Azure 2

Qué es Microsoft Azure
Azure es un conjunto de servicios en la nube en expansión constante que le

ayudan a cumplir los desafíos empresariales actuales y futuros. Azure le ofrece
la libertad de compilar, administrar e implementar aplicaciones en una red
global masiva mediante sus herramientas y plataformas favoritas.
¿Qué ofrece Azure?

Con la ayuda de Azure, tendrá todo lo que necesita para compilar su próxima
gran solución. A continuación, se enumeran algunas de las ventajas que
proporciona Azure, para que inventar con un objetivo sea más sencillo:
 Prepararse para el futuro: la innovación continua de Microsoft

apoya el desarrollo actual y los proyectos de productos para el
futuro.
 Crear según términos propios: tiene varias opciones. Si mantiene
un compromiso con el código abierto y admite todos los lenguajes
y marcos, puede compilar como quiera e implementar donde
quiera.
 Funcionamiento sin problemas en el entorno híbrido: ya sea en
el entorno local, en la nube o en el entorno perimetral, le
apoyaremos donde esté. Integre y administre los entornos con
herramientas y servicios diseñados para una solución de nube
híbrida.
 Confianza en la nube: obtenga seguridad desde el principio,
respaldada por un equipo de expertos, y un cumplimiento proactivo
de confianza para las empresas consolidadas, los gobiernos y las
nuevas empresas.
¿Qué puedo hacer con Azure?

Azure proporciona más de 100 servicios que permiten hacer todo tipo de cosas:
desde ejecutar las aplicaciones existentes en máquinas virtuales hasta explorar
nuevos paradigmas de software, como bots inteligentes y realidad mixta.
Muchos equipos comienzan a explorar la nube mediante la migración de sus

aplicaciones existentes a máquinas virtuales (VM) que se ejecutan en Azure.
Aunque este es un buen comienzo, la nube es mucho más que un lugar
diferente donde ejecutar las máquinas virtuales.
Por ejemplo, Azure proporciona servicios de inteligencia artificial (IA) y
aprendizaje automático (ML) que pueden comunicarse de forma natural con los
usuarios mediante la vista, el oído y la voz. También facilita soluciones de
almacenamiento que crecen dinámicamente para dar cabida a grandes
cantidades de datos. Los servicios de Azure permiten soluciones que no son
factibles sin la potencia de la nube.
Introducción a las cuentas de Azure

Para crear y usar los servicios de Azure, necesita una suscripción de Azure. Al
completar los módulos de Microsoft Learn, la mayoría de las veces se crea una
suscripción temporal de forma automática, que se ejecuta en un entorno
denominado espacio aislado de Microsoft Learn. Cuando trabaje con
aplicaciones y necesidades empresariales propias, tendrá que crear una cuenta
de Azure y se creará una suscripción de forma automática. Después de crear
una cuenta de Azure, puede crear suscripciones adicionales. Por ejemplo, es
posible que la empresa use una única cuenta de Azure para el negocio y
suscripciones independientes para los departamentos de desarrollo, marketing
y ventas. Una vez que ha creado una suscripción de Azure, puede empezar a
crear recursos de Azure dentro de cada suscripción.
Si no está familiarizado con Azure, puede registrarse para obtener una cuenta
gratuita en el sitio web de Azure y, de este modo, empezar a explorar sin coste
alguno. Cuando esté listo, puede optar por actualizar la cuenta gratuita.
También puede crear una suscripción que le permita comenzar a pagar por los
servicios de Azure que necesita y a los que no puede acceder con una cuenta
gratuita.
Creación de una cuenta de Azure

Para comprar el acceso a Azure directamente desde Microsoft, regístrese en el
sitio web de Azure o hágalo a través de un representante de Microsoft. También
puede comprar el acceso a Azure a través de un partner de Microsoft. Los
partners del programa Proveedor de soluciones en la nube ofrecen una amplia
gama de soluciones en la nube administradas y completas para Azure.
Para obtener más información sobre cómo crear una cuenta de Azure, vea el
módulo de aprendizaje Creación de una cuenta de Azure.
¿Qué es la cuenta gratuita de Azure?
La cuenta gratuita de Azure incluye lo siguiente:
 Acceso gratuito a productos populares de Azure durante 12 meses.

 Crédito para gastar durante los primeros 30 días.
 Acceso a más de 25 productos que siempre son gratuitos.
La cuenta gratuita de Azure es una manera excelente para que los nuevos
usuarios empiecen y exploren. Para registrarse, necesita un número de teléfono,
una tarjeta de crédito y una cuenta de Microsoft o de GitHub. La información de
la tarjeta de crédito solo se usa para la verificación de identidad. No se le
cobrará por ningún servicio hasta que actualice a una suscripción de pago.
¿Qué es la cuenta de estudiante gratuita de Azure?
La oferta de la cuenta de estudiante gratuita de Azure incluye lo siguiente:
 Acceso gratuito a determinados servicios de Azure durante 12 meses.

 Un crédito para usar en los primeros 12 meses.
 Acceso gratuito a determinadas herramientas de desarrollo de software.
La cuenta de estudiante gratuita de Azure es una oferta para estudiantes que

ofrece 100 USD de crédito y herramientas de desarrollo gratuitas. Además,
puede registrarse sin tarjeta de crédito.
¿Qué es el espacio aislado de Microsoft Learn?
En muchos de los ejercicios de Learn se usa una tecnología denominada espacio

aislado, que crea una suscripción temporal que se agrega a la cuenta de Azure.
Esta suscripción temporal le permite crear recursos de Azure para la duración de
un módulo de Learn. Learn limpia de forma automática los recursos temporales
una vez que haya completado el módulo.
Cuando complete un módulo de Learn, puede usar la suscripción personal para

finalizar los ejercicios que incluye. Pero el espacio aislado es el método
preferido, ya que permite crear y probar recursos de Azure sin costo alguno.
Ejercicio: Exploración del espacio

aislado de Learn
Para completar este módulo, se necesita un espacio aislado.
Un espacio aislado le da acceso a recursos gratuitos. La suscripción personal no

se le cobrará. El espacio aislado solo se puede usar para realizar los cursos de
Microsoft Learn. Está prohibido el uso con cualquier otro fin y puede dar lugar a
la pérdida permanente del acceso al espacio aislado.
Microsoft proporciona esta experiencia de laboratorio y contenido relacionado

con fines educativos. Toda la información proporcionada es propiedad de
Microsoft y está pensada únicamente para aprender a usar los productos y
servicios que cubre este módulo de Microsoft Learn.
Activar espacio aislado
En este ejercicio explorará el espacio aislado de Learn. Puede interactuar con el

espacio aislado de Learn de tres maneras diferentes. Durante los ejercicios, se le
proporcionarán instrucciones para al menos uno de los métodos siguientes.
Para empezar, active el espacio aislado de Learn. Después, investigará cada uno
de los métodos para trabajar en el espacio aislado de Learn.
Activación del espacio aislado de Learn

Si todavía no lo ha hecho, use el botón Activar espacio aislado anterior para
activar el espacio aislado de Learn.
Si recibe un aviso que indica que Microsoft Learn necesita su permiso para crear
un recurso de Azure, use el botón Revisar permiso para revisar y aceptar los
permisos. Una vez que apruebe los permisos, el espacio aislado puede tardar
unos minutos en activarse.
Tarea 1: Uso de la CLI de PowerShell

Una vez que se inicie el espacio aislado, la mitad de la pantalla estará en modo
de interfaz de línea de comandos (CLI) de PowerShell. Si está familiarizado con
PowerShell, puede administrar el entorno de Azure mediante comandos de
PowerShell.
Sugerencia
Puede saber que está en modo de PowerShell por las letras "PS" que aparecen
delante del directorio en la línea de comandos.
Use el comando Get-date de PowerShell para obtener la fecha y hora actuales.
PowerShellCopiar
Get-date
La mayoría de los comandos específicos de Azure comenzarán con las letras az.
El comando Get-date que acaba de ejecutar es específico de PowerShell. Ahora
se probará un comando de Azure para comprobar qué versión de la CLI usa en
este momento.
PowerShellCopiar
az version
Tarea 2: Uso de la CLI de BASH

Si está más familiarizado con BASH, puede usar el comando BASH en su lugar
mediante el cambio a la CLI de BASH.
Escriba bash para cambiar a la CLI de BASH.
PowerShellCopiar
bash
Sugerencia
Puede saber que está en modo BASH por el nombre de usuario que se muestra
en la línea de comandos. Será nombre_de_usuario@azure.
De nuevo, use el comando Get-date para obtener la fecha y hora actuales.
Azure CLICopiar
Get-date
Se produce un error porque Get-date es un comando específico de PowerShell.
Use el comando date para obtener la fecha y hora actuales.
Azure CLICopiar
date
Al igual que en el modo PowerShell de la CLI, puede usar las letras az para
iniciar un comando de Azure en el modo BASH. Intente ejecutar una
actualización en la CLI con az upgrade.
Azure CLICopiar
az upgrade
Puede volver al modo de PowerShell si escribe pwsh en la línea de comandos de

BASH.
Tarea 3: Uso del modo interactivo de la CLI de
Azure
Otra manera de interactuar consiste en usar el modo interactivo de la CLI de
Azure. Esto cambia el comportamiento de la CLI para parecerse más a un
entorno de desarrollo integrado (IDE). El modo interactivo proporciona
autocompletar, descripciones de comandos e incluso ejemplos. Si no está
familiarizado con BASH y PowerShell, pero quiere usar la línea de comandos, el
modo interactivo puede ayudarle.
Escriba az interactive para entrar en modo interactivo.
Azure CLICopiar
az interactive
Decida si quiere enviar datos de telemetría y escriba SÍ o NO.
Es posible que tenga que esperar uno o dos minutos para permitir que el modo
interactivo se inicialice por completo. Después, escriba la letra "a" y la
finalización automática debería empezar a funcionar. Si la finalización
automática no funciona, borre lo que ha escrito, espere un poco más y vuelva a
intentarlo.
Una vez que se inicialice puede usar las teclas de dirección o tabulaciones para
ayudar a completar los comandos. El modo interactivo está configurado
específicamente para Azure, por lo que no es necesario escribir az para iniciar
un comando (pero puede hacerlo si quiere o tiene la costumbre de usarlo).
Vuelva a intentar los comandos upgrade o version, pero esta vez sin az delante.
Azure CLICopiar
version
Azure CLICopiar
upgrade
Los comandos deben haber funcionado igual que antes y generar los mismos
resultados. Use el comando exit para salir del modo interactivo.
Azure CLICopiar
exit
Tarea 4: Uso de Azure Portal

Durante los ejercicios del espacio aislado también tendrá la opción de usar
Azure Portal. Debe usar el vínculo proporcionado en el ejercicio para acceder a
Azure Portal. Con el vínculo proporcionado, en lugar de abrir el portal
personalmente, se asegura de usar la suscripción correcta y poder completar el
ejercicio como quiera.
Inicie sesión en Azure Portal para comprobar la interfaz web de Azure. Una vez
en el portal, puede ver todos los servicios que ofrece Azure, así como echar un
vistazo a los grupos de recursos, etc.
Continuar
Todo listo por ahora. Volverá a este espacio aislado más adelante en este
módulo y creará un recurso real de Azure.
Descripción de la infraestructura
física de Azure
A lo largo del recorrido con Microsoft Azure, escuchará y usará términos como

regiones, zonas de disponibilidad, recursos, suscripciones, etc. Este módulo se
centra en los principales componentes arquitectónicos de Azure. Los
componentes arquitectónicos principales de Azure se pueden dividir en dos
grandes grupos: la infraestructura física y la infraestructura de administración.
Infraestructura física
La infraestructura física de Azure comienza con los centros de datos.
Conceptualmente, los centros de datos son iguales que los grandes centros de
datos corporativos. Son instalaciones con recursos organizados en bastidores,
con potencia dedicada, refrigeración e infraestructura de red.
Como proveedor de nube global, Azure tiene centros de datos en todo el

mundo. Pero estos centros de datos individuales no son accesibles
directamente. Los centros de datos se agrupan en regiones de Azure o
Azure Availability Zones, están diseñados para ayudarle a lograr resistencia y
confiabilidad para las cargas de trabajo críticas para la empresa.
El sitio de infraestructura global le ofrece la oportunidad de explorar de manera

interactiva la infraestructura subyacente de Azure.
Regions
Una región es un área geográfica del planeta que contiene al menos un centro
de datos, aunque podrían ser varios cercanos y conectados mediante una red
de baja latencia. Azure asigna y controla los recursos de forma inteligente
dentro de cada región para garantizar que las cargas de trabajo están bien
compensadas.
Al implementar un recurso en Azure, es habitual tener que elegir la región en la

que quiere que se implemente el recurso.
Nota
Algunos servicios o características de las máquinas virtuales (VM) solo están
disponibles en determinadas regiones, como, por ejemplo, tipos de
almacenamiento o tamaños de VM específicos. También hay algunos servicios
globales de Azure que no requieren que seleccione una región concreta, como
Azure Active Directory, Azure Traffic Manager o Azure DNS.
Availability Zones
Las zonas de disponibilidad son centros de datos separados físicamente dentro

de una región de Azure. Cada zona de disponibilidad consta de uno o varios
centros de datos equipados con alimentación, refrigeración y redes
independientes. Una zona de disponibilidad se configura para constituir un
límite de aislamiento. Si una zona deja de funcionar, la otra continúa trabajando.
Las zonas de disponibilidad están conectadas a través de redes de fibra óptica
de alta velocidad privadas.
Importante
Para garantizar la resistencia, se configuran un mínimo de tres zonas de

disponibilidad independientes en todas las regiones habilitadas. Pero no todas
las regiones de Azure admiten actualmente las zonas de disponibilidad.
Uso de las zonas de disponibilidad en sus aplicaciones
A fin de proteger la información en caso de error, deberá asegurarse de que los

servicios y datos son redundantes. Si hospeda su infraestructura, configurar su
propia redundancia requiere la creación de entornos de hardware duplicados.
Azure puede ayudar a que la aplicación tenga alta disponibilidad a través de
zonas de disponibilidad.
Puede usar zonas de disponibilidad para ejecutar aplicaciones críticas y

conseguir una alta disponibilidad en la arquitectura de sus aplicaciones si coloca
los recursos de proceso, almacenamiento, red y datos dentro de una zona y los
replica en otras. Recuerde que la duplicación de los servicios y la transferencia
de datos entre zonas de disponibilidad podrían suponer un costo.
Las zonas de disponibilidad son principalmente para las máquinas virtuales, los
discos administrados, los equilibradores de carga y las bases de datos SQL. Los
servicios de Azure que admiten zonas de disponibilidad se dividen en tres
categorías:
 Servicios de zona: ancle el recurso a una zona específica (por ejemplo,

máquinas virtuales, discos administrados, direcciones IP).
 Servicios de redundancia de zona: la plataforma se replica
automáticamente entre zonas (por ejemplo, almacenamiento con
redundancia de zona, SQL Database).
 Servicios no regionales: los servicios siempre están disponibles en las
ubicaciones geográficas de Azure y son resistentes a las interrupciones de
toda la zona, así como a las de toda la región.
Incluso con la resistencia adicional que proporcionan las zonas de

disponibilidad, es posible que un evento pueda ser tan grande que afecte a
varias zonas de disponibilidad en una sola región. Para proporcionar una mayor
resistencia, Azure tiene pares de regiones.
Pares de región
La mayoría de las regiones de Azure se emparejan con otra región de la misma

zona geográfica (por ejemplo, EE. UU., Europa o Asia) que se encuentre como
mínimo a 500 km de distancia. Este enfoque permite la replicación de recursos
en una zona geográfica que ayuda a reducir la probabilidad de que se
produzcan interrupciones provocadas por eventos como desastres naturales,
disturbios sociales, cortes del suministro eléctrico o interrupciones de la red
física que afecten a una región completa. Por ejemplo, si una región de un par
se ve afectada por un desastre natural, los servicios conmutarán por error
automáticamente a la otra región de su par de regiones.
Importante
No todos los servicios de Azure replican automáticamente los datos ni se

replican automáticamente desde una región con errores para la replicación
cruzada en otra región habilitada. En estos escenarios, el cliente debe configurar
la replicación y la recuperación.
Algunos pares de regiones de ejemplo en Azure son Oeste de EE. UU. y Este de

EE. UU., y Sudeste Asiático y Asia Pacífico. Como las dos regiones están
directamente conectadas y lo suficientemente lejos como para estar aisladas
contra desastres regionales, puede usarlas para proporcionar redundancia de
datos y servicios de confianza.
Ventajas adicionales de los pares de región:

 Si se produce una gran interrupción de Azure, se da prioridad a una
región de cada par para asegurarse de que al menos una se restaure lo
más rápido posible para las aplicaciones hospedadas en ese par de
regiones.
 Las actualizaciones planeadas de Azure se implementan una a una en
regiones emparejadas para minimizar el tiempo de inactividad y el riesgo
de interrupción de la aplicación.
 Los datos siguen residiendo en la misma zona geográfica que su pareja
(excepto Sur de Brasil) con fines de jurisdicción fiscal y de aplicación de la
ley.
Importante
La mayoría de las regiones se emparejan en dos direcciones, es decir, son la

copia de seguridad de la región que proporciona una copia de seguridad para
ellas (Oeste de EE. UU. y Este de EE. UU. se copian entre sí). Sin embargo,
algunas regiones, como Oeste de la India y Sur de Brasil, se emparejan en una
sola dirección. En un emparejamiento unidireccional, la región primaria no
proporciona copia de seguridad para su región secundaria. Por tanto, aunque la
región secundaria de la India Occidental es Sur de la India, Sur de la India no
depende de la India Occidental. La región secundaria del India occidental es Sur
de la India, pero la región secundaria esta última es Centro de la India. Sur de
Brasil es un caso único porque se empareja con una región fuera de su
ubicación geográfica. La región secundaria de Sur de Brasil es Centro-sur de
EE. UU. La región secundaria de Centro-sur de EE. UU. no es Sur de Brasil.
Regiones soberanas
Además de las regiones normales, Azure también tiene regiones soberanas. Las
regiones soberanas son instancias de Azure que están aisladas de la instancia
principal de Azure. Es posible que tenga que usar una región soberana con fines
legales o de cumplimiento.
Entre las regiones soberanas de Azure se incluyen las siguientes:
 US DoD (centro), US Gov Virginia, US Gov Iowa y más: Estas regiones son
instancias físicas y lógicas con aislamiento de red de Azure para asociados
y agencias de la administración pública de EE. UU. Estos centros de datos
están operados por personal estadounidense sometido a evaluación e
incluyen certificaciones de cumplimiento adicionales.
 Este de China, Norte de China y más: Estas regiones están disponibles
gracias a una asociación exclusiva entre Microsoft y 21Vianet, por la cual
Microsoft no mantiene directamente los centros de datos.
Descripción de la infraestructura de
administración de Azure
La infraestructura de administración incluye recursos de Azure y grupos de
recursos, suscripciones y cuentas. Comprender la organización jerárquica le
ayudará a planear los proyectos y productos dentro de Azure.
Recursos y grupos de recursos de Azure

Un recurso es el bloque de creación básico de Azure. Todo lo que cree,
aprovisione, implemente, etc., es un recurso. Máquinas virtuales (VM), redes
virtuales, bases de datos, servicios cognitivos, etc., se consideran recursos
dentro de Azure.
Los grupos de recursos son simplemente agrupaciones de recursos. Al crear un

recurso, es necesario colocarlo en un grupo de recursos. Aunque un grupo de
recursos puede contener muchos recursos, un único recurso solo puede estar en
un grupo de recursos a la vez. Es posible que algunos recursos se muevan entre
grupos de recursos, pero al mover un recurso a un nuevo grupo, ya no estará
asociado al grupo anterior. Además, los grupos de recursos no se pueden
anidar, lo que significa que no se puede colocar el grupo de recursos B dentro
del grupo de recursos A.
Los grupos de recursos proporcionan una manera cómoda de agrupar recursos.

Al aplicar una acción a un grupo de recursos, se aplicará a todos los recursos
que contiene. Si elimina un grupo de recursos, se eliminarán todos los recursos
que contiene. Si concede o deniega el acceso a un grupo de recursos, habrá
concedido o denegado acceso a todos los recursos que contiene.
Al aprovisionar recursos, es conveniente pensar en la estructura del grupo de

recursos que mejor se adapte a las necesidades.
Por ejemplo, si va a configurar un entorno de desarrollo temporal, agrupar

todos los recursos significa que puede desaprovisionar todos los recursos
asociados a la vez si elimina el grupo de recursos. Si va a aprovisionar recursos
de proceso que necesitarán tres esquemas de acceso diferentes, puede ser
mejor agruparlos en función del esquema de acceso y, después, asignar acceso
en el nivel de grupo de recursos.
No hay reglas rígidas sobre cómo se usan los grupos de recursos, por lo que
debe tener en cuenta cómo configurarlos para maximizar su utilidad.
Suscripciones de Azure
En Azure, las suscripciones son una unidad de administración, facturación y
escala. Al igual que los grupos de recursos son una manera de organizar
lógicamente los recursos, las suscripciones permiten organizar lógicamente los
grupos de recursos y facilitar la facturación.
* El uso de Azure requiere una suscripción de Azure. Una suscripción le

proporciona acceso autenticado y autorizado a los servicios y productos de
Azure. Además, también le permite aprovisionar los recursos. Una suscripción
de Azure se vincula a una cuenta de Azure, que es una identidad en
Azure Active Directory (Azure AD) o en un directorio en el que Azure AD confía.
Una cuenta puede tener varias suscripciones, pero solo es obligatorio tener una.
En una cuenta de varias suscripciones, puede usarlas para configurar diferentes
modelos de facturación y aplicar diferentes directivas de administración de
acceso. Puede usar las suscripciones de Azure para definir límites en torno a los
productos, servicios y recursos de Azure. Hay dos tipos de límites de suscripción
que puede utilizar:
 Límite de facturación: Este tipo de suscripción determina cómo se

factura una cuenta de Azure por el uso de Azure. Puede crear varias
suscripciones para diferentes tipos de requisitos de facturación. Azure
genera facturas e informes de facturación independientes para cada
suscripción, de modo que pueda organizar y administrar los costos.
 Límite de control de acceso: Azure aplica las directivas de administración
de acceso en el nivel de suscripción, por lo que puede crear suscripciones
independientes para reflejar distintas estructuras organizativas. Por
ejemplo, dentro de una empresa hay diferentes departamentos a los que
se pueden aplicar directivas de suscripción de Azure distintas. Este
modelo de facturación le permite administrar y controlar el acceso a los
recursos que los usuarios aprovisionan con suscripciones específicas.
Creación de una suscripción de Azure adicional
De forma similar al uso de grupos de recursos para separar los recursos por
función o acceso, es posible que quiera crear suscripciones adicionales con fines
de administración de recursos o facturación. Por ejemplo, puede optar por crear
suscripciones adicionales para separar lo siguiente:
 Entornos: puede optar por crear suscripciones con el fin de configurar

entornos independientes para el desarrollo y las pruebas, para seguridad
o para aislar los datos por motivos de cumplimiento. Este diseño es
especialmente útil porque el control de acceso a los recursos se produce
en el nivel de suscripción.
 Estructuras organizativas: puede crear suscripciones para reflejar las
distintas estructuras organizativas. Por ejemplo, podría limitar un equipo a
recursos de bajo costo, al tiempo que permite que el departamento de TI
tenga un alcance completo. Este diseño permite administrar y controlar el
acceso a los recursos que los usuarios aprovisionan en cada suscripción.
 Facturación: puede crear suscripciones adicionales con fines de
facturación. Dado que los costos se agregan primero en el nivel de
suscripción, es posible que quiera crear suscripciones para administrar y
realizar un seguimiento de los costos en función de sus necesidades. Por
ejemplo, puede que quiera crear una suscripción para las cargas de
trabajo de producción, y otra suscripción para las cargas de trabajo de
desarrollo y pruebas.
Grupos de administración de Azure

La última pieza es el grupo de administración. Los recursos se recopilan en
grupos de recursos y los grupos de recursos se recopilan en suscripciones. Si
acaba de empezar en Azure, podría parecer una jerarquía suficiente para
mantener las cosas organizadas. Pero imagine que trabaja con varias
aplicaciones, varios equipos de desarrollo, en varias zonas geográficas.
Si tiene muchas suscripciones, es posible que necesite una forma de administrar

con eficacia el acceso, las directivas y el cumplimiento para esas suscripciones.
Los grupos de administración de Azure proporcionan un nivel de ámbito por
encima de las suscripciones. Las suscripciones se organizan en contenedores
llamados grupos de administración, a los que se aplican condiciones de
gobernanza. Todas las suscripciones de un grupo de administración heredan
automáticamente las condiciones que tenga aplicadas, de la misma manera que
los grupos de recursos heredan la configuración de las suscripciones y los
recursos heredan de los grupos de recursos. Los grupos de administración
proporcionan capacidad de administración de nivel empresarial a gran escala
con independencia del tipo de suscripciones que tenga. Los grupos de
administración se pueden anidar.
Jerarquía de grupo de administración,

suscripciones y grupo de recursos
Puede compilar una estructura flexible de grupos de administración y
suscripciones para organizar los recursos en una jerarquía para una
administración unificada de las directivas y el acceso. El diagrama siguiente
muestra un ejemplo de creación de una jerarquía para la gobernanza mediante
grupos de administración.
Algunos ejemplos de cómo podría usar los grupos de administración podrían

ser los siguientes:
 Crear una jerarquía que aplique una directiva. Podría limitar las
ubicaciones de las máquinas virtuales a la región Oeste de EE. UU. en un
grupo denominado Producción. Esta directiva se heredará en todas las
suscripciones descendientes de ese grupo de administración y se aplicará
a todas las máquinas virtuales de esas suscripciones. El propietario de los
recursos o las suscripciones no puede modificar esta directiva de
seguridad, lo que permite una gobernanza mejorada.
 Proporcionar acceso de usuario a varias suscripciones. Al mover varias
suscripciones bajo un grupo de administración, puede crear una
asignación del control de acceso basado en roles (RBAC) en el grupo de
administración. La asignación de RBAC de Azure en el nivel de grupo de
administración significa que todos los grupos de administración
secundaria, las suscripciones, los grupos de recursos y los recursos bajo
ese grupo de administración también heredarían esos permisos. Una
asignación en el grupo de administración puede permitir a los usuarios
tener acceso a todo lo que necesitan, en lugar de crear scripts de Azure
RBAC sobre las distintas suscripciones.
Datos importantes sobre los grupos de administración:
 Se admiten 10 000 grupos de administración en un único directorio.

 Un árbol de grupo de administración puede admitir hasta seis niveles de
profundidad. Este límite no incluye el nivel raíz ni el nivel de suscripción.
 Cada grupo de administración y suscripción solo puede admitir un
elemento primario.
Ejercicio: Creación de un recurso de

Azure


En este ejercicio, usará Azure Portal para crear un recurso. El objetivo del
ejercicio es observar cómo se rellenan los grupos de recursos de Azure con los
recursos creados.
El espacio aislado ya debe estar activado, pero si está cerrado, vuelva a activarlo
antes de continuar.
Tarea 1: Creación de una máquina virtual
En esta tarea, creará una máquina virtual mediante Azure Portal.
1. Inicie sesión en Azure Portal.

2. Seleccione Crear un recurso > Proceso > Máquina virtual > Crear.
3. El panel Crear una máquina virtual se abre en la pestaña Aspectos
básicos.
4. Compruebe o escriba los valores siguientes para cada opción. Si no
se especifica un valor, deje el predeterminado.
Pestaña Aspectos básicos
Configuración Valor
Subscription Suscripción de Concierge
Grupo de recursos Seleccione el nombre del grupo de recursos que comie
Nombre de la máquina virtual my-VM
Tipo de autenticación Contraseña
Nombre de usuario azureuser
Contraseña Escriba una contraseña personalizada
Confirmación de la contraseña Vuelva a escribir la contraseña personalizada
Puertos de entrada públicos Ninguno
5. Seleccione Revisar y crear.
Importante
Los detalles del producto incluirán un costo asociado a la creación de la

máquina virtual. Se trata de una función del sistema. Si va a crear la máquina
virtual en el espacio aislado de Learn, en realidad no incurrirá en ningún costo.
6. Seleccionar Crear
Espere mientras se aprovisiona la máquina virtual. La implementación está en

curso y cambiará a Implementación completada cuando la máquina virtual esté
lista.
Tarea 2: Comprobación de los recursos creados

Una vez que se cree la implementación, puede comprobar que Azure ha creado
no solo una máquina virtual, sino todos los recursos asociados que necesita la
máquina virtual.
1. Seleccione Inicio.
2. Seleccione Grupos de recursos.
3. Seleccione el grupo de recursos [nombre del grupo de recursos del
espacio aislado].
Debería ver una lista de recursos en el grupo de recursos. La cuenta de

almacenamiento y la red virtual están asociadas al espacio aislado de Learn.
Pero el resto de los recursos se han creado al crear la máquina virtual. De
manera predeterminada, Azure les ha asignado un nombre similar para ayudar
con la asociación y los ha agrupado en el mismo grupo de recursos.
Felicidades. Ha creado un recurso en Azure y ha tenido la oportunidad de ver

cómo se agrupan los recursos en la creación.
Limpieza
El espacio aislado limpia los recursos automáticamente cuando haya terminado
con este módulo.
Al trabajar en una suscripción propia, se recomienda identificar al final de un

proyecto si aún necesita los recursos creados. Los recursos que deja en
ejecución pueden costar dinero. Puede eliminar los recursos de forma individual
o eliminar el grupo de recursos para eliminar todo el conjunto de recursos.
Descripción de Azure Virtual
Machines
Con Azure Virtual Machines (VM), puede crear y usar máquinas virtuales en la

nube. Estas máquinas virtuales proporcionan una infraestructura como servicio
(IaaS) en forma de un servidor virtualizado y se pueden usar de muchas formas.
Como sucede en un equipo físico, puede personalizar todo el software que se
ejecuta en la máquina virtual. Las máquinas virtuales son una opción ideal
cuando se necesita lo siguiente:
 Control total sobre el sistema operativo (SO).

 Capacidad de ejecutar software personalizado.
 Usar configuraciones de hospedaje personalizadas.
Una máquina virtual de Azure le ofrece la flexibilidad de la virtualización sin
necesidad de adquirir y mantener el hardware físico que ejecuta la máquina
virtual. Pero, como oferta de IaaS, tendrá que configurar, actualizar y mantener
el software que se ejecuta en la máquina virtual.
Incluso puede crear o usar una imagen ya creada para aprovisionar rápidamente
máquinas virtuales. Al seleccionar una imagen de máquina virtual
preconfigurada, podrá crear y aprovisionar una máquina virtual en cuestión de
minutos. Una imagen es una plantilla que se usa para crear una máquina virtual
y puede que ya incluya un sistema operativo y otro software, como
herramientas de desarrollo o entornos de hospedaje web.
Escalado de máquinas virtuales en Azure

Se pueden ejecutar máquinas virtuales únicas para pruebas, desarrollo o tareas
secundarias. También se pueden agrupar las máquinas virtuales para
proporcionar alta disponibilidad, escalabilidad y redundancia. Azure también
puede administrar la agrupación de máquinas virtuales con características como
conjuntos de escalado y conjuntos de disponibilidad.
Conjuntos de escalado de máquinas virtuales
Los conjuntos de escalado de máquinas virtuales permiten crear y administrar

un grupo de máquinas virtuales idénticas, de carga equilibrada. Si simplemente
ha creado varias máquinas virtuales con el mismo propósito, tendría que
asegurarse de que todas se han configurado de forma idéntica y, después,
configurar parámetros de enrutamiento de red para garantizar la eficacia.
También tendría que supervisar el uso para determinar si necesita aumentar o
disminuir el número de máquinas virtuales.
En su lugar, con los conjuntos de escalado de máquinas virtuales, Azure

automatiza la mayor parte de ese trabajo. Los conjuntos de escalado le
permiten administrar, configurar y actualizar de forma centralizada un gran
número de máquinas virtuales en cuestión de minutos. El número de instancias
de máquina virtual puede aumentar o disminuir automáticamente según la
demanda, o bien puede establecerlo para que se escale en función de una
programación definida. Los conjuntos de escalado de máquinas virtuales
también implementan automáticamente un equilibrador de carga para
asegurarse de que los recursos se usan de forma eficaz. Con los conjuntos de
escalado de máquinas virtuales, puede crear servicios a gran escala para áreas
como proceso, macrodatos y cargas de trabajo de contenedor.
Conjuntos de disponibilidad de máquinas virtuales
Los conjuntos de disponibilidad de máquinas virtuales son otra herramienta que

le ayudará a crear un entorno más resistente y de alta disponibilidad. Los
conjuntos de disponibilidad están diseñados para garantizar que las máquinas
virtuales escalen las actualizaciones y tengan una conectividad de red y potencia
variadas, lo que evita que se pierdan todas las máquinas virtuales debido a un
solo fallo de energía o de la red.
Los conjuntos de disponibilidad lo hacen mediante la agrupación de las

máquinas virtuales de dos maneras: dominio de actualización y dominio de
error.
 Dominio de actualización: agrupa las máquinas virtuales que se pueden

reiniciar al mismo tiempo. Esto le permite aplicar actualizaciones mientras
sabe que solo una agrupación de dominios de actualización estará sin
conexión a la vez. Se actualizarán todas las máquinas de un dominio de
actualización. A un grupo de actualizaciones que realiza el proceso de
actualización se le asigna un tiempo de 30 minutos de recuperación antes
de que se inicie el mantenimiento en el siguiente dominio de
actualización.
 Dominio de error: agrupa las máquinas virtuales por fuente de
alimentación común y conmutador de red. De forma predeterminada, un
conjunto de disponibilidad dividirá las máquinas virtuales en un máximo
de tres dominios de error. Esto ayuda a protegerse frente a un error de
alimentación física o de la red al tener las máquinas virtuales en dominios
de error diferentes (por tanto, conectadas a diferentes recursos de
alimentación y red).
Lo mejor de todo es que la configuración de un conjunto de disponibilidad no

supone ningún costo adicional. Solo paga por las instancias de máquina virtual
que cree.
Ejemplos de cuándo usar máquinas virtuales

Algunos ejemplos comunes o casos de uso para máquinas virtuales son los
siguientes:
 Durante las pruebas y el desarrollo. Las máquinas virtuales

proporcionan una manera rápida y sencilla de crear distintas
configuraciones de sistema operativo y de aplicación. El personal
encargado de las pruebas y del desarrollo puede eliminar fácilmente las
máquinas virtuales cuando ya no las necesite.
 Al ejecutar aplicaciones en la nube. La capacidad de ejecutar
determinadas aplicaciones en la nube pública, en lugar de crear una
infraestructura tradicional para ejecutarlas, puede proporcionar
importantes beneficios económicos. Por ejemplo, es posible que una
aplicación necesite controlar las fluctuaciones en la demanda. Apagar las
máquinas virtuales cuando no las necesite o iniciarlas rápidamente para
satisfacer un aumento repentino de la demanda significa que solo paga
por los recursos que se usan.
 Al ampliar el centro de datos a la nube: una organización puede
extender las capacidades de su propia red local mediante la creación de
una red virtual en Azure y la adición de máquinas virtuales a esa red
virtual. Las aplicaciones como SharePoint se pueden ejecutar en una
máquina virtual de Azure en lugar de hacerlo de forma local. Esta
disposición hace que sea más sencilla o menos costosa de implementar
que en un entorno local.
 Durante la recuperación ante desastres: como sucede con la ejecución
de ciertos tipos de aplicaciones en la nube y la ampliación de una red
local a la nube, puede obtener un ahorro considerable en costos si se usa
un enfoque basado en IaaS para la recuperación ante desastres. Si se
produce un error en un centro de datos principal, puede crear máquinas
virtuales que se ejecuten en Azure para ejecutar las aplicaciones críticas y,
después, puede apagarlas cuando el centro de datos principal vuelva a
estar operativo.
Traslado a la nube con máquinas virtuales

Las máquinas virtuales también son una opción excelente cuando se mueve de
un servidor físico a la nube (también conocido como Lift-and-shift). Puede crear
una imagen del servidor físico y hospedarla en una máquina virtual con pocos o
ningún cambio. Al igual que un servidor local físico, debe mantener la máquina
virtual: es responsable de mantener el sistema operativo y el software
instalados.
Recursos de máquina virtual

Al aprovisionar una máquina virtual, también tendrá la oportunidad de elegir los
recursos asociados a esa máquina virtual, como los siguientes:
 Tamaño (propósito, número de núcleos de procesador y cantidad de

RAM)
 Discos de almacenamiento (unidades de disco duro, unidades de estado
sólido, etc.)
 Redes (red virtual, dirección IP pública y configuración de puertos)
Ejercicio: Creación de una máquina
virtual de Azure


En este ejercicio, creará una máquina virtual (VM) de Azure e instalará Nginx, un
servidor web popular.
Por ejemplo, puede usar Azure Portal, la CLI de Azure, Azure PowerShell o una
plantilla de Azure Resource Manager (ARM).
En este caso, usará la CLI de Azure.
Tarea 1: Creación de una máquina virtual Linux e

instalación de Nginx
Use los comandos siguientes de la CLI de Azure para crear una máquina virtual
Linux e instalar Nginx. Una vez creada la máquina virtual, usará la extensión de
script personalizado para instalar Nginx. La extensión de script personalizado es
una manera fácil de descargar y ejecutar scripts en máquinas virtuales de Azure.
Es solo una de las numerosas formas de configurar el sistema después de que la
máquina virtual esté en funcionamiento.
1. Desde Cloud Shell, ejecute el siguiente comando az vm create para

crear una máquina virtual Linux:
Azure CLICopiar
az vm create \
--resource-group [sandbox resource group name] \
--name my-vm \
--image UbuntuLTS \
--admin-username azureuser \
--generate-ssh-keys
La máquina virtual tardará unos minutos en aparecer. Asigne el

nombre my-vm a la máquina virtual. Use este nombre para hacer
referencia a la máquina virtual en los pasos posteriores.
2. Ejecute el siguiente comando az vm extension set para configurar

Nginx en la máquina virtual:
Azure CLICopiar
az vm extension set \
--vm-name my-vm \
--name customScript \
--publisher Microsoft.Azure.Extensions \
--version 2.1 \
--settings
'{"fileUris":["https://raw.githubusercontent.com/MicrosoftDocs/ms
learn-welcome-to-azure/master/configure-nginx.sh"]}' \
--protected-settings '{"commandToExecute": "./configure-
nginx.sh"}'
Este comando usa la extensión de script personalizado para ejecutar

un script de Bash en la máquina virtual. El script se almacena en
GitHub. Mientras se ejecuta el comando, puede optar por examinar
el script de Bash en una pestaña independiente del explorador. Para
resumir, el script:
a. Ejecuta apt-get update para descargar la información más

reciente del paquete desde Internet. Este paso ayuda a
garantizar que el siguiente comando pueda encontrar la
versión más reciente del paquete Nginx.
b. Instala Nginx.
c. Establece la página principal, /var/www/html/index.html,
para que imprima un mensaje de bienvenida en el que se
incluye el nombre de host de la máquina virtual.
Continuar
Eso es todo para este ejercicio. El espacio aislado seguirá ejecutándose y volverá
a este punto en algunas unidades para actualizar la configuración de red para
que pueda acceder al sitio web.
Descripción de Azure Virtual Desktop
Otro tipo de máquina virtual es Azure Virtual Desktop. Azure Virtual Desktop es
un servicio de virtualización de escritorios y aplicaciones que se ejecuta en la
nube. Le permite usar una versión hospedada en la nube de Windows desde
cualquier ubicación. Azure Virtual Desktop funciona en dispositivos y sistemas
operativos, y funciona con aplicaciones que puede usar para acceder a
escritorios remotos o a la mayoría de exploradores modernos.
En el vídeo siguiente se ofrece una introducción sobre Azure Virtual Desktop:
Aumento de la seguridad
Azure Virtual Desktop proporciona administración centralizada de la seguridad
de los escritorios de los usuarios con Azure Active Directory (Azure AD). Puede
habilitar la autenticación multifactor para proteger los inicios de sesión de los
usuarios. También puede proteger el acceso a los datos mediante la asignación
a los usuarios de controles de acceso basados en roles (RBAC) detallados.
Con Azure Virtual Desktop, los datos y las aplicaciones se separan del hardware
local y El escritorio y las aplicaciones reales se ejecutan en la nube, lo que
significa que se reduce el riesgo de dejar datos confidenciales en un dispositivo
personal. Además, las sesiones de usuario están aisladas en entornos de una o
varias sesiones.
Implementación de sesión múltiple de

Windows 10 o Windows 11
Azure Virtual Desktop permite usar la sesión múltiple de Windows 10 o
Windows 11 Enterprise, el único sistema operativo basado en cliente de
Windows que permite varios usuarios simultáneos en una sola máquina virtual.
Azure Virtual Desktop también proporciona una experiencia más coherente
gracias a la compatibilidad más amplia con las aplicaciones en comparación con
los sistemas operativos basados en Windows Server.
Descripción de contenedores de
Azure
A pesar de que las máquinas virtuales son una excelente manera de reducir los
costos frente a las inversiones que son necesarias para el hardware físico, están
limitadas a un solo sistema operativo por máquina virtual. Los contenedores son
una excelente opción si quiere ejecutar varias instancias de una aplicación en un
solo equipo host.
¿Qué son los contenedores?

Los contenedores son un entorno de virtualización. Al igual que la ejecución de
varias máquinas virtuales en un solo host físico, se pueden ejecutar varios
contenedores en un solo host físico o virtual. A diferencia de las máquinas
virtuales, no se administra el sistema operativo de un contenedor. Las máquinas
virtuales son similares a una instancia de sistema operativo que se puede
conectar y administrar. Los contenedores son ligeros y se han diseñado para
crearse, escalarse horizontalmente y detenerse de forma dinámica. Es posible
crear e implementar máquinas virtuales a medida que aumenta la demanda de
aplicaciones, pero los contenedores son un método más ligero y ágil. Los
contenedores están diseñados para permitirle responder a petición a los
cambios. Con los contenedores puede reiniciar rápidamente en caso de bloqueo
o interrupción del hardware. Uno de los motores de contenedor más populares
es Docker, que es compatible con Azure.
Comparación de máquinas virtuales con

contenedores
En el vídeo siguiente se resaltan algunas de las diferencias importantes entre las
máquinas virtuales y los contenedores:
Azure Container Instances
Azure Container Instances ofrece la forma más rápida y sencilla de ejecutar un

contenedor en Azure sin tener que administrar máquinas virtuales o adoptar
servicios adicionales. Azure Container Instances es una oferta de plataforma
como servicio (PaaS). Azure Container Instances le permite cargar los
contenedores. A continuación, el servicio ejecutará los contenedores por usted.
Uso de contenedores en las soluciones
Los contenedores se usan normalmente para crear soluciones mediante una

arquitectura de microservicios. Esta arquitectura es donde se dividen las
soluciones en partes más pequeñas e independientes. Por ejemplo, se puede
dividir un sitio web en un contenedor que hospeda el front-end, otro que
hospeda el back-end y un tercero para el almacenamiento. De esta forma,
puede separar partes de la aplicación en secciones lógicas que se pueden
mantener, escalar o actualizar independientemente.
Imagine que el back-end de su sitio web ha alcanzado el límite de su capacidad,

pero el front-end y el almacenamiento no están sobrecargados. Con los
contenedores puede escalar el back-end por separado para mejorar el
rendimiento. Si algo requiere este cambio, también puede optar por cambiar el
servicio de almacenamiento o modificar el front-end sin afectar a ninguno de
los otros componentes.
Descripción de Azure Functions
Azure Functions es una opción de proceso sin servidor controlada por eventos
que no necesita el mantenimiento de máquinas virtuales ni contenedores. Si
compila una aplicación mediante máquinas virtuales o contenedores, esos
recursos deben "ejecutarse" para que la aplicación funcione. Con Azure
Functions, un evento activa la función, lo que reduce la necesidad de mantener
los recursos aprovisionados cuando no hay ningún evento.
Informática sin servidor en Azure
Ventajas de Azure Functions

El uso de Azure Functions es idóneo si solo le interesa el código que ejecuta el
servicio y no la infraestructura o la plataforma subyacente. Las funciones se usan
normalmente cuando se debe realizar un trabajo en respuesta a un evento (a
menudo a través de una solicitud REST), un temporizador o un mensaje de otro
servicio de Azure, y cuando ese trabajo puede completarse rápidamente, en
segundos o en menos tiempo.
Functions se escala automáticamente según la demanda, por lo que es una

opción correcta cuando la demanda es variable.
Azure Functions ejecuta el código cuando se desencadena y desasigna recursos
automáticamente cuando la función finaliza. En este modelo, solo se le cobrará
por el tiempo de CPU usado mientras se ejecuta la función.
Las funciones pueden ser sin estado o con estado. Cuando son sin estado (valor
predeterminado), se comportan como si se reiniciaran cada vez que responden
a un evento. Cuando son con estado (denominado Durable Functions), se pasa
un contexto a través de la función para realizar el seguimiento antes de la
actividad.
Las funciones son un componente clave de la informática sin servidor. También

son una plataforma de proceso general para ejecutar cualquier tipo de código.
Si cambian las necesidades de la aplicación del desarrollador, se puede
implementar el proyecto en un entorno que no sea sin servidor. Esta flexibilidad
permite administrar el escalado, ejecutar en redes virtuales e incluso aislar por
completo las funciones.
Descripción de las opciones de

hospedaje de aplicaciones
Si necesita hospedar la aplicación en Azure, es posible que cambie inicialmente

a una máquina virtual (VM) o a contenedores. Tanto las máquinas virtuales
como los contenedores proporcionan excelentes soluciones de hospedaje. Las
máquinas virtuales proporcionan el máximo control del entorno de hospedaje y
le permiten configurarlo exactamente como desea. Las máquinas virtuales
también pueden ser el método de hospedaje más conocido si no está
familiarizado con la nube. Los contenedores, con la capacidad de aislar y
administrar individualmente diferentes aspectos de la solución de hospedaje,
también pueden ser una opción sólida y atractiva.
Hay otras opciones de hospedaje que puede usar con Azure, incluido Azure App
Service.
Azure App Service

App Service permite crear y hospedar aplicaciones web, trabajos en segundo
plano, back-ends móviles y API RESTful en el lenguaje de programación que
prefiera, sin tener que administrar la infraestructura. Ofrece escalado automático
y alta disponibilidad. App Service admite Windows y Linux. Permite
implementaciones automatizadas desde GitHub, Azure DevOps o cualquier
repositorio Git para admitir un modelo de implementación continua.
Azure App Service es una opción de hospedaje sólida que puede usar para
hospedar las aplicaciones en Azure. Azure App Service le permite centrarse en la
creación y el mantenimiento de la aplicación, y Azure se centra en mantener el
entorno en funcionamiento.
Azure App Service es un servicio basado en HTTP para hospedar aplicaciones

web, API de REST y back-ends para dispositivos móviles. Admite varios
lenguajes, incluidos .NET, .NET Core, Java, Ruby, Node.js, PHP o Python.
También admite entornos de Windows y Linux.
Tipos de servicios de aplicaciones
Con App Service, puede hospedar la mayoría de los estilos de servicio de

aplicación más comunes, como los siguientes:
 Aplicaciones web
 Aplicaciones de API
 Trabajos web
 Aplicaciones móviles
App Service controla la mayoría de las decisiones sobre la infraestructura que se

tratan en el hospedaje de aplicaciones accesibles desde la web:
 La implementación y administración se integran en la plataforma.

 Los puntos de conexión se pueden proteger.
 Los sitios se pueden escalar rápidamente para controlar cargas de tráfico
elevado.
 El equilibrio de carga integrado y el administrador de tráfico proporcionan
alta disponibilidad.
Todos estos estilos de aplicación se hospedan en la misma infraestructura y

comparten estas ventajas. Esto convierte a App Service en la elección ideal para
hospedar aplicaciones orientadas a la web.
Aplicaciones web
App Service incluye compatibilidad completa para hospedar aplicaciones web

mediante ASP.NET, ASP.NET Core, Java, Ruby, Node.js, PHP o Python. Puede
elegir Windows o Linux como sistema operativo del host.
Aplicaciones de API
Al igual que al hospedar un sitio web, puede compilar API web basadas en REST
mediante el lenguaje y el marco que prefiera. Se obtiene compatibilidad
completa con Swagger y la posibilidad de empaquetar y publicar la API en
Azure Marketplace. Las aplicaciones producidas se pueden consumir desde
cualquier cliente basado en HTTP o HTTPS.
Trabajos web
Se puede usar la característica WebJobs para ejecutar un programa (.exe, Java,

PHP, Python o Node.js) o un script (.cmd, .bat, PowerShell o Bash) en el mismo
contexto que una aplicación web, aplicación de API o aplicación móvil. Los
puede programar o ejecutar un desencadenador. Los trabajos web suelen
usarse para ejecutar tareas en segundo plano como parte de la lógica de
aplicación.
Aplicaciones móviles
Use la característica Mobile Apps de App Service a fin de compilar rápidamente

un back-end para aplicaciones iOS y Android. Con unos pocos clics en el Portal
de Azure, puede realizar lo siguiente:
 Almacenar los datos de aplicaciones móviles en una base de datos SQL

basada en la nube.
 Autenticar a clientes con proveedores sociales comunes, como MSA,
Google, Twitter y Facebook.
 Enviar notificaciones de inserción.
 Ejecutar lógica de back-end personalizada en C# o Node.js.
En el lado de la aplicación móvil, hay compatibilidad con el SDK para

aplicaciones nativas de iOS y Android, Xamarin y React.
Descripción de las redes virtuales de

Azure
Las redes virtuales y las subredes virtuales de Azure permiten a los recursos de
Azure, como las máquinas virtuales, las aplicaciones web y las bases de datos,
comunicarse entre sí, con los usuarios de Internet y con los equipos cliente en el
entorno local. Una red de Azure se puede considerar una extensión de la red
local con recursos que vinculan otros recursos de Azure.
Las redes virtuales de Azure proporcionan las importantes funcionalidades de

red siguientes:
 Aislamiento y segmentación
 Comunicación con Internet
 Comunicación entre recursos de Azure
 Comunicación con los recursos locales
 Enrutamiento del tráfico de red
 Filtrado del tráfico de red
 Conexión de redes virtuales
Las redes virtuales de Azure admiten puntos de conexión públicos y privados

para permitir la comunicación entre recursos externos o internos con otros
recursos internos.
 Los puntos de conexión públicos tienen una dirección IP pública y

son accesibles desde cualquier parte del mundo.
 Los puntos de conexión privados existen dentro de una red virtual y
tienen una dirección IP privada en el espacio de direcciones de esa
red virtual.
Aislamiento y segmentación
La red virtual de Azure permite crear varias redes virtuales aisladas. Al configurar
una red virtual, se define un espacio de direcciones IP privadas con intervalos de
direcciones IP públicas o privadas. El intervalo IP solo existe dentro de la red
virtual y no es enrutable en Internet. Después, puede dividir ese espacio de
direcciones IP en subredes y asignar parte del espacio de direcciones definido a
cada subred con nombre.
Para la resolución de nombres, puede usar el servicio de resolución de nombres

integrado en Azure. También puede configurar la red virtual para que use un
servidor DNS interno o externo.
Comunicación con Internet

Puede permitir conexiones entrantes desde Internet mediante la asignación de
una dirección IP pública a un recurso de Azure o la colocación del recurso
detrás de un equilibrador de carga público.
Comunicación entre los recursos de Azure

Le interesará habilitar los recursos de Azure para que se comuniquen entre sí de
forma segura. Puede hacerlo de dos maneras:
 Las redes virtuales no solo pueden conectar máquinas virtuales,

sino también otros recursos de Azure, como App Service
Environment para Power Apps, Azure Kubernetes Service y
conjuntos de escalado de máquinas virtuales de Azure.
 Los puntos de conexión de servicio se pueden conectar a otros
tipos de recursos de Azure, como cuentas de almacenamiento y
bases de datos de Azure SQL. Este enfoque permite vincular varios
recursos de Azure con las redes virtuales para mejorar la seguridad
y proporcionar un enrutamiento óptimo entre los recursos.
Comunicación con recursos locales

Las redes virtuales de Azure permiten vincular entre sí los recursos del entorno
local y dentro de la suscripción de Azure. De hecho, puede crear una red que
abarque tanto el entorno local como el entorno en la nube. Existen tres
mecanismos para lograr esta conectividad:
 Las conexiones de red privada virtual de punto a sitio se establecen

desde un equipo ajeno a la organización a la red corporativa. En
este caso, el equipo cliente inicia una conexión VPN cifrada para
conectarse a la red virtual de Azure.
 Las redes virtuales privadas de sitio a sitio vinculan el dispositivo o
puerta de enlace de VPN local con la puerta de enlace de VPN de
Azure en una red virtual. De hecho, puede parecer que los
dispositivos de Azure están en la red local. La conexión se cifra y
funciona a través de Internet.
 Azure ExpressRoute proporciona una conectividad privada dedicada
a Azure que no se desplaza por Internet. ExpressRoute es útil para
los entornos donde se necesita más ancho de banda e incluso
mayores niveles de seguridad.
Enrutamiento del tráfico de red

De forma predeterminada, Azure enruta el tráfico entre las subredes de todas
las redes virtuales conectadas, las redes locales e Internet. También puede
controlar el enrutamiento e invalidar esa configuración del siguiente modo:
 Las tablas de rutas permiten definir reglas sobre cómo se debe

dirigir el tráfico. Puede crear tablas de rutas personalizadas que
controlen cómo se enrutan los paquetes entre las subredes.
 El Protocolo de puerta de enlace de borde (BGP) funciona con
puertas de enlace de VPN de Azure, Azure Route Server o Azure
ExpressRoute para propagar las rutas BGP locales a las redes
virtuales de Azure.
Filtrado del tráfico de red

Las redes virtuales de Azure permiten filtrar el tráfico entre las subredes
mediante los métodos siguientes:
 Los grupos de seguridad de red son recursos de Azure que pueden

contener varias reglas de seguridad de entrada y salida. Estas reglas
se pueden definir para permitir o bloquear el tráfico en función de
factores como el protocolo, el puerto y las direcciones IP de destino
y origen.
 Las aplicaciones virtuales de red son máquinas virtuales
especializadas que se pueden comparar con un dispositivo de red
protegido. Una aplicación virtual de red ejerce una función de red
determinada, como ejecutar un firewall o realizar la optimización de
la red de área extensa (WAN).
Conexión de redes virtuales

Puede vincular redes virtuales entre sí mediante el emparejamiento de red
virtual. El emparejamiento permite que dos redes virtuales se conecten
directamente entre sí. El tráfico de red entre redes emparejadas es privado y se
desplaza por la red troncal de Microsoft, y nunca entra en la red pública de
Internet. El emparejamiento permite que los recursos de cada red virtual se
comuniquen entre sí. Estas redes virtuales pueden estar en regiones distintas, lo
que permite crear una red global interconectada con Azure.
Las rutas definidas por el usuario (UDR) permiten controlar las tablas de
enrutamiento entre subredes dentro de una red virtual o entre redes virtuales.
Esto permite un mayor control sobre el flujo de tráfico de red.
Ejercicio: Configuración del acceso de
red


En este ejercicio, configurará el acceso a la máquina virtual (VM) que ha creado

antes en este módulo. El espacio aislado de Microsoft Learn debe seguir en
ejecución. Si se ha agotado el tiempo de espera del espacio aislado, tendrá que
repetir el ejercicio anterior (Ejercicio: Creación de una máquina virtual de
Azure).
En este momento, la máquina virtual que ha creado y en la que ha instalado

Nginx no es accesible desde Internet. Creará un grupo de seguridad de red que
lo cambiará y permitirá el acceso HTTP de entrada en el puerto 80.
Tarea 1: Acceso al servidor web

En este procedimiento se obtiene la dirección IP de la máquina virtual y se
intenta acceder a la página principal del servidor web.
1. Ejecute el siguiente comando az vm list-ip-addresses para obtener

la dirección IP de la máquina virtual y almacenar el resultado como
una variable de Bash:
Azure CLICopiar
IPADDRESS="$(az vm list-ip-addresses \
--name my-vm \
--query
"[].virtualMachine.network.publicIpAddresses[*].ipAddress" \
--output tsv)"
2. Ejecute el siguiente comando curl para descargar la página
principal:
BashCopiar
curl --connect-timeout 5 http://$IPADDRESS
El argumento --connect-timeout especifica que se conceden hasta

cinco segundos para que se produzca la conexión. Después de
cinco segundos, verá un mensaje de error que indica que se ha
agotado el tiempo de espera de la conexión:
ResultadosCopiar
curl: (28) Connection timed out after 5001 milliseconds
Este mensaje significa que no se pudo acceder a la máquina virtual

dentro del tiempo de espera.
3. Como paso opcional, intente acceder al servidor web desde un

explorador:
a. Ejecute lo siguiente para imprimir la dirección IP de la máquina

virtual en la consola:
BashCopiar
echo $IPADDRESS
Verá una dirección IP, por ejemplo, 23.102.42.235.
b. Copie en el portapapeles la dirección IP que vea.

c. Abra una pestaña nueva del explorador y vaya al servidor web.
Transcurridos unos instantes, verá que la conexión no se está
produciendo.
Si espera a que se agote el tiempo de espera del

explorador, verá algo parecido a esto:
d. Mantenga esta pestaña del explorador abierta para usarla más
tarde.
Tarea 2: Enumeración de las reglas de grupo de

seguridad de red actuales
No se pudo acceder al servidor web. Para averiguar el motivo, vamos a examinar
las reglas actuales del grupo de seguridad de red.
1. Ejecute el siguiente comando az network nsg list para que muestre

los grupos de seguridad de red asociados a la máquina virtual:
Azure CLICopiar
az network nsg list \
--query '[].name' \
--output tsv
Verá lo siguiente:
ResultadosCopiar
my-vmNSG
Cada máquina virtual de Azure está asociada a, al menos, un grupo
de seguridad de red. En este caso, Azure le creó un grupo de
seguridad de red denominadomy-vmNSG.
2. Ejecute el siguiente comando az network nsg rule list para

mostrar las reglas asociadas al grupo de seguridad de red
denominado my-vmNSG:
Azure CLICopiar
az network nsg rule list \
--nsg-name my-vmNSG
Verá un bloque grande de texto en formato JSON en la salida. En el

paso siguiente, ejecutará un comando similar que facilita la lectura
de este resultado.
3. Ejecute por segunda vez el comando az network nsg rule list. Esta
vez, use el argumento --query para recuperar solo el nombre, la
prioridad, los puertos afectados y el acceso (Permitir o Denegar)
para cada regla. El argumento --output da formato a la salida como
una tabla para que sea fácil de leer.
Azure CLICopiar
--nsg-name my-vmNSG \
--query '[].{Name:name, Priority:priority,
Port:destinationPortRange, Access:access}' \
--output table
Verá lo siguiente:
ResultadosCopiar
Name Priority Port Access
----------------- ---------- ------ --------
default-allow-ssh 1000 22 Allow
Verá la regla predeterminada default-allow-ssh. Esta regla permite

conexiones entrantes a través del puerto 22 (SSH). SSH (Secure
Shell) es un protocolo que se usa en Linux para permitir que los
administradores accedan al sistema de forma remota. La prioridad
de esta entrada es 1000. Las reglas se procesan en orden de
prioridad, donde los números más bajos se procesan antes que los
números más altos.
De forma predeterminada, un grupo de seguridad de red de una máquina

virtual de una máquina virtual Linux solo permite el acceso a la red en el
puerto 22. Esto permite que los administradores accedan al sistema. También
debe permitir las conexiones entrantes en el puerto 80, que permite el acceso a
través de HTTP.
Tarea 3: Creación de la regla de seguridad de red

En este caso, creará una regla de seguridad de red que permita el acceso de
entrada en el puerto 80 (HTTP).
1. Ejecute el siguiente comando az network nsg rule create para crear

una regla denominada allow-http que permita el acceso entrante en
el puerto 80:
Azure CLICopiar
az network nsg rule create \
--name allow-http \
--protocol tcp \
--priority 100 \
--destination-port-range 80 \
--access Allow
Con fines de aprendizaje, aquí establecerá la prioridad en 100. En

este caso, la prioridad no importa. Tendrá que tener en cuenta la
prioridad si tuviera intervalos de puertos superpuestos.
2. Para comprobar la configuración, ejecute az network nsg rule

list para ver la lista actualizada de reglas:
Azure CLICopiar
--query '[].{Name:name, Priority:priority,
Port:destinationPortRange, Access:access}' \
--output table
Verá las dos reglas, default-allow-ssh y la nueva regla allow-http:
ResultadosCopiar
Name Priority Port Access
----------------- ---------- ------ --------
default-allow-ssh 1000 22 Allow
allow-http 100 80 Allow
Tarea 4: Nuevo acceso al servidor web

Ahora que ha configurado el acceso de red al puerto 80, vamos a intentar
acceder al servidor web una segunda vez.
Nota
Después de actualizar el grupo de seguridad de red, las reglas actualizadas

pueden tardar unos instantes en propagarse. Vuelva a intentar el paso siguiente,
con pausas entre intentos, hasta que obtenga los resultados deseados.
1. Ejecute el mismo comando curl que ha ejecutado antes:
BashCopiar
curl --connect-timeout 5 http://$IPADDRESS
Verá lo siguiente:
HTMLCopiar
<html><body><h2>Welcome to Azure! My name is my-
vm.</h2></body></html>
2. Como paso opcional, actualice la pestaña del explorador que

apunta al servidor web.
Verá lo siguiente:
Buen trabajo. En la práctica, puede crear un grupo de seguridad de red
independiente que incluya las reglas de acceso de red entrantes y salientes que
necesite. Si tiene varias máquinas virtuales que tienen el mismo propósito,
puede asignar ese grupo de seguridad de red a cada máquina virtual en el
momento de crearla. Esta técnica permite controlar el acceso de red a varias
máquinas virtuales en un único conjunto central de reglas.
Limpieza
con este módulo.

Descripción de las redes privadas
virtuales de Azure
Una red privada virtual (VPN) usa un túnel cifrado en otra red. Normalmente, las
VPN se implementan para conectar entre sí dos o más redes privadas de
confianza a través de una red que no es de confianza (normalmente, la red
pública de Internet). El tráfico se cifra mientras viaja por la red que no es de
confianza para evitar ataques de interceptación o de otro tipo. Las VPN pueden
permitir que las redes compartan información confidencial de forma segura.
Puertas de enlace de VPN

Una puerta de enlace de VPN es un tipo de puerta de enlace de red virtual. Las
instancias de Azure VPN Gateway se implementan en una subred dedicada de la
red virtual y permiten la conectividad siguiente:
 Conectar los centros de datos locales a redes virtuales a través de una

conexión de sitio a sitio.
 Conectar los dispositivos individuales a redes virtuales a través de una
conexión de punto a sitio.
 Conectar las redes virtuales a otras redes virtuales a través de una
conexión entre redes.
Todas las transferencias de datos se cifran en un túnel privado mientras

atraviesan Internet. Solo se puede implementar una única instancia de puerta de
enlace de VPN en cada red virtual. Sin embargo, se puede usar una puerta de
enlace para conectarse a varias ubicaciones, que incluye otras redes virtuales o
centros de datos locales.
Al implementar una instancia de VPN Gateway, especifique el tipo de red

privada virtual, es decir, basada en directivas o basada en rutas. La principal
diferencia entre estos dos tipos de VPN es cómo se especifica el tráfico que se
va a cifrar. En Azure, ambos tipos de puertas de enlace de VPN usan una clave
previamente compartida como único método de autenticación.
 Las instancias de VPN Gateway basadas en directivas especifican de forma

estática la dirección IP de los paquetes que se deben cifrar a través de
cada túnel. Este tipo de dispositivo evalúa cada paquete de datos en
función de los conjuntos de direcciones IP para elegir el túnel a través del
cual se va a enviar el paquete.
 En las puertas de enlace basadas en rutas, los túneles IPSec se modelan
como una interfaz de red o una interfaz de túnel virtual. El enrutamiento
IP (ya sean rutas estáticas o protocolos de enrutamiento dinámico) decide
cuál de estas interfaces de túnel se va a usar al enviar cada paquete. Las
redes privadas virtuales basadas en rutas son el método preferido para
conectar dispositivos locales. Son más resistentes a los cambios de la
topología, como la creación de subredes.
Si necesita alguno de los siguientes tipos de conectividad, use una instancia de

VPN Gateway basada en rutas:
 Conexiones entre redes virtuales

 Conexiones de punto a sitio
 Conexiones de varios sitios
 Coexistencia con una puerta de enlace de Azure ExpressRoute
Escenarios de alta disponibilidad

Si va a configurar una VPN para mantener la información segura, también
querrá asegurarse de que es una configuración de VPN de alta disponibilidad y
tolerante a errores. Hay varias maneras de maximizar la resistencia de la puerta
de enlace de VPN.
Configuración de activo-en espera
De forma predeterminada, las instancias de VPN Gateway se implementan como

dos instancias en una configuración de activo-en espera, incluso si solo ve un
recurso de VPN Gateway en Azure. Cuando el mantenimiento planeado o la
interrupción imprevista afectan a la instancia activa, la instancia en espera
asume de forma automática la responsabilidad de las conexiones sin ninguna
intervención del usuario. Durante esta conmutación por error, las conexiones se
interrumpen, pero por lo general se restauran en cuestión de segundos si se
trata del mantenimiento planeado y en un plazo de 90 segundos en el caso de
las interrupciones imprevistas.
Activo/activo
Al incorporar compatibilidad con el protocolo de enrutamiento de BGP, también

puede implementar puertas de enlace VPN en una configuración del tipo
activo/activo. En esta configuración, se asigna una IP pública única a cada
instancia. Después, se crean túneles independientes desde el dispositivo local a
cada dirección IP. Se puede ampliar la alta disponibilidad mediante la
implementación de un dispositivo VPN local adicional.
Conmutación por error de ExpressRoute
Otra opción de alta disponibilidad consiste en configurar una instancia de VPN

Gateway como una ruta segura de conmutación por error para las conexiones
ExpressRoute. Los circuitos ExpressRoute tienen resistencia integrada. Sin
embargo, no son inmunes a los problemas físicos que afectan a los cables que
entregan conectividad ni a las interrupciones que afectan a la ubicación
completa de ExpressRoute. En escenarios de alta disponibilidad, en los que
existe un riesgo asociado a una interrupción de un circuito ExpressRoute,
también puede aprovisionar una instancia de VPN Gateway que usa Internet
como un método alternativo de conectividad. De este modo, puede garantizar
que siempre haya una conexión a las redes virtuales.
Puertas de enlace con redundancia de zona
En las regiones que admiten zonas de disponibilidad, se pueden implementar

puertas de enlace VPN y ExpressRoute en una configuración con redundancia
de zona. Esta configuración aporta una mayor disponibilidad, escalabilidad y
resistencia a las puertas de enlace de red virtual. Implementar puertas de enlace
en Azure Availability Zones separa de forma física y lógica las puertas de enlace
dentro de una región, al mismo tiempo que protege la conectividad de red local
en Azure de errores de nivel de zona. Estas puertas de enlace requieren
diferentes SKU de puerta de enlace y usan direcciones IP públicas estándar en
lugar de direcciones IP públicas básicas.
Describir Azure ExpressRoute
ExpressRoute le permite ampliar las redes locales a la nube de Microsoft

mediante una conexión privada con la ayuda de un proveedor de conectividad.
Esta conexión se denomina circuito ExpressRoute. Con ExpressRoute, puede
establecer conexiones con servicios en la nube de Microsoft, como Microsoft
Azure y Microsoft 365. Esto le permite conectar oficinas, centros de datos u
otras instalaciones a la nube de Microsoft. Cada ubicación tendría su propio
circuito ExpressRoute.
La conectividad puede ser desde una red de conectividad universal (IP VPN),
una red Ethernet de punto a punto o una conexión cruzada virtual a través de
un proveedor de conectividad en una instalación de ubicación compartida. Las
conexiones de ExpressRoute no pasan por la red pública de Internet. Esto
permite a las conexiones de ExpressRoute ofrecer más confiabilidad, más
velocidad, latencia coherentes y mayor seguridad que las conexiones normales
a través de Internet.
Características y ventajas de ExpressRoute

El uso de ExpressRoute como servicio de conexión entre Azure y las redes
locales tiene varias ventajas.
 Conectividad de servicios en la nube de Microsoft en todas las regiones

dentro de la región geopolítica.
 Conectividad global a los servicios de Microsoft en todas las regiones con
Global Reach de ExpressRoute.
 Enrutamiento dinámico entre la red y Microsoft a través del Protocolo de
puerta de enlace de borde (BGP).
 Redundancia integrada en todas las ubicaciones de configuración entre
pares para una mayor confiabilidad.
Conectividad con los Servicios en la nube de Microsoft
ExpressRoute permite el acceso directo a los siguientes servicios en todas las

regiones:
 Microsoft Office 365

 Microsoft Dynamics 365
 Servicios de proceso de Azure, como Azure Virtual Machines
 Servicios en la nube de Azure, como Azure Cosmos DB y Azure Storage
Conectividad global
Puede permitir que Global Reach de ExpressRoute intercambie datos entre los
sitios locales si conecta los diferentes circuitos ExpressRoute. Por ejemplo,
supongamos que tiene una oficina en Asia y un centro de datos en Europa,
ambos con circuitos ExpressRoute que los conectan a la red de Microsoft. Puede
usar Global Reach de ExpressRoute para conectar esas dos instalaciones, lo que
les permite comunicarse sin transferir datos a través de la red pública de
Internet.
Enrutamiento dinámico
ExpressRoute usa el BGP. BGP se usa para intercambiar rutas entre las redes
locales y los recursos que se ejecutan en Azure. Este protocolo permite el
enrutamiento dinámico entre la red local y los servicios que se ejecutan en la
nube de Microsoft.
Redundancia integrada
Cada proveedor de conectividad usa dispositivos redundantes para garantizar

que las conexiones establecidas con Microsoft tengan alta disponibilidad. Puede
configurar varios circuitos para complementar esta característica.
Modelos de conectividad de ExpressRoute

ExpressRoute admite cuatro modelos que puede usar para conectar la red local
con la nube de Microsoft:
 Ubicación de CloudExchange
 Conexión Ethernet de punto a punto
 Conexión universal
 Directamente desde sitios de ExpressRoute
Ubicación compartida en un intercambio en la nube
La ubicación conjunta hace referencia al centro de datos, la oficina u otras

instalaciones que se encuentran físicamente en un intercambio en la nube,
como un ISP. Si la instalación tiene la ubicación compartida en un intercambio
en la nube, puede solicitar una conexión cruzada virtual a la nube de Microsoft.
Conexión Ethernet de punto a punto
La conexión Ethernet de punto a punto hace referencia al uso de una conexión

punto a punto para conectar la instalación a la nube de Microsoft.
Redes universales
Con la conectividad universal, puede integrar la red de área extensa (WAN) con
Azure si proporciona conexiones a las oficinas y los centros de datos. Azure se
integra con la conexión WAN para proporcionarle una conexión, como la que
tendría entre el centro de datos y las sucursales.
Directamente desde sitios de ExpressRoute
Puede conectarse directamente a la red global de Microsoft en una ubicación

de emparejamiento distribuida estratégicamente por todo el mundo.
ExpressRoute Direct proporciona conectividad dual de 100 Gbps o 10 Gbps, que
es compatible con la conectividad activa/activa a escala.
Consideraciones sobre la seguridad

Con ExpressRoute los datos no viajan a través de la red pública de Internet y,
por tanto, no se exponen a los posibles riesgos asociados a las comunicaciones
de Internet. ExpressRoute es una conexión privada de la infraestructura local a la
infraestructura de Azure. Incluso si tiene una conexión ExpressRoute, las
consultas de DNS, la comprobación de la lista de revocación de certificados y las
solicitudes de Azure Content Delivery Network se siguen enviando a través de la
red pública de Internet.
Describir Azure DNS
Azure DNS es un servicio de hospedaje para dominios DNS que ofrece

resolución de nombres mediante la infraestructura de Microsoft Azure. Al
hospedar dominios en Azure, puede administrar los registros DNS con las
mismas credenciales, API, herramientas y facturación que con los demás
servicios de Azure.
Ventajas de Azure DNS
Azure DNS saca provecho del ámbito y la escala de Microsoft Azure para
proporcionar numerosas ventajas, incluidas las siguientes:
 Confiabilidad y rendimiento
 Seguridad
 Facilidad de uso
 Redes virtuales personalizables
 Registros de alias
Confiabilidad y rendimiento
Los dominios DNS de Azure DNS se hospedan en la red global de servidores de

nombres DNS de Azure, y proporcionan resistencia y alta disponibilidad.
Azure DNS usa redes de difusión por proximidad para que el servidor DNS más
próximo disponible responda a cada consulta de DNS para proporcionar un
mejor rendimiento y una mayor disponibilidad para el dominio.
Seguridad
Azure DNS se basa en Azure Resource Manager, que proporciona características

tales como:
 Control de acceso basado en rol de Azure (Azure RBAC) para controlar

quién accede a acciones específicas en la organización.
 Registros de actividad: para supervisar cómo un usuario de su
organización modificó un recurso o para encontrar errores al solucionar
problemas.
 Bloqueo de recursos para bloquear una suscripción, un grupo de recursos
o un recurso. Los bloqueos impiden que otros usuarios de la organización
eliminen o modifiquen de forma accidental recursos críticos.
Facilidad de uso
Azure DNS puede administrar registros DNS para los servicios de Azure y
también proporciona el servicio de nombres de dominio para los recursos
externos. Azure DNS está integrado en Azure Portal y usa las mismas
credenciales, la misma facturación y el mismo contrato de soporte técnico que
los demás servicios de Azure.
Como Azure DNS se ejecuta en Azure, significa que puede administrar los

dominios y registros con Azure Portal, cmdlets de Azure PowerShell y la CLI de
Azure multiplataforma. Las aplicaciones que requieren la administración
automática de DNS se pueden integrar con el servicio mediante las API REST y
los SDK.
Redes virtuales personalizables con dominios privados
Azure DNS es compatible con dominios DNS privados. Esta característica

permite usar nombres de dominio personalizados propios en las redes virtuales
privadas, en lugar de limitarse a los nombres proporcionados por Azure.
Registros de alias
Azure DNS también admite conjuntos de registros de alias. Puede usar un

conjunto de registros de alias que haga referencia a un recurso de Azure, como
una dirección IP pública de Azure, un perfil de Azure Traffic Manager o un punto
de conexión de Azure Content Delivery Network (CDN). Si cambia la dirección IP
del recurso subyacente, el conjunto de registros de alias se actualiza sin
problemas durante la resolución DNS. El conjunto de registros de alias apunta a
la instancia de servicio, y la instancia de servicio está asociada con una dirección
IP.
Importante
No se puede usar Azure DNS para comprar un nombre de dominio. Por una
tarifa anual, puede comprar un nombre de dominio mediante dominios de App
Service o un registrador de nombres de dominio de terceros. Después de
comprarlos, los dominios se pueden hospedar en Azure DNS para la
administración de registros.
Descripción de las cuentas de

almacenamiento de Azure
En el vídeo siguiente se presentan los distintos servicios que deben estar
disponibles con Azure Storage.
Una cuenta de almacenamiento proporciona un espacio de nombres único para

los datos de Azure Storage al que se puede acceder desde cualquier lugar del
mundo a través de HTTP o HTTPS. Los datos de esta cuenta son seguros, de alta
disponibilidad, duraderos y escalables de forma masiva.
Al crear la cuenta de almacenamiento, primero seleccionará el tipo de cuenta de

almacenamiento. El tipo de cuenta determina los servicios de almacenamiento y
las opciones de redundancia, y afecta a los casos de uso. A continuación se
muestra una lista de opciones de redundancia que se describirán más adelante
en este módulo:
 Almacenamiento con redundancia local (LRS)

 Almacenamiento con redundancia geográfica (GRS)
Opciones de
Tipo Servicios admitidos Uso
redundancia
Tipo de cuenta de
almacenamiento
estándar para blo
archivos, colas y
Se recomienda pa
mayoría de los
Blob Storage (incluido
LRS, GRS, RA-GRS, escenarios con A
Data Lake Storage), Queue
De uso general estándar, v2 ZRS, GZRS, RA- Storage. Si desea
Storage, Table Storage y Azure
GZRS compatibilidad co
Files
sistema de archiv
red (NFS) en Azu
Files, utilice el tip
cuenta de recurso
compartidos de
archivos Premium
Tipo de cuenta de
almacenamiento
Prémium para blo
bloques y blobs e
anexos. Se
recomiendan para
Blob Storage (incluido
Blobs en bloques Premium LRS, ZRS escenarios con al
Data Lake Storage)
tasas de transacci
que utilizan objet
más pequeños o q
requieren una late
de almacenamien
constantemente b
Tipo de cuenta de
almacenamiento
Prémium solo pa
recursos compart
de archivos. Se
recomienda para
empresas y
aplicaciones de
Recursos compartidos de escalado de alto
Azure Files LRS, ZRS
archivos Prémium rendimiento. Use
tipo de cuenta si
una cuenta de
almacenamiento
admita recursos
compartidos de
archivos de Bloq
mensajes del serv
(SMB) y NFS.
Tipo de cuenta de
almacenamiento
Blobs en páginas Premium Solo blobs en páginas LRS
prémium solo par
blobs en páginas.
 Almacenamiento con redundancia geográfica con acceso de lectura

(RA-GRS).
 Almacenamiento con redundancia de zona (ZRS)
 Almacenamiento con redundancia de zona geográfica (GZRS)
 Almacenamiento con redundancia de zona geográfica con acceso
de lectura (RA-GZRS)
Puntos de conexión de cuenta de

almacenamiento
Una de las ventajas de usar una cuenta de Azure Storage es tener un espacio de
nombres único en Azure para los datos. Para ello, todas las cuentas de
almacenamiento de Azure deben tener un nombre de cuenta único en Azure. La
combinación del nombre de la cuenta y el punto de conexión del servicio de
Azure Storage forma los puntos de conexión de su cuenta de almacenamiento.
Cuando especifique un nombre para la cuenta de almacenamiento, tenga en
cuenta estas reglas:
 Los nombres de las cuentas de almacenamiento deben tener entre

3 y 24 caracteres, y solo pueden incluir números y letras en
minúscula.
 El nombre de la cuenta de almacenamiento debe ser único dentro
de Azure. No puede haber dos cuentas de almacenamiento con el
mismo nombre. Esto admite la capacidad de tener un espacio de
nombres único y accesible en Azure.
En la tabla siguiente se muestra el formato de punto de conexión para los

servicios de Azure Storage.
Servicio de Storage Punto de conexión

Blob Storage https://<storage-account-name>.blob.core.windows.net
Data Lake Storage Gen2 https://<storage-account-name>.dfs.core.windows.net
Azure Files https://<storage-account-name>.file.core.windows.net
Queue Storage https://<storage-account-name>.queue.core.windows.net
Table Storage https://<storage-account-name>.table.core.windows.net
Descripción de la redundancia de
Azure Storage siempre almacena varias copias de los datos, con el fin de
protegerlos de eventos planeados y no planeados, lo que incluye errores
transitorios del hardware, interrupciones del suministro eléctrico o cortes de la
red, y desastres naturales. La redundancia garantiza que la cuenta de
almacenamiento cumple sus objetivos de disponibilidad y durabilidad, aunque
se produzcan errores.
A la hora de decidir qué opción de redundancia es la más adecuada para su

escenario, intente buscar un equilibrio entre bajo costo y alta disponibilidad.
Entre los factores que ayudan a determinar qué opción de redundancia debe
elegir se incluye:
 Cómo se replican los datos en la región primaria.

 Si los datos se replican en una segunda ubicación que está alejada
geográficamente de la región primaria, para protegerse frente a desastres
regionales.
 Si la aplicación necesita acceso de lectura a los datos replicados en la
región secundaria en caso de que la región primaria deje de estar
disponible.
Redundancia en la región primaria

Los datos de una cuenta de Azure Storage siempre se replican tres veces en la
región primaria. Azure Storage ofrece dos opciones para replicar los datos en la
región primaria, el almacenamiento con redundancia local (LRS) y el
almacenamiento con redundancia de zona (ZRS).
Almacenamiento con redundancia local
El almacenamiento con redundancia local (LRS) replica los datos tres veces
dentro de un único centro de datos en la región primaria. LRS ofrece una
durabilidad mínima de 11 nueves (99,999999999 %) de los objetos en un año
determinado.
LRS es la opción de redundancia de costo más bajo y ofrece la menor

durabilidad en comparación con otras opciones. LRS protege los datos frente a
errores en la estantería de servidores y en la unidad. No obstante, si se produce
un desastre como un incendio o una inundación en el centro de datos, es
posible que todas las réplicas de una cuenta de almacenamiento con LRS se
pierdan o no se puedan recuperar. Para mitigar este riesgo, Microsoft
recomienda el uso del almacenamiento con redundancia de zona (ZRS), el
almacenamiento con redundancia geográfica (GRS) o el almacenamiento con
redundancia de zona geográfica (GZRS).
Almacenamiento con redundancia de zona
Para las regiones con zona de disponibilidad habilitada, el almacenamiento con

redundancia de zona (ZRS) replica los datos de Azure Storage sincrónicamente
en tres zonas de disponibilidad de Azure en la región primaria. ZRS proporciona
a los objetos de datos de Azure Storage una durabilidad de al menos 12 nueves
(99,9999999999 %) durante un año determinado.
Con ZRS, los datos son accesibles para las operaciones de escritura y lectura
incluso si una zona deja de estar disponible. No es necesario volver a montar los
recursos compartidos de archivos de Azure de los clientes conectados. Si alguna
zona deja de estar disponible, Azure realiza las actualizaciones de la red, como
el redireccionamiento de DNS. Estas actualizaciones pueden afectar a la
aplicación si se accede a los datos antes de que se completen dichas
actualizaciones.
Microsoft recomienda usar ZRS en la región primaria para escenarios que

requieren de alta disponibilidad. También se recomienda ZRS para restringir la
replicación de datos dentro de un país o región para cumplir los requisitos de
gobernanza de datos.
Redundancia en una región secundaria

En el caso de las aplicaciones que requieren de alta durabilidad, puede optar
por copiar los datos de la cuenta de almacenamiento en una región secundaria
que esté a cientos de kilómetros de distancia de la región primaria. Si los datos
de la cuenta de almacenamiento se copian en una región secundaria, los datos
serán duraderos incluso en caso de un error catastrófico que impida que se
recuperen los datos de la región primaria.
Al crear una cuenta de almacenamiento, seleccione la región principal de la

cuenta. La región secundaria emparejada se determina en función de los Pares
de regiones de Azure y no se puede cambiar.
Azure Storage ofrece dos opciones para copiar los datos en una región
secundaria: almacenamiento con redundancia geográfica (GRS) y
almacenamiento con redundancia de zona geográfica (GZRS). GRS es similar a
ejecutar LRS en dos regiones, y GZRS es similar a ejecutar ZRS en la región
primaria y LRS en la región secundaria.
De manera predeterminada, los datos de la región secundaria no están

disponibles para el acceso de lectura o escritura a menos que haya una
conmutación por error a la región secundaria. Si la región primaria deja de estar
disponible, puede conmutar por error a la región secundaria. Una vez
completada la conmutación por error, la región secundaria se convierte en la
región primaria y se pueden leer y escribir datos de nuevo.
Importante
Dado que los datos se replican en la región secundaria de forma asincrónica, un

error que afecte a la región primaria puede producir la pérdida de datos si no se
puede recuperar dicha región. El intervalo entre las escrituras más recientes en
la región primaria y la última escritura en la región secundaria se conoce como
objetivo de punto de recuperación (RPO). El RPO indica momento concreto en
que se pueden recuperar los datos. Normalmente, Azure Storage tiene un RPO
inferior a 15 minutos, aunque actualmente no hay ningún contrato de nivel de
servicio sobre el tiempo que se tarda en replicar los datos en la región
secundaria.
Almacenamiento con redundancia geográfica
GRS copia los datos de manera sincrónica tres veces dentro de una ubicación
física única en la región primaria mediante LRS. Luego copia los datos de forma
asincrónica en una única ubicación física en la región secundaria (el par de
regiones) mediante LRS. GRS proporciona a los objetos de datos de Azure
Storage una durabilidad de al menos 16 nueves (99,99999999999999 %)
durante un año determinado.
Almacenamiento con redundancia de zona geográfica
GZRS combina la alta disponibilidad que proporciona la redundancia entre

zonas de disponibilidad con la protección frente a interrupciones regionales que
proporciona la replicación geográfica. Los datos de una cuenta de
almacenamiento de GZRS se almacenan en tres zonas de disponibilidad de
Azure en la región primaria (de manera similar a ZRS) y también se replican en
una región geográfica secundaria para protegerlos frente a desastres regionales.
Microsoft recomienda el uso de GZRS en aplicaciones que requieran de
coherencia, durabilidad y disponibilidad máximas, además de rendimiento
excelente y resistencia para la recuperación ante desastres.
GZRS está diseñado para proporcionar una durabilidad mínima de 16 nueves

(99,99999999999999 %) de los objetos en un año determinado.
Acceso de lectura a los datos de la región

secundaria
El almacenamiento con redundancia geográfica (con GRS o GZRS) replica los
datos en otra ubicación física de la región secundaria para protegerlos frente a
los apagones regionales. Sin embargo, los datos están disponibles para su
lectura solo si el cliente o Microsoft inician una conmutación por error de la
región primaria a la secundaria. Sin embargo, si habilita el acceso de lectura a la
región secundaria, los datos siempre están disponibles, incluso cuando la región
primaria se ejecuta de forma óptima. Para obtener acceso de lectura a la región
secundaria, habilite el almacenamiento con redundancia geográfica con acceso
de lectura (RA-GRS) o el almacenamiento con redundancia de zona geográfica
con acceso de lectura (RA-GZRS).
Importante
Recuerde que es posible que los datos de la región secundaria no estén

actualizados debido al RPO.
Descripción de los servicios de

La plataforma de Azure Storage incluye los servicios de datos siguientes:
 Blobs de Azure: un almacén de objetos que se puede escalar de forma

masiva para datos de texto y binarios. También incluye compatibilidad
con el análisis de macrodatos a través de Data Lake Storage Gen2.
 Azure Files: recursos compartidos de archivos administrados para
implementaciones locales y en la nube.
 Colas de Azure: un almacén de mensajería para mensajería confiable
entre componentes de aplicación.
 Azure Disks: volúmenes de almacenamiento en el nivel de bloque para
máquinas virtuales de Azure.
Ventajas de Azure Storage

Los servicios de Azure Storage ofrecen las siguientes ventajas para
desarrolladores de aplicaciones y profesionales de TI:
 Duradero y altamente disponible. La redundancia garantiza que los

datos estén seguros en caso de producirse errores de hardware
transitorios. También puede optar por replicar datos entre centros de
datos o regiones geográficas para obtener protección adicional frente a
catástrofes locales o desastres naturales. Los datos replicados de esta
manera permanecen con una alta disponibilidad en caso de que se
produzca una interrupción inesperada.
 Seguro. Todos los datos escritos en una cuenta de Azure Storage se cifran
mediante el servicio. Azure Storage proporciona un control
pormenorizado sobre quién tiene acceso a los datos.
 Escalable. Azure Storage está diseñado para poderse escalar de forma
masiva para satisfacer las necesidades de rendimiento y almacenamiento
de datos de las aplicaciones de hoy en día.
 Administrado. Azure controla automáticamente el mantenimiento, las
actualizaciones y los problemas críticos del hardware.
 Accesible. Es posible acceder a los datos de Azure Storage desde
cualquier parte del mundo a través de HTTP o HTTPS. Microsoft
proporciona bibliotecas cliente para Azure Storage en diversos lenguajes,
incluidos .NET, Java, Node.js, Python, PHP, Ruby, Go y otros, así como una
API REST consolidada. Azure Storage admite la escritura en Azure
PowerShell o la CLI de Azure. Y Azure Portal y el Explorador de Azure
Storage ofrecen soluciones visuales sencillas para trabajar con los datos.
Blob Storage
Azure Blob Storage es una solución de almacenamiento de objetos para la
nube. Puede almacenar grandes cantidades de datos, como datos de texto o
binarios. Azure Blob Storage es no estructurado, lo que significa que no hay
ninguna restricción en cuanto a los tipos de datos que puede contener. Blob
Storage puede administrar miles de cargas simultáneas, cantidades enormes de
datos de vídeo, archivos de registro en constante crecimiento y es accesible
desde cualquier lugar con conexión a Internet.
Los blobs no están limitados a formatos de archivo comunes. Un blob podría

contener gigabytes de datos binarios transmitidos desde un instrumento
científico, un mensaje cifrado para otra aplicación o datos en un formato
personalizado para una aplicación que se está desarrollando. Una ventaja del
almacenamiento en blobs con respecto al almacenamiento en disco es que no
requiere que los desarrolladores piensen en discos o los administren. Los datos
se cargan como blobs y Azure se encarga de las necesidades de
almacenamiento físico.
Blob Storage resulta muy conveniente para lo siguiente:
 Visualización de imágenes o documentos directamente en un explorador.

 Almacenamiento de archivos para acceso distribuido.
 Streaming de audio y vídeo.
 Almacenamiento de datos para copia de seguridad y restauración,
recuperación ante desastres y archivado.
 Almacenamiento de datos para el análisis en local o en un servicio
hospedado de Azure.
Acceso a Blob Storage
Se puede acceder a los objetos de Blob Storage desde cualquier lugar del
mundo a través de HTTP o HTTPS. Los usuarios o las aplicaciones cliente
pueden acceder a los blobs mediante direcciones URL, la API REST de Azure
Storage, Azure PowerShell, la CLI de Azure o una biblioteca cliente de Azure
Storage. Las bibliotecas de cliente de almacenamiento están disponibles para
varios lenguajes, como .NET, Java, Node.js, Python, PHP y Ruby.
Niveles de Blob Storage
Los datos almacenados en la nube pueden crecer a un ritmo exponencial. Para

administrar los costos de las crecientes necesidades de almacenamiento, resulta
útil organizar los datos en función de atributos como la frecuencia de acceso y
el período de retención planeada. Los datos almacenados en la nube se pueden
controlar de forma distinta según la forma en que se generan, se procesan y se
accede a ellos a lo largo de su vigencia. A algunos datos se accede y se
modifican activamente a lo largo de su duración. A algunos datos se accede con
frecuencia al principio de su duración, mientras que el acceso cae drásticamente
a medida que envejecen los datos. Algunos datos permanecen inactivos en la
nube y, después de que se almacenan, no se accede a ellos prácticamente
nunca. Para dar cabida a estas diferentes necesidades de acceso, Azure
proporciona varios niveles de acceso, que puede usar para equilibrar los costos
de almacenamiento con sus necesidades de acceso.
Azure Storage ofrece diferentes niveles de acceso para el almacenamiento de

blobs, lo que le ayuda a almacenar datos de objetos de la manera más rentable.
Entre los niveles de acceso disponibles se incluyen:
 Nivel de acceso frecuente: optimizado para almacenar datos a los que se

accede con frecuencia (por ejemplo, imágenes para el sitio web).
 Nivel de acceso esporádico: optimizado para datos a los que se accede
con poca frecuencia y que se almacenan al menos durante 30 días (por
ejemplo, las facturas de los clientes).
 Nivel de acceso de archivo: conveniente para datos a los que raramente
se accede y que se almacenan durante al menos 180 días con requisitos
de latencia flexibles (por ejemplo, copias de seguridad a largo plazo).
Las siguientes consideraciones se aplican a los distintos niveles de acceso:
 Solo los niveles de acceso frecuente y esporádico se pueden establecer en

el nivel de cuenta. El nivel de acceso de archivo no está disponible en el
nivel de cuenta.
 Los niveles frecuente, esporádico y de archivo se pueden establecer en el
nivel de blob durante la carga o después de esta.
 Los datos del nivel de acceso esporádico pueden tolerar una
disponibilidad ligeramente inferior, pero aun así requieren una gran
durabilidad, una latencia de recuperación y unas características de
rendimiento similares a las de los datos de acceso frecuente. En el caso de
los datos de acceso esporádico, un contrato de nivel de servicio (SLA) con
una disponibilidad ligeramente inferior y unos costos de acceso mayores,
en comparación con los datos de acceso frecuente, es aceptable a cambio
de unos costos de almacenamiento menores.
 El almacenamiento de archivo almacena datos sin conexión y ofrece los
menores costos de almacenamiento, pero los mayores costos de acceso y
recuperación de datos.
Azure Files
Azure Files ofrece recursos compartidos de archivos totalmente administrados
en la nube a los que se puede acceder mediante los protocolos SMB (Bloque de
mensajes del servidor) o NFS (Network File System) estándar del sector. Los
recursos compartido de archivos de Azure Files se pueden montar
simultáneamente mediante implementaciones locales o en la nube. A los
recursos compartidos de archivos SMB de Azure se puede acceder desde
clientes Windows, Linux y macOS. A los recursos compartidos de archivos NFS
de Azure Files se puede acceder desde clientes Linux y macOS. Además, los
recursos compartidos de archivos SMB de Azure Files se pueden almacenar en
la caché de los servidores de Windows Server con Azure File Sync, lo que
permite un acceso rápido allí donde se utilizan los datos.
Ventajas clave de Azure Files:
 Acceso compartido: los recursos compartidos de Azure Files admiten los

protocolos SMB y NFS estándar del sector, lo que significa que puede
reemplazar perfectamente los recursos compartidos de archivos en local
por recursos compartidos de archivos de Azure sin preocuparse de
compatibilidad de aplicaciones.
 Totalmente administrado: los recursos compartidos de Azure Files
pueden crearse sin necesidad de administrar ni el hardware ni un sistema
operativo. Esto significa que no tiene que tratar con la aplicación de
actualizaciones de seguridad críticas en el sistema operativo del servidor
ni ocuparse de reemplazar discos duros defectuosos.
 Scripts y herramientas: se pueden usar cmdlets de PowerShell y la CLI de
Azure para crear, montar y administrar recursos compartidos de archivos
de Azure como parte de la administración de las aplicaciones de Azure.
Los recursos compartidos de archivos de Azure se pueden crear y
administrar mediante Azure Portal y el Explorador de Azure Storage.
 Resistencia: Azure Files se creó desde sus orígenes para estar siempre
disponible. Reemplazar los recursos compartidos de archivos en el
entorno local por Azure Files significa que ya no tendrá que levantarse en
mitad de la noche para tratar con problemas de red o interrupciones del
suministro eléctrico local.
 Capacidad de programación intuitiva: las aplicaciones que se ejecutan
en Azure pueden tener acceso a los datos en el recurso compartido
mediante las API de E/S del sistema de archivos. Por tanto, los
desarrolladores pueden aprovechar el código y los conocimientos que ya
tienen para migrar las aplicaciones actuales. Además de las API de E/S del
sistema, puede usar las Bibliotecas de cliente de Azure Storage o la API de
REST de Azure Storage.
Queue Storage
Azure Queue Storage es un servicio para almacenar grandes cantidades de
mensajes, Una vez que están almacenados, se puede acceder a los mensajes
desde cualquier lugar del mundo mediante llamadas autenticadas con HTTP o
HTTPS. Una cola puede contener tantos mensajes como el espacio que tenga la
cuenta de almacenamiento (pueden ser millones). Cada mensaje individual de la
cola puede llegar a tener un tamaño máximo de 64 KB. Las colas se utilizan
normalmente para crear un trabajo pendiente del trabajo que se va a procesar
de forma asincrónica.
Queue Storage se puede combinar con funciones de proceso como Azure

Functions para realizar una acción cuando se recibe un mensaje. Por ejemplo,
supongamos que quiere realizar una acción después de que un cliente cargue
un formulario en el sitio web. Podría hacer que el botón enviar en el sitio web
desencadene un mensaje en Queue Storage. Después, podría usar Azure
Functions para desencadenar una acción una vez recibido el mensaje.
Disk Storage
El almacenamiento en disco o los discos administrados de Azure son volúmenes
de almacenamiento de nivel de bloque que administra Azure para su uso con
máquinas virtuales de Azure. Conceptualmente, son iguales que un disco físico,
pero están virtualizados, lo que ofrece mayor resistencia y disponibilidad que un
disco físico. Con los discos administrados, lo único que debe hacer es
aprovisionar el disco; Azure se encargará del resto.
Ejercicio: Creación de un blob de
almacenamiento


Crear una cuenta de almacenamiento

En esta tarea crearemos una nueva cuenta de almacenamiento.
1. Inicie sesión en Azure Portal en https://portal.azure.com.

2. Seleccione Crear un recurso.
3. En Categorías, seleccione Almacenamiento.
4. En Cuenta de almacenamiento, seleccione Crear.
5. En la pestaña Aspectos básicos del panel Crear cuenta de
almacenamiento, rellene la siguiente información. Deje los valores
predeterminados para todo lo demás.
Suscripción Suscripción de Concierge
Grupo de recursos [nombre del grupo de recursos del espacio aislado]
Nombre de la cuenta de almacenamiento Creación de un nombre de cuenta de almacenamiento único
Ubicación default
Rendimiento Estándar
Redundancia Almacenamiento con redundancia local (LRS)
6. Seleccione Revisar y crear para revisar la configuración de su cuenta

de almacenamiento y permitir que Azure valide la configuración.
7. Una vez validada, seleccione Crear. Espere la notificación de que la
cuenta se creó correctamente.
8. Seleccione Ir al recurso.
Uso con Blob Storage
En esta sección, creará un contenedor de blobs y cargará una imagen.
1. En Almacenamiento de datos, seleccione Contenedores.
2. Seleccione + Contenedor y complete la información.
Nombre Escriba un nombre para el contenedor.
Nivel de acceso público Privado (sin acceso anónimo)
3. Seleccione Crear.
Nota
El Paso 4 necesitará una imagen. Si quiere cargar una imagen que

ya tiene en el equipo, continúe con el Paso 4. De lo contrario, abra
una nueva ventana del explorador y busque la imagen de una flor
en Bing. Guarde la imagen en el equipo.
4. De nuevo en Azure Portal, seleccione el contenedor que ha creado y

luego Cargar.
5. Explore el archivo de la imagen que quiere cargar. Selecciónelo y,
luego, seleccione Cargar.
Nota
Puede cargar tantos blobs como quiera de esta manera. Los nuevos
blobs se enumerarán dentro del contenedor.
6. Seleccione el blob (archivo) que acaba de cargar. Debe estar en la

pestaña de propiedades.
7. Copie la dirección URL del campo URL y péguela en una nueva
pestaña.
Debe recibir un mensaje de error similar al siguiente:
Copiar
<Error>
<Code>ResourceNotFound</Code>
<Message>The specified resource does not exist.
RequestId:4a4bd3d9-101e-005a-1a3e-84bd42000000 Time:2022-06-
20T00:41:31.2482656Z</Message>
</Error>
Cambie el nivel de acceso del blob.

1. Vuelva a Azure Portal.
2. Seleccione Cambiar nivel de acceso.
3. Establezca el Nivel de acceso público en Blob (acceso de lectura
anónimo solo para blobs).
4. Seleccione OK (Aceptar).
5. Actualice la pestaña en la que ha intentado acceder al archivo
anteriormente.
Enhorabuena, ha completado este ejercicio. Ha creado una cuenta de

almacenamiento, ha agregado un contenedor a esta cuenta y, después, ha
cargado blobs (archivos) en el contenedor. Luego ha cambiado el nivel de
acceso para que pudiera acceder al archivo desde Internet.
Limpieza
con este módulo.

Identificación de las opciones de

migración de datos de Azure
Ahora que comprende las distintas opciones de almacenamiento dentro de

Azure, es importante comprender también cómo obtener los datos y la
información en Azure. Azure admite la migración en tiempo real de la
infraestructura, las aplicaciones y los datos mediante Azure Migrate, así como la
migración asincrónica de datos mediante Azure Data Box.
Azure Migrate
Azure Migrate es un servicio que le ayuda a migrar desde un entorno local a la
nube. Azure Migrate funciona como centro para ayudarle a administrar la
valoración y la migración del centro de datos local a Azure. Ofrece lo siguiente:
 Plataforma de migración unificada: un único portal para iniciar, ejecutar

y realizar un seguimiento de la migración a Azure.
 Rango de herramientas: Rango de herramientas para la evaluación y
migración Las herramientas de Azure Migrate incluyen Azure Migrate:
Discovery y assessment y Azure Migrate: Server Migration. Azure Migrate
también se integra con otros servicios y herramientas de Azure, así como
con ofertas de proveedores de software independientes (ISV).
 Assessment and migration (Evaluación y migración): en el centro de
Azure Migrate, puede evaluar y migrar la infraestructura local a Azure.
Herramientas integradas
Además de trabajar con herramientas de ISV, el centro de Azure Migrate

también incluye las siguientes herramientas para ayudar con la migración:
 Azure Migrate: Discovery and assessment (Azure Migrate: detección y

evaluación). Detecte y evalúe servidores locales que se ejecutan en
VMware, Hyper-V y servidores físicos para preparar la migración a Azure.
 Azure Migrate: Server Migration (Azure Migrate: migración del
servidor). Migre máquinas virtuales de VMware, máquinas virtuales de
Hyper-V, servidores físicos, otros servidores virtualizados y máquinas
virtuales de la nube pública a Azure.
 Data Migration Assistant. Data Migration Assistant es una herramienta
independiente para evaluar servidores de SQL Server. Ayuda a identificar
posibles problemas que bloquean la migración. Identifica características
no admitidas, nuevas características que puede aprovechar después de la
migración y la ruta de acceso correcta para la migración de la base de
datos.
 Azure Database Migration Service. Migre bases de datos locales a
máquinas virtuales de Azure en las que se ejecutan SQL Server, Azure SQL
Database o instancias administradas de SQL.
 Web app migration assistant (Asistente de migración de aplicación
web). Azure App Service Migration Assistant es una herramienta
independiente para evaluar sitios web locales para la migración a Azure
App Service. Use Migration Assistant para migrar aplicaciones web
de .NET y PHP a Azure.
 Azure Data Box. Use los productos de Azure Data Box para trasladar
grandes cantidades de datos sin conexión a Azure.
Azure Data Box

Azure Data Box es un servicio de migración física que ayuda a transferir grandes
cantidades de datos de forma rápida, económica y confiable. La transferencia de
datos segura se acelera mediante el envío de un dispositivo de almacenamiento
propietario de Data Box que tiene una capacidad de almacenamiento utilizable
máxima de 80 terabytes. Data Box se transporta hacia y desde el centro de
datos a través de un transportista regional. Una caja resistente asegura y
protege Data Box de daños durante el trayecto.
Puede pedir el dispositivo Data Box a través de Azure Portal para importar o
exportar datos desde Azure. Una vez recibido el dispositivo, puede configurarlo
rápidamente mediante la interfaz de usuario web local y conectarlo a la red. Una
vez que haya terminado de transferir los datos (ya sea dentro o fuera de Azure),
simplemente devuelva Data Box. Si va a transferir datos a Azure, los datos se
cargan de forma automática una vez que Microsoft vuelve a recibir Data Box. El
servicio de Data Box se encarga de realizar el seguimiento de todo el proceso
en Azure Portal.
Casos de uso
Data Box es ideal para transferir tamaños de datos con más de 40 TB en

escenarios sin conectividad de red limitada. El movimiento de datos puede ser
único, periódico o una transferencia de datos masiva inicial seguida de
transferencias periódicas.
Estos son los distintos escenarios donde se puede usar Data Box para importar
datos en Azure.
 Migración única: cuando se mueve gran cantidad de datos locales a

Azure.
 Traslade una biblioteca multimedia de cintas sin conexión a Azure para
crear una biblioteca multimedia en línea.
 Migre la granja de máquinas virtuales, SQL Server y las aplicaciones a
Azure.
 Traslade los datos históricos a Azure para un análisis exhaustivo y generar
informes con HDInsight.
 Transferencia masiva inicial: cuando se realiza una transferencia masiva
inicial con Data Box (inicialización) seguida de transferencias
incrementales a través de la red.
 Cargas periódicas: cuando se genera periódicamente una gran cantidad
de datos y es necesario moverlos a Azure.
Estos son los distintos escenarios donde se puede usar Data Box para exportar
datos a Azure.
 Recuperación ante desastres: cuando se restaura una copia de los datos

de Azure en una red local. En un escenario de recuperación ante desastres
habitual, se exporta una gran cantidad de datos de Azure se exporta a
Data Box. Microsoft luego los envía a Data Box y, en poco tiempo, los
datos se restauran en un entorno local.
 Requisitos de seguridad: cuando necesita poder exportar datos de Azure
debido a los requisitos de seguridad o de la administración pública.
 Migración de vuelta al entorno local o a otro proveedor de servicios en la
nube: cuando quiera mover todos los datos de vuelta al entorno local o a
otro proveedor de servicios en la nube, exporte los datos a través de Data
Box para migrar las cargas de trabajo.
Una vez que los datos del pedido de importación se cargan en Azure, los discos
del dispositivo se limpian, según las normas NIST 800-88r1. Si el pedido es de
exportación, los discos se borran una vez que el dispositivo llega al centro de
datos de Azure.
Identificación de las opciones de

movimiento de archivos de Azure
Además de la migración a gran escala mediante servicios como Azure Migrate y

Azure Data Box, Azure también tiene herramientas diseñadas para ayudarle a
mover o interactuar con archivos individuales o grupos de archivos pequeños.
Entre esas herramientas se encuentran AzCopy, Explorador de Azure Storage y
Azure File Sync.
AzCopy
AzCopy es una utilidad de línea de comandos que puede usar para copiar blobs
o archivos a una cuenta de almacenamiento o desde una cuenta de
almacenamiento. Con AzCopy, puede copiar archivos entre cuentas de
almacenamiento, cargarlos, descargarlos e incluso sincronizarlos. AzCopy
incluso se puede configurar para trabajar con otros proveedores de nube para
ayudar a mover archivos entre nubes.
Importante
La sincronización de blobs o archivos con AzCopy es una sincronización

unidireccional. Al sincronizar, designó el origen y el destino, y AzCopy copiará
archivos o blobs en esa dirección. No se sincroniza bidireccionalmente en
función de las marcas de tiempo u otros metadatos.
Explorador de Azure Storage

Explorador de Azure Storage es una aplicación independiente que proporciona
una interfaz gráfica para administrar archivos y blobs en la cuenta de
Azure Storage. Funciona en sistemas operativos Windows, macOS y Linux y usa
AzCopy en el back-end para realizar todas las tareas de administración de
archivos y blobs. Con Explorador de Storage, puede cargar en Azure, descargar
desde Azure o moverse entre cuentas de almacenamiento.
Azure File Sync

Azure File Sync es una herramienta que permite centralizar los archivos
compartidos en Azure Files y mantener la flexibilidad, el rendimiento y la
compatibilidad de un servidor de archivos de Windows. Es casi como convertir
el servidor de archivos de Windows en una red de entrega de contenido en
miniatura. Una vez que instale Azure File Sync en el servidor local de Windows,
se mantendrá sincronizado bidireccionalmente con los archivos en Azure de
forma automática.
Con Azure File Sync, puede:
 Usar cualquier protocolo disponible en Windows Server para

acceder a sus datos de forma local, como SMB, NFS y FTPS.
 Tener todas las cachés que necesite en todo el mundo.
 Reemplazar un servidor local con errores instalando Azure File Sync
en un nuevo servidor del mismo centro de datos.
 Configurar la nube por niveles para que los archivos a los que se
accede con más frecuencia se repliquen localmente, mientras que
los archivos a los que se accede con poca frecuencia se mantienen
en la nube hasta que se soliciten.
Descripción de los servicios de
directorio de Azure
Azure Active Directory (Azure AD) es un servicio de directorio que le permite

iniciar sesión y acceder tanto a las aplicaciones en la nube de Microsoft como a
las aplicaciones en la nube que desarrolle. Azure AD también puede ayudarle a
mantener la implementación de Active Directory local.
En el caso de los entornos locales, Active Directory ejecutado en

Windows Server proporciona un servicio de administración de acceso e
identidades que administra su organización. Azure AD es un servicio de
administración de acceso e identidades basado en la nube de Microsoft. Con
Azure AD, usted controla las cuentas de identidad, pero Microsoft garantiza que
el servicio esté disponible globalmente. Si ya ha trabajado con Active Directory,
Azure AD le resultará familiar.
Si protege las identidades de forma local con Active Directory, Microsoft no

supervisa los intentos de inicio de sesión. Si conecta Active Directory con
Azure AD, Microsoft puede detectar intentos de inicio de sesión sospechosos
para ayudarle a proteger su entorno sin costo adicional. Por ejemplo, Azure AD
puede detectar intentos de inicio de sesión desde ubicaciones inesperadas o
dispositivos desconocidos.
¿Quién usa Azure AD?

Azure AD es para:
 Administradores de TI. Los administradores pueden usar Azure AD para

controlar el acceso a las aplicaciones y los recursos en función de sus
requisitos empresariales.
 Desarrolladores de aplicaciones. Con Azure AD, los desarrolladores
pueden agregar funcionalidad a las aplicaciones que compilan mediante
un enfoque basado en estándares. Por ejemplo, pueden agregar
funcionalidad de SSO a una aplicación o habilitar una aplicación para que
funcione con las credenciales existentes de un usuario.
 Usuarios. Los usuarios pueden administrar sus identidades y realizar
acciones de mantenimiento como el autoservicio de restablecimiento de
contraseña.
 Suscriptores de servicios en línea. Los suscriptores de Microsoft 365,
Microsoft Office 365, Azure y Microsoft Dynamics CRM Online ya usan
Azure AD para autenticarse en su cuenta.
¿Qué hace Azure AD?

Azure AD proporciona servicios como:
 Autenticación: esto incluye la comprobación de la identidad para acceder

a aplicaciones y recursos. También incluye funciones como el autoservicio
de restablecimiento de contraseña, la autenticación multifactor, una lista
personalizada de contraseñas prohibidas y servicios de bloqueo
inteligente.
 Inicio de sesión único: gracias al inicio de sesión único (SSO), los usuarios
tienen que recordar un solo nombre de usuario y una sola contraseña
para acceder a varias aplicaciones. Una sola identidad está asociada a un
usuario, lo que simplifica el modelo de seguridad. Cuando los usuarios
cambian de rol o dejan una organización, las modificaciones de acceso se
asocian a esa identidad, lo que reduce considerablemente el esfuerzo
necesario para cambiar o deshabilitar cuentas.
 Administración de aplicaciones: con Azure AD, puede administrar las
aplicaciones en la nube y locales. Características como Application Proxy,
las aplicaciones SaaS, el portal Aplicaciones y el inicio de sesión único
proporcionan una mejor experiencia de usuario.
 Administración de dispositivos: además de cuentas de usuarios
individuales, Azure AD admite el registro de dispositivos. El registro
permite administrar los dispositivos a través de herramientas como
Microsoft Intune. También permite que las directivas de acceso
condicional basadas en dispositivos limiten los intentos de acceso a solo
aquellos que proceden de dispositivos conocidos, independientemente de
la cuenta de usuario solicitante.
¿Puedo conectar mi AD local con Azure AD?

Si tuviera un entorno local que ejecuta Active Directory y una implementación
en la nube mediante Azure AD, tendría que mantener dos conjuntos de
identidades. Pero puede conectar Active Directory con Azure AD, lo que permite
una experiencia de identidad coherente entre la nube y el entorno local.
Un método de conectar Azure AD con el AD local es usar Azure AD Connect.

Azure AD Connect sincroniza las identidades de usuario entre la instalación local
de Active Directory y Azure AD. Azure AD Connect sincroniza los cambios entre
ambos sistemas de identidades, para que pueda usar características como SSO,
la autenticación multifactor y el autoservicio de restablecimiento de contraseña
en ambos sistemas.
¿Qué es Azure Active Directory Domain Services?
Azure Active Directory Domain Services (Azure AD DS) es un servicio que
proporciona servicios de dominio administrados como, por ejemplo, unión a un
dominio, directivas de grupo, protocolo ligero de acceso a directorios (LDAP) y
autenticación Kerberos o NTLM. Al igual que Azure AD le permite usar servicios
de directorio sin tener que mantener la infraestructura que lo admite, gracias a
Azure AD DS obtiene la ventaja de los servicios de dominio sin necesidad de
implementar, administrar y aplicar revisiones a los controladores de dominio
(DC) en la nube.
Un dominio administrado de Azure AD DS le permite ejecutar aplicaciones

heredadas en la nube que no pueden usar métodos de autenticación modernos
o cuando no quiere que las búsquedas de directorio regresen siempre a un
entorno de AD DS local. Esas aplicaciones heredadas se pueden migrar
mediante "lift-and-shift" del entorno local a un dominio administrado, sin
necesidad de administrar el entorno de AD DS en la nube.
Azure AD DS se integra con el inquilino de Azure AD existente. Esta integración

permite a los usuarios iniciar sesión en los servicios y las aplicaciones
conectados al dominio administrado con sus credenciales existentes. También
puede usar grupos y cuentas de usuario existentes para proteger el acceso a los
recursos. Estas características proporcionan una migración mediante lift-and-
shift más fluida de los recursos locales a Azure.
¿Cómo funciona Azure AD DS?
Cuando cree un dominio administrado de Azure AD DS, defina un espacio de

nombres único. Este espacio de nombres es el nombre de dominio. Después, se
implementan dos controladores de dominio de Windows Server en la región de
Azure seleccionada. Esta implementación de controladores de dominio se
conoce como "conjunto de réplicas".
No es necesario administrar, configurar ni actualizar estos controladores de

dominio. La plataforma Azure administra los controladores de dominio como
parte del dominio administrado, incluidas las copias de seguridad y el cifrado en
reposo mediante Azure Disk Encryption.
¿La información está sincronizada?
Un dominio administrado está configurado para realizar una sincronización

unidireccional de Azure AD a Azure AD DS. Puede crear los recursos
directamente en el dominio administrado, pero no se vuelven a sincronizar con
Azure AD. En un entorno híbrido con un entorno de AD DS local, Azure AD
Connect sincroniza la información de identidad con Azure AD, que se sincroniza
posteriormente con el dominio administrado.
Las aplicaciones, los servicios y las máquinas virtuales de Azure que se conectan
al dominio administrado pueden usar las características de Azure AD DS
comunes, como unión a un dominio, directiva de grupo, LDAP y autenticación
Kerberos o NTLM.
Descripción de los métodos de

autenticación de Azure
La autenticación es el proceso de establecimiento de la identidad de una

persona, servicio y dispositivo. Requiere que la persona, el servicio o el
dispositivo proporcionen algún tipo de credencial para demostrar quiénes son.
La autenticación es como presentar su documento de identidad cuando viaja.
No confirma que está registrado, solo demuestra que es quien dices que es.
Azure admite varios métodos de autenticación, incluidas las contraseñas
estándar, el inicio de sesión único (SSO), la autenticación multifactor (MFA) y el
acceso sin contraseña.
Desde hace tiempo, la seguridad y la comodidad parecían estar en conflicto

entre sí. Afortunadamente, las nuevas soluciones de autenticación proporcionan
seguridad y comodidad.
En el diagrama siguiente se muestra el nivel de seguridad en comparación con
la comodidad. Observe que la autenticación sin contraseña es alta seguridad y
alta comodidad, mientras que las contraseñas por sí mismas son de baja
seguridad pero alta comodidad.
¿Qué es el inicio de sesión único?

El inicio de sesión único (SSO) permite a los usuarios iniciar sesión una vez y
utilizar esa credencial para acceder a varios recursos y aplicaciones de distintos
proveedores. Para que el inicio de sesión único funcione, las distintas
aplicaciones y proveedores deben confiar en el autenticador inicial.
Más identidades significan más contraseñas para recordar y cambiar. Las

directivas de contraseñas pueden variar entre las aplicaciones. A medida que
aumentan los requisitos de complejidad, cada vez resultan más difíciles de
recordar para los usuarios. Cuantas más contraseñas tenga que administrar un
usuario, mayor será el riesgo de que se produzca alguna incidencia de
seguridad relacionada con las credenciales.
Piense en el proceso de administrar todas estas identidades. Se ejerce una

mayor presión en el departamento de soporte técnico cuando tienen que lidiar
con los bloqueos de cuentas y las solicitudes de restablecimiento de
contraseñas. Si un usuario deja una organización, puede resultar complicado
hacer un seguimiento de todas sus identidades y asegurarse de que están
deshabilitadas. Si se pasa por alto una identidad, es posible que se permita el
acceso cuando debería haberse eliminado.
Con SSO, tan solo debe recordar un ID y una contraseña. El acceso a todas las
aplicaciones se concede a una única identidad que está asociada a un usuario,
lo que simplifica el modelo de seguridad. A medida que los usuarios cambian
los roles o dejan una organización, el acceso está asociado a una única
identidad. Este cambio reduce considerablemente el esfuerzo necesario para
cambiar o deshabilitar cuentas. Usar el inicio de sesión único en las cuentas
permite a los usuarios administrar su identidad y al equipo de TI gestionar los
usuarios con mayor facilidad.
Importante
El inicio de sesión único solo es tan seguro como el autenticador inicial, ya que
todas las conexiones posteriores se basan en la seguridad del autenticador
inicial.
¿Qué es la autenticación multifactor?

La autenticación multifactor es el proceso de solicitar a un usuario una forma
adicional (o factor) de identificación durante el proceso de inicio de sesión. La
MFA ayuda a protegerse frente a las contraseñas en riesgo en situaciones en las
que la contraseña se vio comprometida, pero el segundo factor no.
Piense en cómo inicia sesión en los sitios web, el correo electrónico o los
servicios en línea. Después de escribir el nombre de usuario y la contraseña,
¿alguna vez ha tenido que escribir un código que ha recibido en el teléfono? Si
es así, ha usado la autenticación multifactor para iniciar sesión.
La autenticación multifactor proporciona seguridad adicional a las identidades,

ya que se requieren dos o más elementos para una autenticación completa.
Estos elementos se dividen en tres categorías:
 Algo que el usuario sabe: puede ser una pregunta de seguridad.

 Algo que el usuario tiene: se puede tratar de un código que se envía al
teléfono móvil del usuario.
 Algo que el usuario es: normalmente, algún tipo de propiedad biométrica,
como la huella dactilar o el escaneo facial.
La autenticación multifactor aumenta la seguridad de las identidades al limitar

el impacto de la exposición de credenciales (por ejemplo, nombres de usuario y
contraseñas robados). Si la autenticación multifactor está habilitada, los
atacantes que tengan la contraseña de un usuario también necesitarán su
teléfono o su huella dactilar para completar la autenticación.
Compare la autenticación multifactor con la autenticación de un solo factor. En

la autenticación de un solo factor, los atacantes solo necesitarían el nombre de
usuario y la contraseña para autenticarse. La autenticación multifactor se debe
habilitar siempre que sea posible, ya que aporta enormes ventajas a la
seguridad.
¿Qué es Azure AD Multi-Factor Authentication?
Azure AD Multi-Factor Authentication es un servicio de Microsoft que

proporciona funcionalidades de autenticación multifactor. Azure AD Multi-
Factor Authentication permite a los usuarios elegir una forma adicional de
autenticación durante el inicio de sesión, como una llamada de teléfono o una
notificación de aplicación móvil.
¿Qué es la autenticación sin contraseña?

El uso de características como la autenticación multifactor constituye una
excelente manera de proteger una organización. Sin embargo, sumar esta capa
de seguridad adicional al hecho de tener que recordar las contraseñas suele
frustrar a los usuarios. Es más probable que las personas cumplan cuando sea
fácil y conveniente hacerlo. Los métodos de autenticación sin contraseña
resultan más cómodos, ya que la contraseña se quita y se reemplaza por algo
que se tiene más algo que se es o se sabe.
La autenticación sin contraseña debe configurarse en un dispositivo para que

funcione. Por ejemplo, su ordenador es algo que tiene. Una vez que se haya
registrado o inscrito, Azure ahora sabrá que está asociado a usted. Ahora que se
conoce el equipo, una vez que proporcione algo que sepa o sea (por ejemplo,
un PIN o una huella digital), se podrá autenticar sin usar una contraseña.
Cada organización tiene diferentes necesidades en cuanto a la autenticación.

Microsoft Azure global y Azure Government ofrecen las siguientes tres opciones
de autenticación sin contraseña que se integran con Azure Active Directory
(Azure AD):
 Windows Hello para empresas

 Aplicación Microsoft Authenticator
 Claves de seguridad FIDO2
Windows Hello para empresas
Windows Hello para empresas resulta muy conveniente para los trabajadores de
la información que tienen su propio equipo con Windows designado. La
información biométrica y las credenciales de PIN están vinculadas directamente
al equipo del usuario, lo que impide el acceso de cualquier persona que no sea
el propietario. Con la integración de la infraestructura de clave pública (PKI) y la
compatibilidad integrada con el inicio de sesión único (SSO), Windows Hello
para empresas ofrece un método sencillo y práctico de acceder directamente a
los recursos corporativos del entorno local y la nube.
Aplicación Microsoft Authenticator
También puede permitir que el teléfono del empleado se convierta en un

método de autenticación sin contraseña. Es posible que ya esté usando la
aplicación Microsoft Authenticator como una opción de autenticación
multifactor cómoda sumada a una contraseña. También puede usar la aplicación
Authenticator como una opción sin contraseña.
La aplicación Authenticator convierte cualquier teléfono Android o iOS en una

credencial segura sin contraseña. Los usuarios pueden iniciar sesión en
cualquier plataforma o explorador con este proceso: reciben una notificación en
su teléfono, comprueban que el número mostrado en la pantalla coincide con el
de su teléfono y, a continuación, usan datos biométricos (huella dactilar o
reconocimiento facial) o el PIN para confirmarlo. Consulte Descarga e
instalación de la aplicación Microsoft Authenticator para conocer los detalles de
la instalación.
Claves de seguridad FIDO2
FIDO (Fast IDentity Online) Alliance ayuda a promover los estándares de

autenticación abiertos y a reducir el uso de contraseñas como forma de
autenticación. FIDO2 es el estándar más reciente que incorpora el estándar de
autenticación web (WebAuthn).
Las claves de seguridad FIDO2 son un método de autenticación sin contraseña

basado en estándares que no permite la suplantación de identidad y que puede
venir en cualquier factor de forma. Fast Identity Online (FIDO) es un estándar
abierto para la autenticación sin contraseña. FIDO permite a los usuarios y a las
organizaciones aprovechar el estándar para iniciar sesión en sus recursos sin un
nombre de usuario o una contraseña mediante una clave de seguridad externa
o una clave de plataforma integrada en un dispositivo.
Los usuarios pueden registrarse y luego seleccionar una llave de seguridad de

FIDO2 en la interfaz de inicio de sesión como medio principal de autenticación.
Estas llaves de seguridad de FIDO2 suelen ser dispositivos USB, pero también
pueden usar Bluetooth o NFC. Con un dispositivo de hardware que controla la
autenticación, se aumenta la seguridad de una cuenta, ya que no hay ninguna
contraseña que pueda quedar expuesta ni adivinarse.
Descripción de identidades externas
de Azure
Una identidad externa es una persona, un dispositivo, un servicio, etc. que está
fuera de la organización. Azure AD External Identities hace referencia a todas las
formas en que puede interactuar de forma segura con usuarios externos a su
organización. Si quiere colaborar con asociados, distribuidores o proveedores,
puede compartir los recursos y definir cómo los usuarios internos pueden
acceder a organizaciones externas. Si es un desarrollador que crea aplicaciones
orientadas al consumidor, puede administrar las experiencias de identidad de
los clientes.
Las identidades externas pueden parecerse al inicio de sesión único. Con

External Identities, los usuarios externos pueden "traer sus propias identidades".
Tanto si tienen una identidad digital corporativa o gubernamental, como una
identidad social no administrada, como Google o Facebook, pueden usar sus
propias credenciales para iniciar sesión. El proveedor de identidades administra
la identidad del usuario externo y el usuario administra el acceso a sus
aplicaciones con Azure AD o Azure AD B2C para mantener protegidos los
recursos.
Las siguientes funcionalidades componen External Identities:
 Colaboración de empresa a empresa (B2B): colabore con usuarios

externos y permítales usar su identidad preferida para iniciar sesión
en las aplicaciones de Microsoft u otras aplicaciones empresariales
(aplicaciones SaaS, aplicaciones desarrolladas de forma
personalizada, etc.). Los usuarios de colaboración B2B se
representan en el directorio, normalmente como usuarios invitados.
 Conexión directa B2B: establezca una confianza mutua y en dos
sentidos con otra Azure AD para una colaboración sin problemas.
La conexión directa B2B actualmente es compatible con los canales
compartidos de Teams, lo que permite a los usuarios externos
acceder a sus recursos desde sus instancias principales de Teams.
Los usuarios de conexión directa B2B no se representan en el
directorio, pero son visibles desde el canal compartido de Teams y
se pueden supervisar en Teams informes del centro de
administración.
 Empresa a cliente de Azure AD (B2C): publique aplicaciones SaaS
modernas o aplicaciones desarrolladas de forma personalizada
(excepto aplicaciones de Microsoft) para consumidores y clientes,
mientras usa Azure AD B2C para la administración de identidades y
acceso.
En función de cómo quiera interactuar con organizaciones externas y los tipos

de recursos que necesite compartir, puede usar una combinación de estas
funcionalidades.
Con Azure Active Directory (Azure AD), puede habilitar fácilmente la

colaboración entre distintas organizaciones mediante la característica B2B de
Azure AD. Los usuarios invitados de otros inquilinos pueden ser invitados por
los administradores o por otros usuarios. Esta capacidad también se aplica a las
identidades sociales como las cuentas Microsoft.
También puede asegurarse fácilmente de que los usuarios invitados tengan el

acceso adecuado. Puede pedir a los invitados o a quien decida en su lugar que
participen en una revisión de acceso y vuelvan a certificar (o atestiguar) el
acceso de los invitados. Los revisores pueden dar su aprobación para cada
necesidad de acceso continuado de los usuarios, en función de las sugerencias
de Azure AD. Cuando una revisión de acceso haya terminado, es posible hacer
cambios y retirar la concesión de acceso a los invitados que ya no lo necesitan.
Descripción del acceso condicional de

Azure
El acceso condicional es una herramienta que usa Azure Active Directory para
permitir (o denegar) el acceso a los recursos en función de señales de identidad.
Estas señales incluyen quién es el usuario, dónde se encuentra y desde qué
dispositivo solicita el acceso.
Con el acceso condicional, los administradores de TI pueden:
 permitir a los usuarios ser productivos en cualquier momento y

lugar;
 proteger los recursos de la organización.
El acceso condicional también proporciona una experiencia de autenticación
multifactor más pormenorizada para los usuarios. Por ejemplo, es posible que al
usuario no se le solicite un segundo factor de autenticación si está en una
ubicación conocida. Pero si sus señales de inicio de sesión son inusuales o su
ubicación es inesperada, es posible que se le exija un segundo factor de
autenticación.
Durante el inicio de sesión, el acceso condicional recopila señales del usuario,

toma decisiones basadas en esas señales y, después, aplica esa decisión para
permitir o denegar la solicitud de acceso, o bien exigir una respuesta de
autenticación multifactor.
En el diagrama siguiente se muestra este flujo:
En este caso, la señal podría ser la ubicación del usuario, su dispositivo o la

aplicación a la que intenta acceder.
En función de estas señales, la decisión puede ser permitir el acceso completo si

el usuario inicia sesión desde su ubicación habitual. Si el usuario inicia sesión
desde una ubicación inusual o una ubicación marcada como de alto riesgo, el
acceso puede bloquearse por completo, o bien podría concederse después de
que el usuario proporcione una segunda forma de autenticación.
La aplicación es la acción que lleva a cabo la decisión. Por ejemplo, la acción es

permitir el acceso o exigir al usuario que proporcione una segunda forma de
autenticación.
¿Cuándo se puede usar el acceso condicional?

El acceso condicional resulta útil en los casos siguientes:
 Exija la autenticación multifactor (MFA) para acceder a una

aplicación en función del rol, la ubicación o la red del solicitante.
Por ejemplo, podría requerir MFA para administradores, pero no
para usuarios normales o personas que se conectan desde fuera de
la red corporativa.
 Para requerir el acceso a los servicios solo a través de aplicaciones
cliente aprobadas. Por ejemplo, podría limitar qué aplicaciones de
correo electrónico pueden conectarse al servicio de correo
electrónico.
 Exija que los usuarios accedan a la aplicación solo desde
dispositivos administrados. Un dispositivo administrado es un
dispositivo que cumple los estándares de seguridad y
cumplimiento.
 Para bloquear el acceso desde orígenes que no son de confianza,
como ubicaciones desconocidas o inesperadas.
Descripción del control de acceso

basado en roles de Azure
Cuando tenemos varios equipos de TI e ingeniería, ¿cómo podemos controlar el

acceso que tienen a los recursos del entorno de nube? El principio de privilegios
mínimos indica que solo debe conceder acceso al nivel necesario para
completar una tarea. Si solo necesita acceso de lectura a un blob de
almacenamiento, solo se le debe conceder acceso de lectura a ese blob de
almacenamiento. No se debe conceder acceso de escritura a ese blob ni debe
tener acceso de lectura a otros blobs de almacenamiento. Es una buena práctica
de seguridad seguir.
Pero, administrar ese nivel de permisos para todo el equipo se volvería tedioso.
En vez de definir los requisitos de acceso detallados de cada individuo y,
después, ir actualizándolos a medida que se vayan creando más recursos o se
unan nuevos miembros al equipo, Azure permite controlar el acceso a través del
control de acceso basado en roles de Azure (RBAC de Azure).
Azure proporciona roles integrados que describen las reglas de acceso comunes
de los recursos en la nube. También podemos definir nuestros propios roles.
Cada rol tiene un conjunto asociado de permisos de acceso que tienen que ver
con ese rol. Cuando se asignan usuarios o grupos a uno o varios roles, reciben
todos los permisos de acceso asociados.
Por lo tanto, si contrata a un nuevo ingeniero y los agrega al grupo RBAC de

Azure para ingenieros, obtiene de forma automática el mismo acceso que los
otros ingenieros del mismo grupo de RBAC de Azure. De forma similar, si
agrega recursos adicionales y apunta RBAC de Azure en ellos, todos los usuarios
de ese grupo de RBAC de Azure tendrán esos permisos en los nuevos recursos,
así como en los recursos existentes.
¿Cómo se aplica el control de acceso basado en

roles a los recursos?
El control de acceso basado en roles se aplica a un ámbito, que es un recurso o
un conjunto de recursos en los que este acceso se permite.
En este diagrama se muestra la relación entre roles y ámbitos. Un grupo de

administración, una suscripción o un administrador de recursos podría tener el
rol de propietario, por lo que se ha aumentado el control y la autoridad. A un
observador, que no se espera que realice ninguna actualización, se le puede
asignar un rol de Lector para el mismo ámbito, lo que le permitiría revisar u
observar el grupo de administración, la suscripción o el grupo de recursos.
Los ámbitos pueden ser lo siguiente:
 Un grupo de administración (una colección de varias suscripciones)

 Una sola suscripción
 Un grupo de recursos.
 Un solo recurso
Los observadores, los usuarios que administran recursos, los administradores y

los procesos automatizados muestran los tipos de usuarios o cuentas que se
suelen asignar a cada uno de los distintos roles.
RBAC de Azure es jerárquico, ya que al conceder acceso en un ámbito primario,
todos los ámbitos secundarios heredan esos permisos. Por ejemplo:
 Cuando asignamos el rol Propietario a un usuario en el ámbito del

grupo de administración, dicho usuario podrá administrar todo el
contenido de todas las suscripciones dentro de ese grupo de
administración.
 Cuando asignamos el rol Lector a un grupo en el ámbito de
suscripción, los miembros de dicho grupo podrán ver todos los
grupos de recursos y recursos dentro de esa suscripción.
¿Cómo se aplica RBAC de Azure?

RBAC de Azure se aplica a cualquier acción que se inicie en un recurso de Azure
que pasa por Azure Resource Manager. Resource Manager es un servicio de
administración que proporciona una forma de organizar y proteger nuestros
recursos en la nube.
Normalmente, se accede a Resource Manager a través de Azure Portal, Azure

Cloud Shell, Azure PowerShell y la CLI de Azure. RBAC de Azure no aplica
permisos de acceso en el nivel de aplicación ni de datos. La seguridad de la
aplicación debe controlarla la propia aplicación.
RBAC de Azure emplea un modelo de permisos. Cuando se le asigna un rol,

RBAC de Azure le permite realizar acciones dentro del ámbito de ese rol. Si una
asignación de roles nos concede permisos de lectura a un grupo de recursos y
otra asignación de roles nos concede permisos de escritura al mismo grupo de
recursos, tendremos permisos tanto de lectura como de escritura en ese grupo
de recursos.
Descripción del modelo de Confianza

cero
Confianza cero es un modelo de seguridad que supone el peor de los
escenarios posibles y protege los recursos con esa expectativa. Confianza cero
presupone que hay una vulneración y comprueba todas las solicitudes como si
provinieran de una red no controlada.
En la actualidad, las organizaciones necesitan un modelo de seguridad nuevo

que se adapte eficazmente a la complejidad del entorno moderno, adopte los
recursos móviles y proteja a personas, dispositivos, aplicaciones y datos
dondequiera que se encuentren.
Para abordar este nuevo mundo informático, Microsoft recomienda

encarecidamente el modelo de seguridad de Confianza cero, que se basa en
estos principios rectores:
 Comprobar explícitamente: realice siempre las operaciones de

autorización y autenticación en función de todos los puntos de
datos disponibles.
 Usar el acceso de privilegios mínimos: limite el acceso de los
usuarios con Just-in-Time y Just-Enough-Access (JIT/JEA), directivas
que se adaptan al nivel de riesgo y protección de datos.
 Asumir que hay brechas: minimice el radio de expansión y el
acceso a los segmentos. Comprobación del cifrado de un extremo a
otro. Utilice el análisis para obtener visibilidad, impulsar la
detección de amenazas y mejorar las defensas.
Ajuste a Confianza cero

Tradicionalmente, las redes corporativas estaban restringidas, protegidas y, por
lo general, eran seguras. Solo los equipos administrados se podían unir a la red,
el acceso VPN estaba estrechamente controlado y los dispositivos personales
estaban restringidos o bloqueados con frecuencia.
El modelo de Confianza cero revoluciona ese escenario. En lugar de suponer

que un dispositivo es seguro porque está dentro de la red corporativa, exige
que todos los usuarios se autentiquen. Después, concede acceso basado en la
autenticación, no de la ubicación.
Descripción de defensa en
profundidad
El objetivo de la defensa en profundidad es proteger la información y evitar que

personas no autorizadas a acceder puedan sustraerla.
Una estrategia de defensa en profundidad usa una serie de mecanismos para

ralentizar el avance de un ataque dirigido a adquirir acceso no autorizado a los
datos.
Capas de defensa en profundidad

Puede visualizar la defensa en profundidad como un conjunto de capas, con los
datos que se van a proteger en el centro y todas las demás capas en
funcionamiento para proteger esa capa de datos central.
Cada capa proporciona protección de modo que, si se produce una brecha en
una capa, ya existe otra en funcionamiento para evitar una mayor exposición.
Este enfoque elimina la dependencia de cualquier capa de protección única.
Ralentiza un ataque y proporciona información de alertas sobre la que pueden
actuar los equipos de seguridad, ya sea de forma automática o manual.
Aquí tiene una breve descripción del rol de cada capa:
 La capa de seguridad física es la primera línea de defensa para proteger el

hardware informático del centro de datos.
 La capa de identidad y acceso controla el acceso a la infraestructura y al
control de cambios.
 La capa perimetral usa protección frente a ataques de denegación de
servicio distribuido (DDoS) para filtrar los ataques a gran escala antes de
que puedan causar una denegación de servicio para los usuarios.
 La capa de red limita la comunicación entre los recursos a través de
controles de acceso y segmentación.
 La capa de proceso protege el acceso a las máquinas virtuales.
 La capa de aplicación ayuda a garantizar que las aplicaciones sean seguras
y estén libres de vulnerabilidades de seguridad.
 La capa de datos controla el acceso a los datos empresariales y de clientes
que es necesario proteger.
Estas capas proporcionan una guía para ayudarle a tomar decisiones de

configuración de seguridad en todas las capas de las aplicaciones.
Azure proporciona herramientas y características de seguridad en todas las

capas del concepto de defensa en profundidad. Veamos cada capa con más
detalle:
Seguridad física
La protección física del acceso a los edificios y el control del acceso al hardware
de proceso del centro de datos son la primera línea de defensa.
La intención de la seguridad física es proporcionar medidas de seguridad físicas

contra el acceso a los recursos. Estas medidas garantizan que no se puedan
omitir otras capas y se controle apropiadamente la pérdida o el robo. Microsoft
usa varios mecanismos de seguridad físicos en sus centros de datos de la nube.
Identidad y acceso
La capa de identidad y acceso consiste en garantizar que las identidades están

protegidas, que solo se otorga el acceso necesario y que se registran los
cambios y los eventos de inicio de sesión.
En esta capa, es importante que realice lo siguiente:
 Controle el acceso a la infraestructura y al control de cambios.

 Use el inicio de sesión único (SSO)y la autenticación multifactor.
 Audite los eventos y los cambios.
Perímetro
El perímetro de la red protege frente a ataques basados en red contra los

recursos. Identificar estos ataques, eliminar sus repercusiones y recibir alertas
sobre ellos cuando suceden son formas importantes de proteger la red.
 Use protección contra DDoS para filtrar los ataques a gran escala antes de
que puedan afectar a la disponibilidad de un sistema para los usuarios.
 Use firewalls perimetrales para identificar los ataques malintencionados
contra la red y alertar sobre ellos.
Red
En esta capa, el enfoque está en limitar la conectividad de la red en todos los

recursos para permitir solo la necesaria. Al limitar esta comunicación, se reduce
el riesgo de que se propaguen los ataques a otros sistemas de la red.
 Limite la comunicación entre los recursos.

 Deniegue de forma predeterminada.
 Restrinja el acceso entrante de Internet y limite el saliente cuando sea
apropiado.
 Implemente conectividad segura a las redes locales.
Compute
El software malintencionado, los sistemas sin revisiones aplicadas y los sistemas

protegidos inadecuadamente abren el entorno a los ataques. El enfoque en esta
capa es asegurarse de que sus recursos de proceso estén seguros y de que
cuenta con los controles adecuados para minimizar los problemas de seguridad.
 Proteja el acceso a las máquinas virtuales.

 Implemente la protección del punto de conexión de los dispositivos y
mantenga los sistemas revisados y actualizados.
Application
La integración de la seguridad en el ciclo de vida de desarrollo de aplicaciones

ayuda a reducir el número de vulnerabilidades en el código. Todos los equipos
de desarrollo deberían asegurarse de que sus aplicaciones son seguras de forma
predeterminada.
 Garantice que las aplicaciones son seguras y están libres de

vulnerabilidades.
 Almacene los secretos de aplicación confidenciales en un medio de
almacenamiento seguro.
 Convierta la seguridad en un requisito de diseño en todo el desarrollo de
aplicaciones.
data
Los que almacenan y controlan el acceso a los datos son responsables de

asegurarse de que están protegidos correctamente. A menudo, los requisitos
legales dictan los controles y procesos que deben cumplirse para garantizar la
confidencialidad, la integridad y la disponibilidad de los datos.
En casi todos los casos, los atacantes intentan conseguir datos:
 Almacenados en una base de datos.

 Almacenados en discos en máquinas virtuales.
 Almacenados en aplicaciones de software como servicio (SaaS), como
Office 365.
 Administrados mediante el almacenamiento en la nube.
Descripción de Microsoft Defender
for Cloud
Microsoft Defender for Cloud es una herramienta de supervisión para la

administración de la posición de seguridad y la protección contra amenazas.
Supervisa los entornos en la nube, locales, híbridos y multinube para ofrecer
instrucciones y notificaciones destinadas a reforzar la posición de seguridad.
Defender for Cloud proporciona las herramientas necesarias para proteger los
recursos, realizar un seguimiento de su posición de seguridad, protegerse frente
a ciberataques y simplificar la administración de la seguridad. La
implementación de Defender for Cloud es fácil, ya está integrada de forma
nativa en Azure.
Protección allá donde se implemente

Dado que Defender for Cloud es un servicio nativo de Azure, muchos servicios
de Azure se supervisan y protegen sin necesidad de ninguna implementación.
Pero si también tiene un centro de datos local o también está funcionando en
otro entorno en la nube, es posible que la supervisión de los servicios de Azure
no le proporcione una imagen completa de su situación de seguridad.
Cuando sea necesario, Defender for Cloud puede implementar

automáticamente un agente de Log Analytics para recopilar datos relacionados
con la seguridad. En el caso de las máquinas de Azure, la implementación se
controla directamente. Para entornos híbridos y de varias nubes, los planes de
Microsoft Defender se amplían a máquinas que no son de Azure con la ayuda
de Azure Arc. Las características de la Administración de la posición de
seguridad en la nube (CSPM) se amplían a máquinas de varias nubes sin
necesidad de ningún agente.
Protecciones nativas de Azure
Defender for Cloud le permite detectar amenazas en:

 Servicios de PaaS de Azure: puede detectar amenazas dirigidas a servicios
de Azure como Azure App Service, Azure SQL, la cuenta de Azure Storage
y otros servicios de datos. También puede realizar la detección de
anomalías en los registros de actividad de Azure mediante la integración
nativa con Microsoft Defender para aplicaciones en la nube
(anteriormente conocido como Microsoft Cloud App Security).
 Servicios de datos de Azure: Defender for Cloud incluye capacidades que
le ayudarán a clasificar automáticamente los datos en Azure SQL. También
puede obtener evaluaciones de las posibles vulnerabilidades en los
servicios de Azure SQL y Azure Storage, además de recomendaciones
sobre cómo mitigarlas.
 Redes: Defender for Cloud le permite limitar la exposición a los ataques
por fuerza bruta. Si reduce el acceso a los puertos de las máquinas
virtuales mediante el acceso de máquina virtual Just-In-Time, puede
proteger la red al prevenir el acceso innecesario. Puede establecer
directivas de acceso seguro en los puertos seleccionados, solo para
usuarios autorizados, direcciones IP o intervalos de direcciones IP de
origen permitidos y durante un período limitado.
Defensa de los recursos híbridos
Además de defender el entorno de Azure, puede agregar funcionalidades de

Defender for Cloud a su entorno de nube híbrida para proteger los servidores
que no sean de Azure. Obtenga inteligencia personalizada sobre las amenazas y
alertas prioritarias según su entorno específico para que pueda centrarse en lo
que más le importa.
Para ampliar la protección a las máquinas locales, implemente Azure Arc y

habilite las características de seguridad mejoradas de Defender for Cloud.
Defensa de los recursos que se ejecutan en otras nubes
Defender for Cloud también puede proteger los recursos de otras nubes (como
AWS y GCP).
Por ejemplo, si ha conectado una cuenta de Amazon Web Services (AWS) a una
suscripción de Azure, puede habilitar cualquiera de estas protecciones:
 Las características de CSPM de Defender for Cloud se extienden a los

recursos de AWS. Este plan sin agente evalúa los recursos de AWS según
las recomendaciones de seguridad específicas de AWS e incluye los
resultados en la puntuación de seguridad. También se evaluará el
cumplimiento de los recursos de los estándares integrados específicos de
AWS (AWS CIS, AWS PCI DSS y Procedimientos recomendados de
seguridad fundamentales de AWS). La página de inventario de recursos de
Defender for Cloud es una característica habilitada para varias nubes que
permite administrar los recursos de AWS junto con los de Azure.
 Microsoft Defender para Kubernetes amplía la detección de amenazas de
contenedores y defensas avanzadas a los clústeres Linux de Amazon EKS.
 Microsoft Defender para servidores proporciona la detección de
amenazas y defensas avanzadas a las instancias de EC2 con Windows y
Linux.
Evaluación, protección y defensa

Defender for Cloud cubre tres necesidades vitales a medida que administra la
seguridad de los recursos y las cargas de trabajo en la nube y en el entorno
local:
 Evaluación continua: conozca la posición de seguridad. Identifique y

realice un seguimiento de las vulnerabilidades.
 Protección: proteja los recursos y los servicios con Azure Security
Benchmark.
 Defensa: detecte y resuelva las amenazas a recursos, cargas de trabajo y
servicios.
Evaluación continua
Defender for Cloud le ayuda a evaluar continuamente su entorno. Incluye

soluciones de evaluación de vulnerabilidades para las máquinas virtuales, los
registros de contenedor y los servidores de SQL.
Microsoft Defender para servidores incluye integración nativa automática con

Microsoft Defender para puntos de conexión. Si ha habilitado esta integración,
tendrá acceso a los hallazgos relacionados con vulnerabilidades de la
administración de amenazas y vulnerabilidades de Microsoft.
Entre estas herramientas de evaluación tendrá exámenes de vulnerabilidades

regulares y detallados que cubren el proceso, los datos y la infraestructura.
Puede revisar los resultados de estos exámenes desde Defender for Cloud y
responder a ellos.
Seguridad
Desde los métodos de autenticación hasta el control de acceso y el concepto de

Confianza cero, la seguridad en la nube es un aspecto esencial que debe
realizarse correctamente. Para estar protegido en la nube, debe asegurarse de
que las cargas de trabajo son seguras. Para proteger las cargas de trabajo,
necesita directivas de seguridad que se adapten a su entorno y situación. Como
las directivas de Defender for Cloud se crean sobre los controles de directivas
de Azure, puede obtener la gama completa y la flexibilidad de una solución de
directivas de primer nivel. En Defender for Cloud, puede establecer que las
directivas se ejecuten en grupos de administración, entre distintas suscripciones
e incluso en un inquilino completo.
Una de las ventajas de pasar a la nube es la capacidad de crecer y escalar en

función de sus necesidades, lo que agrega nuevos servicios y recursos según
sea necesario. Defender for Cloud supervisa constantemente los nuevos
recursos que se implementan en las cargas de trabajo. Defender for Cloud
evalúa si los nuevos recursos están configurados según los procedimientos
recomendados de seguridad. Si no es así, se marcan y se obtiene una lista
prioritaria de recomendaciones para lo que necesita corregir. Las
recomendaciones le permitirán disminuir la superficie expuesta a ataques en
cada uno de los recursos.
La lista de recomendaciones está habilitada y es compatible con Azure Security

Benchmark. Este punto de referencia es el conjunto de directrices específico de
Azure y creado por Microsoft relativo a los procedimientos recomendados de
seguridad y cumplimiento basados en marcos de cumplimiento comunes.
De este modo, Defender for Cloud le permite no solo establecer directivas de

seguridad, sino también aplicar estándares de configuración segura en todos los
recursos.
Para ayudarle a conocer el grado de importancia que tiene cada una de las
recomendaciones en su postura global acerca de la seguridad, Defender for
Cloud agrupa las recomendaciones en controles de seguridad y agrega un valor
de puntuación de la seguridad a cada control. La puntuación de seguridad le
proporciona un indicador a simple vista del estado de su posición de seguridad,
mientras que los controles le proporcionan una lista de trabajo de las cosas que
se deben tener en cuenta para mejorar la puntuación de seguridad y la posición
de seguridad general.
Defensa
Las dos primeras áreas se centraban en evaluar, supervisar y mantener su

entorno. Defender for Cloud también le permite defender su entorno
proporcionando alertas de seguridad y características avanzadas de protección
contra amenazas.
Alertas de seguridad
Cuando Defender para la nube detecta una amenaza en cualquier área del
entorno, genera una alerta de seguridad. Alertas de seguridad:
 Descripción de los detalles de los recursos afectados

 Sugerencia de pasos para la corrección
 Suministro, en algunos casos, de una opción para desencadenar una
aplicación lógica en la respuesta
Tanto si Defender para la nube genera una alerta como si la recibe desde un
producto de seguridad integrado, puede exportarla. La protección contra
amenazas de Defender para la nube incluye el análisis de la cadena de
eliminación de fusión, que correlaciona de manera automática las alertas del
entorno en función del análisis Cyber Kill Chain, para ayudarle a comprender
mejor todo el proceso de un ataque, dónde empezó y qué tipo de impacto tuvo
en los recursos.
Protección contra amenazas avanzada
Defender for Cloud proporciona características avanzadas de protección contra

amenazas para muchos de los recursos implementados, incluidas las máquinas
virtuales, las bases de datos SQL, los contenedores, las aplicaciones web y la red.
Entre las protecciones se incluyen la protección de los puertos de
administración de las VM con acceso Just-in-Time y controles de aplicaciones
adaptables para crear listas de permitidos con las aplicaciones que deben o no
ejecutarse en las máquinas.

Azure 2

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Azure 2

Cargado por

Copyright:

Formatos disponibles

Qué es Microsoft Azure

Azure es un conjunto de servicios en la nube en expansión constante que le

¿Qué ofrece Azure?

 Prepararse para el futuro: la innovación continua de Microsoft

¿Qué puedo hacer con Azure?

Muchos equipos comienzan a explorar la nube mediante la migración de sus

Introducción a las cuentas de Azure

Creación de una cuenta de Azure

¿Qué es la cuenta gratuita de Azure?

La cuenta gratuita de Azure incluye lo siguiente:

 Acceso gratuito a productos populares de Azure durante 12 meses.

¿Qué es la cuenta de estudiante gratuita de Azure?

La oferta de la cuenta de estudiante gratuita de Azure incluye lo siguiente:

 Acceso gratuito a determinados servicios de Azure durante 12 meses.

La cuenta de estudiante gratuita de Azure es una oferta para estudiantes que

En muchos de los ejercicios de Learn se usa una tecnología denominada espacio

Cuando complete un módulo de Learn, puede usar la suscripción personal para

Ejercicio: Exploración del espacio

Para completar este módulo, se necesita un espacio aislado.

Un espacio aislado le da acceso a recursos gratuitos. La suscripción personal no

Microsoft proporciona esta experiencia de laboratorio y contenido relacionado

Activar espacio aislado

En este ejercicio explorará el espacio aislado de Learn. Puede interactuar con el

Activación del espacio aislado de Learn

Tarea 1: Uso de la CLI de PowerShell

Use el comando Get-date de PowerShell para obtener la fecha y hora actuales.

Tarea 2: Uso de la CLI de BASH

Escriba bash para cambiar a la CLI de BASH.

De nuevo, use el comando Get-date para obtener la fecha y hora actuales.

Se produce un error porque Get-date es un comando específico de PowerShell.

Use el comando date para obtener la fecha y hora actuales.

Puede volver al modo de PowerShell si escribe pwsh en la línea de comandos de

Escriba az interactive para entrar en modo interactivo.

Decida si quiere enviar datos de telemetría y escriba SÍ o NO.

Tarea 4: Uso de Azure Portal

A lo largo del recorrido con Microsoft Azure, escuchará y usará términos como

Como proveedor de nube global, Azure tiene centros de datos en todo el

El sitio de infraestructura global le ofrece la oportunidad de explorar de manera

Al implementar un recurso en Azure, es habitual tener que elegir la región en la

Las zonas de disponibilidad son centros de datos separados físicamente dentro

Para garantizar la resistencia, se configuran un mínimo de tres zonas de

A fin de proteger la información en caso de error, deberá asegurarse de que los

Puede usar zonas de disponibilidad para ejecutar aplicaciones críticas y

 Servicios de zona: ancle el recurso a una zona específica (por ejemplo,

Incluso con la resistencia adicional que proporcionan las zonas de

La mayoría de las regiones de Azure se emparejan con otra región de la misma

No todos los servicios de Azure replican automáticamente los datos ni se

Algunos pares de regiones de ejemplo en Azure son Oeste de EE. UU. y Este de

Ventajas adicionales de los pares de región:

La mayoría de las regiones se emparejan en dos direcciones, es decir, son la

Entre las regiones soberanas de Azure se incluyen las siguientes:

Recursos y grupos de recursos de Azure

Los grupos de recursos son simplemente agrupaciones de recursos. Al crear un

Los grupos de recursos proporcionan una manera cómoda de agrupar recursos.

Al aprovisionar recursos, es conveniente pensar en la estructura del grupo de

Por ejemplo, si va a configurar un entorno de desarrollo temporal, agrupar

* El uso de Azure requiere una suscripción de Azure. Una suscripción le

 Límite de facturación: Este tipo de suscripción determina cómo se

 Entornos: puede optar por crear suscripciones con el fin de configurar

Grupos de administración de Azure

Si tiene muchas suscripciones, es posible que necesite una forma de administrar

Jerarquía de grupo de administración,

Algunos ejemplos de cómo podría usar los grupos de administración podrían

Datos importantes sobre los grupos de administración: