Azure Advisor

Díganos qué opina sobre la experiencia de descarga del PDF.
Documentación de Azure Advisor

Azure Advisor examina la configuración de Azure y recomienda cambios para optimizar
las implementaciones, aumentar la seguridad y ahorrar dinero.
Acerca de Azure Advisor
ｅ INFORMACIÓN GENERAL
Información acerca de Azure Advisor
ｑ VIDEO
Vídeos de Azure Advisor
Introducción
ｂ INTRODUCCIÓN
Introducción a Azure Advisor
Referencia
ｉ REFERENCIA
Common Language Interface (CLI)
PowerShell
API DE REST
Artículo • 01/06/2023
Obtenga información sobre las funcionalidades clave de Azure Advisor y obtenga

respuesta a las preguntas más frecuentes.
¿Qué es Advisor?
Advisor es un consultor personalizado en la nube que lo ayuda a seguir procedimientos
recomendados para optimizar las implementaciones de Azure. Analiza la configuración
de recursos y la telemetría de uso, y recomienda soluciones que pueden ayudar a
mejorar la rentabilidad, el rendimiento, la confiabilidad (antes conocida como alta
disponibilidad) y la seguridad de los recursos de Azure.
Con Advisor, puede:
Obtener sugerencias de procedimientos recomendados proactivas, prácticas y

personalizadas,
Mejorar el rendimiento, la seguridad y la confiabilidad de los recursos, al mismo
tiempo que identifica oportunidades para reducir el gasto general de Azure, y
Obtener recomendaciones con acciones propuestas en línea.
Puede acceder a Advisor mediante Azure Portal . Inicie sesión en el portal , busque
Asesor en el menú de navegación o búsquelo en el menú Todos los servicios.
El panel de Advisor muestra recomendaciones personalizadas para todas las

suscripciones. Puede aplicar filtros para mostrar las recomendaciones para determinadas
suscripciones y tipos de recursos. Las recomendaciones se dividen en cinco categorías:
Confiabilidad (anteriormente denominada alta disponibilidad) : para garantizar y

mejorar la continuidad de las aplicaciones empresariales críticas. Para obtener más
información, consulte las recomendaciones de confiabilidad de Advisor.
Seguridad: ayuda a detectar amenazas y vulnerabilidades que podrían dar lugar a

infracciones de seguridad. Para obtener más información, consulte las
recomendaciones sobre seguridad de Advisor.
Rendimiento: ayuda a mejorar la velocidad de las aplicaciones. Para obtener más

información, consulte las recomendaciones sobre rendimiento de Advisor.
Costo: ayuda a optimizar y reducir el gasto general de Azure. Para obtener más
información, consulte las recomendaciones sobre el costo de Advisor.
Excelencia operativa: ayuda a conseguir procedimientos recomendados de
eficiencia en procesos y flujos de trabajo, manejabilidad de los recursos e
implementación. Para más información, consulte Recomendaciones de excelencia
operativa de Advisor.
Puede hacer clic en una categoría para ver la lista de recomendaciones dentro de esa
categoría y seleccionar una recomendación para obtener más información sobre ella.
También puede aprender más sobre las acciones que puede llevar a cabo para
aprovechar las ventajas de una oportunidad o resolver un problema.
Seleccione la acción recomendada para implementar la recomendación. Se abrirá una

interfaz sencilla que le permitirá implementar la recomendación o consultar la
documentación que le ayudará con la implementación. Una vez que implemente una
recomendación, Advisor puede tardar un día en reconocerla.
Si no desea realizar de inmediato una acción basada en una recomendación, puede
posponerla durante un período de tiempo o descartarla. SI no desea recibir
recomendaciones para un grupo de recursos o una suscripción específicos, puede
configurar Advisor para generar solo recomendaciones para grupos de recursos y
suscripciones específicos.
Preguntas más frecuentes
¿Cómo se accede a Advisor?

Puede acceder a Advisor mediante Azure Portal . Inicie sesión en el portal , busque
Asesor en el menú de navegación o búsquelo en el menú Todos los servicios.
También puede ver las recomendaciones de Advisor a través de la interfaz de recursos

de la máquina virtual. Seleccione una máquina virtual y después desplácese a las
recomendaciones de Advisor en el menú.
¿Qué permisos son necesarios para acceder a Advisor?

Puede acceder a las recomendaciones de Advisor como Propietario, Colaborador o
Lector de una suscripción, grupo de recursos o recurso.
¿Para qué recursos Advisor ofrece recomendaciones?

Advisor proporciona recomendaciones sobre Application Gateway, App Services,
conjuntos de disponibilidad, Azure Cache, Azure Data Factory, Azure Database for
MySQL, Azure Database for PostgreSQL, Azure Database for MariaDB, Azure
ExpressRoute, Azure Cosmos DB, direcciones IP públicas de Azure, Azure Synapse
Analytics, servidores SQL Server, cuentas de almacenamiento, perfiles de Traffic Manager
y máquinas virtuales.
Azure Advisor también incluye recomendaciones procedentes de Microsoft Defender

para la nube, que pueden abarcar recomendaciones de tipos de recursos adicionales.
¿Se puede posponer o descartar una recomendación?

Para posponer o descartar una recomendación, haga clic en el vínculo Postpone
(Posponer). Puede especificar un tiempo de posposición o seleccionar Never (Nunca)
para descartar la recomendación.
Pasos siguientes
Para aprender más sobre las recomendaciones de Advisor, consulte:
Introducción a Advisor
Puntuación de Advisor
Recomendaciones de confiabilidad de Advisor
Recomendaciones sobre seguridad de Advisor
Recomendaciones sobre rendimiento de Advisor
Recomendaciones sobre el costo de Advisor
Recomendaciones de excelencia operativa de Advisor
Novedades de Azure Advisor
Artículo • 21/11/2023
Conozca las novedades del servicio. Estos elementos pueden ser notas de la versión,
vídeos, entradas de blogs y otros tipos de información. Agregue esta página a sus
marcadores para mantenerse actualizado con el servicio.
Noviembre de 2023
Recomendaciones de ZRS para Azure Disks

Azure Advisor ahora tiene recomendaciones de almacenamiento con redundancia de
zona (ZRS) para Azure Managed Disks. Disks con ZRS proporcionan replicación
sincrónica de datos en tres zonas de disponibilidad de una región, lo que permite que
los discos toleren errores zonales sin provocar interrupciones en la aplicación. Al
adoptar esta recomendación, ahora puede diseñar sus soluciones para usar discos ZRS.
Acceda a estas recomendaciones a través del portal de Advisor y las API.
Para más información, visite Uso de Discos de Azure con almacenamiento con
redundancia de zona para lograr una mayor resistencia y disponibilidad.
Octubre de 2023
Nueva versión del libro de retirada del servicio

Azure Advisor ahora tiene una nueva versión del libro de retirada del servicio que
incluye tres cambios importantes:
10 nuevos servicios se incorporan al libro. El libro de retirada ahora cubre 40

servicios.
Siete servicios que completaron su ciclo de vida de retirada están fuera de bordo.
Se ha mejorado la experiencia del usuario y la navegación.
Lista de los servicios recién agregados:
Servicio Características que se retiran
Azure Monitor Alertas clásicas para la nube de Azure Gov y Azure China 21Vianet
Azure Stack Edge IoT Edge en K8s
Azure Migrate Clásico
Application Insights Retirada de guías de solución de problemas
Azure Maps Franja de precios de Gen1
Application Insights Prueba de ping de URL básica
Azure API for FHIR Azure API for FHIR
Azure Health Data Services Proxy de SMART on FHIR
Azure Database for MariaDB Todo el servicio
Azure Cache for Redis Soporte para TLS 1.0 y 1.1
Lista de los servicios eliminados:
Virtual Machines IaaS clásico
Azure Cache for Version 4.x

Redis
Virtual Machines Serie NV y NV_Promo
Virtual Machines Serie NC
Virtual Machines Serie NC V2
Virtual Machines Serie ND
Virtual Machines SKU de Azure Dedicated Host (Dsv3-Type1, Esv3-Type1, Dsv3-Type2, Esv3-
Type2)
Mejoras de experiencia del usuario
Cuadrícula de detalles de recursos: ahora, los detalles del recurso están disponibles
de forma predeterminada, mientras que anteriormente solo eran visibles después
de seleccionar un servicio.
Vínculo de recursos: el vínculo Recurso ahora se abre en un panel de contexto, que
se abrió anteriormente en la misma pestaña.
Para más información, visite Prepare la migración de las cargas de trabajo afectadas por
la retirada del servicio.
Recomendaciones de alertas de Azure Service Health
Azure Advisor ahora proporciona una recomendación de alerta de Azure Service Health
para las suscripciones, que no tienen configuradas alertas de estado del servicio. El
vínculo de acción le redirigirá a la página de Azure Service Health, donde puede crear y
personalizar alertas en función de la clase de notificación de estado del servicio, las
suscripciones afectadas, los servicios y las regiones.
Las alertas de Azure Service Health le mantienen informado sobre los problemas y
avisos en cuatro áreas (problemas de servicio, mantenimiento planeado, avisos de
seguridad y mantenimiento) y pueden ser cruciales para la preparación de incidentes.
Para más información, visite Introducción a la experiencia clásica del Portal de Service
Health.
Agosto de 2023
Mejora de la resistencia de las máquinas virtuales con

recomendaciones de zona de disponibilidad
Azure Advisor ahora proporciona recomendaciones de zona de disponibilidad. Al
adoptar estas recomendaciones, puede diseñar las soluciones para usar máquinas
virtuales (VM) zonales, lo que garantiza el aislamiento de las máquinas virtuales frente a
posibles errores en otras zonas. Con la implementación zonal, puede esperar una mayor
resistencia en la carga de trabajo evitando el tiempo de inactividad y las interrupciones
empresariales.
Para obtener más información, visite Uso de zonas de disponibilidad para mejorar la
resistencia y la disponibilidad.
Jul. de 2023
Introducción a la administración de recomendaciones

basadas en cargas de trabajo
Azure Advisor ofrece ahora la funcionalidad de agrupar o filtrar recomendaciones por
carga de trabajo. La característica está disponible para los clientes seleccionados en
función de su contrato de soporte técnico.
Si está interesado en las recomendaciones basadas en cargas de trabajo, póngase en
contacto con el equipo de la cuenta para obtener más información.
Uso del libro Optimización de costos

El libro Optimización de costos de Azure sirve como un centro centralizado para algunas
de las herramientas más usadas que pueden ayudarle a impulsar los objetivos de uso y
eficiencia. Ofrece una serie de recomendaciones, incluidas las recomendaciones de
costos de Azure Advisor, la identificación de los recursos inactivos y la administración de
Virtual Machines desasignados incorrectamente. Además, proporciona información
sobre cómo aprovechar las opciones de ventaja híbrida de Azure para bases de datos
Windows, Linux y SQL
Para obtener más información, visite Comprensión y optimización los costos de Azure
con el libro Optimización de costos.
Junio de 2023
Avisos de recomendación para un próximo evento

Azure Advisor ahora ofrece nuevos avisos de recomendación para ayudarle a
administrar y mejorar proactivamente la resistencia y el estado de las cargas de trabajo
antes de un evento importante. Los clientes del programa de Azure Event Management
(AEM) ahora se recuerdan las recomendaciones pendientes para sus suscripciones y
recursos que son críticos para el evento.
Las notificaciones de eventos se muestran al visitar Advisor o administrar recursos

críticos para un próximo evento. Los avisos se muestran para los eventos que se
producen en los próximos 12 meses y solo para las suscripciones vinculadas a un
evento. La notificación incluye una llamada a la acción para revisar las recomendaciones
pendientes de confiabilidad, seguridad, rendimiento y excelencia operativa.
Mayo de 2023
Nuevo: plantilla de libro Confiabilidad

Azure Advisor ahora tiene una plantilla de libro Confiabilidad. El nuevo libro le ayuda a
identificar las áreas de mejora comprobando la configuración de los recursos de Azure
seleccionados mediante la lista de comprobación de resistencia y los procedimientos
recomendados documentados. Puede usar filtros, suscripciones, grupos de recursos y
etiquetas para centrarse en los recursos que más le interesan. Use las recomendaciones
del libro para:
Optimice la carga de trabajo.
Prepárese para un evento importante.
Mitigue los riesgos después de una interrupción.
Para obtener más información, visite Optimizar los recursos para mejorar la
confiabilidad .
Para evaluar la confiabilidad de la carga de trabajo mediante los principios que se

encuentran en el Marco de buena arquitectura de Microsoft Azure, consulte la Reseña
del Marco de buena arquitectura de Microsoft Azure.
Los datos de Azure Resource Graph ya están disponibles

en las nubes de Azure China y la administración pública
de EE. UU.
Los datos de Azure Advisor ya están disponibles en Azure Resource Graph (ARG) en las
nubes de Azure China y la administración pública de EE. UU. ARG es útil para los clientes
que ahora pueden obtener recomendaciones para todas sus suscripciones a la vez y
crear vistas personalizadas de los datos de recomendación de Advisor. Por ejemplo:
Revise las recomendaciones resumidas por impacto y categoría.
Ver todas las recomendaciones de un tipo determinado.
Vista de recuentos de recursos afectados por categoría de recomendación.
Para aprender más información, visite Consulta de datos de Advisor en Resource Graph
Explorer (Azure Resource Graph) .
Libro de retirada del servicio

Azure Advisor ahora proporciona un libro de retirada del servicio Azure Advisor. Es
importante tener en cuenta los próximos planes de retirada de servicios y características
de Azure para comprender su impacto en las cargas de trabajo y planear la migración. El
libro de retirada del servicio proporciona una única vista de nivel de recurso
centralizado de los planes de retirada de servicios y le ayuda a evaluar el impacto y las
opciones, y planear la migración. El libro incluye 35 servicios y características que se
planea retirar. Puede ver las fechas de retirada planeadas, ver en una lista y ubicar los
recursos afectados, y obtener información para implementar las acciones necesarias.
Para más información, visite Prepare la migración de las cargas de trabajo afectadas por
las retiradas del servicio.
abril de 2023
Posponer o descartar una recomendación para varios

recursos
Azure Advisor ahora proporciona la opción de posponer o descartar una recomendación
para varios recursos a la vez. Una vez que abra una página de detalles de
recomendaciones con una lista de recomendaciones y recursos asociados, seleccione los
recursos pertinentes y elija Posponer o Descartar en la barra de comandos de la parte
superior de la página.
Para obtener más información, visite Descartar y posponer recomendaciones
Recomendaciones de ajuste de tamaño correcto de

VM/VMSS con período de retrospectiva personalizado
Ahora puede mejorar la relevancia de las recomendaciones para hacerlas más
procesables, lo que se traduce en un ahorro adicional de costes.
Las recomendaciones de ajuste del tamaño ayudan a optimizar los costes identificando
las máquinas virtuales inactivas o infrautilizadas en función de su actividad de CPU,
memoria y red durante el periodo de retrospectiva predeterminado de siete días. Ahora,
con esta última actualización, puede ajustar el periodo de retrospectiva predeterminado
para obtener recomendaciones basadas en 14, 21, 30, 60 o incluso 90 días de uso. La
configuración puede aplicarse a nivel de suscripción. Esto es especialmente útil cuando
las cargas de trabajo tienen picos quincenales o mensuales (como ocurre con las
aplicaciones de nóminas).
Para obtener más información, visite Optimización de máquinas virtuales (VM) o del
conjunto de escalado de máquinas virtuales (VMSS) mediante el cambio de tamaño o el
apagado de instancias infrautilizadas.
Marzo de 2023
Capacidades de filtrado avanzado
Azure Advisor ahora proporciona funcionalidades de filtrado adicionales. Puede filtrar
las recomendaciones por grupo de recursos, tipo de recurso, impacto y carga de trabajo.
Noviembre de 2022
Nuevas recomendaciones de costos para virtual Machine

Scale Sets
Azure Advisor ofrece ahora recomendaciones de optimización de costos para Machine
Scale Sets (VMSS). Entre ellas se incluyen recomendaciones de apagado para los
recursos que detectamos que no se usan en absoluto, y las recomendaciones de
reducción del número de instancias o cambio de SKU para los recursos que detectamos
están infrautilizados. Por ejemplo, para los recursos en los que creemos que los clientes
pagan por más de lo que podrían necesitar en función de las cargas de trabajo que se
ejecutan en los recursos.
Para obtener más información, visite Optimización del gasto de máquinas virtuales (VM)
o del conjunto de escalado de máquinas virtuales (VMSS) mediante el cambio de
tamaño o el apagado de instancias infrautilizadas.
Junio de 2022
Advisor compatible con Azure Database for MySQL:

Servidor flexible
Azure Advisor proporciona una lista personalizada de procedimientos recomendados
para optimizar la instancia de Servidor flexible de Azure Database for MySQL. Esta
característica analiza la configuración de recursos y el uso y, luego, recomienda
soluciones para ayudar a mejorar la rentabilidad, el rendimiento, la confiabilidad y la
seguridad de los recursos. Con Azure Advisor puede encontrar recomendaciones
basadas en la configuración de seguridad de la capa de transporte (TLS), la CPU y el uso
de almacenamiento para evitar el agotamiento de recursos.
Para más información, visite Azure Advisor for MySQL.
Mayo de 2022
Número ilimitado de suscripciones
Ahora es más fácil obtener información general sobre las oportunidades de
optimización disponibles para la organización: no es necesario dedicar tiempo ni
esfuerzo a aplicar filtros y suscripciones de proceso en lotes.
Para más información, visite Comenzar con Azure Advisor.
Filtrado de etiquetas
Ahora puede obtener recomendaciones de Advisor con ámbito de una unidad de
negocio, una carga de trabajo o un equipo. Filtre las recomendaciones y calcule las
puntuaciones mediante etiquetas ya asignadas a recursos, grupos de recursos y
suscripciones de Azure. Aplique filtros de etiquetas para lo siguiente:
Identificar oportunidades de ahorro de costos por unidades empresariales
Comparar las puntuaciones de las cargas de trabajo para optimizar primero las
críticas
Para más información, visite Filtrado de recomendaciones de Advisor mediante

etiquetas.
Enero de 2022
La recomendación de apagado o cambio de tamaño de las máquinas virtuales se
mejoró para aumentar su calidad, solidez y aplicabilidad.
Estas mejoras incluyen:
1. Las recomendaciones de cambio de tamaño entre las series de familias de SKU ya

están disponibles.
2. Las recomendaciones de cambio de tamaño entre versiones ya están disponibles.

En general, las versiones más recientes de las familias de SKU están más
optimizadas, proporcionan más características y tienen mejores proporciones de
rendimiento y costo que las versiones anteriores.
3. Para mejorar la capacidad de acción, actualizamos los criterios de recomendación

para incluir otras características de SKU, como la compatibilidad con redes
aceleradas, la compatibilidad con Premium Storage, la disponibilidad en una
región, la inclusión en un conjunto de disponibilidad, entre otras.

Para más información, lea la guía paso a paso.

Artículo • 01/12/2023
Obtenga información sobre cómo acceder a Advisor a través de la Azure Portal, obtener
y administrar recomendaciones y configurar las opciones de Advisor.
７ Nota
Azure Advisor se ejecuta en segundo plano para buscar recursos recién creados.
Puede tardar hasta 24 horas en poder proporcionar recomendaciones sobre esos
recursos.
Abrir Advisor
Para acceder a Azure Advisor, inicie sesión en el Azure Portal y abra Advisor . La
página de puntuación de Advisor se abre de forma predeterminada.
También puede usar la barra de búsqueda en la parte superior o en el panel de

navegación izquierdo para buscar Advisor.
Leer la puntuación
Vea cómo las medidas de configuración del sistema en relación con los procedimientos
recomendados de Azure.

El gráfico de la izquierda es la puntuación general de Advisor del sistema en

comparación con los procedimientos recomendados de Azure. El vínculo Más
información abre la página Optimizar cargas de trabajo de Azure mediante la
página de puntuación de Advisor.
En el gráfico central se muestra la tendencia del historial de puntuación de Advisor

del sistema. Revierte el gráfico para activar un control deslizante para ver la
tendencia en distintos puntos de tiempo. Use el menú desplegable para elegir un
período de tiempo de tendencia.
El gráfico de extremo derecho muestra un desglose de la puntuación de Advisor

de procedimientos recomendados por categoría. Haga clic en una barra de
categorías para abrir la página de recomendaciones de esa categoría.
Obtención de recomendaciones
Para mostrar una lista específica de recomendaciones, haga clic en un icono de
categoría.
Los iconos de la página de puntuación de Advisor muestran las distintas categorías de

recomendaciones por suscripción:
Para obtener recomendaciones para una categoría específica, haga clic en una de
las pestañas. Para abrir una lista de todas las recomendaciones de todas las
categorías, haga clic en el icono Todas las recomendaciones. De forma
predeterminada, el icono Costo está activado.
Puede filtrar la pantalla mediante los botones de la parte superior de la página:

Suscripción: elija Todas para las recomendaciones de Advisor en todas las
suscripciones. Como alternativa, seleccione suscripciones específicas. Para
aplicar los cambios, haga clic fuera del botón.
Estado de la recomendación: Activo (valor predeterminado, recomendaciones
que no ha pospuesto o descartado), Pospuesto o Descartado. Para aplicar los
cambios, haga clic fuera del botón.
Grupo de recursos: elija Todos (valor predeterminado) o grupos de recursos
específicos. Para aplicar los cambios, haga clic fuera del botón.
Tipo: elija Todos (el valor predeterminado) o recursos específicos. Para aplicar
los cambios, haga clic fuera del botón.
Compromisos: aplicable solo a las recomendaciones de costos. Ajuste las
recomendaciones de Costo de la suscripción para reflejar el período
confirmado (años) y el período de devolución elegido (días) elegido. Para
aplicar los cambios, haga clic en Aplicar.
Para un filtrado más avanzado, haga clic en Agregar filtro.
El botón Compromisos permite ajustar las recomendaciones de Costo de la

suscripción para reflejar el período confirmado (años) y el período de devolución
elegido (días) elegido.
Obtención de detalles de recomendaciones y

opciones de solución
Vea los detalles de la recomendación, como las acciones recomendadas y los recursos
afectados, y las opciones de solución, incluida la posposición o el descarte de una
recomendación.
1. Para revisar los detalles de una recomendación, incluidos los recursos afectados,
abra la lista de recomendaciones de una categoría y, a continuación, haga clic en el
vínculo Descripción o Recursos afectados para una recomendación específica. En
la captura de pantalla siguiente se muestra una página de detalles de
recomendación de confiabilidad.
2. Para ver los detalles de la acción, haga clic en un vínculo Acciones recomendadas.
La página de Azure donde puede actuar se abre. Como alternativa, abra una
página a los recursos afectados para realizar la acción recomendada (las dos
páginas pueden ser las mismas).
Para comprender la recomendación antes de actuar, haga clic en el vínculo Más

información de la página de acción recomendada o en la parte superior de la
página de detalles de las recomendaciones.
3. Puede posponer la recomendación.
No se puede descartar la recomendación sin ciertos privilegios. Para más información

sobre los permisos, consulte Permisos en Azure Advisor.
Descarga de recomendaciones
Para descargar las recomendaciones de la puntuación de Advisor o cualquier página de
detalles de recomendación, haga clic en Descargar como CSV o Descargar como PDF
en la barra de acciones de la parte superior. La opción de descarga respeta los filtros
aplicados en Advisor. Si selecciona la opción de descarga mientras visualiza una
recomendación o categoría de recomendación específicas, el resumen descargado solo
incluye información para esa categoría o recomendación.
Configuración de recomendaciones
Puede excluir suscripciones o recursos, como los recursos de prueba, de las
recomendaciones de Advisor y configurar Advisor para generar recomendaciones solo
para suscripciones y grupos de recursos específicos.
７ Nota
Para cambiar las suscripciones o las reglas de proceso de Advisor, debe ser
propietario de la suscripción. Si no dispone de los permisos necesarios, la opción
está deshabilitada en la interfaz de usuario. Para más información sobre los
permisos, consulte Permisos en Azure Advisor. Para más información sobre el
ajuste de tamaño correcto de las máquinas virtuales, consulte Reducción de los
costos de servicio mediante Azure Advisor.
En cualquier página de Azure Advisor, haga clic en Configuración en el panel de

navegación izquierdo. La página Configuración de Advisor se abre con la pestaña
Recursos seleccionada, de forma predeterminada.
Recursos: desactive las suscripciones para las que no desea recibir

recomendaciones de Advisor y haga clic en Aplicar. La página se actualiza.
Ajuste del tamaño correcto de vm/VMSS: puede ajustar las recomendaciones de

máquinas virtuales (VM) y conjuntos de escalado de máquinas virtuales (VMSS). En
concreto, puede configurar un filtro para cada suscripción para mostrar solo
recomendaciones para las máquinas con cierto uso de CPU. Esta configuración
filtrará las recomendaciones, pero no cambiará cómo se generan.
1. Seleccione las suscripciones que desea configurar un filtro para el uso medio
de CPU y, a continuación, haga clic en Editar. No todas las suscripciones se
pueden editar para el ajuste de tamaño correcto de VM/VMSS y se requieren
ciertos privilegios; para más información sobre los permisos, consulte
Permisos en Azure Advisor.
2. Seleccione el valor de uso promedio de CPU y luego, haga clic en Aplicar. La

nueva configuración puede tardar hasta 24 horas en reflejarse en las
recomendaciones.
Pasos siguientes
Para más información sobre Advisor, consulte:

Creación de alertas de Azure Advisor
para nuevas recomendaciones mediante
Azure Portal
Artículo • 01/06/2023
En este artículo se muestra cómo configurar una alerta para nuevas recomendaciones
desde Azure Advisor mediante Azure Portal.
Cada vez que Azure Advisor detecta una nueva recomendación para uno de los
recursos, se almacena un evento en el registro de actividad de Azure. Puede configurar
alertas para estos eventos desde Azure Advisor creando alertas específicas para la
recomendación. Puede seleccionar una suscripción y, si lo desea, un grupo de recursos
para especificar los recursos sobre los que desea recibir alertas.
También puede determinar los tipos de recomendaciones mediante el uso de estas

propiedades:
Category
Nivel de impacto
Tipo de recomendación
También puede configurar la acción que tendrá lugar cuando se desencadene una alerta
si:
Selecciona un grupo de acciones existente.

Crea un nuevo grupo de acciones.
Para más información sobre los grupos de acciones, consulte Creación y administración
de grupos de acciones.
７ Nota
Las alertas de Advisor solo están disponibles para las recomendaciones de alta
disponibilidad, rendimiento y costo. No se admiten recomendaciones de seguridad.
Crear regla de alertas

1. En el portal, seleccione Azure Advisor.
2. En la sección Supervisión del menú de la izquierda, seleccione Alertas.
3. Seleccione Nueva alerta de Advisor.

4. En la sección Ámbito, seleccione la suscripción y, opcionalmente, el grupo de
recursos en el que desea recibir alertas.
5. En sección Condición, seleccione el método que desea usar para configurar la

alerta. Si desea alertar sobre todas las recomendaciones para una categoría
determinada o un nivel de impacto, seleccione Categoría y nivel de impacto. Si
desea alertar sobre todas las recomendaciones de un tipo determinado, seleccione
Tipo de recomendación.
6. En función de la opción Configurar por que seleccione, podrá especificar los

criterios. Si desea todas las recomendaciones, deje en blanco los campos restantes.
7. En la sección grupos de acciones, seleccione Agregar existente para usar un

grupo de acciones que ya haya creado o seleccione Crear nuevo para configurar
un nuevo grupo de acciones.
8. En la sección Detalles de alerta, asigne un nombre y una descripción breve a la

alerta. Si desea que la alerta esté habilitada, deje Habilitar regla tras la creación
establecida en Sí. A continuación, seleccione el grupo de recursos en el que se
guardará la alerta. Esto no afectará al ámbito de destino de la recomendación.
Configuración de alertas de recomendación

para usar un webhook
En este artículo se muestra cómo configurar las alertas de Azure Advisor para que
envíen datos de recomendación mediante webhooks a un sistema de notificación
existente.
Puede configurar alertas para recibir notificaciones cuando tenga una nueva
recomendación de Advisor en uno de sus recursos. Estas alertas pueden avisarle por
correo electrónico o mensaje de texto, pero también pueden usarse para integrarse con
los sistemas existentes a través de un webhook.
Uso de la carga de alerta de recomendación de Advisor
Si desea integrar las alertas de Advisor en sus propios sistemas mediante un webhook,
deberá analizar la carga de JSON que se envía desde la notificación.
Al configurar el grupo de acciones para esta alerta, seleccione si desea usar el esquema
de alerta común. Si selecciona el esquema de alerta común, la carga tendrá el siguiente
aspecto:
JSON
{
"schemaId":"azureMonitorCommonAlertSchema",
"data":{
"essentials":{
"alertId":"/subscriptions/<subid>/providers/Microsoft.AlertsManagement/alert
s/<alerted>",
"alertRule":"Webhhook-test",
"severity":"Sev4",
"signalType":"Activity Log",
"monitorCondition":"Fired",
"monitoringService":"Activity Log - Recommendation",
"alertTargetIDs":[
"/subscriptions/<subid>/resourcegroups/<resource group
name>/providers/microsoft.dbformariadb/servers/<resource name>"
],
"originAlertId":"001d8b40-5d41-4310-afd7-d65c9d4428ed",
"firedDateTime":"2019-07-17T23:00:57.3858656Z",
"description":"A new recommendation is available.",
"essentialsVersion":"1.0",
"alertContextVersion":"1.0"
},
"alertContext":{
"channels":"Operation",
"claims":"
{\"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress\":\"Mi
crosoft.Advisor\"}",
"caller":"Microsoft.Advisor",
"correlationId":"8554b847-2a72-48ef-9776-600aca3c3aab",
"eventSource":"Recommendation",
"eventTimestamp":"2019-07-17T22:28:54.1566942+00:00",
"httpRequest":"{\"clientIpAddress\":\"0.0.0.0\"}",
"eventDataId":"001d8b40-5d41-4310-afd7-d65c9d4428ed",
"level":"Informational",
"operationName":"Microsoft.Advisor/recommendations/available/action",
"properties":{
"recommendationSchemaVersion":"1.0",
"recommendationCategory":"Performance",
"recommendationImpact":"Medium",
"recommendationName":"Increase the MariaDB server vCores",
"recommendationResourceLink":"https://portal.azure.com/#blade/Microsoft_Azur
e_Expert/RecommendationListBlade/source/ActivityLog/recommendationTypeId/a5f
888e3-8cf4-4491-b2ba-b120e14eb7ce/resourceId/%2Fsubscriptions%<subscription
id>%2FresourceGroups%2<resource group
name>%2Fproviders%2FMicrosoft.DBforMariaDB%2Fservers%2F<resource name>",
"recommendationType":"a5f888e3-8cf4-4491-b2ba-b120e14eb7ce"
},
"status":"Active",
"subStatus":"",
"submissionTimestamp":"2019-07-17T22:28:54.1566942+00:00"
}
}
}
Si no usa el esquema común, la carga es similar a la siguiente:
JSON
{
"schemaId":"Microsoft.Insights/activityLogs",
"data":{
"status":"Activated",
"context":{
"activityLog":{
"claims":"
"correlationId":"3ea7320f-c002-4062-adb8-96d3bd92a5f4",
"eventDataId":"a12b8e59-0b1d-4003-bfdc-3d8152922e59",
"properties":{
888e3-8cf4-4491-b2ba-
b120e14eb7ce/resourceId/%2Fsubscriptions%2F<subscription
id>%2FresourceGroups%2F<resource group
},
"resourceId":"/subscriptions/<subscription
id>/resourcegroups/<resource group
name>/providers/microsoft.dbformariadb/servers/<resource name>",
"resourceGroupName":"<resource group name>",
"resourceProviderName":"MICROSOFT.DBFORMARIADB",
"status":"Active",
"subStatus":"",
"subscriptionId":"<subscription id>",
"submissionTimestamp":"2019-07-17T20:36:39.3966926+00:00",
"resourceType":"MICROSOFT.DBFORMARIADB/SERVERS"
}
},
"properties":{
}
}
}
Para identificar los eventos de recomendación de Advisor en cualquiera de los

esquemas, busque si eventSource es Recommendation y OperationName es
Microsoft.Advisor/recommendations/available/action .
Algunos de los otros campos importantes que puede querer usar son:
alertTargetIDs (en el esquema común) o resourceId (esquema heredado)

recommendationType
recommendationName
recommendationCategory
recommendationImpact
recommendationResourceLink
Administración de alertas
Desde Azure Advisor, puede editar, eliminar o deshabilitar y habilitar las alertas de
recomendaciones.

3. Para editar una alerta, haga clic en el nombre para abrirla y edite los campos que
desee.
4. Para eliminar, habilitar o deshabilitar una alerta, haga clic en los puntos
suspensivos al final de la fila y seleccione la acción que desea realizar.
Pasos siguientes
Consulte la introducción a las alertas del registro de actividad y aprenda cómo
puede recibir alertas.
Más información sobre los grupos de acciones.
Inicio rápido: Creación de alertas de
Azure Advisor para nuevas
recomendaciones mediante Bicep
Artículo • 11/05/2023
desde Azure Advisor mediante Bicep.
Bicep es un lenguaje específico de dominio (DSL) que usa una sintaxis declarativa para
implementar recursos de Azure. Brinda sintaxis concisa, seguridad de tipos confiable y
compatibilidad con la reutilización de código. Bicep ofrece la mejor experiencia de
creación para sus soluciones de infraestructura como código en Azure.

propiedades:
Category
Nivel de impacto
si:

７ Nota
Requisitos previos
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Para ejecutar los comandos desde la máquina local, instale la CLI de Azure o los
módulos de Azure PowerShell. Para más información, consulte Instalación de la CLI
de Azure e Instalar Azure Powershell.
Revisión del archivo de Bicep

El archivo de Bicep usado en este inicio rápido forma parte de las plantillas de inicio
rápido de Azure .
Bicep
@description('Specify the name of alert')

param alertName string
@description('Specify a description of alert')

@allowed([
'Active'
'InProgress'
'Resolved'
])
param status string = 'Active'
@description('Specify the email address where the alerts are sent to.')
param emailAddress string = 'email@example.com'
@description('Specify the email address name where the alerts are sent to.')
param emailName string = 'Example'
resource emailActionGroup 'microsoft.insights/actionGroups@2021-09-01' = {

name: 'emailActionGroupName'
location: 'global'
properties: {
groupShortName: 'string'
enabled: true
emailReceivers: [
{
name: emailName
emailAddress: emailAddress
useCommonAlertSchema: true
}
]
}
}
resource alert 'Microsoft.Insights/activityLogAlerts@2020-10-01' = {

name: alertName
location: 'global'
properties: {
enabled: true
scopes: [
subscription().id
]
condition: {
allOf: [
{
field: 'category'
equals: 'ResourceHealth'
}
{
field: 'status'
equals: status
}
]
}
actions: {
actionGroups: [
{
actionGroupId: emailActionGroup.id
}
]
}
}
}
El archivo de Bicep define dos recursos:
Microsoft.Insights/actionGroups
Microsoft.Insights/activityLogAlerts
Implementación del archivo de Bicep

1. Guarde el archivo de Bicep como main.bicep en el equipo local.
2. Implemente el archivo de Bicep mediante la CLI de Azure o Azure PowerShell.
CLI
Azure CLI
az group create --name exampleRG --location eastus

az deployment group create --resource-group exampleRG --template-
file main.bicep --parameters alertName=<alert-name>
７ Nota
Reemplace <alert-name> por el nombre de la alerta.
Una vez finalizada la implementación, debería mostrarse un mensaje indicando

que la implementación se realizó correctamente.
Validación de la implementación
Use los Azure Portal, CLI de Azure o Azure PowerShell para enumerar los recursos
implementados en el grupo de recursos.
CLI
Azure CLI
az resource list --resource-group exampleRG
Limpieza de recursos
Cuando ya no los necesite, use Azure Portal, la CLI de Azure o Azure PowerShell para
eliminar el grupo de recursos.
CLI
Azure CLI
az group delete --name exampleRG
Pasos siguientes
Inicio rápido: Creación de alertas de
Azure Advisor para nuevas
recomendaciones mediante una plantilla
de Resource Manager
Artículo • 09/03/2023
de Azure Advisor mediante una plantilla de Azure Resource Manager.
Una plantilla de administrador de recursos es un archivo de notación de objetos

JavaScript (JSON) que define la infraestructura y la configuración del proyecto. La
plantilla usa sintaxis declarativa. En la sintaxis declarativa, se describe la implementación
deseada sin escribir la secuencia de comandos de programación para crearla.

propiedades:
Category
Nivel de impacto
si:

７ Nota
Requisitos previos
Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Para ejecutar los comandos desde la máquina local, instale la CLI de Azure o los
módulos de Azure PowerShell. Para más información, consulte Instalación de la CLI
de Azure e Instalar Azure Powershell.
Revisión de la plantilla
En el siguiente ejemplo se crea un grupo de acciones con un destino de correo
electrónico y se habilitan todas las notificaciones de estado de servicio de la suscripción
de destino. Guarde esta plantilla como CreateAdvisorAlert.json.
JSON
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-
01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"actionGroups_name": {
"defaultValue": "advisorAlert",
"type": "string"
},
"activityLogAlerts_name": {
"defaultValue": "AdvisorAlertsTest",
"type": "string"
},
"emailAddress": {
"defaultValue": "<email address>",
"type": "string"
}
},
"variables": {
"alertScope": "
[concat('/','subscriptions','/',subscription().subscriptionId)]"
},
"resources": [
{
"comments": "Action Group",
"type": "microsoft.insights/actionGroups",
"apiVersion": "2019-06-01",
"name": "[parameters('actionGroups_name')]",
"location": "Global",
"scale": null,
"dependsOn": [],
"tags": {},
"properties": {
"groupShortName": "[parameters('actionGroups_name')]",
"enabled": true,
"emailReceivers": [
{
"name": "[parameters('actionGroups_name')]",
"emailAddress": "[parameters('emailAddress')]"
}
],
"smsReceivers": [],
"webhookReceivers": []
}
},
{
"comments": "Azure Advisor Activity Log Alert",
"type": "microsoft.insights/activityLogAlerts",
"apiVersion": "2017-04-01",
"name": "[parameters('activityLogAlerts_name')]",
"location": "Global",
"scale": null,
"tags": {},
"properties": {
"scopes": [
"[variables('alertScope')]"
],
"condition": {
"allOf": [
{
"field": "category",
"equals": "Recommendation"
},
{
"field": "properties.recommendationCategory",
"equals": "Cost"
},
{
"field": "properties.recommendationImpact",
"equals": "Medium"
},
{
"field": "operationName",
"equals": "Microsoft.Advisor/recommendations/available/action"
}
]
},
"actions": {
"actionGroups": [
{
"actionGroupId": "
[resourceId('microsoft.insights/actionGroups',
parameters('actionGroups_name'))]",
"webhookProperties": {}
}
]
},
"enabled": true,
"description": ""
},
"dependsOn": [
"[resourceId('microsoft.insights/actionGroups',
parameters('actionGroups_name'))]"
]
}
]
}
La plantilla define dos recursos:
Microsoft.Insights/actionGroups
Microsoft.Insights/activityLogAlerts
Implementación de la plantilla
Implemente la plantilla mediante cualquier método estándar de implementación de una
plantilla de Resource Manager como en los ejemplos siguientes con la CLI y PowerShell.
Reemplace los valores de ejemplo del grupo de recursos y dirección de correo
electrónico por los valores adecuados para su entorno. El nombre del área de trabajo
debe ser único entre todas las suscripciones de Azure.
CLI
Azure CLI
az login
az deployment group create --name CreateAdvisorAlert --resource-group
my-resource-group --template-file CreateAdvisorAlert.json --parameters
emailAddress='user@contoso.com'
Validación de la implementación
Para comprobar que se ha creado el área de trabajo, utilice uno de los comandos
siguientes. Reemplace los valores de ejemplo del grupo de recursos por los valores que
usó anteriormente.
CLI
Azure CLI
az monitor activity-log alert show --resource-group my-resource-group --
name AdvisorAlertsTest
Limpieza de recursos
Si planea seguir trabajando en otros inicios rápidos y tutoriales, considere la posibilidad
de dejar estos recursos activos. Cuando ya no lo necesite, elimine el grupo de recursos;
de este modo, se eliminarán también la regla de alertas y los recursos relacionados. Para
eliminar el grupo de recursos mediante la CLI de Azure o Azure PowerShell
CLI
Azure CLI
az group delete --name my-resource-group
Pasos siguientes
Recomendaciones de costo
Artículo • 30/10/2023
Azure Advisor ayuda a optimizar y reducir el gasto global de Azure mediante la

identificación de recursos inactivos e infrautilizados. Puede obtener recomendaciones
sobre el costo en la pestaña Cost (Costo) del panel de Advisor.
1. Inicie sesión en Azure Portal .
2. Busque y seleccione Advisor desde cualquier página.
3. En el panel Advisor, seleccione la pestaña Costo.
AI Services
Ahorro potencial de costos en este recurso de Form

Recognizer
Hemos observado que el recurso de Form Recognizer ha tenido suficiente utilización en
los últimos 30 días como para que considere la posibilidad de cambiar a un nivel de
compromiso.
Obtenga más información sobre Cognitive Service: AzureAdvisorFRCommitment (Ahorro

potencial de costos en este recurso de Form Recognzier) .
Ahorro potencial de costos en este recurso de Computer

Vision
Hemos observado que el recurso de Computer Vision ha tenido suficiente uso de
LECTURA en los últimos 30 días como para que considere la posibilidad de cambiar a un
nivel de compromiso.
Obtenga más información sobre Cognitive Service: AzureAdvisorCVReadCommitment

(Ahorro potencial de costos en este recurso de Computer Vision) .
Ahorro potencial de costos en este recurso del servicio de

Voz
Hemos observado que el recurso del servicio de Voz ha tenido suficiente uso en los
últimos 30 días como para que considere la posibilidad de cambiar a un nivel de
compromiso.
Obtenga más información sobre Cognitive Service: AzureAdvisorSpeechCommitment

(Ahorro potencial de costos en este recurso de Voz) .
Ahorro potencial de costos en este recurso de Translator

Hemos observado que el recurso de Translator ha tenido suficiente utilización en los
últimos 30 días como para que considere la posibilidad de cambiar a un nivel de
compromiso.
Obtenga más información sobre Cognitive Service: AzureAdvisorTranslatorCommitment

(Ahorro potencial de costos en este recurso de Translator) .
Ahorro potencial de costos en este recurso de LUIS

Hemos observado que el recurso de LUIS se ha utilizado lo suficiente en los últimos
30 días como para que considere la posibilidad de cambiar a un nivel de compromiso.
Obtenga más información sobre Cognitive Service: AzureAdvisorLUISCommitment

(Ahorro potencial de costos en este recurso de LUIS) .
Ahorro potencial de costos en este recurso del servicio de

lenguaje
Hemos observado que el recurso del servicio de lenguaje ha tenido suficiente uso en los
últimos 30 días como para considerar la posibilidad de cambiar a un nivel de
compromiso.
Obtenga más información sobre Cognitive Service:

AzureAdvisorTextAnalyticsCommitment (Ahorro potencial de costos en este recurso del
servicio de lenguaje) .
Habilitación de la escalabilidad automática para clústeres

de Azure Databricks
El escalado automático hace que sea más fácil lograr un uso del clúster elevado, ya que
no es necesario aprovisionar ese clúster para que coincida con una carga de trabajo. Al
usar la escalabilidad automática, las cargas de trabajo se pueden ejecutar más rápido y
los costos generales se pueden reducir en comparación con un clúster estático.
Obtenga más información sobre Área de trabajo de Databricks:
DatabricksEnableAutoscaling (Habilitación de la escalabilidad automática para clústeres
de Azure Databricks).
Análisis
Recursos no utilizados o detenidos de Data Explorer

Esta recomendación muestra todos los recursos de Data Explorer que se han detenido
durante al menos 60 días. Considere la posibilidad de eliminar los recursos.
Obtenga más información sobre Recurso de Data Explorer: recurso de ADX detenido
(Recursos no utilizados o detenidos de Data Explorer) .
Recursos de Data Explorer sin usar o vacíos

Esta recomendación incluye todos los recursos de Data Explorer aprovisionados más de
10 días desde la última actualización y que están vacíos o no tienen actividad. Considere
la posibilidad de eliminar los recursos.
Obtenga más información sobre Recurso de Data Explorer: recurso sin usar de ADX
(recursos sin usar o vacíos de Data Explorer) .
Dimensionamiento correcto de los recursos de Data

Explorer para obtener un costo óptimo
Se han detectado una o varias de las siguientes situaciones: baja capacidad de datos,
uso de CPU o uso de memoria. Reduzca verticalmente u horizontalmente el recurso a la
configuración recomendada que se muestra.
Obtenga más información sobre Recurso de Data Explorer: tamaño adecuado para el
costo (recursos de Data Explorer con un tamaño adecuado para optimizar los costos) .
Reducción de la directiva de almacenamiento en caché de

tablas de Data Explorer para optimizar los costos
Al reducir la directiva de almacenamiento en caché de tablas, se liberan los nodos del
clúster de Data Explorer que tienen un bajo uso de CPU, memoria y una configuración
de tamaño de caché alto.
Obtenga más información sobre Recurso de Data Explorer:
ReduceCacheForAzureDataExplorerTables (reducir la directiva de caché de tablas de
Data Explorer para optimizar los costos) .
Recursos sin usar del explorador de datos en ejecución

Esta recomendación es válida para todos los recursos del explorador de datos en
ejecución sin actividad de usuario. Considere la posibilidad de detener los recursos.
Obtenga más información sobre Recurso de Data Explorer: StopUnusedClusters

(recursos no usados que ejecutan Data Explorer).
Limpieza del almacenamiento no utilizado en los recursos

de Data Explorer
Con el tiempo, las operaciones Merge de extensiones internas pueden acumular
artefactos de almacenamiento redundantes y sin usar que permanecen más allá del
período de retención de datos. Aunque estos datos sin referencia no afectan
negativamente al rendimiento, pueden provocar un uso del almacenamiento y unos
costos mayores de lo necesario. Esta recomendación incluye los recursos de Data
Explorer que tienen artefactos de almacenamiento no utilizados. Se recomienda ejecutar
el comando de limpieza para detectar y eliminar artefactos de almacenamiento no
usados y reducir el costo. La capacidad de recuperación se restablecerá en el momento
de la limpieza y no está disponible en los datos que se crearon antes de ejecutar la
limpieza.

RunCleanupCommandForAzureDataExplorer (limpiar el almacenamiento sin usar en
Data Explorer) .
Habilitación de la escalabilidad automática optimizada

para los recursos de Data Explorer
Parece que el recurso podría haber escalado automáticamente para reducir los costos
(en función de los patrones de uso, el uso de la memoria caché, el uso de la ingesta y la
CPU). Para optimizar los costos y el rendimiento, se recomienda habilitar la escalabilidad
automática optimizada. Para asegurarse de no superar el presupuesto planeado,
agregue un número máximo de instancias cuando habilite la escalabilidad automática
optimizada.
EnableOptimizedAutoscaleAzureDataExplorer (habilitar la escalabilidad automática
optimizada para recursos de Data Explorer) .
Cambia los clústeres de Data Explorer a un SKU más

rentable y de mejor rendimiento
Tiene recursos que funcionan con una SKU no óptima. Se recomienda migrar a una SKU
más rentable y con un mejor rendimiento. Esta SKU debería reducir los costes y mejorar
el rendimiento general. Se ha calculado el recuento de instancias necesario que cumple
con los requerimientos tanto de CPU como de memoria caché del clúster.

SkuChangeForAzureDataExplorer (Cambio de los clústeres de Data Explorer a un SKU
más rentable y de mejor rendimiento) .
Considere la posibilidad de cambiar el plan de tarifa

En función del volumen de uso actual, investigue el cambio del plan de tarifa
(compromiso) para recibir un descuento y reducir los costos.
Obtenga más información sobre Área de trabajo de Log Analytics:

considerChangingPricingTier (Considerar el cambio del plan de tarifa).
Considere la posibilidad de configurar el plan de registros

básicos de bajo costo en las tablas seleccionadas.
Hemos identificado la ingesta de más de 1 GB al mes en tablas que cumplen los
requisitos para el plan de datos de registros básicos de bajo costo. El plan de registro
básico proporciona funcionalidades de búsqueda para la depuración y solución de
problemas a un costo mucho menor.
Obtenga más información sobre Área de trabajo de Log Analytics: EnableBasicLogs

(Considerar la configuración del plan de registros básicos de bajo costo en las tablas
seleccionadas) .
Considere la posibilidad de quitar tablas restauradas sin

usar
Tiene una o varias tablas con datos restaurados activos en el área de trabajo. Si ya no
usa datos restaurados, elimine la tabla para evitar cargos innecesarios.
Obtenga más información sobre Área de trabajo de Log Analytics: DeleteRestoredTables
(Considerar quitar las tablas restauradas sin usar) .
Considerar la posibilidad de habilitar la pausa automática

en el proceso de Spark
La pausa automática libera y cierra los recursos de proceso no usados después de un
período de inactividad establecido.
Obtenga más información sobre Área de trabajo de Synapse:

EnableSynapseSparkComputeAutoPauseGuidance (considerar la posibilidad de habilitar
la característica de pausa automática en el proceso de Spark) .
Considerar la posibilidad de habilitar la escalabilidad

automática en el proceso de Spark
El escalado automático escala automáticamente el número de nodos de una instancia
de clúster vertical y horizontalmente. Durante la creación de un nuevo grupo de Spark,
puede establecer un número mínimo y máximo de nodos cuando se selecciona el
escalado automático. La escalabilidad automática luego supervisa los requisitos de
recursos de la carga y escala o reduce verticalmente el número de nodos. No se aplica
ningún cargo por esta característica.
Obtenga más información sobre Área de trabajo de Synapse:

EnableSynapseSparkComputeAutoScaleGuidance (considerar la posibilidad de habilitar
la característica de escalabilidad automática en el proceso de Spark) .
Proceso
Límites de facturación de discos SSD estándar.

Los clientes que ejecutan cargas de trabajo de E/S elevadas en HDD estándar pueden
actualizarse a SSD estándar y beneficiarse de un mejor rendimiento y Acuerdo de Nivel
de Servicio y experimentar ahora un límite en el número máximo de transacciones
facturadas.
Obtenga más información sobre Disco: UpgradeHDDtoSDD (Límites de facturación de

Discos SSD estándar).
Discos infrautilizados identificados

Si tiene discos que se utilizan menos del 10 %, cambie el tamaño para ahorrar costes.
Obtenga más información sobre Disco: wiprounderutilizeddisks (Discos infrautilizados

identificados).
Tiene discos que no se han conectado a una máquina

virtual durante más de 30 días. Evalúe si todavía necesita
el disco.
Hemos observado que tiene discos que no se han conectado a una máquina virtual
durante más de 30 días. Evalúe si todavía necesita el disco. Si decide eliminar el disco, la
recuperación no es posible. Se recomienda crear una instantánea antes de la eliminación
o asegurarse de que los datos del disco ya no sean necesarios.
Obtenga más información sobre Disco: DeleteOrDowngradeUnattachedDisks (Tiene

discos que no se han conectado a una máquina virtual durante más de 30 días. Evalúe si
todavía necesita el disco.) .
Dimensionamiento o apagado de conjuntos de escalado

de máquinas virtuales infrautilizados
Hemos analizado los patrones de uso de sus conjuntos de escalado de máquina virtual
en los últimos siete días y hemos detectado un escaso uso en algunos de ellos. Si bien
ciertos escenarios pueden dar lugar a un uso escaso debido al diseño, puede ahorrar
dinero si administra el tamaño y el número de los conjuntos de escalado de máquinas
virtuales.
Obtenga más información sobre Conjunto de escalado de máquinas virtuales:

LowUsageVmss (Dimensionamiento o apagado de conjuntos de escalado de máquinas
virtuales infrautilizados) .
Use las máquinas virtuales con un disco de sistema

operativo efímero habilitado para ahorrar costos y
obtener un mejor rendimiento.
Con el disco de SO efímero, obtendrá estas ventajas: ahorre en el costo de
almacenamiento del disco del sistema operativo. Reducen la latencia de lectura y
escritura en el disco del sistema operativo. Una operación de restablecimiento de la
imagen inicial de la máquina virtual más rápida mediante el restablecimiento del sistema
operativo (y del disco temporal) a su estado original. Es preferible usar el disco de SO
efímero para máquinas virtuales IaaS de corta duración o máquinas virtuales con cargas
de trabajo sin estado.
Obtenga más información sobre Suscripción: EphemeralOsDisk (usar máquinas virtuales

con disco de sistema operativo efímero para reducir los costos y mejorar el
rendimiento).
Bases de datos
Servidores de MariaDB con tamaño correcto

infrautilizados
Según la telemetría interna, los recursos del servidor de bases de datos de MariaDB se
han infrautilizado durante períodos prolongados de los últimos siete días. Los
resultados de bajo uso de recursos dan lugar a gastos no deseados que se pueden
corregir sin un impacto significativo en el rendimiento. Para reducir los costos y
administrar de forma eficaz los recursos, se recomienda reducir el tamaño de proceso
(núcleos virtuales) a la mitad.
Obtenga más información sobre Servidor de MariaDB: OrcasMariaDbCpuRightSize

(servidores de MariaDB infrautilizados con el tamaño adecuado) .
Servidores de MySQL con tamaño correcto infrautilizados

Según la telemetría interna, los recursos del servidor de bases de datos de MySQL se
han infrautilizado durante períodos prolongados de los últimos siete días. Los
Obtenga más información sobre Servidor de MySQL: OrcasMySQLCpuRightSize

(servidores de MySQL infrautilizados con el tamaño adecuado) .
Servidores de PostgreSQL con tamaño correcto

infrautilizados
Según la telemetría interna, los recursos del servidor de bases de datos de PostgreSQL
se han infrautilizado durante períodos prolongados de los últimos siete días. Los
Obtenga más información sobre Servidor de PostgreSQL: OrcasPostgreSqlCpuRightSize

(servidores de PostgreSQL infrautilizados con el tamaño adecuado) .
Revisión de la configuración de la cuenta de nivel gratis

de Azure Cosmos DB
Su cuenta de nivel gratis de Azure Cosmos DB tiene actualmente recursos con un
rendimiento aprovisionado total que supera las 1000 unidades de solicitud por segundo
(RU/s). Dado que el nivel gratis solo cubre las primeras 1000 RU/s de rendimiento
aprovisionadas en su cuenta, cualquier rendimiento que supere las 1000 RU/s se factura
según los precios normales. Como resultado, se prevé que se le cobrará por el
rendimiento aprovisionado actualmente en su cuenta de Azure Cosmos DB.
Obtenga más información sobre Cuenta de Azure Cosmos DB:

CosmosDBFreeTierOverage (revisar la configuración de la cuenta de nivel gratis de
Azure Cosmos DB).
Considere la posibilidad de actuar en los contenedores de

Azure Cosmos DB inactivos.
No se ha detectado ninguna actividad durante los últimos 30 días en uno o varios de los
contenedores de Azure Cosmos DB. Considere la posibilidad de reducir el rendimiento o
de eliminarlos si no tiene previsto utilizarlos.
Obtenga más información sobre Cuenta de Azure Cosmos DB: CosmosDBIdleContainers

(considerar la posibilidad de llevar a cabo acciones en los contenedores de Azure
Cosmos DB inactivos).
Habilitación de la escalabilidad automática en una base

de datos o un contenedor de Azure Cosmos DB
En función del uso que ha hecho en los últimos siete días, puede ahorrar habilitando la
escalabilidad automática. Para cada hora, comparamos las RU/s aprovisionadas con el
uso real de las RU/s (a qué escalabilidad automática se habría escalado) y calculamos el
ahorro de costos a lo largo del período de tiempo. La escalabilidad automática ayuda a
optimizar el uso de RU/s y el costo por uso mediante la reducción vertical cuando no
está en uso.
CosmosDBAutoscaleRecommendations (habilitar la escalabilidad automática en la base
de datos o el contenedor de Azure Cosmos DB).
Configuración del rendimiento manual en lugar de la

escalabilidad automática en la base de datos o el
contenedor de Azure Cosmos DB
En función del uso de los últimos siete días, la utilización del rendimiento manual antes
que la escalabilidad automática puede suponerle ahorros en los costos. El rendimiento
manual es más rentable cuando el uso medio del rendimiento máximo (RU/s) es mayor
que un 66 % o menor o igual que un 10 %.

CosmosDBMigrateToManualThroughputFromAutoscale (configurar el rendimiento
manual en lugar de la escalabilidad automática en la base de datos o el contenedor de
Azure Cosmos DB).
Administración y gobernanza
Azure Monitor
Para obtener sugerencias de optimización de costos de Azure Monitor, consulte
Optimización de costos en Azure Monitor.
La compra de un plan de ahorro para el proceso podría

desbloquear precios más bajos.
Hemos analizado su uso a lo largo de los últimos 30 días y le recomendamos que añada
un plan de ahorro. Estos desbloquean los precios más bajos en los servicios de proceso
seleccionados cuando existe compromiso de gastar una cantidad fija por hora durante
1 o 3 años. A medida que se usan servicios de proceso seleccionados globalmente, el
uso está cubierto por el plan a precios reducidos. Durante las horas en que el uso
supera el compromiso por hora, simplemente se le facturará a los precios de pago por
uso normales. Con el ahorro que se aplica automáticamente en el uso de proceso
globalmente, seguirá ahorrando incluso a medida que cambien las necesidades de uso
con el tiempo. El plan de ahorro es más adecuado para cargas de trabajo dinámicas, a la
vez que se adaptan a los cambios planeados o no planeados, mientras que las reservas
son más adecuadas para cargas de trabajo estables y predecibles sin cambios
planeados. Las estimaciones de ahorro se calculan para suscripciones individuales y el
patrón de uso observado en los últimos 30 días. Los planes de ahorro de ámbito
compartido están disponibles en la experiencia de compra de reserva y pueden
aumentar aún más el ahorro.
Obtenga más información sobre Suscripción: SavingsPlan (La compra de un plan de

ahorro para el proceso podría desbloquear precios más bajos) .
Redes
Eliminación de circuitos de ExpressRoute en el estado de

proveedor de No aprovisionado
Hemos observado que el circuito de ExpressRoute se encuentra en el estado no
aprovisionado del proveedor desde hace más de un mes. Este circuito se factura
actualmente por horas a su suscripción. Elimine el circuito si no tiene previsto
aprovisionarlo con el proveedor de conectividad.
Obtenga más información sobre Circuito de ExpressRoute: ExpressRouteCircuit (eliminar

circuitos de ExpressRoute en el estado de proveedor No aprovisionado) .
Reasignación o eliminación de puertas de enlace de red

virtual inactivas
Hemos observado que la puerta de enlace de red virtual ha estado inactiva durante más
de 90 días. Esta puerta de enlace se factura por horas. Vuelva a configurar esta puerta
de enlace, o bien eliminarla si no piensa usarla más.
Obtenga más información sobre Puerta de enlace de red virtual: IdleVNetGateway

(reasignar o eliminar puertas de enlace de red virtual inactivas) .
Instancias reservadas
Compre instancias reservadas de máquina virtual para

ahorrar dinero en los costos de pago por uso
Las instancias reservadas pueden proporcionar un descuento considerable sobre los
precios de pago por uso. Con las instancias reservadas, puede comprar los costos de
base por adelantado de las máquinas virtuales. Se aplican automáticamente descuentos
a las máquinas virtuales nuevas o existentes que tengan el mismo tamaño y la misma
región que la instancia reservada. Hemos analizado su uso en los últimos 30 días y se
recomiendan las instancias reservadas para el ahorro de dinero.
Obtenga más información sobre Máquina virtual: ReservedInstance (comprar instancias

reservadas de máquina virtual para reducir los costos de pago por uso) .
Considere la posibilidad de usar instancias reservadas de

App Service para ahorrar en los costos a petición.
Analizamos el patrón de uso de App Service en el plazo seleccionado y el período de
doce meses inmediatamente anterior y recomendamos la compra de instancias
reservadas que favorezcan el ahorro máximo. Con las instancias reservadas, puede
comprar el uso por horas del plan de App Service por adelantado y ahorrar en los
costos de pago por uso. Una instancia reservada es una ventaja de facturación que se
aplica automáticamente a las implementaciones nuevas o existentes. Las estimaciones
de ahorro se calculan para suscripciones individuales según el patrón de uso en el plazo
seleccionado y el período de doce meses inmediatamente anterior.
Obtenga más información sobre Suscripción: AppServiceReservedCapacity (Considerar

la posibilidad de usar instancias reservadas de App Service para reducir los costes a
petición) .
Considerar la posibilidad de usar una instancia reservada

de Azure Cosmos DB para ahorrar en los costos de pago
por uso
Analizamos el patrón de uso de Azure Cosmos DB en los últimos 30 días y
recomendamos la compra de una instancia reservada que aumente al máximo el ahorro.
Con las instancias reservadas, puede comprar el uso por horas de Azure Cosmos DB por
adelantado y ahorrar en los costos de pago por uso. Una instancia reservada es una
ventaja de facturación que se aplica automáticamente a las implementaciones nuevas o
existentes. Las estimaciones de ahorro se calculan para suscripciones individuales y el
patrón de uso de los últimos 30 días. Las recomendaciones de ámbito compartido están
disponibles en la experiencia de compra de reserva y pueden aumentar aún más el
ahorro.
Obtenga más información sobre Suscripción: CosmosDBReservedCapacity (Considerar la

posibilidad de usar instancias reservadas de Azure Cosmos DB para reducir los costos de
pago por uso) .
Considerar las instancias reservadas de máquina virtual
para ahorrar en los costes a petición
Las instancias reservadas pueden proporcionar un descuento significativo sobre los
precios bajo demanda. Con las instancias reservadas, puede comprar los costos de base
por adelantado de las máquinas virtuales. Se aplican automáticamente descuentos a las
máquinas virtuales nuevas o existentes que tengan el mismo tamaño y la misma región
que la instancia reservada. Hemos analizado el uso durante el período retrospectivo y el
plazo seleccionado, y se recomiendan las instancias reservadas para el ahorro de dinero.
Obtenga más información sobre Suscripción: ReservedInstance (Considerar las instancias

reservadas de máquina virtual para ahorrar en los costes a petición) .
Considerar la posibilidad de adquirir instancias

reservadas de Cosmos DB para ahorrar costos de pago
por uso
Hemos analizado el patrón de uso de Cosmos DB durante el plazo seleccionado y el
período retrospectivo, y hemos calculado la compra de una instancia reservada que
maximiza el ahorro. Con las instancias reservadas, puede comprar el uso por horas de
Cosmos DB por adelantado y ahorrar en los costos de pago por uso. Una instancia
reservada es una ventaja de facturación que se aplica automáticamente a las
implementaciones nuevas o existentes. Las estimaciones de ahorro se calculan para
suscripciones individuales y el patrón de uso en el plazo seleccionado y el período
retrospectivo. Las recomendaciones de ámbito compartido están disponibles en la
experiencia de compra de reserva y pueden aumentar aún más el ahorro.

posibilidad de adquirir instancias reservadas de Cosmos DB para ahorrar costos de pago
por uso) .

reservadas de PaaS de bases de datos de SQL para
ahorrar costos de pago por uso
Hemos analizado el patrón de uso de PaaS de SQL en los últimos 30 días y
recomendamos la compra de una instancia reservada que maximiza el ahorro. Con las
instancias reservadas, puede comprar el uso por horas de las implementaciones de PaaS
de SQL por adelantado y ahorrar en los costos de proceso de PaaS de SQL. La licencia
de SQL se cobra por separado y no se descuenta de la reserva. Una instancia reservada
es una ventaja de facturación que se aplica automáticamente a las implementaciones
nuevas o existentes. Las estimaciones de ahorro se calculan para suscripciones
individuales y el patrón de uso observado en los últimos 30 días. Las recomendaciones
de ámbito compartido están disponibles en la experiencia de compra de reserva y
pueden aumentar aún más el ahorro.
Obtenga más información sobre Suscripción: SQLReservedCapacity (Considerar la

posibilidad de adquirir instancias reservadas de PaaS de bases de datos de SQL para
ahorrar costos de pago por uso) .
Considerar la posibilidad de usar una instancia reservada

del impuesto sobre el timbre de App Service para ahorrar
en los costos a petición
Analizamos el patrón de uso del impuesto sobre el timbre del entorno aislado de App
Service en los últimos 30 días y recomendamos la compra de una instancia reservada
que aumente al máximo el ahorro. Con las instancias reservadas, puede comprar el uso
por horas del impuesto sobre el timbre del entorno aislado por adelantado y ahorrar en
los costos de pago por uso. Las instancias reservadas solo se aplican al impuesto sobre
el timbre y no a las instancias de App Service. Una instancia reservada es una ventaja de
facturación que se aplica automáticamente a las implementaciones nuevas o existentes.
Las estimaciones de ahorro se calculan por cada suscripción según el patrón de uso de
los últimos 30 días.
Obtenga más información sobre Suscripción: AppServiceReservedCapacity (Considerar

la posibilidad de usar una instancia reservada del impuesto sobre el timbre de App
Service para ahorrar en los costos a petición) .
Considerar la posibilidad de usar instancias reservadas de

Database for MariaDB para ahorrar en los costos de pago
por uso
Hemos analizado su patrón de uso de Azure Database for MariaDB de los últimos
30 días y recomendamos la compra de una instancia reservada para aumentar al
máximo el ahorro. Con las instancias reservadas, puede comprar uso por horas de
MariaDB por adelantado y ahorrar en los costos de proceso. Una instancia reservada es
una ventaja de facturación que se aplica automáticamente a las implementaciones
individuales y el patrón de uso de los últimos 30 días. Las recomendaciones de ámbito
Obtenga más información sobre Suscripción: MariaDBSQLReservedCapacity (Considerar

la posibilidad de usar instancias reservadas de Database for MariaDB para ahorrar en los
costos de pago por uso) .

Database for MySQL para ahorrar en los costos de pago
por uso
Hemos analizado su patrón de uso de bases de datos MySQL en los últimos 30 días y
recomendamos la compra de instancias reservadas para maximizar el ahorro. Con las
instancias reservadas, puede comprar horas de uso de MySQL por adelantado y ahorrar
con respecto a los costos de proceso. Una instancia reservada es una ventaja de
Las estimaciones de ahorro se calculan para suscripciones individuales y el patrón de
uso de los últimos 30 días. Las recomendaciones de ámbito compartido están
ahorro.
Obtenga más información sobre Suscripción: MySQLReservedCapacity (Considerar la

posibilidad de usar instancias reservadas de Database for MySQL para ahorrar en los

PostgreSQL para ahorrar en los costos de pago por uso
Hemos analizado su patrón de uso de Database for PostgreSQL en los últimos 30 días y
recomendamos la compra de una instancia reservada para aumentar al máximo el
ahorro. Con las instancias reservadas, puede comprar el uso por horas de la base de
datos PostgreSQL por adelantado y ahorrar en los costos a petición. Una instancia
suscripciones individuales y el patrón de uso de los últimos 30 días. Las
recomendaciones de ámbito compartido están disponibles en la experiencia de compra
de reserva y pueden aumentar aún más el ahorro.
Obtenga más información sobre Suscripción: PostgreSQLReservedCapacity (Considerar

la posibilidad de usar instancias reservadas de PostgreSQL para ahorrar en los costos de
pago por uso) .
Cache for Redis para ahorrar en los costos de pago por
uso
Hemos analizado su patrón de uso de Cache for Redis en los últimos 30 días y hemos
calculado la compra de una instancia reservada para aumentar al máximo el ahorro. Con
las instancias reservadas, puede comprar el uso por horas de Cache for Redis por
adelantado y ahorrar en comparación con los costos a petición actuales. Una instancia
suscripciones individuales y el patrón de uso observado en los últimos 30 días. Las
recomendaciones de ámbito compartido están disponibles en la experiencia de compra
de reserva y pueden aumentar aún más el ahorro.
Obtenga más información sobre Suscripción: RedisCacheReservedCapacity (Considerar

la posibilidad de usar instancias reservadas de Cache for Redis para ahorrar en los

Azure Synapse Analytics (anteriormente SQL DW) para
ahorrar en los costos de pago por uso
Hemos analizado el patrón de uso de Azure Synapse Analytics en los últimos 30 días y
recomendamos la compra de una instancia reservada que maximizaría el ahorro. Con las
instancias reservadas, puede comprar el uso por horas de Synapse Analytics por
adelantado y ahorrar en comparación con los costos a petición. Una instancia reservada
es una ventaja de facturación que se aplica automáticamente a las implementaciones
individuales y el patrón de uso observado en los últimos 30 días. Las recomendaciones
de ámbito compartido están disponibles en la experiencia de compra de reserva y
pueden aumentar aún más el ahorro.
Obtenga más información sobre Suscripción: SQLDWReservedCapacity (Considerar la

posibilidad de usar instancias reservadas de Azure Synapse Analytics (anteriormente
SQL DW) para ahorrar en los costos de pago por uso) .
(Versión preliminar) Considerar la posibilidad de usar una

instancia reservada de Blob Storage para ahorrar en los
costos de Blob v2 y Data Lake Storage Gen2
Hemos analizado su uso de Azure Blob Storage y Data Lake Storage durante los últimos
30 días y hemos calculado la compra de una instancia reservada que aumentaría al
máximo el ahorro. Con las instancias reservadas, puede comprar el uso por horas por
adelantado y ahorrar en comparación con los costos de uso a petición actuales. Las
instancias reservadas de Blob Storage solo se aplican a los datos almacenados en Azure
Blob (GPv2) y Azure Data Lake Storage (Gen 2). Una instancia reservada es una ventaja
de facturación que se aplica automáticamente a las implementaciones nuevas o
patrón de uso observado en los últimos 30 días. Las recomendaciones de ámbito
Obtenga más información sobre Suscripción: BlobReservedCapacity ((Versión preliminar)

Considerar la posibilidad de usar instancias reservadas de Blob Storage para ahorrar en
los costos de Blob v2 y Data Lake Storage Gen2) .
Considerar las posibilidad de usar instancias reservadas

de Azure Dedicated Host para ahorrar en comparación
con los costos a petición
Hemos analizado el uso de Azure Dedicated Host en los últimos 30 días y hemos
calculado la compra de una instancia reservada que maximizaría el ahorro. Con las
instancias reservadas, puede comprar el uso por horas por adelantado y ahorrar en
comparación con los costos de uso a petición actuales. Una instancia reservada es una
Obtenga más información sobre Suscripción: AzureDedicatedHostReservedCapacity

(Considerar las posibilidad de usar instancias reservadas de Azure Dedicated Host para
ahorrar en comparación con los costos a petición) .
Considerar la posibilidad de comprar instancias

reservadas de Data Factory para ahorrar en comparación
Hemos analizado el uso de Data Factory en los últimos 30 días y hemos calculado la
compra de una instancia reservada que maximizaría el ahorro. Con las instancias
reservadas, puede comprar el uso por horas por adelantado y ahorrar en comparación
con los costos de uso a petición actuales. Una instancia reservada es una ventaja de
uso observado en los últimos 30 días. Las recomendaciones de ámbito compartido
están disponibles en la experiencia de compra de reserva y pueden aumentar aún más
el ahorro.
Obtenga información sobre Suscripción: DataFactorybReservedCapacity (Considerar la

posibilidad de comprar instancias reservadas de Data Factory para ahorrar en
comparación con los costos a petición) .

reservadas de Azure Data Explorer para ahorrar costos a
petición
Hemos analizado el uso de Azure Data Explorer en los últimos 30 días y hemos
calculado la compra de una instancia reservada que maximizarían el ahorro. Con las
Obtenga más información sobre Suscripción: AzureDataExplorerReservedCapacity

(Considerar la posibilidad de comprar instancias reservadas de Azure Data Explorer para
ahorrar costos a petición) .

reservadas de Azure Files para ahorrar en comparación
Hemos analizado el uso de Azure Files en los últimos 30 días y hemos calculado la
el ahorro.
Más información sobre Suscripción: AzureFilesReservedCapacity (Considerar la

posibilidad de comprar instancias reservadas de Azure Files para ahorrar en

Azure VMware Solution para ahorrar en comparación con
los costos a petición
Hemos analizado el uso Azure VMware Solution en los últimos 30 días y hemos
Obtenga más información sobre Suscripción: AzureVMwareSolutionReservedCapacity

(Considerar la posibilidad de usar instancias reservadas de Azure VMware Solution para
ahorrar en comparación con los costos a petición) .

reservadas de almacenamiento de NetApp para ahorrar
en comparación con los costos a petición
Hemos analizado el uso del almacenamiento de NetApp en los últimos 30 días y hemos
Obtenga más información sobre Suscripción: NetAppStorageReservedCapacity
(Considerar la posibilidad de comprar instancias reservadas de almacenamiento de
NetApp para ahorrar en comparación con los costos a petición) .

reservadas de discos administrados de Azure para ahorrar
en comparación con los costos a petición
Hemos analizado el uso del disco administrado de Azure en los últimos 30 días y hemos
Obtener más información sobre Suscripción: AzureManagedDiskReservedCapacity

(Considerar la posibilidad de comprar instancias reservadas de discos administrados de
Azure para ahorrar en comparación con los costos a petición) .

Red Hat para ahorrar en comparación con los costos a
petición
Hemos analizado el uso de Red Hat en los últimos 30 días y hemos calculado la compra
de una instancia reservada que maximizaría el ahorro. Con las instancias reservadas,
puede comprar el uso por horas por adelantado y ahorrar en comparación con los
costos de uso a petición actuales. Una instancia reservada es una ventaja de facturación
que se aplica automáticamente a las implementaciones nuevas o existentes. Las
estimaciones de ahorro se calculan para suscripciones individuales y el patrón de uso
observado en los últimos 30 días. Las recomendaciones de ámbito compartido están
ahorro.
Obtenga más información sobre Suscripción: RedHatReservedCapacity (Considerar la

posibilidad de usar instancias reservadas de Red Hat para ahorrar en comparación con
los costos a petición) .
RedHat OSA para ahorrar en comparación con los costos
a petición
Hemos analizado el uso de RedHat Osa en los últimos 30 días y hemos calculado la
el ahorro.
Obtenga más información sobre Suscripción: RedHatOsaReservedCapacity (Considerar

la posibilidad de usar instancias reservadas de RedHat OSA para ahorrar en

reservadas de SAP HANA para ahorrar en comparación
Hemos analizado el uso de SAP HANA en los últimos 30 días y hemos calculado la
el ahorro.
Obtenga más información sobre Suscripción: SapHanaReservedCapacity (Considerar la

posibilidad de comprar instancias reservadas de SAP HANA para ahorrar en

SuseLinux para ahorrar en comparación con los costos a
petición
Hemos analizado el uso de SuseLinux en los últimos 30 días y hemos calculado la
compra de una instancia reservadas que maximizaría sus ahorros. Con las instancias
el ahorro.
Obtenga más información sobre Suscripción: SuseLinuxReservedCapacity (Considerar la

posibilidad de usar instancias reservadas de SuseLinux para ahorrar en comparación con
los costos a petición) .
Considerar las instancias reservadas de VMware Cloud

Simple
Analizamos el uso de VMware Cloud Simple en los últimos 30 días y hemos calculado la
el ahorro.
Obtener más información sobre Suscripción: VMwareCloudSimpleReservedCapacity

(Considerar las instancias reservadas de VMware Cloud Simple) .
Configuración de la renovación automática de una

reserva que va a expirar
Las instancias reservadas que se enumeran a continuación van a expirar pronto o han
expirado recientemente. Los recursos seguirán funcionando con normalidad; sin
embargo, se le facturará con las tarifas a petición actuales. Para optimizar los costos,
configure la renovación automática de estas reservas o compre un reemplazo
manualmente.
Obtenga más información sobre Reserva: ReservedInstancePurchaseNew (configurar la

renovación automática para la reserva que expira) .
La compra de un plan de ahorro para el proceso podría
desbloquear precios más bajos.
Hemos analizado su uso a lo largo de los últimos 30 días y le recomendamos que añada
un plan de ahorro. Estos desbloquean los precios más bajos en los servicios de proceso
seleccionados cuando existe compromiso de gastar una cantidad fija por hora durante
1 o 3 años. A medida que se usan servicios de proceso seleccionados globalmente, el
uso está cubierto por el plan a precios reducidos. Durante las horas en que el uso
supera el compromiso por hora, simplemente se le facturará a los precios de pago por
uso normales. Con el ahorro que se aplica automáticamente en el uso de proceso
globalmente, seguirá ahorrando incluso a medida que cambien las necesidades de uso
con el tiempo. El plan de ahorro es más adecuado para cargas de trabajo dinámicas, a la
vez que se adaptan a los cambios planeados o no planeados, mientras que las reservas
son más adecuadas para cargas de trabajo estables y predecibles sin cambios
planeados. Las estimaciones de ahorro se calculan para suscripciones individuales y el
patrón de uso observado en los últimos 30 días. Los planes de ahorro de ámbito
Obtenga más información sobre Suscripción: SavingsPlan (La compra de un plan de

ahorro para el proceso podría desbloquear precios más bajos) .

reservadas de Cosmos DB para ahorrar costos de pago
por uso
Hemos analizado el patrón de uso de Cosmos DB durante el plazo seleccionado y el
período retrospectivo, y hemos calculado la compra de una instancia reservada que
maximiza el ahorro. Con las instancias reservadas, puede comprar el uso por horas de
Cosmos DB por adelantado y ahorrar en los costos de pago por uso. Una instancia
reservada es una ventaja de facturación que se aplicará automáticamente a las
suscripciones individuales y el patrón de uso en el plazo seleccionado y el período
retrospectivo. Las recomendaciones de ámbito compartido están disponibles en la
experiencia de compra de reserva y pueden aumentar aún más el ahorro.

posibilidad de adquirir instancias reservadas de Cosmos DB para ahorrar costos de pago
por uso) .
Storage
Uso de Standard Storage para almacenar instantáneas de

Managed Disks.
Para ahorrar el 60 % del costo, almacene las instantáneas en una cuenta de
almacenamiento estándar, independientemente del tipo de almacenamiento del disco
principal. Se trata de la opción predeterminada para las instantáneas de Managed Disks.
Migre su instantánea de Premium a Standard Storage. Consulte los detalles de precios
de Managed Disks.
Obtenga más información sobre Instantánea de Managed Disks: ManagedDiskSnapshot

(usar Standard Storage para almacenar instantáneas de Managed Disks) .
Revisión de la directiva de retención para datos de

registro clásicos en cuentas de almacenamiento
Se detectan datos del registro clásico grande en las cuentas de almacenamiento. Se le
facturará la capacidad de datos almacenados en cuentas de almacenamiento, incluidos
los registros clásicos. Compruebe la directiva de retención de los registros clásicos y
actualizar el valor con el período necesario para conservar menos datos de registro. Así
se reducirían los datos de registro clásicos innecesarios y se ahorraría en el costo de
facturación, ya que la capacidad es menor.
Obtenga más información sobre Cuenta de almacenamiento: XstoreLargeClassicLog

(revisitar la directiva de retención para los datos de registro clásicos en cuentas de
almacenamiento).
En función de la tasa elevada de transacciones/TB, el

almacenamiento premium podría ser más rentable
Es posible que la tasa de transacciones/TB sea alta. La cifra exacta dependerá de la
combinación de transacciones y la región, pero cualquier número mayor que 30 o
35 TPB/TB puede ser un buen candidato para plantearse el cambio al almacenamiento
Premium.
Obtenga más información sobre Cuenta de almacenamiento: MoveToPremiumStorage

(en función de la tasa elevada de transacciones/TB, existe la posibilidad de que el
almacenamiento Premium sea más rentable además de ser eficaz para su escenario.
Aquí puede encontrar más detalles sobre los precios de las cuentas Premium y
Estándar) .
Uso de copias de seguridad diferenciales o incrementales

para cargas de trabajo de base de datos
Para hacer una copia de seguridad en Azure de bases de datos de SQL o HANA de
máquinas virtuales de Azure, el uso de copias de seguridad diferenciales a diario con
una copia de seguridad completa a la semana suele ser más rentable que hacer copias
de seguridad completas diarias. Para HANA, Azure Backup también admite copias de
seguridad incrementales, lo que es aún más rentable.
Obtenga más información sobre Almacén de Recovery Services: optimizar los costos de
copia de seguridad de base de datos (usar la copia de seguridad diferencial o
incremental para cargas de trabajo de bases de datos) .
Web
Planes de App Service infrautilizados de tamaño correcto

Hemos analizado los patrones de uso de su plan de App Service en los últimos siete días
e identificado un uso bajo de la CPU. Aunque un uso bajo puede ser intencionado en
determinados escenarios, puede ahorrar si elige una SKU menos costosa a la vez que
conserva las mismas características.
７ Nota
Actualmente, esta recomendación solo funciona para los planes App Service
que se ejecutan en Windows en una SKU que le permite reducir la escala a
niveles menos costosos sin perder ninguna característica, como de P3v2 a
P2v2 o de P2v2 a P1v2.
Es posible que las ráfagas de CPU que duran solo unos minutos no se
detecten correctamente. Realice un análisis cuidadoso en la hoja de métricas
de su plan de App Service antes de reducir el SKU.
Más información sobre los planes de App Service.
Planes de App Service sin usar o vacíos

Su plan de App Service lleva al menos 3 días sin aplicaciones ejecutándose. Considere la
eliminación del recurso para ahorrar costos o la adición de nuevas aplicaciones en él.
７ Nota
Esta recomendación puede tardar hasta 48 horas en actualizarse después de

realizar una acción.
Más información sobre los planes de App Service.
Pasos siguientes
Obtenga más información sobre Optimización de costos: Microsoft Azure Well
Architected Framework.
Recomendaciones para la excelencia
operativa
Artículo • 07/11/2023
Las recomendaciones de excelencia operativa en Azure Advisor pueden ayudarle con:
Eficiencia de procesos y flujos de trabajo.

Capacidad de administración de recursos.
Procedimientos recomendados de implementación
Puede consultar estas recomendaciones en la pestaña de Excelencia operativa del panel

de Advisor.
3. En el panel de Advisor, seleccione la pestaña Excelencia operativa.
Inteligencia artificial y aprendizaje automático
Actualice a la versión más reciente del SDK de Lector

inmersivo.
Hemos identificado recursos en esta suscripción con versiones obsoletas del SDK de
Lector inmersivo. La versión más reciente del SDK de Immersive Reader le proporciona
seguridad actualizada, rendimiento y un conjunto expandido de características para
personalizar y mejorar la experiencia de integración.
Obtenga más información sobre Immersive Reader de Azure AI.
Actualice a la versión más reciente del SDK de Lector

inmersivo.
Hemos identificado recursos en esta suscripción con versiones obsoletas del SDK de
Lector inmersivo. La versión más reciente del SDK de Immersive Reader le proporciona
seguridad actualizada, rendimiento y un conjunto expandido de características para
personalizar y mejorar la experiencia de integración.
Obtenga más información sobre Cognitive Service:
ImmersiveReaderSDKRecommendation (actualización a la versión más reciente del SDK
de Lector inmersivo) .
Análisis
Reducción de la directiva de almacenamiento en caché en

las tablas de Data Explorer
Reduzca la directiva de caché de tabla para que coincida con los patrones de uso
(período de consulta de retrospectiva)
Obtenga más información sobre el recurso de Data Explorer:

ReduceCacheForAzureDataExplorerTablesOperationalExcellence (reducción de la
directiva de caché en las tablas de Data Explorer) .
Proceso
Actualice el SDK de Azure Spring Apps obsoleto a la

versión más reciente
Hemos identificado llamadas API desde un SDK de Azure Spring Apps obsoleto. Se
recomienda actualizar a la versión más reciente para disfrutar de las correcciones más
recientes, mejoras de rendimiento y nuevas funcionalidades de características.
Obtenga más información sobre el servicio Azure Spring Apps.
Actualización de la versión de API de Azure Spring Apps

Hemos identificado llamadas API de la API de Azure Spring Apps para los recursos de
esta suscripción. Se recomienda cambiar a la versión más reciente de la API de Azure
Spring Apps. Debe actualizar el código existentes para usar la versión más reciente de la
API. Además, debe actualizar el SDK de Azure y la CLI de Azure a la versión más reciente,
lo que garantiza que recibe las características y mejoras de rendimiento más recientes.
Obtenga más información sobre el servicio Azure Spring Apps.
La nueva versión de HCX está disponible para la

actualización
La versión de HCX no es la más reciente. La nueva versión de HCX está disponible para
la actualización. Al actualizar un sistema VMware HCX, se instalan las características, las
correcciones de problemas y las revisiones de seguridad más recientes.
Obtenga más información sobre Nube privada de AVS: HCXVersion (la nueva versión de
HCX está disponible para la actualización) .
Vuelva a crear el grupo para obtener las características

más recientes del agente de nodo y las correcciones.
El grupo tiene un agente de nodo antiguo. Considere la posibilidad de volver a crear el
grupo para obtener las actualizaciones más recientes del agente de nodo y las
correcciones de errores.
Obtenga más información sobre la cuenta de Batch: OldPool (vuelva a crear el grupo
para obtener las últimas características y correcciones del agente de nodo) .
Eliminación del grupo para quitar un componente interno

en desuso y su nueva creación
El grupo usa un componente interno en desuso. Elimine el grupo para una estabilidad y
un rendimiento mejorados y vuelva a crearlo.
Obtenga más información sobre la cuenta de Batch: RecreatePool (elimine y vuelva a

crear el grupo para quitar un componente interno en desuso) .
Actualización a la versión más reciente de la API para

asegurarse de que la cuenta de Batch sigue siendo
operativa
En los últimos 14 días, se ha invocado una versión de API de servicio o administración
de Batch que está programada para ponerse en desuso. Actualice a la versión más
reciente de la API para asegurarse de que la cuenta de Batch sigue siendo operativa.
Obtenga más información sobre la cuenta de Batch: UpgradeAPI (actualización a la

versión de la API más reciente, para asegurarse de que la cuenta de Batch sigue
funcionando) .
Elimine y vuelva a crear el grupo con un tamaño de

máquina virtual diferente.
El grupo usa máquinas virtuales A8-A11, que están configuradas para retirarse en marzo
de 2021. Elimine el grupo y vuelva a crearlo con un tamaño de máquina virtual diferente.
Obtenga más información sobre Cuenta de Batch: RemoveA8_A11Pools (Eliminación y

recreación del grupo con un tamaño de máquina virtual diferente). .
Recreación del grupo con una nueva imagen

El grupo usa una imagen con una fecha de expiración inminente. Vuelva a crear el grupo
con una nueva imagen para evitar posibles interrupciones. Hay una lista de imágenes
más recientes disponibles a través de ListSupportedImages API.
Obtenga más información sobre la cuenta de Batch: EolImage (vuelva a crear el grupo
con una nueva imagen) .
Aumentar el número de recursos de proceso que puede

implementar en 10 vCPU
Si se superan los límites de cuota, las nuevas implementaciones de máquina virtual se
bloquearán hasta que se incremente la cuota. Aumente la cuota ahora para habilitar la
implementación de más recursos. Más información
Obtenga más información sobre la Máquina virtual: IncreaseQuotaExperiment (aumento

del número de recursos de proceso que puede implementar en 10 vCPU) .
Agregue Azure Monitor a la máquina virtual etiquetada

como producción.
Azure Monitor para VM supervisa las máquinas virtuales (VM) de Azure y Virtual
Machine Scale Sets a gran escala. El servicio analiza el rendimiento y el estado de las
máquinas virtuales Windows y Linux, y supervisa sus procesos y dependencias en otros
recursos y procesos externos. Permite supervisar el rendimiento y las dependencias de
las aplicaciones en máquinas virtuales que están hospedadas en el entorno local o en
otro proveedor de servicios en la nube.
Obtenga más información sobre la Máquina virtual: AddMonitorProdVM (agregue Azure

Monitor a la máquina virtual (VM) etiquetada como de producción).
Tráfico del cliente NTP excesivo debido a las búsquedas

de DNS frecuentes y operaciones de sincronización de
NTP en nuevos servidores, lo que sucede a menudo en
algunos servidores NTP globales
Hay un exceso de tráfico del cliente NTP debido a las búsquedas de DNS frecuentes y
operaciones de sincronización de NTP en nuevos servidores, lo que sucede a menudo
en algunos servidores NTP globales. Las búsquedas de DNS frecuentes y la
sincronización NTP se puede considerar tráfico malintencionado y que el servicio DDOS
lo bloquee en el entorno de Azure
Obtenga más información sobre la Máquina virtual: GetVmlistFortigateNtpIssue (hay un

exceso de tráfico del cliente NTP debido a las búsquedas de DNS frecuentes y a las
operaciones de sincronización de NTP en nuevos servidores, lo que sucede a menudo
en algunos servidores NTP globales) .
Se ha implementado una actualización del entorno de

Azure que podría afectar al firewall del punto de
comprobación.
La versión de la imagen del firewall del punto de comprobación instalado podría verse
afectada por la actualización reciente del entorno de Azure. En determinadas
circunstancias, se puede producir un pánico de kernel que dé como resultado un
reinicio a los valores predeterminados de fábrica.
Obtenga más información sobre Máquina virtual: NvaCheckpointNicServicing (Se ha

lanzado una actualización del entorno de Azure que podría afectar al firewall del punto
de comprobación) .
La interfaz de REST de iControl tiene una vulnerabilidad

de ejecución de comando remoto no autenticada
Una vulnerabilidad de ejecución de comandos remotos no autenticados permite a los
atacantes no autenticados con acceso de red a la interfaz de REST de iControl, a través
de la interfaz de administración de BIG-IP y las direcciones IP propias, ejecutar
comandos del sistema arbitrarios, crear o eliminar archivos y deshabilitar servicios. Esta
vulnerabilidad solo se puede aprovechar a través del plano de control y no a través del
plano de datos. La vulnerabilidad de seguridad puede dar lugar a un riesgo completo
del sistema. El sistema BIG-IP en modo de dispositivo también es vulnerable.
Obtenga más información sobre la Máquina virtual: GetF5vulnK03009991 (la interfaz

REST de iControl tiene una vulnerabilidad de ejecución de comandos remotos no
autenticada) .
Las redes aceleradas de NVA están habilitadas pero
posiblemente no funcionan
El estado deseado de las redes aceleradas está establecido en "true" para una o varias
interfaces de la máquina virtual, pero el estado real no está habilitado.
Obtenga más información sobre la Máquina virtual: GetVmListANDisabled (redes

aceleradas de NVA habilitadas, pero que podrían no funcionar).
Las máquinas virtuales con Controlador de entrega de

aplicaciones (ADC) de Citrix y las redes aceleradas
habilitadas podrían desconectarse durante la operación
de mantenimiento
Hemos identificado que ejecuta una aplicación virtual de red (NVA) denominada
Controlador de entrega de aplicaciones (ADC) de Citrix y que la aplicación virtual de red
tiene habilitadas las redes aceleradas. La máquina virtual en la que se implementa esta
aplicación virtual de red podría experimentar problemas de conectividad durante una
operación de mantenimiento de la plataforma. Se recomienda seguir el artículo
proporcionado por el proveedor: https://aka.ms/Citrix_CTX331516
Obtenga más información sobre Máquina virtual: GetCitrixVFRevokeError (Las máquinas

virtuales que tengan habilitado el controlador de entrega de aplicaciones [ADC] de Citrix
y la capacidad de redes aceleradas podrían desconectarse durante la operación de
mantenimiento). .
Actualice el SDK de Azure Spring Cloud obsoleto a la

versión más reciente.
Hemos identificado llamadas API desde un SDK de Azure Spring Cloud obsoleto. Se
Obtenga más información sobre Spring Cloud Service:

SpringCloudUpgradeOutdatedSDK (actualización del SDK obsoleto de Azure Spring
Cloud a la versión más reciente).
Actualice la versión de API de Azure Spring Cloud.

Hemos identificado llamadas API de la API de Azure Spring Cloud para los recursos de
esta suscripción. Se recomienda cambiar a las versiones más recientes de la API de
Spring Cloud. Debe actualizar el código existentes para usar la versión más reciente de
la API. Además, debe actualizar el SDK de Azure y la CLI de Azure a la versión más
reciente, lo que garantiza que recibe las características y mejoras de rendimiento más
recientes.
Obtenga más información sobre Spring Cloud Service: UpgradeAzureSpringCloudAPI

(actualización de la versión de la API de Azure Spring Cloud).
Contenedores
La versión de API que usa para Microsoft.App está en

desuso. Use la versión más reciente de la API.
La versión de API que usa para Microsoft.App está en desuso. Use la versión más
reciente de la API.
Obtenga más información sobre Aplicación contenedora de aplicaciones de Microsoft:

UseLatestApiVersion (La versión de API que usa para Microsoft.App está en desuso, use
la versión más reciente de la API). .
Actualización de una entidad de servicio del clúster

La entidad de servicio de este clúster ha expirado y el clúster no funciona correctamente
hasta que dicha entidad se actualice.
Obtenga más información sobre el servicio Kubernetes: UpdateServicePrincipal

(actualización de la entidad de servicio del clúster).
Se ha eliminado el área de trabajo del complemento de

supervisión.
Se ha eliminado el área de trabajo del complemento de supervisión. Solucione los
problemas para poder configurar el complemento de supervisión.
Obtenga más información sobre el servicio Kubernetes:

MonitoringAddonWorkspaceIsDeleted (se ha eliminado el área de trabajo del
complemento de supervisión) .
Se encontró la API de Kubernetes en desuso en 1.16.
Se encontró la API de Kubernetes en desuso en 1.16. Evite el uso de la API en desuso.

DeprecatedKubernetesAPIIn116IsFound (se ha encontrado la API de Kubernetes en
desuso en la versión 1.16) .
Habilitación del escalado automático de clústeres

Este clúster no ha habilitado el escalador automático de clústeres de AKS y no puede
adaptarse a las condiciones de carga variables, a menos que tenga otras maneras de
escalar automáticamente el clúster.
Obtenga más información sobre el servicio Kubernetes: EnableClusterAutoscaler

(habilitación del escalado automático de clústeres).
La subred del grupo de nodos de AKS está llena.

Algunas de las subredes de los grupos de nodos de este clúster están llenas y no
pueden aceptar más nodos de trabajo. Usar el complemento de Azure CNI requiere
reservar direcciones IP para cada nodo y para todos los pods del nodo en el tiempo de
aprovisionamiento del nodo. Si no hay suficiente espacio de direcciones IP en la subred,
no se puede implementar ningún nodo de trabajo. Además, el clúster de AKS no se
puede actualizar si la subred del nodo está llena.
Obtenga más información sobre el servicio Kubernetes: NodeSubnetIsFull (la subred del
grupo de nodos de AKS está llena).
Certificado ETCD expirado

Certificado ETCD expirado, actualice.
Obtenga más información sobre Servicio Kubernetes: ExpiredETCDCertPre03012022

(Certificado ETCD expirado). .
Deshabilite el complemento de enrutamiento de la

aplicación.
Este clúster tiene habilitadas las directivas de seguridad de pod, que se van a dejar de
usar en favor de Azure Policy para AKS.
Obtenga más información sobre el servicio Kubernetes: UseAzurePolicyForKubernetes
(deshabilitación del complemento de enrutamiento de aplicaciones).
Uso de un disco de sistema operativo efímero

Este clúster no usa discos de SO efímeros que puedan proporcionar una menor latencia
de lectura y escritura, junto con un escalado de nodos más rápido y actualizaciones del
clúster.
Obtenga más información sobre el servicio Kubernetes: UseEphemeralOSdisk (uso de un

disco de SO efímero).
Se encontraron SKU obsoletos del sistema operativo

Azure Linux (Mariner)
Se encontraron SKU de sistema operativo Azure Linux (Mariner) obsoletos. soporteNo se
admite la SKU "CBL-Mariner". La SKU "Mariner" es equivalente a "AzureLinux", pero es
aconsejable cambiar a la SKU "AzureLinux" para futuras actualizaciones y soporte
técnico, ya que "AzureLinux" es la versión generalmente confiable.
Obtenga más información sobre Servicio de Kubernetes:

ClustersWithDeprecatedMarinerSKU (SKU de sistema operativo de Azure Linux [Mariner]
obsoletas encontradas). .
Niveles Gratis y Estándar para la administración del plano

de control de AKS
Este clúster no ha habilitado el nivel Estándar que incluye Acuerdo de Nivel de Servicio
de tiempo de actividad de manera predeterminada y se limita a un SLO del 99,5 %.
Obtenga más información sobre Servicio Kubernetes: nivel Gratis y Estándar.
Se encontró la API de Kubernetes en desuso en 1.22

Se encontró la API de Kubernetes en desuso en 1.22. Evite el uso de las API en desuso.

DeprecatedKubernetesAPIIn122IsFound (se ha encontrado la API de Kubernetes en
desuso en la versión 1.22) .
Bases de datos
El agente de IaaS de Azure SQL debe instalarse en modo
completo
El modo completo instala el agente SQL IaaS en la máquina virtual para ofrecer toda la
funcionalidad. Úselo para administrar una VM con SQL Server con una sola instancia. No
hay ningún costo asociado al uso del modo de administración completa. Se requieren
permisos de administrador del sistema. Tenga en cuenta que la instalación o
actualización del modo completo es una operación en línea, no es necesario reiniciar.
Obtenga más información sobre Máquina virtual SQL: UpgradeToFullMode (El agente de
IaaS en SQL debe instalarse en modo completo)..
Instalación de la valoración de procedimientos

recomendados de SQL en la máquina virtual de SQL
La valoración de procedimientos recomendados de SQL proporciona un mecanismo
para evaluar la configuración de la máquina virtual de Azure SQL en relación con los
procedimientos recomendados, como índices, características en desuso, uso de marcas
de seguimiento, estadísticas, etc. Los resultados de la evaluación se cargan en el área de
trabajo de Log Analytics mediante Azure Monitoring Agent (AMA).
Obtenga más información sobre Máquina virtual SQL: SqlAssessmentAdvisorRec

(Instalación de la valoración de procedimientos recomendados de SQL en la máquina
virtual de SQL)..
Migración de datos adjuntos de Azure Cosmos DB a

Azure Blob Storage
Hemos observado que la colección de Azure Cosmos DB usa la característica de datos
adjuntos heredados. Se recomienda migrar los datos adjuntos a Azure Blob Storage
para mejorar la resistencia y la escalabilidad de los datos del blob.
Obtenga más información sobre la cuenta de Azure Cosmos DB: CosmosDBAttachments

(migración de datos adjuntos de Azure Cosmos DB a Azure Blob Storage).
Mejora de la resistencia mediante la migración de las

cuentas de Azure Cosmos DB a la copia de seguridad
continua
Las cuentas de Azure Cosmos DB se configuran con copia de seguridad periódica. La
copia de seguridad continua con restauración a un momento dado ya está disponible
en estas cuentas. Con la copia de seguridad continua, puede restaurar los datos a
cualquier momento dado de los últimos 30 días. La copia de seguridad continua
también podría ser más rentable si se conservara una sola copia de los datos.
Obtenga más información sobre la cuenta de Azure Cosmos DB:

CosmosDBMigrateToContinuousBackup (mejora de la resistencia mediante la migración
de las cuentas de Azure Cosmos DB a una copia de seguridad continua).
Habilitación de la combinación de particiones para

configurar un diseño óptimo de partición de la base de
datos
La cuenta tiene colecciones que podrían beneficiarse de habilitar la combinación de
particiones. Al minimizar el número de particiones se reduce el límite de frecuencia y se
resuelven los problemas de fragmentación del almacenamiento. Es probable que los
contenedores se beneficien de esto si las RU/s por partición física son < 3000 RU y el
almacenamiento es < 20 GB.
Obtenga más información sobre Cuenta de Cosmos DB: CosmosDBPartitionMerge

(habilitar la combinación de particiones para configurar un diseño óptimo de partición
de base de datos)..
El servidor flexible de Azure Database for MySQL es

vulnerable al usar protocolos TLSv1 o TLSv1.1 débiles y en
desuso.
Para admitir estándares de seguridad modernos, la edición de la comunidad de MySQL
dejó de admitir la comunicación a través de los protocolos seguridad de la capa de
transporte (TLS) 1.0 y 1.1. Microsoft también deja de admitir las conexiones al servidor
flexible de Azure Database for MySQL a través de TLSv1 y TLSv1.1 para cumplir con los
estándares de seguridad modernos. Se recomienda actualizar el controlador cliente para
admitir TLSv1.2.
Obtenga más información sobre servidor flexible de Azure Database for MySQL:
OrcasMeruMySqlTlsDeprecation (su servidor flexible de Azure Database for MySQL es
vulnerable debido al uso de los protocolos débiles y en desuso TLSv1 o TLSv1.1) .
Optimice o particione las tablas de su base de datos que
tengan un tamaño de espacio de tablas enorme
El tamaño máximo de espacio de tabla admitido en Azure Database for MySQL para
servidor flexible es de 4 TB. Para administrar de forma eficaz tablas grandes, se
recomienda optimizar la tabla o implementar la creación de particiones, lo que ayuda a
distribuir los datos entre varios archivos y evitar alcanzar el límite máximo de 4 TB en el
espacio de tabla.
Obtenga más información sobre el servidor flexible de Azure Database for MySQL:
MySqlFlexibleServerSingleTablespace4TBLimit2bf9 (optimizar o particionar tablas en la
base de datos que tienen un tamaño de espacio de tabla enorme) .
Habilitación del crecimiento automático del

almacenamiento para el servidor flexible de MySQL
El crecimiento automático del almacenamiento impide que un servidor se quede sin
almacenamiento y se convierta en de solo lectura.
MySqlFlexibleServerStorageAutogrow43b64 (habilitar el crecimiento automático de
almacenamiento para el servidor flexible de MySQL).
Aplicar bloqueo de eliminación de recursos

Bloqueo del servidor flexible de MySQL para protegerlo frente a eliminaciones y
modificaciones accidentales del usuario
MySqlFlexibleServerResourceLockbe19e (aplicar bloqueo de eliminación de recursos).
Agregar reglas de firewall para el servidor flexible de

MySQL
Agregar reglas de firewall para proteger el servidor contra el acceso no autorizado
MySqlFlexibleServerNoFirewallRule6e523 (agregar reglas de firewall para el servidor
flexible de MySQL).
La inserción de una memoria caché en una red virtual
(VNet) impone requisitos complejos sobre la
configuración de red, que es un origen común de
incidentes que afectan a las aplicaciones del cliente.
Insertar una caché en una red virtual (VNet) impone requisitos complejos en la
configuración de su red. Es difícil configurar la red con precisión y evitar que la
funcionalidad de caché resulte afectada. Es fácil interrumpir la memoria caché
accidentalmente al realizar cambios de configuración para otros recursos de red, que es
un origen común de incidentes que afectan a las aplicaciones del cliente.
Obtenga más información sobre Servidor de Redis Cache: PrivateLink (la inserción de
una caché en una red virtual [VNet] impone requisitos complejos sobre la configuración
de red. Se trata de un origen común de incidentes que afectan a las aplicaciones del
cliente) .
La compatibilidad con las versiones 1.0 y 1.1 de TLS se

retira el 30 de septiembre de 2024
La compatibilidad con TLS 1.0/1.1 se retirará el 30 de septiembre de 2024. Configure la
memoria caché para que solo use TLS 1.2 y la aplicación para que use esta misma
versión o una más reciente. Consulte https://aka.ms/TLSVersions para obtener más
información.
Obtenga más información sobre el servidor de Redis Cache: TLSVersion (la

compatibilidad con las versiones 1.0 y 1.1 de TLS se retira el 30 de septiembre de
2024) .
Las versiones 1.0 y 1.1 de TLS son susceptibles de sufrir

ataques de seguridad y tienen otros puntos débiles de
vulnerabilidades y exposiciones comunes (CVE)
Las versiones de TLS 1.0 y 1.1 son susceptibles de sufrir ataques de seguridad, y tienen
otros puntos vulnerables y exposiciones comunes (CVE). Se recomienda
encarecidamente configurar la caché para que solo use TLS 1.2. y la aplicación para que
use esta misma versión o una más recuente. Consulte https://aka.ms/TLSVersions para
obtener más información.
Obtenga más información sobre Servidor de Redis Cache: TLSVersion (las versiones de
TLS 1.0 y 1.1 son susceptibles de sufrir ataques de seguridad. Además, estas tienen otros
puntos vulnerables y exposiciones comunes [CVE]) .
Las memorias caché del servicio en la nube se retiran en

agosto de 2024, migre antes de esa fecha para evitar
problemas.
Esta instancia de Azure Cache for Redis tiene una dependencia de Cloud Services
(clásico) que se va a retirar en agosto de 2024. Siga las instrucciones que se encuentran
en el siguiente vínculo para migrar a una instancia sin esta dependencia. Si necesita
actualizar la memoria caché a Redis 6, tenga en cuenta que no se admite la actualización
de una caché con dependencia en los servicios en la nube. Debe migrar la instancia de
caché al conjunto de escalado de máquinas virtuales antes de la actualización. Para más
información, consulte el vínculo siguiente. Nota: Si ha completado la migración fuera de
Cloud Services, espere hasta 24 horas para que desaparezca esta recomendación
Obtenga más información sobre el servidor de Redis Cache: MigrateFromCloudService

(las memorias caché del servicio en la nube se retiran en agosto de 2024; realice la
migración antes de esa fecha para evitar problemas).
La persistencia de Redis permite conservar los datos

almacenados en una memoria caché para que pueda
volver a cargar datos de un evento que provocó pérdida
de datos.
La persistencia de Redis le permite conservar los datos almacenados en Redis. También
puede tomar instantáneas y hacer una copia de seguridad de los datos. Si se produce
un error de hardware, los datos persistentes se cargan automáticamente en la instancia
de caché. La pérdida de datos es posible si se produce un error en el que los nodos de
la caché están fuera de servicio.
Obtenga más información sobre el servidor de Redis Cache: persistencia (la persistencia
de Redis permite conservar los datos almacenados en una memoria caché para que
pueda volver a cargar datos de un evento que provocó pérdida de datos) .
El uso de la persistencia con la eliminación temporal

habilitada puede aumentar los costos de
almacenamiento.
Compruebe si la cuenta de almacenamiento tiene habilitada la eliminación temporal
antes de usar la característica de persistencia de datos. El uso de la persistencia de datos
con eliminación temporal provoca costos de almacenamiento muy altos. Para más
información, consulte el vínculo siguiente.
Obtenga más información sobre el servidor de Redis Cache: PersistenceSoftEnable (el

uso de la persistencia con la eliminación temporal habilitada puede aumentar los costos
de almacenamiento) .
Podría beneficiarse del uso de una instancia de caché de

nivel Enterprise
Esta instancia de Azure Cache for Redis usa una o varias características avanzadas de la
lista: más de 6 particiones, replicación geográfica, redundancia de zona o persistencia.
Considere la posibilidad de cambiar a una caché de nivel Enterprise para sacar el
máximo partido de su experiencia Redis. Las cachés de nivel Enterprise ofrecen una
mayor disponibilidad, un mejor rendimiento y más características eficaces, como la
replicación geográfica activa.
Obtenga más información sobre el servidor de Redis Cache:

ConsiderUsingRedisEnterprise (podría beneficiarse del uso de una instancia de caché de
nivel Enterprise) .
Integración
Uso de la autenticación basada en Azure AD para un

control más preciso y una administración simplificada
Puede usar la autenticación basada en Azure AD, en lugar de los tokens de puerta de
enlace, lo que le permite usar procedimientos estándar para crear, asignar y administrar
permisos y controlar los tiempos de expiración. Además, obtiene un control preciso de
las implementaciones de puerta de enlace y revocará fácilmente el acceso en caso de
vulneraciones.
Obtenga más información sobre Api Management: ShgwUseAdAuth (uso de la

autenticación basada en Azure AD para un control más preciso y una administración
simplificada) .
La directiva de validación de JWT se está usando con

claves de seguridad que tienen un tamaño de clave que
no es seguro para validar JSON Web Token (JWT).
La directiva de validación de JWT se está usando con claves de seguridad que tienen un
tamaño de clave que no es seguro para validar JSON Web Token (JWT). Se recomienda
usar tamaños de clave más largos para mejorar la seguridad de la autenticación basada
en JWT y la autorización.
Obtenga más información sobre Api Management: validate-jwt-with-insecure-key-size

(Validación de la directiva JWT que se usa con claves de seguridad que tienen un
tamaño de clave no seguro para validar JSON Web Token [JWT])..
Uso de la puerta de enlace autohospedada v2

Hemos identificado una o varias instancias de puertas de enlace autohospedadas que
usan una versión en desuso de la puerta de enlace autohospedada (v0.x o v1.x).
Obtenga más información sobre Api Management: shgw-legacy-image-usage (Uso de la

puerta de enlace autohospedada v2) .
Uso de la API de Configuración v2 para puertas de enlace

autohospedadas
Hemos identificado una o varias instancias de las puertas de enlace autohospedadas
que usan la API v1 de configuración en desuso.
Obtenga más información sobre Api Management: shgw-config-api-v1-usage (Uso de la

API de configuración v2 para puertas de enlace autohospedadas) .
Solo permita el seguimiento en suscripciones destinadas

a fines de depuración. Compartir claves de suscripciones
con seguimiento permitido con usuarios no autorizados
podría dar lugar a divulgación de información
confidencial contenida en los registros de seguimiento,
como claves, tokens de acceso, contraseñas, nombres de
host internos y direcciones IP.
Los seguimientos generados por el servicio Azure API Management podrían contener
información confidencial destinada al propietario del servicio y no se deben exponer a
los clientes que usan el servicio. El uso de claves de suscripción habilitadas para el
seguimiento en escenarios de producción o automatizados crea un riesgo de exposición
de información confidencial si el cliente que realiza una llamada al servicio solicita un
seguimiento.
Obtenga más información sobre Api Management: uso intensivo en seguimiento (Solo
permitir el seguimiento en suscripciones diseñadas para fines de depuración. Compartir
claves de suscripciones con seguimiento permitido con usuarios no autorizados podría
dar lugar a divulgación de información confidencial contenida en los registros de
seguimiento, como claves, tokens de acceso, contraseñas, nombres de host internos y
direcciones IP).
Se han identificado instancias de puerta de enlace

autohospedadas que usan tokens de puerta de enlace
que expiran pronto
Se identificó al menos una instancia de puerta de enlace autohospedada implementada
que usa un token de puerta de enlace que expira en los próximos siete días. Para
asegurarse de que puede conectarse al plano de control, genere un nuevo token de
puerta de enlace y actualice las puertas de enlace autohospedadas implementadas (no
afecta al tráfico del plano de datos).
Obtenga más información sobre Api Management: ShgwGatewayTokenNearExpiry (Se

identificaron instancias de puerta de enlace autohospedadas que utilizan tokens de
puerta de enlace que caducan pronto).
Internet de las cosas
Ruta de reserva de IoT Hub deshabilitada

Hemos detectado que la ruta de reserva de IoT Hub se ha deshabilitado. Cuando la ruta
de reserva está deshabilitada, los mensajes dejan de fluir al punto de conexión
predeterminado. Si ya no puede ingerir telemetría de bajada, considere la posibilidad de
volver a habilitar la ruta de reserva.
Obtenga más información sobre IoT Hub: IoTHubFallbackDisabledAdvisor (Ruta de

reserva de IoT Hub deshabilitada).
Administración y gobernanza
Actualización a Start/Stop VMs v2

La nueva versión de Start/Stop VMs v2 (versión preliminar) proporciona una opción de
automatización económica centralizada para los clientes que quieren optimizar los
costos de las máquinas virtuales. Ofrece la misma funcionalidad que la versión original
disponible con Azure Automation, pero está diseñada para aprovechar las ventajas de la
tecnología más reciente de Azure.
Obtenga más información sobre la cuenta de Automation: SSV1_Upgrade (actualización

a Start/Stop VMs v2) .
Reparación de la regla de alertas de registro

Hemos detectado que una o varias de las reglas de alertas tienen consultas no válidas
especificadas en la sección de condiciones. Las reglas de alertas de registro se crean en
Azure Monitor y se usan para ejecutar consultas de análisis en intervalos especificados.
Los resultados de la consulta determinan si se debe desencadenar una alerta. Las
consultas de análisis podrían convertirse en no válidas con el paso del tiempo debido a
cambios en los comandos, las tablas o los recursos a los que se hace referencia. Se
recomienda que corrija la consulta en la regla de alertas para evitar que se deshabilite
automáticamente y garantizar la cobertura de la supervisión de los recursos de Azure.
Obtenga más información sobre la regla de alertas: ScheduledQueryRulesLogAlert

(reparación de la regla de alertas de registro) .
La regla de alerta de registro estaba deshabilitada

Azure Monitor deshabilitó la regla de alerta porque estaba causando problemas de
servicio. Para habilitar la regla de alerta, póngase en contacto con el soporte técnico.
Obtenga más información sobre la regla de alertas: ScheduledQueryRulesRp (se

deshabilitó la regla de alertas de registro) .
Actualización de la versión del SDK de Azure Managed

Grafana
Nos hemos dado cuenta de que usa una versión anterior del SDK para administrar o
acceder al área de trabajo de Grafana. Para obtener acceso a todas las funcionalidades
más recientes, se recomienda cambiar de versión para usar la más reciente del SDK.
Obtenga más información sobre Panel de Grafana: UpdateAzureManagedGrafanaSDK

(Actualización de la versión del SDK de Azure Managed Grafana) .
Cambio a alertas basadas en Azure Monitor para copias

de seguridad
Cambie a las alertas basadas en Azure Monitor para que la copia de seguridad
aproveche varias ventajas, como las experiencias estandarizadas de administración de
alertas a escala que ofrece Azure, la capacidad de enrutar las alertas a diferentes canales
de notificación y una mayor flexibilidad en la configuración de alertas.
Obtenga más información sobre Almacén de Recovery Services:

SwitchToAzureMonitorAlerts (Cambio a alertas basadas en Azure Monitor para la copia
de seguridad) .
Redes
Resolución del problema de actualización de certificados

de su Application Gateway
Hemos detectado que una o varias de las instancias de Application Gateway no pueden
capturar el certificado de versión más reciente presente en Key Vault. Si está pensado
para usar una versión determinada del certificado, omita este mensaje.
Obtenga más información sobre Puerta de enlace de aplicación:

AppGwAdvisorRecommendationForCertificateUpdateErrors (Resolución del problema de
actualización de certificados para Application Gateway).
Resolución del problema de Azure Key Vault de su

Application Gateway
Hemos detectado que una o varias de las instancias de Application Gateway no pueden
obtener un certificado debido a una configuración incorrecta de Key Vault. Debe
corregir esta configuración inmediatamente para evitar problemas operativos con su
puerta de enlace.
Obtenga más información sobre Application Gateway:

AppGwAdvisorRecommendationForKeyVaultErrors (resolución del problema de Azure
Key Vault en Application Gateway) .
Application Gateway no tiene capacidad suficiente para el

escalado horizontal
Hemos detectado que la subred de la instancia de Application Gateway no tiene
capacidad suficiente para permitir el escalado horizontal durante las condiciones de
tráfico elevado, lo que puede resultar en tiempo de inactividad.
Obtenga más información sobre Application Gateway: AppgwRestrictedSubnetSpace
(Application Gateway no tiene capacidad suficiente para escalar horizontalmente) .
Habilitación de Análisis de tráfico para ver información

detallada sobre los patrones de tráfico en los recursos de
Azure
Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la
actividad de usuarios y aplicaciones en Azure. Análisis de tráfico analiza los registros de
flujo del grupo de seguridad de red (NSG) de Network Watcher para proporcionar
conclusiones sobre el flujo de tráfico. Con el análisis de tráfico, puede ver los principales
llamadores en Azure e implementaciones que no son de Azure, investigar puertos
abiertos, protocolos y flujos malintencionados en su entorno y optimizar la
implementación de red para mejorar el rendimiento. Puede procesar registros de flujo a
intervalos de procesamiento de 10 minutos y 60 minutos, lo que le permite realizar un
análisis más rápido del tráfico.
Obtenga más información sobre el grupo de seguridad de red: NSGFlowLogsenableTA

(habilitación de Análisis de tráfico para ver información sobre los patrones de tráfico en
los recursos de Azure) .
Configuración de entornos de ensayo en Azure App

Service
Implemente una aplicación en un espacio primero y, a continuación, cámbiela a
producción para garantizar que todas las instancias del espacio están preparadas antes
de intercambiarse y eliminar el tiempo de inactividad. El redireccionamiento del tráfico
es perfecto, y no se pierde ninguna solicitud en las operaciones de intercambio.
Obtenga más información sobre la suscripción: AzureApplicationService (configuración

de entornos de ensayo en Azure App Service).
Aplicación de "Agregar o reemplazar una etiqueta en los

recursos" con Azure Policy
Azure Policy es un servicio de Azure que se usa para crear, asignar y administrar
directivas que aplican diferentes reglas y efectos a los recursos. Aplique una directiva
que agregue o reemplace la etiqueta y el valor especificados cuando se crea o actualiza
cualquier recurso. Los grupos de recursos existentes se pueden corregir con una tarea
de corrección, que no modifica etiquetas en grupos de recursos.
Obtenga más información sobre la suscripción: AddTagPolicy (aplique la opción
"Agregar o reemplazar una etiqueta en los recursos" mediante Azure Policy).
Aplicación de "Ubicaciones permitidas" con Azure Policy

que permita restringir las ubicaciones que la organización puede especificar al
implementar los recursos. Use la directiva para aplicar los requisitos de cumplimiento de
replicación geográfica.
Obtenga más información sobre la suscripción: AllowedLocationsPolicy (aplique la

opción "Ubicaciones permitidas" mediante Azure Policy).
Aplicación de "Auditar máquinas virtuales que no usan

disco administrado" con Azure Policy
que audite las máquinas virtuales que no utilizan discos administrados.
Obtenga más información sobre la suscripción: AuditForManagedDisksPolicy (aplique la

opción "Auditar VM que no usan discos administrados" mediante Azure Policy).
Aplicación de "SKU de máquina virtual permitidas"

mediante Azure Policy
que permita especificar un conjunto de SKU de máquina virtual que su organización
puede implementar.
Obtenga más información sobre la suscripción: AllowedVirtualMachineSkuPolicy

(aplique la opción "SKU de máquina virtual permitidas" mediante Azure Policy).
Aplicación de "Heredar una etiqueta del grupo de

recursos" mediante Azure Policy
que agregue o reemplace la etiqueta y el valor del grupo de recursos primario
especificados cuando se crea o actualiza cualquier recurso. Los recursos existentes se
pueden corregir con una tarea de corrección.
Obtenga más información sobre la suscripción: InheritTagPolicy (aplique la opción

"Heredar una etiqueta del grupo de recursos" mediante Azure Policy).
Uso de Azure Lighthouse para administrar de forma

simple y segura las suscripciones de los clientes a escala
El uso de Azure Lighthouse mejora la seguridad y reduce el acceso innecesario a los
inquilinos del cliente, ya que habilita permisos más pormenorizados para los usuarios.
También permite conseguir mayor escalabilidad, ya que los usuarios pueden trabajar en
varias suscripciones de clientes con un único inicio de sesión en el inquilino.
Obtenga más información sobre la suscripción: OnboardCSPSubscriptionsToLighthouse

(use Azure Lighthouse para administrar de forma sencilla y segura las suscripciones de
los clientes a gran escala).
La suscripción con más de 10 redes virtuales debe

administrarse mediante AVNM
La suscripción con más de 10 redes virtuales debe administrarse mediante AVNM. Azure
Virtual Network Manager es un servicio de administración que le permite agrupar,
configurar, implementar y administrar redes virtuales globalmente entre suscripciones.
Obtenga más información sobre Suscripción: ManageVNetsUsingAVNM (La suscripción

con más de 10 redes virtuales debe administrarse mediante AVNM).
La red virtual con más de 5 emparejamientos debe

administrarse mediante la configuración de conectividad
de AVNM
La red virtual con más de 5 emparejamientos debe administrarse mediante la
configuración de conectividad de AVNM. Azure Virtual Network Manager es un servicio
de administración que le permite agrupar, configurar, implementar y administrar redes
virtuales globalmente entre suscripciones.
Más información sobre Rred virtual: ManagePeeringsUsingAVNM (La red virtual con más
de 5 emparejamientos debe administrarse mediante la configuración de conectividad de
AVNM).
Actualice los registros de flujo de NSG a registros de flujo
de VNet
El registro de flujo de la red virtual le permite registrar el tráfico IP que fluye en una red
virtual. Proporciona varios beneficios acerca del registro de flujo del Grupo de
Seguridad de la red, tal como la habilitación simplificada, la cobertura mejorada, la
precisión, el rendimiento y la observabilidad de las reglas del Administrador de la red
virtual y el estado del cifrado.
Obtenga más información sobre Recurso: UpgradeNSGToVnetFlowLog (Actualización de

registros de flujo de NSG a registros de flujo de red virtual) .
SAP para Azure
Asegúrese de que el tipo de máquina virtual de base de

datos de HANA admite el escenario de HANA en la carga
de trabajo de SAP.
Es necesario seleccionar el tipo de máquina virtual correcto para el escenario de HANA
concreto. Los escenarios de HANA pueden ser "OLAP", "OLTP", "OLAP: Scaleup" y "OLTP:
Scaleup". Consulte la nota 1928533 de SAP para obtener el tipo de máquina virtual
correcto para la carga de trabajo de SAP. El tipo de máquina virtual correcto ayuda a
garantizar un mejor rendimiento y soporte técnico para los sistemas SAP.
Obtenga más información sobre Instancia de base de datos: HanaDBSupport (Asegúrese

de que el tipo de máquina virtual de base de datos de HANA admite el escenario de
HANA en la carga de trabajo de SAP) .
Asegúrese de que el sistema operativo de la máquina

virtual de la aplicación es compatible con el tipo de base
de datos de la carga de trabajo de SAP.
El sistema operativo de las máquinas virtuales de la carga de trabajo de SAP debe ser
compatible con el tipo de base de datos seleccionado. Consulte la nota de SAP 1928533
para obtener las combinaciones correctas de sistema operativo y base de datos para las
máquinas virtuales de ASCS, base de datos y aplicaciones para garantizar un mejor
rendimiento y soporte técnico para los sistemas SAP.
Obtenga más información sobre Instancia de servidor de aplicaciones:

AppOSDBSupport (Asegúrese de que el sistema operativo de la máquina virtual de la
aplicación es compatible con el tipo de base de datos de la carga de trabajo de SAP) .
Establezca el parámetro net.ipv4.tcp_keepalive_time en

"300" en el sistema operativo de la máquina virtual de la
aplicación en cargas de trabajo de SAP.
En el sistema operativo de la máquina virtual de la aplicación, edite el archivo
/etc/sysctl.conf y agregue net.ipv4.tcp_keepalive_time = 300 para habilitar la reconexión
más rápida después de una conmutación por error de ASCS. Esta configuración se
recomienda para todos los sistemas operativos de máquina virtual de la aplicación en
cargas de trabajo de SAP en orden.
Obtenga más información sobre Instancia del servidor de aplicaciones:

AppIPV4TCPKeepAlive (Establecimiento del parámetro net.ipv4.tcp_keepalive_time en
"300" en el sistema operativo de la máquina virtual de la aplicación en cargas de trabajo
de SAP) .
Asegúrese de que el sistema operativo en la máquina

virtual de base de datos es compatible con el tipo de
base de datos de la carga de trabajo de SAP.
compatible con el tipo de base de datos seleccionado. Consulte la nota de SAP 1928533
para obtener las combinaciones correctas de sistema operativo y base de datos para las
máquinas virtuales de ASCS, base de datos y aplicaciones para garantizar un mejor
rendimiento y soporte técnico para los sistemas SAP.
Obtenga más información sobre Instancia de base de datos: DBOSDBSupport

(Asegúrese de que el sistema operativo en la máquina virtual de base de datos es
compatible con el tipo de base de datos de la carga de trabajo de SAP) .
Establezca el parámetro net.ipv4.tcp_retries2 en "15" en el

sistema operativo de la máquina virtual de la aplicación
en las cargas de trabajo de SAP
/etc/sysctl.conf y agregue net.ipv4.tcp_retries2 = 15 para habilitar la reconexión más
rápida después de una conmutación por error de ASCS. Esto se recomienda para todos
los sistemas operativos de máquina virtual de la aplicación en cargas de trabajo de SAP.
Obtenga más información sobre Instancia del servidor de aplicaciones: AppIpv4Retries2
(Establecimiento del parámetro net.ipv4.tcp_retries2 en "15" en el sistema operativo de
la máquina virtual de la aplicación en cargas de trabajo de SAP) .
Establezca el parámetro net.ipv4.tcp_keepalive_probes en

/etc/sysctl.conf y agregue net.ipv4.tcp_keepalive_probes = 9 para habilitar la reconexión
cargas de trabajo de SAP.
Obtenga más información sobre Instancia del servidor de aplicaciones: AppIPV4Probes

(Establecimiento del parámetro net.ipv4.tcp_keepalive_probes en "9" en el sistema
operativo de la máquina virtual de la aplicación en cargas de trabajo de SAP).
Establezca el parámetro net.ipv4.tcp_tw_recycle en "0" en

el sistema operativo de la máquina virtual de la
aplicación en cargas de trabajo de SAP
/etc/sysctl.conf y agregue net.ipv4.tcp_tw_recycle = 0 para habilitar la reconexión más
rápida después de una conmutación por error de ASCS. Esta configuración se
Obtenga más información sobre Instancia del servidor de aplicaciones: AppIpv4Recycle

(Establecimiento del parámetro net.ipv4.tcp_tw_recycle en "0" en el sistema operativo de
la máquina virtual de la aplicación en cargas de trabajo de SAP) .
Asegúrese de que el sistema operativo de la máquina

virtual de ASCS es compatible con el tipo de base de
datos de la carga de trabajo de SAP
compatible con el tipo de base de datos seleccionado. Consulte la nota 1928533 de SAP
para conocer las combinaciones correctas de sistema operativo y base de datos para las
máquinas de ASCS, de la base de datos y de la aplicación. Las combinaciones correctas
de sistema operativo y base de datos ayuda a garantizar un mejor rendimiento y
soporte técnico para los sistemas SAP.
Obtenga más información sobre Instancia de servidor central: ASCSOSDBSupport

(Asegúrese de que el sistema operativo de la máquina virtual de ASCS es compatible
con el tipo de base de datos de la carga de trabajo de SAP) .
Recomendación del Centro de Azure para SAP: todas las

máquinas virtuales del sistema SAP deben estar
certificadas para SAP
Recomendación de Azure Center for SAP solutions: todas las máquinas virtuales del
sistema SAP deben estar certificadas para SAP.
Obtenga más información sobre Instancia de App Server: VM_0001 (recomendación de

Azure Center for SAP: todas las VM del sistema SAP deben estar certificadas para su uso
con SAP) .
Establezca el parámetro net.ipv4.tcp_retries1 en "3" en el

sistema operativo de la máquina virtual de la aplicación
en cargas de trabajo de SAP.
/etc/sysctl.conf y agregue net.ipv4.tcp_retries1 = 3 para habilitar la reconexión más
Obtenga más información sobre Instancia del servidor de aplicaciones: AppIpv4Retries1

(Establecimiento del parámetro net.ipv4.tcp_retries1 en "3" en el sistema operativo de la
máquina virtual de la aplicación en cargas de trabajo de SAP) .
Establezca el parámetro net.ipv4.tcp_tw_reuse en "0" en

el sistema operativo de la máquina virtual de la
/etc/sysctl.conf y agregue net.ipv4.tcp_tw_reuse = 0 para habilitar la reconexión más
Obtenga más información sobre Instancia del servidor de aplicaciones:

AppIpv4TcpReuse (Establecimiento del parámetro net.ipv4.tcp_tw_reuse en "0" en el
sistema operativo de la máquina virtual de la aplicación en cargas de trabajo de SAP) .
Establezca el parámetro net.ipv4.tcp_keepalive_intvl en

/etc/sysctl.conf y agregue net.ipv4.tcp_keepalive_intvl = 75 para habilitar la reconexión
Obtenga más información sobre Instancia del servidor de aplicaciones: AppIPV4intvl

(Establecimiento del parámetro net.ipv4.tcp_keepalive_intvl en "75" en el sistema
operativo de la máquina virtual de la aplicación en cargas de trabajo de SAP).
Asegúrese de que la funcionalidad de redes aceleradas

esté habilitada en todas las conexiones de interfaz de red
para mejorar el rendimiento de las cargas de trabajo de
SAP
La latencia de red entre las VM de aplicaciones y las VM de bases de datos que se usen
en las cargas de trabajo de SAP deberá ser igual o menor que 0,7 ms. Si el uso de redes
aceleradas no estuviera habilitado, la latencia de red podría sobrepasar el umbral de
0,7 ms.
Obtenga más información sobre Instancia de base de datos: NIC_0001_DB (Asegúrese

de que la funcionalidad de redes aceleradas esté habilitada en todas las conexiones de
interfaz de red para mejorar el rendimiento de las cargas de trabajo de SAP) .
Asegúrese de que la funcionalidad de redes aceleradas

esté habilitada en todas las conexiones de interfaz de red
para mejorar el rendimiento de las cargas de trabajo de
SAP
La latencia de red entre las VM de aplicaciones y las VM de bases de datos que se usen
en las cargas de trabajo de SAP deberá ser igual o menor que 0,7 ms. Si el uso de redes
aceleradas no estuviera habilitado, la latencia de red podría sobrepasar el umbral de
0,7 ms.
Obtenga más información sobre Instancia de servidor de aplicaciones: NIC_0001_DB

(Asegúrese de que la funcionalidad de redes aceleradas esté habilitada en todas las
conexiones de interfaz de red para mejorar el rendimiento de las cargas de trabajo de
SAP) .
Recomendación sobre Azure Center for SAP: asegúrese

de que las redes aceleradas están habilitadas en todas las
interfaces
Recomendación sobre las soluciones de Azure Center for SAP: asegúrese de que las
redes aceleradas están habilitadas en todas las interfaces.
Obtenga más información sobre Instancia de base de datos: NIC_0001_DB

(recomendación de Azure Center for SAP: asegúrese de que la capacidad de redes
aceleradas esté habilitada en todas las interfaces) .

interfaces
Obtenga más información sobre Instancia de servidor de aplicaciones: NIC_0001


interfaces
Obtenga más información sobre Instancia de servidor central: NIC_0001_ASCS

Obtenga más información sobre Instancia de servidor central: VM_0001_ASCS

(recomendación de Azure Center for SAP: todas las VM del sistema SAP deben estar
certificadas para su uso con SAP) .

Obtenga más información sobre Instancia de base de datos: VM_0001_DB

(recomendación de Azure Center for SAP: todas las VM del sistema SAP deben estar
certificadas para su uso con SAP) .
Deshabilite fstrim en el sistema operativo SLES para evitar

daños en los metadatos XFS en cargas de trabajo de SAP
fstrim examina el sistema de archivos y envía comandos "UNMAP" para cada bloque no
usado que encuentra; útil en un sistema de aprovisionamiento fino si el sistema está
sobreaprovisionado. No se recomienda ejecutar SAP HANA en una matriz de
almacenamiento sobreaprovisionada. Un fstrim activo puede provocar daños en los
metadatos XFS. Consulte la nota de SAP: 2205917
Obtenga más información sobre Instancia de servidor de aplicaciones: GetFsTrimForApp

(Deshabilitación de fstrim en el sistema operativo SLES para evitar daños en los
metadatos XFS en las cargas de trabajo de SAP) .
Obtenga más información sobre Instancia de servidor central: GetFsTrimForAscs


Obtenga más información sobre Instancia de base de datos: GetFsTrimForDb

Para mejorar el rendimiento y la compatibilidad,

asegúrese de que el tipo de sistema de archivos de datos
de HANA es compatible con la base de datos HANA.
Para diferentes volúmenes de SAP HANA, en los que se usa la E/S asincrónica, SAP solo
admite sistemas de archivos validados como parte de una certificación de dispositivo
SAP HANA. El uso de un sistema de archivos no compatible podría provocar varias
incidencias operativas, por ejemplo, bloqueos en la recuperación y en los servicios de
indexación. Consulte la nota de SAP 2972496.
Obtenga más información sobre Instancia de base de datos:

HanaDataFileSystemSupported (Para obtener un mejor rendimiento y soporte técnico,
asegúrese de que el tipo de sistema de archivos de datos de HANA es compatible con la
base de datos de HANA) .
asegúrese de que el tipo de sistema de archivos
compartido de HANA es compatible con la base de datos
HANA.
Obtenga más información sobre Instancia de base de datos: HanaSharedFileSystem

(Para obtener un mejor rendimiento y soporte técnico, asegúrese de que el tipo de
sistema de archivos compartido de HANA es compatible con la base de datos de
HANA) .

asegúrese de que el tipo de sistema de archivos de
registro de HANA es compatible con la base de datos
HANA.

HanaLogFileSystemSupported (Para obtener un mejor rendimiento y soporte técnico,
asegúrese de que el tipo de sistema de archivos de registro de HANA es compatible con
la base de datos de HANA) .
Recomendación del Centro de Azure para SAP: asegúrese

de que todas las NIC de un sistema estén conectadas a la
misma red virtual.
Recomendación del Centro de Azure para SAP: asegúrese de que todas las NIC de un
sistema estén conectadas a la misma red virtual.
Obtenga más información sobre Instancia de servidor de aplicaciones:
AllVmsHaveSameVnetApp (recomendación de Azure Center for SAP: asegúrese de que
todas las interfaces de red de un sistema estén conectadas a la misma VNet).
Recomendación del Centro de Azure para SAP: el espacio

de intercambio en los sistemas HANA debe ser de 2 GB.
Recomendación de Azure Center for SAP solutions: el espacio de intercambio en los
sistemas HANA debe ser de 2 GB.
Obtenga más información sobre Instancia de base de datos: SwapSpaceForSap

(recomendación de Azure Center for SAP: el espacio de intercambio en sistemas HANA
debe ser de 2 GB) .

misma red virtual.
Obtenga más información sobre Instancia de servidor central: AllVmsHaveSameVnetAscs

(recomendación de Azure Center for SAP: asegúrese de que todas las interfaces de red
de un sistema estén conectadas a la misma VNet).

misma red virtual.
Obtenga más información sobre Instancia de base de datos: AllVmsHaveSameVnetDb

(recomendación de Azure Center for SAP: asegúrese de que todas las interfaces de red
de un sistema estén conectadas a la misma VNet).
Recomendación de Azure Center for SAP: asegúrese de

que la configuración de red esté optimizada para su uso
con HANA y el sistema operativo.
Recomendación de Azure Center for SAP solutions: asegúrese de que la configuración
de red esté optimizada para su uso con HANA y el sistema operativo.
Obtenga más información sobre Instancia de base de datos: NetworkConfigForSap

(recomendación de Azure Center for SAP: asegúrese de que la configuración de red esté
optimizada para su uso con HANA y el sistema operativo) .
Storage
Creación de una copia de seguridad de HSM

Cree una copia de seguridad periódica de HSM para evitar la pérdida de datos y tener la
capacidad de recuperar el HSM en caso de desastre.
Obtenga más información sobre el servicio HSM administrado: CreateHSMBackup

(creación de una copia de seguridad de HSM).
Recomendación del SDK del grupo de volúmenes de

aplicación
La versión de API mínima para la característica de grupo de volúmenes de aplicación de
Azure NetApp Files debe ser 2022-01-01. Se recomienda usar la versión 2022-03-01
cuando sea posible para sacar todo el partido a la API.
Obtenga más información sobre Volumen: recomendación de la versión del SDK del
grupo de volúmenes de aplicación (Recomendación del SDK del grupo de volúmenes de
aplicaciones) .
Recomendación del SDK de volúmenes de zona de

disponibilidad
Se recomienda al menos la versión del SDK de 01-05-2022 para la característica de
ubicación de volumen de zona de disponibilidad de Azure NetApp Files, para habilitar la
implementación de nuevos volúmenes de Azure NetApp Files en la zona de
disponibilidad de Azure (AZ) que especifique.
Obtenga más información sobre Volumen: recomendación de la versión del SDK de

volumen de Azure NetApp Files AZ (Recomendación del SDK de volumen de zona de
disponibilidad) .
Recomendación del SDK de replicación entre zonas
Se recomienda la versión mínima del SDK de 2022-05-01 para la característica de
replicación entre zonas Azure NetApp Files, para permitirle replicar volúmenes entre
zonas de disponibilidad dentro de la misma región.
Obtenga más información sobre Volumen: recomendación del SDK de replicación entre
zonas de Azure NetApp Files (Recomendación del SDK de replicación entre zonas) .
Recomendación del SDK para cifrado del volumen

mediante claves administradas por el cliente con
Azure Key Vault
La versión mínima de la API para claves administradas por el cliente de Azure NetApp
Files con la característica Azure Key Vault es 2022-05-01.
Obtenga más información sobre Volumen: recomendación del SDK de CMK con AKV
(Recomendación del SDK para cifrado del volumen mediante claves administradas por el
cliente con Azure Key Vault).
Recomendación del SDK de Acceso esporádico

La versión mínima del SDK de 2022-03-01 se recomienda para el nivel de servicio
Estándar con una característica de acceso esporádico para permitir mover datos
inactivos a una cuenta de Almacenamiento de Azure (nivel de acceso esporádico) y
liberar almacenamiento que reside dentro de volúmenes de Azure NetApp Files, lo que
genera un ahorro total de costes.
Obtenga más información sobre Grupo de capacidad: recomendación de la versión del

SDK de acceso esporádico de Azure NetApp Files (Recomendación del SDK de acceso
esporádico) .
Recomendación del SDK de volúmenes grandes

Se recomienda al menos la versión 2022-xx-xx del SDK para la automatización de
creación, cambio de tamaño y eliminación de volúmenes grandes.
Obtenga más información sobre Volumen: recomendación del SDK de volúmenes

grandes (recomendación del SDK de volúmenes grandes).
Prevención del alcance del límite de suscripción para el
máximo de cuentas de almacenamiento
Una región puede admitir un máximo de 250 cuentas de almacenamiento por
suscripción. Ya ha alcanzado dicho límite o está a punto de alcanzarlo. Si se alcanza ese
límite, no podrá crear más cuentas de almacenamiento en esa combinación de
suscripción y región. Evalúe la acción recomendada para evitar llegar al límite.
Obtenga más información sobre la cuenta de Storage: StorageAccountScaleTarget (evite

alcanzar el límite de suscripción para las cuentas de almacenamiento máximas) .
Actualice a las versiones más recientes del SDK de Azure

Storage para Java v12 para mejorar la confiabilidad.
Hemos observado que una o varias de las aplicaciones usan una versión anterior del
SDK de Azure Storage para Java v12 al escribir datos en Azure Storage.
Desafortunadamente, la versión del SDK que se usa tiene un problema crítico que carga
datos incorrectos durante los reintentos (por ejemplo, en caso de errores HTTP 500), lo
que da lugar a que se escriba un objeto no válido. El problema se ha corregido en las
versiones más recientes del SDK para Java v12.
Obtenga más información la cuenta de Storage: UpdateStorageJavaSDK (actualización a

las versiones más recientes del SDK de Java v12 de Storage, para mejorar la
confiabilidad).
Infraestructura de escritorio virtual
Permisos que faltan para iniciar la máquina virtual en la

conexión
Hemos determinado que ha habilitado la característica de inicio de la VM cuando se
establezca la conexión, pero que no ha dado a Azure Virtual Desktop los derechos
necesarios para administrar las VM de la suscripción. Como resultado, los usuarios que
se conectan a grupos de hosts no recibirán una sesión de Escritorio remoto. Revise la
documentación de características para ver los requisitos.
Obtenga más información sobre el grupo de hosts: AVDStartVMonConnect (faltan

permisos para iniciar la VM en la conexión) .
No se habilitó ningún entorno de validación.

Hemos determinado que no tiene un entorno de validación habilitado en la suscripción
actual. Al crear los grupos de hosts, ha seleccionado "No" para "Entorno de validación"
en la pestaña de propiedades. Tener al menos un grupo de hosts con un entorno de
validación habilitado garantiza la continuidad empresarial mediante las
implementaciones del servicio Azure Virtual Desktop con la detección temprana de
posibles problemas.
Obtenga más información sobre el grupo de hosts: ValidationEnvHostPools (sin entorno

de validación habilitado).
No hay suficientes entornos de producción habilitados.

Hemos determinado que muchos de los grupos de hosts tienen habilitado el entorno de
validación. Para que los entornos de validación sirvan mejor a su propósito, debe tener
al menos uno, pero nunca más de la mitad de los grupos de hosts en el entorno de
validación. Al tener un equilibrio correcto entre los grupos de hosts con el entorno de
validación habilitado y aquellos que lo tienen deshabilitado, puede aprovechar mejor las
ventajas de las implementaciones de varias fases que ofrece Azure Virtual Desktop con
determinadas actualizaciones. Para corregir este problema, abra las propiedades del
grupo de hosts y seleccione "No" junto a la opción "Entorno de validación".
Obtenga más información sobre el Grupo de hosts: ProductionEnvHostPools (no hay

suficientes entornos de producción habilitados).
Web
Configuración de entornos de ensayo en Azure App

Service
Implemente una aplicación en un espacio primero y, a continuación, cámbiela a
producción para garantizar que todas las instancias del espacio están preparadas antes
de intercambiarse y eliminar el tiempo de inactividad. El redireccionamiento del tráfico
es perfecto, y no se pierde ninguna solicitud en las operaciones de intercambio.
Obtenga más información sobre App Service: AzureAppService-StagingEnv

(configuración de entornos de ensayo en Azure App Service).
Actualización de la versión de la API de Service

Connector
Hemos identificado llamadas API de la API de Service Connector no actualizada para
recursos de esta suscripción. Se recomienda cambiar a las versiones más recientes de la
API de Service Connector. Debe actualizar el código o las herramientas existentes para
usar la versión más reciente de la API.
Obtenga más información sobre App Service: UpgradeServiceConnectorAPI (actualice la

versión de la API del conector de servicio).
Actualización del SDK del conector de servicio a la

Ha identificado llamadas API desde un SDK del conector de servicio obsoleto. Se
Obtenga más información sobre App Service: UpgradeServiceConnectorSDK (actualice

el SDK del conector de servicio a la versión más reciente).
Pasos siguientes
Obtenga más información sobre la Excelencia operativa: marco de buena arquitectura
de Microsoft Azure
Recomendaciones de rendimiento
Artículo • 31/10/2023
Las recomendaciones sobre rendimiento de Azure Advisor pueden ayudar a mejorar la

velocidad y la capacidad de respuesta de las aplicaciones críticas para la empresa. Puede
obtener las recomendaciones sobre rendimiento de Advisor en la pestaña Rendimiento
del panel de Advisor.
3. En el panel de Advisor, seleccione la pestaña Rendimiento.
Inteligencia artificial y aprendizaje automático
Se detectó el error "429: limitación" en este recurso

Hemos observado que se han producido 1000 o más errores del tipo "429: limitación"
en este recurso en un período de un día. Considere la posibilidad de habilitar el
escalado automático para controlar mejor los volúmenes de llamadas más altos y
reducir el número de errores "429".
Obtenga más información sobre el escalado automático de servicios de Azure AI.
Versión del modelo de Text Analytics en desuso

Actualice la versión del modelo a una versión más reciente o a la última versión para
utilizar los modelos más recientes y de mayor calidad.
Obtenga más información sobre Cognitive Service: TAUpgradeToLatestModelVersion

(versión del modelo de Text Analytics en desuso) .
Versión del modelo de Text Analytics en desuso

Actualice la versión del modelo a una versión más reciente o a la última versión para
utilizar los modelos más recientes y de mayor calidad.
Obtenga más información sobre Cognitive Service: TAUpgradeModelVersiontoLatest

(versión del modelo de Text Analytics en desuso) .
Actualice a la última versión de API Text Analytics de
Cognitive Services
Actualice a la versión más reciente de la API para obtener los mejores resultados en
cuanto a la calidad del modelo, el rendimiento y la disponibilidad del servicio. Además,
hay nuevas características disponibles como nuevos puntos de conexión a partir de la
versión 3.0, como el reconocimiento de datos personales, el reconocimiento de
entidades y la vinculación de entidades disponibles como puntos de conexión
independientes. En cuanto a los cambios en los puntos de conexión de versión
preliminar, tenemos la minería de opiniones en el punto de conexión SA, la propiedad
texto redactada en el punto de conexión de datos personales.
Obtenga más información sobre Cognitive Service: UpgradeToLatestAPI (actualización a

la versión más reciente de la API de Text Analytics en Cognitive Service).
Actualice a la versión más reciente de la API de Azure

Cognitive Service para lenguaje
Actualice a la versión más reciente de la API para obtener los mejores resultados en
cuanto a la calidad del modelo, el rendimiento y la disponibilidad del servicio.
Obtenga más información sobre Cognitive Service: UpgradeToLatestAPILanguage

(actualización a la versión más reciente de la API de Azure Cognitive Service para
lenguaje) .
Actualice a la última versión de SDK de Text Analytics de

Cognitive Services
Actualice a la versión más reciente del SDK para obtener los mejores resultados en
Obtenga más información sobre Cognitive Service: UpgradeToLatestSDK (actualización a

la versión más reciente del SDK de Text Analytics en Cognitive Service).
Actualización a la versión más reciente del SDK de
Cognitive Service para lenguaje
cuanto a la calidad del modelo, el rendimiento y la disponibilidad del servicio.
Obtenga más información sobre Cognitive Service: UpgradeToLatestSDKLanguage

(actualización a la versión más reciente del SDK de Cognitive Service para lenguaje) .
Actualice a la última versión del SDK de Lenguaje de

Azure AI
Obtenga más información sobre el Lenguaje de Azure AI.
Análisis
Dimensionamiento correcto de los recursos de Data

Explorer para obtener un rendimiento óptimo.
Esta recomendación incluye todos los recursos de Data Explorer que superan la
capacidad de datos recomendada (80 %). La acción recomendada para mejorar el
rendimiento es escalar a la configuración recomendada que se muestra.
Obtenga más información sobre el recurso de Data Explorer: recurso ADX de tamaño
correcto (tamaño correcto de los recursos de Data Explorer para un rendimiento
óptimo) .
Revisión de las directivas de almacenamiento en caché de

tablas para las tablas de Data Explorer
En esta recomendación se muestran las tablas de Data Explorer que tienen un gran
número de consultas que van más allá del período de caché (directiva) configurado
(verá las 10 primeras tablas por porcentaje de consultas que acceden a datos fuera de la
caché). Acción recomendada para mejorar el rendimiento: limitar las consultas de esta
tabla al intervalo de tiempo mínimo necesario (dentro de la directiva definida). Como
alternativa, si se requieren datos de todo el intervalo de tiempo, aumente el período de
caché al valor recomendado.

UpdateCachePoliciesForAdxTables (revisión de las directivas de caché de tablas para las
tablas de Data Explorer) .
Reducción de la directiva de almacenamiento en caché de

tablas de Data Explorer para mejorar el rendimiento
Al reducir la directiva de almacenamiento en caché de tablas, se liberarán los datos no
usados de la memoria caché del recurso y mejorará el rendimiento.

ReduceCacheForAzureDataExplorerTablesToImprovePerformance (reducción de la
directiva de la caché de tablas de Data Explorer para mejorar el rendimiento) .
Aumento de la memoria caché en la directiva de caché

En función del uso real durante el último mes, actualice la directiva de caché para
aumentar la memoria caché de acceso frecuente de la tabla. El período de retención
siempre debe ser mayor que el período de almacenamiento en caché. Si aumenta la
memoria caché y el período de retención es inferior al período de almacenamiento en
caché, actualice la directiva de retención. El análisis se basa únicamente en las consultas
de usuario que examinan los datos.

IncreaseCacheForAzureDataExplorerTablesToImprovePerformance (aumento de la
memoria caché en la directiva de caché) .
Habilitar la escalabilidad automática optimizada para

recursos del Explorador de datos
Parece que su recurso podría haber escalado automáticamente para mejorar el
rendimiento (según su uso real durante la última semana, la utilización de caché, la
utilización de ingesta, la CPU y la utilización de ingestas de transmisión). Para optimizar
los costes y el rendimiento, recomendamos habilitar la escalabilidad automática
optimizada.

PerformanceEnableOptimizedAutoscaleAzureDataExplorer (habilitación de la
escalabilidad automática optimizada para los recursos de Data Explorer) .
Las lecturas se producen en los datos más recientes.

Más del 75 % de sus solicitudes de lectura están llegando a Memstore, lo que indica que
las lecturas se encuentran principalmente en los datos recientes. Las lecturas de datos
recientes sugieren que, aunque se vacíe Memstore, es necesario acceder al archivo
reciente y agregarlo a la memoria caché.
Obtenga más información sobre el clúster de HDInsight:

HBaseMemstoreReadPercentage (las lecturas se suceden en los datos más recientes).
Considere la posibilidad de usar la característica

Escrituras aceleradas del clúster de HBase para mejorar el
rendimiento del clúster.
Está viendo esta recomendación de Advisor porque el registro del sistema del equipo de
HDInsight muestra que en los últimos siete días el clúster ha encontrado los siguientes
escenarios:
1. Latencia de tiempo de sincronización de WAL alta
2. Número elevado de solicitudes de escritura (al menos tres en una hora de

Windows de más de 1000 avg_write_requests/second/node)
Estas condiciones indican que el clúster sufre latencias de escritura elevadas, que
pueden deberse a una gran carga de trabajo en el clúster.
Para mejorar el rendimiento del clúster, considere la posibilidad de usar la característica

Escrituras aceleradas proporcionada por Azure HDInsight HBase. La característica
Escrituras aceleradas para clústeres de HDInsight Apache HBase adjunta discos SSD
administrados a cada RegionServer (nodo de trabajo) en lugar de usar almacenamiento
en la nube. Como resultado, ofrece una baja latencia de escritura y una mejor resistencia
para las aplicaciones.
Para obtener más información sobre esta característica, visite el vínculo:

Obtenga más información sobre el clúster de HDInsight: AccWriteCandidate (considere
la posibilidad de usar la característica de Escrituras aceleradas en el clúster de HBase,
para mejorar el rendimiento del clúster).
Más del 75 % de las consultas son consultas de análisis

completo
Más del 75 % de las consultas de análisis en el clúster están realizando un recorrido de
tabla o de región completo. Modifique las consultas de análisis para evitar recorridos de
tabla o de región completos.
Obtenga más información sobre el clúster de HDInsight: ScanQueryTuningcandidate

(más del 75 % de las consultas son consultas de examen completo).
Comprobación de los recuentos de su región, ya que

están bloqueando las actualizaciones
Los recuentos de regiones deben ajustarse para evitar que las actualizaciones se
bloqueen. Es posible que necesite un escalado vertical del clúster mediante la adición de
nuevos nodos.
Obtenga más información sobre el clúster de HDInsight: RegionCountCandidate

(compruebe los recuentos de su región, ya que pueden bloquear las actualizaciones).
Considere la posibilidad de aumentar los subprocesos de

vaciado.
El tamaño de la cola de vaciado en los servidores de su región es superior a 100 o hay
actualizaciones que se bloquean con frecuencia. Se recomienda el ajuste del controlador
de vaciado.
Obtenga más información sobre el clúster de HDInsight: FlushQueueCandidate

(considere la posibilidad de aumentar los subprocesos de vaciado).
Considere la posibilidad de aumentar los subprocesos de

compactación para que las compactaciones se completen
más rápido.
La cola de compactación de los servidores de su región es superior a 2000, lo que
sugiere que se necesitan compactar más datos. Las compactaciones más lentas pueden
afectar al rendimiento de lectura, ya que el número de archivos que hay que leer es
mayor. Un mayor número de archivos sin compactación también puede repercutir en el
uso del montón relacionado con la forma en que los archivos interactúan con el sistema
de archivos de Azure.
Obtenga más información sobre el clúster de HDInsight: CompactionQueueCandidate

(considere la posibilidad de aumentar los subprocesos de compactación para que las
compactaciones se completen más rápido).
Tablas con índices de almacén de columnas agrupados

(CCI) con menos de 60 millones de filas
Las tablas de almacén de columnas en clúster organizan los datos en segmentos. El
hecho de que los segmentos sean de gran calidad es fundamental para conseguir un
rendimiento óptimo de las consultas en una tabla de almacén de columnas. Puede
medir la calidad de los segmentos por el número de filas en un grupo de filas
comprimido.
Obtenga más información sobre el área de trabajo de Synapse: SynapseCCIGuidance

(tablas con índices de almacén de columnas agrupados [CCI] con menos de 60 millones
de filas) .
Actualización de la versión del SDK de

SynapseManagementClient
El nuevo SynapseManagementClient usa el SDK de .NET 4.0 o superior.
Obtenga más información sobre el área de trabajo de Synapse:

UpgradeSynapseManagementClientSDK (actualización de la versión del SDK de
SynapseManagementClient) .
Proceso
El uso de la capacidad de vSAN tiene un umbral crítico

cruzado.
El uso de la capacidad de vSAN ha alcanzado el 75 %. El uso del clúster debe
permanecer por debajo del umbral crítico del 75 % para el cumplimiento del Acuerdo
de Nivel de Servicio. Puede agregar nuevos nodos al clúster de VSphere para aumentar
la capacidad, eliminar VM con el fin de reducir el consumo o ajustar las cargas de
trabajo de las VM
Obtenga más información sobre la nube privada de AVS: vSANCapacity (el uso de la
capacidad de vSAN ha superado el umbral crítico).
Actualización de Automanage a la versión de API más

reciente
Hemos identificado llamadas de SDK desde una API en desuso en recursos
pertenecientes a esta suscripción. Se recomienda cambiar a las últimas versiones del
SDK para garantizar que reciba las últimas funciones y mejoras de rendimiento.
Obtenga más información sobre Máquina virtual: UpdateToLatestApi (actualización de

Automanage a la versión de API más reciente).
Mejore la experiencia y la conectividad del usuario

mediante la implementación de máquinas virtuales más
cerca de la ubicación del usuario.
Hemos determinado que las máquinas virtuales se encuentran en una región distinta o
lejos de la ubicación donde los usuarios se conectan con Azure Virtual Desktop. Las
regiones de usuario lejanas pueden dar lugar a tiempos de respuesta de conexión
prolongados y afectar a la experiencia global del usuario.
Obtenga más información sobre la máquina virtual: RegionProximitySessionHosts

(mejore la experiencia del usuario y la conectividad mediante la implementación de VM
más cerca de la ubicación del usuario).
Uso de Managed Disks para evitar limitaciones de E/S del

disco
Los discos de la máquina virtual pertenecen a una cuenta de almacenamiento que ha
alcanzado su objetivo de escalabilidad y podría sufrir limitaciones de E/S. Para proteger
la máquina virtual frente a una degradación del rendimiento y para simplificar la
administración del almacenamiento, use Managed Disks (discos administrados).
Obtenga más información sobre la máquina virtual: ManagedDisksStorageAccount (uso

de Managed Disks para evitar la limitación de E/S de los discos) .
Conversión de discos administrados de HDD estándar a
SSD Premium para obtener mayor rendimiento
Hemos observado que su disco HDD estándar se está aproximando a los objetivos de
rendimiento. Los discos SSD Premium de Azure ofrecen soporte de disco de alto
rendimiento y latencia baja para máquinas virtuales con cargas de trabajo con uso
intensivo de entrada/salida. Dé un impulso al rendimiento de sus discos actualizando de
HDD estándar a SSD Premium. La actualización requiere reiniciar la máquina virtual, lo
que tardará entre tres y cinco minutos.
Obtenga más información sobre Disk: MDHDDtoPremiumForPerformance (conversión

de Managed Disks de HDD estándar a SSD prémium para mejorar el rendimiento).
Habilitación de redes aceleradas para mejorar el

rendimiento y la latencia de red
Hemos detectado que las redes aceleradas no están habilitadas en los recursos de
máquina virtual de la implementación existente que puedan ser compatibles con esta
característica. Si la imagen de sistema operativo de la máquina virtual es compatible con
las redes aceleradas, tal como se detalla en la documentación, asegúrese de habilitar
esta característica gratuita en estas máquinas virtuales para maximizar el rendimiento y
la latencia de las cargas de trabajo de red en la nube.
Obtenga más información sobre la máquina virtual: AccelNetConfiguration (habilitación

de redes aceleradas para mejorar el rendimiento y la latencia de la red).
Uso de discos SSD para las cargas de trabajo de

producción
Hemos observado que está usando discos SSD y HDD estándar en la misma máquina
virtual. Se recomienda el uso de discos administrados HDD estándar para desarrollo,
pruebas y copias de seguridad, y discos SSD Premium o SSD estándar para producción.
Los discos SSD Premium ofrecen soporte de disco de alto rendimiento y latencia baja
para máquinas virtuales con cargas de trabajo con uso intensivo de entrada/salida. Los
discos SSD estándar proporcionan una latencia coherente más baja. Actualice la
configuración del disco para obtener una mayor latencia, confiabilidad y disponibilidad.
La actualización requiere reiniciar la máquina virtual, lo que tardará entre tres y cinco
minutos.
Obtenga más información sobre la máquina virtual: MixedDiskTypeToSSDPublic (uso de

discos SSD para las cargas de trabajo de producción).
Coincidencia de máquinas virtuales de producción con el
disco de producción para obtener un rendimiento
coherente y una mayor latencia
Las máquinas virtuales de producción necesitan discos de producción si desea obtener
el mejor rendimiento. Vemos que se está ejecutando una máquina virtual de nivel de
producción; sin embargo, se usa un disco de bajo rendimiento con HDD estándar. La
actualización de los discos asociados a los discos de producción, ya sea SSD estándar o
SSD Premium, le beneficiará de una experiencia y mejoras más coherentes en la latencia.
Obtenga más información sobre la Máquina virtual: MatchProdVMProdDisks

(Coincidencia de máquinas virtuales de producción con disco de producción, para un
rendimiento coherente y una mejor latencia).
Las redes aceleradas pueden requerir la detención y el

inicio de la máquina virtual.
Hemos detectado que las redes aceleradas no se activan en los recursos de la VM de la
implementación existente, aunque se haya solicitado la característica. En raras ocasiones,
como esto, puede que sea necesario detener e iniciar la máquina virtual, según le
convenga, para volver a activarse con AccelNet.
Obtenga más información sobre Máquina virtual: AccelNetDisengaged (las redes

aceleradas pueden requerir la detención y el inicio de la VM).
Aproveche las ventajas de la baja latencia del Disco Ultra

para los discos de registro y mejore el rendimiento de la
carga de trabajo de la base de datos.
Disco Ultra está disponible en la misma región que la carga de trabajo de la base de
datos. Disco Ultra ofrece un alto rendimiento, un alto número de IOPS y un
almacenamiento en disco coherente de baja latencia para las cargas de trabajo de base
de datos. En el caso de las bases de datos de Oracle, ahora puede usar tamaños de
sector 4 k o 512 E con Disco Ultra en función de la versión Oracle DB. Para SQL Server, el
uso de Disco Ultra para el disco de registro podría ofrecer más rendimiento para la base
de datos. Consulte las instrucciones aquí para migrar el disco de registro a Disco Ultra.
Obtenga más información sobre la máquina virtual: AzureStorageVmUltraDisk

(aproveche las ventajas de la baja latencia de Disco Ultra para los discos de registro y
mejore el rendimiento de la carga de trabajo de la base de datos).
Actualización del tamaño de las máquinas virtuales más
activas para evitar el agotamiento de recursos y mejorar
el rendimiento
Hemos analizado los datos de los últimos siete días e identificado máquinas virtuales
con un uso elevado en distintas métricas (es decir, CPU, memoria y E/S de máquina
virtual). Esas máquinas virtuales pueden experimentar problemas de rendimiento, ya
que están cerca o en los límites de su SKU. Considere la posibilidad de actualizar su SKU
para mejorar el rendimiento.
Obtenga información sobre Máquina virtual: UpgradeSizeHighVMUtilV0 (actualización

del tamaño de las máquinas virtuales más activas para evitar el agotamiento de recursos
y mejorar el rendimiento) .
Contenedores
Se detectó una versión de Kubernetes no admitida.

Se detectó una versión de Kubernetes no admitida. Asegúrese de que el clúster de
Kubernetes se ejecute con una versión admitida.
Obtenga más información sobre Kubernetes Service:

UnsupportedKubernetesVersionIsDetected (se detecta una versión de Kubernetes no
admitida) .
Se detectó una versión de Kubernetes no admitida.

Se detectó una versión de Kubernetes no admitida. Asegúrese de que el clúster de
Kubernetes se ejecute con una versión admitida.
Obtenga más información sobre Grupo de clústeres de HDInsight:

NosupportedHiloAKSVersionIsDetected (se detectó una versión de Kubernetes no
admitida) .
Clústeres con un único grupo de nodos

Se recomienda que agregue uno o varios grupos de nodos en lugar de usar uno solo.
Varios grupos ayudan a aislar los pods del sistema críticos de la aplicación y así evitar
que los pods de aplicación mal configurados o no autorizados terminen
accidentalmente los pods del sistema.
Obtenga más información sobre Kubernetes Service: ClustersWithASingleNodePool
(clústeres con un único grupo de nodos).
Actualización de la API de flota a la versión más reciente

Hemos identificado llamadas de SDK desde una API de flota en desuso en recursos
pertenecientes a su suscripción. Se recomienda cambiar a la última versión del SDK, que
garantiza que reciba las últimas funciones y mejoras de rendimiento.
Obtenga más información sobre Kubernetes Fleet Manager | VERSIÓN PRELIMINAR:

UpdateToLatestFleetApi (actualización de la API de flota a la versión más reciente).
Bases de datos
Configuración del tamaño de página de consulta

(MaxItemCount) de Azure Cosmos DB en -1
Está usando el tamaño de página de consulta de 100 para las consultas de su
contenedor de Azure Cosmos DB. Se recomienda usar un tamaño de página de -1 para
realizar análisis más rápidos.
Obtenga más información sobre Cuenta de Cosmos DB: CosmosDBQueryPageSize

(configuración del tamaño de página de consulta [MaxItemCount] de Azure Cosmos DB
en -1).
Incorporación de índices compuestos al contenedor de

Azure Cosmos DB
Los contenedores de Azure Cosmos DB ejecutan consultas ORDENAR POR que incurren
en elevados cargos por unidad de solicitud (RU). Se recomienda agregar índices
compuestos a la directiva de indexación de los contenedores para mejorar el consumo
de unidades de solicitud y reducir la latencia de estas consultas.
Obtenga más información sobre Cuenta de Cosmos DB:

CosmosDBOrderByHighRUCharge (incorporación de índices compuestos al contenedor
de Azure Cosmos DB).
Optimización de la directiva de indexación de Azure

Cosmos DB para indexar solo lo necesario
Los contenedores de Azure Cosmos DB usan la directiva de indexación predeterminada,
que indexa todas las propiedades de los documentos. Dado que almacena documentos
grandes, se indexa un gran número de propiedades, lo que da lugar a un consumo
elevado de unidades de solicitud y una latencia de escritura deficiente. Para optimizar el
rendimiento de escritura, se recomienda reemplazar la directiva de indexación
predeterminada para indexar solo las propiedades que se usan en las consultas.

CosmosDBDefaultIndexingWithManyPaths (Optimización de la directiva de indexación
de Azure Cosmos DB para indexar solo lo necesario).
Uso de claves de partición jerárquicas para una

distribución de datos óptima
Su cuenta tiene una configuración personalizada que permite que el tamaño de
partición lógica de un contenedor supere el límite de 20 GB. El equipo de
Azure Cosmos DB aplicó esta configuración como medida temporal para darle tiempo
para volver a diseñar la aplicación con una clave de partición diferente. No se
recomienda como solución a largo plazo, ya que las garantías del Acuerdo de Nivel de
Servicio no se respetan cuando se aumenta el límite. Ahora puede usar claves de
partición jerárquicas (versión preliminar) para volver a diseñar la aplicación. La
característica permite superar el límite de 20 GB mediante la configuración de hasta tres
claves de partición, lo que resulta ideal para escenarios multiinquilino o cargas de
trabajo que usan claves sintéticas.

CosmosDBHierarchicalPartitionKey (uso de claves de partición jerárquicas para una
distribución de datos óptima) .
Configuración de las aplicaciones de Azure Cosmos DB

para usar una conexión directa en el SDK
Hemos observado que sus aplicaciones de Azure Cosmos DB usan el modo de puerta de
enlace a través de los SDK de Cosmos DB para .NET o Java. Se recomienda cambiar a la
conexión directa para una menor latencia y una mayor escalabilidad.
Obtenga más información sobre Cuenta de Cosmos DB: CosmosDBGatewayMode

(configuración de las aplicaciones de Azure Cosmos DB para usar una conexión directa
en el SDK).
Mejora del rendimiento mediante el escalado vertical
para un uso óptimo de recursos
Maximizar la eficacia de los recursos del sistema es fundamental para mantener un
rendimiento de primera. Nuestro sistema supervisa cuidadosamente el uso de la CPU y,
cuando cruza el umbral del 90 % durante un período de 12 horas, se desencadena una
alerta proactiva. Esta alerta no solo informa a los usuarios de núcleo virtual de Azure
Cosmos DB for MongoDB del consumo elevado de CPU, sino que también proporciona
instrucciones valiosas sobre el escalado vertical a un nivel superior. Al actualizar a un
nivel más sólido, puede obtener un rendimiento mejorado y asegurarse de que el
sistema funciona al máximo potencial.
Obtenga más información sobre Escalado y configuración del clúster de núcleo virtual
de Azure Cosmos DB for MongoDB.
PerformanceBoostervCore
Cuando el uso de la CPU supera el 90 % en un período de tiempo de 12 horas, se
notifica a los usuarios sobre el uso elevado. Además, se les recomienda escalar
verticalmente a un nivel superior para obtener un mejor rendimiento.
Obtenga más información sobre Cuenta de Cosmos DB: ScaleUpvCoreRecommendation

(PerformanceBoostervCore).
Escalado del límite de almacenamiento para el servidor

de MariaDB
Nuestro sistema muestra que el servidor podría verse limitado porque se está acercando
a los límites de los valores de almacenamiento aprovisionado actuales. Acercarse a los
límites de almacenamiento puede producir la degradación del rendimiento o hacer que
el servidor pase al modo de solo lectura. Para garantizar un rendimiento continuo, se
recomienda aumentar la cantidad de almacenamiento aprovisionado o activar la
característica "Crecimiento automático" para aumentos automáticos del
almacenamiento.
Obtenga más información sobre el servidor de MariaDB: OrcasMariaDbStorageLimit

(escalado del límite de almacenamiento para el servidor MariaDB) .
Aumento de núcleos de virtuales del servidor de MariaDB

Nuestro sistema muestra que la CPU ha estado en ejecución en un uso elevado durante
un largo período de tiempo durante los últimos siete días. Un uso de CPU elevado
puede dar lugar a un rendimiento de las consultas más lento. Para mejorar el
rendimiento, se recomienda el cambio a un tamaño de proceso mayor.
Obtenga más información sobre el servidor de MariaDB: OrcasMariaDbCpuOverload

(aumento de los núcleos virtuales del servidor MariaDB) .
Escalado del servidor de MariaDB a una SKU superior

Nuestro sistema muestra que el servidor puede no ser capaz de admitir las solicitudes
de conexión debido a las conexiones máximas admitidas para la SKU especificada, lo
que puede producir errores en un gran número de solicitudes de conexiones, lo que
afecta negativamente al rendimiento. Para mejorar el rendimiento, se recomienda el
traslado a una SKU de memoria superior, mediante el aumento de núcleos virtuales o el
cambio a otras SKU optimizadas para memoria.
Obtenga más información sobre el servidor de MariaDB:

OrcasMariaDbConcurrentConnection (escalado del servidor de MariaDB a una SKU
superior) .
Traslado del servidor de MariaDB a una SKU optimizada

para memoria
Nuestro sistema muestra que hay un alto grado de renovación en el grupo de búferes
de este servidor que puede dar lugar a un rendimiento más lento de las consultas y un
aumento de IOPS. Para mejorar el rendimiento, revise las consultas de la carga de
trabajo para identificar las oportunidades de minimizar la memoria consumida. Si no se
encuentran dichas oportunidades, se recomienda el traslado a una SKU superior con
más memoria o aumentar el tamaño de almacenamiento para obtener más IOPS.
Obtenga más información sobre el servidor de MariaDB: OrcasMariaDbMemoryCache

(traslado del servidor de MariaDB a una SKU optimizada para memoria) .
Aumento de la confiabilidad de los registros de auditoría

Nuestro sistema muestra que es posible que los registros de auditoría del servidor se
hayan perdido durante el último día. La pérdida de los registros de auditoría puede
ocurrir cuando el servidor está experimentando una carga de trabajo pesada de CPU o
un servidor genera un gran número de registros de auditoría durante un breve período
de tiempo. Se recomienda registrar solo los eventos necesarios para los fines de
auditoría mediante los siguientes parámetros de servidor: audit_log_events,
audit_log_exclude_users, audit_log_include_users. Si el uso de CPU en el servidor es
elevado debido a la carga de trabajo, se recomienda aumentar los núcleos virtuales del
servidor para mejorar el rendimiento.
Obtenga más información sobre el servidor de MariaDB: OrcasMariaDBAuditLog

(aumento de la confiabilidad de los registros de auditoría) .

de MySQL
almacenamiento.
Obtenga más información sobre el servidor MySQL: OrcasMySQLStorageLimit (escalado

del límite de almacenamiento para el servidor MySQL) .
Escalado del servidor de MySQL a una SKU superior

Obtenga más información sobre el servidor MySQL: OrcasMySQLConcurrentConnection

(escalado del servidor MySQL a una SKU superior) .
Aumento de núcleos de virtuales del servidor de MySQL

Obtenga más información sobre el servidor MySQL: OrcasMySQLCpuOverload (aumento
de los núcleos virtuales del servidor MySQL) .
Traslado del servidor de MySQL a una SKU optimizada

para memoria
Obtenga más información sobre el servidor MySQL: OrcasMySQLMemoryCache

(traslado del servidor MySQL a la SKU optimizada para memoria) .
Adición de un servidor de réplica de lectura de MySQL

Nuestro sistema muestra que puede tener una carga de trabajo de lectura intensiva en
ejecución, lo que produce la contención de los recursos de este servidor. La contención
de los recursos puede dar lugar a un rendimiento de las consultas más lento en el
servidor. Para mejorar el rendimiento, se recomienda agregar una réplica de lectura y
descargar algunas de las cargas de trabajo de lectura a la réplica.
Obtenga más información sobre el servidor MySQL: OrcasMySQLReadReplica (adición

de un servidor de réplica de lectura de MySQL) .
Mejora de la administración de conexiones de MySQL

Nuestro sistema muestra que la aplicación que se conecta al servidor MySQL puede
administrar las conexiones de forma incorrecta, lo que puede dar lugar a un consumo
innecesario de recursos y a una mayor latencia general de la aplicación. Para mejorar la
administración de conexiones, se recomienda reducir el número de conexiones de corta
duración y eliminar las conexiones innecesarias. Puede hacerlo mediante la
configuración de un agrupador de conexiones del lado servidor, como ProxySQL.
Obtenga más información sobre el servidor MySQL: OrcasMySQLConnectionPooling

(mejora de la administración de conexiones de MySQL) .
Aumento de la confiabilidad de los registros de auditoría

Nuestro sistema muestra que es posible que los registros de auditoría del servidor se
hayan perdido durante el último día. Esto puede ocurrir cuando el servidor está
experimentando una carga de trabajo pesada de CPU o un servidor genera un gran
número de registros de auditoría durante un breve período de tiempo. Se recomienda
registrar solo los eventos necesarios para los fines de auditoría mediante los siguientes
parámetros de servidor: audit_log_events, audit_log_exclude_users,
audit_log_include_users. Si el uso de CPU en el servidor es elevado debido a la carga de
trabajo, se recomienda aumentar los núcleos virtuales del servidor para mejorar el
rendimiento.
Obtenga más información sobre el servidor de MySQL: OrcasMySQLAuditLog (aumento

de la confiabilidad de los registros de auditoría) .
Mejora del rendimiento mediante la optimización del

tamaño de tabla temporal de MySQL
Nuestro sistema muestra que el servidor MySQL puede estar incurriendo en una
sobrecarga de E/S innecesaria debido a la baja configuración de parámetros de tabla
temporal. Esto podría dar lugar a transacciones innecesarias basadas en disco y un
rendimiento reducido. Se recomienda aumentar los valores de los parámetros
"tmp_table_size" y "max_heap_table_size" para reducir el número de transacciones
basadas en disco.
Obtenga más información sobre el servidor MySQL: OrcasMySqlTmpTables (mejora del

rendimiento mediante la optimización del tamaño de la tabla temporal de MySQL) .
Mejore la latencia de conexiones de MySQL.

Nuestro sistema muestra que la aplicación que se conecta al servidor MySQL puede
administrar las conexiones de forma incorrecta. Esto podría dar lugar a una mayor
latencia de la aplicación. Para mejorar la latencia de conexión, se recomienda habilitar la
redirección de la conexión. Esto se puede hacer mediante la habilitación de la
característica de redirección de conexión del controlador PHP.
Obtenga más información sobre el servidor MySQL: OrcasMySQLConnectionRedirection

(mejora de la latencia de conexiones de MySQL) .
Aumento del límite de almacenamiento de MySQL

Servidor flexible
el servidor pase al modo de solo lectura. Para garantizar un rendimiento continuación,
se recomienda aumentar la cantidad de almacenamiento aprovisionado.
Obtenga más información sobre Servidor flexible de Azure Database for MySQL:
OrcasMeruMySqlStorageUpsell (aumento del límite de almacenamiento para el servidor
flexible de MySQL) .
Escalado de MySQL Servidor flexible a un plan de tarifa

superior
Nuestro sistema muestra que el servidor flexible supera los límites de conexión
asociados a la SKU actual. Un gran número de solicitudes de conexión con errores
podría afectar negativamente al rendimiento del servidor. Para mejorar el rendimiento,
se recomienda aumentar el número de núcleos virtuales o cambiar a un plan de tarifa
superior.
OrcasMeruMysqlConnectionUpsell (escalado del servidor flexible de MySQL a un plan
de tarifa superior).
Aumente los núcleos virtuales del servidor flexible de

MySQL.
OrcasMeruMysqlCpuUpcell (aumento de los núcleos virtuales del servidor flexible de
MySQL) .
Mejora del rendimiento mediante la optimización del

tamaño de tabla temporal de MySQL.
Nuestro sistema muestra que el servidor MySQL puede estar incurriendo en una
sobrecarga de E/S innecesaria debido a la baja configuración de parámetros de tabla
temporal. Una sobrecarga de E/S innecesaria podría dar lugar a transacciones
innecesarias basadas en disco y un rendimiento reducido. Se recomienda aumentar los
valores de los parámetros "tmp_table_size" y "max_heap_table_size" para reducir el
número de transacciones basadas en disco.
OrcasMeruMysqlTmpTable (mejora del rendimiento mediante la optimización del ajuste
de tamaño de la tabla temporal de MySQL) .
Traslado del servidor de MySQL a una SKU optimizada

para memoria
Nuestro sistema muestra que hay un alto uso de la memoria de este servidor, lo que
puede dar lugar a un rendimiento más lento de las consultas y un aumento de IOPS.
Para mejorar el rendimiento, revise las consultas de la carga de trabajo para identificar
las oportunidades de minimizar la memoria consumida. Si no se encuentran dichas
oportunidades, se recomienda el traslado a una SKU superior con más memoria o
aumentar el tamaño de almacenamiento para obtener más IOPS.
OrcasMeruMysqlMemoryUpsell (traslado del servidor de MySQL a una SKU optimizada
para memoria) .
Adición de un servidor de réplica de lectura de MySQL

ejecución, lo que produce la contención de los recursos de este servidor. Esto podría dar
lugar a un rendimiento de las consultas más lento en el servidor. Para mejorar el
rendimiento, se recomienda agregar una réplica de lectura y descargar algunas de las
cargas de trabajo de lectura a la réplica.
OrcasMeruMysqlReadReplicaUpsell (integración de un servidor réplica de lectura de
MySQL) .
Aumente el valor de work_mem para evitar el

desbordamiento excesivo del disco debido a las
operaciones de ordenación y hash.
Nuestro sistema muestra que el valor de work_mem configurado es demasiado
pequeño para un servidor PostgreSQL, lo que genera el desbordamiento de discos y un
peor rendimiento de las consultas. Para mejorar esta situación, se recomienda aumentar
el límite de work_mem del servidor, para ayudar a reducir los escenarios en los que se
producen operaciones de ordenación o hash en el disco, y mejorar el rendimiento
general de las consultas.
Obtenga más información sobre el servidor postgreSQL: OrcasPostgreSqlWorkMem

(aumento del valor de work_mem para evitar el desbordamiento excesivo del disco
debido a las operaciones de ordenación y hash) .
Aumento del rendimiento de la carga de trabajo un 30 %

con el nuevo hardware de proceso Ev5
Con el nuevo hardware de proceso Ev5, puede aumentar el rendimiento de la carga de
trabajo en un 30 % con una mayor simultaneidad y un mejor rendimiento. Vaya a la
opción Proceso y almacenamiento en Azure Portal y cambie al proceso Ev5 sin costo
adicional. El proceso Ev5 proporciona el mejor rendimiento entre otras series de
máquinas virtuales en términos de QPS y latencia.
OrcasMeruMySqlComputeSeriesUpgradeEv5 (aumento del rendimiento de la carga de
trabajo un 30 % con el nuevo hardware de proceso Ev5) .

de PostgreSQL
almacenamiento.
Obtenga más información sobre el servidor PostgreSQL: OrcasPostgreSqlStorageLimit

(escalado del límite de almacenamiento para el servidor PostgreSQL) .
Escalado del servidor de PostgreSQL a una SKU superior

Obtenga más información sobre el servidor de PostgreSQL:

OrcasPostgreSqlConcurrentConnection (escalado del servidor de PostgreSQL a una SKU
superior) .
Traslado del servidor de PostgreSQL a una SKU

optimizada para memoria

OrcasPostgreSqlMemoryCache (traslado del servidor de PostgreSQL a una SKU
optimizada para memoria) .
Adición de un servidor de réplica de lectura de

PostgreSQL
ejecución, lo que produce la contención de los recursos de este servidor. La contención
de los recursos puede dar lugar a un rendimiento de las consultas más lento en el
servidor. Para mejorar el rendimiento, se recomienda agregar una réplica de lectura y
descargar algunas de las cargas de trabajo de lectura a la réplica.
Obtenga más información sobre el servidor de PostgreSQL: OrcasPostgreSqlReadReplica

(adición de un servidor de réplica de lectura de PostgreSQL) .
Aumento de núcleos de virtuales del servidor de

PostgreSQL
OrcasPostgreSqlCpuOverload (aumento de los núcleos virtuales del servidor de
PostgreSQL) .
Mejora de la administración de conexiones de

PostgreSQL
Nuestro sistema muestra que el servidor PostgreSQL puede no administrar las
conexiones de forma eficaz, lo que puede dar lugar a un consumo innecesario de
recursos y a una mayor latencia general de la aplicación. Para mejorar la administración
de conexiones, se recomienda reducir el número de conexiones de corta duración y
eliminar las conexiones innecesarias mediante la configuración de un agrupador de
conexiones del lado servidor, como PgBouncer.

OrcasPostgreSqlConnectionPooling (mejora de la administración de conexiones de
PostgreSQL) .
Mejora del rendimiento del registro de PostgreSQL

Nuestro sistema muestra que el servidor PostgreSQL se ha configurado para generar
registros de errores DETALLADOS. Este valor puede ser útil para solucionar problemas
de la base de datos, pero también puede reducir el rendimiento de la base de datos.
Para mejorar el rendimiento, se recomienda cambiar el parámetro log_error_verbosity a
la configuración predeterminada.

OrcasPostgreSqlLogErrorVerbosity (mejora del rendimiento del registro de
PostgreSQL) .
Optimice la recopilación de estadísticas de consulta en un

servidor de Azure Database for PostgreSQL.
Nuestro sistema muestra que el servidor PostgreSQL se ha configurado para realizar el
seguimiento de las estadísticas de consultas mediante el módulo de pg_stat_statements.
Aunque resulta útil para solucionar problemas, también puede reducir el rendimiento
del servidor. Para mejorar el rendimiento, se recomienda cambiar el parámetro
pg_stat_statements.track a NONE.

OrcasPostgreSqlStatStatementsTrack (optimización de la recopilación de estadísticas de
consulta en Azure Database for PostgreSQL) .
Optimice el almacén de consultas en una instancia de

Azure Database for PostgreSQL cuando no se solucionan
los problemas.
Nuestro sistema muestra que la base de datos PostgreSQL se ha configurado para
realizar el seguimiento del rendimiento de las consultas mediante el parámetro
pg_qs.query_capture_mode. Al solucionar problemas, se recomienda establecer el
parámetro pg_qs.query_capture_mode en TOP o ALL. Al no solucionar problemas, se
recomienda establecer el parámetro pg_qs.query_capture_mode en NONE.

OrcasPostgreSqlQueryCaptureMode (optimización del almacén de consultas en Azure
Database for PostgreSQL cuando no se solucionan los problemas) .
Aumento del límite de almacenamiento del servidor

flexible de PostgreSQL
el servidor pase al modo de solo lectura.

OrcasPostgreSqlFlexibleServerStorageLimit (aumento del límite de almacenamiento para
el servidor flexible de PostgreSQL) .
Optimización de la configuración de registro estableciendo

LoggingCollector en -1
Optimización de la configuración de registro estableciendo LoggingCollector en -1
Obtenga más información sobre [Registros en Azure Database for PostgreSQL: servidor
único] (/azurepostgresql/single-server/concepts-server-logs#configure-logging).

LogDuration en DESACTIVADO
Optimización de la configuración de registro estableciendo LogDuration en

DESACTIVADO

LogStatement en NONE
Optimización de la configuración de registro estableciendo LogStatement en NONE

ReplaceParameter en DESACTIVADO
Optimización de la configuración de registro estableciendo ReplaceParameter en

DESACTIVADO

LoggingCollector en DESACTIVADO
Optimización de la configuración de registro estableciendo LoggingCollector en
DESACTIVADO
Aumento del límite de almacenamiento para un grupo de

servidores de Hiperescala (Citus)
Nuestro sistema muestra que uno o varios nodos del grupo de servidores podría verse
limitado porque se están acercando a los límites de los valores de almacenamiento
aprovisionado actuales. Esto puede producir la degradación del rendimiento o hacer
que el servidor pase al modo de solo lectura. Para garantizar un rendimiento
continuado, se recomienda aumentar el espacio en disco aprovisionado.

OrcasPostgreSqlCitusStorageLimitHyperscaleCitus (aumento del límite de
almacenamiento para un grupo de servidores de Hiperescala [Citus]).
Optimización del valor de log_statement para PostgreSQL
en Azure Database
Nuestro sistema muestra que tiene habilitado log_statement, para mejorar el
rendimiento, establézcalo en NONE.
Obtenga más información sobre el servidor flexible de Azure Database for PostgreSQL:
OrcasMeruMeruLogStatement (optimización de la configuración de log_statement para
PostgreSQL en Azure Database).
Aumente el valor de work_mem para evitar el

desbordamiento excesivo del disco debido a las
operaciones de ordenación y hash.
Nuestro sistema muestra que el valor de work_mem configurado es demasiado
pequeño para un servidor PostgreSQL, lo que genera el desbordamiento de discos y un
peor rendimiento de las consultas. Se recomienda aumentar el límite de work_mem del
servidor, para ayudar a reducir los escenarios en los que se producen operaciones de
ordenación o hash en el disco, y mejorar el rendimiento general de las consultas.
OrcasMeruMeruWorkMem (aumento del valor de work_mem para evitar un
desbordamiento excesivo del disco debido a las operaciones de ordenación y hash) .
Mejora del rendimiento del servidor flexible de

PostgreSQL mediante la habilitación del ajuste inteligente
Nuestro sistema sugiere que puede mejorar el rendimiento del almacenamiento
mediante la habilitación del ajuste inteligente.
OrcasMeruIntelligentTuning (mejora del rendimiento de un servidor flexible de
PostgreSQL mediante la habilitación del ajuste inteligente).
Optimización del valor de log_duration para PostgreSQL

en Azure Database
Nuestro sistema muestra que tiene habilitado log_duration, para mejorar el rendimiento,
establézcalo en OFF.
OrcasMeruMeruLogDuration (optimización de la configuración de log_duration para
PostgreSQL en Azure Database).
Optimización del valor de log_min_duration para

PostgreSQL en Azure Database
Nuestro sistema muestra que tiene habilitado log_min_duration, para mejorar el
rendimiento, establézcalo en -1.
OrcasMeruMeruLogMinDuration (optimización de la configuración de log_min_duration
para PostgreSQL en Azure Database).
Optimización del valor de pg_qs.query_capture_mode

para PostgreSQL en Azure Database
Nuestro sistema muestra que tiene habilitado pg_qs.query_capture_mode, para mejorar
el rendimiento, establézcalo en NONE.
OrcasMeruMeruQueryCaptureMode (optimización de la configuración de
pg_qs.query_capture_mode para PostgreSQL en Azure Database).
Optimización del rendimiento de PostgreSQL mediante la

habilitación de PGBouncer
Nuestro sistema muestra que puede mejorar el rendimiento de PostgreSQL si habilita
PGBouncer.
OrcasMeruOrcasPostgreSQLConnectionPooling (optimización del rendimiento de
PostgreSQL mediante la habilitación de PGBouncer).
Optimización del valor de log_error_verbosity para

PostgreSQL en Azure Database
Nuestro sistema que tiene habilitado log_error_verbosity, para mejorar el rendimiento,
establézcalo en DEFAULT.
OrcasMeruMeruLogErrorVerbosity (optimización de la configuración de
log_error_verbosity para PostgreSQL en Azure Database).
Aumento del límite de almacenamiento para un grupo de

servidores de Hiperescala (Citus)
Nuestro sistema muestra que uno o varios nodos del grupo de servidores podría verse
limitado porque se están acercando a los límites de los valores de almacenamiento
aprovisionado actuales. Esto puede producir la degradación del rendimiento o hacer
que el servidor pase al modo de solo lectura. Para garantizar un rendimiento
continuado, se recomienda aumentar el espacio en disco aprovisionado.
Obtenga más información sobre el grupo de servidores de Hiperescala (Citus):

MarlinStorageLimitRecommendation (aumento del límite de almacenamiento para un
grupo de servidores de Hiperescala [Citus]).
Migre la base de datos de SSPG a FSPG.

Tenga en cuenta nuestra nueva oferta del servidor flexible de Azure Database for
PostgreSQL, que proporciona funcionalidades más completas, como alta disponibilidad
resistente a zonas, rendimiento predecible, control máximo, ventana de mantenimiento
personalizado, controles de optimización de costos y experiencia simplificada del
desarrollador.
OrcasPostgreSqlMeruMigration (migración de la base de datos de SSPG a FSPG).
Traslado de PostgreSQL, servidor flexible, a una SKU

optimizada para memoria
Obtenga más información sobre el servidor de PostgreSQL: OrcasMeruMemoryUpsell

(traslado del servidor flexible de PostgreSQL a una SKU optimizada para memoria) .
Mejore el rendimiento de Cache y de la aplicación cuando
se ejecutan con un ancho de banda de red elevado
Las instancias de caché tienen un mejor rendimiento cuando no se ejecutan con un
ancho de banda de red elevado que podría dar lugar a una falta de respuesta o
disponibilidad, o bien a la pérdida de datos. Aplique los procedimientos recomendados
para reducir el ancho de banda de red o escale a un tamaño o SKU diferente con más
capacidad.
Obtenga más información sobre Redis Cache Server: RedisCacheNetworkBandwidth

(mejore el rendimiento de Cache y de la aplicación cuando se ejecutan con un ancho de
banda de red elevado) .

se ejecutan con muchos clientes conectados
para reducir la carga del servidor o escale a un tamaño o SKU diferente con más
capacidad.
Obtenga más información sobre Redis Cache Server: RedisCacheConnectedClients

(mejore el rendimiento de Cache y de la aplicación cuando se ejecutan con muchos
clientes conectados) .

se ejecutan con muchos clientes conectados
capacidad.
Obtenga más información sobre Redis Cache Server: RedisCacheConnectedClientsHigh

(mejora del rendimiento de Cache y de la aplicación cuando se ejecutan con muchos
clientes conectados) .
se ejecutan con una carga de servidor elevada
capacidad.
Obtenga más información sobre Redis Cache Server: RedisCacheServerLoad (mejore el

rendimiento de Cache y de la aplicación cuando se ejecutan con una carga de servidor
elevada) .

se ejecutan con una carga de servidor elevada
capacidad.
Obtenga más información sobre Redis Cache Server: RedisCacheServerLoadHigh

(mejora del rendimiento de Cache y de la aplicación cuando se ejecutan con una carga
de servidor elevada) .

se ejecutan con una presión de memoria elevada
para reducir el uso de la memoria o escale a un tamaño o SKU diferente con más
capacidad.
Obtenga más información sobre Redis Cache Server: RedisCacheUsedMemory (mejore el

rendimiento de Cache y de la aplicación cuando se ejecutan con una presión de
memoria elevada) .
Mejore la caché y el rendimiento de la aplicación cuando
la utilización de memoria RSS sea alta.
para reducir el uso de la memoria o escale a un tamaño o SKU diferente con más
capacidad.
Obtenga más información sobre Redis Cache Server: RedisCacheUsedMemoryRSS

(mejora del rendimiento de Cache y de la aplicación cuando el uso de rss de la memoria
es alto) .
Las instancias de caché funcionan mejor cuando las

máquinas host en las que se ejecuta la aplicación cliente
pueden mantener el ritmo de las respuestas de la
memoria caché.
Las instancias de caché funcionan mejor cuando las máquinas host en las que se ejecuta
la aplicación cliente pueden mantener el ritmo de las respuestas de la memoria caché. Si
la máquina host del cliente está funcionando con mucha memoria, CPU o ancho de
banda de la red, las respuestas de la caché no llegarán a su aplicación lo
suficientemente rápido y podría dar lugar a una mayor latencia.
Obtenga más información sobre Redis Cache Server: UnresponsiveClient (las instancias
de caché funcionan mejor cuando las máquinas host en las que se ejecuta la aplicación
cliente pueden mantener el ritmo de las respuestas de la memoria caché).
DevOps
Actualización a la última versión de la API de AMS

Hemos identificado llamadas a una versión de la API de Azure Media Services (AMS) que
no se recomienda. Se recomienda cambiar a la última versión de la API de AMS para
garantizar el acceso ininterrumpido a AMS, las últimas funciones y las mejoras de
rendimiento.
Obtenga más información sobre Supervisión: UpdateToLatestAMSApiVersion

(actualización a la última versión de la API de AMS) .
Actualización a la versión del SDK de Workloads más
reciente
Actualice a la versión más reciente del SDK de Workloads para obtener los mejores
resultados en relación con la calidad del modelo, el rendimiento y la disponibilidad del
servicio.
Obtenga más información sobre Supervisión: UpgradeToLatestAMSSdkVersion

(actualización a la versión del SDK de Workloads más reciente) .
Integración
Actualizar el recurso de API Management a una versión

alternativa
Su suscripción se ejecuta en versiones que se han programado para quedar obsoletas. El
30 de septiembre de 2023, todas las versiones de API del servicio de Azure API
Management anteriores al 01-08-2021 se retiran y se producen errores en las llamadas
API. Actualice a la versión más reciente para evitar interrupciones en los servicios.
Obtenga más información sobre API Management: apimgmtdeprecation (actualización

del recurso de API Management a una versión alternativa) .
Dispositivo móvil
Uso de la versión recomendada del SDK de Chat

Los SDK de chat de Azure Communication Services se pueden usar para agregar chats
enriquecidos en tiempo real a las aplicaciones. Actualice a la versión recomendada del
SDK de Chat para asegurarse de tener las últimas correcciones y características.
Obtenga más información sobre Communication Service: UpgradeChatSdk (uso de la

versión recomendada del SDK de Chat).
Uso de la versión recomendada del SDK de Resource

Manager
El SDK de Resource Manager se puede usar para crear y administrar recursos de
Azure Communication Services. Actualice a la versión recomendada del SDK de
Resource Manager para asegurarse de tener las últimas correcciones y características.
Obtenga más información sobre Communication Service: UpgradeResourceManagerSdk

(uso de la versión recomendada del SDK de Resource Manager).
Uso de la versión recomendada del SDK de Identity

El SDK de Identity de Azure Communication Services se puede usar para administrar
identidades, usuarios y tokens de acceso. Realice la actualización a la versión
recomendada del SDK de Identity para asegurarse de tener las últimas correcciones y
características.
Obtenga más información sobre Communication Service: UpgradeIdentitySdk (uso de la

versión recomendada del SDK de Identity).
Uso de la versión recomendada del SDK de SMS

El SDK de SMS de Azure Communication Services se utiliza para enviar y recibir
mensajes SMS. Actualice a la versión recomendada del SDK de SMS para asegurarse de
tener las últimas correcciones y características.
Obtenga más información sobre Communication Service: UpgradeSmsSdk (uso de la

versión recomendada del SDK de SMS).
Uso de la versión recomendada del SDK de Phone

Numbers
El SDK de Phone Numbers de Azure Communication Services se puede usar para
adquirir y administrar números de teléfono. Actualice a la versión recomendada del SDK
de Phone Numbers para asegurarse de tener las últimas correcciones y características.
Obtenga más información sobre Communication Service: UpgradePhoneNumbersSdk

(uso de la versión recomendada del SDK de Phone Numbers).
Uso de la versión recomendada del SDK de Calling

El SDK de Calling de Azure Communication Services se puede usar para habilitar la voz,
el vídeo, el uso compartido de pantalla y otra comunicación en tiempo real. Actualice a
la versión recomendada del SDK de Calling para asegurarse de tener las últimas
correcciones y características.
Obtenga más información sobre Communication Service: UpgradeCallingSdk (uso de la
versión recomendada del SDK de Calling).
Uso de la versión recomendada del SDK de Call

Automation
El SDK de Call Automation de Azure Communication Services se puede usar para realizar
y administrar llamadas, reproducir audio y configurar la grabación. Actualice a la versión
recomendada del SDK de Call Automation para asegurarse de tener las últimas
correcciones y características.
Obtenga más información sobre Communication Service: UpgradeServerCallingSdk (uso

de la versión recomendada del SDK de Call Automation).
Uso de la versión recomendada del SDK de Network

Traversal
Se puede usar el SDK de Network Traversal de Azure Communication Services para
acceder a los servidores de TURN para el transporte de datos de bajo nivel. Actualice a
la versión recomendada del SDK de Network Traversal para asegurarse de tener las
últimas correcciones y características.
Obtenga más información sobre Communication Service: UpgradeTurnSdk (uso de la

versión recomendada del SDK de Network Traversal).
Uso de la versión recomendada del SDK de Salas

El SDK de Rooms de Azure Communication Services se puede usar para controlar quién
puede unirse a una llamada, cuándo pueden reunirse y cómo pueden colaborar.
Actualice a la versión recomendada del SDK de Salas para asegurarse de tener las
últimas correcciones y características. Se detectó una versión no recomendada en las
últimas 48-60 horas.
Obtenga más información sobre Communication Service: UpgradeRoomsSdk (uso de la

versión recomendada del SDK de Salas).
Redes
Actualización de la recomendación de versión del SDK

La versión más reciente de la biblioteca de cliente de Azure Front Door Estándar y
Premium o el SDK contiene correcciones para los problemas notificados por los clientes
y que se identifican en nuestro proceso de control de calidad. La versión más reciente
también incluye la optimización del rendimiento y la confiabilidad, además de nuevas
características que pueden mejorar la experiencia global con Azure Front Door Estándar
y Premium.
Obtenga más información sobre el perfil de Front Door:

UpgradeCDNToLatestSDKLanguage (recomendación de la versión del SDK de
actualización) .
Actualización de la recomendación de versión del SDK

La versión más reciente del SDK de Azure Traffic Collector contiene correcciones para los
problemas identificados de forma proactiva a través de nuestro proceso de control de
calidad, admite el modelo de recursos más reciente y cuenta con optimización de
confiabilidad y rendimiento que puede mejorar la experiencia general del uso de ATC.
Obtenga más información sobre Azure Traffic Collector:

UpgradeATCToLatestSDKLanguage (actualización de la recomendación de versión del
SDK).
Actualice el ancho de banda del circuito ExpressRoute

para satisfacer sus necesidades de ancho de banda.
Ha estado usando más del 90 % del ancho de banda del circuito adquirido
recientemente. Si supera el ancho de banda asignado, experimentará un aumento en los
paquetes descartados que se envían a través de ExpressRoute. Actualice el ancho de
banda del circuito para mantener el rendimiento si las necesidades de ancho de banda
son elevadas.
Obtenga más información sobre el circuito ExpressRoute: UpgradeERCircuitBandwidth

(actualización del ancho de banda del circuito ExpressRoute para adaptarlo a sus
necesidades de ancho de banda).
Experiencia con una latencia más predecible y coherente

con una conexión privada a Azure
Mejore el rendimiento, la privacidad y la confiabilidad de las aplicaciones críticas para la
empresa mediante la ampliación de las redes locales a Azure con Azure ExpressRoute.
Establezca conexiones privadas de ExpressRoute directamente desde la WAN, a través
de una instalación de intercambio en la nube o a través de conexiones POP e IPVPN.
Obtenga más información sobre Suscripción: AzureExpressRoute (experiencia de

latencia más predecible y coherente con una conexión privada a Azure).
Actualice la API de Workloads a la última versión (API de

Azure Center for SAP solutions)
Hemos identificado llamadas a una versión obsoleta de la API de Workloads para los
recursos de este grupo de recursos. Se recomienda cambiar a la versión más reciente de
la API de Workloads para garantizar el acceso ininterrumpido a Workloads, las
características más recientes y las mejoras de rendimiento en Azure Center for SAP
solutions. Si en la recomendación aparecen múltiples instancias de Virtual Instance for
SAP solutions (VIS), asegúrese de actualizar la versión de la API para todos los recursos
de VIS.
Obtenga más información sobre Suscripción: UpdateToLatestWaasApiVersionAtSub

(actualización de la API de Workloads a la última versión (API de Azure Center for SAP
solutions)) .
Actualice el SDK de Workloads a la última versión (SDK

de Azure Center for SAP solutions)
Hemos identificado llamadas a una versión obsoleta del SDK de Workloads a partir de
los recursos de este grupo de recursos. Actualice a la versión más reciente del SDK de
Workloads para obtener las características más recientes y los mejores resultados en
relación con la calidad del modelo, el rendimiento y la disponibilidad del servicio
Azure Center for SAP solutions. Si en la recomendación aparecen múltiples instancias de
Virtual Instance for SAP solutions (VIS), asegúrese de actualizar la versión del SDK para
todos los recursos de VIS.
Obtenga más información sobre Suscripción: UpdateToLatestWaasSdkVersionAtSub

(actualización del SDK de Workloads a la última versión (SDK de Azure Center for SAP
solutions)) .
Configuración del período de vida de DNS en 60

segundos
El período de vida (TTL) afecta a lo reciente que es la respuesta que obtiene el cliente
cuando hace una solicitud a Azure Traffic Manager. Reducir el valor de TTL significa que
el cliente se enruta a un punto de conexión en funcionamiento más rápido en el caso de
una conmutación por error. Configure el TTL en 60 segundos para enrutar el tráfico a un
punto de conexión de mantenimiento lo más rápido posible.
Obtenga más información sobre el perfil de Traffic Manager: ProfileTTL (configuración

del periodo de vida de DNS a 60 segundos) .

segundos
Obtenga más información sobre el perfil de Traffic Manager: FastFailOverTTL

(configuración del periodo de vida de DNS a 20 segundos) .

segundos
Obtenga más información sobre el perfil de Traffic Manager: ProfileTTL (configuración

del periodo de vida de DNS a 60 segundos) .
Considere la posibilidad de aumentar el tamaño de la

SKU de la puerta de enlace de la red virtual para abordar
el uso elevado de CPU de forma constante.
En casos de carga de tráfico alta, VPN Gateway podría eliminar paquetes debido a un
elevado uso de CPU.
Obtenga más información sobre Puerta de enlace de red virtual: HighCPUVNetGateway

(considere la posibilidad de aumentar el tamaño de la SKU de la puerta de enlace de la
red virtual (VNet) para abordar el uso elevado de CPU de forma constante) .
Considere la posibilidad de aumentar el tamaño de la
SKU de la puerta de enlace de la red virtual para abordar
el uso elevado de conexiones de punto a sitio.
Cada SKU de puerta de enlace solo puede admitir un número especificado de
conexiones P2S simultáneas. Si el número de conexiones está cerca del límite de la
puerta de enlace, pueden producirse errores en más intentos de conexión.
Obtenga más información sobre la puerta de enlace de red virtual:

HighP2SConnectionsVNetGateway (considere la posibilidad de aumentar el tamaño de
la SKU de VNet Gateway para abordar un uso elevado de la P2S) .
Asegúrese de tener suficientes instancias en la instancia

de Application Gateway para admitir el tráfico.
La instancia de Application Gateway se ha estado ejecutando con un uso elevado
recientemente y con mucha carga podría experimentar una pérdida de tráfico o un
aumento de la latencia. Es importante que escale su instancia de Application Gateway
en consecuencia y agregue un búfer; de este modo, estará preparado para cualquier
aumento de tráfico o actividad, y minimizará el impacto que pueda tener en su calidad
de servicio. La SKU de Application Gateway v1 (Standard/WAF) admite el escalado
manual y la compatibilidad de la SKU v2 (Standard_v2/WAF_v2) con el escalado
automático y manual. Con el escalado manual, aumente el recuento de instancias. Si el
escalado automático está habilitado, asegúrese de que el recuento máximo de
instancias está establecido en un valor superior para que Application Gateway pueda
escalar horizontalmente a medida que aumente el tráfico.
Obtenga más información sobre Application Gateway: HotAppGateway (asegúrese de

que tiene suficientes instancias en Application Gateway para admitir el tráfico) .
SAP para Azure
Para evitar el bloqueo temporal del controlador

Mellanox, reduzca el valor de can_queue en el sistema
operativo de la máquina virtual de la aplicación en cargas
de trabajo de SAP.
Para evitar bloqueos temporales esporádicos del controlador Mellanox, reduzca el valor
de can_queue en el sistema operativo. El valor no se puede establecer directamente.
Agregue las siguientes opciones de línea de arranque del kernel para lograr el mismo
efecto:"hv_storvsc.storvsc_ringbuffer_size=131072
hv_storvsc.storvsc_vcpus_per_sub_channel=1024"
Obtenga más información sobre Instancia de App Server: AppSoftLockup (para evitar el
bloqueo temporal en el controlador Mellanox, reduzca el valor de can_queue en el
sistema operativo de la máquina virtual de la aplicación en cargas de trabajo de SAP) .

operativo de la máquina virtual de ASCS en cargas de
trabajo de SAP.
Obtenga más información sobre Instancia de servidor central: AscsoftLockup (para evitar
el bloqueo temporal en el controlador Mellanox, reduzca el valor de can_queue en el
sistema operativo de la máquina virtual de ASCS en cargas de trabajo de SAP) .

operativo de la máquina virtual de la base de datos en
cargas de trabajo de SAP
Obtenga más información sobre Instancia de base de datos: DBSoftLockup (para evitar
el bloqueo temporal en el controlador Mellanox, reduzca el valor de can_queue en el
sistema operativo de la máquina virtual de la base de datos en cargas de trabajo de
SAP) .
Para mejorar el rendimiento del sistema de archivos en la
base de datos HANA con ANF, optimice el parámetro del
sistema operativo tcp_wmem
El parámetro net.ipv4.tcp_wmem especifica los tamaños mínimo, predeterminado y
máximo del búfer de envío que se usan para un socket TCP. Establezca el parámetro
según la nota de SAP 302436 para certificar la base de datos de HANA para que se
ejecute con ANF y mejorar el rendimiento del sistema de archivos. El valor máximo no
debe superar el del parámetro net.core.wmem_max.
Obtenga más información sobre Instancia de base de datos: WriteBuffersAllocated (para

mejorar el rendimiento del sistema de archivos en la base de datos HANA con ANF,
optimice el parámetro del sistema operativo tcp_wmem) .

sistema operativo tcp_rmem
El parámetro net.ipv4.tcp_rmem especifica los tamaños mínimo, predeterminado y
máximo del búfer de recepción que se usan para un socket TCP. Establezca el parámetro
debe superar el del parámetro net.core.rmem_max.
Obtenga más información sobre Instancia de base de datos: OptimiseReadTcp (para

optimice el parámetro del sistema operativo tcp_rmem) .

sistema operativo wmem_max
En una base de datos HANA con tipo de almacenamiento ANF, el búfer del socket de
escritura máximo, definido por el parámetro net.core.wmem_max debe establecerse en
un valor lo suficientemente grande como para controlar los paquetes de red salientes.
La configuración de net.core.wmem_max certifica que la base de datos HANA se ejecute
con ANF y mejore el rendimiento del sistema de archivos. Consulte la nota de
SAP 3024346.
Obtenga más información sobre Instancia de base de datos: MaxWriteBuffer (para
optimice el parámetro del sistema operativo wmem_max) .

sistema operativo tcp_rmem
El parámetro net.ipv4.tcp_rmem especifica los tamaños mínimo, predeterminado y
máximo del búfer de recepción que se usan para un socket TCP. Establezca el parámetro
debe superar el del parámetro net.core.rmem_max.
Obtenga más información sobre Instancia de base de datos: OptimizeReadTcp (para

optimice el parámetro del sistema operativo tcp_rmem) .

sistema operativo rmem_max
En una base de datos HANA con el tipo de almacenamiento ANF, el búfer del socket de
lectura máximo, definido por el parámetro net.core.rmem_max, debe establecerse en un
valor lo suficientemente grande como para controlar los paquetes de red entrantes. La
configuración de net.core.rmem_max certifica que la base de datos HANA se ejecute
con ANF y mejore el rendimiento del sistema de archivos. Consulte la nota de
SAP 3024346.
Obtenga más información sobre Instancia de base de datos: MaxReadBuffer (para

optimice el parámetro del sistema operativo rmem_max) .

base de datos HANA con ANF, establezca el tamaño de la
cola de trabajo pendiente del receptor en 300000.
El parámetro net.core.netdev_max_backlog especifica el tamaño de la cola de trabajo
pendiente del receptor, que se usa si una interfaz de red recibe paquetes más rápido de
lo que el kernel los puede procesar. Establezca el parámetro según la nota de SAP:
3024346. La configuración de net.core.netdev_max_backlog certifica que la base de
datos HANA se ejecute con ANF y mejore el rendimiento del sistema de archivos.
Obtenga más información sobre Instancia de base de datos: BacklogQueueSize (para

establezca el tamaño de la cola de trabajo pendiente del receptor en 300000) .

base de datos HANA con ANF, habilite el parámetro del
sistema operativo de escalado de ventanas TCP.
Habilite el parámetro de escalado de ventanas TCP según la nota de SAP: 302436. La
configuración de escalado de la ventana de TCP certifica que la base de datos HANA se
ejecute con ANF y mejore el rendimiento del sistema de archivos de esta en cargas de
trabajo de SAP.
Obtenga más información sobre Instancia de base de datos: EnableTCPWindowScaling

(para mejorar el rendimiento del sistema de archivos en la base de datos HANA con
ANF, habilite el parámetro del sistema operativo de escalado de ventanas TCP) .

base de datos HANA con ANF, deshabilite el protocolo
IPv6 en el sistema operativo.
Deshabilite IPv6 según la recomendación de SAP en Azure para la base de datos HANA
con ANF con el fin de mejorar el rendimiento del sistema de archivos.
Obtenga más información sobre Instancia de base de datos: DisableIPv6Protocol (para

deshabilite el protocolo IPv6 en el sistema operativo).

base de datos HANA con ANF, deshabilite el parámetro
del inicio lento después de la inactividad.
El parámetro net.ipv4.tcp_slow_start_after_idle deshabilita la necesidad de escalar
vertical e incrementalmente el tamaño de la ventana de TCP para las conexiones TCP
que estuvieron inactivas durante un tiempo. Si se establece este parámetro en cero de
acuerdo con la nota de SAP: 302436, la velocidad máxima se usa desde el principio para
las conexiones TCP inactivas anteriormente.
Obtenga más información sobre Instancia de base de datos: ParameterSlowStart (para
deshabilite el parámetro del inicio lento después de la inactividad) .

sistema operativo tcp_max_syn_backlog
Para evitar que el kernel use cookies SYN en una situación en la que se envíen muchas
solicitudes de conexión en un breve período de tiempo y para evitar una advertencia
sobre un posible ataque de inundación de SYN en el registro del sistema, el tamaño del
trabajo pendiente de SYN se debe establecer en un valor razonablemente alto. Consulte
la nota de SAP 2382421.
Obtenga más información sobre Instancia de base de datos: TCPMaxSynBacklog (para

optimice el parámetro del sistema operativo tcp_max_syn_backlog).

sistema operativo tcp_sack.
Habilite el parámetro tcp_sack según la nota de SAP: 302436. La configuración de
tcp_sack certifica que la base de datos HANA se ejecute con ANF y mejore el
rendimiento del sistema de archivos de esta en cargas de trabajo de SAP.
Obtenga más información sobre Instancia de base de datos: TCPSackParameter (para

habilite el parámetro del sistema operativo tcp_sack) .
En el escenario de alta disponibilidad de la base de datos

HANA con ANF, deshabilite el parámetro del sistema
operativo tcp_timestamps
Deshabilite el parámetro tcp_timestamps según la nota de SAP: 302436. La
configuración de tcp_timestamps certifica que la base de datos HANA se ejecute con
ANF y mejore el rendimiento del sistema de archivos en los escenarios de alta
disponibilidad de la misma en cargas de trabajo de SAP.
Obtenga más información sobre Instancia de base de datos: DisableTCPTimestamps (en
el escenario de alta disponibilidad de la base de datos HANA con ANF, deshabilite el
parámetro del sistema operativo tcp_timestamps) .

sistema operativo tcp_timestamps.
Habilite el parámetro tcp_timestamps según la nota de SAP: 302436. La configuración
de tcp_timestamps certifica que la base de datos HANA se ejecute con ANF y mejore el
rendimiento del sistema de archivos de esta en cargas de trabajo de SAP.
Obtenga más información sobre Instancia de base de datos: EnableTCPTimestamps

(para mejorar el rendimiento del sistema de archivos en la base de datos HANA con
ANF, habilite el parámetro del sistema operativo tcp_timestamps) .

base de datos HANA con ANF, habilite el ajuste
automático del tamaño del búfer de recepción TCP.
El parámetro net.ipv4.tcp_moderate_rcvbuf permite que TCP haga el ajuste automático
del búfer para adaptarlo automáticamente (que no sea mayor que tcp_rmem) con el fin
de que coincida con el tamaño requerido por la ruta de acceso para el rendimiento
completo. Habilite este parámetro según la nota de SAP: 302436 para mejorar el
rendimiento del sistema de archivos.
Obtenga más información sobre Instancia de base de datos: EnableAutoTuning (para

habilite el ajuste automático del tamaño del búfer de recepción TCP) .

base de datos HANA con ANF, optimice
net.ipv4.ip_local_port_range
Como HANA usa un número considerable de conexiones para la comunicación interna,
es conveniente disponer del mayor número posible de puertos de cliente para este fin.
Establezca el parámetro del sistema operativo, net.ipv4.ip_local_port_range parámetro
según la nota de SAP 2382421 para garantizar la comunicación interna óptima de
HANA.
Obtenga más información sobre Instancia de base de datos : IPV4LocalPortRange (para
optimice net.ipv4.ip_local_port_range) .

base de datos HANA con ANF, optimice
sunrpc.tcp_slot_table_entries
Establezca el parámetro sunrpc.tcp_slot_table_entries en 128 según la recomendación
para mejorar el rendimiento del sistema de archivos de la base de datos HANA con ANF
en cargas de trabajo de SAP.
Obtenga más información sobre Instancia de base de datos: TCPSlotTableEntries (para

optimice sunrpc.tcp_slot_table_entries).
Todos los discos de LVM para el volumen /hana/data

deben ser del mismo tipo para garantizar un alto
rendimiento de la base de datos HANA
Si se seleccionan varios tipos de disco en el volumen /hana/data, se podría restringir el
rendimiento de la base de datos HANA en las cargas de trabajo de SAP. Asegúrese de
que todos los discos de volumen de datos de HANA son del mismo tipo y están
configurados según la recomendación para SAP en Azure.
Obtenga más información sobre Instancia de base de datos: HanaDataDiskTypeSame

(todos los discos de LVM para el volumen /hana/data deben ser del mismo tipo para
garantizar un alto rendimiento de la base de datos HANA).
El tamaño de franja de /hana/data debe ser de 256 kb

para mejorar el rendimiento de la base de datos HANA en
Si usa LVM o mdadm para crear conjuntos de franjas en varios discos Premium de
Azure, debe definir tamaños de franjas. En función de la experiencia con versiones
recientes de Linux, Azure recomienda usar el tamaño de franja de 256 kb para el sistema
de archivos /hana/data con el fin de mejorar el rendimiento de la base datos HANA.
Obtenga más información sobre Instancia de base de datos: HanaDataStripeSize (el

tamaño de franja de /hana/data debe ser de 256 kb para mejorar el rendimiento de la
base de datos HANA en cargas de trabajo de SAP).

base de datos HANA con ANF, optimice el parámetro
vm.swappiness
Establezca el parámetro del sistema operativo vm.swappiness en 10 según la
recomendación para mejorar el rendimiento del sistema de archivos de la base de datos
HANA con ANF en cargas de trabajo de SAP.
Obtenga más información sobre Instancia de base de datos: vmSwappness (para

optimice el parámetro vm.swappiness).

base de datos HANA con ANF, deshabilite
net.ipv4.conf.all.rp_filter
Deshabilite el parámetro del sistema operativo Linux del filtro de ruta inversa,
net.ipv4.conf.all.rp_filter, según la recomendación para mejorar el rendimiento del
sistema de archivos en la base de datos HANA con ANF en cargas de trabajo de SAP.
Obtenga más información sobre Instancia de base de datos: DisableIPV4Conf (para

deshabilite net.ipv4.conf.all.rp_filter).
Si usa discos Ultra, las operaciones IOPS para el volumen

/hana/data deben ser >= 7000 para mejorar el
Si usa Ultradisk, se recomienda IOPS de al menos 7000 en el volumen /hana/data para
cargas de trabajo de SAP. Seleccione el tipo de disco correspondiente al volumen
/hana/data de acuerdo con este requisito para garantizar un alto rendimiento de la base
de datos.
Obtenga más información sobre Instancia de base de datos: HanaDataIOPS (si usa
discos Ultra, las operaciones IOPS para el volumen /hana/data deben ser >= 7000 para
mejorar el rendimiento de la base de datos HANA).
Para mejorar el rendimiento de la transferencia de
archivos en la base de datos HANA con ANF, optimice el
parámetro tcp_max_slot_table_entries
Establezca el parámetro del sistema operativo tcp_max_slot_table_entries en 128 según
la nota de SAP 302436 para mejorar el rendimiento de la transferencia de archivos en la
base de datos HANA con ANF en cargas de trabajo de SAP.

OptimizeTCPMaxSlotTableEntries (para mejorar el rendimiento del sistema de archivos
en la base de datos HANA con ANF, cambie el parámetro tcp_max_slot_table_entries).
Asegúrese de que el rendimiento de lectura del volumen

/hana/data sea >= 400 MB/s para mejorar el rendimiento
de la base de datos HANA
Se recomienda una actividad de lectura de al menos 400 MB/s para /hana/data para los
tamaños de E/S de 16 MB y 64 MB en cargas de trabajo de SAP en Azure. Seleccione el
tipo de disco correspondiente a /hana/data de acuerdo con este requisito con el fin de
garantizar un alto rendimiento de la base de datos y cumplir los requisitos mínimos de
almacenamiento de SAP HANA.

HanaDataVolumePerformance (asegúrese de que el rendimiento de lectura del volumen
/hana/data sea >= 400 MB/s para mejorar el rendimiento de la base de datos HANA).
El rendimiento de lectura y escritura del volumen

/hana/log debe ser >= 250 MB/s para mejorar el
Se recomienda una actividad de lectura y escritura de al menos 250 MB/s para
/hana/log para un tamaño de E/S de 1 MB en cargas de trabajo de SAP en Azure.
Seleccione el tipo de disco correspondiente al volumen /hana/log de acuerdo con este
requisito con el fin de garantizar un alto rendimiento de la base de datos y cumplir los
requisitos mínimos de almacenamiento de SAP HANA.
Obtenga más información sobre Instancia de base de datos: HanaLogReadWriteVolume

(el rendimiento de lectura y escritura del volumen /hana/log debe ser >= 250 MB/s para
mejorar el rendimiento de la base de datos HANA).
Si usa discos Ultra, las operaciones IOPS para el volumen
/hana/log deben ser >= 2000 para mejorar el
Si usa Ultradisk, se recomienda IOPS de al menos 2000 en el volumen /hana/log para
cargas de trabajo de SAP. Seleccione el tipo de disco correspondiente al volumen
/hana/log de acuerdo con este requisito para garantizar un alto rendimiento de la base
de datos.
Obtenga más información sobre Instancia de base de datos: HanaLogIOPS (si usa discos
Ultra, las operaciones IOPS para el volumen /hana/log deben ser >= 2000 para mejorar
el rendimiento de la base de datos HANA).
Todos los discos de LVM para el volumen /hana/log

deben ser del mismo tipo para garantizar un alto
Si se seleccionan varios tipos de disco en el volumen /hana/log, se podría restringir el
rendimiento de la base de datos HANA en las cargas de trabajo de SAP. Asegúrese de
que todos los discos de volumen de datos de HANA son del mismo tipo y están
configurados según la recomendación para SAP en Azure.

HanaDiskLogVolumeSameType (todos los discos de LVM para el volumen /hana/log
deben ser del mismo tipo para garantizar un alto rendimiento de la base de datos
HANA).
Habilitación del Acelerador de escritura en el volumen

/hana/log con disco Premium para mejorar la latencia de
escritura en la base de datos HANA
El Acelerador de escritura de Azure es una funcionalidad para las máquinas virtuales de
la serie M de Azure. Mejora la latencia de E/S de escrituras en Azure Premium Storage.
Para SAP HANA, el Acelerador de escritura se debe usar solo en el volumen /hana/log.
Obtenga más información sobre Instancia de base de datos: WriteAcceleratorEnabled

(habilitación del Acelerador de escritura en el volumen /hana/log con disco prémium
para mejorar la latencia de escritura en la base de datos HANA).
El tamaño de franja de /hana/log debe ser de 64 kb para
mejorar el rendimiento de la base de datos HANA en
Si usa LVM o mdadm para crear conjuntos de franjas en varios discos Premium de
Azure, debe definir tamaños de franjas. Para obtener un rendimiento suficiente con
tamaños de E/S mayores, Azure recomienda usar el tamaño de franja de 64 kb en el
sistema de archivos /hana/log con el fin de mejorar el rendimiento de la base de datos
HANA.
Obtenga más información sobre Instancia de base de datos: HanaLogStripeSize (el

tamaño de franja de /hana/log debe ser de 64 kb para mejorar el rendimiento de la
base de datos HANA en cargas de trabajo de SAP).
Seguridad
Actualización de la versión de la API de atestación

Hemos identificado llamadas API de la API de atestación no actualizada para recursos en
esta suscripción. Se recomienda cambiar a las versiones más recientes de la API de
atestación. Debe actualizar el código existentes para usar la versión más reciente de la
API. El uso de la versión más reciente de la API garantiza que reciba las últimas
funciones y mejoras de rendimiento.
Obtenga más información sobre el proveedor de atestación: UpgradeAttestationAPI

(actualización de la versión de la API de atestación).
Actualización de la versión del SDK de Key Vault

Las nuevas bibliotecas de cliente de Key Vault se dividen en SDK de claves, secretos y
certificados, que se integran con la biblioteca de identidades de Azure recomendada
para proporcionar una autenticación sin problemas a Key Vault en todos los lenguajes y
entornos. También contiene varias correcciones para los problemas notificados por los
clientes y que se identifican en nuestro proceso de control de calidad. Si Key Vault está
integrado con Azure Storage, el disco u otros servicios de Azure que pueden usar el SDK
de Key Vault anterior y cuando todas las aplicaciones personalizadas actuales usan el
SDK de .NET 4.0 o posterior, descarte la recomendación.
Obtenga más información sobre Key Vault: UpgradeKeyVaultSDK (actualización de la

versión del SDK de Key Vault).
Actualización de la versión del SDK de Key Vault
Las nuevas bibliotecas de cliente de Key Vault se dividen en SDK de claves, secretos y
certificados, que se integran con la biblioteca de identidades de Azure recomendada
para proporcionar una autenticación sin problemas a Key Vault en todos los lenguajes y
entornos. También contiene varias correcciones para los problemas notificados por los
clientes y que se identifican en nuestro proceso de control de calidad.
） Importante
Tenga en cuenta que solo puede corregir las recomendaciones de las aplicaciones
personalizadas a las que tiene acceso. Recomendaciones se puede mostrar debido
a la integración con otros servicios de Azure, como Storage o Disk Encryption, que
están en proceso de actualización a la nueva versión de nuestro SDK. Si usa
.NET 4.0 en todas las aplicaciones, descarte la recomendación.
Obtenga más información sobre el servicio de HSM administrado:

UpgradeKeyVaultMHSMSDK (actualización de la versión del SDK de Key Vault).
Storage
Uso de "Put Blob" para blobs menores de 256 MB

Al escribir un blob en bloques de 256 MB o menos (64 MB para las solicitudes con
versiones de REST anteriores a la 2016-05-31), puede cargarlo en su totalidad con una
sola operación de escritura mediante "Put Blob". En función de las métricas agregadas,
creemos que se pueden optimizar las operaciones de escritura de su cuenta de
almacenamiento.
Obtenga más información sobre la cuenta de almacenamiento: StorageCallPutBlob (uso

de "Put Blob" para blobs de menos de 256 MB) .
Aumente el tamaño aprovisionado del recurso

compartido de archivos premium para evitar la limitación
de las solicitudes
Las solicitudes de recurso compartido de archivos premium se limitan a medida que se
han alcanzado las operaciones de E/S por segundo (IOPS) o los límites de rendimiento
del recurso compartido. Para evitar que las solicitudes se limiten, aumente el tamaño del
recurso compartido de archivos premium.
Obtenga más información sobre Cuenta de almacenamiento:

AzureStorageAdvisorAvoidThrottlingPremiumFiles (aumento del tamaño aprovisionado
del recurso compartido de archivos premium para evitar la limitación de las solicitudes).
Creación de estadísticas en columnas de tablas

Hemos detectado que no tiene estadísticas de tablas, lo que podría afectar al
rendimiento de las consultas. El optimizador de consultas usa las estadísticas para
estimar la cardinalidad o el número de filas del resultado de la consulta, lo que permite
que el optimizador de consultas cree un plan de consultas de alta calidad.
Obtenga más información sobre el almacenamiento de datos SQL:

CreateTableStatisticsSqlDW (creación de estadísticas en columnas de tabla) .
Eliminación de la asimetría de datos para aumentar el

rendimiento de las consultas
Hemos detectado una asimetría de datos de distribución superior a un 15 %, lo que
podría provocar costosos cuellos de botella que afecten al rendimiento.
Obtenga más información sobre el almacenamiento de datos SQL: DataSkewSqlDW

(eliminación de la asimetría de datos para aumentar el rendimiento de las consultas) .
Actualización de estadísticas en columnas de tablas

Hemos detectado que no tiene estadísticas de tablas actualizadas, lo que podría afectar
al rendimiento de las consultas. El optimizador de consultas usa estadísticas actualizadas
para estimar la cardinalidad o el número de filas del resultado de la consulta, lo que
permite que el optimizador de consultas cree un plan de consultas de alta calidad.

UpdateTableStatisticsSqlDW (actualización de estadísticas en columnas de tabla) .
Escalado vertical para optimizar la utilización de memoria

caché con SQL Data Warehouse
Hemos detectado que tenía un porcentaje alto de caché utilizada con un porcentaje
bajo de visitas, lo que indica una tasa de expulsión de caché alta, que puede afectar al
rendimiento de la carga de trabajo.

SqlDwIncreaseCacheCapacity (escalado vertical para optimizar el uso de la caché con el
almacenamiento de datos SQL) .
Escalado vertical o actualización de la clase de recurso

para reducir la contención de tempdb con SQL Data
Warehouse
Hemos detectado que tenía un uso alto de tempdb que puede afectar al rendimiento de
la carga de trabajo.

SqlDwReduceTempdbContention (escalado vertical o actualización de la clase de
recursos para reducir la contención de tempdb con el almacenamiento de datos SQL) .
Conversión de tablas en tablas replicadas con SQL Data

Warehouse
Hemos detectado que se podría beneficiar del uso de tablas replicadas. Las tablas
replicadas evitan operaciones de movimiento de datos costosas y ofrecen un aumento
significativo del rendimiento de la carga de trabajo.
Obtenga más información sobre el almacenamiento de datos SQL: SqlDwReplicateTable

(conversión de tablas en tablas replicadas con el almacenamiento de datos SQL) .
División de los archivos copiados de forma intermedia en

la cuenta de almacenamiento, para aumentar el
rendimiento de la carga
Hemos detectado que puede aumentar el rendimiento de la carga, dividiendo los
archivos comprimidos que están copiados de forma intermedia en la cuenta de
almacenamiento. Una buena regla general es dividir los archivos comprimidos en 60 o
más para maximizar el paralelismo de la carga.
Obtenga más información sobre el almacenamiento de datos SQL: FileSplittingGuidance

(división de archivos copiados de forma intermedia en la cuenta de almacenamiento,
para aumentar el rendimiento de la carga) .
Aumento del tamaño del lote al cargar para maximizar el
rendimiento de carga, la compresión de datos y el
rendimiento de consultas
Hemos detectado que puede aumentar el rendimiento de carga aumentando el tamaño
del lote al cargar en la base de datos. Considere la posibilidad de usar la instrucción
COPY. Si no puede usar la instrucción COPY, considere la posibilidad de aumentar el
tamaño del lote al usar utilidades de carga como la API de SQLBulkCopy o BCP (una
buena recomendación es un tamaño de lote entre 100 000 y un millón de filas).

LoadBatchSizeGuidance (aumento del tamaño del lote al cargar, para maximizar el
rendimiento de la carga, la compresión de datos y el rendimiento de las consultas) .
Ubicación de la cuenta de almacenamiento en la misma

región para minimizar la latencia en la carga
Hemos detectado que está realizando las cargas desde una región diferente a la del
grupo de SQL. Considere la posibilidad de cargar desde una cuenta de almacenamiento
que esté en la misma región que el grupo de SQL para minimizar la latencia al cargar los
datos.

ColocateStorageAccount (colocación de la cuenta de almacenamiento dentro de la
misma región, para minimizar la latencia al cargar) .
Actualice la biblioteca de cliente de Azure Storage a la

versión más reciente para mejorar la confiabilidad y el
rendimiento.
La versión más reciente de la biblioteca de cliente de Azure Storage o el SDK contiene
correcciones para los problemas notificados por los clientes y que se identifican en
nuestro proceso de control de calidad. La versión más reciente también incluye la
optimización del rendimiento y la confiabilidad, además de nuevas características que
pueden mejorar la experiencia global con Azure Storage.
Obtenga más información sobre Cuenta de almacenamiento: UpdateStorageSDK

(actualización de la biblioteca cliente de Storage a la versión más reciente para mejorar
la confiabilidad y el rendimiento) .
Actualice la biblioteca de cliente de Azure Storage a la
versión más reciente para mejorar la confiabilidad y el
rendimiento.
La versión más reciente de la biblioteca de cliente de Azure Storage o el SDK contiene
correcciones para los problemas notificados por los clientes y que se identifican en
nuestro proceso de control de calidad. La versión más reciente también incluye la
optimización del rendimiento y la confiabilidad, además de nuevas características que
pueden mejorar la experiencia global con Azure Storage.
Obtenga más información sobre la cuenta de almacenamiento:

UpdateStorageDataMovementSDK (actualización de la biblioteca cliente de Storage a la
versión más reciente, para mejorar la confiabilidad y el rendimiento) .
Actualización a discos SSD estándar para mejorar la

coherencia y el rendimiento
Dado que está ejecutando cargas de trabajo de máquina virtual IaaS en discos
administrados HDD estándar, tenga en cuenta que ahora hay disponible una opción de
disco SSD estándar para todos los tipos de máquina virtual de Azure. Los discos SSD
estándar son una opción de almacenamiento rentable optimizada para cargas de
trabajo empresariales que necesitan un rendimiento coherente. Actualice la
configuración del disco para obtener una mayor latencia, confiabilidad y disponibilidad.
La actualización requiere reiniciar la máquina virtual, lo que tardará entre tres y cinco
minutos.

StandardSSDForNonPremVM (actualización a discos SSD estándar para un rendimiento
coherente y mejorado).
Uso del almacenamiento de blobs en bloques de

rendimiento Premium
Una o varias de sus cuentas de almacenamiento tienen una alta tasa de transacciones
por GB de datos de blobs en bloques almacenados. Use el almacenamiento de blobs en
bloques de rendimiento Premium en lugar del almacenamiento de rendimiento Estándar
para las cargas de trabajo que requieren tiempos de respuesta de almacenamiento
rápidos o tasas altas de transacciones y que pueden ahorrar costos de almacenamiento.

PremiumBlobStorageAccount (uso del almacenamiento de blobs en bloques de
rendimiento prémium) .
Conversión de discos no administrados de HDD estándar

a SSD Premium para obtener mayor rendimiento
Hemos observado que su disco HDD no administrado se está aproximando a los
objetivos de rendimiento. Los discos SSD Premium de Azure ofrecen soporte de disco
de alto rendimiento y latencia baja para máquinas virtuales con cargas de trabajo con
uso intensivo de entrada/salida. Dé un impulso al rendimiento de sus discos
actualizando de HDD estándar a SSD Premium. La actualización requiere reiniciar la
máquina virtual, lo que tardará entre tres y cinco minutos.

UMDHDDtoPremiumForPerformance (conversión de discos no administrados de HDD
estándar a SSD prémium para mejorar el rendimiento).
Distribución de los datos en el grupo de servidores para

distribuir la carga de trabajo entre los nodos
Parece que los datos no se distribuyen en este grupo de servidores, pero permanecen
en el coordinador. En el caso de las ventajas completas de Hiperescala (Citus), distribuya
los datos en los nodos de trabajo del grupo de servidores.

OrcasPostgreSqlCitusDistributeData (distribución de datos en el grupo de servidores
para distribuir la carga de trabajo entre nodos) .
Reequilibrio de los datos en el grupo de servidores de

Hiperescala (Citus) para distribuir la carga de trabajo
entre los nodos de trabajo de forma más uniforme
Parece que los datos no están bien equilibrados entre los nodos de trabajo de este
grupo de servidores de Hiperescala (Citus). Para usar cada nodo de trabajo del grupo de
servidores de Hiperescala (Citus), debe reequilibrar los datos del grupo de servidores.

OrcasPostgreSqlCitusRebalanceData (reequilibrio de los datos en un grupo de
servidores de Hiperescala [Citus] para distribuir la carga de trabajo entre los nodos de
trabajo de una manera más uniforme) .
Infraestructura de escritorio virtual
Mejore la experiencia y la conectividad del usuario

mediante la implementación de máquinas virtuales más
cerca de la ubicación del usuario.
Hemos determinado que las máquinas virtuales se encuentran en una región distinta o
lejos de la ubicación donde los usuarios se conectan con Azure Virtual Desktop, lo que
puede dar lugar a tiempos de respuesta de conexión prolongados y afectar a la
experiencia global del usuario. Al crear máquinas virtuales para los grupos de hosts,
intente usar una región más cercana al usuario. Tener una estrecha proximidad garantiza
una satisfacción continuada con el servicio Azure Virtual Desktop y una mejor calidad de
experiencia general.
Obtenga más información sobre el grupo de hosts: RegionProximityHostPools (mejora

de la experiencia del usuario y de la conectividad mediante la implementación de las
VM más cerca de la ubicación del usuario).
Cambie el límite máximo de sesión para el grupo de hosts

con equilibrio de carga en profundidad para mejorar el
rendimiento de la máquina virtual.
El equilibrio de carga en profundidad usa el límite máximo de sesión para determinar el
número máximo de usuarios que pueden tener sesiones simultáneas en un único host
de sesión. Si el límite máximo de sesión es demasiado alto, todas las sesiones de usuario
se dirigirán al mismo host de sesión y esto podría provocar problemas de rendimiento y
confiabilidad. Por lo tanto, al configurar un grupo de hosts para que tenga un equilibrio
de carga en profundidad, establezca también un límite máximo de sesión adecuado
según la configuración de la implementación y la capacidad de las máquinas virtuales.
Para corregir esto, abra las propiedades del grupo de hosts y cambie el valor junto a la
configuración de límite máximo de sesión.
Obtenga más información sobre el grupo de hosts:

ChangeMaxSessionLimitForDepthFirstHostPool (cambio del límite máximo de sesión
para el grupo de hosts con equilibrio de carga en profundidad, para mejorar el
rendimiento de la VM).
Web
Traslado del plan de App Service a PremiumV2 para
mejorar el rendimiento
La aplicación sirvió más de 1000 solicitudes al día durante los últimos 3 días. La
aplicación podría aprovechar las ventajas de la infraestructura de mayor rendimiento
disponible con el nivel Premium V2 de App Service. El nivel Premium V2 incluye
máquinas virtuales de la serie Dv2 con procesadores más rápidos, almacenamiento SSD
y una doble proporción de memoria frente a núcleos en comparación con las instancias
anteriores. Más información sobre la actualización a Premium V2 en la documentación.
Obtenga más información sobre App Service: AppServiceMoveToPremiumV2 (traslado

del plan de App Service a PremiumV2 para mejorar el rendimiento) .
Comprobación de las conexiones salientes desde el

recurso de App Service
La aplicación ha abierto demasiadas conexiones de socket TCP/IP. Si se superan los
límites de conexión de puertos TCP/IP efímeros, se pueden producir problemas de
conectividad inesperados en las aplicaciones.
Obtenga más información sobre App Service: AppServiceOutboundConnections

(comprobación de las conexiones salientes desde el recurso de App Service) .
Pasos siguientes
Obtenga más información sobre la eficiencia del rendimiento: Marco de buena
arquitectura de Microsoft Azure
Recomendaciones sobre la confiabilidad
Artículo • 31/10/2023
Azure Advisor lo ayuda a garantizar y mejorar la continuidad de las aplicaciones

empresariales críticas. Puede obtener recomendaciones de confiabilidad en la pestaña
Confiabilidad del panel Advisor.
3. En el panel de Advisor, seleccione la pestaña Confiabilidad.
AI Services
Está cerca de superar la cuota de almacenamiento de 2

GB. Creación de un servicio de búsqueda Estándar
Está cerca de superar la cuota de almacenamiento de 2 GB. Cree un servicio de Azure
Search Estándar. Las operaciones de indexación dejarán de funcionar al exceder la cuota
de almacenamiento.
Más información sobre los Límites de servicio en Azure Cognitive Search.
Está cerca de superar la cuota de almacenamiento de 50

MB. Creación de un servicio de búsqueda básico o
estándar
Está cerca de superar la cuota de almacenamiento de 50 MB. Cree una instancia de
Azure Search Básico o Estándar. Las operaciones de indexación dejarán de funcionar al
exceder la cuota de almacenamiento.
Más información sobre los Límites de servicio en Azure Cognitive Search.
Está cerca de superar la cuota de almacenamiento

disponible. Agregar más particiones si necesita más
almacenamiento
Está cerca de superar la cuota de almacenamiento disponible. Agregue particiones
adicionales si necesita más almacenamiento. Después de exceder la cuota de
almacenamiento, todavía puede realizar consultas, pero las operaciones de indexación
dejan de funcionar.
Más información sobre los Límites de servicio en Azure Cognitive Search
Cuota superada para este recurso

Hemos detectado que se ha superado la cuota del recurso. Puede esperar a que se
reabastece automáticamente pronto, o bien desbloquear y usar el recurso de nuevo
ahora, puede actualizarlo a una SKU de pago.
Obtenga más información sobre Cognitive Service: CognitiveServiceQuotaExceeded (Se

ha superado la cuota de este recurso).
Actualización de la aplicación para usar la versión más

reciente de la API desde Azure OpenAI
Hemos detectado que tiene un recurso de Azure OpenAI que se usa con una versión de
API anterior. Use la versión más reciente de la API REST para aprovechar las
características y funcionalidades más recientes.
Obtenga más información sobre Cognitive Service: CogSvcApiVersionOpenAI

(actualización de la aplicación para usar la versión más reciente de la API de Azure
OpenAI).
Actualización de la aplicación para usar la versión más

reciente de la API desde Azure OpenAI
Hemos detectado que tiene un recurso de Azure OpenAI que se usa con una versión de
API anterior. Use la versión más reciente de la API REST para aprovechar las
características y funcionalidades más recientes.
Obtenga más información sobre Cognitive Service: versión de API: OpenAI (actualización
de la aplicación para usar la versión más reciente de la API de Azure OpenAI).
Análisis
El clúster que ejecuta Ubuntu 16.04 no es compatible

Hemos detectado que el clúster de HDInsight todavía usa Ubuntu 16.04 LTS. El fin de la
compatibilidad con clústeres de Azure HDInsight en Ubuntu 16.04 LTS comenzó el 30 de
noviembre de 2022. Los clústeres existentes se ejecutarán tal cual sin la compatibilidad
de Microsoft. Considere la posibilidad de reconstruir el clúster con las imágenes más
recientes.
Obtenga más información sobre clúster de HDInsight: ubuntu1604HdiClusters (el clúster

que ejecuta Ubuntu 16.04 no es compatible).
Actualización del clúster de HDInsight

Hemos detectado que el clúster no usa la imagen más reciente. Recomendamos a los
clientes que usen las versiones más recientes de imágenes de HDInsight, ya que aportan
lo mejor de código abierto actualizaciones, actualizaciones de Azure y correcciones de
seguridad. La versión de HDInsight se produce cada 30 a 60 días. Considere la
posibilidad de pasar a la versión más reciente.
Obtenga más información sobre clúster de HDInsight: upgradeHDInsightCluster

(Actualización del clúster de HDInsight).
El clúster se creó hace un año

Hemos detectado que el clúster se creó hace un año. Como parte de los procedimientos
recomendados, se recomienda usar las imágenes más recientes de HDInsight, ya que
aportan lo mejor de las actualizaciones de código abierto, las actualizaciones de Azure y
las correcciones de seguridad. La duración máxima recomendada para las
actualizaciones del clúster es inferior a seis meses.
Obtenga más información sobre clúster de HDInsight: clusterOlderThanAYear (el clúster

se creó hace un año).
Los discos de clúster de Kafka están casi llenos

Los discos de datos utilizados por los brokers de Kafka en su clúster de HDInsight están
casi llenos. Cuando sucede esto, el proceso del agente de Apache Kafka no se puede
iniciar y se produce un error debido a que el disco está lleno. Para mitigarlo, averigüe el
tiempo de retención de cada tema de Kafka, haga una copia de seguridad de los
archivos más antiguos y reinicie los brokers.
Obtenga más información sobre clúster de HDInsight: KafkaDiskSpaceFull (los discos de

clúster de Kafka están casi llenos) .
La creación de clústeres en una red virtual personalizada
requiere más permisos
Los clústeres con una red virtual personalizada se crearon sin permiso para unirse a la
red virtual. Asegúrese de que los usuarios que realizan operaciones de creación tengan
permisos para la acción Microsoft.Network/virtualNetworks/subnets/join antes del 30 de
septiembre de 2023.
Obtenga más información sobre clúster de HDInsight: EnforceVNetJoinPermissionCheck

(la creación de clústeres en la red virtual personalizada requiere más permisos) .
Desuso de Kafka 1.1 en el clúster de Kafka de HDInsight

4.0
A partir del 1 de julio de 2020, no podrá crear clústeres de Kafka con Kafka 1.1 en
HDInsight 4.0. Los clústeres existentes se ejecutarán tal cual sin la compatibilidad de
Microsoft. Considere la posibilidad de pasar a Kafka 2.1 en HDInight 4.0 a partir del 30
de junio de 2020 para evitar la posible interrupción del sistema o del soporte técnico.
Obtenga más información sobre Clúster de HDInsight: KafkaVersionRetirement (Puesta

en desuso de Kafka 1.1 en el clúster Kafka de HDInsight 4.0) .
Puesta en desuso de las versiones anteriores de Spark en

el clúster de HDInsight Spark
A partir del 1 de julio de 2020, no podrá crear nuevos clústeres de Spark con Spark 2.1 y
2.2 en HDInsight 3.6, y Spark 2.3 en HDInsight 4.0. Los clústeres existentes se ejecutarán
tal cual sin la compatibilidad de Microsoft.
Obtenga más información sobre Clúster de HDInsight: SparkVersionRetirement (Puesta

en desuso de versiones anteriores de Spark en el clúster de HDInsight Spark) .
Habilitación de las actualizaciones críticas que se van a

aplicar a los clústeres de HDInsight
El servicio HDInsight está aplicando una actualización importante relacionada con el
certificado del clúster. Sin embargo, una o varias directivas de la suscripción impiden
que el servicio HDInsight cree o modifique recursos de red asociados a los clústeres y
aplique esta actualización. Realice acciones para permitir que el servicio HDInsight cree
o modifique recursos de red, como el equilibrador de carga, interfaz de red y dirección
IP pública, asociados a los clústeres antes del 13 de enero de 2021 05:00 UTC. El equipo
de HDInsight está realizando actualizaciones entre el 13 de enero de 2021 05:00 UTC y
el 16 de enero de 2021 05:00 UTC. Si no se aplica esta actualización, es posible que los
clústeres se vuelvan incorrectos e inutilizables.
Más información sobre Clúster de HDInsight: GCSCertRotation (Habilitación de las

actualizaciones críticas para aplicar a los clústeres de HDInsight).
Eliminación y nueva creación de los clústeres de

HDInsight para aplicar actualizaciones críticas
El servicio HDInsight ha intentado aplicar una actualización del certificado crítica en
todos los clústeres en ejecución. Sin embargo, debido a algunos cambios de
configuración personalizados, no se pueden aplicar las actualizaciones de certificado en
algunos de los clústeres.
Obtenga más información sobre Clúster de HDInsight: GCSCertRotationRound2

(Eliminación y nueva creación de los clústeres de HDInsight para aplicar actualizaciones
críticas).
Eliminación y nueva creación de los clústeres de

HDInsight para aplicar actualizaciones críticas
todos los clústeres en ejecución. Sin embargo, debido a algunos cambios de
configuración personalizados, no se pueden aplicar las actualizaciones de certificado en
algunos de los clústeres. Quite y vuelva a crear el clúster antes del 25 de enero de 2021
para evitar que el clúster se vuelva incorrecto e inutilizable.
Obtenga más información sobre Clúster de HDInsight: GCSCertRotationR3DropRecreate

(Eliminación y nueva creación de los clústeres de HDInsight para aplicar actualizaciones
críticas).
Aplicación de actualizaciones críticas a los clústeres de

HDInsight
todos los clústeres en ejecución. Sin embargo, una o varias directivas de la suscripción
impiden que el servicio HDInsight cree o modifique recursos de red asociados a los
clústeres y aplique la actualización. Quite o actualice la asignación de directiva para
permitir que el servicio HDInsight cree o modifique recursos de red asociados a los
clústeres. Cambie la asignación de directiva antes del 21 de enero de 2021 05:00 UTC
cuando el equipo de HDInsight realice actualizaciones entre el 21 de enero de 2021
05:00 UTC y el 23 de enero de 2021 05:00 UTC. Para comprobar la actualización de la
directiva, puede intentar crear recursos de red en el mismo grupo de recursos y subred
donde está el clúster. Si no se aplica esta actualización, es posible que los clústeres se
vuelvan incorrectos e inutilizables. También puede quitar y volver a crear el clúster antes
del 25 de enero de 2021 para evitar que el clúster se vuelva incorrecto e inutilizable. El
servicio HDInsight enviará otra notificación si no se pudo aplicar la actualización a los
clústeres.
Más información sobre Clúster de HDInsight: GCSCertRotationR3PlanPatch (Habilitación

de las actualizaciones críticas para aplicar a los clústeres de HDInsight).
Acción requerida: migración del clúster de HDInsight A8-

A11 antes del 1 de marzo de 2021
Está recibiendo este aviso porque tiene uno o varios clústeres de HDInsight A8, A9, A10
o A11 activos. Las máquinas virtuales de A8 a A11 se retirarán en todas las regiones el
1 de marzo de 2021. Después de esa fecha, se desasignarán todos los clústeres que
usen máquinas de A8 a A11. Migre los clústeres afectados a otra máquina virtual
compatible con HDInsight (https://azure.microsoft.com/pricing/details/hdinsight/ )
antes de esa fecha. Para obtener más información, vea el vínculo "Más información" o
póngase en contacto con nosotros en askhdinsight@microsoft.com
Obtenga más información sobre Clúster de HDInsight: VMDeprecation (acción

necesaria: migración del clúster de HDInsight A8-A11 antes del 1 de marzo de 2021) .
Proceso
Cloud Services (clásico) se va a retirar. Migración antes

del 31 de agosto de 2024
Cloud Services (clásico) se va a retirar. Migre antes del 31 de agosto de 2024 para evitar
la pérdida de datos o continuidad empresarial.
Obtenga más información sobre Recurso: Retirada de Cloud Services (cloud Services
(clásico) que se va a retirar. Migre antes del 31 de agosto de 2024) .
Actualización de los discos estándar conectados a la

máquina virtual preparada para la versión prémium a
discos prémium
Hemos identificado que usa discos estándar con las máquinas virtuales compatibles con
premium y se recomienda que considere la posibilidad de actualizar los discos estándar
a discos Premium. Para cualquier máquina virtual de instancia única que use
almacenamiento premium para todos los discos de sistema operativo y discos de datos,
garantizamos la conectividad de máquina virtual de al menos un 99,9 %. Tenga en
cuenta estos factores al tomar la decisión de actualización. El primero es que la
actualización requiere reiniciar la máquina virtual y este proceso tarda de 3 a 5 minutos
en completarse. El segundo es que, si las máquinas virtuales de la lista son máquinas
virtuales de producción críticas para la misión, debe evaluar la mejora de la
disponibilidad frente al costo de los discos Premium.
Obtenga más información sobre Máquina virtual:

MigrateStandardStorageAccountToPremium (actualización de los discos estándar
conectados a la máquina virtual compatible con Premium a discos Premium) .
Habilitación de la replicación de la máquina virtual para

proteger las aplicaciones frente a una interrupción
regional
Las máquinas virtuales que no tienen habilitada la replicación en otra región no son
resistentes a las interrupciones regionales. La replicación de las máquinas reduce
drásticamente cualquier impacto adverso en el negocio durante el transcurso de una
interrupción regional de Azure. Se recomienda encarecidamente habilitar la replicación
de todas las máquinas virtuales críticas para la empresa en la lista siguiente para que, en
caso de interrupción, pueda abrir rápidamente las máquinas en una región remota de
Azure. Obtenga más información sobre Máquina virtual: ASRUnprotectedVMs
(Habilitación de la replicación de máquinas virtuales para proteger las aplicaciones
frente a interrupciones regionales) .
Actualización de la VM de discos no administrados

Premium a discos administrados sin costo extra
Hemos identificado que la máquina virtual usa discos no administrados Premium que se
pueden migrar a discos administrados sin costo extra. Azure Managed Disks
proporciona una mayor resistencia, una administración simplificada del servicio, un
destino de escala mayor y más opciones entre varios tipos de disco. Esta actualización
se puede realizar mediante el portal en menos de 5 minutos.

UpgradeVMToManagedDisksWithoutAdditionalCost (Actualización de la máquina virtual
de discos no administrados premium a Managed Disks sin costo extra) .
Actualice el protocolo de conectividad de salida a

etiquetas de servicio para Azure Site Recovery.
El uso de filtrado basado en direcciones IP se ha identificado como una manera
vulnerable de controlar la conectividad de salida para los firewalls. Se recomienda usar
etiquetas de servicio como alternativa para controlar la conectividad. Se aconseja el uso
de etiquetas de servicio para permitir la conectividad a los servicios de Azure Site
Recovery para las máquinas.

ASRUpdateOutboundConnectivityProtocolToServiceTags (actualice el protocolo de
conectividad de salida a etiquetas de servicio para Azure Site Recovery) .
Actualización de las configuraciones de firewall para

permitir nuevas direcciones IP de RHUI 4
Los conjuntos de escalado de máquinas virtuales comienzan a recibir contenido del
paquete de los servidores RHUI4 el 12 de octubre de 2023. Si permite direcciones IP de
RHUI 3 [https://aka.ms/rhui-server-list] a través del firewall y el proxy, permita que las
nuevas direcciones IP de RHUI 4 [https://aka.ms/rhui-server-list] sigan recibiendo
actualizaciones de paquetes de RHEL.
Obtenga más información sobre máquina virtual: Rhui3ToRhui4MigrationV2

(actualización de las configuraciones de firewall para permitir nuevas direcciones IP de
RHUI 4) .
Las máquinas virtuales de la suscripción se ejecutan en

imágenes programadas para desuso
Las máquinas virtuales de la suscripción se ejecutan en imágenes programadas para
desuso. Una vez que la imagen está en desuso, no se pueden crear nuevas máquinas
virtuales a partir de la imagen en desuso. Actualice a una versión más reciente de la
imagen para evitar interrupciones en las cargas de trabajo.
Obtenga más información sobre máquina virtual:

VMRunningDeprecatedOfferLevelImage (las máquinas virtuales de la suscripción se
ejecutan en imágenes programadas para desuso) .
virtuales a partir de la imagen en desuso. Actualice a una SKU más reciente de la imagen
para evitar interrupciones en las cargas de trabajo.

VMRunningDeprecatedPlanLevelImage (las máquinas virtuales de la suscripción se

virtuales a partir de la imagen en desuso. Actualice a la versión más reciente de la
imagen para evitar interrupciones en las cargas de trabajo.
Obtenga más información sobre máquina virtual: VMRunningDeprecatedImage (las

máquinas virtuales de la suscripción se ejecutan en imágenes programadas para
desuso) .
Use las zonas de disponibilidad para mejorar la resiliencia

y la disponibilidad
En Azure, Availability Zones (AZ) ayuda a proteger las aplicaciones y los datos de errores
del centro de datos. Cada zona de disponibilidad consta de uno o varios centros de
datos equipados con alimentación, refrigeración y redes independientes. Al diseñar
soluciones para usar máquinas virtuales zonales, puede aislar las máquinas virtuales del
error en cualquier otra zona.
Obtenga más información sobre máquina virtual: AvailabilityZoneVM (Uso de zonas de

disponibilidad para mejorar la resistencia y la disponibilidad).
Uso de Managed Disks para mejorar la confiabilidad de

los datos
Las máquinas virtuales de un conjunto de disponibilidad con discos que comparten
cuentas de almacenamiento o unidades de escalado de almacenamiento no son
resistentes a errores de unidad de escalado de almacenamiento único durante las
interrupciones. Migre a Azure Managed Disks para garantizar que los discos de las
distintas máquinas virtuales del conjunto de disponibilidad estén lo suficientemente
aislados entre sí como para evitar un único punto de error.
Obtenga más información sobre Conjunto de disponibilidad: ManagedDisksAvSet (use

Managed Disks para mejorar la confiabilidad de los datos) .
Acceso a direcciones URL obligatorias que faltan para el

entorno de Azure Virtual Desktop
Para que un host de sesión implemente y registre correctamente en Azure Virtual
Desktop, debe agregar un conjunto de direcciones URL a la lista de permitidos, en caso
de que la máquina virtual se ejecute en un entorno restringido. Después de visitar el
vínculo "Más información", puede ver la lista mínima de direcciones URL que necesita
desbloquear para tener una implementación correcta y un host de sesión funcional. Para
direcciones URL específicas que faltan en la lista de permitidos, también puede buscar el
registro de eventos de la aplicación para el evento 3702.
Más información sobre Máquina virtual: SessionHostNeedsAssistanceForUrlCheck

(acceso a las direcciones URL obligatorias que faltan para el entorno Azure Virtual
Desktop).
Actualización de las configuraciones de firewall para

permitir nuevas direcciones IP de RHUI 4
Los conjuntos de escalado de máquinas virtuales comienzan a recibir contenido del
paquete de los servidores RHUI4 el 12 de octubre de 2023. Si permite direcciones IP de
RHUI 3 [https://aka.ms/rhui-server-list] a través del firewall y el proxy, permita que las
nuevas direcciones IP de RHUI 4 [https://aka.ms/rhui-server-list] sigan recibiendo
actualizaciones de paquetes de RHEL.
Obtenga más información sobre conjunto de escalado de máquinas virtuales:

Rhui3ToRhui4MigrationVMSSS (actualice las configuraciones de firewall para permitir
nuevas direcciones IP de RHUI 4) .
Los conjuntos de escalado de máquinas virtuales de la

suscripción se ejecutan en imágenes programadas para
desuso
Los conjuntos de escalado de máquinas virtuales de la suscripción se ejecutan en
imágenes programadas para desuso. Una vez que la imagen está en desuso, las cargas
de trabajo de Virtual Machine Scale Sets ya no se escalarían horizontalmente. Actualice
a una versión más reciente de la imagen para evitar interrupciones en la carga de
trabajo.

VMScaleSetRunningDeprecatedOfferImage (Virtual Machine Scale Sets en la suscripción
se ejecutan en imágenes programadas para desuso) .

desuso
a la versión más reciente de la imagen para evitar interrupciones en la carga de trabajo.

VMScaleSetRunningDeprecatedImage (Virtual Machine Scale Sets en su suscripción se

desuso
al plan más reciente de la imagen para evitar interrupciones en la carga de trabajo.

VMScaleSetRunningDeprecatedPlanImage (virtual Machine Scale Sets en la suscripción
se ejecutan en imágenes programadas para desuso) .
Contenedores
Aumento del número mínimo de réplicas para la
aplicación de contenedor
Hemos detectado que el número mínimo de réplicas establecido para la aplicación
contenedora podría ser inferior al óptimo. Considere la posibilidad de aumentar el
número mínimo de réplicas para mejorar la disponibilidad.

ContainerAppMinimalReplicaCountTooLow (aumentar el número mínimo de réplicas
para la aplicación contenedora) .
Renovación de un certificado de dominio personalizado

Hemos detectado que el certificado de dominio personalizado que cargó está a punto
de expirar. Renueve el certificado y cargue el nuevo certificado para las aplicaciones de
contenedor.

ContainerAppCustomDomainCertificateNearExpiration (Renovar certificado de dominio
personalizado) .
Se ha identificado un posible problema de red con el

entorno de Container Apps que requiere que se vuelva a
crear para evitar problemas de DNS.
Se ha identificado un posible problema de red para los entornos de Container Apps.
Para evitar este posible problema de red, cree un nuevo entorno de Container Apps,
vuelva a crear las aplicaciones de contenedor en el nuevo entorno y elimine el antiguo
entorno de Container Apps.
Obtenga más información sobre Entorno Administrado:

CreateNewContainerAppsEnvironment (Se ha identificado un posible problema de red
con el entorno de aplicaciones de contenedor que requiere que se vuelva a crear para
evitar problemas de DNS) .
Se requiere verificación de dominio para renovar el

certificado de App Service
Tiene un certificado de App Service que se encuentra actualmente en un estado de
emisión pendiente y requiere la comprobación del dominio. Si no se valida la propiedad
del dominio, se producirá una emisión de certificado incorrecta. La comprobación del
dominio no está automatizada para los certificados de App Service y requiere la acción.
Obtenga más información sobre Certificado de App Service:

ASCDomainVerificationRequired (comprobación de dominio necesaria para renovar el
certificado de App Service) .
Clústeres que tienen grupos de nodos con una serie B no

confirmada
El clúster tiene uno o varios grupos de nodos mediante una SKU de máquina virtual
ampliable no confirmada. Con las VM ampliables, la capacidad de vCPU completa es un
100 % (sin garantía). Asegúrese de que las máquinas virtuales de la serie B no se usan en
un entorno de producción.
Obtenga más información sobre servicio kubernetes: ClustersUsingBSeriesVMs

(clústeres que tienen grupos de nodos mediante una serie B sin modificar).
Actualización al nivel estándar para clústeres críticos y de

producción
Este clúster tiene más de 10 nodos y no ha habilitado el nivel Estándar. El plano de
control de Kubernetes en el nivel Gratis incluye recursos limitados y no está pensado
para su uso en producción ni para ningún clúster con 10 o más nodos.
Obtenga más información sobre servicio kubernetes: UseStandardpricingtier

(Actualización al nivel Estándar para clústeres de producción y críticos).
Presupuestos recomendados de interrupción del pod

Presupuestos de interrupciones de pods recomendados. Mejora de la alta disponibilidad
del servicio.
Obtenga más información sobre Servicio de Kubernetes:

PodDisruptionBudgetsRecommended (se recomiendan los presupuestos de interrupción
de pods).
Actualización a la versión más reciente del agente de

Kubernetes habilitado para Azure Arc
Actualice a la versión más reciente del agente para obtener la mejor experiencia de
Kubernetes habilitado para Azure Arc, una estabilidad mejorada y nueva funcionalidad.
Obtenga más información sobre Kubernetes: Azure Arc: actualización de la versión del
agente K8s habilitada para Arc (Actualización a la versión más reciente del agente de
Kubernetes habilitado para Azure Arc) .
Bases de datos
Replicación: agregue una clave principal a la tabla que

actualmente no tiene una
En función de nuestra supervisión interna, hemos observado un retraso de replicación
significativo en el servidor de réplicas. Este retraso se produce porque el servidor de
réplica está reproduciendo los registros de retransmisión en una tabla que carece de
una clave principal. Para asegurarse de que la réplica puede sincronizarse con la
principal y mantenerse al día de los cambios, agregue claves principales a las tablas del
servidor principal. Una vez agregadas las claves principales, vuelva a crear el servidor de
réplicas.
MySqlFlexibleServerReplicaMissingPKfb41 (Replicación: Agregar una clave principal a la
tabla que actualmente no tiene una).
Alta disponibilidad: Agregue la clave principal a la tabla

que actualmente no tiene una
Nuestro sistema de supervisión interno ha identificado un retraso de replicación
significativo en el servidor en espera de alta disponibilidad. El servidor en espera que
reproduce los registros de retransmisión en una tabla que carece de una clave principal
es la causa principal del retraso. Para solucionar este problema y cumplir los
procedimientos recomendados, se recomienda agregar claves principales a todas las
tablas. Una vez que agregue las claves principales, deshabilite y vuelva a habilitar la alta
disponibilidad para mitigar el problema.
MySqlFlexibleServerHAMissingPKcf38 (Alta disponibilidad: Agregar clave principal a la
tabla que actualmente no tiene una)..
La disponibilidad puede verse afectada por la
fragmentación de memoria alta. Aumente la reserva de
memoria de fragmentación para evitar
La fragmentación y la presión de memoria pueden provocar incidentes de
disponibilidad durante las operaciones de administración o una conmutación por error.
Aumentar la reserva de memoria para la fragmentación ayuda a reducir los errores de
caché cuando se ejecuta con una presión de memoria alta. La memoria para la
fragmentación se puede aumentar con la configuración maxfragmentationmemory-
reserved disponible en el área de opciones de configuración avanzada.
Obtenga más información sobre servidor de caché de Redis:

RedisCacheMemoryFragmentation (la disponibilidad podría verse afectada por la
fragmentación de memoria alta. Aumente la reserva de memoria de fragmentación para
evitar posibles impactos). .
Habilitación de Azure Backup para SQL en máquinas

virtuales
Habilite las copias de seguridad de las bases de datos SQL en las máquinas virtuales
mediante Azure Backup y obtenga las ventajas de la copia de seguridad de
infraestructura cero, la restauración a un momento dado y la administración central con
la integración de SQL AG.
Obtenga más información sobre máquina virtual SQL: EnableAzBackupForSQL

(Habilitación de La copia de seguridad de Azure para SQL en las máquinas virtuales).
Mejora de la disponibilidad de PostgreSQL mediante la

eliminación de las ranuras de replicación lógica inactivas
Nuestro sistema interno indica que el servidor PostgreSQL podría tener ranuras de
replicación lógica inactivas. ESTO NECESITA ATENCIÓN INMEDIATA. La replicación lógica
inactiva puede provocar una degradación del rendimiento y la falta de disponibilidad
del servidor debido a la retención de archivos WAL y a la compilación de archivos de
instantáneas. Para mejorar el rendimiento y la disponibilidad, se recomienda
ENCARECIDAMENTE que tome medidas INMEDIATAMENTE. Elimine las ranuras de
replicación inactivas o empiece a consumir los cambios de estas ranuras para que el
número de secuencia de registro (LSN) de las ranuras avance y esté cerca del LSN actual
del servidor.
Obtenga más información sobre el servidor postgreSQL:
OrcasPostgreSqlLogicalReplicationSlots (mejora la disponibilidad de PostgreSQL
mediante la eliminación de ranuras de replicación lógica inactivas) .
Mejora de la disponibilidad de PostgreSQL mediante la

eliminación de las ranuras de replicación lógica inactivas
Nuestro sistema interno indica que el servidor flexible de PostgreSQL podría tener
ranuras de replicación lógica inactivas. ESTO NECESITA ATENCIÓN INMEDIATA. Las
ranuras de replicación lógica inactivas pueden provocar un rendimiento de servidor
degradado y una falta de disponibilidad debido a la retención de archivos WAL y a la
compilación de archivos de instantáneas. Para mejorar el rendimiento y la
disponibilidad, se recomienda ENCARECIDAMENTE que tome medidas
INMEDIATAMENTE. Elimine las ranuras de replicación inactivas o empiece a consumir los
cambios de estas ranuras para que el número de secuencia de registro (LSN) de las
ranuras avance y esté cerca del LSN actual del servidor.
Obtenga más información sobre Servidor flexible de Azure Database for PostgreSQL:
OrcasPostgreSqlFlexibleServerLogicalReplicationSlots (Mejora la disponibilidad de
PostgreSQL mediante la eliminación de ranuras de replicación lógica inactivas) .
Configuración del modo de indexación coherente en el

contenedor de Azure Cosmos DB
Hemos observado que el contenedor de Azure Cosmos DB está configurado con el
modo de indexación diferida, lo que podría afectar a la actualización de los resultados
de la consulta. Se recomienda cambiar al modo coherente.
Obtenga más información sobre Cuenta de Azure Cosmos DB: CosmosDBLazyIndexing

(Configuración del modo de indexación coherente en el contenedor de Azure
Cosmos DB).
Actualización del SDK de Azure Cosmos DB anterior a la

Su cuenta de Azure Cosmos DB está usando una versión anterior del SDK. Se
recomienda actualizar a la versión más reciente para las correcciones, mejoras de
rendimiento y nuevas funcionalidades de características.

CosmosDBUpgradeOldSDK (Actualización del SDK de Azure Cosmos DB anterior a la
versión más reciente).
Actualización del SDK de Azure Cosmos DB obsoleto a la

Su cuenta de Azure Cosmos DB está usando una versión obsoleta del SDK. Se

CosmosDBUpgradeOutdatedSDK (Actualización del SDK de Azure Cosmos DB obsoleto
a la versión más reciente).
Configuración de los contenedores de Azure Cosmos DB

con una clave de partición
Las colecciones no particionadas de Azure Cosmos DB se aproximan a su cuota de
almacenamiento aprovisionada. Migre estas colecciones a nuevas colecciones con una
definición de clave de partición para que el servicio pueda escalarlas horizontalmente
automáticamente.

CosmosDBFixedCollections (Configuración de los contenedores de Azure Cosmos DB
con una clave de partición).
Actualización de la cuenta de Azure Cosmos DB for

MongoDB a la versión 4.0 para ahorrar en los costos de
consulta y almacenamiento y usar nuevas características
La cuenta de Azure Cosmos DB for MongoDB es apta para actualizar a la versión 4.0.
Reduzca los costos de almacenamiento hasta un 55 % y los costos de consulta hasta un
45 % mediante la actualización al nuevo formato de almacenamiento v4.0. En la versión
4.0 también se incluyen numerosas características como transacciones de varios
documentos.

CosmosDBMongoSelfServeUpgrade (Actualización de la cuenta de Azure Cosmos DB for
MongoDB a la versión 4.0 para ahorrar en los costos de consulta y almacenamiento y
usar nuevas características).
Incorporación de una segunda región a las cargas de
trabajo de producción en Azure Cosmos DB
En función de sus nombres y configuración, hemos detectado que las cuentas de Azure
Cosmos DB se muestran como potencialmente usadas para cargas de trabajo de
producción. Estas cuentas se ejecutan actualmente en una sola región de Azure. Puede
aumentar su disponibilidad configurándolo para que abarque al menos dos regiones de
Azure.
７ Nota
Las regiones adicionales incurren en costos adicionales.

CosmosDBSingleRegionProdAccounts (Incorporación de una segunda región a las
cargas de trabajo de producción en Azure Cosmos DB).
Habilitación de reintentos del lado del servidor (SSR) en

la cuenta de Azure Cosmos DB for MongoDB
Hemos observado que su cuenta está generando un error TooManyRequests con el
código de error 16500. Habilitar los reintentos del lado del servidor (SSR) puede ayudar
a mitigar este problema.

CosmosDBMongoServerSideRetries (Habilitación de reintentos del lado del servidor
[SSR] en la cuenta de Azure Cosmos DB for MongoDB).
Migración de la cuenta de Azure Cosmos DB for

MongoDB a la versión 4.0 para ahorrar en los costos de
consulta y almacenamiento y usar nuevas características
Migre la cuenta de la base de datos a una nueva cuenta de base de datos para
beneficiarse de Azure Cosmos DB for MongoDB v4.0. Reduzca los costos de
almacenamiento hasta un 55 % y los costos de consulta hasta un 45 % mediante la
actualización al nuevo formato de almacenamiento v4.0. En la versión 4.0 también se
incluyen numerosas características como transacciones de varios documentos. Al
actualizar, también debe migrar los datos de la cuenta existente a una cuenta nueva
creada con la versión 4.0. Azure Data Factory o Studio 3T pueden ayudarle a migrar los
datos.
CosmosDBMongoMigrationUpgrade (Migración de la cuenta de Azure Cosmos DB for
MongoDB a la versión 4.0 para ahorrar en los costos de consulta y almacenamiento y
usar nuevas características).
La cuenta de Azure Cosmos DB no puede acceder a la

instancia de Azure Key Vault vinculada que hospeda la
clave de cifrado
Parece que la configuración del almacén de claves impide que la cuenta de Azure
Cosmos DB se ponga en contacto con el almacén de claves para acceder a las claves de
cifrado administradas. Si ha realizado recientemente una rotación de claves, asegúrese
de que la clave o la versión de claves anterior permanezca habilitada y disponible hasta
que Azure Cosmos DB haya completado la rotación. La versión de la clave o la clave
anterior pueden deshabilitarse después de 24 horas, o bien después de que los registros
de auditoría de Azure Key Vault no muestren actividad de Azure Cosmos DB en esa
versión.
Obtenga más información sobre Cuenta de Azure Cosmos DB: CosmosDBKeyVaultWrap

(La cuenta de Azure Cosmos DB no puede acceder a la instancia de Azure Key Vault
vinculada que hospeda la clave de cifrado).
Evite la velocidad limitada en las operaciones de

metadatos.
Se ha encontrado un número elevado de operaciones de metadatos en la cuenta. Los
datos de Azure Cosmos DB, incluidos los metadatos sobre las bases de datos y las
colecciones, se distribuyen entre particiones. Las operaciones de metadatos tienen un
límite de unidad de solicitud (RU) reservada para el sistema. Un gran número de
operaciones de metadatos puede provocar una limitación de velocidad. Evite la
limitación de velocidad mediante instancias de cliente estáticas de Azure Cosmos DB en
el código y almacenamiento en caché de los nombres de las bases de datos y
colecciones.

CosmosDBHighMetadataOperations (Evite la velocidad limitada en las operaciones de
metadatos).
Uso del nuevo punto de conexión de la versión 3.6, o

superior, para conectarse a la cuenta actualizada de Azure
Cosmos DB for MongoDB
Hemos observado que algunas de las aplicaciones se conectan a la cuenta actualizada
de Azure Cosmos DB for MongoDB mediante el punto de conexión heredado 3.2
[accountname].documents.azure.com . Use el nuevo punto de conexión
[accountname].mongo.cosmos.azure.com (o su equivalente en nubes soberanas,
gubernamentales o restringidas).

CosmosDBMongoNudge36AwayFrom32 (Uso del nuevo punto de conexión de la
versión 3.6, o superior, para conectarse a la cuenta actualizada de Azure Cosmos DB for
MongoDB).
Actualice a la versión 2.6.14 del SDK de Java asincrónico

v2 para evitar un problema crítico o actualice al SDK de
Java v4, ya que el SDK de Java asincrónico v2 está
quedando en desuso.
Hay un error crítico en la versión 2.6.13 y inferior del SDK de Java asincrónico de Azure
Cosmos DB v2 que provoca errores cuando se alcanza un número de secuencia lógica
global (LSN) mayor que el valor entero máximo. Estos errores de servicio se producen
después de que se produzca un gran volumen de transacciones durante la vigencia de
un contenedor de Azure Cosmos DB. Nota: Hay una revisión crítica para el SDK de Java
asincrónico v2; sin embargo, se recomienda migrar a la versión 4 del SDK de Java v4.

CosmosDBMaxGlobalLSNReachedV2 (Actualice a la versión 2.6.14 del SDK de Java
asincrónico v2 para evitar un problema crítico o actualice al SDK de Java v4, ya que el
SDK de Java asincrónico v2 está quedando en desuso).
Actualización a la versión recomendada actual del SDK de

Java v4 para evitar un problema crítico
Hay un error crítico en la versión 4.15 y inferior del SDK de Java de Azure Cosmos DB v4
que provoca errores cuando se alcanza un número de secuencia lógica global (LSN)
mayor que el valor entero máximo. Estos errores de servicio se producen después de
que se produzca un gran volumen de transacciones durante la vigencia de un
contenedor de Azure Cosmos DB.

CosmosDBMaxGlobalLSNReachedV4 (Actualización a la versión recomendada actual del
SDK de Java v4 para evitar un problema crítico).
Integración
Actualización a la versión más reciente de la API de

FarmBeats.
Hemos identificado llamadas a una versión de API de FarmBeats que está programada
para quedar en desuso. Se recomienda cambiar a la versión más reciente de la API de
FarmBeats para garantizar el acceso ininterrumpido a FarmBeats, las características más
recientes y las mejoras de rendimiento.
Obtenga más información sobre Azure FarmBeats: FarmBeatsApiVersion (actualización a

la versión más reciente de la API de FarmBeats) .
Actualización a la versión del SDK de Java de ADMA más

reciente
Hemos identificado llamadas a una versión del SDK de Java de Azure Data Manager for
Agriculture (ADMA) programada para quedar en desuso. Se recomienda cambiar a la
última versión de la API de AMS para garantizar el acceso ininterrumpido a AMS, las
últimas funciones y las mejoras de rendimiento.
Obtenga más información sobre Azure FarmBeats: FarmBeatsJavaSdkVersion

(actualización a la versión más reciente del SDK de Java de ADMA) .
Actualización a la versión del SDK de DotNet de ADMA

más reciente
Hemos identificado llamadas a una versión del SDK de DotNet de ADMA que está
programada para quedar en desuso. Se recomienda cambiar a la última versión de la
API de AMS para garantizar el acceso ininterrumpido a AMS, las últimas funciones y las
mejoras de rendimiento.
Obtenga más información sobre Azure FarmBeats: FarmBeatsDotNetSdkVersion

(actualización a la versión más reciente del SDK de DotNet de ADMA) .
Actualización a la versión del SDK de JavaScript de ADMA

más reciente
Hemos identificado llamadas a una versión del SDK de JavaScript de ADMA que está
Obtenga más información sobre Azure FarmBeats: FarmBeatsJavaScriptSdkVersion

(actualización a la versión más reciente del SDK de JavaScript de ADMA) .
Actualización a la versión del SDK de Python de ADMA

más reciente
Hemos identificado llamadas a una versión del SDK de Python de ADMA que está
Obtenga más información sobre Azure FarmBeats: FarmBeatsPythonSdkVersion

(actualización a la versión más reciente del SDK de Python de ADMA) .
Renegociación de SSL/TLS bloqueada

Intento de renegociación SSL/TLS bloqueado. La renegociación se produce cuando se
solicita un certificado de cliente a través de una conexión ya establecida. Cuando se
bloquea, lee "context". Request.Certificate" en las expresiones de directiva devuelve
"null". Para admitir escenarios de autenticación de certificados de cliente, habilite
"Negociar certificado de cliente" en los nombres de host enumerados. En el caso de los
clientes basados en explorador, la habilitación de esta opción puede dar lugar a que se
presente un aviso de certificado al cliente.
Obtenga más información sobre Api Management: TlsRenegotiationBlocked

(renegociación de SSL/TLS bloqueada).
Error de rotación de certificados de nombre de host

El servicio API Management no pudo actualizar el certificado de nombre de host de Key
Vault. Asegúrese de que el certificado existe en Key Vault y la identidad de servicio API
Management tiene concedido acceso de lectura de secreto. De lo contrario, el servicio
API Management no puede recuperar las actualizaciones de certificados de Key Vault, lo
que podría provocar que el servicio use un certificado obsoleto y el tráfico de API en
tiempo de ejecución que se bloquee como resultado.
Obtenga más información sobre Api Management: HostnameCertRotationFail (error de
rotación de certificados de nombre de host) .
Internet de las cosas
Actualice el SDK de cliente de dispositivo a una versión

compatible para IotHub.
Algunos o todos los dispositivos usan un SDK obsoleto y le recomendamos que
actualice a una versión compatible del SDK. Vea los detalles de la recomendación.
Obtenga más información sobre IoT Hub: UpgradeDeviceClientSdk (Actualización del

SDK de cliente de dispositivo a una versión compatible para IotHub) .
Se ha detectado una posible tormenta de dispositivos en

IoT Hub
Una tormenta de dispositivos es cuando dos o más dispositivos intentan conectarse a
IoT Hub mediante las mismas credenciales de identificador de dispositivo. Cuando se
conecta el segundo dispositivo (B), hace que el primero (A) se desconecte. A
continuación, (A) intenta volver a conectarse, lo que hace que (B) se desconecte.
Obtenga más información sobre IoT Hub: IoTHubDeviceStorm (Se detectó una posible
tormenta de dispositivo de IoT Hub) .
Actualizar el SDK de Device Update for IoT Hub a una

versión compatible
La instancia de Device Update for IoT Hub usa una versión obsoleta del SDK. Se
Obtenga más información sobre IoT Hub: DU_SDK_Advisor_Recommendation

(Actualización del SDK de Device Update para IoT Hub a una versión compatible).
Se ha detectado que se ha superado la cuota de IoT Hub

Hemos detectado que su instancia de IoT Hub ha superado la cuota diaria de mensajes.
Para evitar que IoT Hub supere su cuota de mensajes diaria en el futuro, agregue
unidades o aumente el nivel de SKU.
Obtenga más información sobre IoT hub: IoTHubQuotaExceededAdvisor (Se ha
superado la cuota de IoT Hub detectada).
Actualización del SDK de cliente de dispositivo a una

versión compatible para Iot Hub
Algunos o todos los dispositivos usan un SDK obsoleto y le recomendamos que
actualice a una versión compatible del SDK. Vea los detalles del vínculo especificado.
Obtenga más información sobre IoT Hub: UpgradeDeviceClientSdk (Actualización del

SDK de cliente de dispositivo a una versión compatible para IotHub) .
Actualización del entorno de ejecución de dispositivos de

Microsoft Edge a una versión compatible con IoT Hub
Algunos de los dispositivos de Microsoft Edge, o todos ellos, usan versiones obsoletas.
Por este motivo, le recomendamos que actualice a la última versión admitida del
entorno de ejecución. Vea los detalles del vínculo especificado.
Obtenga más información sobre IoT Hub: UpgradeEdgeSdk (Actualice la ejecución de

dispositivos de Microsoft Edge a una versión compatible para Iot Hub).
Media
Aumento de cuotas o límites de Media Services para

garantizar la continuidad del servicio
Su cuenta multimedia está a punto de alcanzar sus límites de cuota. Revise el uso actual
de los recursos, las directivas de clave de contenido y las directivas de streaming para la
cuenta multimedia. Para evitar cualquier interrupción del servicio, solicite el aumento de
los límites de cuota para las entidades que están más cerca de alcanzar el límite de
cuota. Para solicitar que se aumenten los límites de cuota, abra un vale y agregue los
detalles pertinentes a él. No cree cuentas adicionales de Azure Media en un intento de
obtener límites más altos.
Obtenga más información sobre Media Service: AccountQuotaLimit (Aumento de las

cuotas o los límites de Media Services para garantizar la continuidad del servicio) .
Redes
La máquina virtual check point podría perder la
conectividad de red
Hemos identificado que la máquina virtual podría estar ejecutando una versión de la
imagen de Check Point que podría perder la conectividad de red durante una operación
de mantenimiento de la plataforma. Se recomienda actualizar a una versión más
reciente de la imagen. Póngase en contacto con Check Point para obtener más
instrucciones sobre cómo actualizar la imagen.

CheckPointPlatformServicingKnownIssueA (la máquina virtual check point podría perder
la conectividad de red). .
Actualización a la versión más reciente del agente de

Azure Connected Machine
El agente de Azure Connected Machine se actualiza periódicamente con correcciones de
errores, mejoras de estabilidad y nuevas funcionalidades. Actualice el agente a la versión
más reciente para obtener la mejor experiencia de Azure Arc.
Obtenga más información sobre agente de Connected Machine: Azure Arc -

ArcServerAgentVersion (actualización a la versión más reciente del agente de Azure
Connected Machine).
Cambio de la versión del secreto a "Más reciente" para el

certificado de cliente de Azure Front Door
Se recomienda configurar el secreto de certificado de cliente de Azure Front Door (AFD)
a "Más reciente" para que AFD haga referencia a la versión de secreto más reciente de
Azure Key Vault, de modo que el secreto se pueda rotar automáticamente.
Obtenga más información sobre el Perfil de Front Door: SwitchVersionBYOC (cambio de

la versión secreta a "Más reciente" para el certificado de cliente de Azure Front Door) .
Valide la propiedad del dominio mediante la adición de

un registro TXT de DNS al proveedor DNS.
Valide la propiedad del dominio mediante la adición de un registro TXT de DNS al
proveedor DNS.
Obtenga más información sobre Perfil de Front Door: ValidateDomainOwnership (Validar
la propiedad del dominio agregando el registro TXT de DNS al proveedor DNS). .
Volver a validar la propiedad del dominio para la

renovación de certificados administrados de Azure Front
Door
Azure Front Door no puede renovar automáticamente el certificado administrado
porque el dominio no está asignado al punto de conexión de AFD. Vuelva a validar la
propiedad del dominio para que el certificado administrado se renueve
automáticamente.
Obtenga más información sobre Perfil de Front Door: RevalidateDomainOwnership

(Revalidar la propiedad del dominio para la renovación de certificados administrados de
Azure Front Door) .
Renovación del certificado de cliente de Azure Front Door

que va a expirar para evitar la interrupción del servicio
Algunos de los certificados de cliente para los perfiles de Azure Front Door Estándar y
Premium han expirado. Renueve el certificado a tiempo para evitar interrupciones del
servicio.
Obtenga más información sobre Perfil de Front Door: RenewExpiredBYOC (Renueve el

certificado de cliente de Azure Front Door expirado para evitar interrupciones del
servicio). .
Actualización del SKU o adición de más instancias para

garantizar la tolerancia a errores
La implementación de dos o más instancias de tamaño medio o grande garantiza la
continuidad empresarial durante las interrupciones provocadas por el mantenimiento
planeado o no planeado.
Más información sobre Puerta de enlace de aplicación: AppGateway (Actualización de la

SKU o adición de más instancias para garantizar la tolerancia a errores) .
Evite el reemplazo del nombre de host para garantizar la

integridad del sitio.
Procure no reemplazar el nombre de host al configurar Application Gateway. Tener un
dominio en el front-end de Application Gateway diferente al que se usa para acceder al
back-end, puede provocar que las cookies o las direcciones URL de redirección se
rompa. Un dominio de front-end diferente no es un problema en todas las situaciones y
ciertas categorías de back-end, como las API REST, son menos sensibles en general.
Asegúrese de que el back-end puede tratar con la diferencia de dominio o de actualizar
la configuración de Application Gateway para que no sea necesario sobrescribir el
nombre de host hacia el back-end. Cuando se usa con App Service, adjunte un nombre
de dominio personalizado a la aplicación web y evite el uso del nombre de host
*.azurewebsites.net en el back-end.

AppGatewayHostOverride (Evita la invalidación del nombre de host para garantizar la
integridad del sitio) .
Azure WAF RuleSet CRS 3.1/3.2 se ha actualizado con la

regla de vulnerabilidad Log4j 2
En respuesta a la vulnerabilidad Log4j 2 (CVE-2021-44228), RuleSet CRS 3.1/3.2 de Azure
Web Application Firewall (WAF) se ha actualizado en Application Gateway para ayudar a
proporcionar protección adicional frente a esta vulnerabilidad. Las reglas están
disponibles en la regla 944240 y no se necesita ninguna acción para habilitarlas.
Más información sobre Puerta de enlace de aplicación:

AppGwLog4JCVEPatchNotification (Azure WAF RuleSet CRS 3.1/3.2 se ha actualizado
con la regla de vulnerabilidad log4j2) .
Protección adicional para mitigar la vulnerabilidad de

Log4j 2 (CVE-2021-44228)
Para mitigar el impacto de la vulnerabilidad Log4j 2j, se recomiendan estos pasos:
1. Actualice Log4j 2 a la versión 2.15.0 en los servidores backend. Si la actualización

no es posible, siga el vínculo de guía de propiedades del sistema proporcionado.
2. Aproveche los conjuntos de reglas de WAF Core (CRS) mediante la actualización a
la SKU de WAF.

AppGwLog4JCVEGenericNotification (Protección adicional para mitigar la vulnerabilidad
de Log4j 2 (CVE-2021-44228)) .
Actualización del permiso de red virtual de usuarios de
Application Gateway
Para mejorar la seguridad y proporcionar una experiencia más coherente en Azure,
todos los usuarios deben pasar una comprobación de permisos antes de crear o
actualizar una instancia de Application Gateway en una red virtual. Los usuarios o
entidades de servicio deben incluir al menos el permiso
Microsoft.Network/virtualNetworks/subnets/join/action.

AppGwLinkedAccessFailureRecmmendation (Actualizar el permiso de red virtual de los
usuarios de Application Gateway) .
Utilice el identificador secreto de Key Vault sin versión

para hacer referencia a los certificados
Se recomienda encarecidamente usar un identificador secreto sin versión para permitir
que el recurso de puerta de enlace con aplicación recupere automáticamente la nueva
versión del certificado, siempre que esté disponible. Ejemplo:
https://myvault.vault.azure.net/secrets/mysecret/

AppGwAdvisorRecommendationForCertificateUpdate (Use el identificador de secreto de
Key Vault sin versión para hacer referencia a los certificados) .
Implemente varios circuitos ExpressRoute en la red virtual

para lograr resistencia entre entornos.
Hemos detectado que la puerta de enlace de ExpressRoute solo tiene un circuito
ExpressRoute asociado. Conecte uno o varios circuitos adicionales a la puerta de enlace
para garantizar la redundancia y la resistencia de la ubicación de emparejamiento.
Obtenga más información sobre Puerta de enlace de red virtual:

ExpressRouteGatewayRedundancy (Implementación de varios circuitos ExpressRoute en
la Virtual Network para la resistencia entre entornos).
Implementación del monitor de ExpressRoute en Network

Performance Monitor para la supervisión de un extremo a
otro del circuito ExpressRoute
Hemos detectado que el Monitor de ExpressRoute en Network Performance Monitor no
supervisa actualmente el circuito ExpressRoute. El monitor de ExpressRoute proporciona
funcionalidades de supervisión de un extremo a otro, como la pérdida, la latencia y el
rendimiento del entorno local a Azure y Azure al entorno local.
Obtenga más información sobre Circuito ExpressRoute:

ExpressRouteGatewayE2EMonitoring (Implementación del monitor de ExpressRoute en
Network Performance Monitor para la supervisión de un extremo a otro del circuito
ExpressRoute).
Uso de ExpressRoute Global Reach para mejorar el diseño

de la recuperación ante desastres
Parece que tiene circuitos ExpressRoute emparejados en al menos dos ubicaciones
diferentes. Conéctelos entre sí mediante Global Reach de ExpressRoute para permitir
que el tráfico continúe fluyendo entre la red local y los entornos de Azure si un circuito
pierde conectividad. Puede establecer conexiones de Global Reach entre circuitos en
diferentes ubicaciones de emparejamiento dentro del mismo metro o entre metros.
Obtenga más información sobre Circuito ExpressRoute: UseGlobalReachForDR (Uso de

ExpressRoute Global Reach para mejorar el diseño para la recuperación ante desastres).
Agregar al menos un punto de conexión más al perfil,

preferiblemente en otra región de Azure
Los perfiles requieren más de un punto de conexión para garantizar la disponibilidad si
se produce un error en uno de los puntos de conexión. También se recomienda que los
puntos de conexión estén en regiones diferentes.
Obtenga más información sobre Perfil de Traffic Manager: GeneralProfile (Adición de al

menos un punto de conexión más al perfil, preferiblemente en otra región de Azure) .
Adición de un punto de conexión configurado para

"Todos (World)"
En el caso del enrutamiento geográfico, el tráfico se enruta a los puntos de conexión
basados en regiones definidas. Cuando se produce un error en una región, no hay
ninguna conmutación por error predefinida. Si tiene un punto de conexión en el que la
agrupación regional esté configurada en "All (World)" para los perfiles geográficos,
evitará el filtrado de tráfico y garantiza que el servicio siga estando disponible.
Obtenga más información sobre Perfil de Traffic Manager: GeographicProfile (adición de
un punto de conexión configurado para "Todo (mundo)") .
Adición o traslado de un punto de conexión a otra región

de Azure
Todos los puntos de conexión asociados a este perfil de proximidad se encuentran en la
misma región. Los usuarios de otras regiones pueden experimentar una latencia
prolongada al intentar conectarse. Si agrega o mueve un punto de conexión a otra
región, mejorará el rendimiento global para el y proporcionará una mejor disponibilidad
para el enrutamiento de proximidad si se producen errores en todos los puntos de
conexión de una región.
Obtenga más información sobre Perfil de Traffic Manager: ProximityProfile (Adición o

traslado de un punto de conexión a otra región de Azure) .
Traslado a SKU de puerta de enlace de producción desde

puertas de enlace básicas
La SKU de VPN Gateway básica está diseñada para escenarios de desarrollo o de
prueba. Vaya a una SKU de producción si usa VPN Gateway con fines de producción. Las
SKU de producción ofrecen un mayor número de túneles, compatibilidad con BGP,
configuración activo-activo, directiva Ipsec/IKE personalizada, además de una mayor
estabilidad y disponibilidad.
Obtenga más información sobre Puerta de enlace de red virtual: BasicVPNGateway (Paso
de SKUs de puerta de enlace de producción desde puertas de enlace básicas) .
Usar una puerta de enlace NAT para la conectividad

saliente
Evite el riesgo de obtener errores de conectividad debido al agotamiento de los puertos
SNAT con el uso de una puerta de enlace NAT para el tráfico saliente de las redes
virtuales. La puerta de enlace NAT se escala de forma dinámica y proporciona
conexiones seguras para el tráfico que se dirige a Internet.
Obtenga más información sobre Red virtual: natGateway (uso de la puerta de enlace
NAT para la conectividad saliente).
Actualización del permiso de red virtual de usuarios de
Application Gateway
Para mejorar la seguridad y proporcionar una experiencia más coherente en Azure,
todos los usuarios deben pasar una comprobación de permisos antes de crear o
actualizar una instancia de Application Gateway en una red virtual. Los usuarios o
entidades de servicio deben incluir al menos el permiso
Microsoft.Network/virtualNetworks/subnets/join/action.

AppGwLinkedAccessFailureRecmmendation (Actualizar el permiso de red virtual de los
usuarios de Application Gateway) .
Utilice el identificador secreto de Key Vault sin versión

para hacer referencia a los certificados
Se recomienda encarecidamente usar un identificador secreto sin versión para permitir
que el recurso de puerta de enlace con aplicación recupere automáticamente la nueva
versión del certificado, siempre que esté disponible. Ejemplo:
https://myvault.vault.azure.net/secrets/mysecret/

AppGwAdvisorRecommendationForCertificateUpdate (Use el identificador de secreto de
Key Vault sin versión para hacer referencia a los certificados) .
Habilitación de puertas de enlace activo/activo para la

redundancia
En la configuración activo-activo, ambas instancias de la puerta de enlace VPN
establecen túneles VPN S2S al dispositivo VPN local. Cuando se produce un evento de
mantenimiento planeado o no planeado para una instancia de la puerta de enlace, el
tráfico cambia automáticamente al otro túnel IPsec activo.
Obtenga más información sobre Puerta de enlace de red virtual:

VNetGatewayActiveActive (Habilitación de puerta de enlace activo/activo para
redundancia) .
SAP para Azure

Habilitación del parámetro "concurrent-fencing" en la
configuración de Pacemaker en la configuración de alta
disponibilidad de ASCS en cargas de trabajo de SAP
Cuando el valor del parámetro "concurrent-fencing" se establece en "true", permite que
las operaciones de barrera se realicen en paralelo. Establezca este parámetro en "true"
en la configuración del clúster pacemaker para la configuración de alta disponibilidad
de ASCS.
Obtenga más información sobre Instancia del servidor central:

ConcurrentFencingHAASCSRH (Habilitación del parámetro "barrera simultánea" en la
configuración de Pacemaker en la configuración de alta disponibilidad de ASCS en
cargas de trabajo de SAP).
Asegúrese de que stonith está habilitado para la

disponibilidad de ASCS en cargas de trabajo de SAP.
En un clúster de Pacemaker, la implementación de la barrera del nivel de nodo se hace
mediante el recurso STONITH (acrónimo de "Shoot the Other Node in the Head", que
significa "dispara al otro nodo en la cabeza"). Asegúrese de que "stonith-enable" esté
establecido en "true" en la configuración del clúster de alta disponibilidad de la carga de
trabajo de SAP.

StonithEnabledHAASCSRH (Asegúrese de que stonith está habilitado para la
Establecimiento del tiempo de espera de stonith en 144

para la configuración del clúster en la configuración de
alta disponibilidad de ASCS en cargas de trabajo de SAP
Establezca el tiempo de espera de stonith en 144 para el clúster de alta disponibilidad
según la recomendación de SAP en Azure.
Obtenga más información sobre Instancia del servidor central: StonithTimeOutHAASCS

(Establezca el tiempo de espera de stonith en 144 para la configuración de clúster en la
configuración de alta disponibilidad de ASCS en cargas de trabajo de SAP).
Esblecimiento del token corosync en el clúster de
Pacemaker en 30000 para la configuración de alta
La configuración del token corosync determina el tiempo de espera que se usa
directamente o sirve como base para el cálculo del tiempo de espera del token real en
clústeres de alta disponibilidad. Establezca el token corosync en 30000 según la
recomendación de SAP en Azure para permitir el mantenimiento de conservación de
memoria.

CorosyncTokenHAASCSRH (Establezca el token corosync en el clúster de Pacemaker en
30000 para la configuración de alta disponibilidad de ASCS en cargas de trabajo de
SAP).
Establecer el parámetro de votos esperado en 2 en la

disponibilidad de ASCS en las cargas de trabajo de SAP
En un clúster de alta disponibilidad de dos nodos, establezca los votos de cuórum en 2
Obtenga más información sobre Instancia del servidor central: ExpectedVotesHAASCSRH

(Establezca el parámetro de votos esperado en 2 en la configuración de Pacemaker en la
Establezca "token_retransmits_before_loss_const" en 10
en el clúster de Pacemaker en la configuración de alta
disponibilidad de ASCS en cargas de trabajo de SAP.
El token_retransmits_before_loss_const corosync determina el número de veces que los
tokens retransmiten el sistema antes del tiempo de espera en clústeres de alta
disponibilidad. Establezca el totem.token_retransmits_before_loss_const en 10 según la
recomendación para la configuración de alta disponibilidad de ASCS.

TokenRestransmitsHAASCSSLE (Establezca "token_retransmits_before_loss_const" en 10
en el clúster de Pacemaker en la configuración de alta disponibilidad de ASCS en cargas
de trabajo de SAP).
Esblecimiento del token corosync en el clúster de
memoria.

CorosyncTokenHAASCSSLE (Establezca el token corosync en el clúster de Pacemaker en
30000 para la configuración de alta disponibilidad de ASCS en cargas de trabajo de
SAP).
Establecimiento del valor de "corosync max_messages"

en el clúster de Pacemaker en 20 para la configuración de
La constante corosync max_messages especifica el número máximo de mensajes que un
procesador puede enviar una vez recibido el token. Se recomienda establecer en 20
veces el parámetro de token corosync en la configuración del clúster de Pacemaker.

CorosyncMaxMessagesHAASCSSLE (Establezca el "corosync max_messages" en el clúster
de Pacemaker en 20 para la configuración de alta disponibilidad de ASCS en cargas de
trabajo de SAP).
Establezca el "consenso corosync" en el clúster de

El parámetro corosync "consensus" especifica en milisegundos cuánto tiempo se debe
esperar para que se logre el consenso antes de iniciar una nueva ronda de pertenencia a
la configuración del clúster. Se recomienda establecer 1.2 veces el token corosync en la
configuración del clúster de Pacemaker para la configuración de alta disponibilidad de
ASCS.

CorosyncConsensusHAASCSSLE (Establezca el "consenso corosync" en el clúster de
Pacemaker en 36000 para la configuración de alta disponibilidad de ASCS en cargas de
trabajo de SAP).
Establecimiento del valor del parámetro "expected_votes"

en 2 en la configuración del clúster en la configuración de
En un clúster de alta disponibilidad de dos nodos, establezca el parámetro de cuórum
expected_votes en 2 según la recomendación de SAP en Azure.

ExpectedVotesHAASCSSLE (Establezca el parámetro de votos esperado en 2 en la
configuración de clúster en la configuración de alta disponibilidad de ASCS en cargas de
trabajo de SAP).
Establecimiento del valor del parámetro "two_node" en 1

en la configuración del clúster en la configuración de alta
"two_node" en 1 según la recomendación de SAP en Azure.

TwoNodesParametersHAASCSSLE (Establezca el parámetro two_node en 1 en la
configuración de clúster en la configuración de alta disponibilidad de ASCS en cargas de
trabajo de SAP).
Establecimiento del valor de "corosync join" en el clúster

de Pacemaker en 60 para la configuración de alta
El tiempo de espera de "corosync join" especifica, en milisegundos, cuánto tiempo se
debe esperar por los mensajes de combinación en el protocolo de pertenencia. Se
recomienda establecer 60 en la configuración del clúster de Pacemaker para la
configuración de alta disponibilidad de ASCS.
Obtenga más información sobre Instancia del servidor central: CorosyncJoinHAASCSSLE

(Establezca la "combinación corosync" en el clúster de Pacemaker en 60 para la
Comprobación de que el recurso stonith esté habilitado
para la configuración del clúster en la configuración de
establecido en "true" en la configuración del clúster de alta disponibilidad.
Obtenga más información sobre Instancia del servidor central: StonithEnabledHAASCS

(Asegúrese de que stonith está habilitado para la configuración del clúster en la
Establezca el tiempo de espera de stonith en 900 en la

configuración de Pacemaker con el agente de barrera de
Azure para la configuración de alta disponibilidad de
ASCS.
Establezca el tiempo de espera de stonith en 900 para una función confiable de la
configuración de Pacemaker para la alta disponibilidad de ASCS. Esta configuración de
tiempo de espera de stonith es aplicable si usa el agente de barrera de Azure para la
barrera con la identidad administrada o la entidad de servicio.

StonithTimeOutHAASCSSLE (Establezca el tiempo de espera de stonith en 900 en la
configuración de Pacemaker con el agente de barrera de Azure para la configuración de
alta disponibilidad de ASCS).

Cuando el valor del parámetro "concurrent-fencing" se establece en "true", permite que
las operaciones de barrera se realicen en paralelo. Establezca este parámetro en "true"
en la configuración del clúster pacemaker para la configuración de alta disponibilidad
de ASCS.

ConcurrentFencingHAASCSSLE (Habilitación del parámetro "barrera simultánea" en la
Creación del archivo de configuración de softdog en la

configuración de Pacemaker para la configuración de alta
El temporizador softdog se carga como un módulo de kernel en el sistema operativo
Linux. Este temporizador desencadena un restablecimiento del sistema si detecta que
este se ha bloqueado. Asegúrese de que el archivo de configuración de softdog se crea
en el clúster de Pacemaker para la configuración de alta disponibilidad de ASCS.

SoftdogConfigHAASCSSLE (Creación del archivo de configuración de softdog en la
configuración de Pacemaker para la configuración de alta disponibilidad de ASCS en
Asegúrese de que el módulo softdog se carga en para

Pacemaker en la configuración de alta disponibilidad de
ASCS en cargas de trabajo de SAP
este se ha bloqueado. En primer lugar, asegúrese de crear el archivo de configuración
de softdog y, a continuación, cargue el módulo softdog en la configuración de
Pacemaker para la configuración de ASCS HA.

softdogmoduleloadedHAASCSSLE (Asegúrese de que el módulo softdog se carga en
para Pacemaker en la configuración de alta disponibilidad de ASCS en cargas de trabajo
de SAP).
Asegúrese de que hay una instancia de un

fence_azure_arm en la configuración de Pacemaker para
la configuración de alta disponibilidad de ASCS
El fence_azure_arm es un agente de barrera de E/S para Azure Resource Manager.
Asegúrese de que hay una instancia de un fence_azure_arm en la configuración de
Pacemaker para la configuración de alta disponibilidad de ASCS. El requisito de
fence_azure_arm es aplicable si usa el agente de barrera de Azure para la barrera con
identidad administrada o entidad de servicio.

FenceAzureArmHAASCSSLE (Asegúrese de que hay una instancia de un fence_azure_arm
en la configuración de Pacemaker para la configuración de alta disponibilidad de ASCS).
Habilitación de puertos de alta disponibilidad en Azure

Load Balancer para la configuración de alta
Habilite los puertos de alta disponibilidad en las reglas de equilibrio de carga para la
configuración de alta disponibilidad de la instancia de ASCS en cargas de trabajo de
SAP. Abra el equilibrador de carga, seleccione "Reglas de equilibrio de carga" y agregue
o edite la regla para habilitar el valor recomendado.
Obtenga más información sobre Instancia del servidor central: ASCSHAEnableLBPorts

(Habilitación de puertos de alta disponibilidad en la configuración de alta disponibilidad
de Azure Load Balancer para ASCS en cargas de trabajo de SAP).
Habilitación de IP flotante en Azure Load Balancer para la

configuración de alta disponibilidad de ASCS en cargas
de trabajo de SAP
Habilite la dirección IP flotante en las reglas de equilibrio de carga de Azure Load
Balancer para la configuración de alta disponibilidad de una instancia de ASCS en cargas
de trabajo de SAP. Abra el equilibrador de carga, seleccione "Reglas de equilibrio de
carga" y agregue o edite la regla para habilitar el valor recomendado.

ASCSHAEnableFloatingIpLB (Habilitación de IP flotante en la configuración del
equilibrador de carga de Azure para la configuración de alta disponibilidad de ASCS en
Establezca el tiempo de espera de inactividad de Azure

Load Balancer en 30 minutos para la configuración de
Para evitar el agotamiento del tiempo de espera del equilibrador de carga, asegúrese de
que todas las reglas de equilibrio de carga de Azure tengan: "Tiempo de espera de
inactividad (minutos)" establecido en el valor máximo de 30 minutos. Abra el
equilibrador de carga, seleccione "Reglas de equilibrio de carga" y agregue o edite la
regla para habilitar el valor recomendado.

ASCSHASetIdleTimeOutLB (Establezca el tiempo de espera de inactividad en Azure Load
Balancer en 30 minutos para la configuración de alta disponibilidad de ASCS en cargas
de trabajo de SAP).
Deshabilitación de las marcas de tiempo TCP en las

máquinas virtuales que se encuentran detrás de Azure
Load Balancer en la configuración de alta disponibilidad
de ASCS en cargas de trabajo de SAP
Deshabilite las marcas de tiempo TCP en máquinas virtuales que se encuentren detrás
de Azure Load Balancer. Las marcas de tiempo TCP habilitadas hacen que se produzca
un error en los sondeos de estado debido a que la pila TCP del sistema operativo
invitado de la máquina virtual quita los paquetes TCP del sistema operativo invitado. Los
paquetes TCP descartados hacen que el equilibrador de carga marque el punto de
conexión como inactivo.
Obtenga más información sobre Instancia del servidor central: ASCSLBHADisableTCP

(Deshabilite las marcas de tiempo TCP en máquinas virtuales colocadas detrás de Azure
Load Balancer en la configuración de alta disponibilidad de ASCS en cargas de trabajo
de SAP) .
Habilitación de STONITH en la configuración del clúster

en cargas de trabajo de SAP habilitadas para alta
disponibilidad para máquinas virtuales con sistema
operativo Redhat
establecido en "true" en la configuración del clúster de alta disponibilidad de la carga de
trabajo de SAP.
Obtenga más información sobre Instancia de base de datos: StonithEnabledHARH

(Habilitación de stonith en la cofiguración del clúster en cargas de trabajo de SAP
habilitadas para alta disponibilidad para máquinas virtuales con Redhat OS).
Establezca el tiempo de espera de STONITH en 144 para
la configuración del clúster en cargas de trabajo de SAP
habilitadas para alta disponibilidad.
Establezca el tiempo de espera de stonith en 144 para el clúster de alta disponibilidad
Obtenga más información sobre Instancia de base de datos: StonithTimeoutHASLE

(Establezca el tiempo de espera de stonith en 144 para la configuración del clúster en
cargas de trabajo de SAP habilitadas para alta disponibilidad).
Habilitación de STONITH en la configuración del clúster

en cargas de trabajo de SAP habilitadas para alta
disponibilidad para máquinas virtuales con sistema
operativo SUSE
establecido en "true" en la configuración del clúster de alta disponibilidad.
Obtenga más información sobre Instancia de base de datos: StonithEnabledHASLE

(Habilitación de stonith en la cofiguración del clúster en cargas de trabajo de SAP
habilitadas para alta disponibilidad para máquinas virtuales con SUSE OS).
Establezca stonith-timeout en 900 en la configuración de

Pacemaker con el agente de barrera de Azure para la
configuración de alta disponibilidad de la base de datos
HANA.
Establezca el tiempo de espera de stonith en 900 para un funcionamiento confiable de
la configuración de alta disponibilidad de Pacemaker for HANA DB. Esta configuración
es importante si usa el agente de barrera de Azure para la barrera con identidad
administrada o entidad de servicio.
Obtenga más información sobre Instancia de base de datos: StonithTimeOutSuseHDB

(Establezca el tiempo de espera de stonith en 900 en la configuración de Pacemaker con
el agente de barrera de Azure para la configuración de alta disponibilidad de base de
datos de HANA).
Establezca el token corosync del clúster de Pacemaker en
30000 para la base de datos HANA habilitada para alta
disponibilidad para máquina virtual con sistema
operativo Redhat.
memoria.
Obtenga más información sobre Instancia de base de datos: CorosyncTokenHARH

(Establezca el token corosync en el clúster de Pacemaker en 30000 para la base de datos
de HANA habilitada para alta disponibilidad para VM con Redhat OS).
Establezca el parámetro de votos esperado en 2 en la

configuración del clúster de las cargas de trabajo de SAP
En un clúster de alta disponibilidad de dos nodos, establezca los votos de cuórum en 2

ExpectedVotesParamtersHARH (Establezca el parámetro de votos esperado en 2 en la
configuración del clúster en cargas de trabajo de SAP habilitadas para alta
disponibilidad).
Establezca el token corosync del clúster de Pacemaker en

30000 para la base de datos HANA habilitada para alta
disponibilidad para la máquina virtual con un sistema
operativo SUSE.
memoria.
Obtenga más información sobre Instancia de base de datos: CorosyncTokenHASLE

(Establezca el token corosync en el clúster de Pacemaker en 30000 para la base de datos
de HANA habilitada para alta disponibilidad para VM con SUSE OS).
Establecimiento del parámetro PREFER_SITE_TAKEOVER

en "true" en la configuración de Pacemaker para la
configuración de alta disponibilidad de la base de datos
de HANA.
El parámetro PREFER_SITE_TAKEOVER en la topología de SAP HANA define si el agente
de recursos de HANA SR prefiere asumir la adquisición de la instancia secundaria en
lugar de reiniciar el servidor principal con errores localmente. Establezca el valor en
"true" para una función confiable de la configuración de alta disponibilidad de la base
de datos de HANA.
Obtenga más información sobre Instancia de base de datos: PreferSiteTakeOverHARH

(Establezca el parámetro PREFER_SITE_TAKEOVER en "true" en la configuración de
Pacemaker para la configuración de alta disponibilidad de base de datos de HANA).

disponibilidad de la base de datos de HANA
Cuando el parámetro concurrent-fencing se establece en true, permite que las
operaciones de barrera se realicen en paralelo. Establezca este parámetro en "true" en la
configuración del clúster pacemaker para la configuración de alta disponibilidad de base
de datos de HANA.
Obtenga más información sobre Instancia de base de datos: ConcurrentFencingHARH

(Habilitar el parámetro "concurrent-fencing" en la configuración de Pacemaker para la
configuración de alta disponibilidad de base de datos de HANA).
Establecimiento del valor del parámetro

PREFER_SITE_TAKEOVER en "true" en la configuración del
clúster en cargas de trabajo de SAP habilitadas para alta
disponibilidad
El parámetro PREFER_SITE_TAKEOVER en la topología de SAP HANA define si el agente
de recursos de HANA SR prefiere asumir la adquisición de la instancia secundaria en
lugar de reiniciar el servidor principal con errores localmente. Establezca el valor en
"true" para una función confiable de la configuración de alta disponibilidad de la base
de datos de HANA.
Obtenga más información sobre Instancia de base de datos: PreferSiteTakeoverHDB

(Establezca el parámetro PREFER_SITE_TAKEOVER en "true" en la configuración del
clúster en cargas de trabajo de SAP habilitadas para alta disponibilidad).
Establecer "token_retransmits_before_loss_const" en 10 en
el clúster de Pacemaker en las cargas de trabajo de SAP
habilitadas para la alta disponibilidad.
El corosync token_retransmits_before_loss_const determina la cantidad de
retransmisiones de token que se intentan antes de que se haya agotado el tiempo de
espera en clústeres de alta disponibilidad. Establezca el
totem.token_retransmits_before_loss_const en 10 según la recomendación para la
configuración de alta disponibilidad de base de datos de HANA.
Obtenga más información sobre Instancia de base de datos: TokenRetransmitsHDB

(Establezca "token_retransmits_before_loss_const" en 10 en el clúster de Pacemaker en
cargas de trabajo de SAP habilitadas para alta disponibilidad).
Establecimiento del valor del parámetro "two_node" en 1

en la configuración del clúster en cargas de trabajo de
SAP habilitadas para alta disponibilidad
"two_node" en 1 según la recomendación de SAP en Azure.

TwoNodeParameterSuseHDB (Establezca el parámetro two_node en 1 en la
disponibilidad).
Habilitar el parámetro "concurrent-fencing" en la

configuración del clúster de las cargas de trabajo de SAP
Cuando el parámetro concurrent-fencing se establece en true, permite que las
operaciones de barrera se realicen en paralelo. Establezca este parámetro en "true" en la
configuración del clúster pacemaker para la configuración de alta disponibilidad de base
de datos de HANA.

ConcurrentFencingSuseHDB (Habilite el parámetro "barrera simultánea" en la
disponibilidad).
Establezca "corosync join" del clúster de Pacemaker en 60

para la base de datos de HANA habilitada para alta
disponibilidad en cargas de trabajo de SAP.
El tiempo de espera de corosync join especifica en milisegundos cuánto tiempo se debe
esperar para los mensajes de combinación en el protocolo de pertenencia. Se
recomienda establecer 60 en la configuración del clúster de Pacemaker para la
configuración de alta disponibilidad de base de datos de HANA.
Obtenga más información sobre Instancia de base de datos: CorosyncHDB

(Establecimiento de la "combinación corosync" en el clúster de Pacemaker en 60 para la
base de datos de HANA habilitada para alta disponibilidad en cargas de trabajo de SAP).
Establezca "corosync max_messages" del clúster de

Pacemaker en 20 para la base de datos de HANA
habilitada para alta disponibilidad en cargas de trabajo
de SAP.
La constante corosync max_messages especifica el número máximo de mensajes que un
procesador puede enviar una vez recibido el token. Se recomienda establecer 20 veces
el parámetro de token corosync en la configuración del clúster de Pacemaker.
Obtenga más información sobre Instancia de base de datos : CorosyncMaxMessageHDB

(Establezca el max_messages corosync en el clúster de Pacemaker en 20 para la base de
datos de HANA habilitada para alta disponibilidad en cargas de trabajo de SAP).
Establezca "corosync consensus" del clúster de

Pacemaker en 36000 para la base de datos de HANA
habilitada para alta disponibilidad en cargas de trabajo
de SAP.
El parámetro corosync "consensus" especifica en milisegundos cuánto tiempo se debe
esperar para que se logre el consenso antes de iniciar una nueva ronda de pertenencia a
la configuración del clúster. Se recomienda establecer 1.2 veces el token corosync en la
configuración del clúster de Pacemaker para la configuración de alta disponibilidad de
base de datos de HANA.
Obtenga más información sobre Instancia de base de datos: CorosyncConsensusHDB

(Establezca el consenso "corosync" en el clúster de Pacemaker en 36000 para la base de
datos de HANA habilitada para alta disponibilidad en cargas de trabajo de SAP).
Creación del archivo de configuración de softdog en la

configuración de Pacemaker para habilitar la alta
disponibilidad de la base de datos HANA en cargas de
trabajo de SAP
este se ha bloqueado. Asegúrese de que el archivo de configuración de softdog se crea
en el clúster de Pacemaker para la configuración de alta disponibilidad de base de datos
de HANA.
Obtenga más información sobre Instancia de base de datos: SoftdogConfigSuseHDB

(Creación del archivo de configuración de softdog en la configuración de Pacemaker
para habilitar la base de datos de HANA en cargas de trabajo de SAP).
Asegúrese de que hay una instancia de un

fence_azure_arm en la configuración de Pacemaker para
la configuración de alta disponibilidad de base de datos
de HANA
Pacemaker para la configuración de alta disponibilidad de base de datos de HANA. El
requisito de instancia de fence_azure arm es aplicable si usa el agente de barrera de
Azure para la barrera con identidad administrada o entidad de servicio.
Obtenga más información sobre Instancia de base de datos: FenceAzureArmSuseHDB

(Asegúrese de que hay una instancia de un fence_azure_arm en la configuración de
Pacemaker para la configuración de alta disponibilidad de base de datos de HANA).
Asegúrese de que el módulo softdog se carga en para
Pacemaker en la base de datos de HANA habilitada para
alta disponibilidad en cargas de trabajo de SAP
este se ha bloqueado. En primer lugar, asegúrese de crear el archivo de configuración
de softdog y, a continuación, cargue el módulo softdog en la configuración de
Pacemaker para la configuración de alta disponibilidad de base de datos de HANA.
Obtenga más información sobre Instancia de base de datos: SoftdogModuleSuseHDB

(Asegúrese de que el módulo softdog se carga en para Pacemaker en la base de datos
de HANA habilitada para alta disponibilidad en cargas de trabajo de SAP).
Establezca el tiempo de espera de inactividad de Azure

Load Balancer en 30 minutos para la configuración de
alta disponibilidad de la base de datos de HANA en
Para evitar el agotamiento del tiempo de espera del equilibrador de carga, asegúrese de
que todas las reglas de equilibrio de carga de Azure tengan: "Tiempo de espera de
inactividad (minutos)" establecido en el valor máximo de 30 minutos. Abra el
equilibrador de carga, seleccione "Reglas de equilibrio de carga" y agregue o edite la
regla para habilitar el valor recomendado.
Obtenga más información sobre Instancia de base de datos: DBHASetIdleTimeOutLB

(Establezca el tiempo de espera de inactividad en Azure Load Balancer en 30 minutos
para la configuración de alta disponibilidad de base de datos de HANA en cargas de
trabajo de SAP).
Habilitación de IP flotante en Azure Load Balancer para la

configuración de alta disponibilidad de HANA DB en
cargas de trabajo de SAP
Habilite la dirección IP flotante en las reglas de equilibrio de carga de Azure Load
Balancer para la configuración de alta disponibilidad de una instancia de HANA DB en
cargas de trabajo de SAP. Abra el equilibrador de carga, seleccione "Reglas de equilibrio
de carga" y agregue o edite la regla para habilitar el valor recomendado.
Obtenga más información sobre Instancia de base de datos: DBHAEnableFloatingIpLB
(habilitación de IP flotante en la configuración de alta disponibilidad de Azure Load
Balancer for HANA DB en cargas de trabajo de SAP).
Habilitación de puertos de alta disponibilidad en Azure

Load Balancer para la configuración de alta
disponibilidad de HANA DB en cargas de trabajo de SAP
Habilite puertos de alta disponibilidad en Azure Load Balancer para la configuración de
alta disponibilidad de HANA DB en cargas de trabajo de SAP. Abra el equilibrador de
carga, seleccione "Reglas de equilibrio de carga" y agregue o edite la regla para habilitar
el valor recomendado.
Obtenga más información sobre Instancia de base de datos: DBHAEnableLBPorts

(Habilitación de puertos de alta disponibilidad en la configuración de alta disponibilidad
de Azure Load Balancer for HANA DB en cargas de trabajo de SAP).
Deshabilitación de las marcas de tiempo TCP en las

máquinas virtuales que se encuentran detrás de Azure
Load Balancer en la configuración de alta disponibilidad
de una base de datos HANA en cargas de trabajo de SAP
Deshabilite las marcas de tiempo TCP en máquinas virtuales que se encuentren detrás
de Azure Load Balancer. Las marcas de tiempo TCP habilitadas hacen que se produzca
un error en los sondeos de estado debido a que la pila TCP del sistema operativo
invitado de la máquina virtual quita los paquetes TCP del sistema operativo invitado. Los
paquetes TCP descartados hacen que el equilibrador de carga marque el punto de
conexión como inactivo.
Obtenga más información sobre Instancia de base de datos: DBLBHADisableTCP

(Deshabilite las marcas de tiempo TCP en máquinas virtuales colocadas detrás de Azure
Load Balancer en la configuración de alta disponibilidad de BASE de datos de HANA en
Debe haber una instancia de fence_azure_arm en la

disponibilidad de base de datos de HANA.
Pacemaker para la configuración de alta disponibilidad de base de datos de HANA. El
fence_azure_arm es necesario si usa el agente de barrera de Azure para la barrera con
identidad administrada o entidad de servicio.
Obtenga más información sobre Instancia de base de datos: FenceAzureArmSuseHDB

(debe haber una instancia de fence_azure_arm en la configuración de Pacemaker para la
configuración de alta disponibilidad de base de datos de HANA).
Storage
Habilitación de la eliminación automática en los

almacenes de Recovery Services
La opción de eliminación temporal le ayuda a conservar los datos de copia de seguridad
en el almacén de Recovery Services durante una duración adicional después de la
eliminación. La duración adicional le ofrece la oportunidad de recuperar los datos antes
de eliminarlos permanentemente.
Obtenga más información sobre Almacén de Recovery Services: AB-SoftDeleteRsv

(Habilitación de la eliminación temporal para los almacenes de Recovery Services).
Habilitación de la restauración entre regiones para un

almacén de Recovery Services
Habilitación de la restauración entre regiones en los almacenes con redundancia
geográfica.
Obtenga más información sobre Almacén de Recovery Services: Habilite CRR (Habilitar
la restauración entre regiones para el almacén de Recovery Services).
Habilitación de copias de seguridad en las máquinas

virtuales
Habilitación de copias de seguridad para las máquinas virtuales y la protección de los
datos.
Más información sobre Máquina virtual (clásico): EnableBackup (Habilitar copias de

seguridad en las máquinas virtuales).
Configuración de copias de seguridad de blobs

Configurar la copia de seguridad de blobs.
Obtenga más información sobre Cuenta de almacenamiento: ConfigureBlobBackup

(Configuración de la copia de seguridad de blobs).
Activación de Azure Backup para obtener una protección

sencilla, confiable y rentable para los datos
Mantenga la información y las aplicaciones seguras con una copia de seguridad sólida y
seleccionada de Azure. Active Azure Backup para obtener una protección rentable para
una amplia gama de cargas de trabajo, incluidas las VM, las bases de datos SQL, las
aplicaciones y los recursos compartidos de archivos.
Obtenga más información sobre Suscripción: AzureBackupService (Activar Azure Backup

para obtener protección sencilla, confiable y rentable para los datos).
Tiene cuentas de ADLS Gen1 que deben migrarse a ADLS

Gen2
Como se anunció anteriormente, Azure Data Lake Storage Gen1 se retirará el 29 de
febrero de 2024. Se recomienda encarecidamente migrar el lago de datos a Azure Data
Lake Storage Gen2. Azure Data Lake Storage Gen2 ofrece funcionalidades avanzadas
diseñadas para el análisis de macrodatos y se basa en Azure Blob Storage.
Obtenga más información sobre Cuenta de Almacén de Data Lake:

ADLSGen1_Deprecation (Tiene cuentas de ADLS Gen1 que deben migrarse a ADLS
Gen2) .
Tiene cuentas de ADLS Gen1 que deben migrarse a ADLS

Gen2
Como se anunció anteriormente, Azure Data Lake Storage Gen1 se retirará el 29 de
febrero de 2024. Se recomienda migrar el lago de datos a Azure Data Lake Storage
Gen2, que ofrece funcionalidades avanzadas diseñadas para el análisis de macrodatos.
Azure Data Lake Storage Gen2 se crea encima de Azure Blob Storage.
Obtenga más información sobre Cuenta de Almacén de Data Lake:

ADLSGen1_Deprecation (Tiene cuentas de ADLS Gen1 que deben migrarse a ADLS
Gen2) .
Habilitación de la eliminación temporal para proteger los
datos del blob
Después de habilitar la opción de eliminación temporal, los datos eliminados pasan a un
estado eliminado "temporalmente" en lugar de eliminarse permanentemente. Cuando
se sobrescriben datos, se genera una instantánea de la eliminación temporal para
guardar el estado de los datos sobrescritos. Es posible configurar el tiempo durante el
que los datos eliminados se pueden recuperar antes de que expiren permanentemente.
Obtenga más información sobre Cuenta de almacenamiento: StorageSoftDelete

(Habilite la temporal flexible para proteger los datos de blobs) .
Uso de Managed Disks para las cuentas de

almacenamiento que alcancen el límite de capacidad
Hemos identificado que usa discos no administrados SSD Premium en las cuentas de
almacenamiento que están a punto de alcanzar el límite de capacidad de Premium
Storage. Para evitar errores cuando se alcanza el límite, se recomienda migrar a
Managed Disks que no tengan límite de capacidad de cuenta. Esta migración se puede
realizar en el portal en menos de 5 minutos.
Obtenga más información sobre Cuenta de almacenamiento:

StoragePremiumBlobQuotaLimit (Use Managed Disks para las cuentas de
almacenamiento que alcanzan el límite de capacidad) .
Uso de Discos de Azure con almacenamiento con

redundancia de zona para lograr una mayor resistencia y
disponibilidad
Azure Disks con ZRS proporcionan replicación sincrónica de datos en tres zonas de
disponibilidad de una región, lo que hace que el disco sea tolerante a errores zonales
sin interrupciones en las aplicaciones. Migre discos de LRS a ZRS para lograr una mayor
resistencia y disponibilidad.
Obtenga más información sobre Cambio de tipo de disco de un disco administrado de

Azure .
Uso de Managed Disks para mejorar la confiabilidad de

los datos
Las máquinas virtuales de un conjunto de disponibilidad con discos que comparten
cuentas de almacenamiento o unidades de escalado de almacenamiento no son
resistentes a errores de unidad de escalado de almacenamiento único durante las
interrupciones. Migre a Azure Managed Disks para garantizar que los discos de las
distintas máquinas virtuales del conjunto de disponibilidad estén lo suficientemente
aislados entre sí como para evitar un único punto de error.
Obtenga más información sobre Conjunto de disponibilidad: ManagedDisksAvSet (use

Managed Disks para mejorar la confiabilidad de los datos) .
Implementación de estrategias de recuperación ante

desastres para los recursos de Azure NetApp Files
Para evitar la pérdida de datos o funcionalidades en caso de desastre regional o de
zonas, implemente técnicas comunes de recuperación ante desastres, como la
replicación entre regiones o la replicación entre zonas para los volúmenes de Azure
NetApp Files
Obtenga más información sobre Volumen: ANFCRRCZRRecommendation

(Implementación de estrategias de recuperación ante desastres para los recursos de
Azure NetApp Files) .
Habilitación de la disponibilidad continua de Azure

NetApp Files para volúmenes SMB
Recomendación de habilitar los volúmenes SMB para disponibilidad continua.
Obtenga más información sobre Volumen: anfcaenablement (Los archivos de Azure

NetApp habilitan la disponibilidad continua para volúmenes SMB) .
Revise la configuración de SAP para ver los valores de

tiempo de espera usados con Azure NetApp Files
La alta disponibilidad de SAP mientras se usa con Azure NetApp Files se basa en
establecer valores de tiempo de espera adecuados para evitar la interrupción de la
aplicación. Revise la documentación para asegurarse de que la configuración cumple los
valores de tiempo de espera, como se indica en la documentación.
Obtenga más información sobre Volumen: SAPTimeoutsANF (Revisión de la

configuración de SAP para los valores de tiempo de espera usados con Azure NetApp
Files).
Web
Considere la posibilidad de escalar horizontalmente el

plan de App Service para evitar el agotamiento de la CPU.
La aplicación alcanzó el >90 % de la CPU en el último par de días. Un uso elevado de la
CPU puede conducir a problemas en tiempo de ejecución con las aplicaciones; para
solucionar este problema, puede escalar horizontalmente la aplicación.
Obtenga más información sobre App Service: AppServiceCPUExconexión (Considere la

posibilidad de escalar horizontalmente el plan de App Service para evitar el
agotamiento de la CPU) .
Corrección de la configuración de la base de datos de

copia de seguridad del recurso de App Service
Las copias de seguridad de la aplicación tienen errores constantemente debido a una
configuración de base de datos no válida; puede encontrar más detalles en el historial
de copias de seguridad.
Obtenga más información sobre App Service: AppServiceFixBackupDatabaseSettings

(Corrección de la configuración de la base de datos de copia de seguridad del recurso
de App Service) .
Considere la posibilidad de escalar verticalmente la SKU

del plan de App Service para evitar el agotamiento de la
memoria.
El plan de App Service que contiene la aplicación alcanzó el >85 % de la memoria
asignada. Un consumo elevado de memoria puede conducir a problemas en tiempo de
ejecución con las aplicaciones. Investigue qué aplicación del plan de App Service está
agotando la memoria y escale verticalmente a un plan superior con más recursos de
memoria si es necesario.
Obtenga más información sobre App Service: AppServiceMemoryExconexión (Considere

la posibilidad de escalar verticalmente la SKU del plan de App Service para evitar el
agotamiento de memoria) .
Escalado vertical del recurso de App Service para eliminar
el límite de cuota
La aplicación forma parte de un plan de App Service compartido y ha alcanzado su
cuota en varias ocasiones. Una vez alcanzada la cuota, la aplicación web no puede
aceptar solicitudes entrantes. Para eliminar la cuota, actualice a un plan Estándar.
Obtenga más información sobre App Service: AppServiceRemoveQuota (Escalada

vertical del recurso de App Service para quitar el límite de cuota) .
Uso de ranuras de implementación para el recurso de

App Service
Ha implementado la aplicación varias veces durante la última semana. Las ranuras de
implementación le ayudan a administrar los cambios y a reducir el impacto de la
implementación en la aplicación web de producción.
Obtenga más información sobre App Service: AppServiceUseDeploymentSlots (Uso de

ranuras de implementación para el recurso de App Service) .
Corrección de la configuración del almacenamiento de

copia de seguridad del recurso de App Service
Las copias de seguridad de la aplicación tienen errores constantemente debido a una
configuración de almacenamiento no válida; puede encontrar más detalles en el historial
de copias de seguridad.
Obtenga más información sobre App Service: AppServiceFixBackupStorageSettings

(Corrección de la configuración del almacenamiento de copia de seguridad del recurso
de App Service) .
Cambio del recurso de App Service a Estándar o superior

y uso de ranuras de implementación
Ha implementado la aplicación varias veces durante la última semana. Las ranuras de
implementación le ayudan a administrar los cambios y a reducir el impacto de la
implementación en la aplicación web de producción.
Obtenga más información sobre App Service: AppServiceStandardOrHigher (Traslado

del recurso de App Service a estándar o superior y uso de ranuras de
implementación) .
Considere la posibilidad de escalar horizontalmente el
plan de App Service para optimizar la disponibilidad y la
experiencia del usuario.
Considere la posibilidad de escalar horizontalmente el plan de App Service a al menos
dos instancias para evitar arranques en frío e interrupciones del servicio durante el
mantenimiento rutinario.
Obtenga más información sobre Plan de App Service: AppServiceNumberOfInstances

(Considere la posibilidad de escalar horizontalmente el plan de App Service para
optimizar la experiencia y disponibilidad del usuario) .
El código de la aplicación necesita corregir cuándo se

bloquea el proceso de trabajo debido a una excepción no
controlada
Hemos identificado el siguiente subproceso que produjo una excepción no controlada
para la aplicación y el código de la aplicación debe corregirse para evitar el impacto en
la disponibilidad de la aplicación. Un bloqueo se produce cuando una excepción en el
código finaliza el proceso.
Obtenga más información sobre App Service: AppServiceProactiveCrashMonitoring (El

código de la aplicación debe corregirse como proceso de trabajo bloqueado debido a
una excepción no controlada) .
Considere la posibilidad de cambiar la configuración de

App Service a 64 bits
Hemos identificado que la aplicación se ejecuta en 32 bits y la memoria alcanza el límite
de 2 GB. Considere la posibilidad de cambiar a procesos de 64 bits para que pueda
aprovechar la memoria adicional disponible en el rol de trabajo web. Esta acción
desencadena un reinicio de la aplicación web, por lo que debe planificarlo debidamente.
Obtenga más información sobre las limitaciones de App Service de 32 bits.
Actualización de la biblioteca cliente de Azure Fluid Relay

Recientemente ha invocado el servicio Azure Fluid Relay con una biblioteca cliente
antigua. La biblioteca cliente de Azure Fluid Relay ahora debe actualizarse a la versión
más reciente para asegurarse de que la aplicación permanece operativa. La actualización
proporciona la funcionalidad y mejoras más actualizadas en el rendimiento y la
estabilidad. Para obtener más información sobre la versión más reciente que se va a usar
y cómo actualizar, vea el siguiente artículo.
Obtenga más información sobre Servidor de FluidRelay: UpgradeClientLibrary

(Actualización de la biblioteca de cliente de Azure Fluid Relay) .
Considere la posibilidad de actualizar el plan de

hospedaje de las aplicaciones web estáticas de esta
suscripción a la SKU Estándar
El ancho de banda combinado usado por todas las instancias de Static Web Apps de la
SKU Gratis de esta suscripción supera el límite mensual de 100 GB. Considere la
posibilidad de actualizar estas aplicaciones a la SKU estándar para evitar la limitación.
Obtenga más información sobre Static Web App -

StaticWebAppsUpgradeToStandardSKU (considere la posibilidad de actualizar el plan de
hospedaje de las aplicaciones web estáticas - Static Web App - de esta suscripción a la
SKU estándar) .
Pasos siguientes
Obtenga más información sobre Confiabilidad: Marco bien diseñado de Microsoft Azure
Guía de referencia sobre las
recomendaciones de seguridad
Artículo • 27/09/2023
En este artículo se muestra una lista de las recomendaciones que puede ver en
Microsoft Defender for Cloud. Las recomendaciones que se muestran en su entorno
dependen de los recursos que se van a proteger y de la configuración personalizada.
Las recomendaciones de Defender for Cloud se basan en el punto de referencia de

seguridad en la nube de Microsoft. El punto de referencia de Microsoft para la
seguridad en la nube establece las directrices autorizadas por Microsoft para la
seguridad y los procedimientos recomendados para el cumplimiento normativo en
función de los marcos de cumplimiento más comunes. Este punto de referencia, que
cuenta con un amplísimo respaldo, se basa en los controles del Centro de seguridad de
Internet (CIS) y del Instituto Nacional de Normas y Tecnología (NIST) , con un
enfoque en seguridad centrada en la nube.
Para más información sobre cómo responder a estas recomendaciones, consulte

Implementación de recomendaciones de seguridad en Microsoft Defender for Cloud.
La puntuación segura se basa en el número de recomendaciones de seguridad que ha

completado. Para decidir qué recomendaciones se resuelven en primer lugar, examine la
gravedad de cada una de ellas y su posible impacto en la puntuación de seguridad.
 Sugerencia
Si la descripción de una recomendación indica "No hay ninguna directiva

relacionada", suele deberse a que esta recomendación depende de una
recomendación distinta y de su directiva. Por ejemplo, la recomendación "Los
errores de estado de Endpoint Protection deberían corregirse..." se basa en la
recomendación que comprueba si una solución de Endpoint Protection está incluso
instalada ("La solución de Endpoint Protection debe estar instalada..."). La
recomendación subyacente tiene una directiva. Limitar las directivas a únicamente
la recomendación básica simplifica la administración de directivas.
Recomendaciones de AppServices
Hay 26 recomendaciones en esta categoría.
Recomendación Descripción severity
Acceso a API App solo a través El uso de HTTPS garantiza la autenticación del Media
de HTTPS servicio y el servidor, y protege los datos en
tránsito frente a ataques de intercepción de nivel
de red.
(Directiva relacionada: solo se debe poder acceder
a una aplicación de API a través de HTTPS )
CORS no debe permitir que El uso compartido de recursos entre orígenes Bajo
todos los recursos accedan a API (CORS) no debe permitir que todos los dominios
Apps. accedan a la aplicación de API. Permita la
interacción con API solo de los dominios
requeridos.
(Directiva relacionada: CORS no debe permitir que
todos los recursos accedan a una aplicación de
API )
todos los recursos accedan a (CORS) no debe permitir que todos los dominios
Function Apps. accedan a la aplicación de funciones. Permita la
interacción con la aplicación de funciones solo de
los dominios requeridos.
todos los recursos accedan a sus aplicaciones de
funciones )
todos los recursos accedan a (CORS) no debe permitir que todos los dominios
aplicaciones web. accedan a la aplicación web. Permita la interacción
con la aplicación web solo de los dominios
requeridos.
todos los recursos accedan a sus aplicaciones
web )
Los registros de diagnóstico de Permite auditar la habilitación de registros de Media

App Service deben estar diagnóstico en la aplicación.
habilitados Esto le permite volver a crear seguimientos de
actividad con fines de investigación si se produce
un incidente de seguridad o se pone en peligro la
red.
(Ninguna directiva relacionada)
Asegurarse de que la aplicación Los certificados de cliente permiten que la Media

de API tenga la opción de aplicación solicite un certificado para las solicitudes
"certificados de cliente entrantes. Solo los clientes que tienen un
(certificados de cliente certificado válido podrán acceder a la aplicación.
entrantes)" activada (Directiva relacionada: Asegurarse de que la
aplicación de API tenga la opción de "certificados
de cliente (certificados de cliente entrantes)"

activada )
FTPS debe ser necesario en las Habilite el cumplimiento con FTPS para mejorar la Alto
aplicaciones de API. seguridad.
(Directiva relacionada: FTPS solo debe exigirse en
una aplicación de API )
aplicaciones de función. seguridad.
(Directiva relacionada: FTPS solo debe exigirse en
su aplicación de funciones )
aplicaciones web. seguridad.
(Directiva relacionada: FTPS debe exigirse en su
aplicación web )
Acceso a Function App solo a El uso de HTTPS garantiza la autenticación del Media
través de HTTPS servicio y el servidor, y protege los datos en
de red.
(Directiva relacionada: a la aplicación de funciones
solo se puede acceder a través de HTTPS )
Las aplicaciones de funciones Los certificados de cliente permiten que la Media

deben tener la opción aplicación solicite un certificado para las solicitudes
"Certificados de cliente entrantes. Solo los clientes con certificados válidos
(certificados de cliente pueden acceder a la aplicación.
entrantes)" habilitada (Directiva relacionada: las aplicaciones de funciones
deben tener la opción "Certificados de cliente
[certificados de cliente entrantes]" habilitada )
Java debe actualizarse a la A causa de errores de seguridad o para incluir Media

versión más reciente de las funcionalidades, se publican de forma periódica
aplicaciones de API. versiones más recientes de Java.
Para las aplicaciones de API, se recomienda usar la
versión más reciente de Python con el fin de
aprovechar las correcciones de seguridad, de
haberlas, o las nuevas funcionalidades de la versión
más reciente.
(Directiva relacionada: asegúrese de que la "versión
de Java" es la más reciente, si se usa como parte de
la aplicación de API )
La identidad administrada debe Para mejorar la seguridad de la autenticación, Media

usarse en aplicaciones de API. utilice una identidad administrada.
En Azure, las identidades administradas eliminan la
necesidad de que los desarrolladores administren
credenciales, al proporcionar una identidad para el

recurso de Azure en Azure AD y usarla para
obtener tokens de Azure Active Directory
(Azure AD).
(Directiva relacionada: se debe usar una identidad
administrada en la aplicación de API )

usarse en aplicaciones de utilice una identidad administrada.
función. En Azure, las identidades administradas eliminan la
(Azure AD).
administrada en la aplicación de funciones )

usarse en aplicaciones web. utilice una identidad administrada.
En Azure, las identidades administradas eliminan la
(Azure AD).
administrada en la aplicación web )
Se debe habilitar Microsoft Microsoft Defender para App Service aprovecha la Alto
Defender para App Service escalabilidad de la nube, y la visibilidad que ofrece
Azure como proveedor de servicios en la nube,
para supervisar si se producen ataques comunes a
aplicaciones web.
Microsoft Defender para App Service puede
detectar ataques en las aplicaciones, además de
identificar ataques emergentes.
Importante: La corrección de esta recomendación

dará lugar a cargos por la protección de los planes
de App Service. Si no tiene ningún plan de App
Service en esta suscripción, no se aplicarán cargos.
Si, en el futuro, crea cualquier número de planes de
App Service en esta suscripción, estos se
protegerán automáticamente y a partir de ese
momento, se iniciarán los cargos.
Más información en Protección de las API y las
aplicaciones web
(Directiva relacionada: se debe habilitar Azure

Defender para App Service )
PHP debe actualizarse a la A causa de errores de seguridad o para incluir Media

aplicaciones de API. versiones más recientes del software de PHP.
versión más reciente de PHP con el fin de
más reciente.
de PHP" es la más reciente, en caso de que se use
como parte de la aplicación de API )
Python debe actualizarse a la A causa de errores de seguridad o para incluir Media

aplicaciones de API. versiones más recientes del software de Python.
más reciente.
de Python" es la más reciente, en caso de que se
use como parte de la aplicación de API )
Se debe desactivar la depuración La depuración remota requiere que se abran Bajo

remota para aplicaciones de API puertos de entrada en una aplicación de API. Se
debe desactivar la depuración remota.
(Directiva relacionada: se debe desactivar la
depuración remota en API Apps )
Recomendación de La depuración remota requiere que los puertos de Bajo

desactivación de la depuración entrada se abran en una aplicación de funciones de
remota para Function App Azure. Se debe desactivar la depuración remota.
depuración remota en las instancias de Function
App )
Recomendación de La depuración remota requiere puertos de entrada Bajo

desactivación de la depuración que se abran en una aplicación web. La depuración
remota para aplicaciones web remota se encuentra actualmente habilitada. Si no
necesita usar la depuración remota, se debe
desactivar.
depuración remota para las aplicaciones web )
TLS debe actualizarse a la Actualiza a la versión más reciente de TLS. Alto

versión más reciente de las (Directiva relacionada: en la aplicación de API se
aplicaciones de API. debe usar la versión de TLS más reciente )

versión más reciente para las (Directiva relacionada: en la aplicación de funciones
aplicaciones de función. se debe usar la versión de TLS más reciente )

versión más reciente de las (Directiva relacionada: en la aplicación web se debe
aplicaciones web. usar la versión de LTS más reciente )
Acceso a la aplicación web solo El uso de HTTPS garantiza la autenticación del Media
a través de HTTPS servicio y el servidor, y protege los datos en
de red.
(Directiva relacionada: el acceso a la aplicación web
solo se debe poder realizar a través de HTTPS )
Las aplicaciones web deben Los certificados de cliente permiten que la Media
solicitar un certificado SSL a aplicación solicite un certificado para las solicitudes
todas las solicitudes entrantes entrantes.
Solo los clientes que tienen un certificado válido
podrán acceder a la aplicación.
(Directiva relacionada: asegúrese de que la
aplicación web tenga la opción de "certificados de
cliente (certificados de cliente entrantes)"
activada )
Recomendaciones de proceso
Los controles de Habilite controles de aplicaciones para definir la lista de Alto

aplicaciones adaptables aplicaciones seguras conocidas que se ejecutan en las
para definir aplicaciones máquinas, y recibir avisos cuando se ejecuten otras
seguras deben estar aplicaciones. Esta directiva también ayuda a proteger las
habilitados en las máquinas frente al malware. Para simplificar el proceso de
máquinas configuración y mantenimiento de las reglas, Defender for
Cloud usa el aprendizaje automático para analizar las
aplicaciones que se ejecutan en cada máquina y sugerir la
lista de aplicaciones seguras conocidas.
(Directiva relacionada: las máquinas deben tener habilitados
controles de aplicaciones adaptables para definir

aplicaciones seguras )
Se deben actualizar las Supervise los cambios en el comportamiento de los grupos Alto
reglas de la lista de de máquinas configurados para la auditoría mediante
permitidos de la controles de aplicaciones adaptables de Defender for Cloud.
directiva de controles Defender for Cloud usa el aprendizaje automático para
de aplicaciones analizar los procesos en ejecución en las máquinas y sugerir
adaptables una lista de aplicaciones seguras conocidas. Estas se
presentan como aplicaciones recomendadas que se deben
permitir en directivas de control de aplicaciones adaptables.
(Directiva relacionada: Se deben actualizar las reglas de la
lista de permitidos de la directiva de controles de
aplicaciones adaptables )
La autenticación en Aunque el propio SSH proporciona una conexión cifrada, el Media

máquinas Linux debe uso de contraseñas con SSH deja la máquina virtual
requerir claves SSH. vulnerable a ataques por fuerza bruta. La opción más
segura para autenticarse en una máquina virtual Linux de
Azure mediante SSH es con un par de claves pública y
privada, también conocido como claves SSH. Más
información en Pasos rápidos: Creación y uso de un par de
claves pública-privada SSH para máquinas virtuales Linux en
Azure
(Directiva relacionada: Auditar las máquinas Linux que no
usan clave SSH para la autenticación )
Las variables de cuenta Es importante habilitar el cifrado de recursos de variables Alto

de Automation deben de cuentas de Automation al almacenar datos
cifrarse confidenciales.
(Directiva relacionada: las variables de cuenta de
Automation deben cifrarse )
Azure Backup debería Proteja los datos de las máquinas virtuales de Azure con Bajo
habilitarse en las Azure Backup.
máquinas virtuales Azure Backup es una solución de protección de datos
rentable y nativa de Azure.
Crea puntos de recuperación que se almacenan en
almacenes de recuperación con redundancia geográfica.
Cuando se realiza una restauración desde un punto de
recuperación, se puede restaurar toda la máquina virtual o
determinados archivos.
(Directiva relacionada: Azure Backup debe habilitarse en las
máquinas virtuales )
- Los hosts de Corrija vulnerabilidades en la configuración de seguridad en Alto

contenedor deben equipos con Docker instalado para protegerlos de ataques.
configurarse de forma (Directiva relacionada: se deben corregir las
segura.
Recomendación vulnerabilidades
Descripción en las configuraciones de seguridad de severity
contenedor )
Se deben habilitar los Habilite los registros y consérvelos por hasta un año. Esto le Bajo
registros de diagnóstico permite volver a crear seguimientos de actividad con fines
en Azure Stream de investigación cuando se produce un incidente de
Analytics seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Azure
Stream Analytics debe estar habilitados )
Se deben habilitar los Habilite los registros y consérvelos por hasta un año. Esto le Bajo
registros de diagnóstico permite volver a crear seguimientos de actividad con fines
en las cuentas de Batch de investigación cuando se produce un incidente de
seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de las
cuentas de Batch deben estar habilitados )
Los registros de Habilite los registros y consérvelos por hasta un año. Esto le Bajo
diagnóstico del centro permite volver a crear seguimientos de actividad con fines
de eventos deben estar de investigación cuando se produce un incidente de
habilitados seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Event
Hubs deben estar habilitados )
Los registros de Para asegurarse de que puede volver a crear trazos de Bajo
diagnóstico de Logic actividad con fines de investigación cuando se produce un
Apps deben estar incidente de seguridad o se pone en peligro la red, habilite
habilitados el registro. Si los registros de diagnóstico no se envían a un
área de trabajo Log Analytics, una cuenta de Azure Storage
o Azure Event Hubs, asegúrese de que ha configurado los
valores de diagnóstico para enviar las métricas de la
plataforma y los registros de la plataforma a los destinos
correspondientes. Más información en Creación de una
configuración de diagnóstico para enviar los registros y las
métricas de la plataforma a diferentes destinos.
(Directiva relacionada: los registro de diagnóstico de Logic
Apps deben estar habilitados )
diagnóstico de los permite volver a crear seguimientos de actividad con fines
servicios de búsqueda de investigación cuando se produce un incidente de
deben estar habilitados seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de los
servicios Search deben estar habilitados )
diagnóstico en Service permite volver a crear seguimientos de actividad con fines
Bus deben estar de investigación cuando se produce un incidente de
(Directiva relacionada: los registros de diagnóstico de

Service Bus deben estar habilitados )
diagnóstico de Virtual permite volver a crear seguimientos de actividad con fines
Machine Scale Sets de investigación cuando se produce un incidente de
deben estar habilitados seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de
Virtual Machine Scale Sets deben estar habilitados )
- Deben resolverse los Resuelva los problemas del estado de la protección de los Media
problemas de estado de puntos de conexión en las máquinas virtuales para
Endpoint Protection en protegerlas frente a amenazas y vulnerabilidades más
las máquinas. recientes. Consulte la documentación de las soluciones de
Endpoint Protection compatibles con Defender for Cloud y
las evaluaciones de Endpoint Protection.
Deben resolverse los Corrija los errores de estado de la protección de puntos de Bajo
problemas de estado de conexión en conjuntos de escalado de sus máquinas
Endpoint Protection en virtuales para protegerlas de amenazas y vulnerabilidades.
los conjuntos de (Directiva relacionada: la solución de protección de puntos
escalado de máquinas de conexión debe estar instalada en los conjuntos de
virtuales. escalado de máquinas virtuales )
- Endpoint Protection Para proteger las máquinas frente a amenazas y Alto

debe instalarse en vulnerabilidades, instale una solución Endpoint Protection
máquinas. compatible.
Obtenga más información sobre cómo se evalúa Endpoint
Protection para máquinas en Evaluación y recomendaciones
de Endpoint Protection en Microsoft Defender for Cloud.
Endpoint Protection Instale una solución Endpoint Protection en los conjuntos Alto
debe instalarse en de escalado de máquinas virtuales para protegerlos frente a
conjuntos de escalado amenazas y vulnerabilidades.
de máquinas virtuales. (Directiva relacionada: la solución Endpoint Protection debe
estar instalada en los conjuntos de escalado de máquinas
virtuales )
La supervisión de la Defender for Cloud ha identificado máquinas a las que les Alto
integridad de los falta una solución de supervisión de integridad de archivos.
archivos debe estar Para supervisar los cambios en archivos críticos, claves del
habilitada en las registro, etc. en los servidores, habilite la supervisión de la
máquinas integridad de los archivos.
Cuando la solución de supervisión de la integridad de los
archivos está habilitada, cree reglas de recopilación de
datos para definir los archivos que se van a supervisar. Para
definir reglas o ver los archivos cambiados en las máquinas
con reglas existentes, vaya a la página de administración de

supervisión de la integridad de los archivos>
La extensión de Instale la extensión de atestación de invitados en conjuntos Bajo

atestación de invitados de escalado de máquinas virtuales Linux admitidos para
debe estar instalada en permitir que Microsoft Defender for Cloud atestigüe y
conjuntos de escalado supervise proactivamente la integridad del arranque. Una
de máquinas virtuales vez instalada, la integridad del arranque se atestiguará
Linux admitidos mediante la atestación remota. Esta evaluación solo se
aplica a los conjuntos de escalado de máquinas virtuales
Linux habilitados para el inicio seguro.
Importante:
El inicio seguro requiere la creación de nuevas máquinas
virtuales.
No se puede habilitar el inicio seguro en las máquinas
virtuales existentes que se crearon inicialmente sin él.
Más información sobre el inicio seguro para máquinas
virtuales de Azure
La extensión de Instale la extensión de atestación de invitados en máquinas Bajo

atestación de invitados virtuales Linux admitidas para permitir que Microsoft
debe estar instalada en Defender for Cloud atestigüe y supervise proactivamente la
las máquinas virtuales integridad del arranque. Una vez instalada, la integridad del
Linux arranque se atestiguará mediante la atestación remota. Esta
evaluación solo se aplica a las máquinas virtuales Linux
habilitadas para el inicio de confianza.
Importante:
virtuales.
virtuales de Azure
La extensión de Instale la extensión de atestación de invitados en conjuntos Bajo

atestación de invitados de escalado de máquinas virtuales admitidos para permitir
debe estar instalada en que Microsoft Defender for Cloud atestigüe y supervise
conjuntos de escalado proactivamente la integridad del arranque. Una vez
de máquinas virtuales instalada, la integridad del arranque se atestiguará
Windows admitidos mediante la atestación remota. Esta evaluación solo se
aplica a los conjuntos de escalado de máquinas virtuales
habilitados para el inicio seguro.
Importante:
virtuales.
virtuales de Azure
La extensión de Instale la extensión de atestación de invitados en máquinas Bajo

atestación de invitados virtuales admitidas para permitir que Microsoft Defender for
debe estar instalada en Cloud atestigüe y supervise proactivamente la integridad
las máquinas virtuales del arranque. Una vez instalada, la integridad del arranque
Windows se atestiguará mediante la atestación remota. Esta
evaluación solo se aplica a las máquinas virtuales
habilitadas para el inicio seguro.
Importante:
virtuales.
virtuales de Azure
La extensión de Para garantizar la seguridad de la configuración de invitado, Media

configuración de instale la extensión "Configuración de invitado". La
invitado debe instalarse configuración de invitado supervisada en la extensión
en las máquinas. engloba la configuración del sistema operativo, la
configuración o presencia de las aplicaciones y la
configuración del entorno. Una vez instaladas, las directivas
de invitado estarán disponibles como "La protección contra
vulnerabilidades de Windows debe estar habilitada.". Más
información .
(Directiva relacionada: las máquinas virtuales deben tener la
extensión Configuración de invitado ).
Instalar una solución de Instale una solución de protección de punto de conexión en Alto
protección de punto de las máquinas virtuales para protegerlas frente a amenazas y
conexión en máquinas vulnerabilidades.
virtuales (Directiva relacionada: supervisar la falta de Endpoint
Protection en Azure Security Center )
Las máquinas virtuales Para ayudar a mitigar la ejecución de código Bajo

Linux deben exigir la malintencionado o no autorizado en modo kernel, exija la
validación de la firma validación de la firma del módulo de kernel en máquinas
del módulo de kernel virtuales Linux admitidas. La validación de la firma del
módulo de kernel garantiza que solo se permita la ejecución

de módulos de kernel de confianza. Esta evaluación solo se
aplica a las máquinas virtuales Linux que tienen instalado el
agente de Azure Monitor.
Las máquinas virtuales Con el arranque seguro habilitado, todos los componentes Bajo
Linux solo deben usar de arranque del sistema operativo (cargador de arranque,
componentes de kernel y controladores de kernel) deben estar firmados por
arranque firmados y de editores de confianza. Defender for Cloud ha identificado
confianza componentes de arranque del sistema operativo que no son
de confianza en una o varias máquinas Linux. Para proteger
las máquinas de componentes potencialmente
malintencionados, agréguelas a la lista de permitidos o
quite los componentes identificados.
Las máquinas virtuales Para protegerse contra la instalación de rootkits y bootkits Bajo
Linux deben usar el basados en malware, habilite el arranque seguro en las
arranque seguro máquinas virtuales Linux admitidas. El arranque seguro
garantiza que solo se permitirá la ejecución de
controladores y sistemas operativos firmados. Esta
evaluación solo se aplica a las máquinas virtuales Linux que
tienen instalado el agente de Azure Monitor.
El agente de Log Defender for Cloud usa el agente de Log Analytics (también Alto
Analytics debe conocido como OMS) para recopilar eventos de seguridad
instalarse en las de las máquinas de Azure Arc. Para implementar el agente
máquinas basadas en en todas las máquinas de Azure Arc, siga los pasos de
Linux habilitadas para corrección.
Azure Arc. (Ninguna directiva relacionada)
El agente de Log Defender for Cloud recopila datos de las máquinas virtuales Alto
Analytics debe de Azure para supervisar las amenazas y vulnerabilidades de
instalarse en los la seguridad. Para realizar esta operación, se usa el agente
conjuntos de escalado de Log Analytics, que anteriormente se conocía como
de máquinas virtuales. Microsoft Monitoring Agent (MMA), que lee distintas
configuraciones relacionadas con la seguridad y distintos
registros de eventos de la máquina y copia los datos en el
área de trabajo para analizarlos. También tendrá que realizar
ese procedimiento si algún servicio administrado de Azure,
como Azure Kubernetes Service o Azure Service Fabric,
utiliza sus máquinas virtuales. No se puede configurar el
aprovisionamiento automático del agente para los
conjuntos de escalado de máquinas virtuales de Azure. Para
implementar el agente en los conjuntos de escalado de
máquinas virtuales (incluidos los que se usan en los
servicios administrados de Azure, como Azure Kubernetes

Service y Azure Service Fabric), siga el procedimiento
descrito en los pasos de corrección.
(Directiva relacionada: el agente de Log Analytics debe
instalarse en sus conjuntos de escalado de máquinas
virtuales para supervisar Azure Security Center )
El agente de Log Defender for Cloud recopila datos de las máquinas virtuales Alto
Analytics debe de Azure para supervisar las amenazas y vulnerabilidades de
instalarse en las la seguridad. Para realizar esta operación, se usa el agente
máquinas virtuales. de Log Analytics, que anteriormente se conocía como
Microsoft Monitoring Agent (MMA), que lee distintas
configuraciones relacionadas con la seguridad y distintos
registros de eventos de la máquina y copia los datos en el
área de trabajo de Log Analytics para analizarlos. Este
agente también es necesario si algún servicio administrado
de Azure, como Azure Kubernetes Service o Azure Service
Fabric, utiliza sus máquinas virtuales. Se recomienda
configurar el aprovisionamiento automático para que
implemente el agente automáticamente. Si decida no usar
el aprovisionamiento automático, implemente el agente de
forma manual en sus máquinas virtuales y, para hacerlo,
siga las instrucciones de los pasos para la corrección.
(Directiva relacionada: el agente de Log Analytics debe
instalarse en la máquina virtual para la supervisión de Azure
Security Center )
El agente de Log Defender for Cloud usa el agente de Log Analytics (también Alto
Analytics debe conocido como MMA) para recopilar eventos de seguridad
instalarse en las de las máquinas de Azure Arc. Para implementar el agente
máquinas basadas en en todas las máquinas de Azure Arc, siga los pasos de
Windows habilitadas corrección.
para Azure Arc. (Ninguna directiva relacionada)
Las máquinas deben Corrija vulnerabilidades en la configuración de seguridad en Bajo

configurarse de forma las máquinas para protegerlas de ataques.
segura. (Directiva relacionada: se deben corregir las
vulnerabilidades en la configuración de seguridad de las
máquinas )
Las máquinas deben Para aplicar las actualizaciones de configuración de Bajo

reiniciarse para aplicar seguridad y protegerlas frente a las vulnerabilidades,
actualizaciones de reinicie sus máquinas. Esta evaluación solo se aplica a las
configuración de máquinas virtuales Linux que tienen instalado el agente de
seguridad Azure Monitor.
Las máquinas deben Defender for Cloud comprueba regularmente las máquinas Media
tener una solución de conectadas para asegurarse de que están ejecutando
evaluación de herramientas de evaluación de vulnerabilidades. Use esta

vulnerabilidades. recomendación para implementar una solución de
evaluación de vulnerabilidades.
(Directiva relacionada: debe habilitarse una solución de
evaluación de vulnerabilidades en las máquinas virtuales )
Las máquinas deben Resuelva los resultados de las soluciones de evaluación de Bajo
tener resueltos los vulnerabilidades en las máquinas virtuales.
resultados de (Directiva relacionada: debe habilitarse una solución de
vulnerabilidades. evaluación de vulnerabilidades en las máquinas virtuales )
Los puertos de Defender for Cloud identificó en los puertos de Alto

administración de las administración del grupo de seguridad de red que algunas
máquinas virtuales de las reglas de entrada son demasiado permisivas. Habilite
deben protegerse con el control de acceso Just-in-Time para proteger la máquina
el control de acceso de virtual frente a los ataques por fuerza bruta que se realizan
red Just-In-Time . a través de Internet. Más información en Descripción del
acceso a la máquina virtual Just-in-Time (JIT)
(Directiva relacionada: los puertos de administración de las
máquinas virtuales deben protegerse con el control de
acceso de red Just-In-Time )
Se debe habilitar Microsoft Defender para servidores proporciona protección Alto

Microsoft Defender en tiempo real contra amenazas para las cargas de trabajo
para servidores del servidor y genera recomendaciones de protección, así
como alertas sobre la actividad sospechosa.
Esta información se puede usar para corregir problemas de
seguridad y mejorar la seguridad de los servidores
rápidamente.
Importante: la corrección de esta recomendación dará lugar

a cargos por la protección de los servidores. Si no tiene
ningún servidor en esta suscripción, no se aplicarán cargos.
Si, en el futuro, crea cualquier número de servidores en esta
suscripción, estos se protegerán automáticamente y a partir
de ese momento, se iniciarán los cargos.
Más información en Introducción a Microsoft Defender para
servidores.
(Directiva relacionada: se debe habilitar Azure Defender
para servidores )
Microsoft Defender Microsoft Defender para servidores proporciona detección Media

para servidores debe de amenazas y defensas avanzadas para las máquinas
estar habilitado en las Windows y Linux.
áreas de trabajo. Con este plan de Defender habilitado en las suscripciones,
pero no en las áreas de trabajo, paga por la funcionalidad
completa de Microsoft Defender para los servidores, pero
se pierden algunas de las ventajas.
Al habilitar Microsoft Defender para servidores en un área

de trabajo, todas las máquinas que dependen de esa área
de trabajo se facturarán en relación con Microsoft Defender
para los servidores, incluso si están en suscripciones sin
planes de Defender habilitados. A menos que también
habilite Microsoft Defender para los servidores de la
suscripción, esas máquinas no podrán aprovechar el acceso
a máquinas virtuales Just-In-Time, los controles de
aplicación adaptables y las detecciones de red para los
recursos de Azure.
servidores.
El arranque seguro La habilitación del arranque seguro en las máquinas Bajo

debe estar habilitado en virtuales Windows admitidas ayuda a mitigar los cambios
las máquinas virtuales malintencionados y no autorizados en la cadena de
Windows admitidas arranque. Una vez habilitado, solo se permitirá la ejecución
de cargadores de arranque de confianza, del kernel y de
controladores de kernel. Esta evaluación solo se aplica a las
máquinas virtuales Windows habilitadas para el inicio de
confianza.
Importante:
virtuales.
virtuales de Azure
Se debe establecer la Service Fabric proporciona tres niveles de protección (None, Alto
propiedad Sign y EncryptAndSign) para la comunicación de nodo a
ClusterProtectionLevel nodo mediante un certificado de clúster principal.
en EncryptAndSign en Establezca el nivel de protección para asegurarse de que
los clústeres de Service todos los mensajes de nodo a nodo se cifran y se firman
Fabric digitalmente.
(Directiva relacionada: se debe establecer la propiedad
ClusterProtectionLevel en EncryptAndSign en los clústeres
de Service Fabric )
Los clústeres de Service Realice la autenticación de clientes solo mediante Azure Alto
Fabric solo deben usar Active Directory en Service Fabric
Azure Active Directory (Directiva relacionada: los clústeres de Service Fabric solo
para la autenticación de deben usar Azure Active Directory para la autenticación de
cliente cliente )
Se deben instalar las Instale actualizaciones faltantes de seguridad y críticas para Alto
actualizaciones del proteger sus conjuntos de escalado de máquinas virtuales
sistema en los de Windows y Linux.
conjuntos de escalado (Directiva relacionada: se deben instalar las actualizaciones
de máquinas virtuales del sistema en los conjuntos de escalado de máquinas
virtuales )
Se deben instalar Instale actualizaciones faltantes de seguridad y críticas para Alto

actualizaciones del proteger sus máquinas virtuales y equipos de Windows y
sistema en las máquinas Linux.
(Directiva relacionada: se deben instalar las actualizaciones
del sistema en las máquinas )
Se deben instalar las A las máquinas les faltan actualizaciones del sistema, de Alto
actualizaciones del seguridad y actualizaciones críticas. Las actualizaciones de
sistema en las máquinas software a menudo incluyen revisiones críticas para las
(con la tecnología del vulnerabilidades de seguridad. Dichas vulnerabilidades se
Centro de actualización) aprovechan con frecuencia en ataques de malware, por lo
que es fundamental mantener el software actualizado. Para
instalar todas las revisiones pendientes y proteger las
máquinas, siga los pasos de corrección.
Los conjuntos de Corrija vulnerabilidades en la configuración de seguridad en Alto

escalado de máquinas conjuntos de escalado de máquinas virtuales para
virtuales deben protegerlas de ataques.
configurarse de forma (Directiva relacionada: se deben corregir las
segura. vulnerabilidades en la configuración de seguridad de los
conjuntos de escalado de máquinas virtuales )
El estado de atestación La atestación de invitado se realiza mediante el envío de un Media

de invitado de las registro de confianza (TCGLog) a un servidor de atestación.
máquinas virtuales debe El servidor usa estos registros para determinar si los
ser correcto componentes de arranque son de confianza. Esta
evaluación está pensada para detectar riesgos de la cadena
de arranque que podrían ser el resultado de una infección
por bootkit o rootkit.
Esta evaluación solo se aplica a las máquinas virtuales
habilitadas para inicio de confianza que tengan instalada la
extensión de atestación de invitados.
La extensión La extensión Configuración de invitado requiere una Media

"Configuración de identidad administrada asignada por el sistema. Si las
invitado" de las máquinas virtuales de Azure incluidas en el ámbito de esta
máquinas virtuales debe directiva tienen instalada la extensión "Configuración de
implementarse con una invitado" pero no tienen una identidad administrada
asignada por el sistema, no cumplirán los requisitos
identidad administrada establecidos. Más información

asignada por el sistema (Directiva relacionada: la extensión Configuración de
invitado se debe implementar en las máquinas virtuales de
Azure con una identidad administrada asignada por el
sistema ).
Se deben migrar las Virtual Machines (clásico) quedó en desuso y estás Alto
máquinas virtuales a máquinas virtuales se deben migrar a Azure Resource
nuevos recursos de Manager.
Azure Resource Dado que Azure Resource Manager tiene ahora
Manager funcionalidades completas de IaaS y otras mejoras, hemos
puesto en desuso las máquinas virtuales (VM) de IaaS
mediante Azure Service Manager (ASM) el 28 de febrero de
2020. Esta funcionalidad se retirará por completo el 1 de
marzo de 2023.
Para visualizar todas las VM clásicas afectadas, asegúrese de

seleccionar todas las suscripciones de Azure en la pestaña
"Directorios y suscripciones".
Recursos e información disponibles sobre esta herramienta

y la migración:
Información general sobre el desuso de las máquinas
virtuales (clásico), el proceso detallado de la migración y los
recursos de Microsoft disponibles.
Detalles sobre la migración con la herramienta de migración
de Azure Resource Manager.
Migre a la herramienta de migración de Azure Resource
Manager mediante PowerShell.
(Directiva relacionada: Virtual Machines debe migrar a los
nuevos recursos de Azure Resource Manager )
Las máquinas virtuales De manera predeterminada, los discos del sistema Alto
deben cifrar los discos operativo y de datos de una máquina virtual se cifran en
temporales, las cachés y reposo mediante claves administradas por la plataforma,
los flujos de datos entre los discos temporales y las memorias caché de datos no
los recursos de Proceso están cifrados, y los datos no se cifran cuando fluyen entre
y Almacenamiento los recursos de proceso y almacenamiento.
Para ver una comparación de las distintas tecnologías de
cifrado de disco en Azure, consulte,
https://aka.ms/diskencryptioncomparison .
Use Azure Disk Encryption para cifrar todos estos datos.
Ignore esta recomendación si:
1. Está usando la característica de cifrado en host, o 2. El
cifrado del lado servidor en Managed Disks cumple sus
requisitos de seguridad.
Más información en Cifrado del lado servidor de Azure Disk
Storage
(Directiva relacionada: el cifrado de discos debe aplicarse en

las máquinas virtuales )
vTPM debe estar Habilite el dispositivo TPM virtual en las máquinas virtuales Bajo
habilitado en las compatibles para facilitar el arranque medido y otras
máquinas virtuales características de seguridad del sistema operativo que
admitidas requieren un TPM. Una vez habilitado, vTPM se puede usar
para atestiguar la integridad del arranque. Esta evaluación
solo se aplica a las máquinas virtuales habilitadas para el
inicio seguro.
Importante:
virtuales.
virtuales de Azure
Las vulnerabilidades de Corrija vulnerabilidades en la configuración de seguridad en Bajo

la configuración de sus máquinas Linux para protegerlas de ataques.
seguridad de las (Directiva relacionada: las máquinas Linux deben cumplir los
máquinas Linux deben requisitos de la línea base de seguridad de Azure )
corregirse (mediante la
configuración de
invitado)
Las vulnerabilidades de Corrija vulnerabilidades en la configuración de seguridad en Bajo

la configuración de sus máquinas Windows para protegerlas de ataques.
seguridad de las (Ninguna directiva relacionada)
máquinas Windows
deben corregirse
(mediante la
configuración de
invitado)
La Protección contra La protección contra vulnerabilidades de seguridad de Media

vulnerabilidades de Windows Defender utiliza el agente de configuración de
seguridad de Windows invitado de Azure Policy. La protección contra
Defender debe estar vulnerabilidades de seguridad tiene cuatro componentes
habilitada en las diseñados para bloquear dispositivos en una amplia
máquinas. variedad de vectores de ataque y comportamientos de
bloque utilizados habitualmente en ataques de malware, al
tiempo que permiten a las empresas equilibrar los
requisitos de productividad y riesgo de seguridad (solo
Windows).
(Directiva relacionada: auditar las máquinas Windows en las
que Protección contra vulnerabilidades de seguridad de

Windows Defender no está habilitado ).
Los servidores web de Para proteger la privacidad de la información que se Alto

Windows deben estar comunica a través de Internet, los servidores web deben
configurados para usar usar la versión más reciente del protocolo criptográfico
protocolos de estándar del sector, Seguridad de la capa de transporte
comunicación seguros (TLS). TLS protege las comunicaciones que se realizan a
través de una red mediante el uso de certificados de
seguridad para cifrar una conexión entre máquinas.
(Directiva relacionada: Auditoría de los servidores web
Windows que no estén usando los protocolos de
comunicación segura )
[Versión preliminar]: las De forma predeterminada, los discos de datos y del sistema Alto
máquinas virtuales de operativo de una máquina virtual se cifran en reposo
Linux deben habilitar mediante claves administradas por la plataforma; los discos
Azure Disk Encryption o temporales y las cachés de datos no se cifran y los datos no
EncryptionAtHost se cifran cuando fluyen entre los recursos de proceso y
almacenamiento. Use Azure Disk Encryption o
EncryptionAtHost para cifrar todos estos datos. Visite
https://aka.ms/diskencryptioncomparison para comparar
las ofertas de cifrado. Esta directiva requiere que se
implementen dos requisitos previos en el ámbito de
asignación de directiva. Para más detalles, visite
https://aka.ms/gcpol .
(Directiva relacionada: [Versión preliminar]: las máquinas
virtuales de Linux deben habilitar Azure Disk Encryption o
EncryptionAtHost )
[Versión preliminar]: Las De forma predeterminada, los discos de datos y del sistema Alto
máquinas virtuales de operativo de una máquina virtual se cifran en reposo
Windows deben mediante claves administradas por la plataforma; los discos
habilitar Azure Disk temporales y las cachés de datos no se cifran y los datos no
Encryption o se cifran cuando fluyen entre los recursos de proceso y
EncryptionAtHost almacenamiento. Use Azure Disk Encryption o
EncryptionAtHost para cifrar todos estos datos. Visite
https://aka.ms/diskencryptioncomparison para comparar
las ofertas de cifrado. Esta directiva requiere que se
implementen dos requisitos previos en el ámbito de
asignación de directiva. Para más detalles, visite
https://aka.ms/gcpol .
(Directiva relacionada: [Versión preliminar]: las máquinas
virtuales de Windows deben habilitar Azure Disk Encryption
o EncryptionAtHost )
Recomendaciones del contenedor
[Habilitar si es necesario] Las recomendaciones para usar claves administradas Bajo

Los registros de contenedor por el cliente para el cifrado de datos en reposo no se
se deben cifrar con una evalúan de forma predeterminada, pero se pueden
clave administrada por el habilitar en los escenarios aplicables. Los datos se cifran
cliente (CMK) . automáticamente mediante claves administradas por la
plataforma, por lo que el uso de claves administradas
por el cliente solo se debe aplicar cuando sea
obligatorio para cumplir los requisitos de directivas de
restricción o cumplimiento.
Para habilitar esta recomendación, vaya a la directiva de
seguridad del ámbito aplicable y actualice el parámetro
Effect de la directiva correspondiente para auditar o
exigir el uso de claves administradas por el cliente. Más
información en Administrar directivas de seguridad
Use claves administradas por el cliente para administrar
el cifrado en reposo del contenido de los registros. De
manera predeterminada, los datos se cifran en reposo
con claves administradas por el servicio, pero las claves
administradas por el cliente (CMK) suelen ser necesarias
para cumplir estándares de cumplimiento normativo.
Las CMK permiten cifrar los datos con una clave de
Azure Key Vault creada por el usuario y propiedad de
este. Tiene control y responsabilidad totales del ciclo de
vida de la clave, incluidos la rotación y administración.
Más información sobre el cifrado de CMK en
https://aka.ms/acr/CMK .
(Directiva relacionada: las instancias de Container
Registry se deben cifrar con una clave administrada por
el cliente [CMK] )
Los clústeres de Kubernetes La extensión de Azure Policy para Kubernetes amplía Alto
habilitados para Azure Arc Gatekeeper v3, un webhook del controlador de
deben tener instalada la admisión de Open Policy Agent (OPA), para aplicar
extensión de Azure Policy imposiciones y medidas de seguridad a escala en los
clústeres de forma centralizada y coherente.
Los clústeres de Kubernetes La extensión de Defender para Azure Arc proporciona Alto
habilitados para Azure Arc protección contra amenazas para los clústeres de
deben tener la extensión de Kubernetes habilitados para Arc. La extensión recopila
Defender instalada. datos de todos los nodos del plano de control
(maestro) del clúster y los envía a Microsoft Defender
para el back-end de Azure Defender para Kubernetes
en la nube para su posterior análisis. Más información.

Los clústeres de Azure Microsoft Defender para Contenedores proporciona Alto

Kubernetes Service deberían funcionalidades de seguridad de Kubernetes nativas de
tener habilitado el perfil de la nube, como protección del entorno, protección de
Defender. cargas de trabajo y protección en tiempo de ejecución.
Al habilitar el perfil SecurityProfile.AzureDefender en el
clúster de Azure Kubernetes Service, se implementa un
agente en el clúster para recopilar datos de eventos de
seguridad.
Más información en Introducción a Microsoft Defender
para contenedores
Los clústeres de El complemento de Azure Policy para Kubernetes Alto

Azure Kubernetes Service amplía Gatekeeper v3, un webhook del controlador
deben tener instalado el de admisión de Open Policy Agent (OPA), para aplicar
complemento de imposiciones y medidas de seguridad a escala en los
Azure Policy para clústeres de forma centralizada y coherente.
Kubernetes
Defender for Cloud requiere que el complemento
audite y aplique las funcionalidades de seguridad y el
cumplimiento en los clústeres. Más información.
Requiere Kubernetes v 1.14.0 o posterior.
(Directiva relacionada: el complemento Azure Policy

para Kubernetes Service (AKS) debería estar instalado y
habilitado en sus clústeres )
Se deben aplicar los límites La aplicación de límites de CPU y memoria evita los Media
de CPU y memoria de los ataques de agotamiento de recursos (una forma de
contenedores ataque de denegación de servicio).
Se recomienda establecer los límites de los
contenedores para asegurarse de que el tiempo de
ejecución impide que el contenedor use más del límite
de recursos configurado.
(Directiva relacionada: asegúrese de que los límites de

los recursos de memoria y CPU del contenedor no
superan los límites especificados en el clúster de
Kubernetes )
Las imágenes de Las imágenes que se ejecutan en el clúster de Alto

contenedor solo deben Kubernetes deben provenir de registros de imagen de
implementarse desde contenedor conocidos y supervisados. Los registros de
registros de confianza confianza reducen el riesgo de exposición del clúster, ya
que limitan la posibilidad de que se introduzcan
vulnerabilidades desconocidas, problemas de seguridad

e imágenes malintencionadas.
(Directiva relacionada: asegúrese de que solo hay las
imágenes de contenedor permitidas en el clúster de
Kubernetes )
Las instancias de Container De manera predeterminada, las instancias de Azure Media

Registry no deben permitir Container Registry aceptan conexiones a través de
el acceso de red sin Internet de hosts de cualquier red. Para protegerlas
restricciones frente a posibles amenazas, permita el acceso solo
desde direcciones IP públicas específicas o intervalos de
direcciones. Si el registro no tiene una regla de
IP/firewall o una red virtual configurada, aparece en los
recursos incorrectos. Obtenga más información sobre
las reglas de red de Container Registry aquí:
https://aka.ms/acr/portal/public-network y aquí
https://aka.ms/acr/vnet .
Registry no deben permitir el acceso de red sin
restricciones )
Las instancias de Container Azure Private Link permite conectar la red virtual a Media
Registry deben usar Private servicios de Azure sin una dirección IP pública en el
Link origen o el destino. La plataforma Private Link
administra la conectividad entre el consumidor y los
servicios a través de la red troncal de Azure. Mediante
la asignación de puntos de conexión privados a los
registros de contenedor en lugar de a todo el servicio,
también estará protegido frente a riesgos de pérdida de
datos. Más información en: https://aka.ms/acr/private-
link .
Registry deben usar un vínculo privado )
Container registry images La evaluación de vulnerabilidades de la imagen de Alto

should have vulnerability contenedor examina el registro en busca de
findings resolved (powered vulnerabilidades de seguridad y expone los resultados
by Qualys) (Las imágenes detallados en cada imagen. La resolución de las
del registro de vulnerabilidades puede mejorar considerablemente la
contenedores deben tener posición de seguridad de los contenedores y
resueltos los hallazgos de protegerlos frente a ataques.
vulnerabilidades [con (Directiva relacionada: se deben corregir las
tecnología de Qualys]) vulnerabilidades de las imágenes de Azure Container
Registry )
Las imágenes del registro La evaluación de vulnerabilidades de la imagen de Alto

de contenedor deben tener contenedor examina el registro para detectar
resueltos los resultados de vulnerabilidades conocidas (CVE) y proporciona un
las vulnerabilidades (con informe detallado de vulnerabilidades para cada

tecnología de imagen. La resolución de vulnerabilidades puede
Administración de mejorar considerablemente la posición de seguridad, lo
vulnerabilidades de que garantiza que las imágenes sean seguras para
Microsoft Defender), versión usarlas antes de la implementación.
preliminar (Directiva relacionada: se deben corregir las
vulnerabilidades de las imágenes de Azure Container
Registry )
Se deben evitar los Los contenedores no deben ejecutarse con una Media
contenedores con elevación elevación de privilegios a la raíz en el clúster de
de privilegios Kubernetes.
El atributo AllowPrivilegeEscalation controla si un
proceso puede obtener más privilegios que el proceso
primario.
(Directiva relacionada: los clústeres de Kubernetes no
deben permitir la elevación de privilegios del
contenedor )
Deben evitarse los Para protegerse frente a la elevación de privilegios Media

contenedores que fuera del contenedor, evite el acceso del pod a espacios
comparten espacios de de nombres de hosts confidenciales (id. de proceso de
nombres de host host e IPC de host) en un clúster de Kubernetes.
confidenciales (Directiva relacionada: los contenedores del clúster de
Kubernetes no deben compartir el identificador de
proceso del host ni el espacio de nombres IPC del
host )
Los contenedores solo Los contenedores que se ejecutan en los clústeres de Alto
deben usar perfiles de Kubernetes se deben limitar únicamente a perfiles de
AppArmor permitidos. AppArmor permitidos.
AppArmor (Application Armor) es un módulo de
seguridad de Linux que protege un sistema operativo y
sus aplicaciones frente a amenazas de seguridad. Para
usarlo, el administrador del sistema asocia un perfil de
seguridad de AppArmor a cada programa.
(Directiva relacionada: los contenedores de clúster de
Kubernetes solo deben usar perfiles de AppArmor
permitidos )
- Los registros de Habilite los registros de diagnóstico en los servicios de Bajo

diagnóstico de los servicios Kubernetes y consérvelos hasta un año. Esto le permite
de Kubernetes deben estar volver a crear seguimientos de actividad con fines de
habilitados. investigación cuando se produce un incidente de
seguridad.
El sistema de archivos raíz Los contenedores deben ejecutarse con un sistema de Media
inmutable (de solo lectura) archivos raíz de solo lectura en el clúster de Kubernetes.
debe aplicarse para los El sistema de archivos inmutable protege los

contenedores contenedores frente a cambios en el entorno de
ejecución que implican la adición de archivos binarios
malintencionados a PATH.
(Directiva relacionada: los contenedores del clúster de
Kubernetes deben ejecutarse con un sistema de
archivos raíz de solo lectura )
El servidor de API de Para asegurarse de que las aplicaciones de las redes, Alto
Kubernetes debe máquinas o subredes permitidas son las únicas que
configurarse con acceso pueden acceder al clúster, restrinja el acceso al servidor
restringido de API de Kubernetes. Para restringir el acceso, defina
los intervalos IP autorizados o configure los servidores
de API como clústeres privados, como se explica en
Creación de un clúster privado de Azure Kubernetes
Service.
(Directiva relacionada: los intervalos IP autorizados
deben definirse en Servicios de Kubernetes )
Los clústeres de Kubernetes El uso de HTTPS garantiza la autenticación y protege los Alto
solo deben ser accesibles datos en tránsito frente a ataques de intercepción de
mediante HTTPS nivel de red. Esta funcionalidad está disponible
actualmente con carácter general para
Kubernetes Service (AKS) y en versión preliminar para el
motor de AKS y Kubernetes con Azure Arc habilitado.
Para más información, visite
https://aka.ms/kubepolicydoc
(Directiva relacionada: Exigir la entrada HTTPS en el
clúster de Kubernetes )
Los clústeres de Kubernetes Deshabilite las credenciales de la API de montaje Alto

deben deshabilitar las automático para evitar que un recurso de pod de riesgo
credenciales de la API de ejecute comandos de la API en clústeres de Kubernetes.
montaje automático Para más información, consulte
https://aka.ms/kubepolicydoc .
(Directiva relacionada: Los clústeres de Kubernetes
deben deshabilitar las credenciales de la API de
montaje automático )
Los clústeres de Kubernetes Para reducir la superficie expuesta a ataques de sus Alto
no deben otorgar contenedores, restrinja las funcionalidades
funcionalidades de CAP_SYS_ADMIN de Linux. Para más información,
seguridad consulte https://aka.ms/kubepolicydoc .
CAPSYSADMIN . (Ninguna directiva relacionada)
Los clústeres de Kubernetes Evite el uso del espacio de nombres predeterminado en Bajo
no deben usar el espacio de los clústeres de Kubernetes para proteger del acceso no
nombres predeterminado autorizado a los tipos de recurso ConfigMap, Pod,
Secret, Service y ServiceAccount. Para más información,
consulte https://aka.ms/kubepolicydoc .
(Directiva relacionada: Los clústeres de Kubernetes no
deben usar el espacio de nombres predeterminado )
Deben aplicarse Para reducir la superficie expuesta a ataques del Media

funcionalidades de Linux contenedor, restrinja las funcionalidades de Linux y
con privilegios mínimos conceda privilegios específicos a los contenedores sin
para los contenedores conceder todos los privilegios del usuario raíz. Se
recomienda eliminar todas las funcionalidades y
agregar después las que se necesiten
(Directiva relacionada: los contenedores de clúster de
Kubernetes solo deben usar funcionalidades
permitidas )
Microsoft Defender para Microsoft Defender para contenedores proporciona Alto

contenedores debería estar protección, evaluación de vulnerabilidades y
habilitado protecciones en tiempo de ejecución para los entornos
de Kubernetes de Azure, híbridos y multinube.
Puede usar esta información para corregir problemas
de seguridad y mejorar la seguridad de los
contenedores rápidamente.
Importante: la corrección de esta recomendación dará

lugar a cargos por la protección de los clústeres de
Kubernetes. Si no tiene ningún clúster de Kubernetes en
esta suscripción, no se aplicarán cargos.
Si, en el futuro, crea cualquier número de clústeres de
Kubernetes en esta suscripción, estos se protegerán
automáticamente y a partir de ese momento, se
iniciarán los cargos.
Más información en Introducción a Microsoft Defender
para contenedores
Deben evitarse los Para evitar el acceso a los hosts sin restricciones, Media
contenedores con siempre que sea posible, evite los contenedores con
privilegios privilegios.
Los contenedores con privilegios tienen todas las
capacidades raíz de un equipo host. Se pueden usar no
solo como puntos de entrada para ataques, sino
también para distribuir código malintencionado o
malware en aplicaciones, hosts y redes en peligro.
(Directiva relacionada: no permitir contenedores con

privilegios en un clúster de Kubernetes )
Se debe usar el control de Para proporcionar un filtrado detallado de las acciones Alto
acceso basado en rol en los que los usuarios pueden realizar, use el control de
servicios de Kubernetes acceso basado en rol (RBAC) para administrar los

permisos en los clústeres de Kubernetes Service y
configurar las directivas de autorización
correspondientes. Para obtener más información,
consulte Control de acceso basado en roles de Azure.
(Directiva relacionada: Se debe usar el control de acceso
basado en rol en los servicios de Kubernetes )
Se debe evitar la ejecución Los contenedores no se deben ejecutar como usuarios Alto
de contenedores como raíz en el clúster de Kubernetes. La ejecución de un
usuario raíz proceso como el usuario raíz dentro de un contenedor
lo ejecuta como raíz en el host. En caso de peligro, un
atacante tiene la raíz en el contenedor, y cualquier error
de configuración resulta más fácil de aprovechar.
(Directiva relacionada: los contenedores y pods de
clúster de Kubernetes solo deben ejecutarse con
identificadores de usuario y grupo aprobados )
Las imágenes de La evaluación de vulnerabilidades de imagen de Alto

contenedor en ejecución contenedor examina las imágenes de contenedor que
deben tener resueltos los se ejecutan en los clústeres de Kubernetes en busca de
hallazgos de vulnerabilidades de seguridad y expone resultados
vulnerabilidades (con detallados para cada imagen. La resolución de las
tecnología de Qualys) vulnerabilidades puede mejorar considerablemente la
posición de seguridad de los contenedores y
protegerlos frente a ataques.
La ejecución de imágenes La evaluación de vulnerabilidades de la imagen de Alto

de contenedor debe tener contenedor examina el registro para detectar
resueltos los resultados de vulnerabilidades conocidas (CVE) y proporciona un
vulnerabilidades (con informe detallado de vulnerabilidades para cada
tecnología de imagen. Esta recomendación proporciona visibilidad de
Administración de las imágenes vulnerables que se ejecutan actualmente
vulnerabilidades de en los clústeres de Kubernetes. La corrección de
Microsoft Defender) vulnerabilidades en imágenes de contenedor que se
están ejecutando actualmente es clave para mejorar la
posición de seguridad, lo que reduce significativamente
la superficie expuesta a ataques para las cargas de
trabajo en contenedores.
Los servicios solo deben Para reducir la superficie expuesta a ataques del clúster Media
escuchar en los puertos de Kubernetes, restrinja el acceso a este limitando el
permitidos acceso de los servicios a los puertos configurados.
(Directiva relacionada: asegúrese de que los servicios
solo realizan escuchas en los puertos permitidos del
clúster de Kubernetes )
El uso de puertos y redes de Restringe el acceso de los pods a la red del host y el Media
hosts debe estar restringido intervalo de puertos de host permitidos en un clúster
de Kubernetes. Los pods creados con el atributo
hostNetwork habilitado compartirán el espacio de red
del nodo. Para evitar que el contenedor en peligro
rastree el tráfico de red, se recomienda no colocar los
pods en la red del host. Si tiene que exponer un puerto
de contenedor en la red del nodo y el uso de un puerto
de nodo del servicio Kubernetes no satisface sus
necesidades, otra posibilidad es especificar un atributo
hostPort para el contenedor en la especificación del
pod.
(Directiva relacionada: los pods del clúster de
Kubernetes solo pueden usar redes de host e intervalos
de puerto permitidos )
El uso de montajes de Se recomienda limitar los montajes de volúmenes Media

volúmenes HostPath de pod HostPath de pod en el clúster de Kubernetes a las rutas
debe restringirse a una lista de acceso de host permitidas configuradas. En caso de
conocida, con el fin de peligro, se debe restringir el acceso al nodo contenedor
restringir el acceso a los desde los contenedores.
nodos de los contenedores (Directiva relacionada: los volúmenes hostPath del pod
en peligro del clúster de Kubernetes solo deben usar rutas de host
permitidas )
Recomendaciones de datos
[Habilitar si es Las recomendaciones para usar claves administradas por el Bajo

necesario] Las cuentas cliente para el cifrado de datos en reposo no se evalúan de
de Azure Cosmos DB forma predeterminada, pero se pueden habilitar en los
deben usar claves escenarios aplicables. Los datos se cifran automáticamente
administradas por el mediante claves administradas por la plataforma, por lo que
cliente para cifrar los el uso de claves administradas por el cliente solo se debe
datos en reposo . aplicar cuando sea obligatorio para cumplir los requisitos de
directivas de restricción o cumplimiento.
seguridad del ámbito aplicable y actualice el parámetro Effect
de la directiva correspondiente para auditar o exigir el uso
de claves administradas por el cliente. Más información en
Administrar directivas de seguridad
Use claves administradas por el cliente para administrar el
cifrado en reposo de la instancia de Azure Cosmos DB. De

manera predeterminada, los datos se cifran en reposo con
claves administradas por el servicio, pero las claves
administradas por el cliente (CMK) suelen ser necesarias para
cumplir estándares de cumplimiento normativo. Las CMK
permiten cifrar los datos con una clave de Azure Key Vault
creada por el usuario y propiedad de este. Tiene control y
responsabilidad totales del ciclo de vida de la clave, incluidos
la rotación y administración. Más información sobre el
cifrado de CMK en https://aka.ms/cosmosdb-cmk .
(Directiva relacionada: las cuentas de Azure Cosmos DB
deben usar claves administradas por el cliente para cifrar los
datos en reposo )

necesario] Las áreas de cliente para el cifrado de datos en reposo no se evalúan de
trabajo de Azure forma predeterminada, pero se pueden habilitar en los
Machine Learning escenarios aplicables. Los datos se cifran automáticamente
deben cifrarse con una mediante claves administradas por la plataforma, por lo que
clave administrada por el uso de claves administradas por el cliente solo se debe
el cliente (CMK) . aplicar cuando sea obligatorio para cumplir los requisitos de
Administre el cifrado en reposo de los datos del área de
trabajo de Azure Machine Learning con claves administradas
por el cliente (CMK). De manera predeterminada, los datos
del cliente se cifran con claves administradas por el servicio,
pero las CMK suelen ser necesarias para cumplir estándares
de cumplimiento normativo. Las CMK permiten cifrar los
datos con una clave de Azure Key Vault creada por el usuario
y propiedad de este. Tiene control y responsabilidad totales
del ciclo de vida de la clave, incluidos la rotación y
administración. Más información sobre el cifrado de CMK en
https://aka.ms/azureml-workspaces-cmk .
(Directiva relacionada: las áreas de trabajo de Azure Machine
Learning deben cifrarse con una tecla administrada por el
cliente [CMK] )

de Cognitive Services forma predeterminada, pero se pueden habilitar en los
deben habilitar el escenarios aplicables. Los datos se cifran automáticamente
cifrado de datos con mediante claves administradas por la plataforma, por lo que
el uso de claves administradas por el cliente solo se debe
una clave administrada aplicar cuando sea obligatorio para cumplir los requisitos de
por el cliente (CMK) . directivas de restricción o cumplimiento.
Las claves administradas por el cliente (CMK) suelen ser
necesarias para cumplir estándares de cumplimiento
normativo. Las CMK permiten cifrar los datos almacenados
en Cognitive Services con una clave de Azure Key Vault
creada por el usuario y propiedad de este. Tiene control y
la rotación y administración. Más información sobre el
cifrado de CMK en https://aka.ms/cosmosdb-cmk .
(Directiva relacionada: las cuentas de Cognitive Services
deben habilitar el cifrado de datos con una clave
administrada por el cliente [CMK] )

necesario] Los cliente para el cifrado de datos en reposo no se evalúan de
servidores MySQL forma predeterminada, pero se pueden habilitar en los
cifrado en reposo de los servidores MySQL. De manera
predeterminada, los datos se cifran en reposo con claves
administradas por el servicio, pero las claves administradas
por el cliente (CMK) suelen ser necesarias para cumplir
estándares de cumplimiento normativo. Las CMK permiten
cifrar los datos con una clave de Azure Key Vault creada por
el usuario y propiedad de este. Tiene control y
la rotación y administración.
(Directiva relacionada: la protección de datos de Bring Your
Own Key debe estar habilitada para los servidores MySQL )

servidores PostgreSQL forma predeterminada, pero se pueden habilitar en los

cifrado en reposo de los servidores PostgreSQL. De manera
predeterminada, los datos se cifran en reposo con claves
administradas por el servicio, pero las claves administradas
por el cliente (CMK) suelen ser necesarias para cumplir
estándares de cumplimiento normativo. Las CMK permiten
cifrar los datos con una clave de Azure Key Vault creada por
el usuario y propiedad de este. Tiene control y
la rotación y administración.
(Directiva relacionada: la protección de datos de Bring Your
Own Key debe habilitarse para los servidores PostgreSQL )

necesario] Las cliente para el cifrado de datos en reposo no se evalúan de
instancias forma predeterminada, pero se pueden habilitar en los
administradas de SQL escenarios aplicables. Los datos se cifran automáticamente
deben usar claves mediante claves administradas por la plataforma, por lo que
administradas por el el uso de claves administradas por el cliente solo se debe
cliente para cifrar los aplicar cuando sea obligatorio para cumplir los requisitos de
datos en reposo . directivas de restricción o cumplimiento.
La implementación de Cifrado de datos transparente (TDE)
con una clave propia proporciona una mayor transparencia y
control sobre el protector de TDE, ofrece mayor seguridad
con un servicio externo respaldado con HSM y permite la
separación de tareas. Esta recomendación se aplica a las
organizaciones con un requisito de cumplimiento
relacionado.
(Directiva relacionada: Las instancias administradas de SQL
deben usar claves administradas por el cliente para cifrar los
datos en reposo ).

servidores SQL Server forma predeterminada, pero se pueden habilitar en los
La implementación de Cifrado de datos transparente (TDE)
con una clave propia proporciona una mayor transparencia y
control sobre el protector de TDE, ofrece mayor seguridad
con un servicio externo respaldado con HSM y permite la
separación de tareas. Esta recomendación se aplica a las
organizaciones con un requisito de cumplimiento
relacionado.
(Directiva relacionada: los servidores SQL deben usar claves
administradas por el cliente para cifrar los datos en
reposo )

de almacenamiento forma predeterminada, pero se pueden habilitar en los
cliente (CMK) para el el uso de claves administradas por el cliente solo se debe
cifrado . aplicar cuando sea obligatorio para cumplir los requisitos de
Proteja su cuenta de almacenamiento con mayor flexibilidad
mediante el uso de claves administradas por el cliente (CMK).
Cuando se especifica una CMK, esa clave se usa para
proteger y controlar el acceso a la clave que cifra los datos. El
uso de claves CMK proporciona funciones adicionales para
controlar la rotación de la clave de cifrado de claves o para
borrar datos mediante criptografía.
(Directiva relacionada: las cuentas de almacenamiento deben
usar claves administradas por el cliente (CMK) para el
cifrado )
Todos los tipos de Se recomienda habilitar todos los tipos de protección contra Media
protección contra amenazas avanzada en las instancias administradas de SQL.
amenazas avanzada La habilitación de todos los tipos protege contra la inyección
deben habilitarse en la de código SQL, las vulnerabilidades de base de datos y
configuración de la cualquier otra actividad anómala.
seguridad avanzada de (Ninguna directiva relacionada)
datos de las instancias
administradas de SQL.
Todos los tipos de Se recomienda habilitar todos los tipos de protección contra Media
Advanced Threat amenazas avanzada en los servidores SQL Server. La
Protection deben habilitación de todos los tipos protege contra la inyección de
habilitarse en la código SQL, las vulnerabilidades de base de datos y
configuración de cualquier otra actividad anómala.
Advanced Data (Ninguna directiva relacionada)
Security del servidor
SQL Server.
Los servicios de API La implementación de Azure Virtual Network ofrece una Media
Management deben seguridad y aislamiento mejorados, y permite colocar el
usar una red virtual servicio de API Management en una red enrutable sin
conexión a Internet cuyo acceso puede controlar. Estas redes
se pueden conectar a las redes locales mediante diversas
tecnologías de VPN, lo que permite el acceso a los servicios
de back-end dentro de la red o de forma local. El portal para
desarrolladores y la puerta de enlace de API pueden
configurarse para que sea accesible desde Internet o solo
dentro de la red virtual.
(Directiva relacionada: Los servicios de API Management
deben usar una red virtual )
App Configuration Azure Private Link permite conectar la red virtual a servicios Media
debe usar Private Link de Azure sin una dirección IP pública en el origen o el
destino. La plataforma Private Link administra la conectividad
entre el consumidor y los servicios a través de la red troncal
de Azure. Mediante la asignación de puntos de conexión
privados a las instancias de App Configuration en lugar de a
todo el servicio, además se protege frente a riesgos de
pérdida de datos. Más información en:
https://aka.ms/appconfig/private-endpoint .
(Directiva relacionada: App Configuration debe usar un
vínculo privado )
La retención de la Audite los servidores SQL Server configurados con un Bajo

auditoría en los período de retención de auditoría de menos de 90 días.
servidores de (Directiva relacionada: los servidores de SQL Server se deben
SQL Server debe configurar con una retención de auditoría de 90 días, o
más. )
establecerse en 90
días, como mínimo
La auditoría de SQL Habilite la auditoría en SQL Server para realizar un Bajo

Server debe estar seguimiento de las actividades de todas las bases de datos
habilitada del servidor y guardarlas en un registro de auditoría.
(Directiva relacionada: la auditoría de SQL Server debe estar
habilitada )
El aprovisionamiento Para supervisar las amenazas y vulnerabilidades de Bajo

automático del agente seguridad, Microsoft Defender for Cloud recopila datos de
de Log Analytics debe las máquinas virtuales de Azure. El agente de Log Analytics,
habilitarse en las anteriormente conocido como Microsoft Monitoring Agent
suscripciones. (MMA), recopila los datos al leer distintas configuraciones
relacionadas con la seguridad y distintos registros de
eventos de la máquina y copiar los datos en el área de
trabajo de Log Analytics para analizarlos. Se recomienda
habilitar el aprovisionamiento automático para implementar
automáticamente el agente en todas las máquinas virtuales
de Azure admitidas y en las nuevas que se creen.
(Directiva relacionada: el aprovisionamiento automático del
agente de Log Analytics debe estar habilitado en la
suscripción )
Azure Cache for Redis La implementación de Azure Virtual Network aporta más Media
debe residir en una red seguridad y aislamiento de su instancia de Azure Cache for
virtual Redis, así como subredes, directivas de control de acceso y
otras características para restringir aún más el acceso.
Cuando una instancia de Azure Cache for Redis se configure
con una red virtual, no será posible acceder a ella
públicamente, solo se podrá acceder a ella desde máquinas
virtuales y aplicaciones de dentro de la red virtual.
(Directiva relacionada: Azure Cache for Redis debe residir en
una red virtual )
Azure Database for Aprovisione un administrador de Azure AD para su Azure Media

MySQL debe tener un Database for MySQL para habilitar la autenticación de Azure
administrador de AD. La autenticación de Azure AD permite la administración
Azure Active Directory simplificada de permisos y la administración centralizada de
aprovisionado identidades de usuarios de base de datos y otros servicios de
Microsoft
(Directiva relacionada: se debe aprovisionar un administrador
de Azure Active Directory para los servidores MySQL )
Azure Database for Aprovisione un administrador de Azure AD para su Azure Media

PostgreSQL debe tener Database for PostgreSQL para habilitar la autenticación de
aprovisionado un Azure AD. La autenticación de Azure AD permite la
administrador de administración simplificada de permisos y la administración
Azure Active Directory centralizada de identidades de usuarios de base de datos y
Recomendación otros servicios de Microsoft
Descripción severity
(Directiva relacionada: se debe aprovisionar un administrador
de Azure Active Directory para los servidores PostgreSQL )
Las cuentas de Azure Se deben definir reglas de firewall en las cuentas de Azure Media
Cosmos DB deben Cosmos DB para evitar el tráfico desde orígenes no
tener reglas de autorizados. Las cuentas que tienen al menos una regla de IP
firewall . definida con el filtro de red virtual habilitado se consideran
compatibles. Las cuentas que deshabilitan el acceso público
también se consideran compatibles.
(Directiva relacionada: Las cuentas de Azure Cosmos DB
deben tener reglas de firewall )
Los dominios de Azure Azure Private Link permite conectar la red virtual a servicios Media
Event Grid deben usar de Azure sin una dirección IP pública en el origen o el
Private Link destino. La plataforma Private Link administra la conectividad
privados al dominio de Event Grid en lugar de a todo el
servicio, también estará protegido frente a riesgos de
https://aka.ms/privateendpoints .
(Directiva relacionada: los dominios de Azure Event Grid
deben usar un vínculo privado )
Los temas de Azure Azure Private Link permite conectar la red virtual a servicios Media
Event Grid deben usar de Azure sin una dirección IP pública en el origen o el
Private Link destino. La plataforma Private Link administra la conectividad
privados a los temas en lugar de a todo el servicio, además
se protege frente a riesgos de pérdida de datos. Más
información en: https://aka.ms/privateendpoints .
(Directiva relacionada: los temas de Azure Event Grid deben
usar un vínculo privado )
Las áreas de trabajo de Azure Private Link permite conectar la red virtual a servicios Media
Azure Machine de Azure sin una dirección IP pública en el origen o el
Learning deben usar destino. La plataforma Private Link administra la conectividad
un vínculo privado . entre el consumidor y los servicios a través de la red troncal
privados a las áreas de Azure Machine Learning en lugar de a
todo el servicio, además se protege frente a riesgos de
https://aka.ms/azureml-workspaces-privatelink .
(Directiva relacionada: las áreas de trabajo de Azure Machine
Learning deben usar un vínculo privado )
Azure SignalR Service Azure Private Link permite conectar la red virtual a servicios Media
debe usar Private Link de Azure sin una dirección IP pública en el origen o el
destino. La plataforma Private Link administra la conectividad

privados a los recursos de SignalR en lugar de a todo el
servicio, también estará protegido frente a riesgos de
https://aka.ms/asrs/privatelink .
(Directiva relacionada: Azure SignalR Service debe usar un
vínculo privado )
Azure Spring Cloud Las instancias de Azure Spring Cloud deberían utilizar la Media
debe usar la inserción inserción de red virtual con los fines siguientes: 1. Aislar
de red Azure Spring Cloud de Internet. 2. Permitir que Azure Spring
Cloud interactúe con sistemas en centros de datos locales o
con el servicio de Azure en otras redes virtuales. 3. Permite a
los clientes controlar las comunicaciones de red entrantes y
salientes para Azure Spring Cloud.
(Directiva relacionada: Azure Spring Cloud debe usar la
inserción de red )
El modo de Deshabilitar los métodos de autenticación local y permitir Media

autenticación de Azure solo la autenticación de Azure Active Directory mejora la
SQL Managed Instance seguridad, ya que garantiza que solo las identidades de
debe ser solo Azure Azure Active Directory puedan acceder a las instancias de
Active Directory Azure SQL Managed Instance.
(Directiva relacionada: Azure SQL Managed Instance debe
tener habilitada solo la autenticación de Azure Active
Directory )
El modo de El modo de autenticación del área de trabajo de Azure Media

autenticación del área Synapse debe ser solo Azure Active Directory
de trabajo de Azure Los métodos de autenticación de solo Azure Active Directory
Synapse debe ser solo mejoran la seguridad al garantizar que las áreas de trabajo
Azure Active Directory de Synapse requieren exclusivamente identidades de AAD
para la autenticación. Más información .
(Directiva relacionada: Las áreas de trabajo de Synapse solo
deberían usar identidades de Azure Active Directory para la
autenticación )
Los repositorios de Defender para DevOps ha encontrado vulnerabilidades en Media

código deben tener los repositorios de código. Para mejorar la posición de
resueltos los seguridad de los repositorios, se recomienda
resultados del examen encarecidamente corregir estas vulnerabilidades.
de código (Ninguna directiva relacionada)
Los resultados de los Defender para DevOps ha encontrado vulnerabilidades en Media

exámenes de los repositorios de código. Para mejorar la posición de
Dependabot de los seguridad de los repositorios, se recomienda
repositorios de código encarecidamente corregir estas vulnerabilidades.

deben estar resueltos (Ninguna directiva relacionada)
Los resultados de los Defender para DevOps ha encontrado problemas de Media

exámenes de configuración de seguridad de código como infraestructura
infraestructura como en repositorios. Los problemas que se muestran a
código de los continuación se han detectado en archivos de plantilla. Para
repositorios de código mejorar la posición de seguridad de los recursos en la nube
deben estar resueltos relacionados, se recomienda encarecidamente corregir estos
problemas.
Los repositorios de Defender para DevOps ha encontrado un secreto en los Alto

código deben tener los repositorios de código. Esto debe corregirse inmediatamente
resultados del examen para evitar una infracción de seguridad. Los secretos
de secretos resueltos encontrados en los repositorios se pueden filtrar o detectar
por adversarios, lo que conduce a un riesgo de una
aplicación o servicio. Para Azure DevOps, la herramienta
CredScan de DevOps de seguridad de Microsoft solo
examina las compilaciones en las que se ha configurado para
ejecutarse. Por lo tanto, es posible que los resultados no
reflejen el estado completo de los secretos en los
repositorios.
Las cuentas de Esta directiva audita las cuentas de Cognitive Services sin Bajo
Cognitive Services usar el cifrado de datos. Para cada cuenta de Cognitive
deben tener habilitado Services con almacenamiento, debe habilitar el cifrado de
el cifrado de datos datos con una clave administrada por el cliente o por
Microsoft.
(Directiva relacionada: Las cuentas de Cognitive Services
deben habilitar el cifrado de datos )
Las cuentas de Se debe restringir el acceso de red a las cuentas de Cognitive Media
Cognitive Services Services. Configure reglas de red, de forma que solo las
deben restringir el aplicaciones de redes permitidas pueden acceder a la cuenta
acceso a la red de Cognitive Services. Para permitir conexiones desde
clientes específicos locales o de Internet, se puede conceder
acceso al tráfico procedente de redes virtuales de Azure
específicas o a intervalos de direcciones IP de Internet
públicas.
(Directiva relacionada: Se debe restringir el acceso de red a
las cuentas de Cognitive Services )
Las cuentas de Esta directiva audita las cuentas de Cognitive Services sin Bajo
Cognitive Services usar cifrado de datos ni almacenamiento propiedad del
deben usar un cliente. Para cada cuenta de Cognitive Services con
almacenamiento almacenamiento, use el almacenamiento propiedad del
propiedad del cliente o cliente o habilite el cifrado de datos.
tener habilitado el (Directiva relacionada: Las cuentas de Cognitive Services

cifrado de datos. deben usar un almacenamiento propiedad del cliente o tener
habilitado el cifrado de datos. )
diagnóstico de Azure permite volver a crear seguimientos de actividad con fines de
Data Lake Store deben investigación cuando se produce un incidente de seguridad
estar habilitados o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de Azure
Data Lake Store deben estar habilitados )
diagnóstico de Data permite volver a crear seguimientos de actividad con fines de
Lake Analytics deben investigación cuando se produce un incidente de seguridad
estar habilitados o se pone en peligro la red.
(Directiva relacionada: s registros de diagnóstico de Data
Lake Analytics deben estar habilitados )
La opción para enviar Para asegurarse de que las personas pertinentes de su Bajo
notificaciones por organización reciban una notificación cuando se produzca
correo electrónico para una vulneración de seguridad potencial en una de sus
alertas de gravedad suscripciones, habilite las notificaciones por correo
alta debe estar electrónico a fin de obtener alertas de gravedad alta en
habilitada. Defender for Cloud.
(Directiva relacionada: la notificación por correo electrónico
de las alertas de gravedad alta debe estar habilitada )
La opción para enviar Para asegurarse de que los propietarios de la suscripción Media
notificaciones por reciban una notificación cuando se produzca una vulneración
correo electrónico al de seguridad potencial en su suscripción, establezca
propietario de la notificaciones por correo electrónico para los propietarios de
suscripción en relación la suscripción a fin de que reciban alertas de gravedad alta
a alertas de gravedad en Defender for Cloud.
alta debe estar (Directiva relacionada: la notificación por correo electrónico
habilitada. al propietario de la suscripción en alertas de gravedad alta
debe estar habilitada )
Exigir una conexión Azure Database for MySQL permite conectar el servidor de Media
SSL debe estar Azure Database for MySQL con aplicaciones cliente mediante
habilitado en los Capa de sockets seguros (SSL).
servidores de bases de La aplicación de conexiones SSL entre el servidor de bases de
datos MySQL datos y las aplicaciones cliente facilita la protección frente a
ataques de tipo "Man in the middle" al cifrar el flujo de datos
entre el servidor y la aplicación.
Esta configuración exige que SSL esté siempre habilitado
para el acceso al servidor de bases de datos.
(Directiva relacionada: la aplicación de la conexión SSL debe
estar habilitada para los servidor de bases de datos

MySQL )
La aplicación de la Azure Database for PostgreSQL permite conectar el servidor Media

conexión SSL debe de Azure Database for PostgreSQL a las aplicaciones cliente
estar habilitada para mediante la Capa de sockets seguros (SSL).
los servidores de base La aplicación de conexiones SSL entre el servidor de bases de
de datos PostgreSQL datos y las aplicaciones cliente facilita la protección frente a
ataques de tipo "Man in the middle" al cifrar el flujo de datos
entre el servidor y la aplicación.
Esta configuración exige que SSL esté siempre habilitado
para el acceso al servidor de bases de datos.
(Directiva relacionada: la aplicación de la conexión SSL debe
estar habilitada para los servidores de base de datos
PostgreSQL )
Las aplicaciones de El examen de vulnerabilidades en runtime para funciones Alto

funciones deben tener examina las aplicaciones de funciones en busca de
resueltos los hallazgos vulnerabilidades de seguridad y expone conclusiones
de vulnerabilidades detalladas. La resolución de las vulnerabilidades puede
mejorar considerablemente la posición de seguridad delas
aplicaciones sin servidor y protegerlos frente a ataques.
La copia de seguridad Azure Database for MariaDB le permite elegir la opción de Bajo
con redundancia redundancia para el servidor de bases de datos.
geográfica debe estar Se puede establecer en un almacenamiento de copia de
habilitada para Azure seguridad con redundancia geográfica donde los datos no
Database for MariaDB solo se almacenan dentro de la región en la que se hospeda
el servidor, sino que también se replican en una región
emparejada para proporcionar opciones de recuperación en
caso de que se produzca un error en la región.
La configuración de almacenamiento con redundancia
geográfica para copia de seguridad solo se permite durante
la creación del servidor.
(Directiva relacionada: la copia de seguridad con
redundancia geográfica debe estar habilitada para Azure
Database for MariaDB )
La copia de seguridad Azure Database for MySQL le permite elegir la opción de Bajo
Database for MySQL solo se almacenan dentro de la región en la que se hospeda
el servidor, sino que también se replican en una región

Database for MySQL )
La copia de seguridad Azure Database for PostgreSQL le permite elegir la opción de Bajo
Database for solo se almacenan dentro de la región en la que se hospeda
PostgreSQL el servidor, sino que también se replican en una región
Database for PostgreSQL )
Los repositorios de GitHub usa el análisis de código para analizar código con el Media
GitHub deben tener fin de encontrar vulnerabilidades de seguridad y errores en
habilitado el análisis de el código. El escaneo de código puede usarse para encontrar,
código clasificar y priorizar las correcciones de los problemas
existentes en su código. El análisis del código también puede
evitar que los desarrolladores generen nuevos problemas.
Los escaneos se pueden programar para días y horas
específicas, o los escaneos se pueden activar cuando se
produce un evento específico en el repositorio, como un
push. Si el escaneo de código encuentra una posible
vulnerabilidad o error en el código, GitHub muestra una
alerta en el repositorio. Una vulnerabilidad es un problema
en el código de un proyecto que se puede aprovechar para
dañar la confidencialidad, la integridad o la disponibilidad
del proyecto.
Los repositorios de GitHub envía alertas de Dependabot cuando detecta Media

GitHub deben tener vulnerabilidades en las dependencias de código que afectan
habilitado el examen a los repositorios. Una vulnerabilidad es un problema en el
de Dependabot código de un proyecto que se puede aprovechar para dañar
la confidencialidad, la integridad o la disponibilidad del
proyecto o de otros proyectos que usan su código. Las
vulnerabilidades varían en tipo, severidad y método de
ataque. Cuando el código depende de un paquete que tiene
una vulnerabilidad de seguridad, esta dependencia puede
causar una serie de problemas.

Los repositorios de GitHub escanea los repositorios en busca de tipos de Alto

GitHub deben tener secretos conocidos, para evitar el uso fraudulento de los
habilitada la secretos que se confirmaron accidentalmente en los
característica de repositorios. El escaneo de secretos escaneará todo el
examen de secretos historial de Git en todas las ramas presentes en el repositorio
de GitHub en busca de cualquier secreto. Algunos ejemplos
de secretos son tokens y claves privadas que un proveedor
de servicios puede emitir para la autenticación. Si se registra
un secreto en un repositorio, cualquiera que tenga acceso de
lectura al repositorio puede usar el secreto para acceder al
servicio externo con esos privilegios. Los secretos deben
almacenarse en una ubicación dedicada y segura fuera del
repositorio del proyecto.
Se debe habilitar Microsoft Defender para SQL es un paquete unificado que Alto
Microsoft Defender ofrece funcionalidades avanzadas de seguridad de SQL.
para servidores de Incluye una funcionalidad para mostrar y mitigar las
Microsoft Azure SQL vulnerabilidades potenciales de una base de datos, mediante
Database la detección de actividades anómalas que puedan indicar
una amenaza para dicha base de datos, y el descubrimiento
y clasificación de datos confidenciales.
Importante: Las protecciones de este plan se cobran como se
muestra en la página de planes de Defender. Si no tiene
ningún servidor Azure SQL Database en esta suscripción, no
se le aplicarán cargos. Si más adelante crea servidores de
Azure SQL Database en esta suscripción, se protegerán
automáticamente y comenzarán a aplicarse cargos. Más
información sobre los detalles de los precios por región
SQL
(Directiva relacionada: se debe habilitar Azure Defender para
servidores de Microsoft Azure SQL Database )
Se debe habilitar Microsoft Defender para DNS proporciona una capa Alto
Microsoft Defender adicional de protección para los recursos en la nube
para DNS mediante la supervisión continua de todas las consultas de
DNS de los recursos de Azure. Defender para DNS alerta
sobre actividades sospechosas en la capa DNS. Más
información en Introducción a Microsoft Defender para DNS
La habilitación de este plan de Defender genera cargos.
Obtenga información sobre los detalles de los precios por
región en la página de precios de Defender for Cloud:
https://azure.microsoft.com/services/defender-for-
cloud/#pricing .
Microsoft Defender Microsoft Defender para bases de datos relacionales de Alto

para las bases de datos código abierto detecta actividades anómalas que indican
relacionales de código intentos poco habituales y posiblemente dañinos de acceder
abierto debería estar a sus bases de datos o de aprovechar sus vulnerabilidades.
habilitado. Más información en Introducción a Microsoft Defender para
bases de datos relacionales de código abierto
Importante: La habilitación de este plan dará lugar a cargos

por la protección de las bases de datos relacionales de
código abierto. Si no se tiene ninguna base de datos
relacional de código abierto en esta suscripción, no se
incurrirá en ningún cargo. Si, en el futuro, crea bases de
datos relacionales de código abierto en esta suscripción, se
protegerán automáticamente y, a partir de ese momento, se
Se debe habilitar Microsoft Defender para Resource Manager supervisa Alto

Microsoft Defender automáticamente las operaciones de administración de
para Resource recursos en su organización. Defender for Cloud detecta
Manager amenazas y alerta sobre actividades sospechosas. Más
información en Introducción a Microsoft Defender para
Resource Manager La habilitación de este plan de Defender
genera cargos. Obtenga información sobre los detalles de los
precios por región en la página de precios de Defender for
Cloud: https://azure.microsoft.com/services/defender-for-
cloud/#pricing .
Microsoft Defender Microsoft Defender para servidores proporciona detección Media

para SQL en las de amenazas y defensas avanzadas para las máquinas
máquinas debe estar Windows y Linux.
habilitado en las áreas Con este plan de Defender habilitado en las suscripciones,
de trabajo pero no en las áreas de trabajo, paga por la funcionalidad
completa de Microsoft Defender para los servidores, pero se
pierden algunas de las ventajas.
Al habilitar Microsoft Defender para servidores en un área de
trabajo, todas las máquinas que dependen de esa área de
trabajo se facturarán en relación con Microsoft Defender
para los servidores, incluso si están en suscripciones sin
planes de Defender habilitados. A menos que también
habilite Microsoft Defender para los servidores de la
suscripción, esas máquinas no podrán aprovechar el acceso a
máquinas virtuales Just-In-Time, los controles de aplicación
adaptables y las detecciones de red para los recursos de
Azure.
servidores.
para servidores Incluye una funcionalidad para mostrar y mitigar las
SQL Server en las vulnerabilidades potenciales de una base de datos, mediante
máquinas la detección de actividades anómalas que puedan indicar
una amenaza para dicha base de datos, y el descubrimiento
y clasificación de datos confidenciales.
Importante: La corrección de esta recomendación dará lugar

a cargos por la protección de los servidores SQL Server en
las máquinas. Si no tiene ningún servidor SQL Server en las
máquinas de esta suscripción, no se aplicarán cargos.
Si, en el futuro, crea cualquier número de servidores
SQL Server en las máquinas de esta suscripción, estos se
protegerán automáticamente y a partir de ese momento, se
Más información sobre Microsoft Defender para servidores
de SQL Server en las máquinas
servidores SQL Server en las máquinas )
para SQL en los Expone y mitiga posibles vulnerabilidades de la base de
servidores de Azure datos y detecta actividades anómalas que podrían indicar
SQL Server una amenaza para la base de datos. Microsoft Defender para
desprotegidos SQL se factura como se muestra en los detalles de precios
por región .
(Directiva relacionada: Advanced Data Security debe estar
habilitado en los servidores de SQL Server )
Microsoft Defender Microsoft Defender para SQL es un paquete unificado que Alto
para SQL debe ofrece funcionalidades avanzadas de seguridad de SQL.
habilitarse en las Expone y mitiga posibles vulnerabilidades de la base de
instancias de SQL datos y detecta actividades anómalas que podrían indicar
Managed Instance una amenaza para la base de datos. Microsoft Defender para
desprotegidas . SQL se factura como se muestra en los detalles de precios
por región .
(Directiva relacionada: Advanced Data Security debe estar
habilitado en Instancia administrada de SQL )
Se debe habilitar Microsoft Defender para Storage detecta intentos inusuales y Alto
Microsoft Defender potencialmente perjudiciales de acceder a las cuentas de
para Storage almacenamiento o de vulnerarlas.

Importante: Las protecciones de este plan se cobran como se
muestra en la página de planes de Defender. Si no tiene
ninguna cuenta Azure Storage en esta suscripción, no se le
cobrará. Si más adelante crea cuentas de Azure Storage en
esta suscripción, se protegerán automáticamente y
comenzarán a aplicarse cargos. Más información sobre los
detalles de los precios por región
Puede obtener más información en Introducción a Microsoft
Defender para Storage.
Storage )
Network Watcher debe Network Watcher es un servicio regional que permite Bajo
estar habilitado supervisar y diagnosticar problemas en un nivel de escenario
de red mediante Azure. La supervisión de nivel de escenario
le permite diagnosticar problemas en una vista de nivel de
red de un extremo a otro. Las herramientas de visualización y
diagnóstico de red que incluye Network Watcher le ayudan a
conocer, diagnosticar y obtener información acerca de
cualquier red de Azure.
(Directiva relacionada: Network Watcher debe estar
habilitado )
Se deben investigar las Se deben investigar las identidades sobreaprovisionadas en Media

identidades la suscripción para reducir el índice de creación de permisos
sobreaprovisionadas (PCI) y proteger la infraestructura. Reduzca el PCI quitando
en las suscripciones las asignaciones de permisos de alto riesgo sin usar. El PCI
para reducir el índice elevado refleja el riesgo asociado a las identidades con
de pérdida de permisos que superan su uso normal o necesario.
permisos (PCI) . (Ninguna directiva relacionada)
Las conexiones de Las conexiones de punto de conexión privado garantizan una Media
punto de conexión comunicación segura al habilitar la conectividad privada con
privado en Azure SQL Azure SQL Database.
Database deben estar (Directiva relacionada: Las conexiones de punto de conexión
habilitadas privado en Azure SQL Database deben estar habilitadas )
El punto de conexión Las conexiones de punto de conexión privado garantizan una Media
privado debe estar comunicación segura al permitir la conectividad privada con
habilitado para Azure Database for MariaDB.
servidores MariaDB Configure una conexión de punto de conexión privado para
permitir el acceso al tráfico que solo proviene de redes
conocidas y evitar el acceso desde todas las demás
direcciones IP, incluido desde Azure.
(Directiva relacionada: el punto de conexión privado debe
estar habilitado para servidores MariaDB )
privado debe estar comunicación segura al permitir la conectividad privada a
habilitado para Azure Database for MySQL.
servidores MySQL Configure una conexión de punto de conexión privado para
estar habilitado para servidores MySQL )
privado debe estar comunicación segura al permitir la conectividad privada con
habilitado para Azure Database for PostgreSQL.
servidores PostgreSQL Configure una conexión de punto de conexión privado para
estar habilitado para servidores PostgreSQL )
Debe deshabilitarse el Al deshabilitar la propiedad de acceso a la red pública, se Media

acceso a redes mejora la seguridad al garantizar que solo se pueda acceder
públicas en Azure SQL a la instancia de Azure SQL Database desde un punto de
Database conexión privado. Esta configuración deniega todos los
inicios de sesión que coincidan con las reglas de firewall
basadas en IP o redes virtuales.
(Directiva relacionada: Se debe deshabilitar el acceso de red
público en Azure SQL Database )
El acceso a la red Esta directiva audita las cuentas de Cognitive Services del Media
pública se debe entorno con acceso a la red pública habilitado. El acceso a la
deshabilitar para las red pública debe estar deshabilitado, de forma que solo se
cuentas de Cognitive permitan conexiones desde puntos de conexión privados.
Services (Directiva relacionada: Se debe deshabilitar el acceso de red
público para las cuentas de Cognitive Services )
El acceso a redes Deshabilite la propiedad de acceso a la red pública para Media

públicas debe estar mejorar la seguridad y garantizar que solo se pueda acceder
deshabilitado para los a la instancia de Azure Database for MariaDB desde un
servidores MariaDB punto de conexión privado. Esta configuración deshabilita
estrictamente el acceso desde cualquier espacio de
direcciones público que esté fuera del intervalo de
direcciones IP de Azure y deniega todos los inicios de sesión
que coincidan con las reglas de firewall basadas en IP o en
red virtual.
(Directiva relacionada: el acceso a redes públicas debe estar
deshabilitado para los servidores de MariaDB )
El acceso a las redes Deshabilite la propiedad de acceso a la red pública para Media
deshabilitado para los a la instancia de Azure Database for MySQL desde un punto
servidores MySQL de conexión privado. Esta configuración deshabilita
estrictamente el acceso desde cualquier espacio de
direcciones público que esté fuera del intervalo de
direcciones IP de Azure y deniega todos los inicios de sesión
que coincidan con las reglas de firewall basadas en IP o en
red virtual.
(Directiva relacionada: el acceso a las redes públicas debe
estar deshabilitado para los servidores de MySQL )
El acceso a redes Deshabilite la propiedad de acceso a la red pública para Media

deshabilitado para los a la instancia de Azure Database for PostgreSQL desde un
servidores PostgreSQL punto de conexión privado. Esta configuración deshabilita el
acceso desde cualquier espacio de direcciones público que
esté fuera del intervalo de direcciones IP de Azure y deniega
todos los inicios de sesión que coinciden con las reglas de
firewall basadas en la IP o en la red virtual.
(Directiva relacionada: el acceso a redes públicas debe estar
deshabilitado para los servidores de PostgreSQL )
Redis Cache debe Habilite solo las conexiones a Redis Cache que pasan por Alto
permitir el acceso solo SSL. El uso de conexiones seguras garantiza la autenticación
mediante SSL. entre el servidor y el servicio, y protege los datos en tránsito
de ataques de nivel de red, como "man in-the-middle",
interceptación y secuestro de sesión.
(Directiva relacionada: solo se deben habilitar conexiones
seguras a la instancia de Azure Cache for Redis )
Las bases de datos SQL La evaluación de vulnerabilidades de SQL examina la base de Alto
deben tener resueltos datos en busca de vulnerabilidades de seguridad y expone
los hallazgos de las posibles desviaciones de los procedimientos
vulnerabilidades. recomendados, como errores de configuración, permisos
excesivos y datos confidenciales sin protección. La corrección
de las vulnerabilidades detectadas puede mejorar
considerablemente la posición de seguridad de la base de
datos. Más información
(Directiva relacionada: se deben corregir las vulnerabilidades
de las bases de datos SQL )
Las instancias La evaluación de vulnerabilidades permite detectar las Alto

administradas de SQL vulnerabilidades potenciales de la base de datos, así como
deben tener hacer un seguimiento y ayudar a corregirlas.
configurada la (Directiva relacionada: debe habilitarse la valoración de las
evaluación de vulnerabilidades en SQL Managed Instance )
vulnerabilidades.
Los servidores SQL de La evaluación de vulnerabilidades de SQL examina la base de Alto

las máquinas deben datos en busca de vulnerabilidades de seguridad y expone
tener resueltos los las posibles desviaciones de los procedimientos
hallazgos de recomendados, como errores de configuración, permisos
vulnerabilidades. excesivos y datos confidenciales sin protección. La corrección
de las vulnerabilidades detectadas puede mejorar
considerablemente la posición de seguridad de la base de
datos. Más información
(Directiva relacionada: Es necesario corregir las
vulnerabilidades de los servidores SQL en la máquina ).
Los servidores SQL Aprovisione un administrador de Azure AD para SQL Server a Alto
deben tener un fin de habilitar la autenticación de Azure AD. La
administrador de autenticación de Azure AD permite la administración
Azure Active Directory simplificada de permisos y la administración centralizada de
aprovisionado. identidades de usuarios de base de datos y otros servicios de
Microsoft.
(Directiva relacionada: debe aprovisionarse un administrador
de Azure Active Directory para los servidores de SQL
Server )
Los servidores de SQL La evaluación de vulnerabilidades permite detectar las Alto

deben tener vulnerabilidades potenciales de la base de datos, así como
configurada la hacer un seguimiento y ayudar a corregirlas.
evaluación de (Directiva relacionada: la valoración de las vulnerabilidades
vulnerabilidades. debe habilitarse en los servidores de SQL Server )
La cuenta de Los vínculos privados aplican la comunicación segura al Media

almacenamiento proporcionar conectividad privada a la cuenta de
debería utilizar una almacenamiento.
conexión de vínculo (Directiva relacionada: la cuenta de almacenamiento debe
privado usar una conexión con un vínculo privado )
Se deben migrar las Para beneficiarse de las nuevas funcionalidades de Resource Bajo
cuentas de Manager, puede migrar las implementaciones existentes
almacenamiento a los desde el modelo de implementación clásica. Resource
nuevos recursos de Manager permite disfrutar de mejoras en la seguridad como:
Azure Resource mayor control de acceso (RBAC), mejor auditoría,
Manager gobernanza e implementación basados en ARM, acceso a
identidades administradas, acceso a secretos de Key Vault,
autenticación basada en Azure AD y compatibilidad con
etiquetas y grupos de recursos para facilitar la administración
de seguridad. Más información
(Directiva relacionada: las cuentas de almacenamiento se
deben migrar a los nuevos recursos de Azure Resource
Manager )
Las cuentas de Proteja las cuentas de almacenamiento frente a amenazas Media

almacenamiento potenciales mediante reglas de red virtual como método
deben restringir el preferente en lugar de filtrado basado en IP. La
acceso a la red deshabilitación del filtrado basado en IP evita que las
mediante el uso de direcciones IP públicas accedan a las cuentas de
reglas de red virtual almacenamiento.
(Directiva relacionada: las cuentas de almacenamiento deben
restringir el acceso mediante el uso de las reglas de red
virtual )
Las suscripciones Para asegurarse de que las personas pertinentes de su Bajo

deben tener una organización reciban una notificación cuando se produzca
dirección de correo una vulneración de seguridad potencial en una de sus
electrónico de suscripciones, establezca un contacto de seguridad para
contacto para los recibir notificaciones por correo electrónico de Defender for
problemas de Cloud.
seguridad (Directiva relacionada: las suscripciones deben tener una
dirección de correo electrónico de contacto para los
problemas de seguridad )
El cifrado de datos Habilite el cifrado de datos transparente para proteger los Bajo
transparente en bases datos en reposo y cumplir los requisitos de cumplimiento
de datos SQL debe (Directiva relacionada: el cifrado de datos transparente en
estar habilitado bases de datos SQL debe estar habilitado )
Las plantillas de VM Audite las plantillas de VM Image Builder que no tengan Media
Image Builder deben ninguna red virtual configurada. Cuando no se ha
usar Private Link configurado una red virtual, se creará y usará una dirección
IP pública en su lugar, que puede exponer recursos
directamente a Internet y aumentar la superficie expuesta a
ataques potencial.
(Directiva relacionada: las plantillas de Azure VM Image
Builder deben usar un vínculo privado )
El firewall de Implemente Azure Web Application Firewall (WAF) delante Bajo

aplicaciones web de las aplicaciones web de acceso público para una
(WAF) debe estar inspección adicional del tráfico entrante. Web Application
habilitado para Firewall (WAF) ofrece una protección centralizada de las
Application Gateway aplicaciones web frente a vulnerabilidades de seguridad
comunes, como la inyección de SQL, el scripting entre sitios y
las ejecuciones de archivos locales y remotas. También
permite restringir el acceso a las aplicaciones web por países
o regiones, intervalos de direcciones IP y otros parámetros
http(s) por medio de reglas personalizadas.
(Directiva relacionada: Web Application Firewall (WAF) debe
estar habilitado para Application Gateway )
Web Application Implemente Azure Web Application Firewall (WAF) delante Bajo
Firewall (WAF) debe de las aplicaciones web de acceso público para una
estar habilitado en el inspección adicional del tráfico entrante. Web Application
servicio Azure Front Firewall (WAF) ofrece una protección centralizada de las
Door Service aplicaciones web frente a vulnerabilidades de seguridad
comunes, como la inyección de SQL, el scripting entre sitios y
las ejecuciones de archivos locales y remotas. También
permite restringir el acceso a las aplicaciones web por países
o regiones, intervalos de direcciones IP y otros parámetros
http(s) por medio de reglas personalizadas.
(Directiva relacionada: Web Application Firewall (WAF) debe
habilitarse para Azure Front Door Service )
Recomendaciones de IdentityAndAccess
Es necesario designar Para reducir la posibilidad de que se produzcan Alto

un máximo de vulneraciones en las cuentas de propietario en peligro, es
3 propietarios para las aconsejable limitar el número de cuentas de propietario a un
suscripciones. máximo de 3
(Directiva relacionada: se debe designar un máximo de tres
propietarios para la suscripción )
Deben estar habilitadas Si solo usa contraseñas para autenticar a sus usuarios, está Alto
para MFA las cuentas dejando un vector de ataque abierto. Los usuarios suelen
con permisos de usar contraseñas no seguras para varios servicios. Al habilitar
propietario de los la Autenticación multifactor (MFA), proporciona una mejor
recursos de Azure. seguridad para las cuentas, a la vez que permite a los
usuarios autenticarse en casi cualquier aplicación con inicio
de sesión único (SSO). La autenticación multifactor es un
proceso por el que se solicita a los usuarios, durante el
proceso de inicio de sesión, una forma adicional de
identificación. Por ejemplo, se puede enviar un código a su
teléfono celular o se puede solicitar un examen de huellas
digitales. Se recomienda habilitar MFA para todas las
cuentas que tengan permisos de propietario en los recursos
de Azure, para evitar infracciones y ataques.
Encontrará más detalles y preguntas más frecuentes aquí:
Administración del cumplimiento de la autenticación
multifactor (MFA) en las suscripciones.
lectura de los recursos la Autenticación multifactor (MFA), proporciona una mejor
de Azure. seguridad para las cuentas, a la vez que permite a los
cuentas que tengan permisos de lectura en los recursos de
Azure, para evitar infracciones y ataques.
escritura de los la Autenticación multifactor (MFA), proporciona una mejor
recursos de Azure. seguridad para las cuentas, a la vez que permite a los
cuentas que tengan permisos de escritura en los recursos de
Azure, para evitar infracciones y ataques.
Las cuentas de Azure La mejor manera de autenticarse en los servicios de Azure es Media
Cosmos DB deben usar mediante control de acceso basado en rol (RBAC). RBAC le
Azure Active Directory permite mantener el principio de privilegio mínimo y admite
como único método de la capacidad de revocar permisos como un método eficaz de
autenticación . respuesta cuando se pone en peligro. Puede configurar la
cuenta de Azure Cosmos DB para aplicar RBAC como único
método de autenticación. Cuando se configura la aplicación,
se denegarán todos los demás métodos de acceso (claves
principales o secundarias y tokens de acceso).

Deben quitarse las Las cuentas que se han bloqueado para iniciar sesión en Alto
cuentas bloqueadas Active Directory deben quitarse de los recursos de Azure.
con permisos de Estas cuentas pueden ser objetivo de los atacantes que
propietario de los buscan formas de acceder a los datos sin ser detectados.
recursos de Azure. (Ninguna directiva relacionada)
Las cuentas Las cuentas que se han bloqueado para iniciar sesión en Alto
bloqueadas con Active Directory deben quitarse de los recursos de Azure.
permisos de lectura y Estas cuentas pueden ser objetivo de los atacantes que
escritura en los buscan formas de acceder a los datos sin ser detectados.
recursos de Azure (Ninguna directiva relacionada)
deberían quitarse
Las cuentas en desuso Las cuentas de usuario cuyo inicio de sesión se ha Alto
se deben quitar de las bloqueado deben quitarse de las suscripciones.
suscripciones. Estas cuentas pueden ser objetivo de los atacantes que
buscan formas de acceder a los datos sin ser detectados.
(Directiva relacionada: las cuentas en desuso deben quitarse
de la suscripción )
Las cuentas en desuso Las cuentas de usuario cuyo inicio de sesión se ha Alto
con permisos de bloqueado deben quitarse de las suscripciones.
propietario deben Estas cuentas pueden ser objetivo de los atacantes que
quitarse de la buscan formas de acceder a los datos sin ser detectados.
suscripción. (Directiva relacionada: las cuentas en desuso con permisos
de propietario deben quitarse de la suscripción )
diagnóstico en Key permite volver a crear seguimientos de actividad con fines
Vault deben estar de investigación cuando se produce un incidente de
(Directiva relacionada: los registros de diagnóstico de Key
Vault deben habilitarse )
Las cuentas externas Las cuentas con permisos de propietario que tienen Alto
con permisos de nombres de dominio diferentes (cuentas externas) se deben
propietario deben eliminar de la suscripción. Esto evita el acceso no
quitarse de las supervisado. Estas cuentas pueden ser objetivo de los
suscripciones. atacantes que buscan formas de acceder a los datos sin ser
detectados.
(Directiva relacionada: Las cuentas externas con permisos de
propietario deben quitarse de la suscripción )
Las cuentas externas Las cuentas con permisos de lectura que tienen nombres de Alto
con permisos de dominio diferentes (cuentas externas) se deben eliminar de
la suscripción. Esto evita el acceso no supervisado. Estas
lectura se deben quitar cuentas pueden ser objetivo de los atacantes que buscan
de las suscripciones. formas de acceder a los datos sin ser detectados.
lectura se deben eliminar de la suscripción )
Las cuentas externas Las cuentas con permisos de escritura que tienen nombres Alto
con permisos de de dominio diferentes (cuentas externas) se deben eliminar
escritura se deben de la suscripción. Esto evita el acceso no supervisado. Estas
quitar de las cuentas pueden ser objetivo de los atacantes que buscan
suscripciones. formas de acceder a los datos sin ser detectados.
escritura deben quitarse de la suscripción )
El firewall debe estar El firewall del almacén de claves evita que el tráfico no Media
habilitado en Key Vault autorizado lo alcance y proporciona una capa adicional de
protección para los secretos. Habilite el firewall para
asegurarse de que solo el tráfico de las redes permitidas
pueda acceder al almacén de claves.
(Directiva relacionada: el firewall debe estar habilitado en
Key Vault )
Deben quitarse las Las cuentas con permisos de propietario que se han Alto
cuentas de invitado aprovisionado fuera del inquilino de Azure Active Directory
con permisos de (nombres de dominio diferentes), deben quitarse de los
propietario de los recursos de Azure. Las cuentas de invitado no se administran
recursos de Azure. con los mismos estándares que las identidades de inquilino
empresarial. Estas cuentas pueden ser objetivo de los
atacantes que buscan formas de acceder a los datos sin ser
detectados.
Deben quitarse las Las cuentas con permisos de lectura que se han Alto
lectura de los recursos recursos de Azure. Las cuentas de invitado no se administran
de Azure. con los mismos estándares que las identidades de inquilino
detectados.
Deben quitarse las Las cuentas con permisos de escritura que se han Alto
escritura de los recursos de Azure. Las cuentas de invitado no se administran
recursos de Azure. con los mismos estándares que las identidades de inquilino
detectados.
Las claves de Key Vault Las claves criptográficas deben tener una fecha de Alto
deben tener una fecha expiración definida y no ser permanentes. Las claves que no
de expiración expiran proporcionan a los posibles atacantes más tiempo
para hacerse con ellas. Por ello, se recomienda como
práctica de seguridad establecer fechas de expiración en las
claves criptográficas.
(Directiva relacionada: las claves de Key Vault deben tener
una fecha de expiración )
Los secretos de Key Los secretos deben tener una fecha de expiración definida y Alto
Vault deben tener una no ser permanentes. Los secretos que no expiran
fecha de expiración proporcionan a un posible atacante más tiempo para
ponerlos en peligro. Por ello, se recomienda como práctica
de seguridad establecer fechas de expiración en los secretos.
(Directiva relacionada: los secretos de Key Vault deben tener
una fecha de expiración )
Los almacenes de La eliminación malintencionada de un almacén de claves Media

claves deben tener puede provocar una pérdida de datos permanente. Un
habilitada la protección usuario malintencionado de la organización puede eliminar y
contra operaciones de purgar los almacenes de claves. La protección contra purgas
purga le protege frente a ataques internos mediante la aplicación
de un período de retención obligatorio para almacenes de
claves eliminados temporalmente. Ningún usuario de su
organización o Microsoft podrá purgar los almacenes de
claves durante el período de retención de eliminación
temporal.
(Directiva relacionada: los almacenes de claves deben tener
habilitada la protección contra operaciones de purga )
Los almacenes de Si se elimina un almacén de claves que no tenga habilitada Alto

claves deben tener la eliminación temporal, se eliminarán permanentemente
habilitada la todos los secretos, claves y certificados almacenados en ese
eliminación temporal almacén de claves. La eliminación accidental de un almacén
de claves puede provocar una pérdida de datos permanente.
La eliminación temporal permite recuperar un almacén de
claves eliminado accidentalmente durante un período de
retención configurable.
(Directiva relacionada: los almacenes de claves deben tener
habilitada la eliminación temporal )
MFA debe estar Multi-Factor Authentication (MFA) debe estar habilitada para Alto
habilitado en las todas las cuentas de la suscripción que tengan permisos de
cuentas con permisos propietario, a fin de evitar una brecha de seguridad en las
de propietario en las cuentas o los recursos.
suscripciones. (Directiva relacionada: debe habilitarse la autenticación
Recomendación multifactor
Descripciónen las cuentas con permisos de propietario de la severity
suscripción )
cuentas con permisos lectura, a fin de evitar una brecha de seguridad en las
de lectura de las cuentas o los recursos.
multifactor en las cuentas con permisos de lectura de la
suscripción )
cuentas con permisos escritura, a fin de evitar una brecha de seguridad en las
de escritura de las cuentas o los recursos.
multifactor en las cuentas con permisos de escritura de la
suscripción )
Se debe habilitar Microsoft Defender for Cloud incluye Microsoft Defender Alto
Microsoft Defender para Key Vault, lo que proporciona una capa adicional de
para Key Vault inteligencia de seguridad.
Microsoft Defender para Key Vault detecta intentos inusuales
y potencialmente perjudiciales de acceder a las cuentas de
Key Vault o de vulnerarlas.
Importante: Las protecciones de este plan se cobran como
se muestra en la página de planes de Defender. Si no tiene
ningún almacén de claves en esta suscripción, no se le
cobrará. Si más adelante crea almacenes de claves en esta
suscripción, se protegerán automáticamente y comenzarán a
aplicarse cargos. Más información sobre los detalles de los
precios por región
Key Vault
Key Vault )
Se debe configurar un Private Link proporciona una manera de conectar Key Vault a Media
punto de conexión los recursos de Azure sin enviar tráfico a través de la red
privado para Key Vault pública de Internet. Un vínculo privado proporciona varios
niveles de protección contra la filtración de datos.
(Directiva relacionada: se debe configurar un punto de
conexión privado para Key Vault )
No se debe permitir el El acceso de lectura público anónimo a contenedores y Media

acceso público a la blobs en Azure Storage es una manera cómoda de compartir
cuenta de datos, pero también puede plantear riesgos para la
almacenamiento seguridad. Para evitar las infracciones de datos producidas
por el acceso anónimo no deseado, Microsoft recomienda
impedir el acceso público a una cuenta de almacenamiento
a menos que su escenario lo requiera.

(Directiva relacionada: no se debe permitir el acceso público
a la cuenta de almacenamiento )
Debe haber más de un Designe a más de un propietario de la suscripción para tener Alto
propietario asignado a redundancia de acceso de administrador.
las suscripciones. (Directiva relacionada: debe hacer más de un propietario
asignado a la suscripción )
El período de validez Asegúrese de que los certificados no tienen un período de Media

de los certificados validez que supere los 12 meses.
almacenados en Azure (Directiva relacionada: los certificados deben tener el
Key Vault no debe periodo de máximo de validez que se haya especificado )
superar los 12 meses
Recomendaciones de IoT
La directiva del filtro de La configuración de filtro IP necesita tener reglas definidas Media
IP predeterminada debe para tráfico permitido y denegar de forma predeterminada
ser Denegar. el resto del tráfico.
Los registros de Habilite los registros y consérvelos por hasta un año. Esto Bajo
diagnóstico de IoT Hub le permite volver a crear seguimientos de actividad con
deben estar habilitados fines de investigación cuando se produce un incidente de
seguridad o se pone en peligro la red.
(Directiva relacionada: los registros de diagnóstico de IoT
Hub deben estar habilitados )
Credenciales de Credenciales de autenticación idénticas para la instancia de Alto

autenticación idénticas IoT Hub utilizada por varios dispositivos. Esto puede indicar
que hay un dispositivo ilegítimo que suplanta un
dispositivo legítimo. También expone el riesgo de
suplantación del dispositivo por parte de un atacante
Intervalo IP amplio de la Un intervalo IP de origen de la regla de filtro IP permitido Media

regla del filtro de IP. es demasiado grande. Las reglas excesivamente permisivas
podrían exponer su instancia de IoT Hub a agentes
malintencionados.
Recomendaciones de redes
Se debe restringir el Examine los valores del acceso de red en la configuración Bajo
acceso a las cuentas de del firewall de su cuenta de almacenamiento. Se
almacenamiento con recomienda configurar reglas de red de modo que solo las
configuraciones de red aplicaciones de redes permitidas puedan acceder a la
virtual y firewall cuenta de almacenamiento. Para permitir conexiones
desde clientes específicos locales o de Internet, se puede
conceder acceso al tráfico procedente de redes virtuales
de Azure específicas o a intervalos de direcciones IP de
Internet públicas.
(Directiva relacionada: se debe restringir el acceso de red a
las cuentas de almacenamiento )
Las recomendaciones de Defender for Cloud ha analizado los patrones de Alto

protección de red comunicación del tráfico de Internet de las máquinas
adaptable se deben virtuales que se indican a continuación y ha determinado
aplicar en las máquinas que las reglas existentes de los grupos de seguridad de
virtuales accesibles desde red asociados son excesivamente permisivas, lo que
Internet incrementa la posible superficie expuesta a ataques.
Esto suele ocurrir cuando esta dirección IP no se comunica
con regularidad con este recurso. Como alternativa, la
dirección IP se ha marcado como malintencionada en los
orígenes de inteligencia sobre amenazas de Microsoft
Defender for Cloud. Más información en Mejora de la
posición de seguridad de red con la protección de redes
adaptativa
(Directiva relacionada: las recomendaciones de protección
de red adaptable se deben aplicar en las máquinas
virtuales accesibles desde Internet )
Todos los puertos de red Defender for Cloud ha identificado que algunas de las Alto
deben estar restringidos reglas de entrada de sus grupos de seguridad de red son
en los grupos de demasiado permisivas. Las reglas de entrada no deben
seguridad de red permitir el acceso desde los intervalos "Cualquiera" o
asociados a la máquina "Internet". Esto podría permitir que los atacantes pudieran
virtual acceder a sus recursos.
(Directiva relacionada: en los grupos de seguridad de red
asociados a la máquina virtual, todos los puertos de red
deben estar restringidos )
Azure DDoS Protection Defender for Cloud ha detectado redes virtuales en las que Media
Standard debe estar el servicio de protección contra DDoS no protege recursos
habilitado de Application Gateway. Estos recursos contienen
direcciones IP públicas. Permita la mitigación de los
ataques volumétricos de red y protocolo.

(Directiva relacionada: Azure DDoS Protection Estándar
debe estar habilitado )
Las máquinas virtuales Para proteger su máquina virtual de posibles amenazas, Alto
accesibles desde Internet limite el acceso a la misma con un grupo de seguridad de
deben estar protegidas red (NSG). Los grupos de seguridad de red contienen
con grupos de seguridad reglas de la lista de control de acceso (ACL) que permiten
de red o deniegan el tráfico de red a la máquina virtual desde
otras instancias, que se encuentran tanto en la misma
subred como fuera de ella.
Para mantener la máquina tan protegida como sea
posible, se debe restringir su acceso a Internet y se debe
habilitar un grupo de seguridad de red en la subred.
Las máquinas virtuales con una gravedad "Alta" son
aquellas a las que se puede acceder desde Internet.
(Directiva relacionada: las máquinas virtuales a las que se
puede acceder desde Internet deben estar protegidas con
grupos de seguridad de red )
El reenvío de IP en la Defender for Cloud ha descubierto que el reenvío de IP Media

máquina virtual debe está habilitado en algunas de las máquinas virtuales.
estar deshabilitado Habilitar el reenvío de IP en la NIC de la máquina virtual
permite que la máquina reciba tráfico dirigido a otros
destinos. El reenvío de IP rara vez es necesario (por
ejemplo, cuando se usa la máquina virtual como una
aplicación virtual de red) y, por lo tanto, el equipo de
seguridad de red debe revisarlo.
(Directiva relacionada: El reenvío de IP en la máquina
virtual debe estar deshabilitado )
Las máquinas deben Las condiciones de uso de Azure prohíben el uso de Alto
tener puertos cerrados servicios de Azure de maneras que puedan dañar,
que puedan exponer deshabilitar, sobrecargar o afectar a cualquier servidor de
vectores de ataque Microsoft o a la red. Esta recomendación enumera los
puertos expuestos que deben cerrarse para conseguir una
seguridad continuada. También ilustra la amenaza
potencial para cada puerto.
Los puertos de Defender for Cloud identificó en los puertos de Alto

administración de las administración del grupo de seguridad de red que algunas
máquinas virtuales deben de las reglas de entrada son demasiado permisivas.
protegerse con el control Habilite el control de acceso Just-in-Time para proteger la
de acceso de red Just-In- máquina virtual frente a los ataques por fuerza bruta que
Time . se realizan a través de Internet. Más información en
Descripción del acceso a la máquina virtual Just-in-Time
(JIT)
(Directiva relacionada: los puertos de administración de las

máquinas virtuales deben protegerse con el control de
acceso de red Just-In-Time )
Se deben cerrar los Los puertos de administración remota abiertos exponen la Media
puertos de máquina virtual a un alto nivel de riesgo de recibir ataques
administración en las basados en Internet. Estos ataques intentan averiguar las
máquinas virtuales credenciales por medio de fuerza bruta a fin de obtener
acceso de administrador a la máquina
(Directiva relacionada: Los puertos de administración
deben estar cerrados en las máquinas virtuales )
Las máquinas virtuales Para proteger de posibles amenazas a cualquier máquina Bajo
sin conexión a Internet virtual a la que no se pueda acceder desde Internet, limite
deben protegerse con el acceso a ella con un grupo de seguridad de red (NSG).
grupos de seguridad de Los grupos de seguridad de red contienen reglas de la
red lista de control de acceso (ACL) que permiten o deniegan
el tráfico de red a la máquina virtual desde otras
instancias, independientemente de que se encuentren en
la misma subred o fuera de ella.
Tenga en cuenta que para mantener la máquina tan
protegida como sea posible, se debe restringir su acceso a
Internet y se debe habilitar un grupo de seguridad de red
en la subred.
(Directiva relacionada: las máquinas virtuales sin conexión
a Internet deben protegerse con grupos de seguridad de
red )
Se debe habilitar la La transferencia segura es una opción que obliga a la Alto

transferencia segura a las cuenta de almacenamiento a aceptar solamente
cuentas de solicitudes de conexiones seguras (HTTPS). El uso de
almacenamiento HTTPS garantiza la autenticación entre el servidor y el
servicio, y protege los datos en tránsito de ataques de
nivel de red, como "man in-the-middle", interceptación y
secuestro de sesión.
(Directiva relacionada: se debe habilitar la transferencia
segura a las cuentas de almacenamiento )
Las subredes deben estar Proteja la subred de posibles amenazas mediante la Bajo
asociadas con un grupo restricción del acceso con un grupo de seguridad de red
de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de
control de acceso (ACL) que permiten o deniegan el tráfico
de red a la subred. Cuando un grupo de seguridad de red
está asociado a una subred, las reglas de ACL se aplican
tanto a todas las instancias de la máquina virtual como a
los servicios integrados de esa subred, pero no se aplican
al tráfico interno de la subred. Para proteger los recursos
de la misma subred entre sí, habilite el grupo de seguridad
de red directamente en los recursos.

Tenga en cuenta que los siguientes tipos de subred se
mostrarán como no aplicables: GatewaySubnet,
AzureFirewallSubnet y AzureBastionSubnet.
(Directiva relacionada: las subredes deben estar asociadas
con un grupo de seguridad de red )
Azure Firewall debe Algunas de sus redes virtuales no están protegidas con un Bajo
proteger las redes firewall. Use Azure Firewall para restringir el acceso a sus
virtuales redes virtuales y evitar posibles amenazas. Más
información acerca de Azure Firewall .
(Directiva relacionada: todo el tráfico de Internet debe
enrutarse mediante la instancia de Azure Firewall
implementada )
Recomendaciones de API
Recomendación Descripción y directiva relacionada severity
(Versión preliminar) Se Habilite el plan de Defender para API para detectar y Alto
debe habilitar proteger los recursos de las API frente a ataques y
Microsoft Defender para configuraciones incorrectas de seguridad. Más
API información
(Versión preliminar) Las La incorporación de las API a Defender para API requiere Alto
API de Azure API el uso de proceso y memoria en el servicio Azure API
Management deben Management. Supervise el rendimiento del servicio Azure
incorporarse a Defender API Management al incorporar las API y escale
para API horizontalmente los recursos de Azure API Management
según sea necesario.
(Versión preliminar) Los Como procedimiento recomendado de seguridad, los Bajo

puntos de conexión de las puntos de conexión de las API que no han recibido
API que no se usan deben tráfico durante 30 días se consideran sin usar y se deben
deshabilitarse y quitarse quitar del servicio Azure API Management. Mantener los
del servicio Azure API puntos de conexión de API sin usar podría suponer un
Management riesgo de seguridad. Pueden tratarse de las API que
deberían haber quedado en desuso del servicio Azure API
Management, pero que accidentalmente se han dejado
activas. Normalmente, estas API no reciben la cobertura
de seguridad más actualizada.
(Versión preliminar) Los Los puntos de conexión de las API publicados en Azure Alto
puntos de conexión de las API Management deben aplicar la autenticación para
API de Azure API minimizar el riesgo de seguridad. A veces, los
mecanismos de autenticación se implementan
Management deben incorrectamente o faltan. Esto permite a los atacantes

autenticarse aprovechar los errores de implementación y acceder a los
datos. En el caso de las API publicadas en Azure API
Management, esta recomendación evalúa la ejecución de
la autenticación mediante las claves de suscripción, JWT y
el certificado de cliente configurados en Azure API
Management. Si ninguno de estos mecanismos de
autenticación se ejecuta durante la llamada API, la API
recibirá esta recomendación.
Recomendaciones de API Management

(Versión preliminar) Las Las suscripciones de API Management deben tener como Media
suscripciones de API ámbito un producto o una API individual en lugar de
Management no deben todas las API, lo que podría dar lugar a una exposición
tener como ámbito todas excesiva a los datos.
las API
Las llamadas de API Management debe validar el certificado de servidor Media

API Management a los back-end para todas las llamadas API. Habilite la huella
back-end de API no digital del certificado SSL y la validación de nombres para
deberían omitir la huella mejorar la seguridad de la API.
digital del certificado ni la
validación de nombres
(Versión preliminar) El La API de REST de administración directa en Azure API Bajo

punto de conexión de Management omite los mecanismos de control de
administración directa de acceso, autorización y limitación basados en rol de Azure
API Management no debe Resource Manager, lo que aumenta la vulnerabilidad del
estar habilitado servicio.
(Versión preliminar) Las Las API solo deben estar disponibles mediante protocolos Alto
API de API Management cifrados, como HTTPS o WSS. Evite el uso de protocolos
solo deben usar no seguros, como HTTP o WS para garantizar la
protocolos cifrados seguridad de los datos en tránsito.
(Versión preliminar) Los Los valores con nombre son una colección de pares de Media
valores con nombre del nombre y valor en cada servicio de API Management. Los
secreto de API valores de los secretos se pueden almacenar como texto
Management deben cifrado en API Management (secretos personalizados) o
almacenarse en Azure Key mediante referencia a secretos en Azure Key Vault. Haga
Vault referencia a los valores con nombre del secreto de Azure
Key Vault para mejorar la seguridad de API Management
y de los secretos. Azure Key Vault admite directivas
pormenorizadas de administración de acceso y rotación

de secretos.
(Versión preliminar) API Para mejorar la seguridad de los servicios de API Media
Management debe Management, restrinja la conectividad a los puntos de
deshabilitar el acceso de conexión de configuración del servicio, como la API de
red pública a los puntos administración directa de acceso, el punto de conexión
de conexión de de administración de configuración de Git o el punto de
configuración del servicio conexión de configuración de puertas de enlace
autohospedadas.
(Versión preliminar) La Para evitar que los secretos de servicio se compartan con Media
versión mínima de usuarios de solo lectura, la versión mínima de la API debe
API Management debería establecerse en 01-12-2019 o superior.
establecerse en 01-12-
2019 o superior
(Versión preliminar) Las Las llamadas de API Management a back-ends deberían Media
llamadas de usar algún tipo de autenticación, ya sea mediante
API Management a los certificados o credenciales. No se aplica a back-ends de
back-end de API deberían Service Fabric.
autenticarse
Recomendaciones de IA
Los registros de recursos del Los registros de recursos habilitan que se vuelvan a Media
área de trabajo de crear seguimientos de actividad con fines de
Azure Machine Learning deben investigación en caso de que se produzcan
estar habilitados (versión incidentes de seguridad o riesgos para la red.
preliminar)
Las áreas de trabajo de Azure Al deshabilitar el acceso a la red pública, se mejora Media
Machine Learning deben la seguridad, ya que se garantiza que el área de
deshabilitar el acceso a la red trabajo de Machine Learning no se exponga en la
pública (versión preliminar) red pública de Internet. Se puede controlar la
exposición de las áreas de trabajo mediante la
creación de puntos de conexión privados. Para
obtener más información, consulte Configurar un
punto de conexión privado para un área de trabajo
de Azure Machine Learning.
Los procesos de Las instancias de Azure Virtual Network aportan Media

Azure Machine Learning deben mayor seguridad y aislamiento a sus instancias y
estar en una red virtual (versión clústeres de proceso de Azure Machine Learning,
preliminar) así como a subredes, directivas de control de
acceso y otras características para restringir aún
más el acceso. Cuando se configura un proceso
con una red virtual, no es posible acceder a ella
públicamente; solamente se podrá acceder a ella
desde máquinas virtuales y aplicaciones dentro de
la red virtual.
Los procesos de Deshabilitar los métodos de autenticación local Media

Azure Machine Learning mejora la seguridad ya que garantiza que los
deberían tener deshabilitados procesos de Machine Learning requieran
los métodos de autenticación identidades de Azure Active Directory
local (versión preliminar) exclusivamente para la autenticación. Para obtener
más información, vea los Controles de
cumplimiento normativo de Azure Policy para
Azure Machine Learning.
Las instancias de proceso de Asegúrese de que las instancias de proceso de Media

Azure Machine Learning se Azure Machine Learning se ejecutan en el sistema
deben recrear para obtener las operativo disponible más reciente. La seguridad se
actualizaciones de software más ha mejorado y se han reducido las vulnerabilidades
recientes (versión preliminar) mediante la ejecución con las revisiones de
seguridad más recientes. Para más información,
consulte Administración de vulnerabilidades para
Azure Machine Learning.
Los registros de recursos en las Los registros de recursos habilitan que se vuelvan a Media
áreas de trabajo de Azure crear seguimientos de actividad con fines de
Databricks deben estar investigación en caso de que se produzcan
habilitados (versión preliminar) incidentes de seguridad o riesgos para la red.
Las áreas de trabajo de Al deshabilitar el acceso a la red pública, se mejora Media

Azure Databricks deberían la seguridad ya que el recurso no se expone en la
deshabilitar el acceso a la red red pública de Internet. En su lugar, puede
pública (versión preliminar) controlar la exposición de los recursos creando
puntos de conexión privados. Para obtener más
información, consulte Habilitar Azure Private Link.
Los clústeres de Azure Deshabilitar la IP pública de los clústeres en áreas Media

Databricks deben deshabilitar la de trabajo de Azure Databricks mejora la seguridad
IP pública (versión preliminar) al garantizar que los clústeres no estén expuestos
en la red pública de Internet. Para obtener más
información consulte Proteger la conectividad del
clúster.
Las áreas de trabajo de Azure Azure Virtual Network brinda seguridad y Media
Databricks deben estar en una aislamiento mejorados para las áreas de trabajo de
red virtual (versión preliminar) Azure Databricks, así como subredes, directivas de
control de acceso y otras características para
restringir aún más el acceso. Para más información,
consulte Implementación de Azure Databricks en la

red virtual de Azure.
Las áreas de trabajo de Azure Azure Private Link permite conectar las redes Media
Databricks deben usar un virtuales a los servicios de Azure sin una IP pública
vínculo privado (versión en el origen o el destino. La plataforma Private Link
preliminar) administra la conectividad entre el consumidor y
los servicios a través de la red troncal de Azure. Al
asignar puntos de conexión privados a las áreas de
trabajo de Azure Databricks, puede reducir el
riesgo de pérdida de datos. Para más información,
consulte Creación del área de trabajo y de puntos
de conexión privados en la interfaz de usuario de
Azure Portal.
Recomendaciones en desuso
Se debe restringir el acceso a App Cambie la configuración de red para restringir el Alto
Services acceso a App Services y denegar el tráfico
entrante desde intervalos demasiado amplios.
(Directiva relacionada [versión preliminar]: Se
debe restringir el acceso a App Services).
Se deben proteger las reglas de Se ha protegido el grupo de seguridad de red Alto

las aplicaciones web en los NSG (NSG) de las máquinas virtuales que ejecutan
de IaaS aplicaciones web con reglas de NSG que son
demasiado permisivas con respecto a los puertos
de la aplicación web.
(Directiva relacionada: Se deben proteger las
reglas de NSG para las aplicaciones web en IaaS).
Las directivas de seguridad de pod Defina las directivas de seguridad de pod para Media
deben definirse para reducir el reducir el vector de ataque mediante la
vector de ataque mediante la eliminación de privilegios de aplicación
eliminación de privilegios de innecesarios. Se recomienda configurar las
aplicación innecesarios (versión directivas de seguridad de pod para que los pods
preliminar) solo puedan obtener acceso a los recursos a los
que se les permita el acceso.
(Directiva relacionada [versión preliminar]: Las
directivas de seguridad de pod deben definirse
en los servicios de Kubernetes).
Instalación de Azure Security Instale Azure Security Center para el módulo de Bajo
Center para el módulo de seguridad de IoT con el fin de obtener una mayor
seguridad de IoT para obtener visibilidad en los dispositivos de IoT.
más visibilidad en los dispositivos
de IoT
Las máquinas deben reiniciarse Reinicie sus máquinas para aplicar las Media
para aplicar las actualizaciones del actualizaciones del sistema y protegerlas ante
sistema vulnerabilidades. (Directiva relacionada: Se deben
instalar actualizaciones del sistema en las
máquinas).
El agente de supervisión debe Esta acción instala un agente de supervisión en Alto

instalarse en las máquinas. las máquinas virtuales seleccionadas. Seleccione
un área de trabajo a la que informará el agente.
Java debe actualizarse a la versión A causa de errores de seguridad o para incluir Media
más reciente de las aplicaciones funcionalidades, se publican de forma periódica
web. versiones más recientes del software de Java.
Para las aplicaciones web, se recomienda usar la
versión más reciente de Java con el fin de
haberlas, o las nuevas funcionalidades de la
"versión de Java" es la más reciente, si se usa
como parte de la aplicación web)

versión más reciente para las funcionalidades, se publican de forma periódica
aplicaciones de función. versiones más recientes del software de Python.
Para las aplicaciones de funciones, se recomienda
usar la versión más reciente de Python con el fin
de aprovechar las correcciones de seguridad, de
"versión de Python" es la más reciente, si se usa
como parte de la aplicación de funciones)

aplicaciones web. versiones más recientes del software de Python.
(Directiva relacionada: Asegúrese de que la
"versión de Python" es la más reciente, en caso
de que se use como parte de la aplicación web)
Java debe actualizarse a la versión A causa de errores de seguridad o para incluir Media
más reciente para las aplicaciones funcionalidades, se publican de forma periódica
de función. versiones más recientes del software de Java.
Para las aplicaciones de funciones, se recomienda
usar la versión más reciente de Java con el fin de
"versión de Java" es la más reciente, si se usa
como parte de la aplicación de funciones)
PHP debe actualizarse a la versión A causa de errores de seguridad o para incluir Media
más reciente de las aplicaciones funcionalidades, se publican de forma periódica
web. versiones más recientes del software de PHP.
versión más reciente de PHP con el fin de
"versión de PHP" es la más reciente, si se usa
como parte de la aplicación web)
Pasos siguientes
Para obtener más información sobre las recomendaciones, consulte:
¿Qué son las directivas de seguridad, las iniciativas y las recomendaciones?

Examen de las recomendaciones de seguridad
Azure Advisor en nubes soberanas
Artículo • 01/06/2023
Las nubes soberanas de Azure permiten crear y transformar digitalmente cargas de

trabajo en la nube a la vez que se cumplen los requisitos de seguridad, cumplimiento y
directivas.
Azure Government (Estados Unidos)

Las siguientes características de recomendaciones de Azure Advisor no están
disponibles actualmente en Azure Government:
Coste
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada del
impuesto sobre el timbre de App Service para ahorrar en los costos a petición.
(Versión preliminar) Considere la posibilidad de comprar capacidad reservada de
Azure Data Explorer para ahorrar costos de pago por uso.
Azure Synapse Analytics (anteriormente SQL DW) para ahorrar en los costos de
pago por uso.
Blob Storage para ahorrar en los costos de Blob v2 y Data Lake Storage Gen2.
(Versión preliminar) Considere la posibilidad de usar una instancia reservada de
Blob Storage para ahorrar en los costos de Blob v2 y Data Lake Storage Gen2.
Cache for Redis para ahorrar en los costos de pago por uso.
Azure Cosmos DB para ahorrar en los costos de pago por uso.
Database for MariaDB para ahorrar en los costos de pago por uso.
Database for MySQL para ahorrar en los costos de pago por uso.
Database for PostgreSQL para ahorrar en los costos de pago por uso.
SQL Database para ahorrar en los costos de pago por uso.
PaaS de SQL Database para ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada del impuesto sobre el
timbre de App Service para ahorrar en los costos a petición.
Considere la posibilidad de usar una instancia reservada de Azure Synapse
Analytics (anteriormente SQL DW) para ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada de Cache for Redis para
ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada de Azure Cosmos DB para
ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada de Database for MariaDB
para ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada de Database for MySQL
Considere la posibilidad de usar una instancia reservada de Database for
PostgreSQL para ahorrar en los costos de pago por uso.
Considere la posibilidad de usar una instancia reservada de PaaS de SQL Database
Operativos
Agregue Azure Monitor a la máquina virtual etiquetada como producción.
Elimine y vuelva a crear el grupo con un tamaño de máquina virtual que se retirará
pronto.
Habilite el Análisis de tráfico para ver información sobre los patrones de tráfico en
los recursos de Azure.
Aplique "Agregar o reemplazar una etiqueta en los recursos" con Azure Policy.
Aplicación de "Ubicaciones permitidas" con Azure Policy
Aplicación de "SKU de máquina virtual permitidas" mediante Azure Policy.
Aplique "Auditar las máquinas virtuales que no utilizan discos administrados" con
Azure Policy.
Aplique "Heredar una etiqueta del grupo de recursos" con Azure Policy.
Actualice la versión de la API de Azure Spring Cloud.
Actualice el SDK de Azure Spring Cloud obsoleto a la versión más reciente.
Actualice a la versión más reciente del SDK de Immersive Reader.
Rendimiento
Las redes aceleradas pueden requerir la detención y el inicio de la máquina virtual.
En enrutador Arista Networks vEOS puede experimentar un uso intensivo de la
CPU, un rendimiento reducido y una latencia alta.
El firewall de última generación de Barracuda Networks puede experimentar un
uso intensivo de la CPU, un rendimiento reducido y una latencia alta.
Cisco Cloud Services Router 1000V puede experimentar un uso intensivo de la
CPU, un rendimiento reducido y una latencia alta.
Considere la posibilidad de aumentar el tamaño de la NVA para abordar el uso
elevado y persistente de CPU.
Distribuya los datos en el grupo de servidores para distribuir la carga de trabajo
entre los nodos.
Más del 75 % de las consultas son consultas de análisis completo.
El sistema operativo ONTAP de los volúmenes en NetApp Cloud puede
experimentar un uso intensivo de la CPU, un rendimiento reducido y una latencia
alta.
El firewall de la serie de máquinas virtuales de Palo Alto Networks puede
experimentar un uso intensivo de la CPU, un rendimiento reducido y una latencia
alta.
Las lecturas se producen en los datos más recientes.
Reequilibre los datos en el grupo de servidores de Hiperescala (Citus) para
distribuir la carga de trabajo entre los nodos de trabajo de forma más uniforme.
Actualice la versión de la API de atestación.
Actualice la versión del SDK de Key Vault.
Actualice a la versión más reciente del producto de Arista VEOS para ofrecer
compatibilidad con las redes aceleradas.
Actualice a la versión más reciente del producto Barracuda NG Firewall para
obtener compatibilidad con las redes aceleradas.
Actualice a la versión más reciente del producto Check Point para ofrecer
Actualice a la versión más reciente del producto del enrutador de Cisco Cloud
Services 1000V para obtener compatibilidad con redes aceleradas.
Actualice a la versión más reciente del producto de F5 BigIp para ofrecer
Actualice a la versión más reciente del producto de NetApp para ofrecer
Actualice a la versión más reciente del producto de Palo Alto Firewall para ofrecer
Actualice el ancho de banda del circuito de ExpressRoute para satisfacer sus
necesidades de ancho de banda.
Use discos SSD para las cargas de trabajo de producción.
El uso de la capacidad de vSAN ha superado un umbral crítico.
Confiabilidad
Evite el reemplazo del nombre de host para garantizar la integridad del sitio.
La máquina virtual de Check Point puede perder la conectividad de red.
Anule y vuelva a crear los clústeres de HDInsight para aplicar actualizaciones
críticas.
Actualice el SDK de cliente de dispositivo a una versión compatible con Iot Hub.
Actualice a la versión más reciente del agente de Azure Connected Machine.
Cálculos del tamaño correcto

El cálculo para recomendar que las máquinas virtuales infrautilizadas en Azure
Government se deben ajustar al tamaño correcto o apagar es el siguiente:
Advisor supervisa la utilización de las máquinas virtuales durante siete días e

identifica aquellas con una utilización escasa.
Se considera que las máquinas virtuales tienen un uso escaso si su uso de CPU es
del 5 % o menos y su uso de red es menor que el 2 %, o si la carga de trabajo
actual se puede incluir en un tamaño de máquina virtual más pequeño.
Si desea que sea más exigente en la identificación de las máquinas virtuales

infrautilizadas, puede ajustar la regla de uso de la CPU según la suscripción.
Pasos siguientes
Para más información acerca de las recomendaciones de Advisor, consulte:

Recomendaciones de rendimiento
Recomendaciones de costo
Recomendaciones para la excelencia operativa
Consultas de ejemplo de
Azure Resource Graph para Azure
Advisor
Artículo • 21/12/2023
Esta página es una colección de consultas de ejemplo de Azure Resource Graph para
Azure Advisor. Para obtener una lista completa de ejemplos de Azure Resource Graph,
vea Ejemplos de Resource Graph por categoría y Ejemplos de Resource Graph por tabla.
Consultas de ejemplo
Obtención de un resumen de ahorro de costos de Azure

Advisor
Esta consulta resume el ahorro de costos de cada recomendación de Azure Advisor.
Kusto
AdvisorResources
| where type == 'microsoft.advisor/recommendations'
| where properties.category == 'Cost'
| extend
resources = tostring(properties.resourceMetadata.resourceId),
savings = todouble(properties.extendedProperties.savingsAmount),
solution = tostring(properties.shortDescription.solution),
currency = tostring(properties.extendedProperties.savingsCurrency)
| summarize
dcount(resources),
bin(sum(savings), 0.01)
by solution, currency
| project solution, dcount_resources, sum_savings, currency
| order by sum_savings desc
CLI de Azure
Azure CLI
az graph query -q "AdvisorResources | where type ==

'microsoft.advisor/recommendations' | where properties.category ==
'Cost' | extend resources =
tostring(properties.resourceMetadata.resourceId), savings =
todouble(properties.extendedProperties.savingsAmount), solution =
tostring(properties.shortDescription.solution), currency =
tostring(properties.extendedProperties.savingsCurrency) | summarize
dcount(resources), bin(sum(savings), 0.01) by solution, currency |
project solution, dcount_resources, sum_savings, currency | order by
sum_savings desc"
Pasos siguientes
Obtenga más información sobre el lenguaje de consulta.
Obtenga más información sobre cómo explorar recursos.
Vea ejemplos de Consultas de lenguaje de inicio.
Vea ejemplos de Consultas de lenguaje avanzadas.
Reducción de los costos de servicio con
Azure Advisor
Artículo • 09/12/2023
Azure Advisor ayuda a optimizar y reducir el gasto global de Azure mediante la

identificación de recursos inactivos e infrautilizados. Puede obtener recomendaciones
sobre el costo en la pestaña Cost (Costo) del panel de Advisor.
3. En el panel Advisor, seleccione la pestaña Costo.
Optimización del gasto de máquinas virtuales

(VM) o del conjunto de escalado de máquinas
virtuales (VMSS) mediante el cambio de
tamaño o el apagado de instancias
infrautilizadas
Mientras que determinados escenarios de aplicaciones pueden dar lugar a un uso
escaso debido al diseño, a menudo puede ahorrar dinero administrando el tamaño y
número de máquinas virtuales o de conjuntos de escalado de máquinas virtuales.
Advisor usa algoritmos de aprendizaje automático para identificar un uso bajo y

determinar la recomendación ideal para garantizar un uso óptimo de las máquinas
virtuales y de los conjuntos de escalado de máquinas virtuales. Las acciones
recomendadas son apagar o cambiar de tamaño, en función de cada recurso que se
vaya a evaluar.
Recomendaciones de apagado
Advisor identifica los recursos que no se usaron en todos los últimos siete días y hace
una recomendación para apagarlos.
Los criterios de recomendación incluyen métricas de uso de la CPU y de la red de

salida. La memoria no se considera porque hemos detectado que el uso de la CPU
y la red saliente son suficientes.
Se analizan los últimos siete días de datos de uso. Puede cambiar el período de
búsqueda en las configuraciones. Los períodos de retrospectiva disponibles son de
7, 14, 21, 30, 60 y 90 días. Después de cambiar el período de búsqueda, las
recomendaciones pueden tardar hasta 48 horas en actualizarse.
Las métricas se muestrean cada 30 segundos, se agregan a 1 minuto y luego se

agregan a 30 minutos (usamos el máximo de los valores promedio mientras se
agregan a 30 minutos). En los conjuntos de escalado de máquinas virtuales, las
métricas de las máquinas virtuales individuales se agregan mediante el promedio
de las métricas entre instancias.
Se crea una recomendación de apagado si:

P95 del valor máximo de uso de CPU sumado en todos los núcleos es inferior al
3%
P100 de la media de la CPU en los últimos 3 días (suma de todos los núcleos)
<= 2 %.
El uso de la red saliente es inferior al 2 % durante un período de siete días
Recomendaciones de cambio de tamaño de SKU

Advisor recomienda cambiar el tamaño de las máquinas virtuales cuando sea posible
ajustar la carga actual en una SKU más adecuada, ya que es más económico (en función
de las tarifas comerciales). En los conjuntos de escalado de máquinas virtuales, Advisor
recomienda cambiar el tamaño cuando sea posible ajustar la carga actual en una SKU
más adecuada u obtener un número menor de instancias de la misma SKU.
Los criterios de recomendación incluyen el Uso de CPU, de Memoria y de Red de

salida.
Se analizan los últimos 7 días de datos de uso. Ten en cuenta que puedes cambiar
el período de búsqueda en las configuraciones. Los períodos de retrospectiva
disponibles son de 7, 14, 21, 30, 60 y 90 días. Después de cambiar el período de
búsqueda, tenga en cuenta que las recomendaciones pueden tardar hasta 48
horas en actualizarse.

agregan a 30 minutos (se usa el máximo de los valores promedio mientras se
agregan a 30 minutos). En los conjuntos de escalado de máquinas virtuales, las
métricas de las máquinas virtuales individuales se agregan teniendo en cuenta el
promedio de las métricas para las recomendaciones de recuento de instancias, y se
agregan mediante el máximo de las métricas para las recomendaciones de cambio
de SKU.
Una SKU adecuada (para máquinas virtuales) o un recuento de instancias (para los
recursos del conjunto de escalado de máquinas virtuales) se determina en función
de los criterios siguientes:
El rendimiento de las cargas de trabajo en la nueva SKU no se verá afectado.
Destino de cargas de trabajo orientadas al usuario:
P95 de la utilización de la CPU y la red de salida en 40 % o menos en la
SKU recomendada
P100 de uso de memoria en 60 % o menos en la SKU recomendada
Destino de cargas de trabajo no orientadas al usuario:
P95 de la utilización de la CPU y la red de salida en 80 % o menos en la
nueva SKU
P100 de uso de memoria en 80 % o menos en la SKU recomendada
Si fuera necesario, la nueva SKU tiene las mismas funcionalidades de redes
aceleradas y Premium Storage.
La nueva SKU, si corresponde, se admite en la región actual de la máquina
virtual con la recomendación.
La nueva SKU es menos costosa, si corresponde.
Las recomendaciones de recuento de instancias también tienen en cuenta si
Service Fabric o AKS administran el conjunto de escalado de máquinas virtuales.
En el caso de los recursos administrados de Service Fabric, las recomendaciones
tienen en cuenta los niveles de confiabilidad y durabilidad.
Advisor determina si una carga de trabajo está orientada al usuario mediante el

análisis de sus características de uso de la CPU. Este enfoque se basa en las
conclusiones de Microsoft Research. Puede encontrar más detalles aquí: Uso de
una suscripción por encima de lo necesario basado en la predicción en plataformas
en la nube - Microsoft Research .
Según la mejor opción disponible y los costos más baratos sin impacto en el
rendimiento, Advisor no solo recomienda SKU más pequeñas de la misma familia
(por ejemplo, D3v2 a D2v2), sino también SKU en una versión más reciente (por
ejemplo, D3v2 a D2v3) o una familia diferente (por ejemplo, D3v2 a E3v2).
En el caso de los recursos del conjunto de escalado de máquinas virtuales, Advisor

da prioridad a las recomendaciones de recuento de instancias sobre las
recomendaciones de cambio de SKU, ya que los cambios de recuento de instancias
son fácilmente accionables y se puede ahorrar mucho más rápido.
Recomendaciones ampliables
Evaluamos si las cargas de trabajo son aptas para ejecutarse en SKU especializadas
denominadas SKU ampliables que admiten requisitos de rendimiento de cargas de
trabajo variables y son menos costosas que las SKU de uso general. Obtenga más
información sobre las SKU ampliables aquí: Tamaños de las máquinas virtuales
ampliables serie B: Azure Virtual Machines.
Se realiza una recomendación de SKU ampliable si:
El uso medio de la CPU es inferior al rendimiento de línea de base de las SKU

ampliables.
Si la P95 de la CPU es inferior a dos veces el rendimiento de línea de base de las
SKU ampliables.
Si la SKU actual no tiene habilitadas las redes aceleradas (las SKU ampliables no
admiten aún las redes aceleradas).
Si se determina que los créditos de SKU ampliables son suficientes para admitir
el uso medio de la CPU durante 7 días. Ten en cuenta que puedes cambiar el
período de búsqueda en las configuraciones.
La recomendación resultante sugiere que un usuario debe cambiar el tamaño de su

máquina virtual actual o conjunto de escalado de máquinas virtuales a una SKU
ampliable con el mismo número de núcleos. Esta sugerencia se realiza para que un
usuario pueda aprovechar el costo más bajo y tener en cuenta que la carga de trabajo
tendrá un uso medio bajo, pero con picos altos en ciertos casos; así pues, la SKU de la
serie B puede serle de más ayuda.
Advisor muestra el ahorro de costos estimado para cada acción recomendada: apagado
o cambio de tamaño. Para cambiar el tamaño, Advisor proporciona información de la
SKU y del recuento de instancias actual y de destino. Para ser más selectivo sobre la
acción en máquinas virtuales infrautilizadas o conjuntos de escalado de máquinas
virtuales, puede ajustar la regla de uso de CPU por suscripción.
En algunos casos no se pueden adoptar recomendaciones o no ser aplicables, como

algunos de estos escenarios comunes (puede haber otros casos):
Se ha aprovisionado una máquina virtual o un conjunto de escalado de máquinas

virtuales para dar cabida al próximo tráfico.
La máquina virtual o el conjunto de escalado de máquinas virtuales usan otros

recursos no considerados por el algoritmo de cambio de tamaño, como métricas
distintas de CPU, memoria y red
Pruebas específicas que se realizan en la SKU actual, aunque no se utilice de forma

eficaz.
Necesidad de mantener la homogeneidad de las SKU de máquina virtual o del

conjunto de escalado de máquinas virtuales
Máquina virtual o conjunto de escalado de máquinas virtuales que se usan con
fines de recuperación ante desastres
En tales casos, simplemente use las opciones Descartar o Posponer asociadas a la

recomendación.
Limitaciones
El ahorro asociado a las recomendaciones se basa en las tarifas minoristas y no
tiene en cuenta los descuentos temporales o a largo plazo que puedan aplicarse a
su cuenta. Como resultado, los ahorros enumerados pueden ser superiores a los
posibles.
Las recomendaciones no tienen en cuenta la presencia de compras de planes de

ahorro o instancias reservadas (RI). Como resultado, los ahorros enumerados
pueden ser superiores a los posibles. En algunos casos, por ejemplo, en el caso de
las recomendaciones entre series, en función de los tipos de SKU para los que se
han adquirido instancias reservadas, los costos pueden aumentar cuando se siguen
las recomendaciones de optimización. Le aconsejamos que tenga en cuenta las
compras de su plan de RI/ahorro cuando actúe según las recomendaciones del
tamaño adecuado.
Trabajamos constantemente para mejorar estas recomendaciones. No dude en

compartir sus comentarios en el foro de Advisor .
Configuración de recomendaciones de
VM/VMSS
Puede ajustar las recomendaciones de Máquinas virtuales (VM) y Virtual Machine Scale
Sets. En concreto, puede configurar un filtro para cada suscripción para mostrar solo
recomendaciones para las máquinas con cierto uso de CPU. Esta configuración filtrará
las recomendaciones, pero no cambiará cómo se generan.
７ Nota
Si no tiene los permisos necesarios, la opción está deshabilitada en la interfaz de

usuario. Para más información sobre los permisos, consulte Permisos en Azure
Advisor.
Para ajustar las reglas de ajuste de tamaño correctos de Vm/Virtual Machine Scale Sets
de Advisor, siga estos pasos:
1. En cualquier página de Azure Advisor, haga clic en Configuración en el panel de
navegación izquierdo. La página Configuración de Advisor se abre con la pestaña
Recursos seleccionada, de forma predeterminada.
2. Seleccione la pestaña de ajuste de tamaño de VM/Virtual Machine Scale Sets.
3. Seleccione las suscripciones que desea configurar un filtro para el uso medio de
CPU y, a continuación, haga clic en Editar.
4. Seleccione el valor de uso promedio de CPU y luego, haga clic en Aplicar. La nueva
configuración puede tardar hasta 24 horas en reflejarse en las recomendaciones.
Pasos siguientes
Recomendaciones de costo de Advisor (lista completa)

Comprensión y optimización los costos
de Azure con el libro Optimización de
costos
Artículo • 03/08/2023
El libro Optimización de costos de Azure está diseñado para proporcionar información

general y ayudarle a optimizar los costos de su entorno de Azure. Ofrece un conjunto de
información y recomendaciones relevantes para los costos alineadas con el pilar de
optimización de costos de WAF.
Información general
El libro Optimización de costos de Azure sirve como un centro centralizado para algunas
de las herramientas más usadas que pueden ayudarle a impulsar los objetivos de uso y
eficiencia. Ofrece una serie de recomendaciones, incluidas las recomendaciones de
costos de Azure Advisor, la identificación de los recursos inactivos y la administración de
Virtual Machines desasignados incorrectamente. Además, proporciona información
sobre el uso de las opciones de ventaja híbrida de Azure para bases de datos Windows,
Linux y SQL. La plantilla de libro está disponible en la galería de Azure Advisor.
Puedes empezar de este modo:
1. Vaya a la Galería de libros en Azure Advisor

2. Abra la plantilla de libro Optimización de costos (versión preliminar).
El libro se organiza en diferentes pestañas, cada una de las cuales se centra en un área
específica para ayudarle a reducir el costo de su entorno de Azure.
Compute
Ventaja híbrida de Azure
Storage
Redes
Cada pestaña admite las siguientes funcionalidades:
Filtros: Use los filtros de suscripción, grupo de recursos y etiquetas para centrarse
en una carga de trabajo específica.
Exportar: Exporte las recomendaciones para compartir la información y colaborar
con su equipo de manera más efectiva.
Corrección rápida: Aplique la optimización recomendada directamente desde la
página del libro, lo que agiliza el proceso de optimización.
７ Nota
El libro sirve como guía y no garantiza la reducción de costos.
Compute
Recomendaciones de Advisor
Esta consulta se centra en revisar las recomendaciones de Advisor relacionadas con el
proceso. Algunas de las recomendaciones disponibles en esta consulta podrían ser
Optimizar el gasto en máquinas virtuales cambiando el tamaño o cerrando las instancias
infrautilizadas o Comprar instancias reservadas de máquinas virtuales para ahorrar
dinero en los costos de pago por uso.
Máquinas virtuales en estado detenido

Esta consulta identifica Virtual Machines que no están desasignados correctamente. Si el
estado de una máquina virtual es Detenido en lugar de Detenido (desasignado), aún se le
facturará por el recurso ya que todavía tiene asignado el hardware.
Web Apps
Esta consulta ayuda a identificar App de Azure Services con y sin escalado automático, y
App Services donde se puede detener la aplicación real.
Clústeres de Azure Kubernetes (AKS)

Esta consulta se centra en las oportunidades de optimización de costos específicas de
los clústeres de Azure Kubernetes (AKS). Proporciona recomendaciones como:
Habilitación del escalador automático de clústeres para ajustar automáticamente la

cantidad de nodos de agentes en respuesta a las limitaciones de recursos.
Consideración del uso de máquinas virtuales de acceso puntual de Azure para
cargas de trabajo que controlen las interrupciones, las finalizaciones anticipadas o
las expulsiones.
Uso del escalador automático de pods horizontales para ajustar la cantidad de
pods en una implementación en función de la utilización de la CPU u otras
métricas seleccionadas.
Uso de la característica Start/Stop en Azure Kubernetes Services (AKS) para
optimizar el costo durante las horas de poca actividad.
Uso de las SKU de máquina virtual adecuadas por grupo de nodos y considerar las
instancias reservadas donde se espera capacidad a largo plazo.
Ventaja híbrida de Azure

Máquinas virtuales Windows y VMSS que no usan ventaja híbrida
Ventaja híbrida de Azure representa una excelente oportunidad para ahorrar en Virtual
Machines costos del sistema operativo. Puede ver posibles ahorros con Ventaja híbrida
de Azure Calculadora. Compruebe este vínculo para obtener más información sobre la
Ventaja híbrida de Azure.
７ Nota
Si seleccionó suscripciones de Desarrollo/pruebas dentro del ámbito de este libro,

ya deben tener descuentos en las licencias de Windows para que las
recomendaciones aquí no se apliquen a estas suscripciones
Máquina virtual Linux que no usa ventaja híbrida

De forma similar a las máquinas virtuales Windows, Ventaja híbrida de Azure
proporciona una excelente oportunidad para ahorrar en los costos del sistema operativo
de máquina virtual. Ventaja híbrida de Azure para Linux es una ventaja de licencia que
reduce significativamente los costos de ejecutar máquinas virtuales (VM) Red Hat
Enterprise Linux (RHEL) y SUSE Linux Enterprise Server (SLES) en la nube.
Licencias de SQL HUB

Ventaja híbrida de Azure también se pueden aplicar a servicios SQL, como SQL Server en
máquinas virtuales, SQL Database o SQL Managed Instance.
Storage
Revise las recomendaciones de Advisor para Storage. En esta sección se proporcionan
conclusiones sobre varias recomendaciones, como "Capacidad reservada de Blob
Storage" o "Uso de la administración del ciclo de vida". Estas recomendaciones pueden
ayudar a optimizar los costos de almacenamiento y mejorar la eficiencia. No conectado
Managed Disks Esta consulta se centra en la lista de discos no conectados
administrados. Omite automáticamente los discos usados por Azure Site Recovery. Use
esta información para identificar y quitar los discos no conectados que ya no sean
necesarios.
７ Nota
Esta consulta tiene una columna Corrección rápida que le ayuda a quitar el disco si
no es necesario.
Instantáneas de disco anteriores a 30 días

Esta consulta identifica las instantáneas que tienen más de 30 días. Identificar y
administrar instantáneas obsoletas puede ayudarle a optimizar los costos de
almacenamiento y garantizar un uso eficaz del entorno de Azure.
Redes
Revise las recomendaciones de Advisor para redes. En esta sección se proporcionan
conclusiones sobre varias recomendaciones, como "Reducir los costos mediante la
eliminación o reconfiguración de puertas de enlace de red virtual inactivas" o "Reducir
los costos mediante la eliminación de circuitos ExpressRoute sin aprovisionar".
Application Gateway con un grupo de back-end vacío

Revise las instancias de Application Gateway con grupos de back-end vacíos. Las puertas
de enlace de aplicaciones se consideran inactivas si no hay ningún grupo de back-end
con destinos.
Load Balancer con un grupo de back-end vacío

Revise los equilibradores de carga con grupos de back-end vacíos. Los equilibradores de
carga se consideran inactivos si no hay grupos de back-end con destinos.
Direcciones IP públicas no adjuntas

Revise la lista de direcciones IP públicas inactivas. Esta consulta también muestra las
direcciones IP públicas asociadas a tarjetas de interfaz de red inactivas (NIC)
Puertas de enlace de Virtual Network inactivas

Revise las puertas de enlace de Virtual Network inactivas. En esta consulta se muestran
las puertas de enlace de VPN sin conexiones activas.
Para más información, consulte:
Principios de diseño de optimización de costos de buena arquitectura

Administración de los costos de la nube de Cloud Adoption Framework
Principios de Azure FinOps
Recomendaciones sobre el costo de Azure Advisor
Refuerzo de la seguridad de los recursos
con Azure Advisor
Artículo • 01/06/2023
Azure Advisor proporciona una vista coherente y consolidada de recomendaciones para

todos los recursos de Azure. Se integra con Microsoft Defender for Cloud para llevarle
recomendaciones de seguridad. Puede obtener recomendaciones sobre seguridad en la
pestaña Seguridad del panel de Advisor.
Defender for Cloud ayuda a evitar amenazas y a detectarlas y responder a ellas con más
visibilidad y control sobre la seguridad de sus recursos de Azure. Analiza
periódicamente el estado de seguridad de los recursos de Azure. Cuando Defender for
Cloud Apps identifica vulnerabilidades de seguridad potenciales, crea recomendaciones.
Las recomendaciones lo guían en el proceso de configuración de los controles
necesarios.
Para más información sobre cómo las recomendaciones de seguridad, consulte Revisión
de las recomendaciones de seguridad en Microsoft Defender for Cloud.
Obtención de acceso a las recomendaciones

sobre seguridad en Azure Advisor
1. Inicie sesión en Azure Portal y después abra Azure Advisor .
2. En el panel de Advisor, haga clic en la pestaña Seguridad.
Pasos siguientes
Recomendaciones sobre costo de Advisor
API REST de Advisor
Mejora de la confiabilidad de las
aplicaciones críticas para la empresa
mediante Azure Advisor
Artículo • 25/05/2023
Azure Advisor lo ayuda a evaluar y mejorar la confiabilidad de las aplicaciones críticas

para la empresa.

Puede obtener recomendaciones de confiabilidad en la pestaña Confiabilidad del panel
Advisor.
3. En el panel de Advisor, seleccione la pestaña Confiabilidad.
Libro Confiabilidad
Puede evaluar la confiabilidad de la situación de las aplicaciones, evaluar los riesgos y
planear mejoras mediante la nueva plantilla de libro Confiabilidad, que está disponible
en Azure Advisor.
3. Seleccione el elemento Libros en el menú izquierdo.
4. Abra la plantilla de libro Confiabilidad.


Puede encontrar las consideraciones de fiabilidad para cada servicio de Azure en la lista
de comprobación de resistencia de los servicios de Azure.
７ Nota
El libro se usará solo como guía y no representa una garantía del nivel de servicio.
Navegación por el libro

El libro ofrece un conjunto de filtros que puede usar para definir el ámbito de las
recomendaciones a una aplicación específica.
Subscription
Grupo de recursos
Entorno
Etiquetas
El libro usa etiquetas con los nombres Environment, environment, Env, env y palabras
clave habituales (prod, dev, qa, uat, sit, test) como parte del nombre de los recursos para
mostrar el entorno de uno específico. Si no se detectan etiquetas o convenciones de
nomenclatura, el filtro de entorno se muestra como "sin definir". El valor "sin definir"
solo se muestra en el libro y no se usa en ningún otro lugar.
Use los controles de Acuerdo de Nivel de Servicio y Ayuda para mostrar información
adicional:
Mostrar Acuerdo de Nivel de Servicio: muestra el Acuerdo de Nivel de Servicio.

Mostrar ayuda: muestra los procedimientos recomendados de configuración para
aumentar la fiabilidad de la implementación de recursos.
El libro ofrece procedimientos recomendados para los servicios de Azure, entre los que
se incluyen:
Proceso: Virtual Machines, Virtual Machine Scale Sets

Contenedores: Azure Kubernetes Service
Bases de datos: SQL Database, Synapse SQL Pool, Cosmos DB, Azure Database for
MySQL, Azure Cache for Redis
Integración: Azure API Management
Redes: Azure Firewall, Azure Front Door & CDN, Application Gateway, Load
Balancer, IP pública, VPN & Express Route Gateway
Almacenamiento: cuenta de Azure Storage
Web: plan de App Service, App Service, Function App
Azure Site Recovery
Alertas de servicio
Para compartir los resultados con el equipo, puede exportar datos sobre cada uno de
los servicios o compartir el vínculo del libro. Para personalizar el libro, guarde la plantilla
en su suscripción y haga clic en el botón Editar del menú superior.
７ Nota
Para evaluar la carga de trabajo con los principios que se encuentran en el marco
de buena arquitectura de Microsoft Azure, consulte la reseña del marco de buena
arquitectura de Microsoft Azure.
Pasos siguientes

Preparación de la migración de las
cargas de trabajo afectadas por la
retirada del servicio
Artículo • 27/05/2023
Azure Advisor lo ayuda a evaluar y mejorar la continuidad de las aplicaciones

empresariales críticas. Es importante tener en cuenta los próximos servicios de Azure y
retiradas de características para comprender su impacto en las cargas de trabajo y
planear la migración.
Libro de retirada del servicio

El libro Retirada del servicio proporciona una única vista de nivel de recurso centralizado
de retiradas del servicio. Le ayuda a evaluar el impacto, evaluar las opciones y planear la
migración de la retirada de servicios y características. La plantilla de libro está disponible
en la galería de Azure Advisor. Aquí tiene información sobre cómo empezar:
1. Vaya a la Galería de libros en Azure Advisor

2. Abra la plantilla de libro Retirada del servicio (versión preliminar).
3. Seleccione un servicio de la lista para mostrar una vista detallada de los recursos
afectados.
El libro muestra una lista y una vista de mapa de las retiradas del servicio que afectan a
los recursos. Para cada uno de los servicios, hay una fecha de retirada planeada, el
número de recursos afectados y las instrucciones de migración, incluido el servicio
alternativo recomendado.
Use filtros de suscripción, grupo de recursos y ubicación para centrarse en una

carga de trabajo específica.
Use la ordenación para buscar servicios, que se retiran pronto y tienen el mayor
impacto en las cargas de trabajo.
Comparta el informe con su equipo para ayudarles a planear la migración
mediante la función de exportación.

７ Nota
El libro contiene información sobre un subconjunto de servicios y características

que se encuentran en el ciclo de vida de retirada. Aunque seguimos agregando
más servicios a este libro, puede ver el estado del ciclo de vida de todos los
servicios de Azure visitando Actualizaciones de Azure .
Para más información, consulte:
Azure Service Health

Actualizaciones de Azure
Mejora del rendimiento de máquinas
virtuales de uso alto mediante Azure
Advisor
Artículo • 01/06/2023
Azure Advisor ayuda a mejorar la velocidad y la capacidad de respuesta de las

aplicaciones empresariales críticas. Puede obtener las recomendaciones sobre
rendimiento en la pestaña Rendimiento del panel de Advisor.
3. En el panel de Advisor, seleccione la pestaña Rendimiento.
Optimización del rendimiento de la máquina

virtual (VM) mediante el ajuste de tamaño
correcto de instancias altamente usadas
Puede mejorar la calidad de la carga de trabajo y evitar muchos problemas relacionados
con el rendimiento (es decir, limitación, latencia alta) mediante la evaluación periódica
de la eficiencia del rendimiento. La eficiencia del rendimiento se define mediante Azure
Well-Architected Framework como la capacidad de la carga de trabajo para adaptarse a
los cambios en la carga. La eficiencia del rendimiento es uno de los cinco pilares de
excelencia arquitectónica en Azure.
A menos que sea por diseño, se recomienda mantener el uso de la aplicación muy por
debajo de los límites de tamaño de la máquina virtual, por lo que puede funcionar
mejor y adaptarse fácilmente a los cambios.
Advisor agrega varias métricas durante un mínimo de 7 días, identifica las máquinas
virtuales con un uso elevado coherente en esas métricas y busca mejores tamaños (SKU)
para mejorar el rendimiento. Por último, Advisor examina las señales de capacidad en
Azure para actualizar con frecuencia las SKU recomendadas, lo que garantiza que están
disponibles para la implementación en la región.
Recomendaciones de cambio de tamaño de SKU

Advisor recomienda cambiar el tamaño de las máquinas virtuales cuando el uso es
constantemente alto (por encima de los umbrales predefinidos) según los límites de
tamaño de la máquina virtual en ejecución.
El algoritmo de recomendación evalúa las métricas de uso de CPU, memoria, IOPS

almacenadas en caché de máquina virtual y porcentaje de uso de porcentaje de
consumo de ancho de banda no almacenado en caché de la máquina virtual
El período de observación es los últimos 7 días del día de la recomendación
agregan a 30 minutos (se usa los valores promedio de un minuto promedio
mientras se agregan a 30 minutos)
Se decide una actualización de SKU para máquinas virtuales según los siguientes
criterios:
Para cada métrica, creamos una nueva característica a partir del P50 (mediana)
de sus promedios de 30 minutos agregados durante el período de observación.
Por lo tanto, una máquina virtual se identifica como candidata para un cambio
de tamaño si:
Ambos CPU y Memory las características son >= el 90 % de los límites de la
SKU actual
De lo contrario, cualquiera de los dos
La VM Cached IOPS característica es >= al 95 % de los límites de la SKU
actual y el número máximo de IOPS de disco local de la SKU actual es >=
para su IOPS de disco de red. or
la VM Uncached Bandwidth característica es >= el 95 % de los límites de la
SKU actual y los límites máximos de disco de red de la SKU actual son >=
para sus unidades de limitación de disco local.
Nos aseguramos de lo siguiente:
El uso actual de la carga de trabajo será mejor en la nueva SKU, dado que tiene
límites más altos y mejores garantías de rendimiento.
La nueva SKU tiene las mismas funcionalidades de redes aceleradas y Premium
Storage.
La nueva SKU se admite y está lista para la implementación en la misma región
que la máquina virtual en ejecución.
En algunos casos, las recomendaciones no se pueden adoptar o pueden no ser

aplicables, como sucede en algunos de estos escenarios comunes (puede haber otros
casos):
La máquina virtual es de corta duración

La máquina virtual actual ya se ha aprovisionado para dar cabida al próximo tráfico
Pruebas específicas que se realizan usando la SKU actual, aunque no se utilice de
forma eficaz
Es necesario mantener la máquina virtual tal cual
En tales casos, simplemente use las opciones Descartar o Posponer asociadas a la

recomendación.
Trabajamos constantemente para mejorar estas recomendaciones. No dude en

compartir sus comentarios en el foro de Advisor .
Pasos siguientes
Para aprender más sobre las recomendaciones y procedimientos recomendados de
Advisor, consulte:
Recomendaciones de costo de Advisor (lista completa)
Marco de buena arquitectura de Microsoft Azure
Revisión de las oportunidades de
optimización por carga de trabajo,
entorno o equipo
Artículo • 01/06/2023
Ahora puede obtener recomendaciones y puntuaciones de Advisor en el ámbito de una

carga de trabajo, un entorno o un equipo mediante filtros de etiquetas de recursos.
Filtre las recomendaciones y calcule las puntuaciones mediante etiquetas que ya ha
asignado a recursos, grupos de recursos y suscripciones de Azure. Use filtros de
etiquetas para:
Identificar oportunidades de ahorro de costos por equipo

Comparar las puntuaciones de las cargas de trabajo para optimizar primero las
críticas
 Sugerencia
Para más información sobre cómo usar etiquetas de recursos para organizar y
controlar los recursos de Azure, consulte la guía de Cloud Adoption Framework y
Creación de una estrategia de gobernanza en la nube en Azure.
Filtrado de recomendaciones mediante

etiquetas
3. En el panel de Advisor, haga clic en el botón Agregar filtro.
4. Seleccione la etiqueta en el campo Filtro y los valores.
5. Haga clic en Aplicar. Los iconos de resumen se actualizarán para reflejar el filtro.
6. Haga clic en cualquiera de las categorías para revisar las recomendaciones.


Cálculo de puntuaciones mediante etiquetas de

recursos
3. Seleccione Puntuación de Advisor (versión preliminar) en el menú de navegación

de la izquierda.
4. Haga clic en el botón Agregar filtro.
5. Seleccione la etiqueta en el campo Filtro y los valores.
6. Haga clic en Aplicar. La puntuación de Advisor se actualizará para incluir solo los
recursos afectados por el filtro.
7. Haga clic en cualquiera de las categorías para revisar las recomendaciones.


７ Nota
No están disponibles todas las funcionalidades cuando se usan filtros de etiquetas.

Por ejemplo, no se admiten los filtros de etiquetas para la puntuación de seguridad
y el historial de puntuación.
Pasos siguientes
Para más información sobre el etiquetado, consulte:
Definición de la estrategia de etiquetado: Cloud Adoption Framework

Uso de etiquetas para organizar los recursos de Azure y la jerarquía de
administración: Azure Resource Manager
Visualización de recomendaciones de
Azure Advisor interesantes para usted
Artículo • 03/01/2024
Azure Advisor proporciona recomendaciones para ayudarle a optimizar sus

implementaciones de Azure. En Advisor, dispondrá de acceso a algunas características
que le ayudarán a reducir las recomendaciones a solo aquellas interesantes para usted.
Configuración de suscripciones y grupos de

recursos
Advisor le permite seleccionar las suscripciones y grupos de recursos interesantes para
usted y su organización. Solo verá las recomendaciones para las suscripciones y grupos
de recursos que seleccione. De forma predeterminada, se seleccionan todas. Los valores
de configuración se aplican a la suscripción o al grupo de recursos, por lo que se aplica
la misma configuración a todas las personas que dispongan de acceso a esa suscripción
o grupo de recursos. Los valores de configuración se pueden cambiar en Azure Portal o
mediante programación.
Para realizar cambios en Azure Portal, realice el siguiente procedimiento:
1. Abra Azure Advisor en Azure Portal.
2. Seleccione Configuración del menú.

3. Active la casilla en la columna Incluir para que las suscripciones o grupos de
recursos reciban recomendaciones de Advisor. Si la casilla está atenuada, puede
que no disponga de permiso para realizar un cambio de configuración en esa
suscripción o grupo de recursos. Más información sobre permisos en Azure
Advisor.
4. Haga clic en Aplicar en la parte inferior después de realizar un cambio.
Filtrado de la vista en Azure Portal

Los valores de configuración siguen estando activos hasta que se cambian. Si desea
limitar la vista de recomendaciones para una única visualización, puede usar los menús
desplegables proporcionados en la parte superior del panel de Advisor. Puede filtrar las
recomendaciones por suscripción, grupo de recursos, carga de trabajo, tipo de recurso,
estado de recomendación e impacto. Estos filtros están disponibles para las páginas
Información general, Puntuación, Costo, Seguridad, Confiabilidad, Excelencia operativa,
Rendimiento y Todos los Recomendaciones.
７ Nota
Póngase en contacto con el equipo de la cuenta para agregar nuevas cargas de

trabajo al filtro de carga de trabajo o editar nombres de carga de trabajo.
Descartar y posponer recomendaciones

Azure Advisor le permite descartar o posponer recomendaciones en un único recurso. Si
descarta una recomendación, no la volverá a ver a no ser que la active manualmente. Sin
embargo, posponer una recomendación le permite especificar un plazo, que una vez
transcurrido, active automáticamente de nuevo la recomendación. Esta acción se puede
realizar en Azure Portal o mediante programación.
Posponer una recomendación única en Azure Portal

2. Seleccione una categoría de recomendaciones para ver sus recomendaciones.
3. Seleccione una recomendación de la lista de recomendaciones.
4. Seleccione Posponer o Descartar para la recomendación que desee posponer o

descartar.
Posponer o descartar varias recomendaciones en Azure
Portal
2. Seleccione una categoría de recomendaciones para ver sus recomendaciones.
3. Seleccione una recomendación de la lista de recomendaciones.
4. Active la casilla en la parte izquierda de la fila para todos los recursos para los que
desee posponer o descartar la recomendación.
5. Seleccione Posponer o Descartar en la parte superior izquierda de la tabla.
７ Nota
Necesita el permiso de un colaborador o propietario para descartar o posponer
una recomendación. Más información sobre permisos en Azure Advisor.
７ Nota
Aunque el cuadro de selección esté desactivado, las recomendaciones pueden

seguir cargándose. Espere a que se carguen todas las recomendaciones antes de
intentar realizar las acciones de posponer o descartar.
Reactivación de una recomendación pospuesta o

descartada
Puede activar una recomendación pospuesta o descartada. Esta acción se puede realizar
en Azure Portal o mediante programación. En Azure Portal:
2. Cambie el filtro del panel Información general a Pospuestas. Advisor le mostrará a

continuación las recomendaciones pospuestas o descartadas.
3. Seleccione una categoría para ver recomendaciones Pospuestas y Descartadas.
4. Seleccione una recomendación de la lista de recomendaciones. Si realiza ese

procedimiento, se abrirán las recomendaciones con la pestaña Pospuestas y
Descartadas ya seleccionada a fin de mostrar los recursos para los que se ha
pospuesto o descartado esa recomendación.
5. Haga clic en Activar al final de la fila. Una vez que haya hecho clic, la
recomendación estará activa para ese recurso y, por lo tanto, se eliminará de la
tabla. La recomendación aparecerá ahora en la pestaña Activo.
Pasos siguientes
En este artículo se explica cómo puede ver recomendaciones interesantes para usted en
Azure Advisor. Para más información sobre Advisor, consulte:
¿Qué es Azure Advisor?

Permisos en Azure Advisor
Permisos en Azure Advisor
Artículo • 01/01/2024
Azure Advisor proporciona recomendaciones basadas en el uso y la configuración de los

recursos y las suscripciones de Azure. Advisor usa los roles integrados que se
proporcionan en el control de acceso basado en rol (RBAC de Azure) para administrar el
acceso a recomendaciones y características de Advisor.
Roles y su acceso
En la siguiente tabla se definen los roles y el acceso que tienen dentro de Advisor:
ﾉ Expandir tabla
Rol Ver Editar Editar Editar Descartar y

recomendaciones reglas configuración configuración posponer
de la del grupo de recomendaciones
suscripción recursos
Propietario X X X X X
de la
suscripción
Colaborador X X X X X
de la
suscripción
Lector de la X -- -- -- --
suscripción
Propietario X -- -- X X
del grupo de
recursos
Colaborador X -- -- X X
del grupo de
recursos
Lector del X -- -- -- --
grupo de
recursos
Propietario X -- -- -- X
del recurso
Colaborador X -- -- -- X
Rol Ver Editar Editar Editar Descartar y
recomendaciones reglas configuración configuración posponer
de la del grupo de recomendaciones
suscripción recursos
del recurso
Lector del X -- -- -- --
recurso
７ Nota
El acceso para ver recomendaciones depende del acceso al recurso afectado de la

recomendación.
Permisos y acciones no disponibles

La falta de los permisos adecuados puede bloquear su capacidad para realizar acciones
en Advisor. Estos son algunos problemas comunes.
No es posible configurar suscripciones o grupos de

recursos
Al intentar configurar suscripciones o grupos de recursos en Advisor, puede ver que la
opción para incluir o excluir está deshabilitada. Este estado indica que no tiene un nivel
de permisos suficiente para ese grupo de recursos o suscripción. Para resolver este
problema, aprenda a conceder acceso a un usuario.
No se puede posponer o descartar una recomendación

Si recibe un error al intentar posponer o descartar una recomendación, es posible que
no tenga permisos suficientes. Descartar una recomendación significa que no se puede
volver a ver a menos que se vuelva a activar manualmente, por lo que podría pasar por
alto consejos importantes para optimizar las implementaciones de Azure. Por lo tanto,
es fundamental que solo los usuarios con permisos suficientes puedan descartar las
recomendaciones. Asegúrese de que tiene al menos acceso de colaborador al recurso
afectado de la recomendación que está posponiendo o descartando. Para resolver este
problema, aprenda a conceder acceso a un usuario.
Pasos siguientes
En este artículo se le ha proporcionado información general sobre cómo Advisor usa
Azure RBAC para controlar los permisos de usuario y cómo resolver problemas
comunes. Para más información sobre Advisor, consulte:
¿Qué es Azure Advisor?

Creación de alertas de Azure Advisor
para nuevas recomendaciones mediante
Azure Portal
Artículo • 01/06/2023
desde Azure Advisor mediante Azure Portal.

propiedades:
Category
Nivel de impacto
si:

７ Nota
Crear regla de alertas

3. Seleccione Nueva alerta de Advisor.

4. En la sección Ámbito, seleccione la suscripción y, opcionalmente, el grupo de
recursos en el que desea recibir alertas.
5. En sección Condición, seleccione el método que desea usar para configurar la

alerta. Si desea alertar sobre todas las recomendaciones para una categoría
determinada o un nivel de impacto, seleccione Categoría y nivel de impacto. Si
desea alertar sobre todas las recomendaciones de un tipo determinado, seleccione
Tipo de recomendación.
6. En función de la opción Configurar por que seleccione, podrá especificar los

criterios. Si desea todas las recomendaciones, deje en blanco los campos restantes.
7. En la sección grupos de acciones, seleccione Agregar existente para usar un

grupo de acciones que ya haya creado o seleccione Crear nuevo para configurar
un nuevo grupo de acciones.
8. En la sección Detalles de alerta, asigne un nombre y una descripción breve a la

alerta. Si desea que la alerta esté habilitada, deje Habilitar regla tras la creación
establecida en Sí. A continuación, seleccione el grupo de recursos en el que se
guardará la alerta. Esto no afectará al ámbito de destino de la recomendación.
Configuración de alertas de recomendación

para usar un webhook
En este artículo se muestra cómo configurar las alertas de Azure Advisor para que
envíen datos de recomendación mediante webhooks a un sistema de notificación
existente.
Puede configurar alertas para recibir notificaciones cuando tenga una nueva
recomendación de Advisor en uno de sus recursos. Estas alertas pueden avisarle por
correo electrónico o mensaje de texto, pero también pueden usarse para integrarse con
los sistemas existentes a través de un webhook.
Uso de la carga de alerta de recomendación de Advisor
Si desea integrar las alertas de Advisor en sus propios sistemas mediante un webhook,
deberá analizar la carga de JSON que se envía desde la notificación.
Al configurar el grupo de acciones para esta alerta, seleccione si desea usar el esquema
de alerta común. Si selecciona el esquema de alerta común, la carga tendrá el siguiente
aspecto:
JSON
{
"schemaId":"azureMonitorCommonAlertSchema",
"data":{
"essentials":{
"alertId":"/subscriptions/<subid>/providers/Microsoft.AlertsManagement/alert
s/<alerted>",
"alertRule":"Webhhook-test",
"severity":"Sev4",
"signalType":"Activity Log",
"monitorCondition":"Fired",
"monitoringService":"Activity Log - Recommendation",
"alertTargetIDs":[
"/subscriptions/<subid>/resourcegroups/<resource group
name>/providers/microsoft.dbformariadb/servers/<resource name>"
],
"originAlertId":"001d8b40-5d41-4310-afd7-d65c9d4428ed",
"firedDateTime":"2019-07-17T23:00:57.3858656Z",
"essentialsVersion":"1.0",
"alertContextVersion":"1.0"
},
"alertContext":{
"claims":"
"correlationId":"8554b847-2a72-48ef-9776-600aca3c3aab",
"eventDataId":"001d8b40-5d41-4310-afd7-d65c9d4428ed",
"properties":{
888e3-8cf4-4491-b2ba-b120e14eb7ce/resourceId/%2Fsubscriptions%<subscription
id>%2FresourceGroups%2<resource group
},
"status":"Active",
"subStatus":"",
"submissionTimestamp":"2019-07-17T22:28:54.1566942+00:00"
}
}
}
Si no usa el esquema común, la carga es similar a la siguiente:
JSON
{
"schemaId":"Microsoft.Insights/activityLogs",
"data":{
"status":"Activated",
"context":{
"activityLog":{
"claims":"
"correlationId":"3ea7320f-c002-4062-adb8-96d3bd92a5f4",
"eventDataId":"a12b8e59-0b1d-4003-bfdc-3d8152922e59",
"properties":{
888e3-8cf4-4491-b2ba-
b120e14eb7ce/resourceId/%2Fsubscriptions%2F<subscription
id>%2FresourceGroups%2F<resource group
},
"resourceId":"/subscriptions/<subscription
id>/resourcegroups/<resource group
name>/providers/microsoft.dbformariadb/servers/<resource name>",
"resourceGroupName":"<resource group name>",
"resourceProviderName":"MICROSOFT.DBFORMARIADB",
"status":"Active",
"subStatus":"",
"subscriptionId":"<subscription id>",
"submissionTimestamp":"2019-07-17T20:36:39.3966926+00:00",
"resourceType":"MICROSOFT.DBFORMARIADB/SERVERS"
}
},
"properties":{
}
}
}
Para identificar los eventos de recomendación de Advisor en cualquiera de los

esquemas, busque si eventSource es Recommendation y OperationName es
Microsoft.Advisor/recommendations/available/action .
Algunos de los otros campos importantes que puede querer usar son:
alertTargetIDs (en el esquema común) o resourceId (esquema heredado)

recommendationType
recommendationName
recommendationCategory
recommendationImpact
recommendationResourceLink
Administración de alertas
Desde Azure Advisor, puede editar, eliminar o deshabilitar y habilitar las alertas de
recomendaciones.

3. Para editar una alerta, haga clic en el nombre para abrirla y edite los campos que
desee.
4. Para eliminar, habilitar o deshabilitar una alerta, haga clic en los puntos
suspensivos al final de la fila y seleccione la acción que desea realizar.
Pasos siguientes
Configuración del resumen periódico de
recomendaciones
Artículo • 01/06/2023
Los resúmenes de recomendaciones de Advisor ofrecen una manera fácil y proactiva de

mantenerse al día con las recomendaciones activas en distintas categorías. La
característica permite configurar notificaciones periódicas para el resumen de todas las
recomendaciones activas en distintas categorías. Puede elegir el canal que quiera para
las notificaciones, (como el correo electrónico, SMS u otros) mediante grupos de
acciones. En este artículo se muestra cómo configurar un resumen para las
recomendaciones de Advisor.
Configuración del resumen de

recomendaciones
La experiencia de creación del resumen de recomendaciones ayuda a configurar el
resumen. Puede seleccionar los siguientes parámetros para las configuraciones:
1. Categoría: tenemos categorías de recomendaciones tales como costo, alta

disponibilidad, rendimiento y excelencia operativa. La funcionalidad todavía no
está disponible para las recomendaciones de seguridad.
2. Frecuencia de resúmenes: la frecuencia de las notificaciones de resumen puede ser
semanal, quincenal y mensual.
3. Grupo de acciones: puede seleccionar un grupo de acciones existente o crear uno
nuevo. Para más información sobre los grupos de acciones, consulte el artículo
Creación y administración de grupos de acciones.
4. Idioma del resumen
5. Nombre del resumen de recomendaciones: puede usar una cadena descriptiva
para supervisar y realizar un seguimiento de los resúmenes con mayor facilidad.
Pasos para crear el resumen de

recomendaciones en Azure Portal
Estos son los pasos para crear un resumen de recomendaciones:
Paso 1: en Azure Portal, vaya a Advisor y en la sección Supervisión, seleccione

Recommendation digest (Resumen de recomendaciones).
Paso 2: seleccione New recommendation digest (Nuevo resumen de
recomendaciones) en la barra superior como se indica a continuación:
Paso 3: en la sección del ámbito, seleccione la suscripción para el resumen.

Paso 4: en la sección condición, seleccione las opciones de configuración como
categoría, frecuencia e idioma.
Paso 5: en la sección grupo de acciones, seleccione el grupo de acciones del

resumen. Puede obtener más información aquí: Creación y administración de
grupos de acciones
Paso 6: en esta última sección de los detalles de resumen, puede asignar un

nombre y un estado al resumen de recomendación. Presione Create
recommendation digest (Crear resumen de recomendaciones) para completar la
configuración.
Pasos siguientes

API REST de Advisor
Corrección rápida para Advisor
Artículo • 01/06/2023
Corrección rápida es una forma más rápida y sencilla de corregir las recomendaciones
en varios recursos. Proporciona funcionalidades para realizar correcciones masivas de
recursos y ayuda a optimizar las suscripciones más rápido gracias a la corrección a
escala para los recursos. La característica solo está disponible para determinadas
recomendaciones a través de Azure Portal.
Pasos para usar Corrección rápida

1. En la lista de recomendaciones que tienen la etiqueta Corrección rápida, haga clic
en la recomendación.
Los precios de la imagen son solo para los fines de este ejemplo
2. En la página Detalles de la recomendación, verá una lista de los recursos para los
que tiene esta recomendación. Seleccione todos los recursos que quiera corregir
para la recomendación.
Los precios de la imagen son solo para los fines de este ejemplo
3. Una vez que haya seleccionado los recursos, haga clic en el botón Corrección
rápida para ejecutar las soluciones de forma masiva.
７ Nota
Algunos de los recursos enumerados podrían estar deshabilitados porque no

tiene los permisos adecuados para modificarlos.
７ Nota
Si además de las ventajas mencionadas en Advisor hay otras complicaciones,

se le comunicará en la pantalla para ayudarle a tomar decisiones de
corrección bien informadas.
4. Recibirá una notificación cuando se haya completado la corrección. Verá un error si

algunos recursos no se corrigieron y si hay recursos en el modo seleccionado de la
vista de lista de recursos.
Pasos siguientes

API REST de Advisor
Consulta de datos de Advisor en
Resource Graph Explorer (Azure
Resource Graph)
Artículo • 03/04/2023
Los recursos de Advisor ahora están incorporados en Azure Resource Graph . Esta es la
base de muchos escenarios de clientes a escala para las recomendaciones de Advisor.
Los siguientes son algunos de los escenarios que no eran posibles antes de hacerlo a
escala y que ahora se pueden lograr con Resource Graph:
Proporciona la capacidad de realizar consultas complejas para todas las

suscripciones en Azure Portal.
Recomendaciones resumidas por tipos de categoría (como confiabilidad,
rendimiento) y tipos de impacto (alto, medio, bajo)
Todas las recomendaciones para un tipo de recomendación concreto.
Recuento de recursos afectados por categoría de recomendación.
Tipos de recursos de Advisor en Azure Graph

Tipos de recursos de Advisor disponibles en Resource Graph: hay tres tipos de recursos
disponibles para las consultas en recursos de Advisor. Esta es la lista de los recursos que
ahora están disponibles para realizar consultas en Resource Graph.
Microsoft.Advisor/configurations
Microsoft.Advisor/recommendations
Microsoft.Advisor/suppressions
Estos tipos de recursos se muestran en una nueva tabla denominada AdvisorResources,
que también se puede consultar en Resource Graph Explorer en Azure Portal.
Pasos siguientes

API REST de Advisor
Optimización de cargas de trabajo de
Azure mediante la puntuación de Azure
Advisor
Artículo • 01/06/2023
Introducción a la puntuación de Advisor

Azure Advisor proporciona recomendaciones de procedimientos recomendados para las
cargas de trabajo. Estas recomendaciones son personalizadas y accionables para
ayudarle a:
Mejorar la posición de las cargas de trabajo y optimizar las implementaciones de

Azure.
Evitar de forma proactiva los principales problemas gracias a los procedimientos
recomendados.
Evaluar las cargas de trabajo de Azure conforme a los cinco pilares del Marco de
buena arquitectura de Microsoft Azure.
Como característica principal de Advisor, la puntuación de Azure Advisor puede

ayudarle a lograr estos objetivos de manera eficaz y eficiente.
Para sacar el máximo partido a Azure, es fundamental entender en qué punto del
recorrido de optimización de cargas de trabajo se encuentra. Debe saber qué servicios o
recursos se consumen correctamente y cuáles no. Además, necesitará saber cómo
clasificar por orden de prioridad las acciones, en función de las recomendaciones, para
maximizar el resultado.
También es importante realizar un seguimiento de su progreso y que está realizando en

este recorrido de optimización, así como presentar informes al respecto. Con la
puntuación de Azure Advisor resulta muy fácil realizar todas estas acciones fácilmente
gracias a la nueva experiencia de ludificación.
Como consultor personalizado en la nube, Azure Advisor evalúa continuamente la

telemetría de uso y la configuración de recursos para comprobar que se siguen los
procedimientos recomendados del sector. Luego Advisor agrega sus hallazgos en una
sola puntuación. Con esta puntuación puede saber de un vistazo si está llevando a cabo
los pasos necesarios para compilar soluciones confiables, seguras y rentables.
La puntuación de Advisor consta de una puntuación general que se puede desglosar en

cinco puntuaciones de categoría. Una puntuación de cada categoría de Advisor
representa los cinco pilares del marco de buena arquitectura.
Puede realizar un seguimiento del progreso que realiza a lo largo del tiempo si visualiza
la puntuación general y la de categoría con tendencias diarias, semanales y mensuales.
También puede establecer puntos de referencia que le ayuden a alcanzar los objetivos.
Interpretación de una puntuación de Advisor

Advisor muestra la puntuación general y un desglose de categorías de Advisor, en
porcentajes. Una puntuación del 100 % en cualquier categoría significa que todos los
recursos que evaluó Advisor siguen los procedimientos recomendados de Advisor. En el
otro extremo del espectro, una puntuación de 0 % significa que ninguno de los recursos
evaluados por Advisor sigue las recomendaciones de este. Con estos intervalos de
puntuación puede lograr fácilmente el flujo siguiente:
Puntuación de Azure Advisor le ayuda a determinar el rendimiento de la carga de

trabajo o las suscripciones en función de una puntuación de Advisor. También
puede ver las tendencias históricas para comprender cuál es la suya.
Puntuación por categoría de cada recomendación indica qué recomendaciones
destacadas van a mejorar más la puntuación. Estos valores reflejan el peso de la
recomendación y la facilidad de implementación prevista. Estos factores ayudan a
asegurarse de sacar el máximo partido al tiempo disponible. También ayudan a
priorizar.
Impacto de la puntuación de categoría de cada recomendación ayuda a clasificar
por orden de prioridad las acciones de corrección de cada categoría.
La contribución de cada recomendación a la puntuación de la categoría se muestra

claramente en la página de Puntuación de Azure Advisor de Azure Portal. Puede
aumentar cada puntuación de categoría el punto porcentual que aparece en la columna
Posible aumento de puntuación. Este valor refleja el peso de la recomendación dentro
de la categoría y la facilidad de implementación prevista para abordar las tareas más
sencillas. Centrarse en las recomendaciones con el mayor impacto en la puntuación le
ayudará a mejorar el progreso con el tiempo.
Si alguna recomendación de Advisor no es relevante para un recurso individual, puede

posponer o descartar esa recomendación. Se excluye del cálculo de puntuación con la
próxima actualización. Advisor también usará esta entrada como comentario adicional
para mejorar el modelo.
¿Cómo se calcula una puntuación de Advisor?

Advisor muestra las puntuaciones de categoría y la puntuación general de Advisor como
porcentajes. Una puntuación del 100 % en cualquier categoría significa que todos los
recursos que evaluó Advisor siguen los procedimientos recomendados de Advisor. En el
otro extremo del espectro, una puntuación de 0 % significa que ninguno de los recursos
evaluados por Advisor sigue las recomendaciones de este.
Cada una de las cinco categorías tiene una puntuación potencial máxima de 100. La
puntuación general de Advisor se calcula como la suma de cada puntuación de
categoría aplicable, dividida por la suma de la puntuación potencial máxima de todas las
categorías aplicables. En la mayoría de las suscripciones, eso significa que Advisor suma
la puntuación de cada categoría y la divide por 500. Pero cada puntuación de categoría
se calcula solo si se usan los recursos que evalúa Advisor.
Ejemplo de cálculo de la puntuación de Advisor

Puntuación de una sola suscripción: este ejemplo es la media simple de todas las
puntuaciones de categoría de Advisor de la suscripción. Si las puntuaciones de
categoría de Advisor son Costo = 73, Confiabilidad = 85, Excelencia operativa =
77 y Rendimiento = 100, la puntuación de Advisor sería (73 + 85 + 77 +
100)/(4x100) = 0,84 o 84 %.
Puntuación de varias suscripciones: cuando se seleccionan varias suscripciones, la
puntuación general de Advisor generada son las puntuaciones de categoría
agregadas ponderadas. Aquí, cada puntuación de la categoría de Advisor se
agrega en función de los recursos consumidos por las suscripciones. Una vez que
Advisor tiene las puntuaciones de categoría agregadas ponderadas, calcula una
media simple para proporcionar una puntuación total de las suscripciones.
Metodología de puntuación
El cálculo de la puntuación de Advisor se puede resumir en cuatro pasos:
1. Advisor calcula el costo comercial de los recursos afectados. Estos recursos son los
de las suscripciones que tienen al menos una recomendación en Advisor.
2. Advisor calcula el costo comercial de los recursos evaluados. Estos recursos son los
supervisados por Advisor, tanto si tienen alguna recomendación como si no.
3. En cada tipo de recomendación, Advisor calcula la proporción de recursos correcta.

Esta proporción es el costo comercial de los recursos afectados dividido por el
costo comercial de los recursos evaluados.
4. Advisor aplica tres pesos adicionales a la proporción de recursos correctos en cada

categoría:
Las recomendaciones con mayor impacto se ponderan con un peso mayor

que las que tienen un impacto menor.
Los recursos con recomendaciones duraderas contarán más en la puntuación.
Los recursos que se posponen o descartan en Advisor se quitan
completamente del cálculo de la puntuación.
Advisor aplica este modelo en un nivel de categoría para proporcionar una puntuación
para cada categoría. Seguridad usa un modelo de puntuación de seguridad. Una media
simple genera la puntuación final de Advisor.
Preguntas frecuentes sobre la puntuación de

Advisor
¿Con qué frecuencia se actualiza la puntuación?
La puntuación se actualiza al menos una vez al día.
¿Por qué algunas recomendaciones tienen el valor "-"

vacío en la columna de impacto de la puntuación de
categoría?
Advisor no incluye inmediatamente las nuevas recomendaciones ni aquellas con
cambios recientes en el modelo de puntuación. Tras un breve período de evaluación,
normalmente algunas semanas, se incluyen en la puntuación.
¿Por qué el impacto de la puntuación de los costos es

mayor en algunas recomendaciones, aunque su potencial
de ahorro sea reducido?
La puntuación Costo refleja el posible ahorro de recursos infrautilizados y la facilidad de
implementación prevista de esas recomendaciones. Por ejemplo, se aplica un peso
adicional a los recursos afectados que han estado inactivos durante más tiempo, aunque
el ahorro potencial sea menor.
¿Por qué no tengo una puntuación en una o más

categorías o suscripciones?
Advisor genera una puntuación solo para las categorías y suscripciones que tienen
recursos evaluados por Advisor.
¿Qué ocurre si una recomendación no es relevante?

Si descarta una recomendación de Advisor, se omitirá en el cálculo de la puntuación. El
descarte de recomendaciones también ayuda a Advisor a mejorar la calidad de las
recomendaciones.
¿Por qué cambió mi puntuación?

La puntuación puede cambiar si se corrigen los recursos afectados mediante la
adopción de los procedimientos recomendados de Advisor. Si usted o cualquier persona
con permisos en la suscripción ha modificado o creado nuevos recursos, es posible que
también observe fluctuaciones en la puntuación. La puntuación se basa en una
proporción entre los recursos afectados por el costo y el costo total de todos los
recursos.
¿Cómo calcula Advisor el costo minorista de los recursos

de una suscripción?
Advisor usa las tarifas de pago por uso publicadas en Precios de Azure . Estas tarifas
no reflejan ningún descuento aplicable. Las tarifas se multiplican por la cantidad de uso
el último día en que se ha asignado el recurso. La omisión de los descuentos en el
cálculo del costo de los recursos hace que la puntuación de Advisor sea similar en todas
las suscripciones, los inquilinos y las inscripciones donde los descuentos pueden variar.
¿Es necesario ver las recomendaciones de Advisor para

obtener puntos para la puntuación?
No. La puntuación refleja si adopta los procedimientos recomendados por Advisor,
aunque nunca vea esas recomendaciones en Advisor, y si adopta los procedimientos
recomendados de manera activa.
¿La metodología de puntuación distingue entre cargas de

trabajo de producción /desarrollo y de pruebas?
No, por ahora no. Pero puede descartar las recomendaciones sobre recursos
individuales si esos recursos se usan para desarrollo y pruebas, y la recomendación no
se aplica.
¿Puedo comparar puntuaciones entre una suscripción con

100 recursos y una suscripción con 100 000 recursos?
La metodología de puntuación está diseñada para controlar el número de recursos de
una combinación de suscripción y servicio. Las suscripciones con menos recursos
pueden tener puntuaciones mayores o menores que las suscripciones con más recursos.
¿Qué significa "próximamente" en la columna de impacto

de la puntuación?
Este mensaje significa que la recomendación es nueva y se está trabajando para incluirla
en el modelo de puntuación de Advisor. Una vez que se incluya esta nueva
recomendación en un cálculo de puntuación, verá el valor de impacto de la puntuación
de la recomendación.
¿Mi puntuación depende de cuánto gasto en Azure?

No. La puntuación no es necesariamente un reflejo de cuánto se gasta. Los gastos
innecesarios dan lugar a una puntuación menor Costo.
Acceso a Advisor Score

En el panel izquierdo, en la sección Advisor, vea Puntuación de Azure Advisor.
Pasos siguientes
Recomendaciones sobre costo de Advisor
Línea de base de seguridad de Azure
para Azure Advisor
Artículo • 20/09/2023
Esta base de referencia de seguridad aplica instrucciones de la versión 1.0 de La prueba

comparativa de seguridad en la nube de Microsoft a Azure Advisor. El punto de
referencia de seguridad en la nube de Microsoft proporciona recomendaciones sobre
cómo puede proteger sus soluciones de nube en Azure. El contenido se agrupa
mediante los controles de seguridad definidos por el banco de pruebas de seguridad en
la nube de Microsoft y las instrucciones relacionadas aplicables a Azure Advisor.
Puede supervisar esta línea de base de seguridad y sus recomendaciones mediante

Microsoft Defender for Cloud. Azure Policy definiciones se mostrarán en la sección
Cumplimiento normativo de la página Microsoft Defender for Cloud Portal.
Cuando una característica tiene definiciones de Azure Policy relevantes, se muestran en

esta línea de base para ayudarle a medir el cumplimiento de los controles y
recomendaciones del banco de pruebas de seguridad en la nube de Microsoft. Algunas
recomendaciones pueden requerir un plan de Microsoft Defender de pago para habilitar
determinados escenarios de seguridad.
７ Nota
Se han excluido las características no aplicables a Azure Advisor. Para ver cómo
Azure Advisor se asigna por completo a la prueba comparativa de seguridad en la
nube de Microsoft, consulte el archivo completo de asignación de línea de base
de seguridad de Azure Advisor .
Perfil de seguridad
El perfil de seguridad resume los comportamientos de alto impacto de Azure Advisor, lo
que puede dar lugar a mayores consideraciones de seguridad.
Atributo de comportamiento del servicio Value
Categoría de productos Recomendaciones
El cliente puede acceder a HOST/OS. Sin acceso
El servicio se puede implementar en la red virtual del cliente. False

Atributo de comportamiento del servicio Value
Almacena contenido de cliente en reposo False
Protección de los datos

Para obtener más información, consulte la prueba comparativa de seguridad en la nube
de Microsoft: Protección de datos.
DP-3: Cifrado de datos confidenciales en tránsito
Características
Cifrado de los datos en tránsito
Descripción: el servicio admite el cifrado de datos en tránsito para el plano de datos.

Más información.
Compatible Habilitado de forma predeterminada Responsabilidad de configuración
True True Microsoft
Guía de configuración: no se requieren configuraciones adicionales, ya que está

habilitada en una implementación predeterminada.
Administración de recursos
Para obtener más información, consulte El banco de pruebas de seguridad en la nube de
Microsoft: Administración de recursos.
AM-2: Uso exclusivo de los servicios aprobados
Características
Compatibilidad con Azure Policy
Descripción: las configuraciones del servicio se pueden supervisar y aplicar a través de

Azure Policy. Más información.
False No es aplicable No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Registro y detección de amenazas

Para obtener más información, consulte la prueba comparativa de seguridad en la nube
de Microsoft: Registro y detección de amenazas.
LT-4: Habilitación del registro para la investigación de

seguridad
Características
Registros de recursos de Azure
Descripción: el servicio genera registros de recursos que pueden proporcionar métricas

y registros específicos del servicio mejorados. El cliente puede configurar estos registros
de recursos y enviarlos a su propio receptor de datos, como una cuenta de
almacenamiento o un área de trabajo de Log Analytics. Más información.
False No es aplicable No es aplicable
Guía de configuración: esta característica no se admite para proteger este servicio.
Pasos siguientes
Consulte la introducción al banco de pruebas de seguridad en la nube de
Microsoft.
Obtenga más información sobre las líneas de base de seguridad de Azure.
Recomendaciones de rendimiento de
Database Advisor para Azure
SQL Database
Artículo • 09/06/2023
Se aplica a: Azure SQL Database
Azure SQL Database comprende su aplicación y se adapta a ella. Azure SQL Database
tiene varias instancias de Database Advisor que proporcionan recomendaciones
personalizadas que permiten maximizar el rendimiento. Estos asesores de bases de
datos evalúan y analizan continuamente el historial de uso, y proporcionan
recomendaciones basadas en patrones de carga de trabajo que ayudan a mejorar el
rendimiento.
Información general sobre rendimiento

La información general sobre el rendimiento de Azure Portal ofrece un resumen del
rendimiento de la base de datos y le ayuda a ajustar su rendimiento y a solucionar
problemas.
Si está presente, el icono de Recomendaciones proporciona un desglose de

recomendaciones de optimización para la base de datos. Al seleccionar este icono,
irá a Opciones de recomendaciones de rendimiento.
El icono de Tuning activity (Actividad de optimización) proporciona un resumen de
las acciones de optimización en curso y finalizadas para la base de datos, lo que le
brinda una vista rápida del historial de la actividad de optimización. Si selecciona
este icono irá a las recomendaciones y al historial de optimización de la base de
datos. Para obtener más información, consulte Ajuste automático.
El icono Ajuste automático muestra la configuración de ajuste automático de la
base de datos (las opciones de ajuste que se aplican automáticamente a la base de
datos). Al seleccionar este icono se abre el cuadro de diálogo de configuración de
automatización. Para más información sobre cómo realizar un ajuste automático
de los índices de base de datos y consultar los planes de ejecución, consulte Ajuste
automático.
El icono de Consultas de bases de datos muestra el resumen del rendimiento de
consultas de la base de datos (uso general de DTU y consultas que consumen más
recursos). Seleccione este icono para acceder a Información de rendimiento de
consultas.
En el gráfico predeterminado se proporciona un resumen de las últimas 24 horas
de actividad de la base de datos, con opciones para ampliar la actividad más
reciente. Los gráficos de barras apiladas analizan las consultas principales por CPU
y el gráfico de varias líneas representa la carga de trabajo por CPU, E/S de datos y
E/S de registro. Seleccione barras apiladas individuales en el gráfico, cada una de
las cuales representa un plan de consulta almacenado en caché. Profundice en la
página Información de rendimiento de consultas e identifique las consultas más
caras de la carga de trabajo. Para obtener más información, consulte Información
de rendimiento de consultas.
Vaya a la página Información general sobre el rendimiento en Rendimiento

inteligente en el menú de navegación de Azure Portal para la base de datos de Azure
SQL.
Opciones de recomendaciones de rendimiento

Las opciones de recomendaciones de rendimiento disponibles en Azure SQL Database
son:
ﾉ Expandir tabla
Recomendación de rendimiento Compatibilidad con Compatibilidad

bases de datos de base de datos
únicas y bases de de instancia
datos agrupadas
Recomendaciones Crear índice: recomienda la Sí No

creación de índices que podrían mejorar el
Recomendación de rendimiento Compatibilidad con Compatibilidad
bases de datos de base de datos
únicas y bases de de instancia
datos agrupadas
rendimiento de la carga de trabajo.
Recomendaciones Quitar índice: recomienda la Sí No

eliminación diaria de los índices duplicados y
redundantes, excepto los índices únicos y los que no
se han usado durante mucho tiempo (>90 días).
Tenga en cuenta que esta opción no es compatible
con las aplicaciones que usan sugerencias de índice
y conmutación de particiones. No se admite la
eliminación de índices sin usar para los niveles de
servicio Prémium y Crítico para la empresa.
Recomendaciones Parametrizar consultas (versión Sí No

preliminar) : recomienda la parametrización forzada
en aquellos casos en que hay una o varias consultas
que se recompilan constantemente, pero acaban
con el mismo plan de ejecución de consulta.
Recomendaciones Solucionar problemas de Sí No

esquema (versión preliminar) : las recomendaciones
de corrección de esquema aparecen cuando Azure
SQL Database detecta alguna anomalía en el
número de errores de SQL relacionados con el
esquema que se producen en la base de datos.
Microsoft está dejando de usar las recomendaciones
de corrección de problemas de esquema.
Para aplicar las recomendaciones de rendimiento, consulte la sección Aplicación de las

recomendaciones. Para ver el estado de las recomendaciones, consulte Supervisión de
operaciones.
También puede encontrar el historial completo de las acciones de ajuste que se

aplicaron en el pasado.
Recomendaciones Crear índice

Azure SQL Database supervisa continuamente las consultas que se ejecutan e identifica
los índices que podrían mejorar el rendimiento. Después de que se sabe con bastante
confianza que falta un índice, se crea una nueva recomendación Crear índice.
Para generar confianza, Azure SQL Database calcula la ganancia de rendimiento que el
índice aportaría a lo largo del tiempo. Según la ganancia de rendimiento estimada, las
recomendaciones se clasifican como alta, media o baja.
Los índices creados mediante recomendaciones se marcan siempre como índices

auto_created. Para saber cuáles son los índices que se crean automáticamente, vaya a la
vista sys.indexes. Los índices creados de forma automática no bloquean los comandos
ALTER/RENAME.
Si intenta descartar la columna que tiene un índice creado automáticamente por

encima, el comando se pasa. El índice creado automáticamente también se descarta con
el comando. Los índices normales bloquean el comando ALTER/RENAME en las
columnas que están indexadas.
Después de aplicar la recomendación Crear índice, Azure SQL Database compara el

rendimiento de las consultas con el de línea de base. Si el nuevo índice mejora el
rendimiento, la recomendación está marcada como correcta y el informe del impacto
está disponible. Sin embargo, si no lo mejoró, se revierte de forma automática. Azure
SQL Database emplea este proceso para asegurarse de que las recomendaciones
mejoran el rendimiento de la base de datos.
Cualquier recomendación Crear índice tiene una directiva de rechazo que no permite
aplicar la recomendación si la utilización de recursos de una base de datos o de un
grupo es elevada. La directiva de rechazo tiene en cuenta la CPU, la E/S de datos, la E/S
de registros y el almacenamiento disponible.
Si los valores de estos elementos son superiores al 80 % en los 30 minutos anteriores, la

recomendación Crear índice se pospone. Si el almacenamiento disponible va a ser
inferior al 10 % una vez creado el índice, la recomendación entra en un estado de error.
Si al cabo de un par de días el ajuste automático considera que el índice resultaría
beneficioso, el proceso comienza de nuevo.
Este proceso se repite hasta que haya suficiente almacenamiento disponible para crear
un índice o hasta que el índice ya no se considere beneficioso.
Recomendaciones Quitar índice

Además de detectar índices que faltan, Azure SQL Database analiza continuamente el
rendimiento de los índices existentes. Si no se usa un índice, Azure SQL Database
recomienza descartarlo. Se recomienda quitar un índice en dos casos:
El índice es un duplicado de otro (misma columna indexada e incluida, esquema de

partición y filtros).
El índice no se ha usado durante un período prolongado (>90 días).
Las recomendaciones Quitar índice también llevan a cabo la comprobación después de

la implementación. Si mejora el rendimiento, está disponible el informe del impacto. Si
se degrada el rendimiento, se revierte la recomendación.
Recomendaciones Parametrización de
consultas (versión preliminar)
Las recomendaciones de parametrización de consultas aparecen cuando tiene una o
varias consultas que se vuelven a compilar continuamente, pero que terminan con el
mismo plan de ejecución de consultas. Esta condición crea una oportunidad de aplicar la
parametrización forzada. A su vez, la parametrización forzada permite que se almacenen
en caché planes de consulta y se vuelvan a usar en el futuro, lo que mejora el
rendimiento y reduce el uso de recursos.
Inicialmente, se deben compilar consultas de evento para generar un plan de ejecución.

Cada plan generado se agrega a la caché de planes. Las sucesivas ejecuciones de la
misma consulta pueden volver a usar este plan desde la caché, lo que elimina la
necesidad de compilación adicional.
Las consultas con valores sin parámetros pueden llevar a una sobrecarga en el
rendimiento porque el plan de ejecución se vuelve a compilar cada vez que los valores
sin parámetros son diferentes. En muchos casos, las mismas consultas con distintos
valores de parámetro generan los mismos planes de ejecución. Estos planes, sin
embargo, se agregan aún por separado a la caché de planes.
El proceso de volver a compilar planes de ejecución usa recursos de base de datos,

aumenta el tiempo de duración de la consulta y desborda la caché de planes. Estos
eventos, a su vez, hacen que los planes se expulsen de la caché. Este comportamiento se
puede modificar estableciendo la opción de parametrización forzada en la base de
datos.
Para ayudarlo a estimar el impacto de esta recomendación, se le proporciona una

comparación entre el uso real y el previsto de la CPU (como si se aplicase la
recomendación). Esta recomendación puede ayudarle a obtener ahorros de CPU.
También puede ayudarle a reducir la duración de la consulta y la sobrecarga de la caché
de planes, lo que significa que varios de los planes pueden permanecer en la caché y
volverse a utilizar. Para aplicar esta recomendación rápidamente, seleccione el comando
Aplicar.
Después de aplicar esta recomendación, se habilita la parametrización forzada en

cuestión de minutos en la base de datos. Se inicia el proceso de supervisión, que tiene
una validez de aproximadamente 24 horas. Después de este período, puede ver el
informe de validación. Este informe muestra el uso de CPU de la base de datos 24 horas
antes y después de haber aplicado la recomendación. Azure SQL Database Advisor
cuenta con un mecanismo de seguridad que revierte automáticamente la
recomendación aplicada en caso de detectarse una regresión del rendimiento.
Recomendaciones para solucionar problemas

del esquema (vista previa)
） Importante
Microsoft está dejando de usar las recomendaciones de corrección de problemas

de esquema. Se recomienda usar Intelligent Insights para supervisar los problemas
de rendimiento de la base de datos, incluidos los problemas de esquema que
anteriormente trataban las recomendaciones de corrección de problemas de
esquema.
Las recomendaciones Solucionar problemas de esquema aparecen cuando Azure SQL

Database detecta alguna anomalía en el número de errores de SQL relacionados con el
esquema que se producen en la base de datos. Esta recomendación suele aparecer
cuando la base de datos encuentra varios errores relacionados con el esquema (nombre
de columna no válido, nombre de objeto no válido, etc.) en el curso de una hora.
Los "problemas de esquema" son un tipo de errores de sintaxis. Se producen cuando la

definición de la consulta SQL y la definición del esquema de base de datos no
concuerdan. Por ejemplo, en la tabla de destino falta una de las columnas que espera la
consulta o viceversa.
Las recomendaciones "Solucionar problemas de esquema" aparecen cuando Azure SQL
Database detecta alguna anomalía en el número de errores de SQL relacionados con el
esquema que se producen en la base de datos. En la tabla siguiente se muestran los
errores relacionados con los problemas del esquema:
ﾉ Expandir tabla
Código de error Message

SQL
201 El procedimiento o la función ' ' espera parámetros ' ', que no se han
proporcionado.
207 Nombre de columna '*' no válido.
208 Nombre de objeto '*' no válido.
213 El nombre de columna o los valores especificados no corresponden a la

definición de la tabla.
2812 No se pudo encontrar el procedimiento almacenado '*'.
8144 La función o el procedimiento * tiene demasiados argumentos.
Aplicaciones personalizadas
Los desarrolladores pueden considerar la posibilidad de desarrollar aplicaciones
personalizadas con las recomendaciones de rendimiento de Azure SQL Database. Todas
las recomendaciones que se muestran en el portal para una base de datos están
disponibles a través de la API Get-AzSqlDatabaseRecommendedAction.
Pasos siguientes
Para más información sobre cómo realizar un ajuste automático de los índices de
base de datos y consultar los planes de ejecución, consulte Ajuste automático de
Azure SQL Database.
Para más información sobre cómo supervisar de forma automática el rendimiento
de la base de datos con diagnósticos automatizados y análisis de causa principal
de problemas de rendimiento, consulte Azure SQL Intelligent Insights.
Consulte Query Performance Insight para más información sobre el impacto en el
rendimiento de las principales consultas.
Procedimientos recomendados para
Azure App Service
Artículo • 01/06/2023
En este artículo se resumen los procedimientos recomendados para usar el Azure App
Service.
Colocación
Cuando los recursos de Azure que componen una solución como una aplicación web y
una base de datos se encuentran en regiones distintas puede ocurrir lo siguiente:
Mayor latencia en la comunicación entre recursos

Cargos monetarios de transferencia de datos entre regiones como se indica en el
página de precios de Azure
Para los recursos de Azure que componen una solución, como una aplicación web y una
cuenta de almacenamiento o base de datos usada para mantener el contenido o los
datos, se recomienda que la ubicación compartida se encuentre en la misma región. Al
crear recursos, asegúrese de que estén de la misma región de Azure, salvo que haya
motivos comerciales o de diseño concretos para que no sea así. Para mover una
aplicación de App Service a la región de la base de datos, use la característica de
clonación de App Service que actualmente está disponible para las aplicaciones del plan
de App Service Premium.
Anclado de certificados
Las aplicaciones nunca deben tener una dependencia fuerte ni estar ancladas al
certificado TLS *.azurewebsites.net predeterminado, ya que este certificado se podría
rotar en cualquier momento debido la naturaleza de App Service como plataforma
como servicio (PaaS). El anclaje de certificados es una práctica en la que una aplicación
solo permite una lista específica de entidades de certificación (CA) aceptables, claves
públicas, huellas digitales o cualquier parte de la jerarquía de certificados. En caso de
que el servicio rote el certificado TLS con caracteres comodín predeterminado de App
Service, las aplicaciones ancladas con certificado interrumpirán la conectividad de las
aplicaciones que están codificadas de forma rígida en un conjunto específico de
atributos de certificado. La periodicidad con la que se rota el certificado TLS
*.azurewebsites.net tampoco se garantiza, ya que la frecuencia de rotación puede
cambiar en cualquier momento.
Tenga en cuenta que las aplicaciones que se basan en el anclaje de certificados tampoco
deben tener una dependencia rígida en un certificado administrado de App Service. Los
certificados administrados de App Service se pueden rotar en cualquier momento, lo
que provoca problemas similares en las aplicaciones que dependen de propiedades de
certificado estables. Se recomienda especificar un certificado TLS personalizado para las
aplicaciones que utilizan el anclaje de certificados.
Si una aplicación necesita basarse en el comportamiento de anclaje de certificados, se

recomienda agregar un dominio personalizado a una aplicación web y proporcionar un
certificado TLS personalizado al dominio en el que se puede confiar para el anclaje de
certificados.
Cuando las aplicaciones consumen más

memoria de lo esperado
Si observa que una aplicación consume más memoria de lo esperado, lo que se indica a
través de la supervisión o de recomendaciones de servicio, considere la posibilidad de
usar la característica de recuperación automática de App Service . Una de las opciones
de esta característica es que realiza acciones personalizadas en función de un umbral de
memoria. Las acciones abarcan todo el espectro, desde las notificaciones por correo
electrónico a la investigación a través de volcado de memoria a la mitigación inmediata
mediante el reciclado del proceso de trabajo. La recuperación automática se puede
configurar tanto a través de web.config como a través de una interfaz de usuario, tal y
como se describe en esta entrada del blog App Service Support Site Extension(Extensión
del sitio de soporte del Servicio de aplicaciones).
Cuando las aplicaciones consumen más CPU de

lo esperado
Si observa que una aplicación consume más CPU de lo esperado o experimenta
repetidas puntas de actividad de la CPU como indican la supervisión o las
recomendaciones de servicio, considere la posibilidad de escalar el plan de App Service
vertical u horizontalmente. Si se trata de una aplicación con estado, el escalado vertical
es la única opción, mientras que si es sin estado, el escalado horizontal le proporcionará
mayor flexibilidad y mayor potencial de escalado.
Para más información sobre las opciones de escalado y escalado automático de App
Service, consulte el artículo sobre el escalado de una aplicación web en Azure App
Service.
Cuando se agotan los recursos del socket
Una razón habitual para agotar las conexiones TCP salientes es el uso de bibliotecas de
cliente que no se han implementado para reutilizar las conexiones TCP o cuando no se
usa un protocolo de nivel superior como HTTP de conexión persistente. Revise la
documentación de las bibliotecas a las que hacen referencia las aplicaciones del plan de
App Service para asegurarse de que se configuran o se tiene acceso a ellas en el código
para una reutilización eficiente de las conexiones salientes. Siga también la guía de la
documentación de la biblioteca para que la creación y liberación, o la limpieza sean
correctas para evitar las conexiones con fugas. Aunque las investigaciones de estas
bibliotecas de cliente están en curso, el impacto se pueden mitigar mediante el escalado
horizontal a varias instancias.
Node.js y solicitudes HTTP salientes

Cuando se trabaja con Node.js y muchas solicitudes HTTP salientes, es importante usar
HTTP de conexión persistente. Puede usar el paquete agentkeepalive npm para que le
resulte más fácil en su código.
Controle siempre la respuesta http , aunque no haga nada en el controlador. Si no

controla la respuesta correctamente, la aplicación se acaba bloqueando porque no hay
más sockets disponibles.
Por ejemplo, si trabaja con el paquete http o https :
JavaScript
const request = https.request(options, function(response) {

response.on('data', function() { /* do nothing */ });
});
Si ejecuta App Service en Linux en una máquina con varios núcleos, otro procedimiento
recomendado es usar PM2 para iniciar varios procesos de Node.js para ejecutar la
aplicación. Para hacerlo, especifique un comando de inicio al contenedor.
Por ejemplo, para iniciar cuatro instancias:
pm2 start /home/site/wwwroot/app.js --no-daemon -i 4

Cuando la copia de seguridad de la aplicación
comienza a fallar
Los dos principales motivos por los que comienza a fallar la copia de seguridad de una
aplicación son una configuración de almacenamiento no válida y una configuración de
base de datos no válida. Estos errores suelen ocurrir cuando se producen cambios en los
recursos de almacenamiento o de base de datos o en el acceso a estos recursos (por
ejemplo, la actualización de las credenciales de la base de datos seleccionada en la
configuración de copia de seguridad). Las copias de seguridad suelen ejecutarse según
una programación y requieren acceso al almacenamiento (para generar los archivos de
copia de seguridad) y a las bases de datos (para copiar y leer el contenido que se
incluirá en la copia de seguridad). Si no se tiene acceso a cualquiera de estos recursos,
se produciría un error de copia de seguridad.
Cuando aparezcan errores de copia de seguridad, revise los resultados más recientes
para saber qué tipo de error se está produciendo. En el caso de errores de acceso de
almacenamiento, revise y actualice la configuración de almacenamiento que se usa en la
configuración de copia de seguridad. En el caso de errores de acceso de la base de
datos, revise y actualice las cadenas de conexiones como parte de la configuración de la
aplicación. Después, continúe para actualizar la configuración de copia de seguridad con
el fin de incluir correctamente las bases de datos necesarias. Para más información sobre
las copias de seguridad de aplicaciones, consulte el artículo sobre cómo crear la copia
de seguridad de una aplicación web en Azure App Service.
Cuando se implementan nuevas aplicaciones

de Node.js en Azure App Service
La configuración predeterminada de Azure App Service para las aplicaciones Node.js
tiene que como objetivo satisfacer mejor los requisitos de las aplicaciones más
comunes. Si considera que la configuración de la aplicación Node.js va a beneficiarse del
ajuste personalizado para mejorar el rendimiento o para optimizar el uso de recursos
para los recursos de la CPU, memoria o red, consulte los procedimientos recomendados
y la guía para solucionar problemas de las aplicaciones Node en Azure App Service. En
este artículo se describen las opciones de IISNode que pueda necesitar configurar para
la aplicación de Node.js, así como también se describen los distintos escenarios o
problemas que dicha aplicación podría encontrar y se muestra cómo abordarlos.
Cuando los dispositivos de Internet de las cosas
(IoT) están conectados a aplicaciones en App
Service
Hay algunos escenarios en los que se puede mejorar el entorno al ejecutar dispositivos
de Internet de las cosas (IoT) que están conectados a App Service. Una práctica muy
común con dispositivos de IoT es el "anclaje de certificados". Para evitar un tiempo de
inactividad imprevisto debido a cambios en los certificados administrados del servicio,
en ningún caso debe anclar los certificados al certificado *.azurewebsites.net
predeterminado ni a un certificado administrado de App Service. Si el sistema necesita
basarse en el comportamiento de anclaje de certificados, se recomienda agregar un
dominio personalizado a una aplicación web y proporcionar un certificado TLS
personalizado al dominio en el que se puede confiar para el anclaje de certificados. Para
más información, puede consultar la sección de anclaje de certificados de este artículo.
Para aumentar la resistencia en su entorno, no debe utilizar un único punto de conexión

para todos los dispositivos. Las aplicaciones web las debe hospedar al menos en dos
regiones diferentes para evitar un único punto de error y estar listo para el tráfico de
conmutación por error. En App Service, puede agregar un dominio personalizado
idéntico a diferentes aplicaciones web, siempre que estas aplicaciones web se hospeden
en regiones diferentes. Esto garantiza que, si necesita anclar certificados, también puede
hacerlo en el certificado TLS personalizado que ha especificado. Otra opción sería usar
un equilibrador de carga delante de las aplicaciones web, como Azure Front Door o
Traffic Manager, para garantizar una alta disponibilidad para las aplicaciones web. Para
más información, consulte Inicio rápido: Creación de una instancia de Front Door para
una aplicación web global de alta disponibilidad o Control del tráfico de Azure App
Service con Azure Traffic Manager.
Pasos siguientes
Para obtener más información sobre los procedimientos recomendados, visite
Diagnósticos de App Service para obtener información sobre los procedimientos
recomendados viables específicos para el recurso.
Vaya a la aplicación web en Azure Portal .

En el panel izquierdo, haga clic en Diagnosticar y solucionar problemas para abrir
la página Diagnósticos de App Service.
Elija el icono Procedimientos recomendados de la página principal.
Haga clic en Prácticas recomendadas de disponibilidad y rendimiento o en
Procedimientos recomendados para la configuración óptima para ver el estado
actual de la aplicación en lo que respecta a estas prácticas recomendadas.
También puede usar este vínculo para abrir directamente Diagnósticos de App Service
para el recurso: https://portal.azure.com/?
websitesextension_ext=asd.featurePath%3Ddetectors%2FParentAvailabilityAndPerformanc
e#@microsoft.onmicrosoft.com/resource/subscriptions/{subscriptionId}/resourceGroups
/{resourceGroupName}/providers/Microsoft.Web/sites/{siteName}/troubleshoot .
Azure Advisor REST API
Artículo • 05/08/2023
Asistente de Azure es un consultor en la nube personalizado que le ayudará a realizar

procedimientos recomendadas para optimizar las implementaciones de Azure. Para
obtener información general más detallada, consulte la página del producto de Azure
Advisor .
Grupos de operaciones REST

Grupo de operaciones Descripción
Configuraciones Proporciona operaciones para configurar recomendaciones de

Advisor.
Operaciones Enumera todas las API REST disponibles para Advisor.
Metadatos de Proporciona operaciones para acceder a metadatos de

recomendaciones recomendaciones de Advisor.
Recomendaciones Proporciona operaciones para acceder a las recomendaciones de

Advisor.
Supresiones Proporciona operaciones para posponer o descartar

recomendaciones.
Consulte también
Documentación de Azure Advisor
az advisor
Referencia
Administrar Azure Advisor.
Comandos
ﾉ Expand table
Nombre Description Tipo Status
az advisor configuration Administración de la configuración de Azure Principal GA

Advisor.
az advisor configuration Enumere la configuración de Azure Advisor para Principal GA

list toda la suscripción.
az advisor configuration Mostrar la configuración de Azure Advisor para la Principal GA

show suscripción o el grupo de recursos especificados.
az advisor configuration Actualice la configuración de Azure Advisor. Principal GA

update
az advisor Revise las recomendaciones de Azure Advisor. Principal GA

recommendation
az advisor Deshabilite las recomendaciones de Azure Principal GA

recommendation Advisor.
disable
az advisor Habilite las recomendaciones de Azure Advisor. Principal GA

recommendation enable
az advisor Enumere las recomendaciones de Azure Advisor. Principal GA

recommendation list
Az.Advisor
Referencia
Microsoft Azure PowerShell: cmdlets de Advisor
Advisor
ﾉ Expandir tabla
Disable- Disable an Azure Advisor recommendation.

AzAdvisorRecommendation
Enable- Enables Azure Advisor recommendation(s).

AzAdvisorRecommendation
Get-AzAdvisorConfiguration Retrieve Azure Advisor configurations and also retrieve

configurations of contained resource groups.
Get-AzAdvisorRecommendation Obtains details of a cached recommendation.
Set-AzAdvisorConfiguration Updates or creates the Azure Advisor Configuration.
６ Colaborar con nosotros en Comentarios de Azure

GitHub PowerShell
El origen de este contenido se Azure PowerShell es un proyecto de
puede encontrar en GitHub, código abierto. Seleccione un
donde también puede crear y vínculo para proporcionar
revisar problemas y solicitudes comentarios:
de incorporación de cambios.
Para más información, consulte  Abrir incidencia con la
nuestra guía para documentación
colaboradores.
 Proporcionar comentarios sobre
el producto

Azure Advisor

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Azure Advisor

Cargado por

Copyright:

Formatos disponibles

Díganos qué opina sobre la experiencia de descarga del PDF.

Documentación de Azure Advisor

Acerca de Azure Advisor

Información acerca de Azure Advisor

Vídeos de Azure Advisor

Introducción a Azure Advisor

Common Language Interface (CLI)

Obtenga información sobre las funcionalidades clave de Azure Advisor y obtenga

Con Advisor, puede:

Obtener sugerencias de procedimientos recomendados proactivas, prácticas y

El panel de Advisor muestra recomendaciones personalizadas para todas las

Confiabilidad (anteriormente denominada alta disponibilidad) : para garantizar y

Seguridad: ayuda a detectar amenazas y vulnerabilidades que podrían dar lugar a

Rendimiento: ayuda a mejorar la velocidad de las aplicaciones. Para obtener más

Seleccione la acción recomendada para implementar la recomendación. Se abrirá una

Preguntas más frecuentes

¿Cómo se accede a Advisor?

También puede ver las recomendaciones de Advisor a través de la interfaz de recursos

¿Qué permisos son necesarios para acceder a Advisor?

¿Para qué recursos Advisor ofrece recomendaciones?

Azure Advisor también incluye recomendaciones procedentes de Microsoft Defender

¿Se puede posponer o descartar una recomendación?

Recomendaciones de ZRS para Azure Disks

Nueva versión del libro de retirada del servicio

10 nuevos servicios se incorporan al libro. El libro de retirada ahora cubre 40

Se ha mejorado la experiencia del usuario y la navegación.

Lista de los servicios recién agregados:

Servicio Características que se retiran

Azure Stack Edge IoT Edge en K8s

Azure Migrate Clásico

Application Insights Retirada de guías de solución de problemas

Azure Maps Franja de precios de Gen1

Application Insights Prueba de ping de URL básica

Azure API for FHIR Azure API for FHIR

Azure Health Data Services Proxy de SMART on FHIR

Azure Database for MariaDB Todo el servicio

Azure Cache for Redis Soporte para TLS 1.0 y 1.1

Lista de los servicios eliminados:

Servicio Características que se retiran

Virtual Machines IaaS clásico

Azure Cache for Version 4.x

Virtual Machines Serie NV y NV_Promo

Virtual Machines Serie NC

Virtual Machines Serie NC V2

Virtual Machines Serie ND

Mejoras de experiencia del usuario

Mejora de la resistencia de las máquinas virtuales con

Introducción a la administración de recomendaciones

Uso del libro Optimización de costos

Avisos de recomendación para un próximo evento

Las notificaciones de eventos se muestran al visitar Advisor o administrar recursos

Nuevo: plantilla de libro Confiabilidad

Optimice la carga de trabajo.

Prepárese para un evento importante.

Mitigue los riesgos después de una interrupción.

Para evaluar la confiabilidad de la carga de trabajo mediante los principios que se

Los datos de Azure Resource Graph ya están disponibles

Revise las recomendaciones resumidas por impacto y categoría.

Ver todas las recomendaciones de un tipo determinado.

Vista de recuentos de recursos afectados por categoría de recomendación.

Libro de retirada del servicio

Posponer o descartar una recomendación para varios

Para obtener más información, visite Descartar y posponer recomendaciones