect-on- infraestructura-local-con-recuperación-del-sitio-azure /
Respuestas
Necesita hacer una copia de seguridad de los archivos y carpetas en Azure. ¿Qué tres pasos debes realizar?
■ Descargue, instale y registre el agente de respaldo.
?? Sincronizar configuración.
■ Realice
carpetas.
copias de seguridad de archivos y
?? Cree una bóveda de servicios de respaldo.
■ Cree una bóveda de servicios de recuperación.
Explicación
Usted es responsable de crear un plan de recuperación ante desastres para su centro de datos. Debe poder recrear
máquinas virtuales desde cero. Esto incluye el sistema operativo, su configuración / ajustes y parches. ¿Cuál de las
siguientes opciones proporcionará una copia de seguridad completa de sus máquinas? Seleccione uno.
■ Servidor
Azure de copia de seguridad de
Explicación
Azure Backup Server proporciona una capacidad de copia de seguridad completa.
Tiene varias máquinas virtuales de Azure que actualmente ejecutan cargas de trabajo de producción. Tiene una combinación de
servidores Windows Server y Linux y necesita implementar una estrategia de respaldo para sus cargas de trabajo de producción. ¿Qué
función debería utilizar en este caso? Seleccione uno.
?? Instantáneas gestionadas.
■ Copia
Azure.de seguridad de
?? Recuperación del sitio de Azure.
?? Azure Migrate.
Explicación
Para realizar una copia de seguridad de las máquinas virtuales de Azure que ejecutan cargas de trabajo de producción, use Azure Backup.
Azure Backup admite copias de seguridad coherentes con la aplicación para máquinas virtuales Windows y Linux. Azure Site Recovery
coordina la replicación, la conmutación por error y la conmutación por recuperación de máquinas virtuales y servidores físicos, pero Azure
Backup protegerá y restaurará los datos a un nivel más granular. Las instantáneas administradas proporcionan una copia completa de solo
lectura de un disco administrado y son una solución ideal en entornos de desarrollo y prueba, pero Azure Backup es la mejor opción para
sus cargas de trabajo de producción.
Planea usar Azure Backup para proteger sus máquinas virtuales y sus datos y está listo para crear una copia de seguridad.
¿Qué es lo primero que debes hacer? Seleccione uno.
?? Defina puntos de recuperación.
■ Cree una bóveda de Recovery Services.
?? Crea una política de respaldo.
?? Instale el agente de máquina virtual de Azure.
Explicación
Al realizar una copia de seguridad de una máquina virtual, primero debe crear una bóveda de Recovery Services en la región donde desea
almacenar los datos. Los puntos de recuperación se almacenan en la bóveda de Recovery Services. Si bien la creación de una política de
respaldo es una buena práctica, no depende de la creación de un respaldo. Se requiere el agente de máquina virtual de Azure en una
máquina virtual de Azure para que funcione la extensión de copia de seguridad. Sin embargo, si la máquina virtual se creó a partir de la
galería de Azure, el agente de máquina virtual ya está presente en la máquina virtual.
recomendaría para restaurar una base de datos utilizada para el desarrollo en un disco de datos? Seleccione uno.
■ Instantánea de disco
Explicación
Puede utilizar instantáneas para restaurar rápidamente los discos de datos de la base de datos.
Implementa varias máquinas virtuales (VM) en Azure. Usted es responsable de realizar una copia de seguridad de todos los
datos procesados por las máquinas virtuales. En caso de falla, debe restaurar los datos lo más rápido posible. ¿Cuál de estas
opciones recomendaría para restaurar la máquina virtual completa o los archivos en la máquina virtual? Seleccione uno.
■ Copia de seguridad de la máquina virtual
Explicación
Utilice la copia de seguridad de Azure para restaurar una máquina virtual en un momento específico y para restaurar archivos individuales. Azure Backup admite
copias de seguridad coherentes con la aplicación para máquinas virtuales de Windows y Linux.
Su organización necesita una forma de crear instantáneas con reconocimiento de aplicaciones y realizar copias de seguridad de máquinas
virtuales Linux y máquinas virtuales VMware. Tiene archivos, carpetas, volúmenes y cargas de trabajo que proteger. ¿Recomiendas cuál de las
siguientes soluciones? Seleccione uno.
■ Servidor
Azure de copia de seguridad de
?? Habilitar la copia de seguridad para máquinas virtuales de Azure individuales
Explicación
El servidor de copia de seguridad de Azure proporciona instantáneas con reconocimiento de aplicaciones, compatibilidad con máquinas virtuales Linux y máquinas
virtuales VMware. El servidor de respaldo puede proteger archivos, carpetas, volúmenes y cargas de trabajo.
Planea utilizar la eliminación temporal de la máquina virtual. ¿Cuáles de las siguientes afirmaciones son verdaderas? Seleccione dos.
?? La eliminación temporal proporciona una retención de datos extendida de 20 días.
■ Si elimina una copia de seguridad, la eliminación temporal aún proporciona la recuperación de datos.
■ La eliminación temporal es una protección incorporada sin costo adicional.
?? Los elementos de eliminación temporal se almacenan en el almacenamiento de archivos.
?? Una bóveda de servicio de recuperación se puede eliminar si solo tiene elementos de copia de seguridad eliminados temporalmente.
Explicación
Si elimina una copia de seguridad, la eliminación suave aún proporciona la recuperación de datos. La eliminación temporal es una protección incorporada
sin costo adicional.

Módulo 11 Monitoreo
Monitor de Azure
Servicio Azure Monitor

La supervisión es el acto de recopilar y analizar datos para determinar el rendimiento, el estado y la disponibilidad de su
aplicación empresarial y los recursos de los que depende. Una estrategia de supervisión eficaz le ayuda a comprender el
funcionamiento detallado de los componentes de su aplicación. También lo ayuda a aumentar su tiempo de actividad al
notificarle de manera proactiva los problemas críticos para que pueda resolverlos antes de que se conviertan en problemas.
Azure incluye varios servicios que realizan individualmente una función o tarea específica en el espacio de
supervisión. Juntos, estos servicios brindan una solución integral para recopilar, analizar y actuar sobre la telemetría
desde su aplicación y los recursos de Azure que los respaldan. También pueden trabajar para monitorear recursos
locales críticos para proporcionar un entorno de monitoreo híbrido. Comprender las herramientas y los datos
disponibles es el primer paso para desarrollar una estrategia de monitoreo completa para su aplicación.
El siguiente diagrama ofrece una vista de alto nivel de Azure Monitor. En el centro del diagrama se encuentran los almacenes
de datos para métricas y registros, que son los dos tipos fundamentales de uso de datos de Azure Monitor. A la izquierda
están las fuentes de datos de seguimiento que pueblan estos almacenes de datos. A la derecha están las diferentes funciones
que realiza Azure Monitor con estos datos recopilados, como análisis, alertas y transmisión a sistemas externos.
340 Módulo 11 Monitoreo
Para más información, Documentación de Azure Monitor 1
Capacidades clave
● Monitorear y visualizar métricas. Las métricas son valores numéricos disponibles en los recursos de Azure que lo
ayudan a comprender el estado, el funcionamiento y el rendimiento de su sistema.
● Consultar y analizar registros. Los registros son registros de actividad, registros de diagnóstico y telemetría de soluciones de
monitoreo; Las consultas de análisis ayudan con la resolución de problemas y las visualizaciones.
● Configure alertas y acciones. Las alertas le notifican sobre condiciones críticas y potencialmente toman acciones correctivas
automatizadas basadas en desencadenantes de métricas o registros.
1 https://docs.microsoft.com/en-us/azure/azure-monitor/
Monitor de Azure 341
Plataforma de datos de seguimiento

Todos los datos recopilados por Azure Monitor encajan en uno de dos tipos fundamentales, métricas y registros 2 .
● Métrica son valores numéricos que describen algún aspecto de un sistema en un momento determinado.
Son livianos y capaces de soportar escenarios casi en tiempo real.
● Registros contienen diferentes tipos de datos organizados en registros con diferentes conjuntos de propiedades para cada tipo. La
telemetría, como los eventos y los seguimientos, se almacenan como registros además de los datos de rendimiento para que todos puedan
combinarse para el análisis.
Para muchos recursos de Azure, los datos recopilados por Azure Monitor se muestran en la página Información general de
Azure Portal. Por ejemplo, las máquinas virtuales tienen varios gráficos que muestran métricas de rendimiento. Haga clic en
cualquiera de los gráficos para abrir los datos en el Explorador de métricas en Azure Portal, lo que le permite trazar los
valores de varias métricas a lo largo del tiempo. Puede ver los gráficos de forma interactiva o anclarlos a un panel para
verlos con otras visualizaciones.
Dato de registro
Los datos de registro recopilados por Azure Monitor se almacenan en Log Analytics, que incluye un lenguaje de consulta
enriquecido 3 para recuperar, consolidar y analizar rápidamente los datos recopilados. Puede crear y probar consultas mediante la
página de Log Analytics en Azure Portal y luego analizar directamente los datos con estas herramientas o guardar consultas para
usar con visualizaciones o reglas de alerta.
Azure Monitor usa una versión de Explorador de datos 4 lenguaje de consulta adecuado para consultas de registro simples, pero que
también incluye funciones avanzadas como agregaciones, uniones y análisis inteligente. Puede aprender rápidamente el lenguaje de
consulta utilizando varias lecciones. Se proporciona orientación particular a los usuarios que ya están familiarizados con SQL y Splunk.
2 https://docs.microsoft.com/en-us/azure/azure-monitor/platform/data-collection
3 https://docs.microsoft.com/en-us/azure/azure-monitor/log-query/log -query-overview
4 https://docs.microsoft.com/en-us/azure/kusto/query/
Tipos de datos
Azure Monitor puede recopilar datos de diversas fuentes. Puede pensar en monitorear los datos de sus aplicaciones en
niveles que van desde su aplicación, cualquier sistema operativo y servicios en los que se basa, hasta la propia plataforma.
Azure Monitor recopila datos de cada uno de los siguientes niveles:
● Datos de seguimiento de la aplicación: Datos sobre el rendimiento y la funcionalidad del código que ha escrito,
independientemente de su plataforma.
● Datos de supervisión del sistema operativo invitado: Datos sobre el sistema operativo en el que se ejecuta
su aplicación. Esto podría ejecutarse en Azure, otra nube o local.
● Datos de supervisión de recursos de Azure: Datos sobre el funcionamiento de un recurso de Azure.
● Datos de supervisión de la suscripción de Azure: Datos sobre el funcionamiento y la gestión de una

suscripción de Azure, así como datos sobre el estado y funcionamiento del propio Azure.
● Datos de supervisión de inquilinos de Azure: Datos sobre el funcionamiento de los servicios de Azure a nivel de inquilino, como
Azure Active Directory.
Tan pronto como crea una suscripción de Azure y comienza a agregar recursos como máquinas virtuales y aplicaciones web,
Azure Monitor comienza a recopilar datos. Los registros de actividad registran cuándo se crean o modifican los recursos. Las
métricas le indican el rendimiento del recurso y los recursos que consume.
Amplíe los datos que está recopilando en el funcionamiento real de los recursos habilitando los diagnósticos y agregando un
agente para calcular los recursos. Esto recopilará telemetría para el funcionamiento interno del recurso y le permitirá
configurar diferentes fuentes de datos para recopilar registros y métricas de los sistemas operativos invitados de Windows y
Linux.
✔ Azure Monitor puede recopilar datos de registro de cualquier cliente REST mediante la API de recopilador de datos. Esto le permite
crear escenarios de monitoreo personalizados y extender el monitoreo a recursos que no exponen la telemetría a través de otras
fuentes.
Asesor de Azure
Advisor es un consultor personalizado en la nube que lo ayuda a seguir las mejores prácticas para optimizar sus
implementaciones de Azure. Analiza la configuración de los recursos y la telemetría de uso y luego recomienda soluciones
que pueden ayudarlo a mejorar la rentabilidad, el rendimiento, la alta disponibilidad y la seguridad de sus recursos de
Azure.
La página de recomendaciones de costos del asesor lo ayuda a optimizar y reducir su gasto general en Azure al
identificar los recursos inactivos y subutilizados.
Seleccione la acción recomendada para una recomendación para implementar la recomendación. Se abrirá
una interfaz simple que le permitirá implementar la recomendación o remitirlo a la documentación que lo
ayude con la implementación.
✔ Advisor proporciona recomendaciones para máquinas virtuales, conjuntos de disponibilidad, puertas de enlace de aplicaciones, servicios
de aplicaciones, servidores SQL y Redis Cache.

Monitor de Azure 343
Registro de actividades
El registro de actividad de Azure es un registro de suscripción que proporciona información sobre los eventos de nivel de suscripción que se
han producido en Azure. Esto incluye una variedad de datos, desde datos operativos de Azure Resource Manager hasta actualizaciones sobre
eventos de Service Health.
Con el Registro de actividad, puede determinar el 'qué, quién y cuándo' para cualquier operación de escritura (PUT, POST,
DELETE) realizada en los recursos de su suscripción. También puede comprender el estado de la operación y otras
propiedades relevantes. A través de los registros de actividad, puede determinar:
● Qué operaciones se realizaron en los recursos de su suscripción.
● Quién inició la operación.
● Cuándo ocurrió la operación.
● El estado de la operación.
● Los valores de otras propiedades que podrían ayudarlo a investigar la operación.
✔ Los registros de actividad se guardan durante 90 días. Puede consultar cualquier rango de fechas, siempre que la fecha de
inicio no haya pasado más de 90 días. Puede recuperar eventos de su Registro de actividad utilizando Azure Portal,
CLI, cmdlets de PowerShell y API REST de Azure Monitor.
Consultar el registro de actividad

En Azure Portal, puede filtrar su Registro de actividad por estos campos:
● Suscripción. Uno o más nombres de suscripción de Azure.
● Espacio de tiempo. La hora de inicio y finalización de los eventos.
● Gravedad del evento. El nivel de gravedad del evento (informativo, advertencia, error, crítico).
● Grupo de recursos. Uno o más grupos de recursos dentro de esas suscripciones.
● Nombre del recurso). El nombre de un recurso específico.
● Tipo de recurso. El tipo de recurso, por ejemplo, Microsoft.Compute / virtualmachines.
● Nombre de la operación. El nombre de una operación de Azure Resource Manager, por ejemplo, Microsoft.SQL /
servers / Write.
● Evento iniciado por. El 'llamador' o usuario que realizó la operación.
● Buscar. Este es un cuadro de búsqueda de texto abierto que busca esa cadena en todos los campos de todos los eventos.
Categorías de eventos
● Administrativo. Esta categoría contiene el registro de todas las operaciones de creación, actualización, eliminación y
acción realizadas a través de Resource Manager. Ejemplos de los tipos de eventos que observaría en esta categoría
incluyen "crear máquina virtual" y "eliminar grupo de seguridad de red". La categoría Administrativa también incluye
cualquier cambio en el control de acceso basado en roles en una suscripción.
● Salud del servicio. Esta categoría contiene el registro de cualquier incidente de estado del servicio que se haya producido en
Azure. Un ejemplo del tipo de evento que observaría en esta categoría es "SQL Azure en el este de EE. UU. Está experimentando
un tiempo de inactividad". Los eventos de salud del servicio vienen en cinco variedades: Acción requerida, Recuperación asistida,
Incidente, Mantenimiento, Información o Seguridad.
● Salud de los recursos. Esta categoría contiene el registro de cualquier evento de salud de recursos que se haya producido en
sus recursos de Azure. Un ejemplo del tipo de evento que vería en esta categoría es "El estado de salud de la máquina virtual
cambió a no disponible". Los eventos de salud de los recursos pueden representar uno de los cuatro estados de salud:
Disponible, No disponible, Degradado y Desconocido.
● Alerta. Esta categoría contiene el registro de todas las activaciones de alertas de Azure. Un ejemplo del tipo de evento que
observaría en esta categoría es "El porcentaje de CPU en myVM ha superado el 80 durante los últimos 5 minutos".
● Auto escala. Esta categoría contiene el registro de cualquier evento relacionado con el funcionamiento del motor de
escala automática según la configuración de escala automática que haya definido en su suscripción. Un ejemplo del tipo
de evento que observaría en esta categoría es "Error en la acción de escalado automático".
● Recomendación. Esta categoría contiene eventos de recomendación de ciertos tipos de recursos, como sitios
web y servidores SQL. Estos eventos ofrecen recomendaciones sobre cómo utilizar mejor sus recursos.
● Seguridad. Esta categoría contiene el registro de las alertas generadas por Azure Security Center. Un ejemplo
del tipo de evento que observaría en esta categoría es "Archivo sospechoso de doble extensión ejecutado".
● Política. Esta categoría contiene registros de todas las operaciones de acción de efecto realizadas por Azure
Policy. Ejemplos de los tipos de eventos que vería en esta categoría incluyen Auditoría y Denegación.
✔ Una vez que haya definido un conjunto de filtros, puede anclar el estado filtrado al tablero o descargar los resultados de la
búsqueda como un archivo CSV.
Alertas de Azure 345
Alertas de Azure
Alertas de Azure Monitor
La experiencia de Monitor Alerts tiene muchos beneficios.
● Mejor sistema de notificación. Todas las alertas más recientes utilizan grupos de acciones, que son grupos de notificaciones y
acciones con nombre que se pueden reutilizar en varias alertas.
● Una experiencia de autor unificada. Toda la creación de alertas para métricas, registros y registros de actividad en Azure
Monitor, Log Analytics y Application Insights se encuentra en un solo lugar.
● Vea las alertas de Log Analytics en Azure Portal. Ahora también puede observar las alertas de Log Analytics en su
suscripción. Anteriormente, estos estaban en un portal separado.
● Separación de alertas disparadas y reglas de alerta. Las reglas de alerta (la definición de la condición que desencadena una
alerta) y las alertas activadas (una instancia de la activación de la regla de alerta) se diferencian, por lo que las vistas operativa y
de configuración están separadas.
● Mejor flujo de trabajo. La nueva experiencia de creación de alertas guía al usuario a lo largo del proceso de configuración de una regla de
alerta, lo que hace que sea más sencillo descubrir las cosas correctas sobre las que recibir alertas.
Administrar alertas
Puede alertar sobre métricas y registros como se describe en el monitoreo de fuentes de datos. Estos incluyen pero no se
limitan a:
● Valores métricos
● Consultas de búsqueda de registros
● Eventos de registro de actividad
● Estado de la plataforma Azure subyacente
● Pruebas de disponibilidad del sitio web

Estados de alerta
Puede establecer el estado de una alerta para especificar dónde se encuentra en el proceso de resolución. Cuando se cumplen los
criterios especificados en la regla de alerta, se crea o dispara una alerta, tiene un estado de Nuevo. Puede cambiar el estado cuando
reconoce una alerta y cuando la cierra. Todos los cambios de estado se almacenan en el historial de la alerta. Se admiten los siguientes
estados de alerta.
Expresar Descripción
Nuevo El problema se acaba de detectar y aún no se ha
revisado.
Admitido Un administrador ha revisado la alerta y ha
comenzado a trabajar en ella.
Cerrado El problema ha sido resuelto. Una vez que se ha
cerrado una alerta, puede volver a abrirla
cambiándola a otro estado.
✔ El estado de alerta es diferente e independiente de la condición del monitor. El estado de alerta lo establece el usuario. La condición del
monitor la establece el sistema. Cuando se dispara una alerta, la condición del monitor de la alerta se establece en disparada. Cuando
desaparece la condición subyacente que provocó el disparo de la alerta, la condición del monitor se establece como resuelta. El estado de
alerta no cambia hasta que el usuario lo cambia.
Para más información, La nueva experiencia de alertas en Azure Monitor 5
Creación de reglas de alerta

Las alertas le notifican de manera proactiva cuando se encuentran condiciones importantes en sus datos de monitoreo. Le
permiten identificar y abordar problemas antes de que los usuarios de su sistema los noten. Las alertas constan de reglas de
alerta, grupos de acción y condiciones de supervisión.
5 https://docs.microsoft.com/en-us/azure/monitoring-and-diagnostics/monitoring-overview-unified-alerts
Las reglas de alerta están separadas de las alertas y las acciones que se toman cuando se activa una alerta. La regla de alerta captura el
objetivo y los criterios de alerta. La regla de alerta puede estar en un estado habilitado o deshabilitado. Las alertas solo se activan cuando
están habilitadas. Los atributos clave de una regla de alerta son:
● Recurso de destino - Define el alcance y las señales disponibles para alertar. Un destino puede ser cualquier recurso de Azure.
Destinos de ejemplo: una máquina virtual, una cuenta de almacenamiento, un conjunto de escalado de máquinas virtuales, un
espacio de trabajo de Log Analytics o un recurso de Application Insights. Para ciertos recursos (como máquinas virtuales), puede
especificar varios recursos como el objetivo de la regla de alerta.
● Señal - Las señales son emitidas por el recurso de destino y pueden ser de varios tipos. Métrica, registro de actividad,
información de aplicaciones y registro.
● Criterios - Criterios es una combinación de señal y lógica aplicada a un recurso de destino. Ejemplos: * Porcentaje de
CPU> 70%; Tiempo de respuesta del servidor> 4 ms; y Recuento de resultados de una consulta de registro> 100.
● Nombre de alerta - Un nombre específico para la regla de alerta configurada por el usuario.
● Descripción de la alerta - Una descripción de la regla de alerta configurada por el usuario.
● Gravedad - La gravedad de la alerta una vez que se cumplen los criterios especificados en la regla de alerta. La gravedad
puede variar de 0 a 4.
● Acción - Una acción específica que se toma cuando se dispara la alerta. Se acerca el tema de los Grupos de Acción.
Grupos de acción
Un grupo de acciones es una colección de preferencias de notificación definidas por el propietario de una suscripción de
Azure. Las alertas de Azure Monitor y Service Health utilizan grupos de acción para notificar a los usuarios que se ha activado
una alerta. Varias alertas pueden usar el mismo grupo de acción o diferentes grupos de acción según los requisitos del
usuario.
Cuando se configura una acción para notificar a una persona por correo electrónico o SMS, la persona recibirá una
confirmación que indica que se ha agregado al grupo de acción.
● Runbook de automatización - Un runbook de automatización es la capacidad de definir, construir, orquestar, administrar e

informar sobre los flujos de trabajo que respaldan los procesos operativos del sistema y la red. Un flujo de trabajo de runbook
puede interactuar potencialmente con todo tipo de elementos de infraestructura, como aplicaciones, bases de datos y hardware.
● Función Azure - Azure functions es un servicio informático sin servidor que le permite ejecutar código desencadenado por
eventos sin tener que aprovisionar o administrar explícitamente la infraestructura.
● Rol de administrador de recursos de Azure de correo electrónico - Enviar correo electrónico a los miembros del rol de la suscripción. El correo
electrónico solo se enviará a los miembros de usuario de Azure AD del rol. El correo electrónico no se enviará a los grupos de Azure AD ni a las
entidades de servicio.
● Correo electrónico / SMS / Push / Voz - Especifique cualquier acción de correo electrónico, SMS, push o voz.
● ITSM - Conecte Azure y un producto / servicio de gestión de servicios de TI (ITSM) compatible. Esto requiere una
conexión ITSM.
● Aplicación lógica - Las aplicaciones lógicas conectan sus aplicaciones y servicios críticos para el negocio mediante la automatización de sus flujos de trabajo.
● Webhook - Un webhook es un punto final HTTP que permite que las aplicaciones externas se comuniquen con su
sistema.
✔ Siempre consulte la documentación para conocer la cantidad de acciones que puede crear.
Demostración: alertas
En esta demostración, crearemos una regla de alerta.
Crea una regla de alerta
1. En Azure Portal, haga clic en Monitor. La hoja Monitor consolida todas sus configuraciones de monitoreo y
datos en una vista.
2. Haga clic en Alertas luego haga clic en + Nueva regla de alerta. Como la mayoría de blades de recursos también tienen alertas en su recurso
en el menú Supervisión, también puede crear alertas desde allí.
Explore los objetivos de alerta
1. Haga clic en Seleccione en Destino, para seleccionar un recurso de destino sobre el que desea alertar. Usar Suscripción y
Tipo de recurso menús desplegables para encontrar el recurso que desea monitorear. También puede utilizar la barra de búsqueda para
encontrar su recurso.
2. Si el recurso seleccionado tiene métricas en las que puede crear alertas, las señales disponibles en la parte inferior derecha
incluirán métricas. Puede ver la lista completa de tipos de recursos admitidos para alertas de métricas en este artículo.
3. Hacer clic Hecho cuando haya hecho su selección.
Explore las condiciones de alerta
1. Una vez que haya seleccionado un recurso de destino, haga clic en Agregar condición.
2. Observará una lista de señales admitidas para el recurso, seleccione la métrica en la que desea crear una alerta.
3. Opcionalmente, refine la métrica ajustando Período y Agregación. Si la métrica tiene dimensiones, se

presentará la tabla Dimensiones.
4. Observe un gráfico para la métrica de las últimas 6 horas. Ajustar el Mostrar historial desplegable.
5. Definir el Lógica de alerta. Esto determinará la lógica que evaluará la regla de alerta métrica.
6. Si está utilizando un umbral estático, el gráfico de métricas puede ayudar a determinar cuál podría ser un
umbral razonable. Si está utilizando Umbrales dinámicos, la tabla métrica mostrará los umbrales calculados en
base a datos recientes.
7. Hacer clic Hecho.
8. Opcionalmente, agregue otros criterios si desea monitorear una regla de alerta compleja.
Explore los detalles de la alerta
1. Complete los detalles de la alerta como Nombre de la regla de alerta, descripción y Gravedad.
2. Agregue un grupo de acción a la alerta, ya sea seleccionando un grupo de acción existente o creando un nuevo grupo de acción.
3. Haga clic en Hecho para guardar la regla de alerta métrica.

Log Analytics
Log Analytics
Log Analytics es un servicio que le ayuda a recopilar y analizar los datos generados por los recursos en su
nube y entornos locales.
Las consultas de registro le ayudan a aprovechar al máximo el valor de los datos recopilados en los registros de Azure
Monitor. Un potente lenguaje de consulta le permite unir datos de varias tablas, agregar grandes conjuntos de datos y
realizar operaciones complejas con un código mínimo. Prácticamente se puede responder a cualquier pregunta y realizar un
análisis siempre que se hayan recopilado los datos de respaldo y usted comprenda cómo construir la consulta correcta.
Algunas características de Azure Monitor, como la información y las soluciones, procesan los datos de registro sin exponerlo a las
consultas subyacentes. Para aprovechar al máximo otras características de Azure Monitor, debe comprender cómo se construyen las
consultas y cómo puede usarlas para analizar de forma interactiva los datos en los registros de Azure Monitor.
Ejemplo 1: evaluación de actualizaciones

Una parte importante de la rutina diaria de cualquier administrador de TI es evaluar los requisitos de actualización de los sistemas y
planificar los parches. La programación precisa es fundamental, ya que se relaciona directamente con los SLA del negocio y puede
afectar seriamente las funciones del negocio. En el pasado, tenía que programar una actualización con un conocimiento limitado de
cuánto tiempo tomaría el parche. Operations Management Suite recopila datos de todos los clientes que realizan parches y usa esos
datos para proporcionar un tiempo promedio de parcheo para actualizaciones específicas que faltan. Este uso de datos "de fuentes
múltiples" es exclusivo de los sistemas en la nube y es un gran ejemplo de cómo Log Analytics puede ayudar a cumplir estrictos SLA.
Ejemplo 2: seguimiento de cambios

La resolución de problemas de un incidente operativo es un proceso complejo que requiere acceso a múltiples flujos de
datos. Con Operations Management Suite, puede realizar análisis fácilmente desde múltiples ángulos, utilizando datos de
una amplia variedad de fuentes a través de una única interfaz para la correlación de información. Al rastrear los cambios en
todo el entorno, Log Analytics ayuda a identificar fácilmente cosas como el comportamiento anormal
Log Analytics 351
desde una cuenta específica, usuarios que instalan software no aprobado, reinicios o cierres inesperados del sistema,
evidencia de violaciones de seguridad o problemas específicos en aplicaciones poco acopladas.
Crea un espacio de trabajo

Para comenzar con Log Analytics, debe agregar un espacio de trabajo.
● Proporcione un nombre para el nuevo espacio de trabajo de Log Analyics.
● Seleccione una suscripción de la lista desplegable.
● En Grupo de recursos, seleccione un grupo de recursos existente que contenga una o más máquinas virtuales
de Azure.
● Seleccione la ubicación en la que se implementan sus máquinas virtuales.
● El espacio de trabajo utilizará automáticamente el plan de precios por GB.
Fuentes conectadas
Las fuentes conectadas son las computadoras y otros recursos que generan datos recopilados por Log Analytics. Esto puede
incluir agentes instalados en Ventanas 6 y Linux 7 computadoras que se conectan directamente o agentes en un Grupo de
administración de System Center Operations Manager 8 . Log Analytics también puede recopilar datos de Almacenamiento
de Azure 9 .
6 https://docs.microsoft.com/en-us/azure/log-analytics/log-analytics-windows-agents
7 https://docs.microsoft.com/en-us/azure/log-analytics/log-analytics -linux-agents
8 https://docs.microsoft.com/en-us/azure/log-analytics/log-analytics-om-agents
9 https://docs.microsoft.com/en-us/azure/log-analytics / log-analytics-azure-storage
El siguiente diagrama muestra cómo las fuentes conectadas fluyen los datos al servicio de Log Analytics.
Asegúrese de poder ubicar cada uno de los siguientes.
● El servicio Log Analytics (1) recopila datos y los almacena en el repositorio (2). El repositorio está alojado en Azure.
Las fuentes conectadas proporcionan información al servicio Log Analytics.
● Los agentes informáticos (3) generan datos para el servicio Log Analytics. Estos agentes pueden ejecutarse en equipos
con Windows o Linux, equipos virtuales o físicos, equipos en las instalaciones o en la nube, y Azure u otros proveedores
de la nube.
● Se puede conectar un grupo de administración de System Center Operations Manager (SCOM) a Log Analytics. Los
agentes SCOM (4) se comunican con los servidores de administración que envían eventos y datos de rendimiento a Log
Analytics.
● Una cuenta de almacenamiento de Azure (5) también puede recopilar datos de Azure Diagnostics de un rol de trabajador, rol
web o máquina virtual en Azure. Esta información se puede enviar al servicio Log Analytics.
Fuentes de datos
Las fuentes de datos son los diferentes tipos de datos recopilados de cada fuente conectada. Estos pueden incluir eventos y
datos de rendimiento de agentes de Windows y Linux, además de fuentes como registros de IIS y registros de texto
personalizados. Usted configura cada fuente de datos que desea recopilar y la configuración se entrega automáticamente a
cada fuente conectada.
Log Analytics 353
Cuando configura los ajustes de Log Analytics, se muestran las fuentes de datos disponibles. Las fuentes de datos incluyen: registros
de eventos de Windows, contadores de rendimiento de Windows, contadores de rendimiento de Linux, registros de IIS, campos
personalizados, registros personalizados y Syslog. Cada fuente de datos tiene opciones de configuración adicionales. Por ejemplo, el
registro de eventos de Windows se puede configurar para reenviar mensajes de error, advertencia o información.
Consulta de Log Analytics

Log Analytics proporciona una sintaxis de consulta para recuperar y consolidar rápidamente los datos en el repositorio. Puede crear y guardar
búsquedas de registros para analizar directamente los datos en el portal o hacer que las búsquedas de registros se ejecuten automáticamente
para crear una alerta si los resultados de la consulta indican una condición importante.
Para brindar una vista gráfica rápida del estado de su entorno general, puede agregar visualizaciones para búsquedas de
registros guardadas en su tablero. Para analizar datos fuera de Log Analytics, puede exportar los datos del repositorio a
herramientas como Power BI o Excel. También puede aprovechar la API de búsqueda de registros para crear soluciones
personalizadas que aprovechen los datos de Log Analytics o para integrarse con otros sistemas.
Sintaxis del lenguaje de consulta

Cuando crea una consulta, comienza por determinar qué tablas tienen los datos que está buscando. Cada fuente
de datos y solución almacena sus datos en tablas dedicadas en el espacio de trabajo de Log Analytics. La
documentación para cada fuente de datos y solución incluye el nombre del tipo de datos que crea y una
descripción de cada una de sus propiedades. Muchas consultas solo requerirán datos de una sola tabla, pero otras
pueden usar una variedad de opciones para incluir datos de varias tablas.
Algunas tablas de consulta comunes son: Evento, Syslog, Heartbeat y Alerta.
La estructura básica de una consulta es una tabla fuente seguida de una serie de operadores separados por un carácter de
barra vertical |. Puede encadenar varios operadores para refinar los datos y realizar funciones avanzadas.
Log Analytics 355
Por ejemplo, esta consulta devuelve un recuento de los 10 errores principales en el registro de eventos durante el último día. Los
resultados están en orden descendente.
Evento
| donde (EventLevelName == "Error") | donde
(TimeGenerated> hace (1 días))
| resumen ErrorCount = count () por Computer | top 10 por
ErrorCount desc
Algunos operadores comunes son:
● contar - Devuelve el número de registros del conjunto de registros de entrada.
StormEvents | contar
● límite - Vuelve hasta el número especificado de filas.
T | límite 5
● resumir - Produce una tabla que agrega el contenido de la tabla de entrada.
T | resumir recuento (), promedio (precio) por fruta, proveedor
● cima - Devuelve los primeros N registros ordenados por las columnas especificadas.
T | top 5 por Nombre desc nulls last
● dónde - Filtra una tabla al subconjunto de filas que satisfacen un predicado.
T | donde fruta == "manzana"
Para más información, Consultas de registro de Azure Monitor 10
Demostración: análisis de registros

En esta demostración, trabajará con el lenguaje de consulta de Log Analytics.
Acceda al entorno de demostración
1. Acceda al Demostración de consultas de Log Analytics 11 página.
2. Esta página proporciona un espacio de trabajo de demostración en vivo donde puede ejecutar y probar consultas.
Utilice el Explorador de consultas
1. Seleccione Explorador de consultas ( parte superior derecha).
2. Expandir Favoritos y luego seleccione Todos los registros de Syslog con errores.
3. Observe que la consulta se agrega al panel de edición. Observe la estructura de la consulta.
4. Correr la consulta. Explore los registros devueltos.
5. A medida que tenga tiempo, experimente con otros Favoritos y también Consultas guardadas.
10 https://docs.microsoft.com/en-us/azure/azure-monitor/log-query/query-language
11 https://portal.loganalytics.io/demo
✔ ¿Hay alguna consulta en particular que le interese?

Vigilante de la red 357
Vigilante de la red
Vigilante de la red
Vigilante de la red proporciona herramientas para monitorear, diagnosticar, vista métrica, y habilitar o deshabilitar registros
para recursos en una red virtual de Azure. Network Watcher es un servicio regional que le permite monitorear y diagnosticar
condiciones a nivel de escenario de red.
● Automatice el monitoreo de red remoto con captura de paquetes. Supervise y diagnostique problemas de red sin
iniciar sesión en sus máquinas virtuales (VM) mediante Network Watcher. Active la captura de paquetes configurando
alertas y obtenga acceso a información de rendimiento en tiempo real a nivel de paquete. Cuando observe un
problema, puede investigar en detalle para obtener mejores diagnósticos.
● Obtenga información sobre el tráfico de su red mediante registros de flujo. Desarrolle una comprensión más profunda de su
patrón de tráfico de red utilizando los registros de flujo de Network Security Group. La información proporcionada por los registros de
flujo lo ayuda a recopilar datos para el cumplimiento, la auditoría y el monitoreo de su perfil de seguridad de red.
● Diagnosticar problemas de conectividad VPN. Network Watcher le brinda la capacidad de diagnosticar los problemas más
comunes de conexiones y puerta de enlace VPN. Permitiéndole, no solo identificar el problema, sino también usar los registros
detallados creados para ayudar a investigar más a fondo.
Monitor de conexión
El monitor de conexión es una función de Network Watcher que puede supervisar la comunicación entre una máquina virtual
y un punto final. La capacidad del monitor de conexión supervisa la comunicación a intervalos regulares y le informa sobre la
accesibilidad, la latencia y los cambios en la topología de la red entre la máquina virtual y el punto final.
Por ejemplo, puede tener una máquina virtual de servidor web que se comunica con una máquina virtual de servidor de base de datos. Alguien de su
organización puede, sin que usted lo sepa, aplicar una ruta personalizada o una regla de seguridad de red al servidor web o la máquina virtual o subred
del servidor de la base de datos.
Si un punto final se vuelve inalcanzable, la solución de problemas de conexión le informa el motivo. Las posibles razones
pueden ser un problema de resolución de nombres de DNS, la CPU, la memoria o el firewall dentro del sistema operativo de
una VM, o el tipo de salto de una ruta personalizada, o la regla de seguridad para la VM o subred de la conexión saliente. El
monitor de conexión también proporciona la latencia mínima, media y máxima observada a lo largo del tiempo.
Monitor de rendimiento de la red

El monitor de rendimiento de la red es una solución de supervisión de red híbrida basada en la nube que le ayuda a
supervisar el rendimiento de la red entre varios puntos de su infraestructura de red. También le ayuda a supervisar la
conectividad de red a los puntos de conexión de aplicaciones y servicios y supervisar el rendimiento de Azure ExpressRoute. El
monitor de rendimiento de la red detecta problemas de red como el tráfico negro, errores de enrutamiento y problemas que
los métodos de monitoreo de red convencionales no pueden detectar. La solución genera alertas y le notifica cuando se
infringe un umbral para un enlace de red. También asegura la detección oportuna de problemas de rendimiento de la red y
localiza el origen del problema en un segmento o dispositivo de red en particular.
✔ Para usar las capacidades de Network Watcher, la cuenta con la que inicie sesión en Azure debe asignarse a los roles
integrados Propietario, Colaborador o Colaborador de red, o asignarse a un rol personalizado. A un rol personalizado se
le pueden otorgar permisos para leer, escribir y eliminar Network Watcher.
Para más información, Vigilante de la red 12
12 https://azure.microsoft.com/en-us/services/network-watcher/
Diagnósticos de Network Watcher
Verificar el flujo de IP: Diagnostique rápidamente problemas de conectividad desde o hacia Internet y desde o hacia el entorno local.
Por ejemplo, confirmar si una regla de seguridad está bloqueando el tráfico de entrada o salida hacia o desde una máquina virtual. La
verificación de flujo de IP es ideal para asegurarse de que las reglas de seguridad se apliquen correctamente. Cuando se utiliza para
la resolución de problemas, si la verificación del flujo de IP no muestra un problema, deberá explorar otras áreas, como las
restricciones del firewall.
Siguiente salto: Para determinar si el tráfico se dirige al destino previsto mostrando el siguiente salto. Esto ayudará a
determinar si el enrutamiento de red está configurado correctamente. El siguiente salto también devuelve la tabla de rutas
asociada con el siguiente salto. Si la ruta se define como una ruta definida por el usuario, se devuelve esa ruta. De lo
contrario, el siguiente salto devuelve la ruta del sistema. Dependiendo de su situación, el siguiente salto podría ser Internet,
Dispositivo virtual, Puerta de enlace de red virtual, VNet local, VNet Peering o Ninguno. Ninguno le permite saber que, si bien
puede haber una ruta de sistema válida hacia el destino, no hay un siguiente salto para enrutar el tráfico hacia el destino.
Cuando crea una red virtual, Azure crea varias rutas de salida predeterminadas para el tráfico de red. El tráfico saliente de
todos los recursos, como las máquinas virtuales, implementados en una red virtual, se enruta en base a Azure ' s rutas
predeterminadas. Puede anular las rutas predeterminadas de Azure o crear rutas adicionales.
Diagnóstico de VPN: Solucionar problemas de puertas de enlace y conexiones. VPN Diagnostics devuelve una gran cantidad de información. La
información resumida está disponible en el portal y se proporciona información más detallada en los archivos de registro. Los archivos de
registro se almacenan en una cuenta de almacenamiento e incluyen elementos como estadísticas de conexión, información de la CPU y la
memoria, errores de seguridad IKE, caída de paquetes y búferes y eventos.
Registros de flujo de NSG: Los registros de flujo de NSG mapean el tráfico IP a través de un grupo de seguridad de red. Estas
capacidades se pueden utilizar en auditorías y cumplimiento de seguridad. Puede definir un conjunto prescriptivo de reglas de
seguridad como modelo para el gobierno de la seguridad en su organización. Se puede implementar una auditoría de cumplimiento
periódica de manera programática comparando las reglas prescriptivas con las reglas efectivas para cada una de las VM de su red.
Solución de problemas de conexión. La solución de problemas de conexión de Azure Network Watcher es una adición más reciente
al conjunto de herramientas y capacidades de red de Network Watcher. La solución de problemas de conexión le permite solucionar
problemas de conectividad y rendimiento de la red en Azure.
Diagnóstico: verificación de flujo de IP

Verificar el propósito del flujo de IP: Diagnostique rápidamente problemas de conectividad desde o hacia Internet y desde o hacia el
entorno local. Por ejemplo, confirmar si una regla de seguridad está bloqueando el tráfico de entrada o salida hacia o desde una
máquina virtual.
Ejemplo
Cuando implementa una máquina virtual, Azure aplica varias reglas de seguridad predeterminadas a la máquina virtual que permiten o
deniegan el tráfico hacia o desde la máquina virtual. Puede anular las reglas predeterminadas de Azure o crear reglas adicionales. En algún
momento, es posible que una máquina virtual no pueda comunicarse con otros recursos debido a una regla de seguridad.
La capacidad de verificación de flujo de IP le permite especificar una dirección IPv4 de origen y destino, puerto, protocolo
(TCP o UDP) y dirección del tráfico (entrante o saliente). La verificación de flujo de IP luego prueba la comunicación y le
informa si la conexión tiene éxito o falla. Si la conexión falla, la verificación del flujo de IP le indica qué regla de seguridad
permitió o denegó la comunicación, para que pueda resolver el problema.
✔ La verificación de flujo de IP es ideal para asegurarse de que las reglas de seguridad se apliquen correctamente. Cuando se utiliza para la
resolución de problemas, si la verificación del flujo de IP no muestra un problema, deberá explorar otras áreas, como las restricciones del
firewall.
Diagnóstico: siguiente salto

Propósito del próximo salto: Para determinar si el tráfico se dirige al destino previsto mostrando el siguiente salto. Esto
ayudará a determinar si el enrutamiento de red está configurado correctamente.
Cuando crea una red virtual, Azure crea varias rutas de salida predeterminadas para el tráfico de red. El tráfico saliente de
todos los recursos, como las máquinas virtuales, implementados en una red virtual, se enruta según las rutas
predeterminadas de Azure. Puede anular las rutas predeterminadas de Azure o crear rutas adicionales.
Ejemplo
Es posible que una máquina virtual ya no pueda comunicarse con otros recursos debido a una ruta específica. La capacidad
del siguiente salto le permite especificar una dirección IPv4 de origen y destino. Luego, el siguiente salto prueba la
comunicación y le informa qué tipo de siguiente salto se utiliza para enrutar el tráfico. Luego, puede eliminar, cambiar o
agregar una ruta para resolver un problema de enrutamiento.
El siguiente salto también devuelve la tabla de rutas asociada con el siguiente salto. Si la ruta se define como una ruta definida por
el usuario, se devuelve esa ruta. De lo contrario, el siguiente salto devuelve la ruta del sistema. Dependiendo de su situación, el
siguiente salto podría ser Internet, Dispositivo virtual, Puerta de enlace de red virtual, VNet local, VNet Peering o Ninguno. Ninguno
le permite saber que, si bien puede haber una ruta de sistema válida hacia el destino, no hay un siguiente salto para enrutar el
tráfico hacia el destino.
Diagnóstico: reglas de seguridad efectivas

Si tiene varios grupos de seguridad de red y no está seguro de qué reglas de seguridad se están aplicando, puede examinar las Reglas de
seguridad efectivas.
● Prioridad. Un número entre 100 y 4096. Las reglas se procesan en orden de prioridad, y los números más bajos se procesan antes que los
números más altos, porque los números más bajos tienen una prioridad más alta. Una vez que el tráfico coincide con una regla, el
procesamiento se detiene. Como resultado, las reglas que existen con prioridades más bajas (números más altos) que tienen los mismos
atributos que las reglas con prioridades más altas no se procesan.

● Fuente. Cualquiera, o una dirección IP individual, bloque de enrutamiento entre dominios sin clase (CIDR) (10.0.0.0/24, por ejemplo),
etiqueta de servicio o grupo de seguridad de la aplicación. Especificar un rango, una etiqueta de servicio o un grupo de seguridad de la
aplicación le permite crear menos reglas de seguridad.
● Protocolo. TCP, UDP, ICMP o Cualquiera.
● Acción. Permitir o negar.
Diagnóstico: solución de problemas de VPN

Propósito de la resolución de problemas de VPN: Solucionar problemas de puertas de enlace y conexiones.
Ejemplo
Las puertas de enlace de red virtual proporcionan conectividad entre recursos locales y otras redes virtuales dentro de Azure.
Monitorear las puertas de enlace y sus conexiones es fundamental para garantizar que la comunicación funcione como se espera. Los
diagnósticos de VPN pueden solucionar problemas del estado de la puerta de enlace o la conexión y proporcionar un registro
detallado. La solicitud es una transacción de larga duración y los resultados se devuelven una vez que se completa el diagnóstico.
La solución de problemas de VPN devuelve una gran cantidad de información. La información resumida está disponible en el portal y se
proporciona información más detallada en los archivos de registro. Los archivos de registro se almacenan en una cuenta de almacenamiento
e incluyen elementos como estadísticas de conexión, información de la CPU y la memoria, errores de seguridad IKE, caída de paquetes y
búferes y eventos.
✔ Puede seleccionar varias puertas de enlace o conexiones para solucionar problemas simultáneamente o puede concentrarse en
un componente individual.
Diagnóstico: captura de paquetes
La captura de paquetes de Network Watcher le permite crear sesiones de captura para rastrear el tráfico hacia y desde una
máquina virtual. Se proporcionan filtros para la sesión de captura para garantizar que capture solo el tráfico que desea. La captura
de paquetes ayuda a diagnosticar anomalías en la red, tanto de forma reactiva como proactiva. Otros usos incluyen la recopilación
de estadísticas de la red, la obtención de información sobre intrusiones en la red, la depuración de la comunicación cliente-servidor
y mucho más. Ser capaz de desencadenar capturas de paquetes de forma remota alivia la carga de ejecutar una captura de
paquetes manualmente en una máquina virtual deseada, lo que ahorra un tiempo valioso.
Diagnóstico: solución de problemas de conexión

La función de resolución de problemas de conexión de Network Watcher brinda la capacidad de verificar una conexión TCP directa
desde una máquina virtual a una máquina virtual (VM), nombre de dominio completo (FQDN), URI o dirección IPv4. Los escenarios de
red son complejos, se implementan mediante grupos de seguridad de red, firewalls, rutas definidas por el usuario y recursos
proporcionados por Azure. Las configuraciones complejas dificultan la resolución de problemas de conectividad. Network Watcher
ayuda a reducir la cantidad de tiempo para encontrar y detectar problemas de conectividad. Los resultados devueltos pueden
proporcionar información sobre si un problema de conectividad se debe a una plataforma o un problema de configuración del
usuario.
Otros ejemplos de diferentes escenarios de resolución de problemas de red admitidos incluyen:
● Comprobación de la conectividad y la latencia a un punto final remoto, como sitios web y puntos finales de almacenamiento.
● Conectividad entre una máquina virtual de Azure y un recurso de Azure como el servidor SQL de Azure, donde
todo el tráfico de Azure se canaliza a través de una red local.
● Conectividad entre máquinas virtuales en diferentes redes virtuales conectadas mediante emparejamiento de redes virtuales.
Registros: registros de flujo de NSG

Los registros de flujo de NSG le permiten ver información sobre el tráfico IP de entrada y salida a través de un NSG. Los
registros de flujo se escriben en formato JSON y muestran los flujos entrantes y salientes por regla. El formato JSON se
puede mostrar visualmente en Power BI o en herramientas de terceros como Kibana.
✔ Esta función ahora admite (enero de 2020) cuentas de almacenamiento con cortafuegos y puntos finales de servicio para el
almacenamiento.
Supervisión: topología
Suponga que tiene que solucionar un problema de una red virtual creada por sus colegas. A menos que esté
involucrado en el proceso de creación de la red, es posible que no conozca todos los aspectos de la infraestructura.
tura. Puede utilizar la herramienta de topología para visualizar y comprender la infraestructura con la que está tratando antes
de comenzar a solucionar problemas.
La capacidad de topología de Network Watcher le permite generar un diagrama visual de los recursos en
una red virtual y las relaciones entre los recursos. La siguiente imagen muestra un diagrama de topología
de ejemplo para una red virtual que tiene tres subredes, dos VM, interfaces de red, direcciones IP públicas,
grupos de seguridad de red, tablas de rutas y las relaciones entre los recursos:
La herramienta de topología genera una visualización gráfica de su red virtual de Azure, sus recursos, sus
interconexiones y sus relaciones entre sí.
✔ Para generar la topología, necesita una instancia de Network Watcher en la misma región que la red
virtual.
Preguntas de laboratorio y repaso del Módulo 11
Laboratorio 11 - Monitoreo de implementos
Debe evaluar la funcionalidad de Azure que proporcionaría información sobre el rendimiento y la configuración de los
recursos de Azure, centrándose en particular en las máquinas virtuales de Azure. Para lograr esto, tiene la intención de
examinar las capacidades de Azure Monitor, incluido Log Analytics.
Objetivos
● Tarea 2: crear y configurar un área de trabajo de Azure Log Analytics y soluciones basadas en Azure
Automation.
● Tarea 3: Revise la configuración de supervisión predeterminada de las máquinas virtuales de Azure.
● Tarea 4: configurar los parámetros de diagnóstico de la máquina virtual de Azure. Tarea 5: revisar la
● funcionalidad de Azure Monitor.
● Tarea 6: revisar la funcionalidad de Azure Log Analytics.
Su organización tiene una granja web muy grande con más de 100 máquinas virtuales. Le gustaría utilizar Log Analytics para
asegurarse de que estas máquinas respondan a las solicitudes. Planea automatizar el proceso para crear una consulta de
búsqueda. Empiece la consulta identificando la tabla fuente. ¿Qué tabla de fuentes usas? Seleccione uno.
?? Evento
?? SysLog
?? Latido del corazón
?? MyLog_CL
?? Alerta
Su organización tiene una aplicación que se utiliza en toda la empresa. El rendimiento de esta aplicación es fundamental para las
operaciones diarias. Debido a que la aplicación es tan importante, se han identificado cuatro administradores de TI para abordar
cualquier problema. Ha configurado una alerta y debe asegurarse de que se notifique a los administradores si hay un problema. ¿En
qué área del portal proporcionará las direcciones de correo electrónico del administrador? Seleccione uno.
?? Registro de actividades
?? Grupo de actuación
?? Tipo de señal
?? Grupo de acción
Su organización tiene varias máquinas virtuales Linux. Le gustaría utilizar Log Analytics para recuperar mensajes de
error para estas máquinas. Planea automatizar el proceso, por lo que crea una consulta de búsqueda. Empiece la
consulta identificando la tabla fuente. ¿Qué tabla de fuentes usas? Seleccione uno.
?? Evento
?? SysLog
?? MyLog_CL
?? Alerta
Está analizando la red virtual de la empresa y cree que sería útil obtener una representación visual de los
elementos de la red. ¿Qué función puedes usar? Seleccione uno.
?? Auditoría de Network Watcher
?? Solución de problemas de conexión de Network Watcher
?? Flujos de Network Watcher
?? Siguiente salto de Network Watcher
?? Vistas de Network Watcher
?? Topología de Network Watcher

Su empresa tiene un sitio web y los usuarios informan errores de conectividad y tiempos de espera. Sospecha que una regla de
seguridad puede estar bloqueando el tráfico hacia o desde una de las máquinas virtuales. Necesita solucionar rápidamente el
problema, entonces, ¿cuál de las siguientes opciones? Seleccione uno.
?? Configure el registro de IIS y revise los errores de conexión.
?? Active el registro de diagnóstico de la máquina virtual y utilice Log Analytics.
?? Utilice la función de diagnóstico de VPN de Network Watcher.
?? Utilice la función de verificación de flujo de IP de Network Watcher.
?? Configure los contadores de rendimiento de Windows y use el Monitor de rendimiento.
Está interesado en encontrar una única herramienta que ayude a identificar la alta utilización de la CPU de la máquina virtual, las fallas de resolución de
DNS, las reglas de firewall que bloquean el tráfico y las rutas mal configuradas. ¿Qué herramienta puedes usar? Seleccione uno.
Está revisando la página de Alertas y observa que se ha reconocido una alerta. ¿Qué significa esto? Seleccione uno.
?? El problema se acaba de detectar y aún no se ha revisado.
?? Un administrador ha revisado la alerta y ha comenzado a trabajar en ella.
?? El problema ha sido resuelto.
?? El problema se ha cerrado.
Debe determinar quién eliminó un grupo de seguridad de red a través de Resource Manager. Está viendo el Registro de
actividad cuando otro administrador de Azure dice que debe usar esta categoría de eventos para limitar su búsqueda.
Seleccione uno.
?? Administrativo
?? Salud del servicio
?? Alerta
?? Recommentación
?? Política
Estudio adicional
● Analice su infraestructura de Azure mediante los registros de Azure Monitor 13
● Mejore la respuesta a incidentes con alertas en Azure 14
● Supervise el estado de su máquina virtual de Azure mediante la recopilación y el análisis de datos de diagnóstico 15
● Supervise, diagnostique y solucione problemas de su almacenamiento de Azure dieciséis
13 https://docs.microsoft.com/en-us/learn/modules/analyze-infrastructure-with-azure-monitor-logs/
14 https://docs.microsoft.com/en-us/learn/modules/incident-response-with-alerting-on-azure/
15 https://docs.microsoft.com/en-us/learn/modules/monitor-azure-vm-using-diagnostic-data/
dieciséis https://docs.microsoft.com/en-us/learn/modules/monitor-diagnose-and-troubleshoot-azure-storage/
Respuestas
Su organización tiene una granja web muy grande con más de 100 máquinas virtuales. Le gustaría utilizar Log
Analytics para asegurarse de que estas máquinas respondan a las solicitudes. Planea automatizar el proceso para
crear una consulta de búsqueda. Empiece la consulta identificando la tabla fuente. ¿Qué tabla de fuentes usas?
Seleccione uno.
?? Evento
?? SysLog
■ Latido del corazón
?? MyLog_CL
?? Alerta
Explicación
La tabla Heartbeat le ayudará a identificar las computadoras que no han tenido un latido en un período de tiempo específico, por
ejemplo, las últimas seis horas.
Su organización tiene una aplicación que se utiliza en toda la empresa. El rendimiento de esta aplicación es fundamental para las
operaciones diarias. Debido a que la aplicación es tan importante, se han identificado cuatro administradores de TI para abordar
cualquier problema. Ha configurado una alerta y debe asegurarse de que se notifique a los administradores si hay un problema. ¿En
qué área del portal proporcionará las direcciones de correo electrónico del administrador? Seleccione uno.
?? Registro de actividades
?? Grupo de actuación
?? Tipo de señal
■ Grupo de acción
Explicación
Al crear la alerta, seleccionará Correo electrónico como Tipo de acción. A continuación, podrá proporcionar las direcciones de
correo electrónico del administrador como parte del Grupo de acción.
Su organización tiene varias máquinas virtuales Linux. Le gustaría utilizar Log Analytics para recuperar mensajes de
error para estas máquinas. Planea automatizar el proceso, por lo que crea una consulta de búsqueda. Empiece la
consulta identificando la tabla fuente. ¿Qué tabla de fuentes usas? Seleccione uno.
?? Evento
■ SysLog
?? MyLog_CL
?? Alerta
Explicación
Syslog es un protocolo de registro de eventos que es común a Linux. Syslog incluye información como mensajes de
error.
Está analizando la red virtual de la empresa y cree que sería útil obtener una representación visual de los
elementos de la red. ¿Qué función puedes usar? Seleccione uno.
■ Topología de Network Watcher
Explicación
La función Topología de Network Watcher proporciona una representación visual de sus elementos de red.
Su empresa tiene un sitio web y los usuarios informan errores de conectividad y tiempos de espera. Sospecha que una regla de
seguridad puede estar bloqueando el tráfico hacia o desde una de las máquinas virtuales. Necesita solucionar rápidamente el
problema, entonces, ¿cuál de las siguientes opciones? Seleccione uno.
?? Configure el registro de IIS y revise los errores de conexión.
?? Active el registro de diagnóstico de la máquina virtual y utilice Log Analytics.
?? Utilice la función de diagnóstico de VPN de Network Watcher.
■ Utilice la función de verificación de flujo de IP de Network Watcher.
?? Configure los contadores de rendimiento de Windows y use el Monitor de rendimiento.
Explicación
El diagnóstico de problemas de conectividad es ideal para la función de verificación de flujo de IP de Network Watcher. La
capacidad IP Flow Verify le permite especificar una dirección IPv4 de origen y destino, puerto, protocolo (TCP o UDP) y
dirección del tráfico (entrante o saliente). Luego, IP Flow Verify prueba la comunicación y le informa si la conexión tiene
éxito o falla.
Está interesado en encontrar una única herramienta que ayude a identificar la alta utilización de la CPU de la máquina virtual, las fallas de resolución de
DNS, las reglas de firewall que bloquean el tráfico y las rutas mal configuradas. ¿Qué herramienta puedes usar? Seleccione uno.
■ Solución de problemas de conexión de Network Watcher
Explicación
La solución de problemas de conexión de Azure Network Watcher es una adición más reciente al conjunto de herramientas y
capacidades de red de Network Watcher. La solución de problemas de conexión le permite solucionar problemas de
conectividad y rendimiento de la red en Azure.
Está revisando la página de Alertas y observa que se ha reconocido una alerta. ¿Qué significa esto?
Seleccione uno.
?? El problema se acaba de detectar y aún no se ha revisado.
■ Un administrador ha revisado la alerta y ha comenzado a trabajar en ella.
?? El problema ha sido resuelto.
?? El problema se ha cerrado.
Explicación
Un estado de alerta de Reconocido significa que un administrador ha revisado la alerta y ha comenzado a trabajar en ella. El estado de
alerta es diferente e independiente de la condición del monitor. El estado de alerta lo establece el usuario. La condición del monitor la
establece el sistema.
Debe determinar quién eliminó un grupo de seguridad de red a través de Resource Manager. Está viendo el Registro de
actividad cuando otro administrador de Azure dice que debe usar esta categoría de eventos para limitar su búsqueda.
Seleccione uno.
■ Administrativo
?? Salud del servicio
?? Alerta
?? Recommentación
?? Política
Explicación
Administrativo. Esta categoría contiene el registro de todas las operaciones de creación, actualización, eliminación y acción
realizadas a través de Resource Manager. Ejemplos de los tipos de eventos que observaría en esta categoría incluyen "crear
máquina virtual" y "eliminar grupo de seguridad de red". La categoría Administrativa también incluye cualquier cambio en el
control de acceso basado en roles en una suscripción.

Az 104t00a Español

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Az 104t00a Español

Cargado por

Copyright:

Formatos disponibles

Microsoft

© 2019 Microsoft Corporation. Reservados todos los derechos.

TÉRMINOS DE LICENCIA DE MICROSOFT

CURSO DE MICROSOFT DIRIGIDO POR UN INSTRUCTOR

dirigido por un instructor de Microsoft o el contenido del capacitador.

didáctico MOC, Microsoft Dynamics o Microsoft Business Group.

otros estudiantes sobre las tecnologías de Microsoft.

un instructor de Microsoft en particular.

1. Si es miembro del programa Microsoft Imagine Academy (MSIA):

3. Por cada licencia que adquiera, debe cumplir con lo siguiente:

2. Si es miembro de la competencia de aprendizaje de Microsoft:

3. Por cada licencia que adquiera, debe cumplir con lo siguiente:

7. solo brindará acceso al contenido del capacitador a los MCT.

3. Por cada licencia que adquiera, debe cumplir con lo siguiente:

8. solo proporcionará acceso al contenido del capacitador a los capacitadores.

propiedad o que no controle.

● modificar o crear un trabajo derivado de cualquier Contenido con licencia,

● solucionar cualquier limitación técnica en el Contenido con licencia, o

11. LEY APLICABLE.

14. LIMITACIÓN Y EXCLUSIÓN DE RECURSOS Y DAÑOS. PUEDES RECUPERARTE DE

Esta limitación se aplica a

LIMITATION DES DOMMAGES-INTÉRÊTS ET EXCLUSION DE RESPONSABILITÉ POUR LES DOMMAGES. Vous

Limitación de Cette con respecto a:

● les réclamations au título de infracción de contrato o de garantía, o título de responsabilidad estricta, de

Revisado en abril de 2019

■ Módulo 0 Empiece aquí ... ............................................................ 1

■ Módulo 1 Identidad ...... ............................................................ 11

■ Módulo 2 Gobernanza y cumplimiento .............................................. 29

■ Módulo 3 Administración de Azure ..................................................... 57

Plantillas ARM de Azure ............................................................. 68

■ Módulo 4 Redes virtuales ....................................................... 89

■ Módulo 5 Conectividad entre sitios ..................................................... 123

■ Módulo 6 Gestión del tráfico de red ............................................. 151

■ Módulo 7 Azure Storage ........................................................... 179

■ Módulo 8 Máquinas virtuales de Azure ................................................... 231

■ Módulo 9 Computación sin servidor .................................................... 267

■ Módulo 10 Protección de datos ......................................................... 315

■ Módulo 11 Monitoreo ............................................................. 339

Acerca de este curso

● Identidades seguras con Azure Active Directory y usuarios y grupos.

● Administre suscripciones, cuentas, políticas de Azure y control de acceso basado en roles.

● Sync. Planifique, cree y escale máquinas virtuales.

● seguridad de archivos, carpetas y máquinas virtuales.

preguntas de revisión del módulo.

● Azure Active Directory

● Laboratorio 01: Administración de identidades de Azure Active Directory

Módulo 02 - Gobernanza y cumplimiento

● Control de acceso basado en roles (RBAC)

● Laboratorio 02a: Administrar suscripciones y RBAC

● Laboratorio 02b: Gestión de la gobernanza mediante la política de Azure

Módulo 03: Administración de Azure

● Azure Portal y Cloud Shell

● Plantillas ARM de Azure

● Laboratorio 03a: administración de recursos de Azure mediante el portal de Azure

● Laboratorio 03b: administración de recursos de Azure mediante plantillas ARM

● Laboratorio 03c: administración de recursos de Azure mediante Azure PowerShell (opcional)

● Laboratorio 03d: administración de recursos de Azure mediante la CLI de Azure (opcional)

Módulo 04 - Redes virtuales

● Grupos de seguridad de red

● Laboratorio 04: Implementación de redes virtuales

Módulo 05 - Conectividad entre sitios

● Emparejamiento de redes virtuales

● Conexiones de puerta de enlace VPN

● ExpressRoute y WAN virtual