Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Microsoft Azure
Completado100 XP
2 minutos
Con independencia de sus objetivos, Aspectos básicos de Azure puede ayudarle. Debe
realizar este curso si:
Dado que la informática en la nube usa Internet para ofrecer estos servicios, no es
necesario que la infraestructura física la restrinja del mismo modo que un centro de
datos tradicional. Esto significa que si necesita aumentar rápidamente la infraestructura
de TI, no tiene que esperar a crear un centro de datos, sino que puede usar la nube para
expandir rápidamente la superficie de TI.
Es posible que haya oído hablar del modelo de responsabilidad compartida, pero es
posible que no comprenda lo que significa o cómo afecta a la informática en la nube.
Comience con un centro de datos corporativo tradicional. La empresa es la responsable
de mantener el espacio físico, garantizar la seguridad, y mantener o reemplazar los
servidores si ocurre algo. El departamento de TI se encarga de mantener toda la
infraestructura y el software necesarios para mantener el centro de datos en
funcionamiento. También es probable que sean los responsables de mantener todos los
sistemas revisados y con la versión correcta.
Con un centro de datos local será el responsable de todo. Con la informática en la nube
esas responsabilidades cambian. El modelo de responsabilidad compartida está muy
vinculado a los tipos de servicio en la nube (que se tratan más adelante en esta ruta de
aprendizaje): infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y
software como servicio (SaaS). IaaS sitúa la mayor responsabilidad en el consumidor y el
proveedor de servicios en la nube es el responsable de los conceptos básicos de
seguridad física, energía y conectividad. En el extremo opuesto, SaaS sitúa la mayor
parte de la responsabilidad en el proveedor de servicios en la nube. PaaS, siendo un
punto intermedio entre IaaS y SaaS, se encuentra en algún lugar del medio y distribuye
uniformemente la responsabilidad entre el proveedor de nube y el consumidor.
Sistemas operativos
Controles de red
APLICACIONES
Identidad e infraestructura
Definición de modelos en la nube
Completado100 XP
4 minutos
¿Qué son los modelos en la nube? Los modelos en la nube definen el tipo de
implementación de recursos en la nube. Los tres principales modelos en la nube son:
privados, públicos e híbridos.
Nube privada
Comencemos con una nube privada. Una nube privada es, de alguna manera, la
evolución natural de un centro de datos corporativo. Es una nube (que brinda servicios
de TI a través de Internet) que utiliza una sola entidad. La nube privada proporciona un
control mucho mayor para la empresa y su departamento de TI. Sin embargo, también
incluye un mayor costo y menos ventajas que una implementación en la nube pública.
Por último, una nube privada se puede hospedar desde el centro de datos del sitio.
También puede hospedarse en un centro de datos dedicado fuera del sitio,
posiblemente incluso por un tercero que haya dedicado ese centro de datos a su
empresa.
Nube pública
Un proveedor de nube de terceros crea, controla y mantiene una nube pública. Con una
nube pública, cualquier persona que quiera comprar servicios en la nube puede acceder
a los recursos y usarlos. La disponibilidad pública general es una diferencia clave entre
las nubes públicas y privadas.
Nube híbrida
Una nube híbrida es un entorno informático que usa nubes públicas y privadas en un
entorno interconectado. Se puede usar un entorno de nube híbrida para permitir el
incremento de una nube privada y acomodarse al aumento de la demanda temporal
mediante la implementación de recursos de nube pública. La nube híbrida se puede
usar para proporcionar una capa adicional de seguridad. Por ejemplo, los usuarios
pueden elegir de forma flexible qué servicios mantener en la nube pública y qué
implementar en su infraestructura de nube privada.
En la tabla siguiente se resaltan algunos aspectos comparativos clave entre los modelos
de nube.
Nubes múltiples
Un cuarto escenario y cada vez más probable es un escenario de varias nubes. En un
escenario de varias nubes, se usan varios proveedores de nube pública. Tal vez use
diferentes características de diferentes proveedores de nube. O quizás haya iniciado su
recorrido en la nube con un proveedor y esté en proceso de migración a otro
proveedor. Independientemente, en un entorno de varias nubes lidia con dos (o más)
proveedores de nube pública y administra los recursos y la seguridad en ambos
entornos.
Azure Arc
Azure Arc es un conjunto de tecnologías que ayudan a administrar el entorno en la
nube. Azure Arc puede ayudar a administrar el entorno de nube, tanto si se trata de una
nube pública exclusiva de Azure, una nube privada en el centro de datos, una
configuración híbrida o incluso un entorno de varias nubes que se ejecuta en varios
proveedores de la nube a la vez.
Azure VMware Solution
¿Qué ocurre si ya está establecido con VMware en un entorno de nube privada, pero
quiere migrar a una nube pública o híbrida? Azure VMware Solution le permite ejecutar
las cargas de trabajo de VMware en Azure con una integración y escalabilidad perfectas.
Al comparar los modelos de infraestructura de TI, hay dos tipos de gastos que se deben
tener en cuenta. Gastos de capital y gastos operativos
Los gastos de capital suelen ser un gasto por adelantado único para comprar o proteger
recursos tangibles. Un edificio nuevo, volver a pavimentar el aparcamiento, crear un
centro de datos o comprar un coche de empresa son ejemplos de gastos de capital.
En cambio, los gastos operativos es gastar dinero en servicios o productos a lo largo del
tiempo. Alquilar un centro de convenciones, alquilar un vehículo de empresa o
suscribirse a servicios en la nube son ejemplos de gastos operativos.
Con un centro de datos tradicional, intenta calcular las necesidades futuras de los
recursos. Si este cálculo se ha sobrestimado, gasta más en el centro de datos de lo que
necesita y puede desperdiciar dinero. Si, por el contrario, se subestima, el centro de
datos alcanzará rápidamente la capacidad, y las aplicaciones y los servicios pueden sufrir
una disminución en el rendimiento. Arreglar un centro de datos con aprovisionamiento
insuficiente puede tardar mucho tiempo. Es posible que tenga que pedir, más hardware,
recibirlo e instalarlo. También deberá agregar alimentación, refrigeración y redes para el
hardware adicional.
En un modelo basado en la nube, no tiene que preocuparse por obtener las necesidades
justas de recursos. Si descubre que necesita más máquinas virtuales, se agregan más. Si
la demanda disminuye y no necesita tantas máquinas virtuales, se quitan las máquinas
según sea necesario. En cualquier caso, solo paga por las máquinas virtuales que usa, no
por la "capacidad adicional" que tiene el proveedor de nube.
Objetivos de aprendizaje
Ahora debería ser capaz de hacer lo siguiente:
Recursos adicionales
Los recursos siguientes proporcionan más información sobre los temas de este módulo
o relacionados con este módulo.
Introducción
Completado100 XP
1 minuto
Objetivos de aprendizaje
Después de completar este módulo, podrá:
5 minutos
En este breve vídeo se describen los contratos de nivel de servicio de Azure con más
detalle.
Escalabilidad
Otra ventaja importante de la informática en la nube es la escalabilidad de los recursos
en la nube. La escalabilidad hace referencia a la capacidad de ajustar los recursos para
satisfacer la demanda. Si de pronto experimenta un tráfico máximo y los sistemas están
sobrecargados, la capacidad de escalar implica que puede agregar más recursos para
controlar mejor la mayor demanda.
La otra ventaja de la escalabilidad es que no está pagando de más por los servicios.
Dado que la nube es un modelo basado en el consumo, solo paga por lo que usa. Si la
demanda baja, puede reducir los recursos y, por tanto, reducir los costos.
El escalado suele tener dos variedades: vertical y horizontal. El escalado vertical se centra
en aumentar o disminuir las capacidades de los recursos. El escalado horizontal agrega
o resta el número de recursos.
Escalado vertical
2 minutos
Confiabilidad
La confiabilidad es la capacidad de un sistema de recuperarse de los errores y seguir
funcionando. También es uno de los pilares del Marco de arquitectura de
Microsoft Azure.
Rendimiento
Coste
Del lado de la seguridad, puede encontrar una solución en la nube que coincida con sus
necesidades de seguridad. Si quiere tener un control máximo de la seguridad, la
infraestructura como servicio le proporciona recursos físicos, pero le permite administrar
los sistemas operativos y el software instalado, incluidas las revisiones y el
mantenimiento. Si quiere que las revisiones y el mantenimiento se administren
automáticamente, las implementaciones de plataforma como servicio o software como
servicio pueden ser las mejores estrategias en la nube.
Y dado que la nube está pensada como entrega mediante Internet de los recursos de TI,
los proveedores de nube suelen ser adecuados para controlar cosas como ataques de
denegación de servicio distribuido (DDoS), lo que hace que la red sea más sólida y
segura.
Administración en la nube
La administración en la nube trata sobre cómo puede administrar el entorno y los
recursos en la nube. Puede administrarlos de las siguientes maneras:
Objetivos de aprendizaje
Ahora debería ser capaz de hacer lo siguiente:
Recursos adicionales
Los recursos siguientes proporcionan más información sobre los temas de este módulo
o relacionados con este módulo.
Introducción
Completado100 XP
1 minuto
Objetivos de aprendizaje
Después de completar este módulo, podrá:
Software como servicio (SaaS) es el modelo de servicio en la nube más completo desde
el punto de vista del producto. Con SaaS, básicamente la que hace es alquilar o usar una
aplicación totalmente desarrollada. El correo electrónico, el software financiero, las
aplicaciones de mensajería y el software de conectividad son ejemplos comunes de una
implementación de SaaS.
Aunque el modelo de SaaS puede ser el menos flexible, también es el más sencillo de
poner en marcha. Requiere la menor cantidad de conocimientos técnicos o experiencia
para utilizarlo en toda su dimensión.
Escenario
s
Algunos escenarios comunes para SaaS son los siguientes:
Objetivos de aprendizaje
Ahora debería ser capaz de hacer lo siguiente:
Introducción
Completado100 XP
1 minuto
En este módulo se presenta Microsoft Azure Active Directory (Azure AD), que es parte
de Microsoft Entra. Microsoft Entra es una familia de productos que abarca todas las
funcionalidades de identidad y acceso de Microsoft, incluida Microsoft Azure Active
Directory (Azure AD).
Los administradores de TI usan Azure AD para controlar el acceso a los recursos y a las
aplicaciones corporativas, en función de los requisitos empresariales. También puede
configurarse para requerir la autenticación multifactor cuando el usuario intenta acceder
a recursos importantes de la organización. Además, Azure AD se puede usar para
automatizar el aprovisionamiento de usuarios entre una instancia de
Windows Server AD existente y aplicaciones en la nube, incluyendo Microsoft 365. Por
último, Azure AD proporciona herramientas eficaces que le ayudarán a proteger
automáticamente las identidades y credenciales de los usuarios y a cumplir los
requisitos de gobernanza de acceso de la empresa.
Azure Active Directory Free. La versión gratuita le permite administrar usuarios y crear
grupos, sincronizarse con la instancia local de Active Directory, crear informes básicos,
configurar el cambio de contraseña de autoservicio para usuarios en la nube y habilitar
el inicio de sesión único en Azure, Microsoft 365 y muchas otras aplicaciones populares
de SaaS. La edición gratuita se incluye con las suscripciones a Office 365, Azure,
Dynamics 365, Intune y Power Platform.
Azure Active Directory Premium P2. La versión P2 le ofrece todas las características de
la edición Premium P1 y Azure Active Directory Identity Protection para facilitar el
acceso condicional basado en riesgos a las aplicaciones y a los datos críticos de la
empresa. Asimismo, la edición P2 también le proporciona la instancia de Privileged
Identity Management que le permitirá detectar, restringir y supervisar a los
administradores y su acceso a los recursos y proporcionar acceso de tipo "Just-in-Time"
cuando sea necesario.
Para obtener más información sobre cada una de las ediciones, visite la página
de precios de Azure Active Directory.
También hay una opción para las licencias de característicasde "Pago por uso". Puede
obtener otras licencias de características por separado, como la opción Negocio a
cliente (B2C) de Azure Active Directory. B2C puede ayudarle a proporcionar soluciones
de administración de acceso y de identidad para las aplicaciones orientadas al cliente.
Para más información, consulte Documentación de Azure Active Directory B2C.
8 minutos
Usuario
Entidad de servicio
Una entidad de servicio es, básicamente, una identidad para una aplicación. Para que
una aplicación delegue su identidad y funciones de acceso a Azure AD, primero se debe
registrar con Azure AD a fin de habilitar su integración. Una vez que se registra, se crea
una entidad de servicio en cada inquilino de Azure AD donde se usa la aplicación. La
entidad de servicio habilita características básicas como la autenticación y autorización
de la aplicación en los recursos protegidos por el inquilino de Azure AD.
Para que las entidades de servicio puedan acceder a los recursos protegidos por el
inquilino de Azure AD, los desarrolladores de aplicaciones deben administrar y proteger
las credenciales.
Identidad administrada
Para obtener una lista de los servicios de Azure que admiten identidades administradas,
consulte la sección Más información de la unidad Resumen y recursos.
Hay dos tipos de identidades administradas: asignadas por el sistema y asignadas por el
usuario.
Asignadas por el sistema. Algunos servicios de Azure permiten habilitar una identidad
administrada directamente en una instancia de servicio. Cuando se habilita una
identidad administrada asignada por el sistema, se crea una identidad en Azure AD que
está vinculada al ciclo de vida de esa instancia de servicio. Por tanto, cuando se elimina
el recurso, Azure elimina automáticamente la identidad. Por diseño, solo ese recurso de
Azure puede usar esta identidad para solicitar tokens de Azure AD.
Asignadas por el usuario. También es posible crear una identidad administrada como
un recurso independiente de Azure. Una vez que se crea una identidad administrada
asignada por el usuario, puede asignarla a una o varias instancias de un servicio de
Azure. En el caso de las identidades administradas asignadas por el usuario, la identidad
se administra independientemente de los recursos que la utilicen.
Propiedad Identidad administrada asignada por el sistema Identidad administrada asignada por el usuario
Creación Se crea como parte de un recurso de Azure (por Se crea como un recurso de Azure independiente.
ejemplo, una máquina virtual de Azure o Azure
App Service).
Ciclo de vida Se comparte el ciclo de vida con el recurso de Ciclo de vida independiente. Se debe eliminar
Azure. Si se elimina el recurso principal, se elimina explícitamente.
también la identidad administrada.
Uso compartido de No se puede compartir. Está asociada a un único Se puede compartir. Una identidad administrada
recursos de Azure recurso de Azure. asignada por el usuario se puede asociar a más de
un recurso de Azure.
Casos de uso comunes Cargas de trabajo que contiene un único recurso Cargas de trabajo que se ejecutan en varios recursos
de Azure. Cargas de trabajo para las que necesita y que pueden compartir una única identidad. Cargas
identidades independientes, como una aplicación de trabajo que necesitan autorización previa para un
que se ejecuta en una sola máquina virtual. recurso seguro como parte de un flujo de
aprovisionamiento. Cargas de trabajo donde los
recursos se reciclan con frecuencia, pero los
permisos deben permanecer coherentes. Por
ejemplo, una carga de trabajo en la que varias
máquinas virtuales tienen que acceder al mismo
recurso.
Dispositivo
.
Descripción de los tipos de identidades
externas
Completado100 XP
3 minutos
Hoy en día el mundo se mueve gracias a la colaboración y al trabajo con personas tanto
dentro como fuera de su organización. Esto significa que a veces necesitará
proporcionar acceso a las aplicaciones o a los datos de su organización a usuarios
externos.
Colaboración B2B
La colaboración B2B le permite compartir las aplicaciones y los servicios de la
organización con usuarios invitados de otras organizaciones, a la vez que mantiene el
control sobre sus propios datos. La colaboración B2B usa un proceso de invitación y
canje. También puede habilitar los flujos de usuario de registro de autoservicio para
permitir que los usuarios externos se suscriban a aplicaciones o recursos por sí mismos.
Una vez que el usuario externo ha canjeado su invitación o ha completado el registro, se
representa en el mismo directorio que los empleados, pero con un tipo de usuario de
invitado. Como invitado, ahora puede acceder a los recursos con sus credenciales.
Los usuarios invitados pueden administrarse de la misma manera que los empleados, se
pueden agregar a los mismos grupos, etc. Con B2B, se admite el inicio de sesión único
en todas las aplicaciones conectadas a Azure AD.
Azure AD B2C es una solución de autenticación que puede personalizar con su marca
para que se fusione con sus aplicaciones web y móviles.
Azure AD External Identities es una característica de las ediciones de Azure AD
Premium P1 y P2, y los precios se basan en función de los usuarios activos mensuales.
Para obtener más información, consulte Precios de Azure AD.
Descripción del concepto de identidad
híbrida
Completado100 XP
6 minutos
Una consideración importante para las organizaciones que operan en un entorno mixto
en la nube y local (modelo híbrido) consiste en determinar el método de autenticación
adecuado para su solución de Azure AD. Es una decisión importante en el recorrido de
una organización a la nube y sobre cómo los usuarios iniciarán sesión y accederán a las
aplicaciones. Es la base de la infraestructura de TI moderna de la organización sobre la
que las organizaciones crearán su solución de seguridad, identidad y administración de
acceso mediante Azure AD. Por último, una vez que se establece un método de
autenticación, resulta más difícil de cambiar porque puede interrumpir la experiencia de
inicio de sesión de los usuarios. En lo que respecta a la autenticación de identidades
híbridas, Microsoft ofrece varias maneras de autenticarse.
Las organizaciones que deciden usar la federación con Servicios de federación de Active
Directory (AD FS) tienen la posibilidad de configurar la sincronización de hash de
contraseña como copia de seguridad en caso de error en la infraestructura de AD FS.
Resumen y recursos
Completado100 XP
1 minuto
Más información
Para obtener más información sobre los temas tratados en este módulo, vea:
Introducción
Completado100 XP
1 minuto
Objetivos de aprendizaje
Después de completar este módulo, podrá:
4 minutos
Para crear y usar los servicios de Azure, necesita una suscripción de Azure. Al completar
los módulos de Microsoft Learn, la mayoría de las veces se crea una suscripción
temporal de forma automática, que se ejecuta en un entorno denominado espacio
aislado de Microsoft Learn. Cuando trabaje con aplicaciones y necesidades
empresariales propias, tendrá que crear una cuenta de Azure y se creará una suscripción
de forma automática. Después de crear una cuenta de Azure, puede crear suscripciones
adicionales. Por ejemplo, es posible que la empresa use una única cuenta de Azure para
el negocio y suscripciones independientes para los departamentos de desarrollo,
marketing y ventas. Una vez que ha creado una suscripción de Azure, puede empezar a
crear recursos de Azure dentro de cada suscripción.
Si no está familiarizado con Azure, puede registrarse para obtener una cuenta gratuita
en el sitio web de Azure y, de este modo, empezar a explorar sin coste alguno. Cuando
esté listo, puede optar por actualizar la cuenta gratuita. También puede crear una
suscripción que le permita comenzar a pagar por los servicios de Azure que necesita y a
los que no puede acceder con una cuenta gratuita.
Para obtener más información sobre cómo crear una cuenta de Azure, vea el módulo de
aprendizaje Creación de una cuenta de Azure.
La cuenta gratuita de Azure es una manera excelente para que los nuevos usuarios
empiecen y exploren. Para registrarse, necesita un número de teléfono, una tarjeta de
crédito y una cuenta de Microsoft o de GitHub. La información de la tarjeta de crédito
solo se usa para la verificación de identidad. No se le cobrará por ningún servicio hasta
que actualice a una suscripción de pago.
En muchos de los ejercicios de Learn se usa una tecnología denominada espacio aislado,
que crea una suscripción temporal que se agrega a la cuenta de Azure. Esta suscripción
temporal le permite crear recursos de Azure para la duración de un módulo de Learn.
Learn limpia de forma automática los recursos temporales una vez que haya
completado el módulo.
Cuando complete un módulo de Learn, puede usar la suscripción personal para finalizar
los ejercicios que incluye. Pero el espacio aislado es el método preferido, ya que permite
crear y probar recursos de Azure sin costo alguno.
6 minutos
A lo largo del recorrido con Microsoft Azure, escuchará y usará términos como regiones,
zonas de disponibilidad, recursos, suscripciones, etc. Este módulo se centra en los
principales componentes arquitectónicos de Azure. Los componentes arquitectónicos
principales de Azure se pueden dividir en dos grandes grupos: la infraestructura física y
la infraestructura de administración.
Infraestructura física
La infraestructura física de Azure comienza con los centros de datos. Conceptualmente,
los centros de datos son iguales que los grandes centros de datos corporativos. Son
instalaciones con recursos organizados en bastidores, con potencia dedicada,
refrigeración e infraestructura de red.
Como proveedor de nube global, Azure tiene centros de datos en todo el mundo. Pero
estos centros de datos individuales no son accesibles directamente. Los centros de
datos se agrupan en regiones de Azure o Azure Availability Zones, están diseñados para
ayudarle a lograr resistencia y confiabilidad para las cargas de trabajo críticas para la
empresa.
Regions
Una región es un área geográfica del planeta que contiene al menos un centro de datos,
aunque podrían ser varios cercanos y conectados mediante una red de baja latencia.
Azure asigna y controla los recursos de forma inteligente dentro de cada región para
garantizar que las cargas de trabajo están bien compensadas.
Nota
Algunos servicios o características de las máquinas virtuales (VM) solo están disponibles
en determinadas regiones, como, por ejemplo, tipos de almacenamiento o tamaños de
VM específicos. También hay algunos servicios globales de Azure que no requieren que
seleccione una región concreta, como Azure Active Directory, Azure Traffic Manager o
Azure DNS.
Availability Zones
Las zonas de disponibilidad son centros de datos separados físicamente dentro de una
región de Azure. Cada zona de disponibilidad consta de uno o varios centros de datos
equipados con alimentación, refrigeración y redes independientes. Una zona de
disponibilidad se configura para constituir un límite de aislamiento. Si una zona deja de
funcionar, la otra continúa trabajando. Las zonas de disponibilidad están conectadas a
través de redes de fibra óptica de alta velocidad privadas.
Importante
Puede usar zonas de disponibilidad para ejecutar aplicaciones críticas y conseguir una
alta disponibilidad en la arquitectura de sus aplicaciones si coloca los recursos de
proceso, almacenamiento, red y datos dentro de una zona y los replica en otras.
Recuerde que la duplicación de los servicios y la transferencia de datos entre zonas de
disponibilidad podrían suponer un costo.
Las zonas de disponibilidad son principalmente para las máquinas virtuales, los discos
administrados, los equilibradores de carga y las bases de datos SQL. Los servicios de
Azure que admiten zonas de disponibilidad se dividen en tres categorías:
Servicios de zona: ancle el recurso a una zona específica (por ejemplo, máquinas
virtuales, discos administrados, direcciones IP).
Servicios de redundancia de zona: la plataforma se replica automáticamente entre
zonas (por ejemplo, almacenamiento con redundancia de zona, SQL Database).
Servicios no regionales: los servicios siempre están disponibles en las ubicaciones
geográficas de Azure y son resistentes a las interrupciones de toda la zona, así
como a las de toda la región.
Pares de región
La mayoría de las regiones de Azure se emparejan con otra región de la misma zona
geográfica (por ejemplo, EE. UU., Europa o Asia) que se encuentre como mínimo a
500 km de distancia. Este enfoque permite la replicación de recursos en una zona
geográfica que ayuda a reducir la probabilidad de que se produzcan interrupciones
provocadas por eventos como desastres naturales, disturbios sociales, cortes del
suministro eléctrico o interrupciones de la red física que afecten a una región completa.
Por ejemplo, si una región de un par se ve afectada por un desastre natural, los servicios
conmutarán por error automáticamente a la otra región de su par de regiones.
Importante
Algunos pares de regiones de ejemplo en Azure son Oeste de EE. UU. y Este de EE. UU.,
y Sudeste Asiático y Asia Pacífico. Como las dos regiones están directamente conectadas
y lo suficientemente lejos como para estar aisladas contra desastres regionales, puede
usarlas para proporcionar redundancia de datos y servicios de confianza.
Ventajas adicionales de los pares de región:
Si se produce una gran interrupción de Azure, se da prioridad a una región de cada
par para asegurarse de que al menos una se restaure lo más rápido posible para
las aplicaciones hospedadas en ese par de regiones.
Las actualizaciones planeadas de Azure se implementan una a una en regiones
emparejadas para minimizar el tiempo de inactividad y el riesgo de interrupción de
la aplicación.
Los datos siguen residiendo en la misma zona geográfica que su pareja (excepto
Sur de Brasil) con fines de jurisdicción fiscal y de aplicación de la ley.
Importante
Además de las regiones normales, Azure también tiene regiones soberanas. Las regiones
soberanas son instancias de Azure que están aisladas de la instancia principal de Azure.
Es posible que tenga que usar una región soberana con fines legales o de cumplimiento.
US DoD (centro), US Gov Virginia, US Gov Iowa y más: Estas regiones son instancias
físicas y lógicas con aislamiento de red de Azure para asociados y agencias de la
administración pública de EE. UU. Estos centros de datos están operados por
personal estadounidense sometido a evaluación e incluyen certificaciones de
cumplimiento adicionales.
Este de China, Norte de China y más: Estas regiones están disponibles gracias a
una asociación exclusiva entre Microsoft y 21Vianet, por la cual Microsoft no
mantiene directamente los centros de datos.
Descripción de la infraestructura de
administración de Azure
100 XP
7 minutos
No hay reglas rígidas sobre cómo se usan los grupos de recursos, por lo que debe tener
en cuenta cómo configurarlos para maximizar su utilidad.
Suscripciones de Azure
En Azure, las suscripciones son una unidad de administración, facturación y escala. Al
igual que los grupos de recursos son una manera de organizar lógicamente los recursos,
las suscripciones permiten organizar lógicamente los grupos de recursos y facilitar la
facturación.
* El uso de Azure requiere una suscripción de Azure. Una suscripción le proporciona
acceso autenticado y autorizado a los servicios y productos de Azure. Además, también
le permite aprovisionar los recursos. Una suscripción de Azure se vincula a una cuenta
de Azure, que es una identidad en Azure Active Directory (Azure AD) o en un directorio
en el que Azure AD confía.
Una cuenta puede tener varias suscripciones, pero solo es obligatorio tener una. En una
cuenta de varias suscripciones, puede usarlas para configurar diferentes modelos de
facturación y aplicar diferentes directivas de administración de acceso. Puede usar las
suscripciones de Azure para definir límites en torno a los productos, servicios y recursos
de Azure. Hay dos tipos de límites de suscripción que puede utilizar:
De forma similar al uso de grupos de recursos para separar los recursos por función o
acceso, es posible que quiera crear suscripciones adicionales con fines de
administración de recursos o facturación. Por ejemplo, puede optar por crear
suscripciones adicionales para separar lo siguiente:
Entornos: puede optar por crear suscripciones con el fin de configurar entornos
independientes para el desarrollo y las pruebas, para seguridad o para aislar los
datos por motivos de cumplimiento. Este diseño es especialmente útil porque el
control de acceso a los recursos se produce en el nivel de suscripción.
Estructuras organizativas: puede crear suscripciones para reflejar las distintas
estructuras organizativas. Por ejemplo, podría limitar un equipo a recursos de bajo
costo, al tiempo que permite que el departamento de TI tenga un alcance
completo. Este diseño permite administrar y controlar el acceso a los recursos que
los usuarios aprovisionan en cada suscripción.
Facturación: puede crear suscripciones adicionales con fines de facturación. Dado
que los costos se agregan primero en el nivel de suscripción, es posible que quiera
crear suscripciones para administrar y realizar un seguimiento de los costos en
función de sus necesidades. Por ejemplo, puede que quiera crear una suscripción
para las cargas de trabajo de producción, y otra suscripción para las cargas de
trabajo de desarrollo y pruebas.
Si tiene muchas suscripciones, es posible que necesite una forma de administrar con
eficacia el acceso, las directivas y el cumplimiento para esas suscripciones. Los grupos
de administración de Azure proporcionan un nivel de ámbito por encima de las
suscripciones. Las suscripciones se organizan en contenedores llamados grupos de
administración, a los que se aplican condiciones de gobernanza. Todas las suscripciones
de un grupo de administración heredan automáticamente las condiciones que tenga
aplicadas, de la misma manera que los grupos de recursos heredan la configuración de
las suscripciones y los recursos heredan de los grupos de recursos. Los grupos de
administración proporcionan capacidad de administración de nivel empresarial a gran
escala con independencia del tipo de suscripciones que tenga. Los grupos de
administración se pueden anidar.
Algunos ejemplos de cómo podría usar los grupos de administración podrían ser los
siguientes:
Crear una jerarquía que aplique una directiva. Podría limitar las ubicaciones de
las máquinas virtuales a la región Oeste de EE. UU. en un grupo denominado
Producción. Esta directiva se heredará en todas las suscripciones descendientes de
ese grupo de administración y se aplicará a todas las máquinas virtuales de esas
suscripciones. El propietario de los recursos o las suscripciones no puede modificar
esta directiva de seguridad, lo que permite una gobernanza mejorada.
Proporcionar acceso de usuario a varias suscripciones. Al mover varias
suscripciones bajo un grupo de administración, puede crear una asignación del
control de acceso basado en roles (RBAC) en el grupo de administración. La
asignación de RBAC de Azure en el nivel de grupo de administración significa que
todos los grupos de administración secundaria, las suscripciones, los grupos de
recursos y los recursos bajo ese grupo de administración también heredarían esos
permisos. Una asignación en el grupo de administración puede permitir a los
usuarios tener acceso a todo lo que necesitan, en lugar de crear scripts de Azure
RBAC sobre las distintas suscripciones.