• Author / Uploaded
• Alejandro López Aranzolo

Citation preview

AZ-900T01ES

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

Microsoft Official Course

Fundamentos de Microsoft Azure

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

Fundamentos de Microsoft Azure

AZ-900T01ES

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

II  Disclaimer

  La información de este documento, incluidas las URL y otras referencias a sitios web de Internet, puede cambiar sin previo aviso. A menos que se indique lo contrario, las empresas, organizaciones, productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares y eventos que aparecen a continuación son meros ejemplos ficticios y no corresponden a ninguna empresa, organización, producto, dominio, dirección de correo electrónico, logotipo, persona, lugar o evento real. El usuario es responsable de cumplir con la legislación correspondiente sobre derechos de autor. Sin limitarse a los derechos de autor, ninguna parte de este documento debe reproducirse, almacenarse ni introducirse en un sistema de recuperación; tampoco se debe transmitir de ninguna forma (electrónica, mecánica, mediante fotocopias, grabaciones, etc.) ni con ninguna finalidad, si no se cuenta con el permiso explícito por escrito de Microsoft Corporation.   Microsoft puede incluir en este documento patentes, aplicaciones patentadas, patentes, marcas comerciales, derechos de autor u otros derechos de propiedad intelectual sobre los asuntos recogidos en el presente documento. Salvo que se indique lo contrario en un acuerdo de licencia de Microsoft, este documento y su contenido no otorgan al usuario ningún tipo de licencia sobre estos productos patentados, marcas comerciales , derechos de autor ni sobre otro tipo de propiedad intelectual.   Los nombres de fabricantes, productos o URL se proporcionan solo con fines informativos y Microsoft no representa ni ofrece garantía alguna de forma explícita, implícita o legal sobre estos fabricantes o sobre el uso de los productos con cualquier tecnología de Microsoft. La inclusión de un fabricante o producto no implica que Microsoft respalde ni patrocine de forma alguna al fabricante ni al producto. En el documento pueden aparecer enlaces a sitios web de terceros. Estos sitios no están bajo el control de Microsoft y, por tanto, Microsoft no se responsabiliza del contenido de los sitios web vinculados ni de cualquier enlace que aparezca dentro de los mismos, ni de los cambios o actualizaciones en dichos sitios web. Microsoft no es responsable de las difusiones Web ni de ningún otro tipo de transmisión recibida desde un sitio vinculado. Microsoft proporciona estos enlaces solo como información; su inclusión no implica que Microsoft respalde ni patrocine de forma alguna el sitio web ni los productos que contenga.   © 2019 Microsoft Corporation. Todos los derechos reservados.   Microsoft y las marcas registradas que aparecen en http://www.microsoft.com/trademarks 1 son marcas registradas del grupo empresarial de Microsoft. El resto de marcas registradas son propiedad de sus respectivos propietarios.    

1

http://www.microsoft.com/trademarks

TÉRMINOS DE LA LICENCIA DE MICROSOFT PROGRAMA DIDÁCTICO DIRIGIDO POR INSTRUCTORES DE MICROSOFT Estos términos de licencia suponen un acuerdo entre Microsoft Corporation (o, según su lugar de residencia, una de sus filiales) y usted. Léalos detenidamente. Se aplican al uso que haga del contenido que acompaña a este acuerdo y que incluye los medios en los que lo recibió, si los hubiera. Estos términos de la licencia también se aplican al Contenido del formador y a cualquier actualización y complemento del Contenido bajo licencia, a menos que estén regidos por otros términos. En ese caso, se aplicarán dichos términos. AL ACCEDER, DESCARGAR O UTILIZAR EL CONTENIDO BAJO LICENCIA, USTED ACEPTA ESTOS TÉRMINOS. SI NO LOS ACEPTA, NO ACCEDA, DESCARGUE O UTILICE EL CONTENIDO BAJO LICENCIA. Si cumple estos términos de la licencia, tiene los derechos que se indican a continuación para cada licencia que adquiera. 1. DEFINICIONES. 1. "Centro de aprendizaje autorizado" hace referencia a un miembro del programa Microsoft Imagine Academy (MSIA), un miembro de la Formación de aprendizaje de Microsoft, o cualquier otra entidad que Microsoft pueda designar en cualquier momento. 2. "Sesión de formación autorizada" hace referencia a la clase de formación dirigida por un instructor utilizando el Programa didáctico dirigido por instructores de Microsoft, llevado a cabo por un Formador o a través del Centro de aprendizaje autorizado. 3. "Dispositivo de aula" hace referencia a un (1) equipo de sobremesa específico y seguro que un Centro de aprendizaje autorizado posee o controla, ubicado en las instalaciones formación de un Centro de aprendizaje autorizado, que cumple o supera el nivel de hardware especificado para el Programa didáctico dirigido por instructores de Microsoft. 4. "Usuario final" hace referencia a aquellas personas (i) debidamente inscritas y que asisten a una Sesión de formación autorizada o a una Sesión de formación privada, (ii) un empleado de un miembro de MPN, (iii) un empleado a tiempo completo de Microsoft, un miembro del programa Microsoft Imagine Academy (MSIA) o un Formador validado de Microsoft Learn for Educators. 5. "Contenido bajo licencia" hace referencia al contenido que acompaña a este acuerdo, que puede incluir el Programa didáctico dirigido por instructores de Microsoft o el Contenido del formador. 6. "Formador certificado por Microsoft" o "MCT" hace referencia a una persona que (i) contratada para impartir una sesión de formación a los Usuarios finales en nombre de un Centro de aprendizaje autorizado o un miembro de MPN y (ii) que actualmente está capacitado como Formador certificado por Microsoft en el marco del Programa de certificación de Microsoft. 7. "El Programa didáctico dirigido por instructores de Microsoft" hace referencia al curso de formación dirigido por un instructor de la marca Microsoft que sirve para formar a profesionales de la informática, desarrolladores, estudiantes de una institución académica y otros estudiantes sobre las tecnologías de Microsoft. Un título del Programa didáctico dirigido por instructores de Microsoft puede ser anunciado como un programa de MOC, Microsoft Dynamics o de Microsoft Business Group. 8. "Miembro del Programa de Microsoft Imagine Academy (MSIA)" hace referencia a un miembro activo del Programa de Microsoft Imagine Academy.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

EULA  III

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

IV  EULA

9. "Formador validado de Microsoft Learn for Educators" hace referencia a un formador que ha sido validado a través del programa Microsoft Learn for Educators como formador activo en una escuela, universidad pública o privada, escuela politécnica o institución K-12. 10. "Miembro de la Formación de aprendizaje de Microsoft" hace referencia a un miembro activo del programa de la Red de Socios de Microsoft que actualmente tiene el estado de Formación de aprendizaje. 11. "MOC" hace referencia al "Producto oficial de aprendizaje de Microsoft", un programa dirigido por formadores conocido como Curso oficial de Microsoft que forma a los profesionales de TI, desarrolladores, estudiantes de una institución académica y otros alumnos sobre las tecnologías de Microsoft. 12. "Miembro de la MPN" hace referencia a un miembro activo del programa de la Red de Socios de Microsoft de pleno derecho. 13. "Dispositivo personal" hace referencia a un (1) equipo de sobremesa, dispositivo, estación de trabajo u otro dispositivo electrónico digital personal que usted posee o controla personalmente y que cumple o supera el nivel de hardware especificado para el Programa didáctico dirigido por instructores de Microsoft. 14. "Sesión de formación privada" hace referencia a las clases de formación dirigidas por instructores que ofrecen los miembros de la MPN a clientes corporativos para impartir un objetivo de aprendizaje predefinido utilizando el Programa didáctico dirigido por instructores de Microsoft. Estas clases no se anuncian ni se promocionan entre el público en general y la asistencia a las mismas está restringida a las personas empleadas o contratadas por la empresa cliente. 15. "Formador" hace referencia a (i) un formador académicamente acreditado contratado por un miembro del programa Microsoft Imagine Academy para impartir una Sesión de formación autorizada, (ii) un formador académicamente acreditado y validado como formador por parte de Microsoft Learn for Educators o (iii) un MCT. 16. "Contenido para el formador" hace referencia a la versión para el formador del Programa didáctico dirigido por instructores de Microsoft y el contenido suplementario adicional designado exclusivamente para el uso de los formadores a la hora de impartir una sesión de formación mediante el Programa didáctico dirigido por instructores de Microsoft. El Contenido para el formador puede incluir presentaciones de Microsoft PowerPoint, guías de preparación del formador, materiales de aprendizaje para el formador, paquetes de Microsoft One Note, guías de configuración de las aulas de clase y el formulario de comentarios del curso para versiones preliminares. Aclaración: El Contenido del formador no incluye ningún programa, discos duros virtuales o máquinas virtuales. 2. DERECHOS DE USO. El Contenido bajo licencia no se vende. El Contenido bajo licencia se autoriza sobre la base de una copia por usuario,de tal manera que usted debe adquirir una licencia para cada persona que acceda o utilice el Contenido bajo licencia. ●● 2.1 A continuación enumeramos los cinco conjuntos de derechos de uso distintos. Solo un conjunto de derechos se aplica a usted. 1. Si es miembro del programa Microsoft Imagine Academy (MSIA): 1. Cada licencia adquirida en su nombre solo se puede utilizar para consultar una (1) copia del Programa didáctico dirigido por instructores de Microsoft en la forma que se le ha proporcionado. Si el Programa didáctico dirigido por instructores de Microsoft se encuentra en formato digital, puede instalar una (1) copia en hasta tres (3) Dispositivos personales. No

puede instalar el Programa didáctico dirigido por instructores de Microsoft en un dispositivo que no sea de su propiedad o sobre el que no tenga control. 2. Por cada licencia que adquiera en nombre de un Usuario final o Formador, usted puede: 1. distribuir una (1) versión impresa del Programa didáctico dirigido por instructores de Microsoft a un (1) usuario final que esté inscrito en la Sesión de formación autorizada, y solo inmediatamente antes del comienzo de la Sesión de formación autorizada que es el objeto del Programa didáctico dirigido por instructores de Microsoft que se está ofreciendo, o 2. proporcionar a un (1) Usuario final el código de canje único e instrucciones sobre cómo puede acceder a una (1) versión digital del Programa didáctico dirigido por instructores de Microsoft, o 3. proporcionar a un (1) Formador el código de canje único e instrucciones sobre cómo puede acceder a una unidad (1) de Contenido del formador, siempre y cuando cumpla con lo siguiente: 3. solo proporcionará acceso al Contenido bajo licencia a aquellas personas que hayan adquirido una licencia válida para el Contenido bajo licencia, 4. se asegurará de que cada usuario final que asista a una sesión de formación autorizada tenga su propia copia con licencia válida del Programa didáctico dirigido por instructores de Microsoft para la materia correspondiente de la Sesión de formación autorizada, 5. se asegurará de que a cada Usuario final al que se le entregue la versión impresa del Programa didáctico dirigido por instructores de Microsoft se le entregue una copia de este acuerdo y cada usuario final aceptará que el uso que haga del Programa didáctico dirigido por instructores de Microsoft estará sujeto a los términos de este acuerdo antes de entregarle el Programa didáctico dirigido por instructores de Microsoft. Cada persona deberá indicar su aceptación de este acuerdo de la manera en que sea exigible según la ley local antes de acceder al Programa didáctico dirigido por instructores de Microsoft, 6. se asegurará de que cada Formador que imparta una Sesión de formación autorizada tenga su propia copia autorizada válida del Contenido del formador relativo a la materia que se trate en la Sesión de formación autorizada, 7. solo utilizará Formadores calificados que tengan un profundo conocimiento y experiencia con la tecnología de Microsoft objeto del Programa didáctico dirigido por instructores de Microsoft que se imparte en todas sus sesiones de formación autorizadas, 8. solo ofrecerá un máximo de 15 horas de formación a la semana por cada Sesión de formación autorizada que utilice un título MOC y 9. usted confirma que los Formadores que no son MCT no tendrán acceso a ningún recurso de formación del Programa didáctico dirigido por instructores de Microsoft. 2. Si usted es un miembro de la Formación de aprendizaje de Microsoft: 1. Cada licencia adquirida en su nombre solo se puede utilizar para consultar una (1) copia del Programa didáctico dirigido por instructores de Microsoft en la forma que se le ha proporcionado. Si el Programa didáctico dirigido por instructores de Microsoft se encuentra en formato digital, puede instalar una (1) copia en hasta tres (3) Dispositivos personales. No puede instalar el Programa didáctico dirigido por instructores de Microsoft en un dispositivo que no sea de su propiedad o sobre el que no tenga control.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

EULA  V

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

VI  EULA

2. Por cada licencia que adquiera en nombre de un Usuario final o MCT, usted puede: 1. distribuir una (1) versión impresa del Programa didáctico dirigido por instructores de Microsoft a un (1) usuario final que asistan a la Sesión de formación autorizada, y solo inmediatamente antes del comienzo de la Sesión de formación autorizada que es objeto del Programa didáctico dirigido por instructores de Microsoft que se está ofreciendo, o 2. proporcionar a un (1) Usuario final asistente a la Sesión de formación autorizada el código de canje único e instrucciones sobre cómo puede acceder a una (1) versión digital del Programa didáctico dirigido por instructores de Microsoft, o 3. proporcionar a un (1) MCT el código de canje único e instrucciones sobre cómo puede acceder a una unidad (1) de Contenido del formador, siempre y cuando cumpla con lo siguiente: 3. solo proporcionará acceso al Contenido bajo licencia a aquellas personas que hayan adquirido una licencia válida para el Contenido bajo licencia, 4. se asegurará de que cada usuario final que asista a una Sesión de formación autorizada tenga su propia copia con licencia válida del Programa didáctico dirigido por instructores de Microsoft que es objeto de la Sesión de formación autorizada, 5. se asegurará de que a cada usuario final al que se le proporcione la versión impresa del Programa didáctico dirigido por instructores de Microsoft reciba una copia de este acuerdo y cada usuario final aceptará que el uso que haga del Programa didáctico dirigido por instructores de Microsoft estará sujeto a los términos de este acuerdo antes de proporcionarle el Programa didáctico dirigido por instructores de Microsoft. Cada persona deberá indicar su aceptación de este acuerdo de la manera en que sea exigible según la ley local antes de acceder al Programa didáctico dirigido por instructores de Microsoft, 6. se asegurará de que cada MCT que enseñe una Sesión de formación autorizada tenga su propia copia autorizada válida del Contenido del formador relativo al tema que se trate en la Sesión de formación autorizada, 7. solo utilizará MCT cualificados que también posean la credencial de Certificación de Microsoft aplicable relativa a la materia del título MOC que se imparte para todas sus Sesiones de Formación autorizada utilizando MOC, 8. solo proporcionará acceso al Programa didáctico dirigido por instructores de Microsoft a los Usuarios finales, y 9. solo dará acceso al Contenido del formador a los MCT. 3. Si es usted miembro de la MPN: 1. Cada licencia adquirida en su nombre solo se puede utilizar para consultar una (1) copia del Programa didáctico dirigido por instructores de Microsoft en la forma que se le ha proporcionado. Si el Programa didáctico dirigido por instructores de Microsoft se encuentra en formato digital, puede instalar una (1) copia en hasta tres (3) Dispositivos personales. No puede instalar el Programa didáctico dirigido por instructores de Microsoft en un dispositivo que no sea de su propiedad o sobre el que no tenga control. 2. Por cada licencia que adquiera en nombre de un Usuario final o Formador, usted puede: 1. distribuir una (1) versión impresa del Programa didáctico dirigido por instructores de Microsoft a un (1) usuario final que asistan a la Sesión de formación autorizada, y solo

inmediatamente antes del comienzo de la Sesión de formación privada que es objeto del Programa didáctico dirigido por instructores de Microsoft que se está ofreciendo, o 2. proporcionar a un (1) usuario final asistente a la Sesión de formación privada el código de canje único e instrucciones sobre cómo puede acceder a una (1) versión digital del Programa didáctico dirigido por instructores de Microsoft, o 3. proporcionar a un (1) Formador que imparta una Sesión de formación privada el código de canje único e instrucciones sobre cómo puede acceder a una unidad (1) de Contenido del formador, siempre y cuando cumpla con lo siguiente: 3. solo proporcionará acceso al Contenido bajo licencia a aquellas personas que hayan adquirido una licencia válida para el Contenido bajo licencia, 4. se asegurará de que cada usuario final que asista a una Sesión de formación privada tenga su propia copia con licencia válida del Programa didáctico dirigido por instructores de Microsoft que sea objeto de la Sesión de formación autorizada, 5. se asegurará de que a cada usuario final al que se le proporcione la versión impresa del Programa didáctico dirigido por instructores de Microsoft se le entregue una copia de este acuerdo y cada usuario final aceptará que el uso que haga del Programa didáctico dirigido por instructores de Microsoft estará sujeto a los términos de este acuerdo antes de proporcionarle el Programa didáctico dirigido por instructores de Microsoft. Cada persona deberá indicar su aceptación de este acuerdo de la manera en que sea exigible según la ley local antes de acceder al Programa didáctico dirigido por instructores de Microsoft, 6. se asegurará de que cada Formador que enseñe una Sesión de formación privada tenga su propia copia autorizada válida del Contenido del formador que sea objeto de la Sesión de formación privada, 7. solo utilizará Formadores cualificados que también posean la credencial de Certificación de Microsoft aplicable relativa al tema del Programa didáctico dirigido por instructores de Microsoft que se imparte para todas sus Sesiones de formación privada, 8. solo utilizará MCT cualificados que posean la credencial de Certificación de Microsoft aplicable relativa al objeto del título MOC que se imparte para todas sus Sesiones de formación privada utilizando MOC, 9. solo proporcionará acceso al Programa didáctico dirigido por instructores de Microsoft a los Usuarios finales, y 10. solo dará acceso al Contenido del formador a los Formadores. 4. Si usted es un usuario final: Por cada licencia que adquiera, podrá utilizar el Programa didáctico dirigido por instructores de Microsoft únicamente para su uso personal de formación. Si el Programa didáctico dirigido por instructores de Microsoft está en formato digital, podrá acceder al Programa didáctico dirigido por instructores de Microsoft en línea utilizando el código de canje único que le haya proporcionado el proveedor de formación e instalar y utilizar una (1) copia del Programa didáctico dirigido por instructores de Microsoft en hasta tres (3) dispositivos personales. También puede imprimir una (1) copia del Programa didáctico dirigido por instructores de Microsoft. No puede instalar el Programa didáctico dirigido por instructores de Microsoft en un dispositivo que no sea de su propiedad o sobre el que no tenga control.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

EULA  VII

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

VIII  EULA

5. Si usted es un formador: 1. Por cada licencia que adquiera, podrá instalar y utilizar una (1) copia del Contenido del formador del modo en que lo reciba en un (1) Dispositivo personal, únicamente para preparar y realizar una Sesión de formación autorizada o una Sesión de formación privada, e instalar una (1) copia adicional en otro Dispositivo personal como copia de seguridad, que podrá utilizarse únicamente para reinstalar el Contenido del formador. No puede instalar el Contenido del formador en un dispositivo que no sea de su propiedad o sobre el que no tenga control. También puede imprimir una (1) copia del Contenido del formador únicamente para preparar e impartir una Sesión de formación autorizada o una Sesión de formación privada. 2. Si usted es un MCT, puede personalizar la redacción del Contenido del formador que esté lógicamente asociada con la Sesión de formación impartida de acuerdo con la versión más reciente del acuerdo MCT. 3. Si decide ejercer los derechos anteriores, se compromete a cumplir lo siguiente: i) Las personalizaciones solo podrán utilizarse para impartir Sesiones de formación autorizadas y sesiones de formación privadas, y ii) todas las personalizaciones cumplirán con el presente acuerdo. Para mayor claridad, cualquier uso del verbo "personalizar" se refiere únicamente a cambiar el orden de las diapositivas y el contenido o no utilizar todas las diapositivas o el contenido. Bajo ningún concepto significa cambiar o modificar ninguna diapositiva o contenido. ●● 2.2 Separación de los componentes. El Contenido bajo licencia se autoriza como una sola unidad y no se pueden separar sus componentes e instalarlos en diferentes dispositivos. ●● 2.3 Redistribución del contenido con licencia. Salvo que se indique expresamente en los derechos de uso anteriores, usted no puede distribuir ningún contenido con licencia ni ninguna parte del mismo (incluida cualquier modificación permitida) a terceros sin el permiso expreso por escrito de Microsoft. ●● 2.4 Avisos a terceros. El Contenido bajo licencia puede incluir un código de terceros que Microsoft, no el tercero, le ofrece con licencia a usted bajo este acuerdo. Los avisos, si los hay, del código de terceros se incluyen solo a título informativo. ●● 2.5 Términos adicionales. Algunos contenidos con licencia pueden incluir componentes con términos, condiciones y licencias adicionales en relación con su uso. Cualquier término que no entre en conflictivo en esas condiciones y licencias también se aplica al uso de ese componente respectivo y complementa los términos descritos en este acuerdo. 3. CONTENIDO BAJO LICENCIA BASADO EN TECNOLOGÍA DE VERSIÓN PRELIMINAR.Si el objeto del Contenido bajo licencia se basa en una versión preliminar de la tecnología de Microsoft ("Versión preliminar"), entonces, además de las otras disposiciones de este acuerdo, se aplican también estos términos: 1. Contenido bajo licencia de la Versión preliminar. El objeto de este Contenido bajo licencia es la Versión preliminar de tecnología de Microsoft. Puede que la tecnología no funcione como lo hará en la versión final de la tecnología. Es posible que cambiemos la tecnología para la versión final. También es posible que no publiquemos una versión final. El Contenido bajo licencia basado en la versión final de la tecnología puede no contener la misma información que el Contenido bajo licencia basado en la Versión preliminar. Microsoft no tiene ninguna obligación de proporcionarle ningún otro contenido, incluido cualquier contenido con licencia basado en la versión final de la tecnología.

2. Comentarios. Si usted acepta proporcionar sus comentarios sobre el Contenido bajo licencia a Microsoft, ya sea directamente o a través de su tercera parte designada, entonces está de acuerdo con ofrecer a Microsoft, sin cargo alguno, el derecho de usar, compartir y comercializar sus comentarios de cualquier manera y para cualquier fin. Usted también otorga a terceros, sin cargo alguno, cualquier derecho de patente necesario para sus productos, tecnologías y servicios para usar o interactuar con cualquier parte específica de una tecnología, producto o servicio de Microsoft que incluya sus comentarios. No proporcionará comentarios que estén sujetos a una licencia que requiera que Microsoft otorgue una licencia de su tecnología, tecnologías o productos a terceros porque hayamos incluido sus comentarios en ellos. Estos derechos seguirán vigentes tras la extinción de este acuerdo. 3. Plazo de la Versión preliminar. Si usted es un miembro del programa Microsoft Imagine Academy, miembro de la Formación de aprendizaje de Microsoft, miembro de MPN, Microsoft Learn for Educators - Formador validado o Formador, dejará de usar todas las copias del Contenido bajo licencia de la Versión preliminar de la tecnología a partir de (i) la fecha que Microsoft le comunique que finaliza el uso del Contenido bajo licencia en la tecnología de la Versión preliminar, o (ii) sesenta (60) días después del lanzamiento comercial de la tecnología que es objeto del Contenido bajo licencia, lo que ocurra primero ("Plazo de la Versión preliminar"). Al expirar o finalizarse el plazo de la Versión preliminar, usted borrará y destruirá de manera irreversible todas las copias del Contenido bajo licencia que estén en su posesión o bajo su control. 4. ALCANCE DE LA LICENCIA. El contenido con licencia no se vende. Este acuerdo solo le da algunos derechos para usar el Contenido bajo licencia. Microsoft se reserva todos los demás derechos. A menos que la ley aplicable le otorgue más derechos a pesar de esta limitación, usted puede utilizar el Contenido bajo licencia solo como se detalla expresamente en este acuerdo. Al hacerlo, debe cumplir con cualquier limitación técnica en el Contenido bajo licencia que solo le permita usarlo de ciertas maneras. Excepto en los casos expresamente permitidos en este acuerdo, no puede: ●● acceder o permitir a cualquier persona acceder al Contenido bajo licencia si no ha adquirido una licencia válida para dicho contenido, ●● alterar, eliminar u ocultar cualquier aviso de derechos de autor u otros avisos de protección (como las marcas de agua), demás marcas o identificaciones contenidas en el Contenido bajo licencia, ●● modificar o crear un trabajo derivado de cualquier Contenido bajo licencia, ●● mostrar públicamente o poner a disposición de otros el Contenido bajo licencia para que accedan a él o lo usen, ●● copiar, imprimir, instalar, vender, publicar, transmitir, prestar, adaptar, reutilizar, enlazar o publicar, poner a disposición o distribuir el Contenido bajo licencia a cualquier tercero, ●● evitar cualquier limitación técnica del Contenido bajo licencia, o ●● realizar ingeniería inversa, descompilar, eliminar o frustrar cualquier protección o desensamblar el Contenido bajo licencia, excepto y solo en la medida en que la ley aplicable lo permita expresamente, a pesar de esta limitación. 5. RESERVA DE DERECHOS Y PROPIEDAD. Microsoft se reserva todos los derechos que no le haya concedido expresamente a usted en este acuerdo. El contenido con licencia está protegido por derechos de autor y otras leyes y tratados de propiedad intelectual. Microsoft o sus proveedores son los propietarios del título, los derechos de autor y otros derechos de propiedad intelectual del Contenido bajo licencia. 6. RESTRICCIONES A LA EXPORTACIÓN. El Contenido bajo licencia está sujeto a las leyes y reglamentos de exportación de los Estados Unidos. Usted debe observar todas las leyes y reglamentos relativas

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

EULA  IX

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

X  EULA

a la exportación nacionales e internacionales que se aplican al Contenido bajo licencia. Estas leyes incluyen restricciones en cuanto a los destinos, usuarios finales y uso final. Para obtener más información, consulte www.microsoft.com/exporting. 7. SERVICIOS DE ASISTENCIA. Debido a que el Contenido bajo licencia se proporciona "tal cual", es posible que no proporcionemos servicios de asistencia para el mismo. 8. RESCISIÓN. Sin perjuicio de cualquier otro derecho, Microsoft puede rescindir este acuerdo si usted no cumple con los términos y condiciones del mismo. Una vez extinguido este acuerdo por la razón que sea, usted detendrá inmediatamente todo uso y borrará y destruirá todas las copias del Contenido bajo licencia en su posesión o bajo su control. 9. ENLACES A SITIOS DE TERCEROS. Es posible que el Contenido bajo licencia incluya enlaces a sitios de terceros. Los sitios de terceros no están bajo el control de Microsoft, y Microsoft no es responsable del contenido de ningún sitio de terceros, de ningún enlace contenido en los sitios de terceros, ni de ningún cambio o actualización de los sitios de terceros. Microsoft no es responsable de la difusión por Internet o cualquier otra forma de transmisión recibida de los sitios de terceros. Microsoft le proporciona estos enlaces a sitios de terceros solo para su comodidad, y su inclusión no implica una aprobación por parte de Microsoft del sitio de terceros. 10. ACUERDO ÍNTEGRO. Este acuerdo y cualquier término adicional para el Contenido del formador, las actualizaciones y los complementos suponen el acuerdo completo para el Contenido bajo licencia, las actualizaciones y los complementos. 11. LEY APLICABLE. 1. Dentro de los Estados Unidos. Si usted adquirió el Contenido bajo licencia en Estados Unidos, este acuerdo se rige por las leyes del estado de Washington, y es de aplicación en caso de cualquier reclamación por incumplimiento del mismo, independientemente de que haya cualquier conflicto entre leyes. Las leyes del estado en el que usted vive rigen todas las demás reclamaciones, como las reclamaciones en virtud de las leyes estatales de protección del consumidor, leyes de competencia desleal y en materia de responsabilidad civil. 2. Fuera de los Estados Unidos. Si usted adquirió el Contenido bajo licencia en cualquier otro país, se aplican las leyes de ese país. 12. CARACTER LEGAL. Este acuerdo describe ciertos derechos legales. Es posible que tenga otros derechos en virtud de las leyes de su país. También puede tener derechos con respecto a la parte de la que adquirió el Contenido bajo licencia. El presente acuerdo no modifica los derechos que le asisten en virtud de las leyes de su país si las leyes de su país no lo permiten. 13. RENUNCIA DE LA GARANTÍA. EL CONTENIDO BAJO LICENCIA SE OTORGA "TAL CUAL" Y "TAL Y COMO ESTÁ DISPONIBLE". USTED ASUME EL RIESGO DE USARLO. MICROSOFT Y SUS RESPECTIVAS FILIALES NO OFRECEN NINGUNA GARANTÍA O CONDICIÓN EXPRESA. PUEDE TENER DERECHOS ADICIONALES COMO CONSUMIDOR SEGÚN LA LEGISLACIÓN LOCAL QUE ESTE ACUERDO NO PUEDE CAMBIAR. EN LA MEDIDA EN QUE LO PERMITAN LAS LEYES LOCALES, MICROSOFT Y SUS RESPECTIVAS FILIALES EXCLUYEN CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y NO INFRACCIÓN. 14. LIMITACIÓN Y EXCLUSIÓN DE LOS RECURSOS Y DAÑOS Y PERJUICIOS. SOLO PODRÁ RECIBIR DE MICROSOFT, SUS RESPECTIVAS FILIALES Y SUS PROVEEDORES UNA COMPENSACIÓN DE UN MÁXIMO DE 5 USD POR DAÑOS Y PERJUICIOS DIRECTOS. NO PUEDE RECIBIR COMPENSACIÓN POR NINGÚN OTRO DAÑO, INCLUIDOS DAÑOS DERIVADOS, PÉRDIDA DE BENEFICIOS, DAÑOS ESPECIALES, INDIRECTOS O INCIDENTALES.

Esta limitación se aplica a ●● cualquier ámbito relacionado con el Contenido bajo licencia, los servicios, el contenido (como el código) en sitios de Internet de terceros o programas de terceros; y ●● reclamaciones por incumplimiento de contrato, incumplimiento de garantía o condiciones, responsabilidad objetiva, negligencia u otro perjuicio en la medida en que lo permita la legislación aplicable. Esto también se aplica aunque Microsoft conociera o debiera haber conocido la posibilidad de los daños. Es posible que la limitación o exclusión anterior no se aplique en su caso porque su país no permite la exclusión o limitación de daños incidentales, consecuentes o de otro tipo. Nota: Este Contenido bajo licencia se distribuye en Quebec (Canadá) por lo que algunas de las cláusulas de este acuerdo se presentan a continuación en francés.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

EULA  XI

■■

Module 0 Introducción al curso  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Acerca de este curso  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 

■■

Module 1 Describir los conceptos básicos de Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Objetivos de aprendizaje  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Introducción a los aspectos básicos de Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Conceptos fundamentales de Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Describir los componentes principales de la arquitectura de Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . Preguntas de repaso del módulo 1  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Resumen del módulo 1  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

      

5 5 6 25 33 44 46

■■

Module 2 Describir los servicios principales de Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Objetivos de aprendizaje  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Explorar los servicios de análisis y bases de datos de Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Explorar Compute Services de Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Explorar los servicios de Azure Storage  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Explorar los servicios de red de Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Preguntas de repaso del módulo 2  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Resumen del módulo 2  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

       

51 51 52 62 78 84 100 103

■■

Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Objetivos de aprendizaje  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Elección del mejor servicio de IA para sus necesidades  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Elección de las mejores herramientas para ayudar a que las organizaciones creen mejores soluciones   Elección del mejor servicio de supervisión para visibilidad, información y mitigación de interrupciones   Elección de las mejores herramientas para administrar y configurar el entorno de Azure  . . . . . . . . . .  Elección de la mejor tecnología sin servidor de Azure para su escenario empresarial  . . . . . . . . . . . . .  Elección del mejor servicio de Azure IoT para su aplicación  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Preguntas de repaso del módulo 3  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Resumen del módulo 3  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 

■■

Module 4 Descripción de las características de seguridad general y de seguridad de red  . . .  Objetivos de aprendizaje  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Protección frente a amenazas de seguridad en Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 

1 1

107 107 108 115 122 129 136 141 148 152 161 161 162

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

Contents

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

Conectividad de red segura en Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Preguntas de repaso del módulo 4  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Resumen del módulo 4  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 

170 177 179

■■

Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Objetivos de aprendizaje  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Acceso seguro a las aplicaciones con servicios de identidad de Azure  . . . . . . . . . . . . . . . . . . . . . . . . . .  Creación de una estrategia de gobernanza en la nube en Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Examine los estándares de privacidad, cumplimiento y protección de datos en Azure  . . . . . . . . . . . . .  Preguntas de repaso del módulo 5  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Resumen del módulo 5  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 

183 183 185 193 231 244 246

■■

Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  . . . . .  Objetivos de aprendizaje  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Planificación y administración de los costes de Azure  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Elección de los servicios de Azure adecuados según los acuerdos de nivel de servicio y el ciclo de vida del servicio  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Preguntas de repaso del módulo 6  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Resumen del módulo 6  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 

251 251 252

Module 7 Cierre del curso  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  Resumen  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 

293 293

■■

274 286 288

Acerca de este curso Acerca de este curso Descripción del curso

Este curso proporciona conocimiento de nivel básico sobre conceptos de la nube; servicios principales de Azure; seguridad, privacidad, cumplimiento y confianza; y soporte y precios de Azure. Nivel: Principiante Público La audiencia de este curso apenas comienza a aprender sobre la informática en la nube y cómo Microsoft Azure proporciona ese servicio. Hay dos versiones de este curso, una versión de un día y una versión de dos días. El contenido de ambos cursos se alinea con el dominio objetivo del examen AZ-900. ●● AZ-900T00. Este curso de dos días proporciona un pase para Azure y tiempo para que los alumnos participen en laboratorios prácticos durante el curso. ●● AZ-900T01. Este curso de un día no proporciona un pase para Azure ni tiempo para que los alumnos participen en laboratorios prácticos durante el curso. Requisitos previos No hay requisitos previos para este curso, pero para los alumnos con algún conocimiento o experiencia en TI los conceptos serán más fáciles de entender. Aprendizaje esperado ●● Los aspectos básicos de la informática en la nube y Azure, además de una explicación sobre cómo empezar a trabajar con las suscripciones y cuentas de Azure. ●● Las ventajas de utilizar servicios de informática en la nube, aprender a diferenciar los distintos tipos y categorías de informática en la nube, además de cómo evaluar los diferentes conceptos, recursos y terminología necesarios para trabajar con la arquitectura Azure. ●● Los servicios principales disponibles con Microsoft Azure.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

Module 0 Introducción al curso

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

2  Module 0 Introducción al curso  

●● Las soluciones principales que incluyen una amplia gama de herramientas y servicios de Microsoft Azure. ●● La seguridad general y las características de seguridad de red y cómo utilizar los distintos servicios de Azure para ayudarle a garantizar que sus recursos en la nube son seguros, están protegidos y son de confianza. ●● Las características de identidad, gobernanza, privacidad y cumplimiento y cómo Azure puede ayudarle a proteger el acceso a los recursos de la nube, qué significa crear una estrategia de gobernanza en la nube y cómo Azure cumple con los estándares habituales normativos y de cumplimiento. ●● Los factores que influyen en el coste, las herramientas que se pueden usar para poder estimar y administrar el gasto en la nube, y sobre cómo los acuerdos de nivel de servicio de Azure (SLA) pueden influir en las decisiones de diseño de una aplicación.

Programa del curso

Módulo 1: Describir los conceptos esenciales de Azure En este módulo se presentan los aspectos básicos de la informática en la nube y Azure, además de una explicación sobre cómo empezar a trabajar con las suscripciones y cuentas de Azure. Obtendrá información sobre las ventajas de utilizar servicios de informática en la nube, aprenderá a diferenciar los distintos tipos y categorías de informática en la nube y a evaluar los diferentes conceptos, recursos y terminología necesarios para trabajar con la arquitectura Azure. ●● Lección 1: Objetivos de aprendizaje ●● Lección 2: Introducción a los aspectos básicos de Azure ●● Lección 3: Debatir conceptos fundamentales de Azure ●● Lección 4: Describir componentes arquitectónicos principales de Azure ●● Lección 5: Preguntas de repaso del Módulo 1 ●● Lección 6: Resumen del Módulo 1 Módulo 2: Describir los servicios principales de Azure En este módulo, aprenderá acerca de los servicios principales disponibles con Microsoft Azure. ●● Lección 1: Objetivos de aprendizaje ●● Lección 2: Explorar los servicios de análisis y bases de datos de Azure ●● Lección 3: Explorar Compute Services de Azure ●● Lección 4: Explorar los servicios de almacenamiento de Azure ●● Lección 5: Explorar los servicios de red de Azure ●● Lección 6: Preguntas de repaso del Módulo 2 ●● Lección 7: Resumen del Módulo 2 Módulo 3: Describir las principales soluciones y herramientas de administración de Azure Entre las soluciones principales se incluye una amplia gama de herramientas y servicios de Microsoft Azure. En este módulo se le presentarán muchos de estos servicios y herramientas y se le pedirá que elija cuál es el mejor para un determinado escenario empresarial. ●● Lección 1: Objetivos de aprendizaje ●● Lección 2: Elegir el mejor servicio de IA para sus necesidades

●● Lección 3: Elegir las mejores herramientas para ayudar a que las organizaciones creen mejores soluciones ●● Lección 4: Elegir el mejor servicio de supervisión para visibilidad, información y mitigación de interrupciones ●● Lección 5: Elegir las mejores herramientas para administrar y configurar el entorno de Azure ●● Lección 6: Elegir la mejor tecnología sin servidor de Azure para su escenario empresarial ●● Lección 7: Elegir el mejor servicio de Azure IoT para su aplicación ●● Lección 8: Preguntas de repaso del Módulo 3 ●● Lección 9: Resumen del Módulo 3 Módulo 4: Describir las características de seguridad general y de seguridad de red En este módulo obtendrá información sobre la seguridad general y las características de seguridad de red y aprenderá cómo utilizar los distintos servicios de Azure para ayudarle a garantizar que sus recursos en la nube son seguros, están protegidos y son de confianza. ●● Lección 1: Objetivos de aprendizaje ●● Lección 2: Protegerse frente a amenazas de seguridad en Azure ●● Lección 3: Asegurar la conectividad de red en Azure ●● Lección 4: Preguntas de repaso del Módulo 4 ●● Lección 5: Resumen del Módulo 4 Módulo 5: Describir las características de identidad, gobernanza, privacidad y cumplimiento En este módulo obtendrá información sobre las características de identidad, gobernanza, privacidad y cumplimiento. Obtendrá información sobre cómo Azure puede ayudarle a proteger el acceso a los recursos de la nube, qué significa crear una estrategia de gobernanza en la nube y cómo Azure cumple con los estándares habituales normativos y de cumplimiento. ●● Lección 1: Objetivos de aprendizaje ●● Lección 2: Acceder con seguridad a las aplicaciones con servicios de identidad de Azure ●● Lección 3: Crear una estrategia de gobernanza en la nube en Azure ●● Lección 4: Evaluar los estándares de privacidad, cumplimiento y protección de datos en Azure ●● Lección 5: Preguntas de repaso del Módulo 5 ●● Lección 6: Resumen del Módulo 5 Módulo 6: Describir las características de seguridad general y de seguridad de red Obtenga información sobre los factores que influyen en el coste, las herramientas que se pueden usar para poder estimar y administrar el gasto en la nube, y sobre cómo los acuerdos de nivel de servicio de Azure (SLA) pueden influir en las decisiones de diseño de una aplicación. ●● Lección 1: Objetivos de aprendizaje ●● Lección 2: Planificar y administrar los costes de Azure ●● Lección 3: Elegir los servicios de Azure adecuados según los acuerdos de nivel de servicio y el ciclo de vida del servicio ●● Lección 4: Preguntas de repaso del Módulo 6 ●● Lección 5: Resumen del Módulo 6

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Acerca de este curso  3

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

4  Module 0 Introducción al curso  

Examen de certificación para AZ-900

El examen de certificación AZ-900, Conceptos básicos de Microsoft Azure,1 está diseñado para candidatos que buscan demostrar un conocimiento de nivel básico de los servicios en la nube y cómo se proporcionan esos servicios con Microsoft Azure. El examen está destinado a candidatos con antecedentes no técnicos, como aquellos involucrados en la venta o compra de soluciones y servicios basados en la nube o que tienen alguna participación en soluciones y servicios basados en la nube, así como aquellos con antecedentes técnicos que tienen la necesidad de validar su conocimiento de nivel fundamental en torno a los servicios en la nube. No es necesario tener experiencia técnica en TI, pero sería beneficioso contar con algún conocimiento o experiencia general sobre ello. Este examen se puede realizar como un primer paso opcional para aprender sobre los servicios en la nube y cómo Microsoft Azure ejemplifica esos conceptos. Se puede realizar como un precursor de los exámenes de Microsoft Azure o Microsoft Cloud Services. Si bien sería un primer paso beneficioso, validar el conocimiento de nivel fundamental, realizar este examen no es un requisito previo antes de realizar otras certificaciones basadas en Azure. El examen incluye cuatro áreas de estudio. Los porcentajes indican el peso relativo de cada área en el examen. Cuanto mayor sea el porcentaje, más preguntas contendrá el examen. Asegúrese de leer la página del examen para obtener detalles sobre las aptitudes que se cubren en cada área. Áreas de estudio AZ-900

Ponderaciones

Describir los conceptos de la nube

20-25 %

Describir los servicios principales de Azure

15-20 %

Describir las principales soluciones y herramientas de administración de Azure

10-15 %

Describir las características de seguridad general y de seguridad de red

10-15 %

Describir las características de identidad, gobernanza, privacidad y cumplimiento

20-25 %

Describir Azure Cost Management y los acuerdos de nivel de servicio (SLA)

10-15 %

✔️ Este examen no incluye un componente de prueba práctica.

Acceso a un laboratorio

Para acceder a los laboratorios de este curso, visite Laboratorios de GitHub de Conceptos básicos de Microsoft Azure2

1 2

https://docs.microsoft.com/es-es/learn/certifications/exams/az-900 https://github.com/MicrosoftLearning/AZ-900T0xES-MicrosoftAzureFundamentals/tree/master/Instructions/Walkthroughs

Objetivos de aprendizaje Objetivos de aprendizaje Después de completar este módulo, podrá:

●● Entender las ventajas de la informática en la nube con Azure y cómo esta le puede ahorrar tiempo y dinero. ●● Explicar conceptos como la alta disponibilidad, la escalabilidad, la elasticidad, la agilidad y la recuperación ante desastres. ●● Describir los componentes principales de la arquitectura de Azure, como las suscripciones, los grupos de administración, los recursos y los grupos de recursos. ●● Resumir los conceptos de distribución geográfica, como las regiones de Azure, los pares de regiones y las zonas de disponibilidad.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

Module 1 Describir los conceptos básicos de Azure

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

6  Module 1 Describir los conceptos básicos de Azure  

Introducción a los aspectos básicos de Azure Introducción

Microsoft Azure es una plataforma de informática en la nube con un conjunto de servicios que se amplía continuamente para ayudarle a crear soluciones que satisfagan sus objetivos empresariales. Los servicios de Azure van desde servicios web sencillos para hospedar su presencia empresarial en la nube hasta la ejecución de equipos totalmente virtualizados para ejecutar sus soluciones de software personalizadas. Azure proporciona una gran cantidad de servicios basados en la nube, como el almacenamiento remoto, el hospedaje de bases de datos, la administración centralizada de cuentas y nuevas funcionalidades como la inteligencia artificial y el Internet de las cosas (IoT). En este módulo, obtendrá una visión global a nivel de principiante de Azure y sus funcionalidades, que le proporcionará una base sólida para completar los módulos disponibles de Aspectos básicos de Azure.

Objetivos de aprendizaje Después de completar este módulo, podrá: ●● Describir los conceptos básicos de la informática en la nube ●● Determinación de si Azure es la solución adecuada para sus necesidades empresariales ●● Diferenciar entre los distintos métodos para crear una suscripción de Azure

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

¿Qué es la informática en la nube?

Alguna vez se ha preguntado “¿Qué es la informática en la nube?”. Se trata de la entrega de servicios informáticos, incluidos servidores, almacenamiento, bases de datos, redes, software, análisis e inteligencia, a través de Internet (“la nube”). La informática en la nube ofrece una innovación más rápida, recursos flexibles y economías de escala.

https://sec.ch9.ms/ch9/875d/c14bd0e3-198e-449b-9303-86829f14875d/CloudComputing_high.mp4

¿Por qué suele ser más barato usar la informática en la nube? La informática en la nube es la prestación de servicios informáticos a través de Internet mediante un modelo de precios de pago por uso. Normalmente solo paga por los servicios en la nube que usa, lo que le ayuda a reducir los costes operativos, a ejecutar la infraestructura de una forma más eficaz y a escalar a medida que cambien sus necesidades empresariales. Dicho de otro modo, la informática en la nube es una manera de alquilar potencia de proceso y almacenamiento del centro de datos de otra persona. Los recursos de la nube se pueden tratar igual que los recursos de un centro de datos propio. Cuando haya terminado con ellos, solo hay que devolverlos. Únicamente se le cobrará por lo que use. En lugar de mantener las CPU y el almacenamiento en un centro de datos, se alquilan durante el tiempo que sea necesario. El proveedor de nube se encarga de mantener de forma automática la infraestructura subyacente. Aunque este enfoque es estupendo, el verdadero valor de la nube es que permite resolver rápidamente los desafíos empresariales más difíciles y proporcionar soluciones de vanguardia a los usuarios.

¿Por qué debería migrar a la nube? La nube ayuda a moverse con más rapidez y a innovar de maneras que antes eran prácticamente imposibles. En este mundo digital cambiante, surgen dos tendencias: ●● Los equipos están proporcionando nuevas características a los usuarios a velocidades récord. ●● Los usuarios finales esperan una experiencia cada vez más amplia y envolvente con sus dispositivos y con el software. Las versiones de software antes se programaban en plazos de meses o incluso años. Hoy en día, los equipos lanzan características en lotes más pequeños. Ahora las versiones se suelen programar en plazos de días o semanas. Algunos equipos incluso entregan actualizaciones de software de forma continua (a veces con varias versiones el mismo día). Piense en todas las formas en que interactúa con los dispositivos y que no eran posibles hace unos años. Muchos dispositivos pueden reconocer su cara y responder a comandos de voz. La realidad aumentada cambia la manera en que interactúa con el mundo físico. Incluso los electrodomésticos empiezan a actuar de manera inteligente. Estas tecnologías son solo algunos ejemplos, y muchos se desarrollan en la nube. Para desarrollar los servicios y ofrecer experiencias de usuario innovadoras y novedosas más rápidamente, la nube proporciona acceso a petición para: ●● Un grupo casi ilimitado de componentes de proceso, almacenamiento y redes sin procesar. ●● Reconocimiento de voz y otros servicios cognitivos que ayudan a hacer que su aplicación destaque entre la multitud. ●● Servicios de análisis que le permiten dar sentido a los datos de telemetría que devuelven el software y los dispositivos.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Introducción a los aspectos básicos de Azure  7

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

8  Module 1 Describir los conceptos básicos de Azure  

¿Cuáles son algunas de las ventajas de la informática en la nube? Un entorno de nube ofrece varias ventajas en comparación con un entorno físico. Por ejemplo, las aplicaciones basadas en la nube emplean una gran cantidad de estrategias relacionadas: ●● Alta disponibilidad: en función del contrato de nivel de servicio (SLA) que elija, sus aplicaciones basadas en la nube pueden proporcionar una experiencia de usuario continua sin tiempo de inactividad perceptible aunque se produzcan errores. ●● Escalabilidad: las aplicaciones en la nube se pueden escalar de las dos formas que se indican a continuación. ●● Verticalmente: la capacidad informática se puede aumentar agregando RAM o CPU adicionales a una máquina virtual. ●● Horizontalmente: la capacidad informática se puede aumentar agregando instancias de un recurso; por ejemplo, se pueden agregar máquinas virtuales adicionales a una configuración. ●● Elasticidad: las aplicaciones basadas en la nube se pueden configurar para aprovechar el escalado automático, de forma que sus aplicaciones siempre dispongan de los recursos que necesitan. ●● Agilidad: los recursos basados en la nube se pueden implementar y configurar rápidamente a medida que cambian los requisitos de una aplicación. ●● Distribución geográfica: las aplicaciones y los datos se pueden implementar en centros de datos regionales de todo el mundo, lo que garantiza que sus clientes siempre tendrán el mejor rendimiento de su región. ●● Recuperación ante desastres: al utilizar los servicios de copia de seguridad basados en la nube, la replicación de datos y la distribución geográfica, podrá implementar sus aplicaciones con la seguridad de saber que sus datos están protegidos en caso de que se produzca un desastre.

¿Qué son los modelos de servicio en la nube? La informática en la nube pertenece a uno de los modelos de informática que se indican a continuación. Si ha usado la informática en la nube durante un tiempo, es probable que haya visto los acrónimos PaaS, IaaS y SaaS para los diferentes modelos de servicio en la nube, que definen el nivel de responsabilidad compartida que tienen un proveedor de servicios en la nube y un inquilino de nube.

Modelos de servicio IaaS

PaaS

Definición

Descripción

Infraestructura como servicio

Este modelo de servicio en la nube es el más similar a la administración de servidores físicos; un proveedor de servicios en la nube mantendrá actualizado el hardware, pero el mantenimiento del sistema operativo y la configuración de red serán responsabilidad del inquilino de nube. Por ejemplo: Azure Virtual Machines son dispositivos de proceso virtual totalmente operativos que se ejecutan en los centros de datos de Microsoft. Una ventaja de este modelo de servicio en la nube es la rápida implementación de nuevos dispositivos de proceso; la configuración de una nueva máquina virtual es considerablemente más rápida que la obtención, instalación y configuración de un servidor físico.

Plataforma como servicio

Este modelo de servicio en la nube es un entorno de hospedaje administrado, en el que el proveedor de servicios en la nube administra las máquinas virtuales y los recursos de red y el inquilino de nube implementa sus aplicaciones en el entorno de hospedaje administrado. Por ejemplo: Azure App Services proporciona un entorno de hospedaje administrado en el que los desarrolladores pueden cargar sus aplicaciones web sin tener que preocuparse por el uso de los requisitos de hardware y software físicos.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Introducción a los aspectos básicos de Azure  9

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

10  Module 1 Describir los conceptos básicos de Azure  

Modelos de servicio SaaS

Definición

Descripción

Software como servicio

En este modelo de servicio en la nube, el proveedor de servicios en la nube administra todos los aspectos del entorno de la aplicación: máquinas virtuales, recursos de red, almacenamiento de datos, aplicaciones, etc., y el inquilino de nube solo tiene que proporcionar sus datos a la aplicación administrada por el proveedor de servicios en la nube. Por ejemplo: Microsoft Office 365 proporciona una versión totalmente operativa de Microsoft Office que se ejecuta en la nube; lo único que debe hacer es crear el contenido y Office 365 se encarga de todo lo demás.

En la ilustración siguiente se muestran los servicios que pueden ejecutarse en cada uno de los modelos de servicio en la nube.

En el gráfico siguiente se muestran los diversos niveles de responsabilidad entre un proveedor de servicios en la nube y un inquilino de nube.

¿Qué es la informática sin servidor? La informática sin servidor se superpone a PaaS y permite que los desarrolladores creen aplicaciones más rápidamente, ya que elimina la necesidad de administrar la infraestructura. Con las aplicaciones sin servidor, el proveedor de servicios en la nube aprovisiona, adapta y administra de manera automática la infraestructura necesaria para ejecutar el código. Las arquitecturas sin servidor son altamente escalables y están controladas por eventos; solo emplean recursos cuando se produce una función o un desencadenador específico. Para comprender la definición de informática sin servidor, es importante tener en cuenta que los servidores siguen ejecutando el código. El término “sin servidor” se refiere al hecho de que las tareas asociadas con el aprovisionamiento y la administración de la infraestructura son invisibles para la figura del desarrollador. Dicho enfoque permite a los desarrolladores centrarse en la lógica empresarial y aportar mucho más a la parte importante del negocio. La informática sin servidor ayuda a los equipos a aumentar su productividad y a llevar productos al mercado mucho más rápido. También permite que las organizaciones puedan optimizar mejor sus recursos y buscar la innovación.

¿Qué son las nubes públicas, privadas e híbridas? Hay tres modelos de implementación para la informática en la nube: nube pública, nube privada y nube híbrida. Cada modelo de implementación tiene distintos aspectos que debe tener en cuenta a la hora de migrar a la nube. Modelo de desarrollo Nube pública

Nube privada

Nube híbrida

Descripción Los servicios se ofrecen a través de la red Internet pública y están disponibles para cualquiera que quiera comprarlos. Los recursos de nube, como los servidores y el almacenamiento, son propiedad de un proveedor de servicios en la nube de terceros, que los explota y los distribuye a través de Internet. Una nube privada consta de recursos informáticos que determinados usuarios de una empresa u organización usan en exclusiva. Una nube privada puede estar ubicada físicamente en el centro de datos local de la organización o estar hospedada por un proveedor de servicios de terceros. Una nube híbrida es un entorno informático que combina una nube pública y una nube privada, lo que permite compartir datos y aplicaciones entre ellas.

En la imagen siguiente se muestran algunos de los conceptos de informática en la nube que se presentan en esta unidad. En este ejemplo, se muestran varios factores cuando se está pensando en implementar un servidor de base de datos en un entorno de nube híbrida: a medida que los recursos se mueven del entorno local al entorno de nube, se reducen los costes y los requisitos de administración.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Introducción a los aspectos básicos de Azure  11

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

12  Module 1 Describir los conceptos básicos de Azure  

¿Qué es Azure?

Azure es un conjunto de servicios en la nube en expansión constante que ayudan a la organización a cumplir los desafíos empresariales actuales y futuros. Azure le ofrece la libertad de compilar, administrar e implementar aplicaciones en una red global masiva mediante sus herramientas y plataformas favoritas.

¿Qué ofrece Azure? Con la ayuda de Azure, tendrá todo lo que necesita para compilar su próxima gran solución. En la tabla siguiente se enumeran algunas de las ventajas que proporciona Azure, para que inventar con un objetivo sea más sencillo.  

 

Esté preparado para el futuro: la innovación continua de Microsoft apoya su desarrollo actual y sus proyectos de producto para el futuro.

Compile según sus términos: tiene varias opciones. Manteniendo un compromiso con el código abierto y la compatibilidad con todos los lenguajes y marcos, cree lo que quiera e implemente donde quiera.

 

 

Opere en el entorno híbrido sin problemas: ya sea en el entorno local, en la nube o en el entorno perimetral, le apoyaremos donde esté. Integre y administre sus entornos con herramientas y servicios diseñados para la nube híbrida.

Confíe en su nube: obtenga seguridad desde el principio, respaldada por un equipo de expertos, y un cumplimiento proactivo de confianza para las empresas consolidadas, los gobiernos y las nuevas empresas.

¿Qué puedo hacer con Azure? Azure proporciona más de 100 servicios que permiten hacer todo tipo de cosas: desde ejecutar aplicaciones en máquinas virtuales hasta explorar nuevos paradigmas de software, como bots inteligentes y realidad mixta. Muchos equipos comienzan a explorar la nube mediante la migración de sus aplicaciones existentes a máquinas virtuales que se ejecutan en Azure. Si bien este es un buen comienzo, la nube es algo más que “un lugar diferente donde ejecutar las máquinas virtuales”. Por ejemplo, Azure proporciona servicios de inteligencia artificial y aprendizaje automático que pueden comunicarse de forma natural con los usuarios mediante la vista, el oído y la voz. También facilita soluciones de almacenamiento que crecen dinámicamente para dar cabida a grandes cantidades de datos. Los servicios de Azure permiten soluciones que no serían factibles sin la potencia de la nube.

¿Qué es Azure Portal? Azure Portal es una consola unificada basada en web que proporciona una alternativa a las herramientas de línea de comandos. Con Azure Portal, puede administrar su suscripción a Azure mediante una interfaz gráfica de usuario. Puede compilar, administrar y supervisar todo, desde aplicaciones web sencillas hasta complejas implementaciones en la nube. Cree paneles personalizados para una vista organizada de recursos. Configure opciones de accesibilidad para una experiencia óptima. Azure Portal está diseñado para ofrecer resistencia y disponibilidad continua, y mantiene su presencia en todos los centros de datos de Azure. Esta configuración hace que Azure Portal sea resistente a los errores de centros de datos individuales y evita que se ralentice la red al estar cerca de los usuarios. Azure Portal no deja de actualizarse y no requiere tiempo de inactividad para las actividades de mantenimiento.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Introducción a los aspectos básicos de Azure  13

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

14  Module 1 Describir los conceptos básicos de Azure  

¿Qué es Azure Marketplace? Azure Marketplace1 es un servicio en Azure que ayuda a conectar a los usuarios finales con socios de Microsoft, proveedores de software independientes (ISV) y nuevas empresas que ofrecen sus soluciones y servicios, los cuales están optimizados para ejecutarse en Azure. Azure Marketplace permite a los clientes (mayoritariamente profesionales de TI y desarrolladores de la nube) buscar, probar, comprar y aprovisionar aplicaciones y servicios de cientos de los principales proveedores de servicios, todos ellos certificados para ejecutarse en Azure.

1

https://azuremarketplace.microsoft.com?azure-portal=true

El catálogo de soluciones abarca varias categorías de la industria, que incluyen, entre otras: plataformas de contenedores de código abierto, imágenes de máquinas virtuales, bases de datos, software de compilación e implementación de aplicaciones, herramientas de desarrollo, detección de amenazas y cadena de bloques. Con Azure Marketplace, puede aprovisionar soluciones integrales de forma rápida y confiable, hospedadas en su propio entorno Azure. En el momento de redacción de este documento, esto incluye más de 8000 productos y servicios. Si bien Azure Marketplace está diseñado para profesionales de TI y desarrolladores en la nube interesados en software comercial y de TI, los socios de Microsoft también lo usan como punto de partida para todas las actividades conjuntas de lanzamiento al mercado.

Paseo por los servicios de Azure

Azure le puede ayudar a afrontar complicados retos empresariales. Usted pone los requisitos, la creatividad y sus herramientas de desarrollo de software favoritas. Azure le ofrece una gran infraestructura global que siempre está disponible para compilar aplicaciones. Se realizará un recorrido rápido por los servicios generales que ofrece Azure.

Servicios de Azure Aquí tiene una vista general de los servicios y características disponibles de Azure.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Introducción a los aspectos básicos de Azure  15

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

16  Module 1 Describir los conceptos básicos de Azure  

Ahora se verán con más detalle las categorías que se usan con más frecuencia:  

  ●● Proceso

●● Web

●● Redes

●● Internet de las cosas

●● Almacenamiento

●● Macrodatos

●● Móvil

●● Inteligencia artificial

●● Bases de datos

●● DevOps

Proceso Los servicios de proceso a menudo son una de las razones principales del cambio de las empresas a la plataforma Azure. Azure proporciona una amplia gama de opciones para hospedar aplicaciones y servicios. Estos son algunos ejemplos de servicios de proceso en Azure: Nombre del servicio

Función del servicio

Azure Virtual Machines

Máquinas virtuales (VM) Windows o Linux hospedadas en Azure

Conjuntos de escalado de las máquinas virtuales de Azure

Escalado para Windows o Linux hospedado en Azure

Azure Kubernetes Service

Permite la administración de un clúster de máquinas virtuales que ejecutan servicios en contenedores

Azure Service Fabric

Plataforma de sistemas distribuidos. Se ejecuta en Azure o en local

Azure Batch

Servicio administrado para aplicaciones informáticas de alto rendimiento y paralelas

Nombre del servicio

Función del servicio

Azure Container Instances

Ejecución de aplicaciones en contenedores en Azure sin necesidad de aprovisionar servidores ni máquinas virtuales

Azure Functions

Un servicio Compute sin servidor y controlado por eventos

Redes La vinculación de recursos de proceso y el suministro de acceso a las aplicaciones es la función clave de la red de Azure. La funcionalidad de red de Azure incluye una gama de opciones para conectar el mundo exterior a servicios y características de los centros de datos globales de Microsoft Azure. Estos son algunos ejemplos de servicios de red en Azure: Nombre del servicio

Función del servicio

Azure Virtual Network

Conecta las máquinas virtuales a las conexiones de red privada virtual (VPN) entrantes.

Azure Load Balancer

Equilibra las conexiones entrantes y salientes a aplicaciones o puntos de conexión de servicio.

Azure Application Gateway

Optimiza la entrega de granja de servidores de aplicaciones y, al mismo tiempo, aumenta la seguridad de la aplicación.

Azure VPN Gateway

Accede a redes Azure Virtual Network a través de puertas de enlace VPN de alto rendimiento

Azure DNS

Proporciona respuestas DNS ultrarrápidas y disponibilidad de dominio extremadamente alta.

Azure Content Delivery Network

Entrega contenido de gran ancho de banda a los clientes globalmente.

Azure DDoS Protection

Protege las aplicaciones hospedadas en Azure frente a ataques por denegación de servicio distribuido (DDOS).

Azure Traffic Manager

Distribuye el tráfico de red entre las regiones de Azure en todo el mundo.

Azure ExpressRoute

Se conecta a Azure a través de conexiones seguras de gran ancho de banda dedicadas.

Azure Network Watcher

Supervisa y diagnostica problemas de red mediante el análisis basado en escenario.

Azure Firewall

Implementa el firewall de alta seguridad y alta disponibilidad con escalabilidad ilimitada.

Azure Virtual WAN

Crea una red de área extensa (WAN) unificada, conectando sitios locales y remotos.

Almacenimiento Azure proporciona cuatro tipos principales de servicios de almacenamiento. Estos servicios son los siguientes:

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Introducción a los aspectos básicos de Azure  17

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

18  Module 1 Describir los conceptos básicos de Azure  

Nombre del servicio

Función del servicio

Azure Blob Storage

Servicios de almacenamiento para objetos muy grandes, como archivos de vídeo o mapas de bits.

Azure File Storage

Recursos compartidos de archivos que puede administrar como un servidor de archivos y acceder a ellos.

Azure Queue Storage

Un almacén de datos para la puesta en cola y la entrega confiable de mensajes entre aplicaciones.

Almacenamiento de tablas de Azure

Un almacén NoSQL que hospeda datos no estructurados independientes de cualquier esquema.

Todos estos servicios comparten varias características: ●● Durabilidad y alta disponibilidad con redundancia y replicación. ●● Seguridad mediante el cifrado automático y control de acceso basado en rol. ●● Escalabilidad con un almacenamiento prácticamente ilimitado. ●● Administración y control del mantenimiento y de cualquier problema crítico que pueda surgir. ●● Accesibilidad desde cualquier parte del mundo a través de HTTP o HTTPS.

Móvil Azure permite a los desarrolladores crear servicios back-end móviles para aplicaciones iOS, Android y Windows de forma rápida y sencilla. Las características que solían tardar tiempo y aumentaban los riesgos del proyecto, como la incorporación del inicio de sesión corporativo y la posterior conexión a recursos locales como SAP, Oracle, SQL Server y SharePoint, ahora se incluyen con facilidad. Estas son otras características de este servicio: ●● Sincronización de datos sin conexión. ●● Conectividad a datos locales. ●● Difusión de notificaciones de inserción. ●● Escalado automático para satisfacer las necesidades del negocio.

Bases de datos Azure proporciona varios servicios de base de datos para almacenar una gran variedad de volúmenes y tipos de datos. Y con la conectividad global, los usuarios disponen de estos datos al instante. Nombre del servicio

Función del servicio

Azure Cosmos DB

Base de datos distribuida globalmente que admite opciones NoSQL.

Azure SQL Database

Base de datos relacional totalmente administrada con escalado automático, inteligencia integral y seguridad sólida.

Azure Database for MySQL

Base de datos relacional MySQL totalmente administrada y escalable con alta disponibilidad y seguridad.

Nombre del servicio

Función del servicio

Azure Database for PostgreSQL

Base de datos relacional PostgreSQL totalmente administrada y escalable con alta disponibilidad y seguridad.

SQL Server en Virtual Machines

Hospedaje de aplicaciones empresariales de SQL Server en la nube

Azure Synapse Analytics

Almacén de datos totalmente administrado con seguridad integral en todos los niveles de escala sin coste adicional.

Azure Database Migration Service

Migra las bases de datos a la nube sin cambios de código de aplicación.

Azure Cache for Redis

Almacena en caché datos estáticos y usados con frecuencia para reducir la latencia de los datos y las aplicaciones.

Azure Database for MariaDB

Base de datos relacional MariaDB totalmente administrada y escalable con alta disponibilidad y seguridad.

Web En el mundo empresarial actual es fundamental tener una experiencia web excelente. Azure incluye soporte técnico de primera clase para compilar y hospedar aplicaciones web y servicios web basados en HTTP. Los servicios de Azure centrados en el hospedaje web incluyen: Nombre del servicio

Descripción

Azure App Service

Creación rápida de potentes aplicaciones en la nube basadas en web

Azure Notification Hubs

Envíe notificaciones de inserción a cualquier plataforma desde cualquier back-end.

Azure API Management

Publique API para desarrolladores, asociados y empleados de forma segura y a escala.

Azure Cognitive Search

Búsqueda completamente administrada como servicio.

Característica Web Apps de Azure App Service

Cree e implemente rápidamente aplicaciones web críticas a escala.

Azure SignalR Service

Agregue funcionalidades web en tiempo real con facilidad.

Internet de las cosas (IoT) Los usuarios pueden acceder a más información que nunca. Comenzó con asistentes digitales personales (PDA), luego se transformaron en teléfonos inteligentes. Ahora hay relojes inteligentes, termostatos inteligentes, incluso neveras inteligentes. Los equipos personales solían ser la norma. Ahora, Internet permite que cualquier objeto capaz de conectarse tenga acceso a valiosa información. Esta capacidad de los dispositivos de obtener y luego retransmitir información para el análisis de datos se conoce como el Internet de las cosas (IoT). Hay una serie de servicios que pueden ayudar e impulsar soluciones de un extremo a otro para IoT en Azure.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Introducción a los aspectos básicos de Azure  19

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

20  Module 1 Describir los conceptos básicos de Azure  

Nombre del servicio

Descripción

IoT Central

Solución global de software como servicio (SaaS) totalmente administrada de IoT que facilita la conexión, la supervisión y la administración de sus recursos de IoT a escala.

Azure IoT Hub

Centro de mensajería que proporciona comunicaciones y supervisión seguras entre millones de dispositivos de IoT

Azure IoT Edge

Inserte los modelos de análisis de datos directamente en los dispositivos de IoT para que puedan responder rápidamente a los cambios de estado sin necesidad de consultar modelos de IA basados en la nube.

Macrodatos Los datos se presentan en cualquier formato y tamaño. Cuando hablamos sobre macrodatos, nos referimos a grandes volúmenes de datos. Los datos de los sistemas del tiempo, sistemas de comunicaciones, investigación genómica, plataformas de imágenes y muchos otros escenarios generan cientos de gigabytes de datos. Esta cantidad de datos hace que resulte difícil analizar y tomar decisiones. A menudo es tan grande que las formas de procesamiento y análisis tradicionales ya no son adecuadas. Se han desarrollado tecnologías de clúster de código abierto para tratar con estos grandes conjuntos de datos. Microsoft Azure es compatible con una amplia gama de tecnologías y servicios para proporcionar soluciones analíticas y de macrodatos. Nombre del servicio

Descripción

Azure Synapse Analytics

Ejecute análisis a gran escala mediante un almacenamiento de datos empresarial (EDW) basado en la nube que aprovecha el procesamiento paralelo masivo (MPP) para ejecutar rápidamente consultas complejas en petabytes de datos.

Azure HDInsight

Procese grandes cantidades de datos con los clústeres administrados de Hadoop en la nube

Azure Databricks

Servicio de análisis colaborativo basado en Apache Spark que se puede integrar con otros servicios de macrodatos en Azure.

Inteligencia artificial En el contexto de la informática en la nube, la inteligencia artificial se basa en una amplia gama de servicios, donde el principal es el aprendizaje automático. El aprendizaje automático es una técnica de ciencia de datos que permite a los equipos utilizar datos existentes para prever tendencias, resultados y comportamientos futuros. Mediante el aprendizaje automático, los equipos aprenden sin ser programados explícitamente. Los pronósticos o predicciones del aprendizaje automático pueden hacer que las aplicaciones y los dispositivos sean más inteligentes. Por ejemplo, cuando compra en línea, el aprendizaje automático le ayuda a recomendar otros productos que podrían gustarle según lo que haya comprado. O cuando se desliza su tarjeta de crédito, el aprendizaje automático compara la transacción con una base de datos de

transacciones y ayuda a detectar el fraude. Y cuando la aspiradora robot aspira una sala, el aprendizaje automático le ayuda a decidir si se ha terminado el trabajo. Algunos de los tipos más comunes de servicios de inteligencia artificial y aprendizaje automático en Azure son: Nombre del servicio

Descripción

Azure Machine Learning Service

Entorno basado en la nube que puede usar para desarrollar, entrenar, probar, implementar, administrar y realizar el seguimiento de los modelos de aprendizaje automático. Puede generar y ajustar automáticamente un modelo. Le permitirá comenzar a aprender en su máquina local y luego escalar horizontalmente a la nube

Azure Machine Learning Studio

Área de trabajo visual, colaborativa y de arrastrar y colocar donde puede crear, probar e implementar soluciones de aprendizaje automático mediante algoritmos de aprendizaje automático predefinidos y módulos de control de datos.

Cognitive Services es un conjunto de productos estrechamente relacionados. Estas son API precompiladas que puede aprovechar en las aplicaciones para solucionar problemas complejos. Nombre del servicio

Descripción

Visión

Algoritmos de procesamiento de imágenes para identificar, subtitular, indexar y moderar imágenes y vídeos.

Voz

Convierta voz en texto, use la voz para la verificación o agregue reconocimiento del hablante a la aplicación.

Asignación de conocimiento

Asigne la información y los datos complejos con el fin de resolver tareas tales como las recomendaciones inteligentes y la búsqueda semántica.

Bing Search

Agregue la API de Bing Search a las aplicaciones e implemente la funcionalidad que permite combinar miles de millones de páginas web, imágenes, vídeos y noticias con una sola llamada API.

Procesamiento del lenguaje natural

Permita que las aplicaciones procesen lenguaje natural con scripts precompilados, evalúen opiniones y aprendan a reconocer lo que quieren los usuarios.

DevOps DevOps (desarrollo y operaciones) reúne a personas, procesos y tecnología, y automatiza la entrega de software para ofrecer un valor continuo a los usuarios. Azure DevOps Services permite crear, compilar y liberar las canalizaciones que proporcionan integración continua, entrega e implementación a las aplicaciones. Puede integrar repositorios y pruebas de aplicaciones, realizar supervisión de aplicaciones y trabajar con artefactos de compilación. También puede trabajar con elementos y establecerlos como pendientes para realizar un seguimiento, automatizar la implementación de la infraestructura e integrar una gama de herramientas y servicios de terceros como Jenkins y Chef. Todas estas funciones y muchas

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Introducción a los aspectos básicos de Azure  21

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

22  Module 1 Describir los conceptos básicos de Azure  

más están estrechamente integradas con Azure para permitir implementaciones coherentes y reproducibles para que las aplicaciones proporcionen procesos de compilación y lanzamiento optimizados. Algunos de los servicios principales de DevOps disponibles con Azure son Azure DevOps Services y Azure DevTest Labs. Nombre del servicio

Descripción

Azure DevOps

Azure DevOps Services (anteriormente conocido como Visual Studio Team Services o VSTS), proporciona herramientas de colaboración para la implementación, incluidas canalizaciones de alto rendimiento, repositorios Git privados gratuitos, paneles Kanban configurables y numerosas pruebas de carga basadas en la nube y automatizadas.

Azure DevTest Labs

Cree rápidamente entornos de Windows y Linux a petición que puede usar para probar o realizar una demostración de sus aplicaciones directamente desde las canalizaciones de implementación.

Introducción a las cuentas de Azure

Para crear y usar los servicios de Azure, necesita una suscripción de Azure. Al completar los módulos en Microsoft Learn, la mayoría de las veces se crea una suscripción temporal, que se ejecuta en un entorno denominado espacio aislado de Microsoft Learn. Sin embargo, cuando trabaje con sus propias aplicaciones y necesidades empresariales, deberá crear una cuenta de Azure, con lo que se creará una suscripción. Una vez que ha creado una cuenta de Azure, puede crear suscripciones adicionales. Por ejemplo, su empresa podría usar una única cuenta de Azure para su empresa y suscripciones independientes para los departamentos de desarrollo, de marketing y de ventas. Una vez que ha creado una suscripción de Azure, puede empezar a crear recursos de Azure dentro de cada suscripción.

Si no está familiarizado con Azure, puede registrarse para obtener una cuenta gratuita en el sitio web de Azure y, de este modo, empezar a explorar sin coste alguno. Una vez que está listo, puede optar por

actualizar su cuenta gratuita y crear una nueva suscripción que le permita comenzar a pagar por los servicios de Azure que necesita usar y a los que no puede acceder mediante una cuenta gratuita.

Creación de una cuenta de Azure Para comprar el acceso a Azure directamente desde Microsoft, regístrese en el sitio web de Azure2, o bien hágalo a través de un representante de Microsoft. También puede comprar el acceso a Azure a través de un partner de Microsoft. Los partners del programa Proveedor de soluciones en la nube ofrecen una amplia gama de soluciones en la nube administradas y completas para Azure.

¿Qué es la cuenta gratuita de Azure? La cuenta gratuita de Azure incluye acceso gratuito a productos populares de Azure durante 12 meses, un crédito para gastar durante los primeros 30 días y acceso a más de 25 productos que siempre son gratuitos. La cuenta gratuita de Azure es una manera excelente para que los nuevos usuarios empiecen y exploren. Para registrarse, necesita un número de teléfono, una tarjeta de crédito y una cuenta de Microsoft o de GitHub. La información de la tarjeta de crédito solo se usa para la verificación de identidad. No se le cobrará por ningún servicio hasta que actualice a una suscripción de pago.

Introducción a un caso práctico

A lo largo de las rutas de aprendizaje de Aspectos básicos de Azure, vamos a trabajar con una empresa ficticia denominada Tailwind Traders3, un distribuidor de mejoras para el hogar. Cuenta con ferreterías minoristas en todo el mundo y en línea.

En la actualidad, Tailwind Traders administra un centro de datos local que hospeda el sitio web comercial de la empresa y almacena todos los datos y el vídeo de streaming para sus aplicaciones. Actualmente, el departamento de TI es responsable de todas las tareas de administración de hardware y software 2 3

https://azure.microsoft.com/?azure-portal=true https://www.tailwindtraders.com/?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Introducción a los aspectos básicos de Azure  23

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

24  Module 1 Describir los conceptos básicos de Azure  

informáticos. Por ejemplo, supongamos que trabaja como especialista en tecnologías de la información (TI) para el departamento de TI de la empresa. El equipo de TI controla el proceso de adquisición de nuevo hardware, instala y configura software y realiza todas las implementaciones en el centro de datos. Sin embargo, estas responsabilidades de administración crean numerosos obstáculos para proporcionar las aplicaciones a los usuarios de manera oportuna. Como profesional tecnológico, se da cuenta de que sería ventajoso tener los servidores, el almacenamiento, las bases de datos y los demás servicios disponibles de inmediato al desarrollar e implementar aplicaciones. Debería poder hacer clic en un botón para iniciar un nuevo servidor o agregar servicios a sus soluciones. Ha aprendido acerca de algunos de los servicios basados en la nube que Tailwind Traders puede usar para abordar cada uno de sus desafíos tecnológicos. Teniendo esto en cuenta, los servicios que están disponibles a través de Microsoft Azure pueden ayudar a Tailwind Traders a desarrollar su negocio de una forma más eficaz. A medida que se vayan completando los distintos módulos de Aspectos básicos de Azure, analizaremos los desafíos a los que se enfrenta Tailwind Traders y cómo puede usar los servicios de Microsoft Azure para solucionar cada uno de esos problemas a medida que surgen. Una vez que haya completado cada uno de los módulos, los conocimientos que habrá adquirido al resolver los desafíos hipotéticos a los que se estaba enfrentando la empresa ficticia Tailwind Traders deberían ayudarle en sus entornos reales.

Conceptos fundamentales de Azure Introducción

Usted trabaja en el departamento de TI de Tailwind Traders, que ha decidido migrar sus aplicaciones y datos a Microsoft Azure. Es consciente de que la informática en la nube le ahorrará tiempo y dinero a su compañía al hacer la migración del hardware físico del entorno local a una solución en la nube, con la que solo tendrá que pagar por los recursos y el tiempo que use en relación con la informática.

Sin embargo, algunos de los conceptos de informática en la nube son nuevos para muchos de los miembros del departamento de TI, y estos han hecho preguntas específicas sobre lo que les puede aportar la informática en la nube. Por ejemplo, el equipo que administra el sitio web de Tailwind Traders quiere saber de qué forma Azure aumentará su disponibilidad y escalabilidad, mientras que el equipo que controla la implementación de hardware nuevo tiene curiosidad por saber cómo la informática en la nube puede acelerar sus procesos de implementación. Además, el equipo de desarrollo quiere conocer las distintas opciones de las que dispondrán al diseñar nuevas aplicaciones. Por ejemplo, quieren saber si hay alguna forma de ejecutar sus aplicaciones mediante una configuración híbrida, donde parte de la aplicación se ejecuta en el entorno local y el resto de la aplicación, en la nube. En este módulo, conocerá los conceptos fundamentales de la informática en la nube, cómo implementa Azure estos conceptos y cómo Tailwind Traders se podría beneficiar de una migración a un entorno de informática en la nube.

Objetivos de aprendizaje Al finalizar este módulo: ●● Identificar las ventajas y las consideraciones de los servicios en la nube. ●● Describir las diferencias que hay entre las categorías de servicios en la nube. ●● Describir las diferencias que hay entre los tipos de informática en la nube.

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Conceptos fundamentales de Azure  25

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

26  Module 1 Describir los conceptos básicos de Azure  

Descripción de las ventajas de la informática en la nube ¿Cuáles son algunas de las ventajas de la informática en la nube? Los entornos en la nube ofrecen varios ventajas en comparación con un entorno físico. Tailwind Traders puede aprovecharlas después de su migración a Azure. ●● Alta disponibilidad: en función del contrato de nivel de servicio (SLA) que elija, sus aplicaciones basadas en la nube pueden proporcionar una experiencia de usuario continua sin tiempo de inactividad perceptible aunque se produzcan errores. ●● Escalabilidad: las aplicaciones en la nube se pueden escalar de las dos formas que se indican a continuación. ●● Verticalmente: la capacidad informática se puede aumentar agregando RAM o CPU adicionales a una máquina virtual. ●● Horizontalmente: la capacidad informática se puede aumentar agregando instancias de un recurso; por ejemplo, se pueden agregar máquinas virtuales adicionales a una configuración. ●● Elasticidad: las aplicaciones basadas en la nube se pueden configurar para aprovechar el escalado automático, de forma que sus aplicaciones siempre dispongan de los recursos que necesitan. ●● Agilidad: los recursos basados en la nube se pueden implementar y configurar rápidamente a medida que cambian los requisitos de una aplicación. ●● Distribución geográfica: las aplicaciones y los datos se pueden implementar en centros de datos regionales de todo el mundo, lo que garantiza que sus clientes siempre tendrán el mejor rendimiento de su región. ●● Recuperación ante desastres: al utilizar los servicios de copia de seguridad basados en la nube, la replicación de datos y la distribución geográfica, podrá implementar sus aplicaciones con la seguridad de saber que sus datos están protegidos en caso de que se produzca un desastre.

La informática en la nube es un modelo basado en el consumo Los proveedores de servicios en la nube operan en un modelo basado en el consumo, lo que significa que los usuarios finales solo pagan por los recursos que utilizan. Lo que usan es lo que pagan. Los modelos basados en el consumo aportan muchas ventajas, por ejemplo: ●● Sin costes iniciales. ●● No es necesario comprar y administrar una infraestructura costosa que tal vez no necesite usar al máximo. ●● Pague por recursos adicionales solo cuando sean necesarios. ●● Deje de pagar por los recursos que ya no son necesarios.

Gastos de capital frente a gastos operativos Hay dos tipos diferentes de gastos que se deben tener en cuenta: ●● Los gastos de capital (CapEx) hacen referencia a la inversión previa de dinero en infraestructura física, que se podrá deducir a lo largo del tiempo. El coste previo de CapEx tiene un valor que disminuye con el tiempo. ●● Los gastos operativos (OpEx) son dinero que se invierte en servicios o productos y se factura al instante. Este gasto se puede deducir el mismo año que se produce. No hay ningún coste previo, ya que se paga por un servicio o producto a medida que se usa. Dicho de otra forma, si Tailwind Traders es dueño de su infraestructura, comprará equipos que se incluirán como recursos en su balance de cuentas. Dado que se ha realizado una inversión de capital, los contables clasifican esta transacción como gasto de capital (CapEx). Con el tiempo, a fin de contabilizar la duración útil limitada de los activos, estos se deprecian o se amortizan. Los servicios en la nube, por otro lado, se clasifican como gastos operativos (OpEx), debido a su modelo de consumo. En este esquema, no hay ningún recurso que Tailwind Traders pueda amortizar, y su proveedor de servicios en la nube (Azure) administra los costes asociados con la compra y la vida útil del equipo físico. En consecuencia, los gastos de explotación tienen un impacto directo en el beneficio neto, la base imponible y los gastos asociados en el balance contable. En resumen, CapEx requiere unos costes financieros previos considerables, así como unos gastos continuos de mantenimiento y soporte técnico. En cambio, OpEx es un modelo basado en el consumo, así que Tailwind Traders solo es responsable del coste de los recursos informáticos que utiliza.

Descripción de las distintas categorías de servicios en la nube ¿Qué son los modelos de servicio en la nube? La informática en la nube pertenece a uno de los modelos de informática que se indican a continuación. Si ha usado la informática en la nube durante un tiempo, es probable que haya visto los acrónimos PaaS, IaaS y SaaS para los diferentes modelos de servicio en la nube, que definen el nivel de responsabilidad compartida que tienen un proveedor de servicios en la nube y un inquilino de nube.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Conceptos fundamentales de Azure  27

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

28  Module 1 Describir los conceptos básicos de Azure  

 Modelo de servicio IaaS

PaaS

Definición

Descripción

Infraestructura como servicio

Este modelo de servicio en la nube es el más similar a la administración de servidores físicos; un proveedor de servicios en la nube mantendrá actualizado el hardware, pero el mantenimiento del sistema operativo y la configuración de red serán responsabilidad del inquilino de nube. Por ejemplo: Azure Virtual Machines son dispositivos de proceso virtual totalmente operativos que se ejecutan en los centros de datos de Microsoft. Una ventaja de este modelo de servicio en la nube es la rápida implementación de nuevos dispositivos de proceso; la configuración de una nueva máquina virtual es considerablemente más rápida que la obtención, instalación y configuración de un servidor físico.

Plataforma como servicio

Este modelo de servicio en la nube es un entorno de hospedaje administrado, en el que el proveedor de servicios en la nube administra las máquinas virtuales y los recursos de red y el inquilino de nube implementa sus aplicaciones en el entorno de hospedaje administrado. Por ejemplo: Azure App Services proporciona un entorno de hospedaje administrado en el que los desarrolladores pueden cargar sus aplicaciones web sin tener que preocuparse por el uso de los requisitos de hardware y software físicos.

 Modelo de servicio SaaS

Definición

Descripción

Software como servicio

En este modelo de servicio en la nube, el proveedor de servicios en la nube administra todos los aspectos del entorno de la aplicación: máquinas virtuales, recursos de red, almacenamiento de datos, aplicaciones, etc., y el inquilino de nube solo tiene que proporcionar sus datos a la aplicación administrada por el proveedor de servicios en la nube. Por ejemplo: Microsoft Office 365 proporciona una versión totalmente operativa de Microsoft Office que se ejecuta en la nube; lo único que debe hacer es crear el contenido y Office 365 se encarga de todo lo demás.

En la ilustración siguiente se muestran los servicios que pueden ejecutarse en cada uno de los modelos de servicio en la nube.

Cada uno de estos tres modelos se comparará en las secciones que hay a continuación.

Infraestructura como servicio (IaaS) La IaaS es la categoría de servicios en la nube más flexible. Su objetivo es darle el control total del hardware que ejecuta su aplicación. En lugar de comprar hardware, con IaaS, lo alquila.

Ventajas Sin CapEx. Los usuarios no tienen costes iniciales. Agilidad. Las aplicaciones se pueden hacer accesibles rápidamente y se pueden desaprovisionar cuando sea necesario. Administración. Se aplica el modelo de responsabilidad compartida; el usuario administra y mantiene los servicios que ha provisto, y el proveedor de la nube administra y mantiene la infraestructura en la nube.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Conceptos fundamentales de Azure  29

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

30  Module 1 Describir los conceptos básicos de Azure  

Modelo basado en el consumo. Las organizaciones pagan solo por lo que usan y operan bajo un modelo OpEx. Aptitudes. No se requieren aptitudes técnicas profundas para implementar, usar y obtener los beneficios de una nube pública. Las organizaciones pueden aprovechar las aptitudes y la experiencia del proveedor de nube para garantizar que las cargas de trabajo sean seguras y tengan una alta disponibilidad. Beneficios en la nube. Las organizaciones pueden aprovechar las aptitudes y la experiencia del proveedor de nube para garantizar que las cargas de trabajo son seguras y tienen una alta disponibilidad. Flexibilidad. IaaS es el servicio en la nube más flexible, ya que tiene control para configurar y administrar el hardware que ejecuta su aplicación.

Plataforma como servicio (PaaS) PaaS proporciona las mismas ventajas y consideraciones que IaaS, pero ofrece algunas ventajas adicionales que es importante conocer.

Ventajas Sin CapEx. Los usuarios no tienen costes iniciales. Agilidad. PaaS es más ágil que IaaS, y los usuarios no necesitan configurar servidores para ejecutar aplicaciones. Limitaciones de la plataforma. Puede haber algunas limitaciones en la plataforma en la nube que podrían afectar la ejecución de una aplicación. Cualquier limitación debe tenerse en cuenta al considerar qué plataforma PaaS es la más adecuada para una carga de trabajo. Modelo basado en el consumo. Los usuarios pagan solo por lo que usan y operan en un modelo OpEx. Aptitudes. No se requieren aptitudes técnicas profundas para implementar, usar y obtener los beneficios de PaaS. Beneficios en la nube. Los usuarios pueden aprovechar las aptitudes y la experiencia del proveedor de nube para garantizar que las cargas de trabajo son seguras y tienen una alta disponibilidad. Además, los usuarios pueden obtener acceso a las herramientas y a los conjuntos de herramientas de desarrollo más avanzados. Luego pueden aplicar estas herramientas y conjuntos de herramientas en el ciclo de vida de una aplicación. Productividad. Los usuarios pueden centrarse únicamente en el desarrollo de aplicaciones, ya que el proveedor de la nube maneja toda la administración de la plataforma. Trabajar con equipos distribuidos como servicios es más fácil, ya que se accede a la plataforma a través de Internet y se puede poner a disposición en forma global más fácilmente. Desventaja Limitaciones de la plataforma. Es posible que en las plataformas en la nube haya una serie de limitaciones que pueden afectar al modo en el que una aplicación se ejecuta. Al evaluar qué plataforma PaaS es más adecuada para una carga de trabajo, debe tener en cuenta las limitaciones de esta área.

Software como servicio (SaaS) SaaS es software que se hospeda y administra de forma centralizada para usted y sus usuarios o clientes. Normalmente se usa una versión de la aplicación para todos los clientes y la licencia se obtiene mediante una suscripción mensual o anual.

SaaS proporciona las mismas ventajas que IaaS, pero también ofrece algunas ventajas adicionales que es importante conocer.

Ventajas Sin CapEx. Los usuarios no tienen costes iniciales. Agilidad. Los usuarios pueden proporcionar al personal acceso al último software de forma rápida y sencilla. Limitaciones de software. Puede haber algunas limitaciones para una aplicación de software que podrían afectar la forma en que trabajan los usuarios. Como está usando el software tal cual, no tiene un control directo de las características. Se deben tener en cuenta todas las limitaciones empresariales y de software al valorar qué plataforma SaaS es más adecuada para una carga de trabajo concreta. Modelo de precios de pago por uso. Los usuarios pagan por el software que usan en un modelo de suscripción, generalmente mensual o anual, independientemente de cuánto lo usen. Aptitudes. No se requieren aptitudes técnicas profundas para implementar, usar y obtener los beneficios de PaaS. Flexibilidad. Los usuarios pueden acceder a los mismos datos de la aplicación desde cualquier lugar. Desventaja Limitaciones de software. Es posible que en las aplicaciones de software haya una serie de limitaciones que pueden afectar al modo en el que los usuarios trabajan. Como está usando el software tal cual, no tiene un control directo de las características. Al evaluar qué plataforma SaaS es más adecuada para una carga de trabajo, debe tener en cuenta cualquier necesidad empresarial y las limitaciones de software.

¿Qué es la informática sin servidor? La informática sin servidor se superpone a PaaS y permite que los desarrolladores creen aplicaciones más rápidamente, ya que elimina la necesidad de administrar la infraestructura. Con las aplicaciones sin servidor, el proveedor de servicios en la nube aprovisiona, adapta y administra de manera automática la infraestructura necesaria para ejecutar el código. Las arquitecturas sin servidor son altamente escalables y están controladas por eventos; solo emplean recursos cuando se produce una función o un desencadenador específico. Para comprender la definición de informática sin servidor, es importante tener en cuenta que los servidores siguen ejecutando el código. El término “sin servidor” se refiere al hecho de que las tareas asociadas con el aprovisionamiento y la administración de la infraestructura son invisibles para la figura del desarrollador. Dicho enfoque permite a los desarrolladores centrarse en la lógica empresarial y aportar mucho más a la parte importante del negocio. La informática sin servidor ayuda a los equipos a aumentar su productividad y a llevar productos al mercado mucho más rápido. También permite que las organizaciones puedan optimizar mejor sus recursos y buscar la innovación.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Conceptos fundamentales de Azure  31

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

32  Module 1 Describir los conceptos básicos de Azure  

Descripción de los distintos tipos de informática en la nube ¿Qué son las nubes públicas, privadas e híbridas? Hay tres modelos de implementación para la informática en la nube: nube pública, nube privada y nube híbrida. Cada modelo de implementación tiene distintos aspectos que debe tener en cuenta a la hora de migrar a la nube. Modelo de desarrollo Nube pública

Nube privada

Nube híbrida

Descripción Los servicios se ofrecen a través de la red Internet pública y están disponibles para cualquiera que quiera comprarlos. Los recursos de nube, como los servidores y el almacenamiento, son propiedad de un proveedor de servicios en la nube de terceros, que los explota y los distribuye a través de Internet. Una nube privada consta de recursos informáticos que determinados usuarios de una empresa u organización usan en exclusiva. Una nube privada puede estar ubicada físicamente en el centro de datos local (entorno local) de la organización o estar hospedada por un proveedor de servicios de terceros. Una nube híbrida es un entorno informático que combina una nube pública y una nube privada, lo que permite compartir datos y aplicaciones entre ellas.

En la imagen siguiente se muestran algunos de los conceptos de informática en la nube que se presentan en esta unidad. En este ejemplo, se muestran varios factores cuando se está pensando en implementar un servidor de base de datos en un entorno de nube híbrida: a medida que los recursos se mueven del entorno local al entorno de nube, se reducen los costes y los requisitos de administración.

Describir los componentes principales de la arquitectura de Azure Introducción

Supongamos que trabaja como desarrollador para una empresa de fabricación de hardware exitosa, Tailwind Traders. El director de tecnología (CTO) de la compañía recientemente ha decidido adoptar Microsoft Azure como plataforma de informática en la nube y actualmente se encuentra en la fase de planeación de la migración. Antes de comenzar el proceso de migración, decide estudiar los distintos conceptos, recursos y terminología de Azure para asegurarse de que la migración se realice correctamente.

En este módulo, obtendrá información sobre algunos de los componentes necesarios para implementar recursos correctamente en Microsoft Azure.

Objetivos de aprendizaje Una vez que haya completado este módulo, podrá describir las ventajas y el uso de: ●● Suscripciones y Grupos de administración de Azure ●● Recursos de Azure, grupos de recursos de Azure y Azure Resource Manager ●● Regiones de Azure, pares de regiones y zonas de disponibilidad

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

Introducción a las suscripciones, los grupos de administración, los recursos y las regiones de Azure

Como parte de su investigación para Tailwind Traders, debe aprender la estructura organizativa de los recursos en Azure, que consta de cuatro niveles: grupos de administración, suscripciones, grupos de recursos y recursos. La imagen siguiente muestra la jerarquía vertical de la organización de estos niveles.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Describir los componentes principales de la arquitectura de Azure  33

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

34  Module 1 Describir los conceptos básicos de Azure  

Una vez vista la jerarquía vertical de la organización, describamos cada uno de estos niveles empezando desde abajo: ●● Recursos: Los recursos son instancias de servicios que crea usted mismo, como máquinas virtuales, almacenamiento o bases de datos SQL. ●● Grupos de recursos: Los recursos se combinan en grupos de recursos, que actúan como contenedor lógico en el que se implementan y administran recursos de Azure como aplicaciones web, bases de datos y cuentas de almacenamiento. ●● Suscripciones: Una suscripción agrupa las cuentas de usuario y los recursos que han sido creados por esas cuentas de usuario. Para cada suscripción, hay límites o cuotas en la cantidad de recursos que se pueden crear y usar. Las organizaciones pueden usar suscripciones para administrar los costes y los recursos creados por usuarios, equipos o proyectos. ●● Grupos de administración: Estos grupos le ayudan a administrar el acceso, las directivas y el cumplimiento de varias suscripciones. Todas las suscripciones en un grupo de administración heredan automáticamente las condiciones aplicadas al grupo de administración. Más adelante podrá examinar cada uno de estos cuatro niveles organizativos.

Suscripciones y grupos de administración de Azure A medida que Tailwind Traders empieza a utilizar Azure, uno de los primeros pasos será crear al menos una suscripción de Azure, que usará para crear los recursos basados en la nube en Azure.

Nota: Un recurso de Azure es un elemento administrable que está disponible mediante Azure. Algunos ejemplos de recursos son las máquinas virtuales, las cuentas de almacenamiento, las aplicaciones web, las bases de datos y las redes virtuales.

Suscripciones de Azure El uso de Azure requiere una suscripción de Azure que le proporcione acceso autenticado y autorizado a los productos y servicios de Azure y le permita aprovisionar recursos. Una suscripción es una unidad lógica de servicios de Azure que se vincula a una cuenta de Azure, la cual es una identidad en Azure Active Directory (Azure AD) o en un directorio de confianza de Azure AD.

Una cuenta puede tener una suscripción o puede tener varias suscripciones con diferentes modelos de facturación a las que usted aplica diferentes políticas de administración de acceso. Puede usar las suscripciones de Azure para definir límites en relación con los productos, servicios y recursos de Azure. Existen dos tipos de límites de suscripciones que puede usar: ●● Límite de facturación. Este tipo de suscripción determina cómo se factura una cuenta por usar Azure. Puede crear varias suscripciones para diferentes tipos de requisitos de facturación y Azure generará informes de facturación y facturas por separado para cada suscripción. De este modo, podrá organizar y administrar los costes. ●● Límite de control de acceso. Azure aplicará directivas de administración de acceso al nivel de la suscripción, y usted podrá crear suscripciones separadas para reflejar diferentes estructuras organizativas. Por ejemplo, dentro de una empresa, usted tiene diferentes departamentos a los que aplica distintas directivas de suscripción de Azure. Esto le permite administrar y controlar el acceso a los recursos que los usuarios aprovisionan con suscripciones específicas.

Crear suscripciones de Azure adicionales Es posible que desee crear suscripciones adicionales para fines de administración de recursos o facturación. Por ejemplo, puede optar por crear suscripciones adicionales para separar lo siguiente: ●● Entornos: Al administrar sus recursos, puede optar por crear suscripciones para configurar entornos separados para desarrollo y pruebas, para seguridad o para aislar datos por razones de cumplimiento. Esto es particularmente útil porque el control de acceso a recursos ocurre en el nivel de suscripción. ●● Estructuras organizativas: Puede crear suscripciones para reflejar diferentes estructuras organizativas. Por ejemplo, podría limitar un equipo a recursos de menor coste, mientras permite al departamento de TI una gama completa. Este diseño le permite administrar y controlar el acceso a los recursos que los usuarios aprovisionan dentro de cada suscripción. ●● Facturación: Es posible que también desee crear suscripciones adicionales con fines de facturación. Debido a que los costes se agregan primero en el nivel de suscripción, es posible que desee crear suscripciones para administrar y realizar un seguimiento de los costes en función de sus necesidades. Por ejemplo, es posible que desee crear una suscripción para sus cargas de trabajo de producción y otra suscripción para sus cargas de trabajo de desarrollo y prueba.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Describir los componentes principales de la arquitectura de Azure  35

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

36  Module 1 Describir los conceptos básicos de Azure  

Es posible que también necesite suscripciones adicionales debido a lo siguiente: ●● Límites de suscripción: Las suscripciones están sujetas a algunas limitaciones difíciles. Por ejemplo, el número máximo de circuitos de Ruta Express por suscripción es 10. Esos límites deben considerarse al crear suscripciones en su cuenta. Si es necesario superar esos límites en escenarios particulares, es posible que se necesiten suscripciones adicionales.

Personalizar la facturación para satisfacer sus necesidades Si tiene varias suscripciones, puede organizarlas en secciones de factura. Cada sección de la factura es un elemento de línea en la factura que muestra los cargos incurridos ese mes. Por ejemplo, es posible que necesite una sola factura para su organización, pero desee organizar los cargos por departamento, equipo o proyecto. Según sus necesidades, puede configurar varias facturas dentro de la misma cuenta de facturación. Para hacer esto, cree perfiles de facturación adicionales. Cada perfil de facturación tiene su propia factura mensual y método de pago. El siguiente diagrama muestra una descripción general de cómo se estructura la facturación. Si se ha registrado previamente en Azure o si su organización tiene un Contrato Enterprise, su facturación puede configurarse de manera diferente.

Grupos de administración de Azure Si su organización tiene muchas suscripciones, puede que necesite una forma de administrar con eficacia el acceso, las directivas y el cumplimiento para dichas suscripciones. Los grupos de administración de Azure ofrecen un nivel de ámbito que está por encima de las suscripciones. Las suscripciones se organizan en contenedores llamados “grupos de administración” y aplican sus condiciones de gobernanza a los grupos de administración. Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones que se aplican al grupo de administración. Los grupos de administración proporcionan capacidad de administración de nivel empresarial a gran escala con independencia del tipo de suscripciones que tenga. Todas las suscripciones de un único grupo de administración deben confiar en el mismo inquilino de Azure Active Directory. A modo de ejemplo, puede aplicar directivas a un grupo de administración que limite las regiones disponibles para la creación de máquinas virtuales. Esta directiva se aplicaría a todos los grupos de administración, las suscripciones y los recursos de ese grupo de administración, al permitir únicamente que se creen máquinas virtuales en esa región.

Jerarquía de los grupos de administración y las suscripciones Puede compilar una estructura flexible de grupos de administración y suscripciones para organizar los recursos en una jerarquía para una administración unificada de las directivas y el acceso. En el diagrama siguiente se muestra un ejemplo de creación de una jerarquía para la gobernanza mediante grupos de administración.

Puede crear una jerarquía que aplique una directiva, por ejemplo, que limite las ubicaciones de las máquinas virtuales a la región Oeste de EE. UU. en el grupo denominado “Producción”. Esta directiva se heredará en todas las suscripciones con Contrato Enterprise descendientes de ese grupo de administración y se aplicará a todas las máquinas virtuales de esas suscripciones. El propietario de los recursos o las suscripciones no puede modificar esta directiva de seguridad, lo que permite una gobernanza mejorada. Otro escenario en el que se usarían grupos de administración es para proporcionar acceso de usuario a varias suscripciones. Al mover muchas suscripciones bajo ese grupo de administración, puede crear una asignación de control de acceso basado en rol (RBAC) en el grupo de administración que heredará ese acceso en todas las suscripciones. Una asignación en el grupo de administración puede permitir a los usuarios acceder a todo lo que necesitan en lugar de realizar scripting para proporcionar control de acceso basado en rol sobre las distintas suscripciones.

Datos importantes sobre los grupos de administración ●● Se pueden admitir 10 000 grupos de administración en un solo directorio. ●● Un árbol de grupo de administración puede soportar hasta seis niveles de profundidad. (Este límite no incluye el nivel raíz ni el nivel de suscripción.) ●● Cada grupo de administración y suscripción admite solo un elemento primario. ●● Cada grupo de administración puede tener muchos elementos secundarios. ●● Todas las suscripciones y grupos de administración están dentro de una única jerarquía en cada directorio.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Describir los componentes principales de la arquitectura de Azure  37

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

38  Module 1 Describir los conceptos básicos de Azure  

Recursos de Azure y Azure Resource Manager Después de crear una suscripción para Tailwind Traders, está listo para empezar a crear recursos y almacenarlos en grupos de recursos. Teniendo esto en cuenta, es importante definir los siguientes términos:

●● Recurso: elemento administrable que está disponible mediante Azure. Las máquinas virtuales, cuentas de almacenamiento, aplicaciones web, bases de datos y redes virtuales son ejemplos de recursos. ●● Grupo de recursos: contenedor que incluye los recursos relacionados para una solución de Azure. El grupo de recursos incluye los recursos que se quieren administrar como grupo. Decida qué recursos pertenecen a un grupo de recursos en función de lo que más le convenga para la organización.

Grupos de recursos de Azure Los grupos de recursos son un elemento fundamental de la plataforma Azure. Un grupo de recursos es un contenedor lógico para recursos implementados en Azure. Estos recursos pueden ser cualquier cosa que cree en una suscripción de Azure como máquinas virtuales, instancias de Application Gateway y de Cosmos DB. Todos los recursos deben estar en un grupo de recursos, y un recurso solo puede ser miembro de un único grupo de recursos. Muchos recursos pueden moverse entre grupos de recursos con algunos servicios que tengan limitaciones o requisitos determinados para mover. Los grupos de recursos no se pueden anidar. Antes de que se pueda aprovisionar cualquier recurso, necesita un grupo de recursos para colocarlo.

Agrupación lógica Existen grupos de recursos para administrar y organizar sus recursos de Azure. Al colocar recursos de uso, tipo o ubicación similares, puede proporcionar cierto orden y organización a los recursos que cree en Azure. La agrupación lógica es el aspecto que más le interesa, ya que, entre los recursos, el desorden es elevado.

Ciclo vital Si elimina un grupo de recursos, también se eliminan todos los recursos que contiene. Organizar los recursos por ciclo de vida puede ser útil en entornos que no sean de producción, en los cuales puede probar un experimento, pero luego desecharlo cuando haya terminado. Los grupos de recursos hacen que sea sencillo quitar un conjunto de recursos de una vez.

Autorización Los grupos de recursos también son un ámbito para aplicar permisos de control de acceso basado en roles (RBAC). Al aplicar los permisos RBAC a un grupo de recursos, puede facilitar la administración y limitar el acceso para permitir solo lo que se necesita.

Azure Resource Manager Azure Resource Manager es el servicio de implementación y administración para Azure. Proporciona una capa de administración que le permite crear, actualizar y eliminar recursos de la cuenta de Azure. Se usan las características de administración, como el control de acceso, la auditoría y las etiquetas, para proteger y organizar los recursos después de la implementación. Cuando un usuario envía una solicitud de cualquiera de las herramientas, las API o los SDK de Azure, Resource Manager recibe la solicitud. Autentica y autoriza la solicitud. Resource Manager envía la solicitud al servicio de Azure, que lleva a cabo la acción solicitada. Dado que todas las solicitudes se controlan mediante la misma API, verá resultados y funcionalidades coherentes en todas las distintas herramientas. En la imagen siguiente se muestra el rol que Azure Resource Manager desempeña en el control de solicitudes de Azure.

Todas las funcionalidades que están disponibles en el portal también lo están con Azure PowerShell, la CLI de Azure, las API de REST y los SDK de cliente. Las funcionalidades disponibles originalmente mediante las API se incluirán en el portal a los 180 días de su lanzamiento inicial.

Ventajas de utilizar Azure Resource Manager Con Azure Resource Manager puede: ●● Administre su infraestructura a través de plantillas declarativas en lugar de scripts. Una plantilla de Azure Resource Manager es un archivo JSON que define lo que quiere implementar en Azure. ●● Implementar, administrar y supervisar todos los recursos de la solución en grupo, en lugar de controlarlos individualmente. ●● Volver a implementar la solución repetidamente a lo largo del ciclo de vida del desarrollo y tener la seguridad de que los recursos se implementan de forma coherente. ●● Definir las dependencias entre recursos de modo que se implementen en el orden correcto.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Describir los componentes principales de la arquitectura de Azure  39

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

40  Module 1 Describir los conceptos básicos de Azure  

●● Aplicar control de acceso a todos los servicios porque el Control de acceso basado en rol (RBAC) se integra de forma nativa en la plataforma de administración. ●● Aplicar etiquetas a los recursos para organizar de manera lógica todos los recursos de la suscripción. ●● Aclarar la facturación de su organización viendo los costes de un grupo de recursos que compartan la misma etiqueta.

Regiones y zonas de disponibilidad de Azure

En la unidad anterior, obtuvo información sobre los recursos y los grupos de recursos de Azure. Los recursos se crean en Regiones, que son diferentes ubicaciones geográficas de todo el mundo que contienen centros de datos de Azure. Microsoft Azure está compuesto por centros de datos ubicados en todo el mundo. Al aprovechar un servicio o crear un recurso como una máquina virtual o una base de datos SQL, usa equipamiento físico en una o varias de estas ubicaciones. Estos centros de datos específicos no se exponen directamente a los usuarios finales, sino que Azure los organiza en regiones. Como verá más adelante en esta unidad, algunas de estas regiones ofrecen zonas de disponibilidad, que son distintos centros de datos de Azure dentro de esa región.

Regiones de Azure Una región es un área geográfica del planeta que contiene al menos un centro de datos, aunque podrían ser varios centros de datos cercanos y conectados mediante una red de baja latencia. Azure asigna y controla de manera inteligente los recursos dentro de cada región para garantizar que las cargas de trabajo se equilibren adecuadamente. Al implementar un recurso en Azure, es habitual tener que elegir la región en la que quiere que se implemente el recurso. Importante: Algunos servicios o características de máquinas virtuales solo están disponibles en ciertas regiones, como tamaños específicos de máquinas virtuales o tipos de almacenamiento. También hay algunos servicios globales de Azure que no requieren que seleccione una región, como Microsoft Azure Active Directory, Microsoft Azure Traffic Manager y Azure DNS. Algunos ejemplos de regiones son el Oeste de EE. UU., el centro de Canadá, Europa occidental, el Este de Australia y el Oeste de Japón. A continuación puede ver todas las regiones disponibles a fecha de febrero de 2020:

¿Por qué son importantes las regiones? Azure cuenta con más regiones globales que cualquier otro proveedor de nube. Estas regiones le dan la flexibilidad necesaria para acercar las aplicaciones a los usuarios estén donde estén. También proporciona una mejor escalabilidad, redundancia y conserva una mejor residencia de datos de sus servicios.

Regiones especiales de Azure Azure tiene regiones especializadas que quizás desee utilizar al desarrollar sus aplicaciones para fines legales o de cumplimiento. Algunos ejemplos incluyen: ●● US DoD (centro), US Gov Virginia, US Gov Iowa y más: Estas regiones son instancias físicas y lógicas con aislamiento de red de Azure para partners y agencias de la administración pública de EE. UU. Estadounidenses seleccionados operan estos centros de datos e incluyen certificaciones de cumplimiento adicionales. ●● Este de China, Norte de China y más: Estas regiones están disponibles a través de una asociación única entre Microsoft y 21Vianet, por lo que Microsoft no mantiene directamente los centros de datos. Las regiones se utilizan para identificar la ubicación de los recursos, pero hay otros dos términos que también debe conocer: zonas geográficas y zonas de disponibilidad.

Zonas de disponibilidad de Azure Quiere asegurarse de que sus servicios y datos sean redundantes para proteger su información en caso de errores. Si hospeda su infraestructura, configurar su propia redundancia requiere la creación de entornos de hardware duplicados. Azure puede ayudar a que la aplicación tenga alta disponibilidad a través de zonas de disponibilidad.

¿Qué es una zona de disponibilidad? Las zonas de disponibilidad son centros de datos separados físicamente dentro de una región de Azure. Cada zona de disponibilidad consta de uno o varios centros de datos equipados con alimentación, refrigeración y redes independientes. Cada una se configura para constituir un límite de aislamiento. Si una zona deja de funcionar, la otra continúa trabajando. Las zonas de disponibilidad están conectadas a través de redes de fibra óptica de alta velocidad privadas.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Describir los componentes principales de la arquitectura de Azure  41

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

42  Module 1 Describir los conceptos básicos de Azure  

Regiones admitidas No todas las regiones son compatibles con las zonas de disponibilidad. Para obtener una lista actualizada, consulte Regiones que admiten zonas de disponibilidad en Azure.4

Uso de las zonas de disponibilidad en sus aplicaciones Puede usar Availability Zones para ejecutar aplicaciones críticas e implementar la alta disponibilidad en la arquitectura de su aplicación ubicando sus recursos de proceso, almacenamiento, redes y datos en una zona y replicándolos en otras zonas. Tenga en cuenta que podría incurrir en costes al duplicar sus servicios y transferir datos entre zonas. Las Availability Zones se usan principalmente para máquinas virtuales, discos administrados, equilibradores de carga y bases de datos SQL. Los servicios de Azure que admiten Availability Zones se dividen en dos categorías: ●● Servicios de zona: usted fija el recurso en una zona específica (por ejemplo, máquinas virtuales, discos administrados o direcciones IP). ●● Servicios con redundancia de zona: la plataforma se replica automáticamente en todas las zonas (por ejemplo, el almacenamiento con redundancia de zona, la base de datos SQL). Consulte la documentación para determinar qué elementos de la arquitectura puede asociar a una zona de disponibilidad.

Pares de regiones de Azure Las zonas de disponibilidad se crean con uno o varios centros de datos, y dentro de cada región hay un mínimo de tres zonas. Pero es posible que un desastre lo suficientemente grande provoque una interrupción tan grave como para afectar incluso a dos centros de datos. Por eso Azure también crea pares de regiones.

¿Qué es un par de regiones? Cada región de Azure se empareja siempre con otra región de la misma zona geográfica (por ejemplo, EE. UU., Europa o Asia) que se encuentre como mínimo a 500 km de distancia. Este enfoque permite la replicación de recursos, como el almacenamiento en la máquina virtual, en una zona geográfica, lo que ayuda a reducir la probabilidad de que se produzcan interrupciones provocadas por eventos como desastres naturales, disturbios civiles, cortes del suministro eléctrico o interrupciones de la red física que afecten de forma simultánea a ambas regiones. Si una región de un par se ve afectada por un desastre natural, por ejemplo, los servicios conmutarán por error automáticamente a la otra región de su par de regiones. Algunos pares de regiones de ejemplo en Azure son Oeste de EE. UU. y Este de EE. UU., o Sudeste Asiático y Asia Pacífico.

4

https://docs.microsoft.com/azure/availability-zones/az-region?azure-portal=true

Dado que las regiones emparejadas están directamente conectadas y lo bastante alejadas como para no verse afectadas por el mismo desastre regional, puede usarlas para proporcionar servicios fiables y redundancia de datos. Algunos servicios ofrecen almacenamiento automático con redundancia geográfica mediante regiones emparejadas. Las ventajas adicionales de las regiones emparejadas son: ●● Si se produce una interrupción extensa de Azure, se prioriza una región de cada par para asegurar que al menos una se restaure lo más rápido posible para las aplicaciones alojadas en ese par de regiones. ●● Las actualizaciones planificadas de Azure se implementan primero en una región del par y luego en la otra para minimizar el tiempo de inactividad y el riesgo de interrupción de la aplicación. ●● Los datos siguen residiendo en la misma geografía que su par (a excepción del Sur de Brasil) por motivos fiscales y de jurisdicción de la aplicación de la ley. Tener un conjunto de centros de datos con una amplia dispersión geográfica permite que Azure ofrezca una alta garantía de disponibilidad.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Describir los componentes principales de la arquitectura de Azure  43

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

44  Module 1 Describir los conceptos básicos de Azure  

Preguntas de repaso del módulo 1 Preguntas de repaso del módulo 01 Pregunta de repaso 1 ¿Cuál de las siguientes afirmaciones sobre informática en la nube no es correcta? †† Normalmente, los recursos de la informática en la nube se limitan a regiones geográficas específicas. †† IaaS, PaaS y SaaS son ejemplos de modelos de servicios de informática en la nube. †† IaaS, PaaS y SaaS son las siglas de modelos de servicios de informática en la nube habituales y corresponden a Infraestructura como servicio, Plataforma como servicio y Software como servicio.

Pregunta de repaso 2 Verdadero o falso: Antes de poder usar los recursos de Azure, debe adquirir una cuenta de Azure. †† Falso †† Verdadero

Pregunta de repaso 3 Verdadero o falso: En un entorno de IaaS, el inquilino de la nube es responsable del mantenimiento rutinario del hardware. †† Verdadero †† Falso

Pregunta de repaso 4 ¿Cuál de las opciones siguientes no es una categoría de informática en la nube? †† Plataforma como servicio (PaaS) †† Red como servicio (NaaS) †† Infraestructura como servicio (IaaS) †† Software como servicio (SaaS)

Pregunta de repaso 5 ¿Cuál de las opciones siguientes no es un tipo de informática en la nube? †† Nube híbrida †† Nube privada †† Nube pública †† Nube distribuida

Pregunta de repaso 6 ¿Cuál de las siguientes opciones no es una ventaja de usar servicios en la nube? †† Escalabilidad †† Recuperación ante desastres †† Aislamiento geográfico †† Alta disponibilidad

Pregunta de repaso 7 ¿Cuál de los siguientes se puede usar para administrar la gobernanza en varias suscripciones de Azure? †† Grupos de administración †† Iniciativas de Azure †† Grupos de recursos

Pregunta de repaso 8 ¿Cuál de las siguientes es una unidad lógica de los servicios de Azure que se vincula a una cuenta de Azure? †† Grupo de administración †† Grupo de recursos †† Suscripción de Azure

Pregunta de repaso 9 ¿Cuál de las siguientes características no se aplica a los grupos de recursos? †† El uso de Azure no requiere una suscripción. †† Una suscripción de Azure es una unidad lógica de servicios de Azure. †† No se puede tener más de una suscripción.

Pregunta de repaso 10 ¿Cuál de las siguientes afirmaciones es cierta? †† Con los gastos de explotación (OpEx), usted solo es responsable de los recursos informáticos que usa. †† Con los gastos de explotación (OpEx), usted es responsable de comprar y mantener los recursos informáticos. †† Con los gastos de capital (CapEx), usted solo es responsable de los recursos informáticos que usa.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Preguntas de repaso del módulo 1  45

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

46  Module 1 Describir los conceptos básicos de Azure  

Resumen del módulo 1 Resumen del módulo 01 Introducción a los aspectos básicos de Azure En esta lección se presentaron los aspectos básicos de la informática en la nube y Azure, además de una explicación sobre cómo empezar a trabajar con las suscripciones y cuentas de Azure. Ha aprendido a hacer lo siguiente: ●● Describir los conceptos básicos de la informática en la nube ●● Determinar si Azure es la solución adecuada para sus necesidades empresariales ●● Diferenciar entre los distintos métodos para crear una suscripción de Azure

Conceptos fundamentales de Azure En esta lección, ha aprendido cómo Tailwind Traders puede beneficiarse de distintas características de la informática en la nube, lo que les ayudará a reducir los costes generales relativos a la informática. Ha explorado algunas de las ventajas que ofrece la informática en la nube, como la alta disponibilidad, la escalabilidad y la distribución geográfica. Además, ha comparado las diferencias que hay entre los gastos de capital y los gastos operativos de un escenario de informática en la nube. Por último, ha descubierto las distintas categorías (IaaS, PaaS, SaaS) y los distintos tipos de informática en la nube (pública, privada e híbrida). Con estos nuevos conocimientos, podrá ayudar a Tailwind Traders a realizar la migración a Azure sin ningún tipo de problema.

Describir los componentes principales de la arquitectura de Azure En esta lección, ha aprendido los conceptos y la terminología de varios de los componentes principales de la arquitectura de Azure. Gracias a este nuevo conocimiento, tiene el nivel de comprensión básico de la arquitectura de Azure que necesitará para que Tailwind Traders pueda realizar correctamente la migración a la nube. Ha aprendido a describir las ventajas y el uso de: ●● Suscripciones y Grupos de administración de Azure ●● Recursos de Azure, grupos de recursos de Azure y Azure Resource Manager ●● Regiones de Azure, pares de regiones y zonas de disponibilidad

Answers Pregunta de repaso 1 ¿Cuál de las siguientes afirmaciones sobre informática en la nube no es correcta? ■■ Normalmente, los recursos de la informática en la nube se limitan a regiones geográficas específicas. †† IaaS, PaaS y SaaS son ejemplos de modelos de servicios de informática en la nube. †† IaaS, PaaS y SaaS son las siglas de modelos de servicios de informática en la nube habituales y corresponden a Infraestructura como servicio, Plataforma como servicio y Software como servicio. Explanation La mayoría de los recursos de la informática en la nube se pueden distribuir en centros de datos globales. Pregunta de repaso 2 Verdadero o falso: Antes de poder usar los recursos de Azure, debe adquirir una cuenta de Azure. ■■ Falso †† Verdadero Explanation Puede usar una cuenta de Azure gratuita o un espacio aislado de Microsoft Learn para crear recursos. Pregunta de repaso 3 Verdadero o falso: En un entorno de IaaS, el inquilino de la nube es responsable del mantenimiento rutinario del hardware. ■■ Verdadero †† Falso Explanation En un entorno de IaaS, el proveedor de nube es responsable del mantenimiento del hardware. Pregunta de repaso 4 ¿Cuál de las opciones siguientes no es una categoría de informática en la nube? †† Plataforma como servicio (PaaS) ■■ Red como servicio (NaaS) †† Infraestructura como servicio (IaaS) †† Software como servicio (SaaS) Explanation NaaS no es una categoría válida de informática en la nube.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 1  47

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

48  Module 1 Describir los conceptos básicos de Azure  

Pregunta de repaso 5 ¿Cuál de las opciones siguientes no es un tipo de informática en la nube? †† Nube híbrida †† Nube privada †† Nube pública ■■ Nube distribuida Explanation Una nube distribuida no es un tipo válido de informática en la nube. Pregunta de repaso 6 ¿Cuál de las siguientes opciones no es una ventaja de usar servicios en la nube? †† Escalabilidad †† Recuperación ante desastres ■■ Aislamiento geográfico †† Alta disponibilidad Explanation Si quiere, puede elegir crear recursos en una sola región; sin embargo, una de las principales ventajas de la informática en la nube es la distribución geográfica. Pregunta de repaso 7 ¿Cuál de los siguientes se puede usar para administrar la gobernanza en varias suscripciones de Azure? ■■ Grupos de administración †† Iniciativas de Azure †† Grupos de recursos Explanation Los grupos de administración facilitan el orden jerárquico de los recursos de Azure en colecciones, en un nivel de ámbito por encima de las suscripciones. Mediante Azure Policy y los controles de acceso basado en roles de Azure, se pueden aplicar condiciones de gobernanza distintas a cada grupo de administración para administrar las suscripciones de Azure de forma eficaz. Los recursos y las suscripciones que se asignen a un grupo de administración heredan automáticamente las condiciones aplicadas al grupo de administración. Pregunta de repaso 8 ¿Cuál de las siguientes es una unidad lógica de los servicios de Azure que se vincula a una cuenta de Azure? †† Grupo de administración †† Grupo de recursos ■■ Suscripción de Azure Explanation Una suscripción de Azure es una unidad lógica de servicios de Azure que está vinculada a una cuenta de Azure.

Pregunta de repaso 9 ¿Cuál de las siguientes características no se aplica a los grupos de recursos? †† El uso de Azure no requiere una suscripción. ■■ Una suscripción de Azure es una unidad lógica de servicios de Azure. †† No se puede tener más de una suscripción. Explanation Una suscripción es un conjunto de servicios de Azure agrupados con fines de seguimiento y facturación. Pregunta de repaso 10 ¿Cuál de las siguientes afirmaciones es cierta? ■■ Con los gastos de explotación (OpEx), usted solo es responsable de los recursos informáticos que usa. †† Con los gastos de explotación (OpEx), usted es responsable de comprar y mantener los recursos informáticos. †† Con los gastos de capital (CapEx), usted solo es responsable de los recursos informáticos que usa. Explanation Con los gastos de explotación (OpEx), usted solo es responsable de los recursos informáticos que usa.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 1  49

Objetivos de aprendizaje Objetivos de aprendizaje Después de completar este módulo, podrá:

●● Entender la gran variedad de servicios disponibles en Azure, incluidos los procesos, las redes, el almacenamiento y las bases de datos. ●● Identificar los servicios de virtualización, como Azure Virtual Machines, Azure Container Instances, Azure Kubernetes Service y Windows Virtual Desktop. ●● Comparar los servicios de bases de datos de Azure, como Azure Cosmos DB, Azure SQL, Azure Database for MySQL y Azure Database for PostgreSQL, además de los servicios de análisis y los macrodatos de Azure. ●● Examinar los recursos de red de Azure, como instancias de Virtual Networks, instancias de VPN Gateway y Azure ExpressRoute. ●● Resumir los servicios de almacenamiento de Azure, como Azure Blob Storage, Azure Disk Storage y Azure File Storage.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

Module 2 Describir los servicios principales de Azure

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

52  Module 2 Describir los servicios principales de Azure  

Explorar los servicios de análisis y bases de datos de Azure Introducción

Debido a un número cada vez mayor de adquisiciones durante la última década, Tailwind Traders usa una gran variedad de tecnologías de análisis y bases de datos. A medida que empiecen a migrar las cargas de trabajo de datos existentes y a implementar nuevas cargas de trabajo de datos en Azure, deben comprender qué tecnología de Azure será la adecuada para cada carga de trabajo. Como administrador de bases de datos de Tailwind Traders, el director de tecnología (CTO) de la empresa le ha encargado la tarea de investigar las distintas opciones de bases de datos disponibles y ayudar a su empresa a elegir las más adecuadas para cada uno de los escenarios de datos.

Las aplicaciones actuales deben estar siempre en línea y tener una alta capacidad de respuesta. Para lograr baja latencia y alta disponibilidad, las instancias de estas aplicaciones deben implementarse en centros de datos que están cerca de sus usuarios. Es necesario que las aplicaciones respondan en tiempo real a grandes cambios, en cuanto a uso, en las horas punta, que almacenen volúmenes de datos que cada vez son mayores y que dichos datos estén a disposición de los usuarios en milisegundos. Para ayudar a su empresa a alcanzar sus objetivos, los servicios de bases de datos de Azure se distribuyen globalmente y Azure admite muchas de las bases de datos y API estándar del sector. En este módulo, obtendrá información sobre algunos de los servicios de bases de datos principales que están disponibles en Azure y analizará algunas de las razones por las que cada uno de estos servicios de bases de datos puede ser la opción adecuada para sus necesidades.

Objetivos de aprendizaje Una vez que haya completado este módulo, podrá describir las ventajas y el uso de: ●● Azure Cosmos DB ●● Azure SQL Database ●● Azure Database for MySQL ●● Azure Database for PostgreSQL ●● Azure Synapse Analytics ●● Azure HDInsight ●● Azure Databricks ●● Azure Data Lake Analytics

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática

●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con las bases de datos.

Explore Azure Cosmos DB

A lo largo de los años, Tailwind Traders ha adquirido varias empresas más pequeñas. Cada una de estas empresas tenía equipos de desarrolladores que usaban diferentes servicios de bases de datos y varias API para trabajar con sus datos. Aunque un plan a largo plazo podría ser trasladar todos los datos a un servicio de bases de datos común, por el momento quiere permitir que cada uno de estos equipos trabaje con un entorno en el que puedan aprovechar sus conjuntos de aptitudes existentes. Afortunadamente, Azure Cosmos DB puede ayudarle. Azure Cosmos DB es compatible con los datos sin esquema, lo que le permite compilar aplicaciones Always On con una gran capacidad de respuesta para admitir datos en continuo cambio. Puede utilizar esta característica para almacenar los datos que actualizan y mantienen usuarios de todo el mundo. Azure Cosmos DB es el servicio de base de datos multimodal de Microsoft que se distribuye por todo el mundo. Con tan solo un clic, Cosmos DB permite escalar de forma elástica e individual el rendimiento y el almacenamiento en cualquier número de regiones de Azure a nivel mundial. Puede escalar el rendimiento y el almacenamiento de forma elástica y aprovechar el acceso a los datos rápido y preciso de milisegundos mediante cualquiera de las diversas API populares. Cosmos DB proporciona completos Acuerdos de Nivel de Servicio (SLA) con garantía de rendimiento, latencia, disponibilidad y consistencia, algo que no ofrecen otros servicios de base de datos. Por ejemplo, Tailwind Traders proporciona un portal de aprendizaje público que usan los clientes de todo el mundo para obtener información sobre las distintas herramientas que crea Tailwind Traders, y los desarrolladores de Tailwind Traders mantienen y actualizan los datos. En la siguiente ilustración se muestra una base de datos de ejemplo de Azure Cosmos DB que se usa para almacenar datos para el sitio web del portal de aprendizaje.

Gracias a su flexibilidad, Azure Cosmos DB resulta ser una gran elección, en diversos escenarios. En el nivel más bajo, Azure Cosmos DB almacena los datos en formato de secuencia de registro de átomos (ARS). Después, los datos se abstraen y se proyectan como una API, que se especifica al crear la base de datos. Entre las opciones se incluyen SQL, MongoDB, Cassandra, Tables y Gremlin. Este nivel de flexibilidad implica que, al migrar las bases de datos de la empresa a Azure Cosmos DB, los desarrolladores pueden seguir con la API con la que se encuentren más cómodos.

Exploración de Azure SQL Database

Azure SQL Database es una base de datos relacional que se basa en la última versión estable del motor de base de datos de Microsoft SQL Server. SQL Database es una base de datos de alto rendimiento,

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de análisis y bases de datos de Azure  53

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

54  Module 2 Describir los servicios principales de Azure  

confiable, totalmente administrada y segura. Puede usarla para compilar aplicaciones y sitios web controlados por datos en el lenguaje de programación que prefiera sin necesidad de administrar infraestructura.

Características de SQL Azure SQL Database es un motor de base de datos de plataforma como servicio (PaaS) totalmente administrado que se encarga de la mayoría de las funciones de administración de bases de datos, como actualizar, aplicar revisiones, crear copias de seguridad y supervisar sin intervención del usuario. Azure SQL Database se ejecuta siempre en la última versión estable del motor de base de datos de SQL Server y en un sistema operativo revisado con el 99,99 % de disponibilidad. Las capacidades de PaaS que están integradas en Azure SQL Database permiten centrarse en las actividades de administración y optimización de bases de datos específicas del dominio que son críticas para el negocio. SQL Database es un servicio totalmente administrado que ofrece alta disponibilidad, copias de seguridad y otras operaciones de mantenimiento comunes. Microsoft controla todas las revisiones y actualizaciones del código del sistema operativo y de SQL, no es necesario que administre la infraestructura subyacente. Con Azure SQL Database, puede crear una capa de almacenamiento de datos de gran rendimiento y disponibilidad para las aplicaciones y las soluciones de Azure. SQL Database puede ser la opción adecuada para una variedad de aplicaciones modernas en la nube, porque le permite procesar tanto datos relacionales como estructuras no relacionales, por ejemplo, grafos, JSON, elementos espaciales y XML. Como Azure SQL Database se basa en la versión estable más reciente del motor de base de datos de Microsoft SQL Server, puede usar características avanzadas de procesamiento de consultas, como tecnologías en memoria de alto rendimiento y procesamiento de consultas inteligentes. De hecho, las funcionalidades más recientes de SQL Server se publican primero en SQL Database y, después, en el propio SQL Server. Las funcionalidades de SQL Server más recientes se obtienen sin coste alguno mediante revisiones o actualizaciones, y se han probado en millones de bases de datos.

Migración del SQL En la actualidad, Tailwind Traders usa varios servidores locales de SQL Server, que proporcionan almacenamiento de datos para el sitio web de acceso público (por ejemplo, datos de clientes, historial de pedidos, catálogos de productos, etc.). Además, los servidores SQL Server locales también proporcionan almacenamiento de datos para el sitio web del portal de aprendizaje solo para uso interno que Tailwind Traders usa para los materiales de aprendizaje de nuevos empleados (por ejemplo, materiales de estudio, detalles de certificación, transcripciones de entrenamiento, etc.). En la ilustración siguiente se muestran los tipos de datos que su empresa puede almacenar en el sitio web del portal de aprendizaje de Azure SQL Database.

Puede migrar las bases de datos existentes de SQL Server con un tiempo de inactividad mínimo mediante Azure Database Migration Service. Microsoft Data Migration Assistant puede generar informes de evaluación que proporcionan recomendaciones para ayudarlo a través de los cambios necesarios anteriores a la ejecución de una migración. Una vez evaluada y resuelta cualquier corrección necesaria, está listo para comenzar el proceso de migración. Azure Database Migration Service realiza todos los pasos necesarios. El usuario solo tiene que cambiar la cadena de conexión en las aplicaciones.

Ejercicio: Creación de una base de datos SQL

En este tutorial, crearemos una base de datos SQL en Azure y luego consultaremos los datos en esa base de datos. Tarea 1: Crear una base de datos. En esta tarea crearemos una nueva base de datos SQL utilizando la base de datos de ejemplo AdventureWorksLT. Tarea 2: Consultar la base de datos. En esta tarea, configuraremos el servidor SQL y ejecutaremos una consulta SQL. ¡Enhorabuena! Ha creado una base de datos SQL en Azure y ha consultado con éxito los datos en esa base de datos. Nota: Para evitar costes adicionales, puede quitar este grupo de recursos. Busque grupos de recursos, haga clic en su grupo de recursos y, a continuación, haga clic en Eliminar grupo de recursos. Compruebe el nombre del grupo de recursos y luego haga clic en Eliminar. Supervise las Notificaciones para ver cómo se realiza la eliminación.

Exploración de Azure Database for MySQL

En la actualidad, Tailwind Traders administra varios sitios web locales que usan la pila LAMP (Linux, Apache, MySQL y PHP). Como parte del planeamiento de la estrategia de migración, los distintos equipos de Tailwind Traders han estado investigando las ofertas de servicios disponibles que proporciona Azure. Ya ha descubierto que Azure Web Apps proporciona funcionalidad integrada para crear aplicaciones web que usan PHP en un servidor Linux que ejecuta Apache, y se le ha encargado la tarea de investigar si se seguirán satisfaciendo las necesidades de la base de datos para el equipo de desarrollo web después de la migración a Azure. La buena noticia es que Azure Database for MySQL es un servicio de bases de datos relacionales en la nube de Microsoft, que se basa en el motor de base de datos de MySQL Community Edition, versiones 5.6, 5.7 y 8.0. El Acuerdo de Nivel de Servicio (SLA) de Azure, con una disponibilidad del 99,99 % líder del sector y con la tecnología de una red global de centros de datos administrados por Microsoft, ayuda a mantener las aplicaciones en funcionamiento de forma ininterrumpida. Con cada servidor de Azure Database for MySQL, se saca provecho de las ventajas de la seguridad integrada, la tolerancia a errores y la protección de datos, algo que de lo contrario tendría que adquirir o diseñar, compilar y administrar. Con Azure Database for MySQL puede usar la restauración a un momento dado para recuperar un servidor a un estado anterior, con un plazo máximo de 35 días. Azure Database for MySQL ofrece lo siguiente: ●● Alta disponibilidad incorporada sin coste adicional. ●● Rendimiento predecible, utilizando precios inclusivos de pago por uso. ●● Escalado inmediato según las necesidades. ●● Protección de información confidencial en reposo y en movimiento.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de análisis y bases de datos de Azure  55

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

56  Module 2 Describir los servicios principales de Azure  

●● Copias de seguridad automáticas y restauración en un momento determinado de los últimos 35 días. ●● Seguridad y cumplimiento de nivel empresarial. Estas funcionalidades no requieren casi ninguna tarea de administración y todas se proporcionan sin ningún coste adicional. Le permiten centrarse en el desarrollo rápido de aplicaciones y en reducir el plazo de acceso al mercado, en lugar de tener que dedicar tiempo y recursos a la administración tanto de máquinas virtuales como de infraestructura. Además, puede migrar las bases de datos existentes de MySQL con un tiempo de inactividad mínimo mediante Azure Database Migration Service. Cuando haya completado la migración, puede seguir desarrollando su aplicación con las herramientas y la plataforma de código abierto que prefiera con la velocidad y la eficacia que exige su negocio, sin tener que adquirir nuevas aptitudes.

El servicio de Azure Database for MySQL ofrece varios niveles de servicio, y cada uno de ellos aporta un rendimiento y una funcionalidad diferentes para admitir cargas de trabajo de bases de datos ligeras y pesadas. Puede compilar su primera aplicación en una base de datos pequeña por poco dinero al mes y, después, ajustar la escala para satisfacer las necesidades de la solución. La escalabilidad dinámica permite a la base de datos responder de manera transparente a los cambiantes requisitos de recursos. Solo paga por los recursos que necesite y cuando los necesite.

Exploración de Azure Database for PostgreSQL

Como parte de su estrategia general de datos, Tailwind Traders ha estado usando PostgreSQL durante varios años. Como usuario existente de PostgreSQL, puede que ya conozca las ventajas de PostgreSQL. Una parte de su migración consiste en usar Azure Database for PostgreSQL, y quiere asegurarse de que tendrá acceso a los mismos beneficios que en el servidor local antes de pasar a la nube. Azure Database for PostgreSQL es un servicio de base de datos relacional en la nube de Microsoft. El software de servidor se basa en la versión de la comunidad del motor de base de datos de PostgreSQL de código abierto. Su familiaridad con las herramientas y la experiencia con PostgreSQL son aplicables al uso de Azure Database for PostgreSQL. Además, Azure Database for PostgreSQL ofrece las siguientes ventajas: ●● Alta disponibilidad integrada en comparación con los recursos locales. No hay ninguna configuración, replicación o coste adicionales que sean necesarios para asegurarse de que las aplicaciones están siempre disponibles.

●● Precios sencillos y flexibles. Tiene un rendimiento predecible en función de un plan de tarifa seleccionado que incluye copias de seguridad automáticas, aplicación de revisiones de software, supervisión y seguridad. ●● Escalado o reducción vertical según sea necesario en unos segundos. Puede escalar procesos o almacenamiento por separado según sea necesario para asegurarse de que adapta el servicio para que coincida con el uso. ●● Copias de seguridad automáticas ajustables y restauración a un momento dado durante un máximo de 35 días. ●● Cumplimiento y seguridad de nivel empresarial para proteger datos confidenciales en reposo y en movimiento que cubre el cifrado de datos en disco y el cifrado SSL para la comunicación entre cliente y servidor. Azure Database for PostgreSQL está disponible en dos opciones de implementación: Servidor único e Hiperescala (Citus).

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de análisis y bases de datos de Azure  57

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

58  Module 2 Describir los servicios principales de Azure  

Azure Database for PostgreSQL - Un solo servidor

La opción de implementación Un solo servidor ofrece: ●● Alta disponibilidad integrada sin coste adicional (99,99 % en contrato de nivel de servicio) ●● Rendimiento predecible, utilizando precios inclusivos de pago por uso ●● Escalado vertical según sea necesario en cuestión de segundos ●● Supervisión y alertas para evaluar el servidor ●● Seguridad y cumplimiento de nivel empresarial ●● Protección de información confidencial en reposo y en movimiento ●● Copias de seguridad automáticas y restauración en un momento determinado de los últimos 35 días Todas estas funcionalidades apenas requieren tareas de administración y todas se proporcionan sin coste adicional. Le permiten centrarse en el desarrollo rápido de aplicaciones y en reducir el plazo de acceso al mercado, en lugar de tener que dedicar tiempo y recursos a la administración tanto de las máquinas virtuales como de la infraestructura. Puede seguir desarrollando la aplicación con las herramientas de código abierto y en la plataforma de que prefiera sin necesidad de adquirir nuevas aptitudes. La opción de implementación de Un solo servidor ofrece tres niveles de precios: Básico, de uso general y optimizado para la memoria. Cada plan ofrece capacidades de recursos diferente para admitir sus cargas de trabajo de la base de datos. Puede compilar su primera aplicación en una base de datos pequeña por poco dinero al mes y, después, ajustar la escala para satisfacer las necesidades de la solución. La escalabilidad dinámica permite a la base de datos responder de manera transparente a los cambiantes requisitos de recursos. Solo paga por los recursos que necesite y cuando los necesite.

Azure Database for PostgreSQL - Hiperescala (Citus)

La opción de Hiperescala (Citus) escala horizontalmente las consultas entre varias máquinas mediante particionamiento. Su motor de consultas paraleliza las consultas SQL entrantes en estos servidores para agilizar las respuestas en conjuntos de datos grandes. Sirve aplicaciones que requieren mayor escala y mejor rendimiento, por lo general cargas de trabajo que se aproximan a los 100 GB de datos (o que ya los superan). La opción de implementación de Hiperescala (Citus) ofrece: ●● Escalado horizontal entre varias máquinas mediante particionamiento ●● Paralelización de consultas entre estos servidores, lo que agiliza las respuestas en conjuntos de datos grandes ●● Excelente compatibilidad con aplicaciones multiinquilino, análisis operativo en tiempo real y cargas de trabajo transaccionales de alto rendimiento Las aplicaciones compiladas para PostgreSQL pueden ejecutar consultas distribuidas en Hiperescala (Citus) con las bibliotecas de conexiones estándar y unos cambios mínimos.

Exploración de análisis y macrodatos

Hace algunos años, Tailwind Traders introdujo un nuevo sistema de seguimiento GPS en todos sus vehículos de entrega, que proporciona datos de seguimiento en tiempo real al centro de datos principal. A su director de tecnología le gustaría que el equipo observara varios años de datos de seguimiento para determinar las tendencias, como picos de entregas en torno a las festividades que requerirían contratar más personal. A través de un análisis exhaustivo de los datos de seguimiento que ha registrado, al director de tecnología le gustaría predecir cuándo es necesario realizar cambios y llevar a cabo proactivamente los pasos necesarios para administrar adecuadamente los picos. Los datos vienen en todo tipo de formas y formatos. Cuando hablamos sobre macrodatos, nos referimos a grandes volúmenes de datos. En este escenario de Tailwind Traders, los datos se recopilan de los sensores GPS, que incluyen información de ubicación, datos de los sistemas del tiempo y muchos otros orígenes que generan grandes cantidades de datos. Esta cantidad de datos hace que cada vez sea más difícil de entender y de tomar decisiones al respecto. Los volúmenes son tan grandes que las formas tradicionales de procesamiento y análisis ya no son apropiadas. Con el tiempo, las tecnologías de clúster de código abierto se han desarrollado para tratar de lidiar con estos grandes conjuntos de datos. Microsoft Azure es compatible con una amplia gama de tecnologías y servicios para proporcionar soluciones analíticas y de macrodatos. Algunos de los tipos de servicios de análisis y macrodatos más comunes de Azure son Azure Synapse Analytics, HDInsight,Databricks y Data Lake Analytics.  

Azure Synapse Analytics Azure Synapse Analytics (https://docs.microsoft. com/azure/sql-data-warehouse/?azure-portal=true) (antes Almacenamiento de datos de Azure SQL) es un servicio de análisis ilimitado que reúne el almacenamiento de datos empresariales y el análisis de macrodatos. Azure Synapse le ofrece la libertad de consultar los datos de sus términos, mediante recursos sin servidor o aprovisionados a escala. Azure Synapse reúne estos dos mundos con una experiencia unificada para ingerir, preparar, administrar y servir datos para las necesidades inmediatas de inteligencia empresarial y aprendizaje automático. 

 

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de análisis y bases de datos de Azure  59

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

60  Module 2 Describir los servicios principales de Azure  

 

Azure Databricks Azure Databricks (https://azure.microsoft.com/ services/databricks/?azure-portal=true) le ayuda a desbloquear información de todos sus datos y a construir soluciones de inteligencia artificial (IA). Puede configurar el entorno de Apache Spark™ en minutos y, después, escalar automáticamente y colaborar en proyectos compartidos en un área de trabajo interactiva. Azure Databricks admite Python, Scala, R, Java y SQL, así como marcos y bibliotecas de ciencia de datos, como TensorFlow, PyTorch y Scikit-learn.

 

Azure HDInsight Azure HDInsight (https://azure.microsoft.com/ services/hdinsight/?azure-portal=true) es un servicio de análisis de código abierto totalmente administrado para empresas. Es un servicio en la nube que hace que procesar grandes cantidades de datos hace que sea más fácil, más rápido y más rentable. HDInsight le permite ejecutar marcos de código abierto populares y crear tipos de clúster como Apache Spark (https://docs.microsoft.com/ azure/hdinsight/spark/apache-spark-overview?azure-portal=true), Apache Hadoop (https:// docs.microsoft.com/azure/hdinsight/hadoop/ apache-hadoop-introduction?azure-portal=true), Apache Kafka (https://docs.microsoft. com/azure/hdinsight/kafka/apache-kafka-introduction?azure-portal=true), Apache HBase (https:// docs.microsoft.com/azure/hdinsight/hbase/ apache-hbase-overview?azure-portal=true), Apache Storm (https://docs.microsoft. com/azure/hdinsight/storm/apache-storm-overview?azure-portal=true), Machine Learning Services (https://docs.microsoft.com/azure/ hdinsight/r-server/r-server-overview?azure-portal=true). HDInsight también es compatible con una amplia gama de casos, como extracción, transformación y carga (ETL), almacenamiento de datos, aprendizaje automático e IoT.

 

 

Azure Data Lake Analytics Azure Data Lake Analytics (https://azure.microsoft.com/services/data-lake-analytics/?azure-portal=true) es un servicio de trabajo de análisis bajo demanda que simplifica los macrodatos. En lugar de implementar, configurar y ajustar el hardware, escribe consultas para transformar sus datos y extraer información valiosa. El servicio analítico puede controlar trabajos de cualquier escala al instante configurando el dial para la cantidad de energía que necesita. Solo paga por su trabajo cuando este se está ejecutando, lo que lo hace más rentable.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de análisis y bases de datos de Azure  61

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

62  Module 2 Describir los servicios principales de Azure  

Explorar Compute Services de Azure Introducción

Imagine que trabaja como responsable de desarrollo en Tailwind Traders, una empresa especializada en la fabricación de hardware. El equipo de administración le indica que al sitio web de la empresa le ha sido difícil mantenerse al día de las demandas de la aplicación y quiere que usted investigue una solución. Los servidores web front-end funcionan cerca de su capacidad durante las horas punta del día y el tiempo es fundamental para obtener una solución en su lugar. Pero hay un problema: no tiene ningún servidor disponible para escalar horizontalmente la aplicación.

Lógicamente, podría solicitar la compra de nuevos equipos, pero el presupuesto de su departamento es reducido. Incluso si pudiera adquirir varios servidores, necesitaría dedicar mucho tiempo a configurarlos e instalar software. Además, no quiere comprar más hardware del necesario, no solo porque quiere dar una buena impresión a sus superiores, sino también porque no sabe cuántos servidores son necesarios para este proyecto. Idealmente obtendría los recursos que necesita para este trabajo sin demasiada administración y los configuraría para realizar el trabajo. Además, pagaría solo por los recursos de proceso que necesite mientras los usa. Este escenario es exactamente lo que puede hacer en Azure. Puede crear recursos de proceso, configurarlos para hacer el trabajo necesario y pagar solo por lo que usa.

Objetivos de aprendizaje Una vez que haya completado este módulo, podrá describir las ventajas y el uso de: ●● Azure Virtual Machines (VM) ●● Azure App Services ●● Azure Container Instances (ACI) ●● Azure Kubernetes Service (AKS) ●● Azure Functions ●● Windows Virtual Desktop

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

Introducción a los servicios de Azure Compute

Azure Compute es un servicio de informática a petición para ejecutar aplicaciones basadas en la nube. Proporciona recursos informáticos como discos, procesadores, memoria, redes y sistemas operativos. Los recursos están disponibles a petición y, en general, pueden estar disponibles en minutos o incluso segundos. Solo se paga por los recursos que se usan y solo durante el tiempo que se usan. Azure admite una amplia gama de soluciones informáticas para el desarrollo y las pruebas, la ejecución de aplicaciones y la ampliación del centro de datos, como Linux, Windows Server, Microsoft SQL Server, Oracle, IBM y SAP. Azure también tiene muchos servicios que pueden ejecutar máquinas virtuales, cada uno de los cuales proporciona diferentes opciones en función de sus requisitos. Algunos de los servicios más destacados son Virtual Machines, Container Instances, App Services y Functions (o informática sin servidor).

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar Compute Services de Azure  63

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

64  Module 2 Describir los servicios principales de Azure  

 

Máquinas virtuales

 

Las máquinas virtuales o VM son emulaciones de software de equipos físicos. Incluyen un procesador virtual, memoria, almacenamiento y recursos de redes. Las VM hospedan un sistema operativo, y usted puede instalar y ejecutar software como un equipo físico. Al utilizar un cliente de escritorio remoto, puede utilizar y controlar la máquina virtual como si estuviese sentado frente a ella. Las máquinas virtuales de Azure (https://azure. microsoft.com/services/virtual-machines/?azure-portal=true)  permiten crear y utilizar máquinas virtuales en la nube. Proporciona IaaS y se puede utilizar de diferentes maneras. Cuando necesita un control total sobre un sistema operativo y un entorno, las máquinas virtuales de Azure son una opción ideal. Al igual que un equipo físico, puede personalizar todo el software que se ejecuta en la VM. Esto es particularmente útil cuando ejecuta software o configuraciones de hospedaje personalizados.

Conjuntos de escalado de máquinas virtuales Los conjuntos de escalado de máquinas virtuales (https://azure.microsoft.com/services/virtual-machine-scale-sets?azure-portal=true)  son un recurso de Azure Compute que se puede usar para implementar y administrar un conjunto de máquinas virtuales idénticas. Con todas las máquinas virtuales configuradas de la misma manera, los conjuntos de escalado de máquinas virtuales están diseñados para admitir la verdadera escalabilidad automática. No es necesario el aprovisionamiento previo de máquinas virtuales y, por lo tanto, se facilita la creación de servicios a gran escala que tienen como destino Big Compute, macrodatos y cargas de trabajo en contenedores. Por lo tanto, a medida que aumenta la demanda, se pueden agregar más instancias de máquinas virtuales, y a medida que disminuye la demanda, se pueden quitar. El proceso puede ser manual, automatizado o una combinación de ambos.

 

Contenedores y Kubernetes

 

Azure Container Instances (https://azure.microsoft.com/services/container-instances?azure-portal=true) y Azure Kubernetes Service (AKS) (https://azure.microsoft.com/services/kubernetes-service?azure-portal=true) son recursos de Azure Compute que puede usar para implementar y administrar contenedores, los cuales son entornos de aplicación ligeros y virtualizados que están diseñados para crearse, escalarse horizontalmente y detenerse de forma dinámica y rápida. Puede ejecutar varias instancias de una aplicación en contenedores en un único equipo host.

App Services Con App Services (https://azure.microsoft.com/ services/app-service?azure-portal=true) puede compilar, implementar y escalar aplicaciones de API, aplicaciones móviles y aplicaciones web de nivel empresarial que se pueden ejecutar en cualquier plataforma. Puede cumplir con rigurosos requisitos de rendimiento, escalabilidad, seguridad y cumplimiento mientras usa una plataforma totalmente administrada para realizar el mantenimiento de la infraestructura. App Services es una oferta de plataforma como servicio (PaaS).

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar Compute Services de Azure  65

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

66  Module 2 Describir los servicios principales de Azure  

 

Functions

 

Azure Functions (https://azure.microsoft.com/ services/functions?azure-portal=true) es una opción ideal si le preocupa solo el código que ejecuta el servicio y no la infraestructura o la plataforma subyacente. Se usan comúnmente cuando necesita realizar un trabajo en respuesta a un evento (a menudo a través de una solicitud REST), un temporizador o un mensaje de otro servicio de Azure, y cuando ese trabajo se puede completar rápidamente, en segundos o menos.

Cuándo usar Microsoft Azure Virtual Machines Una posible solución a la falta de servidores físicos de Tailwind Traders es usar máquinas virtuales.

Azure Virtual Machines permite crear y utilizar máquinas virtuales en la nube. Estas máquinas virtuales proporcionan una infraestructura como servicio (IaaS) en forma de un servidor virtualizado y se pueden usar de muchas formas. Al igual que sucede en un equipo físico, se puede personalizar todo el software que se ejecuta en la máquina virtual. Las máquinas virtuales son una opción ideal cuando se necesita lo siguiente: ●● Control total sobre el sistema operativo (SO). ●● Capacidad de ejecutar software personalizado. ●● Usar configuraciones de hospedaje personalizadas. Una máquina virtual de Azure le ofrece la flexibilidad de la virtualización sin necesidad de adquirir y mantener el hardware físico que ejecuta la máquina virtual. Sin embargo, sí necesita configurar, actualizar y mantener el software que se ejecuta en la máquina virtual. Al seleccionar una imagen de máquina virtual preconfigurada, podrá crear y aprovisionar una máquina virtual en cuestión de minutos. La selección de una imagen es una de las decisiones más importantes que tomará al crear una máquina virtual. Una imagen es una plantilla que se usa para crear una máquina virtual. Estas plantillas ya incluyen un sistema operativo y, a menudo, otro software, como herramientas de desarrollo o entornos de hospedaje web.

Ejemplos de cuándo usar máquinas virtuales ●● Durante las pruebas y el desarrollo. Las máquinas virtuales proporcionan una manera rápida y sencilla de crear distintas configuraciones de sistema operativo y de aplicación. El personal encargado de las pruebas y del desarrollo puede eliminar fácilmente las máquinas virtuales cuando ya no las necesite.

●● Al ejecutar aplicaciones en la nube. La capacidad de ejecutar determinadas aplicaciones en la nube pública, en lugar de crear una infraestructura tradicional para ejecutarlas, puede proporcionar importantes beneficios económicos. Por ejemplo, si una aplicación necesita controlar las fluctuaciones en la demanda, el hecho de poder apagar las máquinas virtuales cuando no las necesite o iniciarlas rápidamente para satisfacer un aumento repentino de la demanda implica que solo paga por los recursos que usa. ●● A la hora de extender el centro de recursos a la nube. Una organización puede extender las capacidades de su propia red local mediante la creación de una red virtual en Azure y al agregar máquinas virtuales a esa red virtual. De este modo, las aplicaciones como SharePoint se pueden ejecutar en una máquina virtual de Azure en lugar de ejecutarse de forma local, lo que facilita o abarata la implementación en un entorno local. ●● Durante la recuperación ante desastres. Igual que con la ejecución de ciertos tipos de aplicaciones en la nube y con la extensión de una red local a la nube, puede ahorrar costes de manera significativa mediante el uso de un enfoque basado en IaaS para la recuperación ante desastres. Si se produce un error en un centro de datos principal, puede crear máquinas virtuales que se ejecuten en Azure para ejecutar las aplicaciones críticas y, después, puede apagarlas cuando el centro de datos principal vuelva a estar operativo.

Traslado a la nube con máquinas virtuales Las máquinas virtuales también son una opción excelente para trasladarse de un servidor físico a la nube. Puede crear una imagen del servidor físico y hospedarla en una máquina virtual con pocos o ningún cambio. Al igual que un servidor físico local, las máquinas virtuales requieren mantenimiento. Por tanto, debe actualizar el sistema operativo y su software.

Escalado de máquinas virtuales en Azure Puede ejecutar máquinas virtuales individuales para pruebas, desarrollo o tareas secundarias, o agrupar máquinas virtuales para proporcionar alta disponibilidad, escalabilidad y redundancia. Azure cuenta con varias características para que, independientemente de cuáles sean los requisitos de tiempo de actividad, pueda cumplirlos. Entre estas características se incluyen: ●● Virtual Machine Scale Sets ●● Azure Batch

¿Qué es Virtual Machine Scale Sets? Azure Virtual Machine Scale Sets permite crear y administrar un grupo de máquinas virtuales idénticas con equilibrio de carga. Imagine que está ejecutando un sitio web que permite a los científicos cargar imágenes de astronomía que deben procesarse. Si ha duplicado la máquina virtual, normalmente necesitará configurar un servicio adicional para enrutar las solicitudes entre varias instancias del sitio web. Virtual Machine Scale Sets puede encargarse de ello. Los conjuntos de escalado le permiten administrar, configurar y actualizar de forma centralizada un gran número de máquinas virtuales en cuestión de minutos para proporcionar aplicaciones altamente disponibles. El número de instancias de máquina virtual puede aumentar o disminuir automáticamente según la demanda, o en respuesta a una programación definida. Con Virtual Machine Scale Sets, puede crear servicios a gran escala para áreas tales como proceso, macrodatos y cargas de trabajo de contenedor.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar Compute Services de Azure  67

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

68  Module 2 Describir los servicios principales de Azure  

¿Qué es Azure Batch? Azure Batch permite trabajo por lotes paralelos a gran escala y de informática de alto rendimiento (HPC) con la capacidad de escalar a decenas, cientos o miles de máquinas virtuales. Cuando esté listo para ejecutar un trabajo, Batch: ●● Iniciará un grupo de máquinas virtuales de proceso por usted. ●● Instalará aplicaciones y datos de ensayo. ●● Ejecutará trabajos con tantas tareas como tenga. ●● Identificará errores. ●● Reordenará la cola de trabajo. ●● Reducirá verticalmente el grupo a medida que se complete el trabajo. Puede haber situaciones en las que necesite potencia informática sin procesar o potencia de cálculo a nivel de superequipo. Azure proporciona estas capacidades.

Cuándo usar Azure Container Instances o Azure Kubernetes Service A pesar de que las máquinas virtuales son una excelente manera de reducir los costes frente a las inversiones que son necesarias para el hardware físico, están limitadas a un solo sistema operativo por máquina virtual. Si desea ejecutar varias instancias de una aplicación en una sola máquina host, los contenedores son una excelente opción.

¿Qué son los contenedores? Los contenedores son un entorno de virtualización y, de forma similar a la ejecución de varias máquinas virtuales en un solo host físico, se pueden ejecutar varios contenedores en un solo host físico o virtual. Sin embargo, a diferencia de las máquinas virtuales, no se administra el sistema operativo de un contenedor. Mientras que las máquinas virtuales parecen ser una instancia de un sistema operativo que se puede conectar y administrar, los contenedores son ligeros y están diseñados para crearse, escalarse horizontalmente y detenerse de forma dinámica. Aunque es posible crear e implementar máquinas virtuales a medida que aumenta la demanda de la aplicación, los contenedores están diseñados para permitirle responder a los cambios a petición y reiniciar rápidamente en caso de un bloqueo o una interrupción del hardware. Uno de los motores de contenedor más populares es Docker, que es compatible con Microsoft Azure.

Comparación de máquinas virtuales con contenedores En el vídeo siguiente se resaltan algunas de las diferencias importantes entre las máquinas virtuales y los contenedores.

https://www.microsoft.com/videoplayer/embed/RE2yuaq

Administrar contenedores Los contenedores se administran a través de un orquestador de contenedores, que puede iniciar, detener y escalar horizontalmente las instancias de la aplicación, según sea necesario. Hay dos maneras de administrar los contenedores basados en Microsoft y Docker en Azure: Azure Container Instances y Azure Kubernetes Service.  

Azure Container Instances (ACI)

 

Azure Container Instance (https://azure.microsoft. com/services/container-instances?azure-portal=true) ofrece la forma más rápida y sencilla de ejecutar un contenedor en Azure, sin tener que administrar ninguna máquina virtual o adoptar ningún servicio adicional. Es una oferta de PaaS que le permite cargar sus contenedores y que se ejecutará por usted.

Azure Kubernetes Service (AKS) La tarea de automatizar, administrar una gran cantidad de contenedores, e interactuar con ellos, se conoce como orquestación. Azure Kubernetes Service (AKS) (https://azure.microsoft.com/ services/kubernetes-service?azure-portal=true) es un servicio de organización completo para contenedores con arquitecturas distribuidas y grandes volúmenes de contenedores. La orquestación es la tarea de automatizar y administrar una gran cantidad de contenedores y la forma en la que interactúan.

¿Qué es Kubernetes? En el vídeo siguiente se describen algunos detalles importantes sobre la orquestación de contenedores de Kubernetes.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar Compute Services de Azure  69

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

70  Module 2 Describir los servicios principales de Azure  

https://www.microsoft.com/videoplayer/embed/RE2yEuX

Uso de contenedores en las soluciones Los contenedores a menudo se usan para crear soluciones mediante una arquitectura de microservicios. Esta arquitectura es donde divide las soluciones en piezas más pequeñas e independientes. Por ejemplo, puede dividir un sitio web en un contenedor que aloje su front-end, otro que aloje su back-end y un tercero para el almacenamiento. Esta división le permite separar partes de su aplicación en secciones lógicas que se pueden mantener, escalar o actualizar de forma independiente. Imagine que el back-end de su sitio web ha alcanzado su capacidad, pero el front-end y el almacenamiento no están al máximo de su capacidad. Puede escalar el back-end por separado para mejorar el rendimiento, o puede decidir usar un servicio de almacenamiento diferente, o incluso reemplazar el contenedor de almacenamiento sin afectar al resto de la aplicación.

¿Qué es un microservicio? En el vídeo siguiente se describen algunos detalles importantes sobre los microservicios.

https://www.microsoft.com/videoplayer/embed/RE2yual

Cuándo usar Azure App Service

Hasta ahora, en su investigación sobre Tailwind Traders, ha examinado dos formas diferentes de virtualizar su aplicación. Sin embargo, otra alternativa es implementar los sitios web front-end de la aplicación en Azure App Service, lo que facilita la respuesta a la demanda de la aplicación. Azure App Service le permite crear y hospedar aplicaciones web, trabajos en segundo plano, back-ends móviles y API de RESTful en el lenguaje de programación que prefiera sin tener que administrar la infraestructura. Ofrece escalado automático y alta disponibilidad. App Service es compatible con Windows y Linux y permite implementaciones automatizadas desde GitHub, Azure DevOps o cualquier repositorio Git para admitir un modelo de implementación continua. Esta plataforma como servicio (PaaS) le permite centrarse en el sitio web y la lógica de la API, mientras que Azure se encarga de la infraestructura para ejecutar y escalar las aplicaciones web.

Costes de Azure App Service Se paga por los recursos de proceso de Azure que la aplicación usa mientras procesa las solicitudes según el plan de App Service que elija. El plan de App Service determina cuánto hardware se dedica a su host (por ejemplo, si se ha dedicado o compartido hardware) y cuánta memoria se reserva para él. Incluso hay un nivel gratuito que puede usar para hospedar sitios pequeños y con poco tráfico.

Tipos de servicios de aplicaciones Con Azure App Service, puede hospedar la mayoría de estilos de servicio de aplicación más comunes, incluidos los siguientes: ●● Aplicaciones web ●● API Apps ●● WebJobs ●● Aplicaciones móviles Azure App Service controla la mayoría de las decisiones de infraestructura con las que se enfrenta al hospedar aplicaciones con acceso web: la implementación y administración están integradas en la plataforma, los puntos de conexión se pueden proteger, se pueden escalar rápidamente sitios para controlar grandes cargas de tráfico y el equilibrio de carga incorporado y el administrador de tráfico proporcionan alta disponibilidad. Todos estos estilos de aplicación se hospedan en la misma infraestructura y comparten estas ventajas. Esto convierte a App Service en la elección ideal para hospedar aplicaciones orientadas a la web.

Aplicaciones web App Service incluye compatibilidad completa para hospedar aplicaciones web con ASP.NET, ASP.NET Core, Java, Ruby, Node.js, PHP o Python. Puede elegir Windows o Linux como sistema operativo del host.

API Apps Al igual que al hospedar un sitio web, puede crear API web basadas en REST mediante el lenguaje y el marco que prefiera. Obtenga compatibilidad completa con Swagger y la posibilidad de empaquetar y publicar la API en Azure Marketplace. Las aplicaciones producidas se pueden consumir desde cualquier cliente basado en HTTP(s).

Trabajos web Los trabajos web permiten ejecutar un programa (.exe, Java, PHP, Python o Node.js) o un script (.cmd, . bat, PowerShell o Bash) en el mismo contexto que una aplicación web, aplicación de API o aplicación móvil. Pueden estar programados o ejecutarse mediante un desencadenador. Los trabajos web suelen usarse para ejecutar tareas en segundo plano como parte de la lógica de aplicación.

Back-end de aplicación móvil Use la característica Mobile Apps de Azure App Service para crear rápidamente un back-end para aplicaciones iOS y Android. Con unos pocos clics en Azure Portal, puede: ●● Almacenar los datos de aplicaciones móviles en una base de datos SQL en la nube. ●● Autenticar a clientes con proveedores sociales comunes como MSA, Google, Twitter y Facebook.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar Compute Services de Azure  71

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

72  Module 2 Describir los servicios principales de Azure  

●● Envío de notificaciones de inserción ●● Ejecutar lógica de back-end personalizada en C# o Node.js En el lado de la aplicación móvil, hay compatibilidad con el SDK para aplicaciones nativas de iOS, Android, Xamarin y React.

Cuándo usar Azure Functions

Tras consultar a varios de sus colegas desarrolladores en Tailwind Traders, ha determinado que parte de la lógica de aplicación está orientada a eventos. En otras palabras, para una gran cantidad de tiempo, la aplicación espera una entrada determinada antes de realizar cualquier procesamiento. Le gustaría encontrar una forma en la que pueda reducir los costes para no tener que pagar por el tiempo que la aplicación está esperando una entrada. Teniendo esto en cuenta, ha decidido investigar Azure Functions para ver si eso puede ayudar. La informática sin servidor es la abstracción de los servidores, la infraestructura y los sistemas operativos. Con la informática sin servidor, Azure se encarga de administrar la infraestructura de servidor y la asignación o desasignación de recursos según la demanda. La infraestructura no es responsabilidad del usuario. El escalado y el rendimiento se controlan automáticamente, y solo se le factura por los recursos exactos que utilice. Tampoco hay ninguna necesidad de reservar capacidad. La informática sin servidor engloba tres ideas: la abstracción de servidores, un escalado controlado por eventos y la microfacturación: 1. Abstracción de servidores: la informática sin servidor abstrae los servidores en los que se ejecuta. El usuario nunca reserva explícitamente instancias de servidor, la plataforma lo hace automáticamente. Cada una de las ejecuciones de funciones puede ejecutarse en una instancia de proceso diferente, y este contexto de ejecución es transparente para el código. Con la arquitectura sin servidor, solo es necesario implementar el código, el cual se ejecuta con alta disponibilidad. 2. Escalado controlado por eventos: la informática sin servidor es una opción excelente para las cargas de trabajo que responden a eventos entrantes. Los eventos incluyen desencadenados por temporizadores (por ejemplo, si una función tiene que ejecutarse cada día a las 10:00 UTC), protocolos HTTP (escenarios de API y webhook), colas (por ejemplo, con procesamiento de pedidos) y muchos más. En lugar de escribir una aplicación completa, el desarrollador crea una función, la cual contiene código y metadatos sobre sus desencadenadores y vínculos. La plataforma programa automáticamente la función para que se ejecute y escala el número de instancias de proceso según la tasa de eventos de entrada. Los desencadenadores definen cómo se invoca una función y los vínculos proporcionan una manera declarativa de conectarse a los servicios desde el código. 3. Microfacturación: La informática tradicional tiene el concepto de facturación para un bloque de tiempo, como el pago de una tarifa mensual o anual para el hospedaje de sitios web. Este es un método práctico de facturación, pero con bastante frecuencia no es muy rentable. Incluso si el sitio web de un cliente solo recibe una visita al día, este sigue pagando por tenerlo disponible durante todo el día. Con la informática sin servidor, solo se paga por el tiempo durante el que se ejecuta el código. Si no se produce ninguna ejecución de función activa, no se cobra al cliente. Por ejemplo, si el código se ejecuta una vez al día durante dos minutos, se le cobrará por una ejecución y por dos minutos de tiempo de proceso.

Informática sin servidor en Azure

https://www.microsoft.com/videoplayer/embed/RE2yzjL

Azure tiene dos implementaciones de proceso sin servidor: ●● Azure Functions, que puede ejecutar código en prácticamente cualquier lenguaje moderno. ●● Azure Logic Apps, cuyo diseño está basado en web y puede ejecutar lógica desencadenada por servicios de Azure sin escribir ningún código.

Azure Functions Azure Functions es una buena opción si le preocupa solo el código que ejecuta el servicio, pero no la infraestructura o la plataforma subyacentes. Se suele usar cuando se debe realizar un trabajo en respuesta a un evento, a menudo a través de una solicitud REST, un temporizador o un mensaje de otro servicio de Azure, y cuando ese trabajo puede completarse rápidamente, en segundos o en menos tiempo. Azure Functions escala automáticamente según la demanda para que sea una opción sólida cuando la demanda es variable. Por ejemplo, podría recibir mensajes de una solución de IoT que se usa para supervisar una flota de vehículos de entrega. Es probable que reciba más datos durante el horario comercial. Con un enfoque basado en máquina virtual, se podrían generar costes aunque la máquina virtual estuviera inactiva. Con Functions, Azure ejecuta el código cuando se desencadena y desasigna recursos automáticamente cuando la función finaliza. En este modelo, solo se le cobrará por el tiempo de CPU usado mientras se ejecuta la función. Además, las funciones de Azure Functions pueden estar sin estado (la opción predeterminada), es decir, comportarse como si se reiniciaran cada vez que responden a un evento, o bien con estado (“Durable Functions”), es decir, al pasar un contexto a través de una función para realizar un seguimiento de la actividad anterior. Las funciones son un componente clave de la informática sin servidor, pero también son una plataforma de proceso general para ejecutar cualquier tipo de código. Si cambian las necesidades de la aplicación del desarrollador, puede implementar el proyecto en un entorno que no sea sin servidor, lo que le proporciona la flexibilidad para administrar el escalado, realizar ejecuciones en redes virtuales e incluso aislar las funciones por completo.

Azure Logic Apps Azure Logic Apps es similar a Functions: ambas permiten desencadenar la lógica en función de un evento. Cuando Functions ejecuta el código, Logic Apps ejecuta flujos de trabajo diseñados para automatizar escenarios empresariales y creados a partir de bloques lógicos predefinidos. Todos los flujos de trabajo de Logic Apps comienzan con un desencadenador, que se activa cuando sucede un evento específico o cuando hay nuevos datos disponibles que cumplen determinados criterios. Muchos desencadenadores incluyen funcionalidades de programación básicas que permiten a los desarrolladores especificar con qué frecuencia se ejecutarán sus cargas de trabajo. Cada vez que el desencadenador se activa, el

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar Compute Services de Azure  73

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

74  Module 2 Describir los servicios principales de Azure  

motor de Logic Apps crea una instancia de aplicación lógica que ejecuta las acciones del flujo de trabajo. Estas acciones también pueden incluir conversiones de datos y controles de flujo, como instrucciones condicionales, instrucciones “switch”, bucles y bifurcaciones. Los flujos de trabajo de Logic Apps se crean mediante un diseñador visual en Azure Portal o en Visual Studio. Los flujos de trabajo se conservan como un archivo JSON con un esquema de flujo de trabajo conocido. Azure proporciona más de 200 conectores y bloques de procesamiento diferentes para interactuar con numerosos servicios, que incluyen las aplicaciones empresariales más populares. También puede crear conectores personalizados y los pasos de flujo de trabajo si el servicio con el que necesita interactuar no está cubierto. Luego, se usa el diseñador visual para vincular los conectores y bloques entre sí, pasando datos a través del flujo de trabajo para realizar un procesamiento personalizado (a menudo sin escribir ningún código). Por ejemplo, supongamos que llega un vale a ZenDesk. Podría: ●● Detectar la intención del mensaje con Cognitive Services. ●● Crear un elemento en SharePoint para realizar un seguimiento del problema. ●● Si el cliente no se encuentra en la base de datos, agregarlo al sistema Dynamics 365 CRM. ●● Enviar un correo electrónico de seguimiento para confirmar su solicitud. Todo eso se podría estructurar en un diseñador visual, lo que facilitaría la visualización del flujo lógico, que es perfecto para un rol de analista de negocios.

Functions frente a Logic Apps Tanto Functions como Logic Apps pueden crear orquestaciones complejas, es decir, una colección de funciones o pasos que se ejecutan para realizar una tarea compleja. ●● Con Azure Functions, se escribe código para completar cada paso. ●● Con Logic Apps, se usa una GUI para definir las acciones y cómo se relacionan entre sí. Puede mezclar y combinar servicios cuando crea una orquestación, llamando a las funciones desde las aplicaciones lógicas y viceversa. Aquí se indican algunas diferencias comunes entre las dos.  

Functions

Logic Apps

Estado

Normalmente sin estado, pero Durable Functions proporciona el estado

Con estado

Desarrollo

Orientado al código (imperativo)

Orientado al diseñador (declarativo)

Conectividad

Con una docena de tipos de enlaces integrados, puede escribir código para los vínculos personalizados

Gran colección de conectores, Enterprise Integration Pack para escenarios B2B, creación de conectores personalizados

Acciones

Cada actividad es una función de Gran colección de acciones listas Azure; puede escribir código para usar para las funciones de actividad

Supervisar

Azure Application Insights

Azure Portal, Log Analytics

Administración

API de REST, Visual Studio

Azure Portal, API de REST, PowerShell, Visual Studio

 

Functions

Logic Apps

Contexto de ejecución

Se puede ejecutar localmente o en la nube

Solo se ejecuta en la nube

Cuándo usar Windows Virtual Desktop

Además de los desafíos que Tailwind Traders ha estado enfrentado con el escalado de aplicación, el administrador le ha pedido que reúna un nuevo equipo de desarrollo de trabajadores remotos. Esta tarea normalmente requeriría la configuración de varios equipos PC nuevos con todas las herramientas de desarrollo necesarias para el nuevo equipo y, después, su envío a los desarrolladores correspondientes en todo el país. El tiempo de adquisición, configuración y envío de cada uno de estos equipos PC sería bastante costoso y todos los nuevos desarrolladores tienen sus propios dispositivos informáticos que ejecutan una combinación de sistemas operativos Windows, Android y macOS. Le gustaría encontrar una manera de acelerar el proceso de implementación de sus trabajadores remotos y mantener los costes de administración al mínimo. Teniendo esto en cuenta, quiere ver cómo Windows Virtual Desktop puede ayudar a su organización.

¿Qué es Windows Virtual Desktop? Windows Virtual Desktop en Microsoft Azure es un servicio de virtualización de aplicaciones y escritorio que se ejecuta en la nube, lo que permite a los usuarios usar una versión hospedada en la nube de Windows desde cualquier ubicación. Windows Virtual Desktop funciona en dispositivos, como Windows, Mac, iOS, Android y Linux, con aplicaciones que puede usar para acceder a aplicaciones y escritorios remotos. También puede usar la mayoría de los exploradores modernos para tener acceso a las experiencias hospedadas en Windows Virtual Desktop. El siguiente vídeo ofrece información general sobre el escritorio virtual de Windows.

¿Por qué debe usar Windows Virtual Desktop? Para ofrecer la mejor experiencia del usuario Los usuarios tienen la libertad de conectarse a Windows Virtual Desktop con cualquier dispositivo a través de Internet. Pueden usar un cliente de Windows Virtual Desktop para conectarse a sus aplicaciones y escritorios de Windows publicados. Este cliente podría ser tanto una aplicación nativa en el dispositivo como el cliente web HTML5 de Windows Virtual Desktop. Puede asegurarse de que las máquinas virtuales (VM) de host de sesión ejecuten aplicaciones y servicios próximos que se conecten a su centro de datos o a la nube. Así que los usuarios se mantienen productivos y no se encuentran con largos tiempos de carga. El inicio de sesión de usuario en Windows Virtual Desktop es muy rápido, ya que los perfiles de usuario se almacenan en contenedores mediante FSLogix. Al iniciar sesión, el contenedor del perfil de usuario se adjunta dinámicamente al entorno informático. El perfil de usuario está disponible inmediatamente y aparece en el sistema exactamente igual que un perfil de usuario nativo. Puede proporcionar propiedad individual a través de los escritorios personales (persistentes). Por ejemplo, es posible que quiera proporcionar escritorio remotos personales a los miembros de un equipo de ingeniería. Así, estos podrían agregar o quitar programas sin que ello afecte a otros usuarios de ese escritorio remoto.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar Compute Services de Azure  75

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

76  Module 2 Describir los servicios principales de Azure  

Para mejorar la seguridad Windows Virtual Desktop proporciona administración centralizada de la seguridad para los escritorios de los usuarios con Azure Active Directory (Azure AD). Puede habilitar la autenticación multifactor para proteger los inicios de sesión de los usuarios. También puede proteger el acceso a los datos asignando a los usuarios controles de acceso basados en roles detallados. Con Windows Virtual Desktop, los datos y las aplicaciones se separan del hardware local y, en su lugar, se ejecutan en un servidor remoto. Por lo tanto, se reduce el riesgo de que los datos confidenciales queden en un dispositivo personal. Las sesiones de usuario se aíslan tanto en entornos de sesión única como de sesión múltiple Windows Virtual Desktop también mejora la seguridad mediante la tecnología de conexión inversa, un tipo de conexión más segura que el Protocolo de escritorio remoto. No abrimos puertos de entrada para las máquinas virtuales de host de sesión.

¿Cuáles son algunas características clave de Windows Virtual Desktop? Administración simplificada Windows Virtual Desktop es un servicio de Azure que será familiar para los administradores de Azure. Utilizará Azure Active Directory y controles de acceso basado en roles para administrar el acceso a los recursos. También mediante Azure, obtendrá las herramientas para automatizar implementaciones y administrar actualizaciones de máquinas virtuales, y ofrecer recuperación ante desastres. Al igual que otros servicios de Azure, Windows Virtual Desktop usa Azure Monitor para la supervisión y las alertas. Esto permite a los administradores identificar problemas mediante una sola interfaz.

Administración del rendimiento Windows Virtual Desktop le ofrece opciones para equilibrar la carga de usuarios en los grupos de hosts de VM. Los grupos de hosts son colecciones de máquinas virtuales con la misma configuración asignada a varios usuarios. Para obtener el mejor rendimiento, puede configurar el equilibrio de carga para que se realice a medida que los usuarios inicien sesión (modo de amplitud). Con el modo de amplitud, los usuarios se asignan de forma secuencial en el grupo de hosts de la carga de trabajo. Para ahorrar costes, puede configurar las máquinas virtuales para equilibrar la carga en el modo de profundidad, en el que los usuarios se asignan totalmente en una máquina virtual antes de pasar a la siguiente. Windows Virtual Desktop proporciona herramientas para aprovisionar automáticamente máquinas virtuales cuando la demanda entrante supera un umbral especificado.

Implementación de sesión múltiple de Windows 10 Windows Virtual Desktop le permite utilizar la multisesión de Windows 10 Enterprise, el único sistema operativo basado en cliente que permite que haya varios usuarios simultáneamente en una única máquina virtual (VM). Windows Virtual Desktop también ofrece una experiencia más coherente, con una compatibilidad con aplicaciones más amplia en comparación con los sistemas operativos basados en Windows Server.

¿Cómo puede reducir costes con Windows Virtual Desktop? Traiga sus propia licencias Windows Virtual Desktop está disponible sin coste adicional si tiene una licencia de Microsoft 365 válida. Solo tiene que pagar los recursos de Azure utilizados por Windows Virtual Desktop. ●● Use su licencia de Windows o de Microsoft 365 para obtener las aplicaciones y los escritorios de Windows 10 Enterprise y Windows 7 Enterprise sin coste adicional. ●● Si es un cliente válido de la licencia de acceso de cliente (CAL) de Servicios de Escritorio remoto de Microsoft (RDS), los equipos de escritorio y las aplicaciones de Servicios de escritorio remoto de Windows Server estarán disponibles sin coste adicional.

Ahorre en costes de computación Compre instancias reservadas de VM de Azure de uno o tres años para ahorrarse hasta el 72 por ciento en comparación con los precios de pago por uso. Puede pagar una reserva por adelantado o mensualmente. Las reservas proporcionan un descuento de facturación y no afectan al estado de tiempo de ejecución de los recursos.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar Compute Services de Azure  77

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

78  Module 2 Describir los servicios principales de Azure  

Explorar los servicios de Azure Storage Introducción

Supongamos que su empresa, Tailwind Traders, tiene una serie de folletos de productos, hojas de datos, imágenes de productos y otros archivos relacionados con el marketing, las ventas y el soporte técnico. En el pasado, su empresa ha hospedado estos archivos en servidores web independientes en su centro de datos. Su empresa está en proceso de migrar sus aplicaciones a la nube y su equipo de desarrollo actualmente está diseñando nuevas aplicaciones. Su director de tecnología (CTO) querría migrar todos los archivos de marketing, ventas y soporte técnico a la nube con el fin de aprovechar la distribución geográfica de los archivos y reducir el número de servidores físicos que su empresa mantiene en su centro de datos. Como parte de la estrategia de migración, debe determinar el enfoque correcto para su infraestructura de almacenamiento basado en la nube.

En este módulo, obtendrá información sobre las diferentes opciones de almacenamiento de Azure y los escenarios en los que cada una de ellas es adecuada. Nota: Azure Storage no es lo mismo que los servicios de base de datos de Azure.

Objetivos de aprendizaje Una vez que haya completado este módulo, podrá describir las ventajas y el uso de: ●● Azure Blob Storage ●● Azure Disk Storage ●● Azure File Storage ●● Niveles de almacenamiento de Azure

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

Aspectos básicos de la cuenta de Azure Storage

El director de tecnología (CTO) de su empresa, Tailwind Traders, ha encargado a su equipo la tarea de migrar todos los archivos a la nube y su equipo ha elegido Azure Storage1, que es un servicio que puede usar para almacenar archivos, mensajes, tablas y otros tipos de información. Puede usar Azure Storage por su cuenta (por ejemplo, como recurso compartido de archivos), pero a menudo los desarrolladores lo usan como repositorio para los datos de trabajo. Estos repositorios se pueden usar en sitios web, aplicaciones móviles, aplicaciones de escritorio y muchos otros tipos de soluciones personalizadas. Azure 1

https://azure.microsoft.com/product-categories/storage?azure-portal=true

Storage también se usa en máquinas virtuales de infraestructura como servicio (IaaS) y en servicios en la nube de plataforma como servicio (PaaS). El primer paso para empezar a usar Azure Storage es crear una cuenta de Azure Storage para almacenar los objetos de datos. Puede usar Azure Portal, PowerShell o la Interfaz de la línea de comandos (CLI) de Azure para crear una cuenta de Azure Storage.

La cuenta de almacenamiento contendrá todos los objetos de datos de Azure Storage, como, por ejemplo, contenedores, blobs, archivos, colas, tablas y discos.

Una cuenta de almacenamiento proporciona un espacio de nombres único para los datos de Azure Storage que es accesible desde cualquier lugar del mundo a través de HTTP o HTTPS. Los datos de la cuenta de almacenamiento de Azure son seguros, de alta disponibilidad, duraderos y escalables de forma masiva. Para obtener información sobre cómo crear una cuenta de Azure Storage, consulte Crear una cuenta de almacenamiento2.

2

https://docs.microsoft.com/azure/storage/common/storage-account-create?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de Azure Storage  79

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

80  Module 2 Describir los servicios principales de Azure  

Aspectos básicos de Disk Storage

Disk Storage proporciona discos para máquinas virtuales, aplicaciones y otros servicios para acceder y usar según se necesite, de forma similar a como se haría en escenarios locales. Disk Storage permite que los datos se almacenen y accedan de manera persistente desde un disco duro virtual conectado. Azure puede administrar o no los discos y, por lo tanto, el usuario los puede administrar y configurar. Los escenarios típicos para usar Disk Storage son si desea levantar y cambiar aplicaciones que leen y escriben datos en discos persistentes, o si está almacenando datos a los que no es necesario acceder desde fuera de la máquina virtual a la que está conectado el disco. Los discos tienen diferentes tamaños y niveles de rendimiento, desde unidades de estado sólido (SSD) a unidades de disco duro (HDD) giratorias tradicionales, con diferentes niveles de rendimiento. Puede usar discos SSD y HDD estándar para cargas de trabajo menos críticas, discos SSD Premium para aplicaciones de producción críticas y Ultra Disks para cargas de trabajo con un uso intensivo de datos como SAP HANA, bases de datos de nivel superior y cargas de trabajo con mucha actividad de transacciones. Azure han ofrecido durabilidad de nivel empresarial de forma coherente para los discos de infraestructura como servicio (IaaS), con una tasa de error anualizada del 0 % líder del sector. En la siguiente ilustración se muestra una máquina virtual de Azure con discos independientes para almacenar datos diferentes.

Aspectos básicos de Azure Blob Storage y el almacenamiento en contenedores

Azure Blob Storage es la solución de almacenamiento de objetos de Microsoft para la nube. Blob Storage está optimizado para almacenar cantidades masivas de datos no estructurados, como texto o datos binarios. Azure Blob Storage es no estructurado, lo que significa que no hay ninguna restricción en cuanto a los tipos de datos que puede contener. Los blobs son altamente escalables y las aplicaciones trabajan con ellos prácticamente de la misma manera en que lo hacen con los archivos de un disco, como al leer y escribir datos. Blob Storage puede administrar miles de cargas simultáneas, cantidades enormes de datos de vídeo, archivos de registro en constante crecimiento y es accesible desde cualquier lugar con conexión a Internet. Los blobs no están limitados a formatos de archivo comunes. Un blob podría contener gigabytes de datos binarios transmitidos desde un instrumento científico, un mensaje cifrado para otra aplicación o datos en un formato personalizado para una aplicación que se está desarrollando. Una ventaja del almacenamiento en blobs con respecto al almacenamiento en disco es que no requiere que los desarrolladores piensen en discos o los administren; los datos se cargan como blobs y Azure se encarga de las necesidades de almacenamiento físico. Blob Storage es ideal para: ●● Visualización de imágenes o documentos directamente en un explorador. ●● Almacenamiento de archivos para el acceso distribuido. ●● Streaming de audio y vídeo.

●● Almacenamiento de datos para copia de seguridad y restauración, recuperación ante desastres y archivado. ●● Almacenamiento de datos para el análisis por un servicio local u hospedado por Azure. Azure Blob Storage permite transmitir archivos grandes de vídeo o audio directamente al explorador del usuario desde cualquier lugar del mundo. Blob Storage también se usa para almacenar datos de copia de seguridad, recuperación ante desastres y archivado. Tiene la capacidad de almacenar hasta 8 TB de datos de máquinas virtuales. Los blobs se almacenan en contenedores, que puede usar para organizar los blobs en función de sus necesidades empresariales. La siguiente ilustración de una unidad anterior muestra un ejemplo de uso de las cuentas, los contenedores y los blobs de Azure.

Aspectos básicos de File Storage

Azure Files ofrece recursos compartidos de archivos totalmente administrados en la nube a los que se puede acceder mediante el protocolo estándar del sector Bloque de mensajes del servidor (SMB). Los recursos compartidos de Azure se pueden montar simultáneamente en implementaciones de Windows, Linux y macOS en la nube o locales. Las aplicaciones que se ejecutan en máquinas virtuales o servicios en la nube de Azure pueden montar un recurso compartido de almacenamiento de archivos para acceder a datos de archivos, del mismo modo que una aplicación de escritorio montaría un recurso compartido SMB normal. Cualquier número de roles o máquinas virtuales de Azure puede montar y acceder simultáneamente al recurso compartido de almacenamiento de archivos. Los escenarios de uso típicos serían el uso compartido de archivos en cualquier lugar del mundo, los datos de diagnóstico o el uso compartido de datos de aplicación. Azure Files se puede usar en muchos escenarios comunes: ●● Muchas aplicaciones locales usan recursos compartidos de archivos. Esta característica facilita la migración de aquellas aplicaciones que comparten datos a Azure. Si monta el recurso de archivos compartidos en la misma letra de unidad que usa la aplicación local, la parte de su aplicación que accede al recurso compartido de archivos debería funcionar con cambios mínimos, si los hubiera. ●● Los archivos de configuración se pueden almacenar en un recurso compartido de archivos y se puede acceder a ellos desde varias máquinas virtuales. Las herramientas y utilidades utilizadas por múltiples desarrolladores en un grupo pueden almacenarse en un recurso compartido de archivos, asegurando que todos puedan encontrarlas y que usen la misma versión. ●● Los registros de diagnóstico, las métricas y los volcados de memoria son solo tres ejemplos de datos que se pueden escribir en un recurso compartido de archivos y procesarse o analizarse posteriormente. La siguiente ilustración muestra el uso de Azure Files para compartir datos entre dos ubicaciones geográficas. Azure Files garantiza que los datos se cifren en reposo y el protocolo de bloque de mensajes del servidor (SMB) garantiza que los datos se cifren en tránsito.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de Azure Storage  81

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

82  Module 2 Describir los servicios principales de Azure  

Una cosa que distingue Azure Files de los archivos ubicados en un recurso compartido de archivos corporativo es que puede tener acceso a los archivos desde cualquier lugar del mundo mediante una dirección URL que apunte al archivo. También puede usar tokens de Firma de acceso compartido (SAS) para permitir el acceso a un recurso privado durante un período de tiempo determinado. Este es un ejemplo de un URI de SAS de servicio, que muestra el URI de recurso y el token de SAS:

Descripción de las capas de almacenamiento

Los datos almacenados en la nube pueden crecer a un ritmo exponencial. Para administrar los costes de las crecientes necesidades de almacenamiento, resulta útil organizar los datos en función de atributos como frecuencia de acceso y el período de retención planeado para optimizar costes. Los datos almacenados en la nube pueden ser diferentes según la forma en que se generan, se procesan y se accede a ellos a lo largo de su vigencia. A algunos datos se accede y se modifican activamente a lo largo de su duración. A algunos datos se accede con frecuencia al principio de su duración, mientras que el acceso cae drásticamente a medida que envejecen los datos. Algunos datos permanecen inactivos en la nube y, después de que se almacenan, no se accede a ellos prácticamente nunca. Para dar cabida a estas diferentes necesidades de acceso, Azure proporciona varios niveles de acceso, que puede usar para equilibrar los costes de almacenamiento con sus necesidades de acceso. Azure Storage ofrece diferentes niveles de acceso para el almacenamiento de blobs y de archivos, lo que le permite almacenar datos de objetos de la manera más rentable. Entre los niveles de acceso disponibles se incluyen: ●● Nivel de almacenamiento de acceso frecuente: optimizado para almacenar datos a los que se accede con frecuencia. (Por ejemplo: imágenes para el sitio web.) ●● Nivel de almacenamiento de acceso esporádico: optimizado para datos a los que se accede con poca frecuencia y que se almacenan al menos durante 30 días. (Por ejemplo, facturas de los clientes.) ●● Nivel de almacenamiento de archivo: para datos a los que raramente se accede y que se almacenan durante al menos 180 días con requisitos de latencia flexibles. (Por ejemplo: copias de seguridad a largo plazo.) Las siguientes consideraciones se aplican a los distintos niveles de acceso: ●● Solo los niveles de acceso frecuente y esporádico se pueden establecer en el nivel de cuenta. El nivel de acceso de archivo no está disponible en el nivel de cuenta.

●● Los niveles frecuente, esporádico y de archivo se pueden establecer en el nivel de blob durante la carga o después de esta. ●● Los datos del nivel de acceso esporádico pueden tolerar una disponibilidad ligeramente inferior, pero aun así requieren una gran durabilidad, una latencia de recuperación y unas características de rendimiento similares a las de los datos de acceso frecuente. En el caso de los datos de acceso esporádico, un contrato de nivel de servicio (SLA) con una disponibilidad ligeramente inferior y unos costes de acceso mayores, en comparación con los datos de acceso frecuente, es aceptable a cambio de unos costes de almacenamiento menores. ●● El almacenamiento de archivo almacena datos sin conexión y ofrece los menores costes de almacenamiento, pero los mayores costes de acceso y rehidratación de datos. En la ilustración siguiente se muestra cómo elegir entre las capas de almacenamiento de acceso frecuente y esporádico en una cuenta de almacenamiento de uso general.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de Azure Storage  83

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

84  Module 2 Describir los servicios principales de Azure  

Explorar los servicios de red de Azure Introducción

Supongamos que su empresa, Tailwind Traders, ha migrado algunas aplicaciones a la nube y está diseñando otras aplicaciones nuevas. Los servidores que hospedan los datos de productos y clientes de Tailwind Traders se encuentran en Silicon Valley y su empresa tiene varias sucursales ubicadas en distintas regiones geográficas. Como parte de la estrategia de migración, su empresa debe ser capaz de determinar el enfoque correcto para configurar su infraestructura de red.

Para ayudar a ahorrar costes, convence a su equipo para que mueva el sitio web y varios de los demás recursos de red a la nube. Teniendo esto en cuenta, deberá proporcionar un acceso seguro a los datos privados de la empresa para cada una de sus ubicaciones de sucursales, por lo que le gustaría saber cómo puede ayudarle Azure a administrar la red de una forma más eficaz. Resulta que la administración de redes en Azure no difiere mucho de la administración de redes locales. En este módulo, obtendrá información sobre las diferentes opciones de red de Azure y los escenarios en los que cada una de ellas es adecuada.

Objetivos de aprendizaje Después de completar este módulo, podrá: ●● Describir los recursos de red principales que están disponibles en Azure ●● Describir las ventajas y el uso de Virtual Network, VPN Gateway y ExpressRoute

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con las redes. ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

Aspectos básicos de Azure Virtual Network

Tailwind Traders tiene un centro de datos local que va a mantener, pero quiere usar Azure para descargar los picos de tráfico mediante máquinas virtuales hospedadas en Azure. Quiere mantener el esquema de direcciones IP y los dispositivos de red existentes, y asegurarse de que todas las transferencias de datos sean seguras. La buena noticia es que las redes virtuales de Azure pueden ayudarle a alcanzar sus objetivos.

¿Qué son las redes virtuales de Azure? Las redes virtuales de Azure permiten a los recursos de Azure, como las máquinas virtuales, las aplicaciones web y las bases de datos, comunicarse entre sí, con los usuarios de Internet y con los equipos

cliente en el entorno local. Se puede pensar en una red de Azure como en un conjunto de recursos que se vincula a otros recursos de Azure. Las redes virtuales de Azure proporcionan las importantes funcionalidades de red siguientes: ●● Aislamiento y segmentación ●● Comunicación con Internet ●● Comunicación entre los recursos de Azure ●● Comunicación con los recursos locales ●● Enrutamiento del tráfico de red ●● Filtrado del tráfico de red ●● Conexión de redes virtuales

Configuración de red para las máquinas virtuales Aislamiento y segmentación Azure permite crear varias redes virtuales aisladas. Al configurar una red virtual, se define un espacio de direcciones privadas de Protocolo de Internet (IP), con intervalos de direcciones IP públicas o privadas. Después, puede dividir ese espacio de direcciones IP en subredes y asignar parte del espacio de direcciones definido a cada subred con nombre. Para la resolución de nombres, puede usar el servicio de resolución de nombres integrado de Azure, o bien puede configurar la red virtual para usar un servidor de Sistema de nombres de dominio (DNS) interno o externo.

Comunicación con Internet Una máquina virtual en Azure se puede conectar a Internet de forma predeterminada. Puede habilitar las comunicaciones entrantes desde Internet si define una dirección IP pública o un equilibrador de carga público. Para la administración de la máquina virtual, puede conectarse a través de la Interfaz de la línea de comandos (CLI) de Azure, el Protocolo de escritorio remoto (RDP) o Secure Shell (SSH).

Comunicación entre los recursos de Azure Le interesará habilitar los recursos de Azure para que se comuniquen entre sí de forma segura. Puede hacerlo de dos maneras: ●● Las redes virtuales no solo pueden conectar máquinas virtuales, sino también otros recursos de Azure como el entorno de App Service, Azure Kubernetes Service y conjuntos de escalado de máquinas virtuales de Azure. ●● Puntos de conexión de servicio Puede usar los puntos de conexión de servicio para conectarse a otros tipos de recursos de Azure, como cuentas de almacenamiento y bases de datos SQL de Azure. Este enfoque permite vincular varios recursos de Azure con las redes virtuales, lo que mejora la seguridad y proporciona un enrutamiento óptimo entre los recursos.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de red de Azure  85

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

86  Module 2 Describir los servicios principales de Azure  

Comunicación con los recursos locales Las redes virtuales de Azure permiten vincular entre sí los recursos del entorno local y de la suscripción de Azure, creando así una red que abarca tanto el entorno local como el entorno en la nube. Existen tres mecanismos para lograr esta conectividad: ●● Redes privadas virtuales de punto a sitio Este enfoque es similar a una conexión de Red privada virtual (VPN) que un equipo situado fuera de su organización realiza con la red corporativa, con la diferencia de que funciona en la dirección opuesta. En este caso, el equipo cliente inicia una conexión VPN cifrada con Azure, y conecta ese equipo a la red virtual de Azure. ●● Redes virtuales privadas de sitio a sitio Una VPN de sitio a sitio vincula un dispositivo o VPN Gateway local con la VPN Gateway de Azure en una red virtual. De hecho, puede parecer que los dispositivos de Azure están en la red local. La conexión se cifra y funciona a través de Internet. ●● Azure ExpressRoute Para los entornos donde se necesita más ancho de banda e incluso mayores niveles de seguridad, Azure ExpressRoute es el mejor sistema. Azure ExpressRoute proporciona una conectividad privada dedicada a Azure que no viaja a través de Internet. (Obtendrá más información sobre ExpressRoute en una unidad independiente más adelante en este módulo.)

Enrutamiento del tráfico de red De forma predeterminada, Azure enruta el tráfico entre las subredes de las redes virtuales conectadas, las redes locales e Internet. Sin embargo, puede controlar el enrutamiento e invalidar esas opciones del siguiente modo: ●● Tablas de rutas Una tabla de rutas permite definir reglas para dirigir el tráfico. Puede crear tablas de rutas personalizadas que controlen cómo se enrutan los paquetes entre las subredes. ●● Protocolo de puerta de enlace de borde El Protocolo de puerta de enlace de borde (BGP) funciona con puertas de enlace de VPN de Azure o con ExpressRoute para propagar las rutas BGP locales a las redes virtuales de Azure.

Filtrado del tráfico de red Las redes virtuales de Azure permiten filtrar el tráfico entre las subredes mediante los métodos siguientes: ●● Grupos de seguridad de red Un grupo de seguridad de red es un recurso de Azure que puede contener varias reglas de seguridad de entrada y salida. Estas reglas se pueden definir para permitir o bloquear el tráfico en función de factores como el protocolo, el puerto y las direcciones IP de destino y origen. ●● Aplicaciones virtuales de red Una aplicación virtual de red es una máquina virtual especializada que se puede comparar con un dispositivo de red protegido. Una aplicación virtual de red lleva a cabo una función de red determinada, como ejecutar un firewall o realizar la optimización de la red de área extensa (WAN).

Conexión de redes virtuales Puede vincular redes virtuales entre sí mediante el emparejamiento de redes virtuales. El emparejamiento permite que los recursos de cada red virtual se comuniquen entre sí. Estas redes virtuales pueden estar en regiones distintas, lo que permite crear una red global interconectada a través de Azure.

Configuración de Azure Virtual Network

Puede crear y configurar redes virtuales de Azure desde Azure Portal, Azure PowerShell en el equipo local o Azure Cloud Shell.

Crear una red virtual Cuando se crea una red virtual de Azure, se configuran algunas opciones básicas. Tendrá la posibilidad de configurar opciones avanzadas, como varias subredes, protección contra denegación de servicio distribuido (DDoS) y puntos de conexión de servicio.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de red de Azure  87

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

88  Module 2 Describir los servicios principales de Azure  

Configurará las opciones siguientes para una red virtual básica: ●● Nombre de red El nombre de red debe ser único en la suscripción, pero no es necesario que sea único globalmente. Elija un nombre descriptivo que sea fácil de recordar y de identificar con respecto a otras redes virtuales. ●● Espacio de direcciones Al configurar una red virtual, se define el espacio de direcciones internas con el formato de Enrutamiento de interdominios sin clases (CIDR). Este espacio de direcciones debe ser único dentro de la suscripción y de cualquier otra red a la que se conecte. Supongamos que elige un espacio de direcciones de 10.0.0.0/24 para la primera red virtual. Las direcciones definidas en este espacio de direcciones van de 10.0.0.1 a 10.0.0.254. Luego cree una segunda red virtual y elija un espacio de direcciones de 10.0.0.0/8. La dirección de este espacio de direcciones va de 10.0.0.1 a 10.255.255.254. Algunas de las direcciones se superponen y no se pueden usar para las dos redes virtuales. Pero se puede usar 10.0.0.0/16, con direcciones comprendidas entre 10.0.0.1 - 10.0.255.254, y 10.1.0.0/16, con direcciones comprendidas entre 10.1.0.1 - 10.1.255.254. Puede asignar estos espacios de direcciones a las redes virtuales, ya que ninguna dirección se superpone. Nota: Podrá agregar espacios de direcciones después de crear la red virtual. ●● Suscripción Esta opción solo se aplica si tiene varias suscripciones para elegir. ●● Grupo de recursos Como cualquier otro recurso de Azure, una red virtual debe existir en un grupo de recursos. Puede seleccionar un grupo de recursos existente o crear uno. ●● Ubicación Seleccione la ubicación donde desea que resida la red virtual.

●● Subred Dentro de cada intervalo de direcciones de red virtual, puede crear una o varias subredes que dividirán el espacio de direcciones de la red virtual. El enrutamiento entre las subredes dependerá de las rutas de tráfico predeterminadas, o bien puede definir rutas personalizadas. Como alternativa, puede definir una subred que abarque todo el intervalo de direcciones de la red virtual. Nota: Los nombres de subred deben empezar con una letra o un número, acabar con una letra, un número o un guion bajo, y solo deben contener letras, números, guiones bajos, puntos o guiones. ●● Protección contra denegación de servicio distribuido DDoS Puede seleccionar la protección DDoS básica o estándar. La protección DDoS estándar es un servicio Premium. El estándar Azure DDoS Protection3 proporciona más información sobre la protección DDoS estándar. ●● Puntos de conexión de servicio Aquí se habilitan los puntos de conexión de servicio y, después, se selecciona en la lista los puntos de conexión de servicio de Azure que desea habilitar. Las opciones incluyen Azure Cosmos DB, Azure Service Bus, Azure Key Vault, etc. Después de configurar estas opciones, haga clic en el botón Crear.

Definición de opciones de configuración adicionales Después de crear una red virtual, puede definir más opciones. Incluyen: ●● Grupo de seguridad de red Los grupos de seguridad de red tienen reglas de seguridad que permiten filtrar el tipo de tráfico de red que puede entrar o salir de las interfaces de red y las subredes de red virtual. El grupo de seguridad de red se crea por separado y luego se asocia a la red virtual. ●● Tabla de rutas Azure crea automáticamente una tabla de rutas para cada subred de una red virtual de Azure y agrega las rutas predeterminadas del sistema a la tabla. Sin embargo, se pueden agregar tablas de rutas personalizadas para modificar el tráfico entre las redes virtuales. También se pueden modificar los puntos de conexión de servicio.

3

https://docs.microsoft.com/azure/virtual-network/ddos-protection-overview?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de red de Azure  89

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

90  Module 2 Describir los servicios principales de Azure  

Configuración de redes virtuales Después de crear una red virtual, puede cambiar la configuración adicional desde el panel Redes virtuales en Azure Portal. Como alternativa, puede usar comandos de PowerShell o Cloud Shell para realizar los cambios.

Después, puede revisar y cambiar la configuración en paneles secundarios adicionales. Esta configuración incluye lo siguiente: ●● Espacios de direcciones: puede agregar espacios de direcciones adicionales a la definición inicial ●● Dispositivos conectados: use la red virtual para conectar las máquinas ●● Subredes: Puede agregar subredes adicionales ●● Emparejamientos: vincule las redes virtuales mediante organizaciones de emparejamiento También puede supervisar y solucionar los problemas de las redes virtuales, o bien crear un script de automatización para generar la red virtual actual. Las redes virtuales son mecanismos eficaces y muy configurables para conectar las entidades de Azure. Puede conectar los recursos de Azure entre sí o a los recursos del entorno local. Puede aislar, filtrar y enrutar el tráfico de red, y Azure permite aumentar la seguridad donde piensa que es necesario.

Aspectos básicos de Azure VPN Gateway

Una red privada virtual (VPN) es un tipo de red privada interconectada. Las redes privadas virtuales usan un túnel cifrado en otra red. Normalmente, se implementan para conectar entre sí dos o más redes privadas de confianza a través de una red que no es de confianza (normalmente, la red pública de Internet). El tráfico se cifra mientras viaja por la red que no es de confianza para evitar ataques de interceptación o de otro tipo.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de red de Azure  91

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

92  Module 2 Describir los servicios principales de Azure  

En el caso de nuestro escenario de Tailwind Traders, las VPN pueden permitir a las sucursales compartir información confidencial entre ubicaciones. Por ejemplo, supongamos que las oficinas en la región de la costa este de Estados Unidos necesitan acceder a los datos privados de clientes de la empresa, que se almacenan en servidores que están ubicados físicamente en la región de la costa oeste. Una VPN que conecta las oficinas de la costa este a los servidores de la costa oeste permite que su empresa acceda de forma segura a los datos privados de sus clientes.

VPN Gateway de Azure Una instancia de VPN Gateway es un tipo de puerta de enlace de red virtual. Las instancias de VPN Gateway se implementan en redes virtuales de Azure y habilitan la conectividad siguiente: ●● Conectar los centros de datos locales a redes virtuales de Azure a través de una conexión de sitio a sitio. ●● Conectar los dispositivos individuales a redes virtuales de Azure a través de una conexión de punto a sitio. ●● Conectar las redes virtuales de Azure a otras redes virtuales de Azure a través de una conexión entre redes.

Todos los datos transferidos se cifran en un túnel privado mientras atraviesa Internet. Solo se puede implementar una instancia de VPN Gateway en cada red virtual, pero se puede usar una puerta de enlace para conectarse a varias ubicaciones, incluidas otras redes virtuales de Azure o centros de datos locales. Al implementar una VPN Gateway, se especifica el tipo de VPN: basada en directivas o basada en rutas, y la diferencia principal entre estos dos tipos de VPN es la forma en que se especifica el tráfico que se va a cifrar. En Azure, ambos tipos de VPN Gateway usan una clave previamente compartida como único método de autenticación. Ambos tipos también se basan en el intercambio de claves por red (IKE) en las versiones 1 o 2 y en el protocolo de seguridad de Internet (IPsec). El IKE se usa para establecer una asociación de seguridad (un contrato del cifrado) entre dos puntos de conexión. Esta asociación, después, se pasa al conjunto de IPsec, que cifra y descifra los paquetes de datos encapsulados en el túnel VPN.

Redes privadas virtuales basadas en directivas Las instancias de VPN Gateway basadas en directivas especifican de forma estática la dirección IP de los paquetes que se deben cifrar a través de cada túnel. Este tipo de dispositivo evalúa cada paquete de datos en función de los conjuntos de direcciones IP para elegir el túnel a través del cual se va a enviar el paquete. Entre las características clave de las instancias de VPN Gateway basadas en directivas en Azure se incluyen: ●● Compatibilidad solo con IKEv1. ●● Uso del enrutamiento estático, en el que las combinaciones de prefijos de dirección de ambas redes controlan cómo se cifra y descifra el tráfico a través del túnel VPN. El origen y destino de las redes de túnel se declaran en la directiva y no necesitan declararse en las tablas de enrutamiento.

●● Las redes privadas virtuales basadas en directivas se deben usar en escenarios específicos que las necesiten, por ejemplo, para ofrecer compatibilidad con dispositivos de red privada virtual locales heredados.

Redes privadas virtuales basadas en rutas Si la definición de las direcciones IP que están detrás de cada túnel es demasiado compleja, se pueden usar puertas de enlace basadas en rutas. Con las puertas de enlace basadas en rutas, los túneles IPSec se modelan como interfaz de red o interfaz de túnel virtual (VTI). El enrutamiento IP (ya sea rutas estáticas o protocolos de enrutamiento dinámico) decide cuál de estas interfaces de túnel se va a usar al enviar cada paquete. Las VPN basadas en rutas son el método de conexión preferido para los dispositivos locales, ya que son más resistentes a los cambios de la topología, como la creación de subredes. Si necesita alguno de los siguientes tipos de conectividad, use una instancia de VPN Gateway basada en rutas: ●● Conexiones entre redes virtuales ●● Conexiones de punto a sitio ●● Conexiones de varios sitios ●● Coexistencia con una puerta de enlace de Azure ExpressRoute Entre las características clave de las instancias de VPN Gateway basadas en rutas en Azure se incluyen: ●● Compatibilidad con IKEv2 ●● Uso de selectores de tráfico universales (comodín) ●● Se pueden usar los protocolos de enrutamiento dinámico, donde las tablas de reenvío y enrutamiento dirigen el tráfico a distintos túneles IPsec. En este caso, las redes de origen y destino no se definen de forma estática, ya que se encuentran en VPN basadas en directivas o incluso en VPN basadas en rutas con un enrutamiento estático. En su lugar, los paquetes de datos se cifran en función de las tablas de enrutamiento de red que se crean de forma dinámica mediante protocolos de enrutamiento como BGP (Protocolo de puerta de enlace de borde).

Tamaños de las instancias de VPN Gateway La SKU o el tamaño que implemente determinarán las funcionalidades de la instancia de VPN Gateway. En la tabla siguiente se muestran las funcionalidades principales de cada SKU disponible: SKU

Túneles de sitio a sitio y entre redes virtuales

Pruebas comparativas de rendimiento agregado

Compatibilidad con el Protocolo de puerta de enlace de borde (BGP)

Básico [Ver Nota]

Máximo: 10

100 Mbps

No compatible

VpnGw1/Az

Máximo: 30

650 Mbps

Compatible

VpnGw2/Az

Máximo: 30

1 Gbps

Compatible

VpnGw3/Az

Máximo: 30

1,25 Gbps

Compatible

Nota: La instancia básica de VPN Gateway solo debe usarse en cargas de trabajo de desarrollo o pruebas. Además, el SKU básico no se puede migrar más adelante a los SKU VpnGW1/2/3/Az sin quitar la puerta de enlace y volver a implementarla.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de red de Azure  93

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

94  Module 2 Describir los servicios principales de Azure  

Implementación de instancias de VPN Gateway Antes de implementar una instancia de VPN Gateway, necesitará algunos recursos de Azure y locales.

Recursos de Azure necesarios Se necesitarán estos recursos de Azure para poder implementar una instancia de VPN Gateway operativa: ●● Red virtual. Implemente una red virtual de Azure que tenga suficiente espacio de direcciones para la subred adicional que necesitará para la instancia de VPN Gateway. El espacio de direcciones para esta red virtual no se debe superponer con la red local que se va a conectar. Recuerde que solo se puede implementar una única instancia de VPN Gateway en una red virtual. ●● GatewaySubnet. Implemente una subred llamada ‘GatewaySubnet’ para la instancia de VPN Gateway. Use al menos una máscara de dirección /27 con el fin de asegurarse de que proporciona suficientes direcciones IP en la subred para un crecimiento futuro. Esta subred no se puede usar para otros servicios. ●● Dirección IP pública. Cree una dirección IP pública dinámica de SKU básico si usa una puerta de enlace que no tenga en cuenta la zona horaria. Esta dirección proporciona una dirección IP pública enrutable como destino para el dispositivo VPN local. Aunque esta dirección IP es dinámica, no se cambiará, a menos que elimine y vuelva a crear la instancia de VPN Gateway. ●● Puerta de enlace de red local. Cree una puerta de enlace de red local para definir la configuración de la red local: dónde y a qué se conectará la instancia de VPN Gateway. Esta configuración incluye la dirección IPv4 pública del dispositivo VPN local y las redes de enrutamiento locales. Esta información la usa la instancia de VPN Gateway con el fin de enrutar paquetes destinados para las redes locales a través del túnel IPSec. ●● Puerta de enlace de red virtual. Cree la puerta de enlace de red virtual para enrutar el tráfico entre la red virtual y el centro de datos local u otras redes virtuales. La puerta de enlace de red virtual puede ser una VPN Gateway o ExpressRoute, pero en esta unidad solo se trata el tipo de puerta de enlace de red virtual de VPN. (Obtendrá más información sobre ExpressRoute en una unidad independiente más adelante en este módulo.) ●● Conexión. Cree un recurso de conexión para crear una conexión lógica entre la instancia de VPN Gateway y la puerta de enlace de red local. ●● La conexión se realiza a las direcciones IPv4 del dispositivo VPN local, tal como define la puerta de enlace de red local. ●● La conexión se realiza desde la puerta de enlace de red virtual y la dirección IP pública asociada. Se pueden crear varias conexiones. En el diagrama siguiente se muestra esta combinación de recursos y sus relaciones para que le resulte más fácil entender los requisitos necesarios para implementar una instancia de VPN Gateway:

Recursos locales necesarios Para conectar el centro de datos a una instancia de VPN Gateway, se necesitarán los siguientes recursos locales: ●● Un dispositivo VPN que admita instancias de VPN Gateway basadas en directivas o en rutas. ●● Una dirección IPv4 de acceso público (enrutable por Internet).

Escenarios de alta disponibilidad Hay varias opciones para asegurarse de que se tiene una configuración de tolerancia a errores.

Configuración de activo-en espera De forma predeterminada, las instancias de VPN Gateway se implementan como dos instancias en una configuración de activo-en espera, incluso si solo ve un recurso de VPN Gateway en Azure. Cuando el mantenimiento planeado o la interrupción imprevista afectan a la instancia activa, la instancia en espera asume de forma automática la responsabilidad de las conexiones sin ninguna intervención del usuario. Durante esta conmutación por error, las conexiones se interrumpen, pero por lo general se restauran en cuestión de segundos si se trata del mantenimiento planeado y en un plazo de 90 segundos en el caso de las interrupciones imprevistas.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de red de Azure  95

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

96  Module 2 Describir los servicios principales de Azure  

Activo/activo Al incorporar compatibilidad con el protocolo de enrutamiento de BGP, también puede implementar puertas de enlace VPN en una configuración del tipo activo/activo. En esta configuración, se asigna una dirección IP pública única a cada instancia. Después, se crean túneles independientes desde el dispositivo local a cada dirección IP. Se puede ampliar la alta disponibilidad mediante la implementación de un dispositivo VPN local adicional.

Conmutación por error de ExpressRoute Otra opción de alta disponibilidad consiste en configurar una instancia de VPN Gateway como una ruta segura de conmutación por error para las conexiones ExpressRoute. Los circuitos ExpressRoute tienen resistencia integrada, pero no son inmunes a los problemas físicos que afectan a los cables que entregan conectividad ni a las interrupciones que afectan a la ubicación completa de ExpressRoute. En escenarios de alta disponibilidad, en los que existe un riesgo asociado a una interrupción de un circuito ExpressRoute, también puede aprovisionar una instancia de VPN Gateway que usa Internet como un método alternativo de conectividad, lo que garantiza que siempre haya una conexión a las redes virtuales de Azure.

Puertas de enlace con redundancia de zona En las regiones que admiten zonas de disponibilidad, se pueden implementar puertas de enlace VPN y ExpressRoute en una configuración con redundancia de zona. Esto aporta una mayor disponibilidad, escalabilidad y resistencia a las puertas de enlace de red virtual. Implementar puertas de enlace en Azure Availability Zones separa de forma física y lógica las puertas de enlace dentro de una región, y protege la conectividad de red local en Azure de errores de nivel de zona. Estas requieren diferentes SKU de puerta de enlace y usar direcciones IP públicas estándar en lugar de direcciones IP públicas básicas.

Aspectos básicos de Azure ExpressRoute

Azure ExpressRoute permite ampliar las redes locales sin problemas en la nube de Microsoft. Esta conexión entre su organización y Azure es dedicada y privada. El establecimiento de una conexión ExpressRoute permite conectarse a Servicios en la nube de Microsoft como Azure, Office 365 y Dynamics 365. Se mejora la seguridad, las conexiones son más fiables, la latencia es mínima y el rendimiento aumenta considerablemente.

Como parte de su trabajo para Tailwind Traders, debe comprender qué es Azure ExpressRoute y cómo se integra con las redes locales y de Azure. En esta unidad, obtendrá información sobre las ventajas que proporciona ExpressRoute en comparación con otras opciones de conectividad de sitio a sitio y si ExpressRoute puede proporcionar a su empresa el mejor rendimiento de red posible. A lo largo de esta unidad, nos centraremos en dos niveles diferentes del modelo de interconexión de sistemas abiertos (OSI): ●● Nivel 2 (L2): Es el nivel de vínculo de datos, que proporciona una comunicación de nodo a nodo entre dos nodos de la misma red. ●● Nivel 3 (L3): Es el nivel de red, que proporciona el direccionamiento y enrutamiento entre los nodos de una red de varios nodos.

Características y ventajas de ExpressRoute El uso de ExpressRoute como servicio de conexión entre Azure y las redes locales tiene varias ventajas.

Conectividad de nivel 3 ExpressRoute proporciona conectividad de nivel 3 (nivel de dirección) entre la red local y la nube de Microsoft a través de asociados de conectividad. Estas conexiones pueden realizarse desde una red de punto a punto, una red universal o bien desde una conexión cruzada virtual a través de un intercambio.

Redundancia integrada Cada proveedor de conectividad usa dispositivos redundantes para garantizar que las conexiones establecidas con Microsoft tengan alta disponibilidad. Puede configurar varios circuitos para complementar esta característica. Todas las conexiones redundantes se configuran con conectividad de nivel 3 para cumplir los Acuerdos de Nivel de Servicio.

Conectividad con los Servicios en la nube de Microsoft ExpressRoute permite el acceso directo a los siguientes servicios en todas las regiones: ●● Microsoft Office 365 ●● Microsoft Dynamics 365 ●● Servicios de proceso de Azure, como Azure Virtual Machines ●● Servicios en la nube de Azure, como Azure Cosmos DB y Azure Storage

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de red de Azure  97

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

98  Module 2 Describir los servicios principales de Azure  

Office 365 se creó para tener acceso a él de forma segura y fiable a través de Internet. Por ello, se recomienda utilizar ExpressRoute en escenarios concretos. La sección “Más información” al final de este módulo incluye un vínculo sobre el uso de ExpressRoute para acceder a Office 365.

Conectividad local con Global Reach de ExpressRoute Puede permitir que Global Reach de ExpressRoute intercambie datos entre los sitios locales si conecta los diferentes circuitos ExpressRoute. Por ejemplo, supongamos que tiene un centro de datos privado en California conectado a ExpressRoute en Silicon Valley. Tiene otro centro de centros privado en Texas conectado a ExpressRoute en Dallas. Con Global Reach de ExpressRoute, puede conectar sus centros de recursos privados a través de dos circuitos ExpressRoute. El tráfico de los centros de datos viajará a través de la red de Microsoft.

Enrutamiento dinámico ExpressRoute usa el protocolo de enrutamiento Protocolo de puerta de enlace de borde (BGP). BGP se usa para intercambiar rutas entre las redes locales y los recursos que se ejecutan en Azure. Este protocolo permite el enrutamiento dinámico entre la red local y los servicios que se ejecutan en la nube de Microsoft.

Modelos de conectividad de ExpressRoute ExpressRoute admite tres modelos que puede usar para conectar la red local con la nube de Microsoft: ●● Ubicación de CloudExchange ●● Conexión Ethernet de punto a punto ●● Conexión universal

Coubicación en un intercambio en la nube Normalmente, los proveedores de coubicación pueden ofrecer conexiones de nivel 2 y nivel 3 entre la infraestructura (que puede encontrarse en las instalación de la coubicación) y la nube de Microsoft. Por ejemplo, si el centro de datos tiene su ubicación compartida en un intercambio en la nube, como un proveedor de servicio de Internet (ISP), puede solicitar una conexión cruzada virtual a la nube de Microsoft.

Conexión Ethernet de punto a punto Las conexiones de punto a punto proporcionan conectividad de nivel 2 y nivel 3 entre el sitio local y Microsoft Azure. Puede conectar sus oficinas o centros de datos a Azure mediante vínculos de punto a punto. Por ejemplo, si tiene un centro de datos local, puede usar un vínculo de Ethernet de punto a punto para conectarse a Microsoft.

Redes universales Con la conectividad universal, puede integrar la red de área extensa (WAN) con Microsoft Azure si proporciona conexiones a las oficinas y centros de datos. Azure se integrará con la conexión WAN para proporcionarle una conexión sin problemas, como la que tendría entre el centro de datos y las sucursales. Con las conexiones universales, todos los proveedores de WAN ofrecen conectividad de nivel 3. Por ejemplo, si ya usa la conmutación de etiquetas de multiprotocolo (MPLS) para conectarse a las sucursales o a otros sitios de la organización, una conexión ExpressRoute a Microsoft se comportará como otra ubicación en la WAN privada.

Consideraciones sobre la seguridad Con ExpressRoute los datos no viajan a través de la red pública de Internet y, por tanto, no se exponen a los posibles riesgos asociados a las comunicaciones de Internet. ExpressRoute es una conexión privada de la infraestructura local a la infraestructura de Azure. Incluso si tiene una conexión ExpressRoute, las consultas de DNS, la comprobación de la lista de revocación de certificados y las solicitudes de Azure Content Delivery Network se siguen enviando a través de la red pública de Internet.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Explorar los servicios de red de Azure  99

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

100  Module 2 Describir los servicios principales de Azure  

Preguntas de repaso del módulo 2 Preguntas de repaso del módulo 02 Pregunta de repaso 1 El equipo de desarrollo está interesado en escribir aplicaciones basadas en Graph que aprovechen las ventajas de la API de Gremlin. ¿Qué opción sería la más adecuada para ese escenario? †† Azure SQL Database †† Azure Databricks †† Azure Cosmos DB †† Azure Database for PostgreSQL

Pregunta de repaso 2 Tailwind Traders usa la pila LAMP para varios de sus sitios web. ¿Qué opción sería la más adecuada para la migración? †† Azure Database for MySQL †† Azure Cosmos DB †† Azure SQL Database †† Azure Database for PostgreSQL

Pregunta de repaso 3 Tailwind Traders tiene millones de entradas de registro que quiere analizar. ¿Qué opción sería la más adecuada para el análisis? †† Azure Cosmos DB †† Azure SQL Database †† Azure Database for PostgreSQL †† Azure Synapse Analytics

Pregunta de repaso 4 ¿Qué recurso de Azure Compute se puede implementar para administrar un conjunto de máquinas virtuales idénticas? †† Conjuntos de disponibilidad de la máquina virtual †† Virtual Machine Scale Sets †† Zonas de disponibilidad de máquinas virtuales

Pregunta de repaso 5 ¿Cuál de los siguientes servicios deben usarse cuando la preocupación principal es realizar un trabajo en respuesta a un evento (a menudo a través de un comando REST) que necesita una respuesta en unos segundos? †† Azure Functions †† Azure App Service †† Azure Container Instances

Pregunta de repaso 6 Su empresa tiene un equipo de trabajadores remotos que necesitan usar software basado en Windows para desarrollar las aplicaciones de su empresa, pero los miembros del equipo usan diversos sistemas operativos, como MacOS, Linux y Windows. ¿Qué servicio de Azure Compute le ayudaría a resolver este escenario? †† Azure App Service †† Windows Virtual Desktop †† Azure Container Instances

Pregunta de repaso 7 ¿Cuál es el primer paso que se debe llevar a cabo para compartir un archivo de imagen como blob en Azure Storage? †† Crear un contenedor de Azure Storage para almacenar la imagen. †† Cargar el archivo de imagen y crear un contenedor. †† Usar un token de Firma de acceso compartido (SAS) para restringir el acceso a la imagen. †† Crear una cuenta de Azure Storage.

Pregunta de repaso 8 ¿Qué opción de Azure Storage es mejor para almacenar datos para copias de seguridad y restauración, recuperación ante desastres y archivado? †† Azure Blob Storage †† Azure File Storage †† Azure Disk Storage

Pregunta de repaso 9 Tailwind Traders desea crear un túnel de comunicación seguro entre sus sucursales. ¿Cuál de las siguientes tecnologías no se puede usar? †† Red privada virtual de punto a sitio †† FTP implícito por SSL †† Azure ExpressRoute †† Red privada virtual de sitio a sitio

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Preguntas de repaso del módulo 2  101

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

102  Module 2 Describir los servicios principales de Azure  

Pregunta de repaso 10 Tailwind Traders quiere usar Azure ExpressRoute para conectar su red local a la nube de Microsoft. ¿Cuál de las siguientes opciones no es un modelo de ExpressRoute que Tailwind Traders pueda usar? †† Red privada virtual de sitio a sitio †† Conexión universal †† Conexión Ethernet de punto a punto †† Ubicación de CloudExchange

Pregunta de repaso 11 ¿Cuál de las siguientes opciones puede usar para vincular redes virtuales? †† Traducción de direcciones de red †† Agregación de vínculos de varios chasis †† Protocolo de configuración dinámica de host †† Emparejamiento de redes virtuales

Pregunta de repaso 12 ¿Cuál de las siguientes opciones no es una de las ventajas de ExpressRoute? †† Conectividad redundante †† Rendimiento de red coherente †† Comunicación de red cifrada †† Acceso a los Servicios en la nube de Microsoft

Resumen del módulo 2 Resumen del módulo 02 Explorar los servicios de análisis y bases de datos de Azure En esta lección, ha obtenido información sobre cómo ayudar a Tailwind Traders a migrar sus cargas de trabajo de bases de datos a Microsoft Azure. Ha visto cómo Azure SQL Database, Azure Database for MySQL y Azure Database for PostgreSQL permitirán a su empresa migrar sus bases de datos de SQL Server, MySQL y PostgreSQL existentes a la nube, a la vez que conservará las ventajas del desarrollo y administración de bases de datos de su empresa. Además, ha visto cómo Azure Cosmos DB admite una variedad de API populares (de SQL, MongoDB, Cassandra, tables y Gremlin), que puede usar para migrar los datos a la nube y conservar o mejorar sus conjuntos de aptitudes de desarrollador. También ha aprendido a usar los servicios de análisis y macrodatos de Azure, como Azure Synapse Analytics, Azure HDInsight, Azure Databricks y Azure Data Lake Analytics para analizar grandes volúmenes de datos.

Explorar Compute Services de Azure En esta lección, ha aprendido cómo puede usar varios de los servicios de Azure Compute para ayudar a Tailwind Traders a resolver sus problemas de demanda de aplicaciones mediante el uso de servicios de virtualización como Azure Virtual Machines (VM), Azure Container Instances (ACI) y Azure Kubernetes Service (AKS). También ha aprendido a usar Azure App Services para crear los front-ends del sitio web y Azure Functions para crear la lógica de aplicación de la unidad de los eventos que solo ejecuta cuando la necesita. Por último, ha aprendido a usar Windows Virtual Desktop para proporcionar rápidamente un sistema operativo y un entorno de software personalizados para sus trabajadores remotos.

Explorar los servicios de Azure Storage En esta lección, ha descubierto cómo Azure Storage puede proporcionar a su empresa una variedad de opciones para almacenar los datos. Por ejemplo, ha aprendido que el primer paso al usar Azure Storage es crear una cuenta de almacenamiento. Una vez hecho esto, Azure le proporciona varias opciones para almacenar los datos: ●● Azure Disk Storage ●● Azure Blob/Container Storage ●● Azure File Storage

Explorar los servicios de red de Azure En esta lección, ha usado el escenario de Tailwind Traders para obtener información sobre los principales recursos de red que están disponibles en Azure y ha aprendido sobre las ventajas y el uso de las redes virtuales, las puertas de enlace de red privada virtual (VPN) y Azure ExpressRoute. Gracias a este nuevo conocimiento, puede aplicar esta información para ayudar a su empresa a usar los recursos de red de Azure para configurar su infraestructura de red.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 2  103

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

104  Module 2 Describir los servicios principales de Azure  

Answers Pregunta de repaso 1 El equipo de desarrollo está interesado en escribir aplicaciones basadas en Graph que aprovechen las ventajas de la API de Gremlin. ¿Qué opción sería la más adecuada para ese escenario? †† Azure SQL Database †† Azure Databricks ■■ Azure Cosmos DB †† Azure Database for PostgreSQL Explanation Azure Cosmos DB admite las API de SQL, MongoDB, Cassandra, Tables y Gremlin. Pregunta de repaso 2 Tailwind Traders usa la pila LAMP para varios de sus sitios web. ¿Qué opción sería la más adecuada para la migración? ■■ Azure Database for MySQL †† Azure Cosmos DB †† Azure SQL Database †† Azure Database for PostgreSQL Explanation Azure Database for MySQL es la opción lógica para las aplicaciones de pila LAMP existentes. Pregunta de repaso 3 Tailwind Traders tiene millones de entradas de registro que quiere analizar. ¿Qué opción sería la más adecuada para el análisis? †† Azure Cosmos DB †† Azure SQL Database †† Azure Database for PostgreSQL ■■ Azure Synapse Analytics Explanation Azure Synapse Analytics es la opción lógica para analizar grandes volúmenes de datos. Pregunta de repaso 4 ¿Qué recurso de Azure Compute se puede implementar para administrar un conjunto de máquinas virtuales idénticas? †† Conjuntos de disponibilidad de la máquina virtual ■■ Virtual Machine Scale Sets †† Zonas de disponibilidad de máquinas virtuales Explanation Virtual Machine Scale Sets le permite implementar y administrar un conjunto de máquinas virtuales idénticas.

Pregunta de repaso 5 ¿Cuál de los siguientes servicios deben usarse cuando la preocupación principal es realizar un trabajo en respuesta a un evento (a menudo a través de un comando REST) que necesita una respuesta en unos segundos? ■■ Azure Functions †† Azure App Service †† Azure Container Instances Explanation Azure Functions se usa cuando se debe realizar un trabajo en respuesta a un evento (a menudo a través de una solicitud REST), un temporizador o un mensaje de otro servicio de Azure, y cuando ese trabajo puede completarse rápidamente, en segundos o en menos tiempo. Pregunta de repaso 6 Su empresa tiene un equipo de trabajadores remotos que necesitan usar software basado en Windows para desarrollar las aplicaciones de su empresa, pero los miembros del equipo usan diversos sistemas operativos, como MacOS, Linux y Windows. ¿Qué servicio de Azure Compute le ayudaría a resolver este escenario? †† Azure App Service ■■ Windows Virtual Desktop †† Azure Container Instances Explanation Es correcto. Windows Virtual Desktop permite que los miembros del equipo ejecuten Windows en la nube, con acceso a las aplicaciones requeridas para las necesidades de su empresa. Pregunta de repaso 7 ¿Cuál es el primer paso que se debe llevar a cabo para compartir un archivo de imagen como blob en Azure Storage? †† Crear un contenedor de Azure Storage para almacenar la imagen. †† Cargar el archivo de imagen y crear un contenedor. †† Usar un token de Firma de acceso compartido (SAS) para restringir el acceso a la imagen. ■■ Crear una cuenta de Azure Storage. Explanation Debe crear una cuenta de Azure Storage para poder usar las características de Azure Storage. Pregunta de repaso 8 ¿Qué opción de Azure Storage es mejor para almacenar datos para copias de seguridad y restauración, recuperación ante desastres y archivado? ■■ Azure Blob Storage †† Azure File Storage †† Azure Disk Storage Explanation Azure Blob Storage es la mejor opción para almacenar archivos de recuperación ante desastres y archivado.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 2  105

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

106  Module 2 Describir los servicios principales de Azure  

Pregunta de repaso 9 Tailwind Traders desea crear un túnel de comunicación seguro entre sus sucursales. ¿Cuál de las siguientes tecnologías no se puede usar? †† Red privada virtual de punto a sitio ■■ FTP implícito por SSL †† Azure ExpressRoute †† Red privada virtual de sitio a sitio Explanation FTP por SSL no se puede usar para crear un túnel de comunicación seguro. Pregunta de repaso 10 Tailwind Traders quiere usar Azure ExpressRoute para conectar su red local a la nube de Microsoft. ¿Cuál de las siguientes opciones no es un modelo de ExpressRoute que Tailwind Traders pueda usar? ■■ Red privada virtual de sitio a sitio †† Conexión universal †† Conexión Ethernet de punto a punto †† Ubicación de CloudExchange Explanation Una red privada virtual de sitio a sitio no es un modelo de ExpressRoute. Pregunta de repaso 11 ¿Cuál de las siguientes opciones puede usar para vincular redes virtuales? †† Traducción de direcciones de red †† Agregación de vínculos de varios chasis †† Protocolo de configuración dinámica de host ■■ Emparejamiento de redes virtuales Explanation El emparejamiento de red virtual se puede usar para vincular redes virtuales. Pregunta de repaso 12 ¿Cuál de las siguientes opciones no es una de las ventajas de ExpressRoute? †† Conectividad redundante †† Rendimiento de red coherente ■■ Comunicación de red cifrada †† Acceso a los Servicios en la nube de Microsoft Explanation Correcto. ExpressRoute proporciona conectividad privada, pero esta no está cifrada.

Objetivos de aprendizaje Objetivos de aprendizaje Después de completar este módulo, podrá:

●● Elegir el servicio de inteligencia artificial de Azure adecuado para abordar distintos tipos de retos empresariales. ●● Elegir los mejores servicios y herramientas para los procesos de desarrollo de software para un escenario empresarial determinado. ●● Elegir el servicio de supervisión en la nube adecuado para abordar distintos tipos de retos empresariales. ●● Elegir la herramienta de administración de Azure correcta para abordar distintos tipos de requisitos y retos técnicos. ●● Elegir la tecnología de informática sin servidor adecuada para su escenario empresarial. ●● Elegir el mejor servicio de Azure IoT para un determinado escenario empresarial.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

Module 3 Descripción de las principales soluciones y herramientas de administración de Azure

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

108  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Elección del mejor servicio de IA para sus necesidades Introducción

La inteligencia artificial (IA) es una categoría de la informática que adapta y mejora su capacidad de toma de decisiones a lo largo del tiempo en función de sus éxitos y errores. Microsoft Azure proporciona varias soluciones de IA diferentes entre las que puede elegir, dependiendo del problema que esté tratando de resolver. Tailwind Traders, un distribuidor tradicional de ladrillos y mortero que ha experimentado un crecimiento explosivo de sus ventas en línea, se enfrenta a desafíos emocionantes en su cometido para mejorar sus operaciones de comercio electrónico y servicio. Los servicios de inteligencia artificial de Microsoft pueden ser una buena elección para una de las nuevas iniciativas de la empresa, pero Tailwind Traders necesita ayuda para comprender mejor qué opción de producto es mejor para cada escenario. En este módulo, obtendrá información sobre los diferentes servicios de IA de Microsoft y analizará los criterios de decisión que los expertos usan para seleccionar el servicio adecuado para un escenario determinado.

Objetivos de aprendizaje Al finalizar este módulo, podrá: ●● Elegir el servicio de inteligencia artificial de Azure adecuado para abordar distintos tipos de retos empresariales.

Requisitos previos ●● Debería estar familiarizado con el concepto de interfaz de programación de aplicaciones o API. Los programadores usan las API para utilizar la funcionalidad que contienen las bibliotecas de código. ●● Debería estar familiarizado con lo que es una “API web”. Debe saber que una API web es una API a la que se puede acceder desde servidores que aceptan solicitudes a través de HTTP. Asimismo, debe entender que un “punto de conexión de API web” es la ubicación de la biblioteca de código y que las API de REST hacen referencia al diseño del estilo de dirección URL que se usa para exponer la funcionalidad de la API.

Identificación de las opciones de producto

La inteligencia artificial (IA) es una clasificación amplia de la informática que permite que un sistema de software perciba su entorno y tome medidas que maximicen sus probabilidades de éxito a la hora de lograr sus objetivos. El objetivo de la IA es crear un sistema de software que pueda adaptarse o aprender algo por sí mismo sin estar programado explícitamente para hacerlo. Existen dos enfoques básicos en la IA. El primero consiste en emplear un sistema de “aprendizaje profundo” que se modela en la red neuronal de la mente humana, lo que le permite descubrir, aprender y crecer a través de la experiencia. El segundo enfoque es el “aprendizaje automático”, que es una técnica de la ciencia de datos que usa los datos existentes para entrenar y probar un modelo y, a continuación, aplicar ese modelo a nuevos datos para pronosticar comportamientos, resultados y tendencias futuros.

Los pronósticos o predicciones del aprendizaje automático pueden hacer que las aplicaciones y los dispositivos sean más inteligentes. Por ejemplo, al realizar una compra en línea, el aprendizaje automático impulsa los sistemas de recomendación de productos que ofrecen al comprador productos adicionales en función de lo que ha comprado y lo que han comprado otros compradores que han adquirido artículos similares en el pasado. El aprendizaje automático también se usa para detectar fraudes de tarjetas de crédito analizando cada nueva transacción mediante lo que ha aprendido a través del análisis de millones de transacciones fraudulentas. Prácticamente cualquier dispositivo o sistema de software que recopila datos textuales, visuales y de audio podrían alimentar un modelo de aprendizaje automático que haga que ese dispositivo o sistema de software sea más inteligente en su funcionamiento en el futuro.

Opciones de producto de Azure A alto nivel, Microsoft cuenta con tres ofertas principales, cada una de las cuales está diseñada para una audiencia y un caso de uso concretos. Además, cada opción de producto proporciona un conjunto diverso de herramientas, servicios y API de programación. En este módulo, nos limitaremos a revisar de forma superficial las capacidades de cada una de las opciones.

Azure Machine Learning Azure Machine Learning1 es una plataforma para realizar predicciones. Consta de herramientas y servicios que le permiten conectarse a los datos para entrenar y probar modelos para encontrar el que prediga con mayor precisión un resultado futuro. Una vez que ha ejecutado experimentos para probar el modelo, puede implementar el modelo y usarlo en tiempo real a través de un punto de conexión de API web. Con Azure Machine Learning, puede realizar lo siguiente: ●● Crear un proceso que defina cómo obtener los datos, cómo tratar los datos que faltan o que son incorrectos, cómo dividir los datos en un conjunto de entrenamiento o en un conjunto de pruebas y cómo enviar los datos al proceso de entrenamiento. ●● Entrenar y evaluar modelos predictivos mediante herramientas y lenguajes de programación conocidos por los científicos de datos. ●● Crear canalizaciones que definan dónde y cuándo ejecutar los experimentos de proceso intensivo necesarios para puntuar los algoritmos en función de los datos de entrenamiento y de prueba. ●● Implementar el algoritmo de mejor rendimiento como una API en un punto de conexión para que otras aplicaciones puedan consumirlo en tiempo real. Elija Azure Machine Learning cuando los científicos de datos necesiten un control completo sobre el diseño y el entrenamiento de un algoritmo con sus propios datos.

Azure Cognitive Services Azure Cognitive Services2 proporciona modelos de aprendizaje automático creados previamente que permiten a las aplicaciones ver, oír, hablar, comprender e incluso empezar a pensar. Use Azure Cognitive Services para solucionar problemas generales, como el análisis de texto para detectar opiniones o el análisis de imágenes para reconocer objetos o caras. No es necesario tener conocimientos de aprendizaje automático ni ciencia de datos para usar estos servicios. Los desarrolladores acceden a Azure Cognitive 1 2

https://azure.microsoft.com/services/machine-learning/?azure-portal=true https://azure.microsoft.com/services/cognitive-services/?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección del mejor servicio de IA para sus necesidades  109

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

110  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Services mediante API y pueden incluir fácilmente estas características en solo unas pocas líneas de código. Si bien Azure Machine Learning requiere que traiga sus propios datos y entrene modelos a partir de esos datos, Azure Cognitive Services, en su mayor parte, proporciona modelos previamente entrenados para que pueda traer sus datos en directo para obtener predicciones. Azure Cognitive Services se puede dividir en las categorías siguientes: ●● Servicios de idioma: permita que las aplicaciones procesen lenguaje natural con scripts precompilados, evalúen opiniones y aprendan a reconocer lo que quieren los usuarios. ●● Servicios de voz: convierta voz en texto y texto en voz de sonido natural. Traduzca de un idioma a otro y habilite el reconocimiento y la verificación del hablante. ●● Servicios de visión: agregue capacidades de reconocimiento e identificación al analizar imágenes, vídeos y otro contenido visual. ●● Servicios de decisión: agregue recomendaciones personalizadas para cada usuario que mejoren automáticamente cada vez que se usen, modere contenido para supervisar y quitar el contenido ofensivo o arriesgado y detecte anomalías en los datos de series temporales.

Azure Bot Service Azure Bot Service3 y Bot Framework es una plataforma para crear agentes virtuales que comprenden y responden a preguntas como un ser humano. Azure Bot Service se diferencia un poco de Azure Machine Learning y Azure Cognitive Services en que tiene un caso de uso concreto: crear un agente virtual que pueda comunicarse de forma inteligente con los usuarios. En segundo plano, el bot que crea usa otros servicios de Azure, como Azure Cognitive Services, para comprender lo que solicitan sus homólogos humanos. Los bots se pueden usar para convertir tareas sencillas y repetitivas, como tomar una reserva de cena o recopilar información de perfil, en sistemas automatizados que ya no requieran la intervención humana directa. Los usuarios conversan con los bot mediante texto, tarjetas interactivas y la voz. Una interacción con un bot puede ser tanto una pregunta y una respuesta rápidas como una conversación sofisticada que proporciona acceso a servicios de forma inteligente.

Análisis de los criterios de decisión

En esta unidad, analizaremos los criterios que siguen los expertos a la hora de elegir un servicio de inteligencia artificial (IA) de Azure para una determinada necesidad empresarial. Comprender estos criterios también puede ayudar a entender mejor las diferencias de cada producto.

¿Está creando un agente virtual que interactúa con seres humanos mediante el lenguaje natural? Use Bot Service cuando necesite crear un agente virtual para interactuar con los usuarios mediante el lenguaje natural. Bot Service integra orígenes de conocimiento, procesamiento del lenguaje natural y factores de forma para permitir la interacción entre distintos canales. Las soluciones de Bot Service normalmente se basan en otros servicios de inteligencia artificial para cosas como la comprensión del lenguaje natural o incluso la traducción para localizar las respuestas al idioma preferido del cliente. 3

https://azure.microsoft.com/services/bot-service/?azure-portal=true

Antes de entrar de pleno en la creación de una experiencia de chat personalizada con Azure Bot Service, puede que sea mejor buscar soluciones precompiladas sin código que abarquen los escenarios habituales. Por ejemplo, QnA Maker, disponible en Azure Marketplace, le permite crear, entrenar y publicar un bot sofisticado mediante páginas de preguntas más frecuentes, sitios web de soporte técnico, manuales de productos, documentos de SharePoint o contenido editorial a través de una interfaz de usuario fácil de usar o mediante las API de REST. De forma similar, Power Virtual Agents se integra con Power Platform de Microsoft, lo que le permite usar cientos de conectores compilados para la entrada de datos. Puede ampliar la instancia de Power Virtual Agent creando flujos de trabajo personalizados con Power Automate y, si la experiencia rápida le parece demasiado limitada, puede crear interacciones más complejas con Microsoft Bot Framework.

¿Necesita un servicio que pueda comprender el contenido y el significado de imágenes, vídeos y audios o traducir texto a un idioma diferente? Use Azure Cognitive Services cuando necesite realizar tareas de uso general, como la conversión de voz en texto, la integración con búsquedas, la identificación de objetos en una imagen, etc. Azure Cognitive Services es “de uso general”, lo que significa que muchos tipos diferentes de clientes pueden beneficiarse del trabajo que Microsoft ya ha hecho para entrenar y probar estos modelos y ofrecerlos de forma económica a escala.

¿Necesita predecir el comportamiento del usuario o proporcionar a los usuarios recomendaciones personalizadas en la aplicación? El servicio Personalizer de Azure Cognitive Services supervisa las acciones de los usuarios dentro de una aplicación y se puede usar para predecir su comportamiento y proporcionar experiencias relevantes a medida que identifica patrones de uso. De nuevo, podría capturar y almacenar el comportamiento del usuario y crear su propia solución de Azure Machine Learning personalizada para realizar estas acciones, pero este enfoque requeriría mucho esfuerzo y gastos.

¿La aplicación predecirá resultados futuros a partir de datos históricos privados? Elija Azure Machine Learning cuando necesite analizar datos para predecir resultados futuros. Por ejemplo, supongamos que necesita analizar transacciones financieras realizadas durante años para detectar nuevos patrones que podrían ayudarle a crear nuevos productos y servicios para los clientes de su empresa y ofrecer esos nuevos servicios durante las llamadas rutinarias del servicio al cliente. Al trabajar con datos de propiedad, es probable que necesite crear un modelo de aprendizaje automático más personalizado y adaptado.

¿Necesita crear un modelo con sus propios datos o realizar una tarea distinta de las mencionadas anteriormente? Use Azure Machine Learning para obtener la máxima flexibilidad. Los científicos de datos o ingenieros de inteligencia artificial pueden utilizar las herramientas con las que están familiarizados y los datos que les proporcione para desarrollar modelos de aprendizaje profundo y aprendizaje automático adaptados a sus requisitos particulares.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección del mejor servicio de IA para sus necesidades  111

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

112  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Uso de Machine Learning para sistemas de ayuda a la toma de decisiones El sitio web de comercio electrónico de Tailwind Traders permite a los clientes examinar y comprar artículos que se pueden entregar o que se pueden recoger desde una tienda de venta directa más cercana a su ubicación.

El departamento de marketing está convencido de que puede aumentar drásticamente las ventas si sugiere productos complementarios de su catálogo que complementen los artículos del carro del comprador en el momento de finalizar la compra. Podrían codificar estas sugerencias de forma rígida, pero creen que un enfoque más orgánico sería usar los datos de ventas de varios años así como las nuevas tendencias de compra para decidir qué productos se muestran al comprador. Además, las sugerencias pueden estar influenciadas por factores como la disponibilidad del producto o su rentabilidad, entre otros. Los expertos en ciencia de datos del departamento de marketing ya han realizado algún análisis inicial del dominio del problema y han determinado que pueden tardar meses en crear un prototipo y, posiblemente, un año en implementarlo.

¿Qué servicio deberíamos elegir? Vamos a aplicar los criterios de decisión que hemos aprendido en la unidad anterior para encontrar la opción adecuada. En primer lugar, ¿Tailwind Traders está creando un agente virtual que interactúa con seres humanos mediante el lenguaje natural? No, Azure Bot Service no es un buen candidato para este escenario. En segundo lugar, ¿Tailwind Traders necesita un servicio que pueda comprender el contenido y el significado de imágenes, vídeos y audios o traducir texto a un idioma diferente? No, por lo que Cognitive Services no nos ayudará. En tercer lugar, ¿Tailwind Traders necesita predecir el comportamiento del usuario o proporcionar recomendaciones personalizadas a los usuarios? Sí. Sin embargo, la creación de recomendaciones basadas en el comportamiento del usuario es solo una parte del requisito. Tailwind Traders necesita crear un modelo complejo que incorpore datos históricos de ventas, datos de tendencias de ventas, inventario, etc. Es posible que el servicio Personalizer de Azure Cognitive Services pueda desempeñar una función, pero no podría abordar toda la amplitud del proyecto por sí solo. Por último, ¿la aplicación de Tailwind Traders predecirá resultados futuros a partir de datos históricos privados? Sí, y por este motivo, en este escenario, Azure Machine Learning es probablemente la mejor opción. El éxito de este esfuerzo dependerá principalmente de la potencia del modelo para seleccionar solo los productos de venta adecuados que se sugieren al comprador. Dado que el modelo tendría que ajustarse y retocarse con el tiempo, es probable que un producto listo para usarse no sea suficiente. Además, parece que el departamento de marketing ya cuenta con algunos expertos en ciencia de datos, que están dispuestos a realizar al menos un compromiso de un año para compilar, probar y retocar los modelos que se van a usar.

Uso de Cognitive Services para el análisis de datos

La primera generación del sitio web de comercio electrónico de Tailwind Traders solo se encontraba disponible en inglés. Sin embargo, el departamento de marketing ha patrocinado un estudio demográfico de sus ubicaciones de ladrillos y mortero. En promedio, solo el 80 % de los clientes potenciales hablan inglés, y esa proporción baja al 50 % en algunas zonas. El departamento de marketing considera que agregar varios idiomas es una oportunidad magnífica para proporcionar a los clientes que no hablan en inglés la misma experiencia de comercio electrónico que se ofrece a los clientes anglófonos.

¿Qué servicio deberíamos elegir? Igual que hemos hecho anteriormente, vamos a aplicar los criterios de decisión que hemos aprendido en la unidad anterior para encontrar la opción adecuada. En primer lugar, ¿Tailwind Traders está creando un agente virtual que interactúa con seres humanos mediante el lenguaje natural? No, por lo que Azure Bot Service no es un buen candidato para este escenario. Sin embargo, en el caso de que Tailwind Traders implemente un agente de servicio al cliente, es posible que quiera considerar el uso de las API de Translator Text para proporcionar traducción en tiempo real con el fin de ayudar a los clientes que no son anglófonos. En segundo lugar, ¿Tailwind Traders necesita un servicio que pueda comprender el contenido y el significado de imágenes, vídeos y audios o traducir texto a un idioma diferente? Sí. La traducción de contenido textual de un idioma a otro es una tarea de uso general que resulta más sencilla mediante el servicio Translator Text de Azure Cognitive Services. Es fácil de integrar en sus aplicaciones, sitios web, herramientas y soluciones. Permite agregar experiencias de usuario multilingüe en más de 60 idiomas y se puede usar en cualquier plataforma de hardware con cualquier sistema operativo para la traducción de texto a texto. Azure Cognitive Services es probablemente la mejor opción para este escenario, pero vamos a seguir aplicando los criterios de decisión para asegurarnos. En tercer lugar, ¿Tailwind Traders necesita predecir el comportamiento del usuario o proporcionar recomendaciones personalizadas a los usuarios? No, el servicio Personalizer de Azure Cognitive Services no es un buen candidato para este escenario. Por último, ¿la aplicación de Tailwind Traders predecirá resultados futuros a partir de datos históricos privados? No. Aunque sería posible crear un modelo de aprendizaje automático para realizar la traducción a varios idiomas, sería costoso y lento para Tailwind Traders intentar compilar sus propios modelos de traducción. No tienen la competencia en aprendizaje profundo ni los datos lingüísticos necesarios para entrenar los modelos. Ahora que hemos examinado todos los criterios de los expertos, podemos seleccionar con confianza Cognitive Services como la mejor opción de producto para este escenario.

Uso de Bot Service para experiencias interactivas de chat El departamento de atención al cliente ha solicitado durante mucho tiempo un agente virtual para que se ocupe de la inmensa mayoría de las preguntas que se le pidan. Parece ser que, a pesar de destacar las respuestas a las preguntas más frecuentes en el sitio web, los compradores son impacientes y creen que contactar mediante una ventana de chat les ahorra tiempo.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección del mejor servicio de IA para sus necesidades  113

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

114  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

El equipo de atención al cliente desea que el comprador se sienta como si estuviera interactuando con un ser humano real. Cuando quede claro que el agente virtual no puede proporcionar una respuesta a la pregunta, la sesión de chat se debería transferir a un agente humano. Un agente virtual reduciría la cantidad de tiempo que tardan los compradores en recibir respuestas. El agente virtual podría responder a la inmensa mayoría de las preguntas, lo que permitiría a los agentes del servicio de atención al cliente proporcionar soporte técnico a preguntas más difíciles o problemas relacionados con las cuentas.

¿Qué servicio deberíamos elegir? Una vez más, vamos a aplicar los criterios de decisión que hemos aprendido en la unidad anterior para encontrar el producto adecuado. En primer lugar, ¿Tailwind Traders está creando un agente virtual que interactúa con seres humanos mediante el lenguaje natural? Sí. Azure Bot Service debería usarse en este escenario para implementar una experiencia de chat de agente virtual. Bot Service podría beneficiarse de la página de preguntas más frecuentes del sitio web junto con miles de sesiones de chat almacenadas entre compradores y representantes del servicio al cliente. Los supervisores del servicio de atención al cliente pueden probar y retocar las respuestas para seguir refinando la experiencia de chat. Aunque es probable que hayamos encontrado la mejor opción para este escenario, vamos a seguir aplicando nuestros criterios de decisión para ver si hay opciones adicionales que también podamos usar. En segundo lugar, ¿Tailwind Traders necesita un servicio que pueda comprender el contenido y el significado de imágenes, vídeos y audios o traducir texto a un idioma diferente? Posiblemente, sí. En este escenario, Azure Cognitive Services podría usarse junto con Bot Service para compilar la solución. Los desarrolladores podrían explorar el uso de soluciones precompiladas como QnA Maker (parte de Cognitive Services) o Power Virtual Agents para acelerar la implementación de la característica. Además, cualquier solución de bot de Azure podría implementar varios servicios de Azure Cognitive Services, como Language Understanding (LUIS) y, posiblemente, Translator Text para traducir del idioma del comprador al inglés y viceversa. En tercer lugar, ¿Tailwind Traders necesita predecir el comportamiento del usuario o proporcionar recomendaciones personalizadas a los usuarios? No, el servicio Personalizer de Azure Cognitive Services no es un buen candidato para este escenario. Por último, ¿la aplicación de Tailwind Traders predecirá resultados futuros a partir de datos históricos privados? No. Aunque es posible crear una solución de chat con Azure Machine Learning dado que Tailwind Traders tiene datos históricos para alimentar un modelo, ya existe una opción que está adaptada a la experiencia del bot de chat.

Elección de las mejores herramientas para ayudar a que las organizaciones creen mejores soluciones Introducción

Las prácticas modernas de desarrollo de software son compatibles con herramientas que abarcan prácticamente todos los aspectos del ciclo de vida de desarrollo de software. Microsoft ha creado un completo conjunto de herramientas que ayudan a las organizaciones a implementar prácticas de DevOps, compilar soluciones y ahorrar dinero al desarrollarlas. En este módulo aprenderá a elegir las herramientas adecuadas para admitir dichas prácticas. Tailwind Traders ha experimentado con varios procesos y herramientas de desarrollo de software, pero, hasta ahora, no se ha producido ningún compromiso de la organización para cambiar a una mentalidad DevOps. Del mismo modo, no hay ningún esfuerzo previsto y coordinado para normalizar el uso de un conjunto de herramientas y procesos principales. Varias iniciativas nuevas de la empresa ponen de relieve la necesidad de una administración e implementación ágiles, repetibles y confiables de sistemas de software. Tailwind Traders considera que la adopción de herramientas y prácticas de DevOps es fundamental para su éxito futuro. En este módulo, descubrirá las diferentes herramientas de proceso de desarrollo de software de Microsoft. Explorará los criterios que usarían los expertos para tomar la decisión correcta. Y observará diferencias clave entre ofertas similares. Al final de este módulo, podrá elegir las herramientas y servicios de proceso de desarrollo de software que mejor se ajusten a los objetivos y prácticas de su organización.

Objetivos de aprendizaje Al finalizar este módulo, podrá: ●● Elegir los mejores servicios y herramientas para los procesos de desarrollo de software para un escenario empresarial determinado.

Requisitos previos ●● Es importante contar con experiencia en desarrollo u operaciones, pero no es necesario. ●● Le resultaría útil estar familiarizado con el concepto de DevOps, su mayor ámbito de uso en la organización, sus objetivos, sus resultados, etc. ●● Del mismo modo, estar familiarizado con conceptos como el ciclo de vida de desarrollo de software, la administración de código fuente o el control de versiones, las distintas formas de realización de pruebas, la integración continua y la entrega continua, la implementación continua, la infraestructura como código, etc., le ayudará a comprender de inmediato el valor de las herramientas que se describen en este módulo.

Descripción de las opciones de productos

Los desarrolladores de software y los profesionales de operaciones se esfuerzan por crear sistemas de software que funcione que satisfagan las necesidades de la organización. Pero, a veces, los propósitos de

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de las mejores herramientas para ayudar a que las organizaciones creen mejores soluciones  115

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

116  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

sus objetivos a corto plazo se cruzan entre sí, lo que da lugar a problemas técnicos, retrasos y tiempos de inactividad. DevOps es un nuevo enfoque que ayuda a alinear los equipos técnicos para que trabajen para conseguir un objetivo común. Para lograrlo, las organizaciones emplean prácticas y procesos que buscan automatizar el desarrollo, el mantenimiento y la implementación continuos de sistemas de software con el fin de agilizar el lanzamiento de los cambios de software, garantizar la implementación continua del sistema y asegurar que todos los cambios cumplen un nivel alto de calidad. Cuando se llevan a cabo correctamente, las prácticas y los procesos de DevOps tocan casi todos los aspectos de la empresa, por no mencionar el ciclo de vida de desarrollo de software, incluida la planificación, la administración de proyectos y la colaboración entre desarrolladores de software, así como con equipos de operaciones y de control de calidad. Las herramientas automatizan y aplican la mayoría de las prácticas y procesos, lo que dificulta y hace que sea innecesario buscar una solución alternativa. DevOps requiere un cambio de mentalidad fundamental de arriba abajo. Las organizaciones no pueden limitarse a instalar herramientas de software ni adoptar servicios y esperar obtener todas las ventajas que promete DevOps. Pero en este módulo solo nos centraremos en las herramientas de Microsoft que pueden ayudarle a conseguir algunos de los objetivos de DevOps. Como alternativa, en el caso de organizaciones que no están preparadas para adoptar completamente la eficacia de DevOps, pueden admitir equipos técnicos en sus actividades de desarrollo en la nube. Si le interesa obtener más información sobre DevOps en general, Microsoft Learn tiene varios módulos y rutas de aprendizaje4 que pueden ayudarle. Microsoft ofrece herramientas para habilitar la administración de código fuente, la integración continua y la entrega continua, y la automatización de la creación de entornos de prueba. A veces parece que las funcionalidades de estas herramientas se superponen, por lo que en este módulo conocerá las opciones de producto y cuándo elegir un producto en lugar de otro.

Opciones de producto A nivel general, hay tres ofertas principales, cada una de las cuales tiene como objetivo un audiencia y un caso de uso específicos, y proporcionan un conjunto diverso de herramientas, servicios, API de programación, etc.

Azure DevOps Services Azure DevOps es un conjunto de servicios que aborda cada fase del ciclo de vida de desarrollo de software (SDL). ●● Azure Repos es un repositorio de código fuente centralizado en el que los profesionales de desarrollo de software, ingeniería DevOps y documentación pueden publicar su código para su revisión y colaboración. ●● Azure Boards es un conjunto de administración de proyectos ágil que incluye paneles Kanban, informes, ideas de seguimiento y trabajo desde categorías epopeya de alto nivel hasta incidencias y elementos de trabajo. ●● Azure Pipelines es una herramienta de automatización de canalizaciones de integración continua o entrega continua (CI/CD). ●● Azure Artifacts es un repositorio para hospedar artefactos (por ejemplo, el código fuente compilado), que se puede incluir en los pasos de canalización de pruebas o de implementación.

4

https://docs.microsoft.com/learn/browse/?terms=DevOps&azure-portal=true

●● Azure Test Plans es una herramienta de pruebas automatizadas que se puede usar en una canalización de CI/CD para garantizar la calidad antes de publicar el software. Azure DevOps es una herramienta madura con un amplio conjunto de características que comenzó inicialmente como software de servidor local y evolucionó a una oferta de software como servicio (SaaS) de Microsoft.

GitHub y Acciones de GitHub GitHub es posiblemente el repositorio de código más popular del mundo para el software de código abierto. Aunque Git es una herramienta de administración de código fuente descentralizada, GitHub es una versión hospedada de Git que actúa como el repositorio remoto principal. GitHub se basa en Git para proporcionar servicios relacionados con la coordinación del trabajo, la generación de informes y discusión de incidencias, la entrega de documentación, etc. Incluye la siguiente funcionalidad: ●● Repositorio de código fuente compartido, incluidas herramientas que permiten que los desarrolladores realicen revisiones de código agregando comentarios y preguntas en una vista web del código fuente antes de que se pueda combinar en la base de código principal. ●● Administración de proyectos, incluidos los paneles Kanban. ●● Emisión de informes, discusiones y seguimiento. ●● Herramientas de automatización de canalizaciones de integración continua o de implementación continua (CI/CD). ●● Una wiki para la documentación colaborativa. ●● Se puede ejecutar desde la nube o localmente. Más relevante para este módulo, Acciones de GitHub permite la automatización del flujo de trabajo con desencadenadores para muchos eventos del ciclo de vida, por ejemplo, la automatización de una cadena de herramientas de integración continua e implementación continua. Una cadena de herramientas es una combinación de herramientas de software que ayudan en la entrega, desarrollo y administración de aplicaciones de software a lo largo del ciclo de vida del desarrollo de sistemas. La salida de una herramienta en la cadena de herramientas es la entrada de la siguiente herramienta en la cadena de herramientas. Las herramientas típicas van desde las que realizan actualizaciones de dependencia automatizadas, hasta la creación y configuración del software, la entrega de los artefactos de compilación a diferentes ubicaciones, las distintas formas de pruebas, etc. Con tantas características similares a las de Azure DevOps, es posible que dude sobre cuál elegir para su organización. Lamentablemente, es posible que no haya una respuesta clara a esta pregunta. Aunque tanto Azure DevOps como GitHub permiten repositorios de código públicos y privados, GitHub tiene un largo historial de confianza con repositorios públicos y en él confían decenas de miles de proyectos de código abierto. GitHub es “más ligero” que Azure DevOps, y se centra en los desarrolladores individuales que contribuyen con el código abierto. Por otro lado, Azure DevOps se centra en el desarrollo empresarial con herramientas de planeamiento y administración de proyectos más pesadas, y un control de acceso más específico. Nota: Es importante tener en cuenta que no está limitado a elegir entre Azure DevOps Services o GitHub y Acciones de GitHub. En la práctica, puede mezclar y combinar estos servicios en función de sus necesidades. Por ejemplo, puede usar los repositorios de GitHub con Azure Boards para el seguimiento de los elementos de trabajo.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de las mejores herramientas para ayudar a que las organizaciones creen mejores soluciones  117

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

118  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Azure DevTest Labs Azure DevTest Labs proporciona un medio automatizado para administrar el proceso de compilación, configuración y anulación de máquinas virtuales que contienen las compilaciones de los proyectos de software para que los desarrolladores y evaluadores puedan realizar pruebas en diferentes entornos y compilaciones. Y no se limita a las máquinas virtuales. Cualquier cosa que se pueda implementar en Azure a través de una plantilla de Resource Manager se puede aprovisionar a través de DevTest Labs. El aprovisionamiento de entornos de laboratorio creados previamente con las herramientas y configuraciones necesarias ya instaladas supone un gran ahorro de tiempo para los profesionales y desarrolladores de control de calidad. Supongamos que necesita probar una nueva característica en una versión anterior de un sistema operativo. Azure DevTest Labs puede configurar todo automáticamente a petición. Una vez completadas las pruebas, DevTest Labs puede apagar y desaprovisionar la máquina virtual para ahorrar dinero cuando no esté en uso. La administración puede restringir el número de laboratorios que se pueden crear, el tiempo de ejecución, etc., para controlar los costes.

Análisis de los criterios de decisión

En esta unidad, analizará los criterios que emplean los expertos para elegir un servicio o una herramienta de DevOps para una determinada necesidad empresarial. Comprender estos criterios también puede ayudar a entender mejor las diferencias de cada producto.

¿Necesita automatizar y administrar la creación de laboratorios de pruebas? Si su objetivo es automatizar la creación y administración de entornos de laboratorio de pruebas, debe elegir Azure DevTest Labs. Es la única herramienta o servicio de las tres que ofrece esta funcionalidad. Pero el aprovisionamiento de nuevos laboratorios se puede automatizar como parte de una cadena de herramientas mediante Azure Pipelines o Acciones de GitHub.

¿Está compilando software de código abierto? Aunque Azure DevOps puede publicar repositorios de código públicos, GitHub es desde hace tiempo el host para el software de código abierto. Si va a compilar software de código abierto, es probable que elija GitHub si no tiene ningún otro motivo que la visibilidad y la aceptación general de la comunidad de desarrollo de código abierto. Los demás criterios de decisión son específicos para elegir entre Azure DevOps o GitHub. Nota: No está limitado a elegir entre Azure DevOps Services o GitHub y Acciones de GitHub. En la práctica, puede mezclar y combinar estos servicios en función de sus necesidades. Por ejemplo, puede usar los repositorios de GitHub con Azure Boards para el seguimiento de los elementos de trabajo.

En cuanto a la administración de código fuente y las herramientas de DevOps, ¿qué nivel de granularidad necesita para los permisos? GitHub funciona en un modelo simple de permisos de lectura y escritura para cada característica, mientras que Azure DevOps tiene un conjunto de permisos mucho más pormenorizado que permite a las

organizaciones restringir quién puede realizar la mayoría de las operaciones en todo el conjunto de herramientas.

Con respecto a la administración de código fuente y las herramientas de DevOps, ¿cómo de sofisticados han de ser los informes y la administración de proyectos? Mientras GitHub tiene elementos de trabajo, incidencias y un panel Kanban, la administración de proyectos y generación de informes es el área en la que destaca Azure DevOps. Azure DevOps es muy personalizable, lo que permite que un administrador agregue campos personalizados para capturar metadatos y otra información con cada elemento de trabajo. Por el contrario, las incidencias de GitHub usan etiquetas como medio principal para ayudar a un equipo a clasificar los problemas.

En lo que respecta a la administración de código fuente y las herramientas de DevOps, ¿qué grado de integración con herramientas de terceros necesita? Aunque no hay ninguna recomendación específica al respecto, es importante comprender las inversiones existentes en herramientas y servicios de su organización, y evaluar cómo pueden afectar a su elección estas dependencias. Es probable que la mayoría de los proveedores que crean herramientas de DevOps creen enlaces o API que puedan sacar provecho de Azure Pipelines y Acciones de GitHub. Aun así, es probable que merezca la pena el esfuerzo de validar esa hipótesis.

Uso de Azure DevOps para administrar el ciclo de vida de desarrollo de aplicaciones

El equipo de desarrollo de software de Tailwind Traders trabaja en muchos proyectos diferentes, tanto para uso interno como externo. Necesitan proporcionar a los directivos y los patrocinadores del proyecto informes de nivel ejecutivo, incluido gráficos de evolución, realizar un seguimiento del progreso con las epopeyas y realizar un seguimiento de la información personalizada específica de Tailwind Traders en cada informe de errores y elemento de trabajo. Además, a medida que Tailwind Traders crece y contrata a contratistas y proveedores externos para trabajo a corto plazo, el equipo directivo quiere asegurarse de que estas personas tienen acceso únicamente a la información que necesitan para realizar su trabajo.

¿Qué servicios deberíamos elegir? Vamos a aplicar los criterios de decisión que hemos aprendido en la unidad anterior para encontrar la opción adecuada. En primer lugar, ¿Tailwind Traders necesita automatizar y administrar la creación de laboratorios de pruebas? No. Por lo tanto, en este escenario, Azure DevTest Labs no es un candidato, ya que no está diseñado para este caso de uso específico. En segundo lugar, ¿Tailwind Traders compila software de código abierto? Aunque no se indica específicamente, Tailwind Traders crea sistemas internos y externos, como su sistema de comercio electrónico, que no es de código abierto. Por lo tanto, esto no es un aspecto a tener en cuenta en este escenario. En tercer lugar, ¿qué nivel de granularidad requiere Tailwind Traders para los permisos? En el primer párrafo, se indicó que Tailwind Traders contratará a empleados y proveedores temporales para el trabajo

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de las mejores herramientas para ayudar a que las organizaciones creen mejores soluciones  119

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

120  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

a corto plazo, por lo que la asignación de permisos específicos es un aspecto importante que el equipo directivo tiene en consideración. En función de lo que hemos hablado en la unidad anterior, esta característica haría que Azure DevOps fuese el candidato principal. Con Azure DevOps, los administradores también disponen de un conjunto de opciones más sólido para controlar los permisos en toda la cartera de trabajo. En cuarto lugar, ¿necesita Tailwind Traders una solución de generación de informes y administración de proyectos sofisticada? Sí, las características sólidas de administración de proyectos y de generación de informes son unas de las principales consideraciones. De nuevo, dada la cantidad de personalización de elementos de trabajo y generación de informes que quieren, es probable que Azure DevOps sea una buena opción. En quinto lugar, ¿necesita Tailwind Traders una integración estrecha con alguna herramienta de DevOps de terceros? La integración de herramientas no aparecía como consideración principal para este escenario. Como se indicó en la unidad anterior, la mayoría de las herramientas de DevOps de terceros se integran tanto con Azure DevOps como con GitHub, por lo que es probable que encuentren las herramientas que necesitan para la funcionalidad específica requerida.

Uso de GitHub para contribuir al software de código abierto

Tailwind Traders espera publicar una API que permita a terceros integrar sus propios inventarios de elementos nuevos y usados que permitirían a Tailwind Traders ofrecer una amplia variedad de productos directamente desde su sitio de comercio electrónico. Mientras que la implementación interna de la API es un origen cerrado, Tailwind Traders quiere crear un conjunto de ejemplos que llamen a la API para realizar diversas acciones. Necesitan una plataforma para compartir código de ejemplo, recopilar comentarios sobre la API, permitir a los colaboradores informar de problemas y crear una comunidad en torno a las solicitudes de características.

¿Qué servicio deberíamos elegir? Igual que hemos hecho anteriormente, vamos a aplicar los criterios de decisión que hemos aprendido en la unidad anterior para encontrar la opción adecuada. En primer lugar, ¿Tailwind Traders necesita automatizar y administrar la creación de laboratorios de pruebas? No. Por lo tanto, en este escenario, Azure DevTest Labs no es un candidato, ya que no está diseñado para este caso de uso específico. En segundo lugar, ¿Tailwind Traders compila software de código abierto? Sí. Como se mencionó en una unidad anterior, los desarrolladores están habituados a ver este tipo de contenido disponible en GitHub. Con GitHub, Tailwind Traders puede publicar su código, aceptar contribuciones de la comunidad para mejorar los ejemplos de código, aceptar comentarios e informes de errores, etc. El hecho de que este escenario implique código abierto, hace que GitHub sea el candidato principal. En tercer lugar, ¿qué nivel de granularidad requiere Tailwind Traders para los permisos? Aunque no se indique explícitamente, el hecho de que Tailwind Traders acepte contribuciones de la comunidad, emita informes y, por lo general, intente crear una comunidad de desarrolladores en torno a los ejemplos de API, las necesidades de permisos son básicas: los usuarios pueden “ver solamente” o "ver y escribir". Este es otro motivo por el que GitHub sería un buen candidato para este escenario. En cuarto lugar, ¿necesita Tailwind Traders una solución de generación de informes y administración de proyectos sofisticada? De nuevo, dada la naturaleza de este proyecto, no requiere una solución de

generación de informes y administración de proyectos sofisticada. En este escenario, no se requiere una de las mayores ventajas de Azure DevOps Services. En quinto lugar, ¿necesita Tailwind Traders una integración estrecha con alguna herramienta de DevOps de terceros? La integración de herramientas no aparecía como consideración principal para este escenario y no hace que se acepte ni descarte ninguna herramienta. GitHub es la mejor opción para este escenario. Aunque se podría usar Azure DevOps para que el repositorio sea público, algunas de las otras características que afectan a la comunidad de desarrollo como los comentarios, los informes de errores, etc., serían menos accesibles.

Uso de Azure DevTest Labs para administrar entornos de prueba

Tailwind Traders quiere ser más metódico y cuidadoso al enviar a producción nuevas versiones de su sitio web de comercio electrónico. Ampliará su equipo de control de calidad y usará la nube para crear y hospedar máquinas virtuales con el fin de crear entornos de prueba que coincidan con el entorno de producción. La administración tiene dudas sobre los costes de un entorno de prueba más automatizado. Por ejemplo, quiere asegurarse de que los profesionales de control de calidad no pierdan tiempo configurando el entorno de pruebas para que coincida con el entorno de producción. Quieren asegurarse de que las máquinas virtuales se destruyen cuando ya no se usen. Quieren limitar el número de máquinas virtuales que puede poner en marcha cada profesional de control de calidad. Además, quieren asegurarse de que cada entorno esté configurado correctamente y de forma coherente con el entorno de producción.

¿Qué servicio deberíamos elegir? Una vez más, comenzaremos por aplicar los criterios de toma de decisiones que hemos aprendido en la unidad anterior para encontrar el producto adecuado. En primer lugar, ¿Tailwind Traders necesita automatizar y administrar la creación de laboratorios de pruebas? Sí. Parece que se trata de un trabajo para Azure DevTest Labs ya que, literalmente, hará todo lo que Tailwind Traders necesita llevar a cabo en este escenario. Podríamos seguir evaluando los criterios de decisión anteriores, pero Azure DevOps y GitHub no son necesarios para este escenario específico. Recuerde que Azure DevOps o GitHub podrían usarse para crear versiones de producto que se pueden incluir automáticamente en las máquinas virtuales creadas con fines de prueba.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de las mejores herramientas para ayudar a que las organizaciones creen mejores soluciones  121

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

122  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Elección del mejor servicio de supervisión para visibilidad, información y mitigación de interrupciones Introducción

Los sistemas de software modernos que se ejecutan en la nube son complejos, por lo que conocer el estado y el rendimiento de su entorno de hospedaje de aplicaciones, con todos sus niveles de servicios, supone todo un reto. Afortunadamente, Microsoft ofrece varias soluciones que le ayudan a reaccionar rápidamente ante interrupciones, investigar problemas intermitentes, optimizar el uso y mantener una actitud proactiva en el control de los tiempos de inactividad planeados. Tailwind Traders es una empresa tradicional dedicada a la venta minorista de materiales de construcción. Debido al gran crecimiento que ha experimentado con la venta de productos por Internet, quiere poner en práctica un sistema de control que refuerce su entorno en la nube. La empresa se enfrenta a varios desafíos, desde el deseo de optimizar el gasto en la nube y la posición de seguridad, hasta el seguimiento de problemas intermitentes y la planeación por adelantado de interrupciones futuras. No obstante, necesitan ayuda para elegir el producto adecuado para estos escenarios. En este módulo, obtendrá información sobre las distintas soluciones de supervisión de Microsoft, y analizará los criterios de decisión que los expertos usan para seleccionar el servicio adecuado para un escenario determinado.

Objetivos de aprendizaje Al finalizar este módulo, podrá: ●● Elegir el servicio de supervisión en la nube adecuado para abordar distintos tipos de retos empresariales.

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

Identificación de las opciones de productos Hay varias cuestiones básicas que han de plantearse todas las empresas que usan la nube.

●● ¿Usamos la nube correctamente? ¿Podemos aumentar el rendimiento sin incrementar el gasto en la nube? ●● ¿Gastamos más de lo necesario? ●● ¿Protegemos correctamente nuestros sistemas? ●● ¿Qué resistencia tienen nuestros recursos? Si se produce una interrupción en la región, ¿podríamos conmutar por error a otra región? ●● ¿Cómo se pueden diagnosticar y corregir los problemas que se producen de forma intermitente? ●● ¿Cómo podemos determinar rápidamente la causa de una interrupción?

●● ¿Cómo podemos aprender a planear el tiempo de inactividad? Afortunadamente, gracias a una combinación de soluciones de supervisión de Azure, puede obtener respuestas, información y alertas que le ayudan a asegurarse de que la nube está optimizada, que es capaz de determinar la causa principal de los problemas no planeados y que puede preparar con antelación las interrupciones planeadas.

Opciones de producto A nivel general, hay tres ofertas de supervisión principales; cada una de ellas tiene como objetivo un público y un caso de uso específicos, y proporciona un conjunto diverso de herramientas, servicios, API de programación, etc.

Azure Advisor Azure Advisor5 evalúa los recursos de Azure y hace recomendaciones que contribuyen a mejorar la confiabilidad, la seguridad y el rendimiento, lograr la excelencia operativa y reducir los costes. Advisor está diseñado para ayudarle a ahorrar tiempo en la optimización en la nube. El servicio de recomendaciones sugiere medidas que puede adoptar de inmediato, posponer o descartar. Las recomendaciones están disponibles a través de Azure Portal y de la API. Además, es posible configurar notificaciones para estar al tanto de las nuevas recomendaciones. El panel Advisor de Azure Portal muestra recomendaciones personalizadas para todas las suscripciones, y los filtros permiten centrarse en las recomendaciones específicas de una suscripción, grupo de recursos o servicio. Las recomendaciones se dividen en cinco categorías: ●● Confiabilidad: se usa para garantizar y mejorar la continuidad de las aplicaciones críticas para la empresa. ●● Seguridad: se usa para detectar amenazas y vulnerabilidades que podrían conducir a vulneraciones de la seguridad. ●● Rendimiento: se usa para mejorar la velocidad de las aplicaciones. ●● Coste: se usa para optimizar y reducir el gasto general de Azure. ●● Excelencia operativa: se usa para aumentar la eficiencia de procesos y flujos de trabajo, mejorar la administración de recursos y aplicar los procedimientos recomendados para la implementación.

Azure Monitor Azure Monitor6 es una plataforma que permite recopilar, analizar y mostrar datos, así como llevar a cabo acciones en función de las métricas y los datos registrados en todo el entorno local y de Azure. El diagrama siguiente muestra lo completo que es Azure Monitor.

5 6

https://azure.microsoft.com/services/advisor/?azure-portal=true https://azure.microsoft.com/services/monitor/?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección del mejor servicio de supervisión para visibilidad, información y mitigación de interrupciones  123

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

124  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

En primer lugar, a la izquierda puede ver el origen de los datos de métricas y registros, que pueden recopilarse en cada nivel de la arquitectura de aplicaciones (desde la aplicación hasta el sistema operativo y la red). En el centro, puede ver cómo se almacenan los datos de registro y métricas en los repositorios centrales. A la derecha, los datos se usan de diferentes maneras. Puede ver el rendimiento histórico y en tiempo real de cada nivel de la arquitectura, o bien consultar información combinada y detallada. Los datos se muestran en diferentes niveles para distintas audiencias. Puede ver informes de alto nivel en el panel de Azure Monitor o crear vistas personalizadas mediante consultas de Power BI y Kusto. Además, los datos se pueden usar para reaccionar ante eventos críticos en tiempo real gracias a las alertas enviadas a los equipos por SMS, correo electrónico, etc. También hay la opción de usar umbrales que, en caso de aumento o disminución de la demanda, desencadenen la funcionalidad de escalado automático. Algunos productos populares como Azure Application Insights (servicio que envía información de telemetría desde el código fuente de la aplicación a Azure) usan Azure Monitor en segundo plano. Application Insights permite a los desarrolladores de aplicaciones aprovechar la completa plataforma de análisis de datos de Azure Monitor para proporcionar información detallada sobre las operaciones de una aplicación y diagnosticar errores sin tener que esperar a que un usuario informe de ellos.

Azure Service Health Azure Service Health7 proporciona una vista personalizada del estado de los servicios, regiones y recursos de Azure en los que se basa su infraestructura. El sitio status.azure.com no proporciona toda la información porque solo muestra los problemas principales que afectan ampliamente a los clientes de Azure. Por otro lado, Service Health le muestra todo lo que le afecta, tanto los problemas importantes como los más pequeños y localizados. Los problemas del servicio son poco frecuentes, pero es importante estar preparado para lo inesperado. Por ello, puede configurar alertas que le ayuden a evaluar las interrupciones y el mantenimiento planeado. Después de una interrupción, el servicio proporciona un 7

https://azure.microsoft.com/features/service-health/?azure-portal=true

informe oficial sobre el incidente que se puede compartir con las partes interesadas. Este informe se denomina “Análisis de causa raíz” o RCA. Se pueden supervisar distintos tipos de eventos: ●● Problemas de servicio: son problemas de Azure que le afectan en este momento. Por ejemplo, cortes de luz. Puede obtener más detalles sobre los servicios y regiones que se han visto afectados, información de los equipos de ingeniería, y la manera en que puede compartir y realizar un seguimiento de los datos más recientes. ●● Mantenimiento planeado: este tipo de eventos pueden afectar a la disponibilidad. Puede obtener más detalles sobre los servicios y regiones que se han visto afectados y detalles sobre cómo le afecta y lo que debe hacer. La mayoría de estos eventos se llevan a cabo sin que le afecte en ningún modo y no se mostrarán aquí. En el caso excepcional de que se requiera un reinicio, Service Health le permitirá elegir cuándo realizar el mantenimiento para minimizar el tiempo de inactividad. ●● Avisos de estado: son problemas que exigen actuar para evitar la interrupción del servicio, e incluyen retiradas del servicio y cambios importantes. Los avisos de estado se anuncian con mucha antelación para que pueda planear su respuesta.

Análisis de los criterios de decisión

En esta unidad, analizaremos los criterios que siguen los expertos a la hora de elegir un servicio de inteligencia artificial (IA) de Azure para una determinada necesidad empresarial. Comprender estos criterios también puede ayudar a entender mejor las diferencias de cada producto.

¿Necesita analizar su uso de Azure para reducir los costes? ¿Mejorar la resistencia? ¿Fortalecer la seguridad? Elija Azure Advisor si quiere realizar un análisis de los recursos implementados. Azure Advisor analiza la configuración y el uso de los recursos, y ofrece sugerencias sobre cómo optimizar la confiabilidad, la seguridad, el rendimiento, los costes y las operaciones según los procedimientos recomendados por los expertos.

¿Quiere supervisar los servicios de Azure o el uso de Azure? Si quiere mantener un control de Azure, especialmente de aquellos servicios y regiones de los que dependa, debe visitar Azure Service Health. Verá el estado actual de los servicios de Azure de los que depende, los siguientes cortes planeados y los próximos servicios que saldrán a la luz. Puede configurar alertas para estar al día de incidentes y tiempos de inactividad futuros sin tener que visitar el panel periódicamente. No obstante, si quiere hacer un seguimiento del rendimiento o de los problemas relacionados con la máquina virtual o las instancias de contenedor, las bases de datos, las aplicaciones, etc., entonces le conviene visitar Azure Monitor y crear informes y notificaciones que le ayuden a comprender el rendimiento de los servicios o a diagnosticar problemas relacionados con su uso de Azure.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección del mejor servicio de supervisión para visibilidad, información y mitigación de interrupciones  125

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

126  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

¿Quiere medir eventos personalizados junto con otras métricas de uso? Elija Azure Monitor si quiere medir eventos personalizados y otros datos de telemetría recopilados. Los eventos personalizados, como los agregados al código fuente de las aplicaciones de software, pueden ayudar a identificar y diagnosticar la razón por la que la aplicación se comporta de una manera determinada.

¿Necesita configurar alertas para las interrupciones o para cuando el escalado automático está a punto de implementar nuevas instancias? De nuevo, use Azure Monitor para configurar alertas de eventos clave relacionados con sus recursos específicos.

Uso de Azure Advisor

En Tailwind Traders quieren optimizar el gasto en la nube. Además, están preocupados por las vulneraciones de seguridad, ya que la información de sus clientes y los datos del historial de compras están almacenados en bases de datos en la nube. A medida que aumentan su conocimiento de la nube, quieren comprender mejor el uso que hacen de ella, conocer los procedimientos recomendados e identificar soluciones fáciles que permitan ajustar el gasto en la nube y reforzar sus prácticas de seguridad.

¿Qué servicio deberíamos elegir? Vamos a aplicar los criterios de decisión que hemos aprendido en la unidad anterior para encontrar la opción adecuada. La primera pregunta que debemos hacernos en este escenario es: ¿Tailwind Traders necesita analizar su uso de Azure en aras de la optimización? Sí, en Tailwind Traders creen que gastan demasiado y están preocupados por sus prácticas de seguridad. Por tanto, les gustaría analizar su uso de la nube cotejándolo con los procedimientos recomendados del sector. Por lo tanto, Azure Advisor es la opción perfecta para este escenario. Aunque ya hayamos encontrado el producto adecuado, vamos a seguir analizando nuestros criterios de decisión para este escenario. La segunda pregunta que debemos hacernos es: ¿Tailwind Traders quiere supervisar el estado de los servicios de Azure que afectan a todos los clientes o a los recursos implementados en Azure? En este escenario, las operaciones no son importantes. No obstante, Azure Advisor analiza y proporciona recomendaciones para lograr la excelencia operativa. La tercera pregunta es: ¿Tailwind Traders quiere medir los eventos personalizados junto con otras métricas de uso? La respuesta es no; la medición de eventos personalizados no se menciona como requisito y no se considera en este escenario. Y la cuarta pregunta: ¿Tailwind Traders quiere configurar alertas para cuando se produzca una interrupción o el escalado automático esté a punto de implementar nuevas instancias? De nuevo, las operaciones no son importantes en este escenario. No obstante, Azure Advisor analiza y proporciona recomendaciones para lograr la excelencia operativa.

Azure Advisor es la opción de producto adecuada para ayudar a Tailwind Traders a optimizar y entender mejor su gasto y su postura de seguridad en la nube. Además, puede serles útil en otras áreas de la nube.

Uso de Azure Monitor

El sitio web de comercio electrónico de Tailwind Traders está experimentando errores intermitentes y se desconoce el motivo. Dada la naturaleza de los errores, sospechan que se trata de un problema de la base de datos o del almacenamiento en caché. ¿Cuáles son las circunstancias que rodean los errores? ¿Solo sucede durante las horas máximo tráfico? ¿Cuál es el estado de su instancia de Azure SQL? ¿Cuál es el estado de su servidor de almacenamiento en caché de Redis? ¿Cómo pueden hacer un seguimiento de los problemas hasta su causa raíz?

¿Qué servicio deberíamos elegir? Igual que hemos hecho anteriormente, vamos a aplicar los criterios de decisión que hemos aprendido en la unidad anterior para encontrar la opción adecuada. La primera pregunta que debemos hacernos en este escenario es: ¿Tailwind Traders necesita analizar su uso de Azure en aras de la optimización? No, la optimización no es su objetivo en este escenario, por lo que Azure Advisor no es el candidato adecuado. La segunda pregunta que debemos hacernos es: ¿Tailwind Traders quiere supervisar el estado de los servicios de Azure que afectan a todos los clientes o a los recursos implementados en Azure? Dado que este problema se produce de forma intermitente, no es probable que afecte a todo un servicio o a toda una región de Azure. Es más probable que haya un problema de lógica en alguna parte del código del sitio web de comercio electrónico, o bien algún otro problema que provoque errores en la base de datos o bloqueos de almacenamiento en caché. En este escenario, podría usarse Azure Monitor para identificar una sesión de usuario específica y examinar el rendimiento de cada servicio implicado en el problema para determinar la causa subyacente. La tercera pregunta es: ¿Tailwind Traders quiere medir los eventos personalizados junto con otras métricas de uso? Sí, los desarrolladores de software pueden enviar información adicional sobre el estado de la aplicación web a través de Application Insights para ayudar a localizar la causa principal del problema. Application Insights se basa en la plataforma de Azure Monitor para almacenar información de eventos personalizados. Y la cuarta pregunta: ¿Tailwind Traders quiere configurar alertas para cuando se produzca una interrupción o el escalado automático esté a punto de implementar nuevas instancias? No, las alertas no son su objetivo en este escenario. Azure Monitor es la mejor opción para que Tailwind Traders realice un seguimiento de este problema intermitente. Pueden usar una gran cantidad de herramientas para obtener información detallada sobre el rendimiento de la aplicación en un nivel alto y profundizar en los problemas específicos.

Uso de Azure Service Health

Tailwind Traders quiere que su entorno en la nube sea operativo. En concreto, el equipo de operaciones de la nube quiere que las partes interesadas conozcan de antemano cuándo se producirá el próximo tiempo de inactividad planeado. También quieren que sus arquitecturas de soluciones estén al tanto de cuáles son los servicios que Microsoft planea retirar, de manera que puedan rediseñar sus productos de software en consecuencia. Además, cuando se producen interrupciones, quieren averiguar rápidamente si el problema es específico de sus servicios o si se trata de una interrupción del servicio que afecta a muchos clientes de Azure.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección del mejor servicio de supervisión para visibilidad, información y mitigación de interrupciones  127

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

128  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

También quieren que los principales interesados reciban informes sobre las interrupciones en los que se explique cómo y por qué se ha producido el incidente, entre otra información.

¿Qué servicio deberíamos elegir? Una vez más, vamos a aplicar los criterios de decisión que hemos aprendido en la unidad anterior para encontrar el producto adecuado. La primera pregunta que debemos hacernos en este escenario es: ¿Tailwind Traders necesita analizar su uso de Azure en aras de la optimización? No, no en este caso. En ese caso, Azure Advisor no es un candidato para este escenario. La segunda pregunta que debemos hacernos es: ¿Tailwind Traders quiere supervisar el estado de los servicios de Azure que afectan a todos los clientes o a los recursos implementados en Azure? En este escenario, el requisito es estar al tanto de cuándo se producirá el próximo tiempo de inactividad planeado. Además, quieren capturar informes de incidentes oficiales. Por esta razón, Azure Service Health es la opción más sólida para este escenario. Aunque es probable que se elija Azure Service Health, vamos a seguir evaluando los criterios de decisión restantes. La tercera pregunta es: ¿Tailwind Traders quiere medir los eventos personalizados junto con otras métricas de uso? La respuesta es no; la medición de eventos personalizados no se menciona como requisito y no se considera en este escenario. Y la cuarta pregunta: ¿Tailwind Traders quiere configurar alertas para cuando se produzca una interrupción o el escalado automático esté a punto de implementar nuevas instancias? La configuración de alertas para interrupciones es un requisito en este escenario, pero la creación de alertas para otros eventos como el escalado automático no está dentro del ámbito. Use Azure Service Health para configurar alertas específicas para interrupciones de Azure que afecten a todos los clientes de Azure. Use Azure Monitor para configurar alertas para interrupciones y otros eventos que solo afectan a sus recursos específicos. En este escenario, Azure Service Health es la elección correcta.

Elección de las mejores herramientas para administrar y configurar el entorno de Azure Introducción

Las herramientas de administración permiten a los administradores, desarrolladores y gestores interactuar con el entorno de la nube para realizar tareas como implementar decenas o cientos de recursos a la vez, configurar servicios individuales mediante programación o visualizar informes completos sobre el uso, el mantenimiento, los costes y mucho más. Microsoft Azure proporciona una combinación de opciones de herramientas de administración entre las que se puede elegir en función de la situación. Tailwind Traders, distribuidor tradicional de ladrillos y mortero, ha experimentado un gran crecimiento gracias a la venta de productos en línea, gran parte de cuyo éxito se debe a su capacidad para administrar de forma rápida y eficaz su entorno en la nube. Sin embargo, cuando este distribuidor empezó a usar la nube, tuvo que elegir la herramienta de administración adecuada para cada escenario único. En este módulo, obtendrá información sobre las diferentes herramientas de administración de Microsoft Azure y analizará los criterios de decisión que los expertos usan para seleccionar la herramienta adecuada para un escenario determinado.

Objetivos de aprendizaje Al finalizar este módulo, podrá: ●● Elegir la herramienta de administración de Azure correcta para abordar distintos tipos de requisitos y retos técnicos.

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

Identificación de las opciones de producto

Hay dos tipos de herramientas de administración de alto nivel: herramientas visuales y herramientas basadas en código. Las herramientas visuales proporcionan acceso completo a toda la funcionalidad de Azure de forma visual. Sin embargo, estas herramientas pueden ser menos útiles para configurar una gran implementación de recursos con interdependencias y opciones de configuración. Para instalar y configurar rápidamente los recursos de Azure, la mejor opción suele ser usar una herramienta basada en código. Aunque al principio comprender los comandos y parámetros correctos puede conllevar más tiempo, una vez escritos se pueden guardar en archivos y usarse de forma repetida según sea necesario. Además, el código que realiza la instalación y la configuración se puede almacenar, versionar y mantener junto con el código fuente de la aplicación en una herramienta de administración de código fuente como git. Este enfoque para administrar los recursos de hardware y en la nube con la misma mentalidad que usan los desarrolladores para escribir código de aplicaciones se conoce como “infraestructura como código”. Hay dos tipos de “infraestructura como código”: código imperativo y código declarativo. El código imperativo detalla cada uno de los pasos que debe realizarse para lograr el resultado deseado. Por el contrario, el código declarativo solo detalla el resultado deseado y es el intérprete quien debe decidir

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de las mejores herramientas para administrar y configurar el entorno de Azure  129

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

130  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

cuál es la mejor forma de lograr dicho resultado. Esta distinción es importante, porque las herramientas basadas en código declarativo pueden proporcionar un enfoque más sólido para implementar decenas o cientos de recursos de forma simultánea y fiable.

Opciones de producto Microsoft ofrece varias herramientas y servicios diferentes para administrar el entorno en la nube, cada uno de ellos dirigido a distintos escenarios y usuarios.

Azure Portal Azure Portal es una interfaz de usuario basada en Web que permite acceder a prácticamente todas las características de Azure. Azure Portal dispone de una GUI sencilla en la que se pueden ver todos los servicios que se están usando, crear servicios nuevos, configurar los servicios y ver informes. La mayoría de los usuarios utilizan Azure Portal para iniciarse en Azure, aunque a medida que su uso de Azure crece, es más probable que elijan un enfoque más fácil de repetir centrado en código para administrar los recursos de Azure.

Azure Mobile App Azure Mobile App le permite acceder a los recursos de Azure desde iOS y Android cuando no tiene el equipo a mano. Le permite hacer cosas como: ●● Supervisar el mantenimiento y el estado de sus recursos de Azure. ●● Consultar alertas, diagnosticar y corregir problemas rápidamente, reiniciar una aplicación web o una máquina virtual. ●● Ejecutar la CLI de Azure o PowerShell para administrar los recursos de Azure.

Azure PowerShell Azure PowerShell es un shell que permite a los desarrolladores, DevOps y profesionales de TI ejecutar comandos denominados “cmdlets” o "command-lets". Estos comandos llaman a la API de REST de Azure para realizar todas las tareas de administración posibles en Azure. Los cmdlets pueden ejecutarse de forma independiente o combinarse en un archivo de script y ejecutarse conjuntamente para orquestar la configuración de rutinas, la desactivación y el mantenimiento de un solo recurso, varios recursos conectados u organizar la implementación de una infraestructura completa que contenga decenas o centenares de recursos de código imperativo. La captura de los comandos en un script hace que el proceso se pueda repetir y automatizar. Azure PowerShell está disponible para Windows, Linux y Mac, y se puede acceder a él desde un explorador web mediante Cloud Shell. Windows PowerShell ha ayudado a las organizaciones de TI centradas en Windows a automatizar muchas de sus operaciones locales durante muchos años y ha creado un gran catálogo de scripts y cmdlets personalizados, así como experiencia.

CLI de Azure La CLI (interfaz de línea de comandos) de Azure es un programa ejecutable que permite a los desarrolladores, DevOps y profesionales de TI ejecutar comandos mediante Bash. Estos comandos llaman a la API de REST de Azure para realizar todas las tareas de administración posibles en Azure. Los comandos

pueden ejecutarse de forma independiente o combinarse en un script y ejecutarse conjuntamente para organizar la configuración de rutinas, la desactivación y el mantenimiento de un único recurso o de un entorno completo. En muchos aspectos, es casi idéntico a Azure PowerShell en lo que puede hacer. Ambos funcionan en Windows, Linux y Mac y se puede acceder a ellos en un navegador web mediante Cloud Shell. La principal diferencia es la sintaxis. Los usuarios que ya son expertos en PowerShell pueden mantener su productividad usando su experiencia con PowerShell, mientras que los expertos en Bash pueden seguir utilizándolo.

Plantillas de Azure Resource Manager Aunque se puede escribir código imperativo en Azure PowerShell o en la CLI de Azure para configurar y anular un recurso de Azure u organizar una infraestructura completa que contenga decenas o cientos de recursos, hay una mejor forma de implementar esta funcionalidad. Las plantillas de Azure Resource Manager (ARM) permiten describir los recursos que quiere usar en un formato JSON declarativo. La ventaja es que primero se comprueba la plantilla de ARM completa antes de ejecutar cualquier código para comprobar que los recursos se crean y se conectan correctamente. Después, se orquesta la creación de esos recursos en paralelo, lo que significa que, si necesita 50 instancias del mismo recurso, todas ellas se crean al mismo tiempo. Por último, el desarrollador, DevOps o profesional de TI solo tiene que definir en una plantilla el estado y la configuración que quiera de cada recurso, y Azure Resource Manager hará el resto. Las plantillas pueden incluso ejecutar scripts de PowerShell y Bash antes o después de configurar un recurso.

Análisis de los criterios de decisión

En esta unidad, analizará los criterios que emplean los expertos para elegir qué herramienta de administración de Azure van a usar para una determinada necesidad empresarial. Comprender estos criterios también puede ayudar a entender mejor las diferencias de cada producto.

¿Necesita realizar acciones de administración o de creación de informes de forma puntual? Utilice PowerShell o la CLI de Azure para obtener rápidamente la dirección IP de la máquina virtual que ha implementado, reiniciar una máquina virtual o escalar una aplicación. Guarde los scripts personalizados en el disco duro local para tenerlos a mano para estos tipos de operaciones que se realizan ocasionalmente. En cambio, las plantillas de ARM expresan los requisitos de infraestructura de la aplicación para una implementación que se vaya a repetir. Las plantillas de ARM no están pensadas para usarse de forma puntual u ocasional, sino que, en función del escenario, se pueden usar con esta finalidad. Aun así, es preferible usar los scripts de PowerShell o la CLI de Azure (o Azure Portal). Además, las plantillas de ARM pueden incluir scripts de PowerShell y CLI de Azure, y estos scripts pueden desencadenar la ejecución de plantillas de Resource Manager. Así pues, tiene la flexibilidad de elegir la herramienta adecuada para sus necesidades. Con Azure Portal puede realizar la mayoría de las acciones administrativas (si no todas). Si está aprendiendo a usar Azure, si tiene que configurar y administrar recursos con poca frecuencia o si prefiere la interfaz visual para ver los informes, puede serle útil usar la presentación visual de los datos y la configuración de Azure Portal.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de las mejores herramientas para administrar y configurar el entorno de Azure  131

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

132  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Sin embargo, si se encarga de la administración en la nube, depender únicamente de Azure Portal requeriría un análisis visual y tendría que hacer clic para buscar la configuración o la información con la que quisiera trabajar. En estos casos, a menudo usar la CLI de Azure o PowerShell es más rápido y más fácil de repetir. La última opción en esta situación es Azure Mobile App, a la que se puede acceder desde un teléfono o tableta iOS o Android. Aunque tiene todas las características, es probable que sea una mejor opción cuando no tenga a mano ningún portátil y necesite ver y evaluar problemas.

¿Necesita una forma de configurar repetidamente uno o más recursos y asegurarse de que todas las dependencias se crean en el orden adecuado? Las plantillas de ARM expresan los requisitos de infraestructura de la aplicación para una implementación que se pueda repetir. Un paso de validación garantiza que se puedan crear todos los recursos. A continuación, se crean todos los recursos en el orden adecuado en función de las dependencias, en paralelo, y son idempotentes. En cambio, es muy posible usar PowerShell o la CLI de Azure para configurar todos los recursos de la implementación que quiera. Sin embargo, no hay ningún paso de validación, por lo que si un script detecta un error, no se pueden revertir fácilmente los recursos de la dependencia, las implementaciones se realizan en serie y solo algunas operaciones son idempotentes.

Al crear scripts, ¿procede de un entorno de administración de Windows o de Linux? Si usted o los administradores de la nube provienen de un entorno de administración de Windows, es probable que prefieran usar PowerShell. Si usted o los administradores de la nube provienen de un entorno de administración de Linux, es probable que prefieran la CLI de Azure. Pragmáticamente, se pueden usar los dos para realizar la mayoría de las tareas de administración.

Uso de Azure Portal para comprender y administrar visualmente su entorno en la nube Tailwind Traders usa extensamente Azure en toda la organización. Para asegurarse de que el equipo técnico y el equipo ejecutivo conocen su gasto en la nube, el director de operaciones en la nube se reúne semanalmente con el director financiero para hablar de ello. Puede ser que las conversaciones empiecen por cuestiones superficiales, pero a medida que avanza la reunión, quieren profundizar para obtener más información sobre cómo se usan los recursos de Azure. Lo ideal sería que pudieran consultar los datos visualmente, así como ejecutar informes personalizados en tiempo real. ¿Qué herramienta pueden usar durante la reunión?

¿Qué servicio deberíamos elegir? Vamos a aplicar los criterios de decisión que hemos aprendido en la unidad anterior para encontrar la opción adecuada. En primer lugar, en este escenario, ¿Tailwind Traders tiene que realizar acciones puntuales de administración, gestión o creación de informes? Sí, y si tenemos en cuenta el requisito de poder consultar los datos visualmente y crear informes personalizados durante la reunión, Azure Portal es la mejor opción.

Los asistentes a la reunión pueden encontrar rápidamente las respuestas que buscan usando una gran cantidad de opciones de creación de informes. Los dos criterios de decisión siguientes no se aplican a este escenario, ya que el director de operaciones en la nube y el director financiero no implementarán ni configurarán ningún recurso. Azure Portal es la opción de producto adecuada para este escenario.

Uso de Azure PowerShell para tareas administrativas puntuales

Tailwind Traders tiene como empleados a tecnólogos con diferentes aptitudes. Un equipo de desarrolladores y administradores se encarga de la creación y el mantenimiento de una colección de aplicaciones para la intranet que son fundamentales para la empresa. Este equipo tiene grandes conocimientos en administración de redes y desarrollo de Windows. Han movido sus aplicaciones a la nube y buscan una forma de realizar tareas administrativas, de gestión y de pruebas de forma puntual en el entorno de su intranet. En seguida se han dado cuenta de que administrar Azure desde el portal conlleva mucho tiempo y no es una tarea que se pueda repetir. ¿Qué herramienta deben usar para realizar tareas puntuales?

¿Qué servicio deberíamos elegir? Igual que hemos hecho anteriormente, vamos a aplicar los criterios de decisión que hemos aprendido en la unidad anterior para encontrar la opción adecuada. En primer lugar, en este escenario, ¿Tailwind Traders tiene que realizar acciones puntuales de administración, gestión o creación de informes? Sí. Sin embargo, no quieren usar Azure Portal para estas tareas de administración puntuales. Por lo tanto, PowerShell y la CLI de Azure son buenos candidatos. En seguida nos centraremos en la herramienta específica que deben usar. En segundo lugar, en este escenario, ¿Tailwind Traders necesita un medio fiable y que se pueda repetir para implementar toda la infraestructura? No, no en este caso. Por lo tanto, las plantillas de ARM no son la opción adecuada. Al crear scripts, ¿este equipo de Tailwind Traders procede de un fondo de administración de Windows o de Linux? Este equipo tiene conocimientos en administración de Windows, por lo que es probable que se sienta más cómodo con Azure PowerShell, ya que permite usar la sintaxis con la que los miembros del equipo se sienten más cómodos para llevar a cabo sus tareas de administración de forma puntual. Azure PowerShell es la mejor opción para este escenario.

Uso de la CLI de Azure para tareas administrativas puntuales

Como hemos visto en el escenario anterior, Tailwind Traders tiene como empleados a tecnólogos con diferentes aptitudes. El equipo de DevOps se ocupa principalmente de mantener en funcionamiento los sistemas externos, como el sitio de comercio electrónico. Este equipo tiene conocimientos en administración de Linux. Con frecuencia, sus miembros tienen que realizar tareas de administración relacionadas con el estado de su entorno en la nube. En seguida se han dado cuenta de que administrar Azure desde el portal conlleva mucho tiempo y no es una tarea que se pueda repetir. ¿Qué herramienta deben usar para realizar tareas puntuales?

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de las mejores herramientas para administrar y configurar el entorno de Azure  133

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

134  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

¿Qué servicio deberíamos elegir? Una vez más, vamos a aplicar los criterios de toma de decisiones que hemos aprendido en la unidad anterior para encontrar la opción adecuada. Puesto que este escenario es casi idéntico al de la unidad anterior, podemos omitir los dos primeros criterios. En otras palabras, podemos eliminar rápidamente las plantillas de ARM y Azure Portal como opciones viables para este escenario. Por lo tanto, vamos a pasar al tercer criterio para la toma de decisiones. La elección de la opción correcta en este escenario dependerá de los conocimientos del equipo. Puesto que los miembros de este equipo tienen conocimientos en administración de Linux, es probable que se sientan más cómodos con la CLI de Azure, que les permite usar el shell de Bash y su sintaxis para realizar las tareas de administración de forma puntual. La CLI de Azure es la mejor opción para este escenario.

Uso de Azure Mobile App para administrar Azure desde cualquier lugar

Tailwind Traders experimenta un aumento en el tráfico de comercio electrónico en determinados momentos del año, que coinciden con las festividades nacionales y los fines de semana. Durante los primeros años, el director de operaciones en la nube solicitó a todos los empleados que administraran un sistema crítico que estuvieran en la oficina durante esas fechas importantes. Sin embargo, ahora que Tailwind Traders ha ejecutado correctamente la mayoría de los sistemas críticos, el director quiere relajar esta medida y permitir que los empleados pasen estas fechas con sus familias. ¿Hay algún producto que pueda ser útil en este escenario?

¿Qué servicio deberíamos elegir? Vamos a valorar de nuevo nuestros criterios para la toma de decisiones. En primer lugar, ¿Tailwind Traders tiene que realizar acciones puntuales de administración, gestión o creación de informes? Sí. La pregunta es: ¿cómo? En este caso, los empleados pertinentes podrían usar un teléfono o tableta para estar pendientes del estado del entorno en la nube. Azure Mobile App es probablemente una buena solución, ya que permite a los empleados tener la libertad de no estar en la oficina, pero pueden seguir realizando tareas administrativas y de gestión de forma puntual. Francamente, podemos omitir el resto de los criterios de toma de decisiones en este escenario. Azure Mobile App es la opción correcta.

Uso de plantillas de Resource Manager para implementar una infraestructura en la nube completa

Tailwind Traders quiere poner en funcionamiento sus implementaciones en la nube. Para ello, necesitan una forma fiable y fácil de repetir para escalar sus operaciones durante las fechas de más ventas. Como vamos a elegir un proceso para escalar el entorno de producción, debemos asegurarnos de que nuestra elección: ●● Sea eficaz y pueda crear muchos recursos en paralelo. ●● Cree todas las dependencias en el orden correcto.

●● Se pueda usar aunque se haya producido un error a medio aprovisionamiento de la infraestructura necesaria.

¿Qué servicio deberíamos elegir? Vamos a valorar de nuevo nuestros criterios para la toma de decisiones. En primer lugar, en este escenario, ¿Tailwind Traders tiene que realizar acciones puntuales de administración, gestión o creación de informes? En esta ocasión, no debe realizar tareas puntuales u ocasionales de administración o gestión. En otras palabras, necesita una tecnología para automatizar la implementación de toda la infraestructura cuando sea necesario. En segundo lugar, ¿Tailwind Traders necesita un medio fiable y que se pueda repetir para implementar toda la infraestructura? Sí, una implementación fiable y que se pueda repetir es exactamente lo que necesita. Nuestros criterios para la toma de decisiones nos conducen a elegir las plantillas de ARM para este escenario. Podríamos usar Azure PowerShell o la CLI de Azure; sin embargo, estas tecnologías de scripting tienen limitaciones importantes en cuanto a la implementación de la infraestructura. En cambio, las plantillas de ARM no están sujetas a estas limitaciones. En el tercer criterio de toma de decisiones hay que escribir un script usando código imperativo. Sin embargo, el uso de plantillas de ARM permite definir la infraestructura de forma declarativa con JSON. En algunos casos, es posible que se siga requiriendo código imperativo para las tareas de configuración o de limpieza. En estos casos, se puede desencadenar la ejecución de scripts, ya sea Azure PowerShell o CLI de Azure, para realizar estas tareas. En este escenario, las plantillas de ARM son la opción correcta.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de las mejores herramientas para administrar y configurar el entorno de Azure  135

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

136  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Elección de la mejor tecnología sin servidor de Azure para su escenario empresarial Introducción

El término “informática sin servidor” se usa para describir un entorno de ejecución que se configura y administra de manera automática. El cliente tan solo debe escribir código o conectar y configurar los componentes en un editor visual para especificar la acción que desencadena la funcionalidad, como un temporizador o una solicitud HTTP. Lo mejor de todo es que únicamente se paga en función del uso real del código y que no hay que preocuparse de las interrupciones, dado que el código puede hacer un escalado instantáneo para satisfacer la demanda. Tailwind Traders es una empresa tradicional dedicada a la distribución de materiales de construcción. Venden mucho por Internet, pero creen que hay varios aspectos de su sitio web de comercio electrónico que se pueden mejorar. Por ejemplo, quieren que la información en tiempo real del inventario en línea sea más precisa para los clientes que van a visitar su almacén local para comprar un artículo. También quieren desarrollar un programa de fidelización de clientes que les permita responder de forma más proactiva a los usuarios que han tenido una experiencia negativa. Creen que la informática sin servidor puede serles útil, pero necesitan ayuda para saber cuál es la solución de Azure más adecuada en un escenario empresarial determinado. En este módulo, obtendrá información sobre dos soluciones informáticas sin servidor en Azure: Azure Functions y Azure Logic Apps. Verá lo que son, aprenderá en qué se diferencian y sabrá cuándo elegir una u otra. Al final de este módulo, sabrá elegir el servicio informático sin servidor de Azure más adecuado para un determinado escenario empresarial.

Objetivos de aprendizaje Al final de este módulo, podrá hacer lo siguiente: ●● Elegir la tecnología de informática sin servidor adecuada para su escenario empresarial.

Requisitos previos ●● Debe entender los conceptos de orquestación y flujos de trabajo. ●● Debe entender lo que es una API (interfaz de programación de aplicaciones). ●● Debe tener un amplio conocimiento de otros productos de Microsoft, como Dynamics 365 y Office 365.

Identificación de las opciones de producto

La informática sin servidor es un entorno de ejecución hospedado en la nube que ejecuta el código, pero abstrae el entorno de hospedaje subyacente. El término “informática sin servidor” es poco apropiado, ya que, al fin y al cabo, hay un servidor (o un grupo de servidores) que ejecuta el código o la funcionalidad. La idea clave es que el cliente no es responsable de la configuración o el mantenimiento del servidor. No tiene que preocuparse de las interrupciones ni de escalar el servidor cuando hay un incremento en la demanda. El proveedor de la nube se encarga de todo el mantenimiento y el escalado.

Es usted quien crea una instancia del servicio y agrega el código. No se requiere configuración ni mantenimiento de la infraestructura, ni siquiera se permite. Usted configura sus aplicaciones sin servidor para responder a los eventos. Un evento podría ser un punto de conexión REST, un temporizador periódico o incluso un mensaje recibido de otro servicio de Azure. La aplicación sin servidor se ejecuta solo cuando un evento la activa. El escalado y el rendimiento se controlan automáticamente, y solo se le factura por los recursos exactos que utilice. Ni siquiera necesita reservar recursos. Normalmente, la “informática sin servidor” se utiliza para controlar los escenarios de "back-end". En otras palabras, es responsable de enviar mensajes de un sistema a otro o de procesar mensajes enviados desde otros sistemas. No se usa para sistemas orientados al usuario final, sino que funciona en segundo plano. En este módulo veremos dos servicios de informática sin servidor de Azure: Azure Functions y Azure Logic Apps.

Azure Functions Azure Functions8 permite hospedar un único método o función mediante un lenguaje de programación popular en la nube que se ejecuta en respuesta a un evento, como una solicitud HTTP, un mensaje nuevo en una cola o en un temporizador. Debido a su naturaleza atómica, Azure Functions puede servir para muchos propósitos en el diseño de una aplicación. Sus funciones se pueden escribir con muchos lenguajes de programación comunes, como C#, Python, JavaScript, Typescript, Java y PowerShell. Azure Functions se escala automáticamente y los cargos se acumulan solo cuando se activa una función, por lo que resulta una opción sólida cuando la demanda es variable. Por ejemplo, puede estar recibiendo mensajes de una solución de IoT que controla una flota de vehículos de entrega. Es probable que reciba más datos durante el horario comercial. Azure Functions puede escalarse horizontalmente para adaptarse a los momentos de mayor actividad. Además, Azure Functions es un entorno sin estado; se comporta como si se reiniciara cada vez que se responde a un evento. Esta característica resulta muy conveniente para procesar los datos entrantes. Y si se requiere un estado, se pueden conectar a un servicio de Azure Storage. Azure Functions puede realizar tareas de orquestación mediante una extensión llamada Azure Durable Functions, que permite a los desarrolladores encadenar funciones al tiempo que se mantiene el estado. Azure Functions es una opción ideal si solo le interesa el código que ejecuta el servicio y no la infraestructura o la plataforma subyacente. Azure Functions se usa normalmente cuando se debe realizar un trabajo en respuesta a un evento —a menudo a través de una solicitud REST—, un temporizador o un mensaje de otro servicio de Azure, y cuando ese trabajo puede completarse rápidamente, en segundos o en menos tiempo.

Azure Logic Apps Logic Apps9 es una plataforma de desarrollo sin código o de bajo código. Está hospedada como un servicio en la nube que ayuda a automatizar y orquestar tareas, procesos empresariales y flujos de trabajo cuando se necesita integrar aplicaciones, datos, sistemas y servicios en empresas u organizaciones. Logic Apps simplifica el diseño y la compilación de soluciones escalables para la integración de aplicaciones, la integración de datos, la integración de sistemas, la integración de aplicaciones empresariales (EAI) y la integración de negocio a negocio (B2B), ya sea en la nube, en local o ambas. Azure Logic Apps está diseñado en web y puede ejecutar lógica desencadenada por servicios de Azure sin escribir ningún código. Las aplicaciones se pueden crear mediante conectores que vinculan desenca8 9

https://azure.microsoft.com/services/functions/?azure-portal=true https://azure.microsoft.com/services/logic-apps/?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de la mejor tecnología sin servidor de Azure para su escenario empresarial  137

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

138  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

denadores a acciones. Un desencadenador es un evento que hace que la aplicación se ejecute, como un temporizador, un mensaje nuevo enviado a una cola o una solicitud HTTP. Una acción es una tarea o paso que se puede ejecutar. Hay acciones lógicas como las que se encuentran en la mayoría de los lenguajes de programación, como trabajar con variables, instrucciones de decisión y bucles, así como tareas para analizar y modificar datos. Para generar soluciones de integración empresarial con Azure Logic Apps, puede elegir entre una creciente galería de más de 200 conectores. Estos incluyen servicios como Salesforce, SAP, Oracle DB y recursos compartidos de archivos. Si no encuentra la acción o el conector que necesita, puede crear su propio conector mediante código personalizado.

¿Cuál es la diferencia entre estos servicios? Puede llamar a Azure Functions desde Azure Logic Apps y viceversa. La principal diferencia es la finalidad de cada servicio. Azure Functions es un servicio informático sin servidor, mientras Azure Logic Apps está diseñado para ser un servicio de orquestación sin servidor. Aunque no hay nada que le impida usar Azure Functions para orquestar un proceso empresarial de larga duración que implique muchos tipos distintos de conexiones, su caso de uso principal no era ese cuando se diseñó. Además, se puede ver la diferencia en el precio de ambos servicios. El precio de Azure Functions se basa en el número de ejecuciones y en el tiempo de ejecución de cada proceso, mientras que el precio de Logic Apps se basa en el número de ejecuciones y en el tipo de conectores que se usan.

Análisis de los criterios de decisión

Con dos opciones sin servidor posibles, puede ser difícil saber cuál es la más conveniente para el trabajo que debe realizarse. En esta unidad, analizaremos los criterios que emplean los expertos para decidir qué servicio sin servidor se adecúa mejor a una determinada necesidad empresarial. Comprender estos criterios también puede ayudar a entender mejor las diferencias de cada producto.

¿Necesita realizar una orquestación entre API conocidas? Como mencionamos anteriormente, Azure Logic Apps se diseñó pensando en la orquestación, desde el configurador visual basado en web hasta el modelo de precios. Es excelente a la hora de conectar una gran variedad de servicios distintos a través de sus API para pasar y procesar los datos a través de los muchos pasos de un flujo de trabajo. Es posible crear el mismo flujo de trabajo con Azure Functions, pero podría tardar una cantidad considerable de tiempo en averiguar a qué API debe llamar y cómo llamarlas. Azure Logic Apps ya sabe cómo tratar estas llamadas API, por lo que basta con suministrar algunos detalles para que las llamadas API necesarias se abstraigan.

¿Necesita ejecutar algoritmos personalizados o realizar análisis y búsquedas de datos especiales? Azure Functions le permite usar toda la expresividad de un lenguaje de programación en un formato compacto, con lo que puede crear de manera concisa algoritmos complejos u operaciones de búsqueda y análisis de datos. El cliente es el responsable de mantener el código, controlar las excepciones de manera resistente, etc.

Aunque Azure Logic Apps tiene la capacidad de realizar la lógica (bucles, decisiones, etc.), si tiene una orquestación de lógica intensiva que requiera un algoritmo complejo, la implementación de ese algoritmo podría ser más detallada y visualmente abrumadora.

¿Tiene tareas automatizadas escritas en un lenguaje de programación imperativo? Si ya tiene la orquestación o la lógica de negocios expresada en C#, Java, Python u otro lenguaje de programación popular, podría ser más fácil trasladar el código al cuerpo de una función de Azure que volver a crearlo mediante Azure Logic Apps.

¿Prefiere un flujo de trabajo visual (declarativo) o escribir código (imperativo)? En realidad, la elección se reduce a si prefiere trabajar en un entorno declarativo o en uno imperativo. Los desarrolladores que ya tienen experiencia con un lenguaje de programación imperativo quizá prefieran adoptar una postura imperativa con respecto a la automatización y la orquestación. Los profesionales de TI y los analistas de negocios quizá prefieran trabajar en un entorno sin código o de bajo código más visual.

Uso de Azure Functions

Los datos de cada producto que se vende en Tailwind Traders se empaquetan como un mensaje JSON y se envían a un centro de eventos. El centro de eventos distribuye el mensaje JSON a los suscriptores, lo que permite notificar a los distintos sistemas. Tailwind Traders quiere actualizar su sitio de comercio electrónico para incluir el seguimiento del inventario en tiempo real. Actualmente, el sitio web actualiza la disponibilidad del producto todas las noches a las 02:00. Un servicio de Windows escrito en C# contiene toda la lógica necesaria para recuperar los mensajes, analizar el JSON, buscar en varias bases de datos información adicional del producto y, posiblemente, enviar notificaciones al departamento de compras para que pidan más cantidad de los artículos que se encuentran por debajo de determinados niveles de inventario. El servicio de Windows se ejecuta en una máquina virtual hospedada en Azure. La mayoría del tiempo, este sistema funciona correctamente. No obstante, hay una demanda elevada de algunos productos, mientras que de otros productos hay pocas unidades en los almacenes. Cada día, hay clientes van a la tienda para recoger un artículo del que ya no quedan existencias. En lugar de ejecutar el algoritmo cada noche, Tailwind Traders quiere que la actualización del inventario se realice cada vez que se adquiere un producto.

¿Qué servicio deberíamos elegir? Como Tailwind Traders ya tiene la lógica escrita en C#, tendría sentido copiar el código C# del servicio de Windows y trasladarlo a una función de Azure. Los desarrolladores tendrían que enlazar la función para que se desencadene cada vez que aparezca un mensaje nuevo en una determinada cola.

¿Por qué no elegir Azure Logic Apps? Es posible que se implemente la misma lógica en Azure Logic Apps. No obstante, dado que el equipo ya ha invertido tiempo en crear el servicio en C#, puede aprovecharlo en una función de Azure.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de la mejor tecnología sin servidor de Azure para su escenario empresarial  139

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

140  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Uso de Azure Logic Apps

Tras una compra, Tailwind Traders envía invitaciones aleatoriamente para participar en una encuesta de satisfacción del cliente. Actualmente, la satisfacción del cliente se agrega, se calcula su promedio y se plasma en un gráfico. Pero el departamento de atención al cliente, con una actitud proactiva, quiere ponerse en contacto con los clientes que proporcionan puntuaciones bajas y dejan comentarios con una opinión negativa. Sería perfecto que las respuestas con puntuaciones de satisfacción del cliente negativas desencadenasen un flujo de trabajo de retención de clientes. En primer lugar, se puede generar un análisis de opinión en función de los comentarios libres, se envía un correo electrónico al cliente con una disculpa y un código de cupón, y este mensaje se enruta a un servicio de atención al cliente de Dynamics 365 para programar un correo electrónico de seguimiento. Desafortunadamente, no hay desarrolladores disponibles para llevar a cabo este proyecto. No obstante, el equipo de atención al cliente colabora con varios profesionales de la nube y de TI que pueden crear una solución.

¿Qué servicio deberíamos elegir? En este escenario, es probable que Azure Logic Apps sea la mejor solución. Un profesional de la nube o de TI puede usar los conectores existentes para realizar un análisis de opinión mediante el conector de Cognitive Services, enviar un correo electrónico con el conector de Office 365 Outlook y crear un registro nuevo y un seguimiento con el conector de servicio al cliente de Dynamics 365. Dado que Azure Logic Apps es un servicio sin código o de bajo código, no harían falta desarrolladores. Un profesional de la nube o de TI debe pueden compilar y dar soporte a este flujo de trabajo.

¿Por qué no elegir Azure Functions? Es posible compilar toda la solución mediante Azure Functions, pero supondría todo un desafío al no poder asignar el proyecto a ningún desarrollador de software. Además, es un escenario ideal para Azure Logic Apps. Ya existen conectores para cada uno de los pasos descritos en el flujo de trabajo. Un desarrollador tendría que llevar a cabo una gran labor de investigación, desarrollo y pruebas para crear una solución que use todos estos sistemas de software diferentes.

Elección del mejor servicio de Azure IoT para su aplicación Introducción

El Internet de las cosas (IoT) une el mundo físico y el mundo digital, ya que permite que los dispositivos con sensores y una conexión a Internet se comuniquen con el sistema basado en la nube a través de Internet. Tailwind Traders ve muchas oportunidades de usar los servicios de IoT de Azure en muchas de las distintas caras de sus operaciones, desde el desarrollo de nuevos productos hasta la logística o el punto de venta. En este módulo, ayudará a Tailwind Traders a seleccionar la oferta de servicio de IoT de Azure adecuada para un escenario empresarial determinado. Obtendrá información sobre los distintos servicios, lo que hacen, en qué se diferencian o complementan y cuándo deben usarse evaluando un conjunto de criterios de decisión. Al final de este módulo, podrá elegir el mejor servicio de IoT de Azure para un escenario empresarial determinado.

Objetivos de aprendizaje Al finalizar este módulo, podrá: ●● Elegir el mejor servicio de Azure IoT para un determinado escenario empresarial.

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

Identificación de las opciones de producto

El Internet de las cosas (IoT) es la capacidad de los dispositivos de obtener y luego retransmitir información para el análisis de datos. Los dispositivos inteligentes están equipados con sensores que recopilan datos. Algunos sensores comunes que miden los atributos del mundo físico incluyen: ●● Sensores de entorno que capturan los niveles de temperatura y humedad ●● Escáneres de códigos de barras, códigos QR o reconocimiento óptico de caracteres (OCR) ●● Sensores de proximidad y ubicación geográfica ●● Sensores de luz, color e infrarrojos ●● Sensores de sonido y ultrasonido ●● Sensores táctiles y de movimiento ●● Sensores de inclinación y acelerómetros ●● Sensores de humo, gas y alcohol ●● Detectores de errores para determinar cuándo hay un problema con el dispositivo

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección del mejor servicio de Azure IoT para su aplicación  141

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

142  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

●● Sensores mecánicos que detectan anomalías o deformaciones ●● Sensores de flujo, nivel y presión para medir gases y líquidos Con los servicios de IoT de Azure, los dispositivos que están equipados con estos tipos de sensores y que pueden conectarse a Internet podrían enviar las lecturas de sus sensores a un punto de conexión específico en Azure a través de un mensaje, donde se recopilan, se agregan y se pueden convertir los datos del mensaje en informes y alertas. O bien, todos los dispositivos se podrían actualizar con nuevo firmware para corregir problemas o agregar nuevas funcionalidades mediante el envío de actualizaciones de software desde los servicios de IoT de Azure a cada dispositivo. Supongamos que su empresa fabrica y opera las máquinas expendedoras refrigeradas inteligentes. ¿Qué tipos de información desearía supervisar? Es posible que desee asegurarse de que cada máquina funcione sin errores, de que la máquina no se haya puesto en peligro, de que su sistema de refrigeración mantiene el contenido dentro de un determinado intervalo de temperaturas y que desee recibir una notificación cuando los productos alcancen un determinado nivel de inventario para poder reponerlos. Suponiendo que el hardware de la máquina expendedora puede recopilar y enviar esta información mediante un mensaje estándar, los mensajes que cada máquina envía pueden recibirse, almacenarse, organizarse y mostrarse mediante los servicios de IoT de Azure. Los datos recopilados de estos dispositivos se pueden combinar con los servicios de inteligencia artificial de Azure para predecir cuándo las máquinas van a necesitar un mantenimiento proactivo o cuándo se deben reabastecer los inventarios y solicitar nuevos productos a los proveedores. Existen muchos servicios que pueden ayudar e impulsar soluciones integrales para IoT en Azure.

Azure IoT Hub Azure IoT Hub10 es un servicio administrado hospedado en la nube que actúa como un centro de mensajes central para la comunicación bidireccional entre su aplicación IoT y los dispositivos que administra. Puede usar Azure IoT Hub para compilar soluciones de IoT con comunicaciones fiables y seguras entre millones de dispositivos de IoT y un back-end de soluciones hospedadas en la nube. Puede conectar virtualmente cualquier dispositivo a su centro de IoT. IoT Hub admite comunicaciones tanto del dispositivo a la nube como de la nube al dispositivo. También es compatible con múltiples patrones de mensajería, como telemetría del dispositivo a la nube, carga de archivos desde dispositivos y métodos de solicitud-respuesta para controlar los dispositivos desde la nube. Una vez que IoT Hub recibe los mensajes de un dispositivo, puede enrutarlos a otros servicios de Azure. Desde la perspectiva de la nube al dispositivo, IoT Hub permite el “comando y control”, es decir, el control remoto manual o automatizado de los dispositivos conectados para poder indicar al dispositivo que abra válvulas, establezca temperaturas objetivo, reinicie dispositivos atascados, etc. La supervisión de IoT Hub le ayuda a mantener el estado de su solución al rastrear eventos como la creación de dispositivos, errores de dispositivos y conexiones de dispositivos.

Azure IoT Central Azure IoT Central11 se basa en IoT Hub y agrega un panel que le permite conectar, supervisar y administrar sus dispositivos de IoT. La interfaz de usuario (UI) visual facilita la conexión rápida de nuevos dispositivos y la inspección a medida que comienzan a enviar mensajes de telemetría o de error. Puede ver el rendimiento general de todos los dispositivos de forma agregada y configurar alertas que envían notifi10 https://azure.microsoft.com/services/iot-hub/?azure-portal=true 11 https://azure.microsoft.com/services/iot-central/?azure-portal=true

caciones cuando un dispositivo concreto necesita mantenimiento. Por último, puede enviar actualizaciones de hardware al dispositivo. Para ayudarle a ponerse en marcha rápidamente, IoT Central proporciona plantillas de inicio para escenarios comunes en diferentes sectores, como la venta directa, la energía, la atención sanitaria y la administración pública. A continuación, puede personalizar las plantillas de inicio directamente en la interfaz de usuario eligiendo los temas existentes o creando su propio tema personalizado, estableciendo el logotipo, etc. IoT Central le permite adaptar las plantillas de inicio a los datos específicos que se envían desde sus dispositivos, los informes que desea ver y las alertas que desea enviar.

Puede usar la interfaz de usuario para controlar los dispositivos de forma remota. Esta característica permite enviar una actualización de software o modificar una propiedad del dispositivo. Podría actualizar la temperatura deseada para una o todas las máquinas expendedoras refrigeradas directamente desde dentro de IoT Central. Una parte clave de IoT Central es el uso de las plantillas de dispositivo. Las plantillas de dispositivo permiten conectar un dispositivo sin ningún código de servicio. IoT Central usa las plantillas para construir los paneles, las alertas, etc. Los desarrolladores de dispositivos siguen teniendo que crear código para que se ejecute en los dispositivos y ese código debe coincidir con la especificación de la plantilla de dispositivo.

Azure Sphere Azure Sphere12 crea una solución de IoT de un extremo a otro de alta seguridad para los clientes que lo abarca todo, desde el hardware y el sistema operativo del dispositivo, hasta el método seguro para enviar mensajes desde el dispositivo al centro de mensajes. Tiene características de comunicación y seguridad integradas para dispositivos conectados a Internet.

12 https://azure.microsoft.com/services/azure-sphere/?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección del mejor servicio de Azure IoT para su aplicación  143

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

144  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Azure Sphere se compone de tres partes: ●● La primera parte es la MCU (unidad de microcontrolador) de Azure Sphere, que se encarga de procesar el sistema operativo y las señales de los sensores conectados. A continuación se ofrece una imagen de la MCU del kit de desarrollo Seeed Azure Sphere MT3620, uno de los distintos kits de inicio disponibles para la creación de prototipos y el desarrollo de aplicaciones de Azure Sphere. ●● La segunda parte es un sistema operativo (SO) Linux personalizado, que controla la comunicación con el servicio de seguridad y puede ejecutar el software del proveedor. ●● La tercera parte es el servicio de seguridad de Azure Sphere, también conocido como AS3. Su trabajo es asegurarse de que el dispositivo no se ha puesto en peligro de forma malintencionada. Cuando el dispositivo intenta conectarse a Azure, primero debe autenticarse (por dispositivo) mediante la autenticación basada en certificados. Si se autentica correctamente, AS3 comprueba que el dispositivo no se haya alterado. Una vez que ha establecido un canal de comunicación seguro, insertará al dispositivo las actualizaciones de software del sistema operativo o desarrolladas por el cliente (y aprobadas). Una vez que el sistema de Azure Sphere ha validado la autenticidad del dispositivo y lo ha autenticado, el dispositivo puede interactuar con otros servicios de IoT de Azure enviando datos de telemetría e información de errores.

Análisis de los criterios de decisión

En esta unidad, analizaremos los criterios que emplean los expertos para decidir qué servicio de IoT se debe usar para una determinada necesidad empresarial. Comprender estos criterios también puede ayudar a entender mejor las diferencias de cada producto.

¿Es fundamental asegurarse de que el dispositivo no esté en peligro? Si bien ningún fabricante o cliente desea que sus dispositivos se pongan en peligro de forma malintencionada ni se usen con fines fraudulentos, es más importante garantizar la integridad de un cajero automático que, por ejemplo, de una lavadora. Cuando la seguridad es una cuestión fundamental en el diseño del producto, la mejor opción de producto es Azure Sphere, que proporciona una solución completa de un extremo a otro para dispositivos de IoT. Como ya hemos comentado en la unidad anterior, Azure Sphere garantiza un canal seguro de comunicación entre el dispositivo y Azure mediante el control de todos los aspectos, desde el hardware pasando por el sistema operativo y hasta el proceso de autenticación, lo que permite garantizar que la integridad del dispositivo no esté en peligro. Una vez que se establece un canal seguro, se pueden recibir mensajes del dispositivo de forma segura y se pueden enviar mensajes o actualizaciones de software al dispositivo de forma remota.

¿Necesito un panel para la generación de informes y la administración? La siguiente decisión será el nivel de servicios que necesita en la solución de IoT. Si solo desea conectarse a sus dispositivos remotos para recibir telemetría y, ocasionalmente, insertar actualizaciones, y no necesita ninguna funcionalidad de creación de informes, es posible que prefiera implementar IoT Hub por sí solo. Los programadores siguen pudiendo crear un conjunto personalizado de herramientas de administración e informes mediante la API de RESTful de IoT Hub.

Sin embargo, si desea contar con una interfaz de usuario personalizable precompilada que le permita ver y controlar los dispositivos de forma remota, ya sea individual o conjuntamente, y configurar alertas para determinadas condiciones, como un error en el dispositivo, es posible que prefiera empezar con IoT Central. IoT Central se integra con muchos productos de Azure diferentes, como IoT Hub, para crear un panel con características de informes y administración. El panel se basa en plantillas de inicio para escenarios comunes de uso y de la industria. Puede usar el panel generado por la plantilla de inicio tal cual o personalizarlo para que se ajuste a sus necesidades. Además, puede tener varios paneles destinados a distintos usuarios.

Uso de IoT Hub

El equipo de liderazgo senior de Tailwind Traders ha decidido asociarse con un fabricante de dispositivos líder para crear una marca exclusiva que promete un acuerdo de servicio de mantenimiento preventivo. Esta característica única diferenciaría sus dispositivos en un mercado muy competitivo. También hace que los dispositivos sean lucrativos, ya que sería necesaria una suscripción anual. Para crear una buena reputación de la marca, los dispositivos enviarán información de telemetría a una ubicación centralizada donde se podrá analizar y se podrá programar el mantenimiento. Los dispositivos no requerirán el control remoto. Simplemente enviarán sus datos de telemetría para el análisis y el mantenimiento proactivo. Puesto que Tailwind Traders ya dispone de un software para administrar las solicitudes de mantenimiento de dispositivos, desea integrar toda la funcionalidad en este sistema existente.

¿Qué servicio deberíamos elegir? Vamos a aplicar los criterios de decisión de la unidad anterior. ¿Es fundamental asegurarse de que el dispositivo, en este caso, cada dispositivo, no esté en peligro? Es preferible que los dispositivos no estén en peligro, pero no es crítico. Lo peor que podría suceder es que un pirata informático leyera la temperatura actual de la nevera del cliente o el número de ciclos de lavado que ha completado la lavadora. Incluso si el cliente llama y notifica un comportamiento extraño con el dispositivo, un técnico podría restablecer o reemplazar el microcontrolador. Es posible que no sea necesario realizar el gasto adicional ni emplear los recursos de ingeniería necesarios para usar Azure Sphere. Criterio de decisión siguiente: ¿Necesito un panel para la generación de informes y la administración? En este caso no. Tailwind Traders quiere integrar los datos de telemetría y todas las demás funcionalidades en un sistema de solicitud de mantenimiento existente. En este caso, Azure IoT Central no es necesario. Por lo tanto, dadas las respuestas a los criterios de decisión, Azure IoT Hub es la mejor opción en este escenario.

¿Por qué no usar Azure IoT Central? Azure IoT Central proporciona un panel que permite a las empresas administrar dispositivos de IoT de forma individual y en conjunto, ver informes y configurar notificaciones de error a través de una GUI. Sin embargo, en este escenario, Tailwind Traders quiere integrar la telemetría que recopila y otras funcionalidades de análisis en una aplicación de software existente. Además, sus dispositivos solo van a recopilar datos a través de sensores y no necesitan la capacidad de actualizar la configuración o el software de forma remota. Por lo tanto, no necesitan Azure IoT Central.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección del mejor servicio de Azure IoT para su aplicación  145

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

146  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

¿Por qué no usar Azure Sphere? Azure Sphere proporciona una solución completa para escenarios en los que la seguridad es crítica. En este escenario, la seguridad no es crítica, sino que es preferible. Los dispositivos no se pueden actualizar con nuevo software de forma remota. Los sensores simplemente notifican los datos de uso. Como resultado, Azure Sphere no es necesario.

Uso de IoT Central

Tailwind Traders posee una flota de vehículos de entrega que transportan productos desde los almacenes hasta los centros de distribución y desde los centros de distribución hasta las tiendas y los hogares. Buscan una solución de logística completa que tome los datos enviados desde un equipo incorporado en el vehículo y los convierta en información procesable. Además, los envíos pueden equiparse con sensores de un proveedor de terceros para recopilar y supervisar las condiciones ambientales. Estos sensores pueden recopilar información como la temperatura, la humedad, la inclinación, el choque, la luz y la ubicación de un envío. Algunos de los objetivos de este sistema de logística incluyen: ●● Supervisión del envío con seguimiento y trazabilidad en tiempo real ●● Integridad del envío con supervisión de las condiciones ambientales en tiempo real ●● Seguridad contra los robos, las pérdida o el daño de los envíos ●● Geovallado, optimización de rutas, administración de flotas y análisis de vehículos ●● Previsión para la salida y llegada predecibles de los envíos Prefieren una solución precompilada para recopilar los datos del equipo del vehículo y del sensor, y proporcionar una interfaz gráfica de usuario en la que puedan ver informes sobre los envíos y los vehículos.

¿Qué servicio deberíamos elegir? Una vez más, vamos a aplicar los criterios de decisión de una unidad anterior. ¿Es fundamental asegurarse de que el dispositivo, en este caso, cada dispositivo, no esté en peligro? Idealmente, cada sensor y el equipo del vehículo serían estancos a las interferencias. Sin embargo, la seguridad no se mencionó como un problema crítico en este momento. Los sensores y los equipos del vehículo los crea un proveedor de terceros y, a menos que Tailwind Traders quiera fabricar sus propios dispositivos (no es así), se verán obligados a usar el hardware que ya está disponible. Luego, ¿necesitan un panel para la generación de informes y la administración? Sí, un panel de informes y administración es un requisito de Tailwind Traders. Por lo tanto, dadas las respuestas a los criterios de decisión, Azure IoT Central es la mejor opción en este escenario. La plantilla de inicio de logística conectada proporciona un panel integrado que cumplirá con muchos de estos requisitos. Este panel está preconfigurado para mostrar la actividad crítica de las operaciones de dispositivo de logística. Es posible que tenga que volver a configurarse para quitar las puertas de enlace de las embarcaciones, pero la funcionalidad de la puerta de enlace de los camiones sería casi exactamente lo que necesita Tailwind Traders.

¿Por qué no usar IoT Hub? En realidad, si Tailwind Traders usa IoT Central, estaría usando IoT Hub, configurado previamente para sus necesidades específicas mediante la plantilla de inicio de logística conectada. De lo contrario, requerirían un gran esfuerzo de desarrollo personalizado para crear sus propios sistemas de administración y paneles basados en la nube sobre IoT Hub.

¿Por qué no usar Azure Sphere? Azure Sphere proporciona una solución completa para escenarios en los que la seguridad es crítica. En este escenario, la seguridad es ideal, pero no es una prioridad crítica. Azure Sphere proporciona una solución de un extremo a otro que incluye hardware. Sin embargo, Tailwind Traders usará el hardware de un proveedor de terceros. Por lo tanto, en este escenario, Azure Sphere no es necesario.

Uso de Azure Sphere

Tailwind Traders quiere implementar una solución de punto de venta táctil para la formalización de compras de autoservicio. Estos terminales de pago de autoservicio deben ser, ante todo, seguros. Cada terminal debe ser impermeable al código malintencionado que podría crear transacciones fraudulentas, obligar a la empresa a desconectar los sistemas durante un período de compras intenso o enviar datos transaccionales a una organización de espías. Los terminales también deben notificar la información vital sobre su estado y permitir actualizaciones seguras del software de forma remota. Después de revisar muchas soluciones posibles durante el proceso de solicitud de propuestas, decidieron que necesitaban características que los proveedores aún no han implementado. En lugar de usar una solución existente, Tailwind Traders decide trabajar con una empresa de ingeniería líder especializada en soluciones de IoT. Este enfoque les permitirá compilar un terminal único y seguro que les proporcione la plataforma de venta directa sobre la que trabajar en adelante. Aunque la mayor parte de su atención se centra en el propio terminal, se dan cuenta de que quieren una solución que pueda ayudarles a comprender todos los datos que generarán estos terminales en todas sus tiendas minoristas, y una forma sencilla de insertar actualizaciones de software en sus terminales.

¿Qué servicio deberíamos elegir? Una vez más, vamos a aplicar los criterios de decisión de una unidad anterior. ¿Es fundamental asegurarse de que el dispositivo, en este caso, cada terminal de punto de venta, no esté en peligro? Por supuesto. La seguridad del dispositivo es el requisito principal. Luego, ¿necesitan un panel para la generación de informes y la administración? Sí, un panel de informes y administración es un requisito de Tailwind Traders. Por lo tanto, dadas las respuestas a los criterios de decisión, la empresa de ingeniería de IoT creará una plataforma basada tanto en Azure IoT Central como en Azure Sphere. Aunque no hay ninguna plantilla de inicio específica disponible en Azure IoT Central diseñada para este escenario, se puede adaptar fácilmente para dar cabida a los tipos de informes que desean ver y a las operaciones de administración que desean realizar.

¿Por qué no elegir IoT Hub? En realidad, mediante IoT Central, Tailwind Traders estaría usando también IoT Hub en segundo plano.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección del mejor servicio de Azure IoT para su aplicación  147

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

148  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Preguntas de repaso del módulo 3 Preguntas de repaso del módulo 03 Pregunta de repaso 1 Debe predecir el comportamiento futuro a partir de acciones anteriores. ¿Qué opción de producto debe descartar como candidato? †† Azure Machine Learning †† Azure Bot Service †† Azure Cognitive Services

Pregunta de repaso 2 Debe crear una interfaz de equipo humano mediante el lenguaje natural para responder a las preguntas de los clientes. ¿Qué opción de producto debe descartar como candidato? †† Azure Machine Learning †† Azure Cognitive Services †† Azure Bot Service

Pregunta de repaso 3 Debe identificar el contenido de las imágenes de productos para crear automáticamente etiquetas alternativas para las imágenes con el formato correcto. ¿Qué opción de producto es la mejor candidata? †† Azure Machine Learning †† Azure Cognitive Services †† Azure Bot Service

Pregunta de repaso 4 ¿Cuál de las siguientes opciones no se utilizaría para automatizar un proceso de CI/CD? †† Azure Pipelines †† Acciones de GitHub †† Azure Boards

Pregunta de repaso 5 ¿Qué servicio podría ayudarle a administrar las máquinas virtuales que los desarrolladores y los evaluadores necesitan para asegurarse de que la nueva aplicación funciona en diferentes sistemas operativos? †† Azure DevTest Labs †† Laboratorios de pruebas de Azure †† Azure Repos

Pregunta de repaso 6 ¿A qué servicio le faltan características para asignar tareas de desarrolladores individuales en las que trabajar? †† Azure Boards †† GitHub †† Azure Pipelines

Pregunta de repaso 7 Quiere recibir una alerta cuando haya disponibles nuevas recomendaciones para mejorar su entorno de nube. ¿Qué servicio puede hacer esto? †† Azure Advisor †† Azure Monitor †† Azure Service Health

Pregunta de repaso 8 ¿Qué servicio ofrece un análisis oficial de la causa principal (RCA) de la interrupción en los incidentes de Azure? †† Azure Advisor †† Azure Monitor †† Azure Service Health

Pregunta de repaso 9 ¿Qué servicio es una plataforma en la que se basa Application Insights y permite la supervisión de máquinas virtuales, contenedores y Kubernetes? †† Azure Advisor †† Azure Monitor †† Azure Service Health

Pregunta de repaso 10 Como administrador, debe recuperar la dirección IP de una VM determinada mediante Bash. ¿Cuál de las siguientes herramientas debería usar? †† Plantillas ARM †† Azure PowerShell †† Azure Portal †† La CLI de Azure

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Preguntas de repaso del módulo 3  149

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

150  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Pregunta de repaso 11 Usted es desarrollador y tiene que configurar su primera VM para hospedar un proceso que se ejecuta por la noche. ¿Cuál de las siguientes herramientas es la mejor opción? †† Plantillas ARM †† Azure PowerShell †† Azure Portal †† La CLI de Azure

Pregunta de repaso 12 ¿Cuál es la mejor opción de infraestructura como código para configurar de forma rápida y fiable toda la infraestructura en la nube de forma declarativa? †† Plantillas ARM †† Azure PowerShell †† Azure Portal †† La CLI de Azure

Pregunta de repaso 13 Debe procesar los mensajes de una cola, analizarlos mediante alguna lógica imperativa existente escrita en Java y, después, enviarlos a una API de terceros. ¿Qué opción sin servidor debería elegir? †† Azure Functions †† Azure Logic Apps

Pregunta de repaso 14 Quiere orquestar un flujo de trabajo con las API de varios servicios conocidos. ¿Cuál es la mejor opción para este escenario? †† Azure Functions †† Azure Logic Apps

Pregunta de repaso 15 Su equipo no tiene mucha experiencia escribiendo código personalizado, pero ve un gran valor en la automatización de diversos procesos empresariales importantes. ¿Cuál de las siguientes opciones es la mejor opción para el equipo? †† Azure Functions †† Azure Logic Apps

Pregunta de repaso 16 Una empresa desea crear una nueva caseta de votación para venderla a los gobiernos de todo el mundo. ¿Qué tecnologías de IoT debería elegir la empresa para garantizar el mayor grado de seguridad? †† IoT Hub †† IoT Central †† Azure Sphere

Pregunta de repaso 17 Una empresa quiere administrar rápidamente sus dispositivos de IoT individuales mediante una interfaz de usuario basada en Internet. ¿Qué tecnología de IoT debe elegir? †† IoT Hub †† IoT Central †† Azure Sphere

Pregunta de repaso 18 Quiere enviar mensajes desde el dispositivo de IoT a la nube y viceversa. ¿Qué tecnología de IoT permite enviar y recibir mensajes? †† IoT Hub †† IoT Central †† Azure Sphere

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Preguntas de repaso del módulo 3  151

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

152  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Resumen del módulo 3 Resumen del módulo 03 Elección del mejor servicio de IA para sus necesidades Nuestro objetivo en esta lección era ayudar a Tailwind Traders a explorar varias ofertas de servicios de IA de Azure para aplicarlos a diversas oportunidades de negocio. Ha identificado algunas opciones de producto y sus capacidades, entre las que se incluyen Azure Bot Services, Azure Cognitive Services y Azure Machine Learning. Ha analizado varios criterios de decisión que le ayudarán a elegir una opción sobre otra según el escenario. Después, ha aplicado esos criterios de decisión a tres iniciativas de Tailwind Traders, para ayudar a la empresa a encontrar la mejor opción de servicio para cada escenario. Sin los servicios de IA, Tailwind Traders dedicaría más tiempo y esfuerzo a las tareas manuales, respondería a los clientes con menor rapidez, ofrecería malas recomendaciones de productos y no sería capaz de ofrecer un soporte total a los clientes que hablan idiomas distintos de inglés. La IA es un foco que podría transformar todas las áreas de una empresa. Esta transformación solo está limitada por la creatividad y la imaginación de la organización. En esta lección, se han tratado varios productos y servicios de los que puede obtener más información: ●● Para ver una lista exhaustiva de los servicios disponibles en Azure Cognitive Services, consulte ¿Qué es Azure Cognitive Services? 13. ●● El servicio Personalizer de Cognitive Services se mencionó como una posible solución para uno de los escenarios. Para obtener más información, consulte Personalizer de Cognitive Services14. ●● Azure Language Understanding (LUIS) se mencionó como una manera de interactuar con Bot Service mediante el lenguaje natural. Para obtener más información, consulte Azure Language Understanding15. ●● QnA Maker se mencionó como una solución de asistente virtual previamente empaquetado disponible en Azure Marketplace. Para obtener más información, consulte QnA Maker16.

Elección de las mejores herramientas para ayudar a que las organizaciones creen mejores soluciones El objetivo de esta lección consistía en ayudar a Tailwind Traders a elegir la mejor solución DevOps para un conjunto de requisitos en las diferentes necesidades de desarrollo y pruebas de software. Hemos identificado diferentes opciones de producto y capacidades, como Azure DevOps Services, GitHub (incluidas Acciones de GitHub) y Azure DevTest Labs. Hemos analizado los criterios para elegir una opción frente a otras en cada escenario. Después, hemos aplicado esos criterios a tres desafíos diferentes en Tailwind Traders, y hemos ayudado al equipo a determinar la mejor opción de servicio para los escenarios. Sin servicios de desarrollo de software y herramientas de Microsoft, el equipo de Tailwind Traders podría tener dificultades para obtener las ventajas de las prácticas de DevOps, como la integración continua y la 13 14 15 16

https://docs.microsoft.com/es-es/azure/cognitive-services/what-are-cognitive-services https://azure.microsoft.com/services/cognitive-services/personalizer/ https://www.luis.ai/ https://www.qnamaker.ai/

entrega continua (CI/CD), la administración de código fuente y la administración de elementos de trabajo. Las prácticas y los procesos de DevOps han cambiado el panorama del desarrollo de software, y han ayudado a acelerar el desarrollo de software a la vez que se mejora la implementación y la calidad de los sistemas de software. Microsoft ofrece una gran cantidad de herramientas que pueden ayudar a las organizaciones a implementar prácticas de DevOps, experimentar una mejor colaboración entre los equipos técnicos y obtener resultados más coherentes de estos equipos.

Elección del mejor servicio de supervisión para visibilidad, información y mitigación de interrupciones Nuestro objetivo en esta lección era ayudar a Tailwind Traders a explorar varias ofertas de servicios de supervisión de Azure para aplicarlos a una serie de escenarios empresariales. Hemos identificado tres opciones de productos y sus funcionalidades: Azure Advisor, Azure Monitor y Azure Service Health. Hemos analizado los criterios de decisión para elegir una opción frente a otras para escenarios determinados. Después, hemos aplicado esos criterio de decisión a tres desafíos diferentes a los que se enfrenta Tailwind Traders, y le hemos ayudado a encontrar la mejor opción de servicio para el escenario. Sin servicios de supervisión, Tailwind Traders gastaría más dinero en su entorno en la nube, no confiaría en su postura de seguridad en la nube, tendrían dificultades para identificar problemas en la lógica de la aplicación, no serían capaces de planear de forma anticipada las interrupciones ni podrían proporcionar informes oficiales sobre la interrupción a las partes interesadas. Los servicios de supervisión de Azure ofrecen una amplia gama de características que ayudan a mejorar las operaciones en la nube.

Elección de las mejores herramientas para administrar y configurar el entorno de Azure El objetivo de esta lección era ayudar a Tailwind Traders a elegir las herramientas de administración en la nube de Microsoft adecuadas para satisfacer sus distintas necesidades técnicas. Hemos identificado una variedad de opciones de productos y sus capacidades, entre las que se incluyen Azure Portal, Azure Mobile App, Azure PowerShell, la CLI de Azure y las plantillas de Azure Resource Manager (plantilla de Resource Manager). Hemos analizado los criterios de decisión para elegir una opción frente a otras en escenarios determinados. Hemos aplicado esos criterios de decisión a tres iniciativas distintas de Tailwind Traders para ayudar a la empresa a encontrar la mejor opción de servicio para cada escenario. Sin un conjunto completo de herramientas de administración, la empresa se vería sumamente limitada en las formas de interactuar con Azure. Afortunadamente, Azure proporciona una combinación muy eficaz de herramientas de administración visual, herramientas de scripting imperativo y herramientas de infraestructura como código declarativo.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 3  153

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

154  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Elección de la mejor tecnología sin servidor de Azure para su escenario empresarial En esta lección, hemos querido ayudar a Tailwind Traders a elegir la tecnología de informática sin servidor más adecuada para sus escenarios empresariales. Ayudamos a la empresa a elegir Azure Functions cuando necesitó compilar una solución que extrajese la lógica de código de un servicio de Windows en C# existente. También le ayudamos a elegir Azure Logic Apps cuando necesitó orquestar un flujo de trabajo para evitar la pérdida de clientes tras una experiencia de compra negativa. En ambos casos, indicamos cómo se podía elegir el otro servicio de informática sin servidor. Sin embargo, intentamos ayudar a la empresa a considerar los criterios de decisión que hemos descrito y a elegir el servicio adecuado para el escenario. Sin la informática sin servidor, en Tailwind Traders se hubieran visto obligados a configurar y administrar su propia infraestructura informática para estos escenarios empresariales. El equipo habría necesitado supervisar de cerca los servicios para determinar si era necesario escalar el servicio. Y probablemente habría perdido dinero en el proceso, con demasiados o demasiado pocos recursos informáticos dedicados a la solución. Además, posiblemente hubiera sido necesario diseñar, escribir, probar y mantener código personalizado para obtener resultados similares. Gracias a que hemos ayudado a Tailwind Traders a seleccionar las soluciones de informática sin servidor apropiadas, la empresa pudo implementar nuevas funcionalidades para ayudarle a mejorar la satisfacción del cliente con su plataforma de comercio electrónico.

Elección del mejor servicio de Azure IoT para su aplicación El objetivo de esta lección era ayudar a Tailwind Traders a examinar los diferentes servicios de IoT de Azure y a elegir el mejor servicio para los escenarios empresariales de la empresa. Tailwind Traders pudo capturar datos de telemetría de los electrodomésticos, combinarlos con algún aprendizaje automático para predecir el mantenimiento futuro y crear un servicio de valor añadido considerable para los clientes mediante Azure IoT Hub. La empresa pudo implementar un sistema de logística completo en tiempo real para realizar el seguimiento de las entregas y los vehículos con Azure IoT Central y la plantilla de inicio Logística conectada. Por último, pudo diseñar y compilar un terminal de pago autoservicio para puntos de venta moderno y seguro mediante Azure Sphere. Sin los servicios de Azure IoT, se podrían seguir recibiendo mensajes de los dispositivos, pero esto probablemente sería mucho menos seguro y exigiría desarrollo personalizado para implementar un panel para la generación de informes y la administración. Además, sería más difícil insertar actualizaciones de software o firmware en cada dispositivo. El IoT es una evolución emocionante de la informática que une los mundos físico y digital. Los servicios de Azure IoT proporcionan una gran cantidad de funcionalidad a las organizaciones que quieren compilar soluciones basadas en sensores y dispositivos.

Answers Pregunta de repaso 1 Debe predecir el comportamiento futuro a partir de acciones anteriores. ¿Qué opción de producto debe descartar como candidato? †† Azure Machine Learning ■■ Azure Bot Service †† Azure Cognitive Services Explanation Azure Bot Service no ayudará con la predicción. Debe descartarse como candidato. Pregunta de repaso 2 Debe crear una interfaz de equipo humano mediante el lenguaje natural para responder a las preguntas de los clientes. ¿Qué opción de producto debe descartar como candidato? ■■ Azure Machine Learning †† Azure Cognitive Services †† Azure Bot Service Explanation Aunque Azure Machine Learning podría usarse para crear un modelo de lenguaje natural, es probable que el coste y el esfuerzo temporal sean prohibitivos. Debe descartarse como candidato. Pregunta de repaso 3 Debe identificar el contenido de las imágenes de productos para crear automáticamente etiquetas alternativas para las imágenes con el formato correcto. ¿Qué opción de producto es la mejor candidata? †† Azure Machine Learning ■■ Azure Cognitive Services †† Azure Bot Service Explanation Azure Cognitive Services incluye Vision Services, que puede identificar el contenido de una imagen. Azure Cognitive Services es el mejor candidato. Pregunta de repaso 4 ¿Cuál de las siguientes opciones no se utilizaría para automatizar un proceso de CI/CD? †† Azure Pipelines †† Acciones de GitHub ■■ Azure Boards Explanation Azure Boards es una herramienta de administración de proyectos ágil. No se usaría para automatizar un proceso de CI/CD.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 3  155

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

156  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Pregunta de repaso 5 ¿Qué servicio podría ayudarle a administrar las máquinas virtuales que los desarrolladores y los evaluadores necesitan para asegurarse de que la nueva aplicación funciona en diferentes sistemas operativos? ■■ Azure DevTest Labs †† Laboratorios de pruebas de Azure †† Azure Repos Explanation Azure DevTest Labs se usa para administrar máquinas virtuales para pruebas, incluida la configuración, el aprovisionamiento y el desaprovisionamiento automático. Pregunta de repaso 6 ¿A qué servicio le faltan características para asignar tareas de desarrolladores individuales en las que trabajar? †† Azure Boards †† GitHub ■■ Azure Pipelines Explanation Azure Pipelines es una herramienta de CI/CD para compilar una cadena de herramientas automatizada. Le faltan características que permitan asignar tareas para que trabajen ellas desarrolladores individuales. Pero puede automatizar otras herramientas para asignar tareas a los usuarios. Pregunta de repaso 7 Quiere recibir una alerta cuando haya disponibles nuevas recomendaciones para mejorar su entorno de nube. ¿Qué servicio puede hacer esto? ■■ Azure Advisor †† Azure Monitor †† Azure Service Health Explanation Azure Advisor puede avisarle cuando haya nuevas recomendaciones disponibles. Pregunta de repaso 8 ¿Qué servicio ofrece un análisis oficial de la causa principal (RCA) de la interrupción en los incidentes de Azure? †† Azure Advisor †† Azure Monitor ■■ Azure Service Health Explanation Azure Service Health proporciona el historial de incidentes y RCA que se puede compartir con las partes interesadas.

Pregunta de repaso 9 ¿Qué servicio es una plataforma en la que se basa Application Insights y permite la supervisión de máquinas virtuales, contenedores y Kubernetes? †† Azure Advisor ■■ Azure Monitor †† Azure Service Health Explanation Azure Monitor es la plataforma que usa Application Insights. Pregunta de repaso 10 Como administrador, debe recuperar la dirección IP de una VM determinada mediante Bash. ¿Cuál de las siguientes herramientas debería usar? †† Plantillas ARM †† Azure PowerShell †† Azure Portal ■■ La CLI de Azure Explanation La CLI de Azure le permite usar Bash para ejecutar tareas puntuales en Azure. Pregunta de repaso 11 Usted es desarrollador y tiene que configurar su primera VM para hospedar un proceso que se ejecuta por la noche. ¿Cuál de las siguientes herramientas es la mejor opción? †† Plantillas ARM †† Azure PowerShell ■■ Azure Portal †† La CLI de Azure Explanation Azure Portal es un lugar excelente para que los principiantes obtengan información sobre Azure y configuren sus primeros recursos. Pregunta de repaso 12 ¿Cuál es la mejor opción de infraestructura como código para configurar de forma rápida y fiable toda la infraestructura en la nube de forma declarativa? ■■ Plantillas ARM †† Azure PowerShell †† Azure Portal †† La CLI de Azure Explanation Las plantillas de Resource Manager son la mejor opción de infraestructura como código para configurar de manera rápida y fiable toda la infraestructura en la nube de forma declarativa.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 3  157

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

158  Module 3 Descripción de las principales soluciones y herramientas de administración de Azure  

Pregunta de repaso 13 Debe procesar los mensajes de una cola, analizarlos mediante alguna lógica imperativa existente escrita en Java y, después, enviarlos a una API de terceros. ¿Qué opción sin servidor debería elegir? ■■ Azure Functions †† Azure Logic Apps Explanation Azure Functions es la opción correcta porque puede usar código Java existente sin prácticamente cambios. Pregunta de repaso 14 Quiere orquestar un flujo de trabajo con las API de varios servicios conocidos. ¿Cuál es la mejor opción para este escenario? †† Azure Functions ■■ Azure Logic Apps Explanation Azure Logic Apps facilita la creación de un flujo de trabajo en servicios conocidos, puesto que exige menos esfuerzo que escribir código y organizar manualmente todos los pasos. Pregunta de repaso 15 Su equipo no tiene mucha experiencia escribiendo código personalizado, pero ve un gran valor en la automatización de diversos procesos empresariales importantes. ¿Cuál de las siguientes opciones es la mejor opción para el equipo? †† Azure Functions ■■ Azure Logic Apps Explanation Azure Logic Apps es más adecuado para los usuarios que se encuentran más cómodos en un entorno visual en el que pueden automatizar sus procesos empresariales. Functions es la mejor opción en este escenario. Pregunta de repaso 16 Una empresa desea crear una nueva caseta de votación para venderla a los gobiernos de todo el mundo. ¿Qué tecnologías de IoT debería elegir la empresa para garantizar el mayor grado de seguridad? †† IoT Hub †† IoT Central ■■ Azure Sphere Explanation Azure Sphere proporciona el mayor grado de seguridad para garantizar que no se altere el dispositivo.

Pregunta de repaso 17 Una empresa quiere administrar rápidamente sus dispositivos de IoT individuales mediante una interfaz de usuario basada en Internet. ¿Qué tecnología de IoT debe elegir? †† IoT Hub ■■ IoT Central †† Azure Sphere Explanation IoT Central crea rápidamente un portal de administración basado en web para habilitar la generación de informes y la comunicación con dispositivos de IoT. Pregunta de repaso 18 Quiere enviar mensajes desde el dispositivo de IoT a la nube y viceversa. ¿Qué tecnología de IoT permite enviar y recibir mensajes? ■■ IoT Hub †† IoT Central †† Azure Sphere Explanation Un centro de IoT se comunica con los dispositivos de IoT mediante el envío y la recepción de mensajes.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 3  159

Objetivos de aprendizaje Objetivos de aprendizaje Después de completar este módulo, podrá:

●● Fortalecer el nivel de seguridad y proteger frente a amenazas mediante Azure Security Center. ●● Recopilar datos de seguridad de muchos orígenes diferentes mediante Azure Sentinel y tomar medidas conforme a ellos. ●● Almacenar información confidencial, como contraseñas y claves de cifrado, y acceder a ella, de forma segura en Azure Key Vault. ●● Administrar servidores físicos dedicados para hospedar máquinas virtuales de Azure para Windows y Linux mediante Azure Dedicated Host. ●● Identificar las capas que componen una estrategia de defensa en profundidad. ●● Explicar cómo Azure Firewall permite controlar qué tráfico se permite en la red. ●● Configurar grupos de seguridad de red para filtrar el tráfico de red desde y hacia los recursos de Azure en una Microsoft Azure Virtual Network. ●● Explicar cómo Azure DDoS Protection ayuda a proteger sus recursos de Azure frente a ataques DDoS.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

Module 4 Descripción de las características de seguridad general y de seguridad de red

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

162  Module 4 Descripción de las características de seguridad general y de seguridad de red  

Protección frente a amenazas de seguridad en Azure Introducción

En este módulo se proporciona información sobre algunas de las herramientas de seguridad que pueden ayudar a proteger la infraestructura y los datos al trabajar en la nube. Seguridad es una palabra pequeña para un concepto de gran importancia. Hay muchísimos factores que se deben tener en cuenta a la hora de proteger las aplicaciones y los datos. ¿Cómo ayuda Azure a proteger las cargas de trabajo que ejecuta en la nube y en el centro de datos local?

Conozca Tailwind Traders Tailwind Traders1 es una empresa ficticia que distribuye productos para la remodelación del hogar. Esta empresa cuenta con ferreterías minoristas en todo el mundo y en línea. Tailwind Traders está especializada en precios competitivos, envío rápido y una amplia gama de artículos. Va a examinar las tecnologías en la nube para mejorar las operaciones comerciales y apoyar el crecimiento en nuevos mercados. Al migrar a la nube, la empresa tiene previsto mejorar su experiencia de compra para diferenciarse de sus competidores.

¿Cómo ejecuta Tailwind Traders de forma segura en la nube y en el centro de datos? Tailwind Traders ejecuta una combinación de cargas de trabajo en Azure y en su centro de datos. La empresa tiene que garantizar que todos sus sistemas cumplen un nivel mínimo de seguridad y que su información está protegida frente a ataques. También necesita una manera de recopilar eventos de seguridad de su patrimonio digital y de tomar medidas conforme a ellos. Ahora se verá cómo puede Tailwind Traders usar algunas de las herramientas y características de Azure como parte de su estrategia de seguridad general.

Objetivos de aprendizaje Después de completar este módulo, podrá: ●● Fortalecer el nivel de seguridad y proteger frente a amenazas mediante Azure Security Center. ●● Recopilar datos de seguridad de muchos orígenes diferentes mediante Azure Sentinel y tomar medidas conforme a ellos. ●● Almacenar información confidencial, como contraseñas y claves de cifrado, y acceder a ella, de forma segura en Azure Key Vault. ●● Administrar servidores físicos dedicados para hospedar máquinas virtuales de Azure para Windows y Linux mediante Azure Dedicated Host.

1

https://www.tailwindtraders.com/

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

Protección frente a amenazas de seguridad mediante Azure Security Center

Tailwind Traders ampliará su uso de servicios de Azure. Todavía tiene cargas de trabajo locales con procedimientos recomendados actuales de configuración relacionados con la seguridad y procedimientos empresariales. ¿Cómo garantiza que todos sus sistemas satisfagan un nivel mínimo de seguridad y que su información esté protegida frente a ataques? Muchos servicios de Azure incluyen características de seguridad integradas. También hay herramientas en Azure que pueden ayudar a Tailwind Traders con este requisito. Vamos a empezar por examinar Azure Security Center.

¿Qué es Azure Security Center? Azure Security Center2 es un servicio de supervisión que proporciona visibilidad del nivel de seguridad en todos los servicios, tanto en Azure como en el entorno local. El término nivel de seguridad se refiere a las directivas y a los controles de ciberseguridad, así como a la predicción, la prevención y la respuesta a las amenazas de seguridad. Security Center puede: ●● Supervisar la configuración de seguridad en las cargas de trabajo locales y en la nube. ●● Aplicar automáticamente la configuración de seguridad necesaria a los nuevos recursos a medida que se publican en línea. ●● Proporcionar recomendaciones de seguridad basadas en las configuraciones, los recursos y las redes actuales. ●● Supervisar de forma continua los recursos y realizar valoraciones de seguridad automáticas para identificar posibles vulnerabilidades antes de que alguien las aproveche. ●● Usar aprendizaje automático para detectar y bloquear la instalación de malware en las máquinas virtuales y otros recursos. También puede usar controles de aplicaciones adaptables para definir reglas que indiquen las aplicaciones permitidas a fin de garantizar que solo se puedan ejecutar las aplicaciones permitidas. ●● Detectar y analizar posibles ataques entrantes e investigar amenazas y otras actividades posteriores a una brecha que pudieran haberse producido. ●● Proporcionar control de acceso Just-in-Time a los puertos de red. Esto reduce la superficie expuesta a ataques al garantizar que la red solo permite el tráfico necesario en el momento en que se necesita.

Reconocimiento de la posición de seguridad Tailwind Traders puede usar Security Center para obtener un análisis detallado de los distintos componentes de su entorno. Dado que sus recursos se analizan con respecto a los controles de seguridad de 2

https://azure.microsoft.com/services/security-center?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Protección frente a amenazas de seguridad en Azure  163

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

164  Module 4 Descripción de las características de seguridad general y de seguridad de red  

cualquier directiva de gobernanza que haya asignado, puede ver su cumplimiento normativo general desde una perspectiva de seguridad desde una sola ubicación. Este es un ejemplo de lo que se podría ver en Azure Security Center:

Panel de Azure Security Center que muestra el cumplimiento de las directivas, la protección de la seguridad de los recursos y la protección frente a amenazas. Imagine que Tailwind Traders debe cumplir el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS). Este informe muestra que tiene recursos que debe corregir. En la sección Protección de seguridad de recursos puede ver el estado de sus recursos desde una perspectiva de seguridad. Para ayudarle a clasificar por orden de prioridad las acciones correctivas, las recomendaciones se clasifican como de baja, media y alta gravedad. Por ejemplo:

Panel de Azure Security Center que muestra la sección Protección de seguridad de recursos. Las recomendaciones se clasifican como de gravedad alta, media y baja.

¿Qué es la puntuación de seguridad? La puntuación de seguridad3 es una medida del nivel de seguridad de una organización. La puntuación de seguridad se basa en controles de seguridad, o en grupos de recomendaciones de seguridad relacionadas. La puntuación se basa en el porcentaje de controles de seguridad que se satisfacen. Cuantos más controles de seguridad se satisfacen, mayor es la puntuación que se recibe. La puntuación mejora cuando se corrigen todas las recomendaciones de un único recurso dentro de un control.

3

https://docs.microsoft.com/azure/security-center/secure-score-security-controls/?azure-portal=true

Este es un ejemplo de Azure Portal en el que se muestra una puntuación del 57 por ciento, o 34 de 60 puntos:

Captura de pantalla de Azure Portal en la que se muestra una puntuación del 57 por ciento, o 34 de 60 puntos. Si se siguen las recomendaciones de la puntuación de seguridad, es posible proteger la organización frente a amenazas. Desde un panel centralizado de Azure Security Center, las organizaciones pueden supervisar la seguridad de sus recursos de Azure, como identidades, datos, aplicaciones, dispositivos e infraestructura, y trabajar en ella. La puntuación de seguridad ayuda a: ●● Notificar el estado actual del nivel de seguridad de la organización. ●● Mejorar el nivel de seguridad al proporcionar detectabilidad, visibilidad, orientación y control. ●● Comparar con puntos de referencia y establecer indicadores clave de rendimiento (KPI).

Proteger frente a amenazas Security Center también incluye capacidades avanzadas de defensa en la nube para máquinas virtuales, seguridad de red e integridad de archivos. Echemos un vistazo a cómo se aplican algunas de estas capacidades a Tailwind Traders. ●● Acceso Just-in-Time a máquinas virtuales Tailwind Traders va a configurar el acceso Just-in-Time a máquinas virtuales (VM), lo que bloquea el tráfico de forma predeterminada a determinados puertos de red de sus máquinas virtuales, pero lo permite durante un tiempo especificado cuando se solicita y un administrador lo aprueba. ●● Controles de aplicaciones adaptables Tailwind Traders además puede controlar qué aplicaciones se pueden ejecutar en sus máquinas virtuales. En segundo plano, Security Center usa aprendizaje automático para examinar los procesos que se ejecutan en una máquina virtual. Crea reglas de excepción para cada grupo de recursos que contiene las máquinas virtuales y proporciona recomendaciones. Este proceso proporciona alertas que comunican que hay aplicaciones no autorizadas en ejecución en sus máquinas virtuales. ●● Protección de red adaptable Security Center también puede supervisar los patrones de tráfico de Internet de las máquinas virtuales y compararlos con la configuración actual de sus grupos de seguridad de red (NSG). A partir de ahí, Security Center puede hacer recomendaciones sobre si los NSG deben bloquearse más y proporcionar pasos de corrección. ●● Supervisión de integridad de archivos Tailwind Traders también puede configurar la supervisión de los cambios en archivos importantes tanto en Windows como en Linux, la configuración del registro, las aplicaciones y otros aspectos que podrían indicar un ataque de seguridad.

Responder a alertas de seguridad Tailwind Traders puede usar Security Center para obtener una vista centralizada de todas sus alertas de seguridad. Desde ahí, Tailwind Traders puede descartar las alertas falsas, investigarlas más, corregir una alerta manualmente o usar una respuesta automatizada con una automatización de flujos de trabajo.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Protección frente a amenazas de seguridad en Azure  165

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

166  Module 4 Descripción de las características de seguridad general y de seguridad de red  

La automatización de flujos de trabajo usa conectores de Logic Apps y Security Center. La instancia de Logic Apps se puede desencadenar por medio de una alerta de detección de amenazas o una recomendación de Security Center, filtrada por nombre o por gravedad. Luego se puede configurar para que ejecute una acción, como enviar un correo electrónico o publicar un mensaje en un canal de Microsoft Teams.

Detección de amenazas de seguridad y respuesta a ellas mediante Azure Sentinel La administración de la seguridad a gran escala puede beneficiarse de un sistema de administración de eventos e información de seguridad (SIEM) dedicado. Un SIEM agrega datos de seguridad de muchos orígenes diferentes (siempre y cuando dichos orígenes admitan un formato de registro de estándar abierto) y proporciona capacidades adicionales para la detección de amenazas y la respuesta a ellas.

Azure Sentinel4 es un SIEM de Microsoft basado en la nube con tecnología de análisis de amenazas y de seguridad inteligente de Microsoft.

Funciones de Azure Sentinel Azure Sentinel permite: ●● Recopile datos a escala de nube Recopile datos de todos los usuarios, dispositivos, aplicaciones y de toda la infraestructura, tanto en el entorno local como en diversas nubes. ●● Detecte amenazas que antes no detectaba Minimice los falsos positivos mediante el análisis exhaustivo y la inteligencia sobre amenazas de Microsoft. ●● Investigue amenazas con inteligencia artificial Examine actividades sospechosas a gran escala y aproveche años de experiencia de ciberseguridad de Microsoft. ●● Responda a los incidentes rápidamente Utilice la orquestación y la automatización de tareas comunes integradas.

Conexión de los orígenes de datos Tailwind Traders decide explorar las capacidades de Azure Sentinel. En primer lugar, identifica y conecta sus orígenes de datos. Azure Sentinel admite una serie de orígenes de datos que puede analizar en busca de eventos de seguridad. Estas conexiones las administran conectores integrados o API y formatos de registro estándar del sector. ●● Conecte las soluciones Microsoft Estos conectores proporcionan integración en tiempo real para servicios como soluciones de Protección contra amenazas de Microsoft, orígenes de Microsoft 365 (incluido Office 365), Azure Active Directory, Firewall de Windows Defender, etc. ●● Conecte otros servicios y soluciones Hay conectores disponibles para una serie de servicios y soluciones comunes que no son de Microsoft, incluidos AWS CloudTrail, Citrix Analytics (Security), Sophos XG Firewall, VMware Carbon Black Cloud, Okta SSO, etc. ●● Conecte orígenes de datos estándares del sector Azure Sentinel admite datos de otros orígenes que usan el estándar de mensajería Formato de evento común (CEF), Syslog o la API de REST.

4

https://azure.microsoft.com/services/azure-sentinel/?azure-portal=true

Detectar amenazas A continuación, se debe comunicar a Tailwind Traders cuando ocurre algo sospechoso. Decide usar tanto análisis integrados como reglas personalizadas para detectar amenazas. Los análisis integrados usan plantillas diseñadas por el equipo de expertos y analistas de seguridad de Microsoft que se basan en amenazas conocidas, vectores de ataque comunes y cadenas de escalado de actividades sospechosas. Estas plantillas se pueden personalizar y buscan cualquier actividad que parezca sospechosa en el entorno. También hay plantillas que usan análisis de comportamiento de aprendizaje automático que se basan en algoritmos propiedad de Microsoft. Los análisis personalizados son reglas que se crean para buscar criterios concretos en el entorno. Se puede obtener una vista previa del número de resultados que generaría la consulta (en función de los eventos de registro pasados) y establecer una programación para que se ejecute la consulta, así como establecer un umbral de alerta.

Investigación y respuesta Por último, cuando Azure Sentinel detecta eventos sospechosos, Tailwind Traders puede investigar alertas o incidentes (un grupo de alertas relacionadas) concretos. Con el grafo de investigación, puede revisar información de entidades directamente conectadas a la alerta y ver consultas de exploración comunes para ayudar a guiar la investigación. También va a usar Libros de Azure Monitor5 para automatizar las respuestas a las amenazas. Por ejemplo, puede establecer una alerta que busque direcciones IP malintencionadas que accedan a la red y crear un libro que siga estos pasos: 1. Cuando se desencadene la alerta, abrir una incidencia en el sistema de incidencias de TI. 2. Enviar un mensaje al canal de operaciones de seguridad de Microsoft Teams o Slack para asegurarse de que los analistas de seguridad conocen el incidente. 3. Enviar toda la información de la alerta al administrador de red sénior y al administrador de seguridad. El mensaje de correo electrónico además incluye dos botones de opción de usuario: Bloquear u Omitir. 4. El libro sigue ejecutándose después de recibir una respuesta de los administradores. 5. Cuando un administrador selecciona Bloquear, la dirección IP se bloquea en el firewall y el usuario se deshabilita en Azure Active Directory. 6. Cuando un administrador selecciona Omitir, la alerta se cierra en Azure Sentinel y el incidente se cierra en el sistema de incidencias de TI. Los libros se pueden ejecutar manual o automáticamente cuando una regla desencadena una alerta.

Almacenamiento y administración de secretos mediante Azure Key Vault

A medida que Tailwind Traders compila sus cargas de trabajo en la nube, la información confidencial, como las contraseñas, las claves de cifrado y los certificados, debe controlarse cuidadosamente. Esta información debe estar disponible para que una aplicación funcione, pero podría permitir que una persona no autorizada accediera a los datos de la aplicación.

5

https://docs.microsoft.com/azure/azure-monitor/platform/workbooks-overview/?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Protección frente a amenazas de seguridad en Azure  167

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

168  Module 4 Descripción de las características de seguridad general y de seguridad de red  

Azure Key Vault6 es un servicio en la nube centralizado para almacenar los secretos de la aplicación en una única ubicación central. Proporciona un acceso seguro a la información confidencial mediante capacidades de control de acceso y registro.

¿Qué puede hacer Azure Key Vault? Azure Key Vault puede ayudar a: ●● Administrar secretos Puede usar Key Vault para almacenar de forma segura y controlar exhaustivamente el acceso a tokens, contraseñas, certificados, claves de API y otros secretos. ●● Administrar de claves de cifrado Puede usar Key Vault como solución de administración de claves. Key Vault facilita la creación y el control de las claves de cifrado que se emplean para cifrar los datos. ●● Administrar certificados SSL/TLS Key Vault permite aprovisionar, administrar e implementar los certificados públicos y privados de Capa de sockets seguros/Seguridad de la capa de transporte (SSL/ TLS) de los recursos de Azure y los recursos internos. ●● Almacenamiento de secretos con el respaldo de módulos de Hardware Security (HSM) Las claves y secretos se pueden proteger mediante software o mediante HSM validados por FIPS 140-2 de nivel 2 Este es un ejemplo donde se muestra un certificado que se usa para realizar pruebas en Key Vault.

Más adelante en este módulo se agrega un secreto a Key Vault.

¿Cuáles son las ventajas de Azure Key Vault? Entre las ventajas de usar Key Vault se incluyen: ●● Secretos de la aplicación centralizados La centralización del almacenamiento de los secretos de la aplicación permite controlar su distribución y reduce las posibilidades de que se filtren accidentalmente. ●● Secretos y claves almacenados con seguridad Azure utiliza algoritmos estándares del sector, longitudes de clave y HSM. El acceso a Key Vault requiere una autenticación y autorización adecuadas. ●● Supervisión y control de acceso Con Key Vault, puede supervisar y controlar el acceso a los secretos de la aplicación.

6

https://azure.microsoft.com/services/key-vault?azure-portal=true

●● Administración simplificada de secretos de la aplicación Key Vault facilita la inscripción y la renovación de certificados de entidades de certificación (CA) públicas. También puede escalar verticalmente y replicar contenido dentro de regiones y usar herramientas de administración de certificados estándar. ●● Integración con otros servicios de Azure Puede integrar Key Vault con cuentas de almacenamiento, registros de contenedores, centros de eventos y muchos más servicios de Azure. Entonces, estos servicios pueden hacer referencia de forma segura a los secretos almacenados en Key Vault.

Hospedaje de máquinas virtuales de Azure en servidores físicos dedicados mediante Azure Dedicated Host

En Azure, las máquinas virtuales (VM) se ejecutan en hardware compartido administrado por Microsoft. Aunque el hardware subyacente se comparte, las cargas de trabajo de las máquinas virtuales están aisladas de las que ejecutan otros clientes de Azure. Pero algunas organizaciones deben ajustarse a un cumplimiento normativo que las obliga a ser el único cliente que usa la máquina física que hospeda sus máquinas virtuales. Azure Dedicated Host7 proporciona servidores físicos dedicados para hospedar las máquinas virtuales de Azure para Windows y Linux.

¿Cuáles son las ventajas de Azure Dedicated Host? Azure Dedicated Host: ●● Ofrece visibilidad y control sobre la infraestructura de servidor que ejecuta las máquinas virtuales de Azure. ●● Ayuda a satisfacer requisitos de cumplimiento mediante la implementación de las cargas de trabajo en un servidor aislado. ●● Permite elegir el número de procesadores, capacidades de servidor, series de máquinas virtuales y tamaños de máquina virtual dentro del mismo host.

Consideraciones de disponibilidad de Dedicated Host Después de aprovisionar un host dedicado, Azure lo asigna al servidor físico en el centro de datos en la nube de Microsoft. Para lograr una alta disponibilidad, puede aprovisionar varios hosts en un grupo host e implementar las máquinas virtuales en este grupo. Las máquinas virtuales de los hosts dedicados también pueden aprovechar el control de mantenimiento, que permite controlar cuándo se producen las actualizaciones de mantenimiento periódicas, en una ventana con desplazamiento de 35 días.

Consideraciones sobre precios Se cobra por host dedicado, independientemente de cuántas máquinas virtuales se implementen en él. El precio del host se basa en la familia de máquinas virtuales, el tipo (tamaño de hardware) y la región. Las licencias de software, el almacenamiento y el uso de red se facturan por separado al host y las máquinas virtuales. Para obtener más información, consulte Precios de Azure Dedicated Host8. 7 8

https://azure.microsoft.com/services/virtual-machines/dedicated-host/?azure-portal=true https://aka.ms/ADHPricing/?azure-portal=true-spa

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Protección frente a amenazas de seguridad en Azure  169

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

170  Module 4 Descripción de las características de seguridad general y de seguridad de red  

Conectividad de red segura en Azure Introducción

Todas las aplicaciones y servicios, tanto si están en la nube como en un entorno local, deben diseñarse teniendo en cuenta la seguridad. Hay demasiado que perder. Por ejemplo, un ataque por denegación de servicio podría impedir que los clientes llegaran al sitio o los servicios web, y estorbar las actividades empresariales. O bien, el sitio web podría ser objeto de ataques, lo que provocaría daños en tu reputación. Una vulneración de datos sería incluso peor, ya que puede arruinar la confianza que ha costado conseguir y provoca daños personales y financieros considerables.

Conozca Tailwind Traders Tailwind Traders9 es una empresa ficticia que distribuye productos para la remodelación del hogar. Esta empresa cuenta con ferreterías minoristas en todo el mundo y en línea. Tailwind Traders está especializada en precios competitivos, envío rápido y una amplia gama de artículos. Va a examinar las tecnologías en la nube para mejorar las operaciones comerciales y apoyar el crecimiento en nuevos mercados. Al migrar a la nube, la empresa tiene previsto mejorar su experiencia de compra para diferenciarse de sus competidores.

¿Cómo protegerá Tailwind Traders sus redes? A medida que Tailwind Traders se cambia a la nube, debe evaluar sus necesidades de seguridad antes de poder implementar una sola línea de código en producción. Aunque la seguridad se debe tener en cuenta en todas las capas de las aplicaciones de la empresa (desde los servidores físicos hasta los datos de la aplicación), hay algunos factores que se relacionan específicamente con la configuración de red y el tráfico de red de cargas de trabajo basadas en la nube. En este módulo, se centrará en las funcionalidades de seguridad de red de Azure y revisará cómo estas le ayudan a proteger sus soluciones en la nube, en función de sus necesidades empresariales.

Objetivos de aprendizaje Al término de este módulo, sabrá hacer lo siguiente: ●● Identificar las distintas capas que componen una estrategia de defensa en profundidad. ●● Explicar cómo Azure Firewall permite controlar qué tráfico se permite en la red. ●● Configurar grupos de seguridad de red para filtrar el tráfico de red desde y hacia los recursos de Azure en una Microsoft Azure Virtual Network. ●● Explicar cómo Azure DDoS Protection ayuda a proteger sus recursos de Azure frente a ataques DDoS.

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática

9

https://www.tailwindtraders.com/

●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

¿Qué es la defensa en profundidad?

En la actualidad, Tailwind Traders ejecuta sus cargas de trabajo de forma local, en su centro de datos. La ejecución local implica que es responsable de todos los aspectos de la seguridad, desde el acceso físico a los edificios hasta el modo en que los datos viajan y salen de la red. Quiere saber cómo se compara su estrategia de defensa actual en profundidad con la ejecución en la nube.

Protección de redes virtuales mediante el uso de Azure Firewall Un firewall es un dispositivo de seguridad de red que supervisa el tráfico de red entrante y saliente y decide si se permite o bloquea un tráfico específico en función de un conjunto definido de reglas de seguridad. Puede crear reglas de firewall que especifiquen intervalos de direcciones IP. Solo los clientes a los que se les hayan concedido direcciones IP de dentro de dichos intervalos pueden acceder al servidor de destino. Las reglas de firewall también pueden incluir información específica de puertos y protocolos de red.

En la actualidad, Tailwind Traders ejecuta dispositivos de firewall, que combinan hardware y software, para proteger su red local. Para operar, estos dispositivos de firewall requieren una cuota de licencia mensual, así como que el personal de TI realice un mantenimiento rutinario. A medida que Tailwind Traders se mueve a la nube, el administrador de TI quiere saber qué servicios de Azure pueden proteger sus redes en la nube, así como sus redes locales. En esta parte, explorará Azure Firewall.

¿Qué es Azure Firewall? Azure Firewall10 es un servicio de seguridad de red administrado y basado en la nube que protege los recursos de Azure Virtual Network. Una red virtual es similar a una red tradicional con la que trabajaría en su propio centro de datos. Es un bloque de creación fundamental para la red privada que permite que las máquinas virtuales y otros recursos de proceso se comuniquen de forma segura entre sí, con Internet y con redes locales. Este es un diagrama en el que se muestra una implementación básica de Azure Firewall:

10 https://azure.microsoft.com/services/azure-firewall?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Conectividad de red segura en Azure  171

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

172  Module 4 Descripción de las características de seguridad general y de seguridad de red  

Azure Firewall es un firewall con estado. Un firewall con estado analiza el contexto completo de una conexión de red, no solo un paquete individual de tráfico de red. Azure Firewall incluye alta disponibilidad y escalabilidad en la nube sin restricciones. Azure Firewall proporciona una ubicación central para crear, aplicar y registrar directivas de conectividad de red y de aplicaciones entre suscripciones y redes virtuales. Azure Firewall usa una dirección IP pública estática (invariable) para los recursos de redes virtuales, lo que permite que los firewall externos identifiquen el tráfico entrante de redes virtuales. El servicio se integra con Azure Monitor para habilitar el registro y el análisis. Azure Firewall proporciona muchas características, que incluyen: ●● Alta disponibilidad incorporada. ●● Escalabilidad ilimitada de la nube. ●● Reglas de filtrado de entrada y salida. ●● Compatibilidad con la traducción de direcciones de red de destino (DNAT). ●● Registro de Azure Monitor. Por lo general, implementa Azure Firewall en una red virtual central para controlar el acceso general a la red.

¿Qué se puede configurar con Azure Firewall? Con Azure Firewall, puede configurar: ●● Reglas de aplicación que definen nombres de dominio totalmente calificados (FQDN) a los que se puede acceder desde una subred. ●● Reglas de red que definen la dirección de origen, el protocolo, el puerto de destino y la dirección de destino. ●● Reglas de traducción de direcciones de red (NAT) que definen los puertos y las direcciones IP de destino para traducir las solicitudes entrantes. Azure Application Gateway11 también proporciona un firewall, denominado firewall de aplicaciones web (WAF). WAF proporciona protección centralizada y entrante para sus aplicaciones web contra vulnerabilidades y ataques comunes. Azure Front Door12 y Azure Content Delivery Network13 (CDN) también proporcionan servicios de firewall de aplicaciones web.

Protección contra ataques de DDoS mediante el uso de Azure DDoS Protection

Cualquier compañía de gran tamaño puede ser objeto de un ataque de red a gran escala. Tailwind Traders no es una excepción. Los atacantes podrían inundar la red para crear una instrucción o simplemente por el desafío. A medida que se mueve a la nube, Tailwind Traders quiere comprender cómo Azure puede ayudarle a evitar los ataques de denegación de servicio distribuido (DDoS), entre otros. En esta sección, obtendrá información sobre cómo Azure DDoS Protection (nivel de servicio Estándar) ayuda a proteger sus recursos de Azure frente a ataques DDoS. En primer lugar, vamos a definir qué es un ataque DDoS. 11 https://azure.microsoft.com/services/application-gateway?azure-portal=true 12 https://azure.microsoft.com/services/frontdoor/?azure-portal=true 13 https://azure.microsoft.com/services/cdn/?azure-portal=true

¿Qué son los ataques DDoS? Un ataque de denegación de servicio distribuido14 (DDoS) intenta sobrecargar y agotar los recursos de una aplicación, lo que provoca que la aplicación sea lenta o no responda a los usuarios legítimos. Los ataques DDoS pueden estar dirigidos a cualquier recurso que sea accesible públicamente a través de Internet, incluidos los sitios web.

¿Qué es Azure DDoS Protection? Azure DDoS Protection15 (Estándar) ayuda a proteger sus recursos de Azure frente a ataques DDoS. Al combinar DDoS Protection con los procedimientos recomendados de diseño de aplicaciones, contribuye a la defensa frente a los ataques DDoS. DDoS Protection usa la escala y la elasticidad de la red global de Microsoft para incorporar capacidad de mitigación DDoS a cada región de Azure. El servicio DDoS Protection protege las aplicaciones de Azure al analizar y descartar el tráfico DDoS en el borde de red de Azure antes de que afecte a la disponibilidad del servicio. Este diagrama muestra el tráfico de red que llega a Azure de los clientes y un atacante:

La protección contra DDoS de Azure identifica el intento del atacante de sobrecargar la red y evita que llegue más tráfico de él, y asegura que el tráfico nunca llega a los servicios de Azure. El tráfico legítimo de los clientes seguirá llegando a Azure sin ninguna interrupción del servicio. DDoS Protection también puede ayudarle a administrar el consumo de la nube. Al ejecutar de forma local, tiene un número fijo de recursos de proceso. Pero, en la nube, la informática elástica significa que puede escalar horizontalmente la implementación de forma automática en función de la demanda. Un ataque de DDoS diseñado inteligentemente puede hacer que aumente la asignación de recursos, lo que provoca gastos innecesarios. DDoS Protection Estándar ayuda a garantizar que la carga de red que se procesa refleja el uso del cliente. También puede recibir crédito por los costes acumulados para los recursos escalados horizontalmente durante un ataque DDoS.

¿Qué niveles de servicio están disponibles para DDoS Protection? DDoS Protection proporciona estos niveles de servicio: ●● Básico El nivel de servicio básico está habilitado de forma automática sin coste como parte de la suscripción de Azure. La supervisión continua del tráfico y la mitigación en tiempo real de ataques de nivel de red comunes ofrecen la misma defensa que usan los servicios en línea de Microsoft. El nivel Básico garantiza que la infraestructura de Azure no se vea afectada durante un ataque DDoS a gran escala. La red global de Azure se usa para distribuir y mitigar el tráfico de ataques en las distintas regiones de Azure. 14 https://azure.microsoft.com/services/ddos-protection?azure-portal=true 15 https://azure.microsoft.com/services/ddos-protection/?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Conectividad de red segura en Azure  173

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

174  Module 4 Descripción de las características de seguridad general y de seguridad de red  

●● Estándar El nivel Estándar ofrece funcionalidades adicionales de mitigación adaptadas específicamente a los recursos de Azure Virtual Network. DDoS Protection Estándar es relativamente fácil de habilitar y no requiere ningún cambio en la aplicación. El nivel Estándar proporciona supervisión del tráfico siempre activa y mitigación en tiempo real de los ataques a nivel de red más comunes. Proporciona las mismas defensas que los servicios en línea de Microsoft. Las directivas de protección se ajustan a través de algoritmos dedicados de supervisión de tráfico y aprendizaje automático. Las directivas se aplican a direcciones IP públicas asociadas a recursos implementados en redes virtuales, como Azure Load Balancer y Application Gateway. La red global de Azure se usa para distribuir y mitigar el tráfico de ataques en las distintas regiones de Azure.

¿Qué tipos de ataques ayuda a evitar DDoS Protection? El nivel Estándar puede ayudar a evitar: ●● Ataques volumétricos El objetivo de este ataque es desbordar la capa de red con una gran cantidad de tráfico aparentemente legítimo. ●● Ataques de protocolo Estos ataques representan un destino inaccesible al aprovechar una vulnerabilidad en la pila de protocolo en los niveles 3 y 4. ●● Ataques de nivel de recurso (aplicación) (solo con firewall de aplicaciones web) Estos ataques van dirigidos a paquetes de aplicaciones web y su objetivo es interrumpir la transmisión de datos entre hosts. Necesita un firewall de aplicaciones web para protegerse contra ataques de L7. DDoS Protection Estándar protege el firewall de aplicaciones web (WAF) de los ataques de protocolo y volumétricos.

Filtrado del tráfico de red mediante grupos de seguridad de red

Aunque Azure Firewall y Azure DDoS Protection pueden ayudar a controlar el tráfico que puede provenir de orígenes externos, a Tailwind Traders también le gustaría saber cómo proteger sus redes internas en Azure. Esto le proporcionará una capa adicional de defensa contra los ataques. En este artículo, se examinan los grupos de seguridad de red.

¿Que son los grupos de seguridad de red? Un grupo de seguridad de red16 (NSG) le permite filtrar el tráfico de red con los recursos de Azure en una red virtual de Azure. Puede considerar los grupos de seguridad de red como un firewall interno. Un NSG puede contener múltiples reglas de seguridad de entrada y salida que le permiten filtrar el tráfico hacia y desde los recursos por dirección IP, puerto y protocolo de origen y destino.

¿Cómo especifico las reglas de los grupos de seguridad de red? Un grupo de seguridad de red puede contener tantas reglas como sea necesario, dentro de los límites de suscripción de Azure. Cada regla especifica las siguientes propiedades: Propiedad

Descripción

Nombre

Nombre único para el grupo de seguridad de red.

16 https://docs.microsoft.com/azure/virtual-network/security-overview#network-security-groups?azure-portal=true

Propiedad

Descripción

Prioridad

Número comprendido entre 100 y 4096 Las reglas se procesan en orden de prioridad, con los números más bajos procesados antes que los números más altos.

Origen o destino

Una dirección IP o intervalo de direcciones IP, una etiqueta de servicio o un grupo de seguridad de aplicaciones únicos.

Protocolo

TCP, UDP o cualquiera.

Dirección

Si la regla se aplica al tráfico de entrada o salida.

Rango de puertos

Un único puerto o un rango de puertos.

Acción

Permitir o denegar.

Cuando crea un grupo de seguridad de red, Azure crea una serie de reglas predeterminadas para proporcionar un nivel básico de seguridad. No puede eliminar las reglas predeterminadas, pero puede reemplazarlas creando nuevas reglas con prioridades más altas.

Combinación de servicios de Azure para crear una solución de seguridad de red completa

Al considerar la solución de seguridad de Azure, tenga en cuenta todos los elementos de la defensa en profundidad. Estas son algunas recomendaciones sobre cómo combinar los servicios de Azure para crear una solución de seguridad de red completa.

Protección de la capa perimetral La capa perimetral trata sobre la protección de los recursos de su organización frente a ataques basados en red. Identificar estos ataques, alertar a los equipos de seguridad adecuados y eliminar sus repercusiones es importante para proteger la red. Para hacerlo: ●● Use Azure DDoS Protection para filtrar los ataques a gran escala antes de que puedan causar una denegación de servicio para los usuarios finales. ●● Use firewalls perimetrales con Azure Firewall para identificar los ataques malintencionados contra la red y alertar sobre ellos.

Protección de la capa de red En esta capa, el enfoque está en limitar la conectividad de la red en todos los recursos para permitir solo la necesaria. Segmente los recursos y use controles de nivel de red para restringir la comunicación a lo imprescindible. Al restringir la conectividad, reduce el riesgo de movimiento lateral en toda su red por un ataque. Use los grupos de seguridad de red para crear reglas que definan qué comunicación entrante y saliente se permite en esta capa. Estos son algunos procedimientos recomendados: ●● Limite la comunicación entre los recursos mediante la segmentación de la red y la configuración de controles de acceso. ●● Deniegue de forma predeterminada.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Conectividad de red segura en Azure  175

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

176  Module 4 Descripción de las características de seguridad general y de seguridad de red  

●● Restrinja el acceso entrante de Internet y limite el saliente cuando sea apropiado. ●● Implemente una conectividad segura a las redes locales.

Combinación de servicios También puede combinar los servicios de redes y seguridad de Azure para administrar la seguridad de red y proporcionar mayor protección por capas. Estas son algunas formas de combinar los servicios: ●● Grupos de seguridad de red y Azure Firewall Azure Firewall complementa la funcionalidad de los grupos de seguridad de red. Juntos proporcionan una mejor seguridad de red de defensa en profundidad. Los grupos de seguridad de red proporcionan filtrado de tráfico distribuido a nivel de red para limitar el tráfico a los recursos dentro de las redes virtuales de cada suscripción. Azure Firewall es un firewall de red como servicio centralizado y con estado completo. Proporciona protección de nivel de red y de aplicación en diferentes suscripciones y redes virtuales. ●● Firewall de aplicaciones web de Azure Application Gateway y Azure Firewall El firewall de aplicaciones web (WAF) es una característica de Azure Application Gateway que proporciona a las aplicaciones web una protección entrante centralizada contra vulnerabilidades de seguridad comunes. Azure Firewall proporciona lo siguiente: ●● Protección entrante para protocolos que no son HTTP/S (por ejemplo, RDP, SSH y FTP). ●● Protección de nivel de red de salida para todos los puertos y protocolos. ●● Protección de nivel de aplicación para HTTP/S saliente. La combinación de todos ellos proporciona más niveles de protección.

Preguntas de repaso del módulo 4 Preguntas de repaso del módulo 04 Pregunta de repaso 1 ¿Cómo puede una empresa conseguir que solo se ejecuten en sus máquinas virtuales determinadas aplicaciones? †† Mediante la conexión de sus máquinas virtuales a Azure Sentinel. †† Mediante la creación de una regla de control de aplicaciones en Azure Security Center. †† Mediante la ejecución periódica de un script que muestre los procesos en ejecución en cada máquina virtual. Luego el administrador de TI puede apagar cualquier aplicación que no se deba estar ejecutando.

Pregunta de repaso 2 ¿Cuál es la forma más sencilla de que una empresa combine los datos de seguridad de todas sus herramientas de supervisión en un único informe sobre el que pueda tomar medidas? †† Recopilar datos de seguridad en Azure Sentinel. †† Compilar una herramienta personalizada que recopile datos de seguridad y muestre un informe a través de una aplicación web. †† Revisar cada registro de seguridad diariamente y enviar un resumen al equipo por correo electrónico.

Pregunta de repaso 3 ¿Cuál es la mejor manera de que una empresa almacene sus certificados de forma segura a fin de que sean accesibles para sus máquinas virtuales en la nube? †† Colocar los certificados en un recurso compartido de red. †† Almacenarlos en una máquina virtual protegida mediante una contraseña. †† Almacenar los certificados en Azure Key Vault.

Pregunta de repaso 4 ¿Cómo puede una empresa garantizar que determinadas cargas de trabajo de máquinas virtuales estén físicamente aisladas de las que se ejecutan en otros clientes de Azure? †† Mediante la configuración de la red para garantizar que las máquinas virtuales del mismo host físico estén aisladas. †† Esto no es posible. Estas cargas de trabajo deben ejecutarse en el entorno local. †† Mediante la ejecución de las máquinas virtuales en Azure Dedicated Host.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Preguntas de repaso del módulo 4  177

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

178  Module 4 Descripción de las características de seguridad general y de seguridad de red  

Pregunta de repaso 5 Un atacante puede dejar fuera de servicio el sitio web enviando un gran volumen de tráfico de red a los servidores. ¿Qué servicio de Azure puede ayudar a una empresa a proteger su instancia de App Service ante este tipo de ataque? †† Azure Firewall †† Grupos de seguridad de red †† Azure DDoS Protection

Pregunta de repaso 6 ¿Cuál es la mejor forma para una empresa de limitar todo el tráfico saliente de máquinas virtuales a hosts conocidos? †† Configurar Azure DDoS Protection para limitar el acceso de red a los puertos y hosts de confianza. †† Crear reglas de aplicación en Azure Firewall. †† Asegurarse de que todas las aplicaciones en ejecución solo se comunican con los puertos y hosts de confianza.

Pregunta de repaso 7 ¿Cómo puede una empresa implementar con más facilidad una directiva Denegar de forma predeterminada para que las máquinas virtuales no se puedan conectar entre sí? †† Mediante la asignación de una red virtual propia a cada máquina virtual. †† Creando una regla de grupo de seguridad de red que impida el acceso desde otra máquina virtual de la misma red. †† Mediante la configuración de Azure DDoS Protection para que limite el acceso de red dentro de la red virtual.

Resumen del módulo 4 Resumen del módulo 04 Protección frente a amenazas de seguridad en Azure Tailwind Traders se enfrenta a una serie de retos de seguridad, y en el mundo digital actual, sus necesidades no son únicas. Azure proporciona herramientas y servicios que pueden ayudar a detectar importantes eventos de seguridad y a tomar medidas conforme a ellos. También proporciona formas de ayudar a proteger los datos, lo que, para empezar, puede evitar que se produzcan incidentes de seguridad. En esta lección, ha obtenido información sobre servicios de Azure relacionados con la seguridad. Este es un breve resumen: ●● Azure Security Center proporciona visibilidad del nivel de seguridad en todos los servicios, tanto en Azure como en el entorno local. ●● Azure Sentinel agrega datos de seguridad de muchos orígenes diferentes y proporciona capacidades adicionales para la detección de amenazas y la respuesta a estas. ●● Azure Key Vault almacena los secretos de las aplicaciones, como contraseñas, claves de cifrado y certificados, en una única ubicación central. ●● Azure Dedicated Host proporciona servidores físicos dedicados para hospedar las máquinas virtuales de Azure para Windows y Linux.

Conectividad de red segura en Azure En esta lección, ha aprendido algunas de las formas en que puede proteger el tráfico de red tanto en Azure como en el centro de datos local. La defensa en profundidad es el tema principal. Piense en la seguridad como un problema con varias capas y vectores. Las amenazas surgen de lugares inesperados y su intensidad puede sorprendernos. Tailwind Traders ahora tiene algunas herramientas y servicios que pueden usar para proteger sus redes. Este es un breve resumen: ●● Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que ayuda a proteger los recursos en las redes virtuales de Azure. ●● Una red virtual de Azure es similar a una red tradicional con la que trabajaría en un centro de datos propio. Permite que las máquinas virtuales y otros recursos de proceso se comuniquen de forma segura entre ellos, con Internet y con las redes locales. ●● Un grupo de seguridad de red (NSG) le permite filtrar el tráfico de red desde y hacia los recursos de Azure dentro de una red virtual. ●● Azure DDoS Protection ayuda a proteger los recursos de Azure frente a ataques DDoS.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 4  179

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

180  Module 4 Descripción de las características de seguridad general y de seguridad de red  

Answers Pregunta de repaso 1 ¿Cómo puede una empresa conseguir que solo se ejecuten en sus máquinas virtuales determinadas aplicaciones? †† Mediante la conexión de sus máquinas virtuales a Azure Sentinel. ■■ Mediante la creación de una regla de control de aplicaciones en Azure Security Center. †† Mediante la ejecución periódica de un script que muestre los procesos en ejecución en cada máquina virtual. Luego el administrador de TI puede apagar cualquier aplicación que no se deba estar ejecutando. Explanation Con Azure Security Center puede definir una lista de aplicaciones permitidas para asegurarse de que solo se puedan ejecutar las permitidas. Azure Security Center también puede detectar y bloquear la instalación de malware en las máquinas virtuales. Pregunta de repaso 2 ¿Cuál es la forma más sencilla de que una empresa combine los datos de seguridad de todas sus herramientas de supervisión en un único informe sobre el que pueda tomar medidas? ■■ Recopilar datos de seguridad en Azure Sentinel. †† Compilar una herramienta personalizada que recopile datos de seguridad y muestre un informe a través de una aplicación web. †† Revisar cada registro de seguridad diariamente y enviar un resumen al equipo por correo electrónico. Explanation Azure Sentinel es el SIEM basado en la nube de Microsoft. Un SIEM agrega datos de seguridad de muchos orígenes diferentes para proporcionar capacidades adicionales para la detección de amenazas y la respuesta a estas. Pregunta de repaso 3 ¿Cuál es la mejor manera de que una empresa almacene sus certificados de forma segura a fin de que sean accesibles para sus máquinas virtuales en la nube? †† Colocar los certificados en un recurso compartido de red. †† Almacenarlos en una máquina virtual protegida mediante una contraseña. ■■ Almacenar los certificados en Azure Key Vault. Explanation Azure Key Vault permite almacenar los secretos en una única ubicación central. Key Vault también facilita la inscripción y la renovación de certificados de entidades de certificación (CA) públicas.

Pregunta de repaso 4 ¿Cómo puede una empresa garantizar que determinadas cargas de trabajo de máquinas virtuales estén físicamente aisladas de las que se ejecutan en otros clientes de Azure? †† Mediante la configuración de la red para garantizar que las máquinas virtuales del mismo host físico estén aisladas. †† Esto no es posible. Estas cargas de trabajo deben ejecutarse en el entorno local. ■■ Mediante la ejecución de las máquinas virtuales en Azure Dedicated Host. Explanation Azure Dedicated Host proporciona servidores físicos dedicados para hospedar las máquinas virtuales de Azure para Windows y Linux. Pregunta de repaso 5 Un atacante puede dejar fuera de servicio el sitio web enviando un gran volumen de tráfico de red a los servidores. ¿Qué servicio de Azure puede ayudar a una empresa a proteger su instancia de App Service ante este tipo de ataque? †† Azure Firewall †† Grupos de seguridad de red ■■ Azure DDoS Protection Explanation DDoS Protection ayuda a proteger sus recursos de Azure frente a ataques DDoS. Un ataque DDoS intenta sobrecargar y agotar los recursos de una aplicación, lo que provoca que la aplicación sea lenta o no responda a los usuarios legítimos. Pregunta de repaso 6 ¿Cuál es la mejor forma para una empresa de limitar todo el tráfico saliente de máquinas virtuales a hosts conocidos? †† Configurar Azure DDoS Protection para limitar el acceso de red a los puertos y hosts de confianza. ■■ Crear reglas de aplicación en Azure Firewall. †† Asegurarse de que todas las aplicaciones en ejecución solo se comunican con los puertos y hosts de confianza. Explanation Azure Firewall le permite limitar el tráfico HTTP/S saliente a una lista especificada de nombres de dominio completos (FQDN).

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 4  181

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

182  Module 4 Descripción de las características de seguridad general y de seguridad de red  

Pregunta de repaso 7 ¿Cómo puede una empresa implementar con más facilidad una directiva Denegar de forma predeterminada para que las máquinas virtuales no se puedan conectar entre sí? †† Mediante la asignación de una red virtual propia a cada máquina virtual. ■■ Creando una regla de grupo de seguridad de red que impida el acceso desde otra máquina virtual de la misma red. †† Mediante la configuración de Azure DDoS Protection para que limite el acceso de red dentro de la red virtual. Explanation Una regla de grupo de seguridad de red le permite filtrar el tráfico desde y hacia los recursos por dirección IP de origen y destino, puerto y protocolo.

Objetivos de aprendizaje Objetivos de aprendizaje Después de completar este módulo, podrá:

●● Explicar la diferencia entre autenticación y autorización. ●● Describir cómo se administran las identidades y el acceso con Azure Active Directory. ●● Explicar el papel que desempeñan el inicio de sesión único (SSO), la autenticación multifactor y el acceso condicional en la administración de identidades de usuario. ●● Usar Cloud Adoption Framework para Azure para tomar decisiones dentro de la organización sobre el entorno de nube. ●● Definir quién puede acceder a los recursos en la nube por medio del control de acceso basado en roles de Azure. ●● Usar un bloqueo de recursos para evitar que se eliminen recursos de Azure por error. ●● Usar etiquetas en los recursos de Azure para ayudar a describir su finalidad ●● Usar Azure Policy para controlar y auditar el modo en que se crean recursos ●● Usar Azure Blueprints para habilitar la gobernanza a escala en varias suscripciones de Azure ●● Explicar los tipos de ofertas de cumplimiento que están disponibles en Azure. ●● Obtener acceso a la declaración de privacidad de Microsoft, los Términos de los Servicios en Línea y el anexo de protección de datos para obtener información sobre los datos personales que Microsoft recopila, la manera en que los usa y con qué fines. ●● Conocer los estándares normativos y de cumplimiento de Azure desde el Centro de confianza y la documentación de cumplimiento de Azure.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

184  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

●● Explicar las capacidades de Azure que son específicas de las agencias gubernamentales.

Acceso seguro a las aplicaciones con servicios de identidad de Azure Introducción

Tradicionalmente, la protección del acceso a los sistemas y los datos significaba establecer controles de acceso físicos en el perímetro de la red local. Con el aumento del número de personas que trabajan desde cualquier lugar, el auge de las estrategias BYOD (uso de dispositivos personales), las aplicaciones móviles y las aplicaciones en la nube, muchos de estos puntos de acceso ya no se encuentran en las redes físicas de la empresa. La identidad se ha convertido en el nuevo límite de seguridad principal. Para mantener el control de los datos, es fundamental que el usuario demuestre con exactitud que es un usuario válido del sistema y que cuenta con un nivel de acceso adecuado. Actualmente, los ataques van más dirigidos a esta capa de identidad que a la red.

Conozca Tailwind Traders Tailwind Traders1 es una empresa ficticia que distribuye productos para la remodelación del hogar. Esta empresa cuenta con ferreterías minoristas en todo el mundo y en línea.

¿De qué manera protege Tailwind Traders el acceso a sus aplicaciones en la nube? Los recursos móviles de Tailwind Traders están aumentando, al igual que el número de aplicaciones que Tailwind Traders ejecuta en la nube. A los empleados de las tiendas repartidas por todo el mundo se les entregan tabletas desde las que pueden crear pedidos personalizados para los clientes, hacer un seguimiento de las entregas y planear su agenda de trabajo. Los repartidores pueden usar sus propios dispositivos móviles para acceder a las aplicaciones de logística y programación. Algunos repartidores son empleados fijos de Tailwind Traders, mientras que otros son empleados temporales. Tailwind Traders usa Active Directory para proteger sus entornos locales. Necesitan asegurarse de que solo los empleados pueden iniciar sesión y acceder a sus aplicaciones empresariales. Tailwind Traders también debe asegurarse de que los empleados temporales solo pueden acceder a las aplicaciones cuando están contratados. ¿Cómo puede Azure Active Directory (Azure AD) ayudar a Tailwind Traders a proteger de una manera coherente todas sus aplicaciones, tanto cuando se accede a ellas desde la intranet como desde redes públicas?

Objetivos de aprendizaje Después de completar este módulo, podrá: ●● Explicar la diferencia entre autenticación y autorización. 1

https://www.tailwindtraders.com/

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Acceso seguro a las aplicaciones con servicios de identidad de Azure  185

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

186  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

●● Describir cómo se administran las identidades y el acceso con Azure Active Directory. ●● Explicar el papel que desempeñan el inicio de sesión único (SSO) de rol, la autenticación multifactor (MFA) y el acceso condicional en la administración de identidades de usuario.

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

Diferencias entre autenticación y autorización Recuerde que Tailwind Traders debe asegurarse de que solo los empleados pueden iniciar sesión y acceder a sus aplicaciones empresariales.

Tailwind Traders también necesita asegurarse de que los empleados solo pueden acceder a las aplicaciones autorizadas. Por ejemplo, todos los empleados pueden acceder al software de inventario y precios, pero solo los directores de tienda pueden acceder al software de nóminas y de cierta contabilidad. Hay dos conceptos fundamentales que deben entenderse al hablar sobre identidad y acceso: la autenticación (AuthN) y la autorización (AuthZ). La autenticación y la autorización son la base de todo lo demás que ocurre de manera secuencial en el proceso de identidad y acceso. Echemos un vistazo a cada una de ellas.

¿Qué es la autenticación? La autenticación es el proceso de establecimiento de la identidad de una persona o servicio que quiere acceder a un recurso. Implica el acto de solicitar a un usuario credenciales legítimas y proporciona la base para la creación de una entidad de seguridad para el control de identidad y de acceso. Determina si el usuario es quien dicen ser.

¿Qué es la autorización? La autenticación establece la identidad del usuario, pero la autorización es el proceso de establecer el nivel de acceso que tiene una persona o un servicio autenticados. Especifica a qué datos se les permite acceder y qué pueden hacer con ellos.

¿Qué relación existe entre la autenticación y la autorización? En este diagrama se muestra la relación entre la autenticación y la autorización: La tarjeta de identificación representa las credenciales que el usuario tiene para demostrar su identidad. Obtendrá más información sobre los tipos de credenciales más adelante en este módulo. Una vez efectuada la autenticación, la autorización define a qué tipos de aplicaciones, recursos y datos puede acceder el usuario.

¿Qué es Azure Active Directory?

En esta sección se explican los servicios de identidad de Azure Active Directory (Azure AD) que permiten a los usuarios iniciar sesión y acceder tanto a las aplicaciones en la nube de Microsoft como a las aplicaciones en la nube que desarrolle el cliente. También veremos cómo se usa el inicio de sesión único (SSO) en Azure AD. Tailwind Traders ya protege sus entornos locales con Active Directory, y no quiere que los usuarios tengan que recordar un nombre de usuario y una contraseña diferentes para acceder a las aplicaciones y los datos en la nube. ¿Se pueden integrar los servicios de identidad existentes de Active Directory con los de la nube para que los usuarios disfruten de una experiencia perfectamente integrada? Empecemos por ver las diferencias entre Azure AD y Active Directory.

¿Qué diferencia hay entre Azure AD y Active Directory? Active Directory está relacionado con Azure AD, pero hay algunas diferencias importantes. Microsoft presentó Active Directory en Windows 2000 para ofrecer a las empresas la capacidad de administrar varios sistemas y componentes de la infraestructura local mediante una única identidad por usuario. En el caso de los entornos locales, Active Directory ejecutado en Windows Server proporciona un servicio de administración de acceso e identidades administrado por su propia organización. Azure AD es un servicio de administración de acceso e identidades basado en la nube de Microsoft. Con Azure AD, usted controla las cuentas de identidad, pero Microsoft garantiza que el servicio esté disponible globalmente. Si ya ha trabajado con Active Directory, Azure AD le resultará familiar. Si protege las identidades de forma local con Active Directory, Microsoft no supervisa los intentos de inicio de sesión. Si conecta Active Directory con Azure AD, Microsoft puede detectar intentos de inicio de sesión sospechosos para ayudarle a proteger su entorno sin coste adicional. Por ejemplo, Azure AD puede detectar intentos de inicio de sesión desde ubicaciones inesperadas o dispositivos desconocidos.

¿Quién usa Azure AD? Azure AD es para: ●● Administradores de TI Los administradores pueden usar Azure AD para controlar el acceso a las aplicaciones y los recursos en función de sus requisitos empresariales. ●● Desarrolladores de aplicaciones Con Azure AD, los desarrolladores pueden agregar funcionalidad a las aplicaciones que compilan mediante un enfoque basado en estándares. Por ejemplo, pueden agregar funcionalidad de SSO a una aplicación o habilitar una aplicación para que funcione con las credenciales existentes de un usuario. ●● Usuarios finales Los usuarios finales pueden administrar su identidad. Por ejemplo, el autoservicio de restablecimiento de contraseña permite a los usuarios cambiar o restablecer su contraseña sin intervención de un administrador de TI ni del departamento de soporte técnico. ●● Suscriptores de servicio en línea Los suscriptores de Microsoft 365, Microsoft Office 365, Azure y Microsoft Dynamics CRM Online ya usan Azure AD. Un inquilino es la representación de una organización. Suele estar separado de otros inquilinos y tiene su propia identidad. Cada inquilino de Microsoft 365, Office 365, Azure y Dynamics CRM Online es automáticamente un inquilino de Azure AD.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Acceso seguro a las aplicaciones con servicios de identidad de Azure  187

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

188  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

¿Qué servicios proporciona Azure AD? Azure AD proporciona servicios como: ●● Autenticación Esto incluye comprobar la identidad para acceder a aplicaciones y recursos, y proporcionar funcionalidades como autoservicio de restablecimiento de contraseña, autenticación multifactor (MFA), una lista de contraseñas prohibidas personalizadas y servicios de bloqueo inteligente. ●● Inicio de sesión único (SSO) Gracias al SSO, los usuarios tienen que recordar un solo identificador y una sola contraseña para acceder a varias aplicaciones. Una sola identidad está asociada a un usuario, lo que simplifica el modelo de seguridad. Cuando los usuarios cambian de rol o dejan una organización, las modificaciones de acceso se asocian a esa identidad, lo que reduce considerablemente el esfuerzo necesario para cambiar o deshabilitar cuentas. ●● Administración de aplicaciones Con Azure AD, puede administrar las aplicaciones en la nube y locales. Características como Application Proxy, las aplicaciones SaaS, el portal Aplicaciones (también conocido como Panel de acceso) y el inicio de sesión único proporcionan una mejor experiencia de usuario. ●● Administración de dispositivos Además de cuentas de usuarios individuales, Azure AD también admite el registro de dispositivos. Esto permite administrar los dispositivos a través de herramientas como Microsoft Intune. También permite que las directivas de acceso condicional basadas en dispositivos limiten los intentos de acceso a los que proceden de dispositivos conocidos y registrados, independientemente de la cuenta de usuario solicitante.

¿Qué tipos de recursos se pueden proteger con Azure AD? Azure AD ayuda a los usuarios a acceder a recursos tanto internos como externos. Los recursos externos pueden ser Microsoft Office 365, Azure Portal y miles de aplicaciones de software como servicio (SaaS). Los recursos internos pueden ser aplicaciones de la red corporativa y la intranet, junto con las aplicaciones en la nube desarrolladas por la organización.

¿Qué es el inicio de sesión único (SSO)? El inicio de sesión único permite a los usuarios iniciar sesión una vez y utilizar esa credencial para acceder a varios recursos y aplicaciones de distintos proveedores. Un mayor número de identidades implica que hay más contraseñas que recordar y cambiar. Las directivas sobre contraseñas pueden variar entre aplicaciones y, a medida que aumentan los requisitos de complejidad, cada vez resultan más difíciles de recordar para los usuarios. Cuantas más contraseñas tenga que administrar un usuario, mayor será el riesgo de que se produzca alguna incidencia de seguridad relacionada con las credenciales. Piense en el proceso de administrar todas estas identidades. Se carga con más trabajo a los departamentos de soporte técnico, ya que deben ocuparse de los bloqueos de cuentas y de las solicitudes de restablecimiento de contraseña. Si un usuario deja una organización, puede ser un desafío realizar un seguimiento de todas esas identidades y asegurarse de que estén deshabilitadas. Si se pasa por alto una identidad, una persona podría tener acceso pese a que debería haberse eliminado. Con SSO, tan solo debe recordar un ID y una contraseña. El acceso a todas las aplicaciones se concede a una única identidad que está asociada a un usuario, lo que simplifica el modelo de seguridad. Cuando los usuarios cambian de rol o dejan una organización, como el acceso está asociado a una única identidad, se reduce considerablemente el esfuerzo necesario para cambiar o deshabilitar cuentas. Usar SSO en las

cuentas permite a los usuarios administrar más fácilmente su identidad y aumenta la capacidad en términos de seguridad. Al final de este módulo encontrará recursos sobre cómo habilitar SSO a través de Azure AD.

¿Cómo se puede conectar Active Directory con Azure AD? La conexión de Active Directory con Azure AD permite proporcionar una experiencia de identidad coherente a los usuarios. Hay varias maneras de conectar la instalación de Active Directory existente con Azure AD. Quizás el método más popular es usar Azure AD Connect. Azure AD Connect sincroniza las identidades de usuario entre la instalación local de Active Directory y Azure AD. Azure AD Connect sincroniza los cambios entre ambos sistemas de identidades, lo que permite usar características como SSO, MFA y el autoservicio de restablecimiento de contraseña en ambos sistemas. El autoservicio de restablecimiento de contraseña impide que los usuarios utilicen contraseñas cuya peligrosidad es conocida. El diagrama siguiente muestra el encaje de Azure AD Connect entre la instalación local de Active Directory y Azure AD.

Diagrama que muestra dos entornos: Active Directory local y Azure AD. Azure AD Connect une los dos entornos. Azure AD incluye SSO, MFA y el autoservicio de restablecimiento de contraseña. Al integrar su instancia de Active Directory existente con Azure AD, Tailwind Traders logra crear un modelo de acceso coherente en toda la organización. De este modo, se simplifica enormemente el inicio de sesión en diferentes aplicaciones, la administración de cambios en las identidades y el control de los usuarios, así como la supervisión y el bloqueo de los intentos de acceso inusuales.

¿Qué son la autenticación multifactor y el acceso condicional? Tailwind Traders permite a los repartidores usar sus propios dispositivos móviles para acceder a las aplicaciones de logística y programación. Algunos repartidores son empleados fijos de Tailwind Traders, mientras que otros son empleados temporales. ¿Cómo puede asegurarse el departamento de TI de que un intento de acceso procede realmente de un empleado válido de Tailwind Traders?

En esta parte, obtendrá información sobre dos procesos que habilitan la autenticación segura: Azure Multi-Factor Authentication y el acceso condicional. Comencemos con una breve descripción de lo que es la autenticación multifactor (multi-factor authentication) en general.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Acceso seguro a las aplicaciones con servicios de identidad de Azure  189

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

190  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

¿Qué es la autenticación multifactor (MFA)? La autenticación multifactor es un procedimiento del proceso de inicio de sesión en el que se solicita a un usuario una forma adicional de identificación, como, por ejemplo, especificar un código en su teléfono móvil o proporcionar un escaneo de la huella dactilar. Piense en cómo inicia sesión en los sitios web, el correo electrónico o los servicios de juegos en línea. Además de su nombre de usuario y contraseña, ¿alguna vez ha tenido que escribir un código adicional que ha recibido en su teléfono? Si es así, ha usado MFA para iniciar sesión. MFA proporciona seguridad adicional a las identidades, ya que se requieren dos o más elementos para una autenticación completa. Estos elementos se dividen en tres categorías: ●● Algo que conozca Puede ser su dirección de correo electrónico y contraseña. ●● Algo que tenga Puede tratarse de un código que se envía a su teléfono móvil. ●● Algo intrínseco a usted Suele ser algún tipo de propiedad biométrica, como una huella digital o un escaneo facial que se usa en muchos dispositivos móviles.

MFA aumenta la seguridad de las identidades al limitar el impacto de la exposición de credenciales (por ejemplo, nombres de usuario y contraseñas robados). Si MFA está habilitada, los atacantes que tengan la contraseña de un usuario también necesitarán su teléfono o su huella dactilar para completar la autenticación. Compare la MFA con la autenticación de un solo factor. En la autenticación de un solo factor, los atacantes solo necesitan el nombre de usuario y la contraseña para autenticarse. Por tanto, MFA debe habilitarse siempre que sea posible, ya que aporta enormes ventajas a la seguridad.

¿Qué es Azure Multi-Factor Authentication? Azure Multi-Factor Authentication es un servicio de Microsoft que proporciona funcionalidades de autenticación multifactor. Azure Multi-Factor Authentication permite a los usuarios elegir una forma adicional de autenticación durante el inicio de sesión, como una llamada de teléfono o una notificación de aplicación móvil.

¿Qué servicios de Microsoft proporcionan Azure Multi-Factor Authentication? Los servicios siguientes proporcionan funcionalidades de Azure Multi-Factor Authentication: ●● Azure Active Directory La edición gratuita de Azure Active Directory habilita Azure Multi-Factor Authentication para los administradores con el nivel de acceso de Administrador global, a través de la aplicación Microsoft Authenticator, una llamada de teléfono o un código de SMS. Azure Multi-Factor Authentication también se puede aplicar a todos los usuarios a través solo de la aplicación Microsoft Authenticator; para ello, se deben habilitar los valores predeterminados de seguridad en el inquilino de Azure AD. Azure Active Directory Premium (licencias P1 o P2) permite una configuración exhaustiva y

detallada de Azure Multi-Factor Authentication a través de directivas de acceso condicional (léase más adelante). ●● Autenticación multifactor para Office 365 La suscripción a Office 365 incluye un subconjunto de funcionalidades de Azure Multi-Factor Authentication. Para obtener más información sobre las licencias y las funcionalidades de Azure Multi-Factor Authentication, consulte Versiones disponibles de Azure Multi-Factor Authentication2.

¿Qué es el acceso condicional? El acceso condicional es una herramienta que usa Azure Active Directory para permitir (o denegar) el acceso a los recursos en función de las señales de identidad. Estas señales incluyen quién es el usuario, la ubicación del usuario y a qué dispositivo está solicitando acceso el usuario. Con el acceso condicional, los administradores de TI pueden: ●● permitir a los usuarios ser productivos en cualquier momento y lugar; ●● proteger los recursos de la organización. El acceso condicional también proporciona una experiencia más pormenorizada de la MFA para los usuarios finales. Por ejemplo, si el usuario final está en una ubicación conocida, puede omitirse el desafío de un segundo factor de autenticación. Pero si las señales de inicio de sesión del usuario son inusuales o su ubicación es inesperada, puede exigírsele un segundo factor de autenticación. Durante el inicio de sesión, el acceso condicional recopila señales del usuario, toma decisiones basadas en esas señales y, después, aplica esa decisión para permitir o denegar la solicitud de acceso o exigir una respuesta de MFA. Este flujo se ilustra en el diagrama siguiente:

En este caso, la señal puede ser la ubicación del usuario, el dispositivo o la aplicación a la que el usuario está intentando acceder. En función de estas señales, la decisión puede ser permitir el acceso completo si el usuario inicia sesión desde su ubicación habitual. Si el usuario inicia sesión desde una ubicación inusual o una ubicación marcada como de alto riesgo, el acceso puede bloquearse por completo o puede concederse después de que el usuario proporcione una segunda forma de autenticación. La aplicación es la acción que lleva a cabo la decisión; por ejemplo, permitir el acceso o requerir que el usuario proporcione una segunda forma de autenticación.

2

https://docs.microsoft.com/azure/active-directory/authentication/concept-mfa-licensing#available-versions-of-azure-multi-factorauthentication?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Acceso seguro a las aplicaciones con servicios de identidad de Azure  191

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

192  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

¿Cuándo se puede usar el acceso condicional? El acceso condicional resulta útil en los casos siguientes: ●● Para requerir MFA como condición para acceder a una aplicación. Puede configurar si se requiere MFA a todos los usuarios o solo a determinados usuarios (por ejemplo, a los administradores). También puede configurar si la MFA se aplica al acceso desde todas las redes o solo desde redes que no son de confianza. ●● Para requerir el acceso a los servicios solo a través de aplicaciones cliente aprobadas. Por ejemplo, puede permitir que los usuarios accedan a los servicios de Office 365 desde un dispositivo móvil siempre que se usen aplicaciones cliente aprobadas, como Outlook Mobile. ●● Para requerir que el usuario acceda a la aplicación solo desde dispositivos administrados. Un dispositivo administrado es un dispositivo que cumple los estándares de seguridad y cumplimiento normativo. ●● Para bloquear el acceso desde orígenes que no son de confianza, como ubicaciones desconocidas o inesperadas. El acceso condicional incluye una herramienta What If que le ayuda a planear las directivas de acceso condicional y a solucionar problemas relacionados con ellas. Con esta herramienta, puede modelar las directivas de acceso condicional propuestas y aplicarlas en intentos de inicio de sesión recientes de los usuarios para ver cuál sería el efecto de las directivas si se hubieran habilitado. La herramienta What If permite probar las directivas de acceso condicional antes de implementarlas.

¿Dónde está disponible el acceso condicional? Para usar el acceso condicional, se necesita una licencia Azure AD Premium P1 o P2. Si tiene una licencia de Microsoft 365 Empresa Premium, también tiene acceso a las características de acceso condicional.

Creación de una estrategia de gobernanza en la nube en Azure Introducción

El término gobernanza describe el proceso general por el que se establecen reglas y directivas y se garantiza que esas reglas y directivas se aplican. Si usamos la nube, disponer de una buena estrategia de gobernanza ayuda a tener el control de las aplicaciones y los recursos que se administran en la nube. Al tener el control del entorno, nos aseguramos de que sigue siendo compatible con lo siguiente: ●● Estándares del sector, como PCI DSS3. ●● Estándares corporativos o de la organización, como asegurarse de que los datos de red están cifrados Las ventajas de la gobernanza son mayores en los siguientes casos: ●● Hay varios equipos de ingeniería que trabajan en Azure. ●● Hay varias suscripciones que administrar. ●● Hay requisitos normativos que deben aplicarse. ●● Hay estándares que deben seguirse en todos los recursos en la nube.

Conozca Tailwind Traders Tailwind Traders4 es una empresa ficticia que distribuye productos para la remodelación del hogar. Esta empresa cuenta con ferreterías minoristas en todo el mundo y en línea. Tailwind Traders está especializada en precios competitivos, envío rápido y una amplia gama de artículos. Va a examinar las tecnologías en la nube para mejorar las operaciones comerciales y apoyar el crecimiento en nuevos mercados. Al migrar a la nube, la empresa tiene previsto mejorar su experiencia de compra para diferenciarse de sus competidores.

¿Cómo mejorará Tailwind Traders la agilidad de los equipos y mantener control al mismo tiempo? Tailwind Traders continúa con la migración a la nube. En el centro de datos, los equipos de desarrollo y pruebas deben tramitar incidencias de soporte técnico para pedir acceso a las máquinas virtuales, el almacenamiento y los componentes de red. El personal de TI puede tardar entre dos semanas y dos meses en adquirir, aprovisionar y configurar estos componentes. Al trabajar en la nube, el acceso a los componentes de proceso, almacenamiento y red es básicamente inmediato. Muchos tipos de grupos y usuarios (incluidos los miembros de los equipos de desarrollo, pruebas, operaciones y seguridad) pueden tener en teoría acceso directo a los recursos en la nube. En el futuro, Tailwind Traders podría aplicar procesos similares que impidan que los equipos creen o configuren directamente recursos en Azure, algo similar al enfoque existente, según el cual el departamento central de TI aprovisiona la infraestructura. Pero la empresa sabe que estas restricciones reducen 3 4

https://docs.microsoft.com/microsoft-365/compliance/offering-pci-dss?view=o365-worldwide?azure-portal=true https://www.tailwindtraders.com/

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  193

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

194  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

la agilidad del equipo y su capacidad de innovar. Así pues, ¿cómo pueden dar pie a la innovación y mantener el control? En este módulo, ayudaremos a la empresa a explorar las distintas formas en las que puede aplicar estándares y, al mismo tiempo, permitir que los equipos creen y administren los recursos que necesiten para la nube.

Objetivos de aprendizaje Después de completar este módulo, podrá: ●● Usar Cloud Adoption Framework para tomar decisiones dentro de la organización sobre el entorno de nube ●● Usar RBAC de Azure para definir quién puede acceder a los recursos en la nube ●● Usar un bloqueo de recursos para evitar que se eliminen recursos de Azure por error. ●● Usar etiquetas en los recursos de Azure para ayudar a describir su finalidad ●● Usar Azure Policy para controlar y auditar el modo en que se crean recursos ●● Usar Azure Blueprints para habilitar la gobernanza a escala en varias suscripciones de Azure

Aceleración del uso de la nube con Cloud Adoption Framework para Azure Microsoft Cloud Adoption Framework para Azure5 sirve como guía consolidada para ayudarle en la transición al uso de la nube. Cloud Adoption Framework ayuda a crear e implementar las estrategias empresariales y tecnológicas necesarias para usar la nube correctamente.

Tailwind Traders necesita controlar su entorno de nube de manera que cumpla con varios estándares del sector, pero no tienen muy claro por dónde empezar. Tienen diversos requisitos empresariales, y son conscientes de que estos requisitos están ligados a sus cargas de trabajo locales. Tales requisitos deben cumplirse también en las cargas de trabajo que se ejecuten en la nube. Se nos ha asignado la tarea de investigar qué hay disponible en Azure y de definir e implementar una estrategia de gobernanza para Tailwind Traders. Decidimos empezar con Cloud Adoption Framework para Azure de Microsoft.

¿Qué se incluye en Cloud Adoption Framework? Cloud Adoption Framework se compone de diversas herramientas, documentación y procedimientos de eficacia probada. Se divide en estas fases: 1. Definición de la estrategia 2. Creación un plan 3. Preparación de la organización 4. Adopción de la nube 5. Control y administración de los entornos de nube

5

https://docs.microsoft.com/azure/cloud-adoption-framework/?azure-portal=true

La fase de control se centra en la gobernanza en la nube. Cloud Adoption Framework se puede consultar como referencia para obtener instrucciones recomendadas mientras traza su estrategia de gobernanza en la nube. A modo de ayuda para crear nuestra estrategia de adopción, Cloud Adoption Framework desglosa cada fase en una serie de ejercicios y pasos. Echemos un vistazo a cada una de estas fases.

Definición de la estrategia En esta fase abordaremos los motivos por los que estamos trasladándonos a la nube y qué queremos obtener con la migración a la nube. ¿Necesitamos escalar para satisfacer la demanda o llegar a nuevos mercados? ¿Se reducirán los costes o aumentará la agilidad empresarial? Estos son los pasos que componen esta fase:

Definición y documentación de nuestras motivaciones: nos reuniremos con las partes interesadas y con la dirección para responder a la pregunta de por qué nos trasladamos a la nube.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  195

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

196  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Documentación de resultados empresariales: nos reuniremos con la dirección de los grupos de finanzas, marketing, ventas y recursos humanos como ayuda para documentar nuestros objetivos.

Desarrollo de un caso empresarial: validaremos que el traslado a la nube nos ofrece una rentabilidad de la inversión adecuada al esfuerzo invertido.

Elección adecuada del primer proyecto: elegiremos un proyecto que sea factible, pero que también muestre un avance hacia nuestros objetivos de migración a la nube.

Creación un plan En esta fase crearemos un plan que establece una correspondencia entre los objetivos que aspiramos alcanzar y acciones concretas. Un buen plan nos puede ayudar a garantizar que nuestros esfuerzos se corresponden con los resultados empresariales que buscamos. Estos son los pasos que componen esta fase:

Patrimonio digital: crearemos un inventario de las cargas de trabajo y activos digitales existentes que tenemos previsto migrar a la nube.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  197

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

198  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Alineación organizativa inicial: garantizaremos que se van a centrar en los esfuerzos de migración las personas adecuadas, tanto desde un punto de vista técnico como desde un punto de vista de la gobernanza en la nube.

Plan de preparación de aptitudes: elaboraremos un plan que ayude a los usuarios a desarrollar las aptitudes que necesitan para usar la nube.

Plan de adopción de la nube: elaboraremos un plan completo que encamine a los equipos de desarrollo, operaciones y empresarial hacia un objetivo compartido de adopción de la nube.

Preparación de la organización En esta fase crearemos una zona de aterrizaje, dicho de otro modo, un entorno en la nube donde empezar a hospedar nuestras cargas de trabajo. Estos son los pasos que componen esta fase:

Guía de configuración de Azure: revisaremos la guía de instalación de Azure para familiarizarnos con las herramientas y los enfoques necesarios para crear una zona de aterrizaje.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  199

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

200  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Zonas de aterrizaje de Azure: empezaremos a crear las suscripciones de Azure que van a asimilar cada una de las áreas principales de nuestro negocio. una zona de aterrizaje engloba una infraestructura en la nube, así como capacidades de gobernanza, cuentas y seguridad.

Ampliación de la zona de aterrizaje: optimizaremos nuestras zonas de aterrizaje para asegurarnos de que cubren nuestras necesidades de operaciones, gobernanza y seguridad.

Procedimientos recomendados: comenzaremos con procedimientos recomendados de eficacia probada para garantizar que los esfuerzos de migración a la nube son escalables y fáciles de mantener.

Adopción de la nube En esta fase empezaremos a migrar nuestras aplicaciones a la nube. A lo largo del proceso, probablemente encontremos formas de modernizar nuestras aplicaciones y crear soluciones innovadoras que usen servicios en la nube. De hecho, Cloud Adoption Framework divide esta fase en dos partes: migrar e innovar. Migrar: estos son los pasos que componen la parte de migración de esta fase:

Migración de su primera carga de trabajo: usaremos la guía de migración de Azure para implementar nuestro primer proyecto en la nube.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  201

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

202  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Escenarios de migración: usaremos guías más detalladas para explorar escenarios de migración de mayor complejidad.

Procedimientos recomendados: consultaremos los procedimientos recomendados de migración a la nube de Azure para confirmar que estamos siguiendo los procedimientos recomendados adecuados.

Mejoras de proceso: identificaremos distintas maneras de escalar el proceso de migración y, al mismo tiempo, requerir menos esfuerzo.

Innovar: estos son los pasos que componen la parte de innovación de esta fase:

Consensos del valor de negocios: confirmaremos que las inversiones en nuevas innovaciones aportan un valor a la empresa y satisfacen las necesidades de los clientes.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  203

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

204  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Guía de innovación de Azure: usaremos esta guía para acelerar el desarrollo y crear un producto mínimo viable de nuestra idea.

Procedimientos recomendados: confirmaremos que nuestros avances casan con los procedimientos recomendados antes de continuar.

Ciclos de comentarios: nos comunicaremos a menudo con nuestros clientes para confirmar que lo que estamos creando es lo que necesitan.

Control y administración de los entornos de nube En esta fase empezaremos a trazar nuestras estrategias de administración y gobernanza en la nube. A medida que el patrimonio de la nube cambia con el tiempo, también lo hacen los procesos y las directivas de gobernanza de la nube. Por lo tanto, deberemos crear soluciones resistentes que estén constantemente optimizadas. Gobernanza: estos son los pasos que componen la parte de gobernanza de esta fase:

Metodología: evaluaremos nuestra solución de estado final. Después, definiremos una metodología que nos lleve gradualmente de los pasos iniciales a la gobernanza en la nube completa.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  205

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

206  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Banco de pruebas: usaremos la herramienta de banco de pruebas de gobernanza (https:// cafbaseline.com/?azure-portal=true) para valorar el estado actual en el que estamos y el estado futuro para establecer un panorama para aplicar el marco de trabajo.

Base de gobernanza inicial: crearemos un producto mínimo viable que capture los primeros pasos de nuestro plan de gobernanza.

Mejora de la base de gobernanza inicial: iremos agregando iterativamente controles de gobernanza que solucionen riesgos tangibles a medida que vayamos avanzando hacia la solución de estado final.

Administración: estos son los pasos que componen la parte de administración de esta fase:

Establecimiento de una línea base de administración: definiremos nuestro compromiso mínimo con la administración de operaciones. Una línea base de administración es el conjunto mínimo de herramientas y procesos que se debe aplicar a todos los recursos de un entorno.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  207

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

208  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Definición de compromisos empresariales: documentaremos las cargas de trabajo admitidas para establecer los compromisos operativos con la empresa y acordar las inversiones en administración de la nube para cada carga de trabajo.

Ampliación de la línea base de administración: pondremos en marcha procedimientos recomendados para iterar en la línea base de administración inicial.

Operaciones avanzadas y principios de diseño: en el caso de aquellas cargas de trabajo que requieran un mayor nivel de compromiso empresarial, revisaremos la arquitectura más profundamente para satisfacer los compromisos de resistencia y confiabilidad.

Creación de una estrategia de gobernanza de suscripción

En Planificación y debate sobre las implementaciones de Azure vimos que la estructura de la organización para los recursos de Azure tiene cuatro niveles: grupos de administración, suscripciones, grupos de recursos y recursos. El inicio de cualquier implementación de gobernanza en la nube conlleva identificar una estructura de la organización en la nube que cubra nuestras necesidades empresariales. Este paso suele implicar configurar un equipo de centro de excelencia en la nube (también conocido como equipo de habilitación de la nube o equipo de administradores de nube) y proveer a este equipo de todos los medios necesarios para implementar procedimientos de gobernanza desde una ubicación centralizada para toda la organización. A menudo, los equipos inician su estrategia de gobernanza de Azure en el nivel de suscripción. Son tres los aspectos principales que deben considerarse al crear y administrar suscripciones: facturación, control del acceso y límites de suscripción. Vamos a echar un vistazo a cada uno de ellos con más detalle.

Facturación Se puede crear un informe de facturación por suscripción. Si tenemos varios departamentos y necesitamos realizar un “contracargo” de costes en la nube, una posible solución es organizar las suscripciones por departamento o por proyecto. Las etiquetas de recursos pueden ser de ayuda en este sentido. Las veremos más adelante en este módulo. Al definir el número de suscripciones que necesitamos y cómo denominarlas, debemos tener en cuenta los requisitos de facturación internos.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  209

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

210  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Control de acceso Una suscripción es un límite de implementación de los recursos de Azure. Cada suscripción está asociada a un inquilino de Azure Active Directory (Azure AD). Cada inquilino proporciona a los administradores la capacidad de configurar un acceso granular a través de roles definidos por medio del control de acceso basado en roles de Azure (RBAC de Azure). Al diseñar la arquitectura de la suscripción, hay que tener en cuenta el factor de límite de la implementación, por ejemplo, ¿necesitamos suscripciones independientes para los entornos de desarrollo y producción? La creación de suscripciones independientes nos permite controlar el acceso a cada una de ellas por separado y, por tanto, aislar los recursos entre sí.

Límites de suscripción Las suscripciones también tienen algunas limitaciones de recursos. Por ejemplo, el número máximo de circuitos ExpressRoute de red por cada suscripción es de 10. Estos límites se deben tener en cuenta durante la fase de diseño. Si hay que rebasarlos, puede que sea necesario agregar más suscripciones. Si alcanzamos un límite máximo estricto, no hay flexibilidad para aumentarlo. Los grupos de administración también están disponibles para ayudar a administrar las suscripciones. Un grupo de administración se encarga de administrar el acceso, las directivas y el cumplimiento en varias suscripciones de Azure. Nos adentraremos en los grupos de administración más adelante en este módulo.

Control del acceso a los recursos en la nube por medio del control de acceso basado en roles de Azure

Cuando tenemos varios equipos de TI e ingeniería, ¿cómo podemos controlar el acceso que tienen a los recursos del entorno de nube? Una buena práctica de seguridad consiste en conceder a los usuarios únicamente los derechos que necesitan para realizar su trabajo, y solo a los recursos pertinentes. En vez de definir los requisitos de acceso detallados de cada individuo y, posteriormente, ir actualizándolos a medida que se vayan creando más recursos, Azure permite controlar el acceso a través del control de acceso basado en roles de Azure6 (RBAC de Azure). Azure proporciona roles integrados que describen las reglas de acceso comunes de los recursos en la nube. También podemos definir nuestros propios roles. Cada rol tiene un conjunto asociado de permisos de acceso que tienen que ver con ese rol. Cuando se asignan usuarios o grupos a uno o varios roles, reciben todos los permisos de acceso asociados correspondientes.

¿Cómo se aplica el control de acceso basado en roles a los recursos? El control de acceso basado en roles se aplica a un ámbito, que es un recurso o un conjunto de recursos en los que este acceso se permite. En este diagrama se muestra la relación entre roles y ámbitos:

6

https://docs.microsoft.com/azure/role-based-access-control/overview?azure-portal=true

Los ámbitos pueden ser lo siguiente: ●● Un grupo de administración (una colección de varias suscripciones) ●● Una sola suscripción ●● Un grupo de recursos. ●● Un solo recurso En el diagrama, los observadores, los usuarios que administran recursos, los administradores y los procesos automatizados denotan los tipos de usuarios o cuentas que se suelen asignar a cada uno de los distintos roles. Si se otorga acceso a un ámbito primario, esos permisos se heredan en todos los ámbitos secundarios. Por ejemplo: ●● Cuando asignamos el rol Propietario7 a un usuario en el ámbito del grupo de administración, dicho usuario podrá administrar todo el contenido de todas las suscripciones dentro de ese grupo de administración. ●● Cuando asignamos el rol Lector8 a un grupo en el ámbito de suscripción, los miembros de dicho grupo podrán ver todos los grupos de recursos y recursos dentro de esa suscripción. ●● Cuando asignamos el rol Colaborador9 a una aplicación en el ámbito del grupo de recursos, dicha aplicación podrá administrar los recursos de cualquier tipo dentro de ese grupo de recursos específico, pero no los otros grupos de recursos dentro de esa suscripción.

¿Cuándo conviene usar RBAC de Azure? Usaremos RBAC de Azure cuando necesitemos: ●● Permitir que un usuario administre las máquinas virtuales de una suscripción y que otro usuario administre las redes virtuales. ●● Permitir a un grupo de administradores de base de datos (DBA) administrar bases de datos SQL en una suscripción. ●● Permitir que un usuario administre todos los recursos de un grupo de recursos, como las máquinas virtuales, los sitios web y las subredes. ●● Permitir que una aplicación acceda a todos los recursos en un grupo de recursos. Estos son solo algunos ejemplos. Al final de este módulo hay una lista completa de roles integrados. 7 8 9

https://docs.microsoft.com/azure/role-based-access-control/built-in-roles?azure-portal=true#owner https://docs.microsoft.com/azure/role-based-access-control/built-in-roles?azure-portal=true#reader https://docs.microsoft.com/azure/role-based-access-control/built-in-roles?azure-portal=true#contributor

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  211

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

212  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

¿Cómo se aplica RBAC de Azure? RBAC de Azure se aplica a cualquier acción que se inicie en un recurso de Azure que pasa por Azure Resource Manager. Azure Resource Manager es un servicio de administración que proporciona una forma de organizar y proteger nuestros recursos en la nube. Normalmente, se accede a Azure Resource Manager a través de Azure Portal, Azure Cloud Shell, Azure PowerShell y la CLI de Azure. RBAC de Azure no aplica permisos de acceso en el nivel de la aplicación o de los datos. La seguridad de la aplicación debe controlarla la propia aplicación. RBAC usa un permitir modelo. Esto significa que cuando se le asigna un rol, RBAC le permite realizar determinadas acciones, como leer, escribir o eliminar. Por lo tanto, si una asignación de roles nos concede permisos de lectura a un grupo de recursos y otra asignación de roles nos concede permisos de escritura al mismo grupo de recursos, tendremos permisos tanto de lectura como de escritura en ese grupo de recursos.

¿A quién se aplica RBAC de Azure? RBAC de Azure se puede aplicar a una persona individual o a un grupo. También se puede aplicar a otros tipos de identidad especiales, como entidades de servicio e identidades administradas. Las aplicaciones y los servicios usan estos tipos de identidad para automatizar el acceso a los recursos de Azure. Tailwind Traders tiene los siguientes equipos implicados en alguna parte de su entorno de TI general: ●● Administradores TI Este equipo tiene la propiedad definitiva de los activos tecnológicos, tanto locales como en la nube, y requiere control total de todos los recursos. ●● Copia de seguridad y Recuperación ante desastres Este equipo es responsable de administrar el estado de las copias de seguridad periódicas y de invocar cualquier recuperación de datos o del sistema. ●● Coste y facturación Las personas de este equipo llevan un seguimiento e informan de los gastos relacionados con la tecnología, y administran los presupuestos internos de la organización. ●● Operaciones de seguridad Este equipo supervisa y responde a los incidentes de seguridad relacionados con la tecnología, y requiere acceso continuo a los archivos de registro y a las alertas de seguridad.

¿Cómo se administran los permisos de RBAC de Azure? Los permisos de acceso se administran en la hoja Control de acceso (IAM) de Azure Portal. En esta hoja se muestra quién tiene acceso a qué ámbito y qué roles se aplican. En ella también puede conceder o quitar cualquier tipo de acceso. En la siguiente captura de pantalla se muestra un ejemplo de la hoja Control de acceso (IAM) de un grupo de recursos. En este ejemplo, Alain Charon tiene asignado el rol Operador de copias de seguridad en ese grupo de recursos.

Captura de pantalla de la hoja Control de acceso: Asignación de roles. En el panel Control de acceso se muestran la configuración y los permisos de un usuario.

Uso de bloqueos de recursos para evitar cambios inintencionados Los bloqueos de recursos10 impiden que se eliminen o modifiquen recursos por error.

Aun cuando haya directivas de RBAC de Azure en vigor, sigue existiendo el riesgo de que alguien con el nivel de acceso adecuado elimine recursos de nube críticos. Podríamos pensar en un bloqueo de recursos como un sistema de aviso que nos recuerda que un recurso no se debe eliminar o cambiar. Por ejemplo, en Tailwind Traders, un administrador de TI se encuentra realizando una limpieza rutinaria de recursos no utilizados en Azure y, por error, elimina unos recursos que parecen no estar usándose, cuando en realidad son recursos fundamentales en una aplicación que se emplea para promociones estacionales. ¿Cómo impiden los bloqueos de recursos que se produzca este tipo de incidentes en el futuro?

¿Cómo se administran los bloqueos de recursos? Los bloqueos de recursos se pueden administrar en Azure Portal, PowerShell, la CLI de Azure o con una plantilla de Azure Resource Manager. Para ver, agregar o eliminar bloqueos en Azure Portal, vaya a la sección Configuración de la hoja Configuración de cualquier recurso en Azure Portal. En este ejemplo se muestra cómo agregar un bloqueo de recurso desde Azure Portal. En la siguiente unidad pondremos en práctica un bloqueo de recurso similar.

10 https://docs.microsoft.com/azure/azure-resource-manager/management/lock-resources?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  213

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

214  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Captura de pantalla de Azure Portal que muestra cómo agregar un bloqueo de recurso

¿Qué niveles de bloqueo hay disponibles? Podemos aplicar bloqueos a una suscripción, a un grupo de recursos o a un recurso individual. Puede establecer el bloqueo de nivel en CanNotDelete o ReadOnly. ●● CanNotDelete significa que las personas autorizadas pueden seguir leyendo y modificando un recurso, pero no eliminarlo sin quitar primero el bloqueo. ●● ReadOnly significa que las personas autorizadas pueden leer un recurso, pero no eliminarlo ni cambiarlo. Aplicar este bloqueo es como restringir a todos los usuarios autorizados a los permisos concedidos por el rol Lector en RBAC de Azure.

¿Cómo se elimina o cambia un recurso bloqueado? Aunque los bloqueos impiden que se produzcan cambios por error, se pueden seguir realizando cambios realizando un proceso de dos pasos. Para modificar un recurso bloqueado, primero hay que quitar el bloqueo. Tras quitarlo, podemos aplicar cualquier acción que podamos realizar de acuerdo a nuestros permisos. Este paso extra nos permite llevar a cabo la acción, e impide que cualquier administrador pueda hacer algo de manera inintencionada. Los bloqueos de recursos se aplican con independencia de los permisos RBAC. Es decir, aun siendo el propietario del recurso, tendremos que quitar el bloqueo antes de poder realizar la actividad bloqueada.

Combinación de bloqueos de recursos con Azure Blueprints ¿Qué ocurre si un administrador de la nube elimina un bloqueo de recurso por error? Si el bloqueo de recurso se quita, los recursos asociados correspondientes se podrán cambiar o eliminar. Para que el proceso de protección sea más riguroso, podemos combinar bloqueos de recursos con Azure Blueprints. Azure Blueprints nos permite definir el conjunto recursos estándar de Azure que la organización necesita. Así, por ejemplo, podemos definir un plano técnico que especifique que debe haber un bloqueo de recursos determinado. Azure Blueprints puede reemplazar automáticamente el bloqueo de recursos si dicho bloqueo se quita. Posteriormente en este módulo hablaremos más sobre Azure Blueprints.

Ejercicio: Uso de un bloqueo de recursos para impedir que una cuenta de almacenamiento se elimine por error

En este ejercicio, veremos cómo usar bloqueos de recursos para evitar que se eliminen recursos de Azure por error. Para ello, crearemos un grupo de recursos desde Azure Portal (pensemos en un grupo de recursos como un contenedor de recursos de Azure relacionados). Después, agregaremos un bloqueo a ese grupo de recursos y confirmaremos que el grupo no se puede eliminar. Por último, agregaremos una cuenta de almacenamiento a nuestro grupo de recursos y veremos cómo el bloqueo del grupo de recursos primario impide que esa cuenta de almacenamiento se elimine. Una cuenta de almacenamiento es un contenedor que agrupa un conjunto de servicios de almacenamiento de Azure. Importante: Para completar los ejercicios de este módulo, se necesita una suscripción de Azure11 propia. Si no la tiene, puede seguir leyendo.

Crear el grupo de recursos Aquí crearemos un grupo de recursos denominado my-test-rg. 1. Abra Azure Portal12 e inicie sesión. 2. En la parte superior de la página, seleccione Grupos de recursos. 3. Seleccione Agregar. Después, rellene estos campos: Configuración

Valor

Suscripción

(Su suscripción de Azure)

Nombre

my-test-rg

Región

(EE. UU.) Este de EE. UU.

También puede seleccionar una región más cercana a la suya. 4. Seleccione Revisar y crear y, luego, Crear.

Agregar un bloqueo al grupo de recursos Agregue un bloqueo de recurso al grupo de recursos. Para ello: 1. En Azure Portal, seleccione el grupo de recursos, my-test-rg. 2. En Configuración, seleccione Bloqueos y, después, Agregar.

11 https://azure.microsoft.com/free/?azure-portal=true 12 https://portal.azure.com?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  215

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

216  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

3. Rellene estos campos: Configuración

Valor

Nombre del bloqueo

rg-delete-lock

Tipo de bloqueo

Eliminar

4. Seleccione Aceptar. Vemos que el bloqueo de recurso se aplica al grupo de recursos.

Confirmación de que el grupo de recursos está protegido frente a eliminaciones Aquí intentaremos eliminar el grupo de recursos para confirmar que está protegido. 1. En la parte superior de la página, seleccione my-test-rg para ir a la página de información general del grupo de recursos.

2. Haga clic en Eliminar grupo de recursos.

3. En el símbolo del sistema, escriba my-test-rg y, después, seleccione Aceptar. Aparecerá un mensaje que indica que el grupo de recursos está bloqueado y no se puede eliminar.

Protección de una cuenta de almacenamiento de eliminaciones por error Ahora agregaremos una cuenta de almacenamiento a nuestro grupo de recursos y veremos cómo el bloqueo del grupo de recursos primario impide que esa cuenta de almacenamiento se elimine. Para ello: 1. En Azure Portal, en la parte superior de la página, seleccione Inicio para volver a la página de inicio. 2. Seleccione Cuentas de almacenamiento. A continuación, seleccione Agregar. 3. Rellene estos campos: Nota: ReemplaceNNN por una serie de números. De este modo se garantiza que el nombre de la cuenta de almacenamiento es único. Configuración

Valor

Suscripción

(Su suscripción de Azure)

Grupo de recursos Nombre de la cuenta de almacenamiento Ubicación Rendimiento Tipo de cuenta Replicación Nivel de acceso (predeterminado)

my-test-rg mysaNNN

(EE. UU.) Este de EE. UU. Estándar

Almacenamiento V2 (uso general v2)

Almacenamiento con redundancia local (LRS) Frecuente

Como antes, en este caso también puede seleccionar una región más cercana a la suya. 4. Seleccione Revisar y crear y, a continuación, Crear. La implementación puede tardar un poco en completarse. 5. Seleccione Ir al recurso. 6. En la parte superior de la página, seleccione Eliminar.

Aparecerá un mensaje que indica que el recurso o su grupo primario está bloqueado y no se puede eliminar. En este ejemplo se muestra el mensaje de error relativo a una cuenta de almacenamiento denominada mysa1234:

Aunque no hemos creado un bloqueo expresamente para esta cuenta de almacenamiento, el bloqueo que creamos para el grupo de recursos primario impide que el recurso se elimine. En otras palabras, la cuenta de almacenamiento hereda el bloqueo del grupo de recursos primario.

Eliminación de un grupo de recursos y la cuenta de almacenamiento Ya no necesitamos el grupo de recursos o la cuenta de almacenamiento, así que ahora los eliminaremos. Cuando un grupo de recursos se elimina, también se eliminan sus recursos secundarios, como la cuenta de almacenamiento que creamos anteriormente.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  217

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

218  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Para eliminar el grupo de recursos, primero hay que quitar el bloqueo de recurso. 1. En Azure Portal, seleccione Inicio > Grupos de recursos > my-test-rg para ir al grupo de recursos. 2. En Configuración, seleccione Bloqueos. 3. Busque rg-delete-lock y seleccione Eliminar en esa misma fila. 4. Seleccione Información general y, después, Eliminar grupo de recursos. 5. En el símbolo del sistema, escriba my-test-rg y, después, seleccione Aceptar. La operación de eliminación puede tardar un poco en completarse. 6. Cuando la operación finalice, seleccione Inicio > Grupos de recursos. Verá que el grupo de recursos my-test-rg ya no está en la cuenta y que la cuenta de almacenamiento también se ha eliminado. Buen trabajo. Ya sabemos cómo usar bloqueos de recursos para evitar que se eliminen recursos de Azure por error.

Uso de etiquetas para organizar los recursos de Azure

A medida que el uso que hacemos de la nube va en aumento, es cada vez más importante mantenerse organizado. Tener una buena estrategia de organización en marcha nos ayudará a conocer cuál es nuestro uso de la nube, así como a administrar los costes. Por ejemplo, a medida que Tailwind Traders concibe nuevas formas de implementar sus aplicaciones en Azure, necesitan una manera de marcar sus entornos de prueba para poder identificar y eliminar fácilmente recursos en estos entornos cuando ya no sean necesarios. Un método para organizar los recursos relacionados es colocarlos en sus propias suscripciones. También se pueden usar grupos de recursos para administrarlos. Las etiquetas de recursos son otra forma de organizar recursos. Las etiquetas proporcionan información extra, o metadatos, sobre los recursos. Estos metadatos son útiles para lo siguiente: ●● Administración de recursos Las etiquetas permiten localizar recursos asociados a cargas de trabajo, entornos, unidades de negocio y propietarios específicos y actuar al respecto. ●● Administración de costes y optimización Las etiquetas permiten agrupar recursos para que podamos informar sobre los costes, asignar centros de costes internos, mantener los presupuestos a raya y predecir costes estimados. ●● Administración de operaciones Las etiquetas permiten agrupar recursos según la importancia que tiene su disponibilidad para nuestro negocio. Esto nos ayuda a formular acuerdos de nivel de servicio (SLA), que constituyen una garantía de rendimiento o de tiempo de actividad entre nosotros y nuestros usuarios. ●● Seguridad Las etiquetas permiten clasificar los datos según su nivel de seguridad (por ejemplo, públicos o confidenciales). ●● Gobernanza y cumplimiento normativo Las etiquetas permiten identificar los recursos que cumplen con los requisitos de gobernanza o cumplimiento normativo, como la norma ISO 27001. Las etiquetas también pueden formar parte de nuestros esfuerzos de aplicación de estándares. Así, podríamos exigir que todos los recursos se etiqueten con un nombre de departamento o propietario. ●● Optimización y automatización de la carga de trabajo Las etiquetas pueden servir para ver todos los recursos que participan en implementaciones complejas. Por ejemplo, podemos etiquetar un recurso con su nombre de aplicación o carga de trabajo asociado y usar un software como Azure DevOps para realizar tareas automatizadas en esos recursos.

¿Cómo se administran las etiquetas de recursos? Podemos agregar, modificar o eliminar etiquetas de recursos a través de PowerShell, la CLI de Azure, plantillas de Azure Resource Manager, la API de REST o Azure Portal. También podemos administrarlas con Azure Policy (más adelante en este módulo hablaremos de Azure Policy). Por ejemplo, podemos usar etiquetas en un grupo de recursos, pero esas etiquetas no se aplican automáticamente a los recursos de ese grupo de recursos. En cambio, si usamos Azure Policy, garantizaremos que un recurso va a heredar las mismas etiquetas que su grupo de recursos primario. Azure Policy se puede usar también para aplicar reglas y convenciones de etiquetado. Así, podemos requerir que se agreguen determinadas etiquetas a los nuevos recursos a medida que se aprovisionan. Asimismo, podemos definir reglas que vuelvan a aplicar etiquetas que se han quitado.

Ejemplo de una estructura de etiquetado Una etiqueta de recurso se compone de un nombre y un valor. Podemos asignar una o más etiquetas a cada recurso de Azure. Después de revisar sus requisitos empresariales, Tailwind Traders decide usar las siguientes etiquetas: Nombre

AppName CostCenter

Propietario Entorno Impacto

Valor Nombre de la aplicación de la que forma parte el recurso. Código interno del centro de costes. Nombre del propietario de empresa responsable del recurso. Nombre de entorno, como "Prod.", "Dev." o "Prueba". Importancia del recurso para las operaciones empresariales, como "Crítico", "Gran impacto" o "Bajo impacto".

En este ejemplo se muestran estas etiquetas cuando se aplican a una máquina virtual durante el aprovisionamiento:

El equipo de Tailwind Traders puede realizar consultas (por ejemplo, con PowerShell o la CLI de Azure) para ver todos los recursos que contienen estas etiquetas. Recordemos que no es necesario requerir que una etiqueta específica esté presente en todos los recursos. Por ejemplo, podemos decidir que solo los recursos críticos tengan la etiqueta Impact. De este modo, todos aquellos recursos que no estén etiquetados no se considerarán como críticos.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  219

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

220  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Control y auditoría de recursos mediante Azure Policy

Ahora que ya hemos identificado nuestros requisitos empresariales y de gobernanza, ¿cómo garantizamos que estos recursos van a mantener su cumplimiento? ¿Cómo podemos recibir un aviso cuando la configuración de un recurso cambie? Azure Policy13 es un servicio de Azure que permite crear, asignar y administrar directivas que controlan o auditan recursos. Dichas directivas aplican distintas reglas y efectos a las configuraciones de los recursos con el propósito de que estas configuraciones sigan cumpliendo con los estándares corporativos.

¿Cómo se definen directivas en Azure Policy? Azure Policy permite definir tanto directivas individuales como grupos de directivas relacionadas (lo que se conoce como iniciativas). Azure Policy evalúa los recursos y resalta los que no cumplen las directivas que hemos creado. Azure Policy también puede impedir que se creen recursos no conformes. Azure Policy viene con una serie de definiciones de directivas e iniciativas integradas que usted puede usar, dentro de categorías como Almacenamiento, Redes, Proceso, Centro de seguridad y Supervisión. Por ejemplo, supongamos que definimos una directiva que permite usar exclusivamente un determinado tamaño de referencia de almacén (SKU) de máquinas virtuales en el entorno. Cuando esta directiva se habilite, se aplicará cuando se creen más máquinas virtuales o se cambie el tamaño de las ya existentes. Azure Policy también evalúa todas las máquinas virtuales que hay actualmente en el entorno. En algunos casos, Azure Policy puede corregir automáticamente los recursos y configuraciones no conformes para garantizar la integridad del estado de los recursos. Por ejemplo, si todos los recursos de un determinado grupo de recursos deben etiquetarse con la etiqueta AppName y un valor de “SpecialOrders”, Azure Policy puede volver a aplicar automáticamente esa etiqueta si se ha quitado. Azure Policy se integra con Azure DevOps aplicando directivas de integración continua y canalización de entrega que competen a las fases de implementación anterior y posterior de las aplicaciones.

Azure Policy en acción La implementación de una directiva en Azure Policy conlleva estos tres pasos: 1. Crear una definición de directiva. 2. Asignar la definición a los recursos. 3. Revisar los resultados de evaluación. Vamos a examinar cada paso con más detalle.

1. Crear una definición de directiva Una definición de directiva expresa qué evaluar y qué medidas tomar. Por ejemplo, podemos impedir que se implementen máquinas virtuales en determinadas regiones de Azure. También podemos auditar nuestras cuentas de almacenamiento para comprobar que solo aceptan conexiones de redes permitidas.

13 https://azure.microsoft.com/services/azure-policy?azure-portal=true

Cada definición de directiva tiene condiciones bajo las cuales se aplica. Además, esta definición tiene un efecto complementario que se produce cuando se cumplen las condiciones. Aquí tiene algunos ejemplos de definiciones de directiva: ●● SKU de máquina virtual permitidas Esta directiva permite especificar un conjunto de SKU de máquina virtual que la organización puede implementar. ●● Ubicaciones permitidas Esta directiva permite restringir las ubicaciones que la organización puede especificar al implementar los recursos. Su efecto se utiliza para hacer cumplir sus requisitos de cumplimiento geográfico. ●● MFA debe estar habilitado en las cuentas de su suscripción que tengan permisos de escritura Esta directiva requiere que Multi-Factor Authentication (MFA) esté habilitado en todas las cuentas de la suscripción que tengan permisos de escritura para impedir una vulneración de seguridad en esas cuentas o en los recursos. ●● CORS no debe permitir que cualquier recurso tenga acceso a sus aplicaciones web CORS (Uso compartido de recursos entre orígenes) es una característica de HTTP que permite que una aplicación web que se ejecuta en un dominio tenga acceso a recursos de otro dominio. Por motivos de seguridad, los exploradores web modernos restringen el scripting entre sitios de forma predeterminada. Esta directiva permite que solo los dominios necesarios interactúen con la aplicación web. ●● Deben instalarse actualizaciones del sistema en sus máquinas Esta directiva permite a Azure Security Center recomendar las actualizaciones del sistema de seguridad que faltan en los servidores.

2. Asignar la definición a los recursos Para implementar nuestras definiciones de directiva, debemos asignar definiciones a los recursos. Una asignación de directiva es una definición de directiva que se aplica dentro de un ámbito específico. Este ámbito puede ser un grupo de administración (esto es, una colección de varias suscripciones), una sola suscripción o un grupo de recursos. Todos los recursos secundarios dentro de ese ámbito heredarán las asignaciones de directivas. lo que significa que si una directiva se aplica a un grupo de recursos, se aplicará también a todos los recursos dentro de ese grupo. Pese a ello, podemos excluir un subámbito de la asignación de directiva si hay recursos secundarios específicos que deban quedar fuera de la asignación de directiva.

3. Revisión de los resultados de la evaluación de directivas Cuando una condición se evalúa con los recursos existentes, cada recurso se marca como conforme o no conforme. Esto nos permitirá revisar los resultados de directiva que no sean conformes y tomar las medidas oportunas. La evaluación de directiva se produce aproximadamente una vez cada hora, lo que significa que si realizamos cambios en la definición de directiva y creamos una asignación de directiva, dicha directiva se evaluará con los recursos en una hora.

¿Qué son las iniciativas de Azure Policy? Una iniciativa de Azure Policy es una forma de agrupar las directivas relacionadas en un mismo conjunto. La definición de iniciativa contiene todas las definiciones de directiva para facilitar el seguimiento del estado de cumplimiento de cara a un objetivo mayor.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  221

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

222  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Por ejemplo, Azure Policy incluye una iniciativa denominada Habilitar la supervisión en Azure Security Center, cuyo objetivo es supervisar todas las recomendaciones de seguridad disponibles para todos los tipos de recursos de Azure en Azure Security Center. En esta iniciativa se incluyen las siguientes definiciones de directiva: ●● Supervisar la base de datos SQL sin cifrar en Security Center Esta directiva supervisa bases de datos y servidores SQL sin cifrar. ●● Supervisar las vulnerabilidades del sistema operativo en Security Center Esta directiva supervisa los servidores que no cumplen la línea base de la vulnerabilidad del sistema operativo configurada. ●● Supervisar la falta de protección de punto de conexión en Security Center Esta directiva supervisa los servidores que no tienen instalado un agente de protección de punto de conexión. La iniciativa Habilitar la supervisión en Azure Security Center contiene más de 100 definiciones de directiva independientes, de hecho. Azure Policy también incluye iniciativas que admiten normas de cumplimiento como HIPAA e ISO 27001.

¿Cómo se define una iniciativa? Podemos definir iniciativas usando Azure Portal o herramientas de línea de comandos. En Azure Portal, podemos buscar en la lista de iniciativas integradas ya proporcionadas por Azure, o bien podemos crear nuestra propia definición de directiva personalizada. En la siguiente imagen se muestran algunos ejemplos de iniciativas de Azure Policy en Azure Portal.

¿Cómo se asigna una iniciativa? Al igual que una asignación de directiva, una asignación de iniciativa es una definición de iniciativa que se asigna a un ámbito específico de un grupo de administración, una suscripción o un grupo de recursos.

Aun cuando solo tengamos una directiva, una iniciativa nos permite aumentar el número de directivas a lo largo del tiempo. Dado que la iniciativa asociada permanece asignada, esto nos permite agregar y quitar directivas más fácilmente y sin necesidad de cambiar la asignación de directiva de los recursos.

Ejercicio: Uso de Azure Policy para restringir las implementaciones a una ubicación específica

En este ejercicio, crearemos una directiva en Azure Policy que restrinja la implementación de recursos de Azure a una ubicación específica. Para comprobar que la directiva funciona, intentaremos crear una cuenta de almacenamiento en una ubicación que la infrinja. Tailwind Traders quiere limitar la ubicación en la que se pueden implementar recursos a la región Este de EE. UU., por dos motivos: ●● Control de costes mejorado A fin de llevar un control de los costes, Tailwind Traders usa diferentes suscripciones para realizar un seguimiento de las implementaciones en cada una de sus ubicaciones regionales. La directiva garantizará que todos los recursos se implementan en la región Este de EE. UU. ●● Adhesión a la residencia de datos y al cumplimiento de seguridad Tailwind Traders debe adherirse a una regla de cumplimiento que rige dónde se pueden almacenar datos de clientes. En este caso, los datos de clientes se deben almacenar en la región Este de EE. UU. Recordemos que podemos asignar una directiva a un grupo de administración, a una sola suscripción o a un grupo de recursos. Aquí, asignaremos la directiva a un grupo de recursos, así no afectará a otros recursos de la suscripción de Azure. Importante: Para completar los ejercicios de este módulo, se necesita una suscripción de Azure14 propia. Si no la tiene, puede seguir leyendo.

Crear el grupo de recursos Aquí crearemos un grupo de recursos denominado my-test-rg. Es el grupo de recursos al que aplicaremos la directiva de ubicación. A efectos de aprendizaje, usaremos el mismo nombre de grupo de recursos que usamos en el ejercicio anterior. Podemos usar el mismo nombre porque eliminamos ese grupo de recursos anterior. 1. Abra Azure Portal15 e inicie sesión. 2. Seleccione Crear un recurso. 3. Escriba grupo de recursos en el cuadro de búsqueda y presione Entrar. 4. Si se le lleva a una página de resultados de la búsqueda, seleccione Grupo de recursos de los resultados. 5. Seleccione Crear. Después, rellene estos campos: Configuración Suscripción

Suscripción > Grupo de recursos Región

14 https://azure.microsoft.com/free/?azure-portal=true 15 https://portal.azure.com?azure-portal=true

Valor (Su suscripción de Azure) my-test-rg (EE. UU.) Este de EE. UU.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  223

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

224  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

6. Seleccione Revisar y crear y, luego, Crear.

Exploración de directivas predefinidas Antes de configurar nuestra directiva de ubicación, vamos a echar un vistazo a algunas directivas predefinidas. A modo de ejemplo, nos fijaremos en las directivas relacionadas con los servicios de Azure Compute. 1. En Azure Portal, en la parte superior de la página, seleccione Inicio para volver a la página de inicio. 2. En la parte superior de la página, escriba directiva en la barra de búsqueda y, luego, seleccione Directiva en la lista de resultados para acceder a Azure Policy. 3. En Creación, seleccione Definiciones. 4. En la lista desplegable Categoría, seleccione únicamente Compute. Observe que la definición SKU de máquina virtual permitidas nos permite especificar un conjunto de SKU de máquina virtual que la organización puede implementar.

Si lo desea, explore cualquier otra directiva o categoría que le interese.

Configuración de la directiva de ubicación Aquí configuraremos la directiva de ubicación permitida usando Azure Policy y, tras ello, asignaremos esa directiva al grupo de recursos. Para ello: 1. En la página Directiva, en Creación, seleccione Asignaciones.

Una asignación es una directiva que se ha asignado para que tenga lugar dentro de un ámbito específico. Por ejemplo, se podría asignar una definición al ámbito de la suscripción. 2. Seleccione Asignar directiva.

Se le llevará a la página Asignar directiva. 3. En Ámbito, seleccione los puntos suspensivos. Establezca lo siguiente en el cuadro de diálogo que se abre: 1. En el campo Suscripción, su suscripción a Azure. 2. En el campo Grupo de recursos, el grupo my-test-rg. 3. Seleccione el botón Seleccionar. 4. En Definición de directiva, seleccione los puntos suspensivos. 1. En la barra de búsqueda, escriba ubicación. 2. Seleccione la definición Ubicaciones permitidas. 3. Seleccione el botón Seleccionar.

Esta definición de directiva especifica la ubicación en la que todos los recursos deben implementarse. Si se elige otra ubicación, se producirá un error en la implementación. 5. Seleccione Siguiente para ir a la pestaña Parámetros. 6. En el cuadro desplegable Ubicaciones permitidas, seleccione Este de EE. UU. 7. Seleccione Revisar y crear y, luego, Crear. Vemos que, ahora, la asignación de directiva Ubicaciones permitidas aparece en el panel | Asignación de directivas, y que esa directiva se aplica al grupo de recursos my-test-rg.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  225

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

226  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Comprobación de la directiva de ubicación Aquí intentaremos agregar una cuenta de almacenamiento a nuestro grupo de recursos en una ubicación que infringe la directiva de ubicación. 1. En Azure Portal, en la parte superior de la página, seleccione Inicio para volver a la página de inicio. 2. Seleccione Crear un recurso. 3. Escriba cuenta de almacenamiento en el cuadro de búsqueda y presione Entrar. 4. Si se le lleva a una página de resultados de la búsqueda, seleccione Cuenta de almacenamiento de los resultados. 5. Seleccione Crear. Después, rellene estos campos: Reemplace NNN por una serie de números. De este modo se garantiza que el nombre de la cuenta de almacenamiento es único. Configuración Suscripción

Suscripción > Grupo de recursos

Nombre de la cuenta de almacenamiento Ubicación

Rendimiento

Tipo de cuenta Replicación

Nivel de acceso (predeterminado)

Valor (Su suscripción de Azure) my-test-rg mysaNNN

(Asia Pacífico) Este de Japón Estándar

Almacenamiento V2 (uso general v2)

Almacenamiento con redundancia local (LRS) Frecuente

Si antes seleccionó Este de Japón en la directiva de ubicación, seleccione una región diferente de la lista. 6. Seleccione Revisar y crear y, luego, Crear. Aparecerá un mensaje que indica que se ha producido un error en la implementación debido a una infracción de la directiva. Abajo se muestran los detalles de la implementación. En este ejemplo se muestran los detalles de implementación de una cuenta de

almacenamiento denominada mysa1234: ] Captura de pantalla de Azure Portal en la que se muestra el mensaje de detalles de la implementación, como el nombre del recurso, el tipo y un estado de “Prohibido”.:::

Eliminar la asignación de directiva Ya no necesitamos la asignación de directivas, así que lo quitaremos de la suscripción. 1. En Azure Portal, seleccione Inicio > Directiva. 2. En Creación, seleccione Asignaciones. 3. En la fila Ubicaciones permitidas, seleccione los puntos suspensivos y, luego, seleccione Eliminar asignación. Cuando se le solicite, seleccione Sí.

Verá que la asignación de directiva Ubicaciones permitidas ya no existe. Si lo desea, puede probar a crear la cuenta de almacenamiento una segunda vez para comprobar que la directiva ya no tiene efecto alguno.

Eliminación del grupo de recursos Ya no necesitamos el grupo de recursos, así que lo quitaremos de la suscripción. 1. En Azure Portal, seleccione Inicio > Grupos de recursos > my-test-rg para ir al grupo de recursos. 2. Seleccione Información general y, después, Eliminar grupo de recursos. 3. En el símbolo del sistema, escriba my-test-rg y, después, seleccione Aceptar. La operación de eliminación puede tardar un poco en completarse. 4. Después de que la operación finalice, seleccione Inicio > Grupos de recursos. Verá que el grupo de recursos my-test-rg ya no está en la cuenta Excelente trabajo. Ha aplicado una directiva correctamente con Azure Policy para restringir la implementación de recursos de Azure en una ubicación específica. Ahora puede aplicar las directivas que necesite en el nivel de grupo de administración, suscripción o grupo de recursos.

Gobernanza de varias suscripciones mediante Azure Blueprints

Hasta ahora, hemos visto una serie de características de Azure que pueden servir para poner en marcha nuestras decisiones de gobernanza, supervisar el cumplimiento de los recursos en la nube, controlar el acceso y proteger los recursos críticos de posibles eliminaciones accidentales. ¿Qué ocurre cuando nuestro entorno de nube empieza a crecer por encima de una sola suscripción? ¿Cómo podemos escalar la configuración de estas características, sabiendo que deben aplicarse a los recursos de las nuevas suscripciones? En lugar de tener que configurar características como Azure Policy en cada nueva suscripción, Azure Blueprints16 permite definir un conjunto repetible de herramientas de gobernanza y recursos de Azure estándar que la organización necesita. Gracias a esto, los equipos de desarrollo pueden crear e implementar rápidamente nuevos entornos sabiendo que se crean de acuerdo a los estándares organizativos con un conjunto de componentes integrados que aceleran las fases de desarrollo e implementación. Azure Blueprints organiza la implementación de varias plantillas de recursos y de otros artefactos, como son los siguientes: ●● Asignaciones de roles ●● Asignaciones de directivas 16 https://azure.microsoft.com/services/blueprints?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  227

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

228  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

●● Plantillas de Azure Resource Manager ●● Grupos de recursos

Azure Blueprints en acción Cuando formamos un equipo de centro de excelencia en la nube o un equipo de administradores de nube, dicho equipo puede usar Azure Blueprints para escalar sus prácticas de gobernanza en toda la organización. Para implementar un proyecto en Azure Blueprints hay que realizar estos tres pasos: 1. Cree un plano técnico de Azure. 2. Asigne el plano técnico. 3. Realice un seguimiento de las asignaciones de planos técnicos. Con Azure Blueprints, se conserva la relación entre la definición del plano técnico (lo que se debe implementar) y su asignación (lo que se ha implementado de facto). En otras palabras, Azure crea un registro que asocia un recurso con el plano técnico que lo define, y gracias a esta conexión podemos realizar el seguimiento y la auditoría de nuestras implementaciones. Los planos técnicos también tienen versiones. El control de versiones nos permite llevar un control de los cambios que se producen en el plano técnico y comentarlos.

¿Qué son los artefactos de plano técnico? Cada componente de la definición de un plano técnico se denomina artefacto. Los artefactos pueden no tener ningún parámetro (así, la directiva Implementar la detección de amenazas en servidores SQL Server, que no requiere ninguna configuración extra) o pueden contener uno o más parámetros que se pueden configurar. En la siguiente captura de pantalla se muestra la directiva Ubicaciones permitidas, que incluye un parámetro que especifica las ubicaciones que se pueden usar.

Captura de pantalla de la directiva Ubicaciones permitidas, que incluye un parámetro que especifica las ubicaciones que se pueden usar. Podemos especificar valores para esos parámetros cuando creemos la definición del plano técnico o al asignar la definición del plano a un ámbito. De este modo, conservaremos un plano técnico estándar, pero con flexibilidad suficiente para especificar los parámetros de configuración relevantes en cada ámbito en el que se asigne la definición.

¿Cómo usarán Azure Blueprints en Tailwind Traders para cumplir con la norma ISO 27001? La ISO 2700117 es una norma publicada por la Organización Internacional de Normalización que rige la seguridad de los sistemas de tecnologías de la información (TI). Como parte de su proceso de calidad, Tailwind Traders quiere certificar que cumple con esta norma. Azure Blueprints cuenta con varias definiciones de plano técnico integradas relacionadas con ISO 27001. Como administradores de TI, decidimos investigar la definición de la norma ISO 27001 de plano técnico de servicios compartidos. Nuestro plan es el siguiente: 1. Definir un grupo de administración llamado PROD-MG Recordemos que un grupo de administración se encarga de administrar el acceso, las directivas y el cumplimiento en varias suscripciones de Azure. Cada nueva suscripción de Azure que se cree se agregará a este grupo de administración. 2. Crear una definición de plano técnico según la norma ISO 27001 de plano técnico de servicios compartidos y, después, publicar el plano técnico. 3. Asignar el plano técnico al grupo de administración PROD-MG En la siguiente imagen se muestran los artefactos que se crean al ejecutar un plano técnico ISO 27001 a partir de una plantilla:

17 https://www.iso.org/isoiec-27001-information-security.html?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Creación de una estrategia de gobernanza en la nube en Azure  229

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

230  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Captura de pantalla de una lista de artefactos al crear un plano técnico ISO 27001 a partir de una plantilla Como se aprecia en la imagen, la plantilla de plano técnico contiene asignaciones de directivas, plantillas de ARM y grupos de recursos. El plano técnico implementa estos artefactos en las suscripciones existentes dentro del grupo de administración PROD-MG. También los implementará en todas las suscripciones nuevas a medida que se vayan creando y agregando al grupo de administración.

Examine los estándares de privacidad, cumplimiento y protección de datos en Azure Introducción

En este módulo, obtendrá información sobre el compromiso de Microsoft con la privacidad y el modo en que Azure cumple con los estándares habituales normativos y de cumplimiento. Si su organización es un departamento o una agencia gubernamental, o si tiene que implementar en regiones de China, también aprenderá algunas consideraciones adicionales que debe tener en cuenta y que no se aplican a otros usuarios de Azure. En general, cumplimiento significa cumplir ciertas leyes, estándares o un conjunto de directrices. El cumplimiento normativo hace referencia a la disciplina y al proceso de garantizar que una empresa sigue las leyes que establecen los organismos competentes.

Conozca Tailwind Traders Tailwind Traders18 es una empresa ficticia que distribuye productos para la remodelación del hogar. Esta empresa cuenta con ferreterías minoristas en todo el mundo y en línea. Tailwind Traders está especializada en precios competitivos, envío rápido y una amplia gama de artículos. Va a examinar las tecnologías en la nube para mejorar las operaciones comerciales y apoyar el crecimiento en nuevos mercados. Al migrar a la nube, la empresa tiene previsto mejorar su experiencia de compra para diferenciarse de sus competidores.

¿Cómo protegerá Tailwind Traders sus datos en la nube y se mantendrá conforme? Tailwind Traders está planeando su migración a la nube. La empresa está acostumbrada a tener el control total de todos los datos de sus aplicaciones, que se almacenan en los servidores que administra en su centro de datos. Tailwind Traders sabe que el traslado de una aplicación a la nube implica que los datos están ahora fuera de sus propias paredes. La empresa también comprende que el proveedor de nube tiene acceso a la infraestructura y al hardware del servidor. ¿Cómo se protege la privacidad de los datos de sus aplicaciones? Tailwind Traders también debe cumplir varios marcos normativos y de cumplimiento. Por ejemplo, deben cumplir ciertas reglas para asegurarse de que administra correctamente los datos de las tarjetas de crédito. Además, tendrá que asegurarse de que sus aplicaciones cumplen los estándares y las regulaciones aplicables. ¿Cómo cumple la infraestructura de Azure estos mismos estándares? Para responder a estas preguntas, primero aprenderá qué tipos de ofertas de cumplimiento están disponibles en Azure.

18 https://www.tailwindtraders.com/

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Examine los estándares de privacidad, cumplimiento y protección de datos en Azure  231

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

232  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Objetivos de aprendizaje Después de completar este módulo, podrá: ●● Explicar los tipos de ofertas de cumplimiento que están disponibles en Azure. ●● Obtener acceso a la declaración de privacidad de Microsoft, los Términos de los Servicios en Línea y el anexo de protección de datos para obtener información sobre los datos personales que Microsoft recopila, la manera en que los usa y con qué fines. ●● Conocer los estándares normativos y de cumplimiento de Azure desde el Centro de confianza y la documentación de cumplimiento de Azure. ●● Explicar las capacidades de Azure que son específicas de las agencias gubernamentales.

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

Explorar los requisitos y las condiciones de cumplimiento En esta parte, obtendrá información sobre los tipos de ofertas de cumplimiento que están disponibles en Azure. A medida que Tailwind Traders empieza a ejecutar sus aplicaciones en la nube, quieren saber de qué manera cumple Azure con los marcos de cumplimiento normativo vigentes. Preguntan lo siguiente: ●● ¿Qué cumplimiento ofrece Azure cuando se trata de administrar datos personales? ●● ¿Qué cumplimiento ofrecen cada uno de los servicios individuales de Azure? Los servicios en línea de Microsoft se basan en un conjunto común de controles normativos y de cumplimiento. Piense en un control como un estándar conocido con el que puede comparar su solución para garantizar la seguridad. Estos controles abordan las regulaciones actuales y se adaptan a medida que las regulaciones evolucionan.

¿Qué categorías de cumplimiento están disponibles en Azure? Aunque hay muchas más, la imagen siguiente muestra algunas de las ofertas de cumplimiento más populares que están disponibles en Azure. Estas ofertas se agrupan en cuatro categorías: Global, gobierno de EE. UU., sectorial y regional.

Una captura de pantalla de algunas de las ofertas de cumplimiento de Azure agrupadas en categorías de global, gobierno de EE. UU., sectorial y regional. Para hacerse una idea de la variedad de ofertas de cumplimiento disponibles en Azure, echemos un vistazo más de cerca a algunas de ellas. Aunque no todas estas ofertas de cumplimiento serán pertinentes para usted o su equipo, demuestran que el compromiso de Microsoft con el cumplimiento es integral y continuo, así como probado y verificado de forma independiente.

Servicios de información de justicia penal (CJIS) Cualquier agencia local o de los EE. UU. que quiera tener acceso a la base de datos de los Servicios de Información sobre Justicia Penal (CJIS) del FBI debe cumplir la directiva de seguridad CJIS. Azure es el único proveedor de nube importante que se compromete contractualmente a cumplir con la directiva de seguridad CJIS, que obliga a Microsoft a cumplir los mismos requisitos a los que deben someterse las entidades y fuerzas de seguridad públicas.

Certificación STAR de Cloud Security Alliance (CSA) Azure, Intune y Microsoft Power BI han obtenido la certificación STAR, que implica una evaluación independiente rigurosa por parte de terceros de la postura de seguridad de un proveedor de nube. Esta certificación STAR se basa en lograr la certificación ISO/IEC 27001 y cumplir los criterios especificados en la Cloud Controls Matrix (CCM, Matriz de controles para la nube). Esta certificación muestra que un proveedor de servicios en la nube cumple los requisitos aplicables de ISO/IEC 27001, que ha solucionado problemas críticos para la seguridad de la nube como se describe en la CCM y se ha contrastado con el modelo de madurez y capacidad STAR para la administración de actividades en las áreas de control de la CCM.

Cláusulas del modelo de la Unión Europea (UE) Microsoft ofrece a los clientes cláusulas contractuales estándares de la UE que ofrecen garantías contractuales en torno a las transferencias de datos personales fuera de la UE.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Examine los estándares de privacidad, cumplimiento y protección de datos en Azure  233

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

234  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Microsoft es la primera compañía en recibir la aprobación conjunta del grupo de trabajo del artículo 29 de la UE que avala que las protecciones de seguridad contractuales que Azure ofrece a sus clientes empresariales en la nube cumplen los estándares actuales de la UE para la transferencia internacional de datos, lo cual garantiza que los clientes de Azure puedan usar los servicios de Microsoft para mover datos libremente a través de la nube de Microsoft, desde Europa al resto del mundo.

Ley de Transferencia y Responsabilidad de Seguros de Salud (HIPAA) La Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) es una ley federal de los EE. UU. que regula la información médica protegida del paciente (PHI). Azure ofrece a los clientes un Contrato de asociación comercial (BAA) de HIPAA que estipula el cumplimiento de ciertas disposiciones de seguridad y privacidad en HIPAA y la Ley HITECH. Para ayudar a los clientes en sus esfuerzos de cumplimiento individuales, Microsoft ofrece un BAA a los clientes de Azure como un anexo al contrato.

Organización internacional de normalización/Comisión electrotécnica internacional (ISO/CEI) 27018 Microsoft es el primer proveedor de nube que ha adoptado el código de prácticas ISO/IEC 27018, que cubre el procesamiento de información personal por parte de los proveedores de servicios en la nube.

Seguridad multinivel en la nube (MTCS) Singapur Tras rigurosas evaluaciones llevadas a cabo por el cuerpo de certificación del MTCS, los servicios en la nube de Microsoft recibieron la certificación MTCS 584:2013 en todas las clasificaciones de tres servicios: infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS). Microsoft es el primer proveedor de soluciones en la nube global que recibió esta certificación en las tres clasificaciones.

Controles de organización de servicios (SOC) 1, 2 y 3 Auditores externos independientes auditan según el marco de informes SOC los servicios en la nube que cubre Microsoft al menos una vez al año. La auditoría de servicios en la nube de Microsoft abarca los controles de seguridad de datos, disponibilidad, integridad de procesamiento y confidencialidad según corresponda a los principios de confianza dentro del ámbito de cada servicio.

Marco de ciberseguridad (CSF) de National Institute of Standards and Technology (NIST). El CSF del NIST es un marco voluntario que se compone de normas, directrices y procedimientos recomendados para gestionar los riesgos relacionados con la ciberseguridad. Los servicios en la nube de Microsoft se han sometido a auditorías externas independientes de referencia de nivel moderado y alto del Federal Risk and Authorization Management Program (FedRAMP) y están certificados de acuerdo con los estándares del FedRAMP.

Además, mediante una prueba validada efectuada por la Health Information Trust Alliance (HITRUST), una organización líder en el desarrollo y la acreditación de estándares de seguridad y privacidad, Office 365 está certificado para los objetivos especificados en el CSF de NIST.

G-Cloud del gobierno del Reino Unido UK Government G-Cloud es una certificación de informática en la nube para servicios utilizados por entidades gubernamentales en el Reino Unido. Azure ha recibido la acreditación oficial del gobierno del Reino Unido.

Acceso a la declaración de privacidad de Microsoft, los Términos de los Servicios en línea y el anexo de protección de datos En esta parte, obtendrá información sobre la manera en que la declaración de privacidad de Microsoft, los Términos de los Servicios en línea y el anexo de protección de datos explican qué datos personales recopila Microsoft, cómo los usa y con qué fines. En el caso de Tailwind Traders, comprender el compromiso de Microsoft con la privacidad ayuda a garantizar que los datos de los clientes y las aplicaciones estén protegidos. Comencemos con un breve vistazo a la declaración de privacidad de Microsoft.

¿Qué hay en la declaración de privacidad de Microsoft? En la declaración de privacidad de Microsoft19 se explica qué datos personales recopila Microsoft, cómo los usa y con qué fines. La declaración de privacidad abarca todos los servicios, sitios web, aplicaciones, software, servidores y dispositivos de Microsoft. En esta lista se incluyen los productos de servidor y de empresa en los dispositivos que usa en su hogar para el software que usan los alumnos en la escuela. La declaración de privacidad de Microsoft también proporciona información adicional pertinente para productos específicos, como Windows y Xbox.

¿Qué hay en los Términos de los Servicios en Línea? Los Términos de los Servicios en Línea20 (OST) son un contrato legal entre Microsoft y el cliente. Los OST detallan las obligaciones de ambas partes con respecto al procesamiento y la seguridad de los datos de los clientes y los datos personales. Los OST se aplican específicamente a los servicios en línea de Microsoft a los que se concede licencia a través de una suscripción, incluidos Azure, Dynamics 365, Office 365 y Mapas de Bing.

¿Qué hay en el anexo de protección de datos? El anexo de protección de datos (DPA) define también los términos de seguridad y procesamiento de datos para los servicios en línea. Estos términos incluyen: ●● Cumplimiento de las leyes.

19 https://privacy.microsoft.com/privacystatement?azure-portal=true 20 https://www.microsoft.com/licensing/terms/product/ForallOnlineServices?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Examine los estándares de privacidad, cumplimiento y protección de datos en Azure  235

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

236  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

●● Revelación de los datos procesados. ●● Seguridad de los datos, lo cual incluye directivas y prácticas de seguridad, cifrado de datos, acceso a datos, responsabilidades del cliente y cumplimiento de la auditoría. ●● Transferencia de datos, retención y eliminación. Para acceder al DPA: 1. Vaya a la documentación y los términos de licencia21. 2. En la barra de búsqueda, escriba DPA. 3. En los resultados de la búsqueda, busque el vínculo al DPA en su idioma preferido. De forma alternativa, en la barra de búsqueda que aparece, escriba su idioma preferido para filtrar los resultados. Este es un ejemplo que recupera la versión en inglés del DPA.

La transparencia es importante en cuanto a la manera en que un proveedor de la nube comunica sus directivas de privacidad y cómo trata los datos. La declaración de privacidad de Microsoft, los OST y el DPA detallan el compromiso de Microsoft con la protección de los datos y la privacidad en la nube.

Explorar el Centro de confianza

Tailwind Traders debe mantenerse al día respecto de los estándares de seguridad más recientes para proteger sus datos. En la actualidad, el equipo de seguridad debe comprobar si Azure cumple con el requisito ISO 27001, un estándar de seguridad de la información de uso común. ¿Dónde pueden acceder a esta información? El Centro de confianza22 presenta los principios de Microsoft para mantener la integridad de los datos en la nube y la manera en que Microsoft implementa y admite la seguridad, la privacidad, el cumplimiento y la transparencia en todos los servicios y productos de nube de Microsoft. El Centro de confianza es una parte importante de Microsoft Trusted Cloud Initiative y proporciona soporte y recursos para la comunidad legal y de cumplimiento.

21 https://www.microsoftvolumelicensing.com/DocumentSearch.aspx?azure-portal=true 22 https://www.microsoft.com/trustcenter?azure-portal=true

El Centro de confianza proporciona: ●● Información detallada sobre seguridad, privacidad, ofertas de cumplimiento, directivas, características y procedimientos en todos los productos en la nube de Microsoft. ●● Recursos adicionales para cada tema. ●● Vínculos a los blogs de seguridad, privacidad y cumplimiento, así como de los próximos eventos. El Centro de confianza es un excelente recurso para que otras personas de la organización puedan desempeñar un papel en la seguridad, la privacidad y el cumplimiento. Entre estas personas se incluyen los gestores empresariales, los responsables de evaluación de riesgos y privacidad, así como los equipos de cumplimiento legal. Como ejercicio opcional, echemos un vistazo breve a la entrada del Centro de confianza para ISO 27001. El acceso al Centro de confianza no requiere una suscripción de Azure ni una cuenta de Microsoft. 1. Vaya al Centro de confianza23. 2. Busque la sección Recursos adicionales de la página. En Ofertas de cumplimiento, seleccione Más información.

23 https://www.microsoft.com/trustcenter?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Examine los estándares de privacidad, cumplimiento y protección de datos en Azure  237

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

238  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Se le dirigirá a Ofertas de cumplimiento de Microsoft24. Las ofertas se agrupan en estas categorías: Global, gobierno de EE. UU., sectorial y regional. 3. En Global, seleccione ISO 27001.

La página de estándares de administración de la seguridad de la información de ISO 27001 es típica del tipo de información de cumplimiento que se proporciona. 4. Revise brevemente la documentación para ISO/CEI 27001. Se ve lo siguiente: ●● Una introducción al estándar. ●● Qué servicios en la nube están en el ámbito. ●● Una introducción al ciclo de auditoría y vínculos a informes de auditoría. ●● Respuestas a las preguntas más frecuentes. ●● Recursos adicionales y notas del producto. Las áreas de documentación de otras ofertas de cumplimiento variarán, pero este es el formato típico que encontrará.

24 https://docs.microsoft.com/microsoft-365/compliance/offering-home?azure-portal=true

Acceso a la documentación de cumplimiento de Azure

Aquí obtendrá información sobre cómo acceder a documentación detallada sobre el cumplimiento y los estándares legales y normativos en Azure. El comercio electrónico es una parte importante de la estrategia de ventas de Tailwind Traders. Su tienda en línea25 permite a los clientes examinar y pedir productos fácilmente. Los clientes suelen pagar con tarjeta de crédito, por lo que Tailwind Traders tiene una responsabilidad de conformidad con el Estándar de Seguridad de Datos (DSS) del Sector de Tarjetas de Pago (PCI). Este estándar global, conocido como PCI DSS, pretende evitar fraudes a través de un mayor control de los datos de las tarjetas de crédito y se aplica a cualquier organización que almacene, procese o transmita datos de pago y de titulares de tarjetas. Se le ha encargado investigar si hospedar su aplicación de comercio electrónico en Azure cumpliría con el PCI DSS. Empiece con la documentación de cumplimiento de Azure.

¿Qué es la documentación de cumplimiento de Azure? La documentación de cumplimiento de Azure26 proporciona documentación detallada sobre el cumplimiento y los estándares legales y normativos en Azure. Aquí encontrará las ofertas de cumplimiento en estas categorías: ●● Global ●● Gobierno de EE. UU. ●● Servicios financieros ●● Health ●● Soporte físico y fabricación ●● Regional También hay recursos de cumplimiento adicionales, como informes de auditoría, información de privacidad, implementaciones y asignaciones de cumplimiento, notas del producto e informes de analistas, así como directrices de privacidad y cumplimiento de países y regiones. Algunos recursos pueden requerir que inicie sesión en su servicio en la nube para acceder a ellos.

Examinar el cumplimiento de PCI DSS El equipo legal de Tailwind Traders quiere obtener más información sobre cómo el PCI DSS está relacionado con su aplicación de comercio electrónico en Azure. Como ejercicio opcional, aquí puede seguir. 1. Vaya a la documentación de cumplimiento de Azure27. 2. En Servicios financieros, seleccione PCI DSS.

25 https://www.tailwindtraders.com/?azure-portal=true 26 https://docs.microsoft.com/azure/compliance/?azure-portal=true 27 https://docs.microsoft.com/azure/compliance/?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Examine los estándares de privacidad, cumplimiento y protección de datos en Azure  239

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

240  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Allí verá: ●● Una introducción al estándar PCI DSS. ●● Cómo se aplica el PCI DSS a Microsoft. ●● Qué servicios en la nube están en el ámbito. ●● Una introducción al ciclo de auditoría. ●● Respuestas a las preguntas más frecuentes. ●● Recursos adicionales y notas del producto.

Acceso a recursos de cumplimiento adicionales En la documentación de cumplimiento de Azure28, puede acceder a recursos de cumplimiento adicionales. Por ejemplo, en la sección Informes de auditoría, encontrará un vínculo a los informes de auditoría para PCI DSS29.

Desde allí, puede acceder a varios archivos diferentes, como los informes de atestación de cumplimiento y la matriz de responsabilidades compartidas del PCI DSS. En Proyectos de cumplimiento encontrará proyectos de referencia, o definiciones de directivas, para estándares comunes que puede aplicar a su suscripción de Azure. El proyecto de PCI-DSS30 implementa

28 https://docs.microsoft.com/azure/compliance/?azure-portal=true 29 https://servicetrust.microsoft.com/ViewPage/MSComplianceGuideV3?docTab=7027ead0-3d6b-11e9-b9e1-290b1eb4cdeb_PCI_DSS?azureportal=true 30 https://docs.microsoft.com/azure/governance/blueprints/samples/pci-dss-3.2.1/?azure-portal=true

un conjunto básico de directivas que se asignan al cumplimiento de PCI DSS y ayudan a controlar las cargas de trabajo de Azure en este estándar.

A continuación, puede ver si los recursos de Azure de la arquitectura de la aplicación se han configurado correctamente para el cumplimiento del PCI DSS o los recursos que necesita corregir. Dado que los estándares evolucionan, el equipo de Tailwind Traders podría comprobar periódicamente el informe de auditoría para asegurarse de que Azure se ha mantenido al día con los cambios recientes.

¿Qué es Azure Government?

Azure Government31 es una instancia separada del servicio Microsoft Azure. Aborda las necesidades de seguridad y cumplimiento de las agencias federales de EE. UU., los gobiernos estatales y locales y sus proveedores de soluciones. Azure Government ofrece aislamiento físico de las implementaciones gubernamentales que no son de EE. UU. y proporciona personal seleccionado de EE. UU.

31 https://azure.microsoft.com/global-infrastructure/government?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Examine los estándares de privacidad, cumplimiento y protección de datos en Azure  241

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

242  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Los servicios de Azure Government controlan datos que están sujetos a determinados requisitos y regulaciones gubernamentales: ●● Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP) ●● Base industrial de defensa (DIB) del Instituto Nacional de Estándares y Tecnología (NIST) 800.171 ●● Normativas sobre el tráfico internacional de armas (ITAR) ●● Servicio de Impuestos Internos (IRS) 1075 ●● Departamento de Defensa (DoD) L4 ●● Servicios de información de justicia penal (CJIS) Para proporcionar el máximo nivel de seguridad y cumplimiento, Azure Government usa redes y centros de datos físicamente aislados ubicados solo en los EE. UU. Los clientes de Azure Government, como el gobierno federal, estatal y local de los EE. UU. o sus asociados, están sujetos a una validación de idoneidad. Azure Government proporciona el cumplimiento más amplio y la aprobación del Departamento de Defensa de nivel 5. Azure Government está disponible en ocho zonas geográficas32 y ofrece la mayoría de las certificaciones de cumplimiento de cualquier proveedor de nube.

¿Qué es Azure China 21Vianet?

Azure China 21Vianet33 es operado por 21Vianet, una instancia físicamente separada de servicios en la nube ubicada en China, operada y administrada de forma independiente por Shanghai Blue Cloud Technology Co., Ltd. (“21Vianet”), una subsidiaria de propiedad absoluta de Beijing 21Vianet Broadband Data Center Co., Ltd. Según el Reglamento de telecomunicaciones de China, los proveedores de Cloud Services (IaaS y PaaS) deben tener permisos de telecomunicaciones de valor añadido. Solo las compañías registradas localmente con menos del 50 por ciento de inversión extranjera califican para estos permisos. Para cumplir con esta regulación, el servicio Azure en China es operado por 21Vianet, basado en las tecnologías con licencia de Microsoft.

32 https://azure.microsoft.com/global-infrastructure/geographies/#geographies?azure-portal=true 33 https://docs.microsoft.com/azure/china?azure-portal=true

Como el primer proveedor de servicios en la nube pública que se ofrece en China de acuerdo con las reglamentaciones gubernamentales, Azure China 21Vianet proporciona seguridad de primera clase, tal como se describe en el Centro de confianza34, según lo requieran las regulaciones chinas para todos los sistemas y aplicaciones basados en su arquitectura.

Productos y servicios de Azure disponibles en China Los servicios de Azure se basan en las mismas tecnologías de Azure, Office 365 y Power BI que conforman el servicio de nube global de Microsoft, con niveles de servicio comparables. Los acuerdos y contratos para Azure en China, cuando corresponda, se firman entre los clientes y 21Vianet. Azure incluye los componentes principales de IaaS, PaaS y SaaS. Estos componentes incluyen red, almacenamiento, administración de datos, administración de identidad y muchos otros servicios. Azure China 21Vianet admite la mayoría de los mismos servicios que tiene Azure global, como la replicación de datos geosincrónicos y el escalado automático. Incluso si ya utiliza los servicios globales de Azure, para operar en China puede necesitar reorganizar o refactorizar algunas o todas sus aplicaciones o servicios.

34 https://www.trustcenter.cn/compliance/default.html?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Examine los estándares de privacidad, cumplimiento y protección de datos en Azure  243

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

244  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Preguntas de repaso del módulo 5 Preguntas de repaso del módulo 05 Pregunta de repaso 1 ¿Cómo puede asegurarse el departamento de TI de que los empleados de las tiendas solo accedan a las aplicaciones de la empresa desde las tabletas autorizadas? †† SSO †† Acceso condicional †† Autenticación multifactor

Pregunta de repaso 2 ¿Cómo puede el departamento de TI usar las propiedades biométricas (por ejemplo, el reconocimiento facial) para permitir que los repartidores demuestren su identidad? †† SSO †† Acceso condicional †† Autenticación multifactor

Pregunta de repaso 3 ¿Qué puede hacer el departamento de TI para reducir el número de veces que los usuarios se tienen que autenticar para acceder a varias aplicaciones? †† SSO †† Acceso condicional †† Autenticación multifactor

Pregunta de repaso 4 ¿Qué debe hacer una empresa para permitir a algunos usuarios controlar las máquinas virtuales en cada entorno, pero impedirles al mismo tiempo modificar recursos de red y de otro tipo en el mismo grupo de recursos o en la misma suscripción de Azure? †† Crear una asignación de roles mediante el control de acceso basado en roles de Azure (RBAC de Azure) †† Crear una directiva en Azure Policy que audite el uso de recursos †† Dividir el entorno en grupos de recursos independientes

Pregunta de repaso 5 ¿Qué debe hacer una empresa para asegurarse de que el equipo solo implementa tamaños de SKU de máquina virtual rentables? †† Crear una directiva en Azure Policy que especifique los tamaños de SKU permitidos †† Inspeccionar la implementación manualmente con regularidad para ver qué tamaños de SKU se usan †† Crear un rol de RBAC de Azure que defina los tamaños de SKU de máquina virtual permitidos

Pregunta de repaso 6 ¿Cuál es probablemente la mejor forma de que una empresa sepa a qué departamento de facturación pertenece cada recurso de Azure? †† Llevar seguimiento del uso de recursos en una hoja de cálculo †† Dividir la implementación en suscripciones de Azure independientes, donde cada suscripción pertenece a su propio departamento de facturación †† Usar una etiqueta en cada recurso que incluya el departamento de facturación asociado

Pregunta de repaso 7 ¿Dónde puede acceder una empresa a los detalles sobre los datos personales que Microsoft procesa y la manera en que la empresa los procesa, también para Cortana? †† Declaración de privacidad de Microsoft †† La documentación de cumplimiento de Azure †† Ofertas de cumplimiento de Microsoft

Pregunta de repaso 8 ¿Dónde puede acceder un equipo legal a la información sobre cómo la nube de Microsoft les ayuda a proteger los datos confidenciales y a cumplir con las leyes y regulaciones vigentes? †† Declaración de privacidad de Microsoft †† Centro de confianza †† Términos de los servicios en línea

Pregunta de repaso 9 ¿Dónde puede encontrar el departamento de TI los proyectos de referencia que se pueden aplicar directamente a las suscripciones de Azure? †† Términos de los servicios en línea †† Documentación del cumplimiento de Azure. †† Declaración de privacidad de Microsoft

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Preguntas de repaso del módulo 5  245

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

246  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Resumen del módulo 5 Resumen del módulo 05 Acceso seguro a las aplicaciones con servicios de identidad de Azure Tailwind Traders debe asegurarse de que solo sus empleados pueden acceder a su creciente conjunto de aplicaciones en la nube, desde cualquier lugar y desde cualquier dispositivo. Al crear su plan, Tailwind Traders aprende lo siguiente: ●● La autenticación (AuthN) establece la identidad del usuario. ●● La autorización (AuthZ) establece el nivel de acceso que tiene un usuario autenticado. ●● El inicio de sesión único (SSO) permite a los usuarios iniciar sesión una vez y utilizar esa credencial para acceder a varios recursos y aplicaciones. ●● Azure Active Directory (Azure AD) es un servicio de administración de acceso e identidades basado en la nube. Azure AD permite a una organización controlar el acceso a las aplicaciones y los recursos en función de sus requisitos empresariales. ●● Azure Multi-Factor Authentication proporciona seguridad adicional para las identidades, ya que se requieren dos o más elementos para una autenticación completa. En general, la autenticación multifactor puede incluir algo que el usuario sabe, algo que tiene y algo que es. ●● El acceso condicional es una herramienta que Azure AD usa para permitir o denegar el acceso a los recursos en función de señales de identidad, como la ubicación del usuario. Con estas ideas en mente, los equipos de desarrollo de software y de administración de TI pueden empezar a reemplazar sus sistemas de autenticación existentes por unos que usan varios factores y permiten el acceso a varias aplicaciones.

Creación de una estrategia de gobernanza en la nube en Azure Se nos ha asignado la tarea de definir e implementar la estrategia de gobernanza de Tailwind Traders. La gobernanza en la nube requiere un buen análisis y recopilar una serie de requisitos. Por suerte, Cloud Adoption Framework para Azure nos puede ayudar a definir e implementar la estrategia de gobernanza. Hay varios servicios y características de Azure que respaldan estos esfuerzos: ●● El control de acceso basado en roles de Azure (RBAC de Azure) permite crear roles que definen permisos de acceso. ●● Los bloqueos de recursos impiden que se eliminen o modifiquen recursos por error. ●● Las etiquetas de recursos proporcionan información extra, o metadatos, sobre los recursos. ●● Azure Policy es un servicio de Azure que permite crear, asignar y administrar directivas que controlan o auditan recursos. ●● Azure Blueprints permite definir un conjunto repetible de herramientas de gobernanza y recursos de Azure estándar que la organización necesita.

Con estos puntos en la mente, estaremos listos para llevar a cabo el siguiente paso en la creación de una buena estrategia de gobernanza en la nube.

Examine los estándares de privacidad, cumplimiento y protección de datos en Azure En esta lección, ha aprendido sobre el enfoque de Microsoft para la privacidad, la seguridad y el cumplimiento. Ha explorado los recursos específicos de los servicios en línea, incluido Azure, y la manera en que los gobiernos pueden usar Azure para satisfacer sus necesidades específicas de seguridad y cumplimiento. El equipo de seguridad de Tailwind Traders ahora entiende mejor qué recursos están disponibles para ayudar a proteger sus datos en la nube y mantenerse conformes: ●● La declaración de privacidad de Microsoft35 proporciona confianza en la forma en que Microsoft recopila, protege y usa los datos de los clientes. ●● El Centro de confianza36 proporciona documentación sobre los estándares de cumplimiento y la manera en que Azure puede ayudar a su negocio. ●● La documentación de cumplimiento de Azure37 incluye información detallada sobre el cumplimiento y los estándares legales y normativos en Azure. Tenga en cuenta que el estado de cumplimiento de los productos y servicios de Azure no se traduce automáticamente en el cumplimiento del servicio o la aplicación que se crea o se hospeda en Azure. Usted es responsable de garantizar el cumplimiento de los estándares legales y normativos que debe seguir. La mayoría de los servicios son los mismos en Azure Government y en Azure global. Aun así, hay ciertas diferencias que debe tener en cuenta. Para obtener más información, compare Azure Government y Azure global38.

35 36 37 38

https://privacy.microsoft.com/privacystatement https://www.microsoft.com/trustcenter https://docs.microsoft.com/es-es/azure/compliance/ https://docs.microsoft.com/es-es/azure/azure-government/compare-azure-government-global-azure

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 5  247

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

248  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Answers Pregunta de repaso 1 ¿Cómo puede asegurarse el departamento de TI de que los empleados de las tiendas solo accedan a las aplicaciones de la empresa desde las tabletas autorizadas? †† SSO ■■ Acceso condicional †† Autenticación multifactor Explanation Con el acceso condicional, se puede obligar a los usuarios a acceder a las aplicaciones solo desde dispositivos autorizados o administrados. Pregunta de repaso 2 ¿Cómo puede el departamento de TI usar las propiedades biométricas (por ejemplo, el reconocimiento facial) para permitir que los repartidores demuestren su identidad? †† SSO †† Acceso condicional ■■ Autenticación multifactor Explanation La autenticación a través de la autenticación multifactor puede incluir algo que el usuario sabe, algo que tiene y algo que es. Pregunta de repaso 3 ¿Qué puede hacer el departamento de TI para reducir el número de veces que los usuarios se tienen que autenticar para acceder a varias aplicaciones? ■■ SSO †† Acceso condicional †† Autenticación multifactor Explanation El SSO permite a un usuario recordar solo un identificador y una contraseña para acceder a varias aplicaciones. Pregunta de repaso 4 ¿Qué debe hacer una empresa para permitir a algunos usuarios controlar las máquinas virtuales en cada entorno, pero impedirles al mismo tiempo modificar recursos de red y de otro tipo en el mismo grupo de recursos o en la misma suscripción de Azure? ■■ Crear una asignación de roles mediante el control de acceso basado en roles de Azure (RBAC de Azure) †† Crear una directiva en Azure Policy que audite el uso de recursos †† Dividir el entorno en grupos de recursos independientes Explanation RBAC de Azure permite crear roles que definen permisos de acceso. Así, podríamos crear un rol que limite el acceso solo a las máquinas virtuales, y un segundo rol que proporcione acceso a todo a los administradores.

Pregunta de repaso 5 ¿Qué debe hacer una empresa para asegurarse de que el equipo solo implementa tamaños de SKU de máquina virtual rentables? ■■ Crear una directiva en Azure Policy que especifique los tamaños de SKU permitidos †† Inspeccionar la implementación manualmente con regularidad para ver qué tamaños de SKU se usan †† Crear un rol de RBAC de Azure que defina los tamaños de SKU de máquina virtual permitidos Explanation Cuando esta directiva se habilite, se aplicará cuando se creen más máquinas virtuales o se cambie el tamaño de las ya existentes. Azure Policy también evalúa todas las máquinas virtuales que hay actualmente en el entorno. Pregunta de repaso 6 ¿Cuál es probablemente la mejor forma de que una empresa sepa a qué departamento de facturación pertenece cada recurso de Azure? †† Llevar seguimiento del uso de recursos en una hoja de cálculo †† Dividir la implementación en suscripciones de Azure independientes, donde cada suscripción pertenece a su propio departamento de facturación ■■ Usar una etiqueta en cada recurso que incluya el departamento de facturación asociado Explanation Las etiquetas proporcionan información extra, o metadatos, sobre los recursos. Así, se podría crear una etiqueta llamada DeptFactur cuyo valor sería el nombre del departamento de facturación. Se puede usar Azure Policy para garantizar que se asignan las etiquetas adecuadas cuando se aprovisionen recursos. Pregunta de repaso 7 ¿Dónde puede acceder una empresa a los detalles sobre los datos personales que Microsoft procesa y la manera en que la empresa los procesa, también para Cortana? ■■ Declaración de privacidad de Microsoft †† La documentación de cumplimiento de Azure †† Ofertas de cumplimiento de Microsoft Explanation La declaración de privacidad de Microsoft proporciona información pertinente para servicios específicos, incluido Cortana. Pregunta de repaso 8 ¿Dónde puede acceder un equipo legal a la información sobre cómo la nube de Microsoft les ayuda a proteger los datos confidenciales y a cumplir con las leyes y regulaciones vigentes? †† Declaración de privacidad de Microsoft ■■ Centro de confianza †† Términos de los servicios en línea Explanation El Centro de confianza es un excelente recurso para las personas de la organización que podrían desempeñar un rol importante en la seguridad, la privacidad y el cumplimiento.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 5  249

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

250  Module 5 Descripción de las características de identidad, gobernanza, privacidad y cumplimiento  

Pregunta de repaso 9 ¿Dónde puede encontrar el departamento de TI los proyectos de referencia que se pueden aplicar directamente a las suscripciones de Azure? †† Términos de los servicios en línea ■■ Documentación del cumplimiento de Azure. †† Declaración de privacidad de Microsoft Explanation La documentación de cumplimiento proporciona proyectos de referencia, o definiciones de directivas, para estándares comunes que puede aplicar a su suscripción de Azure.

Objetivos de aprendizaje Objetivos de aprendizaje Después de completar este módulo, podrá:

●● Use la calculadora de coste total de propiedad con el fin de comparar los costes actuales del centro de datos para ejecutar las mismas cargas de trabajo en Azure. ●● Describa las distintas formas en las que puede comprar productos y servicios de Azure. ●● Use la calculadora de precios para calcular el coste mensual de ejecutar las cargas de trabajo en la nube. ●● Defina algunos de los factores principales que afectan al coste total y aplique las prácticas recomendadas para minimizar el coste. ●● describir qué es un acuerdo de nivel de servicio (SLA) y por qué son importantes los SLA; ●● identificar los factores que pueden influir en un acuerdo de nivel de servicio, como el nivel de servicio que se elija; ●● combinar acuerdos de nivel de servicio para calcular un SLA compuesto; ●● describir el ciclo de vida del servicio en Azure, incluido el acceso a las nuevas funcionalidades que se incorporarán a Azure en el futuro.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

252  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Planificación y administración de los costes de Azure Introducción

En este módulo, conocerá los principales factores que influyen en el coste de la ejecución en la nube. A lo largo del proceso, obtendrá experiencia práctica con algunas de las herramientas que puede usar para calcular los costes de ejecutar las cargas de trabajo en Azure, lo cual le ayuda a mantenerse dentro del presupuesto y usar solo los servicios que necesite.

Conozca Tailwind Traders Tailwind Traders1 es una empresa ficticia que distribuye productos para la remodelación del hogar. Esta empresa cuenta con ferreterías minoristas en todo el mundo y en línea. Tailwind Traders está especializada en precios competitivos, envío rápido y una amplia gama de artículos. Va a examinar las tecnologías en la nube para mejorar las operaciones comerciales y apoyar el crecimiento en nuevos mercados. Al migrar a la nube, la empresa tiene previsto mejorar su experiencia de compra para diferenciarse de sus competidores.

¿Cómo administrará Tailwind Traders los costes de la nube? Tailwind Traders está planeando su migración a la nube. La empresa ha ejecutado algunos proyectos satisfactorios de prueba de concepto y quiere comprender mejor cómo administrar sus costes antes de trasladar sus cargas de trabajo a Azure. La ejecución en el centro de datos requiere el mantenimiento de una instalación, así como la compra, la alimentación, la refrigeración y el mantenimiento de los servidores. La ejecución en la nube ofrece nuevas formas de plantearse los gastos en materia de TI. Para responder a la pregunta de cuánto costará, tiene que comprender los factores que influyen en el coste. También debe saber qué herramientas están disponibles para ayudarle a calcular y administrar el gasto en la nube.

Objetivos de aprendizaje Después de completar este módulo, podrá: ●● Use la calculadora de coste total de propiedad (TCO) con el fin de comparar los costes actuales del centro de datos para ejecutar las mismas cargas de trabajo en Azure. ●● Describa las distintas formas en las que puede comprar productos y servicios de Azure. ●● Use la calculadora de precios para calcular el coste mensual de ejecutar las cargas de trabajo en la nube. ●● Defina algunos de los factores principales que afectan al coste total y aplique las prácticas recomendadas para minimizar el coste.

1

https://www.tailwindtraders.com/

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

Comparación de costes mediante la calculadora de coste total de propiedad

Antes de que Tailwind Traders lleve a cabo los pasos siguientes para migrar a la nube, quieren comprender mejor lo que gastan actualmente en su centro de datos. Tener un conocimiento firme de dónde están hoy les dará una idea más clara de lo que significa la migración a la nube en términos de coste. En esta parte, vea cómo la calculadora de coste total de propiedad (TCO) puede ayudarle a comparar el coste de la ejecución en el centro de datos en lugar de en Azure.

¿Qué es la calculadora de TCO? La calculadora de TCO2 le ayuda a calcular los costes que se ahorra al hacer funcionar la solución en Azure con el tiempo, en lugar de hacerlo en el centro de datos local. Aunque el término coste total de propiedad se suele usar en finanzas, puede resultar difícil ver realmente todos los costes ocultos relacionados con el funcionamiento de una capacidad tecnológica local, además del coste de las licencias de software y el hardware. Con la calculadora de TCO, escriba los detalles de las cargas de trabajo locales y luego revise el coste medio sugerido del sector (que se puede ajustar) para los costes operativos relacionados, como la electricidad, el mantenimiento de la red y el personal de TI. A continuación, se le presenta un informe en paralelo, lo que le permite comparar esos costes con las mismas cargas de trabajo que se ejecutan en Azure. En la imagen siguiente se muestra solo un ejemplo:

2

https://azure.microsoft.com/pricing/tco/calculator?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Planificación y administración de los costes de Azure  253

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

254  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Nota: No se necesita una suscripción a Azure para trabajar con la calculadora de TCO.

¿Cómo funciona la calculadora de TCO? La calculadora de TCO consta de estos tres pasos:

Veamos cada paso con más detalle.

Paso 1: Defina sus cargas de trabajo En primer lugar, escriba las especificaciones de la infraestructura local en la calculadora de TCO, de acuerdo con estas cuatro categorías: ●● Servidores Esta categoría incluye los sistemas operativos, los métodos de virtualización, los núcleos de CPU y la memoria (RAM). ●● Bases de datos Esta categoría incluye los tipos de base de datos, el hardware de servidor y el servicio de Azure que desea usar, incluidos los inicios de sesión de usuario simultáneos máximos esperados. ●● Almacenamiento Esta categoría incluye el tipo y la capacidad de almacenamiento, que incluye cualquier copia de seguridad o almacenamiento de archivo. ●● Redes Esta categoría incluye la cantidad de ancho de banda de red que se usa actualmente en el entorno local.

Paso 2: Ajustar supuestos A continuación, especifique si las licencias locales actuales están inscritas para Software Assurance3, lo cual puede ayudarle a ahorrar dinero al reutilizar esas licencias en Azure. También se especifica si es necesario replicar el almacenamiento en otra región de Azure para obtener una mayor redundancia. A continuación, puede ver las proyecciones de costes operativos clave en diferentes áreas, que varían entre equipos y organizaciones. Estos costes están certificados por Nucleus Research, una empresa independiente de investigación. Por ejemplo, entre ellos se incluyen: ●● Precio de electricidad por kilovatios/hora (KWh). ●● Tarifa por hora para la administración de TI. ●● Coste de mantenimiento de la red como un porcentaje de los costes de software y hardware de red. Para mejorar la precisión de los resultados de la calculadora de TCO, debe ajustar los valores para que coincidan con los costes de la infraestructura local actual.

3

https://www.microsoft.com/licensing/licensing-programs/software-assurance-default?azure-portal=true

Paso 3: Ver informe Elija un período de tiempo entre uno y cinco años; la calculadora de TCO genera un informe que se basa en la información especificada. Por ejemplo:

Para cada categoría (proceso, centro de datos, redes, almacenamiento y personal de TI), también puede ver una comparación en paralelo del desglose de costes de funcionamiento de esas cargas de trabajo locales frente a su funcionamiento en Azure. Por ejemplo:

Puede descargar, compartir o guardar este informe para revisarlo más adelante con más detalle. En la siguiente parte, usará la calculadora de TCO para ayudar al equipo de Tailwind Traders a comprender sus costes totales.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Planificación y administración de los costes de Azure  255

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

256  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Ejercicio: comparación de los costes de carga de trabajo de ejemplo mediante la calculadora de TCO

En este ejercicio, use la calculadora de coste total de propiedad (TCO) para comparar el coste de ejecutar una carga de trabajo de ejemplo en el centro de datos en lugar de en Azure. A Tailwind Traders le interesa mover algunas de sus cargas de trabajo locales a la nube. Pero, primero, su director financiero quiere saber más sobre cómo pasar de una estructura de costes relativamente fija a una estructura de costes mensual en curso. A usted le han encargado la tarea de investigar si existe algún ahorro potencial de costes en el traslado del centro de datos europeo a la nube durante los próximos tres años. Debe tener en cuenta todos los costes potencialmente ocultos que participan en el funcionamiento local y en la nube. En lugar de recopilar manualmente todo lo que piense que podría estar incluido, use la calculadora de TCO como punto de partida. Ajuste las proyecciones de costes proporcionadas para que coincidan con el entorno local de Tailwind Traders. Nota: Recuerde que no se necesita una suscripción a Azure para trabajar con la calculadora de TCO. Supongamos que: ●● Tailwind Traders ejecuta dos conjuntos, o bancos, de 50 máquinas virtuales (VM) en cada banco. ●● El primer banco de máquinas virtuales ejecuta Windows Server en la virtualización de Hyper-V. ●● El segundo banco de máquinas virtuales ejecuta Linux en la virtualización de VMware. ●● También hay una red de área de almacenamiento (SAN) con 60 terabytes (TB) de almacenamiento en disco. ●● Debe usar un ancho de banda de red de salida estimado de 15 TB cada mes. ●● También hay varias bases de datos implicadas, pero por ahora omitirá esos detalles. Recuerde que la calculadora de TCO consta de estos tres pasos:

Representación visual de los tres pasos; definir las cargas de trabajo, ajustar supuestos, ver el informe. Veamos cómo las cargas de trabajo existentes de Tailwind Traders se apilan en el centro de datos en lugar de en Azure.

Defina sus cargas de trabajo Escriba las especificaciones de la infraestructura local en la calculadora de TCO. 1. Vaya a la calculadora de coste total de propiedad (TCO)4. 2. En Definir las cargas de trabajo, seleccione Agregar carga de trabajo del servidor para crear una fila para el banco de máquinas virtuales de Windows Server. 4

https://azure.microsoft.com/pricing/tco/calculator?azure-portal=true

3. En Servidores, establezca el valor para cada una de estas opciones: Configuración

Valor

Nombre

Servidores: Máquinas virtuales Windows

Carga de trabajo Entorno Sistema operativo Máquinas virtuales Virtualización Núcleo(s) RAM (GB) Optimizar por Windows Server 2008/2008 R2

Servidor Windows/Linux Máquinas virtuales Windows 50

Hyper-V 8

16

CPU

Apagado

4. Seleccione Agregar carga de trabajo del servidor para crear una segunda fila para el banco de máquinas virtuales Linux. Luego, especifique la configuración de estos parámetros: Configuración

Valor

Nombre

Servidores: Máquinas virtuales Linux

Carga de trabajo Entorno Sistema operativo Máquinas virtuales Virtualización Núcleo(s) RAM (GB) Optimizar por

Servidor Windows/Linux Máquinas virtuales Linux 50

VMware 8

16

CPU

5. En Almacenamiento, seleccione Agregar almacenamiento. Luego, especifique la configuración de estos parámetros: Configuración

Valor

Nombre

Almacenamiento del servidor

Tipo de almacenamiento Tipo de disco Capacidad Copia de seguridad Archivo

Disco local/SAN HDD

60 TB

120 TB 0 TB

6. En Redes, establezca Ancho de banda de salida en 15 TB. 7. Seleccione Siguiente.

Ajustar supuestos Aquí, especifique la moneda. Para mayor brevedad, deje los campos restantes con sus valores predeterminados.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Planificación y administración de los costes de Azure  257

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

258  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

En la práctica, ajustaría cualquier proyección de costes y realizaría ajustes para que coincidan con el entorno local actual. 1. En la parte superior de la página, seleccione la moneda. En este ejemplo se usa Dólar estadounidense (USD). 2. Seleccione Siguiente.

Ver informe Dedique un momento a revisar el informe generado. Recuerde que se le ha encargado investigar el ahorro de costes para el centro de datos europeo en los próximos tres años. Para realizar estos ajustes: 1. Establezca Período de tiempo en 3 años. 2. Establezca Región en Norte de Europa. Desplácese hasta el resumen en la parte inferior. Verá una comparación de la ejecución de las cargas de trabajo en el centro de datos en lugar de en Azure. Los precios que ve se pueden diferir, pero este es un ejemplo del ahorro de costes que podría esperar:

Seleccione Descargar para descargar o imprimir una copia del informe en formato PDF. Excelente trabajo. Ahora tiene la información que puede compartir con su director financiero. Si necesita realizar ajustes, puede volver a consultar la calculadora de TCO para generar un informe nuevo.

Comprar servicios de Azure

En esta parte, obtendrá información sobre cómo comprar servicios de Azure y se hará una idea de otros factores que afectan al coste. Tras reunirse con su director financiero y algunos de los responsables del equipo, se entera de algunas proyecciones que se ha perdido y puede actualizar rápidamente el gasto total estimado a través de la calculadora de coste total de propiedad (TCO). Durante la reunión, surgen algunas preguntas nuevas a medida que la discusión apunta a la migración en la nube: [!div class=“checklist”] ●● ¿Qué tipos de suscripciones de Azure están disponibles? ●● ¿Cómo compramos servicios de Azure? ●● ¿Afecta el tráfico de red o la ubicación al coste? ●● ¿Qué otros factores afectan al coste final? ●● ¿Cómo podemos obtener una estimación más detallada del coste de ejecutar en Azure?

Es importante saber cómo se generan los costes en Azure para entender cómo las decisiones de diseño de soluciones y compras pueden afectar al coste final. Usted acepta investigar estas preguntas, así que vamos a revisar cada una de ellas con mayor detalle.

¿Qué tipos de suscripciones de Azure puedo usar? Probablemente sepa que una suscripción de Azure le proporciona acceso a los recursos de Azure, como máquinas virtuales, almacenamiento y bases de datos. Los tipos de recursos que use afectan a su factura mensual. Azure ofrece opciones de suscripción gratuitas y de pago para satisfacer sus necesidades y requisitos. Son los siguientes: ●● Evaluación gratuita Una suscripción de evaluación gratuita proporciona 12 meses de servicios gratuitos populares, un crédito para explorar cualquier servicio de Azure durante 30 días y más de 25 servicios que siempre son gratis. Sus servicios de Azure se deshabilitan cuando finaliza la prueba o cuando expira su crédito para productos pagos, a menos que actualice a una suscripción paga. ●● Pago por uso Una suscripción de pago por uso le permite pagar por lo que usa vinculando una tarjeta de crédito o débito a su cuenta. Las organizaciones pueden solicitar descuentos por volumen y facturación de pago por adelantado. ●● Ofertas para miembros Si actualmente es miembro de determinados productos y servicios de Microsoft, puede obtener créditos para su cuenta de Azure y tarifas reducidas en los servicios de Azure. Por ejemplo, las ofertas para miembros están disponibles para los suscriptores de Microsoft Visual Studio, los miembros de Microsoft Partner Network, los miembros de Microsoft for Startups y los miembros de Microsoft Imagine.

¿Cómo compro servicios de Azure? Hay tres formas principales de comprar servicios en Azure. Son los siguientes: ●● Mediante un Contrato Enterprise Los clientes más grandes (conocidos como clientes Enterprise) pueden firmar un Contrato Enterprise con Microsoft con el que se comprometan a gastar una cantidad predeterminada en los servicios de Azure durante un período de 3 años, la cual se suele pagar anualmente. Como cliente de Contrato Enterprise, recibirá los mejor precios personalizados en función de los tipos y las cantidades de servicios que planea usar. ●● Directamente desde la web Aquí se compran los servicios de Azure directamente desde el sitio web de Azure Portal y se pagan precios estándar. Se factura mensualmente, como un pago de tarjeta de crédito o a través de una factura. Este método de compra se conoce como Web Direct. ●● Mediante un Proveedor de soluciones en la nube Un Proveedor de soluciones en la nube (CSP) es un partner de Microsoft que le ayuda a crear soluciones a partir de Azure. El CSP le factura por el uso de Azure a un precio determinado. También responde a las preguntas de soporte técnico y las remite a Microsoft según sea necesario. Puede mostrar o aprovisionar recursos de Azure desde Azure Portal o desde la línea de comandos. Azure Portal organiza los productos y servicios por categoría. Deberá seleccionar los servicios que se ajusten a sus necesidades y se facturarán a su cuenta en función del modelo de pago por uso de Azure. Aquí tiene un ejemplo en el que se muestra Azure Portal:

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Planificación y administración de los costes de Azure  259

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

260  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Al final de cada mes, se le facturará por lo que ha usado. En cualquier momento, puede consultar la página de facturación y administración de costes de Azure Portal para obtener un resumen del uso actual y revisar las facturas de ciclos de meses anteriores.

¿Qué factores afectan al coste? La forma en que usa sus recursos, el tipo de suscripción y los precios de los proveedores de terceros son factores comunes. Examinemos rápidamente cada uno.

Tipo de recurso Los recursos de Azure tienen una serie de factores que influyen en su coste, según el tipo de recurso o cómo lo personaliza. Por ejemplo, con una cuenta de almacenamiento, debe especificar un tipo (por ejemplo, almacenamiento de blobs en bloques o Table Storage), un nivel de rendimiento (estándar o premium) y un nivel de acceso (frecuente, esporádico o de archivo). Estas selecciones presentan costes diferentes.

Medidores de uso Al aprovisionar un recurso, Azure crea medidores para realizar el seguimiento del uso de dicho recurso. Azure usa estos medidores para generar un registro de uso que posteriormente se usa para ayudar a calcular la factura. Piense en los medidores de uso de forma similar a la forma en que usa electricidad o agua en su hogar. Puede que pague un precio base cada mes por el servicio de electricidad o de agua, pero su factura final se basa en la cantidad total que ha consumido. Echemos un vistazo a una sola máquina virtual como ejemplo. Los siguientes tipos de medidores son pertinentes para el seguimiento de su uso: ●● Tiempo total de CPU. ●● Tiempo empleado en una dirección IP pública. ●● Tráfico de red entrante (entrada) y saliente (salida) de la máquina virtual.

●● Tamaño del disco y cantidad de operaciones de lectura y escritura del disco. Cada medidor rastrea un tipo de utilización específico. Por ejemplo, un medidor podría realizar un seguimiento del uso de ancho de banda (tráfico de red entrante o saliente en bits por segundo), el número de operaciones o su tamaño (capacidad de almacenamiento en bytes). El uso que rastrea un medidor se correlaciona con una cantidad de unidades facturables. Estos se cargan a su cuenta por cada período de facturación, y la tasa por unidad facturable depende del tipo de recurso que esté utilizando.

Uso de recursos En Azure, siempre se le cobrará en función de lo que use. Por ejemplo, echemos un vistazo a la forma en que esto se aplica para desasignar una máquina virtual (VM). En Azure, puede eliminar o desasignar una máquina virtual. La eliminación de una máquina virtual significa que ya no la necesita; la máquina virtual se quita de la suscripción y luego se prepara para otro cliente. La desasignación de una máquina virtual significa que la máquina virtual ya no se está ejecutando, pero los discos duros y los datos asociados todavía se conservan en Azure. La máquina virtual no está asignada a una CPU o una red del centro de datos de Azure, por lo que no genera los costes asociados con el tiempo de proceso o la dirección IP de la máquina virtual. Sin embargo, dado que los discos y los datos siguen almacenados y el recurso está presente en la suscripción de Azure, se le seguirá facturando por el almacenamiento en disco. Desasignar una máquina virtual cuando no tiene previsto usarla durante algún tiempo es simplemente una manera de minimizar los costes. Por ejemplo, podría desasignar las máquinas virtuales que usa con fines de pruebas durante los fines de semana cuando el equipo de pruebas no las está usando. Aprenderá más sobre estas manera de minimizar costes más adelante en este módulo.

Tipos de suscripción de Azure Algunos tipos de suscripciones de Azure también incluyen provisiones de uso que afectan a los costes. Por ejemplo, una suscripción de evaluación gratuita de Azure proporciona acceso a una serie de productos de Azure que son gratis durante 12 meses, así como a créditos para gastar en los primeros 30 días de registro y acceso a más de 25 productos que siempre son gratis (según la disponibilidad de recursos y regiones).

Azure Marketplace También puede comprar a otros proveedores soluciones y servicios basados en Azure a través de Azure Marketplace. Entre los ejemplos se incluyen conectores o dispositivos de firewall de red administrada para servicios de copia de seguridad de terceros. El proveedor establece las estructuras de facturación.

¿Afecta el tráfico de red o la ubicación al coste? Al aprovisionar un recurso en Azure, debe definir la ubicación (conocida como la región de Azure) en la que se implementará. Veamos por qué esta decisión puede tener consecuencias de costes.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Planificación y administración de los costes de Azure  261

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

262  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Ubicación La infraestructura de Azure se distribuye globalmente, lo cual permite implementar los servicios de forma centralizada o aprovisionar los servicios más cercanos al lugar donde los clientes los usan. Distintas regiones pueden tener distintos precios asociados. Dado que las regiones geográficas pueden afectar al flujo del tráfico de red, el tráfico de red es también una influencia en el coste que se debe tener en cuenta. Por ejemplo, supongamos que Tailwind Traders decide aprovisionar sus recursos de Azure en las regiones de Azure que ofrecen los precios más bajos. Eso les ayudaría a ahorrar dinero. Sin embargo, si necesitan transferir datos entre esas regiones, o si sus usuarios se encuentran en distintas partes del mundo, cualquier ahorro potencial podría desplazarse por los costes de uso de red adicionales de la transferencia de datos entre esos recursos.

Zonas para la facturación del tráfico de red Las zonas de facturación son un factor a la hora de determinar el coste de algunos servicios de Azure. Ancho de banda5 se refiere a los datos que entran y salen de los centros de datos de Azure. Algunas transferencias de datos entrantes (datos que van al interior de los centros de datos) son gratuitas. En cuanto a las transferencias de datos salientes (datos que salen de los centros de datos de Azure), el precio de la transferencia de datos se basa en zonas.

Una zona es una agrupación geográfica de regiones de Azure para fines de facturación. Las siguientes zonas incluyen algunas de las regiones que se muestran aquí: ●● Zona 1: Centro de Australia, Oeste de EE. UU., Este de EE. UU., Oeste de Canadá, Oeste de Europa, Centro de Francia y otras. ●● Zona 2: Este de Australia, Japón Occidental, Centro de la India, Sur de Corea del Sur y otras. ●● Zona 3: Sur de Brasil, Norte de Sudáfrica, Oeste de Sudáfrica, Centro de Emiratos Árabes Unidos, Norte de Emiratos Árabes Unidos. ●● Zona 1 de Alemania: Centro de Alemania, Nordeste de Alemania.

¿Cómo puedo calcular el coste total? Como ha aprendido, una estimación de costes precisa sería tener en cuenta todos los factores anteriores. Afortunadamente, la calculadora de precios de Azure le ayuda a hacer justamente eso. La calculadora de precios muestra los productos de Azure en categorías, que se agregan a la estimación y se configuran según los requisitos específicos. A continuación, recibirá un precio estimado consolidado, con un desglose detallado de los costes asociados a cada recurso que ha agregado a la solución. Después, puede exportar o compartir esa estimación o guardarla para más adelante. Puede cargar una estimación guardada y modificarla para que coincida con los requisitos actualizados.

5

https://azure.microsoft.com/pricing/details/bandwidth?azure-portal=true

También puede acceder a los detalles de precios, los detalles del producto y la documentación de cada producto en la calculadora de precios.

Las opciones que se pueden configurar en la calculadora de precios varían entre productos, pero pueden incluir: ●● Región Una región es la ubicación geográfica en la que se puede aprovisionar un servicio. Sudeste Asiático, Centro de Canadá, Oeste de EE. UU. y Norte de Europa son algunos ejemplos. ●● Nivel Los niveles, como el nivel Gratis, el nivel Básico, etc., tienen distintos niveles de disponibilidad o rendimiento y, por lo tanto, diferentes costes asociados. ●● Opciones de facturación Las opciones de facturación resaltan las diferentes formas de pagar por un servicio. Las opciones pueden variar según el tipo de cliente y el tipo de suscripción, y pueden incluir opciones para ahorrar costes. ●● Opciones de soporte técnico Estas opciones permiten seleccionar opciones de precios de soporte adicionales para determinados servicios. ●● Programas y ofertas Es posible que el tipo de cliente o suscripción le permita elegir entre programas de licencia específicos u otras ofertas. ●● Precios de desarrollo/pruebas de Azure Esta opción muestra los precios disponibles para las cargas de trabajo de desarrollo y prueba. Los precios de Desarrollo/pruebas se aplican cuando se ejecutan recursos en una suscripción de Azure basada en una oferta de Desarrollo/pruebas. Tenga en cuenta que la calculadora de precios proporciona estimaciones y no cotizaciones de precios reales. Los precios reales pueden variar en función de la fecha de compra, la moneda de pago que use y el tipo de cliente de Azure en el que se encuentre.

Ejercicio: Cálculo del coste de la carga de trabajo con la calculadora de precios En este ejercicio, usará la calculadora de precios para calcular el coste de ejecutar una aplicación web básica en Azure.

Teniendo en cuenta los factores de coste más importantes asociados a la ejecución en Azure, Tailwind Traders quiere tomar una carga de trabajo típica y calcular cuánto costará ejecutarla en Azure cada mes. El administrador de TI de Tailwind Traders debe decidir si se va a reemplazar algún hardware local de antigüedad o si se va a migrar la aplicación a Azure. Debe saber cuál sería el coste mensual en curso de la solución en Azure. Comencemos por definir los servicios de Azure que usted necesita.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Planificación y administración de los costes de Azure  263

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

264  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Nota: La calculadora de precios solo tiene fines informativos. Los precios son solo una estimación y no se le cobrará por ningún servicio que seleccione.

Definición de los requisitos Antes de ejecutar la calculadora de precios, necesita hacerse una idea de los servicios de Azure que necesita. Debe reunirse con el equipo de desarrollo de aplicaciones para discutir su proyecto de migración. En su centro de datos, el equipo tiene una aplicación web ASP.NET que se ejecuta en Windows. La aplicación web proporciona información sobre el inventario de productos y los precios. Hay dos máquinas virtuales que se conectan a través de un equilibrador de carga central. La aplicación web se conecta a una base de datos de SQL Server que contiene información de inventario y de precios. El equipo decide: ●● Usar máquinas virtuales en Azure, de forma similar a lo que usan en el centro de datos. ●● Usar Azure Application Gateway para el equilibrio de carga. ●● Usar Azure SQL Database para almacenar información de inventario y de precios. En este diagrama se muestra la configuración básica:

En la práctica, definiría sus requisitos con mayor detalle. Pero estos son algunos hechos y requisitos básicos que surgieron durante la reunión: ●● Los empleados de Tailwind Traders usan la aplicación en sus tiendas minoristas. No es accesible para los clientes. ●● Esta aplicación no requiere una gran cantidad de potencia informática. ●● La máquinas virtuales y la base de datos se ejecuten de forma constante (730 horas al mes). ●● La red procesa aproximadamente 1 TB de datos al mes. ●● No es necesario configurar la base de datos para cargas de trabajo de alto rendimiento y no se requieren más de 32 GB de almacenamiento.

Explorar la calculadora de precios Comencemos con un paseo rápido por la calculadora de precios. 1. Vaya a la calculadora de precios6. 2. Tenga en cuenta las pestañas de la parte superior:

6

https://azure.microsoft.com/pricing/calculator/?azure-portal=true

Esto es lo que encontrará en cada pestaña: ●● Productos Aquí es donde se eligen los servicios de Azure que desea incluir en su estimación. Probablemente pasará la mayor parte del tiempo aquí. ●● Escenarios de ejemplo Aquí encontrará varias arquitecturas de referencia, o soluciones comunes basadas en la nube, que puede usar como punto de partida. ●● Estimaciones guardadas Aquí encontrará las estimaciones que guardó anteriormente. ●● Preguntas frecuentes Aquí encontrará respuestas a las preguntas más frecuentes sobre la calculadora de precios.

Calcular la solución Aquí agregará cada servicio de Azure que necesite para la calculadora y luego configurará cada servicio para que se adapte a sus necesidades. Sugerencia: Asegúrese de que la calculadora esté limpia, es decir, que no se muestre nada en la estimación. Puede restablecer la estimación seleccionando el icono de la papelera junto a cada elemento.

Agregar servicios a la estimación 1. En la pestaña Productos, seleccione el servicio de cada una de estas categorías: Categoría Proceso Bases de datos Redes

Servicio

Máquinas virtuales

Azure SQL Database

Application Gateway

2. Desplácese hasta la parte inferior de la página. Verá que cada servicio aparece con su configuración predeterminada.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Planificación y administración de los costes de Azure  265

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

266  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Configurar los servicios para que coincidan con los requisitos 1. En Virtual Machines, establezca estos valores: Configuración Región Sistema operativo Tipo Nivel Instancia Máquinas virtuales

Valor

Oeste de EE. UU. Windows

(Solo sistema operativo) Estándar D2 v3

2 x 730 horas

Deje las opciones restantes en sus valores actuales. 2. En Azure SQL Database, establezca estos valores: Configuración Región Tipo Nivel de almacenamiento de copias de seguridad Modelo de compra Nivel de servicio Nivel de proceso Generación Instancia

Valor

Oeste de EE. UU.

Base de datos única RA-GRS

Núcleo virtual

Propósito general Aprovisionado Gen 5

Núcleo virtual 8

Deje las opciones restantes en sus valores actuales. 3. En Application Gateway, establezca estos valores: Configuración Región Nivel Tamaño Horas de puerta de enlace Datos procesados Transferencia de datos de salida

Valor

Oeste de EE. UU.

Web Application Firewall Mediano

2 x 730 horas 1 TB

5 GB

Deje las opciones restantes en sus valores actuales.

Revisar, compartir y guardar la estimación En la parte inferior de la página, verá el coste total estimado de ejecutar la solución. Si lo desea, puede cambiar el tipo de moneda.

En este punto, tiene algunas opciones: ●● Seleccione Exportar para guardar la estimación como un documento de Microsoft Excel. ●● Seleccione Guardar o Guardar como para guardar la estimación en la pestaña Estimaciones guardadas para más adelante. ●● Seleccione Compartir para generar una dirección URL de modo que pueda compartir la estimación con su equipo. Ahora tiene una estimación de costes que puede compartir con su equipo. Puede realizar ajustes a medida que detecta cualquier cambio en sus requisitos. Pruebe a experimentar con algunas de las opciones con las que ha trabajado aquí o cree un plan de compra para una carga de trabajo que quiera ejecutar en Azure.

Administrar y minimizar el coste total en Azure Como distribuidor de productos para la remodelación del hogar, el refrán “Mide dos veces antes de cortar” se ajusta al equipo en Tailwind Traders. Estos son algunos procedimientos recomendados que pueden ayudarle a minimizar los costes.

Comprender los costes estimados antes de implementar Para ayudarle a planear su solución en Azure, piense detenidamente en los productos, servicios y recursos que necesita y lea la documentación pertinente para comprender cómo se miden y facturan cada una de las opciones. Calcule los costes previstos mediante la calculadora de precios y la calculadora de coste total de propiedad (TCO). Agregue solo los productos, servicios y recursos que necesita para la solución.

Usar Azure Advisor para supervisar la utilización Idealmente, desea que sus recursos aprovisionados coincidan con la utilización real. Azure Advisor identifica los recursos no utilizados o infrautilizados, y recomienda recursos no utilizados que se pueden quitar. Esto le ayudará a configurar los recursos para que coincidan con la carga de trabajo real. En la imagen siguiente se muestran algunas recomendaciones de ejemplo de Azure Advisor:

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Planificación y administración de los costes de Azure  267

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

268  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Las recomendaciones se ordenan por impacto: alto, medio o bajo. En algunos casos, Azure Advisor puede corregir o solucionar automáticamente el problema subyacente. Otros problemas, como los dos de impacto alto que aparecen, requieren la intervención humana.

Usar límites de gasto para restringir los gastos Si tiene una evaluación gratuita o una suscripción de Azure basada en crédito, puede usar los límites de gasto para evitar la saturación accidental. Por ejemplo, al gastar todo el crédito incluido en su cuenta gratuita de Azure, los recursos de Azure que implementó se quitan de la producción y las máquinas virtuales de Azure se detienen y se desasignan. Los datos de las cuentas de almacenamiento están disponibles únicamente en modo de solo lectura. En este momento, puede actualizar su suscripción de evaluación gratuita a una suscripción de pago por uso. Si tiene una suscripción basada en crédito y alcanza el límite de gasto configurado, Azure suspende su suscripción hasta que comience un nuevo período de facturación. Un concepto relacionado es el de cuotas o límites en el número de recursos similares que se pueden aprovisionar dentro de la suscripción. Por ejemplo, puede asignar hasta 25 000 máquinas virtuales por región. Estos límites ayudan principalmente a planear la capacidad del centro de datos de Microsoft.

Usar Reservas de Azure para pagar por adelantado Reservas de Azure ofrecen precios con descuento en determinados servicios de Azure. Reservas de Azure puede ahorrar hasta un 72 % en comparación con los precios de pago por uso. Para recibir un descuento, reserve los servicios y recursos abonándolos por adelantado. Por ejemplo, puede pagar por adelantado un o tres años de uso de máquinas virtuales, capacidad de proceso de base de datos, rendimiento de la base de datos y otros recursos de Azure. En el ejemplo siguiente se muestra el ahorro estimado en las máquinas virtuales. En este ejemplo, se ahorra aproximadamente 72 % con el compromiso de un período de tres años.

Reservas de Azure está disponible para los clientes con un Contrato Enterprise, proveedores de soluciones en la nube y suscripciones de pago por uso.

Elija ubicaciones y regiones de bajo coste El coste de los productos, servicios y recursos de Azure puede variar entre ubicaciones y regiones. Si es posible, debe usarlos en aquellas ubicaciones y regiones donde el coste es menor. Pero recuerde que algunos recursos se miden y se facturan según la cantidad de ancho de banda de red saliente (salida) que usan. Debe aprovisionar los recursos conectados que se midan por ancho de banda en la misma región de Azure para reducir el tráfico de salida entre ellos.

Investigue las ofertas de ahorro disponibles Manténgase actualizado con las ofertas más recientes para clientes y suscripciones de Azure y cambie a ofertas que proporcionen el mayor beneficio de ahorro de costes.

Usar Azure Cost Management + Billing para controlar gastos Azure Cost Management + Billing es un servicio gratuito que le ayuda a comprender su factura de Azure, administrar su cuenta y sus suscripciones, supervisar y controlar los gastos de Azure, y optimizar el uso de recursos. En la siguiente imagen se muestra el uso actual desglosado por servicio:

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Planificación y administración de los costes de Azure  269

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

270  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

En este ejemplo, Azure App Service, un servicio de hospedaje de aplicaciones web, genera el mayor coste. Las características de Azure Cost Management + Billing incluyen: ●● Informes Use datos históricos para generar informes y predecir el uso y los gastos futuros. ●● Enriquecimiento de datos Mejore la responsabilidad al clasificar los recursos con etiquetas que correspondan a las unidades empresariales y organizativas del mundo real. ●● Presupuestos Cree y administre presupuestos de costes y uso al supervisar las tendencias de demanda de recursos, las tasas de consumo y los patrones de costes. ●● Alertas Reciba alertas basadas en sus presupuestos de coste y uso. ●● Recomendaciones Reciba recomendaciones para eliminar los recursos inactivos y optimizar los recursos de Azure que aprovisione.

Aplicar etiquetas para identificar a los propietarios de costes Las etiquetas ayudan a administrar los costes asociados a los distintos grupos de productos y recursos de Azure. Puede aplicar etiquetas a grupos de recursos de Azure para organizar los datos de facturación. Por ejemplo, si ejecuta varias máquinas virtuales para distintos equipos, puede usar etiquetas para clasificar los costes por departamento, como Recursos Humanos, Marketing o Finanzas, o por entorno, como de prueba o producción. Las etiquetas facilitan la identificación de los grupos que generan los mayores costes de Azure, lo cual puede ayudarle a ajustar el gasto en consecuencia. En la siguiente imagen se muestra el uso de un año desglosado por etiquetas en la página de Azure Cost Management + Billing:

Cambiar el tamaño de las máquinas virtuales infrautilizadas Una recomendación común que encontrará de Azure Cost Management + Billing y Azure Advisor es cambiar el tamaño o apagar las máquinas virtuales que están infrautilizadas o inactivas. Por ejemplo, supongamos que tiene una máquina virtual cuyo tamaño es Estándar_D4_v4, un tipo de máquina virtual de uso general con cuatro vCPU y 16 GB de memoria. Tal vez descubra que esta máquina virtual está inactiva el 90 % del tiempo. Los costes de las máquinas virtuales son lineales y dobles por cada tamaño mayor en la misma serie. Por lo tanto, en este caso, si reduce el tamaño de la máquina virtual de Estándar_D4_v4 a Estándar_D2_v4, que es el siguiente tamaño más bajo, se reduce el coste de proceso en un 50 %. En la imagen siguiente se muestra esta idea:

Tenga en cuenta que al cambiarse el tamaño de una máquina virtual, esta se detiene y, una vez cambia su tamaño, se reinicia. Esto puede tardar unos minutos en función de la importancia del cambio de tamaño. Asegúrese de que planea correctamente una interrupción o cambia su tráfico a otra instancia mientras realiza las operaciones de cambio de tamaño.

Desasignar máquinas virtuales durante las horas de inactividad Recuerde que desasignar una máquina virtual significa que ya no se ejecuta la máquina virtual, sino que se conservan los discos duros y los datos asociados en Azure.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Planificación y administración de los costes de Azure  271

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

272  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Si tiene cargas de trabajo de máquina virtual que solo se usan durante determinados periodos, pero las ejecuta cada hora de cada día, está perdiendo dinero. Estas máquinas virtuales son magníficas candidatas para apagarse cuando no se usan y para volver a iniciarlas cuando las necesita, lo que ahorra costes de proceso mientras la máquina virtual está desasignada. Este enfoque es una excelente estrategia para entornos de desarrollo y pruebas, donde las máquinas virtuales solo son necesarias durante el horario comercial. Azure proporciona incluso una manera de iniciar y detener automáticamente las máquinas virtuales según una programación.

Eliminar recursos no utilizados Es posible que esto parezca obvio, pero si no usa un recurso, debe apagarlo. No es raro encontrar sistemas de prueba de concepto o que no son de producción que después de completar un proyecto ya no son necesarios. Revise el entorno con regularidad y trabaje para identificar estos sistemas. Apagar estos sistemas puede tener un beneficio doble, al permitirle ahorrar en costes de infraestructura y suponer, además, posibles ahorros en licencias y operaciones.

Migración de servicios IaaS a PaaS Al trasladar las cargas de trabajo a la nube, una evolución natural es comenzar con los servicios de infraestructura como servicio (IaaS) porque se asignan de manera más directa a los conceptos y las operaciones con las que ya está familiarizado. Con el tiempo, una manera de reducir costes es trasladar gradualmente las cargas de trabajo de IaaS para ejecutarlas en servicios de plataforma como servicio (PaaS). Aunque puede pensar en IaaS como acceso directo a la infraestructura de proceso, PaaS proporciona entornos de desarrollo e implementación listos para usar y que se administran automáticamente. Por ejemplo, supongamos que ejecuta SQL Server en una máquina virtual que se ejecuta en Azure. Para ello, deberá administrar el sistema operativo subyacente, configurar una licencia de SQL Server, administrar las actualizaciones de software y seguridad, etc. También deberá pagar por la máquina virtual tanto si la base de datos está procesando consultas como si no. Una manera de ahorrar costes es migrar la base de datos de SQL Server en una máquina virtual a Azure SQL Database. Azure SQL Database se basa en SQL Server. No solo la ejecución de servicios de PaaS como Azure SQL Database suele ser menos costesa, pero dado que se administran automáticamente, no es necesario preocuparse por las actualizaciones de software, las revisiones de seguridad ni optimizar el almacenamiento físico para operaciones de lectura y escritura.

Ahorro en costes de licencia Las licencias son otro aspecto que puede afectar considerablemente al gasto en la nube. Veamos algunas maneras de reducir los costes de licencia.

Elección de sistemas operativos rentables Muchos servicios de Azure ofrecen una opción de ejecución en Windows o Linux. En algunos casos, el coste depende de su elección. Cuando se tiene elección y la aplicación no depende del sistema operativo subyacente, es útil comparar los precios para ver si se puede ahorrar dinero.

Usar la Ventaja híbrida de Azure para reasignar licencias de software en Azure Si ha adquirido licencias para Windows Server o SQL Server, y las licencias están cubiertas por Software Assurance7, es posible que pueda reasignar esas licencias a las máquinas virtuales de Azure. Algunos de los detalles varían entre Windows Server o SQL Server. Al final de este módulo, le proporcionaremos recursos donde podrá obtener más información.

7

https://www.microsoft.com/licensing/licensing-programs/software-assurance-default?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Planificación y administración de los costes de Azure  273

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

274  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Elección de los servicios de Azure adecuados según los acuerdos de nivel de servicio y el ciclo de vida del servicio Introducción

En este módulo, obtendrá información sobre los acuerdos de nivel de servicio (SLA) de Azure y cómo pueden afectar al diseño de las aplicaciones. También conocerá el ciclo de vida de los nuevos servicios de Azure, desde la fase de versión preliminar hasta su disponibilidad con carácter general.

Conozca Tailwind Traders Tailwind Traders8 es una empresa ficticia que distribuye productos para la remodelación del hogar. Esta empresa cuenta con ferreterías minoristas en todo el mundo y en línea. Tailwind Traders está especializada en precios competitivos, envío rápido y una amplia gama de artículos. Va a examinar las tecnologías en la nube para mejorar las operaciones comerciales y apoyar el crecimiento en nuevos mercados. Al migrar a la nube, la empresa tiene previsto mejorar su experiencia de compra para diferenciarse de sus competidores.

¿Qué efecto tendrá el pasaje a la nube en los acuerdos de disponibilidad? La transición a la nube elimina la carga que supone dar soporte a la infraestructura de TI. Cuando se pierde la conectividad de red o se produce un error en una unidad de disco duro, el proveedor de servicios en la nube se encarga de restaurar el servicio. El Departamento de TI de Tailwind Traders hospeda en su centro de datos aplicaciones y servicios del resto de la empresa. Este departamento mantiene acuerdos en vigor con otros equipos en los que se estipula la disponibilidad de los servicios, lo que incluye cuándo y cómo se puede producir el mantenimiento planeado. Dado que Tailwind Traders mueve sus cargas de trabajo a Azure, la empresa deja de tener el control total del hardware y las redes. ¿Cómo se verán afectados los acuerdos de disponibilidad?

Objetivos de aprendizaje Después de completar este módulo, podrá: ●● describir qué es un acuerdo de nivel de servicio (SLA) y por qué son importantes los SLA; ●● identificar los factores que pueden influir en un acuerdo de nivel de servicio, como el nivel de servicio que se elija; ●● combinar acuerdos de nivel de servicio para calcular un SLA compuesto; ●● describir el ciclo de vida del servicio en Azure, incluido el acceso a las nuevas funcionalidades que se incorporarán a Azure en el futuro.

8

https://www.tailwindtraders.com/

Requisitos previos ●● Debería estar familiarizado con la terminología y los conceptos básicos relacionados con la informática ●● Le será de utilidad estar familiarizado con la informática en la nube, pero no es necesario

¿Qué son los acuerdos de nivel de servicio (SLA)?

Un acuerdo de nivel de servicio es un contrato formal entre una empresa de servicios y el cliente. En Azure, este acuerdo define los estándares de rendimiento que Microsoft se compromete a proporcionar al cliente. En este artículo, obtendrá más información sobre los acuerdos de nivel de servicio de Azure: por qué son importantes, dónde puede encontrar el SLA de un servicio de Azure específico y qué incluye un SLA típico.

¿Por qué son importantes los acuerdos de nivel de servicio? La comprensión del acuerdo de nivel de servicio de los servicios de Azure que use le ayudará a conocer las garantías que puede esperar. La disponibilidad de los servicios que usa repercute en el tiempo de actividad y en el rendimiento de las aplicaciones que se compilan en Azure. Comprender los acuerdos de nivel de servicio implicados puede ayudarle a definir el acuerdo de nivel de servicio que establezca con sus clientes. Más adelante en este módulo, conocerá algunas estrategias que puede emplear cuando un acuerdo de nivel de servicio de Azure no satisfaga sus necesidades.

¿Dónde puedo acceder a los acuerdos de nivel de servicio de los servicios de Azure? Puede acceder a los acuerdos de nivel de servicio desde la página Contratos de nivel de servicio9 en azure.microsoft.com. Nota: No es necesaria una suscripción de Azure para revisar los acuerdos de nivel de servicio. Cada servicio de Azure define su propio acuerdo de nivel de servicio. Los servicios de Azure están organizados por categoría. Abra el acuerdo de nivel de servicio de Azure Database for MySQL, una base de datos administrada que facilita a los desarrolladores el trabajo con bases de datos MySQL. En breve volveremos a este acuerdo de nivel de servicio. Para ello: 1. Vaya a Contratos de nivel de servicio10. 2. En la categoría Bases de datos, seleccione Azure Database for MySQL.

9 https://azure.microsoft.com/support/legal/sla/?azure-portal=true 10 https://azure.microsoft.com/support/legal/sla/?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de los servicios de Azure adecuados según los acuerdos de nivel de servicio y el ciclo de vida del servicio  275

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

276  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

¿Qué incluye un acuerdo de nivel de servicio típico? Un acuerdo de nivel de servicio típico cuenta con estas secciones: ●● Introducción En esta sección se explica qué esperar de este acuerdo de nivel de servicio como, por ejemplo, su ámbito y la repercusión que las renovaciones de suscripción pueden tener en las condiciones del acuerdo. ●● Términos generales Esta sección contiene los términos empleados en todo el acuerdo de nivel de servicio, de modo que ambas partes (el cliente y Microsoft) entiendan y compartan un vocabulario coherente. Por ejemplo, en esta sección se puede definir el significado de tiempo de inactividad, incidentes, códigos de error, etc. En esta sección también se definen las condiciones generales del acuerdo, que incluyen una explicación de cómo enviar una demanda o recibir créditos por cualquier problema de rendimiento o disponibilidad, así como las limitaciones del acuerdo. ●● Detalles de SLA En esta sección se definen las garantías específicas del servicio. Los compromisos de rendimiento se miden normalmente en porcentajes, que normalmente están comprendidos entre el 99,9 % (“tres nueves”) y el 99,99 % ("cuatro nueves"). Por lo general, el compromiso de rendimiento principal se centra en el tiempo de actividad, es decir, en el porcentaje de tiempo que un producto o servicio está operativo y sin problemas. Algunos acuerdos de nivel de servicio se centran también en otros factores, como la latencia o la rapidez con la que el servicio debe responder a una solicitud. En esta sección también se definen las condiciones adicionales que son específicas de este servicio. Dedique un momento a leer el acuerdo de nivel de servicio de Azure Database for MySQL. Verá que este acuerdo de nivel de servicio se centra en el tiempo de actividad. Azure Database for MySQL garantiza un tiempo de actividad del 99,99 % o “cuatro nueves”. Esto significa que se garantiza que el servicio se está ejecutando y está disponible para procesar las solicitudes el 99,99 % del tiempo.

¿Qué relación hay entre los porcentajes y el tiempo de inactividad total? El tiempo de inactividad es el período de tiempo que el servicio no está disponible. La diferencia entre el 99,9 % y el 99,99 % puede parecer pequeña, pero es importante comprender lo que significan estos números en cuanto al tiempo de inactividad total. En esta tabla se ofrece una idea de cómo se reduce el tiempo de inactividad total a medida que el porcentaje del acuerdo de nivel de servicio aumenta de 99 % a 99,999 %: Porcentaje de SLA

Tiempo de inactividad por semana

Tiempo de inactividad por mes

Tiempo de inactividad por año

99

1,68 horas

7,2 horas

3,65 días

99,9

10,1 minutos

43,2 minutos

8,76 horas

99,95

5 minutos

21,6 minutos

4,38 horas

Porcentaje de SLA

Tiempo de inactividad por semana

Tiempo de inactividad por mes

Tiempo de inactividad por año

99,99

1,01 minutos

4,32 minutos

52,56 minutos

99,999

6 segundos

25,9 segundos

5,26 minutos

Estas cantidades son acumulativas, lo que significa que la duración de varios cortes de servicio diferentes se combina o se suma.

¿Qué son los créditos de servicio? Un crédito de servicio es el porcentaje de las tarifas que ha pagado que se le abonará conforme al proceso de aprobación de reclamaciones de Microsoft. Un acuerdo de nivel de servicio describe la respuesta dada por Microsoft cuando un servicio de Azure no opera según su especificación. Por ejemplo, puede obtener un descuento compensatorio en su factura de Azure si un servicio no funciona conforme al acuerdo de nivel de servicio. Por lo general, los créditos aumentan a medida que el tiempo de actividad se reduce. A continuación, se muestra cómo se aplican los créditos de Azure Database for MySQL según el tiempo de actividad: Porcentaje de tiempo de actividad mensual

Crédito de servicio

< 99,99%

10%

< 99 %

25 %

< 95%

100%

¿Cuál es el acuerdo de nivel de servicio de los servicios gratuitos? Normalmente, los productos gratuitos no tienen un acuerdo de nivel de servicio. Por ejemplo, muchos servicios de Azure proporcionan un nivel gratuito o compartido que ofrece una funcionalidad más limitada. Los servicios como Azure Advisor siempre son gratis. El acuerdo de nivel de servicio de Azure Advisor11 indica que, al ser gratuito, no tiene un acuerdo de nivel de servicio con respaldo financiero.

¿Cómo se sabe saber cuándo se produce una interrupción en el servicio? Estado de Azure12 proporciona una visión global del estado de los servicios y las regiones de Azure. Si sospecha que hay una interrupción, suele ser un buen lugar para comenzar a investigar. El estado de Azure proporciona una fuente RSS con los cambios de estado de los servicios de Azure a los que puede suscribirse. Esta fuente puede conectarse a software de comunicación como Microsoft Teams o Slack. Desde la página de estado de Azure también puede acceder a Azure Service Health, que proporciona una vista personalizada del estado de los servicios y las regiones de Azure que está usando, directamente desde Azure Portal.

11 https://azure.microsoft.com/support/legal/sla/advisor/?azure-portal=true 12 https://status.azure.com/status?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de los servicios de Azure adecuados según los acuerdos de nivel de servicio y el ciclo de vida del servicio  277

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

278  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

¿Cómo puedo solicitar un crédito de servicio a Microsoft? Normalmente, deberá presentar una reclamación a Microsoft para recibir un crédito de servicio. Si adquiere los servicios de Azure de un partner proveedor de soluciones en la nube (CSP), este suele encargarse de administrar el proceso de reclamación. Cada acuerdo de nivel de servicio especifica el plazo en el que se debe enviar la reclamación y el plazo para que Microsoft la procese. En muchos servicios, la reclamación debe enviarse antes de que finalice el mes natural siguiente al mes en el que se produjo el incidente. A continuación, veamos algunos otros factores que Tailwind Traders necesita tener en cuenta y que podrían afectar a los objetivos de rendimiento del acuerdo de nivel de servicio.

Definición del acuerdo de nivel de servicio de la aplicación Un acuerdo de nivel de servicio de la aplicación define los requisitos del acuerdo para una aplicación específica. Este término suele hacer referencia a una aplicación que el cliente compila en Azure.

Tailwind Traders ejecuta una aplicación basada en Azure denominada Pedidos Especiales. La aplicación realiza un seguimiento de los pedidos especiales que los clientes han realizado en sus tiendas. Un pedido especial incluye un artículo y todos los elementos personalizados que necesita el cliente. Por ejemplo, una puerta plegable podría incluir personalizaciones como la dimensión y la colocación de bisagras. Dado que las personalizaciones suelen requerir un tratamiento especial, el artículo personalizado debe pedirse al proveedor cuando lo necesita un cliente. Hay muchas decisiones de diseño que se pueden tomar para mejorar la disponibilidad y la resistencia de las aplicaciones y los servicios que se crean en Azure. Estas decisiones quedan fuera del acuerdo de nivel de servicio de Microsoft para un servicio específico. En esta parte, se analizarán algunas de estas consideraciones. Un buen punto de partida es debatir en equipo sobre la importancia que tiene para el negocio la disponibilidad de cada aplicación. Estos son algunos de los factores que Tailwind Traders podría considerar:

Impacto de negocio Si la aplicación Pedidos Especiales se bloquea, ¿cómo repercutiría esto en la empresa? En este caso, los clientes no podrían realizar nuevos pedidos a través de la tienda y el personal no podría comprobar el estado de los pedidos existentes. Esto puede hacer que los clientes estén descontentos. Tendrán que intentarlo de nuevo más tarde o posiblemente acudirán a la competencia.

Repercusión en otras operaciones empresariales La aplicación Pedidos Especiales no afecta a otras operaciones. Por lo tanto, la mayor parte del negocio de Tailwind Traders seguirá funcionando con normalidad, aunque la aplicación Pedidos Especiales deje de funcionar.

Patrones de uso Los patrones de uso definen cuándo y cómo acceden los usuarios a la aplicación.

Una cuestión que debe tenerse en cuenta es si el requisito de disponibilidad difiere entre períodos de tiempo críticos y no críticos. Por ejemplo, una solicitud de presentación de impuestos no puede fallar durante una fecha límite de presentación. En el caso de Tailwind Traders, las tiendas minoristas no están abiertas las 24 horas del día, por lo que, si la aplicación deja de funcionar durante la noche, el impacto será mínimo. No obstante, dado que Tailwind Traders tiene tiendas minoristas en todo el mundo, la empresa deberá asegurarse de que cada ubicación tenga acceso al servicio durante su horario comercial.

¿Qué decide el equipo? Supongamos que Tailwind Traders decide que un acuerdo de nivel de servicio del 99,9 % es aceptable para la aplicación Pedidos Especiales. Esto les proporciona un tiempo de inactividad estimado de 10,1 minutos por semana. Pero ¿cómo se asegurará de que sus opciones de tecnología estén cubiertas por el acuerdo de nivel de servicio de la aplicación? En la siguiente unidad veremos cómo el equipo asocia los requisitos de la aplicación con servicios de Azure específicos. Conocerá algunas de las técnicas que puede usar para ayudar a garantizar que las opciones de tecnología cumplan con el acuerdo de nivel de servicio de la aplicación.

Diseño de la aplicación para satisfacer el acuerdo de nivel de servicio Tailwind Traders decide que un acuerdo de nivel de servicio del 99,9 % es aceptable para la aplicación Pedidos Especiales. Recordemos que esto les proporciona un tiempo de inactividad estimado de 10,1 minutos por semana.

Ahora hay que diseñar una solución eficaz y confiable para esta aplicación en Azure, teniendo en cuenta el acuerdo de nivel de servicio de la aplicación. Habrá que seleccionar los productos y servicios de Azure y aprovisionar los recursos según esos requisitos. Es inevitable que haya problemas. El hardware puede fallar. La red puede tener períodos intermitentes en los que se agote el tiempo de espera. Si bien es poco habitual que todo un servicio o toda una región experimenten interrupciones, es necesario establecer un plan para esos eventos. Vamos a seguir el proceso que Tailwind Traders utiliza para asegurarse de que sus opciones de tecnología cumplen su acuerdo de nivel de servicio de la aplicación.

Identificación de las cargas de trabajo Una carga de trabajo es una función o tarea distinta que se separa lógicamente de otras tareas, en términos de requisitos de almacenamiento de datos y lógica empresarial. Cada carga de trabajo define un conjunto de requisitos para la disponibilidad, la escalabilidad, la coherencia de los datos y la recuperación ante desastres. En Azure, la aplicación Pedidos Especiales necesitará: ●● Dos máquinas virtuales. ●● Una instancia de Azure SQL Database ●● Una instancia de Azure Load Balancer En este diagrama se muestra la arquitectura básica:

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de los servicios de Azure adecuados según los acuerdos de nivel de servicio y el ciclo de vida del servicio  279

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

280  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Combinación de los acuerdos de nivel de servicio para calcular un SLA compuesto Después de haber identificado el acuerdo de nivel de servicio para las cargas de trabajo individuales de la aplicación Pedidos Especiales, es posible que observe que esos acuerdos de nivel de servicio no son iguales. ¿Cómo afecta esto a nuestro requisito general de acuerdo de nivel de servicio de la aplicación del 99,9 %? Para calcularlo, hay que realizar algunas operaciones matemáticas. El proceso de combinación de acuerdos de nivel de servicio ayuda a calcular el acuerdo de nivel de servicio compuesto para un conjunto de servicios. Para calcular el acuerdo de nivel de servicio compuesto, hay que multiplicar el acuerdo de cada uno de los servicios. En la página Contratos de nivel de servicio13 encontrará el acuerdo correspondiente a los servicios de Azure que necesite. Son los siguientes: Servicio

SLA

Máquinas virtuales

99,9%

Azure SQL Database

99,99%

Azure Load Balancer

99,99%

Por tanto, el acuerdo de nivel de servicio compuesto para la aplicación Pedidos Especiales será: 99,9 % × 99,9 % × 99,99 % × 99,99 % = 0,999 × 0,999 × 0,9999 × 0,9999 = 0,9978 = 99,78 % Recuerde que necesita dos máquinas virtuales. Por lo tanto, el acuerdo de nivel de servicio de Virtual Machines del 99,9 % se incluye dos veces en la fórmula. Tenga en cuenta que, aunque todos los servicios individuales tienen acuerdos de nivel de servicio que son iguales o mejores que el acuerdo de la aplicación, el hecho de combinarlos da como resultado un número total que es inferior al 99,9 % que necesita. ¿Por qué? Porque el uso de varios servicios agrega un nivel de complejidad adicional y aumenta ligeramente el riesgo de que se produzcan errores. Aquí puede ver que el acuerdo de nivel de servicio compuesto del 99,78 % no cumple el acuerdo de nivel de servicio requerido del 99,9 %. Podría consultar con el equipo si esto es aceptable. También podría implementar otras estrategias en el diseño para mejorar este acuerdo de nivel de servicio.

¿Qué ocurre cuando el acuerdo de nivel de servicio compuesto no satisface sus necesidades? En el caso de la aplicación Pedidos Especiales, el acuerdo de nivel de servicio compuesto no cumple el acuerdo requerido del 99,9 %. Echemos un vistazo a algunas estrategias que Tailwind Traders puede considerar.

13 https://azure.microsoft.com/support/legal/sla/?azure-portal=true

Elección de las opciones de personalización que se ajustan al acuerdo de nivel de servicio requerido Cada una de las cargas de trabajo definidas anteriormente tiene su propio acuerdo de nivel de servicio, y las opciones de personalización que se toman al aprovisionar cada carga de trabajo afectan a ese acuerdo. Por ejemplo: ●● Discos Con Virtual Machines, puede elegir entre un disco administrado HDD estándar, un disco administrado SSD estándar, un disco SSD Premium o Disco Ultra. El acuerdo de nivel de servicio para una sola VM sería del 95 %, 99,5 % o 99,9 %, dependiendo de la opción de disco. ●● Niveles Algunos servicios de Azure se ofrecen como producto de nivel gratuito y como servicio de pago estándar. Por ejemplo, Azure Automation proporciona 500 minutos de tiempo de ejecución de trabajos en una cuenta gratuita de Azure, pero no está respaldado por un acuerdo de nivel de servicio. El acuerdo de nivel de servicio estándar para Azure Automation es del 99,9 %. Asegúrese de que las decisiones de compra tienen en cuenta la repercusión en el acuerdo de nivel de servicio de los servicios de Azure que elija. Esto garantiza que el acuerdo de nivel de servicio sea compatible con el acuerdo de nivel de servicio necesario para su aplicación. En este caso, Tailwind Traders podría elegir la opción Disco Ultra para sus máquinas virtuales para ayudar a garantizar un mayor tiempo de actividad.

Creación de requisitos de disponibilidad en el diseño En el diseño de aplicaciones se pueden considerar factores relacionados con la infraestructura de la nube subyacente. Por ejemplo, para mejorar la disponibilidad de la aplicación, evite tener únicos puntos de error. Por lo tanto, en lugar de agregar más máquinas virtuales, se pueden implementar una o más instancias adicionales de la misma máquina virtual en las diferentes zonas de disponibilidad de una misma región de Azure. Una zona de disponibilidad es una ubicación física única dentro de una región de Azure. Cada zona de disponibilidad consta de uno o varios centros de datos equipados con alimentación, refrigeración y redes independientes. Estas zonas usan programaciones diferentes para el mantenimiento, por lo que, si una zona se ve afectada, la instancia de máquina virtual de la otra zona no se ve afectada. La implementación de dos o más instancias de una máquina virtual de Azure en dos o más zonas de disponibilidad eleva el acuerdo de nivel de servicio de la máquina virtual al 99,99 %. Al volver a calcular el acuerdo de nivel de servicio compuesto anterior con este acuerdo de nivel de servicio de Virtual Machines, se obtiene el siguiente acuerdo: 99,99% × 99,99% × 99,99% × 99,99% = 99,96% Este acuerdo de nivel de servicio revisado del 99,96 % supera el objetivo del 99,9 %. Para obtener más información sobre el acuerdo de nivel de servicio para máquinas virtuales, visite SLA para Virtual Machines14.

14 https://azure.microsoft.com/support/legal/sla/virtual-machines

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de los servicios de Azure adecuados según los acuerdos de nivel de servicio y el ciclo de vida del servicio  281

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

282  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Inclusión de redundancia para aumentar la disponibilidad Para garantizar la alta disponibilidad, se puede planear que la aplicación tenga componentes duplicados en varias regiones, lo que se conoce como redundancia. Por otro lado, para minimizar los costes durante períodos no críticos, se puede ejecutar la aplicación únicamente en una región. Tailwind Traders podría tener esto en cuenta si las tarifas de pedidos especiales tienden a ser mucho mayores durante determinados meses o estaciones. Para lograr la máxima disponibilidad en la aplicación, agregue redundancia a cada parte de la aplicación. Esta redundancia incluye la propia aplicación, así como los servicios y la infraestructura subyacentes. Sin embargo, tenga en cuenta que esto puede ser difícil y caro, y a menudo da como resultado soluciones más complejas de lo necesario. Antes de agregar redundancia, considere si la alta disponibilidad es un requisito importante para usted, dado que puede haber formas más sencillas de satisfacer el acuerdo de nivel de servicio de la aplicación.

Un rendimiento muy alto es difícil de lograr Los objetivos de rendimiento por encima del 99,99 % son muy difíciles de lograr. Recuerde que un acuerdo de nivel de servicio del 99,99 % significan 1,01 minutos de tiempo de inactividad por semana. Es difícil responder a errores con la rapidez suficiente para satisfacer los objetivos de rendimiento de acuerdos de nivel de servicio que superen el 99,99 %. En su lugar, si se produce una interrupción, la aplicación debe ser capaz de realizar un diagnóstico y una reparación de manera automática.

Acceso a la versión preliminar de servicios y características

Ahora que las aplicaciones de Tailwind Traders ya están en funcionamiento, la empresa quiere empezar a buscar nuevas funcionalidades. Una opción consiste en consultar los servicios en versión preliminar. En esta parte, obtendrá información sobre la transición entre las fases de versión preliminar y disponibilidad general de los servicios de Azure. En el caso de Tailwind Traders, la migración desde el centro de datos a Azure tiene más que ver con la eficacia operativa. El equipo de investigación y desarrollo está examinando nuevas características que les darán ventaja sobre sus competidores características que no pueden lograr sin la eficacia de la nube. Tailwind Traders está experimentando con un sistema de entrega mediante drones para los clientes que se encuentran en zonas rurales. Necesitan que el sistema de orientación de los drones sea capaz de hacer un seguimiento en tiempo real de las tormentas, pero la característica aún no está lista. Han leído que el nuevo servicio AI Storm Analyzer ya está en su versión preliminar pública. Por lo tanto, Tailwind Traders ha decidido incorporarlo en las primeras fases de prueba de la aplicación. Nota: AI Storm Analyzer es un servicio de Azure ficticio que se incluye aquí a modo de ilustración. Antes de que el equipo siga avanzando, quieren tener claro cómo van a afectar los servicios de versión preliminar a su acuerdo de nivel de servicio. Comencemos por definir el ciclo de vida de los servicios de Azure.

¿Qué es el ciclo de vida de un servicio? El ciclo de vida de un servicio define la forma en que cada servicio de Azure se pone a disposición del público.

Cada servicio de Azure empieza con fase de desarrollo. En esta fase, el equipo de Azure recopila información, define los requisitos y comienza a crear el servicio. A continuación, el servicio pasa a la fase de versión preliminar pública. Durante esta fase, el público puede acceder al servicio y experimentar con él para que pueda proporcionar comentarios. Los comentarios ayudan a Microsoft a mejorar sus servicios. Lo que es más importante, proporcionar comentarios le ofrece la oportunidad de solicitar funcionalidades nuevas o diferentes para que los servicios se adapten mejor a sus necesidades. Una vez que se valida y se prueba un servicio de Azure nuevo, se pone a disposición de todos los clientes como servicio listo para la producción. Esto se conoce como disponibilidad general (GA).

¿Qué términos y condiciones se pueden esperar? Cada versión preliminar de Azure define sus propios términos y condiciones. Todos los términos y condiciones específicos de las versiones preliminares complementan su acuerdo de servicio de Azure existente. Algunas versiones preliminares no están cubiertas por el servicio de asistencia al cliente. Por lo tanto, no se recomienda usar esas versiones preliminares para cargas de trabajo críticas para la empresa.

¿Cómo se puede acceder a los servicios de versión preliminar? Se puede acceder a ellos desde Azure Portal. Siga estos pasos para ver qué servicios están disponibles en versión preliminar. Puede seguir adelante si tiene una suscripción de Azure. 1. Abra Azure Portal15 e inicie sesión. 2. Seleccione Crear un recurso. 3. Escriba versión preliminar en el cuadro de búsqueda y seleccione Entrar. 4. Seleccione un servicio para obtener más información sobre él. También puede iniciar el servicio si desea probarlo.

¿Cómo se puede acceder a las nuevas características de un servicio existente? Algunas características en versión preliminar están relacionadas con un área específica de un servicio de Azure existente. Por ejemplo, un servicio de cálculo o de base de datos que use diariamente podría proporcionar una funcionalidad mejorada. Estas características en versión preliminar están disponibles al implementar, configurar y administrar el servicio. Aunque una característica en versión preliminar de Azure puede usarse en producción, es muy importante conocer las limitaciones de uso antes implementarla en producción.

15 https://portal.azure.com?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de los servicios de Azure adecuados según los acuerdos de nivel de servicio y el ciclo de vida del servicio  283

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

284  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

¿Cómo se puede acceder a las características en versión preliminar para Azure Portal? Las características en versión preliminar que son específicas de Azure Portal están disponibles en preview.portal.azure.com16. Las características típicas de versión preliminar del portal proporcionan mejoras de rendimiento, navegación y accesibilidad a la interfaz de Azure Portal. Verá Microsoft Azure (versión preliminar) cerca de la barra de menús para recordarle que está trabajando con una versión preliminar de Azure Portal.

¿Cómo puedo proporcionar comentarios en Azure Portal? Se pueden proporcionar en varios sitios: ●● La pestaña Comentarios de Azure Portal.

●● En el foro de comentarios de Azure Portal17.

16 https://preview.portal.azure.com?azure-portal=true 17 https://feedback.azure.com/forums/223579-azure-portal?azure-portal=true

¿Cómo puedo mantenerme informado de las novedades más recientes? La página Actualizaciones de Azure18 ofrece información sobre las actualizaciones de productos más recientes, servicios y características de Azure, así como hojas de ruta y anuncios de productos. En la página de actualizaciones de Azure puede: ●● ver los detalles de todas las actualizaciones de Azure; ●● ver qué actualizaciones son de disponibilidad general, versión preliminar o desarrollo;

●● examinar actualizaciones por categoría de producto o tipo de actualización; ●● buscar actualizaciones por palabra clave; ●● suscribirse a una fuente RSS para recibir notificaciones; ●● Acceso a la página de Microsoft Connect para leer anuncios y noticias de productos de Azure.

18 https://azure.microsoft.com/updates?azure-portal=true

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Elección de los servicios de Azure adecuados según los acuerdos de nivel de servicio y el ciclo de vida del servicio  285

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

286  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Preguntas de repaso del módulo 6 Preguntas de repaso del módulo 06 Pregunta de repaso 1 ¿Cuál es el mejor primer paso que debe tomar el equipo para comparar el coste de ejecutar estos entornos en Azure en lugar de en su centro de datos? †† Solo son entornos de prueba. Póngalos en marcha y compruebe la factura al final del mes. †† Supongamos que la ejecución en la nube cuesta lo mismo que la ejecución en el centro de datos. †† Ejecute la calculadora de coste total de propiedad.

Pregunta de repaso 2 ¿Cuál es la mejor manera de asegurarse de que un equipo de desarrollo no aprovisione demasiadas máquinas virtuales al mismo tiempo? †† No haga nada. Permita que el equipo de desarrollo use lo que necesita. †† Aplique los límites de gasto a la suscripción de Azure del equipo de desarrollo. †† Proporcione verbalmente al encargado de desarrollo un presupuesto y hágalo responsable del uso por encima del límite.

Pregunta de repaso 3 ¿Cuál es la forma más eficaz para que un equipo de pruebas ahorre costes en máquinas virtuales los fines de semana, cuando los evaluadores no están trabajando? †† Elimine las máquinas virtuales antes del fin de semana y cree un nuevo conjunto la semana siguiente. †† Desasigne las máquinas virtuales cuando no están en uso. †† Simplemente deje que todo se ejecute. Azure solo le factura por el tiempo de CPU que se usa.

Pregunta de repaso 4 Los pagos de los recursos de los entornos de desarrollo y pruebas los hacen los distintos departamentos. ¿Cuál es la mejor manera de categorizar los costes por departamento? †† Aplique una etiqueta a cada máquina virtual que identifique el departamento de facturación adecuado. †† Divida el coste uniformemente entre los departamentos. †† Mantenga una hoja de cálculo en la que se muestren los recursos de cada equipo.

Pregunta de repaso 5 ¿Cuál es el acuerdo de nivel de servicio de Azure Maps en términos de tiempo de actividad garantizado? †† 99 por ciento †† 99,9 por ciento †† 99,99 por ciento

Pregunta de repaso 6 ¿Cuál es el nuevo acuerdo de nivel de servicio compuesto? Recuerde que el nuevo acuerdo de nivel de servicio incluye una tercera máquina virtual y Azure Maps. †† 99,58 por ciento †† 99,78 por ciento †† 99,99 por ciento

Pregunta de repaso 7 La adición de una tercera máquina virtual reduce el acuerdo de nivel de servicio compuesto. ¿Qué puede hacer una empresa para compensar esta reducción? †† Aumentar el tamaño de cada máquina virtual. †† Implementar instancias adicionales de las mismas máquinas virtuales en diferentes zonas de disponibilidad de la misma región de Azure. †† No haga nada. El uso de Azure Load Balancer aumenta el acuerdo de nivel de servicio de las máquinas virtuales.

Pregunta de repaso 8 ¿Qué enfoque debería adoptar la empresa para agregar el servicio en versión preliminar de realidad aumentada (AR) a su arquitectura? †† La aplicación Pedidos Especiales ya está en producción. La empresa no debería considerar la adopción del servicio AR mientras el servicio no alcance la fase de disponibilidad general (GA). †† La aplicación Pedidos Especiales es utilizada principalmente por los empleados de las tiendas minoristas. La empresa puede integrar el servicio AR ya mismo porque los posibles errores o tiempos de inactividad no son un factor importante. †† El equipo de desarrollo puede crear una versión prototipo de la aplicación que incluya el servicio AR, y someterla a prueba con algunos empleados de las tiendas minoristas.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Preguntas de repaso del módulo 6  287

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

288  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Resumen del módulo 6 Resumen del módulo 06 Planificación y administración de los costes de Azure Tailwind Traders está llevando a cabo un enfoque metódico hacia la migración a la nube. Si bien los proyectos de prueba de concepto pueden ayudar a demostrar la viabilidad técnica, tener una idea clara del coste total de ejecución en la nube ayudará al equipo a validar su enfoque. Para empezar, el equipo de Tailwind Traders usó la calculadora de coste total de propiedad para calcular el ahorro de costes de funcionamiento de su solución en Azure en lugar de en el centro de datos local. Desde allí, el equipo usó la Calculadora de precios para obtener una estimación más detallada de la ejecución de una carga de trabajo típica en Azure cada mes. El equipo también creó una lista de comprobación de medidas de ahorro de costes que pueden usar para ayudar a mantener los costes bajos. Esta lista incluye: ●● Realizar un análisis de costes antes de la implementación. ●● Usar Azure Advisor para supervisar la utilización. ●● Usar los límites de gasto para evitar gastos accidentales. ●● Usar Reservas de Azure para pagar por adelantado. ●● Elegir regiones y ubicaciones de bajo coste. ●● Investigar las ofertas de ahorro de costes disponibles. ●● Aplicar etiquetas para identificar a los propietarios de costes. Con estas medidas, el equipo de Tailwind Traders está listo para dar los pasos siguientes para la migración a la nube.

Elección de los servicios de Azure adecuados según los acuerdos de nivel de servicio y el ciclo de vida del servicio Un acuerdo de nivel de servicio es el contrato formal entre una empresa de servicios y el cliente. Para Azure, este acuerdo define los estándares de rendimiento que Microsoft se compromete a proporcionar a sus clientes. El equipo de Tailwind Traders está trabajando en una gran variedad de proyectos. Además de su sitio web principal, el equipo está agregando una característica cartográfica a su aplicación Pedidos Especiales que le permita calcular las rutas entre proveedores y tiendas. Además, el equipo está estudiando cómo mejorar el sistema de orientación de los drones con el seguimiento de las condiciones meteorológicas adversas. A medida que los requisitos evolucionan, es importante que el equipo comprenda la repercusión que el acuerdo de nivel de servicio de cada servicio elegido tiene sobre las garantías generales de rendimiento de sus aplicaciones. Por ejemplo, la disponibilidad del sitio web principal debe ser lo más cercana al 100 % como sea posible. Para lograrlo, Tailwind Traders puede implementar instancias adicionales de la misma máquina virtual en diferentes zonas de disponibilidad de la misma región de Azure. Esto ayudaría a garantizar que, si una zona se ve afectada, las instancias de máquina virtual de la otra zona puedan recoger la carga de trabajo.

La aplicación Pedidos Especiales podría tener tolerancias más flexibles. Siempre que los empleados de las tiendas minoristas no pierdan datos y puedan recuperar rápidamente el acceso a la red, la aplicación Pedidos Especiales podría tener un acuerdo de nivel de servicio inferior. En este caso, el equipo puede optar por incluir menos redundancia en el diseño. Al definir los requisitos del acuerdo de nivel de servicio, asegúrese de tener en cuenta las necesidades comerciales, así como el tiempo que se tarda en restaurar un componente después de un error. Además, tenga en cuenta en qué medida puede afectar el uso de servicios y características en versión preliminar a los sistemas de producción.

Pasos siguientes Cree un boceto o diagrama para una aplicación que vaya a migrar a la nube. Incluya todos los servicios de Azure que tenga previsto usar. Use los acuerdos de nivel de servicio19 documentados para conocer el acuerdo de nivel de servicio correspondiente a cada servicio de Azure implicado. A continuación, calcule el acuerdo de nivel de servicio compuesto para su aplicación. ¿Cumple los requisitos el acuerdo de nivel de servicio compuesto? Si no es así, ¿qué puede hacer para mejorarlo?

19 https://azure.microsoft.com/support/legal/sla/

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 6  289

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

290  Module 6 Descripción de los acuerdos de nivel de servicio y Azure Cost Management  

Answers Pregunta de repaso 1 ¿Cuál es el mejor primer paso que debe tomar el equipo para comparar el coste de ejecutar estos entornos en Azure en lugar de en su centro de datos? †† Solo son entornos de prueba. Póngalos en marcha y compruebe la factura al final del mes. †† Supongamos que la ejecución en la nube cuesta lo mismo que la ejecución en el centro de datos. ■■ Ejecute la calculadora de coste total de propiedad. Explanation Ejecutar la calculadora de coste total de propiedad es un excelente primer paso, ya que puede proporcionar una comparación precisa de las cargas de trabajo en ejecución en el centro de datos en lugar de en Azure, con la certificación de una empresa de investigación independiente. Pregunta de repaso 2 ¿Cuál es la mejor manera de asegurarse de que un equipo de desarrollo no aprovisione demasiadas máquinas virtuales al mismo tiempo? †† No haga nada. Permita que el equipo de desarrollo use lo que necesita. ■■ Aplique los límites de gasto a la suscripción de Azure del equipo de desarrollo. †† Proporcione verbalmente al encargado de desarrollo un presupuesto y hágalo responsable del uso por encima del límite. Explanation Si supera el límite de gasto, se desasignarán los recursos activos. Después, puede decidir si aumentará el límite o aprovisionará menos recursos. Pregunta de repaso 3 ¿Cuál es la forma más eficaz para que un equipo de pruebas ahorre costes en máquinas virtuales los fines de semana, cuando los evaluadores no están trabajando? †† Elimine las máquinas virtuales antes del fin de semana y cree un nuevo conjunto la semana siguiente. ■■ Desasigne las máquinas virtuales cuando no están en uso. †† Simplemente deje que todo se ejecute. Azure solo le factura por el tiempo de CPU que se usa. Explanation Cuando se desasignan las máquinas virtuales, los discos duros y los datos asociados todavía se conservan en Azure. Pero no paga por el consumo de la CPU o la red, lo que puede ayudar a ahorrar costes. Pregunta de repaso 4 Los pagos de los recursos de los entornos de desarrollo y pruebas los hacen los distintos departamentos. ¿Cuál es la mejor manera de categorizar los costes por departamento? ■■ Aplique una etiqueta a cada máquina virtual que identifique el departamento de facturación adecuado. †† Divida el coste uniformemente entre los departamentos. †† Mantenga una hoja de cálculo en la que se muestren los recursos de cada equipo. Explanation Puede aplicar etiquetas a grupos de recursos de Azure para organizar los datos de facturación.

Pregunta de repaso 5 ¿Cuál es el acuerdo de nivel de servicio de Azure Maps en términos de tiempo de actividad garantizado? †† 99 por ciento ■■ 99,9 por ciento †† 99,99 por ciento Explanation SLA para Azure Maps le indica el acuerdo de nivel de servicio. Pregunta de repaso 6 ¿Cuál es el nuevo acuerdo de nivel de servicio compuesto? Recuerde que el nuevo acuerdo de nivel de servicio incluye una tercera máquina virtual y Azure Maps. ■■ 99,58 por ciento †† 99,78 por ciento †† 99,99 por ciento Explanation Para calcular el acuerdo de nivel de servicio compuesto de un conjunto de servicios, multiplique el acuerdo de nivel de servicio de cada uno de los servicios. Pregunta de repaso 7 La adición de una tercera máquina virtual reduce el acuerdo de nivel de servicio compuesto. ¿Qué puede hacer una empresa para compensar esta reducción? †† Aumentar el tamaño de cada máquina virtual. ■■ Implementar instancias adicionales de las mismas máquinas virtuales en diferentes zonas de disponibilidad de la misma región de Azure. †† No haga nada. El uso de Azure Load Balancer aumenta el acuerdo de nivel de servicio de las máquinas virtuales. Explanation Si una zona de disponibilidad se ve afectada, la instancia de la máquina virtual de la otra zona de disponibilidad no se verá afectada. Pregunta de repaso 8 ¿Qué enfoque debería adoptar la empresa para agregar el servicio en versión preliminar de realidad aumentada (AR) a su arquitectura? †† La aplicación Pedidos Especiales ya está en producción. La empresa no debería considerar la adopción del servicio AR mientras el servicio no alcance la fase de disponibilidad general (GA). †† La aplicación Pedidos Especiales es utilizada principalmente por los empleados de las tiendas minoristas. La empresa puede integrar el servicio AR ya mismo porque los posibles errores o tiempos de inactividad no son un factor importante. ■■ El equipo de desarrollo puede crear una versión prototipo de la aplicación que incluya el servicio AR, y someterla a prueba con algunos empleados de las tiendas minoristas. Explanation Cuando el servicio AR alcance la versión de disponibilidad general (GA), el equipo podrá implementarlo en producción.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

 Resumen del módulo 6  291

Resumen Resumen

En este curso ha aprendido acerca de: ●● Los aspectos básicos de la informática en la nube y Azure, además de una explicación sobre cómo empezar a trabajar con las suscripciones y cuentas de Azure. ●● Las ventajas de utilizar servicios de informática en la nube, aprender a diferenciar los distintos tipos y categorías de informática en la nube, además de cómo evaluar los diferentes conceptos, recursos y terminología necesarios para trabajar con la arquitectura Azure. ●● Los servicios principales disponibles con Microsoft Azure. ●● Las soluciones principales que incluyen una amplia gama de herramientas y servicios de Microsoft Azure. ●● La seguridad general y las características de seguridad de red y cómo utilizar los distintos servicios de Azure para ayudarle a garantizar que sus recursos en la nube son seguros, están protegidos y son de confianza. ●● Las características de identidad, gobernanza, privacidad y cumplimiento y cómo Azure puede ayudarle a proteger el acceso a los recursos de la nube, qué significa crear una estrategia de gobernanza en la nube y cómo Azure cumple con los estándares habituales normativos y de cumplimiento. ●● Los factores que influyen en el coste, las herramientas que se pueden usar para poder estimar y administrar el gasto en la nube, y sobre cómo los acuerdos de nivel de servicio de Azure (SLA) pueden influir en las decisiones de diseño de una aplicación.

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES.

Module 7 Cierre del curso

SE PERMITE EL USO DEL MATERIAL A FORMADORES AUTORIZADOS. SE PROHÍBE EL USO DEL MATERIAL A ESTUDIANTES. 294  Module 7 Cierre del curso