CONCEPTOS DE NUBE __________________________________________________ 5

Informática en la nube_______________________________________________________ 5
¿Qué es la informática en la nube? ____________________________________________________ 5
Describir el modelo de responsabilidad compartida ______________________________________ 5
Modelos de nube __________________________________________________________________ 6
Nube privada ___________________________________________________________________ 6
Nube pública ___________________________________________________________________ 7
Nube híbrida ___________________________________________________________________ 7
Nubes múltiples _________________________________________________________________ 7
Azure Arc ______________________________________________________________________ 7
Azure VMware Solution ___________________________________________________________ 7
Modelo basado en el consumo _______________________________________________________ 8
Comparación de los modelos de precios en la nube ______________________________________ 8

Ventajas de usar servicios en la nube ___________________________________________ 9

Ventajas de la alta disponibilidad y la escalabilidad _______________________________________ 9
Alta disponibilidad _______________________________________________________________ 9
Escalabilidad ___________________________________________________________________ 9
Ventajas de la confiabilidad y la previsibilidad ___________________________________________ 9
Confiabilidad ___________________________________________________________________ 9
Previsibilidad __________________________________________________________________ 10
Ventajas de la seguridad y la gobernanza ______________________________________________ 10
Ventajas de la capacidad de administración____________________________________________ 11
Administración de la nube________________________________________________________ 11
Administración en la nube________________________________________________________ 11

Tipos de servicio en la nube _________________________________________________ 11

Infraestructura como servicio _______________________________________________________ 11
Modelo de responsabilidad compartida _____________________________________________ 11
Escenarios ____________________________________________________________________ 11
Plataforma como servicio __________________________________________________________ 12
Modelo de responsabilidad compartida _____________________________________________ 12
Escenarios ____________________________________________________________________ 12
Software como servicio ____________________________________________________________ 12
Modelo de responsabilidad compartida _____________________________________________ 13
Escenarios ____________________________________________________________________ 13

ARQUITECTURA Y LOS SERVICIOS DE AZURE _______________________________ 14

Componentes arquitectónicos principales de azure ______________________________ 14
Conceptos básicos de Azure ________________________________________________________ 14
¿Qué es Microsoft Azure? ________________________________________________________ 14
¿Qué ofrece Azure? _____________________________________________________________ 14
¿Qué puedo hacer con Azure? ____________________________________________________ 14
Introducción a las cuentas de Azure __________________________________________________ 14
Creación de una cuenta de Azure __________________________________________________ 15
Descripción de la infraestructura de Azure ____________________________________________ 16
Infraestructura física de Azure ____________________________________________________ 16
Infraestructura de administración de Azure __________________________________________ 19

Servicios de proceso y redes de Azure _________________________________________ 23

1
 Azure Virtual Machines ____________________________________________________________ 23
Escalado de máquinas virtuales en Azure ____________________________________________ 23
Ejemplos de cuándo usar máquinas virtuales ________________________________________ 24
Traslado a la nube con máquinas virtuales ___________________________________________ 24
Recursos de máquina virtual ______________________________________________________ 25
Azure Virtual Desktop _____________________________________________________________ 25
Aumento de la seguridad ________________________________________________________ 25
Implementación de sesión múltiple de Windows 10 o Windows 11 _______________________ 25
Contenedores de Azure ____________________________________________________________ 25
¿Qué son los contenedores? ______________________________________________________ 25
Comparación de máquinas virtuales con contenedores ________________________________ 26
Azure Container Instances ________________________________________________________ 26
Uso de contenedores en las soluciones _____________________________________________ 27
Azure Functions __________________________________________________________________ 27
Informática sin servidor en Azure __________________________________________________ 27
Ventajas de Azure Functions ______________________________________________________ 27
Las opciones de hospedaje de aplicaciones ____________________________________________ 28
Azure App Service ______________________________________________________________ 28
Las redes virtuales de Azure ________________________________________________________ 29
Aislamiento y segmentación ______________________________________________________ 30
Comunicación con Internet _______________________________________________________ 30
Comunicación entre los recursos de Azure __________________________________________ 30
Comunicación con recursos locales ________________________________________________ 30
Enrutamiento del tráfico de red ___________________________________________________ 31
Filtrado del tráfico de red ________________________________________________________ 31
Conexión de redes virtuales ______________________________________________________ 31
Las redes privadas virtuales de Azure _________________________________________________ 31
Puertas de enlace de VPN ________________________________________________________ 31
Escenarios de alta disponibilidad __________________________________________________ 32
Azure ExpressRoute _______________________________________________________________ 33
Características y ventajas de ExpressRoute __________________________________________ 33
Modelos de conectividad de ExpressRoute __________________________________________ 34
Consideraciones sobre la seguridad ________________________________________________ 34
Azure DNS ______________________________________________________________________ 35
Ventajas de Azure DNS __________________________________________________________ 35

Servicios de almacenamiento de Azure ________________________________________ 36

Las cuentas de almacenamiento de Azure _____________________________________________ 36
Puntos de conexión de cuenta de almacenamiento ___________________________________ 37
La redundancia de almacenamiento de Azure __________________________________________ 38
Redundancia en la región primaria _________________________________________________ 38
Redundancia en una región secundaria _____________________________________________ 40
Acceso de lectura a los datos de la región secundaria __________________________________ 41
Los servicios de almacenamiento de Azure ____________________________________________ 42
Ventajas de Azure Storage _______________________________________________________ 42
Blob Storage ___________________________________________________________________ 42
Azure Files ____________________________________________________________________ 44
Queue Storage _________________________________________________________________ 44
Disk Storage ___________________________________________________________________ 44
Identificación de las opciones de migración de datos de Azure ____________________________ 45

2
 Azure Migrate _________________________________________________________________ 45
Azure Data Box ________________________________________________________________ 45
Identificación de las opciones de movimiento de archivos de Azure ________________________ 46
AzCopy _______________________________________________________________________ 47
Explorador de Azure Storage ______________________________________________________ 47
Azure File Sync _________________________________________________________________ 47

La identidad, el acceso y la seguridad de Azure __________________________________ 47

Los servicios de directorio de Azure __________________________________________________ 47
¿Quién usa Azure AD? ___________________________________________________________ 48
¿Qué hace Azure AD? ___________________________________________________________ 48
¿Puedo conectar mi AD local con Azure AD? _________________________________________ 48
¿Qué es Azure Active Directory Domain Services? ____________________________________ 49
Los métodos de autenticación de Azure _______________________________________________ 50
¿Qué es el inicio de sesión único? __________________________________________________ 50
¿Qué es la autenticación multifactor? ______________________________________________ 51
¿Qué es la autenticación sin contraseña? ___________________________________________ 51
Identidades externas de Azure ______________________________________________________ 52
El acceso condicional de Azure ______________________________________________________ 54
¿Cuándo se puede usar el acceso condicional? _______________________________________ 55
El control de acceso basado en roles de Azure__________________________________________ 55
¿Cómo se aplica el control de acceso basado en roles a los recursos? _____________________ 55
¿Cómo se aplica RBAC de Azure? __________________________________________________ 56
El modelo de Confianza cero ________________________________________________________ 57
Ajuste a Confianza cero __________________________________________________________ 57
Defensa en profundidad ___________________________________________________________ 57
Capas de defensa en profundidad _________________________________________________ 58
Microsoft Defender for Cloud _______________________________________________________ 60
Protección allá donde se implemente ______________________________________________ 60
Evaluación, protección y defensa __________________________________________________ 61

LA ADMINISTRACIÓN Y LA GOBERNANZA DE AZURE _________________________ 65

La administración de costos en Azure __________________________________________ 65
Los factores que pueden afectar a los costos en Azure ___________________________________ 65
Tipo de recurso ________________________________________________________________ 65
Consumo _____________________________________________________________________ 66
Mantenimiento ________________________________________________________________ 67
Geografía _____________________________________________________________________ 67
Tipo de suscripción _____________________________________________________________ 67
Azure Marketplace _____________________________________________________________ 67
Comparación de las calculadoras de precios y costo total de propiedad _____________________ 68
Calculadora de precios __________________________________________________________ 68
Calculadora de TCO _____________________________________________________________ 68
La herramienta Azure Cost Management ______________________________________________ 69
¿Qué es Cost Management? ______________________________________________________ 69
Alertas sobre los costos __________________________________________________________ 70
Presupuestos __________________________________________________________________ 71
La finalidad de las etiquetas ________________________________________________________ 71
¿Cómo se administran las etiquetas de recursos? _____________________________________ 72

3
Las características y herramientas de Azure para la gobernanza y el cumplimiento _____ 72
El propósito de Azure Blueprints _____________________________________________________ 72
¿Qué son los artefactos? _________________________________________________________ 73
¿Cómo ayuda Azure Blueprints a supervisar las implementaciones? ______________________ 73
El propósito de Azure Policy ________________________________________________________ 74
¿Cómo se definen directivas en Azure Policy? ________________________________________ 74
¿Qué son las iniciativas Azure Policy? _______________________________________________ 74
El propósito de bloqueos de recursos _________________________________________________ 75
Tipos de bloqueos de recursos ____________________________________________________ 75
¿Cómo se administran los bloqueos de recursos? _____________________________________ 75
¿Cómo se elimina o cambia un recurso bloqueado? ___________________________________ 76
Las ventajas del portal de confianza de servicios ________________________________________ 76
Acceso al Portal de confianza de servicios ___________________________________________ 76

Las características y herramientas para administrar e implementar recursos de Azure __ 77

Las herramientas para interactuar con Azure __________________________________________ 77
¿Qué es Azure Portal? ___________________________________________________________ 77
Azure Cloud Shell _______________________________________________________________ 77
¿Qué es Azure PowerShell? _______________________________________________________ 78
¿Qué es la CLI de Azure? _________________________________________________________ 78
El propósito de Azure Arc __________________________________________________________ 79
¿Qué puede hacer Azure Arc fuera de Azure? ________________________________________ 79
Las plantillas de Azure Resource Manager y Azure ARM __________________________________ 79
Ventajas de Azure Resource Manager ______________________________________________ 79
Plantillas de ARM _______________________________________________________________ 80

Las herramientas de supervisión de Azure ______________________________________ 81

El propósito de Azure Advisor _______________________________________________________ 81
Azure Service Health ______________________________________________________________ 81
Azure Monitor ___________________________________________________________________ 82
Azure Log Analytics _____________________________________________________________ 83
Alertas de Azure Monitor ________________________________________________________ 83
Application Insights _____________________________________________________________ 84

4
 CONCEPTOS DE NUBE
INFORMÁTICA EN LA NUBE
¿QUÉ ES LA INFORMÁTICA EN LA NUBE?
La informática en la nube es la prestación de servicios informáticos a través de Internet. Los servicios
informáticos incluyen infraestructura de TI común: como máquinas virtuales, almacenamiento, bases de
datos y redes. Los servicios en la nube también amplían las ofertas de TI tradicionales para incluir cosas
como Internet de las Cosas (IoT), el aprendizaje automático (ML) y la inteligencia artificial (IA).

Dado que la informática en la nube usa Internet para ofrecer estos servicios, no es necesario que la
infraestructura física la restrinja del mismo modo que un centro de datos tradicional. Esto significa que
si necesita aumentar rápidamente la infraestructura de TI, no tiene que esperar a crear un centro de
datos, sino que puede usar la nube para expandir rápidamente la superficie de TI.

DESCRIBIR EL MODELO DE RESPONSABILIDAD COMPARTIDA

Es posible que haya oído hablar del modelo de responsabilidad compartida, pero es posible que no
comprenda lo que significa o cómo afecta a la informática en la nube.

Comience con un centro de datos corporativo tradicional. La empresa es la responsable de mantener el

espacio físico, garantizar la seguridad, y mantener o reemplazar los servidores si ocurre algo. El
departamento de TI se encarga de mantener toda la infraestructura y el software necesarios para
mantener el centro de datos en funcionamiento. También es probable que sean los responsables de
mantener todos los sistemas revisados y con la versión correcta.

Con el modelo de responsabilidad compartida, estas responsabilidades se comparten entre el proveedor

de servicios en la nube y el consumidor. La seguridad física, la alimentación, la refrigeración y la
conectividad de red son responsabilidad del proveedor de servicios en la nube. El consumidor no tiene
acceso al centro de datos, por lo que no tendría sentido que tuviera ninguna de esas responsabilidades.

Al mismo tiempo, el consumidor es el responsable de los datos y la información almacenados en la

nube. (No querrá que el proveedor de servicios en la nube pueda leer su información). El consumidor
también es el responsable de la seguridad de acceso, lo que significa que solo da acceso a aquellos que
lo necesitan.

Entonces, para algunas cosas, la responsabilidad depende de la situación. Si usa una base de datos SQL
en la nube, el proveedor de servicios en la nube será el responsable de mantener la base de datos real.
Pero sigue siendo responsabilidad del cliente que los datos se ingieran en la base de datos. Si ha
implementado una máquina virtual y ha instalado una base de datos SQL en ella, será el responsable de
las revisiones y actualizaciones de la base de datos, así como del mantenimiento de los datos y la
información almacenada en ella.

Con un centro de datos local será el responsable de todo. Con la informática en la nube esas
responsabilidades cambian. El modelo de responsabilidad compartida está muy vinculado a los tipos de
servicio en la nube:

 Infraestructura como servicio (IaaS): sitúa la mayor responsabilidad en el consumidor y el

proveedor de servicios en la nube es el responsable de los conceptos básicos de seguridad
física, energía y conectividad.
 Plataforma como servicio (PaaS): siendo un punto intermedio entre IaaS y SaaS, se encuentra
en algún lugar del medio y distribuye uniformemente la responsabilidad entre el proveedor de
nube y el consumidor.

5
  Software como servicio (SaaS): sitúa la mayor parte de la responsabilidad en el proveedor de
servicios en la nube.

En el diagrama siguiente se resalta cómo el modelo de responsabilidad compartida informa de quién es

responsable de qué, en función del tipo de servicio en la nube.

Diagrama en el que se muestran los diferentes niveles del modelo de responsabilidad compartida

Siempre será responsabilidad del cliente lo siguiente:

 La información y los datos almacenados en la nube.

 Los dispositivos que pueden conectarse a la nube (teléfonos móviles, equipos, etc.).
 Las cuentas e identidades de las personas, servicios y dispositivos de la organización.

El proveedor de nube siempre es el responsable de lo siguiente:

 El centro de datos físico.

 La red física.
 Los hosts físicos.

El modelo de servicio determinará la responsabilidad de cosas como lo siguiente:

 Sistemas operativos.
 Controles de red.
 Aplicaciones.
 Identidad e infraestructura.

MODELOS DE NUBE
¿Qué son los modelos en la nube? Los modelos en la nube definen el tipo de implementación de
recursos en la nube. Los tres principales modelos en la nube son: privados, públicos e híbridos.

Nube privada
Una nube privada es, de alguna manera, la evolución natural de un centro de datos corporativo. Es una
nube que brinda servicios de TI a través de Internet y es utilizada por una sola entidad. La nube privada
proporciona un control mucho mayor para la empresa y su departamento de TI. Sin embargo, también
incluye un mayor costo y menos ventajas que una implementación en la nube pública. Por último, una
nube privada se puede hospedar desde el centro de datos del sitio. También puede hospedarse en un

6
centro de datos dedicado fuera del sitio, posiblemente incluso por un tercero que haya dedicado ese
centro de datos a su empresa.

Nube pública
Un proveedor de nube de terceros crea, controla y mantiene una nube pública. Con una nube pública,
cualquier persona que quiera comprar servicios en la nube puede acceder a los recursos y usarlos. La
disponibilidad pública general es una diferencia clave entre las nubes públicas y privadas.

Nube híbrida
Una nube híbrida es un entorno informático que usa nubes públicas y privadas en un entorno
interconectado. Se puede usar un entorno de nube híbrida para permitir el incremento de una nube
privada y acomodarse al aumento de la demanda temporal mediante la implementación de recursos de
nube pública. La nube híbrida se puede usar para proporcionar una capa adicional de seguridad. Por
ejemplo, los usuarios pueden elegir de forma flexible qué servicios mantener en la nube pública y qué
implementar en su infraestructura de nube privada.

En la tabla siguiente se resaltan algunos aspectos comparativos clave entre los modelos de nube.

Nube pública Nube privada Nube híbrida

Las organizaciones tienen un

No hay gastos de capital para Proporciona la máxima
control total de los recursos y la
escalar verticalmente. flexibilidad.
seguridad.
Las aplicaciones pueden Las organizaciones determinan
Los datos no se colocan con los
aprovisionarse y desaprovisionarse dónde se van a ejecutar sus
datos de otras organizaciones.
rápidamente. aplicaciones.
Debe adquirirse hardware para la Las organizaciones controlan la
Las organizaciones solo pagan por lo
puesta en funcionamiento y el seguridad, el cumplimiento o los
que usan.
mantenimiento. requisitos legales.
Las organizaciones no tienen un Las organizaciones son responsables
control total de los recursos y la del mantenimiento y las
seguridad. actualizaciones del hardware.

Nubes múltiples
Un cuarto escenario y cada vez más probable es un escenario de varias nubes. En un escenario de varias
nubes, se usan varios proveedores de nube pública. Tal vez use diferentes características de diferentes
proveedores de nube. O quizás haya iniciado su recorrido en la nube con un proveedor y esté en
proceso de migración a otro proveedor. Independientemente, en un entorno de varias nubes lidia con
dos (o más) proveedores de nube pública y administra los recursos y la seguridad en ambos entornos.

Azure Arc
Azure Arc es un conjunto de tecnologías que ayudan a administrar el entorno en la nube. Azure Arc
puede ayudar a administrar el entorno de nube, tanto si se trata de una nube pública exclusiva de Azure,
una nube privada en el centro de datos, una configuración híbrida o incluso un entorno de varias nubes
que se ejecuta en varios proveedores de la nube a la vez.

Azure VMware Solution

¿Qué ocurre si ya está establecido con VMware en un entorno de nube privada, pero quiere migrar a
una nube pública o híbrida? Azure VMware Solution le permite ejecutar las cargas de trabajo de
VMware en Azure con una integración y escalabilidad perfectas.

7
MODELO BASADO EN EL CONSUMO
Al comparar los modelos de infraestructura de TI, hay dos tipos de gastos que se deben tener en cuenta.
Gastos de capital (CapEx) y gastos operativos (OpEx):

 CapEx: Los gastos de capital suelen ser un gasto por adelantado único para comprar o proteger
recursos tangibles. Un edificio nuevo, volver a pavimentar el aparcamiento, crear un centro de
datos o comprar un coche de empresa son ejemplos de gastos de capital.
 OpEx: Los gastos operativos es gastar dinero en servicios o productos a lo largo del tiempo.
Alquilar un centro de convenciones, alquilar un vehículo de empresa o suscribirse a servicios en
la nube son ejemplos de gastos operativos.

La informática en la nube se encuentra en la partida de gastos operativos porque funciona en un

modelo basado en el consumo. Con la informática en la nube, no paga por la infraestructura física, la
electricidad, la seguridad ni nada más asociado al mantenimiento de un centro de datos. En lugar de
eso, paga por los recursos de TI que usa. Si no usa ningún recurso de TI este mes, no los pagará.

Este modelo basado en el consumo aporta muchas ventajas, por ejemplo:

 Sin costes por adelantado.

 No es necesario comprar ni administrar infraestructuras costosas que es posible que los
usuarios no aprovechen todo su potencial.
 Se puede pagar para obtener más recursos cuando se necesiten.
 Se puede dejar de pagar por los recursos que ya no se necesiten.

Con un centro de datos tradicional, intenta calcular las necesidades futuras de los recursos. Si este
cálculo se ha sobrestimado, gasta más en el centro de datos de lo que necesita y puede desperdiciar
dinero. Si, por el contrario, se subestima, el centro de datos alcanzará rápidamente la capacidad, y las
aplicaciones y los servicios pueden sufrir una disminución en el rendimiento. Arreglar un centro de datos
con aprovisionamiento insuficiente puede tardar mucho tiempo. Es posible que tenga que pedir, más
hardware, recibirlo e instalarlo. También deberá agregar alimentación, refrigeración y redes para el
hardware adicional.

En un modelo basado en la nube, no tiene que preocuparse por obtener las necesidades justas de
recursos. Si descubre que necesita más máquinas virtuales, se agregan más. Si la demanda disminuye y
no necesita tantas máquinas virtuales, se quitan las máquinas según sea necesario. En cualquier caso,
solo paga por las máquinas virtuales que usa, no por la "capacidad adicional" que tiene el proveedor de
nube.

COMPARACIÓN DE LOS MODELOS DE PRECIOS EN LA NUBE

La informática en la nube es la prestación de servicios informáticos a través de Internet mediante un
modelo de precios de pago por uso. Normalmente solo se paga por los servicios en la nube que se usan,
lo que permite:

 Planificar y administrar los costos operativos.

 Ejecutar la infraestructura de forma más eficaz.
 Escalar a medida que cambien las necesidades empresariales.
Dicho de otro modo, la informática en la nube es una forma de alquilar potencia de proceso y
almacenamiento de un centro de datos de terceros. Los recursos de la nube se pueden tratar igual que
los recursos de un centro de datos propio. Pero, a diferencia de en su propio centro de datos, cuando
haya terminado de usar recursos en la nube, los devuelve. Únicamente se le cobrará por lo que use.

En lugar de mantener las CPU y el almacenamiento en un centro de datos, se alquilan durante el tiempo
que sea necesario. El proveedor de nube se encarga de mantener la infraestructura subyacente por el

8
cliente. La nube permite resolver rápidamente los desafíos empresariales más difíciles y proporcionar
soluciones de vanguardia a los usuarios.

VENTAJAS DE USAR SERVICIOS EN LA NUBE

VENTAJAS DE LA ALTA DISPONIBILIDAD Y LA ESCALABILIDAD
Al compilar o implementar una aplicación en la nube, dos de las consideraciones más importantes son el
tiempo de actividad (o la disponibilidad) y la capacidad de controlar la demanda (o escala).

Alta disponibilidad
Al implementar una aplicación, un servicio o cualquier recurso de TI, es importante que los recursos
estén disponibles cuando sea necesario. La alta disponibilidad se centra en garantizar la máxima
disponibilidad, independientemente de las interrupciones o eventos que puedan producirse.

Al diseñar la solución, deberá tener en cuenta las garantías de disponibilidad del servicio. Azure es un
entorno de nube de alta disponibilidad con garantías de tiempo de actividad en función del servicio.
Estas garantías forman parte de los contratos de nivel de servicio.

Escalabilidad
Otra ventaja importante de la informática en la nube es la escalabilidad de los recursos en la nube. La
escalabilidad hace referencia a la capacidad de ajustar los recursos para satisfacer la demanda. Si de
pronto experimenta un tráfico máximo y los sistemas están sobrecargados, la capacidad de escalar
implica que puede agregar más recursos para controlar mejor la mayor demanda.

La otra ventaja de la escalabilidad es que no está pagando de más por los servicios. Dado que la nube es
un modelo basado en el consumo, solo paga por lo que usa. Si la demanda baja, puede reducir los
recursos y, por tanto, reducir los costos.

El escalado suele tener dos variedades: vertical y horizontal. El escalado vertical se centra en aumentar o
disminuir las capacidades de los recursos. El escalado horizontal agrega o resta el número de recursos.

Escalado vertical
Con el escalado vertical, si estuviera desarrollando una aplicación y necesitase más potencia de
procesamiento, podría escalar verticalmente para agregar más CPU o RAM a la máquina virtual. Por el
contrario, si se diese cuenta de que ha sobre especificado las necesidades, podría reducir verticalmente
disminuyendo las especificaciones de CPU o RAM.

Escalado horizontal
Con el escalado horizontal, si de repente experimentase un salto elevado en la demanda, los recursos
implementados se podrían escalar horizontalmente (ya sea de forma automática o manual). Por
ejemplo, podría agregar máquinas virtuales o contenedores adicionales, mediante el escalado
horizontal. De la misma manera, si hubiera una caída significativa en la demanda, los recursos
implementados se podrían escalar (ya sea de forma automática o manual), mediante el escalado
vertical.

VENTAJAS DE LA CONFIABILIDAD Y LA PREVISIBILIDAD

La confiabilidad y la previsibilidad son dos ventajas cruciales de la nube que le ayudan a desarrollar
soluciones con confianza.

Confiabilidad
La confiabilidad es la capacidad de un sistema de recuperarse de los errores y seguir funcionando.
También es uno de los pilares del Marco de arquitectura de Microsoft Azure.

9
La nube, debido a su diseño descentralizado, admite de forma natural una infraestructura confiable y
resistente. Con un diseño descentralizado, la nube le permite implementar recursos en regiones de todo
el mundo. Con esta escala global, incluso si se produce una catástrofe en una región, otras siguen en
funcionamiento. Puede diseñar las aplicaciones para aprovechar automáticamente esta mayor
confiabilidad. En algunos casos, el propio entorno en la nube cambiará automáticamente a otra región,
sin que tenga que realizar ninguna acción.

Previsibilidad
La previsibilidad en la nube le permite avanzar con confianza. La previsibilidad se puede centrar en el
rendimiento o los costos. Tanto la previsibilidad de rendimiento como la de costos están muy influidas
por el Marco de arquitectura de Microsoft Azure. Implemente una solución creada en torno a este
marco que sea predecible en relación con el coste y el rendimiento.

Rendimiento
La previsibilidad del rendimiento se centra en predecir los recursos necesarios para ofrecer una
experiencia positiva para los clientes. El escalado automático, el equilibrio de carga y la alta
disponibilidad son solo algunos de los conceptos de nube que admiten la previsibilidad del rendimiento.
Si de repente necesita más recursos, el escalado automático puede implementar recursos adicionales
para satisfacer la demanda y, después, reducir horizontalmente cuando disminuya. O bien, si el tráfico
se concentra principalmente en un área, el equilibrio de carga ayudará a redirigir parte de la sobrecarga
a áreas con menos estrés.

Coste
La predicción de costos se centra en pronosticar el costo del gasto en la nube. Con la nube, puede
realizar el seguimiento del uso de recursos en tiempo real, supervisar los recursos para asegurarse de
que los usa de la manera más eficaz y aplicar análisis de datos para buscar patrones y tendencias que
ayuden a planear mejor las implementaciones de recursos. Al operar en la nube y usar el análisis y la
información de la nube, puede predecir costos futuros y ajustar los recursos según sea necesario.
Incluso puede usar herramientas como las calculadoras de costo total de propiedad (TCO) o de precios
para obtener una estimación del posible gasto en la nube.

VENTAJAS DE LA SEGURIDAD Y LA GOBERNANZA

Tanto si va a implementar infraestructura como servicio o software como servicio, las características en
la nube admiten el cumplimiento y la gobernanza. Aspectos como las plantillas de conjunto ayudan a
garantizar que todos los recursos implementados cumplan los estándares corporativos y los requisitos
normativos de gobierno. Además, puede actualizar todos los recursos implementados a nuevos
estándares a medida que estos cambien. La auditoría basada en la nube ayuda a marcar cualquier
recurso que no cumpla los estándares corporativos y proporciona estrategias de mitigación. En función
del modelo operativo, las revisiones de software y las actualizaciones también se pueden aplicar
automáticamente, lo que ayuda tanto a la gobernanza como a la seguridad.

Del lado de la seguridad, puede encontrar una solución en la nube que coincida con sus necesidades de
seguridad. Si quiere tener un control máximo de la seguridad, la infraestructura como servicio le
proporciona recursos físicos, pero le permite administrar los sistemas operativos y el software instalado,
incluidas las revisiones y el mantenimiento. Si quiere que las revisiones y el mantenimiento se
administren automáticamente, las implementaciones de plataforma como servicio o software como
servicio pueden ser las mejores estrategias en la nube.

Y dado que la nube está pensada como entrega mediante Internet de los recursos de TI, los proveedores
de nube suelen ser adecuados para controlar cosas como ataques de denegación de servicio distribuido
(DDoS), lo que hace que la red sea más sólida y segura.

10
Al establecer una buena superficie de gobernanza pronto, puede mantener la superficie en la nube
actualizada, segura y bien administrada.

VENTAJAS DE LA CAPACIDAD DE ADMINISTRACIÓN

Una ventaja importante de la informática en la nube son las opciones de administración. Hay dos tipos
de administración para la informática en la nube sobre los que obtendrá información en esta serie y
ambos son excelentes ventajas.

Administración de la nube
La administración de la nube trata sobre administrar los recursos en la nube. En la nube, puede hacer lo
siguiente:

 Escalar automáticamente la implementación de recursos en función de las necesidades.

 Implementar recursos basados en una plantilla preconfigurada, lo que elimina la necesidad de
realizar la configuración manual.
 Supervisar el estado de los recursos y reemplazar automáticamente los recursos con errores.
 Recibir alertas automáticas basadas en métricas configuradas, de modo que esté informado del
rendimiento en tiempo real.

Administración en la nube
La administración en la nube trata sobre cómo puede administrar el entorno y los recursos en la nube.
Puede administrarlos de las siguientes maneras:

 Mediante un portal web.

 Con una interfaz de línea de comandos básica.
 Mediante las API.
 Mediante PowerShell.

TIPOS DE SERVICIO EN LA NUBE

INFRAESTRUCTURA COMO SERVICIO
La infraestructura como servicio (IaaS) es la categoría más flexible de servicios en la nube, ya que
proporciona el máximo control para los recursos en la nube. En un modelo de IaaS, el proveedor de
nube es el responsable de mantener el hardware, la conectividad de red (a Internet) y la seguridad
física. Todo lo demás será responsabilidad del cliente: instalación, configuración y mantenimiento del
sistema operativo, configuración de red, configuración de base de datos y almacenamiento, etc. Con
IaaS, lo que haces básicamente es alquilar el hardware en un centro de datos en la nube, pero puedes
hacer lo que quieras con ese hardware.

Modelo de responsabilidad compartida

IaaS sitúa la mayor parte de responsabilidad en el cliente. El proveedor de nube es el responsable de
mantener la infraestructura física y su acceso a Internet. La instalación y configuración, la aplicación de
revisiones y las actualizaciones y la seguridad serán responsabilidad del cliente.

Escenarios
Algunos escenarios comunes en los que IaaS puede tener sentido incluyen los siguientes:

 Migración mediante lift-and-shift: estás poniendo en marcha recursos en la nube similares al

centro de datos local y, después, simplemente mover las cosas que se ejecutan localmente para
que se ejecuten en la infraestructura IaaS.

11
  Pruebas y desarrollo: has establecido configuraciones para entornos de desarrollo y pruebas
que necesita para replicar rápidamente. Puedes poner en marcha o apagar rápidamente los
diferentes entornos con una estructura IaaS, a la vez que mantiene un control total.

PLATAFORMA COMO SERVICIO

La plataforma como servicio (PaaS) es un punto intermedio entre alquilar espacio en un centro de datos
(infraestructura como servicio) y pagar por una solución completa e implementada (software como
servicio). En un entorno PaaS, el proveedor de nube mantiene la infraestructura física, la seguridad física
y la conexión a Internet. También mantienen los sistemas operativos, el middleware (sistemas de
software), las herramientas de desarrollo y los servicios de inteligencia empresarial que componen una
solución en la nube. En un escenario de PaaS, no tiene que preocuparse por las licencias ni la aplicación
de revisiones para los sistemas operativos y las bases de datos.

PaaS es ideal para proporcionar un entorno de desarrollo completo sin el molesto de mantener toda la
infraestructura de desarrollo.

Modelo de responsabilidad compartida

PaaS divide la responsabilidad entre el cliente y el proveedor de nube. El proveedor de nube es
responsable de mantener la infraestructura física y su acceso a Internet, al igual que en IaaS. En el
modelo PaaS, el proveedor de nube también mantendrá los sistemas operativos, las bases de datos y las
herramientas de desarrollo. Piense en PaaS como usar una máquina unida a un dominio: TI mantiene el
dispositivo con actualizaciones y revisiones periódicas.

En función de la configuración, el cliente o el proveedor de nube pueden ser responsables de la

configuración de red y la conectividad dentro del entorno de nube, la seguridad de red y la aplicación y
la infraestructura de directorios.

Escenarios
Algunos escenarios comunes en los que PaaS pueden encajar incluyen:

 Marco de desarrollo: PaaS ofrece un marco que los desarrolladores pueden usar para
desarrollar o personalizar aplicaciones basadas en la nube. De una manera similar a como se
crea una macro de Excel, PaaS permite que los desarrolladores creen aplicaciones a través de
componentes de software integrados. Se incluyen características de la nube, como
escalabilidad, alta disponibilidad y funcionalidad multiinquilino, lo que permite reducir la
cantidad de codificación que deben realizar los desarrolladores.
 Análisis o inteligencia empresarial: las herramientas proporcionadas como servicio con PaaS
permiten a las organizaciones analizar y extraer sus datos, buscar información y patrones y
predecir resultados para mejorar la previsión, las decisiones de diseño de productos, las
devoluciones de inversión y otras decisiones empresariales.

SOFTWARE COMO SERVICIO

Software como servicio (SaaS) es el modelo de servicio en la nube más completo desde el punto de vista
del producto. Con SaaS, básicamente la que hace es alquilar o usar una aplicación totalmente
desarrollada. El correo electrónico, el software financiero, las aplicaciones de mensajería y el software
de conectividad son ejemplos comunes de una implementación de SaaS.

Aunque el modelo de SaaS puede ser el menos flexible, también es el más sencillo de poner en marcha.
Requiere la menor cantidad de conocimientos técnicos o experiencia para utilizarlo en toda su
dimensión.

12
Modelo de responsabilidad compartida
SaaS es el modelo que sitúa la mayor responsabilidad en el proveedor de nube y la menor
responsabilidad en el usuario. En un entorno de SaaS, serán responsabilidad del cliente los datos que ha
puesto en el sistema, los dispositivos que le permiten conectarse al sistema y los usuarios que tienen
acceso. De casi todo lo demás se encargará el proveedor de nube. Este será el responsable de la
seguridad física de los centros de datos, la potencia, la conectividad de red, así como del desarrollo y la
aplicación de revisiones.

Escenarios
Algunos escenarios comunes para SaaS son los siguientes:

 Correo electrónico y mensajería.

 Aplicaciones de productividad empresarial.
 Seguimiento de finanzas y gastos.

13
ARQUITECTURA Y LOS SERVICIOS DE
AZURE
COMPONENTES ARQUITECTÓNICOS PRINCIPALES
DE AZURE
CONCEPTOS BÁSICOS DE AZURE
¿Qué es Microsoft Azure?
Azure es un conjunto de servicios en la nube en expansión constante que le ayudan a cumplir los
desafíos empresariales actuales y futuros. Azure le ofrece la libertad de compilar, administrar e
implementar aplicaciones en una red global masiva mediante sus herramientas y plataformas favoritas.

¿Qué ofrece Azure?

Con la ayuda de Azure, tendrá todo lo que necesita para compilar su próxima gran solución. A
continuación, se enumeran algunas de las ventajas que proporciona Azure, para que inventar con un
objetivo sea más sencillo:

 Prepararse para el futuro: la innovación continua de Microsoft apoya el desarrollo actual y los
proyectos de productos para el futuro.
 Crear según términos propios: tienes varias opciones. Si mantiene un compromiso con el
código abierto y admite todos los lenguajes y marcos, puede compilar como quiera e
implementar donde quiera.
 Funcionamiento sin problemas en el entorno híbrido: ya sea en el entorno local, en la nube o
en el entorno perimetral, le apoyaremos donde esté. Integre y administre los entornos con
herramientas y servicios diseñados para una solución de nube híbrida.
 Confianza en la nube: obtén seguridad desde el principio, respaldada por un equipo de
expertos, y un cumplimiento proactivo de confianza para las empresas consolidadas, los
gobiernos y las nuevas empresas.

¿Qué puedo hacer con Azure?

Azure proporciona más de 100 servicios que permiten hacer todo tipo de cosas: desde ejecutar las
aplicaciones existentes en máquinas virtuales hasta explorar nuevos paradigmas de software, como bots
inteligentes y realidad mixta.

Muchos equipos comienzan a explorar la nube mediante la migración de sus aplicaciones existentes a
máquinas virtuales (VM) que se ejecutan en Azure. Aunque este es un buen comienzo, la nube es mucho
más que un lugar diferente donde ejecutar las máquinas virtuales.

Por ejemplo, Azure proporciona servicios de inteligencia artificial (IA) y aprendizaje automático (ML) que
pueden comunicarse de forma natural con los usuarios mediante la vista, el oído y la voz. También
facilita soluciones de almacenamiento que crecen dinámicamente para dar cabida a grandes cantidades
de datos. Los servicios de Azure permiten soluciones que no son factibles sin la potencia de la nube.

INTRODUCCIÓN A LAS CUENTAS DE AZURE

Para crear y usar los servicios de Azure, necesita una suscripción de Azure. Al completar los módulos de
Microsoft Learn, la mayoría de las veces se crea una suscripción temporal de forma automática, que se
ejecuta en un entorno denominado espacio aislado de Microsoft Learn. Cuando trabajas con tus propias

14
aplicaciones y necesidades comerciales, tienes que registrar una cuenta de Azure y se te creará
automáticamente una suscripción para ti. Después de crear una cuenta de Azure, puedes crear
suscripciones adicionales. Por ejemplo, es posible que la empresa use una única cuenta de Azure para el
negocio y suscripciones independientes para los departamentos de desarrollo, marketing y ventas. Una
vez que has creado una suscripción de Azure, puedes empezar a crear recursos de Azure dentro de cada
suscripción.

Diagrama en el que se muestran los diferentes niveles del ámbito de la cuenta.

Si no estás familiarizado con Azure, puedes registrarte para obtener una cuenta gratuita en el sitio web
de Azure y, de este modo, empezar a explorar sin coste alguno. Cuando estés listo, puedes optar por
actualizar la cuenta gratuita. También puedes crear una suscripción que te permita comenzar a pagar
por los servicios de Azure que necesitas y a los que no puedes acceder con una cuenta gratuita.

Creación de una cuenta de Azure

Para comprar el acceso a Azure directamente desde Microsoft, regístrate en el sitio web de Azure o
házlo a través de un representante de Microsoft. También puedes comprar el acceso a Azure a través de
un partner de Microsoft. Los partners del programa Proveedor de soluciones en la nube ofrecen una
amplia gama de soluciones en la nube administrada y completa para Azure.

¿Qué es la cuenta gratuita de Azure?

La cuenta gratuita de Azure incluye lo siguiente:

 Acceso gratuito a productos populares de Azure durante 12 meses.

 Crédito de 200 USD para gastar durante los primeros 30 días.
 Acceso a más de 25 productos que siempre son gratuitos.

15
La cuenta gratuita de Azure es una manera excelente para que los nuevos usuarios empiecen y exploren.
Para registrarse, necesita un número de teléfono, una tarjeta de crédito y una cuenta de Microsoft o de
GitHub. La información de la tarjeta de crédito solo se usa para la verificación de identidad. No se te
cobrará por ningún servicio hasta que actualice a una suscripción de pago.

¿Qué es la cuenta de estudiante gratuita de Azure?

La oferta de la cuenta de estudiante gratuita de Azure incluye lo siguiente:

 Acceso gratuito a determinados servicios de Azure durante 12 meses.

 Un crédito para usar en los primeros 12 meses.
 Acceso gratuito a determinadas herramientas de desarrollo de software.
La cuenta de estudiante gratuita de Azure es una oferta para estudiantes que ofrece 100 USD de crédito
y herramientas de desarrollo gratuitas. Además, puedes registrarse sin tarjeta de crédito.

¿Qué es el espacio aislado de Microsoft Learn?

En muchos de los ejercicios de Learn se usa una tecnología denominada espacio aislado, que crea una
suscripción temporal que se agrega a la cuenta de Azure. Esta suscripción temporal le permite crear
recursos de Azure para la duración de un módulo de Learn. Learn limpia de forma automática los
recursos temporales una vez que hayas completado el módulo.

Cuando completas un módulo de Learn, puedes usar la suscripción personal para finalizar los ejercicios
que incluye. Pero el espacio aislado es el método preferido, ya que permite crear y probar recursos de
Azure sin costo alguno.

DESCRIPCIÓN DE LA INFRAESTRUCTURA DE AZURE

A lo largo del recorrido con Microsoft Azure, escucharás y usarás términos como regiones, zonas de
disponibilidad, recursos, suscripciones, etc. Este módulo se centra en los principales componentes
arquitectónicos de Azure. Los componentes arquitectónicos principales de Azure se pueden dividir en
dos grandes grupos: la infraestructura física y la infraestructura de administración.

Infraestructura física de Azure

La infraestructura física de Azure comienza con los centros de datos. Conceptualmente, los centros de
datos son iguales que los grandes centros de datos corporativos. Son instalaciones con recursos
organizados en bastidores, con potencia dedicada, refrigeración e infraestructura de red.

Como proveedor de nube global, Azure tiene centros de datos en todo el mundo. Pero estos centros de
datos individuales no son accesibles directamente. Los centros de datos se agrupan en regiones de
Azure o Azure Availability Zones (Zonas de Dispnibilidad), están diseñados para ayudarte a lograr
resistencia y confiabilidad para las cargas de trabajo críticas para la empresa.

Regiones
Una región es un área geográfica del planeta que contiene al menos un centro de datos, aunque podrían
ser varios cercanos y conectados mediante una red de baja latencia. Azure asigna y controla los recursos
de forma inteligente dentro de cada región para garantizar que las cargas de trabajo están bien
compensadas.

Al implementar un recurso en Azure, es habitual tener que elegir la región en la que quiere que se
implemente el recurso.
Nota

Algunos servicios o características de las máquinas virtuales (VM) solo están disponibles en determinadas regiones, como, por
ejemplo, tipos de almacenamiento o tamaños de VM específicos. También hay algunos servicios globales de Azure que no
requieren que seleccione una región concreta, como Azure Active Directory, Azure Traffic Manager o Azure DNS.

16
Zonas de Disponibilidad
Las zonas de disponibilidad son centros de datos separados físicamente dentro de una región de Azure.
Cada zona de disponibilidad consta de uno o varios centros de datos equipados con alimentación,
refrigeración y redes independientes. Una zona de disponibilidad se configura para constituir un límite
de aislamiento. Si una zona deja de funcionar, la otra continúa trabajando. Las zonas de disponibilidad
están conectadas a través de redes de fibra óptica de alta velocidad privadas.

Diagrama en el que se muestran tres centros de datos conectados dentro de una sola
región de Azure que representa una zona de disponibilidad.

Importante

Para garantizar la resistencia, se configuran un mínimo de tres zonas de disponibilidad independientes en todas las regiones
habilitadas. Pero no todas las regiones de Azure admiten actualmente las zonas de disponibilidad.

Uso de las zonas de disponibilidad en sus aplicaciones

A fin de proteger la información en caso de error, deberás asegurarte de que los servicios y datos son
redundantes. Si hospedas tu infraestructura, configurar su propia redundancia requiere la creación de
entornos de hardware duplicados. Azure puede ayudar a que la aplicación tenga alta disponibilidad a
través de zonas de disponibilidad.

Puedes usar zonas de disponibilidad para ejecutar aplicaciones críticas y conseguir una alta
disponibilidad en la arquitectura de sus aplicaciones si colocas los recursos de proceso, almacenamiento,
red y datos dentro de una zona y los replica en otras. Recuerda que la duplicación de los servicios y la
transferencia de datos entre zonas de disponibilidad podrían suponer un costo.

Las zonas de disponibilidad son principalmente para las máquinas virtuales, los discos administrados, los
equilibradores de carga y las bases de datos SQL. Los servicios de Azure que admiten zonas de
disponibilidad se dividen en tres categorías:

 Servicios de zona: ancla el recurso a una zona específica (por ejemplo, máquinas virtuales,
discos administrados, direcciones IP).

17
  Servicios de redundancia de zona: la plataforma se replica automáticamente entre zonas (por
ejemplo, almacenamiento con redundancia de zona, SQL Database).
 Servicios no regionales: los servicios siempre están disponibles en las ubicaciones geográficas
de Azure y son resistentes a las interrupciones de toda la zona, así como a las de toda la región.

Incluso con la resistencia adicional que proporcionan las zonas de disponibilidad, es posible que un
evento pueda ser tan grande que afecte a varias zonas de disponibilidad en una sola región. Para
proporcionar una mayor resistencia, Azure tiene pares de regiones.

Pares de región
La mayoría de las regiones de Azure se emparejan con otra región de la misma zona geográfica (por
ejemplo, EE. UU., Europa o Asia) que se encuentre como mínimo a 500 km de distancia. Este enfoque
permite la replicación de recursos en una zona geográfica que ayuda a reducir la probabilidad de que se
produzcan interrupciones provocadas por eventos como desastres naturales, disturbios sociales, cortes
del suministro eléctrico o interrupciones de la red física que afecten a una región completa. Por
ejemplo, si una región de un par se ve afectada por un desastre natural, los servicios conmutarán por
error automáticamente a la otra región de su par de regiones.
Importante

No todos los servicios de Azure replican automáticamente los datos ni se replican automáticamente desde una región con errores
para la replicación cruzada en otra región habilitada. En estos escenarios, el cliente debe configurar la replicación y la
recuperación.

Algunos pares de regiones de ejemplo en Azure son Oeste de EE. UU. y Este de EE. UU., y Sudeste
Asiático y Asia Pacífico. Como las dos regiones están directamente conectadas y lo suficientemente lejos
como para estar aisladas contra desastres regionales, puede usarlas para proporcionar redundancia de
datos y servicios de confianza.

Diagrama en el que se muestra la relación entre la geografía, el par de regiones, la región y la zona de disponibilidad.

Ventajas adicionales de los pares de región

 Si se produce una gran interrupción de Azure, se da prioridad a una región de cada par para
asegurarse de que al menos una se restaure lo más rápido posible para las aplicaciones
hospedadas en ese par de regiones.
 Las actualizaciones planeadas de Azure se implementan una a una en regiones emparejadas
para minimizar el tiempo de inactividad y el riesgo de interrupción de la aplicación.

18
  Los datos siguen residiendo en la misma zona geográfica que su pareja (excepto Sur de Brasil)
con fines de jurisdicción fiscal y de aplicación de la ley.
Importante

La mayoría de las direcciones se emparejan en dos direcciones, es decir, son la copia de seguridad de la región que proporciona una
copia de seguridad para ellas (Oeste de EE. UU. y Este de EE. UU. se copian entre sí). Sin embargo, algunas regiones, como Oeste de
la India y Sur de Brasil, se emparejan en una sola dirección. En un emparejamiento unidireccional, la región primaria no
proporciona copia de seguridad para su región secundaria. Por tanto, aunque la región secundaria de la India Occidental es Sur de
la India, Sur de la India no depende de la India Occidental. La región secundaria del India occidental es Sur de la India, pero la
región secundaria esta última es Centro de la India. Sur de Brasil es un caso único porque se empareja con una región fuera de su
ubicación geográfica. La región secundaria de Sur de Brasil es Centro-sur de EE. UU. La región secundaria de Centro-sur de EE. UU.
no es Sur de Brasil.

Regiones soberanas
Además de las regiones normales, Azure también tiene regiones soberanas. Las regiones soberanas son
instancias de Azure que están aisladas de la instancia principal de Azure. Es posible que tengas que usar
una región soberana con fines legales o de cumplimiento.

Entre las regiones soberanas de Azure se incluyen las siguientes:

 US DoD (centro), US Gov Virginia, US Gov Iowa y más: Estas regiones son instancias físicas y
lógicas con aislamiento de red de Azure para asociados y agencias de la administración pública
de EE. UU. Estos centros de datos están operados por personal estadounidense sometido a
evaluación e incluyen certificaciones de cumplimiento adicionales.
 Este de China, Norte de China y más: Estas regiones están disponibles gracias a una asociación
exclusiva entre Microsoft y 21Vianet, por la cual Microsoft no mantiene directamente los
centros de datos.

Infraestructura de administración de Azure

La infraestructura de administración incluye recursos de Azure y grupos de recursos, suscripciones y
cuentas. Comprender la organización jerárquica le ayudará a planear los proyectos y productos dentro
de Azure.

Recursos y grupos de recursos de Azure

Un recurso es el bloque de creación básico de Azure. Todo lo que cree, aprovisione, implemente, etc., es
un recurso. Máquinas virtuales (VM), redes virtuales, bases de datos, servicios cognitivos, etc., se
consideran recursos dentro de Azure.

Diagrama en el que se muestra un cuadro de grupo de recursos con una función, una máquina virtual, una base de
datos y una aplicación.

19
Los grupos de recursos son simplemente agrupaciones de recursos. Al crear un recurso, es necesario
colocarlo en un grupo de recursos. Aunque un grupo de recursos puede contener muchos recursos, un
único recurso solo puede estar en un grupo de recursos a la vez. Es posible que algunos recursos se
muevan entre grupos de recursos, pero al mover un recurso a un nuevo grupo, ya no estará asociado al
grupo anterior. Además, los grupos de recursos no se pueden anidar, lo que significa que no se puede
colocar el grupo de recursos B dentro del grupo de recursos A.

Los grupos de recursos proporcionan una manera cómoda de agrupar recursos. Al aplicar una acción a
un grupo de recursos, se aplicará a todos los recursos que contiene. Si elimina un grupo de recursos, se
eliminarán todos los recursos que contiene. Si concede o deniega el acceso a un grupo de recursos,
habrá concedido o denegado acceso a todos los recursos que contiene.

Al aprovisionar recursos, es conveniente pensar en la estructura del grupo de recursos que mejor se
adapte a las necesidades.

Por ejemplo, si vas a configurar un entorno de desarrollo temporal, agrupar todos los recursos significa
que puede desaprovisionar todos los recursos asociados a la vez si elimina el grupo de recursos. Si vas a
aprovisionar recursos de proceso que necesitarán tres esquemas de acceso diferentes, puede ser mejor
agruparlos en función del esquema de acceso y, después, asignar acceso en el nivel de grupo de
recursos.

No hay reglas rígidas sobre cómo se usan los grupos de recursos, por lo que debe tener en cuenta cómo
configurarlos para maximizar su utilidad.

Suscripciones de Azure
En Azure, las suscripciones son una unidad de administración, facturación y escala. Al igual que los
grupos de recursos son una manera de organizar lógicamente los recursos, las suscripciones permiten
organizar lógicamente los grupos de recursos y facilitar la facturación.

Diagrama que muestra las suscripciones de Azure usan la autenticación y la autorización para acceder a las cuentas de Azure.

* El uso de Azure requiere una suscripción de Azure. Una suscripción le proporciona acceso autenticado
y autorizado a los servicios y productos de Azure. Además, también le permite aprovisionar los recursos.
Una suscripción de Azure se vincula a una cuenta de Azure, que es una identidad en Azure Active
Directory (Azure AD) o en un directorio en el que Azure AD confía.

Una cuenta puede tener varias suscripciones, pero solo es obligatorio tener una. En una cuenta de varias
suscripciones, puede usarlas para configurar diferentes modelos de facturación y aplicar diferentes
directivas de administración de acceso. Puede usar las suscripciones de Azure para definir límites en
torno a los productos, servicios y recursos de Azure. Hay dos tipos de límites de suscripción que puedes
utilizar:

20
  Límite de facturación: Este tipo de suscripción determina cómo se factura una cuenta de Azure
por el uso de Azure. Puede crear varias suscripciones para diferentes tipos de requisitos de
facturación. Azure genera facturas e informes de facturación independientes para cada
suscripción, de modo que pueda organizar y administrar los costos.
 Límite de control de acceso: Azure aplica las directivas de administración de acceso en el nivel
de suscripción, por lo que puede crear suscripciones independientes para reflejar distintas
estructuras organizativas. Por ejemplo, dentro de una empresa hay diferentes departamentos a
los que se pueden aplicar directivas de suscripción de Azure distintas. Este modelo de
facturación le permite administrar y controlar el acceso a los recursos que los usuarios
aprovisionan con suscripciones específicas.

Creación de una suscripción de Azure adicional

De forma similar al uso de grupos de recursos para separar los recursos por función o acceso, es posible
que quiera crear suscripciones adicionales con fines de administración de recursos o facturación. Por
ejemplo, puedes optar por crear suscripciones adicionales para separar lo siguiente:

 Entornos: puedes optar por crear suscripciones con el fin de configurar entornos
independientes para el desarrollo y las pruebas, para seguridad o para aislar los datos por
motivos de cumplimiento. Este diseño es especialmente útil porque el control de acceso a los
recursos se produce en el nivel de suscripción.
 Estructuras organizativas: puedes crear suscripciones para reflejar las distintas estructuras
organizativas. Por ejemplo, podría limitar un equipo a recursos de bajo costo, al tiempo que
permite que el departamento de TI tenga un alcance completo. Este diseño permite
administrar y controlar el acceso a los recursos que los usuarios aprovisionan en cada
suscripción.
 Facturación: puedes crear suscripciones adicionales con fines de facturación. Dado que los
costos se agregan primero en el nivel de suscripción, es posible que quieras crear suscripciones
para administrar y realizar un seguimiento de los costos en función de sus necesidades. Por
ejemplo, puede que quieras crear una suscripción para las cargas de trabajo de producción, y
otra suscripción para las cargas de trabajo de desarrollo y pruebas.

Grupos de administración de Azure

La última pieza es el grupo de administración. Los recursos se recopilan en grupos de recursos y los
grupos de recursos se recopilan en suscripciones. Si acaba de empezar en Azure, podría parecer una
jerarquía suficiente para mantener las cosas organizadas. Pero imagine que trabaja con varias
aplicaciones, varios equipos de desarrollo, en varias zonas geográficas.

Si tienes muchas suscripciones, es posible que necesite una forma de administrar con eficacia el acceso,
las directivas y el cumplimiento para esas suscripciones. Los grupos de administración de Azure
proporcionan un nivel de ámbito por encima de las suscripciones. Las suscripciones se organizan en
contenedores llamados grupos de administración, a los que se aplican condiciones de gobernanza.
Todas las suscripciones de un grupo de administración heredan automáticamente las condiciones que
tenga aplicadas, de la misma manera que los grupos de recursos heredan la configuración de las
suscripciones y los recursos heredan de los grupos de recursos. Los grupos de administración
proporcionan capacidad de administración de nivel empresarial a gran escala con independencia del
tipo de suscripciones que tenga. Los grupos de administración se pueden anidar.

Jerarquía de grupo de administración, suscripciones y grupo de recursos

Puede compilar una estructura flexible de grupos de administración y suscripciones para organizar los
recursos en una jerarquía para una administración unificada de las directivas y el acceso. El diagrama

21
siguiente muestra un ejemplo de creación de una jerarquía para la gobernanza mediante grupos de
administración.

Diagrama que muestra un ejemplo de un árbol de jerarquía de grupos de administración.

Algunos ejemplos de cómo podría usar los grupos de administración podrían ser los siguientes:

 Crear una jerarquía que aplique una directiva. Podría limitar las ubicaciones de las máquinas
virtuales a la región Oeste de EE. UU. en un grupo denominado Producción. Esta directiva se
heredará en todas las suscripciones descendientes de ese grupo de administración y se aplicará
a todas las máquinas virtuales de esas suscripciones. El propietario de los recursos o las
suscripciones no puede modificar esta directiva de seguridad, lo que permite una gobernanza
mejorada.
 Proporcionar acceso de usuario a varias suscripciones. Al mover varias suscripciones bajo un
grupo de administración, puede crear una asignación del control de acceso basado en roles
(RBAC) en el grupo de administración. La asignación de RBAC de Azure en el nivel de grupo de
administración significa que todos los grupos de administración secundaria, las suscripciones,
los grupos de recursos y los recursos bajo ese grupo de administración también heredarían esos
permisos. Una asignación en el grupo de administración puede permitir a los usuarios tener
acceso a todo lo que necesitan, en lugar de crear scripts de Azure RBAC sobre las distintas
suscripciones.

Datos importantes sobre los grupos de administración:

 Se admiten 10 000 grupos de administración en un único directorio.

 Un árbol de grupo de administración puede admitir hasta seis niveles de profundidad. Este
límite no incluye el nivel raíz ni el nivel de suscripción.
 Cada grupo de administración y suscripción solo puede admitir un elemento primario.

22
SERVICIOS DE PROCESO Y REDES DE AZURE
AZURE VIRTUAL MACHINES
Con Azure Virtual Machines (VM), puedes crear y usar máquinas virtuales en la nube. Estas máquinas
virtuales proporcionan una infraestructura como servicio (IaaS) en forma de un servidor virtualizado y se
pueden usar de muchas formas. Como sucede en un equipo físico, puedes personalizar todo el software
que se ejecuta en la máquina virtual. Las máquinas virtuales son una opción ideal cuando necesitas lo
siguiente:

 Control total sobre el sistema operativo (SO).

 Capacidad de ejecutar software personalizado.
 Usar configuraciones de hospedaje personalizadas.
Una máquina virtual de Azure te ofrece la flexibilidad de la virtualización sin necesidad de adquirir y
mantener el hardware físico que ejecuta la máquina virtual. Pero, como oferta de IaaS, tendrá que
configurar, actualizar y mantener el software que se ejecuta en la máquina virtual.

Incluso puedes crear o usar una imagen ya creada para aprovisionar rápidamente máquinas virtuales. Al
seleccionar una imagen de máquina virtual preconfigurada, podrás crear y aprovisionar una máquina
virtual en cuestión de minutos. Una imagen es una plantilla que se usa para crear una máquina virtual y
puede que ya incluya un sistema operativo y otro software, como herramientas de desarrollo o entornos
de hospedaje web.

Escalado de máquinas virtuales en Azure

Se pueden ejecutar máquinas virtuales únicas para pruebas, desarrollo o tareas secundarias. También se
pueden agrupar las máquinas virtuales para proporcionar alta disponibilidad, escalabilidad y
redundancia. Azure también puede administrar la agrupación de máquinas virtuales con características
como conjuntos de escalado y conjuntos de disponibilidad.

Conjuntos de escalado de máquinas virtuales

Los conjuntos de escalado de máquinas virtuales permiten crear y administrar un grupo de máquinas
virtuales idénticas, de carga equilibrada. Si simplemente ha creado varias máquinas virtuales con el
mismo propósito, tendría que asegurarse de que todas se han configurado de forma idéntica y, después,
configurar parámetros de enrutamiento de red para garantizar la eficacia. También tendría que
supervisar el uso para determinar si necesita aumentar o disminuir el número de máquinas virtuales.

En su lugar, con los conjuntos de escalado de máquinas virtuales, Azure automatiza la mayor parte de
ese trabajo. Los conjuntos de escalado le permiten administrar, configurar y actualizar de forma
centralizada un gran número de máquinas virtuales en cuestión de minutos. El número de instancias de
máquina virtual puede aumentar o disminuir automáticamente según la demanda, o bien puede
establecerlo para que se escale en función de una programación definida. Los conjuntos de escalado de
máquinas virtuales también implementan automáticamente un equilibrador de carga para asegurarse
de que los recursos se usan de forma eficaz. Con los conjuntos de escalado de máquinas virtuales, puede
crear servicios a gran escala para áreas como proceso, macrodatos y cargas de trabajo de contenedor.

Conjuntos de disponibilidad de máquinas virtuales

Los conjuntos de disponibilidad de máquinas virtuales son otra herramienta que le ayudará a crear un
entorno más resistente y de alta disponibilidad. Los conjuntos de disponibilidad están diseñados para
garantizar que las máquinas virtuales escalen las actualizaciones y tengan una conectividad de red y
potencia variadas, lo que evita que se pierdan todas las máquinas virtuales debido a un solo fallo de
energía o de la red.

23
Los conjuntos de disponibilidad lo hacen mediante la agrupación de las máquinas virtuales de dos
maneras: dominio de actualización y dominio de error.

 Dominio de actualización: agrupa las máquinas virtuales que se pueden reiniciar al mismo
tiempo. Esto le permite aplicar actualizaciones mientras sabe que solo una agrupación de
dominios de actualización estará sin conexión a la vez. Se actualizarán todas las máquinas de un
dominio de actualización. A un grupo de actualizaciones que realiza el proceso de actualización
se le asigna un tiempo de 30 minutos de recuperación antes de que se inicie el mantenimiento
en el siguiente dominio de actualización.
 Dominio de error: agrupa las máquinas virtuales por fuente de alimentación común y
conmutador de red. De forma predeterminada, un conjunto de disponibilidad dividirá las
máquinas virtuales en un máximo de tres dominios de error. Esto ayuda a protegerse frente a
un error de alimentación física o de la red al tener las máquinas virtuales en dominios de error
diferentes (por tanto, conectadas a diferentes recursos de alimentación y red).

Lo mejor de todo es que la configuración de un conjunto de disponibilidad no supone ningún costo

adicional. Solo paga por las instancias de máquina virtual que cree.

Ejemplos de cuándo usar máquinas virtuales

Algunos ejemplos comunes o casos de uso para máquinas virtuales son los siguientes:

 Durante las pruebas y el desarrollo: Las máquinas virtuales proporcionan una manera rápida y
sencilla de crear distintas configuraciones de sistema operativo y de aplicación. El personal
encargado de las pruebas y del desarrollo puede eliminar fácilmente las máquinas virtuales
cuando ya no las necesite.
 Al ejecutar aplicaciones en la nube: La capacidad de ejecutar determinadas aplicaciones en la
nube pública, en lugar de crear una infraestructura tradicional para ejecutarlas, puede
proporcionar importantes beneficios económicos. Por ejemplo, es posible que una aplicación
necesite controlar las fluctuaciones en la demanda. Apagar las máquinas virtuales cuando no
las necesite o iniciarlas rápidamente para satisfacer un aumento repentino de la demanda
significa que solo paga por los recursos que se usan.
 Al ampliar el centro de datos a la nube: una organización puede extender las capacidades de
su propia red local mediante la creación de una red virtual en Azure y la adición de máquinas
virtuales a esa red virtual. Las aplicaciones como SharePoint se pueden ejecutar en una
máquina virtual de Azure en lugar de hacerlo de forma local. Esta disposición hace que sea más
sencilla o menos costosa de implementar que en un entorno local.
 Durante la recuperación ante desastres: como sucede con la ejecución de ciertos tipos de
aplicaciones en la nube y la ampliación de una red local a la nube, puede obtener un ahorro
considerable en costos si se usa un enfoque basado en IaaS para la recuperación ante
desastres. Si se produce un error en un centro de datos principal, puede crear máquinas
virtuales que se ejecuten en Azure para ejecutar las aplicaciones críticas y, después, puede
apagarlas cuando el centro de datos principal vuelva a estar operativo.

Traslado a la nube con máquinas virtuales

Las máquinas virtuales también son una opción excelente cuando se mueve de un servidor físico a la
nube (también conocido como Lift-and-shift). Puedes crear una imagen del servidor físico y hospedarla
en una máquina virtual con pocos o ningún cambio. Al igual que un servidor local físico, debes mantener
la máquina virtual: es responsable de mantener el sistema operativo y el software instalados.

24
Recursos de máquina virtual
Al aprovisionar una máquina virtual, también tendrás la oportunidad de elegir los recursos asociados a
esa máquina virtual, como los siguientes:

 Tamaño (propósito, número de núcleos de procesador y cantidad de RAM)

 Discos de almacenamiento (unidades de disco duro, unidades de estado sólido, etc.)
 Redes (red virtual, dirección IP pública y configuración de puertos)

AZURE VIRTUAL DESKTOP

Otro tipo de máquina virtual es Azure Virtual Desktop. Azure Virtual Desktop es un servicio de
virtualización de escritorios y aplicaciones que se ejecuta en la nube. Te permite usar una versión
hospedada en la nube de Windows desde cualquier ubicación. Azure Virtual Desktop funciona en
dispositivos y sistemas operativos, y funciona con aplicaciones que puede usar para acceder a escritorios
remotos o a la mayoría de exploradores modernos.

Aumento de la seguridad
Azure Virtual Desktop proporciona administración centralizada de la seguridad de los escritorios de los
usuarios con Azure Active Directory (Azure AD). Puedes habilitar la autenticación multifactor para
proteger los inicios de sesión de los usuarios. También puedes proteger el acceso a los datos mediante
la asignación a los usuarios de controles de acceso basados en roles (RBAC) detallados.

Con Azure Virtual Desktop, los datos y las aplicaciones se separan del hardware local y el escritorio y las
aplicaciones reales se ejecutan en la nube, lo que significa que se reduce el riesgo de dejar datos
confidenciales en un dispositivo personal. Además, las sesiones de usuario están aisladas en entornos de
una o varias sesiones.

Implementación de sesión múltiple de Windows 10 o Windows 11

Azure Virtual Desktop permite usar la sesión múltiple de Windows 10 o Windows 11 Enterprise, el único
sistema operativo basado en cliente de Windows que permite varios usuarios simultáneos en una sola
máquina virtual. Azure Virtual Desktop también proporciona una experiencia más coherente gracias a la
compatibilidad más amplia con las aplicaciones en comparación con los sistemas operativos basados en
Windows Server.

CONTENEDORES DE AZURE
A pesar de que las máquinas virtuales son una excelente manera de reducir los costos frente a las
inversiones que son necesarias para el hardware físico, están limitadas a un solo sistema operativo por
máquina virtual. Los contenedores son una excelente opción si quiere ejecutar varias instancias de una
aplicación en un solo equipo host.

¿Qué son los contenedores?

Los contenedores son un entorno de virtualización. Al igual que la ejecución de varias máquinas
virtuales en un solo host físico, se pueden ejecutar varios contenedores en un solo host físico o virtual. A
diferencia de las máquinas virtuales, no se administra el sistema operativo de un contenedor. Las
máquinas virtuales son similares a una instancia de sistema operativo que se puede conectar y
administrar. Los contenedores son ligeros y se han diseñado para crearse, escalarse horizontalmente y
detenerse de forma dinámica. Es posible crear e implementar máquinas virtuales a medida que
aumenta la demanda de aplicaciones, pero los contenedores son un método más ligero y ágil. Los
contenedores están diseñados para permitirle responder a petición a los cambios. Con los contenedores
puede reiniciar rápidamente en caso de bloqueo o interrupción del hardware. Uno de los motores de
contenedor más populares es Docker, que es compatible con Azure.

25
Comparación de máquinas virtuales con contenedores
Implementar aplicaciones de servidor siempre ha sido complicado. Esa dificultad llevó a que los
administradores de sistemas empezaran a interesarse por las técnicas de virtualización, como las
máquinas virtuales y los contenedores.

Las máquinas virtuales (VM) proporciona una capa de abstracción para CPU, memoria y
almacenamiento que se puede modificar sin tener que invertir en hardware nuevo, al tiempo que sigue
permitiendo que el entorno sea flexible y seguro. Con las máquinas virtuales, el control es todo suyo. Es
usted quien decide el sistema operativo, instala herramientas y paquetes. La aplicación se ejecuta de
manera aislada o con las otras aplicaciones que instala en la máquina virtual. Pero hay algunos
inconvenientes.

Las máquinas virtuales solo pueden ejecutar un sistema operativo a la vez. Por tanto, si tiene varias
aplicaciones de servidor que requieren entornos de tiempo de ejecución distintos, es posible que
también requieran varias máquinas virtuales para ejecutarse correctamente. Y dado que la máquina
virtual emula un equipo completo, las tareas como iniciar uno o tomar una instantánea son muy lentas
y, por lo general, tardan varios minutos. Pero hay una solución más liviana que soluciona algunos de
estos problemas. Los contenedores.

Un contenedor agrupa una sola aplicación y sus dependencias, y después la implementa como una
unidad en un host de contenedor. El host de contenedor proporciona un entorno de ejecución
estandarizado, que omite los requisitos de infraestructura y de sistema operativo, lo que permite que la
aplicación en contenedor se ejecute en paralelo con otras aplicaciones en contenedor.

Una forma sencilla de diferenciar entre máquinas virtuales y contenedores es que las primeras
virtualizan el hardware, mientras que los segundos virtualizan el sistema operativo.

La virtualización a nivel de sistema operativo de los contenedores es un motivo por el cual el enfoque de
contenedor es más eficaz que una máquina virtual completa. Permite ejecutar varios contenedores
livianos en un solo host sin sacrificar el aislamiento que la máquina virtual ofrece originalmente. Azure
es compatible con distintas variaciones de contenedor, de las cuales, la más popular es Docker.

A diferencia de las máquinas virtuales, puede poner en marcha rápidamente los contenedores. Solo
debe esperar que se inicie la aplicación en lugar del sistema operativo y la aplicación. Además, las
aplicaciones en contenedor tienden a ser de un tamaño mucho menor. También el proceso de
desarrollo se simplifica, porque el entorno de ejecución para el desarrollo puede ser exactamente igual
que el entorno de producción.

Otra ventaja de los contenedores es que se pueden organizar con la orquestación del clúster de
contenedor. Puede implementar y administrar fácilmente varias aplicaciones en contenedor sin
preocuparse de qué servidor hospedará cada contenedor.

La decisión de si desea usar una máquina virtual o un contenedor depende de la flexibilidad que
necesita. Si desea controlar completamente el entorno, puede elegir una máquina virtual. En caso
contrario, quizás le sean más útiles la portabilidad, las características de rendimiento y las
funcionalidades de administración de los contenedores.

Azure Container Instances

Azure Container Instances ofrece la forma más rápida y sencilla de ejecutar un contenedor en Azure sin
tener que administrar máquinas virtuales o adoptar servicios adicionales. Azure Container Instances es
una oferta de plataforma como servicio (PaaS). Azure Container Instances le permite cargar los
contenedores. A continuación, el servicio ejecutará los contenedores por usted.

26
Uso de contenedores en las soluciones
Los contenedores se usan normalmente para crear soluciones mediante una arquitectura de
microservicios. Esta arquitectura es donde se dividen las soluciones en partes más pequeñas e
independientes. Por ejemplo, se puede dividir un sitio web en un contenedor que hospeda el front-end,
otro que hospeda el back-end y un tercero para el almacenamiento. De esta forma, puede separar
partes de la aplicación en secciones lógicas que se pueden mantener, escalar o actualizar
independientemente.

Imagine que el back-end de su sitio web ha alcanzado el límite de su capacidad, pero el front-end y el
almacenamiento no están sobrecargados. Con los contenedores puede escalar el back-end por separado
para mejorar el rendimiento. Si algo requiere este cambio, también puede optar por cambiar el servicio
de almacenamiento o modificar el front-end sin afectar a ninguno de los otros componentes.

AZURE FUNCTIONS
Azure Functions es una opción de proceso sin servidor controlada por eventos que no necesita el
mantenimiento de máquinas virtuales ni contenedores. Si compila una aplicación mediante máquinas
virtuales o contenedores, esos recursos deben "ejecutarse" para que la aplicación funcione. Con Azure
Functions, un evento activa la función, lo que reduce la necesidad de mantener los recursos
aprovisionados cuando no hay ningún evento.

Informática sin servidor en Azure

Como desarrollador de software, espera dedicar el tiempo a lo importante: compilar la aplicación. No
quiere pasarse el día ejecutando tareas lentas y tediosas como instalar un sistema operativo o descargar
actualizaciones del sistema. El objetivo de la informática sin servidor es ayudarle en esto al encargarse
de esas agotadoras tareas de administración del servidor, para que pueda centrarse en entregar la
aplicación a sus clientes.

"Informática sin servidor" puede resultar un nombre un poco engañoso, porque en realidad sí se usan
servidores. Pero realmente significa que no es usted quien se hace cargo de la responsabilidad de
administrar los servidores. En otras palabras, es una abstracción de los servidores para que pueda
despreocuparse de la infraestructura y centrarse en las tareas de desarrollador. Usar un enfoque sin
servidor tiene tres grandes ventajas:

1. No hay administración de infraestructura: Como empresa, no tiene que centrarse en tareas

administrativas como instalar un sistema operativo. En lugar de eso, simplemente implementa
el código y este se ejecuta de manera automática con alta disponibilidad.
2. La escalabilidad: A medida que crece la popularidad de la aplicación, esta seguirá funcionando
en cualquier carga de trabajo. Los equipos sin servidor pueden escalar de nada a decenas de
miles de solicitudes sin ninguna configuración.
3. Solo paga lo que usa: La informática sin servidor es controlada por eventos y los recursos solo
se asignan desde una acción directa. Solo se le cobra el tiempo que tarda en ejecutar el código
en lugar de pagar los recursos si no se usan. El tiempo es oro en el mundo empresarial, por lo
que quiere centrar su propio tiempo en cosas importantes.

Con Azure podrá admitir la informática sin servidor a través de productos como Azure Functions, su
trabajo principal será solo cargar el código y obtendrá automáticamente las ventajas de la escalabilidad
y la administración de la infraestructura más un modelo de pago que solo le cobrará por lo que use.

Ventajas de Azure Functions

El uso de Azure Functions es idóneo si solo le interesa el código que ejecuta el servicio y no la
infraestructura o la plataforma subyacente. Las funciones se usan normalmente cuando se debe realizar
un trabajo en respuesta a un evento (a menudo a través de una solicitud REST), un temporizador o un

27
mensaje de otro servicio de Azure, y cuando ese trabajo puede completarse rápidamente, en segundos
o en menos tiempo.

Functions se escala automáticamente según la demanda, por lo que es una opción correcta cuando la
demanda es variable.

Azure Functions ejecuta el código cuando se desencadena y desasigna recursos automáticamente

cuando la función finaliza. En este modelo, solo se le cobrará por el tiempo de CPU usado mientras se
ejecuta la función.

Las funciones pueden ser sin estado o con estado. Cuando son sin estado (valor predeterminado), se
comportan como si se reiniciaran cada vez que responden a un evento. Cuando son con estado
(denominado Durable Functions), se pasa un contexto a través de la función para realizar el seguimiento
antes de la actividad.

Las funciones son un componente clave de la informática sin servidor. También son una plataforma de
proceso general para ejecutar cualquier tipo de código. Si cambian las necesidades de la aplicación del
desarrollador, se puede implementar el proyecto en un entorno que no sea sin servidor. Esta flexibilidad
permite administrar el escalado, ejecutar en redes virtuales e incluso aislar por completo las funciones.

LAS OPCIONES DE HOSPEDAJE DE APLICACIONES

Si necesita hospedar la aplicación en Azure, es posible que cambie inicialmente a una máquina virtual
(VM) o a contenedores. Tanto las máquinas virtuales como los contenedores proporcionan excelentes
soluciones de hospedaje. Las máquinas virtuales proporcionan el máximo control del entorno de
hospedaje y le permiten configurarlo exactamente como desea. Las máquinas virtuales también pueden
ser el método de hospedaje más conocido si no está familiarizado con la nube. Los contenedores, con la
capacidad de aislar y administrar individualmente diferentes aspectos de la solución de hospedaje,
también pueden ser una opción sólida y atractiva.

Hay otras opciones de hospedaje que puede usar con Azure, incluido Azure App Service.

Azure App Service

App Service permite crear y hospedar aplicaciones web, trabajos en segundo plano, back-ends móviles y
API RESTful en el lenguaje de programación que prefiera, sin tener que administrar la infraestructura.
Ofrece escalado automático y alta disponibilidad. App Service admite Windows y Linux. Permite
implementaciones automatizadas desde GitHub, Azure DevOps o cualquier repositorio Git para admitir
un modelo de implementación continua.

Azure App Service es una opción de hospedaje sólida que puede usar para hospedar las aplicaciones en
Azure. Azure App Service le permite centrarse en la creación y el mantenimiento de la aplicación, y
Azure se centra en mantener el entorno en funcionamiento.

Azure App Service es un servicio basado en HTTP para hospedar aplicaciones web, API de REST y back-
ends para dispositivos móviles. Admite varios lenguajes, incluidos .NET, .NET Core, Java, Ruby, Node.js,
PHP o Python. También admite entornos de Windows y Linux.

Tipos de servicios de aplicaciones

Con App Service, puede hospedar la mayoría de los estilos de servicio de aplicación más comunes, como
los siguientes:

 Aplicaciones web.
 Aplicaciones de API.
 Trabajos web.
 Aplicaciones móviles.

28
App Service controla la mayoría de las decisiones sobre la infraestructura que se tratan en el hospedaje
de aplicaciones accesibles desde la web:

 La implementación y administración se integran en la plataforma.

 Los puntos de conexión se pueden proteger.
 Los sitios se pueden escalar rápidamente para controlar cargas de tráfico elevado.
 El equilibrio de carga integrado y el administrador de tráfico proporcionan alta disponibilidad.
Todos estos estilos de aplicación se hospedan en la misma infraestructura y comparten estas ventajas.
Esto convierte a App Service en la elección ideal para hospedar aplicaciones orientadas a la web.

Aplicaciones web
App Service incluye compatibilidad completa para hospedar aplicaciones web mediante ASP.NET,
ASP.NET Core, Java, Ruby, Node.js, PHP o Python. Puede elegir Windows o Linux como sistema operativo
del host.

Aplicaciones de API
Al igual que al hospedar un sitio web, puede compilar API web basadas en REST mediante el lenguaje y
el marco que prefiera. Se obtiene compatibilidad completa con Swagger y la posibilidad de empaquetar
y publicar la API en Azure Marketplace. Las aplicaciones producidas se pueden consumir desde cualquier
cliente basado en HTTP o HTTPS.

Trabajos web
Se puede usar la característica WebJobs para ejecutar un programa (.exe, Java, PHP, Python o Node.js) o
un script (.cmd, .bat, PowerShell o Bash) en el mismo contexto que una aplicación web, aplicación de
API o aplicación móvil. Los puede programar o ejecutar un desencadenador. Los trabajos web suelen
usarse para ejecutar tareas en segundo plano como parte de la lógica de aplicación.

Aplicaciones móviles
Use la característica Mobile Apps de App Service a fin de compilar rápidamente un back-end para
aplicaciones iOS y Android. Con unos pocos clics en el Portal de Azure, puede realizar lo siguiente:

 Almacenar los datos de aplicaciones móviles en una base de datos SQL basada en la nube.
 Autenticar a clientes con proveedores sociales comunes, como MSA, Google, Twitter y
Facebook.
 Enviar notificaciones de inserción.
 Ejecutar lógica de back-end personalizada en C# o Node.js.
En el lado de la aplicación móvil, hay compatibilidad con el SDK para aplicaciones nativas de iOS y
Android, Xamarin y React.

LAS REDES VIRTUALES DE AZURE

Las redes virtuales y las subredes virtuales de Azure permiten a los recursos de Azure, como las
máquinas virtuales, las aplicaciones web y las bases de datos, comunicarse entre sí, con los usuarios de
Internet y con los equipos cliente en el entorno local. Una red de Azure se puede considerar una
extensión de la red local con recursos que vinculan otros recursos de Azure.

Las redes virtuales de Azure proporcionan las importantes funcionalidades de red siguientes:

 Aislamiento y segmentación.  Enrutamiento del tráfico de red.

 Comunicación con Internet.  Filtrado del tráfico de red.
 Comunicación entre recursos de Azure.  Conexión de redes virtuales.
 Comunicación con los recursos locales.

29
Las redes virtuales de Azure admiten puntos de conexión públicos y privados para permitir la
comunicación entre recursos externos o internos con otros recursos internos.

 Los puntos de conexión públicos tienen una dirección IP pública y son accesibles desde
cualquier parte del mundo.
 Los puntos de conexión privados existen dentro de una red virtual y tienen una dirección IP
privada en el espacio de direcciones de esa red virtual.

Aislamiento y segmentación
La red virtual de Azure permite crear varias redes virtuales aisladas. Al configurar una red virtual, se
define un espacio de direcciones IP privadas con intervalos de direcciones IP públicas o privadas. El
intervalo IP solo existe dentro de la red virtual y no es enrutable en Internet. Después, puede dividir ese
espacio de direcciones IP en subredes y asignar parte del espacio de direcciones definido a cada subred
con nombre.

Para la resolución de nombres, puede usar el servicio de resolución de nombres integrado en Azure.
También puede configurar la red virtual para que use un servidor DNS interno o externo.

Comunicación con Internet

Puede permitir conexiones entrantes desde Internet mediante la asignación de una dirección IP pública
a un recurso de Azure o la colocación del recurso detrás de un equilibrador de carga público.

Comunicación entre los recursos de Azure

Le interesará habilitar los recursos de Azure para que se comuniquen entre sí de forma segura. Puede
hacerlo de dos maneras:

 Las redes virtuales no solo pueden conectar máquinas virtuales, sino también otros recursos de
Azure, como App Service Environment para Power Apps, Azure Kubernetes Service y conjuntos
de escalado de máquinas virtuales de Azure.
 Los puntos de conexión de servicio se pueden conectar a otros tipos de recursos de Azure,
como cuentas de almacenamiento y bases de datos de Azure SQL. Este enfoque permite
vincular varios recursos de Azure con las redes virtuales para mejorar la seguridad y
proporcionar un enrutamiento óptimo entre los recursos.

Comunicación con recursos locales

Las redes virtuales de Azure permiten vincular entre sí los recursos del entorno local y dentro de la
suscripción de Azure. De hecho, puede crear una red que abarque tanto el entorno local como el
entorno en la nube. Existen tres mecanismos para lograr esta conectividad:

 Las conexiones de red privada virtual de punto a sitio se establecen desde un equipo ajeno a la
organización a la red corporativa. En este caso, el equipo cliente inicia una conexión VPN
cifrada para conectarse a la red virtual de Azure.
 Las redes virtuales privadas de sitio a sitio vinculan el dispositivo o puerta de enlace de VPN
local con la puerta de enlace de VPN de Azure en una red virtual. De hecho, puede parecer que
los dispositivos de Azure están en la red local. La conexión se cifra y funciona a través de
Internet.
 Azure ExpressRoute proporciona una conectividad privada dedicada a Azure que no se desplaza
por Internet. ExpressRoute es útil para los entornos donde se necesita más ancho de banda e
incluso mayores niveles de seguridad.

30
Enrutamiento del tráfico de red
De forma predeterminada, Azure enruta el tráfico entre las subredes de todas las redes virtuales
conectadas, las redes locales e Internet. También puede controlar el enrutamiento e invalidar esa
configuración del siguiente modo:

 Las tablas de rutas permiten definir reglas sobre cómo se debe dirigir el tráfico. Puede crear
tablas de rutas personalizadas que controlen cómo se enrutan los paquetes entre las subredes.
 El Protocolo de puerta de enlace de borde (BGP) funciona con puertas de enlace de VPN de
Azure, Azure Route Server o Azure ExpressRoute para propagar las rutas BGP locales a las redes
virtuales de Azure.

Filtrado del tráfico de red

Las redes virtuales de Azure permiten filtrar el tráfico entre las subredes mediante los métodos
siguientes:

 Los grupos de seguridad de red son recursos de Azure que pueden contener varias reglas de
seguridad de entrada y salida. Estas reglas se pueden definir para permitir o bloquear el tráfico
en función de factores como el protocolo, el puerto y las direcciones IP de destino y origen.
 Las aplicaciones virtuales de red son máquinas virtuales especializadas que se pueden
comparar con un dispositivo de red protegido. Una aplicación virtual de red ejerce una función
de red determinada, como ejecutar un firewall o realizar la optimización de la red de área
extensa (WAN).

Conexión de redes virtuales

Puede vincular redes virtuales entre sí mediante el emparejamiento de red virtual. El emparejamiento
permite que dos redes virtuales se conecten directamente entre sí. El tráfico de red entre redes
emparejadas es privado y se desplaza por la red troncal de Microsoft, y nunca entra en la red pública de
Internet. El emparejamiento permite que los recursos de cada red virtual se comuniquen entre sí. Estas
redes virtuales pueden estar en regiones distintas, lo que permite crear una red global interconectada
con Azure.

Las rutas definidas por el usuario (UDR) permiten controlar las tablas de enrutamiento entre subredes
dentro de una red virtual o entre redes virtuales. Esto permite un mayor control sobre el flujo de tráfico
de red.

LAS REDES PRIVADAS VIRTUALES DE AZURE

Una red privada virtual (VPN) usa un túnel cifrado en otra red. Normalmente, las VPN se implementan
para conectar entre sí dos o más redes privadas de confianza a través de una red que no es de confianza
(normalmente, la red pública de Internet). El tráfico se cifra mientras viaja por la red que no es de
confianza para evitar ataques de interceptación o de otro tipo. Las VPN pueden permitir que las redes
compartan información confidencial de forma segura.

Puertas de enlace de VPN

Una puerta de enlace de VPN es un tipo de puerta de enlace de red virtual. Las instancias de Azure VPN
Gateway se implementan en una subred dedicada de la red virtual y permiten la conectividad siguiente:

 Conectar los centros de datos locales a redes virtuales a través de una conexión de sitio a sitio.
 Conectar los dispositivos individuales a redes virtuales a través de una conexión de punto a
sitio.
 Conectar las redes virtuales a otras redes virtuales a través de una conexión entre redes.
Todas las transferencias de datos se cifran en un túnel privado mientras atraviesan Internet. Solo se
puede implementar una única instancia de puerta de enlace de VPN en cada red virtual. Sin embargo, se

31
puede usar una puerta de enlace para conectarse a varias ubicaciones, que incluye otras redes virtuales
o centros de datos locales.

Al implementar una instancia de VPN Gateway, especifique el tipo de red privada virtual, es decir,
basada en directivas o basada en rutas. La principal diferencia entre estos dos tipos de VPN es cómo se
especifica el tráfico que se va a cifrar. En Azure, ambos tipos de puertas de enlace de VPN usan una
clave previamente compartida como único método de autenticación.

 Las instancias de VPN Gateway basadas en directivas especifican de forma estática la dirección
IP de los paquetes que se deben cifrar a través de cada túnel. Este tipo de dispositivo evalúa
cada paquete de datos en función de los conjuntos de direcciones IP para elegir el túnel a
través del cual se va a enviar el paquete.
 En las puertas de enlace basadas en rutas, los túneles IPSec se modelan como una interfaz de
red o una interfaz de túnel virtual. El enrutamiento IP (ya sean rutas estáticas o protocolos de
enrutamiento dinámico) decide cuál de estas interfaces de túnel se va a usar al enviar cada
paquete. Las redes privadas virtuales basadas en rutas son el método preferido para conectar
dispositivos locales. Son más resistentes a los cambios de la topología, como la creación de
subredes.

Si necesita alguno de los siguientes tipos de conectividad, use una instancia de VPN Gateway basada en
rutas:

 Conexiones entre redes virtuales.

 Conexiones de punto a sitio.
 Conexiones de varios sitios.
 Coexistencia con una puerta de enlace de Azure ExpressRoute.

Escenarios de alta disponibilidad

Si va a configurar una VPN para mantener la información segura, también querrá asegurarse de que es
una configuración de VPN de alta disponibilidad y tolerante a errores. Hay varias maneras de maximizar
la resistencia de la puerta de enlace de VPN.

Configuración de activo-en espera

De forma predeterminada, las instancias de VPN Gateway se implementan como dos instancias en una
configuración de activo-en espera, incluso si solo ve un recurso de VPN Gateway en Azure. Cuando el
mantenimiento planeado o la interrupción imprevista afectan a la instancia activa, la instancia en espera
asume de forma automática la responsabilidad de las conexiones sin ninguna intervención del usuario.
Durante esta conmutación por error, las conexiones se interrumpen, pero por lo general se restauran en
cuestión de segundos si se trata del mantenimiento planeado y en un plazo de 90 segundos en el caso
de las interrupciones imprevistas.

Activo/activo
Al incorporar compatibilidad con el protocolo de enrutamiento de BGP, también puede implementar
puertas de enlace VPN en una configuración del tipo activo/activo. En esta configuración, se asigna una
IP pública única a cada instancia. Después, se crean túneles independientes desde el dispositivo local a
cada dirección IP. Se puede ampliar la alta disponibilidad mediante la implementación de un dispositivo
VPN local adicional.

Conmutación por error de ExpressRoute

Otra opción de alta disponibilidad consiste en configurar una instancia de VPN Gateway como una ruta
segura de conmutación por error para las conexiones ExpressRoute. Los circuitos ExpressRoute tienen
resistencia integrada. Sin embargo, no son inmunes a los problemas físicos que afectan a los cables que
entregan conectividad ni a las interrupciones que afectan a la ubicación completa de ExpressRoute. En

32
escenarios de alta disponibilidad, en los que existe un riesgo asociado a una interrupción de un circuito
ExpressRoute, también puede aprovisionar una instancia de VPN Gateway que usa Internet como un
método alternativo de conectividad. De este modo, puede garantizar que siempre haya una conexión a
las redes virtuales.

Puertas de enlace con redundancia de zona

En las regiones que admiten zonas de disponibilidad, se pueden implementar puertas de enlace VPN y
ExpressRoute en una configuración con redundancia de zona. Esta configuración aporta una mayor
disponibilidad, escalabilidad y resistencia a las puertas de enlace de red virtual. Implementar puertas de
enlace en Azure Availability Zones separa de forma física y lógica las puertas de enlace dentro de una
región, al mismo tiempo que protege la conectividad de red local en Azure de errores de nivel de zona.
Estas puertas de enlace requieren diferentes referencias de almacén (SKU) de puerta de enlace y usan
direcciones IP públicas estándar en lugar de direcciones IP públicas básicas.

AZURE EXPRESSROUTE
ExpressRoute le permite ampliar las redes locales a la nube de Microsoft mediante una conexión privada
con la ayuda de un proveedor de conectividad. Esta conexión se denomina circuito ExpressRoute. Con
ExpressRoute, puede establecer conexiones con servicios en la nube de Microsoft, como Microsoft
Azure y Microsoft 365. Esto le permite conectar oficinas, centros de datos u otras instalaciones a la nube
de Microsoft. Cada ubicación tendría su propio circuito ExpressRoute.

La conectividad puede ser desde una red de conectividad universal (IP VPN), una red Ethernet de punto
a punto o una conexión cruzada virtual a través de un proveedor de conectividad en una instalación de
ubicación compartida. Las conexiones de ExpressRoute no pasan por la red pública de Internet. Esto
permite a las conexiones de ExpressRoute ofrecer más confiabilidad, más velocidad, latencia coherente
y mayor seguridad que las conexiones normales a través de Internet.

Características y ventajas de ExpressRoute

El uso de ExpressRoute como servicio de conexión entre Azure y las redes locales tiene varias ventajas:

 Conectividad a servicios en la nube de Microsoft en todas las regiones dentro de la región

geopolítica.
 Conectividad global a los servicios de Microsoft en todas las regiones con Global Reach de
ExpressRoute.
 Enrutamiento dinámico entre la red y Microsoft a través del Protocolo de puerta de enlace de
borde (BGP).
 Redundancia integrada en todas las ubicaciones de configuración entre pares para una mayor
confiabilidad.

Conectividad con los Servicios en la nube de Microsoft

ExpressRoute permite el acceso directo a los siguientes servicios en todas las regiones:

 Microsoft Office 365.

 Microsoft Dynamics 365.
 Servicios de proceso de Azure, como Azure Virtual Machines.
 Servicios en la nube de Azure, como Azure Cosmos DB y Azure Storage.

Conectividad global
Puede permitir que Global Reach de ExpressRoute intercambie datos entre los sitios locales si conecta
los diferentes circuitos ExpressRoute. Por ejemplo, supongamos que tiene una oficina en Asia y un
centro de datos en Europa, ambos con circuitos ExpressRoute que los conectan a la red de Microsoft.

33
Puede usar Global Reach de ExpressRoute para conectar esas dos instalaciones, lo que les permite
comunicarse sin transferir datos a través de la red pública de Internet.

Enrutamiento dinámico
ExpressRoute usa el Protocolo de puerta de enlace de borde (BGP). BGP se usa para intercambiar rutas
entre las redes locales y los recursos que se ejecutan en Azure. Este protocolo permite el enrutamiento
dinámico entre la red local y los servicios que se ejecutan en la nube de Microsoft.

Redundancia integrada
Cada proveedor de conectividad usa dispositivos redundantes para garantizar que las conexiones
establecidas con Microsoft tengan alta disponibilidad. Puede configurar varios circuitos para
complementar esta característica.

Modelos de conectividad de ExpressRoute

ExpressRoute admite cuatro modelos que puede usar para conectar la red local con la nube de
Microsoft:

 Ubicación de CloudExchange.
 Conexión Ethernet de punto a punto.
 Conexión universal.
 Directamente desde sitios de ExpressRoute.

Ubicación compartida en un intercambio en la nube (CloudExchange)

La ubicación conjunta hace referencia al centro de datos, la oficina u otras instalaciones que se
encuentran físicamente en un intercambio en la nube, como un ISP. Si la instalación tiene la ubicación
compartida en un intercambio en la nube, puede solicitar una conexión cruzada virtual a la nube de
Microsoft.

Conexión Ethernet de punto a punto

La conexión Ethernet de punto a punto hace referencia al uso de una conexión punto a punto para
conectar la instalación a la nube de Microsoft.

Redes universales
Con la conectividad universal, puede integrar la red de área extensa (WAN) con Azure si proporciona
conexiones a las oficinas y los centros de datos. Azure se integra con la conexión WAN para
proporcionarle una conexión, como la que tendría entre el centro de datos y las sucursales.

Directamente desde sitios de ExpressRoute

Puede conectarse directamente a la red global de Microsoft en una ubicación de emparejamiento
distribuida estratégicamente por todo el mundo. ExpressRoute Direct proporciona conectividad dual de
100 Gbps o 10 Gbps, que es compatible con la conectividad activa/activa a escala.

Consideraciones sobre la seguridad

Con ExpressRoute los datos no viajan a través de la red pública de Internet y, por tanto, no se exponen a
los posibles riesgos asociados a las comunicaciones de Internet. ExpressRoute es una conexión privada
de la infraestructura local a la infraestructura de Azure. Incluso si tiene una conexión ExpressRoute, las
consultas de DNS, la comprobación de la lista de revocación de certificados y las solicitudes de Azure
Content Delivery Network se siguen enviando a través de la red pública de Internet.

34
AZURE DNS
Azure DNS es un servicio de hospedaje para dominios DNS que ofrece resolución de nombres mediante
la infraestructura de Microsoft Azure. Al hospedar dominios en Azure, puede administrar los registros
DNS con las mismas credenciales, API, herramientas y facturación que con los demás servicios de Azure.

Ventajas de Azure DNS

Azure DNS saca provecho del ámbito y la escala de Microsoft Azure para proporcionar numerosas
ventajas, incluidas las siguientes:

 Confiabilidad y rendimiento.
 Seguridad.
 Facilidad de uso.
 Redes virtuales personalizables.
 Registros de alias.

Confiabilidad y rendimiento
Los dominios DNS de Azure DNS se hospedan en la red global de servidores de nombres DNS de Azure, y
proporcionan resistencia y alta disponibilidad. Azure DNS usa redes de difusión por proximidad para que
el servidor DNS más próximo disponible responda a cada consulta de DNS para proporcionar un mejor
rendimiento y una mayor disponibilidad para el dominio.

Seguridad
Azure DNS se basa en Azure Resource Manager, que proporciona características tales como:

 Control de acceso basado en rol de Azure (Azure RBAC) para controlar quién accede a acciones
específicas en la organización.
 Registros de actividad para supervisar cómo un usuario de su organización modificó un recurso
o para encontrar errores al solucionar problemas.
 Bloqueo de recursos para bloquear una suscripción, un grupo de recursos o un recurso. Los
bloqueos impiden que otros usuarios de la organización eliminen o modifiquen de forma
accidental recursos críticos.

Facilidad de uso
Azure DNS puede administrar registros DNS para los servicios de Azure y también proporciona el servicio
de nombres de dominio para los recursos externos. Azure DNS está integrado en Azure Portal y usa las
mismas credenciales, la misma facturación y el mismo contrato de soporte técnico que los demás
servicios de Azure.

Como Azure DNS se ejecuta en Azure, significa que puede administrar los dominios y registros con Azure
Portal, cmdlets de Azure PowerShell y la CLI de Azure multiplataforma. Las aplicaciones que requieren la
administración automática de DNS se pueden integrar con el servicio mediante las API REST y los SDK.

Redes virtuales personalizables con dominios privados

Azure DNS es compatible con dominios DNS privados. Esta característica permite usar nombres de
dominio personalizados propios en las redes virtuales privadas, en lugar de limitarse a los nombres
proporcionados por Azure.

Registros de alias
Azure DNS también admite conjuntos de registros de alias. Puede usar un conjunto de registros de alias
que haga referencia a un recurso de Azure, como una dirección IP pública de Azure, un perfil de Azure
Traffic Manager o un punto de conexión de Azure Content Delivery Network (CDN). Si cambia la
dirección IP del recurso subyacente, el conjunto de registros de alias se actualiza sin problemas durante

35
la resolución DNS. El conjunto de registros de alias apunta a la instancia de servicio, y la instancia de
servicio está asociada con una dirección IP.
Importante

No se puede usar Azure DNS para comprar un nombre de dominio. Por una tarifa anual, puede comprar un nombre de dominio
mediante dominios de App Service o un registrador de nombres de dominio de terceros. Después de comprarlos, los dominios se
pueden hospedar en Azure DNS para la administración de registros.

SERVICIOS DE ALMACENAMIENTO DE AZURE

Azure Storage es una solución de almacenamiento en la nube de Microsoft para escenarios modernos
de almacenamiento de datos. Los servicios de almacenamiento principales ofrecen un almacén de
objetos muy escalable para objetos de datos, almacenamiento en disco para máquinas virtuales de
Azure, un servicio de sistema de archivos para la nube, un almacén para la mensajería fiable y un
almacén NoSQL.

 Azure Blob Storage es una solución de almacenamiento de objetos que se puede usar para
almacenar grandes cantidades de datos no estructurados, como texto o datos binarios. Blob
Storage es ideal para enviar imágenes o documentos directamente a un explorador, almacenar
datos para archivos o el acceso distribuido, emitir vídeo y audio y escenarios de recuperación
ante desastres.
 Azure File Storage ofrece recursos compartidos de archivos totalmente administrados en la
nube, a los que se puede acceder mediante protocolos de red estándar del sector. Supervisar
recursos compartidos de Azure es como conectarse a recursos compartidos de la red local.
 Azure Disk Storage proporciona discos para que las máquinas virtuales y las aplicaciones
accedan a ellos y los usen cuando sea necesario, igual que harían con discos locales. Azure
ofrece unidades de estado sólido para cargas de trabajo de más alto rendimiento y discos duros
convencionales para escenarios empresariales menos críticos.
 Azure Table Storage ofrece un almacén de datos NoSQL para pares clave-valor con conjuntos
de datos a gran escala. Puede usar Azure Table Storage para almacenar petabytes de datos
semiestructurados y reducir los costos.
 Azure Queue Storage proporciona una puesta en cola de mensajes asincrónicos para la
comunicación entre los componentes de las aplicaciones, independientemente de si se
ejecutan en la nube, el escritorio, de forma local o dispositivos móviles.

Puede usar tres niveles de acceso de Azure para equilibrar los costos: frecuente, esporádico y archivo.

 El nivel de almacenamiento de acceso frecuente está optimizado para datos que se consultan
con frecuencia, como las imágenes de su sitio web.
 El nivel de almacenamiento de acceso esporádico está optimizado para datos a los que se
accede con poca frecuencia y que se guardan al menos durante 30 días, como facturas de
clientes.
 El nivel de almacenamiento de archivo es adecuado para datos a los que rara vez se accede y
que se guardan durante al menos 180 días, como copias de seguridad a largo plazo.

Sea cual sea su escenario empresarial, Azure tiene una solución que le ayudará a administrar sus
necesidades de almacenamiento.

LAS CUENTAS DE ALMACENAMIENTO DE AZURE

Una cuenta de almacenamiento proporciona un espacio de nombres único para los datos de Azure
Storage al que se puede acceder desde cualquier lugar del mundo a través de HTTP o HTTPS. Los datos
de esta cuenta son seguros, de alta disponibilidad, duraderos y escalables de forma masiva.

36
Al crear la cuenta de almacenamiento, primero seleccionará el tipo de cuenta de almacenamiento. El
tipo de cuenta determina los servicios de almacenamiento y las opciones de redundancia, y afecta a los
casos de uso. A continuación se muestra una lista de opciones de redundancia que se describirán más
adelante en este módulo:

 Almacenamiento con redundancia local (LRS)

 Almacenamiento con redundancia geográfica (GRS)
 Almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS).
 Almacenamiento con redundancia de zona (ZRS)
 Almacenamiento con redundancia de zona geográfica (GZRS)
 Almacenamiento con redundancia de zona geográfica con acceso de lectura (RA-GZRS)

Tipo Servicios admitidos Opciones de redundancia Uso

Tipo de cuenta de almacenamiento estándar

Blob Storage
para blobs, archivos, colas y tablas. Se
(incluido Data Lake
De uso recomienda para la mayoría de los escenarios
Storage), Queue LRS, GRS, RA-GRS, ZRS,
general con Azure Storage. Si desea compatibilidad
Storage, Table GZRS, RA-GZRS
estándar, v2 con el sistema de archivos de red (NFS) en
Storage y Azure
Azure Files, utilice el tipo de cuenta de
Files
recursos compartidos de archivos Premium.
Tipo de cuenta de almacenamiento Premium
para blobs en bloques y blobs en anexos. Se
Blobs en Blob Storage
recomiendan para escenarios con altas tasas
bloques (incluido Data Lake LRS, ZRS
de transacciones, que utilizan objetos más
Premium Storage)
pequeños o que requieren una latencia de
almacenamiento constantemente baja.
Tipo de cuenta de almacenamiento Premium
solo para recursos compartidos de archivos.
Recursos Se recomienda para empresas y aplicaciones
compartidos de escalado de alto rendimiento. Use este
Azure Files LRS, ZRS
de archivos tipo de cuenta si desea una cuenta de
Premium almacenamiento que admita recursos
compartidos de archivos de Bloque de
mensajes del servidor (SMB) y NFS.
Blobs en
Solo blobs en Tipo de cuenta de almacenamiento Premium
páginas LRS
páginas solo para blobs en páginas.
Premium

Puntos de conexión de cuenta de almacenamiento

Una de las ventajas de usar una cuenta de Azure Storage es tener un espacio de nombres único en Azure
para los datos. Para ello, todas las cuentas de almacenamiento de Azure deben tener un nombre de
cuenta único en Azure. La combinación del nombre de la cuenta y el punto de conexión del servicio de
Azure Storage forma los puntos de conexión de su cuenta de almacenamiento.

Cuando especifique un nombre para la cuenta de almacenamiento, tenga en cuenta estas reglas:

 Los nombres de las cuentas de almacenamiento deben tener entre 3 y 24 caracteres, y solo
pueden incluir números y letras en minúscula.
 El nombre de la cuenta de almacenamiento debe ser único dentro de Azure. No puede haber
dos cuentas de almacenamiento con el mismo nombre. Esto admite la capacidad de tener un
espacio de nombres único y accesible en Azure.

En la tabla siguiente se muestra el formato de punto de conexión para los servicios de Azure Storage.

37
Servicio de Storage Punto de conexión
Blob Storage https://<storage-account-name>.blob.core.windows.net
Data Lake Storage Gen2 https://<storage-account-name>.dfs.core.windows.net
Azure Files https://<storage-account-name>.file.core.windows.net
Queue Storage https://<storage-account-name>.queue.core.windows.net
Table Storage https://<storage-account-name>.table.core.windows.net

LA REDUNDANCIA DE ALMACENAMIENTO DE AZURE

Azure Storage siempre almacena varias copias de los datos, con el fin de protegerlos de eventos
planeados y no planeados, lo que incluye errores transitorios del hardware, interrupciones del
suministro eléctrico o cortes de la red, y desastres naturales. La redundancia garantiza que la cuenta de
almacenamiento cumple sus objetivos de disponibilidad y durabilidad, aunque se produzcan errores.

A la hora de decidir qué opción de redundancia es la más adecuada para su escenario, intente buscar un
equilibrio entre bajo costo y alta disponibilidad. Entre los factores que ayudan a determinar qué opción
de redundancia debe elegir se incluye:

 Cómo se replican los datos en la región primaria.

 Si los datos se replican en una segunda ubicación que está alejada geográficamente de la región
primaria, para protegerse frente a desastres regionales.
 Si la aplicación necesita acceso de lectura a los datos replicados en la región secundaria en caso
de que la región primaria deje de estar disponible.

Redundancia en la región primaria

Los datos de una cuenta de Azure Storage siempre se replican tres veces en la región primaria. Azure
Storage ofrece dos opciones para replicar los datos en la región primaria, el almacenamiento con
redundancia local (LRS) y el almacenamiento con redundancia de zona (ZRS).

Almacenamiento con redundancia local

El almacenamiento con redundancia local (LRS) replica los datos tres veces dentro de un único centro de
datos en la región primaria. LRS ofrece una durabilidad mínima de 11 nueves (99,999999999 %) de los
objetos en un año determinado.

Diagrama en el que se muestra la estructura usada para

el almacenamiento con redundancia local.

38
LRS es la opción de redundancia de costo más bajo y ofrece la menor durabilidad en comparación con
otras opciones. LRS protege los datos frente a errores en la estantería de servidores y en la unidad. No
obstante, si se produce un desastre como un incendio o una inundación en el centro de datos, es posible
que todas las réplicas de una cuenta de almacenamiento con LRS se pierdan o no se puedan recuperar.
Para mitigar este riesgo, Microsoft recomienda el uso del almacenamiento con redundancia de zona
(ZRS), el almacenamiento con redundancia geográfica (GRS) o el almacenamiento con redundancia de
zona geográfica (GZRS).

Almacenamiento con redundancia de zona

Para las regiones con zona de disponibilidad habilitada, el almacenamiento con redundancia de zona
(ZRS) replica los datos de Azure Storage sincrónicamente en tres zonas de disponibilidad de Azure en la
región primaria. ZRS proporciona a los objetos de datos de Azure Storage una durabilidad de al menos
12 nueves (99,9999999999 %) durante un año determinado.

Diagrama en el que se muestra ZRS, con una copia de los datos almacenados en cada una de las tres zonas de
disponibilidad.

Con ZRS, los datos son accesibles para las operaciones de escritura y lectura incluso si una zona deja de
estar disponible. No es necesario volver a montar los recursos compartidos de archivos de Azure de los
clientes conectados. Si alguna zona deja de estar disponible, Azure realiza las actualizaciones de la red,
como el redireccionamiento de DNS. Estas actualizaciones pueden afectar a la aplicación si se accede a
los datos antes de que se completen dichas actualizaciones.

39
Microsoft recomienda usar ZRS en la región primaria para escenarios que requieren de alta
disponibilidad. También se recomienda ZRS para restringir la replicación de datos dentro de un país o
región para cumplir los requisitos de gobernanza de datos.

Redundancia en una región secundaria

En el caso de las aplicaciones que requieren de alta durabilidad, puede optar por copiar los datos de la
cuenta de almacenamiento en una región secundaria que esté a cientos de kilómetros de distancia de la
región primaria. Si los datos de la cuenta de almacenamiento se copian en una región secundaria, los
datos serán duraderos incluso en caso de un error catastrófico que impida que se recuperen los datos
de la región primaria.

Al crear una cuenta de almacenamiento, seleccione la región principal de la cuenta. La región secundaria
emparejada se determina en función de los Pares de regiones de Azure y no se puede cambiar.

Azure Storage ofrece dos opciones para copiar los datos en una región secundaria: almacenamiento con
redundancia geográfica (GRS) y almacenamiento con redundancia de zona geográfica (GZRS). GRS es
similar a ejecutar LRS en dos regiones, y GZRS es similar a ejecutar ZRS en la región primaria y LRS en la
región secundaria.

De manera predeterminada, los datos de la región secundaria no están disponibles para el acceso de
lectura o escritura a menos que haya una conmutación por error a la región secundaria. Si la región
primaria deja de estar disponible, puede conmutar por error a la región secundaria. Una vez completada
la conmutación por error, la región secundaria se convierte en la región primaria y se puede leer y
escribir datos de nuevo.
Importante

Dado que los datos se replican en la región secundaria de forma asincrónica, un error que afecte a la región primaria puede
producir la pérdida de datos si no se puede recuperar dicha región. El intervalo entre las escrituras más recientes en la región
primaria y la última escritura en la región secundaria se conoce como objetivo de punto de recuperación (RPO). El RPO indica
momento concreto en que se pueden recuperar los datos. Normalmente, Azure Storage tiene un RPO inferior a 15 minutos, aunque
actualmente no hay ningún contrato de nivel de servicio sobre el tiempo que se tarda en replicar los datos en la región secundaria.

Almacenamiento con redundancia geográfica

GRS copia los datos de manera sincrónica tres veces dentro de una ubicación física única en la región
primaria mediante LRS. Luego copia los datos de forma asincrónica en una única ubicación física en la
región secundaria (el par de regiones) mediante LRS. GRS proporciona a los objetos de datos de Azure
Storage una durabilidad de al menos 16 nueves (99,99999999999999 %) durante un año determinado.

Diagrama en el que se muestra GRS, con el LRS de la región primaria replicando datos al LRS en una segunda región.

40
Almacenamiento con redundancia de zona geográfica
GZRS combina la alta disponibilidad que proporciona la redundancia entre zonas de disponibilidad con la
protección frente a interrupciones regionales que proporciona la replicación geográfica. Los datos de
una cuenta de almacenamiento de GZRS se almacenan en tres zonas de disponibilidad de Azure en la
región primaria (de manera similar a ZRS) y también se replican en una región geográfica secundaria
para protegerlos frente a desastres regionales. Microsoft recomienda el uso de GZRS en aplicaciones
que requieran de coherencia, durabilidad y disponibilidad máximas, además de rendimiento excelente y
resistencia para la recuperación ante desastres.

Diagrama en el que se muestra GZRS, con el ZRS de la región primaria replicando datos al LRS en una segunda región.

GZRS está diseñado para proporcionar una durabilidad mínima de 16 nueves (99,99999999999999 %) de
los objetos en un año determinado.

Acceso de lectura a los datos de la región secundaria

El almacenamiento con redundancia geográfica (con GRS o GZRS) replica los datos en otra ubicación
física de la región secundaria para protegerlos frente a los apagones regionales. Sin embargo, los datos
están disponibles para su lectura solo si el cliente o Microsoft inician una conmutación por error de la
región primaria a la secundaria. Sin embargo, si habilita el acceso de lectura a la región secundaria, los
datos siempre están disponibles, incluso cuando la región primaria se ejecuta de forma óptima. Para
obtener acceso de lectura a la región secundaria, habilite el almacenamiento con redundancia
geográfica con acceso de lectura (RA-GRS) o el almacenamiento con redundancia de zona geográfica con
acceso de lectura (RA-GZRS).
Importante

Recuerde que es posible que los datos de la región secundaria no estén actualizados debido al RPO.

41
LOS SERVICIOS DE ALMACENAMIENTO DE AZURE
La plataforma de Azure Storage incluye los servicios de datos siguientes:

 Blobs de Azure: un almacén de objetos que se puede escalar de forma masiva para datos de
texto y binarios. También incluye compatibilidad con el análisis de macrodatos a través de Data
Lake Storage Gen2.
 Azure Files: recursos compartidos de archivos administrados para implementaciones locales y
en la nube.
 Colas de Azure: un almacén de mensajería para mensajería confiable entre componentes de
aplicación.
 Azure Disks: volúmenes de almacenamiento en el nivel de bloque para máquinas virtuales de
Azure.

Ventajas de Azure Storage

Los servicios de Azure Storage ofrecen las siguientes ventajas para desarrolladores de aplicaciones y
profesionales de TI:

 Duradero y altamente disponible: La redundancia garantiza que los datos estén seguros en
caso de producirse errores de hardware transitorios. También puede optar por replicar datos
entre centros de datos o regiones geográficas para obtener protección adicional frente a
catástrofes locales o desastres naturales. Los datos replicados de esta manera permanecen con
una alta disponibilidad en caso de que se produzca una interrupción inesperada.
 Seguro: Todos los datos escritos en una cuenta de Azure Storage se cifran mediante el servicio.
Azure Storage proporciona un control pormenorizado sobre quién tiene acceso a los datos.
 Escalable: Azure Storage está diseñado para poderse escalar de forma masiva para satisfacer
las necesidades de rendimiento y almacenamiento de datos de las aplicaciones de hoy en día.
 Administrado: Azure controla automáticamente el mantenimiento, las actualizaciones y los
problemas críticos del hardware.
 Accesible: Es posible acceder a los datos de Azure Storage desde cualquier parte del mundo a
través de HTTP o HTTPS. Microsoft proporciona bibliotecas cliente para Azure Storage en
diversos lenguajes, incluidos .NET, Java, Node.js, Python, PHP, Ruby, Go y otros, así como una
API REST consolidada. Azure Storage admite la escritura en Azure PowerShell o la CLI de Azure.
Y Azure Portal y el Explorador de Azure Storage ofrecen soluciones visuales sencillas para
trabajar con los datos.

Blob Storage
Azure Blob Storage es una solución de almacenamiento de objetos para la nube. Puede almacenar
grandes cantidades de datos, como datos de texto o binarios. Azure Blob Storage es no estructurado, lo
que significa que no hay ninguna restricción en cuanto a los tipos de datos que puede contener. Blob
Storage puede administrar miles de cargas simultáneas, cantidades enormes de datos de vídeo, archivos
de registro en constante crecimiento y es accesible desde cualquier lugar con conexión a Internet.

Los blobs no están limitados a formatos de archivo comunes. Un blob podría contener gigabytes de
datos binarios transmitidos desde un instrumento científico, un mensaje cifrado para otra aplicación o
datos en un formato personalizado para una aplicación que se está desarrollando. Una ventaja del
almacenamiento en blobs con respecto al almacenamiento en disco es que no requiere que los
desarrolladores piensen en discos o los administren. Los datos se cargan como blobs y Azure se encarga
de las necesidades de almacenamiento físico.

Blob Storage resulta muy conveniente para lo siguiente:

 Visualización de imágenes o documentos directamente en un explorador.

42
  Almacenamiento de archivos para acceso distribuido.
 Streaming de audio y vídeo.
 Almacenamiento de datos para copia de seguridad y restauración, recuperación ante desastres
y archivado.
 Almacenamiento de datos para el análisis en local o en un servicio hospedado de Azure.

Acceso a Blob Storage

Se puede acceder a los objetos de Blob Storage desde cualquier lugar del mundo a través de HTTP o
HTTPS. Los usuarios o las aplicaciones cliente pueden acceder a los blobs mediante direcciones URL, la
API REST de Azure Storage, Azure PowerShell, la CLI de Azure o una biblioteca cliente de Azure Storage.
Las bibliotecas de cliente de almacenamiento están disponibles para varios lenguajes, como .NET, Java,
Node.js, Python, PHP y Ruby.

Niveles de Blob Storage

Los datos almacenados en la nube pueden crecer a un ritmo exponencial. Para administrar los costos de
las crecientes necesidades de almacenamiento, resulta útil organizar los datos en función de atributos
como la frecuencia de acceso y el período de retención planeada. Los datos almacenados en la nube se
pueden controlar de forma distinta según la forma en que se generan, se procesan y se accede a ellos a
lo largo de su vigencia. Se puede acceder y modificar ciertos datos de forma activa a lo largo de su
duración. Se accede con frecuencia a ciertos datos al inicio de su vida útil hasta que el acceso cae
drásticamente a medida que envejecen. Algunos datos permanecen inactivos en la nube y, después de
que se almacenan, no se accede a ellos prácticamente nunca. Para dar cabida a estas diferentes
necesidades de acceso, Azure proporciona varios niveles de acceso, que puede usar para equilibrar los
costos de almacenamiento con sus necesidades de acceso.

Azure Storage ofrece diferentes niveles de acceso para el almacenamiento de blobs, lo que le ayuda a
almacenar datos de objetos de la manera más rentable. Entre los niveles de acceso disponibles se
incluyen:

 Nivel de acceso frecuente: optimizado para almacenar datos a los que se accede con
frecuencia (por ejemplo, imágenes para el sitio web).
 Nivel de acceso esporádico: optimizado para datos a los que se accede con poca frecuencia y
que se almacenan al menos durante 30 días (por ejemplo, las facturas de los clientes).
 Nivel de acceso de archivo: conveniente para datos a los que raramente se accede y que se
almacenan durante al menos 180 días con requisitos de latencia flexibles (por ejemplo, copias
de seguridad a largo plazo).

Las siguientes consideraciones se aplican a los distintos niveles de acceso:

 Solo los niveles de acceso frecuente y esporádico se pueden establecer en el nivel de cuenta. El
nivel de acceso de archivo no está disponible en el nivel de cuenta.
 Los niveles frecuente, esporádico y de archivo se pueden establecer en el nivel de blob durante
la carga o después de esta.
 Los datos del nivel de acceso esporádico pueden tolerar una disponibilidad ligeramente
inferior, pero aun así requieren una gran durabilidad, una latencia de recuperación y unas
características de rendimiento similares a las de los datos de acceso frecuente. En el caso de los
datos de acceso esporádico, un contrato de nivel de servicio (SLA) con una disponibilidad
ligeramente inferior y unos costos de acceso mayores, en comparación con los datos de acceso
frecuente, es aceptable a cambio de unos costos de almacenamiento menores.
 El almacenamiento de archivo almacena datos sin conexión y ofrece los menores costos de
almacenamiento, pero los mayores costos de acceso y rehidratación de datos.

43
Azure Files
Azure Files ofrece recursos compartidos de archivos totalmente administrados en la nube a los que se
puede acceder mediante los protocolos SMB (Bloque de mensajes del servidor) o NFS (Network File
System) estándar del sector. Los recursos compartidos de archivos de Azure Files se pueden montar
simultáneamente mediante implementaciones locales o en la nube. A los recursos compartidos de
archivos SMB de Azure se puede acceder desde clientes Windows, Linux y macOS. A los recursos
compartidos de archivos NFS de Azure Files se puede acceder desde clientes Linux y macOS. Además, los
recursos compartidos de archivos SMB de Azure Files se pueden almacenar en la caché de los servidores
de Windows Server con Azure File Sync, lo que permite un acceso rápido allí donde se utilizan los datos.

Ventajas clave de Azure Files:

 Acceso compartido: los recursos compartidos de Azure Files admiten los protocolos SMB y NFS
estándar del sector, lo que significa que puede reemplazar perfectamente los recursos
compartidos de archivos en local por recursos compartidos de archivos de Azure sin
preocuparse de compatibilidad de aplicaciones.
 Totalmente administrado: los recursos compartidos de Azure Files pueden crearse sin
necesidad de administrar ni el hardware ni un sistema operativo. Esto significa que no tiene
que tratar con la aplicación de actualizaciones de seguridad críticas en el sistema operativo del
servidor ni ocuparse de reemplazar discos duros defectuosos.
 Scripts y herramientas: se pueden usar cmdlets de PowerShell y la CLI de Azure para crear,
montar y administrar recursos compartidos de archivos de Azure como parte de la
administración de las aplicaciones de Azure. Los recursos compartidos de archivos de Azure se
pueden crear y administrar mediante Azure Portal y el Explorador de Azure Storage.
 Resistencia: Azure Files se creó desde sus orígenes para estar siempre disponible. Reemplazar
los recursos compartidos de archivos en el entorno local por Azure Files significa que ya no
tendrá que levantarse en mitad de la noche para tratar con problemas de red o interrupciones
del suministro eléctrico local.
 Capacidad de programación intuitiva: las aplicaciones que se ejecutan en Azure pueden tener
acceso a los datos en el recurso compartido mediante las API de E/S del sistema de archivos.
Por tanto, los desarrolladores pueden aprovechar el código y los conocimientos que ya tienen
para migrar las aplicaciones actuales. Además de las API de E/S del sistema, puede usar las
Bibliotecas de cliente de Azure Storage o la API de REST de Azure Storage.

Queue Storage
Azure Queue Storage es un servicio para almacenar grandes cantidades de mensajes. Una vez que están
almacenados, se puede acceder a los mensajes desde cualquier lugar del mundo mediante llamadas
autenticadas con HTTP o HTTPS. Una cola puede contener tantos mensajes como el espacio que tenga la
cuenta de almacenamiento (pueden ser millones). Cada mensaje individual de la cola puede llegar a
tener un tamaño máximo de 64 KB. Las colas se utilizan normalmente para crear un trabajo pendiente
del trabajo que se va a procesar de forma asincrónica.

Queue Storage se puede combinar con funciones de proceso como Azure Functions para realizar una
acción cuando se recibe un mensaje. Por ejemplo, supongamos que quiere realizar una acción después
de que un cliente cargue un formulario en el sitio web. Podría hacer que el botón enviar en el sitio web
desencadene un mensaje en Queue Storage. Después, podría usar Azure Functions para desencadenar
una acción una vez recibido el mensaje.

Disk Storage
El almacenamiento en disco o los discos administrados de Azure son volúmenes de almacenamiento de
nivel de bloque que administra Azure para su uso con máquinas virtuales de Azure. Conceptualmente,

44
son iguales que un disco físico, pero están virtualizados, lo que ofrece mayor resistencia y disponibilidad
que un disco físico. Con los discos administrados, lo único que debe hacer es aprovisionar el disco; Azure
se encargará del resto.

IDENTIFICACIÓN DE LAS OPCIONES DE MIGRACIÓN DE DATOS DE

AZURE
Ahora que comprende las distintas opciones de almacenamiento dentro de Azure, es importante
comprender también cómo obtener los datos y la información en Azure. Azure admite la migración en
tiempo real de la infraestructura, las aplicaciones y los datos mediante Azure Migrate, así como la
migración asincrónica de datos mediante Azure Data Box.

Azure Migrate
Azure Migrate es un servicio que le ayuda a migrar desde un entorno local a la nube. Azure Migrate
funciona como centro para ayudarle a administrar la valoración y la migración del centro de datos local
a Azure. Ofrece lo siguiente:

 Plataforma de migración unificada: un único portal para iniciar, ejecutar y realizar un

seguimiento de la migración a Azure.
 Rango de herramientas: Rango de herramientas para la evaluación y migración Las
herramientas de Azure Migrate incluyen Azure Migrate: Discovery y assessment y Azure
Migrate: Server Migration. Azure Migrate también se integra con otros servicios y herramientas
de Azure, así como con ofertas de proveedores de software independientes (ISV).
 Assessment and migration (Evaluación y migración): en el centro de Azure Migrate, puede
evaluar y migrar la infraestructura local a Azure.

Herramientas integradas
Además de trabajar con herramientas de ISV, el centro de Azure Migrate también incluye las siguientes
herramientas para ayudar con la migración:

 Azure Migrate: Discovery and assessment (Azure Migrate: detección y evaluación). Detecte y
evalúe servidores locales que se ejecutan en VMware, Hyper-V y servidores físicos para
preparar la migración a Azure.
 Azure Migrate: Server Migration (Azure Migrate: migración del servidor). Migre máquinas
virtuales de VMware, máquinas virtuales de Hyper-V, servidores físicos, otros servidores
virtualizados y máquinas virtuales de la nube pública a Azure.
 Data Migration Assistant. Data Migration Assistant es una herramienta independiente para
evaluar servidores de SQL Server. Ayuda a identificar posibles problemas que bloquean la
migración. Identifica características no admitidas, nuevas características que puede aprovechar
después de la migración y la ruta de acceso correcta para la migración de la base de datos.
 Azure Database Migration Service. Migre bases de datos locales a máquinas virtuales de Azure
en las que se ejecutan SQL Server, Azure SQL Database o instancias administradas de SQL.
 Web app migration assistant (Asistente de migración de aplicación web). Azure App Service
Migration Assistant es una herramienta independiente para evaluar sitios web locales para la
migración a Azure App Service. Use Migration Assistant para migrar aplicaciones web de .NET y
PHP a Azure.
 Azure Data Box. Use los productos de Azure Data Box para trasladar grandes cantidades de
datos sin conexión a Azure.

Azure Data Box

Azure Data Box es un servicio de migración física que ayuda a transferir grandes cantidades de datos de
forma rápida, económica y confiable. La transferencia de datos segura se acelera mediante el envío de

45
un dispositivo de almacenamiento propietario de Data Box que tiene una capacidad de almacenamiento
utilizable máxima de 80 terabytes. Data Box se transporta hacia y desde el centro de datos a través de
un transportista regional. Una caja resistente asegura y protege Data Box de daños durante el trayecto.

Puede pedir el dispositivo Data Box a través de Azure Portal para importar o exportar datos desde
Azure. Una vez recibido el dispositivo, puede configurarlo rápidamente mediante la interfaz de usuario
web local y conectarlo a la red. Una vez que haya terminado de transferir los datos (ya sea dentro o
fuera de Azure), simplemente devuelva Data Box. Si va a transferir datos a Azure, los datos se cargan de
forma automática una vez que Microsoft vuelve a recibir Data Box. El servicio de Data Box se encarga de
realizar el seguimiento de todo el proceso en Azure Portal.

Casos de uso
Data Box es ideal para transferir tamaños de datos con más de 40 TB en escenarios sin conectividad de
red limitada. El movimiento de datos puede ser único, periódico o una transferencia de datos masiva
inicial seguida de transferencias periódicas.

Estos son los distintos escenarios donde se puede usar Data Box para importar datos en Azure:

 Migración única: cuando se mueve gran cantidad de datos locales a Azure.

 Traslade una biblioteca multimedia de cintas sin conexión a Azure para crear una biblioteca
multimedia en línea.
 Migre la granja de máquinas virtuales, SQL Server y las aplicaciones a Azure.
 Traslade los datos históricos a Azure para un análisis exhaustivo y generar informes con
HDInsight.
 Transferencia masiva inicial: cuando se realiza una transferencia masiva inicial con Data Box
(inicialización) seguida de transferencias incrementales a través de la red.
 Cargas periódicas: cuando se genera periódicamente una gran cantidad de datos y es necesario
moverlos a Azure.

Estos son los distintos escenarios donde se puede usar Data Box para exportar datos a Azure.

 Recuperación ante desastres: cuando se restaura una copia de los datos de Azure en una red
local. En un escenario de recuperación ante desastres habitual, se exporta una gran cantidad de
datos de Azure se exporta a Data Box. Microsoft luego los envía a Data Box y, en poco tiempo,
los datos se restauran en un entorno local.
 Requisitos de seguridad: cuando necesita poder exportar datos de Azure debido a los requisitos
de seguridad o de la administración pública.
 Migración de vuelta al entorno local o a otro proveedor de servicios en la nube: cuando quiera
mover todos los datos de vuelta al entorno local o a otro proveedor de servicios en la nube,
exporte los datos a través de Data Box para migrar las cargas de trabajo.
Una vez que los datos del pedido de importación se cargan en Azure, los discos del dispositivo se
limpian, según las normas NIST 800-88r1. Si el pedido es de exportación, los discos se borran una vez
que el dispositivo llega al centro de datos de Azure.

IDENTIFICACIÓN DE LAS OPCIONES DE MOVIMIENTO DE

ARCHIVOS DE AZURE
Además de la migración a gran escala mediante servicios como Azure Migrate y Azure Data Box, Azure
también tiene herramientas diseñadas para ayudarle a mover o interactuar con archivos individuales o
grupos de archivos pequeños. Entre esas herramientas se encuentran AzCopy, Explorador de Azure
Storage y Azure File Sync.

46
AzCopy
AzCopy es una utilidad de línea de comandos que puede usar para copiar blobs o archivos a una cuenta
de almacenamiento o desde una cuenta de almacenamiento. Con AzCopy, puede copiar archivos entre
cuentas de almacenamiento, cargarlos, descargarlos e incluso sincronizarlos. AzCopy incluso se puede
configurar para trabajar con otros proveedores de nube para ayudar a mover archivos entre nubes.
Importante

La sincronización de blobs o archivos con AzCopy es una sincronización unidireccional. Al sincronizar, designó el origen y el destino,
y AzCopy copiará archivos o blobs en esa dirección. No se sincroniza bidireccionalmente en función de las marcas de tiempo u otros
metadatos.

Explorador de Azure Storage

Explorador de Azure Storage es una aplicación independiente que proporciona una interfaz gráfica para
administrar archivos y blobs en la cuenta de Azure Storage. Funciona en sistemas operativos Windows,
macOS y Linux y usa AzCopy en el back-end para realizar todas las tareas de administración de archivos y
blobs. Con Explorador de Storage, puede cargar en Azure, descargar desde Azure o moverse entre
cuentas de almacenamiento.

Azure File Sync

Azure File Sync es una herramienta que permite centralizar los archivos compartidos en Azure Files y
mantener la flexibilidad, el rendimiento y la compatibilidad de un servidor de archivos de Windows. Es
casi como convertir el servidor de archivos de Windows en una red de entrega de contenido en
miniatura. Una vez que instale Azure File Sync en el servidor local de Windows, se mantendrá
sincronizado bidireccionalmente con los archivos en Azure de forma automática.

Con Azure File Sync, puede:

 Usar cualquier protocolo disponible en Windows Server para acceder a sus datos de forma
local, como SMB, NFS y FTPS.
 Tener todas las cachés que necesite en todo el mundo.
 Reemplazar un servidor local con errores instalando Azure File Sync en un nuevo servidor del
mismo centro de datos.
 Configurar la nube por niveles para que los archivos a los que se accede con más frecuencia se
repliquen localmente, mientras que los archivos a los que se accede con poca frecuencia se
mantienen en la nube hasta que se soliciten.

LA IDENTIDAD, EL ACCESO Y LA SEGURIDAD DE

AZURE
LOS SERVICIOS DE DIRECTORIO DE AZURE
Azure Active Directory (Azure AD) es un servicio de directorio que le permite iniciar sesión y acceder
tanto a las aplicaciones en la nube de Microsoft como a las aplicaciones en la nube que desarrolle. Azure
AD también puede ayudarle a mantener la implementación de Active Directory local.

En el caso de los entornos locales, Active Directory ejecutado en Windows Server proporciona un
servicio de administración de acceso e identidades que administra su organización. Azure AD es un
servicio de administración de acceso e identidades basado en la nube de Microsoft. Con Azure AD, usted
controla las cuentas de identidad, pero Microsoft garantiza que el servicio esté disponible globalmente.
Si ya ha trabajado con Active Directory, Azure AD le resultará familiar.

Si protege las identidades de forma local con Active Directory, Microsoft no supervisa los intentos de
inicio de sesión. Si conecta Active Directory con Azure AD, Microsoft puede detectar intentos de inicio

47
de sesión sospechosos para ayudarle a proteger su entorno sin costo adicional. Por ejemplo, Azure AD
puede detectar intentos de inicio de sesión desde ubicaciones inesperadas o dispositivos desconocidos.

¿Quién usa Azure AD?

Azure AD es para:

 Administradores de TI: Los administradores pueden usar Azure AD para controlar el acceso a
las aplicaciones y los recursos en función de sus requisitos empresariales.
 Desarrolladores de aplicaciones: Con Azure AD, los desarrolladores pueden agregar
funcionalidad a las aplicaciones que compilan mediante un enfoque basado en estándares. Por
ejemplo, pueden agregar funcionalidad de SSO a una aplicación o habilitar una aplicación para
que funcione con las credenciales existentes de un usuario.
 Usuarios: Los usuarios pueden administrar sus identidades y realizar acciones de
mantenimiento como el autoservicio de restablecimiento de contraseña.
 Suscriptores de servicios en línea: Los suscriptores de Microsoft 365, Microsoft Office 365,
Azure y Microsoft Dynamics CRM Online ya usan Azure AD para autenticarse en su cuenta.

¿Qué hace Azure AD?

Azure AD proporciona servicios como:

 Autenticación: esto incluye la comprobación de la identidad para acceder a aplicaciones y

recursos. También incluye funciones como el autoservicio de restablecimiento de contraseña,
la autenticación multifactor, una lista personalizada de contraseñas prohibidas y servicios de
bloqueo inteligente.
 Inicio de sesión único: gracias al inicio de sesión único (SSO), los usuarios tienen que recordar
un solo nombre de usuario y una sola contraseña para acceder a varias aplicaciones. Una sola
identidad está asociada a un usuario, lo que simplifica el modelo de seguridad. Cuando los
usuarios cambian de rol o dejan una organización, las modificaciones de acceso se asocian a esa
identidad, lo que reduce considerablemente el esfuerzo necesario para cambiar o deshabilitar
cuentas.
 Administración de aplicaciones: con Azure AD, puede administrar las aplicaciones en la nube y
locales. Características como Application Proxy, las aplicaciones SaaS, el portal Aplicaciones y el
inicio de sesión único proporcionan una mejor experiencia de usuario.
 Administración de dispositivos: además de cuentas de usuarios individuales, Azure AD admite
el registro de dispositivos. El registro permite administrar los dispositivos a través de
herramientas como Microsoft Intune. También permite que las directivas de acceso condicional
basadas en dispositivos limiten los intentos de acceso a solo aquellos que proceden de
dispositivos conocidos, independientemente de la cuenta de usuario solicitante.

¿Puedo conectar mi AD local con Azure AD?

Si tuviera un entorno local que ejecuta Active Directory y una implementación en la nube mediante
Azure AD, tendría que mantener dos conjuntos de identidades. Pero puede conectar Active Directory
con Azure AD, lo que permite una experiencia de identidad coherente entre la nube y el entorno local.

Un método de conectar Azure AD con el AD local es usar Azure AD Connect. Azure AD Connect
sincroniza las identidades de usuario entre la instalación local de Active Directory y Azure AD. Azure AD
Connect sincroniza los cambios entre ambos sistemas de identidades, para que pueda usar
características como SSO, la autenticación multifactor y el autoservicio de restablecimiento de
contraseña en ambos sistemas.

48
¿Qué es Azure Active Directory Domain Services?
Azure Active Directory Domain Services (Azure AD DS) es un servicio que proporciona servicios de
dominio administrados como, por ejemplo, unión a un dominio, directivas de grupo, protocolo ligero de
acceso a directorios (LDAP) y autenticación Kerberos o NTLM. Al igual que Azure AD le permite usar
servicios de directorio sin tener que mantener la infraestructura que lo admite, gracias a Azure AD DS
obtiene la ventaja de los servicios de dominio sin necesidad de implementar, administrar y aplicar
revisiones a los controladores de dominio (DC) en la nube.

Un dominio administrado de Azure AD DS le permite ejecutar aplicaciones heredadas en la nube que no

pueden usar métodos de autenticación modernos o cuando no quiere que las búsquedas de directorio
regresen siempre a un entorno de AD DS local. Esas aplicaciones heredadas se pueden migrar mediante
"lift-and-shift" del entorno local a un dominio administrado, sin necesidad de administrar el entorno de
AD DS en la nube.

Azure AD DS se integra con el inquilino de Azure AD existente. Esta integración permite a los usuarios
iniciar sesión en los servicios y las aplicaciones conectados al dominio administrado con sus credenciales
existentes. También puede usar grupos y cuentas de usuario existentes para proteger el acceso a los
recursos. Estas características proporcionan una migración mediante lift-and-shift más fluida de los
recursos locales a Azure.

¿Cómo funciona Azure AD DS?

Cuando cree un dominio administrado de Azure AD DS, defina un espacio de nombres único. Este
espacio de nombres es el nombre de dominio. Después, se implementan dos controladores de dominio
de Windows Server en la región de Azure seleccionada. Esta implementación de controladores de
dominio se conoce como "conjunto de réplicas".

No es necesario administrar, configurar ni actualizar estos controladores de dominio. La plataforma

Azure administra los controladores de dominio como parte del dominio administrado, incluidas las
copias de seguridad y el cifrado en reposo mediante Azure Disk Encryption.

¿La información está sincronizada?

Un dominio administrado está configurado para realizar una sincronización unidireccional de Azure AD a
Azure AD DS. Puede crear los recursos directamente en el dominio administrado, pero no se vuelven a
sincronizar con Azure AD. En un entorno híbrido con un entorno de AD DS local, Azure AD Connect
sincroniza la información de identidad con Azure AD, que se sincroniza posteriormente con el dominio
administrado.

Diagrama de Sincronización de Azure AD Connect, que sincroniza información al inquilino de Azure AD desde el AD local.

Las aplicaciones, los servicios y las máquinas virtuales de Azure que se conectan al dominio
administrado pueden usar las características de Azure AD DS comunes, como unión a un dominio,
directiva de grupo, LDAP y autenticación Kerberos o NTLM.

49
LOS MÉTODOS DE AUTENTICACIÓN DE AZURE
La autenticación es el proceso de establecimiento de la identidad de una persona, servicio y dispositivo.
Requiere que la persona, el servicio o el dispositivo proporcionen algún tipo de credencial para
demostrar quiénes son. La autenticación es como presentar su documento de identidad cuando viaja.
No confirma que está registrado, solo demuestra que es quien dices que es. Azure admite varios
métodos de autenticación, incluidas las contraseñas estándar, el inicio de sesión único (SSO), la
autenticación multifactor (MFA) y el acceso sin contraseña.

Desde hace tiempo, la seguridad y la comodidad parecían estar en conflicto entre sí. Afortunadamente,
las nuevas soluciones de autenticación proporcionan seguridad y comodidad.

En el diagrama siguiente se muestra el nivel de seguridad en comparación con la comodidad. Observe

que la autenticación sin contraseña es alta seguridad y alta comodidad, mientras que las contraseñas
por sí mismas son de baja seguridad pero alta comodidad.

Diagrama de cuatro cuadrantes que compara la seguridad y la comodidad: las contraseñas y la autenticación de 2 factores son de
alta seguridad, pero baja comodidad.

¿Qué es el inicio de sesión único?

El inicio de sesión único (SSO) permite a los usuarios iniciar sesión una vez y utilizar esa credencial para
acceder a varios recursos y aplicaciones de distintos proveedores. Para que el inicio de sesión único
funcione, las distintas aplicaciones y proveedores deben confiar en el autenticador inicial.

Más identidades significan más contraseñas para recordar y cambiar. Las directivas de contraseñas
pueden variar entre las aplicaciones. A medida que aumentan los requisitos de complejidad, cada vez
resultan más difíciles de recordar para los usuarios. Cuantas más contraseñas tenga que administrar un
usuario, mayor será el riesgo de que se produzca alguna incidencia de seguridad relacionada con las
credenciales.

Piense en el proceso de administrar todas estas identidades. Se ejerce una mayor presión en el
departamento de soporte técnico cuando tienen que lidiar con los bloqueos de cuentas y las solicitudes
de restablecimiento de contraseñas. Si un usuario deja una organización, puede resultar complicado
hacer un seguimiento de todas sus identidades y asegurarse de que están deshabilitadas. Si se pasa por
alto una identidad, es posible que se permita el acceso cuando debería haberse eliminado.

Con SSO, tan solo debe recordar un ID y una contraseña. El acceso a todas las aplicaciones se concede a
una única identidad que está asociada a un usuario, lo que simplifica el modelo de seguridad. A medida
que los usuarios cambian los roles o dejan una organización, el acceso está asociado a una única

50
identidad. Este cambio reduce considerablemente el esfuerzo necesario para cambiar o deshabilitar
cuentas. Usar el inicio de sesión único en las cuentas permite a los usuarios administrar su identidad y al
equipo de TI gestionar los usuarios con mayor facilidad.
Importante

El inicio de sesión único solo es tan seguro como el autenticador inicial, ya que todas las conexiones posteriores se basan en la
seguridad del autenticador inicial.

¿Qué es la autenticación multifactor?

La autenticación multifactor es el proceso de solicitar a un usuario una forma adicional (o factor) de
identificación durante el proceso de inicio de sesión. La MFA ayuda a protegerse frente a las contraseñas
en riesgo en situaciones en las que la contraseña se vio comprometida, pero el segundo factor no.

Piense en cómo inicia sesión en los sitios web, el correo electrónico o los servicios en línea. Después de
escribir el nombre de usuario y la contraseña, ¿alguna vez ha tenido que escribir un código que ha
recibido en el teléfono? Si es así, ha usado la autenticación multifactor para iniciar sesión.

La autenticación multifactor proporciona seguridad adicional a las identidades, ya que se requieren dos
o más elementos para una autenticación completa. Estos elementos se dividen en tres categorías:

 Algo que el usuario sabe: puede ser una pregunta de seguridad.

 Algo que el usuario tiene: se puede tratar de un código que se envía al teléfono móvil del
usuario.
 Algo que el usuario es: normalmente, algún tipo de propiedad biométrica, como la huella
dactilar o el escaneo facial.

La autenticación multifactor aumenta la seguridad de las identidades al limitar el impacto de la

exposición de credenciales (por ejemplo, nombres de usuario y contraseñas robados). Si la autenticación
multifactor está habilitada, los atacantes que tengan la contraseña de un usuario también necesitarán
su teléfono o su huella dactilar para completar la autenticación.

Compare la autenticación multifactor con la autenticación de un solo factor. En la autenticación de un

solo factor, los atacantes solo necesitarían el nombre de usuario y la contraseña para autenticarse. La
autenticación multifactor se debe habilitar siempre que sea posible, ya que aporta enormes ventajas a la
seguridad.

¿Qué es Azure AD Multi-Factor Authentication?

Azure AD Multi-Factor Authentication es un servicio de Microsoft que proporciona funcionalidades de
autenticación multifactor. Azure AD Multi-Factor Authentication permite a los usuarios elegir una forma
adicional de autenticación durante el inicio de sesión, como una llamada de teléfono o una notificación
de aplicación móvil.

¿Qué es la autenticación sin contraseña?

El uso de características como la autenticación multifactor constituye una excelente manera de proteger
una organización. Sin embargo, sumar esta capa de seguridad adicional al hecho de tener que recordar
las contraseñas suele frustrar a los usuarios. Es más probable que las personas cumplan cuando sea fácil
y conveniente hacerlo. Los métodos de autenticación sin contraseña resultan más cómodos, ya que la
contraseña se quita y se reemplaza por algo que se tiene más algo que se es o se sabe.

La autenticación sin contraseña debe configurarse en un dispositivo para que funcione. Por ejemplo, su
ordenador es algo que tiene. Una vez que se haya registrado o inscrito, Azure ahora sabrá que está
asociado a usted. Ahora que se conoce el equipo, una vez que proporcione algo que sepa o sea (por
ejemplo, un PIN o una huella digital), se podrá autenticar sin usar una contraseña.

51
Cada organización tiene diferentes necesidades en cuanto a la autenticación. Microsoft Azure global y
Azure Government ofrecen las siguientes tres opciones de autenticación sin contraseña que se integran
con Azure Active Directory (Azure AD):

 Windows Hello para empresas.

 Aplicación Microsoft Authenticator.
 Claves de seguridad FIDO2.

Windows Hello para empresas

Windows Hello para empresas resulta muy conveniente para los trabajadores de la información que
tienen su propio equipo con Windows designado. La información biométrica y las credenciales de PIN
están vinculadas directamente al equipo del usuario, lo que impide el acceso de cualquier persona que
no sea el propietario. Con la integración de la infraestructura de clave pública (PKI) y la compatibilidad
integrada con el inicio de sesión único (SSO), Windows Hello para empresas ofrece un método sencillo y
práctico de acceder directamente a los recursos corporativos del entorno local y la nube.

Aplicación Microsoft Authenticator

También puede permitir que el teléfono del empleado se convierta en un método de autenticación sin
contraseña. Es posible que ya esté usando la aplicación Microsoft Authenticator como una opción de
autenticación multifactor cómoda sumada a una contraseña. También puede usar la aplicación
Authenticator como una opción sin contraseña.

La aplicación Authenticator convierte cualquier teléfono Android o iOS en una credencial segura sin
contraseña. Los usuarios pueden iniciar sesión en cualquier plataforma o explorador con este proceso:
reciben una notificación en su teléfono, comprueban que el número mostrado en la pantalla coincide
con el de su teléfono y, a continuación, usan datos biométricos (huella dactilar o reconocimiento facial)
o el PIN para confirmarlo.

Claves de seguridad FIDO2

FIDO (Fast IDentity Online) Alliance ayuda a promover los estándares de autenticación abiertos y a
reducir el uso de contraseñas como forma de autenticación. FIDO2 es el estándar más reciente que
incorpora el estándar de autenticación web (WebAuthn).

Las claves de seguridad FIDO2 son un método de autenticación sin contraseña basado en estándares
que no permite la suplantación de identidad y que puede venir en cualquier factor de forma. Fast
Identity Online (FIDO) es un estándar abierto para la autenticación sin contraseña. FIDO permite a los
usuarios y a las organizaciones aprovechar el estándar para iniciar sesión en sus recursos sin un nombre
de usuario o una contraseña mediante una clave de seguridad externa o una clave de plataforma
integrada en un dispositivo.

Los usuarios pueden registrarse y luego seleccionar una llave de seguridad de FIDO2 en la interfaz de
inicio de sesión como medio principal de autenticación. Estas llaves de seguridad de FIDO2 suelen ser
dispositivos USB, pero también pueden usar Bluetooth o NFC. Con un dispositivo de hardware que
controla la autenticación, se aumenta la seguridad de una cuenta, ya que no hay ninguna contraseña
que pueda quedar expuesta ni adivinarse.

IDENTIDADES EXTERNAS DE AZURE

Una identidad externa es una persona, un dispositivo, un servicio, etc. que está fuera de la organización.
Azure AD External Identities hace referencia a todas las formas en que puede interactuar de forma
segura con usuarios externos a su organización. Si quiere colaborar con asociados, distribuidores o
proveedores, puede compartir los recursos y definir cómo los usuarios internos pueden acceder a
organizaciones externas. Si es un desarrollador que crea aplicaciones orientadas al consumidor, puede
administrar las experiencias de identidad de los clientes.

52
Las identidades externas pueden parecerse al inicio de sesión único. Con External Identities, los usuarios
externos pueden "traer sus propias identidades". Tanto si tienen una identidad digital corporativa o
gubernamental, como una identidad social no administrada, como Google o Facebook, pueden usar sus
propias credenciales para iniciar sesión. El proveedor de identidades administra la identidad del usuario
externo y el usuario administra el acceso a sus aplicaciones con Azure AD o Azure AD B2C para mantener
protegidos los recursos.

Diagrama que muestra a los colaboradores B2B accediendo a su inquilino y a los colaboradores B2C accediendo al inquilino AD
B2C.

Las siguientes funcionalidades componen External Identities:

 Colaboración de empresa a empresa (B2B): colabore con usuarios externos y permítales usar
su identidad preferida para iniciar sesión en las aplicaciones de Microsoft u otras aplicaciones
empresariales (aplicaciones SaaS, aplicaciones desarrolladas de forma personalizada, etc.). Los
usuarios de colaboración B2B se representan en el directorio, normalmente como usuarios
invitados.
 Conexión directa B2B: establezca una confianza mutua y en dos sentidos con otra Azure AD
para una colaboración sin problemas. La conexión directa B2B actualmente es compatible con
los canales compartidos de Teams, lo que permite a los usuarios externos acceder a sus
recursos desde sus instancias principales de Teams. Los usuarios de conexión directa B2B no se
representan en el directorio, pero son visibles desde el canal compartido de Teams y se pueden
supervisar en Teams informes del centro de administración.

53
  Empresa a cliente de Azure AD (B2C): publique aplicaciones SaaS modernas o aplicaciones
desarrolladas de forma personalizada (excepto aplicaciones de Microsoft) para consumidores y
clientes, mientras usa Azure AD B2C para la administración de identidades y acceso.

En función de cómo quiera interactuar con organizaciones externas y los tipos de recursos que necesite
compartir, puede usar una combinación de estas funcionalidades.

Con Azure Active Directory (Azure AD), puede habilitar fácilmente la colaboración entre distintas
organizaciones mediante la característica B2B de Azure AD. Los usuarios invitados de otros inquilinos
pueden ser invitados por los administradores o por otros usuarios. Esta capacidad también se aplica a
las identidades sociales como las cuentas Microsoft.

También puede asegurarse fácilmente de que los usuarios invitados tengan el acceso adecuado. Puede
pedir a los invitados o a quien decida en su lugar que participen en una revisión de acceso y vuelvan a
certificar (o atestiguar) el acceso de los invitados. Los revisores pueden dar su aprobación para cada
necesidad de acceso continuado de los usuarios, en función de las sugerencias de Azure AD. Cuando una
revisión de acceso haya terminado, es posible hacer cambios y retirar la concesión de acceso a los
invitados que ya no lo necesitan.

EL ACCESO CONDICIONAL DE AZURE

El acceso condicional es una herramienta que usa Azure Active Directory para permitir (o denegar) el
acceso a los recursos en función de señales de identidad. Estas señales incluyen quién es el usuario,
dónde se encuentra y desde qué dispositivo solicita el acceso.

Con el acceso condicional, los administradores de TI pueden:

 permitir a los usuarios ser productivos en cualquier momento y lugar;

 proteger los recursos de la organización.

El acceso condicional también proporciona una experiencia de autenticación multifactor más

pormenorizada para los usuarios. Por ejemplo, es posible que al usuario no se le solicite un segundo
factor de autenticación si está en una ubicación conocida. Pero si sus señales de inicio de sesión son
inusuales o su ubicación es inesperada, es posible que se le exija un segundo factor de autenticación.

Durante el inicio de sesión, el acceso condicional recopila señales del usuario, toma decisiones basadas
en esas señales y, después, aplica esa decisión para permitir o denegar la solicitud de acceso, o bien
exigir una respuesta de autenticación multifactor.

En el diagrama siguiente se muestra este flujo:

Diagrama en el que se muestra el flujo de acceso condicional de una señal que lleva a una decisión, que a su vez lleva a su
aplicación.

En este caso, la señal podría ser la ubicación del usuario, su dispositivo o la aplicación a la que intenta
acceder.
En función de estas señales, la decisión puede ser permitir el acceso completo si el usuario inicia sesión
desde su ubicación habitual. Si el usuario inicia sesión desde una ubicación inusual o una ubicación

54
marcada como de alto riesgo, el acceso puede bloquearse por completo, o bien podría concederse
después de que el usuario proporcione una segunda forma de autenticación.

La aplicación es la acción que lleva a cabo la decisión. Por ejemplo, la acción es permitir el acceso o
exigir al usuario que proporcione una segunda forma de autenticación.

¿Cuándo se puede usar el acceso condicional?

El acceso condicional resulta útil en los casos siguientes:

 Exija la autenticación multifactor (MFA) para acceder a una aplicación en función del rol, la
ubicación o la red del solicitante. Por ejemplo, podría requerir MFA para administradores, pero
no para usuarios normales o personas que se conectan desde fuera de la red corporativa.
 Para requerir el acceso a los servicios solo a través de aplicaciones cliente aprobadas. Por
ejemplo, podría limitar qué aplicaciones de correo electrónico pueden conectarse al servicio de
correo electrónico.
 Exija que los usuarios accedan a la aplicación solo desde dispositivos administrados. Un
dispositivo administrado es un dispositivo que cumple los estándares de seguridad y
cumplimiento.
 Para bloquear el acceso desde orígenes que no son de confianza, como ubicaciones
desconocidas o inesperadas.

EL CONTROL DE ACCESO BASADO EN ROLES DE AZURE

Cuando tenemos varios equipos de TI e ingeniería, ¿cómo podemos controlar el acceso que tienen a los
recursos del entorno de nube? El principio de privilegios mínimos indica que solo debe conceder acceso
al nivel necesario para completar una tarea. Si solo necesita acceso de lectura a un blob de
almacenamiento, solo se le debe conceder acceso de lectura a ese blob de almacenamiento. No se debe
conceder acceso de escritura a ese blob ni debe tener acceso de lectura a otros blobs de
almacenamiento. Es una buena práctica de seguridad seguir.

Pero, administrar ese nivel de permisos para todo el equipo se volvería tedioso. En vez de definir los
requisitos de acceso detallados de cada individuo y, después, ir actualizándolos a medida que se vayan
creando más recursos o se unan nuevos miembros al equipo, Azure permite controlar el acceso a través
del control de acceso basado en roles de Azure (RBAC de Azure).

Azure proporciona roles integrados que describen las reglas de acceso comunes de los recursos en la
nube. También podemos definir nuestros propios roles. Cada rol tiene un conjunto asociado de
permisos de acceso que tienen que ver con ese rol. Cuando se asignan usuarios o grupos a uno o varios
roles, reciben todos los permisos de acceso asociados.

Por lo tanto, si contrata a un nuevo ingeniero y los agrega al grupo RBAC de Azure para ingenieros,
obtiene de forma automática el mismo acceso que los otros ingenieros del mismo grupo de RBAC de
Azure. De forma similar, si agrega recursos adicionales y apunta RBAC de Azure en ellos, todos los
usuarios de ese grupo de RBAC de Azure tendrán esos permisos en los nuevos recursos, así como en los
recursos existentes.

¿Cómo se aplica el control de acceso basado en roles a los recursos?

El control de acceso basado en roles se aplica a un ámbito, que es un recurso o un conjunto de recursos
en los que este acceso se permite.

En este diagrama se muestra la relación entre roles y ámbitos. Un grupo de administración, una
suscripción o un administrador de recursos podría tener el rol de propietario, por lo que se ha
aumentado el control y la autoridad. A un observador, que no se espera que realice ninguna

55
actualización, se le puede asignar un rol de Lector para el mismo ámbito, lo que le permitiría revisar u
observar el grupo de administración, la suscripción o el grupo de recursos.

Un diagrama que muestra los ámbitos y roles. La combinación de rol y ámbito se asigna a un tipo específico de
usuario o cuenta, como un observador o un administrador.

Los ámbitos pueden ser lo siguiente:

 Un grupo de administración (una colección de varias suscripciones).

 Una sola suscripción.
 Un grupo de recursos.
 Un solo recurso.
Los observadores, los usuarios que administran recursos, los administradores y los procesos
automatizados muestran los tipos de usuarios o cuentas que se suelen asignar a cada uno de los
distintos roles.

RBAC de Azure es jerárquico, ya que al conceder acceso en un ámbito primario, todos los ámbitos
secundarios heredan esos permisos. Por ejemplo:

 Cuando asignamos el rol Propietario a un usuario en el ámbito del grupo de administración,

dicho usuario podrá administrar todo el contenido de todas las suscripciones dentro de ese
grupo de administración.
 Cuando asignamos el rol Lector a un grupo en el ámbito de suscripción, los miembros de dicho
grupo podrán ver todos los grupos de recursos y recursos dentro de esa suscripción.

¿Cómo se aplica RBAC de Azure?

RBAC de Azure se aplica a cualquier acción que se inicie en un recurso de Azure que pasa por Azure
Resource Manager. Resource Manager es un servicio de administración que proporciona una forma de
organizar y proteger nuestros recursos en la nube.

Normalmente, se accede a Resource Manager a través de Azure Portal, Azure Cloud Shell, Azure
PowerShell y la CLI de Azure. RBAC de Azure no aplica permisos de acceso en el nivel de aplicación ni de
datos. La seguridad de la aplicación debe controlarla la propia aplicación.

RBAC de Azure emplea un modelo de permisos. Cuando se le asigna un rol, RBAC de Azure le permite
realizar acciones dentro del ámbito de ese rol. Si una asignación de roles nos concede permisos de
lectura a un grupo de recursos y otra asignación de roles nos concede permisos de escritura al mismo
grupo de recursos, tendremos permisos tanto de lectura como de escritura en ese grupo de recursos.

56
EL MODELO DE CONFIANZA CERO
Confianza cero es un modelo de seguridad que supone el peor de los escenarios posibles y protege los
recursos con esa expectativa. Confianza cero presupone que hay una vulneración y comprueba todas las
solicitudes como si provinieran de una red no controlada.

En la actualidad, las organizaciones necesitan un modelo de seguridad nuevo que se adapte eficazmente
a la complejidad del entorno moderno, adopte los recursos móviles y proteja a personas, dispositivos,
aplicaciones y datos dondequiera que se encuentren.

Para abordar este nuevo mundo informático, Microsoft recomienda encarecidamente el modelo de
seguridad de Confianza cero, que se basa en estos principios rectores:

 Comprobar explícitamente: realice siempre las operaciones de autorización y autenticación en

función de todos los puntos de datos disponibles.
 Usar el acceso de privilegios mínimos: limite el acceso de los usuarios con Just-in-Time y Just-
Enough-Access (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos.
 Asumir que hay brechas: minimice el radio de expansión y el acceso a los segmentos.
Comprobación del cifrado de un extremo a otro. Utilice el análisis para obtener visibilidad,
impulsar la detección de amenazas y mejorar las defensas.

Ajuste a Confianza cero

Tradicionalmente, las redes corporativas estaban restringidas, protegidas y, por lo general, eran seguras.
Solo los equipos administrados se podían unir a la red, el acceso VPN estaba estrechamente controlado
y los dispositivos personales estaban restringidos o bloqueados con frecuencia.

El modelo de Confianza cero revoluciona ese escenario. En lugar de suponer que un dispositivo es
seguro porque está dentro de la red corporativa, exige que todos los usuarios se autentiquen. Después,
concede acceso basado en la autenticación, no de la ubicación.

Diagrama en el que se compara la autenticación de todos los usuarios por parte de Confianza cero con la opción clásica de la
ubicación de red.

DEFENSA EN PROFUNDIDAD
El objetivo de la defensa en profundidad es proteger la información y evitar que personas no
autorizadas a acceder puedan sustraerla.

57
Una estrategia de defensa en profundidad usa una serie de mecanismos para ralentizar el avance de un
ataque dirigido a adquirir acceso no autorizado a los datos.

Capas de defensa en profundidad

Puede visualizar la defensa en profundidad como un conjunto de capas, con los datos que se van a
proteger en el centro y todas las demás capas en funcionamiento para proteger esa capa de datos
central.

Un diagrama de las capas de defensa en profundidad. Desde

el centro, estas capas son: datos, aplicación, proceso, red,
perímetro, identidad y acceso, y seguridad física.

Cada capa proporciona protección de modo que, si se produce una brecha en una capa, ya existe otra en
funcionamiento para evitar una mayor exposición. Este enfoque elimina la dependencia de cualquier
capa de protección única. Ralentiza un ataque y proporciona información de alertas sobre la que pueden
actuar los equipos de seguridad, ya sea de forma automática o manual.

Aquí tiene una breve descripción del rol de cada capa:

 La capa de seguridad física es la primera línea de defensa para proteger el hardware

informático del centro de datos.
 La capa de identidad y acceso controla el acceso a la infraestructura y al control de cambios.
 La capa perimetral usa protección frente a ataques de denegación de servicio distribuido
(DDoS) para filtrar los ataques a gran escala antes de que puedan causar una denegación de
servicio para los usuarios.
 La capa de red limita la comunicación entre los recursos a través de controles de acceso y
segmentación.
 La capa de proceso protege el acceso a las máquinas virtuales.
 La capa de aplicación ayuda a garantizar que las aplicaciones sean seguras y estén libres de
vulnerabilidades de seguridad.
 La capa de datos controla el acceso a los datos empresariales y de clientes que es necesario
proteger.

Estas capas proporcionan una guía para ayudarle a tomar decisiones de configuración de seguridad en
todas las capas de las aplicaciones.

58
Azure proporciona herramientas y características de seguridad en todas las capas del concepto de
defensa en profundidad. Veamos cada capa con más detalle.

Seguridad física
La protección física del acceso a los edificios y el control del acceso al hardware de proceso del centro de
datos son la primera línea de defensa.

La intención de la seguridad física es proporcionar medidas de seguridad físicas contra el acceso a los
recursos. Estas medidas garantizan que no se puedan omitir otras capas y se controle apropiadamente
la pérdida o el robo. Microsoft usa varios mecanismos de seguridad físicos en sus centros de datos de la
nube.

Identidad y acceso
La capa de identidad y acceso consiste en garantizar que las identidades están protegidas, que solo se
otorga el acceso necesario y que se registran los cambios y los eventos de inicio de sesión.

En esta capa, es importante que realice lo siguiente:

 Controle el acceso a la infraestructura y al control de cambios.

 Use el inicio de sesión único (SSO) y la autenticación multifactor.
 Audite los eventos y los cambios.

Perímetro
El perímetro de la red protege frente a ataques basados en red contra los recursos. Identificar estos
ataques, eliminar sus repercusiones y recibir alertas sobre ellos cuando suceden son formas importantes
de proteger la red.

En esta capa, es importante que realice lo siguiente:

 Use protección contra DDoS para filtrar los ataques a gran escala antes de que puedan afectar a
la disponibilidad de un sistema para los usuarios.
 Use firewalls perimetrales para identificar los ataques malintencionados contra la red y alertar
sobre ellos.

Red
En esta capa, el enfoque está en limitar la conectividad de la red en todos los recursos para permitir solo
la necesaria. Al limitar esta comunicación, se reduce el riesgo de que se propaguen los ataques a otros
sistemas de la red.

En esta capa, es importante que realice lo siguiente:

 Limite la comunicación entre los recursos.

 Deniegue de forma predeterminada.
 Restrinja el acceso entrante de Internet y limite el saliente cuando sea apropiado.
 Implemente conectividad segura a las redes locales.

Proceso
El software malintencionado, los sistemas sin revisiones aplicadas y los sistemas protegidos
inadecuadamente abren el entorno a los ataques. El enfoque en esta capa es asegurarse de que sus
recursos de proceso estén seguros y de que cuenta con los controles adecuados para minimizar los
problemas de seguridad.

En esta capa, es importante que realice lo siguiente:

 Proteja el acceso a las máquinas virtuales.

59
  Implemente la protección del punto de conexión de los dispositivos y mantenga los sistemas
revisados y actualizados.

Aplicación
La integración de la seguridad en el ciclo de vida de desarrollo de aplicaciones ayuda a reducir el número
de vulnerabilidades en el código. Todos los equipos de desarrollo deberían asegurarse de que sus
aplicaciones son seguras de forma predeterminada.

En esta capa, es importante que realice lo siguiente:

 Garantice que las aplicaciones son seguras y están libres de vulnerabilidades.

 Almacene los secretos de aplicación confidenciales en un medio de almacenamiento seguro.
 Convierta la seguridad en un requisito de diseño en todo el desarrollo de aplicaciones.

Datos
Los que almacenan y controlan el acceso a los datos son responsables de asegurarse de que están
protegidos correctamente. A menudo, los requisitos legales dictan los controles y procesos que deben
cumplirse para garantizar la confidencialidad, la integridad y la disponibilidad de los datos.

En casi todos los casos, los atacantes intentan conseguir datos:

 Almacenados en una base de datos.

 Almacenados en discos en máquinas virtuales.
 Almacenados en aplicaciones de software como servicio (SaaS), como Office 365.
 Administrados mediante el almacenamiento en la nube.

MICROSOFT DEFENDER FOR CLOUD

Microsoft Defender for Cloud es una herramienta de supervisión para la administración de la posición
de seguridad y la protección contra amenazas. Supervisa los entornos en la nube, locales, híbridos y
multinube para ofrecer instrucciones y notificaciones destinadas a reforzar la posición de seguridad.

Defender for Cloud proporciona las herramientas necesarias para proteger los recursos, realizar un
seguimiento de su posición de seguridad, protegerse frente a ciberataques y simplificar la
administración de la seguridad. La implementación de Defender for Cloud es fácil, ya está integrada de
forma nativa en Azure.

Protección allá donde se implemente

Dado que Defender for Cloud es un servicio nativo de Azure, muchos servicios de Azure se supervisan y
protegen sin necesidad de ninguna implementación. Pero si también tiene un centro de datos local o
también está funcionando en otro entorno en la nube, es posible que la supervisión de los servicios de
Azure no le proporcione una imagen completa de su situación de seguridad.

Cuando sea necesario, Defender for Cloud puede implementar automáticamente un agente de Log
Analytics para recopilar datos relacionados con la seguridad. En el caso de las máquinas de Azure, la
implementación se controla directamente. En entornos híbridos y con varias nubes, los planes de
Microsoft Defender se amplían a máquinas que no son de Azure con la ayuda de Azure Arc. Las
características de la Administración de la posición de seguridad en la nube (CSPM) se amplían a
máquinas de varias nubes sin necesidad de ningún agente.

Protecciones nativas de Azure

Defender for Cloud le permite detectar amenazas en:

 Servicios de PaaS de Azure: puede detectar amenazas dirigidas a servicios de Azure como
Azure App Service, Azure SQL, la cuenta de Azure Storage y otros servicios de datos. También
puede realizar la detección de anomalías en los registros de actividad de Azure mediante la

60
 integración nativa con Microsoft Defender para aplicaciones en la nube (anteriormente
conocido como Microsoft Cloud App Security).
 Servicios de datos de Azure: Defender for Cloud incluye capacidades que le ayudarán a
clasificar automáticamente los datos en Azure SQL. También puede obtener evaluaciones de las
posibles vulnerabilidades en los servicios de Azure SQL y Azure Storage, además de
recomendaciones sobre cómo mitigarlas.
 Redes: Defender for Cloud le permite limitar la exposición a los ataques por fuerza bruta. Si
reduce el acceso a los puertos de las máquinas virtuales mediante el acceso de máquina virtual
Just-In-Time, puede proteger la red al prevenir el acceso innecesario. Puede establecer
directivas de acceso seguro en los puertos seleccionados, solo para usuarios autorizados,
direcciones IP o intervalos de direcciones IP de origen permitidos y durante un período
limitado.

Defensa de los recursos híbridos

Además de defender el entorno de Azure, puede agregar funcionalidades de Defender for Cloud a su
entorno de nube híbrida para proteger los servidores que no sean de Azure. Obtenga inteligencia
personalizada sobre las amenazas y alertas prioritarias según su entorno específico para que pueda
centrarse en lo que más le importa.

Para ampliar la protección a las máquinas locales, implemente Azure Arc y habilite las características de
seguridad mejoradas de Defender for Cloud.

Defensa de los recursos que se ejecutan en otras nubes

Defender for Cloud también puede proteger los recursos de otras nubes (como AWS y GCP).

Por ejemplo, si ha conectado una cuenta de Amazon Web Services (AWS) a una suscripción de Azure,
puede habilitar cualquiera de estas protecciones:

 Las características de CSPM de Defender for Cloud se extienden a los recursos de AWS. Este
plan sin agente evalúa los recursos de AWS según las recomendaciones de seguridad
específicas de AWS e incluye los resultados en la puntuación de seguridad. También se evaluará
el cumplimiento de los recursos de los estándares integrados específicos de AWS (AWS CIS,
AWS PCI DSS y Procedimientos recomendados de seguridad fundamentales de AWS). La página
de inventario de recursos de Defender for Cloud es una característica habilitada para varias
nubes, que permite administrar los recursos de AWS junto con los de Azure.
 Microsoft Defender para contenedores amplía la detección de amenazas de contenedores y
defensas avanzadas a los clústeres Linux de Amazon EKS.
 Microsoft Defender para servidores proporciona detección de amenazas y defensas avanzadas
en las instancias de EC2 con Windows y Linux.

Evaluación, protección y defensa

Defender for Cloud cubre tres necesidades vitales a medida que administra la seguridad de los recursos
y las cargas de trabajo en la nube y en el entorno local:

 Evaluación continua: conozca la posición de seguridad. Identifique y realice un seguimiento de

las vulnerabilidades.
 Protección: proteja los recursos y los servicios con Azure Security Benchmark.
 Defensa: detecte y resuelva las amenazas a recursos, cargas de trabajo y servicios.

61
 Diagrama en el que se refuerza la evaluación, la protección y la defensa.

Evaluación continua
Defender for Cloud le ayuda a evaluar continuamente su entorno. Incluye soluciones de evaluación de
vulnerabilidades para las máquinas virtuales, los registros de contenedor y los servidores de SQL.

Microsoft Defender para servidores incluye integración nativa automática con Microsoft Defender para
puntos de conexión. Si ha habilitado esta integración, tendrá acceso a los hallazgos relacionados con
vulnerabilidades de la administración de amenazas y vulnerabilidades de Microsoft.

Entre estas herramientas de evaluación tendrá exámenes de vulnerabilidades regulares y detallados que
cubren el proceso, los datos y la infraestructura. Puede revisar los resultados de estos exámenes desde
Defender for Cloud y responder a ellos.

Seguridad
Desde los métodos de autenticación hasta el control de acceso y el concepto de Confianza cero, la
seguridad en la nube es un aspecto esencial que debe realizarse correctamente. Para estar protegido en
la nube, debe asegurarse de que las cargas de trabajo son seguras. Para proteger las cargas de trabajo,
necesita directivas de seguridad que se adapten a su entorno y situación. Como las directivas de
Defender for Cloud se crean sobre los controles de directivas de Azure, puede obtener la gama completa
y la flexibilidad de una solución de directivas de primer nivel. En Defender for Cloud, puede establecer
que las directivas se ejecuten en grupos de administración, entre distintas suscripciones e incluso en un
inquilino completo.

Una de las ventajas de pasar a la nube es la capacidad de crecer y escalar en función de sus necesidades,
lo que agrega nuevos servicios y recursos según sea necesario. Defender for Cloud supervisa
constantemente los nuevos recursos que se implementan en las cargas de trabajo. Defender for Cloud
evalúa si los nuevos recursos están configurados según los procedimientos recomendados de seguridad.
Si no es así, se marcan y se obtiene una lista prioritaria de recomendaciones para lo que necesita
corregir. Las recomendaciones le permitirán disminuir la superficie expuesta a ataques en cada uno de
los recursos.

La lista de recomendaciones está habilitada y es compatible con Azure Security Benchmark. Este punto
de referencia es el conjunto de directrices específico de Azure y creado por Microsoft relativo a los
procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento
comunes.

De este modo, Defender for Cloud le permite no solo establecer directivas de seguridad, sino también
aplicar estándares de configuración segura en todos los recursos.

Para ayudarle a conocer el grado de importancia que tiene cada una de las recomendaciones en su
postura global acerca de la seguridad, Defender for Cloud agrupa las recomendaciones en controles de
seguridad y agrega un valor de puntuación de la seguridad a cada control. La puntuación de seguridad le

62
proporciona un indicador a simple vista del estado de su posición de seguridad, mientras que los
controles le proporcionan una lista de trabajo de las cosas que se deben tener en cuenta para mejorar la
puntuación de seguridad y la posición de seguridad general.

Captura de pantalla en la que se muestra la puntuación de seguridad de Microsoft Defender for Cloud.

Defensa
Las dos primeras áreas se centraban en evaluar, supervisar y mantener su entorno. Defender for Cloud
también le permite defender su entorno proporcionando alertas de seguridad y características
avanzadas de protección contra amenazas.

Alertas de seguridad

Cuando Defender for Cloud detecta una amenaza en cualquier área del entorno, genera una alerta de
seguridad. Alertas de seguridad:

 Descripción de los detalles de los recursos afectados.

 Sugerencia de pasos para la corrección.
 Suministro, en algunos casos, de una opción para desencadenar una aplicación lógica en la
respuesta.

Tanto si Defender for Cloud genera una alerta como si la recibe desde un producto de seguridad
integrado, puede exportarla. La protección contra amenazas de Defender for Cloud incluye el análisis de
la cadena de eliminación de fusión, que correlaciona de manera automática las alertas del entorno en
función del análisis Cyber Kill Chain, para ayudarle a comprender mejor todo el proceso de un ataque,
dónde empezó y qué tipo de impacto tuvo en los recursos.

63
Protección contra amenazas avanzada

Defender for Cloud proporciona características avanzadas de protección contra amenazas para muchos
de los recursos implementados, incluidas las máquinas virtuales, las bases de datos SQL, los
contenedores, las aplicaciones web y la red. Entre las protecciones se incluyen la protección de los
puertos de administración de las VM con acceso Just-in-Time y controles de aplicaciones adaptables
para crear listas de permitidos con las aplicaciones que deben o no ejecutarse en las máquinas.

64
 LA ADMINISTRACIÓN Y LA
GOBERNANZA DE AZURE
LA ADMINISTRACIÓN DE COSTOS EN AZURE
LOS FACTORES QUE PUEDEN AFECTAR A LOS COSTOS EN AZURE
Azure desplaza los costos de desarrollo del gasto de capital (CapEx) de la construcción y mantenimiento
de la infraestructura y las instalaciones a un gasto operativo (OpEx) de alquiler de la infraestructura
según la necesite, ya sea de proceso, de almacenamiento, redes, etc.

Ese costo de OpEx puede verse afectado por muchos factores. Algunos de los factores que afectan son
los siguientes:

 Tipo de recurso.  Geografía.

 Consumo.  Tipo de suscripción.
 Mantenimiento.  Azure Marketplace.

Tipo de recurso
Varios factores influyen en el costo de los recursos de Azure. El tipo de recursos, la configuración del
recurso y la región de Azure afectarán cuánto cuesta un recurso. Al aprovisionar un recurso de Azure,
Azure crea instancias de uso medido para ese recurso. Los medidores realizan el seguimiento del uso de
los recursos y generan un registro de uso que se usa para calcular la factura.

Ejemplos
Con una cuenta de almacenamiento, se especifica un tipo como blob, un nivel de rendimiento, un nivel
de acceso, una configuración de redundancia y una región. La creación de la misma cuenta de
almacenamiento en otras regiones puede mostrar otros costos y el cambio de cualquiera de las
opciones de configuración también puede afectar al precio.

Captura de pantalla de la configuración de blobs de almacenamiento en la que se muestran los niveles de acceso frecuente y
esporádico.

Con una máquina virtual (VM), es posible que tenga que considerar la posibilidad de licencias para el
sistema operativo u otro software, el procesador y el número de núcleos de la máquina virtual, el
almacenamiento conectado y la interfaz de red. Como sucede con el almacenamiento, el
aprovisionamiento de la misma máquina virtual en otras regiones puede dar lugar a otros costos.

65
Captura de pantalla de la configuración de máquina virtual de Azure en la que se muestran las opciones de tamaño de la máquina
virtual.

Consumo
El pago por uso ha sido siempre un tema coherente y es el modelo de pago en la nube en el que paga
por los recursos que usa durante un ciclo de facturación. Si durante este ciclo usa más proceso, paga
más. Si usa menos en el ciclo actual, paga menos. Es un mecanismo de precios directo que permite una
máxima flexibilidad.

Pero Azure también ofrece la capacidad de comprometerse a usar una cantidad establecida de recursos
en la nube de antemano y recibir descuentos por esos recursos "reservados". Muchos servicios,
incluidas las bases de datos, el proceso y el almacenamiento, proporcionan la opción de comprometerse
con un nivel de uso y recibir un descuento, en algunos casos de hasta 72 %.

Al reservar capacidad, se compromete a usar y pagar por una determinada cantidad de recursos de
Azure durante un período determinado (normalmente uno o tres años). Con el respaldo del pago por
uso, si se produce un aumento repentino de la demanda que eclipsa lo que ha reservado previamente,
solo paga por los recursos adicionales que superen la reserva. Este modelo le permite reconocer ahorros
importantes en cargas de trabajo confiables y coherentes, a la vez que tiene la flexibilidad de aumentar
rápidamente la superficie de la nube a medida que surge la necesidad.

66
Mantenimiento
La flexibilidad de la nube permite ajustar rápidamente los recursos en función de la demanda. El uso de
grupos de recursos puede ayudar a mantener todos los recursos organizados. Para controlar los costos,
es importante mantener el entorno en la nube. Por ejemplo, cada vez que se aprovisiona una máquina
virtual, también se aprovisionan recursos adicionales, como los de almacenamiento y redes. Si
desaprovisiona la máquina virtual, es posible que esos recursos adicionales no se desaprovisionen al
mismo tiempo, ya sea de forma intencionada o involuntaria. Al vigilar los recursos y asegurarse de que
no mantiene los que ya no son necesarios, puede ayudar a controlar los costos de la nube.

Geografía
Al aprovisionar la mayoría de los recursos en Azure, debe definir una región donde se implementará el
recurso. La infraestructura de Azure se distribuye de forma global, lo que le permite implementar los
servicios de manera centralizada, acercarlos a los clientes o una solución intermedia. Esta
implementación global tiene diferencias de precios globales. El costo de la energía, la mano de obra, los
impuestos y las tarifas varían en función de la ubicación. Debido a estas variaciones, los recursos de
Azure pueden diferir en los costos de implementación en función de la región.

El tráfico de red también se ve afectado por la geografía. Por ejemplo, es menos costoso mover
información dentro de Europa que hacerlo de Europa a Asia o Sudamérica.

Tráfico de red
Las zonas de facturación son un factor a la hora de determinar el costo de algunos servicios de Azure.

El ancho de banda hace referencia a los datos que entran y salen de los centros de datos de Azure.
Algunas transferencias de datos entrantes (datos que se dirigen a los centros de datos de Azure) son
gratis. En cuanto a las transferencias de datos salientes (datos que salen de los centros de datos de
Azure), el precio de la transferencia de datos se basa en las zonas.

Una zona es una agrupación geográfica de regiones de Azure para fines de facturación. La página de
precios de ancho de banda tiene información adicional sobre los precios de la entrada, salida y
transferencia de datos.

Tipo de suscripción
Algunos tipos de suscripciones de Azure también incluyen provisiones de uso que afectan a los costos.

Por ejemplo, una suscripción de evaluación gratuita de Azure proporciona acceso a una serie de
productos de Azure gratis durante 12 meses. También incluye un crédito para gastar en los primeros 30
días de la suscripción. Obtendrá acceso a más de 25 productos que siempre son gratuitos (según la
disponibilidad de recursos y regiones).

Azure Marketplace
Azure Marketplace le permite comprar soluciones y servicios basados en Azure de proveedores de
terceros. Podría tratarse de un servidor con software preinstalado y configurado, o dispositivos de
firewall de red administrados, o bien conectores para servicios de copia de seguridad de terceros. Al
comprar productos desde Azure Marketplace, es posible que no solo pague por los servicios de Azure
que usa, sino también por los servicios o la experiencia del proveedor de terceros. El proveedor
establece las estructuras de facturación.

Todas las soluciones disponibles en Azure Marketplace están certificadas y son compatibles con las
directivas y los estándares de Azure. Las directivas de certificación pueden variar en función del tipo de
servicio o solución, y del servicio de Azure implicado. Las directivas de certificación de Marketplace
comercial tienen información adicional sobre las certificaciones de Azure Marketplace.

67
COMPARACIÓN DE LAS CALCULADORAS DE PRECIOS Y COSTO
TOTAL DE PROPIEDAD
Las calculadoras de precios y de costo total de propiedad (TCO) le ayudan a comprender los posibles
gastos de Azure. Las dos calculadoras son accesibles desde Internet y permiten crear una configuración.
Pero las dos calculadoras tienen propósitos muy diferentes.

Calculadora de precios
La calculadora de precios está diseñada para proporcionarle un costo estimado para el
aprovisionamiento de recursos en Azure. Puede obtener una estimación de recursos individuales, crear
una solución o usar un escenario de ejemplo para ver una estimación del gasto de Azure. La calculadora
de precios se centra en el costo de los recursos aprovisionados en Azure.
Nota

La calculadora de precios solo tiene fines informativos. Los precios son solo una estimación. No se aprovisiona nada al agregar
recursos a la calculadora de precios y no se le cobrará por ningún servicio que seleccione.

Con la calculadora de precios, puede calcular los costos de cualquier recurso aprovisionado, incluidos los
de proceso, almacenamiento y red asociados. Incluso puede tener en cuenta diferentes opciones de
almacenamiento, como el tipo de almacenamiento, el nivel de acceso y la redundancia.

Captura de pantalla de la calculadora de precios para referencia.

Calculadora de TCO
La calculadora de TCO está diseñada para ayudarle a comparar los costos de ejecución de una
infraestructura local en comparación con una infraestructura en la nube de Azure. Con la calculadora de
TCO, se especifica la configuración de infraestructura actual, incluidos los servidores, las bases de datos,
el almacenamiento y el tráfico de red saliente. Después, la calculadora de TCO compara los costos
previstos del entorno actual con un entorno de Azure que admite los mismos requisitos de
infraestructura.

Con la calculadora de TCO, escribe la configuración, agrega suposiciones como los costos de mano de
obra de TI y de energía, y obtiene una estimación de la diferencia de costos para ejecutar el mismo
entorno en el centro de datos actual o en Azure.

68
 Captura de pantalla de la calculadora de Coste total de propiedad.

LA HERRAMIENTA AZURE COST MANAGEMENT

Microsoft Azure es un proveedor de nube global, lo que significa que puede aprovisionar recursos en
cualquier parte del mundo. Puede aprovisionar recursos rápidamente para satisfacer una demanda
repentina, para probar una nueva característica o en caso de accidente. Si aprovisiona accidentalmente
nuevos recursos, es posible que no lo sepa hasta que le llegue la factura. Cost Management es un
servicio de Azure que ayuda a evitar esas situaciones.

¿Qué es Cost Management?

Cost Management proporciona la capacidad de comprobar rápidamente los costos de los recursos de
Azure, crear alertas basadas en el gasto de recursos y crear presupuestos que se pueden usar para
automatizar la administración de recursos.

El análisis de costos es un subconjunto de Cost Management que proporciona una vista rápida de los
costos de Azure. Con el análisis de costos, puede ver rápidamente el costo total de varias maneras
diferentes, incluido por ciclo de facturación, región, recurso, etc.

69
 Captura de pantalla de la vista inicial del análisis de costos en Azure Portal.

Los análisis de costos se usan para explorar y analizar los costos de su organización. Puede ver los costos
agregados por organización para saber dónde se acumulan estos e identificar las tendencias de gasto.
Además, puede ver los costos acumulados con el tiempo para estimar las tendencias de costos mensual,
trimestral o incluso anualmente con respecto a un presupuesto.

Alertas sobre los costos

Las alertas de costos proporcionan una única ubicación para comprobar rápidamente todos los
diferentes tipos de alertas que pueden aparecer en el servicio Cost Management. Los tres tipos de
alertas que pueden aparecer son las siguientes:

 Alertas de presupuesto.
 Alertas de crédito.
 Alertas de cuota de gasto de departamento.

Alertas de presupuesto
Las alertas de presupuesto le envían una notificación cuando el gasto, en función del uso o coste,
alcanza o supera la cantidad definida en la condición de alerta del presupuesto. Los presupuestos de
Cost Management se crean mediante Azure Portal o la API de consumo de Azure.

En Azure Portal, los presupuestos se definen por el costo. Al usar Azure Consumption API, los
presupuestos se definen por costo o por uso de consumo. Las alertas de presupuesto admiten
presupuestos basado en costes o en uso. Las alertas de presupuesto se generan automáticamente cada
vez que se cumplen las condiciones de alerta de presupuesto. Puede ver todas las alertas de costes en
Azure Portal. Cada vez que se genera una alerta, aparece en las alertas de costo. También se envía un
correo electrónico de alerta a los usuarios de la lista de destinatarios de alertas del presupuesto.

70
Alertas de crédito
Las alertas de crédito le avisan cuando se consumen los compromisos monetarios de crédito de Azure.
Los compromisos monetarios son para organizaciones con contratos Enterprise (EA). Las alertas de
crédito se generan de forma automática al 90 % y al 100 % del saldo de crédito de Azure. Cada vez que
se genera una alerta, se refleja en las alertas sobre los costos y en el correo electrónico que se envía a
los propietarios de la cuenta.

Alertas de cuota de gasto de departamento

Las alertas de cuota de gasto de departamento notifican cuándo el gasto del departamento alcanza un
umbral fijo de la cuota. Las cuotas de gasto se configuran en el portal de EA. Cada vez que se alcanza un
umbral, se genera un correo electrónico para los propietarios del departamento y se muestra en las
alertas sobre los costos. Por ejemplo, el 50 % o el 75 % de la cuota.

Presupuestos
Un presupuesto es donde se establece un límite de gasto para Azure. Puede establecer presupuestos
basados en una suscripción, un grupo de recursos, un tipo de servicio u otros criterios. Al establecer un
presupuesto, también establecerá una alerta de presupuesto. Cuando el presupuesto alcanza el nivel de
alerta de presupuesto, desencadenará una alerta de presupuesto que se muestra en el área de alertas
de costos. Si se configuran, las alertas de presupuesto también enviarán una notificación por correo
electrónico de que se ha desencadenado un umbral de alerta de presupuesto.

Un uso más avanzado de los presupuestos permite que las condiciones presupuestarias desencadenen
la automatización que suspende o modifica los recursos una vez que se haya producido la condición del
desencadenador.

LA FINALIDAD DE LAS ETIQUETAS

A medida que el uso que hacemos de la nube va en aumento, es cada vez más importante mantenerse
organizado. Una buena estrategia de organización nos ayudará a conocer cuál es nuestro uso de la nube,
así como a administrar los costos.

Un método para organizar los recursos relacionados es colocarlos en sus propias suscripciones. También
se pueden usar grupos de recursos para administrarlos. Las etiquetas de recursos son otra forma de
organizar recursos. Las etiquetas proporcionan información extra, o metadatos, sobre los recursos.
Estos metadatos son útiles para lo siguiente:

 Administración de recursos: las etiquetas permiten localizar recursos asociados a cargas de

trabajo, entornos, unidades de negocio y propietarios específicos y actuar al respecto.
 Optimización y administración de costes: las etiquetas permiten agrupar recursos para que
podamos informar sobre los costes, asignar centros de costes internos, mantener los
presupuestos a raya y predecir costes estimados.
 Administración de operaciones: las etiquetas permiten agrupar recursos según la importancia
que tiene su disponibilidad para nuestro negocio. Esta agrupación nos ayuda a formular
acuerdos de nivel de servicio (SLA), que constituyen una garantía de rendimiento o de tiempo
de actividad entre nosotros y nuestros usuarios.
 Seguridad: las etiquetas permiten clasificar los datos según su nivel de seguridad, por ejemplo,
públicos o confidenciales.
 Gobernanza y cumplimiento normativo: las etiquetas permiten identificar los recursos que
cumplen con los requisitos de gobernanza o cumplimiento normativo, como la norma ISO
27001. Las etiquetas también pueden formar parte de nuestros esfuerzos de aplicación de
estándares. Así, podríamos exigir que todos los recursos se etiqueten con un nombre de
departamento o propietario.

71
  Automatización y optimización de las cargas de trabajo: las etiquetas pueden servir para ver
todos los recursos que participan en implementaciones complejas. Por ejemplo, podemos
etiquetar un recurso con su nombre de aplicación o carga de trabajo asociado y usar un
software como Azure DevOps para realizar tareas automatizadas en esos recursos.

¿Cómo se administran las etiquetas de recursos?

Puede agregar, modificar o eliminar etiquetas de recursos mediante Windows PowerShell, la CLI de
Azure, plantillas de Azure Resource Manager, la API REST o Azure Portal.

Puede usar Azure Policy para aplicar reglas de etiquetado y convenciones. Así, podemos requerir que se
agreguen determinadas etiquetas a los nuevos recursos a medida que se aprovisionan. Asimismo,
podemos definir reglas que vuelvan a aplicar etiquetas que se han quitado. Los recursos no heredan
etiquetas de suscripciones y grupos de recursos, lo que significa que puede aplicar etiquetas en un nivel
y no hacer que se muestren automáticamente en otro nivel, lo que le permite crear esquemas de
etiquetado personalizados que cambien según el nivel (recurso, grupo de recursos, suscripción, etc.).

Ejemplo de una estructura de etiquetado

Una etiqueta de recurso se compone de un nombre y un valor. Podemos asignar una o más etiquetas a
cada recurso de Azure.

Nombre Valor
AppName Nombre de la aplicación de la que forma parte el recurso.
CostCenter Código interno del centro de costes.
Propietario Nombre del propietario de empresa responsable del recurso.
Entorno Nombre de entorno, como "Prod.", "Dev." o "Prueba".
Importancia del recurso para las operaciones empresariales, como
Impacto
"Crítico", "Gran impacto" o "Bajo impacto".

Recordemos que no es necesario requerir que una etiqueta específica esté presente en todos los
recursos. Por ejemplo, podemos decidir que solo los recursos críticos tengan la etiqueta Impacto. De
este modo, todos aquellos recursos que no estén etiquetados no se considerarán como críticos.

LAS CARACTERÍSTICAS Y HERRAMIENTAS DE

AZURE PARA LA GOBERNANZA Y EL
CUMPLIMIENTO
EL PROPÓSITO DE AZURE BLUEPRINTS
¿Qué ocurre cuando nuestra nube empieza a crecer por encima de una sola suscripción o entorno?
¿Cómo puede escalar la configuración de las características? ¿Cómo puede aplicar la configuración y las
directivas en nuevas suscripciones?

Azure Blueprints le permite estandarizar las implementaciones de entorno o suscripción en la nube. En

lugar de tener que configurar características como Azure Policy para cada nueva suscripción, con Azure
Blueprints puede definir la configuración repetible y las directivas que se aplican a medida que se crean
suscripciones. ¿Necesita un nuevo entorno de pruebas y desarrollo? Azure Blueprints permite
implementar un nuevo entorno de pruebas y desarrollo con las opciones de seguridad y cumplimiento
ya configuradas. De este modo, los equipos de desarrollo pueden crear e implementar rápidamente
nuevos entornos sabiendo que se crean de acuerdo con los estándares organizativos.

72
¿Qué son los artefactos?
Cada componente de la definición de un plano técnico se denomina artefacto.

Es posible que los artefactos no tengan parámetros adicionales (configuraciones). Un ejemplo es la

directiva Implementar la detección de amenazas en servidores SQL Server, que no requiere ninguna
configuración adicional.

Los artefactos también pueden contener uno o más parámetros que se pueden configurar. En la
siguiente captura de pantalla se muestra la directiva Ubicaciones permitidas, que incluye un parámetro
que especifica las ubicaciones que se pueden usar.

Captura de pantalla de la directiva Ubicaciones permitidas, que incluye un parámetro que especifica las ubicaciones que se pueden
usar

Puede especificar el valor de un parámetro al crear la definición del plano técnico o al asignar la
definición del plano a un ámbito. De este modo, puede mantener un plano técnico estándar, pero con la
flexibilidad suficiente para especificar los parámetros de configuración pertinentes en cada ámbito en el
que se asigne la definición.

Azure Blueprints implementa un nuevo entorno en función de todos los requisitos, las opciones y las
configuraciones de los artefactos asociados. Los artefactos pueden incluir cosas como las siguientes:

 Asignaciones de roles.
 Asignaciones de directivas.
 Plantillas de Azure Resource Manager.
 Grupos de recursos.

¿Cómo ayuda Azure Blueprints a supervisar las implementaciones?

Azure Blueprints es capaz de crear versiones, lo que le permite establecer una configuración inicial y,
después, realizar actualizaciones más adelante y asignar una nueva versión a la actualización. Con el
control de versiones, puede realizar pequeñas actualizaciones y realizar un seguimiento de las
implementaciones que se usan en el conjunto de configuración.

Con Azure Blueprints, la relación entre la definición del plano técnico (lo que debe ser implementado) y
su asignación (lo que se ha implementado) permanece. En otras palabras, Azure crea un registro que

73
asocia un recurso con el plano técnico que lo define, y gracias a esta conexión podemos realizar el
seguimiento y la auditoría de nuestras implementaciones.

EL PROPÓSITO DE AZURE POLICY

¿Cómo puede asegurarse de que estos recursos mantengan su cumplimiento? ¿Puede recibir un aviso
cuando la configuración de un recurso cambie?

Azure Policy es un servicio de Azure que permite crear, asignar y administrar directivas que controlan o
auditan los recursos. Dichas directivas aplican distintas reglas en las configuraciones de los recursos para
que esas configuraciones sigan cumpliendo con los estándares corporativos.

¿Cómo se definen directivas en Azure Policy?

Azure Policy permite definir tanto directivas individuales como grupos de directivas relacionadas, lo que
se conoce como iniciativas. Azure Policy evalúa los recursos y resalta los que no cumplen las directivas
que hemos creado. Azure Policy también puede impedir que se creen recursos no conformes.

Las directivas de Azure se pueden establecer en cada nivel, lo que le permite establecer directivas en un
recurso específico, un grupo de recursos, una suscripción, etc. Además, las directivas de Azure se
heredan, por lo que si establece una directiva de nivel alto, se aplicará automáticamente a todas las
agrupaciones que se encuentran dentro del elemento primario. Por ejemplo, si establece una directiva
de Azure en un grupo de recursos, todos los recursos creados en ese grupo de recursos recibirán
automáticamente la misma directiva.

Azure Policy incluye definiciones de iniciativas y directivas integradas para categorías como
Almacenamiento, Redes, Proceso, Centro de Seguridad y Supervisión. Por ejemplo, si define una
directiva que permite usar exclusivamente un determinado tamaño para las máquinas virtuales (VM) en
el entorno, esa directiva se invoca al crear una nueva máquina virtual y cada vez que se cambia el
tamaño de las ya existentes. Azure Policy también evalúa y supervisa todas las máquinas virtuales
actuales del entorno, incluidas las máquinas virtuales que se crearon antes de crear la directiva.

En algunos casos, Azure Policy puede corregir automáticamente los recursos y configuraciones no
conformes para garantizar la integridad del estado de los recursos. Por ejemplo, si todos los recursos de
un determinado grupo de recursos deben etiquetarse con la etiqueta AppName y un valor de
"SpecialOrders", Azure Policy aplicará automáticamente esa etiqueta si se ha quitado. Sin embargo,
sigue conservando el control total del entorno. Si tiene un recurso específico que no desea que Azure
Policy corrija automáticamente, puede marcar ese recurso como una excepción y la directiva no
corregirá automáticamente ese recurso.

Azure Policy se integra con Azure DevOps aplicando directivas de integración continua y canalización de
entrega que competen a las fases de implementación anterior y posterior de las aplicaciones.

¿Qué son las iniciativas Azure Policy?

Una iniciativa de Azure Policy es una forma de agrupar las directivas relacionadas. La definición de
iniciativa contiene todas las definiciones de directiva para facilitar el seguimiento del estado de
cumplimiento de cara a un objetivo mayor.

Por ejemplo, Azure Policy incluye una iniciativa denominada Habilitar la supervisión en Azure Security
Center. Su objetivo es supervisar todas las recomendaciones de seguridad disponibles para todos los
tipos de recursos de Azure en Azure Security Center.

En esta iniciativa se incluyen las siguientes definiciones de directiva:

 Supervisar base de datos SQL sin cifrar en Security Center: esta directiva supervisa servidores
y bases de datos SQL sin cifrar.

74
  Supervisión de los puntos vulnerables del sistema operativo en Security Center: esta directiva
supervisa los servidores que no cumplen la línea base de la vulnerabilidad del sistema operativo
configurada.
 Supervisar la falta de Endpoint Protection en Security Center: esta directiva supervisa los
servidores que no tienen instalado un agente de Endpoint Protection.

La iniciativa Habilitar la supervisión en Azure Security Center contiene más de 100 definiciones de
directiva independientes, de hecho.

EL PROPÓSITO DE BLOQUEOS DE RECURSOS

Los bloqueos de recursos impiden que se eliminen o modifiquen recursos por error.

Aun cuando haya directivas de control de acceso basado en roles de Azure (RBAC de Azure) en vigor,
sigue existiendo el riesgo de que alguien con el nivel de acceso adecuado elimine recursos de nube
críticos. Los bloqueos de recursos impiden que los recursos se eliminen o actualicen, según el tipo de
bloqueo. Los bloqueos de recursos se pueden aplicar a recursos individuales, grupos de recursos o
incluso a una suscripción completa. Los bloqueos de recursos se heredan, lo que significa que si coloca
un bloqueo de recursos en un grupo de recursos, también se aplicará el bloqueo a todos los recursos
dentro del grupo.

Tipos de bloqueos de recursos

Hay dos tipos de bloqueos de recursos, uno que impide que los usuarios eliminen un recurso y otro que
impide que los usuarios lo cambien o eliminen.

 Eliminar significa que los usuarios autorizados pueden leer y modificar un recurso, pero no
eliminarlo.
 ReadOnly significa que los usuarios autorizados solo pueden leer recursos, pero no actualizarlos
ni eliminarlos. Aplicar este bloqueo es similar a restringir todos los usuarios autorizados a los
permisos concedidos por el rol Lector.

¿Cómo se administran los bloqueos de recursos?

Los bloqueos de recursos se pueden administrar en Azure Portal, PowerShell, la CLI de Azure o con una
plantilla de Azure Resource Manager.

Para ver, agregar o eliminar bloqueos en Azure Portal, vaya a la sección Configuración del panel
Configuración de cualquier recurso en Azure Portal.

Captura de pantalla que muestra el control del bloqueo de recurso para una cuenta de almacenamiento, en configuración.

75
¿Cómo se elimina o cambia un recurso bloqueado?
Aunque los bloqueos impiden que se produzcan cambios por error, se pueden seguir realizando cambios
realizando un proceso de dos pasos.

Para modificar un recurso bloqueado, primero hay que quitar el bloqueo. Tras quitarlo, podemos aplicar
cualquier acción que podamos realizar de acuerdo a nuestros permisos. Los bloqueos de recursos se
aplican con independencia de los permisos RBAC. Es decir, aun siendo el propietario del recurso,
tendremos que quitar el bloqueo antes de poder realizar la actividad bloqueada.

LAS VENTAJAS DEL PORTAL DE CONFIANZA DE SERVICIOS

El Portal de confianza de servicios de Microsoft es un portal que proporciona contenido, herramientas y
otros recursos sobre las prácticas de seguridad, privacidad y cumplimiento de Microsoft.

El Portal de confianza de servicios contiene detalles sobre la implementación de controles y procesos de

Microsoft que protegen nuestros servicios en la nube y los datos de los clientes que contienen. Para
acceder a algunos de los recursos del Portal de confianza de servicios, debe iniciar sesión con un usuario
autenticado con su cuenta de Servicios en la nube de Microsoft (cuenta de organización de Azure Active
Directory). Deberá revisar y aceptar el acuerdo de no divulgación de Microsoft para acceder a los
materiales de cumplimiento.

Acceso al Portal de confianza de servicios

Puede acceder al Portal de confianza de servicios en https://servicetrust.microsoft.com/.

Captura de pantalla del Portal de confianza de servicios con los elementos principales del menú visibles.

Las características y el contenido del Portal de confianza de servicios son accesibles desde el menú
principal. Las categorías del menú principal son:

 El Portal de confianza de servicios proporciona un hipervínculo de acceso rápido para volver a

la página principal del Portal de confianza de servicios.
 Mi biblioteca le permite guardar (o fijar) documentos para acceder rápidamente a ellos en la
página Mi biblioteca. También puede establecer una configuración para recibir notificaciones
cuando se actualicen los documentos en Mi biblioteca.

76
  Todos los documentos es un único lugar de aterrizaje para documentos del portal de confianza
de servicios. En Todos los documentos se pueden anclar documentos para que aparezcan en
Mi biblioteca.
Nota

Los informes y documentos del Portal de confianza de servicios están disponibles para descargarse durante al menos 12 meses
después de la publicación o hasta que haya disponible una nueva versión del documento.

LAS CARACTERÍSTICAS Y HERRAMIENTAS PARA

ADMINISTRAR E IMPLEMENTAR RECURSOS DE
AZURE
LAS HERRAMIENTAS PARA INTERACTUAR CON AZURE
Para sacar el máximo partido de Azure, necesita una manera de interactuar con el entorno de Azure, los
grupos de administración, las suscripciones, los grupos de recursos, los recursos, etc. Azure proporciona
varias herramientas para administrar el entorno, lo que incluye:

 Azure portal.
 Azure PowerShell.
 Interfaz de la línea de comandos (CLI) de Azure.

¿Qué es Azure Portal?

Azure Portal es una consola unificada basada en web que proporciona una alternativa a las
herramientas de línea de comandos. Con Azure Portal, puedes administrar la suscripción de Azure
mediante una interfaz gráfica de usuario. Puede:

 Construir, administrar y supervisar todo, desde aplicaciones web sencillas hasta complejas
implementaciones en la nube.
 Crear paneles personalizados para una visualización organizada de los recursos.
 Configurar opciones de accesibilidad para una experiencia óptima.
Azure Portal está diseñado para proporcionar resistencia y disponibilidad continua. Mantiene una
presencia en todos los centros de datos de Azure. Esta configuración hace que Azure Portal sea
resistente a los errores de centros de datos individuales y evita que se ralentice la red al estar cerca de
los usuarios. Azure Portal no deja de actualizarse y no requiere tiempo de inactividad para las
actividades de mantenimiento.

Azure Cloud Shell

Azure Cloud Shell es una herramienta de Shell basada en explorador que permite crear, configurar y
administrar recursos de Azure mediante un Shell. Azure Cloud Shell admite tanto Azure PowerShell
como la interfaz de la línea de comandos (CLI) de Azure, que es un Shell de Bash.

Puede acceder a Azure Cloud Shell desde el Portal de Azure seleccionando el icono de Cloud Shell:

77
 Captura de pantalla que muestra el Portal de Azure con el icono de Cloud Shell resaltado.

Azure Cloud Shell tiene varias características que lo convierten en una oferta única que le proporciona
asistencia para administrar Azure. Algunas de esas características son:

 Es una experiencia de Shell basada en explorador, que no requiere instalación ni configuración

local.
 Se autentica con las credenciales de Azure, por lo que cuando inicia sesión en él, sabe de forma
inherente quién es y qué permisos tiene.
 Se elige el Shell con el que se está más familiarizado; Azure Cloud Shell admite tanto Azure
PowerShell como la CLI de Azure (que usa Bash).

¿Qué es Azure PowerShell?

Azure PowerShell es un Shell que permite a los desarrolladores y a los profesionales de TI y DevOps
ejecutar comandos denominados command-lets (cmdlets). Estos comandos llaman a la API de REST de
Azure para realizar las tareas de administración en Azure. Los cmdlets se pueden ejecutar de forma
independiente para controlar los cambios puntuales o se pueden combinar para ayudar a orquestar
acciones complejas como:

 La configuración de rutinas, la anulación y el mantenimiento de un único recurso o de varios

recursos conectados.
 La implementación de una infraestructura completa, que puede contener decenas o cientos de
recursos, de código imperativo.

La captura de los comandos en un script hace que el proceso se pueda repetir y automatizar.

Además de estar disponible a través de Azure Cloud Shell, puede instalar y configurar Azure PowerShell
en plataformas Windows, Linux y Mac.

¿Qué es la CLI de Azure?

La CLI de Azure es funcionalmente equivalente a Azure PowerShell, y la diferencia principal es la sintaxis
de los comandos. Azure PowerShell usa comandos de PowerShell y la CLI de Azure usa comandos de
Bash.

La CLI de Azure proporciona las mismas ventajas de controlar tareas discretas u organizar operaciones
complejas a través del código. También se puede instalar en plataformas Windows, Linux y Mac, así
como a través de Azure Cloud Shell.

Debido a las similitudes en las funcionalidades y el acceso entre Azure PowerShell y la CLI de Azure
basada en Bash, la elección entre uno y otra depende básicamente del lenguaje con el que esté más
familiarizado.

78
EL PROPÓSITO DE AZURE ARC
La administración de entornos híbridos y de varias nubes puede complicarse rápidamente. Azure
proporciona una serie de herramientas para aprovisionar, configurar y supervisar recursos de Azure.
¿Qué ocurre con los recursos locales en una configuración híbrida o los recursos de nube en una
configuración de varias nubes?

Al usar Azure Resource Manager (ARM), Arc le permite ampliar el cumplimiento y la supervisión de
Azure a las configuraciones híbridas y de varias nubes. Azure Arc simplifica el gobierno y la
administración al ofrecer una plataforma de administración local y multinube coherente.

Azure Arc proporciona una manera centralizada y unificada de:

 Administrar todo el entorno mediante la proyección de los recursos existentes que no son de
Azure en ARM.
 Administrar las máquinas virtuales híbridas y de varias nubes, los clústeres de Kubernetes y las
bases de datos como si se ejecutaran en Azure.
 Usar los servicios y funcionalidades de administración de Azure que conozca,
independientemente de dónde se encuentren.
 Seguir usando ITOps tradicionales al tiempo que se incorporan procedimientos de DevOps para
admitir en el entorno patrones nuevos y nativos de nube.
 Configurar ubicaciones personalizadas como una capa de abstracción a partir del clúster de
Kubernetes habilitado para Azure Arc y las extensiones de clúster.

¿Qué puede hacer Azure Arc fuera de Azure?

Actualmente, Azure Arc le permite administrar los siguientes tipos de recursos hospedados fuera de
Azure:

 Servidores.
 Clústeres de Kubernetes.
 Servicios de datos de Azure.
 SQL Server.
 Máquinas virtuales (versión preliminar).

LAS PLANTILLAS DE AZURE RESOURCE MANAGER Y AZURE ARM

Azure Resource Manager (ARM) es el servicio de implementación y administración de Azure.
Proporciona una capa de administración que le permite crear, actualizar y eliminar recursos de la cuenta
de Azure. Cada vez que haga algo con los recursos de Azure, ARM está implicado.

Cuando un usuario envía una solicitud de cualquiera de las herramientas, API o SDK de Azure, ARM la
recibe. ARM autentica y autoriza la solicitud. Después, ARM envía la solicitud al servicio de Azure, que
lleva a cabo la acción solicitada. Verá resultados y funcionalidades coherentes en todas las
herramientas, ya que todas las solicitudes se controlan mediante la misma API.

Ventajas de Azure Resource Manager

Con Azure Resource Manager, puede realizar lo siguiente:

 Administrar la infraestructura mediante plantillas declarativas en lugar de scripts. Una plantilla

de Resource Manager es un archivo JSON que define lo que quiere implementar en Azure.
 Implementar, administrar y supervisar todos los recursos de la solución en grupo, en lugar de
controlarlos individualmente.
 Vuelva a implementar la solución a lo largo del ciclo de vida de desarrollo y tenga la seguridad
de que los recursos se implementan en un estado coherente.
 Defina las dependencias entre recursos de modo que se implementen en el orden correcto.

79
  Aplique control de acceso a todos los servicios, puesto que RBAC se integra de forma nativa en
la plataforma de administración.
 Aplicar etiquetas a los recursos para organizar de manera lógica todos los recursos de la
suscripción.
 Comprenda la facturación de la organización viendo los costos de un grupo de recursos que
comparten la misma etiqueta.

Plantillas de ARM
La infraestructura como código es un concepto en el que la infraestructura se administra como líneas de
código. Aprovechar Azure Cloud Shell, Azure PowerShell o la CLI de Azure son algunos ejemplos de uso
del código para implementar la infraestructura en la nube. Las plantillas de ARM son otro ejemplo de
infraestructura como código en acción.

Al usar plantillas de ARM, puede describir los recursos que quiere usar en un formato JSON declarativo.
Con una plantilla de ARM, el código de implementación se comprueba antes de que se ejecute cualquier
código. Esto garantiza que los recursos se crearán y se conectarán correctamente. A continuación, la
plantilla organiza la creación de esos recursos en paralelo. Es decir, si necesita 50 instancias del mismo
recurso, se crean las 50 instancias al mismo tiempo.

Por último, el desarrollador, profesional de DevOps o profesional de TI solo tiene que definir el estado y
la configuración de cada recurso en la plantilla de Resource Manager, y la plantilla hace el resto. Las
plantillas pueden incluso ejecutar scripts de PowerShell y Bash antes o después de configurar el recurso.

Ventajas del uso de plantillas de ARM

Las plantillas de ARM proporcionan muchas ventajas al planear la implementación de recursos de Azure.
Algunas de esas ventajas son las siguientes:

 Sintaxis declarativa: las plantillas de Resource Manager permiten crear e implementar una
infraestructura de Azure completa de forma declarativa. La sintaxis declarativa significa que
declara lo que quiere implementar, pero no es necesario escribir los comandos de
programación y la secuencia reales para implementar los recursos.
 Resultados repetibles: Implemente repetidamente la infraestructura a lo largo del ciclo de vida
del desarrollo y tenga la seguridad de que los recursos se implementan de forma coherente.
Puede usar la misma plantilla de ARM para implementar varios entornos de desarrollo y
pruebas, sabiendo que todos los entornos son los mismos.
 Orquestación: No tiene que preocuparse por la complejidad de las operaciones de ordenación.
Azure Resource Manager orquesta la implementación de recursos interdependientes para que
se creen en el orden correcto. Siempre que sea posible, Azure Resource Manager implementa
los recursos en paralelo para que las implementaciones finalicen más rápido que las
implementaciones en serie. La plantilla se implementa mediante un comando, en lugar de
hacerlo con varios comandos imperativos.
 Archivos modulares: Puede dividir las plantillas en componentes más pequeños y reutilizables
y vincularlos en el momento de la implementación. También puede anidar una plantilla dentro
de otra. Por ejemplo, podría crear una plantilla para una pila de máquinas virtuales y, después,
anidar esa plantilla dentro de las que implementan entornos completos, y esa pila de máquinas
virtuales se implementará de forma coherente en cada una de las plantillas de entorno.
 Extensibilidad: con los scripts de implementación, puede agregar scripts de PowerShell o Bash
a las plantillas. Los scripts de implementación amplían su capacidad para configurar recursos
durante la implementación. Un script se puede incluir en la plantilla, o bien almacenarse en un
origen externo y hacerle referencia en la plantilla. Los scripts de implementación le ofrecen la
posibilidad de completar la configuración del entorno integral en una sola plantilla de ARM.

80
LAS HERRAMIENTAS DE SUPERVISIÓN DE AZURE
EL PROPÓSITO DE AZURE ADVISOR
Azure Advisor evalúa los recursos de Azure y hace recomendaciones que contribuyen a mejorar la
confiabilidad, la seguridad y el rendimiento, lograr la excelencia operativa y reducir los costos. Azure
Advisor está diseñado para ayudarle a ahorrar tiempo en la optimización en la nube. El servicio de
recomendaciones sugiere medidas que puede adoptar de inmediato, posponer o descartar.

Las recomendaciones están disponibles con Azure Portal y la API. Además, es posible configurar
notificaciones para estar al tanto de las nuevas recomendaciones.

Cuando está en Azure Portal, el panel de Advisor muestra recomendaciones personalizadas para todas
las suscripciones. Puede usar filtros a fin de seleccionar recomendaciones para suscripciones, grupos de
recursos o servicios específicos. Las recomendaciones se dividen en cinco categorías:

 La fiabilidad se usa para garantizar y mejorar la continuidad de las aplicaciones críticas para la
empresa.
 La seguridad se usa para detectar amenazas y vulnerabilidades que podrían conducir a
vulneraciones de la seguridad.
 El rendimiento se usa para mejorar la velocidad de las aplicaciones.
 La excelencia operativa se usa para aumentar la eficiencia de procesos y flujos de trabajo,
mejorar la administración de recursos y obtener procedimientos recomendados para la
implementación.
 El costo se usa para optimizar y reducir el gasto general de Azure.

En la imagen siguiente se muestra el panel de Azure Advisor.

Captura de pantalla del panel de Azure Advisor con cuadros para las áreas de recomendaciones principales.

AZURE SERVICE HEALTH

Microsoft Azure proporciona una solución global en la nube para ayudarle a administrar sus necesidades
de infraestructura, llegar a sus clientes, innovar y adaptarse rápidamente. Conocer el estado de la
infraestructura global de Azure y los recursos individuales podría parecer una tarea abrumadora. Azure

81
Service Health le permite realizar un seguimiento de los recursos de Azure, tanto los recursos
implementados específicamente como el estado general de Azure. Azure Service Health lo hace
combinando tres servicios de Azure diferentes:

 Estado de Azure es una visión general del estado de Azure de forma global. Estado de Azure
informa de las interrupciones de servicio en Azure en la página de estado de Azure. La página
es una vista global del estado de todos los servicios y regiones de Azure. Es una buena
referencia de los incidentes con un impacto generalizado.
 Service Health proporciona una vista más limitada del estado de los servicios y regiones de
Azure. Se centra en los servicios y regiones de Azure que usa. Es el mejor lugar para buscar
comunicaciones que afecten a los servicios relativos a interrupciones, actividades de
mantenimiento planeado y otros avisos de mantenimiento, ya que tras la autenticación, Service
Health conoce los servicios y recursos que usa en la actualidad. Incluso puede configurar las
alertas de Service Health para que le envíen notificaciones cuando se produzcan problemas del
servicio, mantenimientos planeados o cualquier otro cambio que pueda afectar a los servicios y
regiones de Azure que usa.
 Resource Health es una vista personalizada de los recursos reales de Azure. Proporciona
información sobre el estado de los recursos en la nube individuales, como una instancia de
máquina virtual concreta. Mediante Azure Monitor también puede configurar alertas que le
notifiquen los cambios de disponibilidad de los recursos en la nube.

Con el Estado de Azure, Service Health y Resource Health, Azure Service Health ofrece una vista
completa de todo el entorno de Azure, desde el estado global de los servicios y regiones de Azure hasta
los recursos específicos. Además, las alertas históricas se almacenan y son accesibles para su revisión
posterior. Algo que inicialmente pensó que era una simple anomalía que se ha convertido en una
tendencia, se puede revisar e investigar fácilmente gracias a las alertas históricas.

Por último, en caso de que un evento afecte a una carga de trabajo que ejecute, Azure Service Health
proporciona vínculos para prestar soporte.

AZURE MONITOR
Azure Monitor es una plataforma para recopilar datos sobre los recursos, analizar esos datos, visualizar
la información e incluso actuar en función de los resultados. Azure Monitor puede supervisar los
recursos de Azure, los recursos locales e incluso los recursos de varias nubes, como las máquinas
virtuales hospedadas con otro proveedor de nube.

En el diagrama siguiente se muestra lo completo que es Azure Monitor:

82
 Ilustración en la que se muestra el flujo de información que usa Azure Monitor para proporcionar supervisión y visualización de
datos.

A la izquierda aparece una lista de los orígenes de los datos de métricas y registros, que pueden
recopilarse en cada nivel de la arquitectura de aplicaciones, desde la aplicación hasta el sistema
operativo y la red.

En el centro, los datos de registro y métricas se almacenan en repositorios centrales.

A la derecha, los datos se usan de diversas formas. Puede ver el rendimiento histórico y en tiempo real
de cada nivel de la arquitectura, o bien consultar información combinada y detallada. Los datos se
muestran en diferentes niveles para distintas audiencias. Puede ver informes de alto nivel en el panel de
Azure Monitor o crear vistas personalizadas mediante consultas de Power BI y Kusto.

Además, puede usar los datos para ayudarle a reaccionar ante eventos críticos en tiempo real gracias a
las alertas enviadas a los equipos por SMS, correo electrónico, etc. También puede usar umbrales que
desencadenen la funcionalidad de escalado automático para ajustarse a la demanda.

Azure Log Analytics

Azure Log Analytics es la herramienta de Azure Portal donde escribirá y ejecutará consultas de registro
en los datos recopilados por Azure Monitor. Log Analytics es una herramienta sólida que admite
consultas sencillas, complejas y análisis de datos. Puede escribir una consulta sencilla que devuelva un
conjunto de registros y, después, usar las características de Log Analytics para ordenarlos, filtrarlos y
analizarlos. Puede escribir una consulta avanzada para realizar análisis estadísticos y visualizar los
resultados en un gráfico para identificar una tendencia determinada. Tanto si trabaja con los resultados
de las consultas de forma interactiva como si los usa con otras características de Azure Monitor, como
las alertas de consultas de registros o los libros, Log Analytics es la herramienta que va a usar para
escribir y probar esas consultas.

Alertas de Azure Monitor

Las alertas de Azure Monitor son una manera automatizada de mantenerse informado cuando Azure
Monitor detecta que se cruza un umbral. Establezca las condiciones de alerta, las acciones de

83
notificación y, después, las alertas de Azure Monitor notifican cuándo se desencadena una alerta. En
función de la configuración, las alertas de Azure Monitor también pueden intentar realizar acciones
correctivas.

Captura de pantalla de las alertas de Azure Monitor en la que se muestran las alertas totales y después se agrupan por gravedad.

Las alertas se pueden configurar para supervisar los registros y desencadenarse en determinados
eventos de registro, o bien se pueden establecer para supervisar métricas y desencadenarse cuando se
crucen determinadas métricas. Por ejemplo, podría establecer una alerta basada en métricas para
notificarle cuándo el uso de CPU de una máquina virtual ha superado el 80 %. Las reglas de alertas
basadas en métricas proporcionan alertas casi en tiempo real con valores numéricos. Las reglas basadas
en los registros permiten una lógica compleja con datos de varios orígenes.

Las alertas de Azure Monitor usan grupos de acciones para configurar a quién realizar la notificación y
qué acción realizar. Un grupo de acciones es simplemente una colección de preferencias de
notificaciones y acciones que se asocian a una o varias alertas. Azure Monitor, Service Health y Azure
Advisor usan grupos de acciones para notificarle cuándo se ha desencadenado una alerta.

Application Insights
Application Insights, una característica de Azure Monitor, supervisa las aplicaciones web. Application
Insights es capaz de supervisar aplicaciones que se ejecutan en Azure, en el entorno local o en otro
entorno de nube.

Hay dos maneras de configurar Application Insights para ayudar a supervisar la aplicación. Puede
instalar un SDK en la aplicación, o bien puede usar el agente de Application Insights. El agente de
Application Insights se admite en C#.NET, VB.NET, Java, JavaScript, Node.js y Python.

Una vez que Application Insights esté en funcionamiento, puede usarlo para supervisar una amplia gama
de información, como la siguiente:

 Tasas de solicitudes, tiempos de respuesta y tasas de error.

 Las tasas de dependencia, los tiempos de respuesta y las tasas de error muestran si los servicios
externos ralentizan el rendimiento.
 Vistas de página y rendimiento de carga notificados por los exploradores de los usuarios.
 Llamadas AJAX desde páginas web, incluyendo tasas, tiempos de respuesta y tasas de error.
 Recuentos de usuarios y sesiones.
 Contadores de rendimiento de las máquinas de servidor de Windows o Linux, como CPU,
memoria y uso de la red.

84
Application Insights no solo le ayuda a supervisar el rendimiento de la aplicación, sino que también se
puede configurar para enviar periódicamente solicitudes sintéticas a la aplicación, lo que le permite
comprobar el estado y supervisarla incluso durante períodos de poca actividad.

85