Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AZ 900 Segunda Edicion
AZ 900 Segunda Edicion
Fundamentos de Microsoft
Azure
Jim Cheshire
Contenidos de un vistazo
Introducción
CAPÍTULO 1Describir conceptos de nube
CAPÍTULO 2Describir los servicios principales de Azure
CAPÍTULO 3Describir soluciones principales y herramientas
de administración en Azure
CAPÍTULO 4Describir las características generales de
seguridad y seguridad de red
CAPÍTULO 5Describir las características de identidad,
gobernanza, privacidad y cumplimiento
CAPÍTULO 6Describir precios de Azure, SLA y ciclos de vida
índice
contenido
Introducción
Organización de este libro
Preparación para el examen
Certificaciones de Microsoft
Acceso rápido a referencias en línea
Errata, actualizaciones y soporte para libros
Manténgase en contacto
Capítulo 1 Describir conceptos de nube
Habilidad 1.1: Identificar los beneficios y consideraciones del uso de
servicios en la nube
alta disponibilidad
Escalabilidad, elasticidad y agilidad
Tolerancia a fallos y recuperación ante desastres
Beneficios económicos de la nube
Habilidad 1.2: Describir las diferencias entre Infraestructura como
servicio (IaaS), Plataforma como servicio (PaaS) y Software como
servicio (SaaS)
Modelo de responsabilidad compartida
Infraestructura como servicio (IaaS)
Plataforma como servicio (PaaS)
Software como servicio (SaaS)
Comparación de tipos de servicio
Habilidad 1.3: Describir las diferencias entre los modelos de nube
públicos, privados e híbridos
Computación en la nube
La nube pública
La nube privada
La nube híbrida
Experimento de pensamiento
Respuestas del experimento de pensamiento
Resumen del capítulo
Capítulo 2 Describir los servicios principales de Azure
Habilidad 2.1: Describir los componentes arquitectónicos principales
de Azure
Regiones de Azure
Zonas de disponibilidad
Grupos de recursos
Suscripciones de Azure
Grupos directivos
Azure Resource Manager (ARM)
Habilidad 2.2: describir los productos básicos de carga de trabajo
disponibles en Azure
Máquinas virtuales de Azure
Servicio de aplicaciones de Azure
Instancias de contenedor de Azure (ACI)
Servicio Azure Kubernetes (AKS)
Escritorio virtual de Windows
Redes virtuales
ExpressRoute
Almacenamiento de contenedor (blob)
Almacenamiento en disco
Archivos de Azure
Niveles de almacenamiento
Cosmos DB
Base de datos SQL de Azure
Azure Database para MySQL
Base de datos de Azure para PostgreSQL
Azure Marketplace y sus escenarios de uso
Experimento de pensamiento
Respuestas del experimento de pensamiento
Resumen del capítulo
Capítulo 3 Describir soluciones principales y herramientas
de administración en Azure
Habilidad 3.1: describir las soluciones principales disponibles en Azure
Azure IoT Hub
IoT Central
Esfera azul
Análisis de Synapse de Azure
HDInsight
Azure Databricks
Aprendizaje automático de Azure
Servicios cognitivos
Servicio de bots de Azure
Computación sin servidor
Funciones de Azure
Aplicaciones lógicas
Cuadrícula de eventos
Azure DevOps
Laboratorios DevTest de Azure
Habilidad 3.2: Describir herramientas de administración de Azure
Portal de Azure
Azure PowerShell
Azure CLI
Shell en la nube de Azure
Aplicación móvil de Azure
Asesor de Azure
Azure Monitor
Salud del servicio de Azure
Experimento de pensamiento
Respuestas del experimento de pensamiento
Resumen del capítulo
Capítulo 4 Describir las características generales de
seguridad y seguridad de la red
Habilidad 4.1: Describir características de seguridad de Azure
Centro de seguridad de Azure
Bóveda de llaves
Centinela de Azure
Habilidad 4.2: Describir la seguridad de la red de Azure
Defensa en profundidad
Grupos de seguridad de red (NSG)
Azure Firewall
Protección de Azure DDoS
Experimento de pensamiento
Respuestas del experimento de pensamiento
Resumen del capítulo
Capítulo 5 Describir las características de identidad,
gobernanza, privacidad y cumplimiento
Habilidad 5.1: Describir los servicios básicos de identidad de Azure
Autenticación y autorización
Azure Active Directory
Acceso condicional y autenticación multifactor (MFA)
Control de acceso basado en roles (RBAC)
Habilidad 5.2: Describir las características de gobierno de Azure
Directiva de Azure
Bloqueos de recursos
Etiquetas
Planos de Azure
Habilidad 5.3: Describir recursos de privacidad y cumplimiento
Declaración de privacidad de Microsoft
Marco de adopción en la nube para Azure
Centro fiduciario
Portal de confianza de servicio
Regiones soberanas de Azure
Experimento de pensamiento
Respuestas del experimento de pensamiento
Resumen del capítulo
Capítulo 6 Describir precios de Azure, SLA y ciclos de vida
Habilidad 6.1: Describir métodos para la planificación y gestión de
costes
Factores que afectan a los costos
Calculadora de precios
Calculadora de costo total de propiedad
Administración de costes de Azure
Habilidad 6.2: Describir los acuerdos de nivel de servicio (SLA) de
Azure y los ciclos de vida del servicio
Acuerdo de nivel de servicio de Azure (SLA)
Interpretar los términos de un SLA
Ciclo de vida del servicio en Azure
Experimento de pensamiento
Respuestas del experimento de pensamiento
Resumen del capítulo
índice
Sobre el autor
JIM CHESHIRE es un entusiasta de la tecnología con más de 25 años
de experiencia en varios roles dentro de TI. Jim ha sido autor de más
de 15 libros sobre tecnología, y ha celebrado numerosas sesiones de
capacitación sobre Microsoft Azure, tanto en empresas privadas como a
través del programa de entrenamiento en vivo de Safari. Jim está muy
involucrado en Azure y está en su 22º año en Microsoft. Actualmente
está trabajando en el diseño e implementación del ecosistema de
formación utilizado para capacitar a los ingenieros de soporte técnico
de Microsoft. Puedes seguir a Jim e interactuar con él en Twitter en
@az900examref.
Introducción
Tanto las empresas como los individuos están adoptando tecnologías
en la nube a un ritmo vertiginoso, y Microsoft Azure suele ser la opción
para aplicaciones y servicios basados en la nube. El propósito del
examen AZ-900 es probar la comprensión de los fundamentos de
Azure. El examen incluye conceptos de alto nivel que se aplican en todo
Azure a conceptos importantes específicos de un servicio de Azure
determinado. Al igual que el examen, este libro está orientado a darle
una amplia comprensión de Azure en sí, así como muchos servicios y
componentes comunes en Azure.
Aunque hemos hecho todo lo posible para que la información de este
libro sea precisa, Azure está evolucionando rápidamente y existe la
posibilidad de que algunas de las pantallas de Azure Portal sean
ligeramente diferentes ahora que cuando se escribió este libro.
También es posible que se hayan producido otros cambios menores,
como cambios menores de nombre en las entidades, etc.
En esta edición del libro, hemos revisado meticulosamente el contenido
de la primera edición y actualizado todo para reflejar el estado actual
de Azure. También hemos reorganizado el libro y añadido nuevo
contenido para reflejar el estado actual del examen AZ-900. Microsoft
ha agregado recientemente nuevos conceptos, servicios y
características de Azure al examen AZ-900, y los hemos agregado a esta
edición. También hemos corregido algunas cosas e hicimos bastantes
cambios basados en los comentarios de los lectores de la primera
edición.
Este libro cubre todas las áreas temáticas importantes que se
encuentran en el examen, pero no cubre todas las preguntas del
examen. Solo el equipo de exámenes de Microsoft tiene acceso a las
preguntas del examen y Microsoft agrega regularmente nuevas
preguntas al examen, lo que imposibilita cubrir preguntas específicas.
Usted debe considerar este libro un suplemento a su experiencia
relevante en el mundo real y otros materiales de estudio. En muchos
casos, hemos proporcionado enlaces en las secciones "Más
información" del libro, y estos enlaces son una gran fuente para un
estudio adicional.
ORGANIZACIÓN DE ESTE LIBRO
Este libro está organizado por la lista "Habilidades medidas" publicada
para el examen. La lista "Habilidades medidas" está disponible para cada
examen en el sitio web de Microsoft
Learning: http://aka.ms/examlist. Cada capítulo de este libro corresponde
a un área temática importante de la lista y las tareas técnicas de cada área
temática determinan la organización de un capítulo. Debido a que el
examen AZ-900 cubre seis áreas temáticas principales, este libro contiene
seis capítulos.
CERTIFICACIONES DE MICROSOFT
Las certificaciones de Microsoft le distinguen al demostrar su dominio de
un amplio conjunto de habilidades y experiencia con los productos y
tecnologías actuales de Microsoft. Los exámenes y certificaciones
correspondientes se desarrollan para validar su dominio de las
competencias críticas a medida que diseña y desarrolla, o implementa y
admite, soluciones con productos y tecnologías de Microsoft tanto locales
como en la nube. La certificación aporta una variedad de beneficios a la
persona y a los empleadores y organizaciones.
MANTÉNGASE EN CONTACTO
¡Mantengamos la conversación en marcha! Estamos en Twitter:
http://twitter.com/MicrosoftPress.
También puedes seguir al autor de este libro, Jim Cheshire, en Twitter en
@az900examref.
Capítulo 1
Describir los conceptos de la nube
La computación en la nube ha sido parte de la tecnología de la
información (TI) durante más de 20 años. Durante ese tiempo, se ha
convertido en una colección compleja de servicios y modelos en la
nube. Antes de comenzar el proceso de migración a la nube, es
importante que comprenda los conceptos y servicios clave relacionados
con la nube.
Hay muchas razones para migrar a la nube, pero uno de los principales
beneficios es eliminar parte de la carga de TI de su empresa. La nube le
permite aprovechar la infraestructura y las inversiones de un proveedor
de nube, y facilita el mantenimiento de un acceso constante a sus
aplicaciones y datos. También obtendrá el beneficio de las soluciones
llave en mano para realizar copias de seguridad de los datos y
garantizar que sus aplicaciones puedan sobrevivir a desastres y otros
problemas de disponibilidad. Alojar sus datos y aplicaciones en la nube
suele ser más rentable que invertir en infraestructura y recursos de TI
locales.
Una vez que decida aprovechar la nube, debe comprender las diferentes
ofertas de nube disponibles para usted. Algunos servicios en la nube
brindan una experiencia casi sin intervención, mientras que otros
requieren que usted mismo administre algunos de los
sistemas. Encontrar el equilibrio adecuado para sus necesidades
requiere que comprenda completamente cada tipo de servicio.
Este capítulo cubre los beneficios de usar la nube, los diferentes
servicios de nube que están disponibles y los modelos de nube que
permiten una variedad de configuraciones de nube.
Alta disponibilidad
La disponibilidad de datos y aplicaciones es un requisito fundamental
para cualquier aplicación, ya sea local o en la nube. Si sus datos o
aplicación no están disponibles para usted, nada más importa. Hay
muchas razones por las que puede perder disponibilidad, pero los
problemas más comunes son:
• Una interrupción de la red
• Una falla de la aplicación
• Una interrupción del sistema (como una interrupción de la
máquina virtual)
• Un corte de energía
• Un problema con un sistema dependiente, como una base de
datos externa
En un mundo perfecto, experimenta una disponibilidad del 100 por
ciento, pero si ocurre alguno de los problemas anteriores, ese porcentaje
comenzará a disminuir. Por lo tanto, es fundamental que su
infraestructura minimice el riesgo de problemas que afecten la
disponibilidad de su aplicación.
Los proveedores de la nube ofrecen un acuerdo de nivel de servicio (SLA)
que garantiza un cierto nivel de disponibilidad como porcentaje. Un SLA
generalmente garantizará un tiempo de actividad cercano al 100 por
ciento, pero solo cubre los sistemas que están controlados por el
proveedor de la nube.
Una aplicación alojada en la nube puede ser una desarrollada por su
empresa, pero también puede ser una que le proporcione el proveedor de
la nube.
Caída de la red
Todas las aplicaciones requieren cierto nivel de conectividad de red. Los
usuarios de una aplicación requieren conectividad de red a las
computadoras que ejecutan la aplicación. La aplicación requiere
conectividad de red a los sistemas de back-end necesarios, como los
servidores de bases de datos. Las aplicaciones también pueden llamar a
otras aplicaciones mediante una red. Si alguna de estas conexiones de red
falla, pueden provocar una falta de disponibilidad.
Más información Planificación para cortes de red
Una falla en la red no tiene por qué significar que su aplicación o datos no estén
disponibles. Si planifica con cuidado, a menudo puede evitar un problema de
aplicación cuando ocurre un problema de red. Cubriremos eso con más detalle
cuando analicemos la tolerancia a fallas más adelante en este capítulo.
Fallo de la aplicación
La falla de una aplicación a menudo es el resultado de un error de
software, pero también puede ser causada por el diseño de la aplicación.
Corte de energía
La electricidad confiable es fundamental para la disponibilidad. Incluso
un parpadeo rápido de energía puede hacer que las computadoras se
reinicien y los sistemas se reinicien. Cuando eso sucede, su aplicación no
estará disponible hasta que se restauren todos los sistemas.
Los proveedores de la nube invierten mucho en copias de seguridad de
energía que funcionan con baterías y otros sistemas redundantes para
evitar problemas de disponibilidad causados por cortes de energía. En
una situación en la que una gran área geográfica se ve afectada por un
corte de energía, los proveedores de la nube le ofrecen la posibilidad de
ejecutar su aplicación desde otra región que no se vea afectada.
Modelo local
En el modelo local, una empresa compra hardware informático físico para
utilizarlo en sus necesidades de TI. Debido a que estas computadoras son
activos físicos que están destinados a usarse durante más de un año,
generalmente se compran como gastos de capital .
Hay varios inconvenientes de este modelo. Cuando una empresa compra
hardware informático, normalmente lo mantendrá en servicio hasta que
se obtenga el retorno de esa inversión. En el entorno de rápida evolución
de las computadoras, esto puede significar que el hardware está
desactualizado mucho antes de que tenga sentido financiero
reemplazarlo. Otro gran inconveniente de este método es que no es un
enfoque ágil. Puede llevar meses solicitar y configurar nuevo hardware, y
en la era de la TI moderna, ese enfoque a menudo no tiene sentido.
Más información Inmovilizando dinero
Las empresas necesitan dinero para las operaciones diarias, y cuando tiene grandes
cantidades de dinero invertidas en gastos de capital, puede reducir drásticamente la
cantidad de dinero que puede destinar a sus operaciones diarias.
Modelo de nube
Cuando se traslada a la nube, ya no depende de su hardware informático
local. En su lugar, esencialmente alquila hardware del proveedor de la
nube. Debido a que no está comprando activos físicos, traslada sus costos
de TI de los gastos de capital a los gastos operativos o los gastos diarios de
su negocio. A diferencia de los gastos de capital, los gastos operativos se
rastrean mes a mes, por lo que es mucho más fácil ajustarlos según las
necesidades.
Otro beneficio importante del modelo de nube es la reducción de
costos. Cuando usa recursos en la nube, está usando recursos disponibles
de una gran cantidad de recursos propiedad del proveedor de la nube. El
proveedor de la nube paga por estos recursos por adelantado, pero
debido a la gran escala de recursos que adquieren, el costo para el
proveedor de la nube se reduce considerablemente. La reducción en el
costo que se logra al comprar grandes cantidades de un recurso se conoce
como el principio de economías de escala , y esos ahorros se transfieren a
los consumidores de la nube.
Los proveedores de la nube llevan estos ahorros un paso más allá al
ofrecer la capacidad de utilizar solo los recursos informáticos que
necesita en un momento determinado. Por lo general, esto se conoce
como un modelo basado en el consumo y, a menudo, se aplica a muchos
niveles en la computación en la nube. Como ya hemos comentado, puede
escalar su aplicación para usar solo la cantidad de VM que necesita, y
puede elegir qué tan poderosas son esas VM. Puede ajustar su número y
potencia según sus necesidades. Sin embargo, muchos proveedores de la
nube también ofrecen servicios que le permiten pagar solo por el tiempo
que consume los recursos de la computadora. Por ejemplo, puede tener el
código de la aplicación alojado en un proveedor de la nube y pagar solo
por el tiempo que el código se está ejecutando realmente en una máquina
virtual. Cuando nadie está usando la aplicación, no paga por ningún
recurso.
Más información Computación basada en el consumo
Para ver un ejemplo de un modelo basado en el consumo, consulte "Computación sin
servidor" en el Capítulo 3 , " Describir las soluciones principales y las herramientas
de administración en Azure ".
Suponga que necesita ejecutar una aplicación web que usa el marco PHP
para conectarse a un sistema de base de datos back-end. Si eligiera IaaS
para su aplicación, debería asegurarse de instalar y configurar PHP en su
VM. Luego, necesitaría instalar y configurar el software necesario para
conectarse a su base de datos back-end. En un escenario de PaaS,
simplemente implementa su aplicación web en el proveedor de la nube y
todo lo demás se encarga por usted.
En la Figura 1-4 , tenemos una aplicación web en Azure App Service, una
de las ofertas de PaaS en Azure. Se ha creado en una máquina virtual
mantenida por Microsoft. Observe la opción de elegir Linux o Windows,
pero el sistema operativo aún lo administra Microsoft. También tenemos
la opción de habilitar Application Insights, un servicio en Azure que
proporciona una visión profunda del rendimiento de una aplicación, lo
que facilita la resolución de problemas si ocurren.
Computación en la nube
Cuando comencé este capítulo, dije que la nube generalmente representa
la infraestructura y las aplicaciones que están disponibles en
Internet. Cuando la mayoría de la gente piensa en la nube, la piensa en
este contexto, pero los recursos de la nube no siempre están conectados a
la Internet pública.
Una mejor forma de pensar en la computación en la nube es pensar en
ella como muchos recursos informáticos conectados por una red, pero
incluso esa definición no describe completamente la nube. La
computación en la nube también significa sistemas escalables, ágiles,
etc. Si combina esos conceptos con los recursos informáticos distribuidos
accesibles en una red, tiene las características de la computación en la
nube.
Como puede ver, es un poco difícil definir claramente la computación en
la nube, pero una discusión sobre los diferentes modelos de nube debería
ayudarlo a comprender mejor qué es la computación en la nube.
La nube pública
El modelo de nube más común es la nube pública. En un modelo de nube
pública, utiliza una infraestructura compartida a la que se puede acceder
en una red pública. La red, el almacenamiento y las máquinas virtuales
que utiliza su aplicación los proporciona un proveedor de nube y se
comparten entre todos los consumidores de la nube pública. Microsoft
Azure, Amazon Web Services (AWS) y Google Cloud Platform son
ejemplos de nubes públicas.
Note Clouds e Internet
Muchos servicios en la nube pueden proporcionar acceso desde Internet, pero eso no
significa necesariamente que estén disponibles para cualquier persona en Internet. En
la mayoría de los casos, el acceso requiere autenticación.
Aprenderá más sobre cómo proteger los recursos de la nube en el Capítulo 4 ,
" Describir las características generales de seguridad y seguridad de la red ".
La nube privada
El modelo de nube privada proporciona muchos de los atractivos
beneficios de la nube (cosas como facilidad de escalado y elasticidad) en
un entorno privado dedicado a una sola empresa. Una nube privada se
puede alojar en un entorno local, pero también se puede alojar en un
proveedor de alojamiento externo.
Entorno importante de un solo inquilino
Debido a que los recursos en una nube privada están dedicados a una sola
organización, a menudo verá la nube privada referida como un entorno de un solo
inquilino .
Dos de las principales razones por las que las empresas eligen una nube
privada son la privacidad y las preocupaciones regulatorias. A diferencia
de la nube pública, las nubes privadas operan en una red privada a la que
solo puede acceder una organización. Empresas como bancos y
proveedores médicos pueden tener regulaciones vigentes que requieren
que ciertos datos sean inaccesibles desde Internet y, en esas situaciones,
una nube privada podría ser una buena opción. Otro consumidor común
de nubes privadas es la industria de los cruceros. Los cruceros operan en
áreas remotas donde el acceso a Internet no está disponible, pero aún
quieren aprovechar los beneficios de la nube para las operaciones diarias
de sistemas de barcos complejos.
La nube híbrida
Como era de esperar, las nubes híbridas son una mezcla de nubes
públicas y privadas. En un entorno de nube híbrida, es posible que tenga
una aplicación que se esté ejecutando dentro de la nube pública, pero que
acceda a los datos almacenados de forma segura en las
instalaciones. También puede tener un escenario en el que su aplicación y
la mayoría de sus recursos se encuentran en una nube privada, pero
desea utilizar servicios o infraestructura que se encuentran en una nube
pública. De hecho, los diversos escenarios que son adecuados para un
modelo híbrido son casi infinitos.
Los modelos de nube híbrida suelen ser la primera incursión de una
empresa en la nube. Muchas empresas tienen sistemas locales heredados
que son costosos de trasladar a la nube, pero es posible que quieran
aprovechar algunos de los beneficios de la nube. En tal escenario, una
empresa podría mover solo una parte de un sistema en particular a la
nube, dejando el sistema heredado en las instalaciones para más adelante.
No todas las empresas que adoptan un modelo de nube híbrida lo hacen
debido a los sistemas heredados. En algunas situaciones, es posible que
una empresa desee mantener un control completo sobre parte de su
infraestructura o datos. Podrían decidir construir una infraestructura
local junto con la construcción de su presencia en la nube pública.
Importante híbrido no siempre incluye local
Recuerde, una nube privada es una nube dedicada a una sola organización. No tiene
que estar ubicado en las instalaciones. También se puede alojar en un centro de datos
de terceros, por lo que un modelo de nube híbrida podría ser la combinación de un
centro de datos de terceros y una nube pública.
EXPERIMENTO MENTAL
Apliquemos lo que ha aprendido en este capítulo. Puede encontrar las
respuestas en la siguiente sección.
Trabaja para Contoso Medical Group (CMG) y su gerente está frustrado
con una de sus aplicaciones de uso común. El departamento de TI de CMG
tiene recursos limitados y tiene dificultades para garantizar que la
aplicación esté siempre disponible.
El equipo de desarrollo ha estado actualizando la aplicación con
frecuencia, pero debido a la falta de conocimiento en los métodos de
implementación, solo tienen la opción de copiar archivos directamente, y
esto está causando problemas con el seguimiento de los cambios que se
están realizando. Al mismo tiempo, el equipo de desarrollo no tiene datos
para mostrar si la aplicación se está ejecutando correctamente.
El problema se volvió crítico hace dos días cuando se acercaba el plazo
para actualizar los registros médicos. La aplicación experimentó un uso
mucho mayor de lo normal, y el sistema se sobrecargó rápidamente y dejó
de responder. El equipo de TI determinó que el problema erael servidor
se está quedando sin recursos, pero les tomó dos horas construir un
segundo servidor para manejar la carga.
Su gerente ha acudido a usted para pedirle una solución que aborde todos
estos problemas. Cualquiera que sea la solución que ofrezca, debe tener
en cuenta que los datos médicos de esta aplicación están cubiertos por la
HIPAA y su gerente desea que CMG conserve todo el control de los
datos. Su gerente también quiere controlar cuidadosamente los costos.
Decidió que CMG debería mover la aplicación a la nube, pero necesita
vender la idea a su gerente.
Responde las siguientes preguntas:
1. ¿Qué tipo de servicio en la nube recomendaría?
2. ¿Cómo justificaría su elección en relación con los problemas
que enfrenta el equipo de TI?
3. ¿Cómo justificaría su elección en relación con los problemas
que enfrenta el equipo de desarrollo?
4. ¿Qué otros beneficios agradarán a su gerente si se siguen sus
consejos?
5. ¿Cómo se pueden cumplir los requisitos relacionados con los
registros médicos y la necesidad de controlarlos?
Regiones de Azure
El término "nube" tiende a hacer que la gente piense en Azure como una
entidad nebulosa que no se puede ver claramente, pero eso sería un
error. Si bien es cierto que Azure tiene construcciones lógicas, también
tiene componentes físicos. Después de todo, al final del día, ¡estamos
hablando de computadoras!
Para proporcionar servicios de Azure a personas de todo el mundo,
Microsoft ha creado fronteras llamadas geografías . Un límite geográfico
es a menudo la frontera de un país, y hay una buena razón para ello. A
menudo, existen regulaciones para el manejo de datos que se aplican a
todo un país, y tener una geografía definida para un país permite a
Microsoft asegurarse de que existan regulaciones de manejo de
datos. Muchas empresas (especialmente las que se ocupan de datos
sensibles)también se sienten mucho más cómodos si sus datos están
contenidos dentro de los límites del país en el que operan.
Existen numerosas geografías en Azure. Por ejemplo, hay una geografía
de Estados Unidos, una geografía de Canadá, una geografía del Reino
Unido, etc. Cada geografía se divide en dos o más regiones, cada una de las
cuales está típicamente a cientos de millas de distancia. Por ejemplo,
dentro de la geografía de los Estados Unidos, hay muchas regiones,
incluida la región central de EE. UU. En Iowa, la región del este de EE. UU.
En Virginia, la región del oeste de EE. UU. En California y la región del
centro sur de EE. UU. En Texas. Microsoft también opera regiones aisladas
que están completamente dedicadas a los datos gubernamentales debido
a las regulaciones adicionales que requieren los datos gubernamentales.
Dentro de cada geografía, Microsoft ha creado otro límite lógico
llamado par regional . Cada par regional contiene dos regiones dentro de
la geografía. Cuando Microsoft tiene que realizar actualizaciones en la
plataforma Azure, realiza esas actualizaciones en una región del par
regional. Una vez que se completan esas actualizaciones, se mueven a la
siguiente región del par regional. Esto asegura que sus servicios que
operan dentro de un par regional no se vean afectados por las
actualizaciones.
Más información Pares regionales
Para beneficiarse de los pares regionales, debe asegurarse de implementar recursos de
forma redundante en cada regional dentro del par. Puede encontrar una lista de todos
los pares regionales navegando en https://bit.ly/az900-regionpairs .
Para garantizar que los datos en Azure estén a salvo de desastres y fallas
causados por posibles problemas en una región en particular, se alienta a
los clientes a replicar los datos en varias regiones. Por ejemplo, si la
región centro-sur de EE. UU. Se ve afectada por un tornado devastador
(no está fuera de lugar en Texas), los datos que también se replican en la
región centro-norte de EE. UU. En Illinois todavía están seguros y
disponibles. Para garantizar que las aplicaciones sigan funcionando lo
más rápido posible, Microsoft garantiza un rendimiento de red de ida y
vuelta de 2 milisegundos o menos entre regiones.
Zonas de disponibilidad
El hecho de que las regiones estén físicamente separadas por cientos de
millas protege a los usuarios de Azure de la pérdida de datos y las
interrupciones de las aplicaciones causadas por desastres en una región
en particular. Sin embargo, también es importante que los datos y las
aplicaciones mantengan la disponibilidad cuando ocurre un problema en
un centro de datos en particular dentro de una región. Por esa razón,
Microsoft desarrolló zonas de disponibilidad.
Nota Disponibilidad de la zona de disponibilidad
Las zonas de disponibilidad no están disponibles en todas las regiones de Azure ni
para todos los servicios de Azure en las regiones que las admiten. Para obtener la lista
más actualizada de regiones y servicios habilitados para zonas de disponibilidad,
consulte https://bit.ly/az900-azones .
Grupos de recursos
Ahora debería darse cuenta de que moverse a la nube podría no ser tan
simple como parecía al principio. Crear un solo recurso en Azure es
bastante simple, pero cuando se trata de aplicaciones de nivel
empresarial, normalmente se trata de una compleja gama de servicios. No
solo eso, sino que podría estar tratando con varias aplicaciones que usan
varios servicios y pueden estar distribuidas en varias regiones de
Azure. Ciertamente, las cosas pueden volverse caóticas rápidamente.
Afortunadamente, Azure proporciona una característica que le ayuda a
lidiar con este tipo de problema: el grupo de recursos. Un grupo de
recursos es un contenedor lógico para los servicios de Azure. Al crear
todos los servicios de Azure asociados con una aplicación en particular en
un solo grupo de recursos, puede implementar y administrar todos esos
servicios como una sola entidad.
La organización de los recursos de Azure en un grupo de recursos tiene
muchas ventajas. Puede configurar implementaciones fácilmente
utilizando una función conocida como plantilla
ARM. Las implementaciones de plantillas ARM suelen ser para un solo
grupo de recursos. Puede implementar en varios grupos de recursos, pero
hacerlo requiere que configure una cadena complicada de plantillas ARM.
Más información Más sobre plantillas ARM
Aprenderá más sobre las plantillas ARM más adelante en este capítulo cuando
analicemos Azure Resource Manager.
Suscripciones de Azure
Obtiene una suscripción de Azure automáticamente cuando se registra en
Azure y todos los recursos que crea se crean dentro de esa
suscripción. Sin embargo, puede crear suscripciones adicionales queestán
vinculados a su cuenta de Azure. Las suscripciones adicionales son útiles
en los casos en los que desea tener algunas agrupaciones lógicas para los
recursos de Azure o si desea poder informar sobre los recursos utilizados
por grupos específicos de personas.
Cada suscripción de Azure tiene límites (a veces denominados cuotas)
asignados. Por ejemplo, puede tener hasta 250 cuentas de Azure Storage
por región en una suscripción, hasta 25,000 máquinas virtuales por
región y hasta 980 grupos de recursos por suscripción en todas las
regiones.
Más información Límites de suscripción
Puede encontrar detalles sobre todos los límites para las suscripciones
en https://bit.ly/az900-sublimits .
Grupos de gestión
Los grupos de administración son una forma conveniente de aplicar
políticas y control de acceso a sus recursos de Azure. Al igual que un
grupo de recursos, un grupo de administración es un contenedor para
organizar sus recursos. Sin embargo, los grupos de administración solo
pueden contener suscripciones de Azure u otros grupos de
administración.
En el sentido más básico, una plantilla ARM contiene una lista de recursos
que desea crear o modificar. Cada recurso va acompañado de propiedades
como el nombre del recurso y las propiedades que son específicas de ese
recurso. Por ejemplo, si estuviera utilizando una plantilla ARM para
implementar una aplicación web en App Service, su plantilla ARM
especificaría la región en la que desea que se cree su aplicación, el
nombre de la aplicación, el plan de precios de su aplicación, cualquier
dominio nombres que desea que utilice su aplicación, etc. No es necesario
que sepa cómo configurar todas esas propiedades. Simplemente dile a
ARM que lo haga (declaras tu intención de ARM) y ARM se encarga de ello
por ti.
Más información Más sobre plantillas ARM
Las plantillas ARM son increíblemente poderosas, pero también bastante simples. Si
desea leer más sobre cómo usar las plantillas ARM, consulte la documentación
en https://bit.ly/az900-armtemplates .
Para crear una máquina virtual de Azure, inicie sesión en Azure Portal con
su cuenta de Azure y luego siga estos pasos, como se muestra en
las Figuras 2-11 a 2-13 .
FIGURA 2-11 Creación de una máquina virtual
Aplicaciones web
Cuando crea una nueva aplicación web, puede crearla en un plan de App
Service existente o puede crear un nuevo plan de App Service para la
aplicación. Todas las aplicaciones de un plan de App Service se ejecutan
en las mismas VM, por lo que si ya está haciendo hincapié en los recursos
de un plan de App Service existente, su mejor opción podría ser crear un
nuevo plan de App Service para su nueva aplicación web.
App Service le permite elegir entre una VM preconfigurada con una pila
de tiempo de ejecución (como Java, .NET, PHP, etc.) para ejecutar su
aplicación o un contenedor Docker. Si elige ejecutar una pila de tiempo de
ejecución preconfigurada, puede elegir entre varias versiones que
proporciona App Service.
Más información Contenedores Docker
Aprenderá sobre los contenidos de Docker en la siguiente sección cuando cubramos
Azure Container Instances.
La Figura 2-22 muestra una aplicación web que se está creando en el plan
de servicio de aplicaciones AZ900-Plan. Esta nueva aplicación web se
ejecutará en una máquina virtual configurada para ejecutar aplicaciones
.NET Core 3.0 en una máquina virtual de Windows.
FIGURA 2-22 Creación de una aplicación web para ejecutar un sitio web
.NET Core 3.0
Configurar y administrar su aplicación web es extremadamente
fácil. Dado que App Service es un servicio PaaS, usted solo es responsable
de su código. Microsoft administra las funciones disponibles para
usted. En la Figura 2-23 , puede ver muchas de las funciones disponibles
en App Service, incluida la capacidad de escalar horizontalmente rápida y
fácilmente cuando sea necesario.
FIGURA 2-23 La configuración de una aplicación web facilita agregar
funciones y escalar su aplicación
Contenedores
Se está volviendo bastante común que las empresas muevan aplicaciones
entre "entornos", y este tipo de cosas es aún más frecuente cuando se
trata de la nube. De hecho, uno de los aspectos más complicados de pasar
a la nube es lidiar con las complejidades de pasar a un nuevo
entorno. Para ayudar con este problema y facilitar el cambio de
aplicaciones a nuevos entornos, se inventó el concepto de contenedores .
Un contenedor se crea utilizando una versión comprimida de una
aplicación llamada imagen , e incluye todo lo que la aplicación necesita
para ejecutarse. Eso podría incluir un motor de base de datos, un servidor
web, etc. La imagen se puede implementar en cualquier entorno que
admita el uso de contenedores. Una vez allí, la imagen se utiliza para
iniciar un contenedor en el que se ejecuta la aplicación.
Para ejecutar una aplicación en un contenedor, una computadora debe
tener un tiempo de ejecución de contenedor instalado. El tiempo de
ejecución de contenedores más popular es Docker, un tiempo de
ejecución desarrollado y mantenido por Docker Inc. Docker no solo sabe
cómo ejecutar aplicaciones en contenedores, sino que también impone
ciertas condiciones para garantizar un entorno seguro.
Más información Docker Images
No estás limitado a tus propias imágenes. De hecho, Docker ejecuta un repositorio de
imágenes que puede usar libremente en sus propias aplicaciones. Puede encontrarlo
en https://hub.docker.com .
ACI está diseñado para funcionar con aplicaciones simples. Puede definir
un grupo de contenedores y ejecutar varios contenedores dentro de una
instancia de ACI, pero ACI no es una buena opción para usted si tiene una
aplicación que muchas personas usan mucho y que podría necesitar
aprovechar el escalado. En cambio, Azure Kubernetes Service (AKS) sería
una mejor opción.
Más información Azure Kubernetes Service
Aprenderá sobre Azure Kubernetes Service en la siguiente sección.
Redes virtuales
Una red virtual de Azure (a menudo denominada VNet) permite que los
servicios de Azure se comuniquen entre sí y con Internet. Incluso puede
usar una red virtual para comunicarse entre sus recursos locales y sus
recursos de Azure. Cuando crea una máquina virtual en Azure, Azure crea
una red virtual para usted. Sin esa red virtual, no podría acceder de forma
remota a la máquina virtual ni utilizar la máquina virtual para ninguna de
sus aplicaciones. Sin embargo, también puede crear su propia red virtual
y configurarla de la forma que elija.
Una red virtual de Azure es como cualquier otra red informática. Está
compuesto por una tarjeta de interfaz de red (una NIC), direcciones IP,
etc. Puede dividir su red virtual en varias subredes y configurar una parte
del espacio de direcciones IP de su red para esas subredes. Luego, puede
configurar reglas que controlen la conectividad entre esas subredes.
La figura 2-27 ilustra una red virtual de Azure que podríamos usar para
una aplicación de varios niveles. La red virtual usa direcciones IP en el
rango de direcciones 10.0.0.0 y cada subred tiene su propio rango de
direcciones. Los rangos de direcciones IP en las redes virtuales se
especifican mediante la notación de enrutamiento entre dominios sin
clases (CIDR), y una discusión al respecto está fuera del alcance de este
examen. Sin embargo, con la configuración que se muestra en la Figura 2-
27 , tenemos 65,536 direcciones IP disponibles en nuestra red virtual y
cada subred tiene 256 direcciones IP asignadas. (Las primeras cuatro
direcciones IP y la última dirección IP en el rango están reservadas para el
uso de Azure, por lo que realmente solo tiene 251 direcciones para usar
en cada subred). Este es un diseño típico porque todavía tiene muchas
direcciones disponibles en su red para expansión posterior a subredes
adicionales.
FIGURA 2-27 Una aplicación de varios niveles en una red virtual de Azure
En la mayoría de los casos, crea redes virtuales antes de crear los
recursos que las usan. Como dije anteriormente, cuando crea una
máquina virtual en Azure, una red virtual se crea automáticamente. Azure
lo hace porque no puede usar una máquina virtual a menos que tenga una
red asociada. Si bien puede conectar una máquina virtual que está
creando a una red virtual existente, no puede conectar una máquina
virtual a una red virtual después de que se haya creado. Por esa razón, si
quisiera usar su propia red virtual en lugar de la que Azure crea
automáticamente, debería crear su red virtual antes de crear su máquina
virtual.
El nivel web que se muestra anteriormente en la Figura 2-27 , por otro
lado, se ejecuta en Azure App Service, una oferta de PaaS. Esto se ejecuta
en una máquina virtual que administra Microsoft, por lo que Microsoft
crea y administra la máquina virtual y su red. Para usar ese nivel con la
red virtual, App Service ofrece una función llamada integración de red
virtual que le permite integrar una aplicación web en App Service con una
red virtual existente.
Las direcciones IP dentro de la red virtual en este punto son todas
direcciones IP privadas. Permiten que los recursos dentro de la red
virtual se comuniquen entre sí, pero no puede usar una dirección IP
privada en Internet. Necesita una dirección IP pública para dar acceso a
Internet a su nivel web.
Más información Conectividad a Internet saliente
No es necesario asignar una dirección IP pública a un recurso para que ese recurso se
conecte saliente a Internet. Azure mantiene un grupo de direcciones IP públicas que
se pueden asignar dinámicamente a un recurso si necesita conectarse de forma
saliente. Esa dirección IP no se asigna exclusivamente al recurso, por lo que no se
puede usar para la comunicación entrante desde Internet al recurso de Azure.
Debido a que el nivel web se ejecuta en Azure App Service (un servicio
PaaS), Microsoft administra la red pública por nosotros. Obtiene acceso a
Internet en ese nivel sin necesidad de hacer nada. Si desea ejecutar el
nivel web en una máquina virtual IaaS, configure la dirección IP pública
para el nivel web. En esas situaciones, Azure le permite crear un recurso
de dirección IP pública y asignarlo a una red virtual.
Más información Grupos de seguridad de red
Azure ofrece una característica denominada Grupos de seguridad de red que le
permite aplicar reglas sobre qué tipo de tráfico está permitido en la red
virtual. Cubriremos los Grupos de seguridad de red en el Capítulo 4 , " Describir la
seguridad general y las características de seguridad de red ".
ExpressRoute
Las redes virtuales de Azure ofrecen la capacidad de conectarse a sus
redes locales mediante una conexión de red privada virtual (VPN), y
muchos clientes usan este método para conectar recursos locales a
Azure. Sin embargo, hay algunos aspectos del uso de una VPN que pueden
no cumplir con los requisitos de algunos clientes. Por ejemplo, una VPN
está limitada a un máximo de 1,25 Gbps en la velocidad de la red. Si un
cliente necesita más velocidad que esa, VPN no es una buena opción.
Por esta razón, Azure ofrece un servicio llamado ExpressRoute que puede
ofrecer velocidades de hasta 10 Gbps a través de conexiones de fibra
óptica dedicadas. Cuando usa ExpressRoute, se conecta desde su red local
a un enrutador Microsoft Enterprise Edge (MSEE), y ese enrutador MSEE
luego lo conecta a Azure. El enrutador MSEE se encuentra en el borde de
la red de Microsoft y, en la mayoría de los casos, su conexión también será
desde un enrutador en su red local que está en el borde de su red.
Más información Dispositivos de red perimetral
Un dispositivo de borde en una red se refiere a un dispositivo que funciona como
punto de acceso a la red. Si piensa en una red como un círculo y los dispositivos que
están en esa red como si estuvieran dentro de ese círculo, puede pensar en un
dispositivo de borde como si estuviera en la línea que forma el círculo.
Almacenamiento de disco
El almacenamiento en disco en Azure se refiere a los discos que se usan
en máquinas virtuales. Azure crea un disco que se designa
automáticamente para almacenamiento temporal cuando crea una
máquina virtual. Esto significa datos sobreese disco se perderá si hay un
evento de mantenimiento en la máquina virtual. Si necesita almacenar
datos durante un período de tiempo más largo que persistirá entre las
implementaciones de VM y los eventos de mantenimiento, puede crear un
disco con una imagen almacenada en Azure Storage.
Los discos de Azure están disponibles como discos duros tradicionales
(HDD) y unidades de estado sólido (SSD). Los discos HDD son más
económicos y están diseñados para datos no críticos. Los discos SSD están
disponibles en un nivel estándar para uso ligero y como disco Premium
de Azure para uso intensivo.
Los discos de Azure están disponibles como discos administrados o como
discos no administrados. Todos los discos de Azure están respaldados por
blobs de página en Azure Storage. Cuando usa discos no administrados,
ellos usan una cuenta de Azure Storage en su suscripción de Azure y debe
administrar esa cuenta. Esto es particularmente problemático porque
existen limitaciones en Azure Storage y, si tiene un uso intensivo del
disco, puede terminar experimentando un tiempo de inactividad debido a
la limitación.
Cuando se cambia a discos administrados, Microsoft maneja la cuenta de
almacenamiento y se eliminan todas las limitaciones de
almacenamiento. Todo lo que necesita es preocuparse por su disco. Puede
dejar la cuenta de almacenamiento en manos de Microsoft.
Más información Managed Disks
Microsoft recomienda discos administrados para todas las máquinas virtuales
nuevas. También recomiendan que todas las máquinas virtuales que actualmente usan
discos no administrados se muevan a discos administrados.
Quizás una razón aún más importante para usar discos administrados es
que al hacerlo, evita un posible punto único de falla en su VM. Cuando usa
discos no administrados, existe la posibilidad de que las cuentas de Azure
Storage que respaldan sus discos existan dentro de la misma unidad de
escala de almacenamiento. Si ocurre una falla en esa unidad de escala,
perderá todos sus discos. Al asegurarse de que cada disco administrado
esté en una unidad de escala separada, evita la situación de un solo punto
de falla.
Archivos de Azure
Los discos de Azure son una buena opción para agregar un disco a una
máquina virtual, pero si solo necesita espacio en disco en la nube, no tiene
sentido asumir la carga de administrar una máquina virtual y su sistema
operativo. En esas situaciones, Azure Files es la solución perfecta.
Niveles de almacenamiento
Microsoft ofrece numerosos niveles de almacenamiento para Blob
Storage cuyo precio depende de la frecuencia con la que se accede a los
datos, el tiempo que desee almacenar los datos, etc. El nivel de
almacenamiento en caliente es para los datos a los que necesita acceder
con frecuencia. Tiene el mayor costo de almacenamiento, pero el costo de
acceso a los datos es bajo. El nivel de almacenamiento Cool es para los
datos que tiene la intención de almacenar durante un período más largo y
a los que no accede con tanta frecuencia. Tiene un costo de
almacenamiento más bajo que el nivel Hot, pero los costos de acceso son
más altos. También debe mantener los datos almacenados durante al
menos 30 días.
Microsoft también ofrece un nivel de almacenamiento de archivos para el
almacenamiento de datos a largo plazo. Los datos almacenados en el nivel
de archivo disfrutan de los costos de almacenamiento más bajos
disponibles, pero los costos de acceso son los más altos. Debe mantener
los datos almacenados durante un mínimo de 180 días en el nivel de
Archivo o puede estar sujeto a un cargo por eliminación
anticipada. Debido a que los datos en el nivel de Archivo no están
diseñados para un acceso rápido y frecuente, puede llevar mucho tiempo
recuperarlos. De hecho, mientras que los niveles de acceso Hot y Cool
garantizan el acceso al primer byte de datos en milisegundos, el nivel
Archive solo garantiza el acceso al primer byte dentro de las 15 horas.
Cosmos DB
Muchos sistemas de bases de datos utilizan datos relacionales. Una base
de datos relacional contiene tablas de datos que están relacionados entre
sí. Parte del diseño de la base de datos define la relación entre las tablas, y
cuando se agregan nuevos datos a la base de datos, deben ajustarse
al esquema (la forma en que se configura la base de datos).
Algunos sistemas de bases de datos, conocidos como bases de datos
NoSQL , no son relacionales. En un sistema de base de datos NoSQL, no
está bloqueado en un esquema para sus datos. Por ejemplo, en un
relacionalsistema, si está almacenando información sobre algunos
clientes y desea agregar los cumpleaños de los clientes a sus datos, debe
editar el esquema de su base de datos para permitir que se agregue el
cumpleaños. Sin embargo, en un sistema NoSQL, simplemente agrega el
cumpleaños a sus datos y lo agrega a la base de datos. A la base de datos
no le importa el tipo de datos o campos que contiene.
Hay cuatro tipos de sistemas de base de datos NoSQL: clave-valor,
columna, documento y gráfico. La Tabla 2-1 enumera cada uno de estos
tipos y proporciona información sobre cada uno.
TABLA 2-1 Sistemas de bases de datos NoSQL
Sistema Descripción Uso común
Valor clave Almacena datos que están vinculados a una Dado que el valor puede
clave única. Pase la clave y la base de datos cualquier cosa, las bases
devuelve los datos. valores clave tienen muc
Documento Los datos se almacenan como una cadena de Igual que el valor-clave, p
texto estructurada llamada datos de documentos tien
documento. Puede ser HTML, JSON, etc. Esto escalan bien horizontalm
es similar a una base de datos de clave-valor, permiten consultar el val
excepto que el documento es un valor partes del valor. Una con
estructurado. datos de clave-valor devu
completo asociado con la
Grafico Almacena datos y las relaciones entre cada Muchos sistemas utilizan
dato. Los datos se almacenan en nodos y las de gráficos porque son ex
relaciones se dibujan entre nodos. rápidas. Una red social po
base de datos de gráficos
almacenar las relaciones
personas, las cosas que le
personas, etc.
Buena elección para usuarios que no Es una buena elección si necesita un alt
necesitan un alto grado de flexibilidad con la visibilidad y control de los recursos ind
configuración y que desean precios fijos. la memoria, el almacenamiento y la pot
que utiliza su base de datos.
Ofertas Básicas y Estándar, junto con un nivel Ofertas de uso general y de negocios cr
Premium para bases de datos de producción proporcionar costos más bajos cuando
con una gran cantidad de transacciones. rendimiento y disponibilidad cuando se
EXPERIMENTO MENTAL
Ahora que ha aprendido sobre los servicios básicos de Azure, apliquemos
ese conocimiento. Puede encontrar las respuestas a este experimento
mental en la siguiente sección.
ContosoPharm se ha puesto en contacto con usted para obtener ayuda en
la configuración de algunas máquinas virtuales de Azure para alojar sus
servicios de Azure. Quieren asegurarse de que sus servicios experimenten
una alta disponibilidad y estén protegidos contra desastres que puedan
ocurrir en un centro de datos en una región de Azure en
particular. Además de eso, quieren asegurarse de que un corte de energía
en un centro de datos en particular no afecte su servicio en esa región.
ContosoPharm planea tener una gran cantidad de máquinas virtuales,
pero solo alojarán tres servicios diferentes en la nube. Cada uno de estos
servicios tendrá asociados otros servicios de Azure además de las
máquinas virtuales. Están muy interesados en tener una forma de ver
fácilmente todos los recursos de Azure asociados con un servicio en
particular dentro del portal de Azure.
Dos de los servicios que planean implementar pertenecen al
departamento de marketing. El otro servicio pertenece a la división de
desarrollo. Necesitan una forma de informar sobre cada uno de estos
departamentos, por lo que les gustaría una forma de agrupar lógicamente
estos servicios.
En esa misma línea, el CTO quiere asegurarse de poder controlar quién
tiene acceso a los servicios en cada departamento. También quiere tener
control sobre cómo se configuran esos servicios.
Las máquinas virtuales de ContosoPharm también usarán configuraciones
específicas para redes virtuales y quieren asegurarse de que pueden
implementar fácilmente estos recursos en nuevas regiones de Azure,
si necesario más tarde. Para ellos es fundamental que las
implementaciones posteriores tengan exactamente la misma
configuración que todas las demás implementaciones porque cualquier
diferencia puede causar incompatibilidades de aplicaciones.
El CTO también está preocupado por las máquinas virtuales, en
particular, por experimentar problemas de disponibilidad debido a
posibles fallas de hardware. También ha escuchado que algunos clientes
de la nube experimentan problemas cuando el proveedor de la nube debe
reiniciar la computadora host subyacente por algún motivo. Este tipo de
cosas no puede suceder en el caso de ContosoPharm, por lo que deberá
hacer una recomendación para evitarlo.
Durante algunos períodos de tiempo, ContosoPharm ha notado que sus
aplicaciones pueden causar picos extremos de CPU. Les gustaría un
sistema que tenga en cuenta eso y posiblemente agregue máquinas
virtuales adicionales durante estas horas pico, pero quieren controlar los
costos y no quieren pagar por estas máquinas virtuales adicionales
cuando no están experimentando un pico de uso. Cualquier consejo que
pueda ofrecerle sería una ventaja.
Uno de los servicios de ContosoPharm tiene un portal web que se escribió
con PHP. Tendrán que mover este portal web a la nube, pero no quieren
tener que lidiar con muchas configuraciones. Necesitan que esté
disponible para los usuarios de manera confiable y deben poder
actualizar el código si es necesario, pero no quieren preocuparse por nada
más. Están esperando que usted sugiera la mejor solución de Azure para
eso, y tenga en cuenta que deben poder escalar este portal web fácilmente
cuando el uso aumenta durante las horas punta del mes.
Otra parte de uno de sus servicios existe como una imagen de
Docker. También quieren ejecutar esto en Azure, pero el CTO está
preocupado por los costos. Esta parte de su servicio solo es necesaria
para operaciones específicas, por lo que se ejecuta solo unos minutos
cada mes. Aun así, es un componente crítico, por lo que necesitan que sea
confiable. El CTO quiere que sugiera una opción que será la opción más
rentable en Azure.
Uno de sus otros servicios también está en contenedores, pero es un poco
más complejo. El uso de este servicio está por todas partes. A veces,
requieren una gran cantidad de recursos informáticos para ello, y otras
veces, no requieren mucho. Sin embargo, cuando sea necesario, deben
asegurarse de que siempre esté funcionando.
Los gerentes de ventas del departamento de ventas de ContosoPharm
necesitan acceder a las aplicaciones de Office de manera confiable, pero el
CIO está muy preocupado por los datos confidenciales de ventas
almacenados en los discos duros de las computadoras portátiles. Le
gustaría que recomendara una forma para que estos empleados accedan a
las aplicaciones que necesitan mientras mantienen los datos
seguros. Poder acceder a estas aplicaciones desde cualquier dispositivo (o
incluso un navegador web) sería un verdadero cambio de juego.
Gran parte de la infraestructura que ContosoPharm está trasladando a la
nube está formada por aplicaciones de varios niveles, y cada uno de estos
niveles debe poder comunicarse entre sí y con Internet. Los ingenieros de
redes locales de ContosoPharm comprenden completamente la red local y
cómo está configurada, pero no tienen idea de cómo traducir eso a la
nube. También necesitarán que brinde algunas recomendaciones en esa
área.
ContosoPharm también tiene un sistema local que no se puede migrar a la
nube, por lo que permanecerá local. Este sistema utiliza animaciones en
3D de las estructuras celulares y cómo las diferentes drogas interactúan
con ellas. Los tamaños de archivo son muy grandes y a ContosoPharm le
preocupa quetransferir estos archivos grandes desde la nube hará que su
aplicación sea lenta. También están preocupados por las implicaciones de
privacidad y preferirían evitar que estos archivos se transfieran a través
de Internet si es posible.
ContosoPharm debe conservar una copia de cada factura de pedido de sus
clientes. Estas facturas se cargan en el sitio web como PDF y quieren
mantenerlas en la nube. No necesitan poder ejecutar ningún tipo de
informes sobre estas facturas, pero sí los necesitan en caso de que los
reguladores los soliciten en el futuro.
También necesitan conservar los datos almacenados en cualquiera de sus
VM, incluso si ocurre un evento de mantenimiento en Azure o se mueven
a otra VM por algún motivo. Son datos críticos, por lo que quieren
asegurarse de elegir la solución adecuada.
Otra parte de su aplicación también necesita conservar los datos, pero
necesitan poder acceder a los datos desde un servidor local que ejecute
Windows Server 2016. No quieren tener que instalar nada especial en el
servidor para poder acceder a estos archivos que se encuentran en la
nube.
Todos los productos químicos y farmacéuticos de ContosoPharm se
guardan en una gran instalación de investigación. Les gustaría integrar
una base de datos en esa instalación con sus servicios de Azure y
necesitan que esa conexión esté encriptada y sea segura. Los
desarrolladores del sistema actual utilizaron Community Edition de
MySQL para desarrollar la base de datos, y ContosoPharm está interesado
en la solución más sencilla para tener esto alojado en la nube sin tener
que estar al día con la configuración y el mantenimiento.
Proporcione una recomendación a ContosoPharm que cumpla con todos
sus requisitos. No es necesario que les brinde detalles técnicos específicos
sobre cómo implementar todo, pero debe orientarlos en la dirección
correcta si no tiene detalles.
RESPUESTAS DEL EXPERIMENTO MENTAL
En esta sección, repasaremos las respuestas al experimento mental.
Para asegurarse de que sus máquinas virtuales estén protegidas contra
desastres en un centro de datos dentro de una región de Azure en
particular, debe recomendar que ContosoPharm use zonas de
disponibilidad. Al implementar máquinas virtuales en zonas de
disponibilidad, pueden garantizar que las máquinas virtuales se
distribuyan en diferentes edificios físicos dentro de la misma región de
Azure. Cada edificio tendrá energía, agua, sistema de enfriamiento y red
separados.
Para ver fácilmente los recursos de Azure asociados con un servicio en
particular, ContosoPharm puede crear grupos de recursos separados y
crear los recursos para cada servicio dentro de su propio grupo de
recursos. Para agrupar lógicamente sus servicios para las divisiones de
marketing y desarrollo para que puedan informar sobre ellos, pueden
crear suscripciones de Azure independientes para cada división.
Para resolver la inquietud del CTO sobre quién tiene acceso a los servicios
y cómo se configuran esos servicios, puede recomendar el uso de grupos
de administración. Como ya recomendó que cada división tenga su propia
suscripción, los grupos de administración son una opción lógica porque
cada suscripción se puede mover a un grupo de administración separado.
Para garantizar implementaciones consistentes ahora y en el futuro,
ContosoPharm puede crear una plantilla ARM para su implementación. Al
usar una plantilla ARM, pueden asegurarse de que cada implementación
de sus recursos sea idéntica.
Para proteger su aplicación cuando una máquina virtual tiene un
problema de hardware o debe reiniciarse, deben usar un conjunto de
disponibilidad. Un conjunto de disponibilidad les proporcionaría varios
dominios de error y dominios de actualización, de modo que si se debe
reiniciar una máquina virtual, todavía tendrían una máquina virtual
operativa en otro dominio de actualización.
Para asegurarse de que siempre tengan suficientes máquinas virtuales
para manejar la carga cuando la CPU aumenta, deben usar conjuntos de
escalado. Luego, pueden configurar reglas de escala automática para
escalar horizontalmente cuando la carga lo requiera y escalar hacia atrás
para controlar los costos.
La mejor opción para alojar su portal web PHP en la nube es Azure App
Service. Debido a que es un servicio PaaS, ContosoPharm no tendrá que
preocuparse por una gran cantidad de configuración y, debido a que App
Service ofrece capacidades de escalado, eso cumple con el requisito de
tener que reaccionar ante aumentos en el uso.
La mejor opción para alojar su imagen de Docker en la nube es Azure
Container Instances. Hay otras opciones en Azure para esto, pero debido a
que el CTO se preocupa por los costos y este componente solo se ejecuta
durante una pequeña cantidad de tiempo cada mes, ACI es claramente la
alternativa más barata.
El segundo componente en contenedores se beneficiaría mejor de Azure
Kubernetes Service. El hecho de que sea más complejo y, a veces, requiera
una gran cantidad de recursos informáticos lo convierte en un candidato
ideal para AKS, especialmente porque Kubernetes puede garantizar que el
contenedor esté siempre en ejecución y disponible.
Para proporcionar a los gerentes de ventas acceso a las aplicaciones de
Office sin tener que preocuparse por los aspectos de seguridad del
almacenamiento de archivos en sus computadoras portátiles, debe
recomendar Windows Virtual Desktop. Entonces podrían acceder a estas
aplicaciones desde cualquier dispositivo o navegador web.
Su recomendación para los ingenieros de red debería ser configurar una
red virtual de Azure. Pueden configurar fácilmente subredes dentro de
esa red exactamente como tienen en las instalaciones, y todas las
funciones de red a las que están acostumbrados estarán disponibles para
ellos.
El sistema de animación 3D que utiliza ContosoPharm parece que
necesita mucho ancho de banda. En ese escenario, ExpressRoute es
probablemente una buena opción, especialmente porque también les
gustaría evitar que los archivos se transfieran a través de Internet. Con
ExpressRoute, los datos se transfieren a través de una conexión privada y
pueden ajustar su ancho de banda según las necesidades de la aplicación,
hasta un máximo de 10 Gbps.
Para almacenar sus facturas en la nube, ContosoPharm puede usar Azure
Blob Storage. Podrían almacenarlos en una base de datos como blobs
binarios, pero como no necesitan ejecutar ningún tipo de informes o
consultas en ellos, Azure Blob Storage será más económico.
Para conservar los datos en sus VM entre reinicios o movimientos de VM,
deben usar Almacenamiento en disco. Probablemente también debería
recomendar que utilicen discos administrados para facilitar su uso y
confiabilidad. Para la parte de la aplicación que necesita conservar los
datos que están disponibles en un servidor local de Windows Server
2016, debe recomendar Azure Files. Luego, pueden usar SMB para
acceder a los archivos, y los sistemas existentes en las instalaciones
pueden mapear los archivos sin tener que instalar nada adicional.
Para sus necesidades de bases de datos, la mejor opción es, con mucho,
Azure Database for MySQL. Debido a que es un servicio administrado,
ContosoPharm no tendrá que preocuparse por el mantenimiento o la
configuración, y debido a que se basa en Community Edition de MySQL,
deberían poder simplemente transferir la base de datos directamente a la
nube y terminar con ella.
"deploymentLocation": {
"departamento": "researchInjectibles",
"piso": "14"
B1 $ 10 dólares 400.000
IoT Central
IoT Hub es una excelente manera de administrar y aprovisionar
dispositivos, y proporciona un medio sólido para tratar los
mensajes. Incluso puede usar Azure Stream Analytics para enrutar
mensajes a Power BI para un panel de mensajes de dispositivo casi en
tiempo real, pero hacerlo requiere un poco de configuración compleja. Si
está buscando una experiencia de primera clase en el monitoreo de
dispositivos de IoT sin tener que realizar una configuración compleja, IoT
Central es una buena opción.
IoT Central es una oferta de SaaS para dispositivos IoT. A diferencia de
IoT Hub, no es necesario crear ningún recurso de Azure para usar IoT
Central. En su lugar, navegue hasta https://apps.azureiotcentral.com y
cree su aplicación dentro de la interfaz del navegador web, como se
muestra en la Figura 3-4 .
FIGURA 3-4 Página de inicio de Azure IoT Central
Para crear una aplicación de IoT, haga clic en el signo más encima de Mis
aplicaciones. Esto abre la pantalla Crear aplicación que se muestra en
la Figura 3-5 .
FIGURA 3-5 Creación de una nueva aplicación de IoT Central
Tiene la opción de elegir una plantilla o crear una aplicación
personalizada. Para mayor comodidad, las plantillas se clasifican en
Retail, Energy, Government y Healthcare.
Después de seleccionar su plantilla, verá la pantalla Nueva aplicación que
se muestra en la Figura 3-6 . Aquí es donde especificará el nombre de su
aplicación y la URL. Puede utilizar los nombres predeterminados o
especificar los suyos propios, pero se recomienda utilizar los suyos
propios para que pueda identificar fácilmente su aplicación. Además, una
vez que se ha creado su aplicación, puede acceder a ella directamente
utilizando la URL que especifique, por lo que es posible que desee que
también sea descriptiva.
Esfera azul
Tener sus dispositivos conectados a Internet ciertamente ofrece muchas
ventajas. Si está en la tienda y no puede recordar si necesita leche, su
frigorífico inteligente puede avisarle. Si acaba de salir de viaje y cree que
puede haber dejado el horno encendido, su horno inteligente se puede
apagar desde su teléfono. Entiendes la idea. En general, la conectividad es
algo bueno, pero también tiene sus desventajas, entre las que se
encuentra la seguridad. ¡Lo último que desea es que un pirata informático
controle las cerraduras de las puertas conectadas a Internet de su casa!
Los dispositivos de IoT son como cualquier otro dispositivo informático
en el sentido de que ejecutan software diseñado para un propósito
específico. Cualquier dispositivo que ejecute software es susceptible a
errores de software, y los dispositivos de IoT no son diferentes. Sin
embargo, el software del dispositivo IoT está integrado en un chip y eso
presenta desafíos únicos para corregir errores y actualizar el
software. Cuando agrega el hecho de que hay poca o ninguna
estandarización en el negocio de los dispositivos de IoT, termina con una
posible pesadilla de seguridad.
Para abordar estos problemas de seguridad, Microsoft desarrolló Azure
Sphere. Azure Sphere se basa en las décadas de experiencia de Microsoft y
en la investigación en profundidad que Microsoft realizó sobre la
protección de dispositivos.
Más información Siete propiedades de los dispositivos de alta seguridad
Microsoft redactó un documento técnico, "Siete propiedades de los dispositivos
altamente seguros", que detalla la investigación sobre la protección de los
dispositivos. Puede leer el informe técnico en https://aka.ms/7properties .
HDInsight
HDInsight permite crear y administrar fácilmente clústeres de equipos en
un marco común diseñado para realizar el procesamiento distribuido de
macrodatos. Básicamente, HDInsight es el servicio administrado de
Microsoft que proporciona una implementación basada en la nube de una
popular plataforma de análisis de datos llamada Hadoop. Sin embargo,
también admite muchos otros tipos de clústeres, como se muestra en
la Tabla 3-3 .
TABLA 3-3 Tipos de clústeres compatibles con HDInsight
Tipo de Descripción
clúster
Consulta Análisis en memoria mediante Hive y LLAP (procesos que ejecutan frag
interactiva consultas de Hive)
Tipo de Descripción
clúster
Azure Databricks
Los datos que se almacenan en un almacén de datos o en un lago de datos
suelen ser datos sin procesar que a menudo no están estructurados y son
difíciles de consumir. Además, es posible que necesite datos que
provengan de varias fuentes, algunas de las cuales incluso pueden estar
fuera de Azure. Azure Databricks es una solución ideal para acumular
datos y para formar los datos (llamado modelado de datos ) para que sea
óptima para los modelos de aprendizaje automático.
Puede ejecutar una consulta con los datos que se agregaron utilizando el
comando que se muestra en la Figura 3-22 escribiendo una consulta SQL
en una nueva celda. La figura 3-23 muestra los resultados de una consulta
con los datos.
Inteligencia artificial
Antes de ir demasiado lejos en la IA, primero lleguemos a un acuerdo
sobre lo que entendemos por IA. Cuando muchas personas piensan en la
IA de las computadoras, la imagen que les viene a la mente es un androide
que mata a los humanos o alguna otra tecnología hostil obsesionada con
librar al mundo de los humanos. Se sentirá aliviado al saber que en
realidad eso no es lo que significa la IA en este contexto.
La IA de hoy se llama Inteligencia Artificial Estrecha (oa veces IA débil), y
se refiere a una IA que es capaz de realizar una tarea específica de manera
mucho más eficiente de lo que un humano puede realizar esa misma
tarea. Toda la IA que hemos desarrollado hasta ahora es una IA débil. En
el otro extremo del espectro de la IA está la Inteligencia General Artificial
o IA fuerte. Este es el tipo de IA que se muestra en películas y libros de
ciencia ficción, y actualmente no tenemos este tipo de capacidad.
En muchos sentidos, es un poco engañoso llamar débil a la tecnología de
inteligencia artificial existente. Si lo coloca en el contexto de la IA fuerte
imaginaria, ciertamente tiene capacidades limitadas, pero la IA débil
puede hacer cosas extraordinarias, y es casi seguro que se beneficie de
sus capacidades todos los días. Por ejemplo, si habla con su teléfono o su
altavoz inteligente y entiende lo que ha dicho, se ha beneficiado de la IA.
En la edición de 1973 de Perfiles del futuro , el famoso escritor de ciencia
ficción Arthur C. Clarke dijo: "Cualquier tecnología lo suficientemente
avanzada es indistinguible de la magia". Si bien la inteligencia artificial
aún no existía cuando Clarke hizo esta afirmación, las capacidades que la
inteligencia artificial hace posible son ciertamente aplicables, pero la
inteligencia artificial no es mágica. La IA es en realidad matemáticas y,
como le dirá cualquiera que esté familiarizado con las computadoras, las
computadoras son muy buenas en matemáticas.
Para desarrollar las capacidades de la IA, los ingenieros informáticos se
propusieron brindar a las computadoras la capacidad de "aprender" de la
misma manera que aprende el cerebro humano. Nuestros cerebros están
formados por neuronas y sinapsis. Cada neurona se comunica con todas
las demás neuronas del cerebro y juntas forman lo que se conoce como
red neuronal. Si bien cada neurona por sí sola no puede hacer mucho,
toda la red es capaz de realizar cosas extraordinarias.
La IA funciona creando una red neuronal digital. Cada parte de esa red
neuronal puede comunicarse y compartir información con todas las
demás partes de la red. Al igual que nuestro cerebro, una red neuronal de
computadora toma entradas, las procesa y proporciona resultados. La IA
puede utilizar muchos métodos para procesar la entrada, y cada método
es un subconjunto de la IA. Los dos más comunes son la comprensión del
lenguaje natural y el aprendizaje automático.
La comprensión del lenguaje natural es una inteligencia artificial diseñada
para comprender el habla humana. Si intentáramos programar una
computadora para comprender la palabra hablada por medios
informáticos tradicionales, un ejército de programadores tardaría
décadas en llegar a un reconocimiento utilizable. No solo tendrían que
tener en cuenta los acentos y las diferencias de vocabulario que ocurren
en diferentes regiones geográficas, sino que también tendrían que tener
en cuenta el hecho de que las personas a menudo pronuncian las palabras
de manera diferente incluso en las mismas regiones. Las personas
también tienen diferentes cadencias del habla, y eso hace que algunas
palabras funcionen juntas. La computadora tiene que saber cómo
distinguir palabras individuales cuando eso no sea fácil de hacer. Además
de toda esta complejidad, la computadora debe tener en cuenta el hecho
de que el lenguaje es algo en constante cambio.
Más información sobre servicios cognitivos
Azure ofrece numerosas opciones para la comprensión del lenguaje natural. Estos
servicios están incluidos en Servicios cognitivos y se tratan en la siguiente sección.
Servicios cognitivos
Microsoft ofrece numerosas interfaces de programación de aplicaciones
(API) que pueden ayudarlo a desarrollar rápidamente soluciones de
aprendizaje automático. Estas ofertas le permiten acelerar sus
capacidades de aprendizaje automático aprovechando el trabajo que
Microsoft ha realizado para respaldar sus propios servicios como Bing,
Microsoft 365 y más. Puede pensar en los servicios cognitivos como
modelos de aprendizaje automático SaaS que puede utilizar directamente
en sus soluciones de aprendizaje automático sin el gasto de desarrollar
las suyas propias.
Más información Los servicios cognitivos son muchos
Microsoft ofrece muchas API en Cognitive Services y el número crece
constantemente. Cubriremos algunos de ellos aquí, pero hay demasiados para
cubrirlos todos en este libro. Si desea leer sobre todos ellos, puede hacerlo
en https://bit.ly/az900-cognitiveapis .
Cognitive Services incluye una API llamada Computer Vision que facilita la
creación de un motor de aprendizaje automático que puede extraer
información de imágenes. Computer Vision puede hacer cosas como
reconocer objetos o reconocer una escena, pero también puede reconocer
contenido inapropiado para que puedas moderar imágenes. Si desea ver
Computer Vision en acción, puede ingresar la URL de una imagen o cargar
su propia imagen para su análisis en https://bit.ly/az900-computervision .
En esa misma línea, la API Video Indexer puede analizar el contenido de
video y extraer información de ese contenido. Puede agregar fácilmente
subtítulos en varios idiomas, reconocer personas y objetos y buscar
videos que contengan palabras, personas o incluso emociones específicas.
También hay disponibles numerosas API de voz, desde Speech
Translation, que ofrece traducción de idiomas en tiempo real hasta
Speaker Recognition, una API que puede analizar el habla e identificar al
hablante. Las API de lenguaje ofrecen la capacidad de comprender los
comandos escritos (útil para crear algo como un agente de chat
automatizado) o Análisis de texto para comprender la opinión del usuario
en el texto.
Cognitive Services también proporciona API de decisión que le permiten
hacer cosas como contenido moderado en imágenes, texto o
video. También puede ofrecer a los usuarios una experiencia de usuario
personalizada utilizando la API Personalizer.
El precio de Azure Cognitive Services es transaccional. Eso significa que
paga una pequeña cantidad por las transacciones que procesa a través del
servicio. Para obtener una descripción general completa de los precios de
Cognitive Services, visite https://azure.microsoft.com/en-
us/pricing/details/cognitive-services/ .
Aplicaciones lógicas
Las aplicaciones lógicas son similares a las aplicaciones funcionales en
que se activan mediante un disparador, pero lo que sucede después de
eso es completamente diferente. A diferencia de las aplicaciones de
función, no es necesario escribir código para crear flujos de trabajo
potentes con las aplicaciones lógicas.
Nota Power Automate
Es posible que esté familiarizado con Power Automate, anteriormente llamado
Microsoft Flow. La tecnología subyacente de Power Automate es en realidad Logic
Apps. Es por eso que el diseñador de Power Automate se parece mucho a Logic Apps.
Cuadrícula de eventos
El concepto de diferentes servicios de Azure que interactúan entre sí
debería resultarle bastante familiar a estas alturas. Hay muchas formas de
integrar servicios como este y, en algunos casos, necesita un recurso de
Azure para conocer un cambio en otro recurso de Azure. Puede usar un
método de sondeo para esto, similar a la aplicación lógica que verifica
OneDrive cada tres minutos en busca de un cambio. Sin embargo, es más
eficiente permitir que un servicio de Azure active un evento cuando
sucede algo específico y configurar otro servicio de Azure para que
escuche ese evento para que pueda reaccionar ante él. Event Grid
proporciona esa funcionalidad.
Tanto Azure Functions como Azure Logic Apps están integradas con
Event Grid. Puede configurar una función para que se ejecute cuando se
produzca un evento de Event Grid. En la figura 3-46 , puede ver la lista de
recursos de Azure que pueden desencadenar eventos de Event Grid. No
todos los servicios de Azure están representados en Event Grid, pero se
están agregando más servicios con el tiempo.
Azure PowerShell
Si es un usuario de PowerShell, puede aprovechar ese conocimiento para
administrar sus recursos de Azure mediante el módulo Az de Azure
PowerShell. Este módulo ofrece soporte multiplataforma, por lo que ya
sea que esté usando Windows, Linux o macOS, puede usar el módulo Az
de PowerShell.
Más información Azurerm y Az
El módulo PowerShell A z es relativamente nuevo. Antes, todos los comandos de
PowerShell usaban el módulo AzureRm. Los comandos que usa con ambos son
idénticos. La única diferencia es el nombre del módulo.
Una vez que haya instalado el módulo, debe iniciar sesión con su cuenta
de Azure. Para hacer eso, ejecute el siguiente comando:
Connect-AzAccount
CLI de Azure
Como señalé anteriormente, uno de los principales beneficios de
PowerShell es la capacidad de crear secuencias de comandos de
interacciones con los recursos de Azure. Sin embargo, si desea realizar un
script con PowerShell, necesitará a alguien que conozca el desarrollo de
PowerShell. Si no tiene a nadie que pueda hacer eso, la interfaz de línea de
comandos de Azure (CLI de Azure) es una excelente opción. La CLI de
Azure se puede programar mediante secuencias de comandos de shell en
varios lenguajes como Python, Ruby, etc.
Al igual que el módulo PowerShell Az, la CLI de Azure es multiplataforma
y funciona en Windows, Linux y macOS siempre que use la versión 2.0 o
posterior. Los pasos de instalación son diferentes según su
plataforma. Puede encontrar los pasos para todos los sistemas operativos
en https://bit.ly/az900-installcli .
Una vez que instale la CLI de Azure, deberá iniciar sesión en su cuenta de
Azure. Para hacer eso, ejecute el siguiente comando:
az login
Asesor de Azure
La administración de sus recursos de Azure no solo incluye la creación y
eliminación de recursos. También significa asegurarse de que sus
recursos estén configurados correctamente para una alta disponibilidad y
eficiencia. Averiguar exactamente cómo hacerlo puede ser una tarea
abrumadora. Se han escrito libros completos sobre las mejores prácticas
para implementaciones en la nube. Afortunadamente, Azure puede
notificarle sobre problemas en su configuración para que pueda
evitarlos. Lo hace a través de Azure Advisor.
Azure Advisor puede ofrecer asesoramiento sobre alta disponibilidad,
seguridad, rendimiento y costo. Para acceder a Azure Advisor, inicie
sesión en Azure Portal y haga clic en Advisor en el menú de la
izquierda. La figura 3-83 muestra Azure Advisor con dos
recomendaciones de seguridad de alto impacto.
FIGURA 3-83 Azure Advisor
Para revisar los detalles de una recomendación, haga clic en el
mosaico. En la Figura 3-84 , hemos hecho clic en el mosaico de Seguridad
y puede ver una recomendación para habilitar MFA (autenticación
multifactor) y agregar otro propietario a mi suscripción.
FIGURA 3-84 Recomendaciones del asesor
No tiene que hacer lo que recomienda Azure Advisor. Si hace clic en la
descripción, puede decidir posponer o descartar la alerta, como se
muestra en la esquina inferior derecha en la Figura 3-85 . Si elige
posponer la alerta, tiene la opción de recibir un recordatorio en 1 día, 1
semana, 1 mes o 3 meses.
Monitor de Azure
Azure Monitor agrega métricas para los servicios de Azure y las expone
en una única interfaz. También puede crear alertas que le notificarán a
usted oa otra persona cuando haya inquietudes que desee abordar.
Para acceder a Azure Monitor, haga clic en Monitor en Azure Portal para
mostrar la hoja Azure Monitor, como se muestra en la Figura 3-86 . Azure
Monitor es personalizable, por lo que puede ver exactamente lo que más
le interesa. Por esa razón, no muestra ninguna métrica hasta que las
configura. Para ver métricas, haga clic en Métricas y luego seleccione un
alcance.
Cuando se activa una alerta, realiza una acción que usted especifica
mediante un grupo de acciones . Un grupo de acciones contiene una lista
de acciones a realizar cuando se activa una alerta. Para crear un nuevo
grupo de acciones, haga clic en Crear, como se muestra en la Figura 3-97 .
EXPERIMENTO MENTAL
Ha aprendido bastante en este capítulo, así que apliquemos parte de ese
conocimiento en un experimento mental. Las respuestas a este
experimento mental se pueden encontrar en la sección que sigue.
ContosoPharm está interesado en modernizar sus sistemas y ha acudido a
usted en busca de consejos. Quieren monitorear las condiciones
ambientales en sus áreas de almacenamiento, por lo que han instalado
algunos termostatos habilitados para Internet. Uno de sus requisitos es
poder alertar al personal de mantenimiento si hay una variación definida
en la temperatura y la humedad. El departamento de TI también quiere
una forma de actualizar de manera eficiente el firmware de estos
termostatos si es necesario, y debido a que hay cientos de dispositivos,
están preocupados por asignar costosos recursos de ingenieros para
hacer ese trabajo, pero también quieren asegurarse de que todos los
termostatos estén actualizados. , incluso cuando el acceso a Internet no
esté disponible temporalmente. Recomiende una buena solución que
satisfaga estas necesidades.
Una pregunta adicional que han relacionado con estos dispositivos está
relacionada con mantenerlos seguros. Al director de TI le preocupa
conectar estos sistemas a Internet debido al riesgo de que un pirata
informático pueda hacerse con el control de los sistemas de control del
clima. Haga una recomendación para ellos que pueda ayudar a proteger
estos dispositivos.
ContosoPharm también está interesado en aprovechar el aprendizaje
automático para hacer que su investigación sea más eficiente. Ya tienen
una gran cantidad de datos en Data Lake Storage y necesitan una forma
eficiente de analizar esos datos y crear algunos modelos de aprendizaje
automático. Tienen grandes cantidades de datos, por lo que necesitan una
solución que sea escalable y capaz de manejar millones de filas de
datos. Si también puede proporcionar una solución para que traigan
algunos datos no estructurados a la ecuación, eso sería una
ventaja. Durante sus discusiones preliminares con ellos sobre esto,
mencionaron que sus científicos de datos están interesados en
aprovechar su conocimiento de Jupyter Notebooks. Haga una
recomendación sobre la mejor manera de hacerlo en Azure.
Si bien ContosoPharm tiene algunos científicos de datos y desarrolladores
capacitados que planean usar R para construir algunos modelos de
aprendizaje automático, también quieren permitir que algunas otras
personas que no conocen R o Python desarrollen algunos modelos. Si hay
una sugerencia que pueda hacer para habilitar a esas personas, sería un
gran argumento de venta.
El director de TI se da cuenta de que todas estas tareas van a agotar los
recursos de TI y le preocupa el hecho de que los gerentes de ventas en el
campo puedan mantener a los empleados de TI ocupados en el suministro
básico. soporte informático. Los problemas que encuentran no son
complicados, pero requieren mucho tiempo del personal de TI. Le ha
pedido que recomiende una forma en la que puedan proporcionar apoyo
básico en el campo sin tener que utilizar valiosos recursos de TI.
Una cosa que causa algunos problemas de soporte está relacionada con
una máquina virtual de Azure que ejecuta una aplicación personalizada
que ContosoPharm desarrolló hace mucho tiempo. Esta aplicación pierde
memoria y eso eventualmente hace que la aplicación se ralentice hasta el
punto en que desencadena llamadas de soporte. No tienen los recursos
disponibles en este momento para solucionar y solucionar el problema,
por lo que cuando reciben llamadas, reinician la máquina virtual para
resolver temporalmente el problema. Si puede recomendarles alguna
forma de monitorear la memoria que se está utilizando y reiniciar la VM
automáticamente sin la interacción del usuario, eso ayudaría mucho a
reducir la cantidad de llamadas de soporte.
La máquina virtual que aloja la aplicación tiene que cambiar de tamaño
ocasionalmente debido a un aumento en el uso. Cuando esa máquina
virtual se escala a un tamaño mayor, significa un mayor gasto para
ContosoPharm. El CIO está dispuesto a aceptar este aumento en el costo,
pero quiere que se le notifique a través de un mensaje de texto cuando
suceda para estar al tanto del cambio. Ella le sugirió eso al director de TI,
pero él no puede ofrecer una solución debido a una limitación en el
número de desarrolladores que podrían construir una solución de este
tipo. Si puede desbloquearlos en esto de una manera que no requiera a
alguien que pueda escribir código, sería un gran beneficio.
Junto con la recomendación de crear una solución para el CIO, a
ContosoPharm le gustaría una buena forma de realizar un seguimiento de
ese trabajo a medida que se realiza. Les preocupa que no puedan cumplir
con los horarios, ya que las personas que trabajan en el proyecto
probablemente tengan muchas otras tareas. Bríndeles una
recomendación sobre una forma de hacer un seguimiento de este trabajo
y asegurarse de que se realice.
Uno de los desarrolladores de ContosoPharm cree que podría trabajar en
la aplicación que está perdiendo memoria, pero no puede dedicarle
mucho tiempo. Uno de los problemas al trabajar en esa aplicación es que
necesita un par de otras máquinas virtuales con algunas herramientas
específicas instaladas, y también necesita símbolos de depuración
instalados en ellas. La instalación de los símbolos puede llevar un par de
horas después de que activa una nueva máquina virtual. Si puede
recomendar una forma de ahorrar algo de tiempo en esto, podría
permitirle a ContosoPharm hacer un trabajo para arreglar la aplicación y
resolver ese problema a largo plazo.
Otro problema importante para solucionar la aplicación problemática es
que se basa en tres aplicaciones web diferentes que se ejecutan en Azure
App Service. El desarrollador no quiere solucionar problemas de la
aplicación usando las aplicaciones web en vivo, por lo que necesita poder
crear nuevas aplicaciones para probarlas fácilmente. Debido a que estas
aplicaciones web se facturan a ContosoPharm, se estén ejecutando o no,
tendrán que eliminar las aplicaciones cuando el desarrollador no esté
trabajando activamente en el problema. Eso significa que el desarrollador
tiene que tomarse el tiempo para volver a crear las aplicaciones web
cuando vuelva a trabajar en la aplicación problemática. Recomiende una
solución para que ContosoPharm cree fácilmente estas aplicaciones web
cuando sean necesarias y luego elimínelas cuando ya no sean necesarias.
El desarrollador que trabajará en la aplicación le ha informado que la
aplicación se basa en una gran colección de scripts Bash que están
instalados en la máquina virtual. Estos scripts interactúan con los
recursos de Azure, por lo que deben ejecutarse dentro del entorno de
Azure. Su sensación es que estos scripts podrían ser parte del problema
con la aplicación, por lo que le gustaría tener una forma de editar
fácilmente estos scripts en un entorno de Azure. El problema es que
puede que no siempre esté en la oficina donde su computadoraestá
disponible. De hecho, el desarrollador le dijo que gran parte del trabajo
que hace en las secuencias de comandos se realiza mientras viaja por la
ciudad en el tren, y el único dispositivo que tiene consigo es un iPad. Si
puede ayudar a que el desarrollador sea productivo mientras está en el
tren, sería una gran ventaja para ContosoPharm.
El director de TI ha estado leyendo en la nube y le preocupa que parte de
los problemas de ContosoPharm sea que no están siguiendo las mejores
prácticas de Azure. Le pidió que discuta las mejores prácticas con ellos
para que puedan estar mejor preparados para evitar problemas. Siente
que este podría no ser el mejor uso de su tiempo y le preocupa que las
mejores prácticas puedan evolucionar con el tiempo. Proporcione una
mejor recomendación para garantizar que ContosoPharm cumpla con las
mejores prácticas en Azure. A medida que ContosoPharm realiza cambios,
también les gustaría saber si hay alguna forma de supervisar
cuidadosamente el rendimiento de sus máquinas virtuales y otros
recursos. Para ahorrar tiempo perdido, también quieren asegurarse de
estar al tanto de cualquier incidente en Azure que esté afectando sus
recursos.
Azure puede ayudar con todos estos requisitos. Azure Security Center
puede brindarle la confianza de que se están cumpliendo las mejores
prácticas de seguridad; Azure Key Vault puede garantizar que los
secretos estén cifrados; y Azure Sentinel puede vigilar sus recursos de
Azure en busca de amenazas y responder a ellas.
Además, las amenazas a la seguridad contra las redes son una gran
preocupación para la mayoría de las empresas y Azure también lo cubre
allí. En este capítulo, hablaremos sobre la defensa en profundidad y
cómo puede ayudar a proteger sus datos. También cubriremos los
Grupos de seguridad de red (NSG) como una forma de controlar el
tráfico dentro de su red, Azure Firewall como un medio para proteger
su red de los malos actores y Azure DDoS Protection como una
solución que puede prevenir un ataque malintencionado que afecta
acceso a los recursos de la red.
Los puertos de red abiertos en sus máquinas virtuales son una de las
mayores amenazas de seguridad para sus recursos en la nube. El acceso a
sus máquinas virtuales mediante el escritorio remoto para las máquinas
virtuales de Windows o SSH para las máquinas virtuales de Linux es una
parte necesaria de la gestión de esos recursos, pero los piratas
informáticos suelen utilizar los puertos de red utilizados para la gestión
remota para acceder a las máquinas virtuales. Security Center
proporciona una función llamada acceso justo a tiempo (JIT) que ayuda a
proteger sus máquinas virtuales de los ataques a los puertos de
administración.
Cuando el acceso JIT está habilitado, los usuarios deben solicitar acceso a
una máquina virtual para poder acceder a ella de forma remota. Hasta
que alguien tenga acceso JIT, los puertos de administración en la VM se
cierran para que no se pueda acceder a ellos. Una vez que se otorga
acceso JIT a un usuario, los puertos están abiertos durante un período de
tiempo específico según lo solicite el usuario. Una vez transcurrido ese
período de tiempo, los puertos de administración se vuelven a cerrar.
Para habilitar el acceso JIT en una VM, haga clic en Just In Time VM Access
en Security Center, como se muestra en la Figura 4-3 . Haga clic en la
pestaña Recomendado para ver las máquinas virtuales que actualmente
no están configuradas para el acceso JIT. Seleccione una o más VM y haga
clic en Habilitar JIT para activar la función.
Al habilitar el acceso JIT, puede elegir qué puertos desea proteger, como
se muestra en la Figura 4-4 . Se enumeran los puertos recomendados para
la administración, pero puede agregar sus propios puertos. Por ejemplo,
si ha cambiado la configuración de su máquina virtual para que la
administración se realice en un puerto no típico, puede agregar ese
puerto para el acceso JIT.
Una vez que una máquina virtual está configurada para el acceso JIT, los
usuarios solicitan acceso desde Security Center. Después de hacer clic en
Just in Time VM Access, seleccione la VM y haga clic en Request Access,
como se muestra en la Figura 4-5 .
FIGURA 4-5 Solicitud de acceso JIT
Como se muestra en la Figura 4-6 , los usuarios que solicitan acceso deben
especificar qué puertos abrir, las direcciones IP que están permitidas
(asumiendo que no se especificaron cuando se habilitó el acceso JIT para
la VM) y cuánto tiempo se necesita el acceso (hasta el tiempo máximo
configurado). Una vez que se hace clic en Abrir puertos, los puertos
solicitados permanecerán abiertos durante el período especificado.
FIGURA 4-6 Detalles de una solicitud de acceso JIT
Bóveda de llaves
En la Figura 4-9 , se genera y almacena una clave RSA de 4.096 bits en Key
Vault.
FIGURA 4-9 Generación de una clave RSA
Para utilizar Key Vault para claves de cifrado de disco, las políticas de
acceso deben configurarse para permitir el cifrado de disco en la
bóveda. Si esto no se hizo cuando se creó la bóveda, puede cambiarla
haciendo clic en Políticas de acceso y marcando la opción Cifrado de disco
de Azure para cifrado de volumen, como se muestra en la Figura 4-11 .
Centinela azur
Una vez que agregue un conector, verá los requisitos previos para el
conector, así como los siguientes pasos que debe seguir. En la Figura 4-
15 , agregamos un conector para Azure Active Directory.
FIGURA 4-15 El conector de Azure Active Directory en Sentinel
Cuando agrega un nuevo libro de jugadas, Sentinel le pedirá que cree una
nueva aplicación lógica. Eso es porque los Playbooks usan Logic Apps
para sus flujos de trabajo. En el momento de escribir este artículo, la
experiencia del usuario está un poco desconectada. Una vez creada la
aplicación lógica, deberá hacer clic en Aplicación lógica en blanco, como
se muestra en la Figura 4-19 .
FIGURA 4-19 Creación de una nueva aplicación lógica para un manual de
jugadas de Sentinel
Incluso antes de que un enemigo llegara al foso, los arqueros a lo largo del
alto muro del castillo representarían un riesgo formidable para los
atacantes que se acercaran al castillo. Suponiendo que una fuerza opuesta
lograra pasar a los arqueros y atravesar el foso, se encontraron con un
muro alto y una puerta resistente. Si lograban pasar la puerta, se
encontraban con un ejército de hombres con espadas y otras armas
repugnantes.
Los grupos de seguridad de red se pueden asociar con una subred o con
una interfaz de red adjunta a una máquina virtual. Cada interfaz de red o
subred solo puede tener un NSG asociado, pero puede crear hasta 1,000
reglas en un solo NSG, por lo que debería poder aplicar fácilmente toda la
lógica de reglas necesaria para cualquier tarea. Si asocia un NSG a una
subred y a una o más interfaces de red dentro de esa subred, las reglas
para el NSG asociado con las interfaces de red se aplican primero,
seguidas de las reglas del NSG de la subred.
Para evitar que las reglas interfieran entre sí, cada regla que cree en un
NSG tiene una prioridad entre 100 y 4096. Las reglas con una prioridad
más baja tienen prioridad sobre las reglas con una prioridad más alta. El
tráfico de red se aplica a la regla con el número de menor prioridad
primero. Si el tráfico coincide con esa regla, la regla se aplica y el
procesamiento de la regla se detiene. Si el tráfico no coincide con la regla,
se evalúa con la siguiente regla de prioridad más baja. Esto continúa hasta
que el tráfico coincide con una regla o no hay reglas adicionales.
Haga clic en Agregar para agregar una nueva regla NSG. La figura 4-
24 muestra una nueva regla que se agrega que permite el tráfico en esta
subred desde el espacio de direcciones de otra red virtual que ejecuta
Azure Firewall.
FIGURA 4-24 Creación de una regla de entrada de NSG
La regla que se configura en la Figura 4-24 usa la notación CIDR para las
direcciones IP de origen, pero también puede ingresar una dirección IP
específica o cambiar el menú desplegable Fuente a Cualquiera si desea
que la regla se aplique a todas las direcciones IP. Haga clic en Agregar
para crear la regla.
Una vez que haya creado una regla, haga clic en Subredes para asociar un
grupo de seguridad de red con una subred, o haga clic en Interfaces de red
para asociarlo con una interfaz de red utilizada por una máquina
virtual. Por último, haga clic en Asociar, como se muestra en la Figura 4-
25 .
FIGURA 4-25 Asociación de un NSG
Cortafuegos de Azure
Por ejemplo, si alguien falsifica su dirección IP e intenta obtener acceso a su red virtual en
Azure, el firewall reconocerá que la dirección de hardware de la computadora que se está
utilizando ha cambiado y rechazará la conexión.
Cuando crea un firewall durante la creación de una red virtual, Azure crea
una subred en la red virtual denominada AzureFirewallSubnet y usa el
espacio de direcciones que especifique para esa subred. También se crea
una dirección IP pública para el firewall para que se pueda acceder a él
desde Internet.
Para enviar tráfico a su firewall, necesita crear una tabla de rutas. Una
tabla de rutas es un recurso de Azure que está asociado con una subred y
contiene reglas (llamadas rutas ) que definen cómo se maneja el tráfico de
red en la subred.
Una vez que hemos asociado la tabla de rutas con las subredes, creamos
una ruta definida por el usuario para que el tráfico se dirija a través de
Azure Firewall. Para hacerlo, haga clic en Rutas y luego en Agregar, como
se muestra en la Figura 4-32 .
FIGURA 4-32 Adición de una nueva ruta definida por el usuario a la tabla
de rutas
Para agregar una regla de firewall, abra Azure Firewall en Azure Portal y
haga clic en Reglas, seleccione el tipo de regla y haga clic en el botón
Agregar para agregar una nueva colección de reglas, como se muestra en
la Figura 4-34 .
FIGURA 4-34 Colecciones de reglas de Azure Firewall en Azure Portal
Si no hay una regla de NAT que coincida con el tráfico, se aplican las
reglas de red. Si una regla de red coincide con el tráfico, se detiene todo el
procesamiento posterior de reglas. Si no hay una regla de red que se
aplique al tráfico, se aplican las reglas de la aplicación. Si ninguna de las
reglas de la aplicación coincide con el tráfico, el firewall lo rechaza.
EXPERIMENTO MENTAL
Para almacenar sus certificados de forma segura, deben usar Azure Key
Vault. También pueden almacenar sus claves cifradas en Azure Key Vault,
pero como necesitan el cumplimiento de FIPS 140-2, deberán usar el nivel
Premium.
Para imponer reglas sobre el tráfico de red en sus redes virtuales, deben
configurar NSG. Para asegurarse de que el tráfico externo que no debería
llegar a la red se bloquee, deben usar Azure Firewall y configurar reglas
para permitir solo el tráfico entrante que sea apropiado. Los NSG que
crean también deben imponer reglas sobre qué nivel de la aplicación
puede aceptar tráfico de Internet.
Autenticacion y autorizacion
En la mayoría de las aplicaciones comerciales, no todos los usuarios
tienen los mismos privilegios. Por ejemplo, un sitio web puede permitir
que una pequeña cantidad de usuarios agreguen y revisen contenido. Otro
grupo más pequeño de usuarios podría tener la capacidad de decidir
quién puede agregar contenido. Sin embargo, la gran mayoría de los
usuarios son solo consumidores del contenido. No pueden modificar el
contenido de ninguna manera y tampoco pueden otorgar a otras personas
la capacidad de acceder al contenido.
Para implementar este tipo de control, necesita saber quién está usando
la aplicación para poder determinar cuál debe ser su nivel de
privilegios. Para determinar quién está usando la aplicación, es necesario
que los usuarios inicien sesión, a menudo con un nombre de usuario y una
contraseña. Suponiendo que el usuario proporciona las credenciales
correctas, ese usuario está autenticado en la aplicación.
Una vez que un usuario está autenticado y comienza a interactuar con una
aplicación, es posible que se realicen verificaciones adicionales para
confirmar qué acciones puede realizar y cuáles no. Ese proceso se
denomina autorización y las comprobaciones de autorización se realizan
contra un usuario que ya está autenticado.
Este tipo de escenario de autenticación y autorización no se limita a un
escenario de sitio web. Cuando inicia sesión en Azure Portal, se le
autentica. A medida que interactúa con los recursos de Azure, también se
le autoriza a realizar las acciones que está realizando. Según su nivel de
privilegio, solo se le permite hacer ciertas cosas. Por ejemplo, es posible
que esté autorizado para crear recursos de Azure, pero no para dar
acceso a otras personas a la suscripción de Azure que está usando.
Azure usa un servicio llamado Azure Active Directory para hacer cumplir
la autenticación y la autorización en Azure, pero tiene muchas
capacidades más allá de la simple autenticación y autorización.
Acceso condicional
El acceso condicional de Azure le permite crear políticas que se aplican a
los usuarios. Estas políticas utilizan asignaciones y controles de
acceso para configurar el acceso a sus recursos.
Las asignaciones definen a quién se aplica una política. Puede aplicarse a
usuarios, grupos de usuarios, roles en Azure AD o usuarios
invitados. También puede especificar que una política solo se aplique a
aplicaciones específicas, como Microsoft 365 en nuestro ejemplo anterior.
Las asignaciones también pueden definir condiciones que se deben
cumplir (como requerir una determinada plataforma como iOS, Android,
Windows, etc.), ubicaciones específicas por dirección IP y más.
Los controles de acceso determinan cómo se aplica una política de acceso
condicional. El control de acceso más restrictivo es el acceso bloqueado,
pero también puede usar controles de acceso para exigir que un usuario
use un dispositivo que cumpla con ciertas condiciones, que esté usando
una aplicación aprobada para acceder a sus recursos, que esté usando
MFA, etc. en.
Para crear una directiva de acceso condicional, busque Azure AD
Conditional Access en Azure Portal. Luego puede hacer clic en el botón
Nueva política para crear una nueva política, como se muestra en
la Figura 5-8 .
FIGURA 5-8 Hoja de directivas de acceso condicional en Azure Portal
Política de Azure
Azure Policy le permite definir reglas que se aplican cuando se crean y
administran los recursos de Azure. Por ejemplo, puede crear una política
que especifique que solo se puede crear una máquina virtual de cierto
tamaño y que las máquinas virtuales deben crearse en la región centro-
sur de EE. UU. Azure se encargará de hacer cumplir esta política para que
usted se mantenga de acuerdo con sus políticas corporativas.
Para acceder a la política de Azure, escriba política en el cuadro de
búsqueda en el portal de Azure y haga clic en Política. Alternativamente,
puede hacer clic en Todos los servicios y buscar la política en la lista. Esto
mostrará la hoja Política, como se muestra en la Figura 5-15 .
Bloqueos de recursos
RBAC es una excelente manera de controlar el acceso a un recurso de
Azure, pero en los casos en los que solo desea evitar cambios en un
recurso o evitar que ese recurso se elimine, los bloqueos (o bloqueos) de
recursos son una solución más simple. A diferencia de RBAC, los bloqueos
se aplican a todas las personas con acceso al recurso.
Etiquetas
Otra característica de Azure que facilita la organización de recursos son
las etiquetas. Una etiqueta consta de un nombre y un valor. Por ejemplo,
suponga que una empresa participa en dos eventos comerciales: uno en
Texas y otro en Nueva York. También ha creado muchos recursos de
Azure para respaldar esos eventos. Desea ver todos los recursos de Azure
para un evento específico, pero están distribuidos en varios grupos de
recursos. Al agregar una etiqueta a cada grupo de recursos que identifica
el evento con el que está asociado, puede resolver este problema.
En la Figura 5-26 , puede ver las etiquetas asociadas con un grupo de
recursos de WebStorefront . A este grupo de recursos se le ha asignado
una etiqueta denominada EventName , y el valor de esa etiqueta
es ContosoTexas . Al hacer clic en el icono del cubo a la derecha de la
etiqueta, puede ver todos los recursos que tienen esa etiqueta.
FIGURA 5-26 Etiquetado de un grupo de recursos
Notas que muestran todas las etiquetas
Para ver todas sus etiquetas, elija Todos los servicios en el menú principal del portal y
luego busque Etiquetas en la lista de servicios.
Hay muchos estándares que las empresas deben cumplir. Por ejemplo, en
2016, la Unión Europea aprobó el Reglamento general de protección de
datos (GDPR). El RGPD regula la forma en que se manejan los datos
personales de las personas dentro de la UE, pero también controla
cualquier dato personal que se exporta desde la UE. Las empresas que
operan en países de la UE están obligadas legalmente a cumplir con el
RGPD.
Una forma en que las organizaciones pueden asegurarse de que están
cumpliendo con el GDPR y otras regulaciones que regulan los datos es
mantener el cumplimiento de los estándares de toda la industria
enfocados en ayudar a las organizaciones a mantener segura la
información. Uno de esos estándares es el estándar 27001 de la
Organización Internacional de Estándares (ISO). Las empresas que
cumplen con la norma ISO 27001 pueden estar seguras de que mantienen
las mejores prácticas necesarias para mantener segura la información. De
hecho, muchas empresas no harán negocios con un proveedor de nube a
menos que puedan demostrar el cumplimiento de la norma ISO 27001.
Los sistemas que tratan con datos gubernamentales deben cumplir con
los estándares que mantiene el Instituto Nacional de Estándares y
Tecnología, o NIST. El NIST SP 800-53 es una publicación del NIST que
describe todos los requisitos para los sistemas de información que tratan
con datos gubernamentales. Para que cualquier agencia gubernamental
utilice un servicio, primero debe demostrar que cumple con NIST SP 800-
53.
Microsoft aborda estos requisitos de cumplimiento en toda su
infraestructura de muchas formas diferentes.
Esta sección cubre:
• Declaración de privacidad de Microsoft
• Marco de adopción de la nube para Azure
• Centro de confianza
• Portal de confianza de servicio
• Regiones soberanas de Azure
Centro de confianza
El Trust Center es un portal web donde puede aprender todo sobre el
enfoque de Microsoft en materia de seguridad, privacidad y
cumplimiento. Puede acceder al Centro de confianza navegando
a https://aka.ms/microsofttrustcenter .
El Centro de confianza proporciona información sobre soluciones de
seguridad, productos de seguridad, cómo Microsoft maneja la privacidad
y la administración de datos, etc. También proporciona informes técnicos
y listas de verificación como herramientas para garantizar la seguridad y
el cumplimiento.
A medida que el entorno de la nube evoluciona y las amenazas cambian,
Microsoft actualiza el Centro de confianza con información relevante, así
que asegúrese de visitarlo con frecuencia.
EXPERIMENTO MENTAL
Ha aprendido mucho sobre identidad, gobierno, privacidad y
cumplimiento en este capítulo. Probemos ese conocimiento con otro
experimento mental.
Las respuestas a este experimento mental se encuentran en la siguiente
sección.
Sus viejos amigos de ContosoPharm se han vuelto a poner en contacto con
usted para ayudarlos con un poco más de su trabajo en la nube. Esta vez,
tienen algunos desafíos nuevos. Primero, están creando un nuevo portal
de clientes que quieren integrar con sus cuentas de redes
sociales. Necesitan un contratista externo que les ayude con las cuentas
de redes sociales publicando mensajes para sus seguidores y
respondiendo las preguntas de los clientes. Al director de TI le preocupa
proporcionar los nombres de usuario y las contraseñas de sus cuentas de
redes sociales a un tercero. Le gustaría alguna forma de permitir que el
contratista acceda a sus cuentas de redes sociales sin tener su contraseña,
y le gustaría estar seguro de que cuando finalice el contrato, el contratista
puede ser eliminado fácilmente de las cuentas de redes sociales.
También tienen algunos recursos de Azure a los que el contratista
necesitará acceder, pero el director de TI también está preocupado por la
seguridad allí. Para mantener las cosas seguras, quiere asegurarse de que
nadie pueda acceder a los sistemas de ContosoPharm si alguien descubre
el nombre de usuario y la contraseña del contratista. También quiere
asegurarse de que solo se pueda acceder a un recurso específico si el
contratista está iniciando sesión desde una computadora con
Windows. No quiere que sea accesible desde dispositivos móviles.
También debe asegurarse de que el contratista pueda ver un par de los
recursos de Azure en el portal de Azure en caso de que algo salga mal,
pero no quiere que el contratista pueda cambiar ninguna configuración.
A medida que los desarrolladores trabajen en esta solución, crearán
algunas máquinas virtuales de Azure. Estas máquinas virtuales deben
estar en la región central de EE. UU., Por lo que están geográficamente
cerca de un componente de almacenamiento en caché que también se
ejecuta en la región central de EE. UU. El director de TI ha enviado un
memorando a todos los desarrolladores diciéndoles que solo creen
máquinas virtuales en el centro de EE. UU., Pero le preocupa que alguien
se olvide y el rendimiento deficiente del almacenamiento en caché afecte
sus métricas de prueba. Además, si alguien elimina el componente de
almacenamiento en caché, interrumpirá por completo la aplicación, por lo
que deben asegurarse de que nadie pueda eliminarlo.
Algunas de las máquinas virtuales creadas para esta aplicación se
facturan al departamento de TI con fines de desarrollo, pero la mayoría
de las máquinas virtuales se facturan al departamento de ventas. La
directora ejecutiva desea poder ver un desglose de los gastos de ambos
departamentos después de recibir la factura de Azure.
ContosoPharm tiene otro gran problema con el que necesitan
ayuda. Están planeando otra implementación en la nube pronto, y será
una aplicación compleja. Han pasado mucho tiempo planificando la
implementación. Saben exactamente cómo se debe configurar la red y
tienen un registro de todos los recursos que deben crearse, junto con la
plantilla ARM que hará el trabajo de implementación. La configuración de
red que han diseñado para las redes virtuales de Azure es específica para
sus necesidades y les permite integrarse con sistemas locales, y es una
configuración muy complicada. Les gustaría una forma de poder recrear
fácilmente esta configuración en Azure cuando necesiten implementar
otras aplicaciones que usen la misma topología de red.
Zona 2 Este de Asia, Sudeste de Asia, Australia Este, Australia Sudeste, Centro de la
India, Oeste de la India, Este de Japón, Oeste de Japón, Centro de Corea y Su
Zona 3 Brasil del Sur, Sudáfrica del Norte, Sudáfrica Oeste, EAU Central y EAU Nort
El SLA para App Service es del 99,95% y el SLA para una sola máquina
virtual que ejecuta almacenamiento Premium es del 99,9%. Por lo tanto,
su SLA general para su aplicación es 99,95 por ciento x 99,9 por ciento, o
99,85 por ciento. Al implementar dos VM en dos zonas de disponibilidad
en la misma región, puede obtener un SLA del 99,99 por ciento para sus
VM, y eso aumenta su SLA general al 99,94 por ciento.
Más información Computing Composite SLAS
Para obtener más información sobre cómo calcular SLA compuestos,
consulte https://bit.ly/az900-compositesla .
Los servicios y las funciones de vista previa privada suelen exponer solo
un subconjunto de la funcionalidad que eventualmente se convertirá en el
servicio o la función. Microsoft a menudo pedirá a los clientes que utilicen
una vista previa privada que prueben escenarios específicos y brinden
comentarios. Esto ayuda a los equipos de ingeniería a descubrir errores y
problemas de usabilidad en los entornos complejos del mundo real que
utilizan los clientes.
Disponibilidad general
Una vez que un servicio o característica de vista previa alcanza un nivel
de calidad y disponibilidad adecuado para el equipo de ingeniería,
declarará disponibilidad general o GA. En este punto, el servicio o la
función es totalmente compatible.
Una vez que un servicio o característica llega a GA, cae bajo el SLA que
proporciona Microsoft. Si se trata de un nuevo servicio, se publicará un
nuevo SLA en la página web de SLA. Para las nuevas funciones de los
servicios existentes, una vez que se alcanza GA, la función heredará el SLA
del servicio del que es una función.
Si estaba utilizando una función o servicio durante la vista previa pública,
generalmente no tendrá que hacer nada para ser oficialmente compatible
con GA. Sin embargo, en algunas situaciones, Microsoft le pedirá que
elimine los recursos creados durante la vista previa y los vuelva a
crear. Esto suele suceder cuando los restos del código de vista previa
pueden causar un problema con un servicio o función que se ejecuta en
GA.
Cuando un servicio o característica llega a GA, es posible que no sea GA en
todas las geografías de Azure. En esos casos, otras geografías
generalmente serán GA más adelante en el ciclo de vida del servicio o
característica. Los precios de vista previa también pueden permanecer
vigentes durante algún período después de GA. Detalles como este se
publican en el anuncio oficial de GA en el sitio web de Azure.
EXPERIMENTO MENTAL
Hemos cubierto mucho terreno y es hora de poner a prueba sus nuevos
conocimientos con un experimento mental. Las respuestas a este
experimento mental se encuentran en la sección que sigue.
ContosoPharm ha estado planeando una gran implementación en la nube
durante los últimos meses, y está listo para apretar el gatillo y poner las
cosas en marcha. La única persona de ContosoPharm que esel más
nervioso por esta implementación es el director de TI. Tiene un
presupuesto fijo, por lo que necesita tener una buena idea de los
costos. También necesita proporcionar un pronóstico financiero detallado
al director financiero y quiere que ese informe sea lo más preciso
posible. Una vez más, ContosoPharm se ha dirigido a usted en busca de
consejos.
ContosoPharm tendrá una implementación de red compleja con este
nuevo servicio en la nube. También tendrán numerosas máquinas
virtuales conectadas a la red. Quieren mantener los costos lo más bajos
posible. ¿Qué recomendación puede darles relacionada con su red que
pueda ayudarlos a mantener los costos más bajos? ¿Qué pasa con sus
máquinas virtuales?
El director de TI tiene una hoja de cálculo completa que incluye todos los
recursos que ContosoPharm necesitará usar en la nube. Necesita agregar
precios estimados a esa hoja de cálculo, pero no está segura de qué
registrar para los precios. ¿Qué orientación puede proporcionar para
ayudar?
ContosoPharm actualmente hospeda este servicio local. Se están
moviendo a la nube con la esperanza de ahorrar dinero. Al director
financiero le gustaría tener una previsión de cuánto dinero pueden
ahorrar si se trasladan a la nube, en contraposición a sus costos
locales. ¿Cuál es la mejor manera para que el director de TI recopile esa
información?
Una vez que ContosoPharm implementa este servicio en la nube, el
director de TI desea monitorear cuidadosamente los costos para
asegurarse de que no exceda el presupuesto. Si se excede del presupuesto,
deberá proporcionar un análisis detallado al director financiero que
explique de dónde provienen los costos excedentes. ¿Cómo puede lograr
esto fácilmente?
El CEO le preguntó al director de TI sobre la confiabilidad de la nube. Ella
le aseguró al CEO que la nube es confiable, pero le gustaría poder
respaldar esa afirmación con algunos datos reales. Sería incluso mejor si
pudiera ofrecer detalles sobre cómo han configurado algunos de sus
servicios para mejorar la confiabilidad. ¿Qué deberías sugerir?
B
Planes BCDR (Business Continuity and Disaster Recovery), 7
ofertas beta, 269 - 270
big data, 97
zonas de facturación, 255
almacenamiento de blobs, 64
planos, 237 - 242
Servicio de bot. Ver Azure Bot Service
C
Mensajería C2D (nube a dispositivo), 84
"Enfoque del castillo" (defensa en profundidad), 194 - 195
canales en Azure Bot Service, 114
servicios de chat con Azure Servicio Bot, 112 - 114
Clarke, Arthur C.107
Marco de adopción de la nube para Azure, 244
computación en la nube, definida, 17
modelo de nube, 8, 16
nube híbrida, 19 - 20
nube privada, 18 de - 19 de
nube pública, 17 - 18
servicios en la nube
beneficios de, 1-8
beneficios económicos, 7-8
tolerancia a fallos, recuperación ante desastres, 6-7
alta disponibilidad, 2-4
escalabilidad, elasticidad, agilidad, 4-6
comparación del tipo de servicio, 15 - 16
modelo de responsabilidad compartida, 9
Nube de Shell, 141 , 152 - 156
mensajería de nube a dispositivo (C2D), 84
Cloudyn, 262
racimos
en Azure Databricks, 102
en Azure Synapse, 97
en HDInsight, 98 - 100
Servicios cognitivos, 111 - 112
columna sistemas de base de datos NoSQL, 67
comandos
en Azure CLI, 150 - 152
Azure en la nube de Shell, 152 - 156
en el módulo PowerShell Az , 149 - 150
modelo de nube comunitaria, 16
cumplimiento, 242 - 248
Regiones de Azure Soveriegn, 247 - 248
Marco de adopción de la nube para Azure, 244
recuperación ante desastres y, 7
Declaración de privacidad de Microsoft, 243 - 244
STP (Service Trust Portal), 245 - 247
Centro de confianza, 244
Gerente de cumplimiento, 245 - 247
SLA compuestos, 268 - 269
computar nodos, 97
Visión por computadora, 112
Acceso condicional, 220 - 221
conectores, 123 , 189 - 192
modelo basado en el consumo, 8
contenedores
en AKS, 58 - 59
almacenamiento de blobs, 64
explicado, 56
corriendo, 56 - 58
soluciones básicas, 82 - 139
Servicio de bot de Azure, 112 - 114
Azure Databricks, 100 - 107
Azure DevOps, 130 - 133
Laboratorios Azure DevTest, 133 - 139
Funciones Azure, 115 - 122
Aprendizaje automático de Azure, 110 - 111
Esfera azul, 95 - 96
Azure Synapse, 96 - 98
Servicios cognitivos, 111 - 112
Cuadrícula de eventos, 129 - 130
HDInsight, 98 - 100
IoT Central, 87 - 95
IoT Hub, 82 - 87
Aplicaciones lógica, 123 - 128
computing serverless, 114 - 115
Cosmos DB, 66 - 68
gestión de costes, 253 - 264
Administración de costos de Azure, 261 - 264
Factores que afectan a los costes, 254 - 255
calculadora de precios, la tecnología 256 - 257
calculadora de costo total de propiedad, 258 - 261
costos. Ver también niveles de precios
Servicio de aplicaciones de Azure, 52 - 54
factores que afectan, 254 - 255
visualización, 33 , 35
Facturación de VM, 48
imágenes personalizadas, 51 , 136 - 137
D
Mensajería D2C (dispositivo a nube), 84
tablero (en el portal)
creando nuevo, 146 - 147
personalización, 146
analítica de datos
con Azure Synapse, 96 - 98
con HDInsight, 99
Cuadro de datos, 64
lagos de datos, 98
modelado de datos, 100
Servicio de movimiento de datos (DMS), 97
almacenes de datos, 98
tipos de API de base de datos, 67 - 68
Servicio de migración de bases de datos (DMS), 71
Unidad de transacción de base de datos (DTU), 70
Databricks, 100 - 107
Exportación de modelos de ML de Databricks, 107
Databricks Runtime ML (Databricks Runtime para aprendizaje
automático), 105 - 106
centros de datos, 27 - 28
conjuntos de datos en Azure Databricks, 104
DDoS (denegación de servicio) los ataques, 207 - 209
Protección DDoS, 207 -209
API de decisión, 112
sintaxis declarativa, 40
defensa en profundidad, 194 - 195
eliminar recursos, 33
virtualización de escritorio con Windows Virtual Desktop, 60 - 61
grupos de dispositivos en IoT Central, 93 - 95
Servicio de aprovisionamiento de dispositivos (DPS), 85
dispositivos gemelos, 84
mensajería de dispositivo a nube (D2C), 84
DevTest Labs, 133 - 139
Línea directa, 114
roles de directorio, 214
recuperación de desastres, 6-7
en zonas de disponibilidad, 28 - 29
en regiones, 27 - 28
claves de cifrado de disco, 187 - 188
almacenamiento en disco, 64 - 65
denegación de servicio distribuida (DDoS), 207 - 209
DMS (servicio de movimiento de datos), 97
DMS (Servicio de migración de bases de datos), 71
Docker, 13 , 56 años
documentar sistemas de bases de datos NoSQL, 67
Autorización provisional de nivel 5 de impacto del Departamento de
Defensa, 248
DPS (servicio de aprovisionamiento de dispositivos), 85
DTU (Unidad de transacción de base de datos), 70
MI
beneficios económicos de los servicios en la nube, 7-8
dispositivos de borde, 63
efectos en Azure Policy, 232
piscinas elásticas, 70 - 71
elasticidad de los servicios en la nube, 4-6
cifrado con la clave de bóveda, 184 - 188
Cuadrícula de eventos, 129 - 130
ExpressRoute, 63 - 64
F
dominios de falla, 48 - 49
Tolerancia a fallos, 6-7
FIPS (Estándar federal de procesamiento de información) 140, 185
cortafuegos, 200 - 207
registro de flujo para NSG, 199
fórmulas, 136 - 138
Función Aplicaciones, 115 - 119 , 127
funciones
creando, 120 - 121
definido, 118
GRAMO
GDPR (Reglamento general de protección de datos), 243
disponibilidad general, 269 , 271
geografías, 26 , 27
gobernanza, 227 - 242
Blueprints de Azure, 237 - 242
Política de Azure, 228 - 232
bloqueos de recursos, 232 - 235
etiquetas, 236
graficar sistemas de bases de datos NoSQL, 67
usuarios invitados, 216
H
Hadoop, 98
HBase, 98
HDInsight, 98 - 100
alta disponibilidad
de servicios en la nube, 2-4. Ver también tolerancia a fallos
con ExpressRoute, 64
escala horizontal, 5
HSM (Hardware Security Modules), 184 - 185
Funciones HttpTrigger, 122
configuración de concentrador y radios para cortafuegos, 201 - 202
modelo de nube híbrida, 16 , 19 - 20
I
IaaS (infraestructura como servicio), 9- 11 , 15
identidades, 214
servicios de identidad, 213 - 227
autenticación y autorización, 214
Azure Active Directory, 214 - 220
Acceso condicional de Azure, 220 - 221
MFA (autenticación multifactor), 221 - 223
RBAC (control de acceso basado en roles), 223 - 227
imágenes, 56
Reglas de entrada para los grupos directivos nacionales, 197 - 199
Infraestructura como servicio (IaaS), 9- 11 , 15
iniciativas, 229
instalando
Módulo PowerShell Az , 148
PowerShell en Linux o macOS, 148
Consulta interactiva, 98
Internet, modelo de nube pública y, 17
facturas, visualización, 35
IoT (Internet de las cosas)
Esfera azul, 95 - 96
IoT Central, 87 - 95
IoT Hub, 82 - 87
IoT Central, 87 - 95
IoT Hub, 82 - 87
Direcciones IP, públicas, 62
Norma ISO 27001, 243
J
JIT de acceso (just-in-time), 181 - 184
empleos en IoT Central, 94
cajas de salto, 201
K
Kafka, 98
Clave de bóveda, 184 - 188
métodos abreviados de teclado en Azure Databricks, 104
sistemas de base de datos NoSQL de valor clave, 67
Kubernetes, 58 - 59
L
API de lenguaje, 112
ciclo de vida de los servicios, 269 - 271
límites en las suscripciones, 34
cerraduras, 232 - 235
Log Analytics, 189
Aplicaciones lógica, 123 - 128 , 193
METRO
aprendizaje automático
en Azure Databricks, 100 - 107
con Azure Machine Learning, 110 - 111
con Cognitive Services, 111 - 112
explicado, 108 - 110
Estudio de aprendizaje automático, 110
discos gestionados, 65
identidades administradas, 215 , 223
instancias gestionadas, 71
grupos de gestión, 37 - 38
herramientas de gestión, 139 - 172
Azure Advisor, 159 - 161
Azure CLI, 150 - 152
Azure Cloud Shell, 152 - 156
Azure aplicación móvil, 156 - 159
Azure Monitor, 161 - 169
Portal de Azure, 140 - 147
Azure PowerShell, 148 - 150
Azure Servicio de Salud, 170 - 172
Markdown, 103
metros, 254
MFA (autenticación multifactor), 221 - 223
Declaración de privacidad de Microsoft, 243 - 244
Escritorio remoto de Microsoft, 158
Inteligencia de amenazas de Microsoft, 181
MLeap, 106
aplicación móvil (Azure), 156 - 159
mover recursos, 33
MSEE (enrutadores Microsoft Enterprise Edge), 63 - 64
autenticación multifactor (MFA), 221 - 223
entorno multiusuario, 17
MySQL, 72
NORTE
comprensión del lenguaje natural, 108
precio del ancho de banda de la red, 255
cortes de red, 2-3
seguridad de la red, 194 - 209
Azure Firewall, 200 - 207
Protección DDoS, 207 - 209
defensa en profundidad, 194 - 195
Los grupos directivos nacionales (grupos de seguridad de red), 195 - 200
Red de Seguridad Grupos (grupos directivos
nacionales), 63 , 195 - 200
NIST 800– 53 estándar, 243
Bases de datos NoSQL, 66 - 67
cuadernos en Azure Databricks, 103 - 104
O
Fichas de hardware OAUTH, 223
modelo local, 7
reglas de salida para NSG, 199
enlaces de salida, 122
PAG
PaaS (Platform-as-a-Service), 11 - 14 , 15
mantenimiento planificado, 48
planificación
con Azure Blueprints, 237 - 242
para la gestión de costes, 253 - 264
Administración de costos de Azure, 261 - 264
Factores que afectan a los costes, 254 - 255
calculadora de precios, la tecnología 256 - 257
calculadora de costo total de propiedad, 258 - 261
planes en Azure App Service, 52 - 54
Plataforma-as-a-Service (PaaS), 11 - 14 , 15
Playbooks, 193
politicas
en Azure DevTest Labs, 139
en la Política de Azure, 228 - 232
portal (Azure), 140 - 147
PostgreSQL, 72
Automatización de energía, 123
cortes de energía, 4
fuentes de alimentación para centros de datos, 27 - 28
PowerShell, instalación en Linux o macOS, 148
Módulo PowerShell Az , 148 - 150
ofertas de vista previa, 269 - 270
vista previa de las aplicaciones web en la nube Azure Shell, 154 - 155
calculadora de precios, la tecnología 256 - 257
niveles de precios. Consulte también gestión de costes ; costos
Azure Active Directory, 219 - 220
para Azure Security Center, 180
Protección DDoS, 208 - 209
para IoT Hub, 86 - 87
ancho de banda de la red, 255
privacidad, 242 - 248
Regiones de Azure Soveriegn, 247 - 248
Marco de adopción de la nube para Azure, 244
Declaración de privacidad de Microsoft, 243 - 244
STP (Service Trust Portal), 245 - 247
Centro de confianza, 244
privado modelo de nube, 16 , 18 - 19
vistas previas privadas, 269 - 270
canalización de producción de aprendizaje automático, 106
"Perfiles del futuro" (Clarke), 107
apoderados, 118
modelo de nube pública, 16 , 17 - 18
direcciones IP públicas, 62
avances públicos, 270
modelos de compra para base de datos única, 70
R
Servidor R, 98
RBAC (control de acceso basado en roles), 223 - 227
pares regionales, 27
regiones
zonas de disponibilidad, 28 - 31
explicado, 26 - 28
factores que afectan los costos, 254
zonas para, 255
bases de datos relacionales, 66
Base de datos SQL de Azure, 68 - 71
MySQL, 72
PostgreSQL, 72
SQL Server, 68
problemas del sistema dependiente, 4
acceso remoto a máquinas virtuales IaaS, 10
grupos de recursos, 31 - 33
bloqueos de recursos, 232 - 235
proveedores de recursos, 39
recursos. Consulte también ARM (Azure Resource Manager)
costos, visualización, 33 , 35
borrar, 33
en movimiento, 33
apertura en portal, 144
etiquetas, 236
visualización, 142
asignaciones de roles, 224 - 226
control de acceso basado en roles (RBAC), 223 - 227
roles, 224
en IoT Central, 91
tablas de rutas para cortafuegos, 203 - 206
reglas
en la Política de Azure, 228 - 232
para cortafuegos, 205 - 207
en IoT Central, 93
para los grupos directivos nacionales, 195 - 200
S
SaaS (software como servicio), 14 , 15
escalabilidad de los servicios en la nube, 4-6
tolerancia a fallas versus, 6
juegos de escalas, 51 - 52
alcance, 224
seguridad, 179 - 194
Centro de seguridad de Azure, 180 - 184
Azure Sentinel, 188 - 194
con Azure Sphere, 95 - 96
servicios de identidad
autenticación y autorización, 214
Azure Active Directory, 214 - 220
Acceso condicional de Azure, 220 - 221
MFA (autenticación multifactor), 221 - 223
RBAC (control de acceso basado en roles), 223 - 227
Clave de bóveda, 184 - 188
seguridad de la red, 194 - 209
Azure Firewall, 200 - 207
Protección DDoS, 207 - 209
defensa en profundidad, 194 - 195
Los grupos directivos nacionales (grupos de seguridad de red), 195 - 200
bloqueos de recursos, 232 - 235
Centro de confianza, 244
directores de seguridad, 223 , 227
Sentinel, 188 - 194
computing serverless, 114 - 115
dependencias de servicio, 41
ciclo de vida del servicio, 269 - 271
directores de servicio, 215 , 218 , 227
etiquetas de servicio para los grupos directivos
nacionales, 199 - 200
Portal de confianza de servicios (STP), 245 - 247
acuerdos de nivel de servicio (SLA), 2, 264 - 269
"Siete propiedades de los dispositivos de alta seguridad"
(documento técnico de Microsoft), 95
modelo de responsabilidad compartida, 9, 243
SIEM (Gestión de eventos e información de seguridad), 188
iniciar sesión en PowerShell Az módulo, 148 - 149
dispositivos simulados en IoT Central, 90
bases de datos únicas, 70
inicio de sesión único (SSO), 218
entorno de un solo inquilino, 18
SLA (acuerdos de nivel de servicio), 2, 264 - 269
ranuras, 118
SOAR (orquestación, automatización y respuesta de seguridad), 188
Software como servicio (SaaS), 14 , 15
Chispa, 98
API de voz, 112
redes de radios, 201
Almacén de datos SQL, 97
SQL Server, 68
SSO (inicio de sesión único), 218
cortafuegos con estado, 201
gradas de almacenamiento, 66
Tormenta, 98
STP (Service Trust Portal), 245 - 247
IA fuerte, 107
ID de suscripción, 37
suscripciones, 33 - 37
creando, 36 - 37 , 43
límites en, 34
grupos de gestión, 37 - 38
ajuste activo, 149
tipos de, 37
Synapse SQL, 97
cortes del sistema, 3-4
T
etiquetas, 236
TCO (coste total de propiedad) calculadora, 258 - 261
pruebas con Azure DevTest Labs, 133 - 139
inteligencia de amenazas en Azure Firewall, 207
niveles. Ver niveles de precios
disparadores, 121 - 122 , 123
Centro de confianza, 244
U
tiempo de inactividad inesperado, 48
discos no administrados, 65
mantenimiento no planificado, 48
actualizar dominios, 49
directores de usuario, 227
V
vCore (núcleo virtual), 70
escala vertical, 5
Indexador de video, 112
visita
costos, 33 , 35
facturas, 35
recursos, 142
etiquetas, 236
redes virtuales (VNets), 61 - 63
redes privadas virtuales (VPN), 63
Visual Studio, 39
VM (máquinas virtuales), 3-4, 42 - 52
conjuntos de disponibilidad, 48 - 51
en Azure DevTest Labs, 133 - 139
facturación, 48
conectarse a través de la aplicación móvil de Azure, 158
creando, 43 - 45
despliegue, 45 - 46
claves de cifrado de disco, 187 - 188
almacenamiento en disco, 64 - 65
tiempo de inactividad, 48
Acceso JIT, 181 - 184
juegos de escalas, 51 - 52
VNets (redes virtuales), 61 - 63
VPN (redes privadas virtuales), 63
W
IA débil, 107
aplicaciones web
en Azure App Service, 54 - 55
la vista previa en la nube Azure Shell, 154 - 155
webhooks, 122
Windows 10 multiusuario, 61
Directorio activo de Windows, 214
Escritorio virtual de Windows (WVD), 60 - 61
flujos de trabajo en Logic Apps, 123 , 128
productos de carga de trabajo, 42 - 75
ACI (Azure Container Instances), 56 - 58
AKS (Azure Kubernetes Service), 58 - 59
Servicio de aplicaciones de Azure, 52 - 55
Base de datos de Azure para MySQL, 72
Base de datos de Azure para PostgreSQL, 72
Archivos Azure, 65 -66
Azure Marketplace, 72 -75
Base de datos SQL de Azure, 68 -71
almacenamiento de contenedores (blob), 64
Cosmos DB, 66 - 68
almacenamiento en disco, 64 - 65
ExpressRoute, 63 - 64
niveles de almacenamiento, 66
redes virtuales (VNets), 61 - 63
VM (máquinas virtuales), 42 - 52
Escritorio virtual de Windows, 60 - 61
Z
servicios zonales, 30
servicios redundantes de zona, 31
zonas, regiones en, 255
Fragmentos de código
Muchos títulos incluyen código de programación o ejemplos de
configuración. Para optimizar la presentación de estos elementos, vea
el libro electrónico en modo horizontal de una sola columna y ajuste el
tamaño de fuente al valor más pequeño. Además de presentar el código
y las configuraciones en el formato de texto ajustable, hemos incluido
imágenes del código que imitan la presentación que se encuentra en el
libro impreso; por lo tanto, cuando el formato reajustable pueda
comprometer la presentación del listado de código, verá un enlace
"Haga clic aquí para ver la imagen del código". Haga clic en el enlace
para ver la imagen del código de fidelidad de impresión. Para volver a
la página anterior vista, haga clic en el botón Atrás en su dispositivo o
aplicación.