01 Documentación de Microsoft Cloud Adoption Framework para Azure
01 Documentación de Microsoft Cloud Adoption Framework para Azure
01 Documentación de Microsoft Cloud Adoption Framework para Azure
Microsoft Cloud Adoption Framework para Azure es una guía probada que está diseñada para ayudarle a crear
e implementar las estrategias empresariales y tecnológicas necesarias para el éxito de su organización en la
nube. Proporciona procedimiento recomendado, documentación y herramientas que los arquitectos de la nube,
los profesionales de TI y los responsables de la toma de decisiones empresariales necesitan para lograr
objetivos a corto y largo plazo.
Al usar los procedimientos recomendados de Microsoft Cloud Adoption Framework para Azure, las
organizaciones pueden alinear mejor sus estrategias empresariales y técnicas para garantizar el éxito. Vea el
siguiente vídeo para obtener más información.
Cloud Adoption Framework reúne los procedimientos recomendados de adopción de la nube de los empleados,
asociados y clientes de Microsoft. Proporciona a los clientes un conjunto de herramientas, orientaciones y
documentos que ayudan a modelar la tecnología, el negocio y las estrategias de los usuarios para lograr los
resultados empresariales deseados durante su esfuerzo de adopción de la nube. Revise las instrucciones de cada
metodología a continuación, lo que le proporcionará un acceso sencillo a la guía adecuada en el momento
adecuado.
Intención
La nube cambia fundamentalmente el modo en que las empresas adquieren, usan y protegen los recursos
tecnológicos. Tradicionalmente, las empresas asumían la propiedad y la responsabilidad de todos los aspectos
de la tecnología, desde la infraestructura al software. Al cambiar a la nube, las empresas pueden aprovisionar y
consumir recursos solo cuando es necesario. Aunque la nube ofrece una gran flexibilidad en términos de
opciones de diseño, las empresas necesitan una metodología probada y coherente para la adopción de
tecnologías en la nube. Microsoft Cloud Adoption Framework para Azure cumple con esa necesidad, ayudando a
la guía de decisiones a lo largo de la adopción de la nube.
Sin embargo, la adopción de la nube es solo un medio para lograr un fin. La correcta adopción de la nube
comienza mucho antes de que se seleccione un proveedor de plataforma en la nube. Comienza cuando los
responsables de la toma de decisiones en TI y del negocio se dan cuenta de que la nube puede acelerar un
objetivo específico de transformación del negocio. Cloud Adoption Framework ayuda a alinear las estrategias
del negocio, la cultura y el cambio técnico para lograr los resultados de negocio deseados.
Cloud Adoption Framework proporciona orientaciones técnicas para Microsoft Azure. Dado que existe la
posibilidad de que los clientes empresariales no hayan completado el proceso de elección de un proveedor de la
nube o que tengan una estrategia con varias nubes, el marco proporciona una guía independiente de la nube
para la toma de decisiones estratégicas, siempre que sea posible.
Destinatarios
Esta guía afecta al negocio, a la tecnología y a la cultura de las empresas. Los roles afectados incluyen los
responsables de línea de negocio, tomadores de decisiones de negocio, tomadores de decisiones de TI, finanzas,
administradores de empresa, operaciones de TI, seguridad y cumplimiento de TI, gobernanza de TI, propietarios
de desarrollo de cargas de trabajo y propietarios de operaciones de carga de trabajo. Cada rol usa su propio
vocabulario y cada uno tiene distintos objetivos e indicadores clave de rendimiento. Un único conjunto de
contenido no puede llegar a todas las audiencias eficazmente.
Arquitecto de la nube. El arquitecto de la nube sirve como líder de pensamiento y facilitador para reunir a estas
audiencias. Esta colección de guías está diseñada para ayudar a los arquitectos de la nube a facilitar las
conversaciones correctas, con la audiencia adecuada, y a impulsar la toma de decisiones. La transformación del
negocio potenciada por la nube depende del rol del arquitecto de la nube para ayudar a guiar las decisiones en
todo el negocio y en TI.
Cada una de las secciones de Cloud Adoption Framework representa una especialización o variante diferentes
del rol de arquitecto de la nube. Estas secciones también crean oportunidades para compartir las
responsabilidades del arquitecto de la nube entre un equipo de arquitectos de la nube. Por ejemplo, la sección
de gobernanza está diseñada para arquitectos de la nube con pasión por mitigar riesgos técnicos. Algunos
proveedores de servicios en la nube se refieren a estos especialistas como administradores de la nube, nosotros
preferimos el término protectores de la nube o, colectivamente, el equipo de gobernanza de la nube.
Esta es una lista de los cambios recientes realizados en Cloud Adoption Framework.
Este marco de trabajo se ha creado de forma colaborativa con clientes, asociados y equipos internos de
Microsoft. Se publica contenido nuevo y actualizado cuando está disponible. Estas versiones le permiten probar,
validar y refinar la guía junto con nosotros. Le recomendamos que se asocie con nosotros en la creación del
Cloud Adoption Framework.
Marzo de 2021
Esta versión es la mayor actualización del marco de trabajo hecha hasta ahora y agrega una serie de nuevas
colecciones de guías de amplio alcance que abarcan todo el marco de trabajo.
Recorridos de adopción
Lo más destacado de esta versión es la incorporación de recorridos de adopción, que proporcionan una breve
superposición o lupa consumible que se sitúa por encima del marco más profundo para acelerar la interacción.
Estas guías más reducidas muestran cómo aplicar las guías de Cloud Adoption Framework, Microsoft Azure
Well-Architected Framework, el Centro de arquitectura de Azure, Microsoft Learn y otra documentación de
Microsoft para la adopción de plataformas tecnológicas específicas. En la tabla siguiente se proporcionan
vínculos a la página de información general de cada uno de estos nuevos recorridos:
Escenarios híbridos y multinube Guía del ciclo de vida para integrar las operaciones híbridas,
multinube y unificadas en el recorrido de adopción de la
nube.
Economía de la nube
Basándonos en los comentarios recibidos y las lecciones que hemos aprendido, este es el primer paso para
actualizar la metodología de estrategia mediante la integración del programa de economía de la nube de
Microsoft.
Hemos actualizado la introducción en cada categoría de resultados empresariales con referencias a casos
prácticos sobre la economía de la nube, en los que se muestra cómo las organizaciones logran el objetivo
empresarial relacionado. Las introducciones actualizadas con casos prácticos ilustrativos incluyen:
Resultados fiscales
Resultados de agilidad
Resultados de cobertura global
Resultados de la involucración del usuario
Resultados de rendimiento
Objetivos de sostenibilidad
Actualizaciones a escala empresarial
El área de diseño fundamental de la topología y la conectividad de red incluye nuevos artículos que simplifican
la explicación de los componentes individuales del diseño de red. Estos aspectos del diseño incluyen ahora
instrucciones sobre cómo conectarse a proveedores multinube como Oracle Cloud Infrastructure. También
hemos lanzado el nuevo módulo Terraform a escala empresarial para mostrar el continuo interés de Microsoft
por los enfoques de código abierto para la configuración de zonas de aterrizaje de Azure. Por último, hemos
actualizado las instrucciones sobre cómo las empresas pueden [optimizar los grupos de administración y
organizar las suscripciones](../ready/enterprise-scale/management-group-and-subscription-organization] en
Azure para cumplir los requisitos de gobernanza de la nube.
Antipatrones
A menudo, las empresas se dejan atrás pasos importantes en su recorrido de adopción de la nube. La nueva
guía de antipatrones de adopción de la nube destaca los puntos problemáticos comunes de los clientes, qué
paso omitido ha generado ese problema y la ruta más rápida para la recuperación. Los antipatrones se
distribuyen a lo largo de cada metodología, pero en la sección de introducción del marco de trabajo se
encuentra disponible una lista con los 10 principales.
Enero de 2021
Para ayudarle a acelerar la adopción y la innovación, hemos agregado información nueva sobre el uso de
GitHub y hemos actualizado las prácticas recomendadas para el aprendizaje automático. Hemos publicado un
nuevo artículo y un vídeo para ayudarle a elegir la mejor zona de aterrizaje.
De qué forma acelera GitHub la adopción de la nube En este artículo se describen las ventajas de usar GitHub
para acelerar la adopción de la nube aprovechando las
características de seguridad, la automatización, los entornos
de desarrollo colaborativo y los recursos de código abierto.
Selección de una opción de zona de aterrizaje Microsoft ofrece dos opciones de implementación para
zonas de aterrizaje: Inicio a pequeña escala y expansión y
Escala empresarial. Use este nuevo artículo para revisar
ambas opciones y elegir el enfoque adecuado para la
organización.
Diciembre de 2020
Hemos revisado las instrucciones de la estrategia de nomenclatura y etiquetado y agregado instrucciones para
escenarios de migración de Moodle.
Desarrollo de la estrategia de nomenclatura y etiquetado de Hemos adaptado las instrucciones para definir la estrategia
los recursos de Azure de nomenclatura y etiquetado. Además de la introducción,
hemos separado esta guía en varios artículos en los que se
tratan estos temas:
Migración de una implementación de Moodle a Azure Aprenda a migrar una implementación del sistema de
administración de aprendizaje de código abierto de Moodle
desde un entorno local a Azure. Se proporcionan los pasos
para usar Azure Portal o la CLI de Azure para la
implementación.
Octubre de 2020
Las actualizaciones de este mes incluyen mejoras incrementales en Cloud Adoption Framework y los recursos
web complementarios.
Nuestras mayores inversiones se han centrado en la creación de módulos de Microsoft Learn para acelerar la
aplicación de Cloud Adoption Framework. Este mes se publican los módulos que se enumeran a continuación.
Tenga en cuenta que el módulo Introducción proporciona la primera guía alineada con un mercado vertical del
sector. Presenta a un cliente minorista, Tailwind Traders, que se utilizará en todos los módulos de metodología
principales que se van a seguir.
Creación de una arquitectura de escala empresarial Cree zonas de aterrizaje a escala a partir de un conjunto de
principios de diseño, arquitecturas de referencia e
implementaciones de referencia de escala empresarial.
Cuatro módulos para crear una única ruta de aprendizaje
para triunfar.
También hemos ampliado los resultados empresariales para compartir una serie de enfoques y motivaciones
empresariales comunes que continúan surgiendo en el marketplace posterior a la COVID.
A RT ÍC ULO DESC RIP C IÓ N
Medición de los resultados empresariales con objetivos y Aprenda a usar los OKR para medir los resultados
resultados clave (OKR) empresariales.
Medición de resultados empresariales con AppDynamics Comprender la experiencia del usuario y el rendimiento de
una aplicación es fundamental para medir los resultados
empresariales. Vea cómo AppDynamics puede proporcionar
información empresarial para la mayoría de los casos de uso.
Actualización de Cost Management: VM de acceso puntual El uso de VM de acceso puntual en entornos que no son de
producción es una práctica que se está implementando
rápidamente para reducir aún más los costos en esos
entornos existentes. "Ya tengo un entorno de trabajo.
¿Cómo puedo aplicar los principios de diseño de escala
empresarial?" El nuevo artículo sobre la transición a escala
empresarial puede resultarle útil.
Transición de entornos existentes de Azure a escala Este artículo ayuda a las organizaciones a recorrer el camino
empresarial correcto según un entorno de Azure existente que realiza la
transición a la escala empresarial.
Arquitectura de la zona de aterrizaje a escala empresarial de Este artículo se actualizó para incluir un diagrama de alto
Cloud Adoption Framework nivel para una arquitectura de zona de aterrizaje de escala
empresarial basada en la topología de red de concentrador y
radio, así como actualizaciones para describir y remitir las
áreas de diseño críticas de una arquitectura de zona de
aterrizaje de escala empresarial.
25 de agosto de 2020
Esta versión proporciona mejores criterios de definición y decisión con respecto a las implementaciones de zona
de aterrizaje.
Modelo operativo
Una de las consideraciones más importantes en el diseño y la implementación de la zona de aterrizaje es el
modelo operativo. La forma en la que desea trabajar en la nube tendrá un impacto directo en la arquitectura y
los controles que se van a implementar. Los siguientes artículos le ayudarán a alinear el modelo operativo de
destino con algunos modelos comunes en la nube. A continuación, asígnelos a la implementación más adecuada
para comenzar.
Comparación de los modelos operativos más habituales Este artículo es la guía principal para comparar los modelos
operativos y elegir una línea de actuación.
Descripción de los modelos operativos en la nube Manual para tomar decisiones de importación relacionadas
con el modelo operativo.
A RT ÍC ULO DESC RIP C IÓ N
Definición del modelo operativo con CAF Cloud Adoption Framework es una guía incremental para la
creación del entorno y la adopción de la nube dentro del
modelo operativo elegido. En este artículo se crea un marco
de referencia para conocer la forma en que varias
metodologías dan soporte técnico al desarrollo de su
modelo operativo.
Zonas de aterrizaje de asociado Revise y compare las ofertas de zona de aterrizaje de Azure
de su asociado.
NOTE
Los artículos nuevos de la zona de aterrizaje de asociados no especifican la forma en la que un asociado debe definir o
implementar una zona de aterrizaje. En su lugar, se han diseñado para aportar una estructura a una conversación
compleja, para que pueda comprender mejor la oferta del asociado. Esta lista de preguntas y criterios de evaluación
mínimos también se puede usar para comparar las ofertas de posibles asociados. También la usan algunos asociados para
comunicar más claramente el valor de sus opciones de implementación de zonas de aterrizaje de Azure.
17 de julio de 2020
En esta versión se agrega una serie de escenarios nuevos para que la adopción de la nube sea más útil.
Escenarios de migración:
La nueva página de introducción a los escenarios de migración se basa en la metodología de migración para
demostrar cómo Azure proporciona cumple con la promesa de "#OneMigrate". Proporciona métodos para
migrar varios escenarios de migración propios y de terceros a Azure. Esto incluye nuevos escenarios de
migración:
Soluciones de análisis para Teradata, Netezza, Exadata Obtenga información sobre cómo migrar entornos locales
heredados como Teradata, Netezza y Exadata a soluciones de
análisis modernas.
Alta disponibilidad para Azure Synapse Obtenga información sobre una de las principales ventajas
de una moderna infraestructura basada en la nube, alta
disponibilidad integrada y recuperación ante desastres.
Lenguajes de definición de datos (DDL) para la migración de Obtenga información sobre los objetos de base de datos y
esquemas los procesos asociados al preparar la migración de los datos
existentes.
Guía de innovación de Azure: Innovación con inteligencia Obtenga información sobre cómo puede innovar con
artificial inteligencia artificial y encuentre la mejor solución en función
de sus necesidades de implementación.
Inteligencia artificial en Cloud Adoption Framework Revise un marco normativo que incluye herramientas,
programas y contenido (procedimientos recomendados,
plantillas de configuración e instrucciones de arquitectura)
que simplifican la adopción tanto de la inteligencia artificial
como de procedimientos nativos de la nube a escala.
MLOps con Azure Machine Learning Más información sobre los procedimientos recomendados
para operaciones de aprendizaje automático (MLOps).
A RT ÍC ULO DESC RIP C IÓ N
Innovación con inteligencia artificial Obtenga información sobre las soluciones de inteligencia
artificial (aprendizaje automático, aplicaciones y agentes de
inteligencia artificial, minería de conocimientos) y sobre los
procedimientos recomendados que pueden acelerar la
invención digital.
15 de junio de 2020
La configuración adecuada del entorno en la nube suele ser el primer y más habitual obstáculo técnico en la
adopción de la nube. Esta versión se centra en gran medida en las instrucciones que agilizan la implementación
de entornos en la nube. Para superar este obstáculo habitual, Cloud Adoption Framework presenta las zonas de
aterrizaje de Azure .
Zonas de aterrizaje de Azure Las zonas de aterrizaje de Azure crean un conjunto común
de áreas de diseño y opciones de implementación para
agilizar la creación de entornos coordinados con el plan de
adopción de la nube y el modelo de funcionamiento en la
nube. En este nuevo artículo se definen de forma más clara
las zonas de aterrizaje de Azure.
Zonas de aterrizaje de Azure: Áreas de diseño Todas las zonas de aterrizaje de Azure comparten un
conjunto común de ocho áreas de diseño. Antes de
implementar cualquiera de las zonas de aterrizaje de Azure,
los clientes deben tener en cuenta cada uno de estos
diseños para tomar decisiones críticas.
Zonas de aterrizaje de Azure: Opciones de implementación Elija la mejor opción de implementación de la zona de
aterrizaje de Azure, en función del plan de adopción de la
nube y el modelo de operación en la nube.
Las definiciones de plano técnico de CAF y los módulos de CAF Terraform existentes proporcionan un punto de
partida para la implementación de la zona de aterrizaje de Azure. No obstante, algunos clientes necesitan una
opción de implementación más enriquecida que pueda satisfacer las demandas de los planes de adopción de la
nube a escala empresarial. Esta versión agrega escala empresarial de CAF a las opciones de implementación
de zona de aterrizaje de Azure para satisfacer esa necesidad. A continuación se enumeran algunos de los
artículos que le ayudarán a usar las implementaciones de arquitectura y referencia de escala empresarial de
CAF.
Implementación de zonas de aterrizaje de escala empresarial Opciones de implementación rápida y ejemplos de GitHub
de CAF
Principios del diseño a escala empresarial Obtenga información sobre los principios de diseño
arquitectónicos que guían las decisiones durante la
implementación, a fin de evaluar si este enfoque se ajusta al
modelo operativo de la nube.
Guía de diseño a escala empresarial Evalúe las directrices de escala empresarial para cumplir las
áreas de diseño habituales de las zonas de aterrizaje de
Azure
Los asociados son un aspecto importante de la adopción correcta de la nube. A lo largo de la guía sobre Cloud
Adoption Framework, hemos agregado referencias para mostrar la importancia del papel que juegan los
asociados y de qué manera los clientes pueden interactuar mejor con estos. Para obtener una lista de los
asociados de CAF validados, consulte las ofertas de asociados que están en línea con CAF, de los proveedores
cualificados de servicios administrados de Azure o de los asociados especialistas avanzados.
15 de mayo de 2020
Basándonos en los comentarios, hemos creado contenido nuevo para que pueda empezar a usar Cloud
Adoption Framework. Las nuevas guías de introducción le ayudarán a navegar por la plataforma según lo que
desee realizar. También se ha creado una nueva página de aterrizaje para que sea más fácil encontrar la guía, las
herramientas, los módulos de aprendizaje y los programas que facilitan un recorrido de adopción de la nube
correcto.
Cloud Adoption Framework para Azure La página de aterrizaje de Cloud Adoption Framework se ha
rediseñado para que sea más fácil encontrar la guía, las
herramientas, los módulos de aprendizaje y los programas
que facilitan un recorrido de adopción de la nube correcto.
Introducción a Cloud Adoption Framework Elija una guía de introducción que sea adecuada para sus
objetivos de adopción de la nube. Estos escenarios comunes
proporcionan un plan de desarrollo de Microsoft Cloud
Adoption Framework para Azure
Comprensión y documentación de decisiones de alineación Obtenga más información sobre las decisiones iniciales que
fundamentales deben comprender todos los equipos implicados en la
adopción de la nube.
Comprensión y alineación de la jerarquía de la cartera Obtenga más información sobre cómo muestra una
jerarquía de cartera la adaptación de las cargas de trabajo y
los servicios auxiliares unos a otros.
¿Cómo respaldan los productos de Azure la jerarquía de la Obtenga información sobre cómo respaldan las
cartera? herramientas y soluciones de Azure la jerarquía de cartera.
14 de abril de 2020
Hemos reunido todas las herramientas y plantillas de adopción de la nube en un solo lugar para que sean más
fáciles de encontrar.
4 de abril de 2020
Iteración continua de refinamiento en las metodologías de migración y preparación para mejorar la alineación
con los comentarios de clientes, asociados de Microsoft y programas internos de Microsoft.
Actualizaciones de la metodología de migración:
Metodología de migración Estos cambios simplifican las fases del trabajo de migración
(evaluación, implementación y liberación de las cargas de
trabajo). Los cambios también quitan los detalles
relacionados con el trabajo pendiente de migración. La
eliminación de estos detalles y la referencia a las
metodologías de planeamiento, preparación y adopción en
su lugar proporciona flexibilidad para los distintos programas
de adopción de la nube a fin de mejorar la alineación con la
metodología.
Desarrollo controlado por pruebas (TDD) de las zonas de Nuevo ar tículo: el enfoque de refactorización ha mejorado
aterrizaje considerablemente a través de la adopción de un ciclo de
desarrollo controlado por pruebas para guiar el desarrollo y
la refactorización de las zonas de aterrizaje.
Desarrollo controlado por pruebas de zonas de aterrizaje en Nuevo ar tículo: las herramientas de Gobernanza en Azure
Azure proporcionan una completa plataforma para los ciclos de
desarrollo controlado por pruebas o pruebas rojo-verde.
Mejora de la seguridad en la zona de aterrizaje Nuevo ar tículo: información general sobre los
procedimientos recomendados de esta sección, en relación
con el ciclo de desarrollo controlado por pruebas.
A RT ÍC ULO DESC RIP C IÓ N
Mejora de las operaciones en la zona de aterrizaje Nuevo ar tículo: lista de procedimientos recomendados de
la metodología de administración, con una transición a ese
enfoque modular para mejorar las operaciones, la
confiabilidad y el rendimiento.
27 de marzo de 2020
Se han agregado instrucciones sobre las suscripciones iniciales que se deben crear al adoptar Azure.
Actualización de las instrucciones sobre suscripciones:
Creación de las suscripciones de Azure iniciales Nuevo ar tículo: cree las suscripciones de producción y de
no producción iniciales, y decida si desea crear suscripciones
de espacio aislado, así como una suscripción para que
contenga servicios compartidos.
Creación de suscripciones adicionales para escalar el entorno Más información acerca de las razones para crear
de Azure suscripciones adicionales, trasladar recursos entre
suscripciones y sugerencias para crear nuevas suscripciones.
Organización y administración de varias suscripciones de Cree una jerarquía de grupos de administración que le ayude
Azure a organizar, administrar y gobernar las suscripciones de
Azure.
20 de marzo de 2020
Hemos agregado instrucciones prescriptivas que incluyen las herramientas, los programas y el contenido
clasificados por rol para impulsar la implementación correcta de aplicaciones en Kubernetes, desde la prueba de
concepto a producción, seguida del escalado y la optimización.
Kubernetes:
2 de marzo de 2020
En respuesta a los comentarios sobre la continuidad en el enfoque de migración en varias secciones de Cloud
Adoption Framework entre las que se incluyen las fases de estrategia, planeamiento, preparación y migración,
hemos realizado las siguientes actualizaciones. Estas actualizaciones están diseñadas para facilitar la
comprensión de los ajustes de planeamiento y adopción a medida que continúa con el recorrido de migración.
Actualizaciones de la metodología de estrategia:
Equilibrio entre prioridades contrapuestas Nuevo ar tículo: describe el equilibrio de prioridades entre
metodologías para ayudar a tomar decisiones con
fundamento sobre su estrategia.
¿Qué es una zona de aterrizaje? Nuevo ar tículo: define el término zona de aterrizaje.
Zona de aterrizaje de la migración de CAF Se ha separado la definición del plano técnico de la selección
de la primera zona de aterrizaje.
Clasificación durante los procesos de evaluación Nuevo ar tículo: describe la importancia de clasificar cada
recurso y carga de trabajo antes de la migración.
Prueba, optimización y promoción Se ha alineado el título de este artículo con otras sugerencias
de mejora de procesos.
Cloud Adoption Framework puede ayudarle a dar sus primeros con distintas guías de introducción. En este
artículo se agrupan las guías que le ayudarán a encontrar la que mejor se ajuste a los desafíos a los que se
enfrenta actualmente.
Cada uno de los siguientes vínculos le lleva a preguntas que se suelen plantear cuando una organización intenta
lograr un objetivo determinado durante su recorrido de adopción de la nube.
Elija el escenario de adopción de la nube que mejor se adapte a su estrategia
Examen de los antipatrones entre metodologías y sus soluciones
Alinear conceptos básicos para incorporar una persona, un proyecto o un equipo
Adopción en la nube para ofrecer resultados técnicos y empresariales más rápidamente
Mejorar los controles para garantizar operaciones correctas en la nube
Establecer equipos para respaldar la adopción y las operaciones
Agilización de la adopción
La adopción de la nube requiere cambios técnicos, pero la transformación digital con la nube requiere algo más
que TI. Use estas guías para empezar a alinear varios equipos para agilizar los trabajos de migración e
innovación.
GUÍA DESC RIP C IÓ N
Queremos migrar las cargas de trabajo existentes a la nube. Esta guía es un excelente punto de partida si se va a centrar
principalmente en migrar cargas de trabajo locales a la nube.
Queremos crear productos y servicios en la nube. Esta guía puede ayudarle a preparar la implementación de
soluciones innovadoras en la nube.
Nos bloquea el diseño y la configuración del entorno. Esta guía proporciona un método rápido para diseñar y
configurar el entorno.
¿Cómo se proporciona excelencia operativa durante la Los pasos de esta guía pueden ayudar al equipo de
transformación de la nube? estrategia a llevar a cabo la administración de cambios
organizacionales necesaria para garantizar sistemáticamente
la excelencia operativa.
¿Cómo se administran los costos empresariales? Esta guía puede ayudarle a optimizar los costos
empresariales y administrar los costos en todo el entorno.
¿Cómo se protege de forma sistemática el entorno de nube Esta guía puede ayudarle a garantizar que los requisitos de
empresarial? seguridad se aplican en toda la empresa para reducir el
riesgo de vulneraciones y acelerar la recuperación cuando
estas se produzcan.
¿Cómo se aplican los controles adecuados para mejorar la Esta guía ayuda a minimizar las interrupciones relacionadas
confiabilidad? con las incoherencias en la configuración, la organización de
recursos, las bases de referencia seguridad o las directivas de
protección de recursos.
¿Cómo se garantiza el rendimiento en toda la empresa? Esta guía puede ayudarle a establecer procesos para
mantener el rendimiento en toda la empresa.
Establecimiento de equipos
En función de su estrategia de adopción y modelo operativo, puede que deba establecer algunos equipos. Esta
sección proporciona ayuda para poner en marcha esos nuevos equipos.
¿Cómo se alinea nuestra organización? Esta guía le ayuda a establecer una estructura organizativa
con el personal adecuado.
¿Es necesario un equipo de estrategia en la nube? Este equipo garantiza que el trabajo de adopción de la nube
progresa en paralelo a los resultados empresariales.
GUÍA DESC RIP C IÓ N
¿Qué función desempeña el equipo de adopción de la nube? Este equipo implementa las soluciones técnicas que se
describen en el plan, de acuerdo con los requisitos de
gobernanza.
¿Cómo se crea un equipo de gobernanza de la nube? Este equipo se asegura de que los riesgos y la tolerancia a
estos se evalúen y administren correctamente.
¿Cómo funciona un equipo de operaciones en la nube? Este equipo se centra en la supervisión, la reparación y la
corrección de problemas relacionados con operaciones y
recursos de TI tradicionales.
Primeros pasos: Comprensión y documentación de
decisiones de alineación fundamentales
24/04/2021 • 13 minutes to read • Edit Online
El recorrido de adopción de la nube puede aportar una gran cantidad de ventajas empresariales, técnicas y
organizativas. Independientemente de lo que se quiera conseguir, si el recorrido incluye la nube, existen una
serie de decisiones iniciales que todos los equipos implicados deben comprender.
NOTE
La selección de cualquiera de los siguientes vínculos puede conducirte al índice de contenidos de Microsoft Cloud
Adoption Framework para Azure para buscar conceptos fundamentales que utilizará posteriormente para ayudar al
equipo a implementar las instrucciones asociadas. Marque esta página para volver a esta lista de comprobación con
frecuencia.
Antes de empezar
A medida que avance en esta guía, registre esas decisiones fundamentales mediante la plantilla de decisiones
iniciales. La plantilla puede ayudarle a incorporar rápidamente a los miembros del equipo que participan en el
ciclo de vida de la adopción de la nube clarificando cómo se configura el entorno en la nube y por qué.
Si ya tiene un entorno que se ejecuta en Azure, Azure Governance Visualizer puede ayudarle a agilizar la
documentación. Obtenga información sobre las directivas, el control de acceso basado en rol de Azure (RBAC de
Azure), Azure Blueprints, las suscripciones, etc. A partir de los datos recopilados, la herramienta proporciona
visibilidad sobre el mapa de jerarquía, crea un resumen de inquilino y crea información detallada sobre los
grupos de administración y las suscripciones.
El equipo de estrategia en la nube es responsable de Varios equipos usarán las siguientes instrucciones para
definir una manera de ver la cartera. crear esas vistas. Todas las personas implicadas en la
adopción de la nube deben saber dónde consultar la vista de
la cartera para respaldar las decisiones que se tomarán más
adelante en el proceso.
El equipo de gobernanza de la nube es responsable de Todas las personas implicadas en la estrategia técnica para
definir, aplicar y automatizar la jerarquía de la cartera para la adopción de la nube deben estar familiarizadas con la
conformar la directiva corporativa en la nube. jerarquía de la cartera y los niveles de la jerarquía que se
usan actualmente.
Paso 5: establecer un estándar de nomenclatura y etiquetado en toda
la cartera
Todas las cargas de trabajo y los recursos existentes deben tener un nombre y una etiqueta adecuados de
acuerdo con un estándar de nomenclatura y etiquetado. Esos estándares deben documentarse y estar
disponibles como referencia para todos los miembros del equipo. Cuando sea posible, también se deben aplicar
automáticamente para garantizar que se cumplan los requisitos mínimos de etiquetado.
Resultados esperados:
Registre la ubicación, el estado y la parte responsable del libro de convenciones de nomenclatura y
etiquetado de la plantilla de decisiones iniciales.
Guía para la consecución de los resultados esperados:
Cree un estándar de nomenclatura y etiquetado.
Rellene la plantilla de seguimiento de convenciones de nomenclatura y etiquetado para realizar un
seguimiento de las decisiones.
Revise y actualice las etiquetas existentes en Azure.
Aplique directivas de etiquetado en Azure.
El equipo de gobernanza de la nube es responsable de Todas las personas implicadas en la estrategia técnica para
definir, aplicar y automatizar los estándares de nomenclatura la adopción de la nube deben estar familiarizadas con los
y etiquetado para garantizar la coherencia en toda la cartera. estándares de nomenclatura y etiquetado antes de la
implementación en la nube.
El equipo de gobernanza de la nube es responsable de Todas las personas implicadas en la estrategia técnica para
definir, implementar y automatizar el diseño de la la adopción de la nube deben estar familiarizadas con el
organización de recursos en toda la cartera. diseño de la organización de recursos antes de la
implementación en la nube.
El equipo de estrategia en la nube es responsable de Todas las personas implicadas en el ciclo de adopción de la
alinear las estructuras organizativas virtuales o dedicadas nube deben estar familiarizadas con la alineación de
para garantizar el éxito del ciclo de adopción de la nube. personas y niveles de responsabilidad.
Pasos siguientes
Tenga en cuenta este conjunto de conceptos fundamentales a través de la serie de guías de introducción de esta
sección de Cloud Adoption Framework.
Aplicar conceptos fundamentales a otras guías de introducción
¿Cómo funciona Azure?
06/03/2021 • 5 minutes to read • Edit Online
Azure es la plataforma pública en la nube de Microsoft. Azure ofrece una amplia gama de servicios entre los que
se incluyen las funcionalidades de plataforma como servicio (PaaS), infraestructura como servicio (IaaS) y
servicio de base de datos administrado. Pero, ¿qué es exactamente Azure y cómo funciona?
Azure, al igual que otras plataformas en la nube, se basa en una tecnología conocida como virtualización. La
mayor parte del hardware de equipo puede emularse en el software porque es simplemente un conjunto de
instrucciones codificadas de forma permanente o semipermanente en silicio. Mediante una capa de emulación
que asigna instrucciones de software a instrucciones de hardware, el hardware virtualizado puede ejecutarse en
el software como si fuera el propio hardware.
Básicamente, la nube es un conjunto de servidores físicos en uno o varios centros de datos que ejecutan
hardware virtualizado en nombre de los clientes. Entonces, ¿cómo crea, inicia, detiene y elimina la nube millones
de instancias de hardware virtualizado para millones de clientes a la vez?
Para comprenderlo, vamos a echar un vistazo a la arquitectura del hardware del centro de datos. En cada centro
de datos hay una colección de servidores colocados en bastidores de servidores. Cada bastidor de servidor
contiene muchas hojas de servidor, así como un conmutador de red que proporciona conectividad de red y una
unidad de distribución de energía (PDU) que suministra la alimentación. A veces, los bastidores se agrupan
conjuntamente en unidades más grandes que se conocen como clústeres.
En cada bastidor o clúster, la mayoría de los servidores están designados para ejecutar estas instancias de
hardware virtualizado en nombre del usuario. No obstante, algunos de los servidores ejecutan software de
administración en la nube conocido como controlador de tejido. El controlador de tejido es una aplicación
distribuida con muchas responsabilidades. Asigna servicios, supervisa el mantenimiento del servidor y los
servicios que se ejecutan en él, y recupera los servidores cuando se produce un error.
Cada instancia del controlador de tejido se conecta a otro conjunto de servidores que ejecutan software de
orquestación en la nube, conocido normalmente como front-end. El front-end hospeda los servicios web, las API
RESTful y las bases de datos internas de Azure utilizadas para todas las funciones que realiza la nube.
Por ejemplo, el front-end hospeda los servicios que controlan las solicitudes de cliente para asignar recursos de
Azure como máquinas virtuales y servicios como Cosmos DB. En un primer tiempo, el front-end valida el
usuario y comprueba que esté autorizado para asignar los recursos solicitados. Si es así, el front-end consulta
una base de datos para buscar un bastidor de servidores con capacidad suficiente y, luego, indica al controlador
de tejido de ese bastidor que asigne el recurso.
Así que, básicamente, Azure es una inmensa colección de servidores y hardware de red que ejecuta un complejo
conjunto de aplicaciones distribuidas para orquestar la configuración y el funcionamiento del hardware y el
software virtualizado de esos servidores. Es esta orquestación la que hace que Azure sea tan eficaz, dado que los
usuarios ya no son responsables de mantener y actualizar el hardware, ya que de todo esto se encarga Azure en
segundo plano.
Pasos siguientes
Más información sobre la adopción de la nube en Microsoft Cloud Adoption Framework para Azure.
Más información sobre Microsoft Cloud Adoption Framework para Azure
Conceptos básicos de Azure
06/03/2021 • 12 minutes to read • Edit Online
Conozca los conceptos y términos fundamentales que se usan en Azure y cómo esos conceptos se relacionan
entre sí.
Terminología de Azure
Al comenzar las labores de adopción de la nube de Azure, resulta útil conocer las siguientes definiciones:
Recurso: entidad administrada por Azure. Algunos ejemplos son máquinas virtuales, redes virtuales y
cuentas de almacenamiento de Azure.
Subscription (Suscripción): contenedor lógico para los recursos. Cada recurso de Azure está asociado a una
sola suscripción. La creación de una suscripción es el primer paso en la adopción de Azure.
Cuenta de Azure: la dirección de correo electrónico que proporciona al crear una suscripción a Azure es la
cuenta de Azure de la suscripción. La entidad que está asociada a la cuenta de correo electrónico es
responsable de los costos mensuales que generan los recursos de la suscripción. Cuando se crea una cuenta
de Azure, se proporciona información de contacto y detalles de facturación, como una tarjeta de crédito.
Puede usar la misma cuenta de Azure (dirección de correo electrónico) con varias suscripciones. Cada
suscripción está asociada solo a una cuenta de Azure.
Administrador de cuenta: la entidad asociada a la dirección de correo electrónico que se usa para crear
una suscripción a Azure. El administrador de la cuenta es responsable del pago de todos los costos que
generan los recursos de la suscripción.
Azure Active Director y (Azure AD): el servicio de administración de acceso e identidades de Microsoft,
basado en la nube. Azure AD ayuda a sus empleados a iniciar sesión y a acceder a los recursos.
Inquilino de Azure AD: instancia dedicada y de confianza de Azure AD. Se crea automáticamente cuando
su organización se suscribe por primera vez a un servicio en la nube de Microsoft, como Microsoft Azure,
Intune o Microsoft 365. Un inquilino de Azure representa una organización individual.
Directorio de Azure AD: todos los inquilinos de Azure AD tienen un directorio dedicado y de confianza. El
directorio incluye los usuarios, los grupos y las aplicaciones del inquilino. Se usa para realizar funciones de
administración de identidades y acceso para los recursos del inquilino. Un directorio puede asociarse a varias
suscripciones, pero cada suscripción solo está asociada a un directorio.
Grupos de recursos: contenedores lógicos que se usan para agrupar los recursos relacionados de una
suscripción. Cada recurso solo puede existir en un grupo de recursos. Los grupos de recursos permiten una
agrupación más detallada dentro de una suscripción y se usan normalmente para representar una colección
de los recursos necesarios para respaldar una carga de trabajo, una aplicación o una función específica
dentro de una suscripción.
Grupos de administración: contenedores lógicos que se usan para una o varias suscripciones. Puede
definir una jerarquía de grupos de administración, suscripciones, grupos de recursos y recursos para
administrar de forma eficaz el acceso, las directivas y el cumplimiento a través de la herencia.
Región: conjunto de centros de datos de Azure que se implementan dentro de un perímetro definido por la
latencia. Los centros de datos se conectan a través de una red dedicada, regional y de baja latencia. La
mayoría de los recursos de Azure se ejecutan en una región específica de Azure.
NOTE
Al suscribirse a Azure, es posible que vea la frase creación de una cuenta de Azure. Puede crear una cuenta de Azure al
crear una suscripción a Azure y asociar la suscripción a una cuenta de correo electrónico.
Suscripciones y regiones
Cada recurso de Azure está asociado lógicamente a una sola suscripción. Al crear un recurso, puede elegir la
suscripción a Azure en la que se va a implementar ese recurso. Posteriormente, puede mover un recurso a otra
suscripción.
Mientras que una suscripción no está asociada a una región específica de Azure, cada recurso de Azure se
implementa en una sola región. Puede tener recursos en varias regiones que estén asociadas a la misma
suscripción.
NOTE
La mayoría de los recursos de Azure se implementan en una región específica. Determinados tipos de recursos se
consideran recursos globales, como las directivas que se establecen mediante los servicios de Azure Policy.
Recursos relacionados
Los siguientes recursos proporcionan información detallada sobre los conceptos descritos en este artículo:
¿Cómo funciona Azure?
Administración del acceso a recursos de Azure
Información general sobre Azure Resource Manager
Control de acceso basado en roles de Azure (Azure RBAC)
¿Qué es Azure Active Directory?
Asociación o incorporación de una suscripción de Azure al inquilino de Azure Active Directory
Topologías de Azure AD Connect
Suscripciones, licencias, cuentas e inquilinos para ofertas de nube de Microsoft
Pasos siguientes
Ahora que comprende los conceptos fundamentales de Azure, aprenda a escalar con varias suscripciones de
Azure.
Escalado con varias suscripciones de Azure
Comprensión y alineación de la jerarquía de la
cartera
06/03/2021 • 27 minutes to read • Edit Online
Las necesidades empresariales se suelen atender, mejorar o acelerar a través de la tecnología de la información.
Una colección de tecnologías que proporciona un valor empresarial definido se denomina carga de trabajo. Esa
colección puede incluir aplicaciones, servidores o máquinas virtuales, datos, dispositivos y otros recursos
agrupados de forma similar.
Normalmente, un responsable de la empresa y un líder técnico se reparten el apoyo continuo de cada carga de
trabajo. En algunas fases del ciclo de vida de la carga de trabajo, estos roles están claramente definidos. En otras
fases operativas del ciclo de vida de una carga de trabajo, esos roles se pueden transferir a un equipo de
administración de operaciones común o a un equipo de operaciones en la nube. A medida que aumenta el
número de cargas de trabajo, los roles (indicados o implícitos) son más complejos o están más estructurados en
matrices.
La mayoría de las empresas recurren a varias cargas de trabajo para proporcionar funciones empresariales
esenciales. La colección de cargas de trabajo, recursos y factores de apoyo (proyectos, personas, procesos e
inversiones) se denominan cartera. La matriz de personal de negocios, desarrollo y operaciones requiere una
jerarquía de cartera para mostrar cómo se combinan todas las cargas de trabajo y los servicios de apoyo.
En este artículo se proporcionan definiciones claras para los niveles de la jerarquía de la cartera. En el artículo se
alinean varios equipos con la responsabilidad correspondiente en cada capa, y se explicita además la mejor
fuente para obtener orientaciones a fin de que ese equipo cumpla con las expectativas de ese nivel. En este
artículo, cada nivel de la jerarquía también se conoce como ámbito.
Jerarquía de la cartera
Cargas de trabajo
Las cargas de trabajo y sus recursos de apoyo se sitúan en el centro de cualquier cartera. Los ámbitos o niveles
adicionales que se indican a continuación definen cómo se ven esas cargas de trabajo y hasta qué punto se ven
afectadas por la matriz de los posibles equipos de apoyo.
Aunque los términos pueden variar, todas las soluciones de TI incluyen recursos y cargas de trabajo:
Recurso: la unidad más pequeña de función técnica que respalda una carga de trabajo o solución.
Carga de trabajo: la unidad más pequeña de soporte de TI para la empresa. Una carga de trabajo es una
colección de recursos (infraestructura, aplicaciones y datos) que respaldan un objetivo empresarial común o
la ejecución de un proceso de negocio común.
Al implementar la primera carga de trabajo, esta y sus recursos pueden ser el único ámbito definido. El resto de
niveles se pueden definir explícitamente a medida que se implementan más cargas de trabajo.
Cartera de TI
Cuando las empresas admiten cargas de trabajo mediante enfoques con matrices o enfoques centralizados, es
probable que exista una jerarquía más amplia para admitir estas cargas de trabajo:
Zonas de aterrizaje: las zonas de aterrizaje ofrecen a las cargas de trabajo las utilidades fundamentales (o
la infraestructura compartida) necesarias que se proporcionan a partir de una base de plataforma que se
requiere para admitir una o varias cargas de trabajo. Las zonas de aterrizaje son un componente esencial en
la nube; tanto, que toda la metodología de preparación de Cloud Adoption Framework se centra en las zonas
de aterrizaje. Para obtener una definición más detallada, consulte ¿Qué es una zona de aterrizaje?
Utilidades fundamentales: estos servicios de TI compartidos son necesarios para que las cargas de
trabajo funcionen dentro de la tecnología y la cartera empresarial.
Base de plataforma: esta construcción de la organización centraliza las soluciones fundamentales y ayuda
a garantizar que esos controles se aplican a todas las zonas de aterrizaje.
Plataformas en la nube: en función de la estrategia global para apoyar toda la cartera, es posible que los
clientes necesiten varias plataformas en la nube con implementaciones distintas de la base de plataforma
para controlar varias regiones, soluciones híbridas o incluso soluciones de varias nubes.
Car tera: desde un punto de vista tecnológico, la cartera es una colección de cargas de trabajo y recursos de
apoyo que abarca todas las plataformas en la nube. Desde un punto de vista empresarial, la cartera es la
colección de proyectos, personas, procesos e inversiones que respaldan y administran la cartera tecnológica
para promover los resultados empresariales. Juntos, los dos puntos de vista permiten capturar la esencia de
la cartera.
Instrucciones y responsabilidad de la jerarquía
Un equipo responsable se encarga de administrar cada nivel de la jerarquía de la cartera. En el diagrama
siguiente se muestra la correlación entre el equipo responsable y las instrucciones para respaldar sus decisiones
técnicas y empresariales, y su consiguiente implementación técnica.
NOTE
Los equipos que se mencionan en la lista siguiente podrían ser equipos virtuales o personas individuales. En ciertas
variantes de esta jerarquía, algunos de los equipos responsables se pueden reducir tal y como se describe en las variantes
de responsabilidad que se indican a continuación.
Car tera: el equipo de estrategia en la nube y el centro de excelencia en la nube (CCoE) usan las
metodologías de estrategia y planeamiento para fundamentar las decisiones que afectan a la cartera de
forma global. El equipo de estrategia en la nube es responsable del nivel empresarial de la jerarquía de la
cartera de la nube. También se debe informar a este equipo sobre las decisiones relacionadas con el entorno,
las zonas de aterrizaje y las cargas de trabajo de prioridad alta.
Plataformas en la nube: el equipo de gobernanza de la nube es responsable de las disciplinas que
garantizan la coherencia en cada entorno en consonancia con la metodología de gobernanza. El equipo de
gobernanza de la nube es responsable de la gobernanza de todos los recursos en todos los entornos. Hay
que consultar al equipo de gobernanza de la nube en relación con aquellos cambios que puedan requerir
una excepción o un cambio en las directivas de gobierno. El equipo de gobernanza de la nube también debe
estar informado del progreso con respecto a la carga de trabajo y a la adopción de recursos.
Zonas de aterrizaje y base de la nube: el equipo de plataforma en la nube es responsable de desarrollar
las zonas de aterrizaje y las utilidades de plataforma que respaldan la adopción. El equipo de automatización
en la nube es responsable de automatizar el desarrollo y el apoyo continuo a esas zonas de aterrizaje y
utilidades de la plataforma. Ambos equipos usan la metodología de preparación para guiar la
implementación. Ambos equipos deben estar informados del progreso con la adopción de la carga de
trabajo y cualquier cambio en la empresa o el entorno.
Cargas de trabajo : la adopción se produce en el nivel de carga de trabajo. Los equipos de adopción de la
nube usan las metodologías de migración e innovación para establecer procesos escalables con el fin de
acelerar la adopción. Una vez completada la adopción, es probable que la propiedad de las cargas de trabajo
se transfiera a un equipo de operaciones en la nube que use la metodología de administración para dirigir la
administración de las operaciones. Ambos equipos deben estar familiarizados con el Marco de buena
arquitectura de Microsoft Azure para tomar decisiones arquitectónicas detalladas que afecten a las cargas de
trabajo que admiten. Ambos equipos deben estar informados de los cambios en los entornos y las zonas de
aterrizaje. Ambos equipos pueden colaborar ocasionalmente en las características de la zona de aterrizaje.
Recursos: los recursos suelen ser responsabilidad del equipo de operaciones en la nube. Ese equipo usa la
línea de base de administración de la metodología de administración para guiar las decisiones de
administración de operaciones. También debe usar Azure Advisor y el Marco de buena arquitectura de Azure
para realizar los cambios detallados en los recursos y la arquitectura necesarios para cumplir con los
requisitos de las operaciones.
Variantes de responsabilidad
Entorno único: cuando una empresa solo necesita un entorno, normalmente no es necesario un CCoE.
Zona de aterrizaje única: si un entorno tiene una sola zona de aterrizaje, es probable que las
funcionalidades de gobernanza y plataforma se puedan combinar en un solo equipo.
Carga de trabajo única: algunas empresas solo necesitan una carga de trabajo, o algunas cargas de
trabajo, en una única zona de aterrizaje y un único entorno. En estos casos, no es necesario separar las tareas
entre los equipos de gobernanza, plataforma y operaciones.
Car tera: la unidad de negocio o empresa probablemente no contendrá ningún recurso técnico, pero puede
incidir en las decisiones de costos. Las unidades de negocio y empresa deben representarse en los nodos raíz
de la jerarquía de grupos de administración.
Plataformas en la nube: cada entorno debe tener su propio nodo en la jerarquía de grupos de
administración.
Zonas de aterrizaje y base de la nube : cada zona de aterrizaje se representa como una suscripción. Del
mismo modo, las bases de la plataforma estan contenidas en sus propias suscripciones. Algunos diseños de
suscripción podrían requerir una suscripción por nube o por carga de trabajo, lo que cambiaría la
herramienta de organización para cada uno de ellos.
Cargas de trabajo : cada carga de trabajo se representa como un grupo de recursos. Los grupos de
recursos también se usan normalmente para representar soluciones, implementaciones u otra agrupación
técnica de activos.
Recursos: cada recurso se representa de forma inherente como tal en Azure.
La correcta alineación de las partes interesadas de la empresa y de TI ayuda a superar los obstáculos de la
migración y a acelerar los trabajos asociados a ella. En este artículo se proporcionan los pasos recomendados
para:
La alineación de las partes interesadas
El planeamiento de la migración
La implementación de una zona de aterrizaje
La migración de las diez primeras cargas de trabajo
También le ayuda a implementar procesos de administración y gobernanza adecuados.
Use esta guía para simplificar los procesos y materiales necesarios para adaptar un trabajo de migración global.
La guía usa las metodologías de Cloud Adoption Framework que se resaltan en esta ilustración.
Introducción
El trabajo y el proceso de carácter técnico necesarios para migrar las cargas de trabajo son relativamente
sencillos. Es importante completar el proceso de migración de forma eficaz. La preparación estratégica de la
migración tiene una repercusión incluso mayor en las escalas de tiempo y la finalización correcta de la
migración global.
Para acelerar la adopción, debe dar los pasos necesarios para apoyar al equipo de adopción de la nube durante
la migración. En esta guía se describen estas tareas iterativas para ayudar a los clientes a empezar con buen pie
cualquier migración a la nube. Para mostrar la importancia de estos pasos de apoyo, la migración aparece como
el paso 10 de este artículo. En la práctica, es probable que el equipo de adopción de la nube comience su
primera migración piloto en paralelo con los pasos 4 o 5.
Las herramientas de migración a la nube permiten migrar todas las máquinas virtuales de un centro de datos en
un paso o iteración. Es más habitual migrar un número menor de cargas de trabajo durante cada iteración. La
división de la migración en etapas más pequeñas requiere un mayor planeamiento, pero reduce los riesgos
técnicos y el efecto de la administración de los cambios de la organización.
Con cada iteración, el equipo de adopción de la nube mejora la migración de las cargas de trabajo. Estos pasos
ayudan al equipo técnico a consolidar sus capacidades:
1. Migre sus primeras cargas de trabajo en un enfoque IaaS puro con las herramientas descritas en la guía de
migración de Azure.
2. Amplíe las opciones de las herramientas para usar la migración y la modernización mediante los ejemplos de
migración.
3. Desarrolle su estrategia técnica mediante los enfoques más amplios que se describen en los procedimientos
recomendados de migración de la nube de Azure.
4. Mejore la coherencia, confiabilidad y rendimiento mediante un enfoque de fábrica de migración eficaz, como
se describe en las mejoras del proceso de migración.
Resultados esperados:
Mejora continua de la capacidad del equipo de adopción de migrar cargas de trabajo.
Pasos siguientes
Cloud Adoption Framework es una solución para todo un ciclo de vida que le ayuda a iniciar un recorrido de
migración. También le ayuda a consolidar los equipos que deben prestar asistencia a los trabajos de migración.
Los siguientes equipos pueden seguir estos pasos para seguir consolidando sus capacidades. Estos procesos
paralelos no son lineales y no se deben considerar obstáculos. Por el contrario, cada uno es un flujo de valor
paralelo que ayuda a mejorar la preparación general de la organización para la nube.
T EA M SIGUIEN T E IT ERA C IÓ N
Equipo de adopción de la nube Use el modelo de migración para pasar a una factoría de
migración que proporcione funcionalidades eficaces de
migración continuas.
Declaración de valor
Los pasos descritos en esta guía pueden ayudar a usted y a sus equipos a crear soluciones innovadoras en la
nube que creen valor empresarial, se rijan adecuadamente y estén bien diseñadas.
Pasos siguientes
Cloud Adoption Framework es una solución de ciclo de vida. Puede ayudarle a iniciar un recorrido de
innovación. Puede ayudar a su organización a emprender un recorrido de innovación, pero también a avanzar
en la madurez de los equipos que respaldan los esfuerzos de innovación.
Los siguientes equipos pueden seguir estos pasos para seguir avanzando en la madurez de sus trabajos. Estos
procesos paralelos no son lineales y no se deben ver como impedimentos. Por el contrario, cada uno es un flujo
de valor paralelo que contribuye a la madurez de la preparación general de la empresa para la nube.
T EA M SIGUIEN T E IT ERA C IÓ N
Equipo de adopción de la nube Las mejoras de procesos ofrecen conclusiones sobre los
métodos para lograr innovaciones que afecten a los clientes
y provoquen la adopción recurrente.
El diseño y la configuración del entorno son los obstáculos más frecuentes para los trabajos de adopción
centrados en la migración o innovación. La rápida implementación de un diseño que admita un plan de
adopción a largo plazo a veces puede resultar complicado. En este artículo se establece un enfoque y una serie
de pasos que ayudan a superar los obstáculos más habituales y a acelerar los trabajos de adopción.
La iniciativa técnica necesaria para crear un diseño y una configuración de entorno eficaces puede resultar
compleja. Puede administrar el ámbito para mejorar las probabilidades de éxito del equipo de plataforma en la
nube. El mayor desafío es la coordinación de varias partes interesadas. Algunas de estas partes interesadas
tienen la autoridad para detener o ralentizar las iniciativas de adopción. En estos pasos se describen las distintas
formas de cumplir rápidamente los objetivos a corto plazo, así como de establecer el éxito a largo plazo.
Declaración de valor
Los pasos que se describen en esta guía pueden ayudarle tanto a usted como a sus equipos a acelerar la
consecución de un entorno de nube listo para la empresa que esté configurado correctamente.
Pasos siguientes
Tenga en cuenta los siguientes pasos en una iteración futura que se base en sus trabajos iniciales:
Rutas de aprendizaje de la preparación técnica del entorno
Lista de comprobación del planeamiento del entorno de migración
Conseguir el éxito de los clientes con un modelo
operativo sólido y la alineación organizacional
21/04/2021 • 6 minutes to read • Edit Online
El éxito de los clientes en los trabajos de adopción de la nube suele tener poco que ver con las aptitudes técnicas
o los proyectos relacionados con la adopción. El modelo operativo crea oportunidades para permitir la adopción
o impedimentos que podrían ralentizar la adopción de la nube.
Alignment
Al impulsar la innovación, la alineación entre los equipos de negocios y técnicos es fundamental para el éxito de
la solución.
En el caso de las partes interesadas de negocios, se ha creado Microsoft AI Business School para apoyar el
desarrollo de la estrategia empresarial y ofrecer procedimientos recomendados de ejemplo.
En el caso de las partes interesadas técnicas, las rutas de aprendizaje de IA de Microsoft están disponibles
para ayudarle a crear nuevas aptitudes de AA.
Impedimentos
Cuando la adopción de la nube se ralentiza o se estanca, puede ser aconsejable evaluar el modelo operativo
para que todo vaya siempre bien. Cuando algo falla en alguna carga de trabajo a otra o algún proyecto, podría
deberse a una falta de alineación en el modelo operativo. Si hay más de un proyecto estancado debido a
directivas que los bloquean, procesos obsoletos o falta de vinculación entre las personas, es probable que
también sea culpa del modelo operativo.
Oportunidades
Además de comprobar los impedimentos comunes, se pueden implementar en la cartera mejoras incrementales
de algunas oportunidades clave en el modelo operativo. En concreto, los clientes suelen querer aumentar la
excelencia operativa, la optimización de costos, la seguridad, la confiabilidad, el rendimiento o la administración
de personas. Elevar estas conversaciones al nivel de cartera puede ayudar a llevar los procedimientos
recomendados de los equipos centrados en cargas de trabajo específicas a todos los demás proyectos y cargas
de trabajo.
¿Cómo se proporciona excelencia operativa durante la Los pasos de esta guía pueden ayudar al equipo de
transformación de la nube? estrategia a llevar a cabo la administración de los cambios
organizacionales necesarios para garantizar
sistemáticamente la excelencia operativa.
¿Cómo se administran los costos empresariales? Comience por optimizar los costos empresariales y
administrar los costos en todo el entorno.
GUÍA DESC RIP C IÓ N
¿Cómo se protege de forma sistemática el entorno de nube Esta guía de introducción ayuda a garantizar que se han
empresarial? aplicado los requisitos de seguridad adecuados en toda la
empresa, con el fin de reducir el riesgo de infracciones y
acelerar la recuperación cuando estas se produzcan.
¿Cómo se aplican los controles adecuados para mejorar la Esta guía de introducción ayuda a reducir las interrupciones
confiabilidad? relacionadas con las incoherencias en la configuración, la
organización de recursos, las bases de referencia de
seguridad o las directivas de protección de recursos.
¿Cómo se garantiza el rendimiento en toda la empresa? Esta guía de introducción puede ayudarle a establecer
procesos para garantizar el rendimiento en toda la empresa.
¿Cómo alineamos nuestra organización? Esta guía de introducción puede ayudarle a establecer una
estructura organizativa con el personal adecuado.
¿Cómo puede garantizar la excelencia operativa durante la transformación digital? La excelencia operativa es
una función empresarial que afecta directamente a las decisiones de TI. Para lograr la excelencia operativa se
centra, debe centrarse en el valor para clientes y partes interesadas, con una visión constante de los ingresos, el
riesgo y el impacto en los costos.
Este enfoque de administración de cambios organizativos requiere lo siguiente:
Una estrategia definida.
Resultados empresariales claros.
Planeación de la administración de cambios.
Desde la perspectiva de la nube, puede administrar el impacto del riesgo y el costo realizando cambios
posteriores a la adopción y refinando continuamente los procesos operativos. Las áreas que se deben
supervisar incluyen la automatización de sistemas, las prácticas de administración de operaciones de TI y la
materia de coherencia de los recursos a lo largo del ciclo de vida de adopción de la nube.
Los pasos de este artículo pueden ayudar al equipo de estrategia a llevar a cabo la administración de cambios
en la organización necesaria para garantizar de forma sistemática la excelencia operativa.
La excelencia operativa en toda la empresa y la cartera comienza con procesos del mismo nivel relativos a la
estrategia y planificación para alinear e informar de las expectativas de la administración de cambios
organizacionales. Los pasos siguientes ayudan a los equipos técnicos a ofrecer las disciplinas necesarias para
lograr la excelencia operativa.
Declaración de valor
En los pasos anteriores se describe un enfoque orientado a la empresa para establecer los requisitos de
excelencia operativa a lo largo de la transformación digital. Este enfoque ofrece una base coherente que se
mantiene en otras funciones del modelo operativo.
La materia Cost Management de gobernanza en la nube se centra en crear presupuestos, supervisar los
patrones de asignación de costos e implementar controles para mejorar los comportamientos de gasto en la
nube en toda la cartera de TI. La optimización de costos empresariales afecta a muchos otros roles y funciones
con el fin de poder minimizar el costo y equilibrar las necesidades en términos de escalabilidad, rendimiento,
seguridad y confiabilidad. Este artículo correlaciona las distintas funciones de apoyo en una guía de
introducción que facilita la alineación entre los equipos involucrados.
Sin embargo, la optimización de costos empresariales afecta a muchos otros roles y funciones con el fin de
poder minimizar el costo y equilibrar las necesidades en términos de escalabilidad, rendimiento, seguridad y
confiabilidad. En este artículo, se asignan las distintas funciones de apoyo para facilitar la alineación entre los
equipos involucrados.
La gobernanza es la piedra angular de la optimización de costos en cualquier empresa de gran tamaño. En la
siguiente sección, se ofrece una guía sobre la optimización de costos en el contexto de la gobernanza. Los pasos
posteriores permitirán a los equipos adoptar medidas dirigidas a la optimización de costos como parte de su
rol. En conjunto, estos pasos ayudarán a su organización a empezar a trabajar en un recorrido de optimización
de costos.
Declaración de valor
Estos pasos pueden le ayudan a crear una organización consciente de los costos. Para simplificar la optimización
de costos, use la propiedad compartida y fomente la colaboración con los equipos adecuados en los momentos
adecuados.
Primeros pasos: Implementación de la seguridad en
todo el entorno empresarial
06/03/2021 • 32 minutes to read • Edit Online
La seguridad ayuda a generar garantías de confidencialidad, integridad y disponibilidad para una empresa. Las
iniciativas de seguridad se enfocan de forma crítica en la protección contra el posible impacto en las
operaciones que ocasionarían las acciones malintencionadas e involuntarias, tanto internas como externas.
En esta guía de introducción se describen los pasos principales que mitigarán o evitarán el riesgo empresarial
frente a ataques de ciberseguridad. Puede ayudarle a establecer rápidamente prácticas de seguridad esenciales
en la nube, así como a integrar la seguridad en el proceso de adopción de la nube.
Los pasos de esta guía están dirigidos a todos los roles que participan en las garantías de seguridad para los
entornos de nube y las zonas de aterrizaje. Entre las tareas se incluyen prioridades de mitigación de riesgos
inmediatos, instrucciones sobre la creación de una estrategia de seguridad moderna, la puesta en marcha de la
estrategia y su ejecución.
En esta guía se incluyen los elementos de Microsoft Cloud Adoption Framework para Azure:
Si sigue los pasos de esta guía, podrá integrar la seguridad en los puntos críticos del proceso. El objetivo es
evitar obstáculos en la adopción de la nube y reducir las interrupciones innecesarias en las operaciones o el
negocio.
Microsoft ha generado funcionalidades y recursos para ayudar a acelerar la implementación de esta guía de
seguridad en Microsoft Azure. Se hará referencia a dichos recursos en esta guía. Están diseñados para ayudarle
a establecer, supervisar y aplicar la seguridad, y se actualizan y revisan con frecuencia.
En el siguiente diagrama se muestra el enfoque holístico para usar la guía de seguridad y las herramientas de
plataforma para establecer la visibilidad y el control de la seguridad de los recursos en la nube en Azure. Se
recomienda esta estrategia.
Siga estos pasos para planear y ejecutar la estrategia para proteger los recursos en la nube y usar la nube para
modernizar las operaciones de seguridad.
NOTE
Cada organización debe definir sus propias normas mínimas, dado que la postura ante el riesgo y la tolerancia
subsiguiente a ese riesgo pueden variar considerablemente en función del sector, la cultura y otros factores. Por ejemplo,
es posible que un banco no tolere ningún daño potencial a su reputación, ni siquiera un ataque menor en un sistema de
prueba. Algunas organizaciones aceptarían el mismo riesgo si significara la aceleración de la transformación digital en tres
o seis meses.
Aprobación de la estrategia:
Los ejecutivos y los líderes empresariales responsables de los resultados o riesgos de las líneas de negocio
dentro de la organización deben aprobar esta estrategia. Este grupo puede incluir a la junta directiva, en función
de la organización.
Pasos siguientes
Los pasos de esta guía le ayudaron a implementar la estrategia, los controles, los procesos, las aptitudes y la
cultura necesarios para administrar de forma coherente los riesgos de seguridad en toda la empresa.
A medida que avance en el modo de operaciones de seguridad en la nube, tenga en cuenta los siguientes pasos:
Revise la documentación de Microsoft acerca de la seguridad. Incluye instrucciones técnicas para ayudar a los
profesionales de seguridad a crear y mejorar la estrategia de ciberseguridad, la arquitectura y las hojas de
ruta de prioridades.
Revise la información de seguridad en los controles de seguridad integrados para los servicios de Azure.
Revise los servicios y herramientas de seguridad de Azure, consulte Servicios y tecnologías de seguridad
disponibles en Azure.
Revise el Centro de confianza de Microsoft. Contiene una orientación amplia, informes y documentación
relacionada que pueden ayudarle a realizar evaluaciones de riesgos como parte de los procesos de
cumplimiento normativo.
Revise las herramientas de terceros disponibles para facilitar el cumplimiento de los requisitos de seguridad.
Para obtener más información, consulte Integración de soluciones de seguridad en Azure Security Center.
Primeros pasos: Mejora de la confiabilidad con los
controles adecuados
12/03/2021 • 17 minutes to read • Edit Online
¿Cómo se aplican los controles adecuados para mejorar la confiabilidad? Este artículo le ayuda a minimizar las
interrupciones relacionadas con:
Incoherencias en la configuración.
Organización de recursos.
Bases de referencia de seguridad.
Protección de recursos.
Los pasos que se describen en este artículo ayudan al equipo de operaciones a equilibrar la confiabilidad y el
costo en toda la cartera de TI. Este artículo también ayuda al equipo de gobernanza a garantizar que el equilibrio
se aplica de forma coherente. La confiabilidad también depende de otros roles y funciones. En este artículo, se
asignan funciones de apoyo para ayudarle a crear la alineación de los equipos involucrados.
La administración y gobernanza de las operaciones son socias inseparables para la confiabilidad empresarial.
Las decisiones que se toman con respecto a los procedimientos operativos establecen la base de referencia para
la confiabilidad. Los enfoques usados para controlar el entorno general garantizan la coherencia entre todos los
recursos.
Los dos primeros pasos de este artículo ayudan a ambos equipos a empezar. Aparecen de forma secuencial,
pero se pueden realizar en paralelo. Los pasos posteriores le permiten que toda su empresa inicie un recorrido
compartido hacia soluciones más confiables para la empresa en su conjunto.
NOTE
Pasos para iniciar las asociaciones de confiabilidad con otros equipos: Son varias las decisiones que a lo largo
del ciclo de vida de adopción de la nube pueden tener un impacto directo en la confiabilidad. Los pasos siguientes
describen las asociaciones y los esfuerzos auxiliares necesarios para ofrecer una confiabilidad uniforme en toda la cartera
de TI.
Declaración de valor
Los pasos anteriores le ayudan a implementar los controles adecuados y los procesos necesarios para
garantizar la confiabilidad en toda la empresa y en todos los recursos hospedados.
Primeros pasos: Garantizar un rendimiento
coherente en una cartera
12/03/2021 • 15 minutes to read • Edit Online
¿Cómo se garantiza el rendimiento adecuado en una cartera de cargas de trabajo? Los pasos de esta guía puede
ayudarle a establecer procesos para mantener ese nivel de rendimiento.
El rendimiento también depende de otros roles y funciones. En este artículo, se asignan las distintas funciones
de apoyo para ayudarle a crear la alineación de los equipos involucrados.
La administración de operaciones centralizadas es el enfoque más común para lograr que el rendimiento sea
coherente en toda la cartera. Las decisiones relativas a las prácticas operativas definen la base de referencia de
las operaciones, junto con cualquier mejora integral.
El primer paso de esta guía ayudará al equipo de operaciones a ponerse en marcha. Los pasos posteriores
ayudan a toda la empresa a iniciar un recorrido compartido hacia el rendimiento empresarial para toda la
cartera de cargas de trabajo.
NOTE
Son varias las decisiones que pueden influir directamente en el rendimiento a lo largo del ciclo de vida de adopción de la
nube. Los pasos siguientes ayudan a describir las relaciones y los trabajos de apoyo necesarios para garantizar el
rendimiento en toda la cartera de TI.
Paso 6: Adoptar
Las operaciones a largo plazo pueden verse afectadas por las decisiones que se tomen durante los trabajos de
migración e innovación. Mantener una alineación coherente de forma temprana en los procesos de adopción
ayuda a eliminar obstáculos para la versión de producción. También reduce el trabajo necesario para incorporar
nuevas soluciones a las prácticas de administración de operaciones.
Resultados esperados:
Poner a prueba el grado de preparación operativa de las implementaciones de producción mediante
directivas de coherencia de recursos.
Validar el cumplimiento de la guía de diseño en la coherencia de los recursos y los requisitos de operaciones.
Documentar posibles requisitos de operaciones avanzadas en el libro de administración de operaciones.
Guía para la consecución de los resultados esperados:
Lista de comprobación de preparación del entorno
Lista de comprobación previa a la promoción
Lista de comprobación de las versiones de producción
Declaración de valor
Los pasos anteriores le ayudarán a implementar los controles y los procesos para garantizar el rendimiento en
toda la empresa y en todos los recursos hospedados.
Primeros pasos: Vinculación de la organización
12/03/2021 • 8 minutes to read • Edit Online
La adopción correcta de la nube es el resultado de un equipo de personas debidamente cualificadas, que realiza
los tipos de trabajo adecuados, en consonancia con objetivos empresariales claramente definidos y en un
entorno bien administrado. Para ofrecer un modelo de funcionamiento en la nube eficaz, es importante
establecer estructuras organizativas con el personal adecuado. En este artículo se describe un enfoque de este
tipo.
Este enfoque probado se considera un producto viable mínimo porque podría no ser sostenible. Cada equipo se
ocupa de muchas tareas, como se explica en los gráficos RACI (siglas en inglés para entidades responsables,
encargadas, consultadas e informadas).
A medida que aumentan las necesidades de adopción, aumenta la necesidad de contar con un equilibrio y una
estructura. Para satisfacer estas necesidades, las empresas a menudo siguen un proceso de madurez de sus
estructuras organizativas.
Vea este vídeo para obtener una introducción sobre las estructuras de equipos comunes en varias fases de la
madurez de la organización.
Información adicional
Adaptación de los roles, las aptitudes y los procesos existentes de la nube
Antipatrones de la organización: Islas y feudos
Descarga de la plantilla de RACI
Primeros pasos: Formación de un equipo de
estrategia de la nube
06/03/2021 • 25 minutes to read • Edit Online
Para que se lleve a cabo correctamente, cada recorrido de adopción de la nube debe implicar cierto nivel de
planeación estratégica. Esta guía de introducción está diseñada para ayudarle a establecer un equipo dedicado o
un equipo virtual que pueda crear y entregar una estrategia en la nube sólida.
El primer paso del recorrido es decidir si necesita un equipo de estrategia o si los miembros del equipo existente
pueden entregar una estrategia de nube como una responsabilidad distribuida.
Independientemente del enfoque que elija, puede crear un equipo de estrategia de la nube que defina las
motivaciones y los resultados empresariales, y que valide y mantenga la alineación entre las prioridades
empresariales y los trabajos de adopción de la nube. Cuando los resultados empresariales afectan a las
funciones empresariales, el equipo de estrategia debe incluir a los líderes empresariales de toda la organización.
El objetivo del equipo de estrategia de la nube es generar resultados empresariales tangibles habilitados
mediante las tecnologías en la nube. En general, este equipo garantiza que el trabajo de adopción de la nube
progresa según los resultados empresariales. Siempre que sea posible, se deben definir los resultados
empresariales y los trabajos del equipo de estrategia de la nube en una fase temprana del proceso.
NOTE
En este artículo se describe un facilitador de la estrategia, un componente clave del proceso de adopción de la nube. El rol
lo suelen tener un administrador de programas, un arquitecto o un consultor. A medida que el equipo de estrategia en la
nube se crea e inicia, el facilitador de la estrategia es responsable temporalmente de crear la alineación y mantener el
equipo alineado con los objetivos empresariales. El facilitador de la estrategia suele ser la persona más responsable del
éxito del recorrido de adopción de la nube.
M OT IVO C O N SIDERA C IO N ES
La adopción de la nube es impor tante para la El trabajo de adopción de la nube tiene visibilidad de nivel
empresa. ejecutivo.
El éxito del trabajo de adopción de la nube mejorará el
posicionamiento en el mercado, la retención de clientes o los
ingresos.
Los programas de la cartera de adopción se asignan
directamente a los resultados empresariales estratégicos.
La cartera de cargas de trabajo de este trabajo de
adopción es estratégica, crítica y puede afectar a varias
unidades de negocio.
La adopción de la nube requiere sopor te ejecutivo El trabajo de adopción de la nube afectará a tu manera de
continuo. administrar el cambio organizativo.
El trabajo requerirá el entrenamiento adicional de varios
usuarios empresariales y podría interrumpir determinadas
funciones empresariales.
El equipo o proveedor de operaciones de TI existente está
motivado a permanecer en un centro de datos existentes.
El equipo de TI existente no está totalmente convencido
del trabajo.
La adopción de la nube presenta un riesgo para la Si no se completa la migración dentro del período de
empresa. tiempo especificado, se producirá un impacto negativo en el
mercado o aumentarán los costos de hospedaje.
Las cargas de trabajo programadas para su adopción
deben protegerse frente a pérdidas de datos que podrían
afectar al éxito empresarial o a la seguridad del cliente.
Las métricas que se usan para medir el trabajo de la nube
están alineadas con el negocio, lo que supone una
dependencia y un riesgo para el éxito técnico.
Si alguno o todos los motivos anteriores representan sus consideraciones empresariales actuales, la
información del resto del artículo le ayudará a establecer su equipo de estrategia de la nube.
Persona o equipo responsable:
El facilitador de la estrategia es responsable de determinar si es necesario un equipo de estrategia de la nube.
Pasos siguientes
La estrategia y el planeamiento son importantes. No se puede realizar ninguna acción hasta que se identifican
las funciones de adopción de la nube necesarias en el equipo. Es importante comprender estas funcionalidades
clave antes de comenzar con los trabajos de adopción.
Para alinear su estrategia con las funciones de adopción de la nube, trabaje con el equipo de adopción o los
individuos responsables de estas funciones.
Aprenda a alinear las responsabilidades de los equipos mediante el desarrollo de una matriz entre equipos que
identifique las entidades RACI. Descargue la plantilla RACI y modifíquela.
Primeros pasos: Formación de un equipo de
adopción de la nube
06/03/2021 • 15 minutes to read • Edit Online
Los equipos de adopción de la nube son el equivalente moderno de los equipos de implementación técnica o los
equipos de proyecto. La naturaleza de la nube puede requerir estructuras de equipo más fluidas.
Algunos equipos de adopción de la nube se centran exclusivamente en la migración a la nube y otros se centran
en las innovaciones que aprovechan las tecnologías en la nube. Algunos equipos cuentan con los amplios
conocimientos técnicos necesarios para completar grandes trabajos de adopción, como una migración completa
del centro de datos, y otros tienen un enfoque técnico más estricto.
Un equipo más pequeño puede moverse entre proyectos para lograr objetivos específicos. Por ejemplo, un
equipo de especialistas de plataforma de datos se puede centrar en ayudar a convertir máquinas virtuales (VM)
de SQL Database en instancias de PaaS de SQL.
A medida que se amplía la adopción de la nube, los clientes se benefician de un equipo que está dedicado a la
función de plataforma en la nube. Ese equipo usa la implementación automatizada y la reutilización de código
para acelerar una correcta adopción. Las personas centradas en una función de plataforma en la nube pueden
implementar infraestructuras, patrones de aplicaciones, gobernanza y otros recursos de soporte técnico para
impulsar más eficiencias y coherencia, y para inculcar los principios de la nube en la organización. Las
organizaciones pequeñas y los equipos pequeños de adopción no tienen el lujo de un equipo con plena
dedicación para la plataforma en la nube. Le recomendamos que establezca una funcionalidad de
automatización en el equipo de adopción para empezar a ejercitar esta importante función de la nube.
El equipo de estrategia en la nube está encargado de Revise la guía y los requisitos en:
mantener una estructura RACI clara en todo el ciclo de vida Equipo de gobernanza de la nube
de adopción de la nube. Equipo de operaciones en la nube
Equipo de centro de excelencia de la nube o TI
centralizado
Otros equipos o usuarios de adopción de la nube que se
enumeran en RACI
Pasos siguientes
La adopción de la nube es un gran objetivo, pero si se realiza sin control puede producir resultados inesperados.
Para acelerar la adopción y los procedimientos recomendados, a la vez que se reducen los riesgos empresariales
y técnicos, alinee la adopción de la nube con las funciones de gobernanza de la nube.
La alineación con el equipo de gobernanza de la nube crea un equilibrio entre los trabajos de adopción de la
nube, pero se considera un producto viable mínimo (MVP), ya que podría no ser sostenible. Cada equipo se
ocupa de muchas tareas, tal y como se describe en los gráficos de RACI.
Más información sobre la superación de antipatrones de la organización: islas y feudos.
Primeros pasos: Formación de un equipo de
gobernanza de la nube
06/03/2021 • 14 minutes to read • Edit Online
Pasos siguientes
Todas las empresas son únicas y, por lo tanto, también lo son sus necesidades de gobernanza. Elija el nivel de
madurez que mejor se adapte a su organización y use Cloud Adoption Framework para que guíe las prácticas,
los procesos y las herramientas que pueden ayudarle a conseguirlo.
A medida que la gobernanza de la nube madure, los equipos estarán capacitados para adoptar la nube a un
ritmo mayor. Los continuos trabajos de adopción de la nube tienden a desencadenar la madurez en las
operaciones de TI. Para asegurarse de que la gobernanza forme parte del desarrollo de las operaciones,
desarrolle un equipo de operaciones de la nube o bien permanezca sincronizado con su equipo de operaciones
de la nube.
Primeros pasos: Formación de un equipo de
operaciones de la nube
12/03/2021 • 14 minutes to read • Edit Online
Pasos siguientes
A medida que se escalan las operaciones y la adopción, es importante definir y automatizar los procedimientos
recomendados de gobernanza que amplían los requisitos de TI existentes. La formación de un equipo de centro
de excelencia de la nube (CCoE) es un paso importante para escalar los trabajos de adopción de la nube,
operaciones en la nube y gobernanza de la nube.
Más información sobre:
Funciones del centro de excelencia de la nube
Antipatrones de la organización: islas y feudos.
Alinee las responsabilidades de los equipos mediante el desarrollo de una matriz entre equipos que identifique
a las entidades RACI. Descargue la plantilla RACI y modifíquela.
Introducción a los escenarios híbridos y multinube
12/03/2021 • 14 minutes to read • Edit Online
Microsoft Azure proporciona todos los productos y características necesarios para ayudarle a crear y usar sus
soluciones tecnológicas en la nube. También entendemos que hay razones empresariales sólidas que pueden
impulsar la necesidad de usar varias nubes privadas o públicas. Como primer paso en su recorrido por los
escenarios de nubes híbridas y multinube, en este artículo se describe y se trata la perspectiva que aporta
Microsoft sobre los términos importantes de informática en la nube.
A medida que los clientes abordan formas más grandes y sofisticadas de adopción de la nube, su viaje a la nube
se vuelve más complejo. En esta serie de artículos se combinan las consideraciones técnicas y no técnicas
necesarias para preparar la integración de Kubernetes y los contenedores en su estrategia en la nube.
Este escenario se centra en dos resultados de destino:
Soluciones en contenedores: los contenedores crean una capa de abstracción entre los recursos técnicos
y la infraestructura subyacente. Las organizaciones incluyen contenedores en su estrategia general para
reducir la dependencia del proveedor y hacer que las cargas de trabajo sean más portátiles.
Administración de contenedores con Kubernetes: Kubernetes proporciona un plano de control para
administrar e implementar aplicaciones en contenedores, administrar la densidad de proceso y describir las
necesidades de alta disponibilidad de las cargas de trabajo.
En esta serie de artículos se describe cómo se pueden integrar los contenedores y la administración de
contenedores en las fases de estrategia, planeamiento, adopción y operaciones de su recorrido en la nube.
En esta serie de artículos se describe el proceso de integración de una plataforma SAP en los esfuerzos de
adopción de la nube.
En esta serie de artículos se describe un escenario de SAP para Cloud Adoption Framework y se complementa el
marco de migración de SAP actual. Estos artículos también están pensados para un público ligeramente
diferente con objetivos ligeramente diferentes y pueden resultar de ayuda a su organización si va a integrar la
migración de SAP en el plan general de adopción de la nube. Cuando las organizaciones migran a la nube, lo
habitual es que necesiten migrar, innovar y administrar varias cargas de trabajo y plataformas tecnológicas para
lograr sus objetivos empresariales. Esos trabajos se alinean con las metodologías de Cloud Adoption
Framework para los procesos y los enfoques coherentes de distintas cargas de trabajo y plataformas
tecnológicas.
Si su equipo sigue las instrucciones de ambos marcos, verá unas directrices muy similares en cuanto al
empaquetado que se alinea mejor con el público y sus objetivos. A continuación encontrará una lista de los
términos de las metodologías que pueden ayudar a ambos públicos a tener una conversación similar:
Las directrices alinean estos orígenes para ayudar a los equipos de TI central y de SAP a trabajar conjuntamente
durante todas las fases de adopción de la nube.
Los clientes suelen experimentar antipatrones de adopción de la nube. Estos pasos en falso suelen producirse en
el diseño, el planeamiento o la implementación al realizar la migración a la nube. Los antipatrones pueden
bloquear la innovación e impedir que las empresas la adopción o el logro de sus objetivos.
En la tabla siguiente se enumeran los antipatrones y las metodologías, o las fases de adopción de la nube, en las
que se producen estos patrones. Los artículos vinculados proporcionan ejemplos de cada antipatrón y posibles
soluciones.
Ready Versión preliminar de los servicios en Antipatrón: suponer que los servicios
producción publicados están preparados para
producción
Pasos siguientes
Antipatrones de estrategia de nube
Antipatrones del plan de adopción de la nube
Desarrollo de una estrategia de adopción de la
nube
12/03/2021 • 2 minutes to read • Edit Online
La nube ofrece ventajas tecnológicas fundamentales que pueden ayudar a la empresa a ejecutar varias
estrategias de negocios. El uso de enfoques basados en la nube puede mejorar la agilidad empresarial, reducir
los costos, acelerar el tiempo de comercialización e, incluso, permitir la expansión a nuevos mercados. Para
aprovechar este gran potencial, es importante empezar por el proceso de documentación de la estrategia de
negocios, algo que se debe hacer de forma que sea comprensible para los técnicos de la nube y que resulte
atractiva para las partes interesadas del negocio.
Los siguientes pasos pueden ayudar a documentar la estrategia empresarial de manera eficaz. Este enfoque
ayuda a impulsar los trabajos de adopción que capturan los valores empresariales que se pretenden en un
modelo interdisciplinario. Así, puede asignar la estrategia de adopción de la nube a funcionalidades y estrategias
empresariales específicas de la nube con el fin de alcanzar el estado de transformación deseado.
Use la plantilla de planeamiento y estrategia para crear su estrategia de adopción de la nube y para hacer un
seguimiento de la salida de cada uno de los pasos que se han descrito anteriormente.
Motivaciones: ¿por qué se realiza el traslado a la
nube?
06/04/2021 • 9 minutes to read • Edit Online
"¿Por qué se realiza el traslado a la nube?" Es una pregunta habitual que interesa por igual a los técnicos y los
comerciales. Si la respuesta es "La dirección (o el CIO o los ejecutivos de nivel C) nos ha ordenado migrar a la
nube", es poco probable que la empresa logre los resultados deseados.
En este artículo se tratan algunas motivaciones tras la migración a la nube que pueden ayudar a lograr
resultados empresariales más satisfactorios. Estas opciones ayudan a facilitar una conversación sobre las
motivaciones y, en última instancia, los resultados empresariales.
Motivaciones
Las transformaciones empresariales sustentadas por la adopción de la nube pueden impulsarse mediante varios
motivos. Es probable que se apliquen varias motivaciones al mismo tiempo. El objetivo de las listas de la tabla
siguiente es ayudar a generar ideas sobre qué motivaciones son pertinentes. A partir de ahí, puede clasificar por
orden de prioridad y evaluar el posible impacto de las motivaciones. En este artículo, el equipo de adopción de
la nube se debe reunir con varios ejecutivos y líderes empresariales con la lista siguiente para comprender
cuáles de estas motivaciones se ven afectadas por el esfuerzo de adopción de la nube.
Pasos siguientes
La comprensión de los resultados empresariales previstos ayuda a facilitar las conversaciones que deben
mantenerse a hora de documentar las motivaciones y las métricas de respaldo, en alineación con la estrategia
empresarial. A continuación, lea información general sobre los resultados empresariales que suelen asociarse a
un traslado a la nube.
Información general sobre los resultados empresariales
¿Qué resultados empresariales se asocian con
procesos de transformación?
12/03/2021 • 7 minutes to read • Edit Online
Los procesos de transformación con más éxito comienzan con un resultado empresarial en mente. Adopción de
la nube puede ser un esfuerzo en el que hay que invertir mucho tiempo y dinero. Fomentar el nivel adecuado de
soporte técnico de TI y otras áreas de la empresa es fundamental para el éxito. Esta serie de artículos está
diseñada para ayudar a los clientes a identificar resultados empresariales que son concisos, están definidos y
fomentan resultados observables o cambios en el rendimiento de la empresa, además de contar con el apoyo
de una medida concreta.
Durante todas las transformaciones en la nube la capacidad para hablar en términos de resultados soporta la
transparencia y las asociaciones interfuncionales. El marco de resultados empresariales comienza con una
plantilla sencilla que ayuda a los usuarios con mentalidad técnica a documentarse y conseguir un consenso.
Dicha plantilla se puede usar con varias de las partes interesadas del negocio para recopilar los distintos
resultados empresariales que podrían verse influidos por el proceso de transformación de una empresa. Dicha
plantilla se puede usar de forma electrónica, o mejor aún, se puede dibujar en una pizarra para que los líderes
empresariales y las partes interesadas puedan participar en debates acerca de dichos resultados.
Para más información sobre los resultados empresariales y la plantilla de resultados empresariales, vea cómo
documentar los resultados empresariales o descargue la plantilla de resultados empresariales.
Pasos siguientes
Obtenga más información sobre resultados fiscales.
Resultados fiscales
Innovaciones relacionadas con los datos
23/03/2021 • 10 minutes to read • Edit Online
Muchas empresas quieren migrar su almacenamiento de datos existente a la nube. Sus motivos incluyen una
serie de factores, entre los que cabe destacar:
No hay que comprar hardware ni hay costos de mantenimiento.
No hay que administrar ninguna infraestructura.
La posibilidad de cambiar a una solución en la nube segura, escalable y de bajo costo.
Por ejemplo, el servicio de pago por uso nativo de nube de Azure denominado Azure Synapse Analytics
proporciona un sistema de administración de bases de datos analítico para las organizaciones. Las tecnologías
de Azure no solo ayudan a modernizar el almacenamiento de datos tras su migración, sino que también
amplían las funcionalidades analíticas y aportan más valor a su empresa.
Un proyecto de migración de almacenamiento de datos incluye muchos componentes. Entre estos elementos se
incluyen el esquema, los datos, las canalizaciones de extracción, transformación y carga de datos (ETL), los
privilegios de autorización, los usuarios, las capas de acceso semántico de herramientas de inteligencia
empresarial y las aplicaciones analíticas.
Una vez que el almacenamiento de datos se haya migrado a Azure Synapse Analytics, puede sacar provecho de
otras tecnologías del ecosistema de análisis de Microsoft, ya que ello le permite no solo modernizar el
almacenamiento de datos, sino también reunir la información sobre Azure generada en otros almacenes de
datos analíticos.
Puede ampliar el procesamiento ETL para que ingiera datos de cualquier tipo en Azure Data Lake Storage. Puede
prepararlo e integrarlo a escala mediante Azure Data Factory. Este produce recursos de datos de confianza y de
fácil manejo, que puede consumir el almacenamiento de datos y a los que también acceden los científicos de
datos y otras aplicaciones. Puede crear canalizaciones analíticas en tiempo real y orientadas a procesos por
lotes. También puede crear modelos de Machine Learning que se pueden implementar para ejecutarse en lotes,
en tiempo real, en datos de streaming y a petición.
Además, puede usar PolyBase para ir más allá del almacenamiento de datos. Esto simplifica el acceso a la
información que se produce en varias plataformas analíticas subyacentes en Azure. Puede crear vistas holísticas
integradas en un almacenamiento de datos lógico para acceder fácilmente al streaming, a los macrodatos y a la
información del almacenamiento de datos tradicional mediante herramientas y aplicaciones de BI.
En muchas empresas los almacenamientos de datos se han ejecutado durante años en sus centros de datos para
que los usuarios puedan producir inteligencia empresarial. Los almacenamientos de datos extraen datos de
sistemas de transacciones conocidos, los almacenan temporalmente y los limpian, transforman e integran para
rellenar almacenamientos de datos.
Los casos de uso, los casos de negocio y los avances tecnológicos permiten que Azure Synapse Analytics pueda
ayudarle con la migración del almacenamiento de datos. En las secciones siguientes se muestran muchos de
estos ejemplos.
Casos de uso
Innovación de productos conectados
Fábrica del futuro
Análisis clínico
Análisis de cumplimiento
Análisis basado en costos
Optimización omnicanal
Personalización
Cadena de suministro inteligente
Precios dinámicos
Análisis de adquisiciones
Torre de control digital
Administración de riesgos
Análisis de clientes
Detección de fraudes
Análisis de notificaciones
Casos empresariales
Cree soluciones de análisis completas con un único servicio de análisis.
Use Azure Synapse Analytics, que proporciona un área de trabajo unificada para la preparación,
administración y almacenamiento de datos, así como para los macrodatos y las tareas de inteligencia
artificial.
Cree y administre la canalización con un entorno visual sin código, automatice la optimización de consultas,
cree pruebas de concepto y use Power BI desde el mismo servicio de análisis.
Ofrezca información de los datos a los sistemas de almacenamiento de datos y a los de análisis de
macrodatos.
En el caso de las cargas de trabajo críticas, optimice el rendimiento de todas las consultas gracias a la
administración de las cargas de trabajo inteligentes, al aislamiento de las mismas y a una simultaneidad
ilimitada.
Edite y cree paneles de Power BI directamente desde Azure Synapse Analytics.
Reduzca el tiempo de desarrollo de proyectos de BI y de aprendizaje automático.
Comparta fácilmente los datos con unos pocos clics mediante la integración de Azure Data Share en Azure
Synapse Analytics.
Implemente un control de acceso pormenorizado con seguridad de nivel de columna y seguridad de nivel de
fila nativo.
Proteja automáticamente datos confidenciales en tiempo real con el enmascaramiento de datos dinámico.
Seguridad líder del sector con características de seguridad integradas, como la detección automática de
amenazas y el cifrado de datos siempre activo.
Avances tecnológicos
No es preciso adquirir hardware ni hay costos de mantenimiento, así que solo se paga por lo que se usa.
No hay que administrar ninguna infraestructura, por lo que se puede centrar en la información competitiva.
Procesamiento en paralelo masivo de consultas SQL con escalabilidad dinámica cuando lo necesita, pero que
se puede detener o apagar cuando no sea necesario.
Capacidad para escalar automáticamente el almacenamiento a partir del proceso.
Puede evitar actualizaciones innecesarias debido a que el tamaño de las áreas de almacenamiento
provisional del almacenamiento de datos empieza a ser excesivo, se está alcanzando el límite máximo de la
capacidad de almacenamiento y se hace imprescindible una actualización. Por ejemplo, mueva el área de
almacenamiento provisional a Azure Data Lake Storage y procésela con una herramienta de extracción,
transformación y carga de datos como Azure Data Factory u otra herramienta existente que se ejecute en
Azure a un menor costo.
Evite tener que realizar caras actualizaciones de hardware procesando cargas de trabajo de ETL en Azure
mediante Azure Data Lake Storage y Azure Data Factory. A menudo, esta solución es mejor que la ejecución
en el administrador de base de datos de almacenamiento de datos existente si el procesamiento de consultas
SQL realiza el trabajo. A medida que los volúmenes de datos del almacenamiento provisional aumentan, el
proceso de ELT consume un mayor almacenamiento y potencia de proceso en el almacenamiento de datos
local subyacente. Esto, a su vez, afecta al rendimiento de las cargas de trabajo de consulta, generación de
informes y análisis.
Evite crear grandes data marts que usen licencias de software de almacenamiento y bases de datos en
hardware local. En su lugar, puede crearlos en Azure Synapse Analytics. Esto sucede sobre todo si el
almacenamiento de datos es un diseño de Data Vault, ya que este tipo de diseños a menudo provoca una
mayor demanda de data marts.
Evite el costo de analizar y almacenar un volumen de datos grande, a gran velocidad y en hardware local. Por
ejemplo, si necesita analizar datos generados por la máquina en tiempo real, como las secuencias de clics y el
streaming de datos de IoT en el almacenamiento de datos, puede usar Azure Synapse Analytics.
Puede evitar pagar una cantidad extra por el almacenamiento de datos en hardware de almacenamiento
costoso en el centro de datos a medida que crezca el almacenamiento de datos. Azure Synapse Analytics
puede almacenar los datos en el almacenamiento en la nube con un costo menor.
Pasos siguientes
Democratización de datos
Democratización de datos
23/03/2021 • 5 minutes to read • Edit Online
Muchas empresas mantienen almacenamientos de datos en los centros de datos para ayudar a los diferentes
departamentos a analizar los datos y tomar decisiones. Los departamentos de ventas, marketing y finanzas
confían en gran medida en estos sistemas a la hora de generar informes y paneles estándar. Las compañías
también emplean analistas de negocios para realizar consultas y análisis ad hoc en los datos de los data marts.
Estos data marts usan herramientas de inteligencia empresarial con características de autoservicio para realizar
análisis multidimensionales.
Una empresa puede, con la ayuda de la innovación y un moderno patrimonio de datos, capacitar a una amplia
gama de colaboradores, desde partes interesadas de TI a profesionales de datos, etc. Pueden tomar medidas en
este repositorio de datos centralizado que a menudo se conoce como "única fuente de información veraz".
Azure Synapse Analytics es un servicio único para una colaboración íntegra y con un menor tiempo de análisis.
Para comprender con más detalle este servicio, tenga en cuenta en primer lugar los distintos roles y habilidades
implicados en un patrimonio de datos típico:
Almacenamiento de datos : los administradores de bases de datos ayudan con la administración de lagos de
datos y almacenamientos de datos, al tiempo que optimizan las cargas de trabajo de forma inteligente y
protegen los datos automáticamente.
Integración de datos : los ingenieros de datos usan un entorno sin código para conectar fácilmente varios
orígenes y tipos de datos.
Macrodatos y aprendizaje automático : los científicos de datos crean pruebas de concepto rápidamente y
aprovisionan recursos, a la vez que trabajan en el lenguaje de su elección (por ejemplo, T-SQL, Python, Scala,
.NET o Spark SQL).
Administración y seguridad : los profesionales de TI protegen y administran los datos de forma más eficaz,
aplican los requisitos de privacidad y protegen el acceso a configuraciones híbridas y en la nube.
Inteligencia empresarial : los analistas de negocios acceden de forma segura a los conjuntos de datos, crean
paneles y comparten datos dentro y fuera de su organización.
Pasos siguientes
Innovaciones relacionadas con los datos
Ejemplos de resultados fiscales
22/03/2021 • 18 minutes to read • Edit Online
NOTE
Los ejemplos siguientes son hipotéticos y no se deben considerar como una garantía de rendimientos al adoptar cualquier
estrategia de nube.
Resultados de ingresos
Nuevos flujos de ingresos
La nube ayuda a crear oportunidades de entrega de nuevos productos a los clientes o de entrega de productos
ya existentes de nuevas maneras. Los nuevos canales de ingresos son innovadores, emprendedores y
emocionantes para muchas personas del mundo empresarial. Pero también son propensos a errores y en
muchas compañías se consideran de alto riesgo. Cuando el equipo de TI propone resultados relacionados con
los ingresos, es probable que haya resistencia. Para dar mayor credibilidad a estos resultados, colabore con
líderes empresariales que hayan demostrado ser innovadores. La validación de la fuente de ingresos al principio
del proceso le ayudará a evitar los escollos del negocio.
Ejemplo : Una compañía lleva más de 100 años vendiendo libros. Un empleado de la empresa se da cuenta
de que el contenido se puede enviar electrónicamente. Este empleado crea un dispositivo que se puede
vender en la librería, que permite descargar los mismos libros directamente. Esto supone un aumento de
x USD en la venta de libros nuevos.
Aumento de ingresos
Gracias a la escala global y a la presencia digital, la nube ayuda a las empresas a aumentar los ingresos
procedentes de los canales de ingresos existentes. Con frecuencia, este tipo de resultado procede de una
alineación con la dirección de marketing o ventas.
Ejemplo : Una compañía que vende widgets podría vender más si los vendedores pudieran acceder de forma
segura al catálogo digital y los niveles de existencias de la compañía. Por desgracia, esos datos solo se
encuentran en el sistema ERP de la compañía, al que solo se puede acceder mediante un dispositivo
conectado a la red. La creación de una fachada de servicio que sirva de interfaz con ERP, de forma que se
exponga el catálogo y los niveles de existencias no confidenciales en una aplicación en la nube, permitiría al
personal de ventas acceder a los datos que necesitan mientras se encuentran en las instalaciones de un
cliente. La extensión de Active Directory con Azure Active Directory (Azure AD) y la integración del acceso
basado en rol en la aplicación permitirían a la compañía garantizar la seguridad de los datos. Este sencillo
proyecto podría afectar un X % a los ingresos de una línea de productos existente.
Aumento de beneficios
Raro es que un único esfuerzo aumente los ingresos y reduzca los costos simultáneamente. Sin embargo,
cuando lo haga, alinee los informes de resultados de uno o varios resultados de ingresos con uno o varios de
los resultados de costos para comunicar el resultado deseado.
Resultados de costos
Reducción de costos
La informática en la nube puede reducir los gastos de capital del hardware y el software, la configuración de
centros de datos, el funcionamiento de centros de datos locales in situ, etc. Los costos de los bastidores de
servidores, el suministro eléctrico ininterrumpido para alimentación y refrigeración y los expertos de TI que
administran la infraestructura los aumentan rápidamente. Apagar un centro de datos puede reducir los gastos
de capital. A esto se le conoce normalmente como "salir del negocio del centro de datos". La reducción de los
costos se mide normalmente en dólares en el presupuesto actual, que puede abarcar de 1 a 5 años, según cómo
administre las finanzas el director financiero (CFO).
Ejemplo 1: El centro de datos de una compañía gasta un gran porcentaje del presupuesto de TI anual. El
departamento de TI decide ejecutar una migración a la nube y traslada los recursos del centro de datos a
soluciones de infraestructura como servicio (IaaS), de forma que se crea una reducción de costos de 3 años.
Ejemplo 2: Una sociedad de cartera ha adquirido recientemente una nueva compañía. En la adquisición, los
términos dictaminan que la nueva entidad se debe retirar de los centros de datos actuales en un plazo de 6
meses. Si no lo hace, deberá pagar una multa de 1 millón USD al mes a la sociedad de cartera. Mover los
recursos digitales a la nube mediante una migración podría permitir una rápida retirada de los recursos
antiguos.
Ejemplo 3: Una compañía de impuestos de renta que atiende a consumidores obtiene un 70 % de sus
ingresos anuales durante los tres primeros meses del año. El resto del año, su enorme inversión en TI
permanece relativamente inactiva. Una migración a la nube permitiría al equipo de TI implementar la
capacidad de proceso y hospedaje necesaria para esos tres meses. Durante los nueve meses restantes, se
podrían rebajar considerablemente los costos de IaaS mediante la reducción de la superficie de proceso.
Ejemplo: Coverdell
Coverdell moderniza su infraestructura para impulsar el ahorro en los costos de registro con Azure. La decisión
de Coverdell de invertir en Azure y de unir su red de sitios web, aplicaciones, datos e infraestructura dentro de
este entorno, les generó unos ahorros en los costos mayores de lo que jamás habrían esperado. La migración a
un entorno solo de Azure eliminó 54 000 USD en costos mensuales por servicios de ubicación. Solo con la
nueva infraestructura unida de la compañía, Coverdell espera ahorrar casi 1 millón USD durante los próximos 2
o 3 años.
"Tener acceso a la pila de tecnología de Azure abre la puerta a soluciones escalables, fáciles de implementar
y con una gran disponibilidad que son rentables. Así nuestros arquitectos pueden ser mucho más creativos
con las soluciones que proporcionan".
Ryan Sorensen
Director de desarrollo de aplicaciones y arquitectura empresarial
Coverdell
Prevención de costos
La terminación de los centros de datos también proporciona prevención de costos al impedir futuros ciclos de
actualizaciones. Un ciclo de actualización es el proceso de comprar nuevo hardware y software para reemplazar
los sistemas antiguos locales. En Azure, el hardware y el sistema operativo reciben habitualmente
mantenimiento, revisiones y actualizaciones sin costo adicional para los clientes. De esta manera, el director
financiero puede eliminar los gastos futuros planeados de las previsiones financieras a largo plazo. La
prevención de costos se mide en dólares. Se diferencia de la reducción de costos en que normalmente se centra
en un presupuesto futuro que aún no se ha aprobado completamente.
Ejemplo : El centro de datos de una compañía está pendiente de una renovación del alquiler en 6 meses. El
centro de datos ha estado en servicio durante ocho años. Hace 4 años, todos los servidores se actualizaron y
virtualizaron, lo que supuso un costo para la compañía de millones de dólares. El próximo año, la compañía
planea actualizar de nuevo el hardware y el software. La migración de los recursos de ese centro de datos,
como parte de una migración a la nube, permitiría prevenir costos al eliminar la actualización planeada del
presupuesto previsto para el próximo año. También podría generar una reducción de los costos, ya que se
reducen o eliminan los costos de arrendamiento de bienes inmuebles.
Gastos de capital y gastos operativos
Antes de analizar los resultados de costos, es importante comprender las dos opciones de costo principales:
gastos de capital y gastos operativos.
Los siguientes términos le ayudarán a comprender las diferencias entre los gastos de capital y los gastos
operativos durante los debates empresariales sobre un proceso de transformación.
Capital es el dinero o los activos que pertenecen a una empresa y que contribuyen a un propósito en
particular, como aumentar la capacidad del servidor o crear una aplicación.
Los gastos de capital generan beneficios durante un largo período. Estos gastos no son recurrentes por lo
general y dan lugar a la adquisición de activos permanentes. La creación de una aplicación podría calificarse
como gasto de capital.
Los gastos operativos son los costos continuos que resultan de la actividad de la empresa. El consumo de
servicios en la nube en un modelo de pago por uso se podría considerar como gasto operativo.
Los activos son recursos económicos que se pueden tener o controlar para generar valor. Los servidores,
lagos de datos y aplicaciones podrían considerarse activos.
La depreciación es una reducción del valor de un activo con el paso del tiempo. Más importante para el
debate entre gastos de capital y gastos operativos, es ver cómo los costos de un activo se asignan en los
períodos en los que se usan. Por ejemplo, si crea una aplicación este año, pero se espera que tenga una vida
útil de 5 años (como la mayoría de las aplicaciones comerciales), el costo del equipo de desarrollo y de las
herramientas necesarias para crear e implementar la base de código se depreciaría uniformemente durante
cinco años.
Valoración es el proceso de estimar qué valía tiene una compañía. En la mayoría de los sectores, la
valoración se basa en la capacidad de la compañía para generar ingresos y beneficios, y respetar al mismo
tiempo los costos operativos necesarios para crear los bienes que proporcionan ese ingreso. En otros
sectores, como el del comercio minorista, o en algunos tipos de transacción como el capital privado, los
activos y la depreciación pueden jugar un papel muy importante en la valoración de la compañía.
A menudo resulta una apuesta segura que distintos ejecutivos, incluido el jefe de inversiones (CIO), analicen el
mejor uso del capital para hacer crecer la compañía en la dirección deseada. Dar al jefe de inversiones los
medios para convertir conversaciones polémicas sobre gastos de capital en una clara rendición de cuentas de
gastos operativos podría ser un atractivo resultado en sí mismo. En muchos sectores, los directores financieros
buscan activamente formas de asociar mejor la responsabilidad fiscal con el costo de los bienes vendidos.
Sin embargo, antes de asociar cualquier proceso de transformación con este tipo de conversión de gastos de
capital a gastos operativos, es aconsejable reunirse con los miembros de los equipos de CFO o CIO para ver qué
estructura de costos prefiere la empresa. En algunas organizaciones, la reducción de los gastos de capital en
favor de los gastos operativos es un resultado no deseado. Como se mencionó anteriormente, este enfoque se
observa a veces en el comercio minorista, las sociedades de cartera y las compañías de capital privado que
otorgan un gran valor a los modelos tradicionales de contabilidad de activos fijos y muy poco al protocolo de
Internet. También se observa en organizaciones que han tenido experiencias negativas al subcontratar personal
de TI u otras funciones en el pasado.
Si el modelo de gastos operativos es deseable, el ejemplo siguiente podría ser un resultado empresarial viable:
Ejemplo : El centro de datos de la empresa se deprecia actualmente a x USD al año durante los próximos
3 años. Se espera que se necesiten y USD adicionales para actualizar el hardware el próximo año. Se pueden
convertir todos esos gastos de capital en un modelo de gastos operativos con un índice constante de z USD
al mes, lo que permite una mejor administración y contabilidad de los costos de funcionamiento de la
tecnología.
Pasos siguientes
Obtenga más información sobre resultados de agilidad.
Resultados de agilidad
Ejemplos de resultados de agilidad
12/03/2021 • 8 minutes to read • Edit Online
Como se ha tratado en la información general sobre resultados empresariales, varios resultados empresariales
potenciales pueden servir como base para cualquier conversación de recorrido de transformación con la
empresa. Este artículo se centra en la medida empresarial más oportuna: la agilidad empresarial. Comprender la
posición en el mercado y el panorama competitivo de su empresa puede ayudarle a articular los resultados
empresariales que son el objetivo del recorrido de transformación de la empresa.
Tradicionalmente, los directores de inversiones y los equipos de TI eran considerados como una fuente de
estabilidad en procesos críticos principales. Esto sigue siendo cierto. Pocas empresas pueden funcionar bien si
su plataforma de TI es inestable. Sin embargo, en el mundo empresarial de hoy en día, se espera mucho más. El
equipo de TI puede expandirse para convertirse en algo más que un simple centro de costo al asociarse con la
empresa para proporcionar ventajas competitivas. Muchos directores de inversiones y ejecutivos entienden que
la estabilidad es simplemente la base de referencia para el equipo de TI. Para estos líderes, la agilidad
empresarial es la medida de la contribución de TI a la empresa.
La Academia de las Artes y las Ciencias Cinematográficas migró sus aplicaciones web heredadas a la nube,
proporcionando nuevas aplicaciones de streaming a los miembros en una experiencia enriquecida, con
capacidad de respuesta y multiplataforma.
"Como equipo, nos centramos en soluciones de alta calidad y en la rapidez. Elegir Azure fue un punto de
inflexión para nosotros".
Jamey Shiels
Vicepresidente de Experiencia digital
Aurora Health Care
Tiempo de aprovisionamiento
Cuando el negocio exige nuevos servicios de TI o escalar a servicios existentes, la adquisición y el
aprovisionamiento de nuevos recursos virtuales o de hardware pueden tardar semanas. Después de la
migración a la nube, TI puede habilitar el autoservicio de aprovisionamiento más fácilmente, lo que permite a la
empresa escalar sus servicios en horas.
Ejemplo : Una empresa de bienes de consumo envasados requiere la creación y anulación de cientos de
clústeres de bases de datos cada año para satisfacer las demandas operativas de la empresa. Los hosts
virtuales locales se pueden aprovisionar rápidamente, pero el proceso de recuperación de los recursos
virtuales es lento y ocupa un tiempo significativo del equipo. Por lo tanto, el entorno local heredado se ve
sobrecargado y apenas puede mantener el ritmo de la demanda. Después de la migración a la nube, TI puede
proporcionar más fácilmente aprovisionamiento automático de recursos con scripts, con un enfoque de
anulación para la facturación. En conjunto, esto permite a la empresa moverse tan rápidamente como sea
necesario, al tiempo que sigue asumiendo la responsabilidad del costo de los recursos que se demandan. Al
hacer esto en la nube, se limitan las implementaciones exclusivamente al presupuesto de la empresa.
Pasos siguientes
Más información sobre resultados de cobertura.
Resultados de cobertura
Ejemplos de resultados de alcance global
23/03/2021 • 7 minutes to read • Edit Online
Como ya se ha tratado en los resultados empresariales, varios posibles resultados empresariales pueden servir
como base en las conversaciones con la empresa acerca del recorrido de transformación. Este artículo se centra
en una medida empresarial común: el alcance. El alcance es un término conciso que, este caso, se refiere a la
estrategia de globalización de una empresa. Conocer la estrategia de globalización de la empresa le ayudará a
articular mejor los resultados empresariales que son el objetivo del recorrido de transformación de una
empresa.
Las empresas de la lista Fortune 500 y las empresas más pequeñas se han centrado en la globalización de los
servicios y en los clientes durante más de tres décadas, y es probable que la mayoría de las empresas participen
en operaciones de comercio mundial, ya que esta globalización sigue constituyendo el foco de atención. El
hospedaje de centros de datos por todo el mundo puede consumir más del 80 por ciento de un presupuesto
anual de TI, y las redes de área extensa que usan líneas privadas para conectar esos centros de datos pueden
costar millones de dólares al año. Por lo tanto, poder realizar operaciones globales resulta complejo y costoso.
Las soluciones en la nube trasladan el costo de la globalización al proveedor de la nube. En Azure, los clientes
pueden implementar rápidamente los recursos en la misma región en la que se encuentran los clientes o las
operaciones, sin tener que comprar ni aprovisionar un centro de datos. Microsoft es propietario de una de las
redes de área extensa más grandes del mundo, que conecta centros de datos en todo el mundo. Los clientes de
todos el mundo pueden contar con conectividad y capacidad operativa global a medida que la necesiten.
Walgreens Boots Alliance (WBA) trasladó las aplicaciones locales y los recursos de TI en un entorno de Windows
y Linux heterogéneo a la nube, aprovechando el rendimiento mejorado y la centralización de los datos, y
ayudando a la empresa a ofrecer un mejor servicio al cliente.
Acceso global
Expandirse en un nuevo mercado puede ser uno de los resultados empresariales más valiosos durante una
transformación. La capacidad para implementar rápidamente los recursos en el mercado sin un compromiso a
largo plazo permite a los responsables de ventas y operaciones explorar opciones que no habrían considerado
en el pasado.
Ejemplo de fabricación
Un fabricante de cosméticos ha identificado una tendencia. Se están enviando algunos productos a la región de
Asia Pacífico, aunque no hay ningún equipo de ventas que opere en esa región. Los sistemas mínimos
requeridos por un equipo de ventas remoto son pequeños, pero la latencia impide una solución de acceso
remoto. Para aprovechar esta tendencia, el vicepresidente de ventas quiere probar con equipos de ventas en
Japón y Corea del Sur. Como la empresa ha realizado una migración a la nube, ha podido implementar los
sistemas necesarios en Japón y Corea del Sur en tan solo unos días. Esto ha permitido al vicepresidente de
ventas aumentar los ingresos de la región en un plazo de tres meses. Estos dos mercados continúan superando
a otras partes del mundo y generando operaciones de ventas en toda la región.
Ejemplo de comercio
Un distribuidor en línea que distribuya productos globalmente puede interactuar con sus clientes en distintas
zonas horarias e idiomas. El distribuidor utiliza Azure Bot Service y diversas características de Azure Cognitive
Services, como Traductor, Language Understanding (LUIS), QnA Maker y Text Analytics. Esto garantiza que sus
clientes puedan obtener la información que necesitan cuando la necesiten y en su idioma. El minorista utiliza el
servicio Personalizer para personalizar aún más la experiencia y las ofertas del catálogo para sus clientes, lo que
garantiza que se vean reflejados los gustos, las preferencias y las disponibilidades según los datos geográficos.
Pasos siguientes
Más información acerca de los resultados de la involucración del usuario.
Resultados de la involucración del usuario
Ejemplos de resultados de la involucración del
cliente
12/03/2021 • 6 minutes to read • Edit Online
Como se ha tratado en la información general sobre resultados empresariales, varios resultados empresariales
potenciales pueden servir como base para cualquier conversación de recorrido de transformación con la
empresa. Este artículo se centra en una medida empresarial común: la involucración del cliente. Comprender las
necesidades de los clientes y el ecosistema en torno a estos ayuda a articular los resultados empresariales que
constituyen el objetivo del recorrido de transformación de una empresa.
Durante los esfuerzos de innovación de datos habilitados para la nube, se daba por supuesta la involucración
del cliente. Las siguientes funciones son potencialmente perjudiciales y requieren un alto grado de compromiso
del cliente:
Agregación de datos
Comprobación de teorías
Avance de información
Información sobre cambio cultural
Los resultados de la involucración del cliente están todos relacionados con la satisfacción o superación de las
expectativas del cliente. Como base de la involucración, los clientes dan por supuesto que los productos y
servicios son eficientes y confiables. Si no lo son, es fácil que un ejecutivo comprenda el valor empresarial de los
resultados de rendimiento y confiabilidad. En el caso de empresas más avanzadas, la velocidad de integración
de los aprendizajes y observaciones de este proceso es un resultado empresarial fundamental.
Descartes eligió Microsoft Azure como su plataforma preferida y migró correctamente su solución Descartes
MacroPoint a Azure SQL Database para proporcionar mayor flexibilidad a los clientes y centrar los recursos
internos en la extensión del valor del producto.
Tiempo de ciclo
Durante las transformaciones que se centran en los clientes como, por ejemplo, en un esfuerzo de innovación de
aplicaciones habilitadas para la nube, los clientes responden ante una involucración directa. También aprecian la
posibilidad de ver sus necesidades rápidamente satisfechas por parte del equipo de desarrollo. El tiempo de
ciclo es un término de Six Sigma que hace referencia a la duración desde el principio hasta el final de una
función. Para los directivos de la empresa, que invierten en mejorar la involucración de los clientes, el tiempo de
ciclo puede ser un resultado empresarial muy deseable.
Ejemplo :
Una empresa de servicios que proporciona servicios de negocio a negocio está intentando mantener la cuota de
mercado en un mercado competitivo. Los clientes que han abandonado la empresa por un proveedor de
servicios de la competencia han afirmado que su solución técnica es demasiado compleja e interfiere con sus
procesos empresariales y este es el principal motivo de su marcha. En este caso, el tiempo de ciclo es
fundamental.
En la actualidad, una característica tarda 12 meses en pasar de ser una solicitud a su lanzamiento. Si el equipo
directivo le da prioridad, ese ciclo se puede reducir a seis o nueve meses. Mediante un esfuerzo de innovación
de aplicaciones habilitadas para la nube, modelos de aplicaciones nativas en la nube y la integración de Azure
DevOps, el equipo puede reducir el tiempo de ciclo a un mes. Esto permite a los equipos empresariales y de
desarrollo de aplicaciones interactuar más directamente con los clientes.
Pasos siguientes
Más información acerca de los resultados del rendimiento.
Resultados de rendimiento
Ejemplos de resultados de rendimiento
23/03/2021 • 7 minutes to read • Edit Online
Como ya se ha tratado en los resultados empresariales, varios posibles resultados empresariales pueden servir
como base en las conversaciones con la empresa acerca del recorrido de transformación. Este artículo se centra
en una medida empresarial común: el rendimiento.
En la sociedad tecnológica de hoy en día, los clientes asumen que las aplicaciones van a funcionar bien y
siempre van a estar disponibles. Cuando no se cumple esta expectativa, se produce un daño en la reputación
que puede ser costoso y duradero.
GE Aviation's Digital Group implementó Microsoft Azure Digital Twins y otros recursos de Azure para ingerir y
modelar los datos de varios orígenes, lo que permitió crear una vista de aeronaves digital completa con
trazabilidad digital integrada de componentes individuales que ayuda a los clientes a fomentar una mayor
eficiencia del combustible, reducir los costos de mantenimiento e impulsar la preparación de vuelos de sus
flotas.
Rendimiento
Los mayores servicios informáticos en la nube se ejecutan en una red mundial de centros de datos seguros que
se actualizan periódicamente a la última generación de hardware informático rápido y eficiente. Esto
proporciona varias ventajas en comparación con un único centro de datos corporativo, como una latencia de red
menor para las aplicaciones y mayores economías de escala.
Transforme el negocio y reduzca costos con una infraestructura de bajo consumo que abarca más de 100
instalaciones de alta seguridad en todo el mundo unidas por una de las mayores redes del planeta. Azure cuenta
con más regiones globales que cualquier otro proveedor de nube. Esto se traduce en la escala necesaria para
acercar las aplicaciones a usuarios de todo el mundo, mantener la residencia de los datos y ofrecer a los clientes
opciones completas de cumplimiento normativo y resistencia.
Ejemplo 1: una empresa de servicios trabajaba con un proveedor de hospedaje que hospedaba varios
recursos de infraestructura operativa. Esos sistemas experimentaban interrupciones frecuentes y un
rendimiento deficiente. La empresa migró sus recursos a Azure para aprovechar el contrato de nivel de
servicio y los controles de rendimiento de la nube. Cualquier tiempo de inactividad costaría a la empresa
unos 15 000 USD por minuto de interrupción. Con una interrupción de entre cuatro y ocho horas al mes,
resultó fácil justificar esta transformación organizativa.
Ejemplo 2: una empresa de inversión de consumo se encontraba en las primeras fases de un esfuerzo
de innovación de aplicaciones habilitadas para la nube. Los procesos de Agile y DevOps estaban
madurando correctamente, pero el rendimiento de las aplicaciones tenía picos. Como una transformación
más madura, la empresa inició un programa para supervisar y automatizar el tamaño en función de las
demandas de uso. La empresa eliminó los problemas de tamaño mediante las herramientas de
administración del rendimiento de Azure, lo que dio lugar a un sorprendente aumento del 5 % en las
transacciones.
Confiabilidad
La informática en la nube facilita y abarata la creación de copias de seguridad de los datos, la recuperación ante
desastres y la continuidad empresarial, ya que los datos se pueden reflejar en varios sitios redundantes en la red
del proveedor de nube.
Una de las funciones vitales de TI es garantizar que los datos corporativos nunca se pierdan y que las
aplicaciones estén disponibles a pesar de los bloqueos de servidor, las interrupciones del suministro eléctrico o
los desastres naturales. Puede mantener los datos seguros y recuperables si realiza copias de seguridad de ellos
en Azure.
Azure Backup es una solución sencilla que reduce los costos de infraestructura a la vez que proporciona
mecanismos de seguridad mejorados para proteger los datos frente al ransomware. Con una solución, puede
proteger las cargas de trabajo que se ejecutan en Azure y el entorno local en Linux, Windows, VMware e Hyper-
V. Puede garantizar la continuidad empresarial al mantener las aplicaciones en ejecución en Azure.
Azure Site Recovery facilita la prueba de la recuperación ante desastres mediante la replicación de aplicaciones
entre regiones de Azure. También puede replicar máquinas virtuales locales de VMware e Hyper-V y servidores
físicos en Azure para que estén disponibles si el sitio principal deja de funcionar. Además, puede recuperar las
cargas de trabajo en el sitio principal una vez que vuelva a estar en funcionamiento.
Ejemplo : una empresa petrolífera usaba tecnologías de Azure para implementar una recuperación del sitio
completa. La empresa decidió no adoptar totalmente la nube para las operaciones cotidianas, pero las
características de recuperación ante desastres y continuidad empresarial (BCDR) de la nube seguían
protegiendo el centro de datos. Cuando se formó un huracán a cientos de kilómetros de distancia, su
asociado de implementación comenzó a recuperar el sitio en Azure. Antes de que el huracán tocara tierra,
todos los recursos críticos se ejecutaron en Azure, lo que evitó el tiempo de inactividad.
Pasos siguientes
Aprenda a usar la plantilla de resultados empresariales.
Usar la plantilla de resultados empresariales
Resultados de sostenibilidad y ventajas para
empresas
12/03/2021 • 7 minutes to read • Edit Online
Aunque el impacto y las ventajas de la nube se han medido tradicionalmente con métricas financieras y de
eficiencia, es más común para los clientes buscar información sobre cómo la nube puede ayudarlos a lograr sus
objetivos medioambientales y de sostenibilidad. La informática en la nube puede ayudar a su organización a
reducir las emisiones de carbono, a usar los recursos de manera más eficiente y a reducir la huella
medioambiental.
Vea el siguiente vídeo para más información sobre sostenibilidad y cómo la migración a la nube abre la puerta a
soluciones sostenibles que son buenas para el planeta y para su empresa.
Microsoft ha sido líder en muchas de estas áreas. La compañía lleva a cabo sus operaciones con una emisión de
carbono neutra desde 2012. Para 2030 se ha comprometido a tener huella de carbono negativa. The carbon
benefits of cloud computing (Beneficios para las emisiones de carbono de la informática en la nube) es un
estudio sobre la nube de Microsoft en colaboración con WSP, que apoya la investigación sobre la reducción
potencial de las huellas de carbono que puede suponer el traslado de los centros de trabajo locales a la nube de
Microsoft.
La plataforma de IoT de Bühler Group, conocida como Bühler Insights y con la tecnología de Azure IoT Hub,
genera datos esenciales para que los clientes puedan supervisar el rendimiento de la máquina y generar
registros precisos para cada lote de productos, ayudando a los productores de alimentos a optimizar la
seguridad, la sostenibilidad y la transparencia en la cadena de suministro.
Pasos siguientes
Un enfoque intencional puede ayudar a las organizaciones a seguir su recorrido de sostenibilidad. Estos cuatro
pasos pueden influir en los resultados de su compañía:
Paso 1: Registre y comprenda las emisiones de carbono de su compañía. Empiece por categorizar las
emisiones, lo que le ayudará a elaborar una lista de las áreas en las que debe centrarse. La calculadora de
sostenibilidad de Microsoft puede ayudarlo con esta tarea.
Paso 2: Evalúe si los distribuidores, asociados y proveedores están llevando a cabo pasos para reducir sus
emisiones, y si estos pasos se alinean con los suyos.
Paso 3: Cree un incentivo para que los equipos reduzcan las emisiones de carbono. La guía The Microsoft
carbon fee: theory and practice (Tarifa de carbono de Microsoft: teoría y práctica) pueden ayudar a su
organización a impulsar la alineación y responsabilidad en los equipos.
Paso 4: Busque equipos en nuestra empresa para contratar su soporte técnico y generar ideas sobre áreas de
mejora. Cree una cultura de innovación en la que los usuarios sean participantes con un sentido de propiedad.
Obtenga más información sobre cómo su organización puede medir y alcanzar resultados de sostenibilidad con
la nube.
Resultados de cobertura
Usar la plantilla de resultados empresariales
12/03/2021 • 6 minutes to read • Edit Online
Como se ha visto en la información general sobre resultados empresariales, puede ser difícil salvar la brecha
entre las conversaciones empresariales y técnicas. Esta sencilla plantilla está diseñada para ayudar a los equipos
a capturar de manera uniforme los resultados empresariales que se van a usar más adelante en el desarrollo de
estrategias del recorrido de transformación del cliente.
Descargue la plantilla de resultados empresariales para comenzar con la lluvia de ideas y el seguimiento de los
resultados empresariales. Siga leyendo para obtener información sobre el empleo de la plantilla. Revise la
sección de resultados empresariales para obtener ideas sobre posibles resultados empresariales que podrían
surgir en las conversaciones ejecutivas.
Figura 1: Resultados empresariales visualizados como una casa con las partes interesadas, sobre los resultados
empresariales y sobre las capacidades técnicas.
La plantilla de resultados empresariales se centra en conversaciones simplificadas que pueden entablar
rápidamente las partes interesadas sin profundizar demasiado en la solución técnica. Al comprender y alinear
rápidamente los indicadores clave de rendimiento (KPI) y los impulsores del negocio que son importantes para
las partes interesadas, el equipo puede pensar en enfoques y transformaciones generales antes de profundizar
en los detalles de implementación.
Puede encontrar un ejemplo en la pestaña "Example Outcome" de la hoja de cálculo, como se muestra a
continuación. Para realizar el seguimiento de varios resultados, agréguelos a la pestaña "Collective Outcomes".
Figura 2: Ejemplo de una plantilla de resultados empresariales.
Figura 3: Cinco áreas de interés en la detección: las partes interesadas, los resultados, los controladores, los KPI y
las capacidades.
Par tes interesadas: qué personas de la organización es probable que obtengan el máximo valor de un
resultado empresarial específico. Qué personas es más probable que apoyen esta transformación, sobre todo
cuando las cosas se pongan difíciles o lleven mucho tiempo. A qué personas se atribuye el éxito de esta
transformación. Estas personas son partes interesadas potenciales.
Resultados empresariales: un resultado empresarial es un resultado conciso, definido y perceptible o un
cambio en el rendimiento empresarial respaldado por una medida específica. ¿Cómo quiere la parte interesada
cambiar la empresa? ¿Cómo se va a ver afectada la empresa? ¿Cuál es el valor de esta transformación?
Impulsores del negocio: los impulsores del negocio capturan el desafío actual que evita que la empresa logre
los resultados deseados. También pueden captar nuevas oportunidades que la empresa puede aprovechar con
la solución adecuada. ¿Cómo describiría los desafíos actuales o el estado futuro de la empresa? ¿Qué funciones
empresariales cambiaría para lograr los resultados deseados?
KPI: ¿cómo se va a medir este cambio? ¿Cómo sabe la empresa si son correctos? ¿Con qué frecuencia se va a
observar este KPI? La comprensión de cada KPI ayuda a habilitar el cambio incremental y la experimentación.
Funcionalidades: al definir un recorrido de transformación, ¿cómo van a acelerar las funcionalidades técnicas
la consecución del resultado empresarial? ¿Qué aplicaciones deben incluirse en la transformación para lograr
objetivos empresariales? ¿Cómo se clasifican por orden de prioridad las distintas aplicaciones o cargas de
trabajo para ofrecer funcionalidades? ¿Cómo deben expandirse o rediseñarse las partes de la solución para
lograr cada uno de los resultados? ¿Se pueden reorganizar los enfoques de ejecución (o las escalas de tiempo)
para clasificar los resultados empresariales de alto impacto?
Pasos siguientes
Aprenda a alinear el esfuerzo técnico con métricas de aprendizaje significativas.
Alinear el esfuerzo técnico con métricas de aprendizaje
¿Cómo podemos alinear el trabajo con métricas de
aprendizaje significativas?
06/03/2021 • 8 minutes to read • Edit Online
En la información general sobre resultados empresariales se analizaron formas de medir y comunicar cómo
afectará una transformación a la empresa. Desafortunadamente, pueden pasar años antes de que algunos de
esos resultados produzcan resultados mensurables. La junta y los ejecutivos de máximo rango están
descontentos con los informes que muestran una diferencia del 0 % durante largos períodos de tiempo.
Las métricas de aprendizaje son métricas provisionales a más corto plazo que se pueden asociar a resultados
empresariales a largo plazo. Estas métricas se alinean bien con una mentalidad de crecimiento y contribuyen a
posicionar la cultura para que sea más resistente. En lugar de destacar la falta de progreso prevista para la
consecución de un objetivo empresarial a largo plazo, las métricas de aprendizaje resaltan los primeros
indicadores de éxito. Las métricas también resaltan los indicadores iniciales de error, que probablemente
proporcionen la mejor oportunidad de aprender y ajustar el plan.
Como en muchos de los materiales de este marco, se supone que está familiarizado con el recorrido de
transformación que mejor se adapta a los resultados empresariales esperados. En este artículo se describen
algunas métricas de aprendizaje para cada recorrido de transformación a fin de ilustrar el concepto.
Migración a la nube
Esta transformación se centra en el costo, la complejidad y la eficacia, con énfasis en las operaciones de TI. Los
datos más fáciles de medir detrás de esta transformación son los del traslado de recursos a la nube. En este tipo
de transformación, el patrimonio digital se mide en máquinas virtuales (VM), bastidores o clústeres que
hospedan esas máquinas virtuales, costos operativos del centro de datos, gastos de capital necesarios para
mantener los sistemas y amortización de dichos recursos a lo largo del tiempo.
A medida que las máquinas virtuales se trasladan a la nube, se reduce la dependencia de los recursos heredados
locales. También se reduce el costo del mantenimiento de recursos. Desafortunadamente, las empresas no
pueden materializar la reducción de costos hasta que los clústeres se desaprovisionan y las concesiones de
centros de datos expiran. En muchos casos, el valor completo del trabajo no se materializa hasta que se
completan los ciclos de amortización.
Póngase siempre de acuerdo con el director financiero o el departamento de finanzas antes de crear informes
financieros. Aunque los equipos de TI generalmente pueden calcular los valores de costo monetario actual y de
costo monetario futuro para cada máquina virtual en función del consumo de CPU, memoria y almacenamiento.
Luego puede aplicarse ese valor a cada máquina virtual migrada para estimar el ahorro de costos inmediato y el
valor monetario futuro del trabajo.
Pasos siguientes
Una vez alineadas las métricas de aprendizaje, está listo para empezar a crear la justificación económica que
debe proporcionar para hacer frente a esas métricas.
Creación de la justificación económica de la nube
Medición de los resultados empresariales mediante
objetivos y resultados clave (OKR)
23/03/2021 • 8 minutes to read • Edit Online
Las operaciones modernas requieren maneras modernas de medir los resultados empresariales, y la tecnología
de la nube puede ayudar a aumentar la velocidad de una empresa. La plataforma de medición de una
organización debe respaldar los resultados y el plan de crecimiento de una empresa mediante las acciones
siguientes:
Proporcionar información a los grupos y miembros del equipo.
Respaldar la dinamización rápida del personal cuando los resultados no se alinean con la estrategia y las
expectativas.
Ofrecer un formato estructurado, plantillas, secuencias y herramientas para ayudar a los equipos a planear y
visualizar un aumento de la velocidad.
Figura 1: Cómo mejoran la alineación y la responsabilidad los OKR en las organizaciones para ayudarlas a
cumplir los objetivos con mayor rapidez.
Obtenga más información sobre cómo su equipo puede alinear la estrategia y la ejecución durante las fases de
planeación y ejecución.
Ejemplos de OKR
Los principios definidos por WorkBoard pueden ayudar a su organización a comprender la utilidad los OKR. Los
objetivos deben inspirar a su empresa y a sus equipos para comprender completamente su misión. Los
resultados clave deben ser específicos y medibles dentro del trimestre.
A continuación, se incluyen algunos ejemplos de OKR:
Objetivo 1: ser el principal proveedor estadounidense de plataformas de aprendizaje para escuelas.
Resultados clave:
1. Un 45 % de las escuelas de primaria y secundaria utilizan nuestra plataforma.
2. Un aumento del 12 % en la participación de los alumnos, medido a través de sistemas internos.
3. Una tasa de satisfacción del 95 % en las encuestas de padres trimestrales.
Objetivo 2: crear una plataforma tecnológica que ayude a todas las personas de nuestra empresa a innovar y
crear.
Resultados clave:
1. Cinco aplicaciones nuevas desarrolladas y adoptadas en toda la organización.
2. Cada equipo con al menos dos miembros que usan Microsoft Power Platform.
3. Incluye nuevas tecnologías de nube, como las de análisis de datos y aprendizaje automático, en todas las
aplicaciones orientadas al cliente.
Objetivo 3: Transformar el enfoque de orientado a ventas a orientado a datos.
Resultados clave:
1. Aumento de la cobertura de la canalización del 50 % al 200 %.
2. Aumento de un 5 % de las tasas de cierre de contratos de ventas.
3. Reducción de un 8 % del tiempo de cierre de ofertas.
Pasos siguientes
Cinco pasos pueden ayudar a su organización a adoptar los OKR:
Paso 1: Aprendizaje. Empiece a explorar lo que los OKR pueden hacer para su negocio, y póngase en contacto
con colegas y líderes del sector para averiguar los beneficios que los OKR han proporcionado a sus
organizaciones.
Paso 2: Planeamiento. Cuando empiece a elaborar el borrador de su OKR, asegúrese de que los
patrocinadores participen y se impliquen en el proceso. Trabaje con un asesor de OKR para ajustar sus OKR.
Paso 3: Lanzamiento. Cada organización lanza las iniciativas de manera diferente. Mantenga un plan de
comunicación sólido, e integre el proceso de calibración y celebración de OKR en su modelo operativo.
Paso 4: Impulso. Para mantener el rigor y el enfoque, asegúrese de compartir los resultados en toda la
organización. Esto ayudará a los equipos a adoptar el hábito de usar los OKR.
Paso 5: Mejora. Siga mejorando, vuelva a realizar consultas y vuelva a plantearse cómo expandir la conexión a
toda la organización. Los OKR en hojas de cálculo pueden ser útiles, pero una organización puede obtener los
máximos beneficios de la participación de todos los usuarios para cumplir los objetivos y obtener información
de los datos alineados.
Póngase en contacto con WorkBoard para empezar.
Alinear esfuerzos con métricas de aprendizaje
Compilación de una justificación comercial para la
migración a la nube
06/03/2021 • 18 minutes to read • Edit Online
Las migraciones a la nube pueden generar una rápida rentabilidad de la inversión (ROI) por los esfuerzos de
transformación en la nube. Sin embargo, desarrollar una justificación empresarial clara con costos y
rendimientos pertinentes y tangibles puede ser un proceso complejo. Este artículo le ayudará a pensar en qué
datos son necesarios para crear un modelo financiero que se alinee con los resultados de la migración a la nube.
En primer lugar, vamos a destruir unos cuantos mitos sobre la migración a la nube, de forma que su
organización pueda evitar cometer algunos errores comunes.
Podemos desempaquetar esta ecuación para obtener una vista de las fórmulas específica de la migración para
las variables de entrada por el lado adecuado de esta ecuación. En el resto de las secciones de este artículo se
ofrecen algunos aspectos que se deben tener en cuenta.
Pasos siguientes
Creación de un modelo financiero para la transformación en la nube
Creación de un modelo financiero para la
transformación en la nube
06/03/2021 • 11 minutes to read • Edit Online
Crear un modelo financiero que represente con precisión el valor empresarial completo de cualquier
transformación en la nube puede ser complicado. Los modelos financieros y las justificaciones empresariales
tienden a variar entre distintas organizaciones. En este artículo se establecen algunas fórmulas y se señalan
algunas cosas que normalmente faltan cuando los estrategas crean modelos financieros.
Rentabilidad de la inversión
La rentabilidad de la inversión (ROI) suele ser un criterio importante para los ejecutivos de máximo rango o la
junta. ROI se usa para comparar diferentes formas de invertir recursos limitados de capital. La fórmula de ROI
es bastante sencilla. Sin embargo, los datos necesarios para crear cada entrada de la fórmula pueden no ser tan
simples. Básicamente, ROI es la cantidad de rentabilidad generada por una inversión inicial. Normalmente se
representa como un porcentaje:
En las secciones siguientes, se le guía por los datos necesarios para calcular la inversión inicial y la ganancia de
la inversión (beneficios).
Ingresos diferenciales
Los ingresos diferenciales se deben prever en colaboración con las partes interesadas de la empresa. Una vez
que las partes interesadas acuerdan un impacto sobre los ingresos, se puede usar para mejorar la posición de
los beneficios.
Costos diferenciales
Los costos diferenciales son la cantidad de aumento o disminución que generará la transformación. Los costos
diferenciales pueden verse afectados por variables independientes. Los beneficios se basan en gran medida en
los costos directos como la reducción de gastos de capital, la prevención de costos, las reducciones de costos
operativos y las reducciones de amortización. En las secciones siguientes se describen algunos costos
diferenciales que se deben tener en cuenta.
Reducción o aceleración de la depreciación
Para más información sobre la depreciación, hable con el CFO o el equipo financiero. La siguiente información
sirve de referencia general sobre al tema de la depreciación.
Cuando se invierte capital en la adquisición de un recurso, esa inversión podría usarse con fines fiscales o
financieros para producir beneficios continuados durante la vida útil del recurso. Algunas compañías consideran
que la depreciación es una ventaja fiscal positiva. Otras la consideran un gasto que se realiza constantemente,
de forma parecida a otros gastos recurrentes atribuidos al presupuesto anual de TI.
Hable con la administración de hacienda para determinar si es posible eliminar la depreciación y si contribuiría
de forma positiva a los costos diferenciales.
Recuperación de los recursos físicos
En algunos casos, se pueden vender recursos retirados como una fuente de ingresos. Estos ingresos se suelen
agrupar dentro de la reducción de costos por motivos de simplicidad. Sin embargo, realmente es un aumento
de los ingresos y puede tributarse como tal. Hable con la administración de hacienda para conocer la viabilidad
de esta opción y cómo justificar los ingresos resultantes.
Reducciones de costos operativos
Los gastos recurrentes necesarios para operar un negocio a menudo se denominan gastos operativos. Esta es
una categoría amplia. En la mayoría de los modelos de contabilidad, incluye:
Licencias de software.
Gastos de hospedaje.
Facturas de electricidad.
Alquileres de bienes inmuebles.
Gastos de refrigeración.
Personal temporal necesario para las operaciones.
Alquiler de equipos.
Piezas de recambio.
Contratos de mantenimiento.
Servicios de reparación.
Servicios de continuidad del negocio y recuperación ante desastres (BC/DR).
Otros gastos que no requieren la aprobación de gastos de capital.
Esta categoría proporciona uno de los costos diferenciales más elevados. Si está considerando la posibilidad de
realizar una migración a la nube, el tiempo invertido en la creación de esta lista estará bien empleado. Formule
preguntas al CIO y al equipo financiero para asegurarse de que se justifican todos los costos operativos.
Prevención de costos
Cuando se espera un gasto operativo, pero no se encuentra aún en un presupuesto aprobado, no se puede
incluir en una categoría de reducción de costos. Por ejemplo, si las licencias de Microsoft y VMware se deben
volver a negociar y pagarse el próximo año, no son aún costos completos. Las reducciones en esos costos
esperados se tratan como costos operativos solo para el cálculo de los costos diferenciales. Sin embargo, de
manera informal, se deben considerar "prevención de costos" hasta que finalice la negociación y aprobación del
presupuesto.
Reducciones de costos indirectos
En algunas compañías también se podrían incluir los costos indirectos, como las reducciones en la complejidad
operativa o la reducción del personal a jornada completa para operar un centro de datos, en los costos
diferenciales. No obstante, incluir costos indirectos puede no ser una buena idea. Al incluir reducciones de
costos indirectos, se introduce un supuesto sin documentar de que la reducción creará un ahorro de costos
tangible. Los proyectos de tecnología rara vez dan lugar a una recuperación real de los costos indirectos.
Reducciones de plantilla
Los ahorros de tiempo para el personal se incluyen a menudo en la reducción de costos indirectos. Cuando esos
ahorros de tiempo se asignan a la reducción real de salario o personal de TI, se podrían calcular por separado
como una reducción de plantilla.
Dicho esto, las aptitudes necesarias en el entorno local se asignan generalmente a un conjunto de aptitudes
parecidas (o de nivel superior) necesarias en la nube. Esto significa que, por lo general, no se despide a la gente
tras una migración a la nube.
Ocurre una excepción cuando un tercero o un proveedor de servicios administrados (MSP) proporcionan
capacidad operativa. Si los sistemas de TI están administrados por un tercero, los costos operativos podrían
reemplazarse por una solución o un MSP nativos de la nube. Es probable que un MSP nativo de la nube trabaje
de manera más eficiente y posiblemente a un menor costo. Si es así, las reducciones de costos operativos
pertenecen a los cálculos de costos directos.
Reducción o prevención de gasto de capital
Los gastos de capital son ligeramente diferentes a los gastos operativos. Por lo general, esta categoría está
controlada por los ciclos de actualización o la expansión del centro de datos. Un ejemplo de una expansión del
centro de datos sería un nuevo clúster de alto rendimiento para hospedar una solución de macrodatos o
almacenamiento de datos. Esto normalmente se incluiría en una categoría de gastos de capital. Más comunes
son los ciclos de actualización básicos. Algunas compañías tienen ciclos de actualización de hardware rígidos, lo
que significa que los recursos se retiran y se sustituyen en ciclos regulares (normalmente cada 3, 5 u 8 años). A
menudo, estos ciclos coinciden con los ciclos de concesión de recursos o la duración prevista de los equipos.
Cuando se alcanza un ciclo de actualización, TI extrae el gasto de capital para adquirir nuevos equipos.
Si se aprueba y se presupuesta un ciclo de actualización, la transformación a la nube podría ayudar a eliminar
ese costo. Si un ciclo de actualización está planeado, pero aún no se ha aprobado, la transformación a la nube
podría prevenir un gasto de capital. Ambas reducciones se agregarían al costo diferencial.
Pasos siguientes
Más información sobre los modelos de contabilidad en la nube.
Contabilidad en la nube
¿En qué consiste la contabilidad en la nube?
06/03/2021 • 11 minutes to read • Edit Online
La nube cambia el modo en que TI justifica los costos, como se describe en Creación de un modelo financiero
para la transformación a la nube. Es mucho más fácil admitir varios modelos de contabilidad de TI debido al
modo en que la nube asigna los costos. Por lo tanto, es importante comprender cómo justificar los costos de la
nube antes de comenzar el recorrido de transformación hacia esta nueva plataforma. En este artículo se
describen los modelos de contabilidad de la nube más comunes para TI.
Contracargo
Uno de los primeros pasos habituales que hay que seguir para cambiar la reputación de la TI como centro de
costos es implementar un modelo de contabilidad de contracargo. Este modelo es especialmente común en
empresas más pequeñas o en organizaciones de TI con una elevada eficiencia. En el modelo de contracargo, los
costos de TI asociados a una unidad de negocio específica se tratan como gastos operativos en el presupuesto
de esa unidad de negocio. Esta práctica reduce los efectos de costos acumulados sobre la TI, lo que permite que
los valores empresariales se muestren con mayor claridad.
En un modelo local heredado, el contracargo es difícil de lograr porque todavía alguien tiene que arrastrar los
grandes gastos de capital y la amortización. La conversión continua de gastos de capital en gastos operativos
asociados al uso es un ejercicio de contabilidad difícil. Esta dificultad es una de las razones principales para la
creación del modelo de contabilidad de TI tradicional y el modelo de contabilidad de TI central. El modelo de
gastos operativos de contabilidad de costos de la nube es casi obligatorio si quiere proporcionar eficazmente un
modelo de contracargo.
Pero no debe implementar este modelo sin considerar las implicaciones. Estas son algunas de las consecuencias
que son específicas de un modelo de contracargo:
El contracargo produce una reducción masiva del presupuesto general de TI. En el caso de organizaciones de
TI que no son eficaces o que requieren extensas habilidades técnicas complejas en operaciones o
mantenimiento, este modelo puede exponer esos gastos de forma poco saludable.
Una de las consecuencias comunes es la pérdida de control. En entornos con un gran componente político, el
contracargo puede dar lugar a la pérdida de control y a la reasignación de personal a la empresa. Esta
situación podría crear importantes ineficiencias y reducir la capacidad de TI para cumplir sistemáticamente
los Acuerdos de Nivel de Servicio o los requisitos del proyecto.
Otra consecuencia común es la dificultad para justificar los servicios compartidos. Si la organización ha
crecido mediante adquisiciones y, como resultado, arrastra la deuda técnica, es probable que se deba
mantener un alto porcentaje de servicios compartidos para que todos los sistemas funcionen juntos de
manera efectiva.
Las transformaciones hacia la nube incluyen soluciones a estas y otras consecuencias asociadas a un modelo de
contracargo. Pero cada una de esas soluciones incluye gastos operativos y de implementación. El CIO y el
director financiero (CFO) deben sopesar detenidamente las ventajas y desventajas de un modelo de contracargo
antes de considerar uno.
Cloud Adoption Framework aborda la adopción de la nube como una actividad de autoservicio. El objetivo es
capacitar a cada uno de los equipos que apoyan la adopción a través de enfoques estandarizados. En la práctica,
no se puede suponer que un enfoque de autoservicio será suficiente para todas las actividades de la adopción.
Los programas de adopción de la nube bien implantados suelen incluir al menos un nivel de apoyo. Algunos
esfuerzos de adopción de la nube pueden requerir apoyo de varios asociados que trabajan juntos en un objetivo
común.
Opciones de asociación
No está solo en su viaje hacia la nube. Existen varias opciones en las que su equipo se puede apoyar en su
tránsito hacia la adopción de la nube.
Proveedores de soluciones de Azure (asociados): conecte con proveedores de servicios administrados
(MSP) expertos de Azure y otros asociados de Microsoft que tengan ofertas de servicio alineadas con las
metodologías de Cloud Adoption Framework.
FastTrack for Azure: Use el programa Microsoft FastTrack for Azure para acelerar la migración.
Programa de migración de Azure (AMP) : el programa AMP armoniza una combinación de asociados y
empleados de Microsoft para acelerar la migración y brindarle apoyo.
Proveedores de soluciones de Azure
Los proveedores de soluciones certificados de Microsoft se especializan en ofrecer modernas soluciones de
cliente basadas en tecnologías de Microsoft en todo el mundo. Optimice su negocio en la nube con la ayuda de
un asociado experimentado.
Busque un proveedor de soluciones en la nube (CSP) . Un CSP certificado puede ayudarle a sacar el
máximo provecho de la nube mediante la evaluación de los objetivos empresariales para la adopción de la nube,
la identificación de la solución en la nube adecuada que satisface las necesidades empresariales y ayuda a la
empresa a ser más ágil y eficaz.
Los proveedores de servicios administrados (MSP) expertos de Azure se han sometido a una auditoría de
terceros para validar un nivel superior de capacidad, demostrado mediante personal certificado, referencias de
clientes, consumo anual de Azure a gran escala y otros criterios.
Busque un asociado de ser vicios administrados . Un asociado de servicios administrados (MSP) de Azure
ayuda a una empresa a hacer la transición a Azure y guía todos los aspectos del recorrido en la nube. Desde la
consultoría hasta la administración de operaciones y migraciones, estos asociados muestran a los clientes todas
las ventajas que aporta la adopción de la nube. También actúan como un lugar único donde ofrecer soporte
técnico común, aprovisionamiento y la experiencia de facturación, todo ello con un modelo empresarial de pago
por uso flexible.
En paralelo al desarrollo de la estrategia de adopción de la nube, el equipo de estrategia en la nube debe
empezar a detectar a los proveedores de soluciones con los que puede resultar útil la asociación para la
consecución de los objetivos empresariales.
FastTrack for Azure
FastTrack for Azure ofrece asistencia directa por parte de los ingenieros de Azure, en estrecha colaboración con
los asociados, para ayudar a los clientes a compilar las soluciones de Azure con rapidez y confianza. FastTrack
aporta procedimientos recomendados y herramientas de experiencias reales del cliente para guiar a los clientes
desde la instalación, la configuración y el desarrollo hasta la producción de soluciones de Azure, lo que incluye:
Durante una interacción típica de FastTrack for Azure, Microsoft ayuda a definir la visión empresarial para
planear y desarrollar correctamente soluciones de Azure. El equipo evalúa las necesidades de diseño y
proporciona instrucciones, principios de diseño, herramientas y recursos para ayudar a compilar, implementar y
administrar soluciones de Azure. El equipo empareja asociados cualificados para los servicios de
implementación a petición y se registran periódicamente para asegurarse de que la implementación está en
buen pie y para ayudar a quitar los bloqueadores.
Programa de migración de Azure (AMP)
El Programa de migración de Azure (AMP) proporciona una combinación de creación de conocimientos
técnicos, instrucciones paso a paso, herramientas de migración gratuitas y posibles ofertas para reducir los
costos de migración.
El programa usa FastTrack for Azure y los proveedores de soluciones de Azure para mejorar el éxito de los
clientes durante la migración.
Consulte este breve vídeo para una visión general de cómo puede ayudarle el Programa de migración de Azure.
Pasos siguientes
Después de que se haya iniciado su estrategia de alineación de socios, es posible que desee diseñar su
estrategia de seguridad a continuación.
Definición de la estrategia de seguridad
Primer proyecto de adopción de la nube
06/03/2021 • 7 minutes to read • Edit Online
Pasos siguientes
Obtenga más información sobre las estrategias para equilibrar prioridades contrapuestas.
Equilibrio de prioridades contrapuestas
Equilibrio de prioridades en la competencia
06/03/2021 • 31 minutes to read • Edit Online
Embarcarse en una experiencia de transformación digital sirve de impulso para las partes interesadas en los
equipos empresariales y tecnológicos. El camino hacia el éxito se basa principalmente en la capacidad de la
organización para equilibrar prioridades contrapuestas.
Al igual que sucede con otras transformaciones digitales, la adopción de la nube sacará a la luz prioridades
contrapuestas a lo largo del ciclo de vida de la adopción. De forma similar a otras formas de transformación, la
capacidad de encontrar el equilibrio en esas prioridades tendrá un impacto significativo en la consecución del
valor empresarial. Equilibrar estas prioridades contrapuestas requerirá conversaciones francas, y a veces
complicadas, entre las partes interesadas, y, en ocasiones, con los colaboradores individuales.
En este artículo se describen algunas de las prioridades contrapuestas que se tratan normalmente durante la
ejecución de cada metodología. Esperamos que este conocimiento avanzado le ayude a prepararse mejor para
esas conversaciones cuando desarrolle la estrategia de adopción de la nube.
Las secciones siguientes están en línea con el gráfico anterior del ciclo de vida de adopción de la nube. Sin
embargo, es importante reconocer que la adopción de la nube es iterativa (no es un proceso secuencial). Estas
prioridades contrapuestas surgirán, y, a veces, volverán a reaparecer, en varios puntos del recorrido de adopción
de la nube.
Pasos siguientes
Aprenda a equilibrar migración, innovación y experimentación para maximizar el valor de los esfuerzos de
migración a la nube.
Equilibrio de la cartera
Conciliar la cartera
06/03/2021 • 20 minutes to read • Edit Online
Salida del centro de Salida de los centros 2 centros de datos 6 meses N.° 2
datos de datos
IMPORTANT
La tabla anterior es un ejemplo ficticio y no se debe usar para establecer las prioridades. En muchos casos, esta tabla se
podría considerar como un antipatrón, ya que sitúa los ahorros de costos por encima de las experiencias de los usuarios.
La tabla anterior podría representar de manera precisa las prioridades de los equipos de estrategia de la nube y
de adopción de la nube. Debido a restricciones a corto plazo, este equipo pone un mayor énfasis en la reducción
de costos de TI y en establecer la prioridad de una salida de datos como medio para lograr las reducciones de
costos de TI deseadas. Sin embargo, al documentar las prioridades contrapuestas en esta tabla, el equipo de
adopción de la nube está capacitado para ayudar al equipo de estrategia en la nube a identificar oportunidades
para alinear mejor la implementación de la estrategia de cartera general.
Traslado rápido mientras se mantiene el equilibrio
Las instrucciones relacionadas con la racionalización incremental del patrimonio digital sugieren un enfoque en
el que la racionalización comienza con una posición no equilibrada. El equipo de estrategia en la nube debe
evaluar cada carga de trabajo para ver si es compatible con un enfoque de rehospedaje. Se sugiere este tipo de
enfoque porque permite realizar una evaluación rápida de un patrimonio digital complejo en función de datos
cuantitativos. Una suposición inicial así permite que el equipo de adopción de la nube participe rápidamente,
con lo que disminuirá el tiempo para obtener resultados empresariales. Sin embargo, tal como se indica en este
artículo, las preguntas cualitativas proporcionarán el equilibrio necesario en la cartera. En este artículo se
documenta el proceso de creación del equilibrio prometido.
Importancia de las decisiones sobre expiración y retirada
En la tabla que aparece en la sección de documentación de los resultados empresariales falta un resultado clave
que podría permitir el objetivo número uno de reducir los costos de TI. Cuando las reducciones de los costos de
TI están en cualquier parte de la lista de resultados empresariales, resulta importante considerar el potencial
para expirar o retirar cargas de trabajo. En algunos escenarios, el ahorro de costos puede provenir de no migrar
las cargas de trabajo que no garantizan una inversión a corto plazo. Algunos clientes han informado ahorros de
costos superiores al 20 % de las reducciones de costos totales al retirar las cargas de trabajo infrautilizadas.
Para equilibrar la cartera, lo que mejor refleja las decisiones sobre expiración y retirada, se recomienda que los
equipos de estrategia en la nube y de adopción de la nube hagan las preguntas siguientes sobre cada carga de
trabajo durante las fases de evaluación y migración:
¿Los usuarios finales han usado la carga de trabajo en los últimos seis meses?
¿El tráfico de usuario final es coherente o va en aumento?
¿La empresa necesitará esta carga de trabajo en 12 meses más?
Si la respuesta a cualquiera de estas preguntas es "No", la carga de trabajo podría ser candidata a la retirada. Si
se confirma el potencial de retirada con el propietario de la aplicación, puede que migrar la carga de trabajo no
tenga sentido. Esto implica algunas preguntas de calificación:
¿Se puede establecer un plan de retirada o un plan de expiración para esta carga de trabajo?
¿Esta carga de trabajo se puede retirar antes de la salida del centro de datos?
Si la respuesta a ambas preguntas es "Sí", sería recomendable no migrar la carga de trabajo. Este enfoque
ayudaría a cumplir los objetivos de disminuir costos y salir del centro de datos.
Si al respuesta a cualquier pregunta es "No", podría ser aconsejable establecer un plan para hospedar la carga
de trabajo hasta que se pueda retirar. Este plan podría incluir el traslado de los recursos a un centro datos de
menor costo o a uno alternativo, lo que también lograría los objetivos de reducir los costos y salir de un centro
de datos.
Pasos siguientes
Comprenda cómo las decisiones de mercados globales pueden afectar a su recorrido de transformación.
Descripción de los mercados globales
¿Cómo afectarán las decisiones de mercados
globales al recorrido de transformación?
06/03/2021 • 4 minutes to read • Edit Online
La nube abre nuevas oportunidades para operar a escala global. Las barreras para las operaciones globales se
reducen significativamente al permitir a las empresas implementar activos en el mercado sin necesidad de
realizar fuertes inversiones en nuevos centros de datos. Desafortunadamente, esto también agrega una gran
complejidad desde una perspectiva técnica y legal.
Unidades de negocio
Es importante conocer qué unidades de negocio operan en países extranjeros y qué países se ven afectados.
Esta información se usará para diseñar soluciones para el hospedaje, la facturación y las implementaciones en el
proveedor de la nube.
Los objetivos principales de una organización de seguridad no cambian con la adopción de servicios en la nube,
pero el modo en que se logran esos objetivos sí lo hará. Los equipos de seguridad deben seguir centrándose en
reducir el riesgo empresarial de los ataques y trabajar para obtener las garantías de disponibilidad, integridad y
confidencialidad integradas en todos los datos y sistemas de información.
La creación de una posición de seguridad resistente en la nube requiere varios enfoques complementarios
paralelos:
Confiar pero verificar : en el caso de las responsabilidades llevadas a cabo por el proveedor de nube,
las organizaciones deben adoptar un enfoque de "confiar pero verificar". Las organizaciones deben
evaluar las prácticas de seguridad de sus proveedores de nube y los controles de seguridad que ofrecen
para asegurarse de que el proveedor de nube satisface las necesidades de seguridad de la organización.
Modernización de la seguridad de la infraestructura y aplicaciones: en el caso de los elementos
técnicos bajo el control de la organización, dé prioridad a la modernización de las herramientas de
seguridad y los conjuntos de aptitudes asociados para minimizar las brechas de la cobertura para
proteger los recursos de la nube. Esto consta de dos esfuerzos complementarios diferentes:
Seguridad de la infraestructura: las organizaciones deben usar la nube para modernizar su
estrategia de protección y supervisión de los componentes comunes que usan muchas
aplicaciones; como, por ejemplo, sistemas operativos, redes e infraestructura de contenedores.
Estas funcionalidades de la nube a menudo pueden incluir la administración de componentes de
infraestructura en entornos locales y de IaaS. La optimización de esta estrategia es importante, ya
que esta infraestructura es una dependencia de las aplicaciones y los datos que se ejecutan en ella,
que a menudo habilitan procesos empresariales críticos y almacenan datos empresariales críticos.
Seguridad de la aplicación: las organizaciones también deben modernizar la manera en que
protegen las aplicaciones únicas y la tecnología desarrollada por o para su organización. Esta
disciplina cambia rápidamente con la adopción de procesos de DevOps ágiles, el aumento del uso
de componentes de código abierto y la incorporación de API y servicios en la nube para
reemplazar componentes de aplicaciones o interconectar aplicaciones.
Obtener este derecho es fundamental, ya que estas aplicaciones a menudo habilitan procesos
empresariales críticos y almacenan datos empresariales críticos.
Perímetro moderno: las organizaciones deben tener un enfoque completo para la protección de
datos en todas las cargas de trabajo. Asimismo, deben establecer un perímetro moderno de
controles de identidad coherentes administrados centralmente para proteger sus datos,
dispositivos y cuentas. Esto se ve notablemente influenciado por una estrategia de confianza cero
que se explica con detalle en Módulo 3 del taller para CISO.
Seguridad y confianza
El uso de la palabra confianza en material de seguridad puede ser confuso. En esta documentación se hace
referencia a ella de dos maneras que ilustran las aplicaciones útiles de este concepto:
Confianza cero es un término común del sector para un enfoque estratégico de seguridad que supone que
una red corporativa o de intranet es hostil (digna de confianza cero) y diseña la seguridad en consecuencia.
Confiar pero verificar es una expresión que captura la esencia de dos organizaciones diferentes que trabajan
juntas por un objetivo común a pesar de tener otros intereses potencialmente divergentes. Esto captura de
manera concisa muchos de los matices de las primeras fases de la asociación con un proveedor de nube
comercial para organizaciones.
Un proveedor de nube y sus prácticas y procesos pueden ser responsables de cumplir los requisitos
contractuales y normativos, y podrían ganar o perder confianza. Una red es una conexión no dinámica que no
puede hacer frente a las consecuencias si la usan los atacantes (al igual que no se puede hacer responsable a
una carretera o un automóvil de los delincuentes que hacen uso de ellos).
Aunque los contenedores comenzaron como una tecnología de desarrollo de aplicaciones administrada
por los equipos de desarrollo, se está convirtiendo en un componente de infraestructura común cada vez
más centrado en los equipos de infraestructura. Esta transición sigue en curso en muchas organizaciones,
pero es una dirección natural y positiva. Muchos de los desafíos actuales se resolverán mejor con
conjuntos de aptitudes de infraestructura tradicionales como la administración de la capacidad,
almacenamiento y redes.
Los equipos de infraestructura y los miembros de los equipos de seguridad que los apoyan deben recibir
entrenamiento, procesos y herramientas para ayudar a administrar, supervisar y proteger esta tecnología.
Ser vicios de aplicación en la nube y sin ser vidor : una de las tendencias dominantes del
sector actualmente es reducir la cantidad de tiempo y el trabajo de desarrollo necesarios para
compilar o actualizar aplicaciones.
Los desarrolladores también usan cada vez más servicios en la nube para:
Ejecutar código en lugar de hospedar aplicaciones en máquinas virtuales (VM) y servidores.
Proporcionar funciones de aplicación en lugar de desarrollar sus propios componentes. Esto ha
dado lugar a un modelo sin servidor que usa los servicios en la nube existentes para las
funciones comunes. El número y la variedad de servicios en la nube (y su ritmo de innovación)
también ha superado la capacidad de los equipos de seguridad de evaluar y aprobar el uso de
esos servicios, lo que les permite elegir entre permitir a los desarrolladores usar cualquier
servicio, intentar evitar que los equipos de desarrollo usen servicios no aprobados o intentar
encontrar una mejor manera.
Aplicaciones sin código y Power Apps: otra tendencia emergente es el uso de tecnologías
sin código como Microsoft Power Apps. Esta tecnología permite a los usuarios sin
conocimientos de codificación crear aplicaciones que logren resultados empresariales. Debido
a este potencial de alto valor y baja fricción, esta tendencia tiene el potencial de aumentar la
popularidad rápidamente y sería aconsejable que los profesionales de seguridad
comprendieran sus implicaciones con rapidez. Los esfuerzos de seguridad deben centrarse en
las áreas en las que un usuario podría cometer un error en la aplicación, concretamente en el
diseño de los permisos de aplicación y recurso a través del modelado de amenazas, los
componentes de aplicaciones, las interacciones y relaciones, y los permisos del rol.
Entre los desarrolladores y los autores de componentes de código abier to: los desarrolladores
también están aumentando la eficacia mediante el uso de bibliotecas y componentes de código abierto
en lugar de desarrollar sus propios componentes. Esto aporta valor a través de la eficacia, pero también
presenta riesgos de seguridad creando una dependencia externa y un requisito para mantener y aplicar
revisiones correctamente a esos componentes. Los desarrolladores asumen eficazmente el riesgo de
seguridad y otros errores cuando usan estos componentes y deben asegurarse de que hay un plan para
mitigarlos en los mismos estándares que el código que desarrollarían.
Entre las aplicaciones y los datos: la línea entre la seguridad de los datos y las aplicaciones no está
siempre tan clara, y las nuevas regulaciones están creando una necesidad de cooperación más estrecha
entre los equipos de privacidad y datos, y los equipos de seguridad:
Algoritmos de aprendizaje automático (Machine Learning): los algoritmos de aprendizaje
automático son similares a las aplicaciones en que están diseñados para procesar datos a fin de
crear un resultado. Las principales diferencias son:
Aprendizaje automático de alto valor : el aprendizaje automático a menudo confiere
una ventaja competitiva importante y a menudo se considera una propiedad intelectual
confidencial y un secreto comercial.
Marca de sensibilidad: el aprendizaje automático supervisado se ajusta mediante
conjuntos de datos, imprimiéndose las características del conjunto de datos en el algoritmo.
Debido a esto, el algoritmo ajustado se puede considerar confidencial debido al conjunto de
datos usado para entrenarlo. Por ejemplo, el entrenamiento de un algoritmo de aprendizaje
automático para buscar bases militares secretas en un mapa con un conjunto de datos de
bases militares secretas lo convertirían en un recurso confidencial.
NOTE
No todos los ejemplos son obvios, por lo que es fundamental reunir a un equipo con las partes
interesadas adecuadas de los equipos de ciencia de datos, las partes interesadas del negocio, los equipos
de seguridad, los equipos de privacidad, etc. Estos equipos deben tener la responsabilidad de cumplir los
objetivos comunes de innovación y responsabilidad. Deben resolver incidencias habituales como, por
ejemplo, cómo y dónde almacenar copias de datos en configuraciones no seguras, cómo clasificar
algoritmos, así como cualquier preocupación de sus organizaciones.
Microsoft ha publicado nuestros principios de inteligencia artificial responsable para orientar a nuestros
propios equipos y a nuestros clientes.
Propiedad y privacidad de los datos: normativas como RGPD han aumentado la visibilidad
de las incidencias de datos y las aplicaciones. Los equipos de la aplicación ahora pueden
controlar, proteger y realizar un seguimiento de los datos confidenciales en un nivel
comparable al seguimiento de los datos financieros realizado por los bancos y las instituciones
financieras. Los propietarios de los datos y los equipos de la aplicación deben generar una idea
completa de qué almacenan las aplicaciones de datos y qué controles son necesarios.
Entre las organizaciones y los proveedores de nube: a medida que las organizaciones hospedan
cargas de trabajo en la nube, están estableciendo una relación empresarial con cada uno de esos
proveedores de nube. El uso de servicios en la nube suele aportar valor empresarial, como, por ejemplo:
Aceleración de las iniciativas de transformación digital reduciendo el tiempo de
comercialización de las nuevas funcionalidades.
Aumento del valor de las actividades de seguridad y de TI al liberar a los equipos para que
se centren en actividades de valor superior (alineadas con la empresa) en lugar de tareas estándar
de nivel inferior que proporcionan los servicios en la nube de forma más eficaz en su nombre.
Mayores confiabilidad y capacidad de respuesta: la mayoría de las nubes modernas
también tienen un tiempo de actividad alto en comparación con los centros de datos locales
tradicionales y han demostrado que pueden escalarse rápidamente (como, por ejemplo, durante la
pandemia de la COVID-19) y proporcionar resistencia tras eventos naturales como rayos (que
habrían mantenido muchos equivalentes locales durante mucho más tiempo).
Aunque resulta beneficioso, este cambio en la nube no está exento de riesgo. A medida que las
organizaciones adoptan servicios en la nube, deben tener en cuenta posibles áreas de riesgo, entre
las que se incluyen las siguientes:
Continuidad empresarial y recuperación ante desastres: ¿se encuentra el proveedor de
nube en una buena situación financiera con un modelo de negocio con probabilidades de
sobrevivir y prosperar durante el uso del servicio por parte de la organización?, ¿ha establecido el
proveedor de nube aprovisionamientos para permitir la continuidad del cliente si el proveedor
experimenta algún error financiero o de otra índole, como, por ejemplo, proporcionar su código
fuente a los clientes o hacerlo de código abierto?
Para obtener más información y documentos sobre el estado financiero de Microsoft, consulte
Microsoft Investor Relations.
Seguridad: ¿sigue el proveedor de nube los procedimientos recomendados de seguridad del
sector?, ¿han validado esto organismos reguladores independientes?
Microsoft Cloud App Security permite detectar el uso de más de 16 000 aplicaciones en la nube
que se clasifican y puntúan en función de más de 70 factores de riesgo para proporcionar
visibilidad continua del uso de la nube, IT en la sombra y el riesgo que IT en la sombra
representa para la organización.
El portal de confianza del servicio de Microsoft pone las certificaciones de cumplimiento
normativo, los informes de auditoría, las pruebas de lápiz, etc., a disposición de los clientes.
Estos documentos incluyen muchos detalles de las prácticas de seguridad interna (en particular,
el informe SOC 2 tipo 2 y el plan de seguridad del sistema FedRAMP Moderate).
Competidor empresarial: ¿es el proveedor de nube un competidor empresarial importante en
su sector?, ¿cuenta con suficientes protecciones en el contrato de servicios en la nube u otros
medios para proteger su negocio frente a acciones potencialmente hostiles?
Revise este artículo para ver los comentarios sobre cómo evita Microsoft competir con los clientes
de la nube.
Nube múltiple: muchas organizaciones tienen una estrategia de nube múltiple intencional o de
facto. Podría ser un objetivo intencionado para reducir la dependencia de un solo proveedor o
tener acceso a las mejores funcionalidades exclusivas, pero también puede deberse a que los
desarrolladores eligieron sus servicios en la nube preferidos o servicios familiares, o bien a que la
organización adquirió otro negocio. Independientemente del motivo, esta estrategia puede
presentar riesgos y costos potenciales que se deben administrar, entre los que se incluyen:
Tiempo de inactividad de varias dependencias: los sistemas diseñados para confiar en
varias nubes se exponen a más orígenes de riesgo de tiempo de inactividad, ya que las
interrupciones en los proveedores de nube (o el uso que hace el equipo de ellos) podrían
provocar una interrupción de su negocio. Esta mayor complejidad del sistema también
aumentaría la probabilidad de que se produzcan eventos de interrupción, ya que es menos
probable que los miembros del equipo comprendan totalmente un sistema más complejo.
Poder de negociación: las organizaciones de mayor tamaño también deben considerar si
una estrategia de nube única (asociación/compromiso mutuo) o de nube múltiple (capacidad
para cambiar de negocio) logrará una mayor influencia sobre sus proveedores de nube para
que se dé prioridad a las solicitudes de característica de la organización.
Mayor sobrecarga de mantenimiento: los recursos de seguridad y de TI ya están
sobrecargados gracias a sus cargas de trabajo existentes y están al tanto de los cambios de una
plataforma de nube única. Cada plataforma adicional aumenta aún más esta sobrecarga y aleja
a los miembros del equipo de actividades de valor superior tales como la optimización del
proceso técnico para acelerar la innovación empresarial, la consulta con grupos empresariales
sobre un uso más eficaz de las tecnologías, etc.
Personal y entrenamiento: a menudo, las organizaciones no tienen en cuenta los requisitos
de personal necesarios para apoyar varias plataformas y el entrenamiento necesario para
mantener el conocimiento y la popularidad de las nuevas características que se publican con
rapidez.
Guía sobre la supervisión en la nube: Formulación
de una estrategia de supervisión
30/03/2021 • 45 minutes to read • Edit Online
A medida que vaya realizando su transformación digital a la nube, es importante que planee y desarrolle una
estrategia de supervisión en la nube efectiva, en la cual participen desarrolladores, el personal de operaciones y
los ingenieros de infraestructura. La estrategia debe estar orientada al crecimiento, definirse mínimamente,
refinarse de forma iterativa y siempre debe alinearse con las necesidades de la empresa. Su resultado ofrece
una forma de operaciones ágiles centrada en torno a la capacidad de la organización de supervisar de forma
proactiva las complejas aplicaciones distribuidas de las que depende la empresa.
Formule iniciativas
Como experto en supervisión o administrador de sistemas, ha descubierto que la supervisión en la nube es más
rápida y fácil de establecer, lo que permite realizar demostraciones o pruebas de valor realmente económicas.
Para superar la tendencia a permanecer en el modo de demostración, debe permanecer en contacto constante
con la estrategia y ser capaz de ejecutar planes de supervisión centrados en la producción. Dado que la
estrategia provoca una gran incertidumbre y elementos desconocidos, no sabrá de antemano todos los
requisitos de supervisión necesarios. Por lo tanto, decida en el primer conjunto de planes de adopción y tenga
en cuenta los mínimos viables para el negocio y la administración de TI. Puede hacer referencia a esta capacidad
como aquella que necesita para comenzar el recorrido. A continuación se muestran dos iniciativas de ejemplo
que le permitirán avanzar:
Iniciativa 1: para reducir la diversidad y la complejidad de nuestra inversión de supervisión actual,
invertiremos en el establecimiento de una funcionalidad principal que usará Azure Monitor en primer
lugar, dado que las mismas aptitudes y preparación se aplican a otras áreas de supervisión en la nube.
Iniciativa 2: para decidir cómo aprovechamos nuestros planes de licencias para la identidad, el acceso y
la protección general de la información, ayudaremos a las oficinas de seguridad y privacidad a establecer
un sistema de supervisión temprana de la actividad de los usuarios y el contenido a medida que migran a
la nube, para así poder aclarar las preguntas sobre las etiquetas de clasificación, la prevención de pérdida
de datos, el cifrado y las directivas de retención.
Considere la posibilidad de realizar un escalado
Considere la posibilidad de realizar un escalado de la estrategia y de definir y normalizar la supervisión como
código. Asimismo, la organización debe planear la compilación de soluciones estandarizadas mediante una
combinación de herramientas como:
Plantillas de Azure Resource Manager.
Directivas y definiciones de la iniciativa de supervisión de Azure Policy
GitHub para establecer un control de código fuente para los scripts, el código y la documentación
Tenga en cuenta la seguridad y privacidad de los datos
En Azure, necesitará proteger determinados datos de supervisión que emiten los recursos y las acciones del
plano de control y que se registran en Azure; estos se conocen como registros de actividad. Además, los
registros especializados que registran la actividad de los usuarios, como el inicio de sesión de
Azure Active Directory y los registros de auditoría y, si están integrados, el registro de auditoría unificado de
Microsoft 365, ya que contienen datos confidenciales que es posible que deban protegerse en virtud de las leyes
de privacidad.
La estrategia de supervisión debe incluir estos componentes:
Separación de los datos sin supervisión de datos de supervisión.
Restricción del acceso a los recursos.
Tenga en cuenta la continuidad empresarial
Azure Monitor recopila, indexa y analiza los datos de máquinas en tiempo real y aquellos que generen los
recursos para respaldar sus operaciones y así ayudarle a impulsar decisiones empresariales. En raras ocasiones
es posible que no se pueda acceder a las instalaciones de toda una región debido, por ejemplo, a errores en la
red. O las instalaciones pueden perderse por completo debido, por ejemplo, a un desastre natural. Al confiar en
estos servicios en la nube, su planificación no se centra en torno a la resistencia de la infraestructura y la alta
disponibilidad, por lo que en su lugar, se planifica en torno a lo siguiente:
La disponibilidad para la ingesta de datos de todos los servicios y recursos dependientes en Azure, los
recursos en otras nubes y desde el entorno local.
La disponibilidad de los datos para los detalles, las soluciones, los libros y otras visualizaciones, las alertas, la
integración con ITSM y otros servicios de plano de control en Azure que admitan los requisitos operativos.
Cree un plan de recuperación y asegúrese de que este incluye restauración de datos, interrupciones de red,
errores de servicios dependientes e interrupciones de servicio regionales.
Tenga en cuenta la madurez
La madurez es una consideración muy importante en la estrategia de supervisión. Se recomienda empezar de
forma mínima, recopilar datos y, con esta información, determinar la estrategia. Las primeras soluciones de
supervisión que le interesa tener en cuenta son aquellas que garantizan la observación, para así poder incluir
procesos dinámicos, como la administración de incidentes y problemas. Aquí podrá:
Crear una o más áreas de trabajo de Log Analytics
Habilitar agentes
Habilitar la configuración de diagnóstico de recursos
Habilitar las reglas de alerta iniciales
Con el tiempo, ganará confianza en las funcionalidades de Azure Monitor con la necesidad de medir los
indicadores de estado, así que deberá ampliar el enfoque en la recopilación de registros, habilitar y usar la
información detallada y las métricas, y definir consultas de búsqueda de registros que impulsen la medición y el
cálculo de lo que es correcto o incorrecto.
Los ciclos de aprendizaje incluyen la opción de proporcionar datos de supervisión e información a los
administradores y la garantía de que los consumidores adecuados obtendrán los datos de supervisión que
necesitan. Los ciclos de aprendizaje incluyen el ajuste continuo y la optimización de los planes de supervisión
iniciales para adaptarse, mejorar el servicio e informar de los planes de adopción.
1 El modelo DIKW (por sus siglas en inglés) es un método que tiene sus raíces en la administración del
conocimiento y que se usa a menudo para explicar las maneras en que nos podemos mover de los datos a la
información, el conocimiento y la sabiduría con un componente de acciones y decisiones.
La supervisión es fundamental para los servicios que se compilan en Azure. La estrategia que adopte podrá
abordar estas cuatro disciplinas de la supervisión moderna, y así ayudarle a definir la supervisión mínima viable
y obtener confianza en los pasos. Conseguir cambiar su capacidad reactiva para que sea proactiva y escalar su
alcance a los usuarios finales es un objetivo que debe plantearse.
Obser var : en primer lugar, debe centrarse en establecer la supervisión para observar el estado de los
servicios y recursos de Azure. Configure la supervisión básica y, a continuación, automatícela con las
plantillas de Azure Policy y Azure Resource Manager para establecer la visibilidad inicial de los servicios y
su garantía: disponibilidad, rendimiento o capacidad, seguridad y cumplimiento de la configuración. Por
ejemplo, en función de la configuración mínima viable de Azure Monitor, configure los recursos para la
supervisión y el diagnóstico, la configuración de alertas y la información. Incluya el conocimiento y la
preparación para supervisar a los consumidores y definir y desencadenar eventos para trabajos de
servicio como incidentes y problemas. Un indicador de madurez es la cantidad que se puede automatizar
para reducir los costos humanos innecesarios al observar manualmente el estado. Saber qué servicios
son correctos es tan importante como recibir alertas sobre los servicios que están en mal estado.
Medir : configure la recopilación de métricas y registros de todos los recursos que se van a supervisar
para detectar síntomas y condiciones que supongan un problema; esto indica que existe un impacto
potencial o real en la disponibilidad del servicio o un impacto de los consumidores del servicio o la
aplicación. Por ejemplo:
Cuando se usa una característica de la aplicación, ¿muestra la latencia del tiempo de respuesta,
devuelve un error cuando se selecciona algo o no responde?
Asegúrese de que los servicios cumplen los acuerdos de servicio midiendo la utilidad del servicio
o la aplicación.
Responder : en función del contexto de los problemas conocidos que se observan y se miden, se evalúa
lo que se considera un error, una corrección automática o se requiere una respuesta manual basada en
aquello que se clasifica como incidente, problema o cambio.
Aprender y mejorar : los proveedores y consumidores que participan en los ciclos de aprendizaje
consumen datos de supervisión reales a través de información, informes y libros, para mejorar
continuamente el servicio de destino y para llevar a cabo la optimización de la configuración de
supervisión. El cambio también es importante, ya que los cambios de la configuración de supervisión se
complementan con los cambios en el servicio (por ejemplo: nuevo, modificado, retirado, etc.) y sigue
coincidiendo con la garantía de servicio real.
Para que pueda alinear los planes de supervisión con la estrategia, utilice la tabla siguiente para clasificar los
distintos escenarios de supervisión que se producen con más detalle. Este método funciona con las cinco R de la
racionalización introducidas anteriormente durante la fase de planeamiento. Si usa System Center Operations
Manager, dispone de opciones híbridas y de nube para racionalizar su inversión.
3 Del entorno local a la nube o con ella Establezca la supervisión inicial con
(cooperativo), en la que los servicios se Azure Monitor. Conecte Azure Monitor
ejecutan tanto en la nube como en el a System Center Operations Manager
entorno local y los orígenes de alertas, como Zabbix
o Nagios. Implemente los agentes de
supervisión de Azure Monitor, que se
hospedan en conjunto con System
Center Operations Manager, donde
realizan la supervisión de forma
cooperativa.
Supervisión de costos Supervise el uso y calcule los costos mediante Azure Monitor
y Azure Cost Management + Billing como nuevo objetivo
principal. Las API de Azure Cost Management + Billing le
permiten explorar datos de uso y costos mediante análisis
multidimensional.
Estado de los recursos y servicios Observe el estado de los recursos en la nube, así como las
interrupciones del servicio y los avisos de Microsoft, para
mantenerse informado sobre los incidentes y el
mantenimiento. Incluya Resource Health en la supervisión de
la disponibilidad de los recursos y alertas sobre los cambios
de disponibilidad.
Supervisión de rendimiento y capacidad Para poder apoyar la supervisión de estado, sus necesidades
pueden requerir más detalles y especialización.
Supervisión del cumplimiento y los cambios Observe, mida, aprenda y mejore la administración de la
configuración de los recursos, que ahora debe incluir la
seguridad en la formulación, en la cual influye el buen uso de
Azure Policy para normalizar las configuraciones de
supervisión y hacer cumplir la seguridad. Datos de registro
para filtrar los cambios clave que se realizan en los recursos.
Protección de la información Tanto Azure Monitor como Azure Information Protection (en
función del plan) incluyen el análisis de uso crítico para el
desarrollo de una estrategia sólida de Information Protection
en Azure y Microsoft.
Administración de amenazas y protección contra amenazas La nube reúne los roles independientes y tradicionales de
integrada supervisión de la seguridad con el seguimiento de estado. La
protección contra amenazas integrada, por ejemplo, implica
la opción de supervisión para acelerar un estado óptimo de
confianza cero. La integración de Azure Advanced Threat
Protection permite que una migración use System Center
Operations Manager para supervisar Active Directory e
integrar las señales relacionadas con la seguridad de AD para
detectar ataques avanzados en entornos híbridos.
Casos y tareas de usuario El resultado final es una solución o Supervisión de red (por ejemplo,
configuración de supervisión ExpressRoute)
Supervisión normalizada de máquinas
virtuales de IaaS (por ejemplo Azure
Monitor para VM, Application Insights,
Azure Policy, configuración, directivas,
informes, áreas de trabajo).
En resumen, los roles de consumidor de supervisión probablemente necesiten accesos más amplios frente a los
accesos de desarrolladores y administradores del sistema, ya que estos solo necesitan acceso basado en roles a
determinados recursos de Azure. Como limitación adicional, asegúrese de eximir a los lectores del acceso a
datos de supervisión confidenciales como la seguridad, el inicio de sesión y los registros de actividad del
usuario.
Establecimiento de la preparación
En una fase temprana, formule un plan de preparación para que su personal de TI tenga la oportunidad de
obtener nuevas aptitudes, prácticas y técnicas para la supervisión en la nube en Azure. Tenga en cuenta la guía
de preparación de aptitudes para realizar la supervisión, ya que incluye necesidades fundamentales y específicas
de la supervisión.
Pasos siguientes
Observabilidad
Inteligencia artificial responsable
23/03/2021 • 4 minutes to read • Edit Online
Microsoft está comprometido con el avance de la inteligencia artificial, pero controlada por ciertos principios
éticos que pongan a las personas en primer lugar. Queremos asociarnos con usted para respaldar este esfuerzo.
Pasos siguientes
Para más información sobre el desarrollo de soluciones responsable, visite:
Introducción a la inteligencia artificial responsable
Recursos de inteligencia artificial responsables
Bots responsables: diez instrucciones para los desarrolladores de AI de conversación
De qué forma acelera GitHub la adopción de la
nube
06/03/2021 • 21 minutes to read • Edit Online
Información general
La innovación es la nueva moneda del actual paisaje de la competitividad. El uso compartido del vehículo, el
contenido del streaming, los automóviles autónomos y otros servicios han cambiado radicalmente el ritmo de
vida diario de las personas, han dado un giro de 180 grados a los mercados y han mostrado a las claras que el
panorama de la competitividad ha pasado de los recursos físicos a experiencias digitales.
Estos tipos de experiencia digital superior están provocando una brecha, ya que las empresas consolidadas se
enfrentan a la feroz competencia de las empresas que pueden innovar y proporcionar valor a sus clientes más
rápidamente. Para competir y evitar dicha brecha, las empresas necesitan crear una cultura de innovación y usar
las herramientas y los servicios en la nube mejores y más apropiados.
GitHub proporciona una variedad de características que pueden ayudar a las empresas a:
Sacar provecho de las funcionalidades y los servicios de Azure.
Modernizar sus prácticas.
Ser más ágiles e innovadoras durante este cambio de cultura.
Las empresas pueden aprovechar las ventajas de la conectividad de GitHub con la comunidad de código abierto
y encontrar miles de ejemplos de soluciones en la nube reiterados, mejorados y listos para implementar de
organizaciones que han adoptado correctamente los servicios de Azure. Pueden tomar prestadas fácilmente
estas soluciones y seguir usando estas soluciones para adaptarlas a sus necesidades empresariales.
GitHub facilita que las organizaciones pongan en práctica la cultura del uso compartido dentro de sus equipos,
lo que agiliza la modernización e implementación de aplicaciones o cargas de trabajo. Las empresas pueden
girar sus ojos hacia la metodología InnerSource, que es un principio clave de la innovación, para tomar
prestados de la comunidad de código abierto procedimientos recomendados como el uso compartido y la
reutilización, la colaboración y comunicación, entre otros, y aplicarlos en su organización.
Desde la protección de los paquetes de código abierto hasta la propiedad intelectual que se escribe diariamente,
la protección de toda la cadena de suministro de software debe ser una prioridad principal para todas las
empresas. Este objetivo requiere una tecnología de seguridad avanzada que se puede incorporar y automatizar
durante todo el ciclo de vida, y varias funcionalidades nativas de GitHub, como GitHub Advanced Security y
Acciones de GitHub, ofrecen este tipo de flexibilidad.
Metodología InnerSource
Introducción a la metodología InnerSource
Muchas empresas usan el término metodología InnerSource para describir la forma en que sus equipos de
ingeniería trabajan juntos en el código. InnerSource es una metodología de desarrollo en la que los ingenieros
crean software propietario con procedimientos recomendados de proyectos de código abierto a gran escala,
como Kubernetes o Visual Studio Code.
Los proyectos de código abierto a gran escala requieren coordinación y trabajo en equipo entre miles de
colaboradores. Los que más éxito cosechan son los movidos por una visión tanto de su futuro como de las
necesidades diarias de los usuario: velocidad, confiabilidad y funcionalidad. La escala en que funcionan estos
proyectos pueden servir de enseñanza y puede ayudar a las empresas a crear mejor software más rápidamente
con InnerSource.
Con las solicitudes de incorporación de cambios y los problemas de GitHub, la colaboración y la revisión de
código se integran en el proceso de desarrollo. Los equipos internos y externos pueden compartir su trabajo,
debatir los cambios y obtener comentarios, y todo ello en un solo lugar, lo que ayuda a las organizaciones a
compartir la experiencia internamente y evitar tener que reinventar soluciones probadas en el campo
desarrolladas para otros proyectos.
Anatomía de un proyecto de InnerSource
La combinación correcta de personas, equipos y recursos puede garantizar el éxito de un proyecto. Muchos
proyectos de código abierto siguen una estructura organizativa similar que puede ayudar a las organizaciones a
configurar equipos interfuncionales para administrar proyectos de InnerSource. Los proyectos de código abierto
más frecuentes tiene los siguientes tipos de personas:
Mantenedores: colaboradores que son responsables de impulsar la visión y de administrar los aspectos
de organizativos del proyecto. Es posible que no sean los propietarios o creadores originales del código.
Colaboradores: todos los que han contribuido en algo al proyecto.
Miembros de la comunidad: las personas que usan el proyecto. Pueden estar activas en
conversaciones o expresar su opinión en la dirección del proyecto.
Los proyectos más grandes también pueden tener subcomités o grupos de trabajo centrados en tareas
diferentes, como la creación de herramientas, la evaluación de prioridades y la moderación de la comunidad. Es
probable que los proyectos InnerSource sigan una estructura similar. Muchas organizaciones de ingeniería
organizan a los desarrolladores en equipos, como ingeniería de aplicaciones, ingeniería de plataformas y
desarrollo web. En las organizaciones, este tipo de estructuración puede excluir a personas calificadas. La
organización de un grupo de toma de decisiones principal que tenga el apoyo de los equipos de toda la
organización puede ayudar a obtener rápidamente la experiencia necesaria para solucionar los problemas con
mayor rapidez.
En las empresas, los colaboradores son sus desarrolladores y los mantenedores son los jefes de proyecto y los
responsables de la toma de decisiones clave.
Mantenedores: los desarrolladores, jefes de producto y otros responsables de la toma de decisiones
clave en la empresa cuya misión es impulsar la visión de los proyectos y administrar las contribuciones
cotidianas.
Colaboradores: los desarrolladores, científicos de datos, administradores de producto, vendedores y
otros roles de la empresa que ayudan a impulsar el software. Es posible que los colaboradores no formen
parte del equipo directo del proyecto, sino que ayuden a compilar el software, mediante la creación de
código, el envío de correcciones de errores, etc.
Para más información al respecto, consulte el artículo de introducción a InnerSource.
Automatización
Acciones de GitHub permite a los usuarios crear flujos de trabajo personalizados directamente en sus
repositorios de GitHub. Los usuarios pueden detectar, crear y compartir acciones para realizar cualquier trabajo,
entre los que se incluyen CI/CD, así como combinar acciones en un flujo de trabajo completamente
personalizado. También pueden crear flujos de trabajo de CI que compilan y prueban proyectos escritos en
diferentes lenguajes de programación. En las guías de las acciones de GitHub, encontrá varios ejemplos.
Las Acciones de GitHub se pueden usar para combinar conceptos de IaC y prácticas de CI/CD, con el fin de
automatizar todo el ciclo de vida de la implementación de un extremo a otro, incluidos el aprovisionamiento o la
actualización del entorno de destino de forma repetible y el empaquetado e implementación de la propia
aplicación.
Ejemplo
Las Acciones de GitHub para Azure se compilan para simplificar la forma de automatizar los procesos de
implementación en los servicios de Azure de destino, como Azure App Service, Azure Kubernetes Service, Azure
Functions, etc. El repositorio de flujos de trabajo de acciones para comenzar a trabajar con Azure incluye flujos
de trabajo de un extremo a otro para crear e implementar aplicaciones web de cualquier lenguaje y ecosistema
en Azure. Para ver todas las acciones disponibles, visite GitHub Marketplace.
Seguridad
Características de seguridad del desplazamiento a la izquierda de GitHub
Desde los primeros pasos de desarrollo, DevSecOps se adhiere a los procedimientos de seguridad
recomendados. Mediante el uso de una estrategia de desplazamiento a la izquierda, DevSecOps redirige el foco
de seguridad. En lugar de apuntar a la auditoría, al final, se desplaza al principio del desarrollo. Además de
generar un código sólido, este enfoque de respuesta rápida a errores ayuda a resolver los problemas al
principio, cuando son fáciles de corregir.
GitHub dispone de muchas funcionalidades de seguridad y ofrece herramientas que admiten todas las partes de
un flujo de trabajo de DevSecOps:
IDE basados en explorador con extensiones de seguridad integradas.
Agentes que supervisan continuamente los avisos de seguridad y reemplazan las dependencias vulnerables
y desactualizadas.
Funcionalidades de búsqueda que buscan vulnerabilidades en el código fuente.
Flujos de trabajo basados en acciones que automatizan todos los pasos de desarrollo, prueba e
implementación.
Espacios que proporcionan una manera de analizar y resolver amenazas de seguridad de forma privada, así
como de publicar la información.
Junto con la capacidad de supervisión y evaluación de Azure, estas características proporcionan un servicio
excelente para crear soluciones seguras en la nube.
Ejemplo
Las instalaciones de DevSecOps de GitHub cubren muchos escenarios de seguridad. Entre las posibilidades se
incluyen los siguientes casos:
Desarrolladores que desean aprovechar las ventajas de los entornos preconfigurados que ofrecen
funcionalidades de seguridad.
Administradores que confían en tener informes de seguridad actualizados y con prioridad a su alcance, junto
con los detalles sobre el código afectado y las correcciones sugeridas.
Organizaciones optimizadas que necesitan sistemas para adquirir automáticamente dispositivos de
seguridad nuevos y que no corran peligro, cuando los secretos quedan expuestos en el código.
Equipos de desarrollo que pueden beneficiarse de las actualizaciones automáticas, cuando estén disponibles
versiones más recientes o más seguras de los paquetes externos.
Lecturas adicionales:
DevSecOps en GitHub: ideas de soluciones de Azure | Microsoft Docs
Análisis del código de un repositorio de GitHub mediante GitHub Advanced Security en una canalización
Azure DevOps
Aplicación de DevSecOps a una cadena de suministro de software
Pasos siguientes
Elija el equipo de implementación (normalmente, un administrador de desarrolladores y algunos
desarrolladores definidos como administradores) e implemente GitHub.
Obtenga información sobre los flujos de trabajo de Git comunes y avanzados para mejorar su forma de usar
GitHub.
Los siguientes vínculos proporcionan más información acerca de GitHub.
Módulos de GitHub en Microsoft Learn
Laboratorio de aprendizaje de GitHub
Documentación de GitHub
Sugerencias para empezar a trabajar con DevSecOps de GitHub
Ruta de preparación de aptitudes durante la fase de
planeamiento de un recorrido de migración
06/03/2021 • 9 minutes to read • Edit Online
Durante la fase de planeamiento de un recorrido de migración, el objetivo es desarrollar los planes necesarios
para guiar la implementación de la migración. Para esta fase se necesitan algunas habilidades críticas, como por
ejemplo:
Establecer la visión
Crear la justificación empresarial
Racionalizar el patrimonio digital
Crear un trabajo pendiente de migración (plan técnico)
En las secciones siguientes se proporcionan rutas de aprendizaje para desarrollar cada uno de estos
conocimientos.
Establecer la visión
La visión de negocio define el éxito de cualquier esfuerzo de adopción de la nube. Cuando el equipo técnico no
comprende los motivos y los resultados que se quieren obtener, resulta difícil guiar sus esfuerzos para lograr el
éxito empresarial. Lea estos artículos para obtener información sobre cómo documentar y articular la visión
empresarial del equipo técnico:
Motivaciones de la adopción. Documente y articule los motivos del esfuerzo técnico.
Resultados empresariales. Articule claramente lo que se espera del equipo técnico en lo que respecta a los
cambios empresariales.
Métricas de aprendizaje. Establezca métricas a corto plazo que puedan mostrar el progreso hacia los
resultados empresariales a largo plazo.
Aptitudes de organización
En función de las motivaciones y los resultados empresariales de un esfuerzo de adopción de la nube, es posible
que los responsables tengan que establecer nuevas estructuras organizativas o equipos virtuales para facilitar
las diversas funciones. Estos artículos le ayudarán a desarrollar las habilidades necesarias para estructurar estos
equipos y lograr los resultados que busca:
Alineación inicial de la organización. Información general sobre la alineación de la organización y diversas
estructuras de equipo para facilitar objetivos específicos.
Desglose en silos y feudos. Comprenda los dos antipatrones de organización comunes, así como formas de
guiar al equipo a la colaboración productiva.
Más información
Para descubrir más rutas de aprendizaje, eche un vistazo al catálogo de Microsoft Learn. Use el filtro Roles para
alinear las rutas de aprendizaje con su rol.
Antipatrones de estrategia de nube
06/04/2021 • 5 minutes to read • Edit Online
A menudo, los clientes experimentan antipatrones durante la fase de estrategia de la adopción de la nube. Estos
antipatrones pueden dificultar la alineación de TI y las estrategias empresariales. También hacen que sea difícil
medir el éxito de los proyectos de la nube.
Pasos siguientes
¿Por qué queremos realizar el traslado a la nube?
Compilación de una justificación comercial para la migración a la nube
Desarrollo de un plan de adopción de la nube
06/03/2021 • 2 minutes to read • Edit Online
Los planes de adopción de la nube convierten los objetivos a los que se aspira en un plan viable. Los equipos
colectivos de la nube pueden usar el plan de adopción de la nube para guiar los esfuerzos técnicos y alinearlos
con la estrategia empresarial.
Los siguientes ejercicios le ayudarán a documentar la estrategia tecnológica. Este enfoque captura tareas
prioritarias que impulsan los esfuerzos de adopción. El plan de adopción de la nube se asigna, a continuación, a
las métricas y motivaciones definidas en la estrategia de adopción de la nube.
Descargue la plantilla de estrategia y planeamiento para hacer un seguimiento de las salidas de cada ejercicio a
medida que crea su estrategia de adopción de la nube. Además, conozca las cinco RS de la racionalización de la
nube para ayudar a crear el plan de adopción de la nube.
Racionalización de la nube
06/03/2021 • 10 minutes to read • Edit Online
La racionalización de la nube es el proceso de evaluar los recursos para determinar la mejor manera de migrar o
modernizar cada activo en la nube. Para más información sobre el proceso de racionalización, vea ¿Qué es un
patrimonio digital?.
Contexto de racionalización
Las cinco "R" de la racionalización que se mencionan en este artículo son una excelente manera de etiquetar un
posible estado futuro para cualquier carga de trabajo que se esté considerando como candidato para la nube.
Este proceso de etiquetado debe colocarse en el contexto correcto antes de intentar racionalizar un entorno.
Eche un vistazo a estos mitos para proporcionar ese contexto:
Mito: Es fácil tomar decisiones de racionalización en las primeras etapas del proceso.
Para que la racionalización sea precisa, se necesita un amplio conocimiento de la carga de trabajo y de los
recursos asociados (aplicaciones, infraestructura y datos). Lo más importante es que las decisiones de
racionalización precisas tardan tiempo. Se recomienda usar un proceso de racionalización incremental.
Mito: La adopción de la nube tiene que esperar a que se racionalicen todas las cargas de trabajo.
La racionalización de una cartera de TI completa o incluso un único centro de datos puede retrasar la realización
del valor empresarial en meses o incluso años. La racionalización completa debe evitarse siempre que sea
posible. Es preferible usar el enfoque de la potencia de 10 para el planeamiento de la liberación, para tomar
decisiones acertadas sobre las 10 próximas cargas de trabajo que están programadas para la adopción de la
nube.
Mito: La justificación empresarial tiene que esperar a que se racionalicen todas las cargas de trabajo.
Para desarrollar una justificación comercial para un esfuerzo de adopción en la nube, realice algunas
suposiciones básicas en el nivel de cartera. Cuando las motivaciones están en la misma línea que la innovación,
habrá que repetir la arquitectura. Cuando las motivaciones están en la misma línea que la migración, habrá que
realizar un rehospedaje. Estas suposiciones pueden acelerar el proceso de justificación empresarial. Después, se
cuestionan las suposiciones y se refinan los presupuestos durante la fase de evaluación de los ciclos de
adopción de cada carga de trabajo.
Ahora eche un vistazo a las cinco "R" de la racionalización para familiarizarse con el proceso a largo plazo. Al
desarrollar el plan de adopción de la nube, elija la opción que mejor se adapte a sus motivaciones, resultados
empresariales y el entorno de estado actual. El objetivo de la racionalización del patrimonio digital es establecer
una base de referencia, en lugar de racionalizar cada carga de trabajo.
Rehospedaje
También conocido como una migración lift and shift, el rehospedaje cambia la ubicación del recurso de estado
actual al proveedor de nube elegido, con un cambio mínimo en la arquitectura general.
Estos son los principales motivos para hacer un rehospedaje:
Reducir los gastos de capital
Liberar espacio en el centro de datos
Conseguir una rápida rentabilidad de la inversión en la nube
Factores de análisis cuantitativo:
Tamaño de máquina virtual (CPU, memoria, almacenamiento)
Dependencias (tráfico de red)
Compatibilidad de recursos
Factores de análisis cualitativo:
Tolerancia al cambio
Prioridades empresariales
Eventos empresariales críticos
Dependencias de procesos
Refactorización
Las opciones de plataforma como servicio (PaaS) pueden reducir los costos operativos asociados a muchas
aplicaciones. Se aconseja refactorizar ligeramente una aplicación para ajustarla a un modelo basado en PaaS.
"Refactorizar" también hace referencia al proceso de desarrollo de aplicaciones de refactorizar el código para
permitir que una aplicación satisfaga nuevas oportunidades de negocio.
Estos son los principales motivos para hacer un rehospedaje:
Actualizaciones más rápidas y cortas
Portabilidad del código.
Mayor eficiencia en la nube (recursos, velocidad, costo, operaciones administradas)
Factores de análisis cuantitativo:
Tamaño de los recursos de la aplicación (CPU, memoria, almacenamiento)
Dependencias (tráfico de red)
Tráfico de usuarios (vistas de página, tiempo en la página, tiempo de carga)
Plataforma de desarrollo (idiomas, plataforma de datos, servicios de nivel intermedio)
Base de datos (CPU, memoria, almacenamiento, versión)
Factores de análisis cualitativo:
Inversiones empresariales continuadas
Ampliación de opciones y plazos
Dependencias de procesos de negocio
Rediseño
Algunas aplicaciones antiguas no son compatibles con los proveedores de nube debido a las decisiones de
arquitectura que se tomaron cuando se creó la aplicación. En estos casos, puede ser necesario rediseñar la
aplicación antes de la transformación.
En otros casos, las aplicaciones que son compatibles con la nube, pero que no son nativas de la nube, podrían
ser eficientes en cuanto a costos y operaciones si se rediseñara la solución para convertirla en una aplicación
nativa de nube.
Estos son los principales motivos para hacer un rehospedaje:
Agilidad y escalabilidad de la aplicación
Adopción más fácil de nuevas funcionalidades de nube
Mezcla de pilas de tecnología
Factores de análisis cuantitativo:
Tamaño de los recursos de la aplicación (CPU, memoria, almacenamiento)
Dependencias (tráfico de red)
Tráfico de usuarios (vistas de página, tiempo en la página, tiempo de carga)
Plataforma de desarrollo (idiomas, plataforma de datos, servicios de nivel intermedio)
Base de datos (CPU, memoria, almacenamiento, versión)
Factores de análisis cualitativo:
Crecientes inversiones empresariales
Costos operativos
Posibles bucles de comentarios e inversiones en DevOps.
Volver a generar
En algunos casos, los obstáculos que deben salvarse para llevar adelante una aplicación pueden ser demasiado
grandes como para justificar la inversión. Esto ocurre especialmente en el caso de las aplicaciones que antes
eran útiles para una empresa, pero que ya no son compatibles o no están en línea con los procesos
empresariales actuales. En este caso, se crea una nueva base de código para alinearla con un enfoque nativo de
nube.
Estos son los principales motivos para hacer un rehospedaje:
Acelerar la innovación
Crear aplicaciones más rápido.
Reducir los costos operativos
Factores de análisis cuantitativo:
Tamaño de los recursos de la aplicación (CPU, memoria, almacenamiento)
Dependencias (tráfico de red)
Tráfico de usuarios (vistas de página, tiempo en la página, tiempo de carga)
Plataforma de desarrollo (idiomas, plataforma de datos, servicios de nivel intermedio)
Base de datos (CPU, memoria, almacenamiento, versión)
Factores de análisis cualitativo:
Rechazar la satisfacción del usuario final
Procesos de negocio limitados por funcionalidad
Posibles ganancias de costo, experiencia o ingresos
Replace
Las soluciones suelen implementarse usando la mejor tecnología y el enfoque que haya disponible en ese
momento. A veces, las aplicaciones de software como servicio (SaaS) pueden proporcionar todas las funciones
necesarias para la aplicación hospedada. En estos casos, se puede programar una carga de trabajo para
reemplazarla en el futuro y eliminarla de manera eficaz del esfuerzo de transformación.
Estos son los principales motivos para hacer un rehospedaje:
Estandarizar en torno a procedimientos recomendados del sector
Acelerar la adopción de enfoques basados en procesos de negocio
Reasignar inversiones en el desarrollo de aplicaciones que crean diferenciación o ventaja competitivas
Factores de análisis cuantitativo:
Reducciones generales de costos operativos
Tamaño de máquina virtual (CPU, memoria, almacenamiento)
Dependencias (tráfico de red)
Recursos que se van a retirar
Base de datos (CPU, memoria, almacenamiento, versión)
Factores de análisis cualitativo:
Análisis de costo-beneficio de la arquitectura actual frente a la solución SaaS
Asignaciones de procesos de negocio
Esquemas de datos
Procesos automatizados o personalizados
Pasos siguientes
En conjunto, puede aplicar estos cinco puntos esenciales de la racionalización a un patrimonio digital para que
sea más fácil tomar decisiones de racionalización sobre el estado futuro de cada aplicación.
¿Qué es un patrimonio digital?
¿Qué es un patrimonio digital?
06/03/2021 • 5 minutes to read • Edit Online
Todas las compañías modernas tienen algún tipo de patrimonio digital. Un patrimonio digital es muy parecido a
un patrimonio físico, es una referencia abstracta a una colección de recursos tangibles que tienen un propietario.
En un patrimonio digital, esos recursos incluyen máquinas virtuales (VM), servidores, aplicaciones, datos, etc.
Básicamente, un patrimonio digital es la colección de recursos de TI que alimenta los procesos de negocio y las
operaciones complementarias.
La importancia de un patrimonio digital se hace más evidente durante la planeación y ejecución de los esfuerzos
de transformación digital. Durante los recorridos de transformación, los equipos de estrategias de nube usan el
patrimonio digital para asignar los resultados empresariales a planes de lanzamiento y esfuerzos técnicos. Todo
comienza con un inventario y la medición de los recursos digitales que posee la organización actualmente.
Cada tipo de transformación se puede medir con cualquiera de las vistas anteriores. Las empresas suelen
completar todas estas transformaciones en paralelo. Es muy recomendable que la directiva de la empresa y
el equipo de estrategia en la nube alcancen un acuerdo sobre qué tipo de transformación es la más
importante para conseguir el éxito empresarial. Esto sirve como base para encontrar un lenguaje y una
métrica comunes en varias iniciativas.
Pasos siguientes
Antes de comenzar el planeamiento del patrimonio digital, determine qué enfoque usar.
Enfoques de planeamiento del patrimonio digital
Enfoques de planeamiento del patrimonio digital
06/03/2021 • 8 minutes to read • Edit Online
El planeamiento del patrimonio digital puede adoptar varias formas, según los resultados deseados y el tamaño
del patrimonio existente. Hay varios enfoques que se pueden adoptar. Es importante establecer expectativas
respecto al enfoque al principio de los ciclos de planeamiento. Unas expectativas poco claras suelen dar lugar a
retrasos asociados con ejercicios adicionales de recopilación de inventario. En este artículo se describen tres
enfoques de análisis.
TIP
Para llevar a cabo este enfoque se requieren entrevistas y comentarios anecdóticos de las partes interesadas
empresariales y técnicas. El principal riesgo para el tiempo es la disponibilidad de los individuos clave. La naturaleza
anecdótica de los orígenes de datos hace que sea más difícil realizar estimaciones precisas de costo y tiempo. Planee de
antemano el calendario y valide todos los datos recopilados.
TIP
Para llevar a cabo este enfoque se requiere un origen abundante de datos de uso estadísticos. El tiempo necesario para
examinar el inventario y recopilar datos es el principal riesgo para el cumplimiento de los plazos. Los orígenes de datos de
bajo nivel pueden perder las dependencias entre recursos o aplicaciones. Planee el examen del inventario durante un mes
por lo menos. Valide las dependencias antes de la implementación.
Enfoque incremental
Se recomienda encarecidamente un enfoque incremental, como para muchos procesos del Marco de adopción
de la nube. En el caso del planeamiento del patrimonio digital, eso equivale a un proceso de varias fases:
Análisis de costos inicial: si se requiere validación financiera, comience con un enfoque basado en los
recursos, descrito anteriormente, a fin de obtener un cálculo de costos inicial de todo el patrimonio
digital, sin racionalización. Esto establece una referencia de escenario del peor caso.
Planear la migración: una vez formado un equipo de estrategia de la nube, cree un trabajo pendiente
de migración inicial mediante un enfoque basado en la carga de trabajo que se base en su conocimiento
colectivo y algunas entrevistas con las partes interesadas. Este enfoque crea rápidamente una valoración
de la carga de trabajo ligera para fomentar la colaboración.
Planeamiento de versiones: en cada versión, el trabajo pendiente de migración se elimina y se vuelve
a clasificar por orden de prioridad para centrarse en el impacto empresarial más relevante. Durante este
proceso, se seleccionan entre cinco y diez de las cargas de trabajo siguientes como versiones con
prioridad. En este punto, el equipo de estrategia de la nube dedica tiempo a realizar un enfoque
exhaustivo basado en la carga de trabajo. El hecho de retrasar esta valoración hasta que haya una versión
alineada respeta mejor el tiempo de las partes interesadas. También retrasa la inversión en un análisis
completo hasta que la empresa comience a ver resultados de los esfuerzos anteriores.
Análisis de ejecución: antes de migrar, modernizar o replicar cualquier recurso, evalúelo de forma
individual y como parte de una versión colectiva. En este momento, se pueden escrutar los datos del
enfoque anterior basado en los recursos para garantizar el tamaño preciso y las restricciones
operacionales.
TIP
Este enfoque incremental permite un planeamiento simplificado y unos resultados acelerados. Es importante que todas las
partes implicadas entiendan el enfoque de toma de decisiones diferida. Es igualmente importante que se documenten los
supuestos realizados en cada fase para evitar la pérdida de detalles.
Pasos siguientes
Una vez seleccionado un enfoque, se puede recopilar el inventario.
Recopilación de datos de inventario
Recopilación de datos de inventario de un
patrimonio digital
06/03/2021 • 3 minutes to read • Edit Online
El desarrollo de un inventario es el primer paso del planeamiento del patrimonio digital. En este proceso, se
recopila una lista de los recursos de TI que posibilitan funciones de negocio específicas para su posterior análisis
y racionalización. En este artículo se da por supuesto que un análisis de abajo hacia arriba es el más adecuado
para el planeamiento de las necesidades. Para más información, consulte Enfoques para el planeamiento del
patrimonio digital.
Pasos siguientes
Una vez que se recopila y valida un inventario, se puede racionalizar. La racionalización del inventario es el
siguiente paso en el planeamiento del patrimonio digital.
Racionalización del patrimonio digital
Racionalización del patrimonio digital
06/03/2021 • 23 minutes to read • Edit Online
La racionalización de la nube es el proceso de evaluación de los recursos para determinar el mejor enfoque para
hospedarlos en la nube. Una vez que haya determinado el enfoque y que haya agregado un inventario, puede
comenzar la racionalización de la nube. En Racionalización de la nube se describen las opciones de
racionalización más comunes.
Racionalización incremental
La racionalización completa de un gran patrimonio digital es propensa al riesgo y puede sufrir retrasos debido a
su complejidad. El supuesto que subyace tras el enfoque incremental es que la demora en la toma de decisiones
escalona la carga sobre el negocio y reduce el riesgo de obstáculos. Con el tiempo, este enfoque crea un modelo
orgánico para desarrollar los procesos y la experiencia necesarios para tomar decisiones de racionalización
cualificadas de manera más eficiente.
Inventario: Reducción de los puntos de datos de detección
Pocas organizaciones invierten el tiempo, la energía y los gastos necesarios para mantener un inventario preciso
y en tiempo real de todo el patrimonio digital. La pérdida, el robo, los ciclos de actualización y la incorporación
de empleados a menudo justifican el seguimiento detallado de los recursos de los dispositivos de los usuarios
finales. La rentabilidad de la inversión que supone mantener un inventario preciso de los servidores y las
aplicaciones en un centro de datos local tradicional suele ser baja. La mayoría de las organizaciones de TI tienen
problemas más urgentes que resolver que el seguimiento del uso de los recursos en un centro de datos.
En una transformación a la nube, el inventario está directamente relacionado con los costos operativos. Se
requieren datos de inventario precisos para un planeamiento adecuado. Lamentablemente, las opciones
actuales de análisis del entorno pueden retrasar las decisiones durante semanas o meses. Afortunadamente, hay
algunos trucos que pueden acelerar la recopilación de los datos.
El análisis basado en agente es el retraso citado con más frecuencia. Los datos sólidos que se requieren para una
racionalización tradicional a menudo solo pueden recopilarse con un agente que se ejecuta en cada recurso. Esta
dependencia de los agentes ralentiza el progreso porque puede requerir comentarios de las funciones de
seguridad, operaciones y administración.
En un proceso de racionalización incremental, se podría utilizar una solución sin agentes para una detección
inicial a fin de acelerar las decisiones tempranas. Dependiendo del nivel de complejidad del entorno, se puede
necesitar una solución basada en agentes, pero puede eliminarse de la ruta crítica al cambio de negocio.
Análisis cuantitativo: Optimización de las decisiones
Con independencia del enfoque de la detección de inventario, el análisis cuantitativo puede conducir a una serie
de decisiones y supuestos iniciales. Esto es especialmente cierto cuando se trata de identificar la primera carga
de trabajo o cuando el objetivo de la racionalización es una comparación de costos de alto nivel. En un proceso
de racionalización incremental, los equipos de adopción y estrategia de la nube limitan las 5 R de la
racionalización a dos decisiones concisas y solo aplican esos factores cuantitativos. Esto simplifica el análisis y
reduce la cantidad de datos iniciales necesarios para impulsar el cambio.
Por ejemplo, si una organización se encuentra en medio de una migración de IaaS a la nube, se puede suponer
que la mayoría de las cargas de trabajo se retirarán o se volverán a hospedar.
Análisis cualitativo: Supuestos temporales
Al reducir el número de resultados potenciales, es más fácil tomar una decisión inicial sobre el estado futuro de
un recurso. Cuando se reducen las opciones, también se reduce el número de preguntas que se formulan a la
empresa en esta fase inicial.
Por ejemplo, si las opciones se limitan a rehospedar o retirar, la empresa solo debe responder a una pregunta
durante la racionalización inicial, que es si se va a retirar el recurso.
"El análisis sugiere que ningún usuario está utilizando activamente este recurso. ¿Es eso correcto o se nos ha
pasado algo por alto?" Una pregunta binaria de este tipo es generalmente mucho más fácil de ejecutar mediante
un análisis cualitativo.
Este enfoque simplificado produce líneas de base, planes financieros, estrategia y dirección. En actividades
posteriores, cada recurso pasa por una mayor racionalización y un análisis cualitativo para evaluar otras
opciones. Todas las suposiciones que realice en esta racionalización inicial se prueban antes de migrar cargas de
trabajo individuales.
Supuestos desafiantes
El resultado de la sección anterior es una racionalización aproximada cargada de supuestos. A continuación, es
hora de cuestionar algunos de estos supuestos.
Retirar recursos
En un entorno local tradicional, hospedar recursos pequeños no utilizados rara vez tiene un impacto
significativo en los costos anuales. Con algunas excepciones, el ahorro de costos derivado de la limpieza y
retirada de estos recursos se compensa por el tiempo de empleados a tiempo completo requerido para analizar
y retirar el recurso.
Cuando se pasa a un modelo de contabilidad en la nube, la retirada de recursos puede generar ahorros
significativos en los costos operativos anuales y en los esfuerzos iniciales de migración.
No es raro que las organizaciones retiren el 20 % o más de su patrimonio digital después de completar un
análisis cuantitativo. Es recomendable realizar un análisis cualitativo adicional antes de pasar a la acción. Una
vez confirmada, la retirada de esos recursos puede producir la primera victoria de la migración a la nube en
cuanto a la rentabilidad de la inversión. A menudo, este es uno de los mayores factores de ahorro de costos. Por
lo tanto, el equipo de estrategia de la nube debe supervisar la validación y la retirada de recursos, en paralelo a
la ejecución de la metodología de migración, para lograr una ganancia financiera temprana.
Ajustes del programa
Una empresa rara vez se embarca en un único viaje de transformación. La elección entre reducción de costos,
crecimiento del mercado y nuevas fuentes de ingresos rara vez es una decisión binaria. Por lo tanto, es
recomendable que el equipo de estrategia de la nube trabaje con el departamento de TI para identificar los
recursos que haya en esfuerzos de transformación paralelos y que estén fuera del alcance del recorrido de
transformación principal.
En el ejemplo de migración de IaaS que se utiliza en este artículo:
Pida al equipo de DevOps que identifique los recursos que ya forman parte de una automatización de la
implementación y los quite del plan de migración principal.
Pida a los equipos de datos e I+D que identifiquen los recursos que impulsan nuevas fuentes de ingresos
y que los quiten del plan de migración principal.
Este análisis cualitativo enfocado en el programa se puede ejecutar rápidamente y producirá la alineación de los
diferentes trabajos pendientes de migración.
Tal vez tenga que considerar algunos recursos para rehospedaje durante un tiempo. Puede realizar una
racionalización posterior después de la migración inicial.
Planeamiento de la versión
Mientras el equipo de adopción de la nube ejecuta la migración o implementación de la primera carga de
trabajo, el equipo de estrategia de la nube puede empezar a priorizar las aplicaciones o cargas de trabajo
restantes.
La potencia de 10
En el enfoque tradicional de la racionalización, se intentan abordar todas las necesidades previsibles.
Afortunadamente, a menudo no se requiere un plan para cada aplicación para iniciar un viaje de
transformación. En un modelo incremental, el enfoque de la potencia de 10 proporciona un buen punto inicial.
En este modelo, el equipo de estrategia de la nube selecciona las primeras diez aplicaciones que se van a migrar.
Esas diez cargas de trabajo deben contener una mezcla de cargas de trabajo simples y complejas.
Creación de los primeros trabajos pendientes
Los equipos de adopción y estrategia de la nube pueden trabajar juntos en el análisis cualitativo de las diez
primeras cargas de trabajo. Este esfuerzo crea el primer trabajo pendiente de migración con prioridad y el
primer trabajo pendiente de versión con prioridad. Este enfoque permite a los equipos iterar sobre el enfoque y
proporciona tiempo suficiente para crear un proceso adecuado para el análisis cualitativo.
Maduración del proceso
Cuando los dos equipos se ponen de acuerdo sobre los criterios de análisis cualitativo, la evaluación puede
convertirse en una tarea dentro de cada iteración. Alcanzar el consenso sobre los criterios de evaluación suele
requerir dos o tres versiones.
Una vez que la evaluación se traslada a los procesos de ejecución incremental de la migración, el equipo de
adopción de la nube puede iterar más rápidamente en la evaluación y arquitectura. En esta etapa, el equipo de
estrategia de nube también se abstrae, lo que reduce el consumo de tiempo. Esto también permite que el equipo
de estrategia de la nube se centre en priorizar las aplicaciones que aún no tienen una versión específica, lo que
asegura una alineación ajustada con las condiciones cambiantes del mercado.
No todas las aplicaciones con prioridad estarán listas para la migración. Es probable que la secuencia cambie, ya
que el equipo realiza un análisis cualitativo más profundo y descubre eventos y dependencias que podrían dar
lugar a una nueva priorización de los trabajos pendientes. Algunas versiones pueden agrupar un pequeño
número de cargas de trabajo. Otras podrían contener una única carga de trabajo.
Es probable que el equipo de adopción de la nube ejecute iteraciones que no produzcan una migración
completa de la carga de trabajo. Cuanto menor sea la carga de trabajo y menor sea el número de dependencias,
mayor será la probabilidad de que una carga de trabajo se adapte a un solo sprint o iteración. Por este motivo,
es recomendable que las primeras aplicaciones de la lista de trabajos pendientes sean pequeñas y contengan
pocas dependencias externas.
Pasos siguientes
El resultado de un esfuerzo de racionalización es un trabajo pendiente priorizado de todos los recursos
afectados por la transformación elegida. Este trabajo pendiente ya está listo para servir de base para los
modelos de cálculo de costos de los servicios en la nube.
Alineación de los modelos de costos con el patrimonio digital
Alineación de los modelos de costos con el
patrimonio digital para prever los costos en la nube
06/03/2021 • 3 minutes to read • Edit Online
Una vez que se ha racionalizado un patrimonio digital, se puede alinear con modelos de costos equivalentes con
el proveedor de nube elegido. Es difícil hablar de los modelos de costos sin centrarse en un proveedor en la
nube específico. Para proporcionar ejemplos tangibles en este artículo, se asume que Azure es el proveedor en
la nube.
Las herramientas de precios de Azure ayudan a administrar el gasto en la nube con transparencia y precisión,
para obtener el máximo provecho de Azure y otras nubes. Le proporciona las herramientas necesarias para
supervisar, asignar y optimizar los costos de la nube para que pueda impulsar las inversiones en el futuro con
confianza.
Azure Migrate: Azure Migrate es quizás el enfoque más rentable para la alineación del modelo de costos.
Esta herramienta permite el inventario del patrimonio digital, una racionalización limitada y los cálculos
de costos en una herramienta.
Calculadora del costo total de propiedad (TCO): Reduzca el costo total de propiedad de la infraestructura
local con la plataforma en la nube de Azure. Utilice la calculadora de TCO de Azure para calcular el ahorro
de costos que puede lograr al migrar las cargas de trabajo de aplicación a Azure. Proporcione una breve
descripción del entorno local para obtener un informe instantáneo.
Calculadora de precios de Azure: estime la factura mensual prevista con la calculadora de precios. Realice
un seguimiento del uso y facturación reales de la cuenta en cualquier momento mediante el portal de
facturación. Configure alertas de facturación automáticas por correo electrónico para recibir una
notificación si el gasto sobrepasa una cantidad especificada.
Azure Cost Management y facturación: Azure Cost Management + Billing es una solución de
administración de costos que le ayuda a usar y administrar Azure y otros recursos en la nube de manera
eficaz. Recopile datos de uso y facturación de recursos en la nube con interfaces de programación de
aplicaciones (API) de Azure, Amazon Web Services y Google Cloud Platform. Con esos datos, se obtiene
visibilidad total del consumo de recursos y de los costos de todas las plataformas en la nube en una única
vista unificada. Supervise de forma constante el consumo de recursos en la nube y las tendencias de los
costos. Realice un seguimiento del gasto real en la nube respecto al presupuesto para evitar los
sobrecostos. Detecte anomalías en el gasto y deficiencias en el uso. Utilice los datos históricos para
mejorar la exactitud de las previsiones de uso de recursos en la nube y los gastos correspondientes.
Medición de resultados empresariales con
AppDynamics
23/03/2021 • 9 minutes to read • Edit Online
La correcta medición y cuantificación de los resultados empresariales es una parte fundamental de cualquier
estrategia de adopción de la nube. Comprender la experiencia del usuario y el rendimiento de una aplicación es
fundamental para medir esos resultados empresariales. Sin embargo, medir con exactitud la correlación entre el
rendimiento de la aplicación, la experiencia del usuario y su efecto en la empresa suele ser difícil, poco preciso y
lento.
AppDynamics puede proporcionar información empresarial para la mayoría de los casos y muchas
organizaciones que inician una estrategia completa de adopción de la nube lo hacen por los siguientes motivos:
Una comparación entre la situación anterior y posterior a una migración
Estado de la empresa
Validación de un lanzamiento
Estado del segmento
Recorridos de usuario
Recorridos empresariales
Embudos de conversión
Esta guía se centrará en cómo medir los resultados empresariales en una comparación entre la situación
anterior y posterior a una migración, y en cómo acelerar y reducir el riesgo de una migración durante el
recorrido de adopción de la nube.
Funcionamiento de AppDynamics
Antes de la migración, se implementa un pequeño agente ligero junto con sus aplicaciones. Los agentes se
compilan específicamente para varios lenguajes como .NET, Java y Node.js. El agente recopila datos de
rendimiento y diagnóstico durante la migración y los envía a un controlador para que los correlacione y analice
la información. Los controladores pueden residir en un entorno de AppDynamics totalmente administrado, o el
cliente puede elegir administrarlos en Azure. Las experiencias de usuario claves se identifican como
transacciones comerciales, lo que le ayuda a detectar la línea de base del rendimiento normal de la aplicación o
la empresa. Tanto si se trata de una infraestructura tradicional de servidores, bases de datos, componentes de
middleware, un entorno local o en la nube, todos los componentes y dependencias de la aplicación se identifican
en tiempo real para toda la aplicación y para cada transacción empresarial.
Figura 1: Mapa de flujo de AppDynamics.
Pasos siguientes
AppDynamics ofrece a las organizaciones la capacidad única de medir los resultados empresariales durante la
estrategia de adopción de la nube. Visite AppDynamics para más información sobre AppDynamics con Azure.
Alineación inicial de la organización
06/03/2021 • 5 minutes to read • Edit Online
El aspecto más importante de cualquier plan de adopción de la nube es la alineación de las personas que harán
realidad el plan. Ningún plan está completo hasta que comprenda los aspectos relacionados con las personas.
La verdadera alineación de la organización lleva tiempo. Será importante para establecer la alineación
organizacional a largo plazo, especialmente a medida que la adopción de la nube se escala en la cultura del
negocio y de TI. La alineación es tan importante que se ha dedicado a ella una sección completa en metodología
de organización de Cloud Adoption Framework.
La alineación total de la organización no es un componente obligatorio del plan de adopción de la nube. Sin
embargo, es necesaria cierta alineación inicial de la organización. En este artículo se describe un punto de
partida del procedimiento recomendado para la alineación de la organización. Las instrucciones siguientes
pueden ayudarle a completar el plan y preparar a sus equipos para la adopción de la nube. Cuando esté listo,
puede usar la sección alineación de la organización para personalizar esta guía para ajustarla a su organización.
Es bastante intuitivo que las tareas de adopción de la nube requieren personas que ejecuten dichas tareas. Por lo
tanto, a pocas personas les sorprende que el equipo de adopción de la nube sea un requisito. Sin embargo, es
posible que las personas que no estén familiarizadas con la nube no aprecien totalmente la importancia de un
equipo de gobernanza de la nube. Este desafío suele producirse en las primeras etapas de los ciclos de
adopción. El equipo de gobernanza de la nube proporciona las comprobaciones y los equilibrios necesarios para
garantizar que la adopción de la nube no expone el negocio a nuevos riesgos. Cuando se deban tomar riesgos,
este equipo garantiza que se implementan los procesos y controles adecuados para mitigar o controlar esos
riesgos.
Para obtener más información sobre la adopción de la nube, la gobernanza de la nube y otras funcionalidades
de este tipo, consulte la breve sección sobre la descripción de las funcionalidades necesarias en la nube.
Pasos siguientes
Información sobre el plan para la adopción de la nube.
Plan para la adopción de la nube
Adaptación de los roles, las aptitudes y los procesos
existentes a la nube
06/03/2021 • 8 minutes to read • Edit Online
En cada fase de la historia del sector de TI, los cambios más importantes vienen a menudo marcados por
cambios en los roles del personal. Un ejemplo es la transición de la informática de grandes sistemas a la
informática cliente/servidor. El rol del operador de equipos desapareció en gran medida, reemplazado por el rol
de administrador del sistema. Cuando llegó la virtualización, disminuye el número de personas que trabajan con
servidores físicos, reemplazado por una necesidad de especialistas en virtualización.
A medida que las instituciones se desplacen a la informática en la nube, los roles probablemente cambiarán. Por
ejemplo, los especialistas en centros de datos podrían reemplazarse por administradores de la nube o
arquitectos de la nube. En algunos casos, aunque los nombres de los puestos de trabajo de TI no hayan
cambiado, el trabajo diario de estos roles ha cambiado significativamente.
Los miembros del personal de TI pueden sentirse preocupados por sus roles y puestos porque se dan cuenta de
que se necesita un conjunto diferente de aptitudes para el trabajo con soluciones en la nube. Pero los empleados
ágiles que exploran y aprenden las nuevas tecnologías en la nube no tienen por qué preocuparse. Pueden dirigir
la adopción de los servicios en la nube y ayudar a la organización a aprender y adoptar los cambios asociados.
Para instrucciones sobre la creación de un nuevo conjunto de aptitudes, consulte Ruta de preparación de
aptitudes.
Detección de preocupaciones
A medida que la organización se prepara para un trabajo de adopción de la nube, cada equipo debe documentar
las preocupaciones del personal a medida que se producen mediante la identificación de:
Tipo de preocupación. Por ejemplo, es posible que los trabajadores sean resistentes a los cambios en las
tareas que acompañan al trabajo de adopción.
El impacto si no se trata la preocupación. Por ejemplo, la resistencia a la adopción podría dar lugar a que los
trabajadores sean lentos en la ejecución de los cambios necesarios.
El área preparada para solucionar el problema. Por ejemplo, si los empleados del departamento de TI son
reacios a adquirir nuevas habilidades, el área de responsables de TI está mejor preparada para solucionar
este problema. La identificación del área puede ser clara en el caso de algunas preocupaciones. En estos
casos, es posible que se necesite escalar al liderazgo ejecutivo.
Los miembros del personal de TI normalmente tienen preocupaciones sobre la adquisición del entrenamiento
necesario para desarrollar funciones ampliadas y nuevas tareas. Conocer las preferencias de entrenamiento del
equipo le ayudará a preparar un plan. También permite abordar estas preocupaciones.
Identificación de brechas
La identificación de brechas es otro aspecto importante de la preparación de la organización. Una brecha es un
rol, aptitud o proceso necesario para la transformación digital que no existe actualmente en la empresa.
1. Enumere las responsabilidades que acompañan a la transformación digital. Resalte las nuevas
responsabilidades y las responsabilidades existentes que se van a retirar.
2. Identifique el área que se alinea con cada responsabilidad. Para cada nueva responsabilidad, compruebe
cómo se alinea con el área. Algunas responsabilidades pueden abarcar varias áreas. Esta transversalidad
representa una oportunidad para una mejor alineación que se debe documentar como una preocupación. En
el caso de que ningún área se pueda identificar como responsable, se debe documentar como una brecha.
3. Identifique las aptitudes necesarias para desarrollar cada responsabilidad y compruebe si la empresa tiene
recursos existentes con esas aptitudes. Si no hay recursos existentes, determine los programas de
entrenamiento o la adquisición de talentos necesarios para rellenar las brechas. También puede determinar la
fecha límite en la que se debe desarrollar cada responsabilidad para mantener la transformación digital
dentro de la programación.
4. Identifique los roles que ejecutarán estas aptitudes. Algunos de los empleados existentes asumirán partes de
los roles. En otros casos, es posible que se necesiten roles completamente nuevos.
Pasos siguientes
El aseguramiento del soporte técnico adecuado para los roles traducidos es un trabajo en equipo. Para actuar
según esta guía, revise la información general sobre la preparación de la organización para identificar los
participantes y las estructuras de equipo correctos.
Identificación de las estructuras de equipo correctas
Introducción a la ruta de preparación de las
aptitudes
06/03/2021 • 5 minutes to read • Edit Online
Los miembros del personal de TI pueden sentirse preocupados por sus roles y puestos a medida que se dan
cuenta de que se necesita un conjunto diferente de aptitudes para el trabajo con soluciones en la nube. Los
empleados ágiles que exploran y aprenden las nuevas tecnologías en la nube no tienen por qué preocuparse.
Pueden dirigir la adopción de los servicios en la nube y ayudar a la organización a comprender y adoptar los
cambios asociados.
Microsoft Learn
Microsoft Learn es un enfoque nuevo al aprendizaje. La preparación para las nuevas aptitudes y
responsabilidades que acompañan a la adopción de la nube no es fácil. Microsoft Learn proporciona un enfoque
más gratificante para el aprendizaje práctico que le ayuda a lograr sus objetivos con más rapidez. Gane puntos y
niveles y consiga más.
Entre los ejemplos de rutas de aprendizaje personalizadas en Microsoft Learn que se alinean con la metodología
de planeamiento de Cloud Adoption Framework se incluyen:
Logre que sus procedimientos de DevOps evolucionen: DevOps es la unión de personas, procesos y productos
para hacer posible la entrega continua de valor a los usuarios finales. Azure DevOps es un conjunto de servicios
que le ofrece las herramientas que necesita para hacerlo. Con Azure DevOps, puede compilar, probar e
implementar cualquier aplicación, ya sea en la nube o de forma local.
Azure para el ingeniero de datos: Explore cómo ha evolucionado el mundo de los datos y cómo la llegada de las
tecnologías de nube está ofreciendo nuevas oportunidades para que las empresas las exploren. Conocerá las
diversas tecnologías de plataforma de datos que están disponibles y cómo un ingeniero de datos puede
aprovechar de esta tecnología en beneficio de una organización.
Más información
Para descubrir más rutas de aprendizaje, eche un vistazo al catálogo de Microsoft Learn. Use el filtro de roles
para alinear las rutas de aprendizaje con su rol.
Plan para la adopción de la nube
06/03/2021 • 6 minutes to read • Edit Online
Un plan es un requisito esencial para una adopción de la nube correcta. Un plan de adopción de la nube es un
plan de proyecto iterativo que ayuda a la transición de una empresa desde los enfoques de TI tradicionales a la
transformación a enfoques modernos y ágiles. En esta serie de artículos se describe cómo ayuda un plan de
adopción de la nube a que las empresas equilibren su cartera de TI y a administrar las transiciones a lo largo del
tiempo. Mediante este proceso, los objetivos empresariales se pueden traducir claramente en trabajos técnicos
tangibles. Estos trabajos se pueden administrar y comunicar de forma que tengan sentido para las partes
interesadas de la empresa. Sin embargo, la adopción de este tipo de proceso puede requerir algunos cambios
en los enfoques de administración de proyectos tradicionales.
Pasos siguientes
Antes de crear el plan de adopción de la nube, asegúrese de que se cumplen todos los requisitos previos
necesarios.
Revisión de los requisitos previos
Requisitos previos para un plan de adopción de la
nube efectivo
06/03/2021 • 4 minutes to read • Edit Online
Un plan solo es tan efectivo como los datos que se incluyen en él. Para que un plan de adopción de la nube sea
efectivo, hay dos categorías de entrada: estratégica y táctica. En las secciones siguientes se describen los puntos
de datos mínimos necesarios en cada categoría.
Entradas estratégicas
Las entradas estratégicas precisas garantizan que el trabajo que se realiza contribuye a la consecución de los
resultados empresariales. La sección de estrategia de Cloud Adoption Framework proporciona una serie de
ejercicios para desarrollar una estrategia clara. Las salidas de estos ejercicios alimentan el plan de adopción de
la nube. Antes de desarrollar el plan, asegúrese de que los siguientes elementos están bien definidos como un
resultado de los ejercicios:
Motivaciones claras: ¿por qué se va a realizar la adopción de la nube?
Resultados empresariales definidos: ¿qué resultados se esperan ver de la adopción de la nube?
Justificación empresarial: ¿cómo medirá el éxito el negocio?
Cada miembro del equipo que implementa el plan de adopción de la nube debe ser capaz de responder a estas
tres preguntas estratégicas. Los administradores y líderes que son responsables de la implementación del plan
deben comprender las métricas de cada pregunta y cualquier progreso hacia la realización de esas métricas.
Entradas tácticas
Las entradas tácticas precisas garantizan que el trabajo se puede planear con precisión y se puede administrar
de manera eficaz. La sección de planeamiento de Cloud Adoption Framework proporciona una serie de
ejercicios para desarrollar artefactos de planeamiento antes de desarrollar el plan. Estos artefactos
proporcionan respuestas a las siguientes preguntas:
Racionalización del patrimonio digital: ¿Cuáles son las 10 cargas de trabajo de prioridad principales del
plan de adopción? ¿Cuántas cargas de trabajo adicionales es probable que haya en el plan? ¿Cuántos
recursos se consideran candidatos para la adopción de la nube? ¿Los trabajos iniciales se centran más en
actividades de migración o de innovación?
Alineación de la organización: ¿Quién realizará el trabajo técnico del plan de adopción? ¿Quién es
responsable de la adherencia a los requisitos de gobernanza y cumplimiento?
Preparación de las aptitudes: ¿Cuántas personas están asignadas para realizar las tareas necesarias? ¿En
qué medida se alinean sus aptitudes con los trabajos de adopción de la nube? ¿Los asociados están alineados
para dar soporte técnico a la implementación técnica?
Estas preguntas son esenciales para la precisión del plan de adopción de la nube. Como mínimo, se debe
responder a las preguntas sobre la racionalización del patrimonio digital para crear un plan. Para proporcionar
escalas de tiempo precisas, también son importantes las preguntas acerca de la organización y las aptitudes.
Pasos siguientes
Implemente la plantilla en Azure DevOps Services para definir el plan de adopción de la nube.
Definición del plan de adopción de la nube mediante la plantilla
Plan de adopción de la nube y Azure DevOps
06/03/2021 • 8 minutes to read • Edit Online
Azure DevOps es el conjunto de herramientas basadas en la nube para los clientes de Azure que administran
proyectos iterativos. También incluye herramientas para administrar canalizaciones de implementación y otros
aspectos importantes de DevOps.
En este artículo aprenderá a implementar rápidamente un trabajo pendiente en Azure DevOps mediante una
plantilla. Esta plantilla alinea los trabajos de adopción de la nube con un proceso normalizado según la guía de
Cloud Adoption Framework.
NOTE
El estado actual del plan de adopción de la nube se centra principalmente en los trabajos de migración. Las tareas
relacionadas con la gobernanza, la innovación o las operaciones se deben rellenar manualmente.
Pasos siguientes
Empiece a alinear el proyecto del plan mediante la definición y clasificación por prioridades de las cargas de
trabajo.
Definición y clasificación por prioridades de las cargas de trabajo
Definición y clasificación por orden de prioridad de
las cargas de trabajo para un plan de adopción de
la nube
06/03/2021 • 13 minutes to read • Edit Online
El establecimiento de prioridades claras y accionables es uno de los secretos para la adopción correcta de la
nube. La tentación natural es invertir tiempo en la definición de todas las cargas de trabajo que podrían verse
afectadas durante la adopción de la nube. Pero eso es contraproducente, especialmente al principio del proceso
de adopción.
En su lugar, se recomienda que el equipo se centre en clasificar por orden de prioridad y documentar las 10
primeras cargas de trabajo. Después de comenzar la implementación del plan de adopción, el equipo puede
mantener una lista de las siguientes 10 cargas de trabajo de prioridad más alta. Este enfoque proporciona
información suficiente para planear las siguientes iteraciones.
Limitar el plan a 10 cargas de trabajo fomenta la agilidad y la alineación de las prioridades a medida que
cambian los criterios de negocio. Este enfoque también posibilita que el equipo de adopción de la nube aprenda
y refine las estimaciones. Lo más importante es que elimina el planeamiento extensivo como una barrera para
un cambio empresarial efectivo.
Prerrequisitos
Las entradas estratégicas de la lista de requisitos previos hacen que las siguientes tareas sean mucho más
fáciles de realizar. Para obtener ayuda con la recopilación de los datos que se describen en este artículo, consulte
los requisitos previos.
Descripción de la carga de trabajo En una sola frase, ¿qué hace esta carga
de trabajo?
P UN TO DE DATO S DESC RIP C IÓ N EN T RA DA
Entradas técnicas
P UN TO DE DATO S DESC RIP C IÓ N EN T RA DA
Confirmación de prioridades
En función de los datos recopilados, el equipo de estrategia de la nube y el equipo de adopción de la nube
deben reunirse para volver a evaluar las prioridades. La clarificación de los puntos de datos empresariales
podría llevar a cambios en las prioridades. La complejidad técnica o las dependencias pueden dar lugar a
cambios relacionados con las asignaciones de personal, las escalas de tiempo o la secuenciación de los trabajos
técnicos.
Después de una revisión, ambos equipos deberían estar de acuerdo con la confirmación de las prioridades
resultantes. Este conjunto de prioridades documentadas, validadas y confirmadas es el trabajo pendiente de
adopción de la nube con prioridades.
Pasos siguientes
El equipo ahora está listo para alinear los recursos de cualquier carga de trabajo del trabajo pendiente de
adopción de la nube con prioridades.
Alineación de recursos para cargas de trabajo prioritarias
Alineación de los recursos con las cargas de trabajo
prioritarias
06/03/2021 • 4 minutes to read • Edit Online
Una carga de trabajo es una descripción conceptual de una colección de recursos: máquinas virtuales,
aplicaciones y orígenes de datos. En el artículo anterior, Definición y clasificación por orden de prioridad, se
proporciona una guía para recopilar los datos que van a definir la carga de trabajo. Antes de la migración,
algunas de las entradas técnicas de esa lista requieren una validación adicional. Este artículo ayuda con la
validación de las siguientes entradas:
Aplicaciones: enumere las aplicaciones incluidas en esta carga de trabajo.
VM y ser vidores: enumere las máquinas virtuales o los servidores incluidos en la carga de trabajo.
Orígenes de datos: enumere los orígenes de datos incluidos en la carga de trabajo.
Dependencias: enumere las dependencias de recursos no incluidas en la carga de trabajo.
Hay varias opciones para ensamblar estos datos. Estos son algunos de los enfoques más comunes.
Azure Migrate
Azure Migrate proporciona un conjunto de funciones de agrupación que pueden acelerar la agregación de
aplicaciones, máquinas virtuales, orígenes de datos y dependencias. Una vez definidas conceptualmente las
cargas de trabajo, se pueden usar como base para agrupar los recursos en función de la asignación de
dependencias.
En la documentación de Azure Migrate se proporciona guía sobre cómo agrupar máquinas en función de las
dependencias.
Pasos siguientes
Revise las decisiones de racionalización en función de la alineación de recursos y las definiciones de las cargas
de trabajo.
Revisión de las decisiones de racionalización
Revisión de las decisiones de racionalización
06/03/2021 • 9 minutes to read • Edit Online
Durante las fases de estrategia y planeamiento inicial, se recomienda aplicar un enfoque de racionalización
incremental al patrimonio digital. Pero este enfoque inserta algunas suposiciones en las decisiones resultantes.
Se recomienda que los equipos de adopción y estrategia de la nube revisen esas decisiones en función de la
documentación de la carga de trabajo ampliada. Esta revisión también es un buen momento para involucrar a
las partes interesadas del negocio y al patrocinador ejecutivo en futuras decisiones sobre el patrimonio.
IMPORTANT
Se realizará una validación adicional de las decisiones de racionalización durante la fase de evaluación de la migración. Esta
validación se centra en la revisión empresarial de la racionalización para alinear los recursos de forma adecuada.
Para validar las decisiones de racionalización, utilice las siguientes preguntas para facilitar una conversación con
el negocio. Las preguntas se agrupan por la alineación de racionalización probable.
Indicadores de innovación
Si la revisión conjunta de las siguientes preguntas da como resultado una respuesta afirmativa, una carga de
trabajo podría ser una buena candidata para la innovación. Este tipo de carga de trabajo no se migrará con un
modelo de tipo lift-and-shift o de modernización. En su lugar, las estructuras de datos o la lógica del negocio se
volverán a crear como una aplicación nueva o rediseñada. Este enfoque puede ser más intensivo y requiere
mucho tiempo. Pero para una carga de trabajo que representa retornos empresariales significativos, se justifica
la inversión.
¿Las aplicaciones de esta carga de trabajo crean diferenciación en el mercado?
¿Hay una inversión propuesta o aprobada destinada a mejorar las experiencias asociadas a las aplicaciones
de esta carga de trabajo?
¿Los datos de esta carga de trabajo hacen posibles nuevas ofertas de productos o servicios?
¿Hay una inversión propuesta o aprobada destinada a aprovechar los datos asociados a esta carga de
trabajo?
¿Se puede cuantificar el efecto de la diferenciación en el mercado o de las nuevas ofertas? En caso afirmativo,
¿el retorno justifica el aumento del costo de la innovación durante la adopción de la nube?
Las dos preguntas siguientes pueden ayudarle a incluir escenarios técnicos generales en la revisión de la
racionalización. Una respuesta afirmativa a una de ellas puede identificar formas de contabilizar o reducir el
costo asociado con la innovación.
¿Cambiarán las estructuras de datos o la lógica del negocio durante el transcurso de la adopción de la nube?
¿Se usa una canalización de implementación existente para implementar esta carga de trabajo en
producción?
Si la respuesta a cualquiera de las preguntas es afirmativa, el equipo debería considerar incluir esta carga de
trabajo como candidata para la innovación. Como mínimo, el equipo debe marcar esta carga de trabajo para la
revisión de la arquitectura con el fin de identificar oportunidades de modernización.
Indicadores de migración
La migración es una forma rápida y económica de adoptar la nube. Pero no aprovecha las oportunidades de
innovación. Antes de invertir en innovación, responda a las siguientes preguntas. Pueden ayudarle a determinar
si un modelo de migración es más aplicable para una carga de trabajo.
¿El código fuente de esta aplicación es estable? ¿Espera que permanezca estable y sin cambios durante el
período de tiempo de este ciclo de versión?
¿Esta carga de trabajo es compatible actualmente con los procesos empresariales de producción? ¿Lo será a
lo largo del curso de este ciclo de versión?
¿Es una prioridad que este trabajo de adopción de la nube mejore la estabilidad y el rendimiento de esta
carga de trabajo?
¿La reducción de costos asociada a esta carga de trabajo es un objetivo durante este trabajo?
¿La reducción de la complejidad operativa de esta carga de trabajo es un objetivo durante este trabajo?
¿La innovación está limitada por la arquitectura actual o los procesos de operación de TI?
Si la respuesta a alguna de estas preguntas es afirmativa, debe considerar un modelo de migración para esta
carga de trabajo. Esta recomendación se mantiene incluso si la carga de trabajo es candidata para la innovación.
Los desafíos de la complejidad operativa, los costos, el rendimiento o la estabilidad pueden afectar a los
retornos del negocio. Puede usar la nube para generar rápidamente mejoras relacionadas con estos desafíos.
Cuando sea aplicable, se recomienda usar el enfoque de migración para estabilizar primero la carga de trabajo.
A continuación, amplíe oportunidades de innovación en el entorno estable y ágil de la nube. Este enfoque
proporciona retornos a corto plazo y reduce el costo necesario para impulsar el cambio a largo plazo.
IMPORTANT
Los modelos de migración incluyen la modernización incremental. El uso de arquitecturas de plataforma como servicio
(PaaS) es un aspecto común de las actividades de migración. También hay cambios de configuración menores que usan
esos servicios de plataforma. El límite de la migración se define como un cambio material en la lógica del negocio o en las
estructuras empresariales de apoyo. Dicho cambio se considera un trabajo de innovación.
Pasos siguientes
Establezca iteraciones y planes de versiones para empezar a planear el trabajo.
Establezca iteraciones y planes de versiones para empezar a planear el trabajo.
Establecimiento de iteraciones y planes de versiones
22/03/2021 • 9 minutes to read • Edit Online
Agile y otras metodologías iterativas se basan en los conceptos de iteraciones y versiones. En este artículo se
describe la asignación de iteraciones y versiones durante el planeamiento. Dichas asignaciones impulsan la
visibilidad de la escala de tiempo para facilitar las conversaciones entre los miembros del equipo de estrategia
de la nube. Las asignaciones también alinean las tareas técnicas de una manera que el equipo de adopción de la
nube puede administrar durante la implementación.
Establecimiento de iteraciones
En un enfoque iterativo de la implementación técnica, los trabajos técnicos se planean en torno a bloques de
tiempo recurrentes. Las iteraciones tienden a ser bloques de tiempo de entre una y seis semanas. El consenso
sugiere que la duración media de la iteración es de dos semanas para la mayoría de los equipos de adopción de
la nube. Pero la elección de la duración de la iteración depende del tipo de trabajo técnico, la sobrecarga
administrativa y las preferencias del equipo.
Para empezar a alinear los trabajos con una escala de tiempo, se recomienda definir un conjunto de iteraciones
que dure entre 6 y 12 meses.
Descripción de la velocidad
La alineación de trabajos con iteraciones y versiones requiere un conocimiento de la velocidad. La velocidad es
la cantidad de trabajo que se puede completar en una iteración determinada. Durante el planeamiento
temprano, la velocidad es una estimación. Después de varias iteraciones, la velocidad se convierte en un
indicador muy valioso de los compromisos que el equipo puede llevar a cabo con confianza.
Puede medir la velocidad en términos abstractos como el grado de dificultad del caso. También puede medirla
en términos más tangibles; por ejemplo, horas. En la mayoría de los marcos iterativos, se recomienda usar
medidas abstractas para evitar desafíos en la precisión y la percepción. Los ejemplos de este artículo
representan la velocidad en horas por sprint. Esta representación hace que el tema se entienda más
universalmente.
Ejemplo: un equipo de adopción de la nube de cinco personas se ha comprometido a realizar sprints de dos
semanas. Dadas las obligaciones actuales, como las reuniones y el soporte técnico de otros procesos, cada
miembro del equipo puede colaborar de forma coherente 20 horas por semana con el trabajo de adopción. Para
este equipo, la estimación de velocidad inicial es de 100 horas por sprint.
WARNING
El número de tareas anterior y las estimaciones se usan estrictamente como ejemplo. Las tareas técnicas rara vez son tan
coherentes. No debería ver este ejemplo como un reflejo de la cantidad de tiempo necesaria para migrar una carga de
trabajo.
Planeamiento de la versión
En el contexto de la adopción de la nube, una versión se define como una colección de entregas que generan un
valor empresarial suficiente para justificar el riesgo de interrupción de los procesos empresariales.
El lanzamiento de una versión de cualquier cambio relacionado con la carga de trabajo en un entorno de
producción crea algunos cambios en los procesos empresariales. Idealmente, estos cambios no serán
problemáticos y el negocio verá el valor de los cambios sin interrupciones significativas en el servicio. Pero el
riesgo de interrupción del negocio está presente en cualquier cambio y no se debe tomar a la ligera.
Para asegurarse de que un cambio está justificado por su retorno potencial, el equipo de estrategia de la nube
debe participar en el planeamiento de la versión. Una vez que las tareas están alineadas con los sprints, el
equipo puede determinar una escala de tiempo aproximada de cuándo estará preparada para la versión de
producción cada carga de trabajo. El equipo de estrategia de la nube revisaría la temporización de cada versión.
El equipo identificaría entonces el punto de inflexión entre el riesgo y el valor empresarial.
Ejemplo: siguiendo con el ejemplo anterior, el equipo de estrategia de la nube ha revisado el plan de iteración.
La revisión identificó dos puntos de versión. Durante la segunda iteración, estarán listas para la migración un
total de cinco cargas de trabajo. Esas cinco cargas de trabajo proporcionarán un valor empresarial significativo y
desencadenarán la primera versión. La siguiente versión vendrá dos iteraciones más adelante, cuando las cinco
cargas de trabajo siguientes estén listas para su lanzamiento.
Pasos siguientes
Realice una estimación de las escalas de tiempo para comunicar correctamente las expectativas.
Estimación de escalas de tiempo
Escalas de tiempo de un plan de adopción de la
nube
06/03/2021 • 2 minutes to read • Edit Online
En el artículo anterior de esta serie, las cargas de trabajo y las tareas se asignaron a versiones e iteraciones.
Estas asignaciones alimentan las estimaciones de la escala de tiempo en este artículo.
Las estructuras de descomposición del trabajo se usan normalmente en herramientas de administración de
proyectos secuenciales. Representan cómo se completarán las tareas dependientes con el tiempo. Estas
estructuras funcionan bien cuando las tareas son secuenciales por naturaleza. Las interdependencias de las
tareas que se encuentran en la adopción de la nube hacen que estas estructuras sean difíciles de administrar.
Para rellenar esta brecha, puede hacer una estimación de las escalas de tiempo en función de las asignaciones
de rutas de iteración ocultando la complejidad.
En este artículo se muestra cómo la empresa ficticia Contoso valora una aplicación local para la migración a
Azure. En el escenario de ejemplo, la aplicación SmartHotel360 local de Contoso se ejecuta actualmente en
VMware. Contoso evalúa las máquinas virtuales de la aplicación mediante el servicio Azure Migrate, y la base de
datos de aplicación de SQL Server con Data Migration Assistant.
Información general
Al plantearse la migración a Azure, la empresa Contoso necesita realizar una valoración técnica y financiera para
determinar si sus cargas de trabajo locales son buenas candidatas para la migración a la nube. En concreto, el
equipo de Contoso quiere valorar la compatibilidad de las máquinas y bases de datos para la migración. Desea
calcular la capacidad y los costos de ejecutar los recursos de Contoso en Azure.
Para empezar y comprender mejor las tecnologías implicadas, Contoso valorará dos de sus aplicaciones locales,
que se resumen en la tabla siguiente. La compañía valora los escenarios de migración de rehospedaje y
refactorización de las aplicaciones para la migración. Obtenga más información sobre el rehospedaje y la
refactorización en la información general sobre los ejemplos de migración.
N O M B RE DE L A
A P L IC A C IÓ N P L ATA F O RM A C A PA S DE A P L IC A C IÓ N DETA L L ES
Smar tHotel360 Se ejecuta en Windows con Aplicación de dos niveles. El Las máquinas virtuales se
una base de datos de SQL sitio web ASP.NET de front- ejecutan en un host de
(administra los requisitos de Server end se ejecuta en una VMware ESXi administrado
viajes de Contoso) máquina virtual ( WEBVM ) y por vCenter Server.
el servidor SQL Server se
ejecuta en otra máquina Puede descargar la
virtual ( SQLVM ). aplicación de ejemplo de
GitHub.
osTicket Se ejecuta en una pila Aplicación de dos niveles. El La aplicación la usan las
LAMP. sitio web PHP front-end se aplicaciones de servicio de
(Aplicación del servicio de ejecuta en una máquina atención al cliente con el fin
atención al cliente de virtual ( OSTICKETWEB ) y la de hacer un seguimiento de
Contoso) base de datos MySQL se problemas para los
ejecuta en otra máquina empleados internos y
virtual ( OSTICKETMYSQL ). clientes externos.
Arquitectura actual
En este diagrama se muestra la infraestructura local actual de Contoso:
Contoso tiene un centro de datos principal. El centro de datos está situado en la ciudad de Nueva York, al este
de los Estados Unidos.
Contoso tiene tres sucursales locales más en los Estados Unidos.
El centro de datos principal está conectado a Internet con una conexión Metro Ethernet de fibra óptica
(500 Mbps).
Cada una de las sucursales está conectada localmente a Internet mediante conexiones de categoría
empresarial, y con túneles VPN con IPSec hacia el centro de datos principal. Esta configuración permite que
la red entera de Contoso esté conectada de forma permanente, y además optimiza la conectividad a Internet.
El centro de datos principal está completamente virtualizado con VMware. Contoso tiene dos hosts de
virtualización ESXi 6.5 que están administrados por vCenter Server 6.5.
Contoso usa Active Directory para la administración de identidades. Contoso usa servidores DNS en la red
interna.
Los controladores de dominio del centro de datos se ejecutan en VM de VMware. Los controladores de
dominio de las sucursales locales se ejecutan en servidores físicos.
Objetivos de la valoración
El equipo de la nube de Contoso ha establecido los objetivos de estas valoraciones de la migración:
Tras la migración, la aplicación de Azure debe tener las mismas funcionalidades de rendimiento que las que
tiene actualmente en el entorno de VMware local de Contoso. Pasar a la nube no significa que el rendimiento
de la aplicación sea menos crítico.
Contoso debe comprender la compatibilidad de sus aplicaciones y bases de datos con los requisitos de
Azure. Contoso debe comprender también las opciones de hospedaje en Azure.
La administración de las bases de datos de Contoso debe minimizarse después de trasladar las aplicaciones a
la nube.
Contoso quiere comprender no solo las opciones de migración, sino también los costos asociados con la
infraestructura una vez trasladada a la nube.
Herramientas de valoración
Contoso usa las herramientas de Microsoft para su valoración de la migración. Estas herramientas se alinean
con los objetivos de la compañía y ofrecen a Contoso toda la información que necesita.
T EC H N O LO GY DESC RIP C IÓ N C O ST E
Data Migration Assistant Contoso usa Data Migration Assistant Data Migration Assistant es una
para valorar y detectar problemas de herramienta gratuita y descargable.
compatibilidad que podrían afectar a la
funcionalidad de su base de datos en
Azure. Data Migration Assistant valora
la paridad de características entre los
orígenes y los destinos SQL.
Recomienda mejoras de rendimiento y
confiabilidad.
Azure Migrate Contoso usa el servicio Azure Migrate Azure Migrate está disponible sin
para valorar sus máquinas virtuales de costo adicional. Sin embargo, puede
VMware. Azure Migrate valora la incurrir en cargos según las
idoneidad de las máquinas para la herramientas (propias o de otros ISV)
migración. Proporciona estimaciones que decida usar para la evaluación y
de tamaño y costos para su ejecución migración. Más información sobre los
en Azure. precios de Azure Migrate.
Mapa de servicio Azure Migrate usa Service Map para Service Map forma parte de los
mostrar las dependencias entre las registros de Azure Monitor.
máquinas que la compañía desea Actualmente, Contoso puede usar
migrar. Service Map durante 180 días sin
ningún costo.
En este escenario, Contoso descarga y ejecuta Data Migration Assistant para valorar la base de datos de SQL
Server local de su aplicación de viajes. Contoso usa Azure Migrate con asignación de dependencias para valorar
las máquinas virtuales de la aplicación antes de migrarlas a Azure.
Arquitectura de valoración
Contoso es un nombre ficticio que representa una organización empresarial típica.
Contoso tiene un centro de datos local ( contoso-datacenter ) y controladores de dominio locales (
CONTOSODC1 y CONTOSODC2 ).
Las máquinas virtuales de VMware se encuentran en hosts VMware ESXi que ejecutan la versión 6.5 (
contosohost1 y contosohost2 ).
El entorno de VMware lo administra vCenter Server 6.5 ( vcenter.contoso.com , que se ejecuta en una
máquina virtual).
La aplicación de viajes SmartHotel360 tiene estas características:
La aplicación se divide en niveles entre dos máquinas virtuales de VMware ( WEBVM y SQLVM ).
Las máquinas virtuales se encuentran en el host de VMware ESXi contosohost1.contoso.com .
Las máquinas virtuales ejecutan Windows Server 2008 R2 Datacenter con SP1.
El entorno de VMware lo administra vCenter Server ( vcenter.contoso.com ) que se ejecuta en una máquina
virtual.
Aplicación del departamento de atención al cliente oSTicket:
La aplicación se divide en niveles entre dos máquinas virtuales ( OSTICKETWEB y OSTICKETMYSQL ).
Las máquinas virtuales se ejecutan en Ubuntu Linux Server 16.04-LTS.
OSTICKETWEB ejecuta Apache 2 y PHP 7.0.
OSTICKETMYSQL ejecuta MySQL 5.7.22.
Requisitos previos
Contoso y otros usuarios deben cumplir los siguientes requisitos previos para la valoración:
Permisos de propietario o colaborador para la suscripción de Azure, o para un grupo de recursos en la
suscripción de Azure.
Una instancia local de vCenter Server que ejecute las versiones 6.5, 6.0 o 5.5.
Una cuenta de solo lectura de vCenter Server, o permisos para crearla.
Permisos para crear una máquina virtual en la instancia de vCenter Server mediante una plantilla .ova.
Al menos un host ESXi en el que se ejecute la versión 5.5 o versiones posteriores.
Al menos dos máquinas virtuales VMware locales, y en una de ellas debe ejecutarse una base de datos de
SQL Server.
Permisos para instalar agentes de Azure Migrate en todas las máquinas virtuales.
Las máquinas virtuales deben tener conectividad directa a Internet.
Puede restringir el acceso a Internet a las direcciones URL necesarias.
Si las máquinas virtuales no tienen conexión a Internet, la puerta de enlace de Azure Log Analytics
debe estar instalada en ellas y se debe dirigir el tráfico a través de esta.
El nombre de dominio completo de la máquina virtual que ejecuta la instancia de SQL Server, para la
evaluación de la base de datos.
La instancia de Firewall de Windows que se ejecuta en la máquina virtual de SQL Server debe permitir
conexiones externas en el puerto TCP 1433 (valor predeterminado). Esta configuración permite que Data
Migration Assistant se conecte.
Introducción a la valoración
Le mostramos cómo realiza Contoso la valoración:
Paso 1: Descarga e instalación de Data Migration Assistant. Contoso prepara Data Migration
Assistant para la valoración de la base de datos de SQL Server local.
Paso 2: Valoración de la base de datos mediante Data Migration Assistant. Contoso ejecuta y
analiza la valoración de la base de datos.
Paso 3: Preparación de la valoración de las máquinas vir tuales con Azure Migrate. Contoso
configura las cuentas locales y ajusta la configuración de VMware.
Paso 4: Detección de máquinas vir tuales locales con Azure Migrate. Contoso crea una máquina
virtual de Azure Migrate Collector. Después, ejecuta el recopilador para detectar las máquinas virtuales que
se valorarán.
Paso 5: Preparación del análisis de dependencias con Azure Migrate. Contoso instala los agentes de
Azure Migrate en las máquinas virtuales para que la compañía pueda ver la asignación de dependencias
entre las máquinas virtuales.
Paso 6: Valoración de las máquinas vir tuales con Azure Migrate. Contoso comprueba las
dependencias, agrupa las máquinas virtuales y ejecuta la valoración. Una vez lista la valoración, Contoso la
analiza para preparar la migración.
NOTE
Las valoraciones no deben limitarse a usar herramientas para descubrir información sobre su entorno. También debe
programar el tiempo necesario para hablar con los propietarios de la empresa, los usuarios finales y otros miembros del
departamento de TI para comprender completamente lo que ocurre en el entorno y entender los factores que las
herramientas no pueden indicar.
NOTE
Actualmente, Data Migration Assistant no permite realizar valoraciones para migrar a Azure SQL Managed
Instance. Como alternativa, Contoso usa SQL Server en una máquina virtual de Azure como supuesto objetivo de
la valoración.
3. En Seleccionar versión de destino , Contoso selecciona SQL Server 2017 como versión de destino.
Contoso debe seleccionar esta versión, porque es la versión que usa SQL Managed Instance.
4. Contoso selecciona los informes para detectar información sobre la compatibilidad y nuevas
características:
Los problemas de compatibilidad indican los cambios que pueden interrumpir la migración o que
requieren un ajuste menor antes de la migración. Este informe mantiene informado a Contoso sobre
las características actualmente en uso que han quedado en desuso. Los problemas se organizan por
nivel de compatibilidad.
Las nuevas recomendaciones de características indican las nuevas características de la
plataforma de SQL Server de destino que se pueden usar para la base de datos después de la
migración. Las recomendaciones de características nuevas se organiza en los encabezados
Rendimiento , Seguridad y Almacenamiento .
5. En Conectar a un ser vidor , Contoso escribe el nombre de la máquina virtual que ejecuta la base de
datos y las credenciales para acceder a ella. Contoso selecciona Confiar en el cer tificado del ser vidor
para asegurarse de que la máquina virtual puede acceder a SQL Server. A continuación, Contoso
selecciona Conectar .
6. En Agregar origen , Contoso agrega la base de datos que quiere valorar y, después, selecciona
Siguiente para iniciar la valoración.
7. Se crea la valoración.
8. En Revisar los resultados , Contoso puede ver los resultados de la valoración.
Análisis de la evaluación de la base de datos
Los resultados se muestran en cuanto están disponibles. Si Contoso corrige los problemas, debe seleccionar
Reiniciar valoración para volver a ejecutar la valoración.
1. En el informe Problemas de compatibilidad , Contoso comprueba si existen problemas en cada nivel
de compatibilidad. Los niveles de compatibilidad se asignan a las versiones de SQL Server como sigue:
100: SQL Server 2008/Azure SQL Database
110: SQL Server 2012/Azure SQL Database
120: SQL Server 2014/Azure SQL Database
130: SQL Server 2016/Azure SQL Database
140: SQL Server 2017/Azure SQL Database
NOTE
Para valoraciones a gran escala:
Ejecute varias valoraciones de manera simultánea y vea su estado en la página Todas las valoraciones .
Consolide las valoraciones en una base de datos de SQL Server.
Consolide las valoraciones en un informe de Power BI.
Ejemplo :
C:\> CertUtil -HashFile C:\AzureMigrate\AzureMigrate.ova SHA256
3. El hash generado debe coincidir con los valores hash que se enumeran en la sección Comprobación de la
seguridad del tutorial Evaluación de las máquinas virtuales de VMware para la migración.
Creación del dispositivo de recopilador
Ahora, Contoso puede importar el archivo descargado en la instancia de vCenter Server y aprovisionar la
máquina virtual del dispositivo recopilador:
1. En la consola de vSphere Client, Contoso selecciona File (Archivo) > Deploy OVF Template
(Implementar plantilla de OVF).
2. En Deploy OVF Template Wizard (Asistente para implementar la plantilla de OVF), Contoso selecciona
Source (Origen) y especifica la ubicación del archivo OVA.
3. En Name and Location (Nombre y ubicación), Contoso especifica un nombre para mostrar para la
máquina virtual del recopilador. A continuación, selecciona la ubicación del inventario en el que se va a
hospedar la máquina virtual. Contoso también especifica el host o clúster donde se ejecutará el
dispositivo recopilador.
4. En Storage (Almacenamiento), Contoso especifica la ubicación de almacenamiento. En Disk Format
(Formato de disco), Contoso selecciona cómo quiere aprovisionar el almacenamiento.
5. En Network Mapping (Asignación de red), Contoso especifica la red a la que se va a conectar la
máquina virtual del recopilador. La red necesita conectividad a Internet, para enviar metadatos a Azure.
6. Contoso revisa la configuración y selecciona Power on after deployment > Finish (Encender después
de la implementación > Finalizar). Una vez creado el dispositivo, aparece un mensaje que confirma la
finalización correcta.
Ejecución del recopilador para detectar VM
Ahora, Contoso ejecuta el recopilador para detectar las máquinas virtuales. Tenga en cuenta que, actualmente, el
recopilador solo admite Inglés (Estados Unidos) como idioma del sistema operativo e idioma de la interfaz
del recopilador.
1. En la consola de vSphere Client, Contoso selecciona Open Console (Abrir consola). Contoso especifica
las preferencias aceptación de los términos de licencia y de contraseña para la máquina virtual del
recopilador.
2. En el escritorio, Contoso selecciona el acceso directo Microsoft Azure Appliance Configuration
Manager .
3. En Azure Migrate Collector, Contoso selecciona Set Up Prerequisites (Configurar los requisitos
previos). Contoso acepta los términos de licencia y lee la información de terceros.
4. El recopilador comprueba que la máquina virtual tiene acceso a Internet, que la hora está sincronizada y
que el servicio de recopilador se está ejecuando. (El recopilador se instala de forma predeterminada en la
máquina virtual). Contoso también instala el kit de desarrollo VMware vSphere Virtual Disk.
NOTE
Se da por hecho que la máquina virtual tiene acceso directo a Internet, sin un proxy.
5. Inicie sesión en su cuenta de Azure, seleccione la suscripción y migre el proyecto que creó anteriormente.
Escriba un nombre para el dispositivo para poder identificarlo en Azure Portal.
6. En Especificar los detalles de vCenter Ser ver , Contoso especifica el nombre completo (FQDN) o la
dirección IP de la instancia de vCenter Server y las credenciales de solo lectura que se usan para la
detección.
7. Contoso selecciona un ámbito para la detección de máquinas virtuales. El recopilador solo puede detectar
máquinas virtuales dentro del ámbito especificado. El ámbito se puede establecer en una carpeta, un
centro de datos o un clúster específicos.
2. Las máquinas actualmente no tienen instalados los agentes de Azure Migrate. Contoso debe instalar los
agentes para ver las dependencias.
4. En Azure Log Analytics , Contoso pega la clave y el identificador del área de trabajo que copió del
portal.
2. Contoso debe ejecutar el comando para instalar al agente MMA como usuario raíz. Para ser usuario raíz,
se debe ejecutar el siguiente comando y escribir la contraseña raíz:
sudo -i
NOTE
Para ver dependencias más pormenorizadas, puede expandir el intervalo de tiempo. Puede seleccionar una
duración concreta o las fechas de inicio y finalización.
La valoración obtiene una clasificación de confianza de 1 a 5 estrellas (siendo 1 estrella la menor confianza y 5,
la mayor).
La clasificación de la confianza se asigna a una valoración en función de la disponibilidad de los puntos
de datos necesarios para calcular dicha valoración.
Esta clasificación le ayuda a calcular la confiabilidad de las recomendaciones de tamaño que proporciona
Azure Migrate.
La clasificación de confianza es útil cuando se realiza un ajuste de tamaño basado en el rendimiento.
Azure Migrate podría no tener suficientes puntos de datos para ajustar el tamaño en función del uso. Para
el ajuste de tamaño como local, la clasificación de confianza siempre es de 5 estrellas, puesto que Azure
Migrate tiene todos los datos que necesita para ajustar el tamaño de la máquina virtual.
Según el porcentaje de puntos de datos disponibles, se proporciona la clasificación de confianza para la
valoración:
0 % - 20 % 1 estrella
DISP O N IB IL IDA D DE P UN TO S DE DATO S C L A SIF IC A C IÓ N DE C O N F IA N Z A
21 % - 40 % 2 estrellas
41 % - 60 % 3 estrellas
61 % - 80 % 4 estrellas
81 % - 100 % 5 estrellas
El informe de la valoración muestra la información que se resume en la tabla. Para mostrar el ajuste de tamaño
basado en el rendimiento, Azure Migrate necesita la siguiente información. Si dicha información no se pueden
recopilar, es posible que la valoración del tamaño no sea precisa.
Datos de uso de la CPU y la memoria.
IOPS de lectura o escritura, y capacidad de proceso de cada disco conectado a la máquina virtual.
Información de entrada y salida de la red de todos y cada uno de los adaptadores de red conectados a la
máquina virtual.
Preparación para VM de Azure Indica si la máquina virtual está Los posibles estados son:
preparada para la migración. Preparada para Azure
Preparada con condiciones
No está preparada para Azure
Preparación desconocida
Tamaño de la máquina vir tual de Para las máquinas virtuales que están El tamaño recomendado depende de
Azure listas, Azure Migrate ofrece una las propiedades de la evaluación:
recomendación de tamaño de máquina Si usó un tamaño basado en el
virtual de Azure. rendimiento, entonces dicho tamaño
tiene en cuenta el historial de
rendimiento de las máquinas virtuales.
Si usó el tamaño como entorno
local, este se basará en el tamaño de la
máquina virtual local y su uso.
No se utilizan datos.
C O N F IGURA C IÓ N IN DIC A C IÓ N DETA L L ES
Las estimaciones de los costos se calculan con las recomendaciones de tamaño de una máquina.
Los costos mensuales estimados para el proceso y almacenamiento se agregan para todas las VM del grupo.
Conclusión
En este escenario, Contoso valora la base de datos de la aplicación SmartHotel360 con la herramienta Data
Migration Assistant. Valora las máquinas virtuales locales con el servicio Azure Migrate. Contoso revisa las
valoraciones para asegurarse de que los recursos locales están listos para la migración a Azure.
Pasos siguientes
Una vez que Contoso valore esta carga de trabajo como posible candidata para la migración, puede empezar a
preparar su infraestructura local y su infraestructura de Azure para la migración. Consulte el artículo sobre la
implementación de la infraestructura de Azure en la sección de procedimientos recomendados para la
migración de la Plataforma de adopción de la nube para ver un ejemplo de cómo Contoso realiza estos
procesos.
Planeamiento de una migración de almacén de
datos
06/03/2021 • 33 minutes to read • Edit Online
La migración del almacenamiento de datos es un desafío para cualquier empresa. Para llevarla a cabo
correctamente y evitar sorpresas imprevistas y costos no planeados, debe investigar minuciosamente las
dificultades, mitigar los riesgos y planear la migración para asegurarse de que está lo más preparado posible. A
nivel general, el plan debe cubrir los pasos principales del proceso de migración del almacenamiento de datos y
las tareas incluidas en ellos. Los pasos principales del proceso son:
Preparación antes de la migración
Estrategia de migración y ejecución
Después de la migración
La preparación incluye, por ejemplo, aspectos como la puesta a punto del equipo de migración del
almacenamiento de datos en términos de las habilidades necesarias y la familiarización con la tecnología.
También conlleva configurar un laboratorio de prueba de concepto, saber cómo se administrarán los entornos
de prueba y producción, conseguir la autorización adecuada para migrar los datos y un sistema de producción
fuera del firewall corporativo y configurar el software de migración en el centro de datos para que la migración
pueda continuar.
Para que la migración de un almacenamiento de datos se lleve a cabo sin problemas, el plan debe incluir una
comprensión clara de los siguientes aspectos:
El caso empresarial: los factores determinantes, las ventajas para el negocio y los riesgos.
Los roles y las responsabilidades del equipo de migración.
El conjunto de aptitudes y el entrenamiento necesarios para permitir una migración correcta.
El presupuesto asignado para finalizar la migración.
La estrategia de migración.
El modo de combatir los riesgos del proyecto de migración con el fin de evitar retrasos o reprocesamientos.
El sistema de almacenamiento de datos existente, su arquitectura, esquema, volúmenes de datos, flujos de
datos, seguridad y dependencias operativas.
Las diferencias entre el DBMS de almacenamiento de datos local existente y Azure Synapse, como los tipos
de datos, las funciones SQL, la lógica y otras consideraciones.
Qué se debe migrar y las prioridades.
Las tareas, los enfoques, el orden y las fechas límite de la migración.
Cómo controlar la migración.
Cómo evitar la interrupción del usuario mientras se lleva a cabo la migración.
Lo que necesita hacer de forma local para evitar retrasos y que se lleve a cabo la migración.
Las herramientas para permitir la migración segura de esquemas, datos y procesamiento ETL a Azure.
Los cambios en el diseño del modelo de datos que son necesarios durante y después de la migración.
Los cambios de tecnología antes o después de la migración y cómo reducir el reprocesamiento.
La degradación de la tecnología después de la migración.
Cómo implementar las pruebas y el control de calidad para demostrar el éxito.
Los puntos de control para evaluar el progreso y permitir la toma de decisiones.
El plan de contingencia y los puntos de reversión en caso de que se produzcan errores.
Para comprender todo esto, es necesario preparar y comenzar actividades específicas antes de que se inicie la
migración. Echemos un vistazo a lo que eso conlleva con más detalle.
Pasos siguientes
Para más información sobre las migraciones del almacenamiento de datos, asista a un taller de modernización
del almacenamiento de datos en la nube virtual en Azure que ofrece Informatica.
Antipatrones del plan de adopción de la nube
06/04/2021 • 9 minutes to read • Edit Online
A menudo, los clientes experimentan antipatrones mientras planean una adopción de la nube por muchos
motivos:
Los modelos operativos mal alineados pueden dar lugar a un mayor tiempo de comercialización, a
malentendidos y a mayor presión sobre los departamentos de TI.
A veces, las empresas eligen el modelo de servicio equivocado cuando suponen que el enfoque de
plataforma como servicio (PaaS) reduce los costos.
El cambio de la arquitectura de una organización puede dar lugar a proyectos de reemplazo importantes. La
administración de estos proyectos suele ser compleja e implicar unos altos costos.
Pasos siguientes
Comparación de los modelos operativos en la nube más habituales
Creación de un plan de preparación de aptitudes
Racionalización de la nube
¿Qué es un patrimonio digital?
Asegúrese de que el entorno está preparado para el
plan de adopción de la nube.
06/03/2021 • 2 minutes to read • Edit Online
Antes de empezar la adopción, debe crear una zona de aterrizaje para hospedar las cargas de trabajo que planea
integrar o migrar a la nube. Esta sección del marco le guía por el proceso de creación de una zona de aterrizaje.
Los ejercicios siguientes le ayudarán a guiar el proceso de creación de una zona de aterrizaje que admita la
adopción de la nube.
Como mínimo, para prepararse para la adopción de la nube, consulte la guía de instalación de Azure.
Introducción a la guía de configuración de Azure
06/03/2021 • 3 minutes to read • Edit Online
NOTE
Esta guía ofrece un punto de partida inicial para obtener instrucciones de preparación de Cloud Adoption Framework y
también está disponible en Azure Quickstart Center. En la sugerencia del artículo encontrará un vínculo.
Antes de empezar a compilar e implementar soluciones mediante servicios de Azure es preciso preparar el
entorno. En esta guía, se presentan varias características que le ayudarán a organizar los recursos, a controlar
los costos y a proteger y administrar su organización. Para más información, procedimientos recomendados y
consideraciones relacionadas con la preparación del entorno en la nube, consulte la sección de preparación de
Cloud Adoption Framework.
Aprenderá a:
Organizar recursos : configure una jerarquía de administración para aplicar de forma coherente el control
de acceso, las directivas y el cumplimiento a grupos de recursos y utilice el etiquetado para realizar el
seguimiento de los recursos relacionados.
Administrar el acceso : utilice el control de acceso basado en rol de Azure para asegurarse de que los
usuarios solo tienen los permisos que realmente necesitan.
Administrar costos y facturación : identifique el tipo de suscripción, comprenda cómo funciona la
facturación y aprenda a controlar los costos.
Planear la gobernanza, seguridad y cumplimiento : aplique y automatice las directivas y la
configuración de seguridad que le ayudarán a seguir los requisitos legales aplicables.
Usar la super visión y los informes : obtenga visibilidad a través de los recursos para buscar y solucionar
problemas, optimizar el rendimiento y obtener información sobre el comportamiento de los clientes.
Mantenerse al día con Azure : realice un seguimiento de las actualizaciones de productos para permitir un
enfoque proactivo de la administración de cambios.
TIP
Para disfrutar de una experiencia interactiva, consulte esta guía en Azure Portal. Vaya al Centro de inicio rápido de Azure
en Azure Portal, seleccione Guía de configuración de Azure y siga las instrucciones paso a paso.
Pasos siguientes:
Organización de los recursos para simplificar cómo se aplica la configuración
Esta guía incluye pasos interactivos que permiten probar las características a medida que se introducen. Para
volver a donde lo dejó, utilice la ruta de navegación para la navegación.
Organización de los recursos de Azure de forma
eficaz
06/03/2021 • 14 minutes to read • Edit Online
La organización de los recursos basados en la nube es fundamental para proteger, administrar y realizar un
seguimiento de los costos relacionados con las cargas de trabajo. Para organizar los recursos, defina una
jerarquía de grupos de administración, siga una convención de nomenclatura bien considerada y aplique el
etiquetado de recursos.
Jerarquía y grupos de administración de Azure
Estándares de nomenclatura
Etiquetas del recurso
Azure proporciona cuatro niveles de ámbito administración: grupo de administración, suscripciones, grupos de
recursos y recursos. La imagen siguiente muestra la relación de estos niveles.
NOTE
Las suscripciones también se pueden crear mediante programación. Para más información, consulte Creación de
suscripciones a Azure Enterprise mediante programación.
Administrar quién puede acceder a los recursos y suscripciones de Azure constituye una parte importante de la
estrategia de gobernanza de Azure, y asignar privilegios y derechos de acceso basados en grupos es una buena
práctica. Lidiar con grupos en lugar de con usuarios individuales simplifica el mantenimiento de las directivas de
acceso, proporciona la administración de acceso coherente entre equipos y reduce los errores de configuración.
El control de acceso basado en rol de Azure (RBAC de Azure) es el principal método para administrar el acceso
en Azure.
RBAC de Azure ofrece una administración de acceso detallada para los recursos de Azure. Ayuda a administrar
quién tiene acceso a los recursos de Azure, qué pueden hacer con esos recursos y a qué ámbitos pueden
acceder.
Al planear su estrategia de control de acceso, conceda a los usuarios los privilegios mínimos necesarios para
que realicen su trabajo. La siguiente imagen muestra un patrón sugerido para la asignación de RBAC de Azure.
Figura 1: roles de
Azure.
Al planear la metodología de control de acceso, le recomendamos que trabaje con personas de las
organizaciones que desempeñen los roles siguientes: seguridad y cumplimiento, administración de TI y
arquitecto empresarial.
Cloud Adoption Framework ofrece instrucciones adicionales sobre cómo usar el control de acceso basado en rol
de Azure como parte de sus trabajos de adopción de la nube.
Acciones
Concesión de acceso al grupo de recursos:
Para otorgar a un usuario acceso a un grupo de recursos:
1. Vaya a Grupos de recursos .
2. Seleccione un grupo de recursos.
3. Seleccione Access Control (IAM) .
4. Seleccione Agregar > Agregar asignación de roles .
5. Seleccione un rol y, después, asigne acceso a un usuario, grupo o entidad de servicio.
G O TO R E S O U R C E
G R O U PS
Más información
Para obtener más información, consulte:
¿Qué es el control de acceso basado en rol de Azure (RBAC)?
Plataforma de adopción de la nube: uso del control de acceso basado en rol de Azure
Administración de costos y facturación de los
recursos de Azure
06/03/2021 • 5 minutes to read • Edit Online
La administración de costos es el proceso en el que se planifican y controlan eficazmente los costos implicados
en su negocio. Normalmente, los equipos de finanzas, administración y aplicación realizan las tareas de
administración de costos. Azure Cost Management + Billing puede ayudarle con el planeamiento sin perder de
vista los costos. También le ayuda a analizar eficazmente los costos y a tomar medidas para optimizar el gasto
en la nube.
Para más información sobre cómo integrar los procesos de administración de costos en la nube en toda la
organización, consulte el artículo de Cloud Adoption Framework sobre cómo realizar un seguimiento de los
costos entre unidades de negocio, entornos o proyectos.
Más información
Para obtener más información, consulte:
Documentación sobre Administración de costos + facturación
Plataforma de adopción de la nube: Seguimiento de los costos en unidades de negocio, entornos o proyectos
Plataforma de adopción de la nube: Materia de administración de costos
Acciones
Predicción y administración de costos:
1. Vaya a Administración de costos + facturación .
2. Seleccione Cost Management .
Administración de facturas y métodos de pago:
1. Vaya a Administración de costos + facturación .
2. Seleccione Facturas o Métodos de pago en la sección Facturación en el panel izquierdo.
G O TO C O S T M A N A G E M E N T +
B ILLING
A medida que se establece la directiva corporativa y se planean las estrategias de gobierno, se pueden usar
herramientas y servicios como Azure Policy, Azure Blueprints y Azure Security Center para aplicar y automatizar
las decisiones de gobierno de su organización. Antes de empezar a planear la gobernanza, use la herramienta de
banco de pruebas comparativas de gobernanza para identificar posibles brechas en el enfoque de gobernanza
de la nube de su organización. Para más información sobre el desarrollo de procesos de gobernanza, consulte la
metodología de gobernanza.
Azure Blueprints
Azure Policy
Azure Security Center
Azure Blueprints permite a los arquitectos de nube y grupos de TI central definir un conjunto repetible de
recursos de Azure que implementa y cumple los estándares, patrones y requisitos de la organización. Azure
Blueprints permite a los equipos de desarrollo aprovisionar y crear rápidamente nuevos entornos sabiendo que
se crean cumpliendo los estándares organizativos y que contienen un conjunto de componentes integrados,
como las redes, para acelerar el desarrollo y la entrega.
Los planos técnicos son una manera declarativa de organizar la implementación de varias plantillas de recursos
y de otros artefactos, como son:
Asignaciones de roles.
Asignaciones de directivas.
Plantillas de Azure Resource Manager.
Grupos de recursos.
Creación de un plano técnico
Para crear un plano técnico, realice el siguiente procedimiento:
1. Vaya a Planos técnicos: Introducción .
2. En la sección Crear un plano técnico , seleccione Crear .
3. Filtre la lista Planos técnicos para seleccionar el plano técnico adecuado.
4. Escriba el Nombre del plano técnico y, a continuación, seleccione la Ubicación de definición adecuada.
5. Seleccione Siguiente: Ar tefactos , después revise los artefactos incluidos en el plano técnico.
6. Seleccione Guardar borrador .
C R E ATE A
B LU E PR INT
Azure proporciona muchos servicios que ofrecen una solución completa para recopilar, analizar y actuar en la
telemetría de la aplicación y los recursos de Azure que las admiten. Además, estos recursos se pueden ampliar
para que incluyan la supervisión de recursos locales críticos para proporcionar un entorno de supervisión
híbrido.
Azure Monitor
Azure Service Health
Azure Advisor
Azure Security Center
Azure Monitor proporciona un único centro unificado para todos los datos de supervisión y diagnóstico en
Azure. Puede usarlo para obtener visibilidad sobre los recursos. Con Azure Monitor, puede buscar y corregir
problemas y optimizar el rendimiento. También puede comprender el comportamiento de los clientes.
Super vise y visualice las métricas: las métricas son valores numéricos que están disponibles en los
recursos de Azure que le ayudan a comprender el estado de los sistemas. Personalice los gráficos de los
paneles y use los libros para los informes.
Consulte y analice los registros: los registros incluyen los registros de actividad y los registros de
diagnóstico de Azure. Recopile registros adicionales de otras soluciones de supervisión y administración
para los recursos de nube o locales. Log Analytics proporciona un repositorio central para agregar todos
estos datos. Desde allí, puede ejecutar consultas para ayudar a solucionar problemas o para visualizar los
datos.
Configure aler tas y acciones: las alertas le notifican proactivamente de las condiciones críticas. Las
acciones correctivas se pueden tomar basándose en los desencadenadores de las métricas, los registros o
los problemas de estado del servicio. Puede configurar diferentes notificaciones y acciones, y enviar
datos a las herramientas de administración de servicios de TI.
Comience a supervisar lo siguiente:
Aplicaciones
Contenedores
Máquinas virtuales
Redes
Para supervisar otros recursos, busque soluciones adicionales en Azure Marketplace.
Para explorar Azure Monitor, vaya a Azure Portal.
Más información
Para más información, consulte Documentación sobre Azure Monitor.
Acción
E XP L O R E A Z U R E
M O N I TO R
Mantenerse al día con Azure
06/03/2021 • 4 minutes to read • Edit Online
Las plataformas en la nube como Azure cambian a más velocidad de lo que muchas organizaciones están
acostumbradas. Esto significa que las organizaciones tienen que adaptar las personas y los procesos a una
nueva cadencia. Si es responsable de ayudar a su organización a mantenerse al día con el cambio, puede que, en
ocasiones, se sienta abrumado. Los recursos enumerados en esta sección pueden ayudarle a mantenerse al día.
Principales recursos
Recursos adicionales
La adopción de la nube permite revisar cómo se utilizan los sistemas tecnológicos. En esta serie de artículos se
clarificarán los modelos operativos en la nube y las consideraciones que afectan a la estrategia de adopción de
la nube. Pero en primer lugar, vamos a aclarar el término modelo operativo en la nube.
Pasos siguientes
Obtenga información sobre cómo la forma en que Cloud Adoption Framework ayuda a definir un modelo
operativo.
Comparación de los modelos operativos en la nube más habituales
Definición del modelo operativo de la nube
06/03/2021 • 4 minutes to read • Edit Online
Los modelos operativos de la nube son complejos. Hay pequeños detalles que pueden bloquear a numerosos
clientes durante la definición del modelo operativo de la nube. Es fácil entrar en una serie de referencias
circulares. Para evitar esto, Cloud Adoption Framework proporciona una serie de metodologías
complementarias e incrementales que descomponen el conjunto de decisiones en ejercicios más pequeños.
Pasos siguientes
Antes de emplear cualquiera de las metodologías anteriores, use el siguiente artículo para comparar los
modelos operativos de nube comunes y encontrar un modelo que se ajuste a sus requisitos. Este artículo le
ayudará a establecer el punto de partida y el conjunto de ejercicios más práctico que le lleve al modelo
operativo deseado en su plataforma en la nube.
Comparación de los modelos operativos en la nube más habituales
Comparación de los modelos operativos en la nube
más habituales
07/04/2021 • 49 minutes to read • Edit Online
Los modelos operativos son exclusivos y específicos de la empresa para la que se crean, y se basan en los
requisitos y las restricciones actuales. Sin embargo, esta exclusividad no debe sugerir que los modelos
operativos son como copos de nieve. Existen algunos patrones comunes en los modelos operativos de los
clientes. En este artículo se describen los cuatro patrones más habituales.
Prioridades o ámbito
Un modelo operativo en la nube se rige principalmente por dos factores:
Prioridades y motivaciones estratégicas.
El ámbito de la cartera que se va a administrar.
Prioridades o motivaciones estratégicas: Cada uno de los modelos operativos puede ofrecer las
motivaciones estratégicas típicas para la adopción de la nube. Sin embargo, algunos modelos operativos
simplifican la comprensión de motivaciones más específicas.
Ámbito de la car tera : La fila del ámbito de la cartera siguiente identifica el ámbito más grande para el
que se ha diseñado un modelo operativo específico. Por ejemplo, las operaciones centralizadas están
diseñadas para un número reducido de zonas de aterrizaje. Pero esa decisión sobre el modelo operativo
podría suponer riesgos operativos para una organización que intenta administrar una cartera grande y
compleja que podría requerir muchas zonas de aterrizaje, o de una complejidad variable en el diseño de
zonas de aterrizaje.
IMPORTANT
La adopción de la nube a menudo desencadena una reflexión sobre el modelo operativo actual y puede dar lugar a un
cambio de uno de los modelos operativos habituales a otro. Pero la adopción de la nube no es el único factor
desencadenante. A medida que las prioridades empresariales y el ámbito de la adopción de la nube cambian la manera en
que es necesario dar soporte técnico a la cartera, puede que se necesiten otros cambios en el modelo operativo que
mejor se adapta. Cuando la junta directiva u otros equipos directivos desarrollan planes empresariales a 5 o 10 años, esos
planes a menudo incluyen un requisito (explícito o implícito) para ajustar el modelo operativo. Aunque estos modelos
comunes son una buena referencia para ayudarle a tomar decisiones, tenga en cuenta que el modelo operativo podría
cambiar, o puede que tenga que personalizar uno de estos modelos para que cumpla con sus requisitos y restricciones.
Asignación de responsabilidades
Aunque muchos equipos y personas son responsables de colaborar en funciones diferentes, cada uno de los
modelos operativos comunes asigna la responsabilidad final de las decisiones y sus resultados a un equipo o a
una persona. Este enfoque afecta al modo en que se financia el modelo operativo y al nivel de colaboración que
se proporciona para cada función.
Punto de par tida Marco de buena Zonas de aterrizaje Zonas de aterrizaje Alineación
arquitectura de Azure de Azure: opciones de Azure: CAF a empresarial
(WAF) de inicio a pequeña escala empresarial
escala o de inicio
empresarial
Iteraciones Poner el foco en las La opción de inicio a Como se muestra en Revise las opciones
cargas de trabajo pequeña escala o de las implementaciones de implementación
permite que el inicio empresarial de referencia, las de zonas de aterrizaje
equipo itere dentro requiere una futuras iteraciones se de Azure para
del WAF. iteración adicional en centran normalmente empezar con la
cada metodología, en adiciones de opción que mejor se
pero esto se puede configuración adapte a su base de
hacer a medida que secundarias. referencia de
se consolidan los operaciones. Siga la
esfuerzos de ruta de iteración
adopción en la nube. definida en los
principios de diseño
de esa opción.
Operaciones descentralizadas
Las operaciones siempre son complejas. Al limitar el ámbito de las operaciones a una carga de trabajo o a una
pequeña colección de ellas, se puede controlar esa complejidad. Por ello, las operaciones descentralizadas son el
menos complejo de los modelos operativos comunes. En este tipo de operaciones, hay equipos dedicados de
cargas de trabajo que se encargan de operar de manera independiente todas las cargas de trabajo.
Prioridades: la innovación tiene prioridad sobre el control centralizado o la normalización en varias cargas
de trabajo.
Ventaja única: maximiza la velocidad de innovación otorgando a los equipos de cargas de trabajo y de la
empresa un control total del diseño, la compilación y las operaciones.
Inconveniente único: reducción de la normalización entre cargas de trabajo, ahorros de escalado a través
de servicios compartidos y esfuerzos de cumplimiento centralizados de gobernanza coherente.
Riesgo: este enfoque presenta riesgos cuando se administra una cartera de cargas de trabajo. Dado que es
menos probable que el equipo de cargas de trabajo tenga equipos especializados dedicados a funciones de
TI centralizadas, este modelo operativo se ve como una opción de alto riesgo por parte de algunas
organizaciones, especialmente aquellas compañías que deben seguir los requisitos de cumplimiento de
terceros.
Guía: Las operaciones descentralizadas se limitan a decisiones en el nivel de cargas de trabajo. El marco de
buena arquitectura de Microsoft Azure está diseñado para respaldar las decisiones tomadas dentro de ese
ámbito. Es probable que los procesos y las instrucciones de Cloud Adoption Framework agreguen una
sobrecarga que no es necesaria en el caso de las operaciones descentralizadas.
Ventajas de las operaciones descentralizadas
Administración de costos : el costo de las operaciones se puede asignar fácilmente a una sola unidad de
negocio. las operaciones específicas de la carga de trabajo permiten una mayor optimización de esta.
Responsabilidades: normalmente, esta forma de operaciones depende en gran medida de la
automatización para minimizar la sobrecarga. Las responsabilidades tienden a centrarse en los procesos de
DevOps y las canalizaciones en la administración de versiones. Esto permite unas implementaciones más
rápidas y unos ciclos de comentarios más cortos durante el desarrollo.
Normalización: el código fuente y la canalización de implementación deben usarse para normalizar el
entorno en función de las versiones.
Respaldo a las operaciones: las decisiones que afectan a las operaciones solo se ocupan de las
necesidades de esa carga de trabajo, lo que simplifica las decisiones sobre operaciones. Muchos miembros
de la comunidad de DevOps argumentarían que se trata de la forma más pura de operaciones debido al
ámbito operativo más estricto.
Experiencia: los equipos de DevOps y de desarrollo están más capacitados para este enfoque y
experimentan una menor resistencia a realizar cambios en el mercado.
Diseño de la zona de aterrizaje: no hay ninguna ventaja operativa específica.
Utilidades fundamentales: no hay ninguna ventaja operativa específica.
Separación de obligaciones: no hay ninguna ventaja operativa específica.
Inconvenientes de las operaciones descentralizadas
Administración de costos : los costos empresariales son más difíciles de calcular. La falta de equipos de
gobernanza centralizados dificulta la implementación de controles u optimización de costos uniformes. A
escala, este modelo puede ser costoso, ya que es probable que cada carga de trabajo presente duplicaciones
en los recursos implementados y las asignaciones de personal.
Responsabilidades: la falta de equipos de soporte técnico centralizados significa que el equipo de la carga
de trabajo es totalmente responsable de la gobernanza, seguridad, operaciones y administración de cambios.
Esto es un inconveniente cuando esas tareas no se han automatizado en las canalizaciones de versión y
revisión del código.
Normalización: la estandarización en una cartera de cargas de trabajo puede convertirse en variable e
incoherente.
Respaldo a las operaciones: a menudo se pierden las eficiencias del escalado. Como nuestros
procedimientos recomendados uniformes en varias cargas de trabajo.
Experiencia: los miembros del equipo tienen mayor responsabilidad para tomar decisiones acertadas y
éticas con respecto a las decisiones de gobernanza, seguridad, operaciones y administración de cambios en
el diseño y la configuración de la aplicación. La revisión de la buena arquitectura de Microsoft Azure y el
marco de buena arquitectura de Azure se deben consultar con frecuencia para mejorar la experiencia
requerida.
Diseño de la zona de aterrizaje: las zonas de aterrizaje no son específicas de la carga de trabajo y no se
tienen en cuenta en este enfoque.
Utilidades fundamentales: pocos servicios fundamentales (si los hay) se comparten entre cargas de
trabajo, lo que reduce la eficiencia del escalado.
Separación de obligaciones: unos requisitos más altos de los equipos de DevOps y de desarrollo
aumentan el uso de privilegios elevados de esos equipos. Si se requiere la separación de obligaciones, se
necesitará una gran inversión en la consolidación de DevOps para que funcione con este enfoque.
Operaciones centralizadas
Es posible que los entornos de estado estable no requieran tanta concentración en la arquitectura o en los
requisitos operativos únicos de las cargas de trabajo individuales. Las operaciones centralizadas tienden a ser la
norma para entornos de tecnología que se componen principalmente de cargas de trabajo de estado estable.
Entre los ejemplos de un estado estable de las operaciones se incluyen elementos como aplicaciones
comerciales (COTS) o aplicaciones personalizadas bien establecidas que tengan una cadencia de versiones lenta.
Si la tasa de cambio viene determinada por un ritmo regular de actualizaciones y revisiones (por encima de la
elevada tasa de cambio de la innovación), la centralización de las operaciones constituye un medio eficaz para
administrar la cartera.
Prioridades: se prioriza el control central sobre la innovación. También se prioriza la continuación de los
procesos operativos existentes sobre el cambio cultural a opciones más modernas de operaciones en la
nube.
Ventaja única: la centralización presenta ahorros de escalado, los mejores controles y operaciones
normalizadas. Este enfoque funciona mejor con las configuraciones específicas para las necesidades del
entorno en la nube que integran las operaciones en la nube en las operaciones y procesos ya existentes. Este
enfoque es más ventajoso para los equipos centralizados con una cartera de varios cientos de cargas de
trabajo con requisitos de cumplimiento y complejidad arquitectónica modestos.
Inconveniente único: El escalado para satisfacer las demandas de una gran cartera de cargas de trabajo
puede suponer una tensión significativa sobre un equipo centralizado que toma decisiones operativas para
cargas de trabajo de producción. Si se espera que los recursos técnicos se escalen por encima de 1000 o más
máquinas virtuales, aplicaciones u orígenes de datos en la nube en los próximos 18-24 meses, se debería
considerar la posibilidad de utilizar un modelo empresarial.
Riesgo: este enfoque limita la centralización a un número menor de suscripciones (a menudo una
suscripción de producción). Existe el riesgo de una refactorización significativa más adelante en el recorrido
en la nube que podría interferir con los planes de adopción. En concreto, se debe prestar atención a la
segmentación, los límites del entorno, las herramientas de identidad y otros elementos fundamentales para
evitar tener que rehacer muchas operaciones en el futuro.
Guía: las opciones de implementación de zona de aterrizaje de Azure que se alinean con la velocidad de
desarrollo del modelo "inicio pequeño y expansión" pueden crear un sólido punto de inicio. Se pueden usar
para acelerar los esfuerzos de adopción. Para que se realice correctamente, se deben establecer directivas
claras para guiar los esfuerzos de adopción iniciales con unas tolerancias al riesgo aceptables. Las
metodologías de gobernanza y administración crean procesos que consolidan las operaciones en paralelo.
Estos pasos sirven como etapas intermedias que se deben completar antes de permitir un mayor riesgo a
medida que las operaciones se van consolidando.
Ventajas de las operaciones centralizadas
Administración de costos : la centralización de servicios compartidos en varias cargas de trabajo crea
ahorros de escalado y elimina las tareas duplicadas. Los equipos centrales pueden implementar con mayor
rapidez reducciones de costos mediante el dimensionamiento empresarial y las optimizaciones de escalado.
Responsabilidades: una experiencia y normalización centralizadas probablemente conducirán a una mayor
estabilidad, un mejor rendimiento operativo y un menor riesgo de interrupciones relacionadas con los
cambios. Esto reduce las grandes presiones de aptitudes de los equipos centrados en las cargas de trabajo.
Normalización: en general, la normalización y el costo de las operaciones son más bajos con un modelo
centralizado porque existen menos sistemas o tareas duplicados.
Respaldo a las operaciones: la reducción de la complejidad y la centralización de las operaciones facilita
que los equipos de TI más pequeños puedan respaldar las operaciones.
Experiencia: la centralización de los equipos de soporte técnico permite a expertos de los campos de
seguridad, riesgo, gobernanza y operaciones promover decisiones críticas para la empresa.
Diseño de la zona de aterrizaje: un departamento de TI centralizado tiende a minimizar el número de
zonas de aterrizaje y suscripciones para reducir la complejidad. Los diseños de zona de aterrizaje tienden a
imitar los diseños de los centros de datos anteriores, lo que reduce el tiempo de transición. A medida que
avanza la adopción, los recursos compartidos se pueden trasladar a una suscripción o base de plataforma
independiente.
Utilidades fundamentales: trasladar los diseños existentes del centro de datos a la nube da lugar a unos
servicios fundamentales y compartidos que imitan las herramientas y operaciones del entorno local. Si las
operaciones locales son el modelo operativo principal, eso puede constituir una ventaja (pero tenga en
cuenta las siguientes desventajas). Esto reduce el tiempo de transición, aprovecha los ahorros del escalado y
permite procesos operativos coherentes entre las cargas de trabajo locales y las hospedadas en la nube. Este
enfoque puede reducir la complejidad y el esfuerzo a corto plazo, y permitir que los equipos más pequeños
respalden las operaciones en la nube con curvas de aprendizaje reducidas.
Separación de obligaciones: la separación de obligaciones es clara en las operaciones centralizadas. El
departamento de TI central mantiene el control de los entornos de producción, lo que reduce la necesidad de
tener permisos elevados de otros equipos. Esto reduce el área expuesta a infracciones al reducir el número
de cuentas con privilegios elevados.
Inconvenientes de las operaciones centralizadas
Administración de costos : los equipos centralizados no suelen tener conocimientos suficientes de las
arquitecturas de carga de trabajo para generar optimizaciones de gran impacto en el nivel de cargas de
trabajo. Esto limita el ahorro de costos que puede proceder de operaciones de carga de trabajo bien
ajustadas. Además, la falta de conocimiento de la arquitectura de cargas de trabajo puede provocar que las
optimizaciones de costos centralizadas tengan un impacto directo en el rendimiento, el escalado u otros
pilares de una carga de trabajo bien diseñada. Antes de aplicar cambios de costos que afecten a toda la
empresa a cargas de trabajo de perfil elevado, el equipo de TI central debe realizar y tener en cuenta la
revisión de buena arquitectura de Microsoft Azure.
Responsabilidades: la centralización del soporte técnico y el acceso a la producción supone una mayor
carga operativa sobre un menor número de personas. También impone mayor presión a esas personas para
realizar revisiones más profundas de las cargas de trabajo implementadas con el fin de validar el
cumplimiento de los requisitos de seguridad, gobernanza y cumplimiento detallados.
Normalización: los enfoques de TI centralizados dificultan el escalado de la normalización sin un escalado
lineal del personal del equipo de TI central.
Respaldo a las operaciones: tenga en cuenta los inconvenientes y los riesgos enumerados anteriormente.
Las mayores desventajas de este enfoque están asociadas a un escalado significativo y a tendencias que dan
prioridad a la innovación.
Experiencia: los desarrolladores y los expertos en DevOps corren el riesgo de ser infravalorados o de estar
demasiado limitados en este tipo de entorno.
Diseño de la zona de aterrizaje: los diseños de los centros de datos se basan en las restricciones de los
enfoques anteriores, los cuales no siempre son pertinentes para la nube. Seguir este enfoque reduce las
oportunidades de reconsiderar la segmentación del entorno y aprovechar las oportunidades de innovación.
La falta de segmentación de la zona de aterrizaje también aumenta el posible impacto ante vulneraciones,
aumenta la complejidad de la gobernanza y el cumplimiento, y puede producir bloqueos en la adopción más
adelante en el recorrido hacia la nube. Consulte la sección anterior sobre riesgos.
Utilidades fundamentales: durante la transformación digital, la nube podría convertirse en el modelo
operativo principal. La conservación de herramientas centralizadas creadas para las operaciones locales
reduce las oportunidades de modernizar las operaciones y de generar mayores eficiencias operativas. La
decisión de no modernizar las operaciones en una etapa temprana del proceso de adopción puede
subsanarse mediante la creación de una suscripción a las bases de la plataforma más adelante en el
recorrido de adopción de la nube, pero ese esfuerzo puede ser complejo, costoso y prolongado sin un
planeamiento por anticipado.
Separación de obligaciones: en general, las operaciones centralizadas siguen una de estas dos opciones,
y ambas pueden entorpecer la innovación.
Opción 1: a los equipos que no pertenecen al departamento de TI central se les concede acceso
limitado a los entornos de desarrollo que imitan la producción. Esta opción obstaculiza la
experimentación.
Opción 2: los equipos desarrollan y realizan pruebas en entornos sin soporte técnico. Esta opción
obstaculiza los procesos de implementación y ralentiza las pruebas de integración posteriores a la
implementación.
Operaciones empresariales
Las operaciones empresariales representan el estado de destino sugerido para todas las operaciones en la nube.
Las operaciones empresariales equilibran la necesidad de control e innovación mediante la democratización de
decisiones y responsabilidades. El equipo de TI centralizado se sustituye por un centro de excelencia en la nube
o equipo de CCoE más facilitador, que admite equipos de cargas de trabajo y les hace responsables de las
decisiones, en lugar de controlar o limitar sus acciones. A los equipos de cargas de trabajo se les concede más
poder y más responsabilidad a la hora de impulsar la innovación, dentro de barreras bien definidas.
Prioridades: prioriza la democratización de decisiones técnicas. La democratización de las decisiones
técnicas traslada a los equipos de cargas de trabajo las responsabilidades que tenía anteriormente el
departamento de TI centralizado. Para llevar a cabo este cambio en las prioridades, las decisiones se vuelven
menos dependientes de los procesos de revisión de ejecución humana y más dependientes de los procesos
de revisión, gobernanza y cumplimiento automatizados mediante herramientas nativas de la nube.
Ventaja única: la segmentación de entornos y la separación de obligaciones permiten el equilibrio entre el
control y la innovación. Las operaciones centralizadas pueden mantener este tipo de operaciones para cargas
de trabajo que requieren un aumento del cumplimiento, operaciones de estado estable o que representan
mayores riesgos de seguridad. Por el contrario, este enfoque permite la reducción del control centralizado de
las cargas de trabajo y entornos que requieren una mayor innovación. Dado que las carteras más grandes
tienen más probabilidades de lidiar con el equilibrio entre control e innovación, esta flexibilidad facilita el
escalado a miles de cargas de trabajo con un menor número de problemas operativos.
Inconveniente único: aquello que funcionaba bien en el entorno local podría no funcionar bien en las
operaciones en la nube de la empresa. Este enfoque con respecto a las operaciones requiere cambios en
muchos frentes. Los cambios culturales en el control y la responsabilidad suelen ser el mayor desafío. Los
cambios operativos que implican los cambios culturales llevan tiempo y un compromiso de esfuerzo por
implementar, consolidar y estabilizar. A veces se requieren cambios en la arquitectura en cargas de trabajo
que, por lo demás, son estables. Se requieren cambios en las herramientas para aprovechar y respaldar los
cambios culturales, operativos y de la arquitectura, lo cual podría requerir compromisos para el proveedor
de nube principal. Los esfuerzos de adopción realizados antes de estos cambios podrían requerir un esfuerzo
de reelaboración significativo que va más allá de los esfuerzos típicos de refactorización.
Riesgo: este enfoque requiere el compromiso del equipo directivo con la estrategia de cambio. También
requiere el compromiso de los equipos técnicos para superar las curvas de aprendizaje y proporcionar los
cambios necesarios. La cooperación a largo plazo entre la empresa, el equipo de CCoE o equipo de TI
centralizado, y los equipos de cargas de trabajo es necesaria para ver las ventajas a largo plazo.
Guía: las opciones de implementación de zonas de aterrizaje de Azure definidas como de "escala
empresarial" proporcionan implementaciones de referencia que muestran cómo los cambios técnicos se
generan mediante herramientas nativas de la nube en Azure. El enfoque de escala empresarial guía a los
equipos a través de los cambios operativos y culturales necesarios para sacar el máximo partido a esas
implementaciones. Este mismo enfoque se puede usar para personalizar la arquitectura de referencia a fin de
configurar el entorno para satisfacer su estrategia de adopción y las restricciones de cumplimiento. Una vez
implementada la escala empresarial, se pueden usar las metodologías de gobernanza y administración para
definir procesos y ampliar las funcionalidades operativas y de cumplimiento para que satisfagan sus
necesidades operativas específicas.
Ventajas de las operaciones empresariales
Administración de costos : los equipos centrales actúan en las optimizaciones entre carteras y hacen
responsables a los equipos de cargas de trabajo individuales de una mayor optimización de la carga de
trabajo. Los equipos centrados en cargas de trabajo están capacitados para tomar decisiones y proporcionar
una explicación cuando dichas decisiones tienen un impacto negativo en los costos. Los equipos centrales y
de cargas de trabajo comparten la responsabilidad de las decisiones relacionadas con el costo en el nivel
adecuado.
Responsabilidades: los equipos centrales usan herramientas nativas de la nube para definir, aplicar y
automatizar límites de protección. Los esfuerzos de los equipos de cargas de trabajo se aceleran mediante la
automatización y los procedimientos de CCoE. Posteriormente, los equipos de cargas de trabajo pueden
impulsar la innovación y tomar decisiones dentro de esos límites.
Normalización: Los límites de protección centralizados y los servicios fundamentales crean coherencia
entre todos los entornos, independientemente de la escala.
Respaldo a las operaciones: las cargas de trabajo que requieren el respaldo de operaciones centralizadas
se segmentan en entornos con controles de estado estable. La segmentación y la separación de las
obligaciones permiten a los equipos de cargas de trabajo adoptar la responsabilidad del respaldo operativo
en sus propios entornos dedicados. Las herramientas automatizadas, nativas de la nube, garantizan una base
de referencia mínima de operaciones para todos los entornos con respaldo operativo centralizado para la
oferta de base de referencia.
Experiencia: la centralización de los servicios principales, como la seguridad, el riesgo, la gobernanza y las
operaciones, garantiza una adecuada experiencia centralizada. Unos procesos y límites claros capacitan a
todos los miembros de los equipos de cargas de trabajo para tomar decisiones más específicas que amplían
el impacto de los expertos centralizados sin necesidad de escalar el personal linealmente con la escala
tecnológica.
Diseño de la zona de aterrizaje: El diseño de la zona de aterrizaje replica las necesidades de la cartera,
creando límites claros de seguridad, gobernanza y responsabilidad que son necesarios para manejar cargas
de trabajo en la nube. No es probable que los procedimientos de segmentación se asemejen a las
restricciones creadas por los diseños de los centros de datos anteriores. En las operaciones empresariales, el
diseño de la zona de aterrizaje es menos complejo, lo que permite un escalado más rápido y la reducción de
barreras a la demanda de autoservicio.
Utilidades fundamentales: las utilidades fundamentales se hospedan en suscripciones controladas
centralmente que se conocen como base de la plataforma. Las herramientas centrales se "canalizan" en cada
zona de aterrizaje como servicios auxiliares. La separación de las utilidades fundamentales de las zonas de
aterrizaje maximiza la coherencia, el ahorro de escalado y crea distinciones claras entre las responsabilidades
administradas centralmente y las responsabilidades en el nivel de carga de trabajo.
Separación de obligaciones: la separación clara de las obligaciones entre las utilidades fundamentales y
las zonas de aterrizaje es una de las mayores ventajas de este enfoque para las operaciones. Las
herramientas nativas de la nube y unos procesos sólidos permiten el acceso Just-in-Time y el equilibrio de
control adecuado entre equipos centralizados y equipos de cargas de trabajo, en función de los requisitos de
las zonas de aterrizaje individuales y las cargas de trabajo hospedadas en esos segmentos de las zonas de
aterrizaje.
Inconvenientes de las operaciones empresariales
Administración de costos : los equipos centrales dependen más de los equipos de cargas de trabajo para
realizar cambios de producción en las zonas de aterrizaje. Este cambio genera el riesgo de un posible
rebasamiento del presupuesto y un ajuste adecuado más lento del gasto real. Debe haber procesos de
control de costos, presupuestos claros, controles automatizados y revisiones regulares en vigor para evitar
sorpresas relacionadas con los costos.
Responsabilidades: Las operaciones empresariales requieren mayores requisitos culturales y operativos en
los equipos centrales y de cargas de trabajo para garantizar la claridad en las responsabilidades y la
responsabilidad entre los equipos.
Es menos probable que los procesos de administración de cambios tradicionales o los comités de evaluación
de cambios mantengan el ritmo y el equilibrio necesarios en este modelo operativo. Esos procesos deben
reflejarse en la automatización de procesos y procedimientos para escalar la adopción de la nube de forma
segura.
La falta de compromiso con los cambios se materializará primero en la negociación y la alineación de las
responsabilidades. La incapacidad de alinear los cambios en las responsabilidades es una indicación de que
los modelos operativos de TI centrales podrían ser necesarios durante los esfuerzos de adopción de la nube a
corto plazo.
Normalización: la falta de inversión en límites de protección centralizados o en la automatización genera
riesgos para la normalización que son más difíciles de superar mediante procesos de revisión manuales.
Además, las dependencias operativas entre cargas de trabajo en las zonas de aterrizaje y los servicios
compartidos de la base de la plataforma generan un mayor riesgo para la normalización durante los ciclos
de actualización o de versiones futuras de las utilidades fundamentales. Durante las revisiones de la base de
la plataforma, se necesitan pruebas mejoradas o incluso automatizadas de todas las zonas de aterrizaje
compatibles y las cargas de trabajo que hospedan.
Respaldo a las operaciones: la base de referencia de las operaciones que se proporciona mediante la
automatización y las operaciones centralizadas puede ser suficiente para cargas de trabajo de bajo impacto o
poca importancia. Sin embargo, es probable que se requieran equipos de carga de trabajo u otros formatos
de operaciones dedicadas para las cargas de trabajo complejas o de gran importancia. Esto podría necesitar
un cambio en los presupuestos operativos, el cual a su vez requeriría que las unidades de negocio asignaran
los gastos operativos a esos formatos de operaciones avanzados. Si se requiere que un departamento de TI
central sea el único responsable del costo de las operaciones, las operaciones empresariales serán difíciles de
implementar.
Experiencia: los miembros del equipo de TI central deberán desarrollar conocimientos relativos a la
automatización de los controles centrales que se ofrecían previamente mediante procesos manuales. Esos
equipos también podrían necesitar desarrollar un dominio de los enfoques de infraestructura como código
para definir el entorno, junto con un elevado grado de comprensión de las canalizaciones de ramificación,
combinación e implementación. Como mínimo, un equipo de automatización de la plataforma necesitará
estas aptitudes para dar curso a las decisiones tomadas por los equipos del centro de excelencia de la nube o
los equipos de operaciones centrales. Los equipos de cargas de trabajo deberán desarrollar conocimientos
adicionales relacionados con los controles y los procesos que regirán sus decisiones.
Diseño de la zona de aterrizaje: el diseño de la zona de aterrizaje depende de las utilidades
fundamentales. Para evitar la duplicación del esfuerzo (o errores o conflictos con la gobernanza
automatizada), cada equipo centrado en una carga de trabajo debe comprender qué se puede incluir en el
diseño y qué está prohibido. Los procesos de excepción también se deben factorizar en los diseños de zonas
de aterrizaje para crear flexibilidad.
Utilidades fundamentales: la centralización de las utilidades fundamentales conlleva un tiempo para
considerar las opciones y desarrollar una solución que se escalará para cumplir con diversos planes de
adopción. Esto puede retrasar los esfuerzos de adopción temprana, pero la compensación llegará de la mano
de las aceleraciones a largo plazo y la evitación de bloqueos más adelante en el proceso.
Separación de obligaciones: garantizar una separación clara de las obligaciones requiere procesos de
administración de identidades consolidados. Puede haber un mantenimiento adicional asociado a la
alineación adecuada de usuarios, grupos y actividades de incorporación o de baja. Es probable que se
necesiten nuevos procesos para acomodar el acceso Just-in-Time a través de privilegios elevados.
Operaciones distribuidas
Es posible que el modelo operativo existente esté demasiado instaurado para que toda la organización cambie a
un nuevo modelo operativo. En otros casos, las operaciones globales y los distintos requisitos de cumplimiento
podrían impedir que las unidades de negocio específicas realizaran un cambio. Para esas empresas, podría ser
necesario un enfoque de operaciones de distribución. Este es, con mucho, el enfoque más complejo, ya que
requiere la integración de uno o varios de los modelos operativos mencionados anteriormente.
Aunque es muy poco recomendable, puede que este enfoque operativo sea necesario para algunas
organizaciones que se componen de un conjunto disperso de unidades de negocio dispares. Especialmente
cuando esas unidades de negocio abarcan una base diversa de segmentos de clientes o de operaciones
regionales.
Prioridades: integración de varios modelos operativos existentes.
Estado de transición con especial atención al cambio de toda la organización a uno de los modelos
operativos mencionados anteriormente con el tiempo.
Enfoque operativo a largo plazo cuando la organización es demasiado grande o compleja para alinearse con
un único modelo operativo.
Ventaja única: integración de elementos comunes del modelo operativo de cada unidad de negocio. Crea
un vehículo para agrupar las unidades operativas en una jerarquía y les ayuda a consolidar las operaciones
mediante procesos repetibles coherentes.
Inconveniente único: es difícil mantener la coherencia y la normalización entre varios modelos operativos
durante períodos prolongados. Este enfoque operativo requiere un conocimiento profundo de la cartera y de
cómo funcionan los distintos segmentos de la cartera tecnológica.
Riesgo: la falta de compromiso con un modelo operativo principal podría llevar a confusión entre los
equipos. Este modelo operativo solo se debe usar si no hay ninguna manera de adoptar un único modelo
operativo.
Guía: comience con una revisión exhaustiva de la cartera con el enfoque que se describe en los artículos
sobre alineación empresarial. Tenga cuidado de agrupar la cartera por el modelo de funcionamiento con el
estado deseado (descentralizado, centralizado o empresarial).
Desarrolle una jerarquía de grupos de administración que refleje las agrupaciones del modelo operativo,
seguido de otros patrones organizativos para la región o la unidad de negocio, u otros criterios que asignen
los clústeres de carga de trabajo de los cubos menos comunes a los más comunes.
Evalúe la alineación de las cargas de trabajo con los modelos operativos para encontrar el clúster de modelo
operativo más adecuado con el que empezar. Siga las instrucciones que se asignan a ese modelo operativo
para todas las cargas de trabajo de ese nodo de la jerarquía de grupos de administración.
Use las metodologías de gobernanza y administración para buscar las directivas corporativas comunes y los
procedimientos de administración operativa necesarios en varios puntos de la jerarquía. Aplique las
directivas comunes de Azure para automatizar las directivas corporativas compartidas.
Dado que esas directivas de Azure se prueban con varias implementaciones, intente moverlas más arriba en
la jerarquía del grupo de administración aplicando esas directivas a un mayor número de cargas de trabajo
para encontrar puntos en común y necesidades operativas únicas.
Con el tiempo, este enfoque ayudará a definir un modelo operativo que se puede escalar en los distintos
modelos operativos y que unifica los equipos mediante un conjunto de directivas y procedimientos comunes.
Las ventajas e inconvenientes de este enfoque se han dejado deliberadamente en blanco. Después de completar
la alineación empresarial de su cartera, consulte la sección sobre el modelo operativo predominante más arriba
para más información sobre las ventajas e inconvenientes.
Pasos siguientes
Conozca la terminología asociada a los modelos operativos. La terminología le ayuda a comprender cómo
encaja un modelo operativo en el ámbito mayor del planeamiento corporativo.
Terminología del modelo operativo
Conozca cómo una zona de aterrizaje proporciona el bloque de creación básico de cualquier entorno de
adopción de la nube.
Comparación de los modelos operativos en la nube más habituales
Terminología del modelo operativo
06/03/2021 • 6 minutes to read • Edit Online
El término modelo operativo tiene muchas definiciones. En este artículo de introducción se define la
terminología asociada a los modelos operativos. Para entender un modelo operativo en relación con la nube,
primero tenemos que comprender cómo encaja un modelo operativo en el ámbito mayor de la planeación
corporativa.
Términos
Modelo de negocio: los modelos de negocio suelen definir el valor corporativo (qué hace el negocio para
proporcionar valor) y la misión o la visión (por qué el negocio ha elegido agregar valor de este modo). Como
mínimo, los modelos de negocio deben ser capaces de representar qué y por qué en forma de proyecciones
financieras. Hay muchas escuelas de pensamiento distintas en lo que respecta a en qué medida un modelo de
negocio va más allá de estos principios básicos de liderazgo. Pero para crear un modelo operativo sólido, los
modelos de negocio deben incluir declaraciones generales para establecer objetivos direccionales. Es aún más
eficaz si esos objetivos se pueden representar mediante métricas o KPI para realizar un seguimiento del
progreso.
Experiencia del cliente: todos los buenos modelos de negocio basan el por qué de la estrategia de una
empresa en la experiencia de sus clientes. Este proceso podría abarcar aquellos clientes que adquieren un
producto o servicio. También podría incluir interacciones entre una empresa y sus clientes empresariales. Otro
ejemplo podría centrarse en la administración a largo plazo de las necesidades financieras o de mantenimiento
de un cliente, en lugar de en una sola transacción o proceso. Independientemente del tipo de experiencia, la
mayoría de las empresas de éxito saben que existen para operar y mejorar las experiencias que impulsan su por
qué.
Transformación digital: La transformación digital se ha convertido en un término de moda en el sector. Sin
embargo, es un componente fundamental en la consecución de modelos empresariales modernos. Desde la
llegada del smartphone y otros factores de forma informáticos portátiles, las experiencias de los clientes se han
vuelto cada vez más digitales. Este cambio es más que obvio en algunos sectores, como el alquiler de DVD, los
medios de impresión, los automóviles o el comercio minorista. En cada caso, las experiencias digitalizadas han
tenido un impacto considerable en la experiencia del cliente. En algunos casos, los medios digitales han
reemplazado por completo a los medios físicos, y están cambiando por completo la vertical del sector. En otros,
las experiencias digitales se consideran un aumento estándar de la experiencia. Para ofrecer valor empresarial
(el qué), la experiencia del cliente (el por qué) debe influir en el impacto de las experiencias digitales en las
experiencias de los clientes. Este proceso es la transformación digital. La transformación digital rara vez supone
todo el por qué en una estrategia empresarial, pero es un aspecto importante.
Modelo operativo: si el modelo empresarial representa el qué y el por qué, un modelo operativo representa
cómo y quién pone en marcha la estrategia empresarial. El modelo operativo define las formas en que las
personas colaboran para lograr los grandes objetivos que se describen en la estrategia empresarial. Los
modelos operativos suelen describirse como las personas, los procesos y la tecnología que hay detrás de la
estrategia empresarial. En el artículo sobre el modelo operativo del marco de adopción de la nube, este
concepto se explica en detalle.
Adopción de la nube: Como ya se mencionó antes, la transformación digital es un aspecto importante de la
experiencia del cliente y del modelo empresarial. Del mismo modo, la adopción de la nube es un aspecto
importante de cualquier modelo operativo. La adopción de la nube es un habilitador sólido para ofrecer las
tecnologías y los procesos adecuados necesarios para implantar correctamente el modelo operativo moderno.
La adopción de la nube es lo que hacemos para obtener el valor empresarial. El modelo operativo describe
quiénes somos y cómo funcionamos cada día mientras se proporciona la adopción de la nube.
Realizar acción
Aprovechar el modelo operativo proporcionado por Cloud Adoption Framework para desarrollar la madurez
operativa.
Pasos siguientes
Avance a la siguiente sección de Cloud Adoption Framework. Conozca cómo una zona de aterrizaje proporciona
el bloque de creación básico de cualquier entorno de adopción de la nube.
Aprovechar el modelo operativo
¿Qué es una zona de aterrizaje de Azure?
26/04/2021 • 2 minutes to read • Edit Online
Las zonas de aterrizaje de Azure son la salida de un entorno de Azure con varias suscripciones que tiene en
cuenta la escala, seguridad, gobernanza, redes e identidad. Las zonas de aterrizaje de Azure permiten la
migración, modernización e innovación de aplicaciones a escala empresarial en Azure. Estas zonas tienen en
cuenta todos los recursos de la plataforma necesarios para dar soporte a la cartera de aplicaciones del cliente y
no diferencian entre infraestructura como servicio o plataforma como servicio.
Una zona de aterrizaje es un entorno para hospedar cargas de trabajo que se aprovisionan previamente
mediante código. Vea el siguiente vídeo para obtener más información.
Escalable y modular
No hay ninguna que sirva para todos los entornos técnicos. Hay varias opciones de implementación de la zona
de aterrizaje de Azure que pueden ayudarle a satisfacer las necesidades de implementación y operaciones de su
creciente cartera en la nube.
Escalable: todas las zonas de aterrizaje de Azure admiten la adopción de la nube a escala proporcionando
entornos repetibles, con una configuración y controles coherentes, independientemente de las cargas de
trabajo o los recursos de Azure implementados en cada instancia de zona de aterrizaje.
Modular : todas las zonas de aterrizaje de Azure proporcionan un enfoque modular para crear un entorno
basado en un conjunto común de áreas de diseño. Cada área de diseño se puede ampliar fácilmente para
admitir las distintas necesidades de varias plataformas tecnológicas, como SQL, AKS, WVD, etc.
Tanto si desea implementar su primera aplicación de producción en Azure como si va a manejar una compleja
cartera de plataformas tecnológicas y cargas de trabajo, las opciones de implementación de la zona de aterrizaje
de Azure se pueden adaptar a sus necesidades.
Pasos siguientes
Antes de elegir la opción de implementación de zona de aterrizaje de Azure adecuada, debe conocer las áreas de
diseño de la zona de aterrizaje de Azure.
Examen de las áreas de diseño
Áreas de diseño de las zonas de aterrizaje de Azure
06/03/2021 • 4 minutes to read • Edit Online
NOTE
Estas áreas de diseño describen lo que debe tener en cuenta antes de implementar una zona de aterrizaje. Úselo como
referencia. Consulte las opciones de implementación de zonas de aterrizaje para conocer los principios de diseño y los
pasos procesables para la implementación.
Área de diseño
Independientemente de la opción de implementación, debe considerar detenidamente cada área de diseño. Sus
decisiones afectan a la base de la plataforma de la que depende cada zona de aterrizaje.
Pasos siguientes
Puede implementar estas áreas de diseño poco a poco para ir desarrollándose en el modelo operativo en la
nube. Como alternativa, hay opciones de implementación bien fundamentadas y enriquecidas que comienzan
con una posición definida en cada área de diseño.
Una vez que comprenda las áreas de diseño modulares, el paso siguiente consiste en elegir la opción de
implementación de la zona de aterrizaje que mejor se ajuste al plan de adopción de la nube y los requisitos.
Elección de una opción de implementación
Selección de la zona de aterrizaje de la
organización
21/04/2021 • 15 minutes to read • Edit Online
Existen diferentes enfoques para implementar zonas de aterrizaje en Cloud Adoption Framework. El enfoque
adecuado para la organización tiene los servicios necesarios para admitir sus aplicaciones empresariales sin
suponer una sobrecarga de administración. Partir de una implementación que no satisface sus necesidades
puede resultar una pérdida de tiempo y esfuerzo.
Microsoft ofrece dos opciones de implementación para zonas de aterrizaje:
Inicio a pequeña escala y expansión
Escala empresarial
Consulte el siguiente vídeo de 15 minutos para más información sobre cómo elegir las opciones de
implementación de la zona de aterrizaje de Azure que mejor se adapten a sus necesidades.
También puede considerar las implementaciones de terceros. Nuestros asociados disponen de muchas
implementaciones mediante sus servicios. Para obtener más información, consulte Evaluación de la zona de
aterrizaje de Azure de un asociado de Microsoft.
Consideraciones iniciales
¿Qué modelo operativo describe mejor su organización? Tenga en cuenta no solo el aspecto actual de su
organización, sino también lo que espera y quiere que sea en un plazo de entre tres meses y un año o más.
Operaciones centralizadas: En este pequeño entorno, los equipos centralizados para operaciones de TI,
seguridad y otros roles administran la producción y las cargas de trabajo.
Operaciones empresariales: En estos entornos, normalmente más grandes o especializados del sector, las
operaciones empresariales tienen un estado estable y constante que se administra de forma centralizada.
Las operaciones centralizadas favorecen un enfoque de inicio a pequeña escala y expansión. Es posible que las
operaciones empresariales se aborden mejor con una escala empresarial.
¿Necesita un entorno o una arquitectura de base de referencia? El enfoque de inicio a pequeña escala y
expansión ofrece un punto inicial sencillo desde el que crear su propia solución. El enfoque de escala
empresarial proporciona un entorno para todo el inquilino de Azure que incluye operaciones nativas en la nube.
Para obtener más información sobre los tipos de operaciones, consulte Comparación de los modelos operativos
en la nube más habituales.
Consideraciones de la implementación
La implementación de la zona o zonas de aterrizaje plantea varias consideraciones a la hora de elegir una
implementación:
Procedimientos recomendados del proveedor de nube.
Todos los servicios críticos están presentes y configurados correctamente de acuerdo con las prácticas
recomendadas para la administración de identidades y acceso, la gobernanza, la seguridad, la red y el
registro.
Funcionalidades de automatización, como IaC y Azure DevOps.
Ambas implementaciones ofrecen procedimientos recomendados. El inicio a pequeña escala y la expansión
permiten agregar procedimientos recomendados mediante metodologías de Cloud Adoption Framework para
aplicar la seguridad, la gobernanza y el cumplimiento.
La escala empresarial viene con todos los servicios críticos configurados. El inicio a pequeña escala y la
expansión viene con algunos recursos implementados.
Para obtener más información, consulte Procedimientos recomendados de preparación para Azure.
Ambas metodologías ofrecen funcionalidades de automatización.
Inicio a pequeña escala y expansión : plantillas de ARM, Azure Policy y Azure Blueprints. Puede crear su
propia canalización de CI/CD.
Escala empresarial : en la guía de implementación de referencia se incluyen las opciones de plantillas de
ARM, Azure Policy, GitHub/Azure DevOps y la canalización de CI/CD.
El inicio a pequeña escala y expansión usa plantillas de ARM, Azure Policy y Azure Blueprints.
Plano técnico de Fundación CAF
Plano técnico de la zona de aterrizaje de la migración de CAF
La escala empresarial usa plantillas de ARM, Azure Policy y ofrece tres implementaciones de referencia, así como
distintas opciones de implementación.
Base de la escala empresarial
Virtual WAN de escala empresarial
Escala empresarial radial
Tanto si implementa el inicio a pequeña escala y expansión como la escala empresarial, puede usar plantillas y
una experiencia basada en el portal. Puede incluir IaC más adelante en el proceso. Para obtener más
información, explore esta Introducción a IaC.
Pasos siguientes
Inicio a pequeña escala y expansión
Inicio a escala empresarial
Opciones de implementación de zonas de aterrizaje
27/03/2021 • 8 minutes to read • Edit Online
Las zonas de aterrizaje de Azure proporcionan a los equipos de adopción de la nube un entorno bien
administrado para sus cargas de trabajo. Siga las instrucciones de las áreas de diseño de la zonas de aterrizaje
para aprovechar estas capacidades.
Las opciones de implementación siguientes están diseñadas para un conjunto específico de dependencias de
modelo operativo cada una y para que sean compatibles con los requisitos no funcionales. Cada opción de
implementación incluye enfoques de automatización distintos. Cuando están disponibles, se incluyen
arquitecturas e implementaciones de referencia para acelerar el recorrido de la adopción de la nube. Aunque
cada opción está asignada a un modelo operativo diferente, comparten las mismas áreas de diseño. La
diferencia es la forma en que decida implementarlas.
Opciones de implementación
En la siguiente tabla se describen algunas de las opciones de implementación para las zonas de aterrizaje y las
variables que pueden guiar sus decisiones.
P RIN C IP IO S DE
O P C IÓ N DE VELO C IDA D DE DISEÑ O M Á S IN ST RUC C IO N ES DE
IM P L EM EN TA C IÓ N DESC RIP C IÓ N IM P L EM EN TA C IÓ N P RO F UN DO S IM P L EM EN TA C IÓ N
Plano técnico de la Implementa los Empezar por algo Principios de diseño Implementación
zona de aterrizaje de fundamentos básicos pequeño
la migración de CAF para migrar recursos
de bajo riesgo.
P RIN C IP IO S DE
O P C IÓ N DE VELO C IDA D DE DISEÑ O M Á S IN ST RUC C IO N ES DE
IM P L EM EN TA C IÓ N DESC RIP C IÓ N IM P L EM EN TA C IÓ N P RO F UN DO S IM P L EM EN TA C IÓ N
Plano técnico de Agrega las Empezar por algo Principios de diseño Implementación
Fundación CAF herramientas pequeño
mínimas necesarias
para empezar a
desarrollar una
estrategia de
gobernanza.
Zona de aterrizaje de Implementa una base Escala empresarial Principios de diseño Implementación
escala empresarial de de plataforma
CAF (conectividad preparada para la
híbrida con Virtual empresa con todos
WAN) los servicios
compartidos
necesarios para
admitir toda la
cartera de TI, incluida
la conectividad
híbrida (Virtual
WAN).
Zona de aterrizaje de Implementa una base Escala empresarial Principios de diseño Implementación
escala empresarial de de plataforma
CAF (conectividad preparada para la
híbrida con topología empresa con todos
de red en estrella los servicios
tipo hub-and-spoke) compartidos
necesarios para
admitir toda la
cartera de TI, incluida
la conectividad
híbrida (tipo hub-
and-spoke).
Zona de aterrizaje a Implementa una base Escala empresarial Principios de diseño Implementación
escala empresarial de de plataforma
CAF (base) preparada para la
empresa con todos
los servicios
compartidos
necesarios para
admitir toda la
cartera de TI, en la
que la conectividad
se puede agregar
más tarde según sea
necesario.
P RIN C IP IO S DE
O P C IÓ N DE VELO C IDA D DE DISEÑ O M Á S IN ST RUC C IO N ES DE
IM P L EM EN TA C IÓ N DESC RIP C IÓ N IM P L EM EN TA C IÓ N P RO F UN DO S IM P L EM EN TA C IÓ N
Módulo Terraform Implementa una base Escala empresarial Principios de diseño Implementación
para Cloud Adoption de plataforma
Framework a escala preparada para la
empresarial empresa mediante
Terraform. Use esta
opción cuando
administre la
plataforma mediante
Terraform y necesite
acelerar la entrega de
la jerarquía de
recursos y el modelo
de gobernanza
recomendados. Este
módulo se ha
comprobado
oficialmente en el
registro de Terraform.
Los servicios
compartidos, la
conectividad de red y
las cargas de trabajo
de aplicaciones se
pueden integrar en la
implementación o
administrar de forma
independiente.
Módulos de CAF Ruta de acceso de Empezar por algo Principios de diseño Implementación
Terraform terceros para los pequeño
modelos operativos
de varias nubes. Esta
ruta de acceso puede
limitar los primeros
modelos operativos
de Azure.
P RIN C IP IO S DE
O P C IÓ N DE VELO C IDA D DE DISEÑ O M Á S IN ST RUC C IO N ES DE
IM P L EM EN TA C IÓ N DESC RIP C IÓ N IM P L EM EN TA C IÓ N P RO F UN DO S IM P L EM EN TA C IÓ N
Zonas de aterrizaje Los asociados que Variable Principios de diseño Buscar un asociado
de asociado proporcionan ofertas
que están en línea
con la metodología
de preparación de
Cloud Adoption
Framework pueden
proporcionar su
propia opción de
implementación
personalizada.
En la siguiente tabla se muestran algunas de estas opciones de implementación desde una perspectiva
ligeramente diferente, para orientar procesos de decisiones más técnicas.
O P C IÓ N DE T EC N O LO GÍA DE IN ST RUC C IO N ES DE
IM P L EM EN TA C IÓ N H UB RA DIO IM P L EM EN TA C IÓ N IM P L EM EN TA C IÓ N
Pasos siguientes
Para continuar, elija una de las opciones de implementación de la tabla anterior. Cada opción incluye un vínculo
a las instrucciones de implementación y los principios de diseño específicos que guían la implementación.
Empiece a utilizar las zonas de aterrizaje de escala
empresarial de Cloud Adoption Framework
22/03/2021 • 4 minutes to read • Edit Online
La arquitectura de escala empresarial representa la ruta de acceso estratégica de diseño y el estado técnico de
destino de su entorno de Azure. Evolucionará al mismo tiempo que la plataforma Azure y la definirán las
distintas decisiones de diseño que su organización debe tomar para asignar su recorrido en Azure.
No todas las empresas adoptan Azure de la misma manera, por lo que la arquitectura de la zona de aterrizaje de
escala empresarial de Cloud Adoption Framework varía de un cliente a otro. Tanto las consideraciones técnicas
como las recomendaciones de diseño de la arquitectura a escala empresarial pueden aportar diferentes ventajas
en función del escenario de su organización. Puede haber cierta variación, pero si sigue las recomendaciones
principales, la arquitectura de destino resultante colocará a su organización en una ruta de acceso hacia una
escala sostenible.
Guía prescriptiva
La arquitectura a escala empresarial proporciona una guía prescriptiva, junto con los procedimientos
recomendados para su plano de control de Azure. Sigue los principios de diseño en las áreas de diseño críticas
para el entorno de Azure de una organización.
Comunidad
Esta guía la desarrollan principalmente arquitectos de Microsoft y la amplia comunidad técnica de la unidad
Cloud Solutions. Esta comunidad avanza de forma activa esta guía para compartir las lecciones aprendidas
durante los esfuerzos de adopción a escala empresarial.
Esta guía comparte los mismos principios de diseño que la metodología de preparación estándar. Amplía dichos
principios para integrar asuntos como el gobierno y la seguridad en fases anteriores del proceso de
planeamiento. Es necesario expandir el proceso estándar, ya que se pueden realizar algunas suposiciones
naturales cuando un esfuerzo de adopción requiere un cambio empresarial a gran escala.
Pasos siguientes
Implementación de una zona de aterrizaje a escala empresarial de Cloud Adoption Framework
Implementación de zonas de aterrizaje a escala
empresarial de Cloud Adoption Framework en
Azure
27/03/2021 • 2 minutes to read • Edit Online
Cuando los requisitos empresariales requieren una implementación inicial de muchas zonas de aterrizaje con
una gobernanza, seguridad y plano de control de operaciones totalmente integrados desde el principio, use las
opciones de ejemplo de escala empresarial que se enumeran aquí. Con este enfoque, puede usar Azure Portal o
una infraestructura como código para instalar y configurar el entorno de Azure. También es posible realizar la
transición entre el portal y la infraestructura como código (recomendado) cuando la organización está lista.
Implementación de referencia
En la tabla siguiente se enumeran las implementaciones de referencia de ejemplo basadas en la arquitectura de
escala empresarial recomendada.
IM P L EM EN TA C IÓ N DE
E JEM P LO DESC RIP C IÓ N REP O SITO RIO DE GIT H UB IM P L EM EN TA R EN A Z URE
Pasos siguientes
En estos ejemplos, se proporciona una opción de implementación sencilla para soportar el aprendizaje continuo
para el enfoque de escala empresarial. Antes de usar estos ejemplos en una versión de producción de escala
empresarial, revise la arquitectura de escala empresarial.
Examinar la arquitectura a escala empresarial
Arquitectura de la zona de aterrizaje a escala
empresarial de Cloud Adoption Framework
06/03/2021 • 11 minutes to read • Edit Online
Introducción a la arquitectura
La arquitectura de la zona de aterrizaje de escala empresarial de Cloud Adoption Framework representa la ruta
de acceso de diseño estratégica y el estado técnico de destino del entorno de Azure de una organización.
Evolucionará al mismo tiempo que la plataforma Azure y la definirán las distintas decisiones de diseño que su
organización debe tomar para asignar su recorrido en Azure.
No todas las empresas adoptan Azure de la misma manera, por lo que la arquitectura de la zona de aterrizaje de
escala empresarial de Cloud Adoption Framework varía de un cliente a otro. Las consideraciones técnicas y las
recomendaciones de diseño de esta guía pueden producir diferentes desventajas en función del escenario de su
organización. Puede haber cierta variación, pero si sigue las recomendaciones principales, la arquitectura de
destino resultante colocará a su organización en una ruta de acceso hacia una escala sostenible.
Figura 2: Arquitectura de la zona de aterrizaje de escala empresarial de Cloud Adoption Framework que se basa
en una topología de red de Azure Virtual WAN. Tenga en cuenta que la suscripción de conectividad usa un
centro de conectividad de Virtual WAN.
Figura 3: Arquitectura de la zona de aterrizaje de escala empresarial de Cloud Adoption Framework que se basa
en una topología de red de Azure tradicional. Tenga en cuenta que la suscripción de conectividad usa una red
virtual de centro de conectividad.
Descargue los archivos PDF o Visio que contienen los diagramas de la arquitectura de escala empresarial
basada en la topología de red de Virtual WAN (PDF) o en una topología de red de Azure tradicional basada en la
arquitectura en estrella tipo hub-and-spoke (PDF). Un archivo de Visio que contenga Virtual WAN y el diagrama
de la arquitectura de estrella tipo hub-and-spoke se puede descargar como diagrama de Visio (VSDX).
En las figuras 2 y 3 se hace referencia a las áreas de diseño críticas de la escala empresarial, que se indican con
las letras de la "A" a la "I":
Inscripción en el Contrato Enterprise (EA) e inquilinos de Azure Active Directory. Una inscripción en el
Contrato Enterprise (EA) representa la relación comercial entre Microsoft y el modo en que su organización usa
Azure. Proporciona la base de facturación en todas las suscripciones y afecta a la administración de su
patrimonio digital. La inscripción en EA se administra mediante el portal de Azure EA. Una inscripción suele
representar la jerarquía de una organización, la cual incluye departamentos, cuentas y suscripciones. Un
inquilino de Azure AD proporciona administración de identidades y acceso, lo cual es una parte importante de
su posición de seguridad. Un inquilino de Azure AD garantiza que los usuarios autenticados y autorizados solo
tengan acceso a los recursos para los que tienen permisos de acceso.
Topología de red y conectividad. La topología de red de un extremo a otro se debe compilar e implementar
entre las regiones de Azure y los entornos locales para garantizar la conectividad de tipo norte-sur y este-oeste
entre las implementaciones de la plataforma. Los servicios y recursos necesarios como firewalls y aplicaciones
virtuales de red deben identificarse, implementarse y configurarse en el diseño de seguridad de red para
garantizar que se cumplen los requisitos de seguridad.
Automatización de la plataforma y DevOps. Una experiencia de DevOps de un extremo a otro con prácticas
eficaces del ciclo de vida de desarrollo de software debe diseñarse, compilarse e implementarse para garantizar
una entrega segura, repetible y coherente de artefactos de infraestructura como código. Estos artefactos se van
a desarrollar, probar e implementar con canalizaciones de integración, lanzamiento e implementación que
cuenten con controles de código fuente y rastreabilidad seguros.
Pasos siguientes
Personalice la implementación de esta arquitectura con las directrices de diseño de escala empresarial de Cloud
Adoption Framework.
Guías de diseño
Principios de diseño a escala empresarial de Cloud
Adoption Framework
06/03/2021 • 4 minutes to read • Edit Online
La arquitectura de escala empresarial indicada en esta guía se basa en los principios de diseño que se describen
aquí. Estos principios sirven como guía para las decisiones de diseño posteriores en los dominios técnicos
críticos. Familiarícese con estos principios para comprender mejor su impacto y las ventajas y desventajas
asociadas a la no adherencia.
En este artículo y en la serie de artículos siguiente se describe la manera en que la arquitectura a escala
empresarial proporciona una posición bien fundamentada en cada una de las áreas de diseño de la zona de
aterrizaje de Azure. Esta serie proporciona un conjunto de directrices de diseño paso a paso que se pueden
seguir para implementar los principios de diseño en la solución de escala empresarial.
El núcleo de la arquitectura a escala empresarial contiene una ruta de acceso de diseño crítica compuesta por
temas de diseño fundamentales que cuentan con decisiones de diseño dependientes e interrelacionadas. Este
repositorio proporciona instrucciones de diseño a través de estos dominios técnicos de arquitectura significativa
para apoyar las decisiones de diseño críticas que se deben tener en cuenta para definir la arquitectura de escala
empresarial. En cada uno de los dominios considerados, revise las consideraciones y recomendaciones
proporcionadas y úselas para estructurar y dirigir diseños dentro de cada área.
Por ejemplo, puede preguntar cuántas suscripciones se necesitan para su espacio. Puede revisar la organización
y gobernanza de la suscripción y usar las recomendaciones proporcionadas para impulsar las decisiones de
suscripción.
La identidad aporta gran parte de las garantías de seguridad. Permite el acceso basado en la autenticación de la
identidad y los controles de autorización en los servicios en la nube, para proteger los datos y los recursos, y
para decidir qué solicitudes deben permitirse.
La administración de identidad y de acceso (IAM) es un límite de seguridad principal en la nube pública. Debe
tratarse como la base de cualquier arquitectura de nube pública segura y totalmente compatible. Azure ofrece
un conjunto completo de servicios, herramientas y arquitecturas de referencia para que las organizaciones
puedan crear entornos altamente seguros y que funcionen de manera eficiente, como se describe aquí.
En esta sección se examinan las consideraciones y las recomendaciones de diseño relativas a IAM en un entorno
empresarial.
RO L E USO A C C IO N ES N IN GUN A A C C IÓ N
Use el acceso Just-in-Time de Azure Security Center en todos los recursos de tipo Infraestructura como
servicio (IaaS) y así habilitar la protección de nivel de red para el acceso de usuario efímero a las máquinas
virtuales de IaaS.
Use identidades administradas de Azure AD para recursos de Azure a fin de evitar la autenticación en función
de los nombres de usuario y las contraseñas. Como muchas infracciones de seguridad de los recursos de la
nube pública se originan con el robo de credenciales insertadas en el código u otros orígenes de texto, el uso
de identidades administradas para el acceso mediante programación reduce considerablemente el riesgo de
robo de credenciales.
Use identidades con privilegios para los runbooks de Automation que requieran permisos de acceso
elevados. Los flujos de trabajo automatizados que infringen los límites de seguridad críticos deben regirse
con las mismas herramientas y directivas que cuenten los usuarios con privilegios equivalentes.
No agregue usuarios directamente a los ámbitos de recursos de Azure. En su lugar, agregue usuarios a los
roles definidos, que luego se asignan a los ámbitos de recursos. Las asignaciones de usuarios directas eluden
la administración centralizada y aumentan en gran medida la administración necesaria para evitar el acceso
no autorizado a los datos restringidos.
Plan de la autenticación en una zona de aterrizaje
Una decisión de diseño fundamental que debe tomar una organización empresarial al adoptar Azure, es si
quiere ampliar el dominio de identidades local existente a Azure o si quiere crear uno nuevo. Los requisitos de
autenticación dentro de la zona de aterrizaje deben evaluarse minuciosamente e incorporarse en planes para
implementar Active Directory Domain Services (AD DS) en Windows Server, Azure AD Domain Services
(Azure AD DS) o ambos. La mayoría de los entornos de Azure usarán al menos Azure AD para la autenticación
del tejido de Azure, la autenticación del host local de AD DS y la administración de directivas de grupo.
Consideraciones de diseño:
Tenga en cuenta las responsabilidades centralizadas y delegadas para administrar los recursos
implementados dentro de la zona de aterrizaje.
Las aplicaciones que dependen de los servicios de dominio y utilizan protocolos más antiguos pueden usar
Azure AD DS.
Recomendaciones de diseño:
Use las responsabilidades centralizadas y delegadas para administrar los recursos implementados en la zona
de aterrizaje en función de los requisitos de roles y seguridad.
Las operaciones con privilegios, como la creación de objetos de entidades de servicio, el registro de
aplicaciones en Azure AD y la obtención y administración de certificados o certificados comodín requieren
permisos especiales. Tenga en cuenta qué usuarios van a controlar estas solicitudes y cómo va a proteger y
supervisar sus cuentas con el grado de diligencia necesaria.
Si una organización tiene un escenario en el que el acceso a una aplicación que use la autenticación
integrada de Windows deba realizarse de forma remota con Azure AD, considere la posibilidad de usar
Azure AD Application Proxy.
Hay una diferencia entre Azure AD, Azure AD DS y AD DS que se ejecuta en Windows Server. Evalúe las
necesidades de la aplicación y comprenda y documente el proveedor de autenticación que utilizará cada una
de ellas. Realice sus planes teniendo en mente todas las aplicaciones.
Evalúe la compatibilidad de las cargas de trabajo para AD DS en Windows Server y para Azure AD DS.
Asegúrese de que el diseño de red permite que los recursos que requieren AD DS en Windows Server para la
autenticación y administración locales obtengan acceso a los controladores de dominio adecuados.
En el caso de AD DS en Windows Server, considere la posibilidad de usar entornos de servicios
compartidos que ofrezcan autenticación local y administración de host en un contexto de red más
amplio para toda la empresa.
Implemente Azure AD DS en la región primaria, ya que este servicio solo se puede proyectar en una
suscripción.
Use identidades administradas en lugar de entidades de servicio para realizar la autenticación en los
servicios de Azure. Este enfoque reduce la posibilidad de que le roben las credenciales.
Organización de grupos de administración y
suscripciones
21/04/2021 • 64 minutes to read • Edit Online
En esta serie de artículos se examinan las principales consideraciones de diseño y las recomendaciones en
relación con las redes y la conectividad hacia, desde y dentro de Microsoft Azure.
Conectividad a Azure
Esta sección desarrolla la información sobre la topología de red e incluye los modelos recomendados para
conectar las ubicaciones locales a Azure.
Para una organización, resulta fundamental planear el direccionamiento IP en Azure a fin de garantizar que no
haya espacios de direcciones IP que se superpongan entre las ubicaciones locales y las regiones de Azure.
Consideraciones de diseño:
Los espacios de direcciones IP superpuestos entre las regiones locales y de Azure crearán importantes
desafíos de contención.
Puede agregar un espacio de direcciones después de crear una red virtual. Este proceso requiere una
interrupción, si la red virtual ya está conectada a otra mediante el emparejamiento de red virtual, ya que
el emparejamiento se debe eliminar y volverse a crear.
Azure reserva algunas direcciones IP dentro de cada subred. Céntrese en esas direcciones al cambiar el
tamaño de las redes virtuales y las subredes englobadas.
Algunos servicios de Azure requieren subredes dedicadas. Entre estos servicios se incluyen Azure
Firewall y Azure VPN Gateway.
Puede delegar las subredes a determinados servicios para crear instancias de un servicio dentro de la
subred.
Recomendaciones de diseño:
Planee de antemano los espacios de direcciones IP que no se superponen entre las regiones de Azure y
las ubicaciones locales.
Use las direcciones IP de la asignación de direcciones para las redes de Internet privadas (RFC 1918).
En entornos que tienen disponibilidad limitada de direcciones IP privadas (RFC 1918), considere el uso de
IPv6.
No cree redes virtuales innecesariamente grandes (por ejemplo: /16 ) para asegurarse de que el espacio
de direcciones IP no se desperdicie.
No cree redes virtuales sin planear el espacio de direcciones necesario de antemano. Al agregar espacio
de direcciones, se producirá una interrupción una vez que una red virtual se conecte mediante el
emparejamiento de redes virtuales.
No use direcciones IP públicas para las redes virtuales, en especial si no pertenecen a su organización.
DNS para recursos locales y de Azure
08/03/2021 • 3 minutes to read • Edit Online
Las cargas de trabajo especiales que requieren e implementan su propio DNS (como Red Hat OpenShift)
deben usar su solución de DNS preferida.
Habilite el registro automático para que Azure DNS administre automáticamente el ciclo de vida de los
registros DNS de las máquinas virtuales implementadas en una red virtual.
Use una máquina virtual como solucionador para la resolución de DNS entre entornos con DNS privado
de Azure.
Cree una instancia de Azure Private DNS Zones en la suscripción de conectividad global. Puede crear
otras zonas de DNS privado de Azure (por ejemplo, privatelink.database.windows.net o
privatelink.blob.core.windows.net para Azure Private Link).
Integración de Private Link y DNS a gran escala
22/04/2021 • 21 minutes to read • Edit Online
En este artículo se describe cómo integrar Azure Private Link para los servicios de PaaS con zonas de DNS
privado de Azure en las arquitecturas de red en estrella tipo hub-and-spoke.
Introducción
Muchos clientes crean su infraestructura de red en Azure con la arquitectura de red en estrella tipo hub-and-
spoke, donde:
los servicios compartidos de redes (como las aplicaciones virtuales de red, las puertas de enlace de
ExpressRoute o VPN o los servidores DNS) se implementan en la red virtual de concentrador (VNet);
las redes virtuales radiales consumen esos servicios compartidos mediante el emparejamiento de redes
virtuales.
En las arquitecturas de red en estrella tipo hub-and-spoke, se suele proporcionar a los propietarios de la
aplicación una suscripción a Azure, que incluye una red virtual (radio) conectada a la red virtual de
concentrador. En esta arquitectura, pueden implementar sus máquinas virtuales y tener conectividad privada
con otras redes virtuales o con redes locales mediante ExpressRoute o VPN.
La conectividad saliente a Internet se proporciona mediante una aplicación virtual de red central (NVA) como
Azure Firewall.
Muchos equipos de aplicaciones crean sus soluciones mediante una combinación de recursos de IaaS y PaaS de
Azure. Algunos servicios de PaaS de Azure (como SQL Managed Instance) se pueden implementar en redes
virtuales de cliente. Como resultado, el tráfico seguirá siendo privado en la red de Azure y se podrá redirigir
completamente desde el entorno local.
Sin embargo, algunos servicios de PaaS de Azure (como Azure Storage o Azure Cosmos DB) no se pueden
implementar en las redes virtuales de un cliente y son accesibles mediante su punto de conexión público. En
algunos casos, esto puede provocar un conflicto con las directivas de seguridad de un cliente, ya que es posible
que el tráfico corporativo no permita la implementación de recursos corporativos (como una base de datos
SQL) o el acceso a estos mediante puntos de conexión públicos.
Azure Private Link permite el acceso a una lista de servicios de Azure mediante puntos de conexión privados,
pero requiere que esos registros de puntos de conexión privados estén registrados en una zona DNS
privadacorrespondiente.
En este artículo se describe cómo los equipos de aplicaciones pueden implementar servicios de PaaS de Azure
en sus suscripciones, a las que solo se puede obtener acceso mediante puntos de conexión privados.
En este artículo también se describe cómo los equipos de la aplicación pueden asegurarse de que los servicios
se integren automáticamente con las zonas DNS privadas mediante un DNS privado de Azure: eliminando la
necesidad de crear o eliminar manualmente registros en DNS.
Definiciones de directiva
Además de las zonas DNS privadas, también es necesario crear un conjunto de definiciones de Azure Policy
personalizadas para aplicar el uso de puntos de conexión privados y automatizar la creación de registros DNS
en la zona DNS que hemos creado:
1. Denegar el punto de conexión público para la directiva de servicios de PaaS
Esta directiva impedirá que los usuarios creen servicios de PaaS de Azure con puntos de conexión
públicos y les asignarán un mensaje de error si no se selecciona ningún punto de conexión privado al
crear el recurso.
La regla de directiva exacta puede diferir entre servicios de PaaS. En el caso de las cuentas de Azure
Storage, observamos la propiedad networkAcls.defaultAction que define si se permiten o no las
solicitudes de la red pública. En nuestro caso, estableceremos una condición para denegar la creación del
tipo de recurso Microsoft.Storage/storageAccounts si la propiedad networkAcls.defaultAction no
es Deny . Esta definición de directiva se muestra a continuación:
{
"mode": "All",
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"field": "Microsoft.Storage/storageAccounts/networkAcls.defaultAction",
"notequals": "Deny"
}
]
},
"then": {
"effect": "Deny"
}
}
}
2. Denegar la creación de una zona DNS privada con la directiva de prefijo privatelink
Dado que usamos una arquitectura DNS centralizada con un reenviador condicional y zonas DNS
privadas hospedadas en las suscripciones que administra el equipo de la plataforma, es necesario evitar
que los propietarios de los equipos de la aplicación creen sus propias zonas DNS privadas de Private Link
y que vinculen servicios a sus suscripciones.
Para ello, debemos asegurarnos de que, cuando los equipos de la aplicación creen un punto de conexión
privado, la opción de Integrate with private DNS zone se establezca en No si se usa Azure Portal.
Si se selecciona Yes , Azure Policy impedirá la creación del punto de conexión privado. En nuestra
definición de directiva, se denegará la creación del tipo de recurso
Microsoft.Network/privateDnsZones si la zona tiene el prefijo privatelink . Esta definición de
directiva se describe a continuación:
{
"description": "This policy restricts creation of private DNS zones with the `privatelink` prefix",
"displayName": "Deny-PrivateDNSZone-PrivateLink",
"mode": "All",
"parameters": null,
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Network/privateDnsZones"
},
{
"field": "name",
"like": "privatelink*"
}
]
},
"then": {
"effect": "Deny"
}
}
}
3. Directiva DeployIfNotExists para crear automáticamente el registro DNS necesario en la zona DNS
privada central
Esta directiva se desencadenará si se crea un recurso de punto de conexión privado con un identificador
groupId específico del servicio. groupId es el identificador del grupo obtenido del recurso remoto
(servicio) al que se debe conectar este punto de conexión privado. A continuación, desencadenamos una
implementación de privateDNSZoneGroup en el punto de conexión privado, que se usa para asociar el
punto de conexión privado con nuestra zona DNS privada. En nuestro ejemplo, el identificador groupId
para los blobs de Azure Storage es blob (el valor de groupId para otros servicios de Azure se puede
encontrar en este artículo, en la columna Subrecurso ). Cuando la directiva detecta que se ha creado
groupId en el punto de conexión privado, implementa un elemento privateDNSZoneGroup en el punto de
conexión privado y se vincula al identificador de recurso de la zona DNS privada que se especifica como
parámetro. En nuestro ejemplo, el identificador de recurso de la zona DNS privada sería:
/subscriptions/<subscription-
id>/resourceGroups/<resourceGroupName>/providers/Microsoft.Network/privateDnsZones/privatelink.blob.core.windows.net
{
"mode": "Indexed",
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Network/privateEndpoints"
},
{
"count": {
"field":
"Microsoft.Network/privateEndpoints/privateLinkServiceConnections[*].groupIds[*]",
"where": {
"field":
"Microsoft.Network/privateEndpoints/privateLinkServiceConnections[*].groupIds[*]",
"equals": "blob"
}
},
"greaterOrEquals": 1
"greaterOrEquals": 1
}
]
},
"then": {
"effect": "deployIfNotExists",
"details": {
"type": "Microsoft.Network/privateEndpoints/privateDnsZoneGroups",
"roleDefinitionIds": [
"/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c"
],
"existenceCondition": {
"allOf": [
{
"field":
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/privateDnsZoneConfigs[*].privateDnsZoneId",
"equals": "[parameters('privateDnsZoneId')]"
}
]
},
"deployment": {
"properties": {
"mode": "incremental",
"template": {
"$schema": "https://schema.management.azure.com/schemas/2019-04-
01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"privateDnsZoneId": {
"type": "string"
},
"privateEndpointName": {
"type": "string"
},
"location": {
"type": "string"
}
},
"resources": [
{
"name": "[concat(parameters('privateEndpointName'), '/deployedByPolicy')]",
"type": "Microsoft.Network/privateEndpoints/privateDnsZoneGroups",
"apiVersion": "2020-03-01",
"location": "[parameters('location')]",
"properties": {
"privateDnsZoneConfigs": [
{
"name": "storageBlob-privateDnsZone",
"properties": {
"privateDnsZoneId": "[parameters('privateDnsZoneId')]"
}
}
]
}
}
]
},
"parameters": {
"privateDnsZoneId": {
"value": "[parameters('privateDnsZoneId')]"
},
"privateEndpointName": {
"value": "[field('name')]"
},
"location": {
"value": "[field('location')]"
}
}
}
}
}
}
}
},
"parameters": {
"privateDnsZoneId": {
"type": "String",
"metadata": {
"displayName": "privateDnsZoneId",
"strongType": "Microsoft.Network/privateDnsZones"
}
}
}
}
Asignaciones de directivas
Una vez implementadas las definiciones de directiva, asigne las directivas en el ámbito deseado de la jerarquía
del grupo de administración. Asegúrese de que las asignaciones de la directiva tienen como destino las
suscripciones de Azure que usarán los equipos de la aplicación para implementar servicios de PaaS con acceso
de punto de conexión privado exclusivamente.
IMPORTANT
Recuerde asignar el rol de Colaborador de zona de DNS privada en la suscripción o el grupo de recursos en que estén
hospedadas las zonas DNS privadas a la identidad administrada creada por la asignación de directiva
DeployIfNotExists que será responsable de crear y administrar el registro DNS del punto de conexión privado en la
zona DNS privada. Esto se debe a que el punto de conexión privado se encuentra en la suscripción de Azure del
propietario de la aplicación, mientras que la zona DNS privada se encuentra en una suscripción diferente (como una
suscripción de conectividad central).
Una vez que el equipo de la plataforma termina esta configuración, las suscripciones a Azure de los equipos de
aplicaciones están listas para que creen los servicios de PaaS de Azure con acceso de punto de conexión privado
exclusivamente y se aseguren de que los registros DNS para los puntos de conexión privados se registran
automáticamente (y se quiten cuando se elimine el punto de conexión privado) en las zonas DNS privadas
correspondientes.
3. Es posible crear el punto de conexión privado en esta pantalla o también puede hacerlo después de crear
la cuenta de almacenamiento. En este ejercicio, crearemos el punto de conexión privado una vez creada la
cuenta de almacenamiento. Haga clic en Revisar y crear y complete la creación de la cuenta de
almacenamiento.
4. Una vez creada la cuenta de almacenamiento, cree un punto de conexión privado desde Azure Portal.
5. En la sección Recurso , busque la cuenta de almacenamiento creada en el paso anterior y, para el
subrecurso de destino, seleccione Blob y, a continuación, Siguiente .
10. Consulte el registro de actividad del grupo de recursos en el que se creó el punto de conexión privado.
También puede consultar el registro de actividad del propio punto de conexión privado. Observará que,
después de unos minutos, se ejecuta una acción de directiva DeployIfNotExist que configura el grupo de
zona DNS en el punto de conexión privado:
11. Si el equipo de redes central va a la zona DNS privada privatelink.blob.core.windows.net , confirmará
que se ha creado el registro DNS para el punto de conexión privado que hemos creado y que el nombre y
la dirección IP coinciden con los valores del punto de conexión privado.
En este punto, los equipos de la aplicación pueden usar la cuenta de almacenamiento mediante un punto de
conexión privado desde cualquier red virtual del entorno de red en estrella tipo hub-and-spoke y desde el
entorno local, ya que el registro DNS se ha registrado automáticamente en la zona DNS privada.
Si el propietario de una aplicación elimina el punto de conexión privado, se quitarán automáticamente los
registros correspondientes de la zona DNS privada.
Definición de una topología de red de Azure
08/03/2021 • 3 minutes to read • Edit Online
La topología de red es un elemento esencial de la arquitectura de escala empresarial, ya que define el modo en
que las aplicaciones pueden comunicarse entre sí. En esta sección se analizan las tecnologías y las soluciones de
topología para las implementaciones de Azure. Se centra en dos enfoques principales: topologías basadas en
Azure Virtual WAN y topologías tradicionales.
Virtual WAN se usa para cumplir los requisitos de interconectividad a gran escala. Dado que se trata de un
servicio administrado por Microsoft, también reduce la complejidad general de la red y ayuda a modernizar la
red de la organización. Una topología de Virtual WAN puede ser más adecuada si alguno de los siguientes
puntos se ajusta a sus requisitos:
Su organización tiene previsto implementar recursos en varias regiones de Azure y requiere conectividad
global entre redes virtuales en estas regiones de Azure y varias ubicaciones locales.
La organización tiene la intención de integrar una red de sucursales a gran escala directamente en Azure a
través de una implementación de WAN (SD-WAN) definida por software o requiere más de 30 sitios de
sucursal para la terminación de IPsec nativa.
Requiere enrutamiento transitivo entre VPN y ExpressRoute. Por ejemplo, las sucursales remotas conectadas
mediante VPN de sitio a sitio o los usuarios remotos conectados mediante VPN de punto a sitio requieren
conectividad con un controlador de dominio conectado de ExpressRoute a través de Azure.
Una topología de red en estrella tipo hub-and-spoke tradicional le ayuda a crear redes seguras personalizadas a
gran escala en Azure en las que el cliente administra el enrutamiento y la seguridad. Una topología tradicional
puede ser más adecuada si alguno de los siguientes puntos se ajusta a sus requisitos:
Su organización piensa implementar recursos en una o varias regiones de Azure y, aunque es previsible
cierto tráfico entre regiones de Azure (por ejemplo, tráfico entre dos redes virtuales de dos regiones
diferentes de Azure), no se requiere una red de malla completa en todas las regiones de Azure.
Tiene un número reducido de ubicaciones remotas o sucursales por región. Es decir, necesita menos de
30 túneles de sitio a sitio IPsec.
Necesita control total y granularidad para configurar manualmente la directiva de enrutamiento de red de
Azure.
Explore las principales recomendaciones y consideraciones de diseño en relación con las redes virtuales de área
extensa (Virtual WAN) en Microsoft Azure.
Explore las consideraciones y las recomendaciones claves en el diseño de las topologías de red en Microsoft
Azure.
Esta sección desarrolla la información sobre la topología de red e incluye los modelos recomendados para
conectar las ubicaciones locales a Azure.
Consideraciones de diseño:
Azure ExpressRoute proporciona conectividad privada dedicada para la funcionalidad de infraestructura
como servicio (IaaS) y plataforma como servicio (PaaS) de Azure desde ubicaciones locales.
Puede usar Private Link para establecer las conexiones con los servicios PaaS a través de ExpressRoute
mediante el emparejamiento privado.
Cuando varias redes virtuales estén conectadas al mismo circuito ExpressRoute, se convierten en parte
del mismo dominio de enrutamiento y todas las redes virtuales comparten el ancho de banda.
Puede usar Global Reach de ExpressRoute, si está disponible, en el caso de que desee conectarse a
ubicaciones locales mediante circuitos ExpressRoute para enviar el tráfico a través de la red troncal de
Microsoft.
Global Reach de ExpressRoute está disponible en muchas ubicaciones de emparejamiento de
ExpressRoute.
ExpressRoute Direct permite la creación de varios circuitos ExpressRoute sin costo adicional, hasta la
capacidad del puerto ExpressRoute Direct (10 Gbps o 100 Gbps). También permite conectarse
directamente a los enrutadores ExpressRoute de Microsoft. En el caso de la SKU de 100 Gbps, el ancho de
banda mínimo del circuito es de 5 Gbps. En el caso de la SKU de 10 Gbps, el ancho de banda mínimo del
circuito es de 1 Gbps.
Recomendaciones de diseño:
use ExpressRoute como canal de conectividad principal para conectar una red local a Azure. Puede usar
VPN como origen de la conectividad de respaldo para mejorar la resistencia de la conectividad.
Use los circuitos ExpressRoute dobles de diferentes ubicaciones de emparejamiento al conectar una
ubicación local a las redes virtuales en Azure. Esta configuración garantizará las rutas de acceso
redundantes a Azure, al eliminar los puntos únicos de error entre el entorno local y Azure.
Cuando use varios circuitos ExpressRoute, optimice el enrutamiento de ExpressRoute a través de la
preferencia local de BGP y anteponiendo AS PATH.
Asegúrese de usar la SKU adecuada para las puertas de enlace de ExpressRoute o VPN en función de los
requisitos de ancho de banda y rendimiento.
Implemente una puerta de enlace de ExpressRoute con redundancia de zona en las regiones de Azure
admitidas.
Para los escenarios que requieren un ancho de banda superior a 10 Gbps o puertos de 10/100 Gbps
dedicados, use ExpressRoute Direct.
Cuando se requiere una latencia baja o el rendimiento del entorno local a Azure debe ser superior a
10 Gbps, debe habilitar FastPath para omitir la puerta de enlace de ExpressRoute en la ruta de acceso de
datos.
Use puertas de enlace de VPN para conectar sucursales o ubicaciones remotas a Azure. Para una mayor
resistencia, implemente puertas de enlace con redundancia de zona (cuando está disponible).
Use Global Reach de ExpressRoute para conectar oficinas grandes, sedes regionales o centros de datos
conectados a Azure a través de ExpressRoute.
Cuando se requiera el aislamiento del tráfico o el ancho de banda dedicado, por ejemplo, para separar los
entornos, tanto los que están en producción como los que no, use circuitos ExpressRoute diferentes. Le
ayudará a asegurarse de que los dominios de enrutamiento estén aislados y a aliviar el riesgo de sufrir
entornos ruidosos.
Supervise de forma proactiva los circuitos ExpressRoute con Network Performance Monitor.
No use explícitamente circuitos ExpressRoute desde una sola ubicación de emparejamiento. De esta
forma, se crea un único punto de error y la organización es vulnerable a las interrupciones en la
ubicación del emparejamiento.
Conectividad con servicios PaaS de Azure
08/03/2021 • 4 minutes to read • Edit Online
A partir de lo indicado en las secciones sobre conectividad anteriores, en esta sección se explorarán las
soluciones de conectividad recomendadas al usar los servicios PaaS de Azure.
Consideraciones de diseño:
Normalmente, se accede a los servicios PaaS de Azure a través de puntos de conexión públicos. Sin
embargo, la plataforma Azure ofrece funcionalidades para proteger dichos puntos de conexión o incluso
hacerlos totalmente privados:
La inserción de red virtual proporciona implementaciones privadas dedicadas para los servicios
compatibles. El tráfico del plano de administración sigue fluyendo mediante direcciones IP
públicas.
Private Link proporciona un acceso dedicado mediante direcciones IP privadas a instancias de
PaaS de Azure o a servicios personalizados detrás de Azure Load Balancer de nivel estándar.
Los puntos de conexión del servicio de red virtual proporcionan acceso de nivel de servicio de las
subredes seleccionadas a los servicios PaaS seleccionados.
A menudo, a las empresas les preocupan los puntos de conexión públicos para los servicios PaaS que
deben mitigarse de forma adecuada.
En el caso de los servicios admitidos, Private Link soluciona los problemas de la filtración de datos
asociados con los puntos de conexión de servicio. También puede usar el filtrado de salida a través de los
dispositivos virtuales de red para proporcionar pasos que mitiguen la filtración de datos.
Recomendaciones de diseño:
Use la inserción de red virtual para los servicios de Azure compatibles, a fin de hacer que estén
disponibles desde la red virtual.
Los servicios PaaS de Azure que se han insertado en una red virtual aún realizan operaciones del plano
de administración mediante direcciones IP públicas. Asegúrese de que esta comunicación esté bloqueada
dentro de la red virtual con enrutamientos definidos por el usuario y grupos de seguridad de red.
Use Private Link, si está disponible, para los servicios PaaS de Azure compartidos. Private Link está
disponible con carácter general para varios servicios y está en versión preliminar pública para muchos
otros.
Acceda a los servicios PaaS de Azure desde el entorno local a través del emparejamiento privado de
ExpressRoute. Use la inserción de red virtual para los servicios de Azure dedicados o bien Azure Private
Link para los servicios de Azure compartidos disponibles. Para acceder a los servicios PaaS de Azure
desde el entorno local cuando no esté disponible la inserción de red virtual o Private Link, use
ExpressRoute con el emparejamiento de Microsoft. Este método evita el tránsito a través de la red pública
de Internet.
Use puntos de conexión del servicio de red virtual para proteger el acceso a los servicios PaaS de Azure
desde la red virtual, pero solo cuando Private Link no esté disponible y no se produzcan problemas de
filtración de datos. Para solucionar los problemas de filtración de datos con los puntos de conexión de
servicio, use el filtrado de dispositivos virtuales de red o las directivas de punto de conexión de servicio
de red virtual para Azure Storage.
No habilite los puntos de conexión del servicio de red virtual de forma predeterminada en todas las
subredes.
No use puntos de conexión de servicio de red virtual cuando haya problemas de filtración de datos, a
menos que use el filtrado de dispositivos virtuales de red.
No se recomienda implementar la tunelización forzada para habilitar la comunicación de Azure a los
recursos de Azure.
Planeamiento de la conectividad de Internet
entrante y saliente
08/03/2021 • 5 minutes to read • Edit Online
En esta sección se describen los modelos de conectividad recomendados para las conexiones entrantes y
salientes con la red pública de Internet como origen y destino.
Consideraciones de diseño:
Los servicios de seguridad de red nativos de Azure como Azure Firewall, Azure Web Application Firewall
(WAF) en Azure Application Gateway y Azure Front Door son servicios totalmente administrados. Por lo
tanto, no se incurre en los costos operativos y de administración asociados a las implementaciones de
infraestructura, lo que puede resultar complejo a escala.
La arquitectura de escala empresarial es totalmente compatible con los dispositivos virtuales de red de
asociados, en caso de que su organización los prefiera, o bien en situaciones en las que los servicios
nativos no satisfagan los requisitos específicos de su organización.
Recomendaciones de diseño:
Use las etiquetas de Azure Firewall para controlar:
El tráfico saliente de Azure a Internet.
Las conexiones entrantes que no son de HTTP/S.
El filtrado del tráfico este-oeste (si lo requiere su organización).
Use Firewall Manager con Virtual WAN para implementar y administrar firewalls de Azure en centros de
conectividad de Virtual WAN o redes virtuales de centro de conectividad. Firewall Manager está
disponible actualmente con disponibilidad general para Virtual WAN y para las redes virtuales normales.
Cree una directiva de Azure Firewall global para controlar la postura de seguridad en todo el entorno de
red global y asígnela a todas las instancias de Azure Firewall. Permita que las directivas pormenorizadas
cumplan los requisitos de regiones específicas al delegar las directivas de firewall incrementales a los
equipos de seguridad locales mediante el control de acceso basado en rol de Azure.
Configure los proveedores de seguridad SaaS de asociados compatibles en Firewall Manager si la
organización quiere usar tales soluciones para proteger las conexiones salientes.
Use WAF en una red virtual de zona de aterrizaje para proteger el tráfico entrante HTTP/S de Internet.
Use las directivas de WAF y Azure Front Door para proporcionar protección global en todas las regiones
de Azure para las conexiones entrantes HTTP/S a una zona de aterrizaje.
Cuando utilice Azure Front Door y Azure Application Gateway para ayudar a proteger las aplicaciones
HTTP/S, use las directivas del WAF de Azure Front Door. Bloquee Azure Application Gateway para que
reciba solo el tráfico procedente de Azure Front Door.
Si se requieren dispositivos virtuales de red de asociados para la protección y filtrado del tráfico este-
oeste o sur-norte:
En el caso de las topologías de red Virtual WAN, implemente los dispositivos virtuales de red en una
red virtual independiente (por ejemplo, una red virtual NVA). A continuación, conéctelo al centro de
conectividad de Virtual WAN y a las zonas de aterrizaje que requieran acceso a los dispositivos
virtuales de red. En este artículo se describe el proceso.
En el caso de las topologías de red que no sean de Virtual WAN, implemente los dispositivos virtuales
de red de asociales en la red virtual del centro de conectividad central.
Si se requieren NVA de asociados para las conexiones entrantes HTTP/S, impleméntelas en una red
virtual de zona de aterrizaje junto con las aplicaciones a las que protegen y exponen a Internet.
Use los planes de protección estándar de Azure DDoS Protection para proteger todos los puntos de
conexión públicos hospedados en las redes virtuales.
No replique los conceptos y arquitecturas de redes perimetrales locales en Azure. Hay funcionalidades de
seguridad similares disponibles en Azure, pero la implementación y la arquitectura deben adaptarse a la
nube.
Planeamiento para la entrega de aplicaciones
08/03/2021 • 2 minutes to read • Edit Online
En esta sección se analizan las principales recomendaciones para entregar aplicaciones internas y externas de
una manera segura, muy escalable y con una elevada disponibilidad.
Consideraciones de diseño:
Azure Load Balancer (interno y público) proporciona alta disponibilidad para la entrega de aplicaciones
en el nivel regional.
Azure Application Gateway permite la entrega segura de aplicaciones HTTP/S en el nivel regional.
Azure Front Door permite la entrega segura de aplicaciones HTTP/S con alta disponibilidad entre
regiones de Azure.
Azure Traffic Manager permite la entrega de aplicaciones globales.
Recomendaciones de diseño:
Realice la entrega de aplicaciones dentro de las zonas de aterrizaje, tanto para las aplicaciones internas
como para las externas.
Para lograr la entrega segura de las aplicaciones HTTP/S, use Application Gateway v2 y asegúrese de que
estén habilitadas las directivas y la protección de WAF.
Use una NVA de asociado si no puede usar Application Gateway v2 para la seguridad de las aplicaciones
HTTP/S.
Implemente Azure Application Gateway v2 o las NVA de los asociados que se usen para las conexiones
HTTP/S entrantes dentro de la red virtual de la zona de aterrizaje junto con las aplicaciones que vayan a
proteger.
Use un plan de protección contra DDoS estándar para todas las direcciones IP públicas en una zona de
aterrizaje.
Use Azure Front Door con directivas WAF para entregar y ayudar a proteger aplicaciones HTTP/S globales
que abarquen regiones de Azure.
Cuando vaya a usar Front Door y Application Gateway para ayudar a proteger aplicaciones HTTP/S, use
las directivas WAF de Front Door. Bloquee Application Gateway para recibir tráfico únicamente desde
Front Door.
Use Traffic Manager para ofrecer aplicaciones globales que abarquen protocolos distintos de HTTP/S.
Planeamiento de la segmentación de la red de zona
de aterrizaje
24/04/2021 • 4 minutes to read • Edit Online
En esta sección se analizan las recomendaciones clave para ofrecer una segmentación muy segura de la red
interna en una zona de aterrizaje para impulsar una implementación de red de confianza cero.
Consideraciones de diseño:
El modelo de confianza cero presupone un estado de infracción y comprueba cada solicitud como si
proviniera de una red no controlada.
Una implementación de red avanzada de cero confianza emplea microperímetros de entrada y salida de
la nube totalmente distribuidos y una microsegmentación más profunda.
Los grupos de seguridad de red pueden usar etiquetas de servicio de Azure para facilitar la conectividad
con los servicios PaaS de Azure.
Los grupos de seguridad de aplicaciones no abarcan ni proporcionan protección en las redes virtuales.
Los registros de flujo de grupos de seguridad de red ahora se admiten mediante las plantillas de Azure
Resource Manager.
Recomendaciones de diseño:
Delegue la creación de subredes al propietario de la zona de aterrizaje. De esta forma, podrán definir el
modo de segmentar las cargas de trabajo entre subredes (por ejemplo, una sola subred de gran tamaño,
una aplicación de varios niveles o una aplicación insertada en la red). El equipo de la plataforma puede
usar Azure Policy para asegurarse de que un grupo de seguridad de red con reglas específicas (como la
denegación de SSH o RDP entrante desde Internet, o la opción para permitir o bloquear el tráfico entre
zonas de aterrizaje) siempre esté asociado a las subredes que tengan directivas de solo denegación.
Use los grupos de seguridad de red a través de las subredes, así como el tráfico este-oeste a través de la
plataforma (tráfico entre zonas de aterrizaje).
El equipo de la aplicación debe usar grupos de seguridad de aplicaciones en los grupos de seguridad de
red de las subredes para proteger las máquinas virtuales de varios niveles dentro de su zona de
aterrizaje.
Use NSG y grupos de seguridad de aplicaciones para microsegmentar el tráfico dentro de la zona de
aterrizaje y evite el uso de una NVA central para filtrar los flujos de tráfico.
Habilite los registros de flujo de NSG y envíelos a Análisis de tráfico para obtener conclusiones sobre los
flujos de tráfico interno y externo.
Use los grupos de seguridad de red para permitir de forma selectiva la conectividad entre las zonas de
aterrizaje.
En el caso de las topologías de Virtual WAN, enrute el tráfico entre las zonas de aterrizaje a través de
Azure Firewall, si su organización necesita funciones de filtrado y registro para el flujo de tráfico entre
zonas de aterrizaje.
Si su organización decide implementar la tunelización forzada (anuncie la ruta predeterminada) en el
entorno local, se recomienda incorporar las siguientes reglas de salida para el grupo de seguridad de
red para denegar el tráfico de salida desde las redes virtuales directamente a Internet en caso de que la
sesión BGP deje de estar activa.
NOTE
Las prioridades de las reglas se deberán ajustar en función del conjunto de reglas existente del grupo de seguridad de red.
En esta sección se analizan las recomendaciones clave para lograr el cifrado de red entre el entorno local y
Azure, así como entre regiones de Azure.
Consideraciones de diseño:
El costo y el ancho de banda disponible son inversamente proporcionales a la longitud del túnel de
cifrado entre los puntos de conexión.
Al usar una red privada virtual para conectarse a Azure, el tráfico se cifra a través de Internet mediante
los túneles IPsec.
Cuando se usa ExpressRoute con el emparejamiento privado, actualmente el tráfico no se cifra.
La configuración de una conexión VPN de sitio a sitio mediante el emparejamiento privado de
ExpressRoute se encuentra ya en versión preliminar.
Puede aplicar el cifrado de Seguridad de control de acceso a medios (MACsec) a ExpressRoute Direct para
lograr el cifrado de red.
Cuando el tráfico de Azure se mueve entre centros de datos (fuera de los límites físicos no controlados
por Microsoft o en nombre de Microsoft), se usa el cifrado de capa de vínculo de datos MACsec en el
hardware de red subyacente. Esto es aplicable al tráfico de emparejamiento de VNet.
Recomendaciones de diseño:
En muchos sectores, las organizaciones requieren que el tráfico en Azure se refleje en un recopilador de
paquetes de red para llevar a cabo una inspección y un análisis en profundidad. Este requisito se suele centrar
en el tráfico entrante y saliente de Internet. En esta sección se describen las consideraciones clave y los enfoques
recomendados para el reflejo o transmisión del tráfico en Azure Virtual Network.
Consideraciones de diseño:
Punto de acceso de terminal de Azure Virtual Network está en versión preliminar. Póngase en contacto
con [email protected] para obtener detalles de disponibilidad.
La captura de paquetes en Azure Network Watcher está disponible con carácter general, pero las capturas
se limitan a un período máximo de cinco horas.
Recomendaciones de diseño:
Como alternativa a TAP de Azure Virtual Network, evalúe las siguientes opciones:
Use los paquetes de Network Watcher para las capturas, a pesar de la ventana de captura limitada.
Evalúe si la versión más reciente de los registros de flujo del grupo de seguridad de red proporciona el
nivel de detalle que necesita.
Use soluciones de asociados para los escenarios que requieren una inspección en profundidad de los
paquetes.
No desarrolle una solución personalizada para reflejar el tráfico. Aunque este enfoque puede ser
aceptable en los escenarios a pequeña escala, no es aconsejable a una escala mayor debido a la
complejidad y a los problemas de compatibilidad que puedan surgir.
Conectividad con otros proveedores de nube
12/03/2021 • 6 minutes to read • Edit Online
Examine las principales recomendaciones y consideraciones de diseño en relación con los distintos enfoques de
conectividad para integrar una arquitectura de zona de aterrizaje de escala empresarial de Azure en otros
proveedores de nube.
Figura 2: Interconectividad entre Azure y OCI con una red virtual única.
Al implementar los recursos de Azure en Availability Zones, realice pruebas de latencia de VM de Azure
ubicadas en distintas zonas de disponibilidad con los recursos de OCI para comprender cuál de las tres
zonas de disponibilidad proporciona la latencia más baja a los recursos de OCI.
Para trabajar con recursos de Oracle hospedados en OCI mediante el uso de recursos y tecnologías de
Azure, puede hacer lo siguiente:
Desde Azure: implementar un jumpbox en una red virtual de radio. El jumpbox proporciona
acceso a la red de la nube virtual en OCI, tal como se muestra en la siguiente imagen:
Una organización o empresa necesita diseñar funcionalidades adecuadas del nivel de plataforma que las cargas
de trabajo de las aplicaciones puedan consumir para satisfacer sus requisitos específicos. En concreto, estas
cargas de trabajo de aplicaciones tienen requisitos relacionados con la recuperación del objetivo de tiempo
(RTO) y el objetivo de punto de recuperación (RPO). Asegúrese de capturar los requisitos de recuperación ante
desastres (DR) para diseñar las funcionalidades adecuadas para estas cargas de trabajo.
Consideraciones de diseño:
Tenga en cuenta los siguientes factores:
Requisitos de disponibilidad de la aplicación y los datos, y el uso de patrones de disponibilidad de tipo
"activo-activo" y "activo-pasivo" (como los requisitos de RTO y RPO de la carga de trabajo).
Continuidad empresarial y recuperación ante desastres para los servicios de Plataforma como servicio
(PaaS) y las características de alta disponibilidad y la disponibilidad de la recuperación ante desastres
nativa.
Compatibilidad con implementaciones de varias regiones con fines de conmutación por error, con
proximidad de componentes por motivos de rendimiento.
Operaciones de aplicación con funcionalidad reducida o rendimiento degradado si se produce una
interrupción.
Idoneidad de la carga de trabajo para zonas de disponibilidad o conjuntos de disponibilidad.
Uso compartido de datos y dependencias entre zonas.
Repercusión de Availability Zones en los dominios de actualización en comparación con los
conjuntos de disponibilidad y el porcentaje de cargas de trabajo que pueden estar en
mantenimiento al mismo tiempo.
Compatibilidad con SKU de máquinas virtuales específicas con zonas de disponibilidad.
Es necesario usar zonas de disponibilidad si se usa el almacenamiento en disco Ultra de
Microsoft Azure.
Copias de seguridad coherentes para aplicaciones y datos.
Instantáneas de máquina virtual y uso de Azure Backup y almacenes de Recovery Services.
Los límites de la suscripción restringen el número de almacenes de Recovery Services y el tamaño
de cada almacén.
Funcionalidades de replicación geográfica y recuperación ante desastres para los servicios PaaS.
Conectividad de red si se produce una conmutación por error.
Planeamiento de la capacidad de ancho de banda para Azure ExpressRoute.
Enrutamiento del tráfico si se produce una interrupción regional, de zona o de red.
Conmutaciones por error planeadas y no planeadas.
Los requisitos de coherencia de las direcciones IP y la posible necesidad de mantener direcciones
IP después de la conmutación por error y la conmutación por recuperación.
Capacidades de DevOps de ingeniería que se mantienen.
Recuperación ante desastres de Azure Key Vault para las claves de aplicaciones, certificados y secretos.
Recomendaciones de diseño:
A continuación se muestran los procedimientos recomendados para el diseño:
Emplee Azure Site Recovery en escenarios de recuperación ante desastres de Azure a Azure Virtual
Machines. De este modo, puede replicar las cargas de trabajo entre las regiones.
Site Recovery proporciona capacidades de plataforma integradas para que las cargas de trabajo de VM
cumplan los requisitos de RPO/RTO bajo, a través de la replicación en tiempo real y la automatización de
la recuperación. Además, el servicio proporciona la capacidad de ejecutar simulacros de recuperación sin
afectar a las cargas de trabajo en producción. Puede usar Azure Policy para habilitar la replicación y
también para auditar la protección de las máquinas virtuales.
Use las funcionalidades de recuperación ante desastres del servicio PaaS nativo.
Las características integradas proporcionan una solución sencilla a la compleja tarea que supone
compilar la replicación y la conmutación por error en una arquitectura de carga de trabajo, lo que
simplifica tanto la automatización del diseño como la implementación. Una organización que ha definido
un estándar para los servicios que usa, también puede auditar y aplicar la configuración del servicio a
través de Azure Policy.
Use las funcionalidades de la copia de seguridad nativa de Azure.
Las características de copia de seguridad nativas de Azure Backup y PaaS eliminan la necesidad de
administrar la infraestructura y el software de copia de seguridad de terceros. Al igual que con otras
características nativas, puede establecer, auditar y aplicar las configuraciones de copia de seguridad con
Azure Policy. De este modo se garantiza que los servicios sigan siendo compatibles con los requisitos de
la organización.
Use varias regiones y ubicaciones de emparejamiento para la conectividad de ExpressRoute.
Una arquitectura de red híbrida redundante puede ayudarle a garantizar una conectividad entre locales
ininterrumpida en caso de que se produzca una interrupción de servicio que afecte a una región de Azure
o a una ubicación del proveedor de emparejamiento.
Evite el uso de intervalos de direcciones IP superpuestos para los sitios de producción y de recuperación
ante desastres.
Cuando sea posible, planee una continuidad empresarial y una arquitectura de red de recuperación ante
desastres que proporcione una conectividad simultánea a todos los sitios. Las redes de recuperación ante
desastres que usan los mismos bloques de enrutamiento entre dominios sin clase, como son las redes de
producción, requerirán un proceso de conmutación por error de red que pueda complicar y retrasar la
conmutación por error de las aplicaciones en caso de una interrupción.
Seguridad, gobernanza y cumplimiento a escala
empresarial
23/03/2021 • 24 minutes to read • Edit Online
Aplicar el flujo de tráfico de red para ¿Es posible inspeccionar el tráfico que
las operaciones de administración y de entra y sale del servicio? ¿Se puede
plano de datos forzar el tráfico por túnel con el
enrutamiento definido por el usuario?
Administración de identidades y Autenticación y control de acceso ¿Se rigen todas las operaciones del
acceso plano de control por Azure AD? ¿Hay
un plano de control anidado, como
con Azure Kubernetes Service?
Cumplimiento de servicio de Azure Confirmación de servicio, certificación ¿Es compatible el servicio con
y auditorías externas PCI/ISO/SOC?
En este artículo se describe cómo empezar a trabajar con la implementación de referencia nativa de la
plataforma de escala empresarial y se definen los objetivos de diseño.
Para implementar la arquitectura de escala empresarial, debe considerar las siguientes categorías de actividades:
1. Actividades necesarias para la arquitectura de escala empresarial: engloba las actividades que
deben realizar los administradores de Azure Active Directory (Azure AD) para establecer una
configuración inicial. Estas actividades son secuenciales por naturaleza y son principalmente actividades
puntuales.
2. Habilitación de una nueva región (Archivo -> Nuevo -> Región): engloba las actividades que
serán necesarias siempre que haya que expandir la plataforma de escala empresarial en una nueva
región de Azure.
3. Implementación de una nueva zona de aterrizaje (Archivo -> Nuevo -> Zona de aterrizaje):
se trata de actividades periódicas necesarias para crear una instancia de una nueva zona de aterrizaje.
Para operar a escala, estas actividades deben seguir los principios de la infraestructura como código (IaC) y se
deben automatizar mediante canalizaciones de implementación.
N O M B RE DESC RIP C IÓ N
Deny-VNET-Peering-Cross- Impide que las conexiones de Asegúrese de que esta directiva solo se
Subscription emparejamiento de VNET se creen en asigna en el nivel de ámbito de la
/.AzState) otras redes virtuales fuera de la jerarquía del grupo de administración
suscripción. de espacios aislados.
N O M B RE DESC RIP C IÓ N N OTA S SO B RE L A A SIGN A C IÓ N
Denied-Resources Recursos cuya creación se deniega en Al asignar esta directiva, seleccione los
/.AzState/Microsoft.Authorization_polic las suscripciones del espacio aislado. siguientes recursos para denegar la
yAssignments-Denied- Esto impedirá que los recursos de creación de: Puertas de enlace de VPN:
Resources.parameters.json) conectividad híbrida se creen. Por microsoft.network/vpngateways ,
ejemplo, puertas de enlace P2S:
VPN/ExpressRoute/VirtualWAN microsoft.network/p2svpngateways ,
instancias de Virtual WAN:
microsoft.network/virtualwans ,
centros de conectividad de Virtual
WAN:
microsoft.network/virtualhubs ,
circuitos ExpressRoute:
microsoft.network/expressroutecircuits
, puertas de enlace de ExpressRoute:
microsoft.network/expressroutegateways
, puertos ExpressRoute:
microsoft.network/expressrouteports
, conexiones cruzadas de ExpressRoute:
microsoft.network/expressroutecrossconnections
y puertas de enlace de red local:
microsoft.network/localnetworkgateways
.
N O M B RE DESC RIP C IÓ N
N O M B RE DESC RIP C IÓ N
Deploy-Diag-LogAnalytics
/.AzState/Microsoft.Authorization_policyDefinitions-Deploy-
Log-Analytics.parameters.json)
Identidad de la plataforma
1. Si crea los recursos de identidad mediante Azure Policy, asigne las directivas que se muestran en la tabla
siguiente a la suscripción de identidad. Al hacerlo, Azure Policy se asegura de que los recursos de la lista
siguiente se creen según los parámetros proporcionados.
2. Implemente controladores de dominio de Active Directory.
En la siguiente lista se muestran las directivas que se pueden usar al implementar recursos de identidad para
una implementación a escala empresarial.
N O M B RE DESC RIP C IÓ N
N O M B RE DESC RIP C IÓ N
Azure proporciona servicios nativos para implementar las zonas de aterrizaje. Otras herramientas de terceros
también pueden ayudarle con este trabajo. Una herramienta de este tipo que los clientes y asociados suelen
usar para implementar zonas de aterrizaje es Terraform de HashiCorp.
En esta sección se muestra cómo usar el módulo Terraform oficial para Cloud Adoption Framework a escala
empresarial para acelerar la administración de zonas de aterrizaje de Azure a escala mediante Terraform.
Diagrama de la arquitectura
El módulo Terraform para Cloud Adoption Framework a escala empresarial implementa los siguientes
componentes de la arquitectura de referencia de escala empresarial:
Figura 1: información general de los recursos implementados por el módulo Terraform para Cloud Adoption
Framework de escala empresarial.
Capacidades
Los componentes implementados y su finalidad incluyen lo siguiente:
C O M P O N EN T E RESP O N SA B IL IDA D
Configuración de Access control (IAM) Crear y asignar roles en la jerarquía de recursos para
garantizar el cumplimiento de las directivas de RBAC:
Crear definiciones de roles personalizados para garantizar
el principio de privilegios mínimos.
Crear asignaciones de roles en el ámbito adecuado para
asegurarse de que los equipos de plataforma y aplicación
tengan los permisos adecuados.
C O M P O N EN T E RESP O N SA B IL IDA D
Personalización e implementación
Para facilitar la familiarización con este módulo, se ha publicado en el registro de Terraform, lo que permite
utilizarlo directamente desde el registro como un módulo reutilizable y poder beneficiarse de las actualizaciones
cuando se publican.
Estas son las únicas dependencias de este módulo:
Terraform (versión recomendada: 0.13.2 y versiones posteriores)
Proveedor de AzureRM (versión recomendada: 2.34.0 y versiones posteriores)
IMPORTANT
Existen varios problemas conocidos con ciertas combinaciones de versiones de Terraform y del proveedor de AzureRM.
Algunos de ellos se deben a que han surgido nuevos errores, que se han corregido, mientras que otros son errores
transitorios, que normalmente se pueden resolver volviendo a ejecutar la implementación. Por lo general, se recomienda
usar siempre versiones específicas y hacer pruebas exhaustivas antes realizar cualquier actualización. Cuando se publica
cada versión nueva del módulo, el equipo del proyecto planea fusionar mediante cambio de base el módulo para
garantizar la compatibilidad con las versiones más recientes tanto de Terraform como del proveedor de AzureRM.
Ejemplo sencillo
A continuación se facilita una configuración de inicio simple para el módulo raíz main.tf :
TIP
Aunque el módulo tiene solo una variable obligatoria root_parent_id , se recomienda establecer también root_id . Al
cambiar el valor root_id se iniciará una nueva implementación completa de todos los recursos administrados por el
módulo, incluidas las dependencias de nivel inferior.
# We strongly recommend using the required_providers block to set the
# Azure Provider source and version being used.
terraform {
required_providers {
azurerm = {
source = "hashicorp/azurerm"
version = ">= 2.46.1"
}
}
}
provider "azurerm" {
features {}
}
module "enterprise_scale" {
source = "Azure/caf-enterprise-scale/azurerm"
version = "0.1.0"
root_parent_id = data.azurerm_client_config.current.tenant_id
root_id = "demo"
TIP
Si es la primera vez que utiliza Terraform, consulte este tutorial sobre HashiCorp Learn, en el que encontrará información
sobre la instalación y el uso de Terraform, así como las guías del proveedor de AzureRM para obtener información sobre
cómo configurar el proveedor y autenticarlo en Azure.
Pasos siguientes
El módulo Terraform para Cloud Adoption Framework de escala empresarial proporciona una manera rápida de
crear sus zonas de aterrizaje a escala empresarial. También proporciona una gran flexibilidad para expandir y
personalizar la implementación, a la vez que conserva un enfoque simplificado para administrar la
configuración de cada zona de aterrizaje.
Para más información, examine el módulo en el registro de Terraform y consulte el wiki de GitHub, donde se
publicarán más ejemplos y tutoriales que explican cómo personalizar cualquier implementación.
Examen del módulo en el registro de Terraform
Transición de entornos existentes de Azure a escala
empresarial
08/03/2021 • 10 minutes to read • Edit Online
Somos conscientes de que es posible que la mayoría de las organizaciones tenga una experiencia previa en
Azure, una o más suscripciones y, posiblemente, una estructura existente con sus grupos de administración. En
función de sus requisitos empresariales y escenarios iniciales, es posible que se hayan implementado recursos
de Azure como, por ejemplo, la conectividad híbrida (por ejemplo, con VPN de sitio a sitio o ExpressRoute).
Este artículo ayuda a las organizaciones a recorrer el camino correcto según un entorno de Azure existente que
realiza la transición a la escala empresarial. En este artículo también se describen las consideraciones para el
traslado de recursos de Azure (por ejemplo, el traslado de una suscripción de un grupo de administración
existente a otro), lo que le ayudará a evaluar y planear la transición del entorno de Azure existente a zonas de
aterrizaje de escala empresarial.
Recursos de grupos de Pueden trasladarse al nuevo Permite modificar la - No admitido por todos los
recursos grupo de recursos en la composición de los recursos resourceTypes
misma suscripción o en otra de un grupo de recursos - Algunos de los
diferente después de la resourceTypes tienen
implementación limitaciones o requisitos
específicos
- Los ResourceIds están
actualizados y afectan a las
operaciones de supervisión,
alertas y plano de control
existentes
- Los grupos de recursos
están bloqueados durante
el período de traslado
- Requiere la evaluación de
las directivas y el RBAC
antes y después de la
operación de traslado
Para comprender qué estrategia de traslado se debe usar, veremos ejemplos de ambas:
Traslado de suscripción
Los casos de uso habituales para el traslado de suscripciones son para organizar las suscripciones en grupos de
administración o al transferir las suscripciones a un nuevo inquilino de Azure Active Directory. Los traslados de
suscripciones a escala empresarial se centran en transferirlas a grupos de administración. El objetivo principal
de trasladar una suscripción a un nuevo inquilino es transferir la propiedad de la facturación.
Requisitos de RBAC de Azure
Para evaluar una suscripción antes de un traslado, es importante que el usuario tenga la configuración de RBAC
de Azure adecuada, como Propietario de la suscripción (asignación de rol directa), y que tenga permiso de
escritura en el grupo de administración de destino (los roles integrados que admiten esto son Propietario,
Colaborador y Colaborador de grupo de administración).
Si el usuario tiene un permiso heredado de Propietario en la suscripción de un grupo de administración
existente, la suscripción solo se puede trasladar al grupo de administración en el que se ha asignado el rol de
Propietario al usuario.
Directiva
Las suscripciones existentes pueden estar sujetas a las directivas de Azure asignadas directamente o en el grupo
de administración en el que están ubicadas actualmente. Es importante evaluar las directivas actuales y las
directivas que pueden existir en el nuevo grupo de administración o jerarquía de grupos de administración.
Azure Resource Graph se puede usar para realizar un inventario de los recursos existentes y comparar su
configuración con las directivas existentes en el destino.
Una vez que las suscripciones se hayan trasladado a un grupo de administración con la configuración de RBAC
de Azure y directivas ya existentes, tenga en cuenta las siguientes opciones:
Cualquier configuración de RBAC de Azure que se herede en las suscripciones trasladadas puede tardar
hasta 30 minutos antes de que se actualicen los tokens de usuario en la memoria caché del grupo de
administración. Para acelerar este proceso, puede actualizar el token cerrando la sesión y volviendo a
iniciarla, o solicitando un nuevo token.
Todas las directivas en las que el ámbito de la asignación incluya las suscripciones trasladadas realizará
operaciones de auditoría solo en los recursos existentes. Más concretamente:
Cualquier recurso existente de la suscripción sujeto al efecto de una directiva DeployIfNotExists
aparecerá como no compatible y no se corregirá automáticamente, sino que requerirá la interacción
del usuario para realizar la corrección manualmente.
Cualquier recurso existente en la suscripción sujeto al efecto de directiva Deny aparecerá como no
compatible y no se rechazará. El usuario debe mitigar manualmente este resultado según
corresponda.
Cualquier recurso existente en la suscripción sujeto a los efectos de directiva Append y Modify
aparecerá como no compatible y requerirá la interacción del usuario para su mitigación.
Cualquier recurso existente en la suscripción sujeto a los efectos de directiva Audit y
AuditIfNotExist aparecerá como no compatible y requerirá la interacción del usuario para su
mitigación.
Todas las nuevas escrituras en los recursos de la suscripción trasladada están sujetas a las directivas
asignadas en tiempo real de la forma habitual.
Movimiento de recurso
Los casos de uso principales para realizar un traslado de recursos son: consolidar recursos en el mismo grupo
de recursos si comparten el mismo ciclo de vida, o trasladar recursos a una otra suscripción debido al costo, la
propiedad o los requisitos de RBAC de Azure.
Al realizar un traslado de recursos, el grupo de recursos de origen y el de destino están bloqueados (este
bloqueo no afectará a ninguno de los recursos del grupo de recursos) durante la operación de traslado, lo que
significa que no se pueden agregar, actualizar ni eliminar los recursos de los grupos de recursos. La operación
de traslado de los recursos no cambiará la ubicación de estos.
Antes de trasladar los recursos
Antes de realizar una operación de traslado, debe comprobar que se admiten los recursos del ámbito así como
evaluar sus requisitos y dependencias. Por ejemplo, para trasladar una red virtual emparejada es necesario
deshabilitar el emparejamiento de redes virtuales primero y volver a habilitarlo una vez que se haya
completado la operación de traslado. Esta operación para deshabilitar y volver a habilitar la dependencia
requiere una planeación previa para comprender el impacto en las cargas de trabajo existentes que puedan
estar conectadas a las redes virtuales.
Después de la operación de traslado
Si los recursos se trasladan a un nuevo grupo de recursos de la misma suscripción, se seguirán aplicando las
directivas y la configuración de RBAC de Azure heredados del grupo de administración o ámbito de la
suscripción. Si se trasladan a un grupo de recursos de una suscripción nueva, en la que la suscripción puede
estar sujeta a otra configuración de RBAC de Azure y otra asignación de directivas, se aplican las mismas
directrices que al escenario de traslado de suscripción para validar la compatibilidad de recursos y los controles
de acceso.
Implementación de una zona de aterrizaje de
migración en Azure
06/03/2021 • 12 minutes to read • Edit Online
Una zona de aterrizaje de migración es un entorno que se ha aprovisionado y preparado para hospedar las
cargas de trabajo que se van a migrar desde un entorno local a Azure.
Principios de diseño
Esta opción de implementación proporciona un enfoque bien fundamentado para las áreas de diseño comunes
que comparten todas las zonas de aterrizaje de Azure. Consulte los supuestos y decisiones siguientes para
obtener detalles técnicos adicionales.
Opciones de implementación
Esta opción implementa un producto mínimo viable (MVP) para iniciar una migración. A medida que progresa la
migración, el cliente seguirá un enfoque basado en la refactorización de módulos para consolidar el modelo
operativo en orientación paralela, mediante la metodología de gobernanza y la metodología de administración
para abordar esos temas complejos en paralelo a la iniciativa inicial de migración.
Los recursos específicos que implementa este enfoque de MVP se describen en la sección sobre decisiones que
aparece a continuación.
Inscripciones de la empresa
Esta opción de implementación no adopta una postura inherente sobre la inscripción empresarial. Este enfoque
está diseñado para aplicarse a los clientes, independientemente de los acuerdos contractuales con Microsoft o
los asociados de Microsoft. Antes de implementar esta opción, se supone que el cliente ha creado una
suscripción de destino.
Identidad
Esta opción de implementación supone que la suscripción de destino ya está asociada a una instancia de Azure
Active Directory de acuerdo con los procedimientos recomendados de administración de identidades.
Topología de red y conectividad
Esta opción creará una red virtual con subredes para la puerta de enlace, el firewall, el jumpbox y la zona de
aterrizaje. Como iteración siguiente, el equipo seguiría la guía de toma de decisiones sobre redes para
implementar la forma adecuada de conectividad entre la subred de puerta de enlace y otras redes, en
consonancia con los procedimientos recomendados de seguridad de red.
Organización de recursos
Esta opción de implementación crea una sola zona de aterrizaje, en la que los recursos se organizarán en cargas
de trabajo definidas por grupos de recursos específicos. Al elegir este enfoque minimalista para la organización
de recursos, se aplaza la decisión técnica de la organización de recursos hasta que el modelo de funcionamiento
en la nube del equipo se defina con mayor claridad.
Este enfoque está basado en la suposición de que la iniciativa de adopción de la nube no superará los límites de
suscripción. Esta opción también presupone unos requisitos limitados de seguridad y complejidad
arquitectónica dentro de esta zona de aterrizaje.
Si esto cambiara durante el plan de adopción de la nube, podría ser necesario refactorizar la organización de
recursos con las instrucciones de la metodología de gobernanza.
Materias de gobernanza
Esta opción no implementa ninguna herramienta de gobernanza. En ausencia de una automatización de
directivas definida, esta zona de aterrizaje no debe usarse para cargas de trabajo críticas ni para datos
confidenciales. Se supone que esta zona de aterrizaje se usa para la implementación de producción limitada, a
fin de iniciar el aprendizaje, la iteración y el desarrollo del modelo operativo general en paralelo a estas
iniciativas tempranas de migración.
Para agilizar el desarrollo en paralelo de las materias de gobernanza, revise la metodología de gobernanza y
plantéese la posibilidad de implementar el plano técnico de fundamentos de CAF, además del plano técnico de
la zona de aterrizaje de migración de CAF.
WARNING
A medida que se consolidan las materias de gobernanza, puede ser necesario refactorizarlas. En concreto, los recursos
pueden moverse a una nueva suscripción o grupo de recursos más adelante.
WARNING
A medida que se desarrolla la base de referencia de las operaciones, podría ser necesaria la refactorización. En concreto,
los recursos pueden moverse a una nueva suscripción o grupo de recursos más adelante.
Supuestos
Esta zona de aterrizaje inicial incluye las siguientes suposiciones o restricciones. Si estas suposiciones van
acordes con las restricciones, puede usar el plano técnico para crear la primera zona de aterrizaje. El plano
técnico también se puede ampliar para crear un plano técnico de la zona de aterrizaje que cumpla las
restricciones únicas.
Límites de suscripción: no se espera que este esfuerzo de adopción supere los límites de suscripción.
Cumplimiento: no se necesita ningún requisito de cumplimiento de terceros en esta zona de aterrizaje.
Complejidad de la arquitectura: la complejidad de la arquitectura no requiere suscripciones de
producción adicionales.
Ser vicios compar tidos: no hay servicios compartidos en Azure que requieran que esta suscripción se trate
como un radio en una arquitectura en estrella tipo hub-and-spoke.
Ámbito de producción limitado: esta zona de aterrizaje podría hospedar cargas de trabajo de producción.
Sin embargo, no constituye un entorno adecuado para los datos confidenciales o las cargas de trabajo
críticas.
Si estas suposiciones se adaptan a las necesidades de adopción actuales, este plano técnico podría ser un buen
punto de partida para empezar a crear la zona de aterrizaje.
Decisiones
Las siguientes decisiones se representan en el plano técnico de la zona de aterrizaje.
Herramientas de migración Azure Site Recovery se implementará y Guía para la toma de decisiones de las
se creará un proyecto de Azure herramientas de migración
Migrate.
Red Se creará una red virtual con subredes Decisiones respecto a las redes
para la puerta de enlace, el firewall, el
jumpbox y la zona de aterrizaje.
Detalles de la suscripción N/A: diseñado para una sola Creación de las suscripciones iniciales
suscripción de producción.
Pasos siguientes
Después de implementar la primera zona de aterrizaje, ya está listo para expandirla.
Expansión de la zona de aterrizaje
Implementación de un plano técnico de
fundamentos de CAF en Azure
06/03/2021 • 9 minutes to read • Edit Online
El plano técnico de fundamentos de CAF no implementa una zona de aterrizaje. En su lugar, implementa las
herramientas necesarias para establecer un MVP (producto mínimo viable) de gobernanza para comenzar a
desarrollar las materias de gobernanza. Este plano técnico está diseñado para ser el complemento de una zona
de aterrizaje existente y se puede aplicar al plano técnico de la zona de aterrizaje de migración de CAF con una
sola acción.
Principios de diseño
Esta opción de implementación proporciona un enfoque bien fundamentado para las áreas de diseño comunes
que comparten todas las zonas de aterrizaje de Azure. Consulte los supuestos y decisiones siguientes para
obtener detalles técnicos adicionales.
Opciones de implementación
Esta opción implementa un MVP que funciona como base para las materias de gobernanza. El equipo seguirá un
enfoque basado en la refactorización de módulos para consolidar las materias de gobernanza mediante la
metodología de gobernanza.
Inscripciones de la empresa
Esta opción de implementación no adopta una postura inherente en la inscripción empresarial. Este enfoque
está diseñado para aplicarse a los clientes, independientemente de los acuerdos contractuales con Microsoft o
sus asociados. Antes de implementar esta opción, se supone que el cliente ya ha creado una suscripción de
destino.
Identidad
Esta opción de implementación supone que la suscripción de destino ya está asociada a una instancia de Azure
Active Directory de acuerdo con los procedimientos recomendados de administración de identidades.
Topología de red y conectividad
Esta opción de implementación supone que la zona de aterrizaje ya tiene una topología de red definida según
los procedimientos recomendados de seguridad de red.
Organización de recursos
Esta opción de implementación muestra cómo Azure Policy puede agregar algunos elementos de organización
de recursos mediante la aplicación de etiquetas. En concreto, se aplicará una etiqueta CostCenter a los recursos
mediante Azure Policy.
El equipo de gobernanza debe comparar y contrastar los elementos de la organización de recursos que se
abordarán al etiquetarlos, frente a los que se deben abordar a través del diseño de suscripciones. Estas
decisiones tan importantes informarán a la organización de recursos a medida que progresen los planes de
adopción de la nube.
Para facilitar esta comparación en etapas tempranas de los ciclos de adopción, se deben tener en cuenta los
siguientes artículos:
Suscripciones a Azure iniciales: en esta fase de la escala de adopción, ¿el modelo operativo requiere de dos,
tres o cuatro suscripciones?
Escalado de suscripciones: a medida que se escala la adopción, ¿qué criterios se usarán para impulsar el
escalado de suscripciones?
Organización de suscripciones: ¿cómo se organizan las suscripciones a medida que se escalan?
Estándares de etiquetado: ¿qué otros criterios deben capturarse de forma coherente en las etiquetas para
reforzar el diseño de las suscripciones?
Para ayudar en esta comparación cuando los equipos ya han avanzado el proceso de adopción de la nube,
consulte la sección de patrones de gobernanza en el artículo guía de gobernanza: instrucciones prescriptivas. En
esta sección de la guía prescriptiva se muestra un conjunto de patrones basados en un modelo de narrativa y
funcionamiento específicos. En esta guía también se incluyen vínculos a otros patrones que deben tenerse en
cuenta.
Materias de gobernanza
Esta implementación muestra un enfoque hacia la consolidación de la materia de administración de costos de la
metodología de gobernanza. En concreto, muestra cómo se puede usar Azure Policy para crear una lista de
permitidos para SKU específicas. Al limitar los tipos y tamaños de recursos que se pueden implementar en una
zona de aterrizaje, se reduce el riesgo de gastos innecesarios.
Para agilizar el desarrollo en paralelo de las otras materias de gobernanza, revise la metodología de gobernanza.
Para continuar la consolidación de la materia de administración de costos de gobernanza, consulte la guía de la
materia de administración de costos.
WARNING
A medida que se consolidan las materias de gobernanza, puede ser necesario refactorizarlas. La refactorización puede
resultar necesaria. En concreto, los recursos pueden moverse a una nueva suscripción o grupo de recursos más adelante.
WARNING
A medida que se desarrolla la base de referencia de las operaciones, podría ser necesaria la refactorización. En concreto,
los recursos pueden moverse a una nueva suscripción o grupo de recursos más adelante.
Supuestos
En este plano técnico inicial se supone que el equipo está comprometido con la consolidación de las
funcionalidades de gobernanza en paralelo a las iniciativas iniciales de migración a la nube. Si estas
suposiciones van acordes con las restricciones, puede usar el plano técnico para iniciar el proceso de
consolidación de la gobernanza.
Cumplimiento: no se necesita ningún requisito de cumplimiento de terceros en esta zona de aterrizaje.
Ámbito de producción limitado: esta zona de aterrizaje podría hospedar cargas de trabajo de producción.
Sin embargo, no constituye un entorno adecuado para los datos confidenciales o las cargas de trabajo
críticas.
Si estas suposiciones se adaptan a las necesidades de adopción actuales, este plano técnico podría ser un buen
punto de partida para empezar a crear la zona de aterrizaje.
Pasos siguientes
Después de implementar la primera zona de aterrizaje, ya está listo para expandirla.
Expansión de la zona de aterrizaje
Uso de Terraform para crear zonas de aterrizaje
06/03/2021 • 12 minutes to read • Edit Online
Azure proporciona servicios nativos para implementar las zonas de aterrizaje. Otras herramientas de terceros
también pueden ayudarle con este trabajo. Una herramienta de este tipo que los clientes y asociados suelen
usar para implementar zonas de aterrizaje es Terraform de HashiCorp. En esta sección se muestra cómo usar
una zona de aterrizaje de ejemplo para implementar funcionalidades de gobernanza, contabilidad y seguridad
fundamentales para una suscripción de Azure.
Diagrama de la arquitectura
La primera zona de aterrizaje implementa los siguientes componentes en su suscripción:
Figura 1: Zona de aterrizaje básica con Terraform.
Capacidades
Los componentes implementados y su finalidad incluyen lo siguiente:
C O M P O N EN T E RESP O N SA B IL IDA D
Supuestos
Las siguientes suposiciones o restricciones se tuvieron en cuenta cuando se definió esta zona de aterrizaje
inicial. Si estas suposiciones van acordes con las restricciones, puede usar el plano técnico para crear la primera
zona de aterrizaje. El plano técnico también se puede ampliar para crear un plano técnico de la zona de
aterrizaje que cumpla las restricciones únicas.
Límites de suscripción: no es probable que este trabajo de adopción supere los límites de suscripción. Dos
indicadores comunes constituyen un exceso de 25 000 máquinas virtuales o 10 000 vCPU.
Cumplimiento: no se necesita ningún requisito de cumplimiento de terceros para esta zona de aterrizaje.
Complejidad de la arquitectura: la complejidad de la arquitectura no requiere suscripciones de
producción adicionales.
Ser vicios compar tidos: no hay servicios compartidos en Azure que requieran que esta suscripción se trate
como un radio en una arquitectura en estrella tipo hub-and-spoke.
Si estas suposiciones coinciden con su entorno actual, este plano técnico podría ser un buen punto de partida
para empezar a crear la zona de aterrizaje.
Decisiones de diseño
Las siguientes decisiones se representan en los módulos de CAF Terraform:
Red N/A: la red se implementa en otra zona Decisiones respecto a las redes
de aterrizaje.
Detalles de la suscripción N/A: diseñado para una sola Creación de las suscripciones iniciales
suscripción de producción.
Estándares de etiquetado
El conjunto de etiquetas mínimas siguiente debe estar presente en todos los recursos y grupos de recursos:
resource_groups_hub = {
HUB-CORE-SEC = {
name = "-hub-core-sec"
location = "southeastasia"
}
HUB-OPERATIONS = {
name = "-hub-operations"
location = "southeastasia"
}
}
A continuación, se especifican las regiones en las que se pueden establecer las bases. En este caso, se utiliza
southeastasia para implementar todos los recursos.
location_map = {
region1 = "southeastasia"
region2 = "eastasia"
}
A continuación, se especifica el período de retención para los registros de operaciones y los registros de
suscripción de Azure. Estos datos se almacenan en cuentas de almacenamiento independientes y en un centro
de eventos, cuyos nombres se generan de forma aleatoria, ya que deben ser únicos.
azure_activity_logs_retention = 365
azure_diagnostics_logs_retention = 60
En tags_hub, se especifica el conjunto mínimo de etiquetas que se aplican a todos los recursos creados.
tags_hub = {
environment = "DEV"
owner = "Arnaud"
deploymentType = "Terraform"
costCenter = "65182"
BusinessUnit = "SHARED"
DR = "NON-DR-ENABLED"
}
analytics_workspace_name = "lalogs"
solution_plan_map = {
NetworkMonitoring = {
"publisher" = "Microsoft"
"product" = "OMSGallery/NetworkMonitoring"
},
ADAssessment = {
"publisher" = "Microsoft"
"product" = "OMSGallery/ADAssessment"
},
ADReplication = {
"publisher" = "Microsoft"
"product" = "OMSGallery/ADReplication"
},
AgentHealthAssessment = {
"publisher" = "Microsoft"
"product" = "OMSGallery/AgentHealthAssessment"
},
DnsAnalytics = {
"publisher" = "Microsoft"
"product" = "OMSGallery/DnsAnalytics"
},
KeyVaultAnalytics = {
"publisher" = "Microsoft"
"product" = "OMSGallery/KeyVaultAnalytics"
}
}
Pasos siguientes
La zona de aterrizaje básica establece la base para un entorno complejo de forma descompuesta. Esta edición
proporciona un conjunto de funcionalidades sencillas que se pueden ampliar agregando otros módulos al plano
técnico o superponiendo zonas de aterrizaje adicionales sobre ella.
La distribución en capas de las zonas de aterrizaje es un buen procedimiento para desacoplar sistemas, realizar
el control de versiones de cada componente que utiliza, y permitir la innovación rápida y la estabilidad para su
implementación de infraestructura como código.
Las arquitecturas de referencia futuras mostrarán este concepto para una topología de concentrador y radio.
Revisar la zona de aterrizaje de Terraform básica de ejemplo
Expansión de una zona de aterrizaje
06/03/2021 • 3 minutes to read • Edit Online
WARNING
Los equipos de adopción que tengan como objetivo a medio plazo (24 meses) hospedar más de 1000 recursos
(aplicaciones, infraestructura o recursos de datos) en la nube deben tener en cuenta todas estas expansiones al
principio del proceso de adopción de la nube. En el caso de los restantes patrones de adopción, las expansiones de la zona
de aterrizaje pueden ser una iteración paralela, lo que permite un éxito temprano en la empresa.
Pasos siguientes
Antes de refactorizar la primera zona de aterrizaje, es importante conocer el desarrollo controlado por pruebas
de las zonas de aterrizaje.
Desarrollo controlado por pruebas de las zonas de aterrizaje
Consideraciones sobre la zona de aterrizaje
06/03/2021 • 6 minutes to read • Edit Online
Una zona de aterrizaje es el bloque de creación básico de cualquier entorno de adopción de la nube. El término
zona de aterrizaje hace referencia a un entorno que se ha aprovisionado y preparado para hospedar cargas de
trabajo en un entorno en la nube como Azure. Una zona de aterrizaje plenamente funcional es el resultado final
de cualquier iteración de la metodología de preparación de Cloud Adoption Framework.
La determinación de los requisitos de proceso para hospedar las cargas de trabajo es una consideración
importante a la hora de prepararse para la adopción de la nube. Los productos y servicios de proceso de Azure
admiten una amplia variedad de escenarios y funcionalidades de computación de la carga de trabajo. El modo
en que se configure el entorno de la zona de aterrizaje para satisfacer los requisitos de proceso depende de los
requisitos de gobernanza, técnicos y empresariales de la carga de trabajo.
NOTE
Más información sobre cómo evaluar las opciones de proceso para cada una de sus aplicaciones o servicios en la guía de
arquitectura de aplicaciones de Azure.
Preguntas clave
Responda a las siguientes preguntas sobre las cargas de trabajo como ayuda para tomar decisiones basadas en
el árbol de decisión de los servicios de proceso de Azure:
¿Va a crear aplicaciones y ser vicios o a migrar a par tir de cargas de trabajo locales existentes?
El desarrollo de nuevas aplicaciones como parte de las labores de adopción de la nube permite sacar el
máximo partido de las modernas tecnologías de hospedaje basadas en la nube desde la fase de diseño en
adelante.
Si va a migrar cargas de trabajo existentes, ¿pueden aprovechar las modernas tecnologías de la
nube? La migración de cargas de trabajo locales requiere análisis. ¿Se pueden optimizar fácilmente las
aplicaciones y los servicios existentes para aprovechar las modernas tecnologías de la nube o funcionará
mejor un enfoque de migración mediante lift-and-shift con las cargas de trabajo?
¿Pueden aprovechar las aplicaciones o ser vicios los contenedores? Si las aplicaciones son buenas
candidatas para el hospedaje en contenedor, puede aprovechar las funcionalidades de eficacia de recursos,
escalabilidad y orquestación proporcionadas por los servicios de contenedor de Azure. Tanto Azure Managed
Disks como Azure Files se pueden usar para el almacenamiento persistente en aplicaciones en contenedor.
¿Están basadas las aplicaciones en web o en API y usan PHP, ASP.NET, Node.js o tecnologías
similares? Las aplicaciones web se pueden implementar en instancias de Azure App Service administradas,
por lo que no tiene que mantener máquinas virtuales con fines de hospedaje.
¿Necesitará control total sobre el sistema operativo y el entorno de hospedaje de la carga de
trabajo? Si necesita controlar el entorno de hospedaje, incluidos el sistema operativo, los discos, el software
que se ejecuta localmente y otras configuraciones, puede usar Azure Virtual Machines para hospedar sus
aplicaciones y servicios. Además de elegir los tamaños de máquina virtual y los niveles de rendimiento, las
decisiones relacionadas con el almacenamiento de discos virtuales afectarán al rendimiento y a los Acuerdos
de Nivel de Servicio (SLA) relacionados con las cargas de trabajo de infraestructura como servicio. Para más
información, consulte la documentación sobre almacenamiento en disco de Azure.
¿En la carga de trabajo inter vienen funcionalidades de informática de alto rendimiento (HPC)?
Azure Batch proporciona programación de trabajos y escalabilidad automática de recursos de proceso como
servicio de plataforma, lo que facilita la ejecución de aplicaciones de HPC y paralelas a gran escala en la
nube.
¿Van a usar las aplicaciones una arquitectura de microser vicios? Las aplicaciones que usan una
arquitectura basada en microservicios pueden aprovechar varias tecnologías de proceso optimizadas. Las
cargas de trabajo basadas en eventos independientes pueden usar Azure Functions para compilar
aplicaciones escalables y sin servidor que no necesitan una infraestructura. En el caso de las aplicaciones que
requieren más control sobre el entorno en el que se ejecutan los microservicios, puede usar servicios de
contenedor, como Azure Container Instances, Azure Kubernetes Service y Azure Service Fabric.
NOTE
La mayoría de los servicios de proceso de Azure se usan en combinación con Azure Storage. Consulte la guía de
decisiones de almacenamiento para información sobre las decisiones relacionadas con el almacenamiento.
Necesito conseguir alta disponibilidad con la escalabilidad Conjuntos de escalado de máquinas virtuales
automática para crear miles de máquinas virtuales en
cuestión de minutos.
Quiero crear rápidamente aplicaciones en la nube para web y Azure App Service
móviles mediante una plataforma totalmente administrada.
Disponibilidad regional
Azure le permite ofrecer servicios a la escala que necesita para llegar a sus clientes y asociados, dondequiera
que se encuentren . Uno de los factores clave a la hora de planear la implementación en la nube es determinar
qué región de Azure hospedará los recursos de la carga de trabajo.
Algunas servicios de proceso, como Azure App Service, tienen disponibilidad general en la mayoría de las
regiones de Azure mientras que otros solo se admiten en determinadas regiones. Algunos tipos de máquinas
virtuales y sus tipos de almacenamiento asociados tienen una disponibilidad regional limitada. Antes de decidir
en qué regiones va a implementar los recursos de proceso, se recomienda que consulte la página de regiones
para comprobar el estado más reciente de la disponibilidad regional.
Para más información sobre la infraestructura global de Azure, consulte la página de regiones de Azure. También
puede ver los productos disponibles por región para conocer detalles específicos sobre los servicios generales
que están disponibles en cada región de Azure.
El diseño y la implementación de las funcionalidades de redes de Azure es una parte fundamental de las labores
de adopción de la nube. Deberá tomar decisiones sobre el diseño de redes para acomodar correctamente las
cargas de trabajo y los servicios que se hospedarán en la nube. Los servicios y productos de redes de Azure
admiten una amplia variedad de funcionalidades de red. La forma de estructurar estos servicios y las
arquitecturas de red que elija depende de los requisitos de carga de trabajo, gobernanza y conectividad de su
organización.
Necesito que infraestructura de red conecte todo, desde Azure Virtual Network
máquinas virtuales a conexiones VPN entrantes.
Necesito equilibrar las conexiones entrantes y salientes y las Equilibrador de carga de Azure
solicitudes a mis aplicaciones o servicios.
Quiero optimizar la entrega desde las granjas de servidores Introducción a Puerta de enlace de aplicaciones
de aplicaciones y aumentar al mismo tiempo la seguridad de Azure Front Door
las aplicaciones con un firewall de aplicaciones web.
Necesito usar Internet de forma segura para acceder a Azure VPN Gateway
instancias de Azure Virtual Network con instancias de VPN
Gateway de alto rendimiento.
Necesito acelerar la entrega de contenido de alto ancho de Azure Content Delivery Network
banda a clientes de todo el mundo, desde aplicaciones y
contenido almacenado hasta streaming de vídeo.
Necesito distribuir el tráfico de forma óptima a los servicios Azure Traffic Manager
entre regiones globales de Azure, y proporcionar al mismo
tiempo alta disponibilidad y capacidad de respuesta. Azure Front Door
Necesito agregar conectividad de red privada para acceder a Información técnica de ExpressRoute
los servicios en la nube de Microsoft desde mis redes
corporativas, como si estuvieran en el entorno local y
residieran en su propio centro de datos.
Necesito conectar de forma segura las oficinas de negocio, Azure Virtual WAN
las ubicaciones comerciales y los sitios.
Las cargas de trabajo hospedadas en Azure requieren acceso Red perimetral en la nube
limitado a los recursos locales, pero es necesario tratar las
conexiones de la nube como que no son de confianza.
Tiene muchas sucursales que necesitan conectarse entre sí y Azure Virtual WAN
con Azure.
Las funcionalidades de almacenamiento son fundamentales para admitir las cargas de trabajo y los servicios
que se hospedan en la nube. Como parte de sus preparativos de preparación para la adopción de la nube, revise
este artículo para planear y atender sus necesidades de almacenamiento.
Tengo servidores de reconstrucción Azure Disk Storage (SSD Premium) En el caso de los servicios de
completa o máquinas virtuales (Hyper- producción, la opción SSD Premium
V o VMware) con almacenamiento con proporciona una baja latencia
conexión directa que ejecutan coherente y altos niveles de IOPS y
aplicaciones de línea de negocio. rendimiento.
Tengo servidores que hospedarán Azure Disk Storage (SSD estándar) Es posible que IOPS y el rendimiento
aplicaciones web y móviles. de SSD estándar sean suficientes (a un
costo menor que SSD Premium) para
los servidores de aplicaciones y web
vinculados a la CPU en producción.
Tengo una SAN empresarial o una Azure Disk Storage (SSD Premium o SSD Ultra se basa en NVMe y ofrece
matriz all-flash. Ultra) una latencia de submilisegundos con
altos niveles de IOPS y ancho de
Azure NetApp Files banda. SSD Ultra es escalable hasta
64 TB. La selección de SSD Premium y
SSD Ultra depende de los requisitos de
escalabilidad, IOPS y latencia máxima.
SERVIC IO S DE A Z URE C O N SIDERA C IO N ES SO B RE LO S
ESC EN A RIO REC O M EN DA DO S SERVIC IO S REC O M EN DA DO S
Tengo servidores en clúster de alta Azure Files (Premium) Las cargas de trabajo en clúster
disponibilidad (HA) (como los clústeres requieren que varios nodos monten el
de conmutación por error de Windows Azure Disk Storage (SSD Premium o mismo almacenamiento compartido
Server o la FCI de SQL Server). Ultra) subyacente para la conmutación por
error o alta disponibilidad. Los recursos
compartidos de archivos Premium
ofrecen almacenamiento compartido
que se puede montar a través de SMB.
El almacenamiento en bloque
compartido también se puede
configurar en SSD Premium o SSD
Ultra mediante soluciones de
asociados.
Tengo una base de datos relacional o Azure Disk Storage (SSD Premium o La selección de SSD Premium frente a
una carga de trabajo de Ultra) SSD Ultra depende de los requisitos de
almacenamiento de datos (como SQL escalabilidad, IOPS y latencia máxima.
Server u Oracle). SSD Ultra también reduce la
complejidad al poner fin a la necesidad
de configuración del bloque de
almacenamiento para conseguir
escalabilidad.
Tengo un clúster NoSQL (como Azure Disk Storage (SSD Premium) La oferta de SSD Premium de Azure
Cassandra o MongoDB). Disk Storage proporciona una baja
latencia constante y altos niveles de
IOPS y rendimiento.
Ejecuto contenedores con volúmenes Azure Files (estándar o Premium) Las opciones de controlador de
persistentes. volúmenes de archivos (RWX) y
Azure Disk Storage (SSD estándar, bloques (RWO) están disponibles tanto
Premium o Ultra) para Azure Kubernetes Service (AKS)
como para las implementaciones de
Kubernetes personalizadas. Los
volúmenes persistentes pueden
asignarse a un disco de Azure Disk
Storage o a un recurso compartido de
Azure Files administrado. Elija las
opciones Premium frente a las
estándar en función de los requisitos
de carga de trabajo para los
volúmenes persistentes.
Tengo un lago de datos (como un Azure Data Lake Storage Gen 2 La característica Data Lake Storage
clúster de Hadoop para los datos de Gen 2 de Azure Blob Storage
HDFS). Azure Disk Storage (SSD estándar o proporciona compatibilidad con HDFS
Premium) del servidor y escala de petabyte para
realizar análisis paralelos. También
ofrece alta disponibilidad y
confiabilidad. El software como
Cloudera puede usar SSD Premium o
estándar en nodos maestros o de
trabajo si es necesario.
SERVIC IO S DE A Z URE C O N SIDERA C IO N ES SO B RE LO S
ESC EN A RIO REC O M EN DA DO S SERVIC IO S REC O M EN DA DO S
Tengo una implementación de SAP o Azure Disk Storage (SSD Premium o SSD Ultra está optimizado para ofrecer
SAP HANA. Ultra) una latencia de submilisegundos para
cargas de trabajo de SAP de nivel 1.
SSD Ultra está ahora en versión
preliminar. SSD Premium con máquinas
virtuales de la serie M ofrece una
opción de disponibilidad general.
Tengo un sitio de recuperación ante Blobs en páginas de Azure El software de replicación usa los blobs
desastres con RPO/RTO estrictos que en páginas de Azure para habilitar una
se sincronizan desde mis servidores replicación de bajo costo en Azure sin
principales. que sean necesarias VM de proceso
hasta producirse la conmutación por
error. Para más información, consulte la
documentación de Azure Disk Storage.
Nota: Los blobs en páginas admiten
un máximo de 8 TB.
Uso el servidor de archivos de Archivos de Azure Con Azure File Sync, puede almacenar
Windows. datos que apenas se usan en recursos
Azure File Sync compartidos de archivo de Azure
basados en la nube al mismo tiempo
que se almacenan en caché sus
archivos más utilizados en el entorno
local para obtener acceso rápido y
local. También puede usar la
sincronización multisitio para mantener
sincronizados los archivos entre varios
servidores. Si tiene previsto migrar sus
cargas de trabajo a una
implementación solo en la nube, Azure
Files podría ser suficiente.
Tengo un NAS empresarial (como Azure NetApp Files Si tiene una implementación local de
NetApp o Dell-EMC Isilon). NetApp, considere la posibilidad de
Azure Files (Premium) usar Azure NetApp Files para migrar su
implementación a Azure. Si usa o
migra a un servidor Windows o Linux,
o tiene necesidades básicas de
recursos compartidos de archivos,
considere la posibilidad de usar Azure
Files. Para tener acceso local de forma
ininterrumpida, use Azure File Sync
para sincronizar recursos compartidos
de archivos de Azure con recursos
compartidos de archivos locales
mediante un mecanismo de nube por
niveles.
SERVIC IO S DE A Z URE C O N SIDERA C IO N ES SO B RE LO S
ESC EN A RIO REC O M EN DA DO S SERVIC IO S REC O M EN DA DO S
Tengo un recurso compartido de Azure Files (estándar o Premium) La selección de niveles Premium frente
archivos (SMB o NFS). a los niveles estándar de Azure Files
Azure NetApp Files depende de IOPS, del rendimiento y de
su necesidad de coherencia de la
latencia. Si tiene una implementación
local de NetApp, considere la
posibilidad de usar Azure NetApp Files.
Si es necesario migrar sus listas de
control de acceso (ACL) y marcas de
tiempo a la nube, Azure File Sync
puede llevar todas estas opciones de
configuración a sus recursos
compartidos de archivos de Azure
como ruta de migración cómoda.
Tengo una implementación de DFSR u Archivos de Azure Azure File Sync ofrece sincronización
otra forma de controlar las sucursales. multisitio para mantener sincronizados
Azure File Sync los archivos entre varios servidores y
recursos compartidos de archivos de
Azure nativos en la nube. Migre a una
superficie de almacenamiento fija en el
entorno local mediante la nube por
niveles. La nube por niveles transforma
su servidor en una caché para los
archivos pertinentes al mismo tiempo
que se escalan datos inactivos en
recursos compartidos de archivos de
Azure.
Tengo una biblioteca de cintas (en el Almacenamiento de blobs de Azure Un nivel de archivo de Azure Blob
entorno local o fuera de las (niveles de acceso esporádico o acceso Storage tendrá el costo más bajo
instalaciones) para la copia de de archivo) posible, pero puede que necesite horas
seguridad y la recuperación ante para copiar los datos sin conexión en
desastres o la retención de datos a un nivel de acceso esporádico, acceso
largo plazo. frecuente o Premium de
almacenamiento para permitir el
acceso. Los niveles de acceso
esporádico proporcionan acceso
instantáneo por un bajo costo.
SERVIC IO S DE A Z URE C O N SIDERA C IO N ES SO B RE LO S
ESC EN A RIO REC O M EN DA DO S SERVIC IO S REC O M EN DA DO S
Tengo el almacenamiento de archivos Almacenamiento de blobs de Azure Para hacer una copia de seguridad de
u objetos configurado para recibir mis (niveles de acceso esporádico o acceso datos para la retención a largo plazo
copias de seguridad. de archivo) con el almacenamiento de costo más
Azure File Sync bajo, migre los datos a
Almacenamiento de blobs de Azure y
use los niveles de acceso esporádico y
acceso de archivo. A fin de habilitar la
recuperación ante desastres rápida
para los datos de archivo de un
servidor (en el entorno local o en una
máquina virtual de Azure), sincronice
recursos compartidos con recursos
compartidos de archivos de Azure
individuales mediante Azure File Sync.
Con las instantáneas de recursos
compartidos de archivos de Azure,
puede restaurar versiones anteriores y
volver a sincronizarlas con servidores
conectados u obtener acceso a las
mismas de forma nativa en el recurso
compartido de archivos de Azure.
Ejecuto la replicación de datos en un Archivos de Azure Azure File Sync pone fin a la necesidad
sitio de recuperación ante desastres. de un servidor de recuperación ante
Azure File Sync desastres y almacena archivos en
recursos compartidos de SMB de
Azure. La recuperación ante desastres
rápida recompila los datos de un
servidor local erróneo de forma rápida.
Puede incluso mantener sincronizados
varias ubicaciones del servidor o usar
la nube por niveles para almacenar
solo datos pertinentes en el entorno
local.
Administro la transferencia de datos Azure Data Box Edge o Azure Data Box Con Data Box Edge o Data Box
en escenarios desconectados. Gateway Gateway, puede copiar datos en
escenarios desconectados. Si la puerta
de enlace está desconectada, guardará
todos los archivos que copie en la
memoria caché y, a continuación, los
cargará cuando esté conectado.
Administro una canalización de datos Azure Data Box Edge o Azure Data Box Migre datos a la nube desde sistemas
en curso en la nube. Gateway que generan datos de forma
ininterrumpida simplemente haciendo
que copien dichos datos directamente
en la puerta de enlace de
almacenamiento. Si tienen que obtener
acceso a dichos datos más tarde, es
justo ahí donde los colocan.
SERVIC IO S DE A Z URE C O N SIDERA C IO N ES SO B RE LO S
ESC EN A RIO REC O M EN DA DO S SERVIC IO S REC O M EN DA DO S
Tengo ráfagas de cantidades de datos Azure Data Box Edge o Azure Data Box Administre grandes cantidades de
que llegan al mismo tiempo. Gateway datos que llegan al mismo tiempo,
como cuando un automóvil autónomo
vuelve al garaje o una máquina de
secuenciación genética finaliza su
análisis. Copie todos los datos en Data
Box Gateway a velocidades locales
rápidas y, a continuación, permita a la
puerta de enlace cargarlos a medida
que su red lo permita.
Debo admitir el "proceso de ráfagas": Avere vFXT for Azure Almacenamiento en caché de archivos
cargas de trabajo basadas en archivos NFS/SMB de escalabilidad horizontal
con mucha actividad de lectura de IaaS
NFS/SMB con recursos de datos que
residen en el entorno local al mismo
tiempo que se ejecuta el cálculo en la
nube.
Azure Data Lake Storage Gen 2 Blob Storage es compatible con Azure Data Lake Storage
Gen2, solución de análisis de macrodatos empresarial de
Microsoft para la nube. Azure Data Lake Storage Gen2
ofrece un sistema de archivos jerárquico, así como las
ventajas de Blob Storage, que incluyen las siguientes
funcionalidades: almacenamiento de bajo costo y en niveles,
alta disponibilidad, coherencia fuerte y recuperación ante
desastres.
Azure Disk Storage Azure Disk Storage ofrece almacenamiento en bloque de alto
rendimiento persistente para impulsar Azure Virtual
Machines. Los discos de Azure son muy duraderos y
seguros, y ofrecen el único Acuerdo de Nivel de Servicio de
una sola instancia del sector para máquinas virtuales que
usan SSD Premium o Ultra. Los discos de Azure
proporcionan alta disponibilidad con conjuntos de
disponibilidad y Availability Zones que se asignan a sus
dominios de error de Azure Virtual Machines. Además, los
discos de Azure se administran como recurso de nivel
superior en Azure. De forma predeterminada, se
proporcionan funcionalidades de Azure Resource Manager
como el control de acceso basado en rol de Azure (RBAC de
Azure), las directivas y el etiquetado.
SERVIC IO DESC RIP C IÓ N
Azure File Sync Se puede usar Azure File Sync para centralizar los recursos
compartidos de archivos de su organización en Azure Files
sin renunciar a la flexibilidad, el rendimiento y la
compatibilidad de un servidor de archivos local. Azure File
Sync transforma Windows Server en una caché rápida de los
recursos compartidos de archivos de Azure.
Azure Data Box Edge Azure Data Box Edge es un dispositivo de red local que
traslada datos a Azure y fuera de este. Data Box Edge tiene
un proceso perimetral que admite inteligencia artificial para
preprocesar datos durante la carga. Data Box Gateway es
una versión virtual del dispositivo, pero con las mismas
funcionalidades de transferencia de datos.
Azure Data Box Gateway Azure Data Box Gateway es una solución de almacenamiento
que permite enviar fácilmente datos a Azure. Data Box
Gateway es un dispositivo virtual basado en una máquina
virtual aprovisionada en un entorno virtualizado o
hipervisor. El dispositivo virtual reside en el entorno local y
se pueden escribir datos en él mediante los protocolos SMB
y NFS. El dispositivo, a continuación, transfiere los datos a
blobs en bloques de Azure o blobs en páginas de Azure, o a
Azure Files.
Avere vFXT for Azure Avere vFXT for Azure proporciona una solución de
almacenamiento en caché del sistema de archivos para
tareas de informática de alto rendimiento (HPC) en las que
se usan muchos datos. Aproveche la escalabilidad de la
informática en la nube para hacer que los datos sean
accesibles cuando y donde se necesiten, incluso para los
datos que están almacenados en su propio hardware local.
Seguridad
Para ayudarle a proteger sus datos en la nube, Azure Storage ofrece varios procedimientos recomendados para
la seguridad de los datos y el cifrado de los datos en reposo y en tránsito. Puede:
Proteger la cuenta de almacenamiento mediante RBAC de Azure y Azure AD.
Proteger los datos en tránsito entre una aplicación y Azure mediante cifrados de cliente, HTTPS o SMB 3.0.
Establecer una configuración para que los datos se cifren automáticamente cuando se escriban en Azure
Storage mediante el cifrado de este servicio.
Conceder acceso delegado a los objetos de datos de Azure Storage mediante las firmas de acceso
compartido.
Usar análisis para seguir el método de autenticación que alguien esté usando cuando obtienen acceso a
Storage en Azure.
Estas características de seguridad se aplican a Almacenamiento de blobs de Azure (bloque y página) y a Azure
Files. Obtenga instrucciones de seguridad de almacenamiento detalladas en la Guía de seguridad de Azure
Storage.
El cifrado de Azure Storage proporciona cifrado en reposo y protege sus datos con el fin de cumplir con los
compromisos de cumplimiento y seguridad de su organización. El cifrado de Azure Storage está habilitado de
forma predeterminada para todos los discos administrados, instantáneas e imágenes en todas las regiones de
Azure. Desde el 10 de junio de 2017, todos los nuevos discos administrados, instantáneas, imágenes, así como
los datos nuevos que se escriban en discos administrados existentes, se cifran automáticamente en reposo con
claves administradas por Microsoft. Para más información, consulte Preguntas más frecuentes de discos
administrados.
Azure Disk Encryption permite cifrar discos administrados asociados a VM de IaaS como discos de sistema
operativo y de datos en reposo y en tránsito mediante sus claves almacenadas en Azure Key Vault. Para
Windows, las unidades se cifran mediante la tecnología de cifrado de BitLocker estándar del sector. Para Linux,
los discos se cifran mediante el subsistema dm-crypt. El proceso de cifrado se integra con Azure Key Vault para
permitirle controlar y administrar las claves de cifrado del disco. Para más información, consulte Azure Disk
Encryption para máquinas virtuales IaaS de Windows y Linux.
Disponibilidad regional
Puede usar Azure para ofrecer servicios a la escala que necesita para llegar a sus clientes y asociados
dondequiera que se encuentren . En las páginas de disponibilidad regional sobre discos administrados y
Azure Storage se muestran las regiones en las que estos servicios se encuentran disponibles. La comprobación
previa de la disponibilidad regional de un servicio puede ayudar a tomar la decisión adecuada para sus
necesidades de carga de trabajo y del cliente.
Los discos administrados están disponibles en todas las regiones de Azure que tienen ofertas de SSD Premium
y SSD estándar. Aunque SSD Ultra se encuentra actualmente en versión preliminar pública, se ofrece solo en una
zona de disponibilidad, la región East US 2 . Compruebe la disponibilidad regional al planear cargas de trabajo
de nivel superior críticas que requieran SSD Ultra.
Los niveles de Blob Storage de acceso frecuente y de acceso esporádico, Data Lake Storage Gen2 y el
almacenamiento de Azure Files están disponibles en todas las regiones de Azure. Blob Storage de archivo, los
recursos compartidos de archivos Premium y al almacenamiento de blobs en bloques Premium están limitados
a determinadas regiones. Recomendamos que consulte la página de regiones para comprobar el último estado
de la disponibilidad regional.
Para obtener más información sobre la infraestructura global de Azure, consulte la página Regiones de Azure.
También puede consultar los productos disponibles por región para obtener detalles específicos sobre lo que
hay disponible en cada región de Azure.
Cuando prepare el entorno de la zona de aterrizaje para la adopción de la nube, deberá determinar los
requisitos de datos para hospedar las cargas de trabajo. Los productos y servicios de base de datos de Azure
admiten una amplia variedad de escenarios y funcionalidades de almacenamiento de datos. El modo en que se
configure el entorno de la zona de aterrizaje para satisfacer los requisitos de datos depende de los requisitos de
gobierno, técnicos y empresariales de la carga de trabajo.
NOTE
Más información sobre cómo evaluar las opciones de base de datos para cada una de sus aplicaciones o servicios en la
guía de arquitectura de aplicaciones de Azure.
Necesito una base de datos relacional MySQL escalable y Azure Database for MySQL
totalmente administrada, con alta disponibilidad y seguridad
integrada sin costo adicional.
Necesito una base de datos relacional PostgreSQL escalable Azure Database para PostgreSQL
y totalmente administrada, con alta disponibilidad y
seguridad integrada sin costo adicional.
Tengo previsto hospedar aplicaciones de SQL Server SQL Server en Virtual Machines
empresarial en la nube y tener un control total sobre el
sistema operativo del servidor.
Necesito recursos de Data Lake Storage que puedan admitir Azure Data Lake
clústeres de Hadoop o datos de HDFS.
Necesito acceso a datos coherente, de baja latencia y alto Azure Cache for Redis
rendimiento para mis datos para admitir aplicaciones rápidas
y escalables.
Necesito una base de datos relacional MariaDB escalable y Azure Database for MariaDB
totalmente administrada, con alta disponibilidad y seguridad
integrada sin costo adicional.
Disponibilidad regional
Azure le permite ofrecer servicios a la escala que necesita para llegar a sus clientes y asociados, dondequiera
que se encuentren . Uno de los factores clave a la hora de planear la implementación en la nube es determinar
qué región de Azure hospedará los recursos de la carga de trabajo.
La mayoría de los servicios de base de datos están disponibles de forma general en la mayoría de las regiones
de Azure. Sin embargo, hay algunas regiones, dirigidas principalmente a clientes gubernamentales, que solo
admiten un subconjunto de estos productos. Antes de decidir en qué regiones va a implementar los recursos de
base de datos, se recomienda que consulte la página de regiones para comprobar el estado más reciente de la
disponibilidad regional.
Para obtener más información sobre la infraestructura global de Azure, consulte la página Regiones de Azure.
También puede ver los productos disponibles por región para conocer detalles específicos sobre los servicios
generales que están disponibles en cada región de Azure.
Los privilegios y los derechos de acceso basados en grupo son una buena práctica. Lidiar con grupos en lugar
de con usuarios individuales simplifica el mantenimiento de las directivas de acceso, proporciona la
administración de acceso coherente entre equipos y reduce los errores de configuración. Asignar usuarios a los
grupos adecuados y eliminar aquellos de estos ayuda a mantener actualizados los privilegios de un usuario
específico. El control de acceso basado en rol de Azure (RBAC de Azure) ofrece una administración de acceso
específico para los recursos organizada en torno a roles de usuario.
Para información general sobre las prácticas de RBAC de Azure recomendadas como parte de una estrategia de
identidad y seguridad, consulte Uso del control de acceso basado en rol.
Para instrucciones detalladas para la asignación de usuarios y grupos a roles específicos y la asignación de roles
a ámbitos, consulte Incorporación o eliminación de asignaciones de roles de Azure mediante Azure Portal.
Al planear la estrategia de control de acceso, use un modelo de acceso con privilegios mínimos que solo
conceda a los usuarios los permisos necesarios para realizar su trabajo. El siguiente diagrama muestra un
patrón sugerido para usar RBAC de Azure con este enfoque.
NOTE
Los permisos más específicos o detallados son los que define y lo más probable es que los controles de acceso sean
complejos y difíciles de administrar. Esto es especialmente cierto cuando los recursos en la nube aumentan de tamaño.
Evite asignar permisos específicos de recursos. En su lugar, utilice grupos de administración para control de acceso en toda
la compañía y grupos de recursos para control de acceso en las suscripciones. Asimismo, evite permisos específicos del
usuario. En su lugar, asigne acceso a grupos en Azure AD.
El desglose de las acciones y los permisos de estos roles estándar suelen ser los mismos en las aplicaciones, en
las suscripciones o en todos los recursos en la nube, aunque estos roles los realicen diferentes personas en
distintos niveles. En consecuencia, puede crear un conjunto común de definiciones de roles de Azure para
aplicarlos a distintos ámbitos dentro de su entorno. Después, se puede asignar a un rol común a los usuarios y
grupos, pero solo para el ámbito de los recursos, los grupos de recursos, las suscripciones o los grupos de
administración que son responsables de administrar.
Por ejemplo, en una topología de red radial con varias suscripciones, es posible que tenga un conjunto común
de definiciones de roles para el centro y todos los radios de la carga de trabajo. El rol NetOps de una suscripción
de centro de conectividad se puede asignar a los miembros del equipo de TI central de la organización, que son
los responsables del mantenimiento de la red para los servicios compartidos que todas las cargas de trabajo
usan. A continuación, se puede asignar el rol NetOps de una suscripción de radio de carga de trabajo a los
miembros de ese equipo de carga de trabajo específico, lo que les permite configurar las redes dentro de esa
suscripción para admitir mejor sus requisitos de carga de trabajo. Se usa la misma definición de rol para ambos,
pero las asignaciones basadas en el ámbito garantizan que los usuarios solo tengan el acceso que necesitan
para realizar su trabajo.
Creación de coherencia en la nube híbrida
06/03/2021 • 15 minutes to read • Edit Online
En este artículo le guiaremos a través de los enfoques de alto nivel para crear una coherencia en la nube híbrida.
Los modelos de implementación híbridos durante la migración pueden reducir el riesgo y contribuir a una
transición sin problemas de la infraestructura. Las plataformas en la nube ofrecen el mayor nivel de flexibilidad
cuando se trata de procesos de negocios. Muchas organizaciones no tienen claro si deberían trasladarse a la
nube. Prefieren mantener el control absoluto sobre los datos más confidenciales. Desafortunadamente, los
servidores locales no permiten la misma tasa de innovación que la nube. Las soluciones de nube híbrida ofrecen
la velocidad de la innovación en la nube y el control de la administración local.
Las operaciones de la zona de aterrizaje proporcionan la base inicial de la administración de las operaciones. A
medida que se escalan las operaciones, estas mejoras refactorizan las zonas de aterrizaje para satisfacer los
crecientes requisitos de excelencia operativa, confiabilidad y rendimiento.
Cuatro pasos para mejorar las operaciones más allá de una única zona
de aterrizaje
En el artículo sobre la metodología de administración se proporcionan instrucciones generales para crear la
capacidad de administración de las operaciones. Consulte este artículo aquí. Usaremos la estructura básica de
esa metodología y sus pasos siguientes para mejorar las operaciones de todas las zonas de aterrizaje.
Ilustración 1: Metodología de administración de Cloud Adoption Framework.
1. Establecimiento de una base de referencia de administración: una base de referencia de administración
establece la base de la administración de las operaciones. Las instrucciones de este primer paso se pueden
aplicar a cualquier zona de aterrizaje para mejorar las operaciones iniciales.
2. Definición de los compromisos empresariales: la comprensión de la importancia y el impacto de cada carga
de trabajo en una zona de aterrizaje establecerá una "definición de finalizado" para cualquier mejora de la
administración en curso de las zonas de aterrizaje. Este proceso también identificará los requisitos de
confiabilidad, rendimiento y operaciones de cada carga de trabajo.
3. Expansión de la base de referencia de administración: este conjunto de procedimientos recomendados se
puede aplicar para mejorar las operaciones de la zona de aterrizaje más allá de la base de referencia inicial.
4. Operaciones avanzadas y principios de diseño: revise el diseño y las operaciones de cargas de trabajo
específicas, plataformas o zonas de aterrizaje completas para satisfacer los requisitos más específicos.
Pasos siguientes
Comprenda cómo mejorar la gobernanza de la zona de aterrizaje para admitir la adopción a escala.
Mejora de la gobernanza de la zona de aterrizaje
Mejora de la gobernanza de la zona de aterrizaje
06/03/2021 • 4 minutes to read • Edit Online
Pasos siguientes
La adopción de la nube se seguirá expandiendo con cada oleada o versión de nuevas cargas de trabajo. Para
poder cumplir estos requisitos por adelantado, los equipos de la plataforma en la nube deben revisar
periódicamente los procedimientos recomendados de la zona de aterrizaje adicional.
Revisar los procedimientos recomendados de la zona de aterrizaje adicional
Mejora de la seguridad en la zona de aterrizaje
06/03/2021 • 3 minutes to read • Edit Online
Cuando la carga de trabajo, o las zonas de aterrizaje en la que se hospeda, requieren acceso a datos
confidenciales o a sistemas críticos, es importante proteger los datos y los recursos. La mejora de la seguridad
de la zona de aterrizaje se basa en el enfoque de desarrollo controlado por pruebas para las zonas de aterrizaje
mediante la expansión o refactorización de la zona de aterrizaje para tener en cuenta los requisitos de seguridad
mejorados.
Cloud Adoption Framework aborda la adopción de la nube como una actividad de autoservicio. El objetivo es
capacitar a cada uno de los equipos que respaldan la adopción mediante enfoques normalizados. En la práctica,
no se puede suponer que un enfoque de autoservicio será suficiente para todas las actividades de adopción.
Los programas de adopción de la nube bien implantados suelen incluir al menos un nivel de respaldo por parte
de terceros. Muchos esfuerzos de adopción de la nube requieren el apoyo de un integrador de sistemas (SI) o un
asociado de consultoría que proporcione servicios que aceleren la adopción de la nube. Los proveedores de
servicios administrados (MSP) proporcionan un valor permanente en el apoyo de las zonas de aterrizaje y la
adopción de la nube, y también en la administración de las operaciones posteriores a la adopción. Además, los
esfuerzos de adopción de la nube tienden a involucrar a uno o varios fabricantes de software independientes
(ISV) que proporcionan servicios basados en software que aceleran la adopción de la nube. Los ecosistemas
enriquecidos de asociados de SI, ISV, MSP y otras formas de asociados de Microsoft han adaptado sus ofertas a
metodologías específicas que se encuentran en Cloud Adoption Framework. Si un asociado está en línea con la
metodología de preparación de este marco, es probable que desee ofrecer su propia opción de implementación
de una zona de aterrizaje de Azure.
En este artículo se proporciona un conjunto de preguntas que le ayudarán a comprender el ámbito de las
opciones de implementación de zonas de aterrizaje de Azure del asociado.
IMPORTANT
El asociado define las ofertas de los asociados y las opciones de implementación de zonas de aterrizaje de Azure en
función de su amplia experiencia ayudando a los clientes a adoptar la nube.
Los asociados pueden optar por omitir la implementación de áreas de diseño específicas en su implementación inicial de
una zona de aterrizaje. Sin embargo, deben ser capaces de comunicar cuándo y cómo se implementa cada área de diseño,
así como indicar, siempre que sea posible, una serie de costos para completar esa área de diseño.
Otras soluciones de asociados pueden ser lo suficientemente flexibles como para admitir varias opciones para cada una de
las preguntas siguientes. Use estas preguntas para asegurarse de que está comparando las ofertas de los asociados y las
opciones de autoservicio de forma equitativa.
Buscar un asociado
Si necesita un asociado para implementar sus zonas de aterrizaje de Azure, empiece por la lista aprobada de
asociados en línea con Cloud Adoption Framework. En concreto, empiece por los asociados que disponen de
ofertas en línea con la metodología de preparación.
Además, todos los proveedores expertos de servicios administrados de Azure han sido auditados para validar
su capacidad de ofrecer cada una de las metodologías de Cloud Adoption Framework. Aunque es posible que
un determinado asociado no tenga una oferta alineada, todos ellos han demostrado su alineación durante la
ejecución técnica.
Principios de diseño
Todas las zonas de aterrizaje de Azure deben tener en cuenta el siguiente conjunto de áreas de diseño comunes.
Nos referimos a la forma en que esas áreas de diseño se implementan como principios de diseño. Las secciones
siguientes le ayudarán a validar los principios de diseño del asociado que definen la implementación de la zona
de aterrizaje de Azure.
Opciones de implementación
Los asociados que ofrecen una solución de zona de aterrizaje de Azure pueden admitir una o varias opciones de
implementación (o modificación o expansión de la zona de aterrizaje) de la solución en su inquilino de Azure.
Pregunta para el asociado: ¿Cuál de las siguientes opciones admiten sus soluciones de zona de aterrizaje de
Azure?
Automatización de la configuración: ¿Implementa la solución la zona de aterrizaje a partir de una
canalización de implementación o una herramienta de implementación?
Configuración manual: ¿La solución capacita al equipo de TI para que configure manualmente la zona de
aterrizaje sin insertar errores en el código fuente de esta?
Pregunta para el asociado: ¿Cuál de las siguientes opciones de implementación de zonas de aterrizaje de
Azure es compatible con la solución del asociado? Consulte el artículo sobre opciones de implementación de
zonas de aterrizaje de Azure para obtener una lista completa de las opciones.
Identidad
Es posible que la identidad sea el área de diseño más importante de la solución del asociado que se va a evaluar.
Pregunta para el asociado: ¿Cuál de las siguientes opciones de administración de identidades admite la
solución del asociado?
Azure AD: el procedimiento recomendado es usar Azure AD y el control de acceso basado en roles de Azure
para administrar las identidades y el acceso en Azure.
Active Director y: si es necesario, ¿proporciona la solución del asociado una opción para implementar
Active Directory como una solución de infraestructura como servicio?
Proveedor de identidades de terceros: si su empresa usa una solución de identidad de terceros,
determine si la zona de aterrizaje de Azure del asociado se integra con la solución de ese proveedor
independiente y cómo lo hace.
Topología de red y conectividad
La red es posiblemente la segunda área de diseño más importante que se va a evaluar. Existen varios enfoques
de procedimientos recomendados relacionados con la topología de red y la conectividad.
Pregunta para el asociado: ¿Cuál de las siguientes opciones se incluye con la solución de zonas de aterrizaje
de Azure del asociado? ¿Alguna de las siguientes opciones es incompatible con la solución del asociado?
Red vir tual: ¿Configura la solución del asociado una red virtual? ¿Se puede modificar su topología para que
cumpla con sus restricciones técnicas o empresariales?
Red privada vir tual (VPN): ¿Se incluye la configuración de VPN en el diseño de zonas de aterrizaje del
asociado para conectar la nube a los centros de datos u oficinas existentes?
Conectividad de alta velocidad: ¿Se incluye una conexión de alta velocidad como Azure ExpressRoute en
el diseño de la zona de aterrizaje?
Emparejamiento de red vir tual: ¿Incluye el diseño conectividad entre diferentes suscripciones o redes
virtuales de Azure?
Organización de recursos
Una administración sólida y operativa de la nube comienza con unos procedimientos recomendados de
organización de recursos.
Pregunta para el asociado: ¿Incluye el diseño de la zona de aterrizaje del asociado consideraciones sobre los
siguientes procedimientos de organización de recursos?
Estándares de nomenclatura: ¿Qué estándares de nomenclatura seguirá esta oferta? ¿Se aplicarán
automáticamente a través de una directiva?
Estándares de etiquetado: ¿Sigue y aplica la configuración de la zona de aterrizaje unos estándares
específicos para etiquetar los recursos?
Diseño de la suscripción: ¿Qué estrategias de diseño de suscripciones admite la oferta del asociado?
Diseño del grupo de administración: ¿Sigue la oferta del asociado un patrón definido para la jerarquía
de grupos de administración de Azure para organizar las suscripciones?
Alineación del grupo de recursos: ¿Cómo se usan los grupos de recursos para agrupar los recursos
implementados en la nube? En la oferta del asociado, ¿se usan los grupos de recursos para agrupar los
recursos en cargas de trabajo, paquetes de implementación u otros estándares de la organización?
Pregunta para el asociado: ¿Ofrece el asociado documentación sobre la incorporación para poder realizar un
seguimiento de las decisiones fundamentales y educar al personal? Consulte la plantilla de decisiones iniciales
para obtener un ejemplo de esta documentación.
Materias de gobernanza
Los requisitos de gobernanza pueden influir en gran medida en cualquier diseño de zona de aterrizaje complejo.
Muchos asociados proporcionan una oferta independiente para implementar las materias de gobernanza por
completo después de implementar las zonas de aterrizaje. Las siguientes preguntas le ayudarán a aclarar los
aspectos de la gobernanza que se integrarán en todas las zonas de aterrizaje.
Pregunta para el asociado: ¿Qué herramientas de gobernanza incluye la solución del asociado como parte
de la implementación de la zona de aterrizaje?
Super visión del cumplimiento de la directiva: ¿Incluye la solución de zona de aterrizaje del asociado
directivas de gobernanza definidas junto con herramientas y procesos para supervisar el cumplimiento?
¿Incluye la oferta la personalización de directivas para ajustarse a sus necesidades de gobernanza?
Aplicación de directivas: ¿Incluye la solución de zona de aterrizaje del asociado herramientas y procesos
de cumplimiento automatizados?
Gobernanza de la plataforma en la nube: ¿Incluye la oferta de asociado una solución para mantener el
cumplimiento de un conjunto común de directivas en todas las suscripciones? ¿O el ámbito se limita a
suscripciones individuales?
N/D: los enfoques de inicio a pequeña escala posponen decisiones de gobernanza intencionadamente hasta
que el equipo haya implementado cargas de trabajo de bajo riesgo en Azure. Esto puede abordarse mediante
una oferta independiente una vez implementada la solución de zona de aterrizaje.
Pregunta para el asociado: ¿La oferta del asociado va más allá de las herramientas de gobernanza para
incluir también procesos y procedimientos a la hora de proporcionar cualquiera de las siguientes materias de
gobernanza en la nube?
Administración de costos : ¿Prepara la oferta del asociado al equipo para evaluar, supervisar y optimizar el
gasto al tiempo que genera una responsabilidad sobre los costos en los equipos de cargas de trabajo?
Base de referencia de seguridad : ¿Prepara la oferta del asociado al equipo para mantener el
cumplimiento de los requisitos de seguridad y consolidación?
Coherencia de recursos : ¿Prepara la oferta del asociado al equipo para asegurarse de que todos los
recursos de la nube están incorporados en los procesos de administración de operaciones pertinentes?
Base de referencia de identidad : ¿Prepara la oferta del asociado al equipo para mantener la identidad, las
definiciones de roles y las asignaciones después de implementar la zona de aterrizaje inicial?
Base de referencia de operaciones
Los requisitos de administración de las operaciones podrían afectar a la configuración de productos específicos
de Azure durante la implementación de la zona de aterrizaje. Muchos asociados proporcionan una oferta
independiente para implementar por completo la base de referencia de las operaciones y las operaciones
avanzadas más adelante en el recorrido de adopción de la nube, pero siempre antes de que se publique la
primera carga de trabajo para su uso en producción. Sin embargo, la solución de zona de aterrizaje del asociado
puede incluir de forma predeterminada la configuración de varias herramientas de administración de
operaciones.
Pregunta para el asociado: ¿Incluye la solución del asociado opciones de diseño para admitir todas las
materias de operaciones en la nube?
Inventario y visibilidad: ¿Incluye la zona de aterrizaje herramientas para asegurarse de que el 100 % de
los recursos se supervisan de forma centralizada?
Cumplimiento operativo: ¿Incluye la arquitectura herramientas y procesos automatizados para aplicar
revisiones u otros requisitos de cumplimiento operativo?
Protección y recuperación: ¿Incluye la oferta del asociado herramientas y configuración para garantizar
un nivel mínimo de copia de seguridad y recuperación para el 100 % de los recursos implementados?
Operaciones de la plataforma: ¿Incluye la oferta de zona de aterrizaje herramientas o procesos para
optimizar las operaciones en la cartera?
Operaciones con cargas de trabajo: ¿Incluye la oferta de zona de aterrizaje herramientas para
administrar los requisitos operativos específicos de la carga de trabajo y asegurarse de que cada carga de
trabajo está bien diseñada?
Realizar acción
Después de revisar la oferta o solución de zona de aterrizaje de Azure del asociado con las preguntas anteriores,
el equipo estará más capacitado para elegir el asociado cuya zona de aterrizaje de Azure esté más
estrechamente en consonancia con el modelo operativo de la nube.
Si determina que un enfoque de autoservicio con respecto a la implementación de la zona de aterrizaje de Azure
es una opción mejor, revise o vuelva a considerar las opciones de implementación de la zona de aterrizaje de
Azure para encontrar el enfoque de la zona de aterrizaje con plantilla que más en consonancia esté con el
modelo operativo de la nube.
Pasos siguientes
Más información sobre el proceso para refactorizar zonas de aterrizaje.
Refactorización de zonas de aterrizaje
Refactorización de zonas de aterrizaje
06/03/2021 • 17 minutes to read • Edit Online
Una zona de aterrizaje es un entorno para hospedar cargas de trabajo que se aprovisionan previamente
mediante código . Dado que la infraestructura de la zona de aterrizaje se define en el código, se puede
refactorizar de manera similar a cualquier otro código base. La refactorización es el proceso de modificar o
reestructurar el código fuente para optimizar la salida del código sin cambiar su finalidad ni su función básica.
La metodología de preparación usa el concepto de refactorización para acelerar la migración y quitar los
bloqueadores comunes. En los pasos de la introducción a la metodología de preparación se describe un proceso
que comienza con una plantilla de zona de aterrizaje predefinida que se alinea mejor con su función de
hospedaje. A continuación, refactorice o amplíe el código fuente para expandir la capacidad de las zonas de
aterrizaje para ofrecer esa función con una seguridad, operaciones o gobernanza mejoradas. En la imagen
siguiente se ilustra el concepto de refactorización.
Bloqueadores comunes
Cuando los clientes adoptan la nube, las consideraciones sobre la zona de aterrizaje son el bloqueador más
común para la adopción y los resultados empresariales relacionados con la nube. Los clientes tienden a
decantarse por uno de los dos bloqueadores siguientes. A menudo, los diferentes equipos se inclinan hacia uno
de estos dos obstáculos, lo cual da lugar a interbloqueos que dificultan el proceso de adopción.
Los dos bloqueadores principales se basan en la creencia de que el entorno en la nube y los centros de datos
existentes deben tener paridad de características en relación con las operaciones, la gobernanza y la seguridad.
Este es un objetivo a largo plazo inteligente. Sin embargo, lo difícil es el delicado equilibrio entre los tiempos
para lograr ese objetivo y la velocidad necesaria para proporcionar resultados empresariales.
Bloqueador: Actuar demasiado pronto
Se necesitaron años y un esfuerzo considerable para alcanzar el estado actual de seguridad, gobernanza y
operaciones en el centro de datos actual. También se necesitaron observaciones, aprendizaje y personalización
para ajustarse a las restricciones únicas del entorno. La replicación de los mismos procedimientos y
configuraciones llevará tiempo. Alcanzar la paridad de características total también puede generar un entorno
con un rendimiento deficiente en la nube. Este enfoque de paridad también conduce a un considerable gasto
excesivo no planeado en el entorno en la nube. No intente aplicar los requisitos de estado actual a un entorno
de estado futuro como fase de desarrollo temprana. Este enfoque no suele ser rentable.
Figura 2: Actuar demasiado pronto es un obstáculo habitual.
En la imagen anterior, el cliente tiene un objetivo de 100 cargas de trabajo en ejecución en la nube. Para ello, es
probable que el cliente implemente su primera carga de trabajo y, a continuación, sus primeras diez cargas de
trabajo (aproximadamente) antes de que estén listas para publicar una de ellas en producción. Finalmente,
alcanzarán el objetivo del plan de adopción y contarán con una sólida cartera en la nube. Sin embargo, la x roja
de la imagen muestra dónde se bloquean, normalmente, los clientes. Esperar una alineación total puede retrasar
la primera carga de trabajo en semanas, meses o, incluso, años.
Bloqueador: Actuar demasiado tarde
Por otra parte, actuar demasiado tarde puede tener importantes consecuencias a largo plazo en el éxito del
trabajo de adopción de la nube. Si el equipo espera a alcanzar la paridad de características hasta que se
completen los esfuerzos de adopción, se encontrará con obstáculos innecesarios y se requerirán varias
escalaciones para mantener los esfuerzos bien encaminados.
WARNING
Los equipos de adopción que tengan un objetivo a medio plazo (en 24 meses) para hospedar más de 1000 recursos
(aplicaciones, infraestructura o recursos de datos) en la nube tienen pocas posibilidades de tener éxito con un
enfoque de refactorización. La curva de aprendizaje es demasiado alta y la escala de tiempo es demasiado ajustada para
los enfoques orgánicos para adquirir aptitudes. Un punto inicial más completo que requiera menos personalización será
una ruta de acceso mejor para lograr sus objetivos. Los asociados de implementación, probablemente, podrán guiarle
hacia un enfoque mejor.
El resto de este artículo se centrará en algunas restricciones clave que pueden facilitar un enfoque de
refactorización, a la vez que se minimiza el riesgo.
Teoría
El concepto de refactorización de una zona de aterrizaje es sencillo, pero su realización requiere de las
protecciones adecuadas. El concepto anterior describe el flujo básico:
Cuando esté listo para compilar la primera zona de aterrizaje, comience con una zona de aterrizaje inicial
definida mediante una plantilla.
Una vez implementada la zona de aterrizaje, use los árboles de decisiones en los artículos siguientes de la
sección Expand your landing zone del índice para refactorizar y ampliar la zona de aterrizaje inicial.
Repita los árboles de decisiones y la refactorización hasta que tenga un entorno preparado para la empresa
que cumpla los requisitos mejorados de los equipos de seguridad, operaciones y gobernanza.
Enfoque de desarrollo
La ventaja de un enfoque basado en la refactorización es la capacidad de crear rutas de acceso de iteración
paralelas para el desarrollo. La imagen siguiente proporciona un ejemplo de dos rutas de acceso de iteración
paralelas: la adopción de la nube y la plataforma de nube. Ambas progresan a su propio ritmo, con el mínimo
riesgo de convertirse en un bloqueador para los esfuerzos diarios de ningún equipo. La alineación con el plan
de adopción y las protecciones de refactorización pueden conducir a acuerdos respecto a los hitos y claridad con
respecto a las dependencias de estados futuros.
Pasos siguientes
Para empezar a trabajar en un proceso de refactorización, comience por usar las zonas de aterrizaje de Azure.
Zonas de aterrizaje de Azure
Desarrollo controlado por pruebas (TDD) de las
zonas de aterrizaje
12/03/2021 • 13 minutes to read • Edit Online
El desarrollo controlado por pruebas es un proceso de DevOps y de desarrollo de software común que
perfecciona la calidad de las nuevas características y las mejoras de cualquier solución basada en código. La
infraestructura basada en la nube y el código fuente subyacente pueden utilizar este proceso para garantizar
que las zonas de aterrizaje cumplan los requisitos principales y sean de alta calidad. Este proceso resulta
especialmente útil cuando se desarrollan y refactorizan las zonas de aterrizaje en un trabajo de desarrollo
paralelo.
En la nube, la infraestructura es la salida de la ejecución del código. El código bien estructurado, probado y
verificado genera una zona de aterrizaje viable. Una zona de aterrizaje es un entorno para hospedar cargas de
trabajo que se aprovisionan previamente mediante código. Incluye funcionalidades básicas que usan un
conjunto definido de servicios en la nube y procedimientos recomendados para poder lograr el éxito del
proceso. En esta guía se describe un enfoque para usar el desarrollo controlado por pruebas con el fin de
satisfacer la última parte de esa definición, a la vez que se cumplen los requisitos de calidad, seguridad,
operaciones y gobernanza.
Este enfoque se puede usar para satisfacer las solicitudes de características simples durante las primeras fases
del desarrollo. Más adelante en el ciclo de vida de la adopción de la nube, este proceso se puede usar para
cumplir los requisitos de seguridad, operaciones, gobernanza o cumplimiento.
Definición de finalizado
La instrucción "Configuración para lograr el éxito" es subjetiva. Proporciona al equipo de la plataforma en la
nube poca información útil durante el desarrollo de la zona de aterrizaje o los trabajos de refactorización. Esta
falta de claridad puede dar lugar a unas expectativas insuficientes y a puntos vulnerables inesperados en un
entorno de nube. Antes de refactorizar o expandir cualquier zona de aterrizaje, el equipo de la plataforma en la
nube debe tratar de aclarar la "definición de finalización" de cada zona de aterrizaje.
La definición de finalizado es un contrato sencillo entre el equipo de la plataforma en la nube y otros equipos
afectados. En este contrato se describen las características esperadas de valor añadido, que deben incluirse en
cualquier trabajo de desarrollo de las zonas de aterrizaje. La definición de finalizado es una lista de
comprobación que se alinea con el plan de adopción de la nube a corto plazo. En los procesos consolidados,
estas características esperadas de la lista de comprobación tendrán sus propios criterios de aceptación para
crear aún más claridad. Cuando todas características de valor añadido cumplen los criterios de aceptación,
significa que la zona de aterrizaje está suficientemente configurada para permitir el éxito de la oleada actual o
realizar el lanzamiento del trabajo de adopción.
A medida que los equipos adopten otras cargas de trabajo y características en la nube, la definición de
finalización y los criterios de aceptación se volverán cada vez más complejos.
Creación de una prueba: defina una prueba para validar que se han cumplido los criterios de aceptación
de una característica de valor añadido específica. Automatice la prueba siempre que sea posible.
Prueba de la zona de aterrizaje: ejecute la prueba nueva y las existentes. Si la característica necesaria
todavía no se ha cumplido con los trabajos de desarrollo anteriores y no se incluye en la oferta del
proveedor de la nube, se debería producir un error en la prueba. La ejecución de pruebas existentes le
ayudará a validar que la nueva prueba no reduce la confiabilidad de las características de la zona de
aterrizaje que ofrece el código existente.
Expansión y refactorización de la zona de aterrizaje: agregue o modifique el código fuente para
cumplir la característica de valor añadido solicitada y mejorar la calidad general de la base de código. Para
satisfacer el espíritu más completo del desarrollo controlado por pruebas, el equipo de la plataforma en la
nube solo agregaría código para satisfacer la característica solicitada y nada más. Al mismo tiempo, la calidad
y el mantenimiento del código son un trabajo compartido. Al cumplir las nuevas solicitudes de
características, el equipo de la plataforma en la nube debe tratar de mejorar el código quitando la duplicación
y aclarándolo. Se recomienda encarecidamente ejecutar pruebas entre la creación de código nuevo y la
refactorización del código fuente.
Implementación de la zona de aterrizaje: una vez que el código fuente pueda cumplir la solicitud de la
característica, implemente la zona de aterrizaje modificada en el proveedor de nube en un entorno de
espacio aislado o de pruebas controlado.
Prueba de la zona de aterrizaje: la nueva prueba de la zona de aterrizaje debe validar que el nuevo
código cumple los criterios de aceptación de la característica solicitada. Una vez que se superen todas las
pruebas, la característica se considerará completada y se considerará que se cumplen los criterios de
aceptación.
Cuando todas las características de valor añadido y los criterios de aceptación superen las pruebas asociadas, la
zona de aterrizaje estará lista para admitir la siguiente oleada del plan de adopción de la nube.
Pasos siguientes
Para acelerar el desarrollo controlado por pruebas en Azure, revise las características de desarrollo controlado
por pruebas de Azure.
Desarrollo controlado por pruebas en Azure
Desarrollo controlado por pruebas de las zonas de
aterrizaje en Azure
06/03/2021 • 7 minutes to read • Edit Online
Como se describe en el artículo anterior sobre el desarrollo controlado por pruebas para zonas de aterrizaje
(TDD), los ciclos de TDD comienzan con una prueba que valida los criterios de aceptación de una característica
específica necesaria para proporcionar el plan de adopción de la nube. A continuación, se puede probar la
expansión o refactorización de la zona de aterrizaje para validar que se cumplen los criterios de aceptación. En
este artículo se describe una cadena de herramientas nativa en la nube de Azure para automatizar los ciclos de
desarrollo controlado por pruebas.
Pasos siguientes
Para empezar a refactorizar la primera zona de aterrizaje, evalúe las consideraciones básicas de la zona de
aterrizaje.
Consideraciones básicas sobre la zona de aterrizaje
Procedimientos recomendados de preparación para
Azure
07/04/2021 • 7 minutes to read • Edit Online
El proceso de preparación para la nube consiste en dotar al personal de las aptitudes técnicas necesarias para
comenzar un esfuerzo de adopción de la nube y preparar el entorno de destino de la migración para los
recursos y las cargas de trabajo que trasladará a la nube. Lea estos procedimientos recomendados e
instrucciones adicionales para ayudar al equipo a preparar el entorno de Azure.
Redes
Prepare la infraestructura de red en la nube para admitir las cargas de trabajo.
Decisiones respecto a las redes. Elija los servicios, herramientas y arquitecturas de redes que satisfagan los
requisitos de carga de trabajo, gobernanza y conectividad de la organización.
Planeamiento de redes virtuales. Planee redes virtuales según los requisitos de aislamiento, conectividad y
ubicación.
Procedimientos recomendados de seguridad de la red. Conozca los procedimientos recomendados para
solucionar problemas habituales de seguridad de la red mediante las funcionalidades de Azure integradas.
Redes perimetrales. Permita la conectividad segura entre las redes de la nube y las redes de los centros de
datos locales o físicos, así como todo tipo de conectividad hacia Internet y desde este.
Topología de red en estrella tipo hub-and-spoke. Administre los requisitos comunes de comunicación o
seguridad de manera eficaz para cargas de trabajo complicadas y afronte posibles limitaciones de
suscripción.
Storage
Guía de Azure Storage. Seleccione la solución de Azure Storage adecuada que admita sus escenarios de uso.
Guía de seguridad de Azure Storage. Obtenga más información sobre las características de seguridad de
Azure Storage.
Bases de datos
Elección de la opción correcta de SQL Server en Azure. Elija la solución PaaS o IaaS que mejor admita las
cargas de trabajo de SQL Server.
Procedimientos recomendados sobre la seguridad de las bases de datos. Conozca los procedimientos
recomendados sobre la seguridad de las bases de datos en la plataforma Azure.
Elija el almacén de datos apropiado. Seleccione el almacén de datos adecuado que satisfaga sus necesidades.
Hay cientos de opciones de implementación disponibles entre bases de datos SQL y NoSQL. Los almacenes
de datos a menudo se clasifican según la forma de estructurar los datos y según los tipos de operaciones que
admiten. Este artículo describe algunos de los modelos de almacenamiento habituales.
AI + Aprendizaje automático
Configuración de Azure Machine Learning para escala empresarial. Obtenga información sobre los puntos de
decisión clave en la configuración de Azure Machine Learning para su organización.
Administración de costos
Seguimiento de los costos a través de las unidades de negocio, entornos o proyectos. Obtenga información
sobre los procedimientos recomendados para crear mecanismos adecuados de seguimiento de costos.
Optimización de la inversión en la nube con Azure Cost Management + Billing. Implemente una estrategia de
administración de costos y obtenga información sobre las herramientas disponibles para afrontar los
desafíos de los costos.
Creación y administración de presupuestos. Aprenda a crear y administrar presupuestos mediante Azure
Cost Management + Billing.
Exportación de datos de costos. Aprenda a exportar datos de costos mediante Azure Cost Management +
Billing.
Optimización de los costos a partir de las recomendaciones. Aprenda a identificar recursos infrautilizados y a
reducir los costos con Azure Cost Management + Billing y Azure Advisor.
Uso de alertas de costos para supervisar el uso y el gasto. Aprenda a usar las alertas de Azure Cost
Management + Billing para supervisar el uso y el gasto en Azure.
Creación de las suscripciones de Azure iniciales
23/03/2021 • 4 minutes to read • Edit Online
Para empezar el proceso de adopción de Azure, cree un conjunto inicial de suscripciones. Obtenga información
sobre las suscripciones con las que debe comenzar según sus requisitos iniciales.
Pasos siguientes
Revise las razones por las que es posible que quiera crear suscripciones de Azure adicionales para satisfacer sus
necesidades.
Creación de suscripciones adicionales para escalar el entorno de Azure
Creación de suscripciones adicionales para escalar
el entorno de Azure
06/03/2021 • 4 minutes to read • Edit Online
Las organizaciones suelen usar varias suscripciones de Azure para evitar límites de recursos por suscripción y
administrar y gobernar mejor sus recursos de Azure. Es importante definir una estrategia para escalar las
suscripciones.
Consideraciones técnicas
Límites de suscripción: Las suscripciones tienen límites definidos para algunos tipos de recursos. Por
ejemplo, el número de redes virtuales de una suscripción es limitado. Si una suscripción se acerca a estos
límites, tendrá que crear otra suscripción y colocar ahí los recursos adicionales. Para más información, consulte
Azure subscription and service limits (Límites de suscripción y servicio de Azure).
Recursos del modelo clásico: Si usa Azure desde hace mucho tiempo, puede que tenga recursos que se
crearon con el modelo de implementación clásica. Las directivas de Azure, el control de acceso basado en rol de
Azure, la agrupación de recursos y las etiquetas no se pueden aplicar a los recursos del modelo clásico. Estos
recursos se deben trasladar a suscripciones que contengan solo recursos del modelo clásico.
Costos: Es posible que se generen costos adicionales por la entrada y salida de datos entre las suscripciones.
Prioridades empresariales
Las prioridades empresariales pueden llevarle a crear suscripciones adicionales. Estas prioridades incluyen:
Innovación
Migración
Coste
Operaciones
Seguridad
Gobernanza
Para otras consideraciones sobre el escalado de las suscripciones, revise la Guía de decisiones de suscripción de
Cloud Adoption Framework.
Pasos siguientes
Cree una jerarquía de grupos de administración que le ayude a organizar y administrar las suscripciones y
recursos.
Organización y administración de las suscripciones y recursos
Organización y administración de varias
suscripciones de Azure
06/03/2021 • 5 minutes to read • Edit Online
Si solo tiene algunas suscripciones, administrarlas de forma independiente es relativamente sencillo. Pero si
tiene muchas suscripciones, cree una jerarquía de grupos de administración que le ayude a administrar las
suscripciones y recursos.
NOTE
La herencia de etiquetas no se admite en este momento, pero lo hará próximamente.
Este modelo de herencia le permite organizar las suscripciones de la jerarquía de forma que cada suscripción
siga las directivas y los controles de seguridad adecuados.
Pasos siguientes
Revise las convenciones de recomendadas de nomenclatura y etiquetado que se deben seguir al implementar
los recursos de Azure.
Convenciones recomendadas de nomenclatura y etiquetado
Desarrollo de la estrategia de nomenclatura y
etiquetado de los recursos de Azure
06/03/2021 • 4 minutes to read • Edit Online
Organice sus recursos en la nube para dar apoyo a la gobernanza y a los requisitos de administración de
operaciones y de contabilidad. Unas convenciones de nomenclatura y etiquetado de metadatos bien definidas
ayudan a localizar y administrar los recursos rápidamente. Estas convenciones también ayudan a asociar los
costos de uso de la nube a los equipos empresariales mediante los mecanismos de contabilidad de contracargo
y visualización de costos.
Defina su estrategia de nomenclatura y etiquetado lo antes posible. Use los vínculos siguientes para ayudarle a
definir e implementar su estrategia:
Definición de su convención de nomenclatura
Abreviaturas recomendadas para los tipos de recursos de Azure
Definición de la estrategia de etiquetado
Guía de decisiones de nomenclatura y etiquetado de recursos
NOTE
Cada empresa tiene sus propios requisitos de organización y administración. Estas recomendaciones ayudan a iniciar un
debate con los equipos de adopción de la nube. A medida que avanza el debate, use la siguiente plantilla para
documentar las decisiones sobre nomenclatura y etiquetado que tome al adaptar estas recomendaciones a sus
necesidades empresariales específicas.
Descargue la plantilla de seguimiento de convención de nomenclatura y etiquetado.
Pasos siguientes
Obtenga información sobre los aspectos a considerar para definir la convención de nomenclatura de los
recursos de Azure y revise los nombres de ejemplo de estos.
Asignación de un nombre a los recursos de Azure
Definición de su convención de nomenclatura
06/03/2021 • 12 minutes to read • Edit Online
Una convención de nomenclatura eficaz crea nombres de recursos a partir de información importante sobre
cada recurso. Un nombre bien elegido le ayuda a identificar rápidamente el tipo del recurso, su carga de trabajo
asociada, su entorno de implementación y la región de Azure que lo hospeda. Por ejemplo, el nombre de un
recurso de IP pública de una carga de trabajo de producción de SharePoint residente en la región Oeste de
EE. UU. podría ser pip-sharepoint-prod-westus-001 .
Ámbito de nomenclatura
Todos los tipos de recursos de Azure tienen un ámbito que define el nivel en el que los nombres de los recursos
deben ser únicos. Un recurso debe tener un nombre único dentro de su ámbito.
Por ejemplo, una red virtual tiene un ámbito de grupo de recursos, lo que significa que solo puede haber una
red llamada vnet-prod-westus-001 en un grupo de recursos determinado. Otros grupos de recursos podrían
tener su propia red virtual llamada vnet-prod-westus-001 . Las subredes tienen como ámbito las redes virtuales
por lo que cada subred de una red virtual debe tener un nombre diferente.
Algunos nombres de recursos, como los servicios PaaS con puntos de conexión públicos o etiquetas DNS de
máquina virtual, tienen ámbitos globales, por lo que deben ser únicos en toda la plataforma de Azure.
Nombre de aplicación o ser vicio Nombre de la aplicación, carga de trabajo o servicio del que
forma parte el recurso. Ejemplos: navigator , emissions ,
sharepoint , hadoop
**Entorno de implementación ** Fase del ciclo de vida de desarrollo de la carga de trabajo que
admite el recurso. Ejemplos: prod , dev , qa , stage ,
test
mg-mktg
mg-hr
mg-corp-prod
mg-fin-client
mktg-prod-001
corp-shared-001
fin-client-001
rg-mktgsharepoint-prod-001
rg-acctlookupsvc-shared-001
rg-ad-dir-services-shared-001
id-appcn-keda-prod-eastus2-001
Nombres de ejemplo: Redes
T IP O DE REC URSO Á M B ITO F O RM ATO Y E JEM P LO S
vnet-shared-eastus2-001
vnet-prod-westus-001
vnet-client-eastus2-001
snet-shared-eastus2-001
snet-prod-westus-001
snet-client-eastus2-001
nic-01-dc1-shared-001
nic-02-vmhadoop1-prod-001
nic-02-vmtest1-client-001
pip-dc1-shared-eastus2-001
pip-hadoop-prod-westus-001
lb-navigator-prod-001
lb-sharepoint-dev-001
Grupo de seguridad de red (NSG) Subred o NIC nsg-<policy name or app name>-
<###>
nsg-weballow-001
nsg-rdpallow-001
nsg-sqlallow-001
nsg-dnsblocked-001
lgw-shared-eastus2-001
lgw-prod-westus-001
lgw-client-eastus2-001
vgw-shared-eastus2-001
vgw-prod-westus-001
vgw-client-eastus2-001
T IP O DE REC URSO Á M B ITO F O RM ATO Y E JEM P LO S
cn-lgw-shared-eastus2-001-to-
vgw-shared-eastus2-001
cn-lgw-shared-eastus2-001-to-
vgw-shared-westus-001
cn-shared-eastus2-to-shared-
westus
cn-prod-eastus2-to-prod-westus
route-navigator
route-sharepoint
dc1.westus.cloudapp.azure.com
web1.eastus2.cloudapp.azure.com
vmnavigator001
vmsharepoint001
vmsqlnode001
vmhadoop001
stvmstcoreeastus2001
stvmpmcoreeastus2001
stvmstplmeastus2001
stvmsthadoopeastus2001
T IP O DE REC URSO Á M B ITO F O RM ATO Y E JEM P LO S
app-navigator-prod-
001.azurewebsites.net
app-accountlookup-dev-
001.azurewebsites.net
func-navigator-prod-
001.azurewebsites.net
func-accountlookup-dev-
001.azurewebsites.net
cld-navigator-prod-
001.azurewebsites.net
cld-accountlookup-dev-
001.azurewebsites.net
sql-navigator-prod
sql-emissions-dev
sqldb-users-prod
sqldb-users-dev
T IP O DE REC URSO Á M B ITO F O RM ATO Y E JEM P LO S
mysql-navigator-prod
mysql-emissions-dev
psql-navigator-prod
psql-emissions-dev
sqldw-navigator-prod
sqldw-emissions-dev
SQL Ser ver Stretch Database Azure SQL Database sqlstrdb-<app name>-
<environment>
sqlstrdb-navigator-prod
sqlstrdb-emissions-dev
stnavigatordata001
stemissionsoutput001
stdiagsh001eastus2001
stdiagsh001westus001
ssimpnavigatorprod
ssimpemissionsdev
T IP O DE REC URSO Á M B ITO F O RM ATO Y E JEM P LO S
acrnavigatorprod001
srch-navigator-prod
srch-emissions-dev
cog-navigator-prod
cog-emissions-dev
adf-navigator-prod
adf-emissions-dev
asa-navigator-prod
asa-emissions-dev
dlanavigatorprod
dlanavigatorprod
dlsnavigatorprod
dlsemissionsdev
evh-navigator-prod
evh-emissions-dev
T IP O DE REC URSO Á M B ITO F O RM ATO Y E JEM P LO S
hbase-navigator-prod
hbase-emissions-dev
hadoop-navigator-prod
hadoop-emissions-dev
spark-navigator-prod
spark-emissions-dev
iot-navigator-prod
iot-emissions-dev
sb-navigator-prod
sb-emissions-dev
sbq-messagequery
sbt-messagequery
Pasos siguientes
Revise las abreviaturas recomendadas que se usarán para los diversos tipos de recursos de Azure al asignar
nombres a los recursos.
Abreviaturas recomendadas para los tipos de recursos de Azure
Abreviaturas recomendadas para los tipos de
recursos de Azure
24/04/2021 • 8 minutes to read • Edit Online
Las cargas de trabajo de Azure suelen estar compuestas de varios recursos y servicios. Incluir un componente
de nomenclatura en los nombres de los recursos que represente el tipo de recurso de Azure hace que sea más
fácil reconocer visualmente los componentes de aplicaciones o servicios.
En esta lista se proporcionan las abreviaturas recomendadas de los diversos tipos de recursos de Azure que se
deben incluir en las convenciones de nomenclatura. Estas abreviaturas suelen usarse como prefijos en los
nombres de los recursos, por lo que cada abreviatura que se muestra a continuación va seguida de un guion ( -
), excepto en los tipos de recursos que no permiten guiones en el nombre del mismo. La convención de
nomenclatura permite colocar la abreviatura del tipo de recurso en un lugar diferente del nombre si esto resulta
más adecuado para las necesidades de su organización.
General
ESPA C IO DE N O M B RES DEL
T IP O DE REC URSO P RO VEEDO R DE REC URSO S O EN T IDA D A B REVIAT URA
Redes
ESPA C IO DE N O M B RES DEL
T IP O DE REC URSO P RO VEEDO R DE REC URSO S O EN T IDA D A B REVIAT URA
Procesos y web
ESPA C IO DE N O M B RES DEL
T IP O DE REC URSO P RO VEEDO R DE REC URSO S O EN T IDA D A B REVIAT URA
Contenedores
ESPA C IO DE N O M B RES DEL
T IP O DE REC URSO P RO VEEDO R DE REC URSO S O EN T IDA D A B REVIAT URA
Bases de datos
ESPA C IO DE N O M B RES DEL
T IP O DE REC URSO P RO VEEDO R DE REC URSO S O EN T IDA D A B REVIAT URA
Storage
ESPA C IO DE N O M B RES DEL
T IP O DE REC URSO P RO VEEDO R DE REC URSO S O EN T IDA D A B REVIAT URA
IA y Machine Learning
ESPA C IO DE N O M B RES DEL
T IP O DE REC URSO P RO VEEDO R DE REC URSO S O EN T IDA D A B REVIAT URA
Analytics e IoT
ESPA C IO DE N O M B RES DEL
T IP O DE REC URSO P RO VEEDO R DE REC URSO S O EN T IDA D A B REVIAT URA
Integración
ESPA C IO DE N O M B RES DEL
T IP O DE REC URSO P RO VEEDO R DE REC URSO S O EN T IDA D A B REVIAT URA
Administración y gobernanza
ESPA C IO DE N O M B RES DEL
T IP O DE REC URSO P RO VEEDO R DE REC URSO S O EN T IDA D A B REVIAT URA
Migración
ESPA C IO DE N O M B RES DEL
T IP O DE REC URSO P RO VEEDO R DE REC URSO S O EN T IDA D A B REVIAT URA
Pasos siguientes
Revise las recomendaciones para etiquetar los recursos de Azure.
Definición de la estrategia de etiquetado
Definición de la estrategia de etiquetado
06/03/2021 • 5 minutes to read • Edit Online
Al aplicar etiquetas de metadatos a los recursos en la nube, puede incluir información sobre esos recursos que
no se pudo incluir en el nombre del recurso. Puede usar esa información para realizar filtrados e informes más
elaborados sobre los recursos. Quiere que estas etiquetas incluyan contexto sobre la carga de trabajo o la
aplicación asociadas del recurso, los requisitos operativos y la información de propiedad. Esta información la
pueden usar los equipos de TI o empresariales para encontrar recursos o generar informes sobre el uso y la
facturación de los recursos.
Las etiquetas que se aplican a los recursos y las etiquetas que son necesarias u opcionales varían según la
organización. En la lista siguiente se proporcionan ejemplos de etiquetas comunes que capturan contexto e
información importantes sobre un recurso. Use esta lista como punto de partida para establecer sus propias
convenciones de etiquetado.
Compromiso con las operaciones Nivel de soporte técnico para las OpsCommitment
operaciones que se proporciona para
esta carga de trabajo o recurso. Baseline only
Enhanced baseline
Platform operations
Workload operations
Realizar acción
Revise la Guía de decisiones de nomenclatura y etiquetado de recursos.
Pasos siguientes
Aprenda a migrar recursos y grupos de recursos entre suscripciones de Azure.
Traslado de recursos y grupos de recursos entre suscripciones
Centro de datos virtual: Una perspectiva de la red
21/04/2021 • 99 minutes to read • Edit Online
Las aplicaciones que se migren desde el entorno local se beneficiarán de la infraestructura segura y rentable de
Azure, incluso con cambios mínimos en las aplicaciones. Aun así, las empresas deben adaptar sus arquitecturas
para mejorar la agilidad y aprovechar las funcionalidades de Azure.
Microsoft Azure ofrece servicios y una infraestructura a gran escala con funcionalidades y confiabilidad de nivel
empresarial. Estos servicios y esta infraestructura ofrecen muchas opciones de conectividad híbrida, así que los
clientes pueden elegir acceder a ellos a través de Internet, o bien a través de una conexión de red privada. Los
partners de Microsoft también pueden proporcionar funcionalidades mejoradas al ofrecer servicios de
seguridad y aplicaciones virtuales optimizados para su ejecución en Azure.
Los clientes pueden usar Azure para ampliar su infraestructura a la nube sin problemas y crear arquitecturas de
varios niveles.
NOTE
Un centro de datos virtual no es un servicio específico de Azure. En su lugar, se combinan varias características y
funcionalidades de Azure para satisfacer sus necesidades. Un centro de datos virtual es una forma de pensar en sus
cargas de trabajo y en el uso de Azure para optimizar los recursos y funcionalidades en la nube. Ofrece un enfoque
modular para la prestación de servicios de TI en Azure, al mismo tiempo que se respetan los roles y responsabilidades
organizativos de la empresa.
Un centro de datos virtual ayuda a las empresas a implementar cargas de trabajo y aplicaciones en Azure en los
siguientes escenarios:
Hospedaje de varias cargas de trabajo relacionadas.
Migración de cargas de trabajo desde un entorno local a Azure.
Implementación de requisitos de seguridad y acceso compartido o centralizado para las cargas de trabajo.
Combinación de DevOps y TI centralizada adecuada para una gran empresa.
¿Quién debe implementar un centro de datos virtual?
Todos los clientes que hayan decidido adoptar Azure pueden beneficiarse de la eficacia de configurar un
conjunto de recursos que pueden usar todas las aplicaciones. Dependiendo del tamaño, hasta las aplicaciones
individuales pueden beneficiarse del uso de los patrones y componentes que se utilizan para crear una
implementación de un centro de datos virtual.
Algunas organizaciones tienen equipos o departamentos centralizados para TI, redes, seguridad o cumplimiento
normativo. La implementación de un centro de datos virtual puede ayudar a imponer puntos de directiva,
responsabilidades independientes y garantizar la coherencia de los componentes comunes subyacentes. Los
equipos de aplicaciones pueden mantener la libertad y el control adecuados para sus requisitos.
Las organizaciones con un enfoque de DevOps también pueden usar los conceptos del centro de datos virtual
para proporcionar paquetes autorizados de recursos de Azure. Este método puede garantizar que los grupos de
DevOps tengan control total dentro de esa agrupación, ya sea a nivel de la suscripción o en los grupos de
recursos de una suscripción común. Al mismo tiempo, los límites de red y de seguridad se mantienen en
cumplimiento, según lo definido por una directiva centralizada en la red del centro y en el grupo de recursos
administrado de manera centralizada.
En una topología de malla, el emparejamiento de red virtual conecta todas las redes virtuales directamente
entre sí.
Una topología de emparejamiento de tipo hub-and-spoke es adecuada para aplicaciones distribuidas y equipos
con responsabilidades delegadas.
Una topología de Azure Virtual WAN puede admitir escenarios de sucursales a gran escala y servicios WAN
globales.
La topología de emparejamiento en estrella tipo hub-and-spoke y la topología de Azure Virtual WAN usan
ambas un diseño de estrella tipo hub-and-spoke, que es óptima para la comunicación, los recursos compartidos
y la directiva de seguridad centralizada. Los centros se crean mediante un centro de emparejamiento de red
virtual (etiquetado como Hub Virtual Network en el diagrama) o un centro de Virtual WAN (etiquetado como
Azure Virtual WAN en el diagrama). Azure Virtual WAN está diseñada para comunicaciones de rama a rama y de
rama a Azure a gran escala, o para evitar las complejidades de la creación de todos los componentes de forma
individual en un centro de emparejamiento de red virtual. En algunos casos, es posible que sus requisitos exijan
un diseño de centro de emparejamiento de red virtual, como la necesidad de aplicaciones virtuales de red en el
centro.
En ambas topologías de hub-and-spoke, el centro (hub) es la zona de red central que controla e inspecciona
todo el tráfico entre las diferentes zonas: Internet, local y los radios (spokes). La topología de hub-and-spoke
ayuda al Departamento de TI a aplicar directivas de seguridad de forma centralizada. También reduce la
posibilidad de exposición y de configuración incorrecta.
El centro a menudo contiene los componentes de los servicios comunes que consumen los radios. Los ejemplos
siguientes son servicios centrales comunes:
La infraestructura de Active Directory de Windows necesaria para la autenticación de usuarios de terceros
que acceden desde redes que no son de confianza antes de obtener acceso a las cargas de trabajo del radio
(spoke). Incluye los Servicios de federación de Active Directory (AD FS) relacionados.
Un servicio de Sistema de nombres de dominio (DNS) que resuelve los nombres de la carga de trabajo en
los radios para acceder a recursos locales y en Internet si no se utiliza Azure DNS.
Una infraestructura de clave pública (PKI), para implementar el inicio de sesión único en las cargas de trabajo.
Control de flujo de tráfico TCP y UDP entre las zonas de red de los radios (spokes) e Internet.
Control de flujo entre los radios (spokes) y local.
Si es necesario, control de flujo entre un radio y otro.
Un centro de datos virtual reduce el costo total, ya que utiliza la infraestructura del centro compartida entre
varios radios.
El rol de cada radio puede ser el hospedaje de diferentes tipos de cargas de trabajo. Los radios (spokes) también
proporcionan un enfoque modular para implementaciones repetibles de las mismas cargas de trabajo. Entre los
ejemplos se incluyen el desarrollo y las pruebas, las pruebas de aceptación de usuario, la preproducción y la
producción. Los radios también pueden segregar y habilitar varios grupos dentro de su organización. Por
ejemplo, los grupos de DevOps. Dentro de un radio, es posible implementar una carga de trabajo básica o
cargas de trabajo de varios niveles complejas con control de tráfico entre los niveles.
Límites de la suscripción y múltiples concentradores
IMPORTANT
En función del tamaño de las implementaciones de Azure, es posible que se necesite una estrategia de varios centros. Al
diseñar la estrategia de hub-and-spoke, pregúntese: "¿puede este diseño escalarse para usar otra red virtual de centro en
esta región?", o bien "¿puede este diseño escalarse para aceptar varias regiones?". Es mucho mejor planear un diseño que
pueda escalarse y no lo necesite, a no planearlo y necesitarlo.
Cuándo escalar a un centro secundario (o más) dependerá de infinidad de factores, en general en función de límites
inherentes a la escala. Asegúrese de revisar los límites de la suscripción, de la red virtual y de las máquinas virtuales al
diseñar para el escalado.
En Azure, todos los componentes, de cualquier tipo, se implementan en una suscripción de Azure. El aislamiento
de componentes de Azure en distintas suscripciones de Azure puede satisfacer los requisitos de diferentes líneas
de negocio, como la configuración de niveles diferenciados de acceso y autorización.
Una implementación individual de un centro de datos virtual puede escalarse verticalmente a gran número de
radios, aunque, al igual que en todos los sistemas de TI, existen límites en las plataformas. La implementación
del centro se enlaza a una suscripción de Azure específica que tiene restricciones y límites (por ejemplo, un
número máximo de emparejamientos de red virtual. Para más información, consulte Límites, cuotas y
restricciones de suscripción y servicios de Azure). En los casos en los que los límites puedan ser un problema, la
arquitectura se puede escalar verticalmente más allá extiendo el modelo desde un único concentrador-radios a
un clúster de concentradores y radios. Se pueden conectar varios centros de una o más regiones de Azure
mediante el emparejamiento de red virtual, ExpressRoute, Virtual WAN o VPN de sitio a sitio.
La introducción de varios centros aumenta el costo y el esfuerzo de administración del sistema. Esto solo se
justifica por motivos de escalabilidad, límites del sistema, redundancia, replicación regional para el rendimiento
del usuario final o recuperación ante desastres. En escenarios que requieran múltiples concentradores, todos los
concentradores deben procurar ofrecer el mismo conjunto de servicios para facilitar la operativa.
Interconexión entre los radios
En un solo radio, o en un diseño de red plano, es posible implementar cargas de trabajo complejas en varios
niveles. Las configuraciones de varios niveles se pueden implementar utilizando subredes, una para cada nivel o
aplicación, en la misma red virtual. El control y filtrado del tráfico se realizan mediante grupos de seguridad de
red y rutas definidas por el usuario.
Un arquitecto podría querer implementar una carga de trabajo de varios niveles entre varias redes virtuales.
Con el emparejamiento de redes virtuales, los radios pueden conectarse a otros radios en el mismo centro o en
centros diferentes. Un ejemplo típico de este escenario es el caso en el que los servidores de procesamiento de
la aplicación están en un radio o red virtual. La base de datos se implementa en un radio o red virtual diferente.
En este caso, es fácil interconectar los radios con el emparejamiento de red virtual y así evitar el tránsito a través
del centro. Debe realizarse una meticulosa revisión tanto de la arquitectura como de la seguridad para
asegurarse de que, aunque se omita el centro, no se omiten puntos de seguridad o de auditoría importantes que
podrían existir solo en el centro.
Los radios también pueden estar conectados entre sí mediante un radio que actúa como concentrador. Este
método crea una jerarquía de dos niveles: el radio del nivel superior (nivel 0) se convierten en el concentrador
de radios inferiores (nivel 1) en la jerarquía. Los radios de una implementación de un centro de datos virtual
están obligados a reenviar el tráfico al centro principal, con el fin de que pueda llegar a su destino pasando por
la red local o Internet pública. Una arquitectura con dos niveles de centros de conectividad presenta un
enrutamiento complejo que anula las ventajas de una relación simple concentrador-radio.
Aunque Azure permite topologías complejas, uno de los principios básicos del concepto de centro de datos
virtual es la repetibilidad y simplicidad. Para minimizar el esfuerzo de administración, el diseño simple en
estrella tipo hub-and-spoke es la arquitectura de referencia recomendada para un centro de datos virtual.
Componentes
El centro de datos virtual se compone de cuatro tipos de componentes básicos: Infraestructura , redes
perimetrales , cargas de trabajo y super visión .
Cada tipo de componente consta de varias características de Azure y recursos. La implementación del centro de
datos virtual se compone de instancias de varios tipos de componentes y múltiples variaciones del mismo tipo
de componente. Por ejemplo, puede tener muchas instancias de cargas de trabajo diferentes, separadas
lógicamente, que representan las distintas aplicaciones. Estos distintos tipos de componentes e instancias se
utilizan para crear el centro de datos virtual.
La arquitectura conceptual de alto nivel anterior del centro de datos virtual muestra distintos tipos de
componentes utilizados en distintas zonas de la topología en estrella tipo hub-and-spoke. El diagrama muestra
los componentes de la infraestructura en distintas partes de la arquitectura.
Como procedimiento recomendado en general, los derechos de acceso y privilegios deben estar basados en
grupos. Trabajar con grupos, en lugar de con usuarios individuales, facilita el mantenimiento de directivas de
acceso, ya que proporciona una manera coherente de administrarlo a en varios equipos y ayuda a reducir los
errores de configuración. Asignar y quitar usuarios de los grupos adecuados le ayuda a mantener actualizados
los privilegios de un usuario específico.
Cada grupo de roles debe tener un prefijo único en sus nombres. Este prefijo facilita una rápida identificación de
qué grupo está asociado con qué carga de trabajo. Por ejemplo, una carga de trabajo que hospeda un servicio
de autenticación podría tener grupos denominados AuthSer viceNetOps , AuthSer viceSecOps ,
AuthSer viceDevOps y AuthSer viceInfraOps . Los roles centralizados o los roles no relacionados con un
servicio concreto, podrían estar precedidos de Corp . Por ejemplo: CorpNetOps .
Muchas organizaciones usan una variación de los grupos siguientes para proporcionar un desglose mayor de
los roles:
El equipo de TI central llamado Corp tiene los derechos de propiedad para controlar los componentes de la
infraestructura. Ejemplos de redes y seguridad. El grupo debe tener el rol de colaborador en la suscripción, el
control del centro y derechos de colaborador de la red en los radios. Las grandes organizaciones suelen
dividir estas responsabilidades de administración entre varios equipos. Ejemplos: un grupo CorpNetOps de
operaciones de red con atención exclusiva a las redes, y un grupo CorpSecOps de operaciones de seguridad
responsable del firewall y la directiva de seguridad. En este caso específico, deben crearse dos grupos
diferentes para la asignación de estos roles personalizados.
El grupo de desarrollo y pruebas llamado AppDevOps tiene la responsabilidad de implementar las cargas
de trabajo de aplicaciones o servicios. Este grupo adopta el rol de colaborador de la máquina Virtual para las
implementaciones de IaaS y uno o varios roles de colaborador de PaaS. Para más información, consulte Roles
integrados en Azure. Opcionalmente, el equipo de desarrollo y pruebas podría necesitar tener visibilidad de
las directivas de seguridad (grupos de seguridad de red) y de las directivas de enrutamiento (rutas definidas
por el usuario) en el centro o en un radio concreto. Además de los roles de colaborador para las cargas de
trabajo, este grupo también necesitaría el rol de lector de red.
El grupo de operaciones y mantenimiento llamado CorpInfraOps o AppInfraOps tiene la responsabilidad
de administrar las cargas de trabajo en producción. Este grupo debe ser un colaborador de la suscripción en
las cargas de trabajo en las suscripciones de producción. Algunas organizaciones también pueden evaluar si
necesitan un grupo de equipo de soporte técnico con el rol de colaborador en la suscripción de producción y
en la suscripción del centro principal. El grupo adicional permite solucionar posibles problemas de
configuración en el entorno de producción.
El centro de datos virtual está diseñado de forma que los grupos creados para el equipo de TI central, que
administra el centro, tengan los grupos correspondientes en el nivel de carga de trabajo. Además de la
administración de los recursos del centro, el quipo de TI central puede controlar el acceso externo y los permisos
de nivel superior en la suscripción. Además, los grupos de cargas de trabajo pueden controlar los recursos y los
permisos de su red virtual con independencia del equipo TI central.
Las particiones de los centros de datos virtuales están creadas para que puedan hospedar de forma segura
varios proyectos en líneas de negocios (LOB) diferentes. Todos los proyectos requieren diferentes entornos
aislados (desarrollo, UAT y producción). El uso de suscripciones de Azure independientes para cada uno de estos
entornos puede proporcionar un aislamiento natural.
El diagrama anterior muestra la relación entre los proyectos de una organización, los usuarios, grupos y los
entornos donde se implementan los componentes de Azure.
Normalmente, en TI, un entorno (o nivel) es un sistema en el que se implementan y ejecutan varias aplicaciones.
Las empresas grandes usan un entorno de desarrollo (en el que se realizan y se prueban los cambios) y un
entorno de producción (el que utilizan los usuarios finales). Dichos entornos están separados y a menudo hay
varios entornos de ensayo entre ellos para permitir la implementación por fases (lanzamiento), la realización de
pruebas y la reversión si surgen problemas. Las arquitecturas de implementación varían considerablemente,
aunque normalmente siguen el proceso básico de comenzar en un desarrollo (DEV) y terminar en producción
(PROD).
Una arquitectura común para estos tipos de entornos de varios niveles consta de DevOps para el desarrollo y
las pruebas, UAT para el almacenamiento provisional y entornos de producción. Las organizaciones pueden usar
uno o varios inquilinos de Azure AD para definir el acceso y los derechos para estos entornos. El diagrama
anterior muestra un caso en el que se usan dos inquilinos diferentes de Azure AD: uno para DevOps y UAT y
otro exclusivamente para producción.
La presencia de inquilinos de Azure AD diferentes refuerza la separación entre entornos. El mismo grupo de
usuarios, como el equipo TI central, debe autenticarse con un URI diferente para obtener acceso a un inquilino
de Azure AD diferente y modificar los roles o permisos de los entornos de DevOps o de producción de un
proyecto. La presencia de una autenticación de usuario diferente para acceder a diferentes entornos reduce
posibles interrupciones y otros problemas causados por errores humanos.
Tipo de componente: Infraestructura
Este tipo de componente es en el que reside la mayor parte de la infraestructura de soporte. También es donde
los equipos de TI central, seguridad y cumplimiento dedican la mayor parte de su tiempo.
Los componentes de la infraestructura proporcionan una interconexión para los distintos componentes de una
implementación de un centro de datos virtual y están presentes tanto en el centro de conectividad como en los
radios. Normalmente se asigna la responsabilidad de administrar y mantener los componentes de
infraestructura al equipo de TI central o al de seguridad.
Una de las tareas principales del equipo de infraestructura de TI es garantizar la coherencia de los esquemas de
direcciones IP en toda la empresa. El espacio de direcciones IP privadas asignado a una implementación de un
centro de datos virtual debe ser coherente y NO superponerse con las direcciones IP privadas asignadas a las
redes locales.
Aunque el uso de NAT en los enrutadores locales perimetrales o en entornos de Azure puede evitar conflictos de
direcciones IP, agrega complicaciones a los componentes de infraestructura. La simplicidad de la administración
es uno de los principales objetivos del centro de datos virtual, por lo que el uso de NAT para controlar
cuestiones de direcciones IP, si bien es una solución válida, no es la recomendada.
Los componentes de infraestructura tienen la siguiente funcionalidad:
Servicios de identidad y de directorio. El acceso a cada tipo de recurso en Azure se controla mediante una
identidad que se almacena en un servicio de directorio. El servicio de directorio almacena no solo la lista de
usuarios, sino también los derechos de acceso a los recursos en una suscripción de Azure específica. Estos
servicios pueden existir solo en la nube, o se pueden sincronizar con la identidad local almacenada en Active
Directory.
Virtual Network. Las redes virtuales son uno de los componentes principales del centro de datos virtual y le
permiten crear un límite de aislamiento de tráfico en la plataforma de Azure. Una red virtual se compone de
uno o varios segmentos de red virtual, cada uno con un prefijo de red IP específico (una subred, ya sea IPv4
o doble pila IPv4/IPv6). La red virtual define un área de perímetro interno en el que las máquinas virtuales de
IaaS y los servicios de PaaS pueden establecer comunicaciones privadas. Las VM (y los servicios de PaaS) de
una red virtual no pueden comunicarse directamente con VM (y servicios de PaaS) de una red virtual
diferente, incluso si el mismo cliente ha creado ambas redes virtuales en la misma suscripción. El aislamiento
consiste en una propiedad fundamental que garantiza que las máquinas virtuales del cliente y la
comunicación sigan siendo privadas en una red virtual. Cuando se desee la conectividad entre redes, las
siguientes características describen cómo se puede lograr.
Emparejamiento de red virtual. La característica fundamental utilizada para crear la infraestructura de un
centro de datos virtual es el emparejamiento de red virtual, un mecanismo que conecta dos redes virtuales
de la misma región mediante la red del centro de datos de Azure o la red troncal mundial de Azure para
regiones distintas.
Puntos de conexión de servicio de red virtual. Los puntos de conexión del servicio amplían el espacio de
direcciones privadas de una red virtual para incluir el espacio de PaaS. También amplían la identidad de la
red virtual a los servicios de Azure a través de una conexión directa. Los puntos de conexión permiten
proteger los recursos de servicio de Azure críticos únicamente para las redes virtuales.
Private Link. Azure Private Link le permite acceder a los servicios PaaS de Azure (por ejemplo, Azure Storage,
Azure Cosmos DB y Azure SQL Database) y a los servicios de partners o clientes hospedados en Azure
mediante un punto de conexión privado de la red virtual. El tráfico entre la red virtual y el servicio atraviesa
la red troncal de Microsoft, eliminando la exposición a la red pública de Internet. También puede crear su
propio servicio Private Link en la red virtual y enviarlo de forma privada a los clientes. La experiencia de
configuración y consumo con Azure Private Link es coherente en los servicios compartidos de PaaS de Azure,
de propiedad del cliente y de asociados.
Rutas definidas por el usuario. El tráfico en una red virtual se enruta de forma predeterminada en función de
la tabla de enrutamiento del sistema. Una ruta definida por el usuario es una tabla de enrutamiento
personalizada que los administradores de red pueden asociar a una o varias subredes para reemplazar el
comportamiento de la tabla de enrutamiento del sistema y definir una ruta de comunicación en una red
virtual. La presencia de rutas definidas por el usuario garantiza que el tráfico de salida del radio transita a
través de máquinas virtuales personalizadas concretas o de aplicaciones virtuales de red y equilibradores de
carga presentes en el centro y los radios.
Grupos de seguridad de red. Un grupo de seguridad de red es una lista de reglas de seguridad que actúan
como filtro de los orígenes de IP, destinos de IP, protocolos y puertos de origen de IP y puertos de destino de
IP (también denominado 5-tupla de nivel 4). El grupo de seguridad de red se puede aplicar a una subred, una
NIV virtual asociada a una VM de Azure, o a ambas. Los grupos de seguridad de red son esenciales para
implementar un control de flujo correcto en el centro y en los radios. El nivel de seguridad que permite el
grupo de seguridad de red está en función de los puertos que abra y de su finalidad. Los clientes deben
aplicar filtros adicionales en cada máquina virtual con firewalls basados en host, como iptables o el Firewall
de Windows.
DNS. DNS proporciona resolución de nombres para los recursos de un centro de centros de datos virtual.
Azure proporciona servicios DNS tanto para la resolución de nombres públicos como privados. Las zonas
privadas proporcionan la resolución de nombres dentro de una red virtual o en redes virtuales distintas.
Puede hacer que las zonas privadas abarquen redes virtuales de la misma región, e incluso de distintas
regiones y suscripciones. Azure DNS proporciona un servicio de hospedaje de dominios DNS que permite
resolver nombres mediante la infraestructura de Microsoft Azure (resolución pública). Al hospedar dominios
en Azure, puede administrar los registros DNS con las mismas credenciales, API, herramientas y facturación
que con los demás servicios de Azure.
Administración de grupos de administración, suscripciones y grupos de recursos. Una suscripción define un
límite natural para crear varios grupos de recursos en Azure. Esta separación puede ser para la función, la
segregación de roles o la facturación. Los recursos de una suscripción se ensamblan juntos en contenedores
lógicos llamados grupos de recursos. El grupo de recursos representa un grupo lógico para organizar los
recursos de un centro de datos virtual. Si su organización tiene varias suscripciones, puede que necesite una
manera de administrar el acceso, las directivas y el cumplimiento de esas suscripciones de forma eficaz. Los
grupos de administración de Azure proporcionan un nivel de ámbito por encima de las suscripciones. Las
suscripciones se organizan en contenedores, conocidos como grupos de administración, y las condiciones de
gobernanza se aplican a los grupos de administración. Todas las suscripciones dentro de un grupo de
administración heredan automáticamente las condiciones que se aplican al grupo de administración. Para ver
estas tres características en una vista de jerarquía, consulte Organización de los recursos en Cloud Adoption
Framework.
Control de acceso basado en roles de Azure (Azure RBAC). RBAC de Azure puede asignar roles organizativos
y derechos de acceso a recursos específicos de Azure, lo que le permite restringir a los usuarios a solo un
subconjunto determinado de acciones. Si va a sincronizar Azure Active Directory con una instancia de Active
Directory local, puede usar los mismos grupos de Active Directory en Azure que usa en el entorno local. Con
RBAC de Azure, puede conceder acceso mediante la asignación del rol adecuado a usuarios, grupos y
aplicaciones dentro del ámbito correspondiente. El ámbito de una asignación de roles puede ser una
suscripción de Azure, un grupo de recursos o un único recurso. RBAC de Azure permite la herencia de
permisos. Un rol asignado en un ámbito principal también concede acceso a los elementos secundarios
dentro del mismo. Con RBAC de Azure, podrá repartir las tareas y conceder a los usuarios únicamente el
nivel de acceso que necesitan para realizar su trabajo. Por ejemplo, un empleado puede administrar
máquinas virtuales en una suscripción, mientras que otro puede administrar bases de datos de SQL Server
en la misma suscripción.
Tipo de componente: Redes perimetrales
Los componentes de una red perimetral (en ocasiones denominada red DMZ) conectan sus redes locales o
físicas del centro de datos, junto con toda conectividad a Internet. Normalmente, el perímetro requiere una
inversión de tiempo considerable de los equipos de red y de seguridad.
Los paquetes entrantes deben fluir a través de las aplicaciones de seguridad del centro antes de llegar a los
servicios y servidores back-end en los radios. Entre los ejemplos se incluyen el firewall, IDS e IPS. Antes de
abandonar la red, los paquetes enlazados a Internet desde las cargas de trabajo también deberían fluir a través
de las aplicaciones de seguridad de la red perimetral. Este flujo permite la aplicación de directivas, las
inspecciones y las auditorías.
Los componentes de una red perimetral incluyen:
Redes virtuales, rutas definidas por el usuario y grupos de seguridad de red
Aplicaciones virtuales de red
Equilibrador de carga de Azure
Azure Application Gateway con firewall de aplicaciones web (WAF)
Direcciones IP públicas.
Azure Front Door con firewall de aplicaciones web (WAF)
Azure Firewall y Azure Firewall Manager
DDoS Protection estándar
Normalmente, los equipos de TI central y de seguridad son responsables de la definición de requisitos y el
funcionamiento de las redes perimetrales.
El diagrama anterior muestra el cumplimiento de dos perímetros con acceso a Internet y a una red local, ambos
residentes en el centro de DMZ. En el centro de DMZ, la red perimetral a Internet se puede escalar verticalmente
para admitir muchas líneas de negocio, mediante varias granjas de firewalls de aplicaciones web (WAF) o
instancias de Azure Firewall. El centro también permite la conectividad local a través de VPN o ExpressRoute,
según sea necesario.
NOTE
En el diagrama anterior, en "DMZ hub", muchas de las características siguientes se pueden agrupar en un centro de Azure
Virtual WAN (por ejemplo, redes virtuales, rutas definidas por el usuario, grupos de seguridad de red, puertas de enlace
de VPN, puertas de enlace de ExpressRoute, instancias de Azure Load Balancer, instancias de Azure Firewall, Firewall
Manager y DDOS). El uso de centros de Azure Virtual WAN puede facilitar la creación de la red virtual del centro y, por
tanto, del centro de datos virtual, ya que Azure controla automáticamente la mayor parte de la complejidad de ingeniería
cuando se implementa un centro de Azure Virtual WAN.
Redes virtuales. El centro normalmente se basa en una red virtual con varias subredes para hospedar los
distintos tipos de servicios con filtrado e inspección del tráfico hacia o desde Internet mediante Azure Firewall,
NVA, WAF e instancias de Azure Application Gateway.
Rutas definidas por el usuario. Con las rutas definidas por el usuario, los clientes pueden implementar firewalls,
IDS e IPS y otras aplicaciones virtuales, así como enrutar el tráfico de red mediante estas aplicaciones de
seguridad para la aplicación de directivas de límites de seguridad, auditoría e inspección. Las rutas definidas por
el usuario pueden crearse en el centro y los radios para garantizar que el tráfico transita a través de VM
personalizadas específicas, aplicaciones virtuales de red y equilibradores de carga utilizados en una
implementación de un centro de datos virtual. Para garantizar que el tráfico que se genera desde las máquinas
virtuales residentes en el radio transita a las aplicaciones virtuales correctas, se debe establecer una ruta
definida por el usuario en las subredes del radio configurando la dirección IP del front-end del equilibrador de
carga interno como el próximo salto. El equilibrador de carga interno distribuye el tráfico interno a las
aplicaciones virtuales (grupo de back-end de equilibradores de carga).
Azure Firewall es un servicio de seguridad de red administrado que protege los recursos de Azure Virtual
Network. Se trata de un firewall administrado con estado, con alta disponibilidad y escalabilidad en la nube.
Puede crear, aplicar y registrar directivas de aplicaciones y de conectividad de red a nivel central en
suscripciones y redes virtuales. Azure Firewall usa una dirección IP pública estática para los recursos de red
virtual. Esto permite que los firewalls externos identifiquen el tráfico que procede de su red virtual. El servicio
está totalmente integrado con Azure Monitor para los registros y análisis.
Si usa la topología de Azure Virtual WAN, Azure Firewall Manager es un servicio de administración de seguridad
que proporciona una directiva de seguridad central y administración de rutas para perímetros de seguridad
basados en la nube. Funciona con el centro de Azure Virtual WAN, un recurso administrado por Microsoft que le
permite crear fácilmente arquitecturas en estrella tipo hub-and-spoke. Cuando las directivas de seguridad y
enrutamiento están asociadas a un centro de ese tipo, se conoce como centro virtual protegido.
Aplicaciones virtuales de red. En el centro, la red perimetral con acceso a Internet se administra normalmente a
través de una instancia de Azure Firewall o una granja de firewalls o mediante un firewall de aplicaciones web
(WAF).
Las diferentes líneas de negocio normalmente utilizan diversas aplicaciones web, que tienden a sufrir varias
vulnerabilidades y puntos débiles potenciales. Los firewall de aplicaciones web son un tipo especial de producto
que se usa para detectar ataques contra las aplicaciones web (HTTP/HTTPS) con mayor profundidad que un
firewall genérico. En comparación con la tecnología de firewall tradicional, los WAF tienen un conjunto de
características específicas para proteger los servidores web internos frente a amenazas.
Una instancia de Azure Firewall o un firewall de aplicación virtual de red utilizan un plano de administración
común, con un conjunto de reglas de seguridad para proteger las cargas de trabajo hospedadas en los radios y
controlar el acceso a las redes locales. Azure Firewall tiene escalabilidad integrada, mientras que los firewalls de
aplicación virtual de red se pueden escalar manualmente detrás de un equilibrador de carga. En general, una
granja de firewalls tiene menos software especializado en comparación con un WAF, pero tiene un ámbito más
amplio de aplicación para filtrar e inspeccionar cualquier tipo de tráfico de entrada y salida. Si se usa un enfoque
de aplicación virtual de red, se pueden encontrar e implementar desde Azure Marketplace.
Es recomendable que use un conjunto de instancias de Azure Firewall o de aplicaciones virtuales de red para el
tráfico que se origina en Internet. Use otro para el tráfico que se origina en el entorno local. Utilizar únicamente
un conjunto de firewalls para ambos es un riesgo de seguridad, ya que no proporciona ningún perímetro de
seguridad entre los dos conjuntos de tráfico de red. El uso de capas de firewalls independientes reduce la
complejidad de la comprobación de las reglas de seguridad y deja claro qué reglas se corresponden con cada
solicitud de red entrante.
Azure Load Balancer ofrece un servicio de nivel 4 (TCP/UDP) de alta disponibilidad que puede distribuir el
tráfico entrante entre instancias del servicio definidas en un conjunto de carga equilibrada. El tráfico que se
envía al equilibrador de carga desde los puntos de conexión de front-end (puntos de conexión de direcciones IP
públicas o privadas) se puede redistribuir con o sin traducción de direcciones a un conjunto de grupo de
direcciones IP de back-end (como aplicaciones virtuales de red o máquinas virtuales).
Azure Load Balancer puede sondear el estado de las diversas instancias de servidor y, si una instancia no
responde a alguna sonda, el equilibrador de carga deja de enviar tráfico a la instancia incorrecta. En un centro de
datos virtual se implementa un equilibrador de carga externo en el centro y en los radios. En el centro, el
equilibrador de carga se usa para enrutar el tráfico de forma eficaz entre instancias del firewall, mientras que en
los radios, los equilibradores de carga se utilizan para administrar el tráfico de las aplicaciones.
Azure Front Door (AFD) es una plataforma de aceleración de aplicaciones web de alta disponibilidad y
escalabilidad de Microsoft, con equilibrador de carga HTTP global, protección de aplicaciones y red de entrega
de contenido. Al ejecutarse en más de cien ubicaciones en el perímetro de la red global de Microsoft, AFD
permite crear, operar y escalar horizontalmente una aplicación web dinámica y contenido estático. AFD
proporciona a la aplicación un rendimiento de usuario final de primer orden, una automatización de
mantenimiento de marca/regional unificada, una automatización de BCDR, una información de cliente/usuario
unificada, un almacenamiento en caché y una información detallada de servicios. La plataforma ofrece:
Acuerdos de Nivel de Servicio (SLA) de rendimiento, confiabilidad y soporte técnico.
Certificaciones de cumplimiento.
Prácticas de seguridad auditables desarrolladas, dirigidas y compatibles de forma nativa con Azure.
Azure Front Door también ofrece un firewall de aplicaciones web (WAF), que protege las aplicaciones web de las
vulnerabilidades más habituales.
Azure Application Gateway es una aplicación virtual dedicada que proporciona un controlador de entrega de
aplicaciones administrado. Ofrece diversas funcionalidades de equilibrio de carga de nivel 7 para la aplicación.
Le permite optimizar el rendimiento de las granjas de servidores web al traspasar la carga de la terminación SSL
con mayor actividad de la CPU a Application Gateway. También dispone de otras funcionalidades de
enrutamiento de nivel 7, como la distribución round robin del tráfico entrante, la afinidad de sesiones basada en
cookies, el enrutamiento basado en rutas de acceso URL y la capacidad de hospedar varios sitios web detrás de
una única instancia de Application Gateway. También se proporciona un firewall de aplicaciones web (WAF)
como parte de la SKU de WAF de Application Gateway. Esta SKU proporciona protección a las aplicaciones web
frente a vulnerabilidades web y vulnerabilidades de seguridad comunes. Application Gateway puede
configurarse como una puerta de enlace orientada a Internet, una puerta de enlace solo para uso interno o una
combinación de las dos.
Direcciones IP públicas. Algunas características de Azure le permiten asociar los puntos de conexión de servicio
a una dirección IP pública de modo que pueda accederse al recurso desde Internet. Este punto de conexión usa
NAT para enrutar el tráfico a la dirección interna y el puerto de la red virtual de Azure. Esta ruta es la vía
principal para que el tráfico externo pase a la red virtual. Las direcciones IP públicas se pueden configurar para
determinar qué tráfico se pasa y cómo y a dónde se traslada en la red virtual.
Azure DDoS Protection estándar ofrece funcionalidades de mitigación adicionales, en comparación con el nivel
de servicio básico, que se ajustan específicamente a los recursos de Azure Virtual Network. El servicio
Protección contra DDoS estándar es fácil de habilitar y no requiere ningún cambio en la aplicación. Las
directivas de protección se ajustan a través de la supervisión del tráfico dedicado y los algoritmos de Machine
Learning. Las directivas se aplican a direcciones IP públicas asociadas a recursos implementados en redes
virtuales. Entre los ejemplos se incluyen instancias de Azure Load Balancer, Azure Application Gateway y Azure
Service Fabric. Casi en tiempo real, los registros generados por el sistema están disponibles a través de las vistas
de Azure Monitor durante un ataque y para el historial. Se puede agregar protección en la capa de aplicación
mediante el firewall de aplicaciones web de Azure Application Gateway. Se proporciona protección para
direcciones IP públicas de Azure IPv4 e IPv6.
La topología de hub-and-spoke usa el emparejamiento de red virtual y las rutas definidas por el usuario para
enrutar el tráfico correctamente.
En el diagrama, la ruta definida por el usuario garantiza que el tráfico fluya del radio al firewall antes de pasar al
entorno local a través de la puerta de enlace de ExpressRoute (si la directiva de firewall permite ese flujo).
Tipo de componente: Supervisión
Los componentes de supervisión proporcionan visibilidad y alertas sobre todos los demás tipos de
componente. Todos los equipos deben tener acceso a la supervisión de los componentes y servicios a los que
tienen acceso. Si tiene equipos de soporte técnico o de operaciones centralizados, necesitan un acceso integrado
a los datos que proporcionan estos componentes.
Azure ofrece diferentes tipos de servicios de registro y supervisión para realizar un seguimiento del
comportamiento de los recursos hospedados en Azure. La gobernanza y el control de las cargas de trabajo en
Azure no se basa solo en recopilar datos de registro, sino también en la posibilidad de desencadenar acciones
basándose en eventos notificados específicos.
Azure Monitor. Azure incluye varios servicios que realizan individualmente una tarea o un rol específico en el
espacio de supervisión. Juntos, estos servicios ofrecen una solución completa para recopilar, analizar y actuar en
función de los registros generados por el sistema desde las aplicaciones y los recursos de Azure que las
admiten. También pueden servir para supervisar recursos locales críticos, a fin de proporcionar un entorno de
supervisión híbrido. Conocer las herramientas y los datos que están disponibles es el primer paso para
desarrollar una estrategia de supervisión completa para las aplicaciones.
Hay dos tipos fundamentales de registros en Azure Monitor:
Las métricas son valores numéricos que describen algún aspecto de un sistema en un momento dado.
Las métricas son ligeras y capaces de admitir escenarios de tiempo casi real. En muchos recursos de
Azure, los datos recopilados por Azure Monitor aparecen directamente en la página de información
general de Azure Portal. Como ejemplo, eche un vistazo a cualquier máquina virtual y verá varios
gráficos en los que aparecen métricas de rendimiento. Seleccione cualquiera de los gráficos para abrir los
datos en el explorador de métricas de Azure Portal, lo que le permitirá crear gráficos con los valores de
diversas métricas a lo largo del tiempo. Puede ver los gráficos de forma interactiva o anclarlos a un panel
para verlos con otras visualizaciones.
Los registros contienen distintos tipos de datos organizados en grupos de registros, donde cada tipo
tiene diferentes conjuntos de propiedades. Los eventos y seguimientos se almacenan como registros
junto con los datos de rendimiento, que se pueden combinar todos para su análisis. Los datos de registro
recopilados por Azure Monitor se pueden analizar con consultas para recuperar, consolidar y analizar
rápidamente los datos recopilados. Los registros se almacenan y se consultan desde Log Analytics. Puede
crear y probar consultas mediante Log Analytics en Azure Portal y después analizar los datos
directamente mediante estas herramientas o guardar las consultas para usarlas con las visualizaciones o
las reglas de alertas.
Azure Monitor puede recopilar datos de diversos orígenes. Puede pensar en supervisar datos para las
aplicaciones en niveles que abarcan desde la aplicación, pasando por el sistema operativo y los servicios en los
que se basa, hasta la propia plataforma de Azure. Azure Monitor recopila datos de cada uno de los siguientes
niveles:
Datos de super visión de aplicaciones: datos sobre el rendimiento y la funcionalidad del código que ha
escrito, independientemente de la plataforma.
Datos de super visión del sistema operativo invitado : datos sobre el sistema operativo en el que se
ejecuta la aplicación. Este sistema operativo se puede ejecutar en Azure, en otra nube o en el entorno local.
Super visión de recursos con DMV : datos sobre el funcionamiento de un recurso de Azure.
Datos de super visión de la suscripción de Azure: datos sobre el funcionamiento y la administración de
una suscripción de Azure, así como sobre el estado y el funcionamiento del propio Azure.
Datos de super visión de inquilino de Azure: datos sobre el funcionamiento de los servicios de Azure en
el nivel del inquilino, como Azure Active Directory.
Orígenes personalizados: También se pueden incluir los registros enviados desde orígenes locales.
Algunos ejemplos incluyen los eventos de servidores locales o la salida syslog de dispositivos de red.
Los datos de supervisión solo resultan útiles si aportan una mayor visibilidad sobre el funcionamiento del
entorno informático. Azure Monitor cuenta con varias características y herramientas que proporcionan valiosa
información sobre las aplicaciones y los recursos de los que dependen. Las características y las soluciones de
supervisión, como Application Insights y Azure Monitor para contenedores, proporcionan información
exhaustiva sobre diferentes aspectos de la aplicación y determinados servicios de Azure.
Las soluciones de supervisión de Azure Monitor son conjuntos empaquetados de lógica que proporcionan
información sobre una determinada aplicación o servicio. Incluyen la lógica para recopilar datos de supervisión
para la aplicación o servicio, consultas para analizar esos datos y vistas para su visualización. Las soluciones de
supervisión están disponibles en Microsoft y partners, y ofrecen herramientas de supervisión para distintos
servicios de Azure y otras aplicaciones.
Una vez que se han recopilado todos estos datos enriquecidos, es importante tomar medidas proactivas sobre
los eventos que ocurren en el entorno en el que las consultas manuales solas no bastarán. Las alertas de Azure
Monitor informan de manera proactiva los estados críticos e intentan aplicar acciones correctivas. Las reglas de
alertas basadas en métricas proporcionan avisos casi en tiempo real que se generan en función de unos valores
numéricos, mientras que las reglas basadas en registros permiten aplicar una lógica compleja entre datos de
diversos orígenes. Las reglas de alertas de Azure Monitor utilizan grupos de acciones, que contienen diferentes
conjuntos de destinatarios y acciones que pueden compartirse entre varias reglas. En función de los requisitos,
los grupos de acciones pueden realizar diferentes acciones, como utilizar webhooks para que las alertas inicien
acciones externas o se integren en las herramientas de administración de servicios de TI.
Azure Monitor también permite la creación de paneles personalizados. Los paneles de Azure permiten combinar
distintos tipos de datos, como métricas y registros, en un único panel de Azure Portal. Si lo desea, también
compartir el panel con otros usuarios de Azure. Los elementos que componen Azure Monitor pueden agregarse
a un panel de Azure, así como a la salida de cualquier consulta de registro o gráfico de métricas. Por ejemplo,
puede crear un panel que contenga diferentes iconos que muestren un gráfico de métricas, una tabla de
registros de actividad, un gráfico de uso de Application Insights y la salida de una consulta de registro.
Por último, los datos de Azure Monitor son un origen nativo para Power BI. Power BI es un servicio de análisis
empresarial que proporciona visualizaciones interactivas en una serie de orígenes de datos, y que constituye un
mecanismo eficaz para poner los datos a disposición de personas que están dentro y fuera de la organización.
Puede configurar Power BI para que los datos de registro se importen automáticamente desde Azure Monitor y
utilizar estas visualizaciones adicionales.
Azure Network Watcher proporciona herramientas para supervisar, diagnosticar, ver las métricas y habilitar o
deshabilitar los registros de los recursos en una red virtual de Azure. Es un servicio polifacético, lo que permite
las funcionalidades siguientes y muchas más:
Supervisión de la comunicación entre una máquina virtual y un punto de conexión.
Visualización de recursos de una red virtual y sus relaciones.
Diagnóstico de problemas de filtrado del tráfico de red hacia o desde una máquina virtual.
Diagnóstico de problemas de enrutamiento de red desde una máquina virtual.
Diagnóstico de conexiones de salida desde una máquina virtual.
Captura de paquetes hacia y desde una máquina virtual.
Diagnóstico de problemas con conexiones y una puerta de enlace de una red virtual.
Determinación de latencias relativas entre las regiones de Azure y los proveedores de acceso a Internet.
Visualización de las reglas de seguridad para una interfaz de red.
Visualización de métricas de red.
Análisis del tráfico hacia y desde un grupo de seguridad de red.
Visualización de registros de diagnóstico de recursos de red.
Tipo de componente: Cargas de trabajo
Los componentes de carga de trabajo son donde residen los servicios y aplicaciones reales. Es donde los
equipos de desarrollo de aplicaciones dedican la mayor parte de su tiempo.
Las posibilidades de cargas de trabajo son infinitas. Estos son solo algunos de los tipos posibles de cargas de
trabajo:
Aplicaciones internas: Las aplicaciones de línea de negocio son críticas para las operaciones empresariales.
Estas aplicaciones tienen algunas características comunes:
Interactivas: Se especifican los datos y se devuelven resultados o informes.
Orientadas a datos: Uso intensivo de datos con acceso frecuente a bases de datos o a otros
almacenamientos.
Integradas: Integración de ofertas con otros sistemas dentro o fuera de la organización.
Sitios web accesibles para clientes (accesibles desde Internet o internamente): La mayoría de las
aplicaciones de Internet son sitios web. Azure puede ejecutar un sitio web a través de una máquina virtual IaaS o
una sitio de Azure Web Apps (PaaS). Azure Web Apps se integra en las redes virtuales para implementar
aplicaciones web en una zona de red de radios. Los sitios web a los que se accede internamente no necesitan
exponer un punto de conexión de Internet pública, ya que se puede acceder a los recursos a través de
direcciones privadas enrutables sin conexión a Internet desde la red virtual privada.
Análisis de macrodatos: Cuando sea necesario escalar los datos verticalmente a volúmenes más grandes, es
posible que las bases de datos relacionales no funcionen correctamente bajo la carga extrema o la naturaleza no
estructurada de los datos. Azure HDInsight es un servicio de análisis, de código abierto, espectro completo y
administrado en la nube para empresas. Puede usar marcos de código abierto, como Hadoop, Apache Spark,
Apache Hive, LLAP, Apache Kafka, Apache Storm y R. HDInsight admite la implementación en una red virtual
basada en ubicación, que se puede implementar en un clúster en un radio del centro de recursos virtual.
Eventos y mensajería: Azure Event Hubs es una plataforma de streaming de macrodatos y un servicio de
ingesta de eventos. Puede recibir y procesar millones de eventos por segundo. Ofrece retención de tiempo
configurable y baja latencia, lo que permite ingerir grandes cantidades de datos en Azure y leerlos desde varias
aplicaciones. Una única transmisión puede admitir canalizaciones en tiempo real y basadas en lotes.
Puede implementar un servicio de mensajería en la nube altamente confiable entre aplicaciones y servicios
mediante Azure Service Bus. Este ofrece mensajería asincrónica entre cliente y servidor, además de mensajería
estructurada de tipo FIFO (primero en entrar, primero en salir) y funcionalidades de publicación y suscripción.
Estos ejemplos apenas esbozan los tipos de cargas de trabajo que se pueden crear en Azure; todo desde una
aplicación web y SQL básica, hasta lo más reciente de IoT, macrodatos, aprendizaje automático, IA y mucho más.
Alta disponibilidad: varios centros de datos virtuales
Hasta ahora, este artículo se ha centrado en el diseño de un único centro de datos virtual, y en él se describen
los componentes básicos y las arquitecturas que contribuyen a su resistencia. Las características de Azure, como
Azure Load Balancer, las aplicaciones virtuales de red, las zonas de disponibilidad, los conjuntos de
disponibilidad, los conjuntos de escalado y otras funcionalidades, le ayudan a incluir niveles de SLA sólidos en
los servicios de producción.
Sin embargo, dado que un centro de datos virtual normalmente se implementa en una sola región, puede ser
vulnerable a cualquier interrupción que afecte a toda la región. Los clientes que requieran alta disponibilidad
deben proteger los servicios a través de implementaciones del mismo proyecto en dos implementaciones de
centros de datos virtuales (o más) ubicadas en regiones diferentes.
Además de los aspectos del acuerdo de nivel de servicio, varios escenarios comunes se benefician de la
ejecución de varios centros de datos virtuales:
Presencia regional o global de los usuarios finales o partners.
Requisitos de recuperación ante desastres.
Un mecanismo para desviar el tráfico entre centros de datos para la carga o el rendimiento.
Presencia regional y global
Existen centros de datos de Azure en muchas regiones de todo el mundo. Si selecciona varios centros de datos
de Azure, tenga en cuenta dos factores relacionados: distancias geográficas y latencia. Para optimizar la
experiencia del usuario, evalúe la distancia entre cada centro de datos virtual, así como la distancia entre cada
centro de datos virtual y los usuarios finales.
Una región de Azure que hospeda su centro de datos virtual debe cumplir los requisitos normativos de la
jurisdicción legal en la que opere su organización.
Recuperación ante desastres
El diseño de un plan de recuperación ante desastres depende de los tipos de cargas de trabajo y de la capacidad
para sincronizar el estado dichas cargas entre diferentes implementaciones de centros de datos virtuales.
Idealmente, la mayoría de los clientes desea un mecanismo de conmutación por error rápido, y este requisito
puede necesitar la sincronización de los datos de las aplicaciones entre las implementaciones que se ejecuten en
distintas implementaciones de centros de datos virtuales. Sin embargo, al diseñar los planes de recuperación
ante desastres, es importante tener en cuenta que a la mayoría de las aplicaciones les afecta la latencia que
puede provocar dicha sincronización de datos.
La sincronización y la supervisión del latido de las aplicaciones en diferentes implementaciones de centros de
datos virtuales exige comunicación a través de la red. Varias implementaciones de centros de datos virtuales de
diferentes regiones se pueden conectar mediante:
Comunicación de centro a centro, integrada en los centros de Azure Virtual WAN entre regiones de la misma
Virtual WAN.
Emparejamiento de red virtual para conectar centros de diferentes regiones.
Emparejamiento privado de ExpressRoute cuando los centros en cada una de las implementaciones de
centros de datos virtuales están conectados al mismo circuito de ExpressRoute.
Varios circuitos de ExpressRoute conectados a través de la red troncal corporativa y varias implementaciones
de centros de datos virtuales conectadas a los circuitos de ExpressRoute.
Conexiones VPN de sitio a sitio entre la zona del concentrador de las implementaciones de los centros de
datos virtuales de cada región de Azure.
Normalmente, los centros de Virtual WAN, el emparejamiento de red virtual o las conexiones de ExpressRoute
se prefieren para la conectividad de red, ya que tienen mayor ancho de banda y niveles de latencia coherentes al
pasar por la red troncal de Microsoft.
Ejecute pruebas de calificación de red para verificar la latencia y el ancho de banda de dichas conexiones y
decidir si la replicación de datos sincrónica o asincrónica es adecuada en función del resultado. También es
importante sopesar estos resultados teniendo en cuenta el objetivo de tiempo de recuperación óptimo (RTO).
Recuperación ante desastres: desvío del tráfico de una región a otra
Tango Azure Traffic Manager como Azure Front Door comprueban periódicamente el mantenimiento del
servicio de los puntos de conexión de escucha en distintas implementaciones de centros de datos virtuales y, si
se produce algún error en ellos, enruta automáticamente al siguiente centro de datos virtual secundario más
cercano. Traffic Manager usa medidas de usuario en tiempo real y DNS para enrutar a los usuarios al l más
cercano (o próximamente al más cercano durante el error). Azure Front Door es un proxy inverso en más de
100 sitios perimetrales de la red troncal de Microsoft, con difusión por proximidad para enrutar a los usuarios al
punto de conexión de escucha más cercano.
Resumen
El centro de datos virtual es un enfoque hacia la migración de centros de datos para crear una arquitectura
escalable que optimice los recursos que usa Azure, reduzca los costos y simplifique la gobernanza del sistema. El
centro de datos virtual suele basarse en topologías en estrella tipo hub-and-spoke (mediante el emparejamiento
de red virtual o los centros de Virtual WAN). Los servicios compartidos comunes que se proporcionan en el
centro y las aplicaciones y cargas de trabajo específicas se implementan en los radios. El centro de datos virtual
también coincide con la estructura de roles de la empresa, en la que diferentes departamentos, como TI Central,
DevOps, Operaciones y Mantenimiento, funcionan conjuntamente, aunque cumplan con sus roles específicos. El
centro de datos virtual permite migrar las cargas de trabajo locales existentes a Azure, pero también
proporciona muchas ventajas para las implementaciones nativas en la nube.
Referencias
Obtenga más información sobre las funcionalidades de Azure que se describen en este documento.
Características de red
Azure Virtual Network
Grupos de seguridad de red
Puntos de conexión de servicio
Private Link
Rutas definidas por el usuario
Aplicaciones virtuales de red
Direcciones IP públicas
DNS de Azure
Equilibrio de carga
Azure Front Door
Azure Load Balancer (capa 4)
Application Gateway (capa 7)
Azure Traffic Manager
Conectividad
Emparejamiento de redes virtuales
Red privada virtual
Virtual WAN
ExpressRoute
ExpressRoute Direct
Identidad
Azure Active Directory
Multi-Factor Authentication
Control de acceso basado en rol
Roles integrados en los recursos de Azure
Super visión
Network Watcher
Azure Monitor
Log Analytics
procedimientos recomendados
Grupo de administración
Administración de suscripciones
Administración de grupos de recursos
Límites de la suscripción de Azure
Seguridad
Azure Firewall
Firewall Manager
Application Gateway con WAF
Front Door con WAF
Azure DDoS
Otros ser vicios de Azure
Almacenamiento de Azure
SQL de Azure
Azure Web Apps
Azure Cosmos DB
HDInsight
Event Hubs
Service Bus
Azure IoT
Azure Machine Learning
Pasos siguientes
Obtenga más información sobre el emparejamiento de red virtual, la tecnología básica de las topologías en
estrella tipo hub-and-spoke.
Implemente Azure Active Directory para usar el control de acceso basado en roles de Azure.
Desarrolle un modelo de administración de recursos y suscripciones mediante un control de acceso basado
en roles de Azure que se adapte a la estructura, los requisitos y las directivas de su organización. La actividad
más importante es el planeamiento. Analice de qué manera las reorganizaciones, las fusiones, las nuevas
líneas de productos y otras consideraciones afectarán a los modelos iniciales, con el fin asegurarse de que
pueda escalar para satisfacer las necesidades y el crecimiento futuros.
Redes perimetrales
08/03/2021 • 15 minutes to read • Edit Online
Las redes perimetrales permiten la conectividad segura entre las redes de la nube y las redes de los centros de
datos locales o físicos, así como todo tipo de conectividad hacia Internet y desde este. Una red perimetral a
veces se denomina subred filtrada o DMZ.
Para que las redes perimetrales sean eficaces, los paquetes entrantes deben fluir a través de los dispositivos de
seguridad hospedados en subredes seguras antes de llegar a los servidores back-end. Algunos ejemplos son el
firewall, los sistemas de detección de intrusiones y los sistemas de prevención de intrusiones. Antes de
abandonar la red, los paquetes enlazados a Internet de las cargas de trabajo también deberían fluir por las
aplicaciones de seguridad de la red perimetral. Este flujo tiene fines de auditoría, inspección y aplicación de
directivas.
Las redes perimetrales usan las siguientes características y servicios de Azure:
Redes virtuales, rutas definidas por el usuario y grupos de seguridad de red
Aplicaciones virtuales de red (NVA)
Equilibrador de carga de Azure
Azure Application Gateway y firewall de aplicaciones web (WAF)
Direcciones IP públicas.
Azure Front Door con firewall de aplicaciones web
Azure Firewall
NOTE
Las arquitecturas de referencia de Azure proporcionan plantillas de ejemplo que puede usar para implementar sus propias
redes perimetrales:
Implementación de una red perimetral entre Azure y el centro de datos local
Implementación de una red perimetral entre Azure e Internet
Por lo general, el equipo de TI y de seguridad centrales son responsables de definir los requisitos para el
funcionamiento de las redes perimetrales.
Ilustración 1:
Ejemplo de una topología de red en estrella tipo hub-and-spoke.
En el diagrama anterior se muestra un ejemplo de topología de red en estrella tipo hub-and-spoke que
implementa la aplicación de dos perímetros con acceso a Internet y a una red local. Ambos perímetros residen
en el concentrador de la red perimetral. En el concentrador de DMZ, la red perimetral a Internet puede escalarse
verticalmente para admitir varias líneas de negocio mediante varias granjas de firewalls de aplicaciones web
que ayudan a proteger las redes virtuales radiales. El concentrador también permite la conectividad a través de
VPN o Azure ExpressRoute, según sea necesario.
Redes virtuales
Las redes perimetrales normalmente se basan en una red virtual con varias subredes para hospedar los
distintos tipos de servicios con filtrado e inspección del tráfico hacia o desde Internet mediante NVA, WAF e
instancias de Azure Application Gateway.
Azure Firewall
Azure Firewall es un servicio administrado basado en la nube que ayuda a proteger los recursos de la red virtual
de Azure. Se trata de un firewall administrado con estado completo, con alta disponibilidad integrada y una
escalabilidad sin restricciones en la nube. Puede crear, aplicar y registrar directivas de aplicaciones y de
conectividad de red a nivel central en suscripciones y redes virtuales.
Azure Firewall usa una dirección IP pública estática para los recursos de red virtual. Esto permite que los
firewalls externos identifiquen el tráfico que procede de su red virtual. El servicio interopera con Azure Monitor
para los registros y análisis.
Direcciones IP públicas
Algunas características de Azure le permiten asociar los puntos de conexión de servicio a una dirección IP
pública que permite al recurso estar accesible desde Internet. Este punto de conexión usa la traducción de
direcciones de red (NAT) para enrutar el tráfico a la dirección interna y el puerto de la red virtual de Azure. Esta
ruta es la vía principal para que el tráfico externo pase a la red virtual. Las direcciones IP públicas se pueden
configurar para determinar qué tráfico se pasa y cómo y a dónde se traslada en la red virtual.
La red en estrella tipo hub-and-spoke es un modelo de red que permite la administración eficaz de los
requisitos habituales de comunicación o seguridad. También ayuda a evitar las limitaciones de las suscripciones
de Azure. Este modelo aborda los siguientes aspectos:
Ahorro en costos y eficiencia de la administración . La centralización de los servicios que se pueden
compartir entre varias cargas de trabajo, como las aplicaciones virtuales de red (NVA) y los servidores DNS,
en una única ubicación permite que TI minimice los recursos redundantes y el esfuerzo de administración.
Superación de los límites de las suscripciones. Las cargas de trabajo grandes basadas en la nube
pueden requerir el uso de más recursos que los permitidos en una sola suscripción de Azure. El
emparejamiento de redes virtuales de carga de trabajo de distintas suscripciones con un centro de
conectividad central puede superar estos límites. Para más información, consulte Límites de suscripción de
Azure.
Separación de intereses . Puede implementar cargas de trabajo individuales entre los equipos de TI
centrales y los equipos de las cargas de trabajo.
Es posible que los entornos en la nube más pequeños no se beneficien de la estructura y las funcionalidades
agregadas que ofrece este modelo. Pero los trabajos de adopción de la nube mayores deben considerar la
implementación de una arquitectura de red en estrella tipo hub-and-spoke si tienen alguna de las
preocupaciones mencionadas anteriormente.
NOTE
El sitio de arquitecturas de referencia de Azure contiene plantillas de ejemplo que puede usar como base para
implementar sus propias redes en estrella tipo hub-and-spoke:
Implementación de una topología de red en estrella tipo hub-and-spoke en Azure
Implementación de una topología de red en estrella tipo hub-and-spoke con servicios compartidos en Azure
Información general
Figura 1: Ejemplo de una topología de red en estrella tipo hub-and-spoke.
Como se muestra en el diagrama, Azure admite dos tipos de diseño en estrella tipo hub-and-spoke. Admite la
comunicación, los recursos compartidos y la directiva de seguridad centralizada (etiquetada como VNet hub en
el diagrama) o un diseño basado en Azure Virtual WAN (etiquetado como Virtual WAN en el diagrama) para
comunicaciones de rama a rama y de rama a Azure a gran escala.
Un concentrador es la zona de red central que controla e inspecciona el tráfico de entrada y salida entre las
diferentes zonas: Internet, local y radial. La topología en estrella tipo hub-and-spoke ofrece al departamento de
TI una manera eficaz de aplicar directivas de seguridad en una ubicación central. También reduce la posibilidad
de exposición y de configuración incorrecta.
El concentrador contiene los componentes de los servicios comunes utilizados por los radios. Los ejemplos
siguientes son servicios centrales comunes:
La infraestructura de Windows Server Active Directory necesaria para la autenticación de usuarios de
terceros que acceden desde redes que no son de confianza antes de obtener acceso a las cargas de trabajo
del radio. Incluye los Servicios de federación de Active Directory (AD FS) relacionados.
Un servicio DNS que resuelve los nombres de la carga de trabajo en los radios para acceder a recursos
locales y en Internet si no se utiliza Azure DNS.
Una infraestructura de clave pública (PKI), para implementar el inicio de sesión único en las cargas de trabajo.
Control de flujo de tráfico TCP y UDP entre las zonas de red de los radios (spokes) e Internet.
Control de flujo entre los radios (spokes) y local.
Si es necesario, control de flujo entre un radio y otro.
Puede minimizar la redundancia, simplificar la administración y reducir el costo general mediante el uso de la
infraestructura de concentrador compartida para admitir varios radios.
El rol de cada radio puede ser el hospedaje de diferentes tipos de cargas de trabajo. Los radios (spokes) también
proporcionan un enfoque modular para implementaciones repetibles de las mismas cargas de trabajo. Algunos
ejemplos incluyen desarrollo/pruebas, pruebas de aceptación del usuario, ensayo y producción.
Los radios también pueden segregar y habilitar varios grupos dentro de su organización. Por ejemplo, los
grupos de Azure DevOps. Dentro de un radio, es posible implementar una carga de trabajo básica o cargas de
trabajo de varios niveles complejas con control de tráfico entre los niveles.
Al planear una implementación de Azure Machine Learning para un entorno empresarial, hay algunos puntos de
decisión comunes que afectan al modo en que se crea el área de trabajo:
Estructura del equipo: la forma en que se organizan los equipos de Machine Learning y colaboran en
los proyectos según el caso de uso y la segregación de datos, o los requisitos de administración de
costos.
Entornos: son los entornos que se usan como parte del flujo de trabajo de desarrollo y lanzamiento para
separar el desarrollo de la producción.
Región: indica la ubicación de los datos y la audiencia que necesita para proporcionar la solución de
Machine Learning.
Un entorno con acceso limitado a los datos y uno con acceso a los datos de producción: al elegir
esta configuración, Azure Machine Learning se implementa en dos entornos – un entorno que tiene acceso
limitado a los datos y un entorno que tiene acceso a los datos de producción. Esta configuración es habitual si
necesita separar los entornos de desarrollo y de producción. Por ejemplo, si está trabajando con restricciones
organizativas para que los datos de producción estén disponibles en cualquier entorno, o si quiere separar el
trabajo de desarrollo del trabajo de producción sin duplicar los datos más de lo necesario debido al alto costo
del mantenimiento.
La ventaja de esta configuración es la separación clara de las tareas y el acceso entre los entornos de desarrollo
y producción. Otra ventaja es la menor sobrecarga en la administración de recursos en comparación con un
escenario de implementación de varios entornos.
En este enfoque es necesario tener en cuenta que debe tener un proceso de desarrollo e implementación
definido para los artefactos de Machine Learning entre áreas de trabajo. Otro punto a tener en cuenta es que la
administración de datos y el esfuerzo de ingeniería pueden ser necesarios para que los datos de producción
estén disponibles para el entrenamiento en un entorno de desarrollo. Sin embargo, esto podría suponer un
esfuerzo relativamente menor que la implementación de un área de trabajo de varios entornos.
Ser vicios regionales: las instancias de Machine Learning Service se implementan cerca del lugar en el que
reside el público de destino. Por ejemplo, si los usuarios de destino están en Australia y el almacenamiento
principal y la región de experimentación están en el Oeste de Europa, implemente el área de trabajo de Machine
Learning para realizar la experimentación en el Oeste de Europa e implemente un clúster de AKS para realizar la
implementación de puntos de conexión de inferencia en Australia.
Esta configuración otorga la oportunidad de realizar inferencias en el centro de datos donde se ingieren los
datos nuevos, minimizando así la latencia y el movimiento de datos y garantizando el cumplimiento de la
normativa local.
En este enfoque hay que tener en cuenta que una configuración de varias regiones proporciona varias ventajas,
pero también agrega más sobrecarga en la administración de cuotas y procesos. Cuando hay un requisito para
la inferencia de lotes, el servicio regional puede requerir una implementación de varias áreas de trabajo. Los
datos recopilados a través de puntos de conexión de inferencia pueden requerir que se transfieran entre
regiones para escenarios en los que se deba volver a realizar el entrenamiento.
Ajuste regional: un modelo base se entrena en un conjunto de datos inicial (por ejemplo, datos públicos o
datos de todas las regiones), y se ajusta posteriormente a un conjunto de datos regional. El conjunto de datos
regional puede existir solo en una región determinada debido a las restricciones de movimiento de datos o de
cumplimiento normativo. Por ejemplo, el entrenamiento del modelo base puede realizarse en un área de trabajo
de la región A, mientras que la optimización puede realizarse en un área de trabajo de la región B.
La ventaja de esta configuración es que la experimentación está disponible de acuerdo con el centro de datos
donde residen los datos; asimismo, sigue aprovechando el entrenamiento del modelo base en un conjunto de
datos más grande en una fase de canalización anterior.
En este enfoque hay que tener en cuenta que puede usar la capacidad de las canalizaciones de experimentación
complejas, pero esto podría crear más desafíos. Por ejemplo, si compara los resultados de los experimentos
entre regiones, puede agregar más sobrecarga a la administración de cuotas y procesos.
Implementación de referencia
Para ilustrar la implementación de Azure Machine Learning en una configuración más grande, en esta sección se
describe el modo en que la organización "Contoso" ha configurado Azure Machine Learning teniendo en cuenta
las restricciones organizativas, los informes y los requisitos de presupuesto:
Contoso crea grupos de recursos de acuerdo con las soluciones de administración de costos e informes.
Los administradores de TI solo crean grupos de recursos y recursos para soluciones financiadas y así
poder satisfacer los requisitos del presupuesto.
Debido a la naturaleza incierta y exploratoria de la ciencia de los datos, es necesario que los usuarios
tengan un lugar para experimentar y trabajar con el caso de uso y la exploración de datos. Muchas veces
el trabajo exploratorio no se puede asociar directamente a un caso de uso determinado y solo se puede
asociar al presupuesto R&D. Contoso quiere financiar algunos recursos de Machine Learning de forma
centralizada, para que cualquiera pueda usarlos con fines de exploración.
Una vez que un caso de uso de Machine Learning se crea de forma correcta en el entorno de exploración,
los equipos pueden solicitar grupos de recursos. Por ejemplo, Dev, QA y Prod se pueden usar para el
proyecto de experimentación iterativa y para configurar el acceso a los orígenes de datos de producción.
La segregación de datos y los requisitos de cumplimiento no permiten la existencia de datos de
producción activos en entornos de desarrollo.
Existen distintos requisitos de RBAC para varios grupos de usuarios en función de la directiva de TI por
entorno; por ejemplo, el acceso es más restrictivo en la producción.
Asimismo, todos los datos, la experimentación y la inferencia se realizan en una sola región de Azure.
Para cumplir los requisitos anteriores, Contoso ha configurado sus recursos de la siguiente manera:
Las áreas de trabajo y los grupos de recursos de Azure Machine Learning tienen como ámbito cada proyecto
para cumplir los requisitos de segregación de los casos de uso y de presupuesto.
Una configuración de varios entornos para Azure Machine Learning y sus recursos asociados para tratar los
requisitos de administración de costos, RBAC y acceso a datos.
Un solo grupo de recursos y un área de trabajo de Machine Learning dedicada a la exploración.
Grupos diferentes de Azure Active Directory por cada rol y entorno de usuario; por ejemplo, las operaciones
que puede realizar un científico de datos en un entorno de producción son diferentes de las del entorno de
desarrollo, y los niveles de acceso pueden variar en función de la solución.
Todos los recursos se crean en una única región de Azure.
Seguimiento de los costos en unidades de negocio,
entornos o proyectos
23/03/2021 • 18 minutes to read • Edit Online
Para crear una organización con control de costos, hay que tener visibilidad de los datos relacionados con los
costos y contar también con un acceso (o ámbito) definido correctamente. En este artículo de procedimientos
recomendados se describen las decisiones y los enfoques de implementación para crear mecanismos de
seguimiento.
Durante la fase de preparación de un recorrido de migración, el objetivo es prepararse para el viaje. Esta fase se
realiza en dos áreas principales: preparación de la organización y preparación (técnica) del entorno. Cada área
puede requerir nuevas aptitudes para los colaboradores técnicos y no técnicos. En las secciones siguientes se
describen algunas opciones para ayudarle a crear las aptitudes necesarias.
Preparación de la organización
En función de las motivaciones y los resultados empresariales asociados a un esfuerzo de adopción de la nube,
es posible que se requieran líderes para establecer nuevas estructuras organizativas o equipos virtuales para
facilitar diversas funciones. Los artículos siguientes le ayudarán a desarrollar las aptitudes necesarias para
estructurar los equipos de acuerdo con los resultados deseados:
Alineación inicial de la organización Información general sobre la alineación de la organización y diversas
estructuras de equipo para facilitar objetivos específicos.
Desglose en silos y feudos: Comprenda los dos antipatrones de organización comunes, así como formas de
guiar al equipo a la colaboración productiva.
Más información
Para conocer más rutas de aprendizaje, eche un vistazo al catálogo de Microsoft Learn. Use el filtro Roles para
alinear las rutas de aprendizaje con su rol.
Antipatrones de preparación de la nube
06/04/2021 • 10 minutes to read • Edit Online
A menudo, los clientes experimentan antipatrones durante la fase de preparación de la adopción de la nube.
Estos antipatrones pueden provocar tiempos de inactividad inesperados, problemas de recuperación ante
desastres y problemas de disponibilidad.
Pasos siguientes
Información general sobre el fundamento de confiabilidad
Primer proyecto de adopción
Migración a la nube en Cloud Adoption Framework
06/03/2021 • 10 minutes to read • Edit Online
Todos los planes de adopción de la nube a escala empresarial incluirán cargas de trabajo que no garantizan
inversiones significativas en la creación de una lógica de negocios. Estas cargas de trabajo se pueden mover a la
nube mediante diversos métodos: migración mediante lift-and-shift, lift-and-optimize o modernización. Cada
uno de estos enfoques se considera una migración. Los ejercicios siguientes le ayudarán a establecer los
procesos iterativos para evaluar, migrar, optimizar, proteger y administrar esas cargas de trabajo.
Para prepararse para esta fase del ciclo de vida de la adopción de la nube, se recomienda lo siguiente:
Esta metodología de migración y los pasos anteriores se basan en los siguientes supuestos:
La metodología que rige los sprints de la migración se ajusta a las oleadas o versiones de esta, que se
definen mediante las metodologías de planeamiento, preparación y adopción. En cada sprint, se migra un
lote de cargas de trabajo a la nube.
Antes de migrar las cargas de trabajo, se ha identificado, configurado e implementado al menos una zona de
aterrizaje para satisfacer las necesidades del plan de adopción de la nube a corto plazo.
La migración se asocia normalmente con los términos lift-and-shift o rehospedaje. Tanto esta metodología
como los pasos anteriores se basan en la creencia de que no se deben migrar ningún centro de datos, y
pocas cargas de trabajo, mediante un enfoque de rehospedaje puro. Aunque se pueden rehospedar muchas
cargas de trabajo, los clientes suelen optar por modernizar recursos específicos dentro de cada carga de
trabajo. Durante este proceso iterativo, el equilibrio entre velocidad y modernización es un punto de debate
común.
Esfuerzo de migración
Las acciones necesarias para migrar las cargas de trabajo se divide en tres trabajos (o fases) para cada carga de
trabajo: evaluación, implementación y lanzamiento de las cargas de trabajo. Esta sección de Cloud Adoption
Framework enseña a los lectores a maximizar el retorno en todas las fases necesarias para migrar una carga de
trabajo a producción.
En una iteración estándar de dos semanas de duración, un equipo de migración experimentado puede
completar este proceso para entre 2 y 5 cargas de trabajo que tengan una complejidad de nivel media-baja. En
el caso de cargas de trabajo más complejas, como SAP, es posible que haya que realizar varias iteraciones de dos
semanas para completar las tres fases del trabajo de migración en una sola carga de trabajo. El grado de
experiencia y la complejidad pueden afectar considerablemente tanto a las escalas de tiempo como a la
velocidad de la migración.
En los siguientes puntos se proporciona información general sobre las fases de este proceso (representadas
arriba):
Evaluación de las cargas de trabajo: aquí se evalúan el costo, la modernización y las herramientas de
implementación. Este proceso se centra en la validación o el cuestionamiento de las suposiciones realizadas
durante la detección y las evaluaciones anteriores, para lo que se examinan detenidamente las opciones de
racionalización. Aquí es también cuando se estudian más detenidamente los patrones de usuario y las
dependencias, con el fin de asegurarse de que las cargas de trabajo van a funcionar correctamente a nivel
técnico después de la migración.
Implementación de las cargas de trabajo: una vez que las cargas de trabajo se evalúan, su funcionalidad
existente se replica (o se mejora) en la nube. Esto puede implicar una migración mediante lift-and-shift o un
rehospedar en la nube. Pero lo habitual en esta fase es modernizar muchos de los recursos que admiten
estas cargas de trabajo para aprovechar las ventajas de la nube.
Lanzar las cargas de trabajo: Una vez que la funcionalidad se replica en la nube, las cargas de trabajo se
pueden probar, optimizar, documentar y lanzar para las operaciones en curso. Durante este proceso, el
esfuerzo de revisar las cargas de trabajo migradas y proporcionarlas a los equipos de gobernanza,
administración de operaciones y seguridad es muy importante para poder ofrecer soporte técnico continuo
de las mismas.
NOTE
En algunas de las iteraciones iniciales del esfuerzo de migración, es habitual limitar el ámbito a una sola carga de trabajo.
Este enfoque maximiza la retención de las aptitudes y concede al equipo más tiempo para aprender y experimentar.
NOTE
Al crear una fábrica de migración, algunos equipos pueden elegir propagar todas y cada una de las fases anteriores entre
varios equipos y en varios sprints. Este enfoque no solo puede mejorar la capacidad de repetición, sino también acelerar
los esfuerzos de migración.
Pasos siguientes
Tanto los pasos que se han descrito anteriormente como la posterior guía que se puede encontrar en la
metodología de migración sirven de ayuda para desarrollar las aptitudes necesarias para mejorar los procesos
en los sprints de migración. La guía de migración de Azure es una breve serie de artículos en los que se
describen las herramientas y los enfoques más comunes necesarios durante la primera oleada de la migración.
Guía de migración a Azure
Introducción a la guía de migración de Azure
06/03/2021 • 4 minutes to read • Edit Online
La Metodología de migración de Cloud Adoption Framework guía a los lectores a través de un proceso iterativo
de migración de una carga de trabajo, o de una pequeña colección de cargas de trabajo por cada lanzamiento.
En cada iteración, se sigue el proceso de evaluación, migración, optimización y promoción para asegurarse de
que las cargas de trabajo están listas para satisfacer las demandas de producción. Ese proceso independiente de
la nube puede guiar la migración a cualquier proveedor de servicios en la nube.
En esta guía se muestra una versión simplificada de ese proceso cuando migra desde su entorno local a Azure .
TIP
Para una experiencia interactiva, consulte esta guía en Azure Portal. Vaya al Centro de inicio rápido de Azure en
Azure Portal, seleccione Guía de migración a Azure y, después, siga las instrucciones detalladas.
Herramientas de migración
Cuándo utilizar esta guía
Esta guía es la ruta de acceso sugerida para su primera migración a Azure, ya que le mostrará la metodología y
las herramientas nativas de la nube que se usan con más frecuencia durante la migración a Azure. Estas
herramientas se presentan en las páginas siguientes:
Evaluación de la adecuación técnica de cada carga de trabajo. Valide la preparación técnica y la
idoneidad para la migración.
Migración de los ser vicios. Realice la migración real mediante la replicación de recursos locales en Azure.
Administrar costos y facturación : Conozca las herramientas necesarias para controlar los costos en
Azure.
Optimización y promoción. Optimice el equilibrio entre el costo y el rendimiento antes de promocionar la
carga de trabajo a producción.
Obtención de ayuda. Obtenga ayuda y soporte técnico durante las actividades de migración o posteriores
a ella.
Se supone que ya se ha implementado una zona de aterrizaje según los procedimientos recomendados en la
metodología de preparación de Cloud Adoption Framework.
Evaluación de cargas de trabajo y
perfeccionamiento de planes
14/04/2021 • 14 minutes to read • Edit Online
Los recursos de esta guía le ayudarán a evaluar cada carga de trabajo, a cuestionar las suposiciones sobre la
idoneidad de cada una de ellas para la migración y a tomar decisiones arquitectónicas sobre las opciones de
migración.
Herramientas
Cuestionamiento de suposiciones
Escenarios y partes interesadas
Escalas de tiempo
Administración de costos
Si no ha seguido las instrucciones de los vínculos anteriores, es probable que necesite datos y una herramienta
de evaluación para tomar decisiones bien fundamentadas sobre la migración. Azure Migrate es la herramienta
nativa para realizar la evaluación y migración a Azure. Si todavía no lo ha hecho, siga estos pasos para crear un
nuevo proyecto de migración de servidores y recopile los datos necesarios.
Azure Migrate
Azure Migrate proporciona un centro centralizado para evaluar y migrar a Azure servidores, infraestructuras,
aplicaciones y datos locales. Este servicio:
Evalúa si los servidores locales están listos para la migración a Azure.
Calcula el tamaño de las VM de Azure, la configuración de Azure SQL o el número de nodos de Azure
VMware Solution después de la migración.
Calcule el costo de la ejecución de servidores locales en Azure.
Identifica las dependencias entre servidores y las estrategias de optimización para mover servidores
interdependientes a Azure.
Si está considerando utilizar un enfoque lift-and-shift o se encuentra en las primeras fases de la evaluación de la
migración, este es el servicio que debe elegir. Después de completar la evaluación, use Azure Migrate para
ejecutar la migración.
Creación de un nuevo proyecto
Inicie una migración, evaluación y detección del servidor con Azure Migrate mediante estos pasos:
1. Seleccione Azure Migrate .
2. En Información general , seleccione Detectar, evaluar y migrar .
3. Seleccione Agregar herramientas .
4. En el Proyecto , seleccione la suscripción a Azure y cree un grupo de recursos, en caso de que no lo tenga.
5. En Detalles del proyecto , especifique el nombre del proyecto y la zona geográfica en la que quiere crearlo;
a continuación, seleccione Siguiente .
6. Después de crear el proyecto, las herramientas están visibles en el este y el usuario puede empezar con la
detección.
D IS C O V E R , AS S E S S AND
M I G R ATE
Más información
Información general de Azure Migrate.
Migración de servidores físicos o virtualizados a Azure
Azure Migrate en Azure Portal.
Análisis de dependencias
El análisis de dependencias identifica las dependencias entre los servidores locales detectados. Proporciona
estas ventajas:
Puede recopilar servidores en grupos para su evaluación de manera más precisa y con mayor confianza.
Puede identificar los servidores que se deben migrar juntos. Esto resulta especialmente útil si no está seguro
de qué servidores forman parte de la implementación de una aplicación que quiere migrar a Azure.
Puede identificar si los servidores están en uso y cuáles se pueden retirar en lugar de migrarlos.
El análisis de dependencias le ayuda a garantizar que no se olvida de nada y a evitar interrupciones
inesperadas después de la migración.
Más información
Análisis de dependencias de Azure Migrate
Migración de cargas de trabajo y recursos
(infraestructura, aplicaciones y datos)
14/04/2021 • 25 minutes to read • Edit Online
En esta fase del recorrido, se usa la salida de la fase de evaluación para iniciar la migración del entorno. Esta
guía ayuda a identificar las herramientas adecuadas para alcanzar un estado completado. Explorará
herramientas nativas, herramientas de terceros y herramientas de administración de proyectos.
Herramientas de migración nativas
Herramientas de migración de terceros
Herramientas de administración de proyectos
Administración de costos
En las secciones siguientes se describen las herramientas de Azure nativas disponibles para realizar la migración
o ayudar en ese proceso. Para información sobre cómo elegir las herramientas adecuadas para admitir los
esfuerzos de migración, consulte la Guía para la toma de decisiones sobre herramientas de migración de Cloud
Adoption Framework.
Azure Migrate
Azure Migrate ofrece una experiencia de migración unificada y extensible. Azure Migrate proporciona una
experiencia dedicada única para hacer el seguimiento del recorrido de la migración en las fases de evaluación y
migración a Azure. Ofrece la opción de usar las herramientas que prefiera y de hacer seguimiento del progreso
de la migración en estas herramientas.
Azure Migrate es un centro de conectividad para evaluar y migrar servidores, infraestructuras, aplicaciones y
datos locales a Azure. Proporciona la siguiente funcionalidad:
Plataforma unificada con evaluación, migración y seguimiento del progreso.
Funcionalidades mejoradas de evaluación y migración:
evaluar servidores locales, incluidas las instancias de SQL Server, y migrarlos a Azure Virtual
Machines o a Azure VMware Solution (versión preliminar).
Migración sin agentes de máquinas virtuales de VMware a Azure.
Evalúe bases de datos locales y mígrelas a Azure SQL Database o a una instancia administrada de
SQL.
Evalúe aplicaciones web locales y mígrelas a Azure App Service mediante Azure App Service
Migration Assistant.
Evalúe la infraestructura de escritorio virtual (VDI) local y mígrela a Windows Virtual Desktop en
Azure.
Migre grandes cantidades de datos a Azure de manera rápida y rentable gracias a los productos de
Azure Data Box.
Enfoque ampliable con integración de ISV (como Cloudamize).
Para realizar una migración con Azure Migrate, siga estos pasos:
1. Busque Azure Migrate en Todos los ser vicios . Seleccione Azure Migrate para continuar.
2. a. En Información general , seleccione Detectar, evaluar y migrar .
3. Seleccione Agregar herramientas .
4. En el Proyecto , seleccione la suscripción a Azure y cree un grupo de recursos, en caso de que no lo tenga.
5. En Detalles del proyecto , especifique el nombre del proyecto y la zona geográfica en la que quiere crearlo;
a continuación, seleccione Siguiente .
6. Después de crear el proyecto, las herramientas están visibles en el este y el usuario puede empezar con la
detección.
NOTE
Para obtener instrucciones específicas sobre su escenario, consulte los tutoriales y la documentación de Azure Migrate.
Más información
Acerca de Azure Migrate
Tutorial de Azure Migrate: Migración de servidores físicos o virtualizados a Azure
Azure Database Migration Service
Azure Database Migration Service es un servicio totalmente administrado que permite migraciones completas
desde varios orígenes de base de datos hasta las plataformas de datos de Azure con un tiempo de inactividad
mínimo (migraciones en línea). Database Migration Service realiza todos los pasos necesarios. Puede iniciar sus
proyectos de migración con la seguridad de que el proceso aprovecha los procedimientos recomendados de
Microsoft.
Creación de una instancia de Azure Database Migration Service
Si es la primera vez que usa Azure Database Migration Service, debe registrar el proveedor de recursos para la
suscripción de Azure:
1. Seleccione Todos los ser vicios > Suscripciones y elija la suscripción de destino.
2. Seleccione Proveedores de recursos .
3. Busque migration y, a la derecha de Microsoft.DataMigration , seleccione Registrar .
G O TO
S U B S C R I P TI O N S
Después de registrar el proveedor de recursos, puede crear una instancia de Azure Database Migration Service.
1. Seleccione +Crear un recurso y busque Azure Database Migration Ser vice en Marketplace.
2. Complete el asistente para creación de un servicio de migración y, después, seleccione Crear .
El servicio ya está listo para migrar las bases de datos de origen compatibles a las plataformas de destino, como
SQL Server, MySQL, PostgreSQL o MongoDB.
C R E ATE A N A Z U R E D ATA B A S E M I G R ATI O N S E R V I C E
I N S TA N C E
Ahora que migró los servicios a Azure, la fase siguiente incluye revisar la solución para ver posibles áreas de
optimización. Este esfuerzo podría incluir la revisión del diseño de la solución, el ajuste correcto del tamaño de
los servicios y el análisis de los costos.
Esta fase también es una oportunidad para optimizar el entorno y realizar las transformaciones posibles del
entorno. Por ejemplo, es posible que haya realizado una migración de "rehospedaje" y ahora que los servicios se
ejecutan en Azure, puede revisar la configuración de soluciones o los servicios consumidos y, posiblemente,
realizar alguna "refactorización" para modernizar y aumentar la funcionalidad de la solución.
El resto de este artículo se centra en las herramientas para optimizar la carga de trabajo migrada. Cuando se
alcanza el equilibrio adecuado entre rendimiento y costo, ya se puede pasar a producción una carga de trabajo.
Para más información sobre las opciones de promoción, consulte los artículos sobre la mejora de procesos de
Optimización y promoción.
Recursos del tamaño correcto
Administración de costos
Se puede cambiar el tamaño de todos los servicios de Azure que proporcionan un modelo de costos basado en
el consumo mediante Azure Portal, la CLI o PowerShell. El primer paso para ajustar correctamente el tamaño de
un servicio es revisar sus métricas de uso. El servicio Azure Monitor proporciona acceso a estas métricas. Puede
que tenga que configurar la recopilación de las métricas para el servicio que está analizando y permitir un
tiempo adecuado para recopilar datos significativos en función de los patrones de carga de trabajo.
1. Vaya a Super visar .
2. Seleccione Métricas y configure el gráfico para que se muestren las métricas del servicio que se va a
analizar.
G O TO
M O N I TO R
La nube presenta algunos cambios en nuestra forma de trabajar, independientemente de nuestro rol en el
equipo tecnológico. El costo es un buen ejemplo de este cambio. En el pasado, solo al liderazgo financiero y de
TI le preocupaban el costo de los recursos de TI (infraestructura, aplicaciones y datos). La nube permite a todos
los miembros de TI tomar decisiones que mejoren el soporte técnico para el usuario final y actuar sobre ellas. Si
embargo, con esa eficacia aparece la responsabilidad de tener en cuenta el costo al tomar esas decisiones.
En este artículo se presentan las herramientas que pueden ayudar a tomar decisiones inteligentes relativas al
costo antes, durante y después de la migración de las cargas de trabajo a Azure.
Entre las herramientas de este artículo, se incluyen:
Azure Migrate
Calculadora de precios de Azure
Calculadora de TCO de Azure
Administración de costos + facturación de Azure
Azure Advisor
También es posible que los procesos descritos en este artículo requieran una asociación con propietarios de
aplicaciones de línea de negocio, de finanzas o administradores de TI.
Estimación de costos de máquina virtual antes de la migración
Estimación y optimización de costos de máquina virtual durante y después de la migración
Trucos y sugerencias para optimizar los costos
Antes de la migración de cualquier recurso (infraestructura, aplicación o datos), hay una oportunidad de estimar
los costos y refinar el ajuste de tamaño en función de los criterios de rendimiento observados para esos
recursos. La estimación de costos cumple dos propósitos: permite el control de costos y proporciona un punto
de control para garantizar que los presupuestos actuales tengan en cuenta los requisitos de rendimiento
necesarios.
Calculadoras de costos
Para los cálculos de costos manuales, hay dos prácticas calculadoras que pueden proporcionar una estimación
del costo rápida en función de la arquitectura de la carga de trabajo que se va a migrar.
La calculadora de precios de Azure proporciona estimaciones de costos para los productos de Azure que
seleccione.
En ocasiones, las decisiones requieren una comparación de los costos de la nube futuros y los costos locales
actuales. La calculadora del costo total de propiedad (TCO) puede proporcionar esta comparación.
Estas calculadoras de costos manuales se pueden usar por su cuenta para prever los posibles gastos y ahorros.
También se pueden usar junto con las herramientas de previsión de costos de Azure Migrate para ajustar las
expectativas de costos para que se adapten a arquitecturas alternativas o restricciones de rendimiento.
Cálculos de Azure Migrate
Requisitos previos: el recordatorio de esta pestaña da por sentado que el lector ya ha rellenado Azure Migrate
con una colección de recursos (infraestructura, aplicaciones y datos) que se van a migrar. En el artículo anterior
sobre evaluaciones se proporcionan instrucciones de cómo recopilar los datos iniciales. Una vez que se rellenen
los datos, siga los siguientes pasos para estimar los costos mensuales en función de los datos recopilados.
Azure Migrate calcula los costos mensuales estimados en función de los datos capturados por el recopilador y el
mapa de servicio. Los siguientes pasos cargarán las estimaciones del costo:
1. Vaya a Evaluación de Azure Migrate en el portal.
2. En la página Información general del proyecto, seleccione +Crear evaluación .
3. Seleccione View all (Ver todo) para revisar la configuración de la evaluación.
4. Cree el grupo y especifique un nombre para él.
5. Seleccione las máquinas que desee agregar al grupo.
6. Seleccione Crear evaluación para crear el grupo y la evaluación.
7. Una vez creada la evaluación, puede verla en Introducción > Panel .
8. En la sección Detalles de la evaluación de la navegación del portal, seleccione Detalles del costo .
La estimación resultante, mostrada a continuación, identifica los costos mensuales de proceso y
almacenamiento, que suelen representar la parte más grande de los costos de la nube.
Figura 1: Diagrama de la vista de detalles del costo de una evaluación en Azure Migrate.
Recursos adicionales
Configuración y revisión de una evaluación con Azure Migrate
Para obtener un plan más completo sobre la administración de costos en números más grandes de recursos
(infraestructura, aplicaciones y datos), consulte el artículo sobre el modelo de gobernanza de la Plataforma
de adopción de la nube. En concreto, consulte las directrices de la materia de administración de costos y la
mejora de la materia de administración de costos.
Obtención de ayuda
06/03/2021 • 4 minutes to read • Edit Online
Somos conscientes de que obtener el soporte técnico adecuado en el momento adecuado acelerará los
esfuerzos de migración. Revise los medios de ayuda que se indican a continuación para satisfacer sus
necesidades.
Planes de soporte técnico
Asociados
¿Necesita ayuda de los ingenieros de soporte técnico para recibir instrucciones técnicas complejas?
1. En Azure Portal, vaya a Ayuda y sopor te técnico .
2. Seleccione Planes de sopor te técnico para revisar los planes disponibles.
1. Seleccione Ayuda y sopor te técnico .
2. Seleccione Planes de sopor te técnico para revisar los planes disponibles.
R E V IE W S U PPO R T
PLANS
Comunidades en línea
Las siguientes comunidades en línea proporcionan soporte técnico basado en comunidad:
Foros de MSDN
Stack Overflow
El enfoque de una migración para migrar la cartera
de TI
06/03/2021 • 2 minutes to read • Edit Online
Azure y Azure Migrate son muy conocidos a la hora de hospedar tecnologías de Microsoft. Pero es posible que
desconozca la capacidad de Azure para admitir migraciones más allá de Windows y SQL Server. Los escenarios
de una migración que se capturan en la metodología de migración muestran el mismo conjunto de directrices y
procesos consistentes para la migración de tecnologías de Microsoft y de terceros.
Escenarios de migración
El diagrama y la tabla siguientes describen varios escenarios que siguen la misma metodología de migración
iterativa para la migración y modernización.
En todos los escenarios, estructurará las oleadas de migración para guiar los lanzamientos de varias cargas de
trabajo. El establecimiento de un plan de adopción de la nube y de las zonas de aterrizaje de Azure mediante las
metodologías de planeamiento y preparación ayuda a agregar una estructura a las oleadas de la migración.
En todas las iteraciones, siga la metodología de migración para evaluar las cargas de trabajo, implementarlas y
lanzarlas. Para modificar esos procesos para que se ajusten al escenario concreto de su organización, seleccione
cualquiera de los escenarios de migración de la tabla.
Pasos siguientes
Si no va a migrar un escenario concreto, empiece por seguir el proceso de migración de Cloud Adoption
Framework en cuatro pasos.
Información general de ejemplos de migración de
aplicaciones para Azure
06/03/2021 • 20 minutes to read • Edit Online
En esta sección de Cloud Adoption Framework para Azure se proporcionan ejemplos de varios escenarios
comunes de migración y se muestra cómo puede migrar la infraestructura local a Microsoft Azure.
Introducción
Azure proporciona acceso a un conjunto completo de servicios en la nube. Los desarrolladores y profesionales
de TI pueden usar estos servicios para compilar, implementar y administrar aplicaciones en una variedad de
herramientas y marcos, a través de una red mundial de centros de datos. A medida que su negocio se enfrenta a
desafíos asociados con el cambio digital, la plataforma Azure le ayuda a averiguar cómo:
Optimizar los recursos y las operaciones.
Ponerse en contacto con sus clientes y empleados.
Transformar sus productos.
La nube ofrece ventajas en relación con la velocidad y la flexibilidad, la reducción de los costos, el rendimiento y
la confiabilidad. Pero muchas organizaciones tendrán que seguir ejecutando centros de recursos locales. En
respuesta a las barreras de adopción de la nube, Azure proporciona una estrategia híbrida de nube que
construye puentes entre sus centros de datos locales y la nube pública de Azure. Un ejemplo es el uso de
recursos de nube de Azure como Azure Backup para proteger los recursos locales o de Azure Analytics y
obtener información detallada sobre las cargas de trabajo locales.
Como parte de la estrategia de nube híbrida, Azure proporciona soluciones innovadoras para migrar
aplicaciones locales y cargas de trabajo a la nube. Con pasos sencillos, puede evaluar exhaustivamente sus
recursos locales para averiguar cómo se ejecutarán en la plataforma de Azure. Después, con una valoración
profunda en la mano, puedes migrar recursos con seguridad a Azure. Cuando los recursos están funcionando en
Azure, puede optimizarlos para retener y mejorar el acceso, la flexibilidad, la seguridad y la confiabilidad.
Patrones de migración
Las estrategias para la migración a la nube abarcan cuatro patrones amplios: rehospedar, refactorizar, rediseñar
o recompilar. La estrategia que adopte depende de los impulsores de negocio y los objetivos de la migración.
Puede adoptar varios patrones. Por ejemplo, podría optar por rehospedar las aplicaciones no críticas al volver a
diseñar la arquitectura de las aplicaciones más complejas y críticas para la empresa. Echemos un vistazo a estos
patrones.
Rehospedaje Esta opción, que a menudo se conoce Cuando necesite mover aplicaciones
como "migración mediante lift-and- rápidamente a la nube.
shift", no requiere cambios en el
código. Puede usarla para migrar Cuando quiera mover una aplicación
rápidamente las aplicaciones existentes sin modificación alguna.
a Azure. Cada aplicación se migra tal
cual, para aprovechar las ventajas que Cuando las aplicaciones se diseñen de
ofrece la nube, sin correr los riesgos ni modo que puedan aprovechar la
incurrir en los costos asociados con los escalabilidad de la infraestructura
cambios de código. como servicio de Azure (IaaS) después
de la migración.
Valoración de los recursos locales para su migración a Azure En este artículo de procedimientos recomendados del plan
metodológico se describe cómo ejecutar una evaluación de
una aplicación local que se ejecuta en VMware. En este
artículo, una organización de ejemplo evalúa las máquinas
virtuales de la aplicación mediante Azure Migrate y la base
de datos SQL Server de la aplicación mediante Data
Migration Assistant.
Infraestructura
A RT ÍC ULO DETA L L ES
Implementación de una infraestructura de Azure En este artículo se muestra cómo una organización puede
preparar su infraestructura local y su infraestructura de
Azure para la migración. En el resto de los ejemplos que se
proporcionan en esta sección se hace referencia al ejemplo
de infraestructura que se establece en este artículo.
Rehospedaje de una aplicación en máquinas virtuales de En este artículo se proporciona un ejemplo de migración de
Azure máquinas virtuales de aplicaciones locales a máquinas
virtuales de Azure mediante Azure Migrate.
Migración de bases de datos de SQL Server en Azure En este artículo se muestra cómo la empresa ficticia Contoso
evaluó, planeó y migró sus diversas bases de datos de SQL
Server locales a Azure.
Rehospedaje de una aplicación en una máquina virtual de En este artículo se proporciona un ejemplo de migración de
Azure e Instancia administrada de Azure SQL mediante lift-and-shift a Azure para una aplicación local. Este
proceso implica la migración de la máquina virtual de front-
end de aplicaciones mediante Azure Migrate y la base de
datos de la aplicación a SQL Managed Instance con Azure
Database Migration Service.
Rehospedaje de una aplicación en máquinas virtuales de En este ejemplo se muestra cómo migrar una aplicación y
Azure y en los grupos de disponibilidad Always On de SQL datos mediante las máquinas virtuales de SQL Server
Server hospedadas en Azure. Usa Azure Migrate para migrar las
máquinas virtuales de la aplicación y Database Migration
Service para migrar la base de datos de la aplicación a un
clúster de SQL Server protegido por un grupo de
disponibilidad Always On.
Migración de bases de datos de código abierto a Azure En este artículo se muestra cómo la empresa ficticia Contoso
evaluó, planificó y migró sus diversas bases de datos de
código abierto locales a Azure.
A RT ÍC ULO DETA L L ES
Migración de MySQL a Azure En este artículo se muestra cómo la empresa ficticia Contoso
evaluó, planificó y migró sus bases de datos de código
abierto locales de MySQL a Azure.
Migración de PostgreSQL a Azure En este artículo se muestra cómo la empresa ficticia Contoso
evaluó, planeó y migró a Azure su plataforma de bases de
datos de código abierto locales de PostgreSQL.
Migración de MariaDB a Azure En este artículo se muestra cómo la empresa ficticia Contoso
evaluó, planificó y migró su plataforma de bases de datos de
código abierto locales de MariaDB a Azure.
Rehospedaje de una aplicación Linux en máquinas virtuales En este artículo se proporciona un ejemplo de migración de
de Azure y Azure Database for MySQL una aplicación hospedada por Linux a máquinas virtuales de
Azure mediante Azure Migrate. La base de datos de la
aplicación se migra a una instancia de Azure Database for
MySQL mediante Azure Database Migration Service.
Rehospedaje de una aplicación de Linux en máquinas En este ejemplo se muestra cómo completar una migración
virtuales de Azure mediante lift-and-shift de una aplicación basada en Linux a
las máquinas virtuales de Azure con Azure Migrate.
Migración de entornos de desarrollo/pruebas a IaaS de En este artículo se muestra el modo en que Contoso
Azure rehospeda su entorno de desarrollo y pruebas para dos
aplicaciones que se ejecutan en máquinas virtuales de
VMware mediante la migración a Azure Virtual Machines.
Migración a Azure DevTest Labs En este artículo se describe el modo en que Contoso
traslada sus cargas de trabajo de desarrollo y pruebas a
Azure mediante DevTest Labs.
Refactorización de una aplicación de Windows con App En este ejemplo se muestra cómo migrar una aplicación local
Service y SQL Database basada en Windows a una aplicación web de Azure y la base
de datos de la aplicación a una instancia de servidor de
Azure SQL Database con Database Migration Service.
Refactorización de una aplicación de Windows con App En este ejemplo se muestra cómo migrar una aplicación local
Service y SQL Managed Instance basada en Windows a una aplicación web de Azure y la base
de datos de la aplicación a Azure SQL Managed Instance con
Database Migration Service.
Refactorización de una aplicación de Linux a varias regiones En este ejemplo se muestra cómo migrar una aplicación local
con Azure App Service, Azure Traffic Manager y Azure basada en Linux a una aplicación web de Azure en varias
Database for MySQL regiones de Azure con Traffic Manager integrado con GitHub
para la entrega continua. La base de datos de la aplicación se
migra a una instancia de Azure Database for MySQL.
A RT ÍC ULO DETA L L ES
Refactorización de Team Foundation Server en Azure DevOps En este artículo se muestra un ejemplo de migración de una
Services implementación de Team Foundation Server local a Azure
DevOps Services en Azure.
SAP
A RT ÍC ULO DETA L L ES
Guía de migración de SAP Obtenga instrucciones prácticas para trasladar sus cargas de
trabajo de SAP locales a la nube.
Migración de aplicaciones de SAP a Azure Notas del producto y guía básica para el recorrido de SAP a
la nube.
Metodologías de migración para SAP en Azure Información general sobre las distintas opciones de
migración para mover aplicaciones de SAP a Azure.
Traslado de la infraestructura de VMware local a Azure En este artículo se proporciona un ejemplo de cómo mover
una máquina virtual de VMware local a Azure mediante
Azure VMware Solution.
VDI
A RT ÍC ULO DETA L L ES
Traslado de una instancia local de Servicios de Escritorio En este artículo se muestra cómo migrar una instancia de
remoto a Windows Virtual Desktop en Azure Servicios de Escritorio remoto local a Windows Virtual
Desktop en Azure.
Escalado de una migración a Azure En este artículo se muestra cómo una organización de
ejemplo se prepara para escalar a una migración completa a
Azure.
Aplicaciones de demostración
En los artículos de ejemplo que se proporcionan en esta sección se usan dos aplicaciones de demostración:
SmartHotel360 y osTicket.
Smar tHotel360 : Microsoft desarrolló esta aplicación de prueba para usarla al trabajar con Azure. Se
proporciona con una licencia de código abierto y se puede descargar desde GitHub. Se trata de una aplicación
ASP.NET conectada a una base de datos de SQL Server. En los escenarios que se describen en estos artículos, la
versión actual de esta aplicación está implementada en dos máquinas virtuales de VMware que ejecutan
Windows Server 2008 R2 y SQL Server 2008 R2. Estas máquinas virtuales de la aplicación se hospedan en el
entorno local y las administra vCenter Server.
osTicket : esta aplicación de consola de servicio de código abierto para incidencias se ejecuta en Linux. Puede
descargarlo en GitHub. En los escenarios que se describen en estos artículos, la versión actual de esta aplicación
se implementa de manera local en dos máquinas virtuales de VMware que ejecutan Ubuntu 16.04 LTS, con
Apache 2, PHP 7.0 y MySQL 5.7.
Rehospedaje de una aplicación local en máquinas
virtuales de Azure mediante Azure Migrate
12/03/2021 • 29 minutes to read • Edit Online
En este artículo se muestra cómo la compañía ficticia Contoso rehospeda una aplicación de front-end de
Windows .NET de dos niveles que se ejecuta en máquinas virtuales de VMware mediante la migración de las VM
de la aplicación a VM de Azure.
SmartHotel360, la aplicación usada en este ejemplo, se proporciona como software de código abierto. Si quiere
utilizarla para sus propias pruebas, puede descargarla desde GitHub.
Objetivos de la migración
El equipo de la nube de Contoso ha establecido los objetivos de esta migración. Estos objetivos se utilizan para
determinar el mejor método de migración:
Después de la migración, la aplicación de Azure debería tener las mismas funcionalidades de rendimiento
que tiene actualmente en VMware. La aplicación seguirá siendo tan imprescindible en la nube como lo es en
el entorno local.
Aunque esta aplicación es importante para Contoso, la empresa no desea invertir en ella en este momento.
Contoso desea migrar la aplicación de forma segura a la nube en su forma actual.
Contoso no quiere cambiar el modelo de operaciones de esta aplicación. Lo que quiere es interactuar con ella
en la nube de la misma manera que lo hace ahora.
Contoso no quiere cambiar la funcionalidad de la aplicación. Solo cambiará su ubicación.
Diseño de la solución
Después de establecer los objetivos y requisitos, Contoso diseña y revisa una solución de implementación.
También identifica el proceso de migración, incluidos los servicios de Azure que se usarán para la migración.
Aplicación actual
La aplicación se divide en niveles entre dos VM ( WEBVM y SQLVM ).
Las máquinas virtuales se encuentran en el host de VMware ESXi contosohost1.contoso.com (versión 6.5).
El entorno de VMware se administra con vCenter Server 6.5 ( vcenter.contoso.com ) que se ejecuta en una
máquina virtual.
Contoso tiene un centro de datos local ( contoso-datacenter ) con un controlador de dominio local (
contosodc1 ).
Arquitectura propuesta
Dado que la aplicación es una carga de trabajo de producción, las VM de la aplicación en Azure residirán en
el grupo de recursos de producción ContosoRG .
Las VM de la aplicación se migrarán a la región primaria de Azure (Este de EE. UU. 2) y se colocarán en la red
de producción ( VNET-PROD-EUS2 ).
La VM front-end web residirá en la subred front-end ( PROD-FE-EUS2 ), en la red de producción.
La VM de base de datos residirá en la subred de base de datos ( PROD-DB-EUS2 ), en la red de producción.
Las VM locales del centro de datos de Contoso se retirarán después de realizar la migración.
C O N SIDERA C IÓ N DETA L L ES
C O N SIDERA C IÓ N DETA L L ES
Proceso de migración
Contoso migrará el front-end de aplicaciones y las máquinas virtuales de la base de datos a las máquinas
virtuales de Azure mediante el método sin agente de Azure Migrate: Herramienta de migración del servidor.
Como primer paso, contoso prepara y configura componentes de Azure para Azure Migrate: Server
Migration y prepara la infraestructura local de VMware.
La infraestructura de Azure ya está implementada, por lo que Contoso solo tiene que configurar la
replicación de las máquinas virtuales con la herramienta Azure Migrate: Herramienta de migración del
servidor.
Con todo preparado, Contoso puede comenzar a replicar las máquinas virtuales.
Una vez que se haya habilitado la replicación y esta se encuentre en funcionamiento, Contoso migrará la
máquina virtual. Para ello, probará la migración y, si es correcta, la conmutará por error en Azure.
Servicios de Azure
SERVIC IO DESC RIP C IÓ N C O ST E
Azure Migrate: Server Migration El servicio orquesta y administra la Durante la replicación en Azure, se
migración de las aplicaciones y cargas incurre en gastos de Azure Storage.
de trabajo locales, así como las Las VM de Azure se crean e incurren
instancias de máquinas virtuales de en gastos cuando se produce la
Amazon Web Services (AWS) y Google migración y las VM se ejecutan en
Cloud Platform (GCP). Azure. Más información sobre cargos y
precios.
Requisitos previos
Contoso y otros usuarios tienen que cumplir los requisitos previos a continuación en este escenario.
Ser vidores locales Los servidores vCenter locales deberían ejecutar las
versiones 5.5, 6.0, 6.5 o 6.7.
Los hosts ESXi deben ejecutar la versión 5.5, 6.0, 6.5 o 6.7.
2. En Replicar > Configuración de origen > ¿Las máquinas están vir tualizadas? , seleccione Sí, con
VMware vSphere .
3. En Dispositivo local , seleccione el nombre del dispositivo de Azure Migrate que configuró y, a
continuación, seleccione Aceptar .
4. En Máquinas vir tuales , seleccione las máquinas que quiere replicar.
Si ha ejecutado una evaluación para las máquinas virtuales, puede aplicar las recomendaciones de
tamaño y tipo de disco (Premium o estándar) de máquina virtual que sugieren los resultados de dicha
evaluación. Para ello, en ¿Quiere impor tar la configuración de migración de evaluación de
Azure Migrate? , seleccione la opción Sí .
Si no ha ejecutado una evaluación o no desea usar la configuración de la evaluación, seleccione la
opción No .
Si ha decidido usar la evaluación, seleccione el grupo de máquinas virtuales y el nombre de la
evaluación.
5. En Máquinas vir tuales , busque las máquinas virtuales que necesite y compruebe todas las que desee
migrar. Después, seleccione Next: Configuración de destino .
6. En Configuración de destino , seleccione la suscripción y la región de destino a la que migrará. A
continuación, especifique el grupo de recursos en el que residirán las máquinas virtuales de Azure
después de la migración. En Red vir tual , seleccione la red virtual o la subred de Azure a la que se unirán
las máquinas virtuales de Azure después de la migración.
7. En Ventaja híbrida de Azure :
Seleccione No si no desea aplicar la Ventaja híbrida de Azure. Luego, seleccione Siguiente .
Seleccione Sí si tiene equipos con Windows Server que están incluidos en suscripciones activas de
Software Assurance o Windows Server y desea aplicar el beneficio a las máquinas que va a migrar.
Luego, seleccione Siguiente .
8. En Proceso , revise el nombre de la máquina virtual, su tamaño, el tipo de disco del sistema operativo y el
conjunto de disponibilidad. Las máquinas virtuales deben cumplir los requisitos de Azure.
Tamaño de VM: si usa las recomendaciones de la evaluación, la lista desplegable de tamaño de
máquina virtual contendrá el tamaño recomendado. De lo contrario, Azure Migrate elige un tamaño
en función de la coincidencia más cercana en la suscripción de Azure. También puede elegir un
tamaño de manera manual en Tamaño de la máquina vir tual de Azure .
Disco del sistema operativo : especifique el disco del sistema operativo (arranque) de la máquina
virtual. El disco de sistema operativo tiene el cargador de arranque y el instalador del sistema
operativo.
conjunto de disponibilidad: si la máquina virtual debe estar incluida en un conjunto de
disponibilidad de Azure después de la migración, especifique el conjunto. El conjunto debe estar en el
grupo de recursos de destino que especifique para la migración.
9. En Discos , especifique si los discos de la máquina virtual se deben replicar en Azure y seleccione el tipo
de disco (discos SSD o HDD estándar, o bien discos administrados prémium) en Azure. Luego, seleccione
Siguiente .
Puede excluir discos de la replicación. Si excluye discos, no estarán presentes en la máquina virtual de
Azure después de la migración.
10. En Revisar e iniciar la replicación , revise la configuración y, a continuación, seleccione Replicar para
iniciar la replicación inicial de los servidores.
NOTE
Puede actualizar la configuración de replicación en cualquier momento antes de que esta comience; para ello, vaya a
Administrar > Replicación de máquinas . Una vez iniciada la replicación, su configuración no se puede cambiar.
2. Mantenga presionada o haga clic con el botón derecho en la máquina virtual que va a probar y, a
continuación, seleccione Migración de prueba .
3. En Migración de prueba , seleccione la red virtual de Azure en la que se ubicará la máquina virtual de
Azure después de la migración. Se recomienda que use una red virtual que no sea de producción.
4. Comienza el trabajo de Migración de prueba . Supervise el trabajo en las notificaciones del portal.
5. Una vez finalizada la migración, la máquina virtual de Azure migrada se puede ver en Máquinas
vir tuales en Azure Portal. El nombre de la máquina tiene un sufijo -Test .
6. Una vez finalizada la prueba, mantenga presionada o haga clic con el botón derecho en la máquina
virtual de Azure, en Replicación de máquinas y seleccione Limpiar la migración de prueba .
Migrar las VM
Ahora, los administradores de Contoso ejecutan una migración completa.
1. En el proyecto de Azure Migrate, seleccione Ser vidores > Azure Migrate: Ser ver Migration >
Replicando ser vidores .
2. En Replicación de máquinas , mantenga presionada o haga clic con el botón derecho en la máquina
virtual y seleccione Migrar .
3. En Migrar > ¿Quiere apagar las máquinas vir tuales y realizar una migración planificada sin
perder datos? , seleccione Sí > Aceptar .
De forma predeterminada, Azure Migrate apaga la máquina virtual local y ejecuta una replicación a
petición para sincronizar los cambios que se han producido en la máquina virtual desde la última
replicación. De esta forma se garantiza que no se pierden datos. Si no desea apagar la VM, seleccione No .
4. Se inicia un trabajo de migración de la máquina virtual. Realice un seguimiento del trabajo en las
notificaciones de Azure.
5. Una vez finalizado el trabajo, la máquina virtual puede ver y administrar desde la página Máquinas
vir tuales .
¿Necesita más ayuda?
Más información sobre cómo ejecutar una migración de prueba.
Más información sobre cómo migrar máquinas virtuales a Azure.
Revisión de la implementación
Con la aplicación en ejecución, Contoso debe hacer que sea totalmente operativa y protegerla en Azure.
Seguridad
El equipo de seguridad de Contoso revisa las máquinas virtuales de Azure para determinar si existe algún
problema de seguridad. Para controlar el acceso, el equipo revisa los grupos de seguridad de red de las
máquinas virtuales. Los NSG se usan para garantizar que solo el tráfico permitido pueda comunicarse con la
aplicación. El equipo también tiene en cuenta la protección de los datos en el disco con Azure Disk Encryption y
Key Vault.
Para obtener más información, consulte Procedimientos de seguridad recomendados para cargas de trabajo de
IaaS de Azure.
Conclusión
En este artículo, Contoso ha rehospedado la aplicación SmartHotel360 en Azure. Los administradores migraron
las máquinas virtuales de la aplicación a las máquinas virtuales de Azure mediante Azure Migrate: Herramienta
de migración del servidor. También puede revisar los proyectos de Azure DevOps publicados en el Generador de
demos de Azure DevOps. Una vez en el generador, descargue el proyecto de migración de servidor en la barra
de navegación de Cloud Adoption Framework.
Migración de bases de datos de SQL Server en
Azure
12/03/2021 • 23 minutes to read • Edit Online
En este artículo se muestra cómo una empresa ficticia, Contoso, evaluó, planificó y migró sus diversas bases de
datos de SQL Server locales a Azure.
Al plantearse la migración a Azure, la empresa Contoso necesita realizar una valoración técnica y financiera para
determinar si sus cargas de trabajo locales son buenas candidatas para la migración a la nube. En concreto, el
equipo de Contoso quiere valorar la compatibilidad de las máquinas y bases de datos para la migración.
Además, desea calcular la capacidad y los costos de ejecutar los recursos de Contoso en Azure.
Objetivos de la migración
El equipo de la nube de Contoso ha establecido los objetivos de las distintas migraciones. Estos objetivos se
usaron para determinar los mejores métodos de migración.
REQ UISITO S DETA L L ES
Diseño de la solución
Contoso ya ha realizado una evaluación de la migración de su patrimonio digital mediante Azure Migrate.
La valoración genera varias cargas de trabajo distribuidas en varios departamentos. El tamaño total del proyecto
de migración requerirá una oficina de administración de proyectos (PMO) completa para administrar los
detalles de la comunicación, los recursos y la planificación de la programación.
Revisión de la solución
Contoso evalúa el diseño propuesto creando una lista de ventajas y desventajas.
C O N SIDERA C IÓ N DETA L L ES
Presupuesto y administración
Antes de que se pueda realizar la migración, es necesario disponer de la estructura de Azure necesaria para
admitir los aspectos de administración y facturación de la solución.
En cuanto a los requisitos de administración, se crearon varios grupos de administración para admitir la
estructura organizativa.
En cuanto a los requisitos de facturación, cada uno de los recursos de Azure se etiqueta luego con las etiquetas
de facturación adecuadas.
Proceso de migración
Las migraciones de datos siguen un patrón estándar repetible. Esto implica los pasos siguientes en función de
los procedimientos recomendados de Microsoft:
Antes de la migración:
Detección: Inventaríe los recursos de base de datos y pila de aplicaciones.
Evaluación: Evalúe las cargas de trabajo y corrija las recomendaciones.
Conversión: Convierta el esquema de origen para que funcione en el destino.
Migración:
Migración: Migre el esquema de origen, los datos de origen y los objetos al destino.
Sincronización de datos: Sincronice los datos (para un tiempo de inactividad mínimo).
Traslado: Migre todo el origen al destino.
Después de la migración:
Corrección de aplicaciones: Realice de forma iterativa los cambios necesarios en las aplicaciones.
Realización de pruebas: Realice pruebas funcionales y de rendimiento de forma iterativa.
Optimización: En función de las pruebas, solucione los problemas de rendimiento y vuelva a realizar
las pruebas para confirmar las mejoras en el rendimiento.
Retiro de recursos: Existen copias de seguridad de las VM y los entornos de hospedaje anteriores y
se han retirado.
Paso 1: Detección
Contoso usó Azure Migrate para exponer las dependencias en el entorno de Contoso. Azure Migrate detectó
automáticamente componentes de aplicación en sistemas Windows y Linux y asignó la comunicación entre
servicios. Azure Migrate también expuso las conexiones entre los servidores de Contoso, los procesos, la
latencia de conexión entrante y saliente, y los puertos a través de su arquitectura conectada por TCP.
Además, Contoso agregó Data Migration Assistant a su proyecto de Azure Migrate. Al seleccionar esta
herramienta, se pueden evaluar las bases de datos para la migración a Azure.
DMA recomienda mejoras de rendimiento y confiabilidad para el entorno de destino, y le permite migrar el
esquema, los datos y objetos no contenidos desde el servidor de origen al servidor de destino.
Más información sobre Data Migration Assistant
Contoso usó DMA para ejecutar la valoración y, a continuación, cargó los datos directamente en Azure Migrate.
Con la información de base de datos ahora cargada en Azure Migrate, Contoso ha identificado más de
1000 instancias de base de datos que se deben migrar. De estas instancias, aproximadamente el 40 % puede
moverse a SQL Database en Azure. El 60 % restante debe moverse a SQL Server que se ejecute en Azure Virtual
Machines o Azure SQL Managed Instance. De ese 60 %, aproximadamente un 10 % requiere un enfoque basado
en máquinas virtuales, y las instancias restantes se moverán a Azure SQL Managed Instance.
Cuando no se pudo ejecutar DMA en un origen de datos, se siguieron las directrices a continuación en las
migraciones de base de datos.
NOTE
Contoso ha detectado varias bases de datos de código abierto durante la fase de evaluación. Por otra parte, se ha
decidido seguir las indicaciones de Migración de bases de datos de código abierto a Azure para el plan de migración.
USO DE M IGRA C IÓ N
B A SES DE M IGRA C IÓ N SIN TA M A Ñ O GUÍA DE
DEST IN O DATO S DETA L L ES EN L ÍN EA C O N EXIÓ N M Á XIM O M IGRA C IÓ N
Azure SQL SQL Server Estas bases Data BACPAC, bcp 1 TiB Vínculo
Database (solo datos) de datos Migration
(PaaS) simplemente Assistant,
usan tablas, replicación
columnas, transaccional
procedimient
os
almacenados
y funciones
básicos
Instancia SQL Server Estas bases Data BACPAC, bcp, 2 TiB - 8 TiB Vínculo
administrada (característica de datos usan Migration copia de
de Azure SQL s avanzadas) desencadena Assistant, seguridad y
dores y otros replicación restauración
conceptos transaccional nativas
avanzados,
como tipos
.NET
personalizado
s, agentes de
servicio, etc.
USO DE M IGRA C IÓ N
B A SES DE M IGRA C IÓ N SIN TA M A Ñ O GUÍA DE
DEST IN O DATO S DETA L L ES EN L ÍN EA C O N EXIÓ N M Á XIM O M IGRA C IÓ N
SQL Server SQL Server SQL Server Replicación BACPAC, bcp, 4 GiB - 64 TiB Vínculo
en Azure (integraciones debe tener transaccional replicación de
Virtual con características instantáneas,
Machines productos de de SQL copia de
(IaaS) terceros) Managed seguridad y
Instance no restauración
admitidas nativas,
(agentes de conversión de
servicio entre máquina física
instancias, a VM
proveedores
de servicios
criptográficos,
grupos de
búferes,
niveles de
compatibilida
d por debajo
de 100,
creación de
reflejos de
bases de
datos,
FILESTREAM,
PolyBase,
todo lo que
requiera
acceso a
recursos
compartidos
de archivos,
scripts
externos,
procedimient
os
almacenados
extendidos,
etc.) o
software de
terceros
instalado para
admitir las
actividades de
la base de
datos.
Debido al gran número de bases de datos, Contoso ha creado una oficina de administración de proyectos (PMO)
para realizar un seguimiento de cada instancia de migración de bases de datos. Se asignaron el el compromiso y
las responsabilidades a cada equipo negocios y de aplicaciones.
Contoso también llevó a cabo una revisión de preparación de las cargas de trabajo. En esta revisión se
examinaron los componentes de infraestructura, base de datos y red.
Paso 5: Migraciones de prueba
La primera parte de la preparación de la migración implicó una migración de prueba de cada una de las bases
de datos a los entornos de preinstalación. Con el fin de ahorrar tiempo, se generaron scripts para todas las
operaciones de las migraciones y se registraron los intervalos de cada una de ellas. Para acelerar la migración,
se identificaron las operaciones de migración que se podían ejecutar simultáneamente.
Se detectaron los procedimientos de reversión para cada una de las cargas de trabajo de base de datos en caso
de que se produjeran errores inesperados.
En el caso de las cargas de trabajo basadas en IaaS, se configuró con antelación todo el software de terceros
necesario.
Después de la migración de prueba, Contoso pudo usar las diversas herramientas de estimación de costos de
Azure para obtener un panorama más preciso de los costos operativos futuros de la migración.
Paso 6: Migración
En el caso de la migración de producción, Contoso identificó los períodos de tiempo para todas las migraciones
de base de datos y lo que podía ejecutarse de manera suficiente en la ventana de un fin de semana (de la
medianoche del viernes a la medianoche del domingo) con un mínimo de tiempo de inactividad para los
negocios.
En función de los procedimientos de prueba documentados, se ejecutó cada migración a través de scripting
tanto como fue posible, lo que limitaba las tareas manuales con el fin de minimizar los errores.
Si se producía algún error en cualquier migración durante la ventana, se revertía el procedimiento y se volvía a
programar en la siguiente ventana de migración.
Limpiar después de la migración
Contoso identificó la ventana de archivo para todas las cargas de trabajo de base de datos. A medida que expire
la ventana, se retirarán los recursos de la infraestructura local.
Esto incluye:
Quitar los datos de producción de los servidores locales.
Retirar el servidor de hospedaje cuando expire la última ventana de las cargas de trabajo.
Revisión de la implementación
Con los recursos migrados de Azure, Contoso debe proteger la infraestructura nueva y ponerla totalmente en
marcha.
Seguridad
Contoso necesita asegurarse de que las nuevas cargas de trabajo de base de datos de Azure sean seguras.
Más información.
En concreto, Contoso debe revisar las configuraciones de firewall y de red virtual.
Configure Private Link para que todo el tráfico de las bases de datos se mantenga dentro de Azure y la red
local.
Habilite Microsoft Defender for Identity para Azure SQL Database.
Copias de seguridad
Asegúrese de que se hagan copias de seguridad de las bases de datos de Azure mediante la restauración
geográfica. Esto permite usar las copias de seguridad en una región emparejada en caso de una interrupción
regional.
Impor tante: Asegúrese de que el recurso de Azure tenga un bloqueo de recursos para impedir su
eliminación. Los servidores eliminados no se pueden restaurar.
Optimización de los costos y licencias
Muchas cargas de trabajo de base de datos de Azure se pueden escalar o reducir verticalmente, por lo que la
supervisión del rendimiento del servidor y de las bases de datos es importante para garantizar que se
satisfagan sus necesidades, pero también para mantener los costos al mínimo.
Tanto la CPU como el almacenamiento tienen costos asociados. Hay varios planes de tarifa entre los que
elegir. Asegúrese de que esté seleccionado el plan de precios adecuado para las cargas de trabajo de datos.
Los grupos elásticos se implementarán para las bases de datos que tengan patrones compatibles de uso de
recursos.
Cada réplica de lectura se factura según el proceso y el almacenamiento seleccionados.
Use la capacidad reservada para ahorrar en costos.
Conclusión
En este artículo, Contoso evaluó, planeó y migró sus cargas de trabajo de Microsoft SQL Server a Azure.
Se ha desarrollado un proyecto de Azure DevOps para que lo estudie durante la migración de SQL; dicho
proyecto se alinea con Cloud Adoption Framework. Este proyecto le guiará en las principales decisiones
necesarias. Seleccione este vínculo para ir al proyecto Azure DevOps.
Rehospedaje de una aplicación local mediante la
migración a máquinas virtuales de Azure y Azure
SQL Managed Instance
12/03/2021 • 57 minutes to read • Edit Online
En este artículo se muestra cómo la empresa ficticia Contoso migra una aplicación front-end de Windows .NET
de dos niveles que se ejecuta en máquinas virtuales de VMware a una máquina virtual de Azure mediante el
servicio Azure Migrate. También se muestra cómo Contoso migra la base de datos de la aplicación a Azure SQL
Managed Instance.
SmartHotel360, la aplicación usada en este ejemplo, se proporciona como software de código abierto. Si quiere
utilizarla para realizar sus propias pruebas, descárguela en GitHub.
Objetivos de la migración
El equipo de la nube de Contoso ha establecido los objetivos de esta migración. La empresa usa los objetivos de
migración para determinar el mejor método de migración.
Tras la migración, la aplicación de Azure debe tener las mismas funcionalidades de rendimiento que las que
tiene actualmente en su entorno de VMware local. Pasar a la nube no significa que el rendimiento de las
aplicaciones sea menos crítico.
Contoso no quiere invertir en la aplicación. La aplicación es crítica e importante para la empresa, pero
Contoso solo quiere mover la aplicación en su formato actual a la nube.
Después de migrar la aplicación, las tareas administrativas de la base de datos deberían ser menores.
Contoso no quiere usar Azure SQL Database para esta aplicación. Busca alternativas.
Diseño de la solución
Una vez precisados los objetivos y requisitos, Contoso diseña y revisa una solución de implementación e
identifica el proceso de migración. También se identifican los servicios de Azure que usarán para la migración.
Arquitectura actual
Contoso tiene un centro de datos principal ( contoso-datacenter ). El centro de datos está situado en la ciudad
de Nueva York, al este de Estados Unidos.
Contoso tiene tres sucursales locales más en los Estados Unidos.
El centro de datos principal está conectado a Internet con una conexión Metro Ethernet de fibra óptica
(500 megabits por segundo).
Cada una de las sucursales está conectada localmente a Internet mediante conexiones de categoría
empresarial, y con túneles VPN con IPSec hacia el centro de datos principal. Esta configuración permite que
la red entera de Contoso esté conectada de forma permanente, y además optimiza la conectividad a Internet.
El centro de datos principal está completamente virtualizado con VMware. Contoso tiene dos hosts de
virtualización ESXi 6.5 que están administrados por vCenter Server 6.5.
Contoso usa Active Directory para la administración de identidades. Contoso usa servidores DNS en la red
interna.
Contoso tiene un controlador de dominio local ( contosodc1 ).
Los controladores de dominio se ejecutan en las máquinas virtuales de VMware. Los controladores de
dominio de las sucursales locales se ejecutan en servidores físicos.
La aplicación SmartHotel360 se divide en capas en dos máquinas virtuales ( WEBVM y SQLVM ) que se
encuentran en un host de VMware ESXi versión 6.5 ( contosohost1.contoso.com ).
El entorno de VMware se administra con vCenter Server 6.5 ( vcenter.contoso.com ) que se ejecuta en una
máquina virtual.
Arquitectura propuesta
En este escenario, Contoso quiere migrar su aplicación de viajes local de dos capas como se indica a
continuación:
Se migra la base de datos de la aplicación ( SmartHotelDB ) a una instancia administrada de SQL.
Se migra la máquina virtual WEBVM de front-end a una máquina virtual de Azure.
Las máquinas virtuales locales del centro de datos de Contoso se retirarán cuando finalice la migración.
Consideraciones sobre la base de datos
Como parte del proceso de diseño de la solución, Contoso hizo una comparación de características entre Azure
SQL Database y SQL Managed Instance. Las siguientes consideraciones ayudaron a la empresa a decidirse por
SQL Managed Instance.
El objetivo de SQL Managed Instance es proporcionar casi un 100 % de compatibilidad con la versión de la
instalación local de SQL Server más reciente. Recomendamos SQL Managed Instance para los clientes que
ejecutan SQL Server de forma local o en máquinas virtuales de infraestructura como servicio (IaaS), y que
desean migrar sus aplicaciones a un servicio totalmente administrado con cambios mínimos en el diseño.
Contoso planea migrar un gran número de aplicaciones del en el entorno local a IaaS. Muchas de estas
aplicaciones las proporciona el fabricante de software independiente. Contoso se da cuenta de que el uso de
SQL Managed Instance le ayudará a garantizar la compatibilidad de la base de datos con estas aplicaciones,
en lugar de utilizar SQL Database, que podría no ser compatible.
Contoso puede realizar una migración a SQL Managed Instance mediante lift-and-shift con el servicio Azure
Database Migration Service totalmente automatizado. Con este servicio, Contoso puede reutilizarla para las
migraciones futuras de la base de datos.
SQL Managed Instance admite el Agente SQL Server, un componente importante de la aplicación
SmartHotel360. Contoso necesita esta compatibilidad. Sin ella, tendrá que volver a diseñar los planes de
mantenimiento que requiere la aplicación.
Con Software Assurance, Contoso puede intercambiar sus licencias existentes para obtener descuentos en
una instancia de SQL Managed Instance con la Ventaja híbrida de Azure para SQL Server. Por esta razón,
Contoso podrá ahorrar hasta un 30 % en SQL Managed Instance.
Instancia administrada de SQL se incluye totalmente en la red virtual, por lo que ofrece un mayor nivel de
aislamiento y seguridad para los datos de Contoso. Contoso puede obtener las ventajas de la nube pública y,
al mismo tiempo, mantener el entorno aislado de la red Internet pública.
SQL Managed Instance admite muchas características de seguridad. Entre estas se incluyen Always
Encrypted, el enmascaramiento dinámico de datos, la seguridad de nivel de fila y la detección de amenazas.
Revisión de la solución
Contoso evalúa el diseño propuesto y crea una lista de ventajas y desventajas.
C O N SIDERA C IÓ N DETA L L ES
C O N SIDERA C IÓ N DETA L L ES
Proceso de migración
Contoso migrará la capas web y de datos de su aplicación SmartHotel360 a Azure mediante estos pasos:
1. Contoso ya tiene su infraestructura de Azure, por lo que solo necesita agregar un par de componentes de
Azure específicos a este escenario.
2. La capa de datos se migrará con Azure Database Migration Service. Este servicio se conecta a la máquina
virtual local con SQL Server mediante una conexión VPN de sitio a sitio entre el centro de datos de
Contoso y Azure. Después, el servicio migra la base de datos.
3. La capa web se migrará con una migración mediante lift-and-shift por medio de Azure Migrate. Este
proceso supone la preparación del entorno local de VMware, la configuración y habilitación de la
replicación y la migración de las máquinas virtuales mediante su conmutación por error a Azure.
Servicios de Azure
SERVIC IO DESC RIP C IÓ N C O ST E
Azure Database Migration Service Azure Database Migration Service Obtenga información sobre las
permite migraciones completas de regiones admitidas y los precios de
varios orígenes de base de datos a Azure Database Migration Service.
plataformas de datos de Azure, con un
tiempo de inactividad mínimo.
Instancia administrada de Azure SQL SQL Managed Instance es un servicio El uso de una instancia administrada
de base de datos administrada que de SQL que se ejecute en Azure genera
representa una instancia de cargos en función de la capacidad. Más
SQL Server completamente información acerca de los precios de
administrada en la nube de Azure. Usa SQL Managed Instance.
el mismo código que la versión más
reciente del motor de base de datos de
SQL Server, y tiene las características,
mejoras de rendimiento y
actualizaciones de seguridad más
recientes.
Azure Migrate Contoso usa Azure Migrate para Azure Migrate está disponible sin
evaluar sus máquinas virtuales de costo adicional. Se pueden aplicar
VMware. Azure Migrate valora la cargos según las herramientas (propias
idoneidad de las máquinas para la o de un fabricante de software
migración. Proporciona estimaciones independiente) que decidan usar para
de tamaño y costos para su ejecución la evaluación y la migración. Más
en Azure. información sobre los precios de Azure
Migrate.
Requisitos previos
Contoso y otros usuarios tienen que cumplir los requisitos previos a continuación en este escenario.
Ser vidores locales La versión de la instalación local de vCenter Server debe ser
5.5, 6.0 o 6.5.
Máquinas vir tuales locales Revise las máquinas Linux que se han aprobado para
ejecutarse en Azure.
REQ UISITO S DETA L L ES
Database Migration Ser vice Para Azure Database Migration Service, necesita un
dispositivo de VPN local compatible.
5. Establecen una configuración de DNS personalizada. DNS primero apunta a los controladores de
dominio de Azure de Contoso. Azure DNS es secundario. Los controladores de dominio de Azure de
Contoso están ubicados de la manera siguiente:
Ubicados en la subred PROD-DC-EUS2 , en la red de producción East US 2 ( VNET-PROD-EUS2 ).
Dirección de CONTOSODC3 : 10.245.42.4 .
Dirección de CONTOSODC4 : 10.245.42.5 .
Solucionador de Azure DNS: 168.63.129.16 .
¿Necesita más ayuda?
Consulte la introducción a SQL Managed Instance.
Aprenda cómo crear una red virtual para una instancia de SQL Managed Instance.
Más información sobre cómo configurar el emparejamiento.
Más información sobre cómo actualizar la configuración de DNS de Azure Active Directory.
Configuración del enrutamiento
La instancia administrada se coloca en una red privada virtual. Contoso necesita una tabla de enrutamiento para
que la red virtual se comunique con el servicio de administración de Azure. Si la red virtual no puede
comunicarse con el servicio que la administra, se vuelve inaccesible.
Contoso tiene en cuenta estos factores:
La tabla de enrutamiento contiene un conjunto de reglas (rutas) que especifican cómo se deben enrutar los
paquetes enviados en la red virtual desde la instancia administrada.
La tabla de enrutamiento se asocia con subredes en las que se implementan instancias administradas. Cada
paquete que sale de una subred se controla en función de la tabla de rutas asociada.
Una subred puede asociarse con una sola tabla de rutas.
No hay ningún cargo adicional por la creación de tablas de redirección en Microsoft Azure.
Para configurar el enrutamiento, los administradores de Contoso siguen estos pasos:
1. Crean una tabla de enrutamiento definida por el usuario en el grupo de recursos ContosoNetworkingRG .
2. Para cumplir los requisitos de SQL Managed Instance, tras implementar la tabla de enrutamiento (
MIRouteTable ), se agrega una ruta que tiene el prefijo de dirección 0.0.0.0/0 . La opción Tipo de
próximo salto está establecida en Internet .
2. Crean un contenedor de Azure Blob Storage. Contoso genera un URI de SAS para que Azure Database
Migration Service pueda acceder a él.
La instancia se coloca ahí porque el servicio tiene que estar en una red virtual que pueda acceder a
la máquina virtual de SQL Server local mediante una puerta de enlace de VPN.
VNET-PROD-EUS2está emparejado con VNET-HUB-EUS2 y puede usar puertas de enlace remotas. La
opción Usar puer tas de enlace remotas garantiza que la instancia pueda comunicarse cuando
sea necesario.
2. En Replicar > Configuración de origen > ¿Las máquinas están vir tualizadas? , seleccionan Sí,
con VMware vSphere .
3. En Dispositivo local , seleccionan el nombre del dispositivo de Azure Migrate que se configuró y, a
continuación, seleccionan Aceptar .
4. En Máquinas vir tuales , seleccionan las máquinas que quieren replicar:
Si han ejecutado una evaluación para las máquinas virtuales, pueden aplicar las recomendaciones de
tamaño y tipo de disco (Premium/Estándar) de máquina virtual que sugieren los resultados de dicha
evaluación. Para ello, en ¿Quiere impor tar la configuración de migración de evaluación de
Azure Migrate? , seleccionan la opción Sí .
Si no han ejecutado una evaluación o no desean usar la configuración de la evaluación, seleccionan la
opción No .
Si han decidido usar la evaluación, seleccionan el grupo de máquinas virtuales y el nombre de la
evaluación.
5. En Máquinas vir tuales , buscan las máquinas virtuales que necesitan y comprueban todas las que
desean migrar. Luego, seleccionan Siguiente: Configuración de destino .
6. En Configuración de destino , seleccionan la suscripción y la región de destino a la que migrarán.
También especifican el grupo de recursos en el que residirán las máquinas virtuales de Azure después de
la migración. En Red vir tual , seleccionan la red virtual o la subred de Azure a la que se unirán las
máquinas virtuales de Azure después de la migración.
7. En Ventaja híbrida de Azure :
Seleccionan No si no desean aplicar la Ventaja híbrida de Azure. Luego, seleccionan Siguiente .
Seleccionan Sí si tienen equipos con Windows Server que están incluidos en suscripciones activas de
Software Assurance o Windows Server y desean aplicar la ventaja a las máquinas que va a migrar.
Luego, seleccionan Siguiente .
8. En Proceso , revisan el nombre de la máquina virtual, su tamaño, el tipo de disco del sistema operativo y
el conjunto de disponibilidad. Las máquinas virtuales deben cumplir los requisitos de Azure.
Tamaño de VM: si usan las recomendaciones de la evaluación, la lista desplegable de tamaño de
máquina virtual contiene el tamaño recomendado. De lo contrario, Azure Migrate elige un tamaño en
función de la coincidencia más cercana en la suscripción de Azure. También pueden elegir un tamaño
de manera manual en Tamaño de la máquina vir tual de Azure .
Disco del sistema operativo : especifican el disco del sistema operativo (arranque) de la máquina
virtual. Este es el disco que tiene el cargador de arranque y el instalador del sistema operativo.
conjunto de disponibilidad: si la máquina virtual debe estar incluida en un conjunto de
disponibilidad de Azure después de la migración, especifican el conjunto. El conjunto tiene que estar
en el grupo de recursos de destino que se especifica para la migración.
9. En Discos , especifican si los discos de la máquina virtual se deben replicar en Azure. Después,
seleccionan el tipo de disco (SSD/HDD Estándar o discos administrados Premium) de Azure y seleccionan
Siguiente .
Pueden excluir discos de la replicación.
Si se excluyen discos, no estarán presentes en la máquina virtual de Azure después de la migración.
10. En Revisar + iniciar replicación , revisan la configuración. A continuación, seleccionan Replicar para
iniciar la replicación inicial de los servidores.
NOTE
La configuración de replicación se puede actualizar en cualquier momento antes de que esta comience en Administrar >
Replicación de máquinas . Una vez iniciada la replicación, su configuración no se puede cambiar.
3. Como destino, escriben el nombre de la instancia administrada de Azure y las credenciales de acceso.
4. En Nueva actividad > Ejecutar migración , especifican la configuración para ejecutar la migración:
Credenciales de origen y destino.
La base de datos para migrar.
El recurso compartido de red creado en la máquina virtual local. Azure Database Migration Service
lleva las copias de seguridad de origen a este recurso compartido.
La cuenta de servicio que ejecuta la instancia de SQL Server de origen debe tener permisos de
escritura sobre este recurso compartido.
Se debe usar la ruta de acceso del nombre de dominio completo (FQDN) al recurso
compartido.
El URI de SAS que proporciona a Azure Database Migration Service acceso al contenedor de
cuentas de almacenamiento en el que el servicio carga los archivos de copia de seguridad de la
migración.
3. En Migración de prueba , seleccionan la red virtual de Azure en la que se ubicará la máquina virtual de
Azure después de la migración. Se recomienda utilizar una red virtual que no sea de producción.
4. Comienza el trabajo de Migración de prueba . Los administradores supervisan el trabajo en las
notificaciones del portal.
5. Una vez finalizada la migración, la máquina virtual de Azure migrada se puede ver en Máquinas
vir tuales en Azure Portal. El nombre de la máquina tiene el sufijo -Test .
6. Una vez finalizada la prueba, los administradores mantienen presionada (o hacen clic con el botón
derecho) en la máquina virtual de Azure, en Replicación de máquinas y seleccionan Limpiar la
migración de prueba .
Migración de la VM
Ahora, los administradores de Contoso ejecutan una migración completa para completar el traslado.
1. En el proyecto de Azure Migrate, van a Ser vidores > Azure Migrate: Ser ver Migration , y seleccionan
Replicando ser vidores .
2. En Replicación de máquinas , mantienen presionada (o hacen clic con el botón derecho) la máquina
virtual y seleccionan Migrar .
3. En Migrar > ¿Quiere apagar las máquinas vir tuales y realizar una migración planificada sin
perder datos? , seleccionan Sí > Aceptar .
De forma predeterminada, Azure Migrate apaga la máquina virtual local y ejecuta una replicación a
petición para sincronizar los cambios que se han producido en la máquina virtual desde la última
replicación. Esta acción garantiza que no se pierdan datos.
Si no desean apagar la máquina virtual, seleccionan No .
4. Se inicia un trabajo de migración de la máquina virtual. Los administradores realizan un seguimiento del
trabajo en las notificaciones de Azure.
5. Una vez finalizado el trabajo, pueden ver y administrar la máquina virtual desde la página Máquinas
vir tuales .
6. Por último, se actualizan los registros DNS de WEBVM en uno de los controladores de dominio de
Contoso.
Actualización de la cadena de conexión
Como último paso del proceso de migración, los administradores de Contoso actualizan la cadena de conexión
de la aplicación para que apunte a la base de datos migrada que se ejecuta en la instancia administrada de SQL.
1. En Azure Portal, seleccionan Configuración > Cadenas de conexión para buscar la cadena de
conexión.
2. Actualizan la cadena con el nombre de usuario y la contraseña de la instancia administrada de SQL.
3. Una vez configurada la cadena, reemplazan la cadena de conexión actual en el archivo web.config de su
aplicación.
4. Después de actualizar el archivo y guardarlo, ejecutan iisreset /restart en una ventana del símbolo del
sistema para reiniciar IIS en WEBVM .
5. Después de reiniciar IIS, la aplicación usa la base de datos que se ejecuta en la instancia administrada de
SQL.
6. En este momento, ya pueden apagar la máquina SQLVM local. La migración ha finalizado.
Revisión de la implementación
Con los recursos migrados de Azure, Contoso debe proteger la infraestructura nueva y ponerla totalmente en
marcha.
Seguridad
El equipo de seguridad de Contoso comprueba las máquinas virtuales de Azure y la instancia administrada de
SQL para determinar posibles problemas de seguridad de la implementación:
El equipo revisa los grupos de seguridad de red que se usan para controlar el acceso de la máquina
virtual. Los grupos de seguridad de red ayudan a garantizar que solo pueda pasar el tráfico que se
permite para la aplicación.
El equipo de seguridad de Contoso también está pensando en proteger los datos en el disco mediante
Azure Disk Encryption y Azure Key Vault.
El equipo permite la detección de amenazas en la instancia administrada. La detección de amenazas envía
una alerta al sistema del equipo o departamento de seguridad de Contoso para abrir una incidencia si se
detecta una amenaza. Obtenga más información sobre la detección de amenazas para SQL Managed
Instance.
Para más información sobre los procedimientos de seguridad para máquinas virtuales, consulte Procedimientos
de seguridad recomendados para cargas de trabajo de IaaS de Azure.
Continuidad empresarial y recuperación ante desastres
Para la continuidad empresarial y la recuperación ante desastres, Contoso realiza las siguientes acciones:
Mantener seguros los datos. Contoso realiza la copia de seguridad de los datos de las máquinas virtuales
mediante el servicio Azure Backup. Para más información, consulte la introducción a la copia de seguridad de
máquinas virtuales de Azure.
Mantener las aplicaciones en funcionamiento. Contoso replica las máquinas virtuales de aplicaciones
en Azure, en una región secundaria mediante Site Recovery. Para más información, consulte Configuración
de la recuperación ante desastres en una región secundaria de Azure de una máquina virtual de Azure.
Más información. Contoso obtiene más información acerca de cómo administrar SQL Managed Instance,
incluidas las copias de seguridad de la base de datos.
Optimización de los costos y licencias
Contoso ya tiene una licencia para WEBVM . Para aprovechar las ventajas de precios con Ventaja híbrida de
Azure, Contoso convierte la máquina virtual de Azure existente.
Contoso usará Azure Cost Management + Billing para que la compañía permanezca dentro de los
presupuestos establecidos por la dirección de TI.
Conclusión
En este artículo, Contoso vuelve a hospedar la aplicación SmartHotel360 en Azure mediante la migración de la
máquina virtual de front-end de aplicaciones a Azure con el servicio Azure Migrate. Contoso migra la base de
datos local a una instancia administrada de SQL mediante Azure Database Migration Service.
Rehospedaje de una aplicación local en VM de
Azure y grupos de disponibilidad Always On de
SQL Server
12/03/2021 • 53 minutes to read • Edit Online
En este artículo se muestra cómo la compañía ficticia Contoso rehospeda una aplicación de Windows .NET de
dos niveles que se ejecuta en máquinas virtuales (VM) de VMware como parte de una migración a Azure.
Contoso migra la VM de front-end de la aplicación a una VM de Azure, y la base de datos de la aplicación a otra
VM de Azure con SQL Server, que se ejecuta en el clúster de conmutación por error de Windows Server con
grupos de disponibilidad Always On de SQL Server.
SmartHotel360, la aplicación usada en este ejemplo, se proporciona como software de código abierto. Si quiere
utilizarla para realizar sus propias pruebas, descárguela en GitHub.
Objetivos de la migración
El equipo de la nube de Contoso ha establecido los objetivos de esta migración. Estos objetivos se usaron para
determinar el mejor método de migración:
Después de la migración, la aplicación de Azure debería tener las mismas funcionalidades de rendimiento
que tiene actualmente en VMware. La aplicación seguirá siendo tan imprescindible en la nube como lo es en
el entorno local.
Contoso no quiere invertir en esta aplicación. Es importante para la empresa, pero, en su formato actual,
Contoso solo quiere trasladarla a la nube de forma segura.
La base de datos local de la aplicación ha tenido problemas de disponibilidad. Contoso quiere implementarla
en Azure como un clúster de alta disponibilidad con funcionalidades de conmutación por error.
Contoso quiere actualizar su plataforma actual de SQL Server 2008 R2 a SQL Server 2017.
Contoso no quiere usar Azure SQL Database para esta aplicación y busca alternativas.
Diseño de la solución
Una vez precisados los objetivos y requisitos, Contoso diseña y revisa una solución de implementación e
identifica el proceso de migración. También se identifican los servicios de Azure que usarán para la migración.
Arquitectura actual
La aplicación se divide en niveles entre dos VM ( WEBVM y SQLVM ).
Las máquinas virtuales se encuentran en el host de VMware ESXi contosohost1.contoso.com (versión 6.5).
El entorno de VMware se administra con vCenter Server 6.5 ( vcenter.contoso.com ), que se ejecuta en una
máquina virtual.
Contoso tiene un centro de datos local ( contoso-datacenter ) con un controlador de dominio local (
contosodc1 ).
Arquitectura propuesta
En este escenario:
Contoso va a migrar el front-end de la aplicación, WEBVM , a una máquina virtual de infraestructura como
servicio (IaaS) de Azure.
La VM de front-end de Azure se implementará en el grupo de recursos ContosoRG (usado con los
recursos de producción).
Se ubicará en la red de producción de Azure ( VNET-PROD-EUS2 ) en la región primaria ( East US 2 ).
La base de datos de la aplicación se migrará a una VM de Azure que ejecute SQL Server.
Se ubicará en la red de base de datos de Azure de Contoso ( PROD-DB-EUS2 ) en la región primaria (
East US 2 ).
Se colocará en un clúster de conmutación por error con Windows Server con dos nodos que usa
grupos de disponibilidad Always On de SQL Server.
En Azure, los dos nodos de VM de SQL Server del clúster se implementarán en el grupo de recursos
ContosoRG .
Los nodos de VM se ubicarán en la red de producción de Azure ( VNET-PROD-EUS2 ) en la región
primaria ( East US 2 ).
Las VM ejecutarán Windows Server 2016 con SQL Server 2017 Enterprise Edition. Contoso no tiene
licencias para este sistema operativo. Usará una imagen de Azure Marketplace que ofrece la licencia
como un cargo con respecto al compromiso de Contrato Enterprise de Azure de la empresa.
A parte de los nombres únicos, ambas máquinas virtuales utilizan la misma configuración.
Contoso implementará un equilibrador de carga interno que escucha el tráfico en el clúster y lo dirige al
nodo de clúster adecuado.
El equilibrador de carga interno se implementará en ContosoNetworkingRG (utilizado para los recursos
de redes).
Las VM locales del centro de datos de Contoso se retirarán después de realizar la migración.
Consideraciones sobre la base de datos
Como parte del proceso de diseño de la solución, Contoso hizo una comparación de características entre Azure
SQL Database y SQL Server. Las siguientes consideraciones ayudaron a la empresa a decidirse por usar una
máquina virtual de IaaS de Azure que ejecuta SQL Server:
El uso de una VM de Azure que ejecuta SQL Server parece ser una solución óptima si Contoso necesita
personalizar el sistema operativo o el servidor de bases de datos, o si quisiera ubicar conjuntamente y
ejecutar aplicaciones de terceros en la misma VM.
Revisión de la solución
Contoso evalúa el diseño propuesto y crea una lista de ventajas y desventajas.
C O N SIDERA C IÓ N DETA L L ES
Servicios de Azure
SERVIC IO DESC RIP C IÓ N C O ST E
Azure Database Migration Service Azure Database Migration Service Obtenga información sobre las
permite migraciones completas de regiones admitidas y los precios de
varios orígenes de base de datos a Azure Database Migration Service.
plataformas de datos de Azure, con un
tiempo de inactividad mínimo.
Azure Migrate Contoso usa Azure Migrate para Azure Migrate está disponible sin
evaluar sus máquinas virtuales de costo adicional. Se pueden aplicar
VMware. Azure Migrate valora la cargos según las herramientas (propias
idoneidad de las máquinas para la o de un fabricante de software
migración. Proporciona estimaciones independiente) que decidan usar para
de tamaño y costos para su ejecución la evaluación y la migración. Más
en Azure. información sobre los precios de Azure
Migrate.
Proceso de migración
Los administradores de Contoso migrarán las máquinas virtuales de la aplicación a Azure.
Migrarán la máquina virtual de front-end a una máquina virtual de Azure mediante Azure Migrate:
Primero, prepararán y configurarán los componentes de Azure, y prepararán la infraestructura local
de VMware.
Con todo preparado, podrá empezar a replicar la VM.
Una vez que se haya habilitado la replicación y esté en funcionamiento, la máquina virtual se migra
con Azure Migrate.
Después de comprobar la base de datos, se migrará a un clúster de SQL Server en Azure con Azure
Database Migration Service.
Para empezar, deberán aprovisionar las máquinas virtuales con SQL Server en Azure, configurar el
clúster y un equilibrador de carga interno y configurar los grupos de disponibilidad Always On.
Cuando complete todo esto, podrá migrar la base de datos.
Después de la migración, deberá habilitar los grupos de disponibilidad Always On para la base de datos.
Requisitos previos
Esto es lo que debe hacer Contoso en este escenario.
Ser vidores locales La versión de la instalación local de vCenter Server debe ser
la 5.5, 6.0, 6.5 o 6.7.
Máquinas vir tuales locales Revise las máquinas Linux que se han aprobado para
ejecutarse en Azure.
2. En el Asistente para crear máquinas vir tuales > Conceptos básicos , se configura:
Nombres de las VM: SQLAOG1 y SQLAOG2 .
Dado que las máquinas son críticas para la empresa, se habilita SSD para el tipo de disco de la
máquina virtual.
Especifican las credenciales de la máquina.
Implementan las máquinas virtuales en la región primaria ( East US 2 ), en el grupo de recursos
ContosoRG .
3. En Tamaño , comienza con D2S v3 instancias para ambas VM. Posteriormente, se escalarán según sea
necesario.
4. En Configuración , realizan las siguientes acciones:
Dado que en estas máquinas virtuales hay bases de datos críticas para la aplicación, se usan discos
administrados.
Coloca las máquinas en la subred de base de datos ( PROD-DB-EUS2 ) de la red de producción (
VNET-PROD-EUS2 ) en la región primaria ( East US 2 ).
Crea un nuevo conjunto de disponibilidad, denominado SQLAOGAVSET , con dos dominios de error y
cinco dominios de actualización.
5. En Configuración de SQL Ser ver , se limita la conectividad de SQL a la red virtual (privada) del puerto
1433 predeterminado. Para la autenticación, se usan las mismas credenciales que en el entorno local (
contosoadmin ).
5. Al crear la cuenta de almacenamiento, se generan las claves de acceso principal y secundaria. La clave de
acceso principal es necesaria para crear al testigo en la nube. La clave aparece bajo el nombre de la
cuenta de almacenamiento > Claves de acceso .
Adición de las VM con SQL Server al dominio de Contoso
1. Contoso agrega SQLAOG1 y SQLAOG2 al dominio contoso.com .
2. Los administradores instalan en cada máquina virtual la característica de clúster de conmutación por error
con Windows y las herramientas.
Configuración del clúster
Antes de configurar el clúster, los administradores de Contoso toman una instantánea del disco del sistema
operativo en cada máquina.
1. Ejecutan un script para crear el clúster de conmutación por error con Windows.
2. Después de crear el clúster, comprueban que las máquinas virtuales aparecen como nodos de clúster.
2. Los administradores asocian el grupo con el conjunto de disponibilidad SQLAOGAVSET . Las VM del
conjunto ( SQLAOG1 y SQLAOG2 ) se agregan al grupo.
Creación de un sondeo de estado
Para que el equilibrador de carga pueda supervisar el estado de la aplicación, los administradores de Contoso
crean un sondeo de estado. El sondeo agrega o elimina de forma dinámica las máquinas virtuales de la rotación
del equilibrador de carga en función de cómo responden a las comprobaciones de estado.
Para crear el sondeo, los administradores de Contoso:
1. Crean un sondeo de estado en la configuración del equilibrador de carga en el portal:
SQL AlwaysOnEndPointProbe .
2. Lo establecen para supervisar las máquinas virtuales en el puerto TCP 59999.
3. Establecen un intervalo de 5 segundos entre sondeos y un umbral de 2. Si se produce un error en los dos
sondeos, se considerará que el estado de la VM es incorrecto.
Configuración del equilibrador de carga para recibir tráfico
Ahora, los administradores de Contoso configuran una regla del equilibrador de carga para definir cómo se
distribuye el tráfico a las máquinas virtuales.
La dirección IP de front-end controla el tráfico entrante.
El grupo de IP de back-end recibe el tráfico.
Para crear la regla, los administradores de Contoso:
1. Agregan una nueva regla en la configuración del equilibrador de carga en el portal:
SQLAlwaysOnEndPointListener .
2. Establecen un cliente de escucha de front-end para recibir el tráfico entrante del cliente de SQL en el
puerto TCP 1433.
3. Especifican el grupo de back-end al que se enrutará el tráfico y el puerto en el que las máquinas virtuales
escuchan el tráfico.
4. Habilitan la dirección IP flotante (Direct Server Return), que siempre es necesaria para Always On de
SQL Server.
¿Necesita más ayuda?
Obtenga información general sobre Azure Load Balancer.
Obtenga información sobre cómo crear un equilibrador de carga.
5. En Máquinas vir tuales , buscan las máquinas virtuales que necesitan y comprueban todas las que
desean migrar. A continuación, seleccionan Agregar : Configuración de destino .
6. En Configuración de destino , seleccionan la suscripción y la región de destino a la que se va a migrar
y especifican el grupo de recursos en el que residirán las máquinas virtuales de Azure después de la
migración. En Red vir tual , seleccionan la red virtual y la subred de Azure a la que se unirán las
máquinas virtuales de Azure después de la migración.
7. En Ventaja híbrida de Azure , los administradores de Contoso:
Seleccionan No si no desean aplicar la Ventaja híbrida de Azure. A continuación, seleccionan
Siguiente .
Seleccionan Sí si tienen equipos con Windows Server que están incluidos en suscripciones activas de
Software Assurance o Windows Server y desean aplicar la ventaja a las máquinas que va a migrar. A
continuación, seleccionan Siguiente .
8. En Proceso , revisan el nombre de la máquina virtual, su tamaño, el tipo de disco del sistema operativo y
el conjunto de disponibilidad. Las máquinas virtuales deben cumplir los requisitos de Azure.
Tamaño de VM: si usan las recomendaciones de la evaluación, la lista desplegable de tamaño de
máquina virtual contiene el tamaño recomendado. De lo contrario, Azure Migrate elige un tamaño en
función de la coincidencia más cercana en la suscripción de Azure. También pueden elegir un tamaño
de manera manual en Tamaño de la máquina vir tual de Azure .
Disco del sistema operativo : especifican el disco del sistema operativo (arranque) de la máquina
virtual. Este es el disco que tiene el cargador de arranque y el instalador del sistema operativo.
conjunto de disponibilidad: si la máquina virtual debe estar incluida en un conjunto de
disponibilidad de Azure después de la migración, especifican el conjunto. El conjunto tiene que estar
en el grupo de recursos de destino que se especifica para la migración.
9. En Discos , especifican si los discos de la máquina virtual se deben replicar en Azure. Después,
seleccionan el tipo de disco (SSD/HDD Estándar o discos administrados Premium) de Azure y seleccionan
Siguiente .
Pueden excluir discos de la replicación.
Si se excluyen discos, no estarán presentes en la máquina virtual de Azure después de la migración.
10. En Revisar + iniciar replicación , revisan la configuración. A continuación, seleccionan Replicar para
iniciar la replicación inicial de los servidores.
NOTE
La configuración de replicación se puede actualizar en cualquier momento antes de que esta comience en Administrar >
Replicación de máquinas . Una vez iniciada la replicación, su configuración no se puede cambiar.
4. Configura un agente de escucha para el grupo ( SHAOG ) y el puerto. La dirección IP del equilibrador de
carga interno se agrega como dirección IP estática ( 10.245.40.100 ).
Comprobar la configuración
Con todo configurado, Contoso ahora tiene un grupo de disponibilidad funcional en Azure que usa la base de
datos migrada. Los administradores comprueban la configuración con una conexión al equilibrador de carga
interno desde SQL Server Management Studio.
2. Seleccionan Apague la máquina antes de comenzar con la conmutación por error para que
Azure Migrate intente apagar la máquina virtual de origen antes de desencadenar la conmutación por
error. La conmutación por error continúa aunque se produzca un error de cierre.
3. Se ejecuta una conmutación por error de prueba:
Se ejecuta una comprobación de requisitos previos para garantizar que todas las condiciones
necesarias para la conmutación por error están correctamente establecidas.
La conmutación por error procesa los datos, de modo que se pueda crear una máquina virtual de
Azure. Si se selecciona el último punto de recuperación, se crea un punto de recuperación a partir de
los datos.
Se crea una máquina virtual de Azure con los datos procesados en el paso anterior.
4. Una vez finalizada la conmutación por error, la VM de Azure de réplica aparece en Azure Portal. Contoso
comprueba si la VM tiene el tamaño adecuado, si está conectada a la red correspondiente y si se está
ejecutando.
5. Después, limpia la conmutación por error y registra y guarda las observaciones.
Ejecución de la conmutación por error
1. Después de comprobar que la conmutación por error de prueba ha funcionado según lo esperado, crean
un plan de recuperación para la migración y agregan WEBVM al plan.
2. Ejecuta una conmutación por error en el plan. Seleccionan el punto de recuperación más reciente.
Especifican que Azure Migrate debe intentar apagar la máquina virtual local antes de desencadenar la
conmutación por error.
3. Después de la conmutación por error, Contoso comprueba si la VM de Azure aparece según lo esperado
en Azure Portal.
4. Después de verificar la VM en Azure, completa la migración para finalizar el proceso de migración,
detiene la replicación para la VM y detiene la facturación de Azure Migrate de la VM.
2. Después de actualizar el archivo y guardarlo, reinicia IIS en WEBVM . Utilizan iisreset /restart desde un
símbolo del sistema.
3. Después de reiniciar IIS, la aplicación usa la base de datos que se ejecuta en la instancia administrada.
¿Necesita más ayuda?
Más información sobre la ejecución de una conmutación por error de prueba.
Más información sobre cómo crear un plan de recuperación.
Más información sobre cómo realizar una conmutación por error en Azure.
Limpiar después de la migración
Después de la migración, la aplicación SmartHotel360 se ejecuta en una máquina virtual de Azure. La base de
datos SmartHotel360 se encuentra en el clúster de SQL Server de Azure.
Ahora, Contoso debe completar estos pasos de limpieza:
Quitar las VM locales del inventario de vCenter.
Quitar las VM de los trabajos de copia de seguridad locales.
Actualizar la documentación interna para que muestre las nuevas ubicaciones y las direcciones IP de las VM.
Revise todos los recursos que interactúan con las máquinas virtuales fuera de servicio. Actualice la
configuración o la documentación pertinentes para que reflejen la nueva configuración.
Agregar las dos nuevas máquinas virtuales ( SQLAOG1 y SQLAOG2 ) a los sistemas de supervisión de
producción.
Revisión de la implementación
Con los recursos migrados de Azure, Contoso debe proteger la infraestructura nueva y ponerla totalmente en
marcha.
Seguridad
El equipo de seguridad de Contoso revisa las máquinas virtuales WEBVM , SQLAOG1 y SQLAOG2 para determinar si
existe algún problema de seguridad. El equipo debe:
Revisar los grupos de seguridad de red (NSG) de la máquina virtual para controlar el acceso. Los NSG se
usan para garantizar que solo el tráfico permitido puede pasar a la aplicación.
Considerar la posibilidad de proteger los datos en disco mediante Azure Disk Encryption y Azure Key Vault.
Evaluar el cifrado de datos transparente. A continuación, habilitarlo en la base de datos SmartHotel360 que
se ejecuta en el nuevo grupo de disponibilidad Always On. Más información sobre el cifrado de discos
transparente.
Para obtener más información, consulte Procedimientos de seguridad recomendados para cargas de trabajo de
IaaS de Azure.
Conclusión
En este artículo, Contoso ha rehospedado la aplicación SmartHotel360 en Azure mediante la migración de la
máquina virtual de front-end de la aplicación a Azure con Azure Migrate. Contoso ha migrado la base de datos
de la aplicación a un clúster de SQL Server aprovisionado en Azure mediante Azure Database Migration Service
y la ha protegido en un grupo de disponibilidad Always On de SQL Server.
Migración de bases de datos de código abierto a
Azure
12/03/2021 • 18 minutes to read • Edit Online
En este artículo se muestra cómo la empresa ficticia Contoso evaluó, planificó y migró sus diversas bases de
datos de código abierto locales a Azure.
Al plantearse la migración a Azure, la empresa Contoso necesita realizar una valoración técnica y financiera para
determinar si sus cargas de trabajo locales son buenas candidatas para la migración a la nube. En concreto, el
equipo de Contoso quiere valorar la compatibilidad de las máquinas y bases de datos para la migración.
Además, desea calcular la capacidad y los costos de ejecutar los recursos de Contoso en Azure.
Objetivos de la migración
El equipo de la nube de Contoso ha establecido los objetivos de las distintas migraciones. Estos objetivos se
usaron para determinar los mejores métodos de migración.
REQ UISITO S DETA L L ES
Diseño de la solución
Contoso ya ha realizado una valoración de la migración de su patrimonio digital mediante Azure Migrate.
C O N SIDERA C IÓ N DETA L L ES
Presupuesto y administración
Antes de que se pueda realizar la migración, es necesario disponer de la estructura de Azure necesaria para
admitir los aspectos de administración y facturación de la solución.
En cuanto a los requisitos de administración, se crearon varios grupos de administración para admitir la
estructura organizativa.
En cuanto a los requisitos de facturación, cada uno de los recursos de Azure se etiqueta luego con las etiquetas
de facturación adecuadas.
Proceso de migración
Las migraciones de datos siguen un patrón estándar y repetible. Este proceso implica los pasos siguientes en
función de los procedimientos recomendados de Microsoft:
Antes de la migración:
Detección: Inventaríe los recursos de base de datos y pila de aplicaciones.
Evaluación: Evalúe las cargas de trabajo y corrija las recomendaciones.
Conversión: Convierta el esquema de origen para que funcione en el destino.
Migración:
Migración: Migre el esquema de origen, los datos de origen y los objetos al destino.
Sincronización de datos: Sincronice los datos (para un tiempo de inactividad mínimo).
Traslado: Migre todo el origen al destino.
Después de la migración:
Corrección de aplicaciones: Realice de forma iterativa los cambios necesarios en las aplicaciones.
Realización de pruebas: Realice pruebas funcionales y de rendimiento de forma iterativa.
Optimización: En función de las pruebas, solucione los problemas de rendimiento y vuelva a realizar
las pruebas para confirmar las mejoras en el rendimiento.
Retiro de recursos: Existen copias de seguridad de las VM y los entornos de hospedaje anteriores y
se han retirado.
Paso 1: Detección
Contoso usó Azure Migrate para exponer las dependencias en el entorno de Contoso. Azure Migrate puede
detectar automáticamente componentes de aplicación en sistemas Windows y Linux y asignar la comunicación
entre servicios. Azure Migrate también expuso las conexiones entre los servidores de Contoso, los procesos, la
latencia de conexión entrante y saliente, y los puertos a través de su arquitectura conectada por TCP. Contoso
solo debe instalar Microsoft Monitoring Agent y Microsoft Dependency Agent.
Contoso ha identificado más de 300 instancias de base de datos que se deben migrar. De estas instancias,
aproximadamente el 40 % puede moverse a servicios basados en PaaS. El 60 % restante de las instancias deben
moverse a un enfoque basado en IaaS con una máquina virtual que ejecute el software de base de datos
correspondiente.
Paso 2: Evaluación de aplicaciones
Los resultados de la evaluación le mostraron a Contoso que principalmente usa aplicaciones Java, PHP y
Node.js. La empresa identificó las aplicaciones siguientes:
100 aplicaciones de Java
Aproximadamente 50 aplicaciones de Node.js
Aproximadamente 25 aplicaciones de PHP
Paso 3: Evaluación de la base de datos
A medida que se hizo el inventario de las bases de datos, se revisó cada tipo de base de datos para determinar el
método de migración a Azure. Se siguieron las siguientes directrices en las migraciones de base de datos.
IMPORTANT
Asegúrese de que el recurso de Azure tenga un bloqueo de recursos para impedir su eliminación. No se pueden restaurar
los servidores eliminados.
Conclusión
En este artículo, Contoso evaluó, planificó y migró sus bases de datos de código abierto a las soluciones de PaaS
e IaaS de Azure.
Migración de bases de datos de MySQL a Azure
12/03/2021 • 17 minutes to read • Edit Online
En este artículo se muestra cómo la empresa ficticia Contoso evaluó, planificó y migró sus bases de datos de
código abierto locales de MySQL a Azure.
Objetivos de la migración
El equipo de la nube de Contoso ha establecido los objetivos de esta migración. Estos objetivos se usaron para
determinar el mejor método de migración.
Continuidad del negocio El almacén de datos de RR. HH. es una parte importante de
las operaciones diarias de Contoso. Si resulta dañado o es
necesario restaurarlo, la empresa desea minimizar el tiempo
de inactividad en la medida de lo posible.
Diseño de la solución
Después de precisar los objetivos y requisitos, Contoso diseña y revisa una solución de implementación e
identifica el proceso de migración. También se identifican las herramientas y los servicios que se usarán para la
migración.
Aplicación actual
La base de datos de MySQL hospeda datos de empleados que se utilizan en todos los niveles del Departamento
de RR. HH. de la empresa. Se emplea una aplicación basada en LAMP como front-end para administrar las
solicitudes de RR. HH. a los empleados. Contoso tiene 100 000 empleados en todo el mundo, por lo que el
tiempo de actividad es importante.
Solución propuesta
Use Azure Database Migration Service o migre la base de datos a una instancia de Azure Database for MySQL.
Modificar todas las aplicaciones y procesos para que utilicen la nueva instancia de Azure Database for MySQL.
Consideraciones sobre la base de datos
Como parte del proceso de diseño de la solución, Contoso revisó las características de Azure para hospedar los
datos de MySQL. Las siguientes consideraciones sirvieron a la empresa para decidir utilizar Azure:
Al igual que Azure SQL Database, Azure Database for MySQL permite usar reglas de Firewall.
Azure Database for MySQL puede usarse junto con Azure Virtual Network para evitar que la instancia sea
accesible públicamente.
Azure Database for MySQL cuenta con las certificaciones de privacidad y cumplimiento que Contoso necesita
presentar a sus auditores.
El rendimiento del procesamiento de informes y aplicaciones mejorará mediante el uso de réplicas de
lectura.
Posibilidad de exponer el servicio solo al tráfico de red interno (acceso no público) mediante Azure Private
Link.
Contoso decidió no migrar a Azure Database for MySQL porque están planteándose utilizar en el futuro
MariaDB ColumnStore y el modelo de base de datos de grafos.
Aparte de por las características de MySQL, Contoso es partidario de los proyectos de código abierto
verdaderos y decidió no usar MySQL.
El ancho de banda y la latencia de la aplicación con respecto a la base de datos serán suficientes de acuerdo
con la puerta de enlace elegida (Azure ExpressRoute o VPN de sitio a sitio).
Revisión de la solución
Contoso evalúa el diseño propuesto y crea una lista de ventajas y desventajas.
C O N SIDERA C IÓ N DETA L L ES
Arquitectura propuesta
NOTE
MySQL 8.0 se admite en Azure Database for MySQL. La herramienta Database Migration Service todavía no admite esa
versión.
Revisión de la implementación
Con los recursos migrados de Azure, Contoso debe proteger la infraestructura nueva y ponerla totalmente en
marcha.
Seguridad
Contoso debe:
Asegurarse de que la nueva instancia de Azure Database for MySQL y las bases de datos estén protegidas.
Para más información, consulte Seguridad en Azure Database for MySQL.
Revisar las configuraciones de firewall y de red virtual.
Configure Private Link para que todo el tráfico de las bases de datos se mantenga dentro de Azure y la red
local.
Habilite Microsoft Defender for Identity.
Copias de seguridad
Asegúrese de que se realiza una copia de seguridad de las instancias de Azure Database for MySQL mediante la
restauración geográfica, de modo que se puedan usar copias de seguridad de una región emparejada si se
produce una interrupción regional.
IMPORTANT
Asegúrese de que el recurso de Azure Database for MySQL disponga de un bloqueo de recursos para impedir su
eliminación. No se pueden restaurar los servidores eliminados.
Conclusión
En este artículo, Contoso migró sus bases de datos de MySQL a una instancia de Azure Database for MySQL.
Migración de bases de datos de PostgreSQL a
Azure
12/03/2021 • 20 minutes to read • Edit Online
En este artículo se muestra cómo la empresa ficticia Contoso evaluó, planeó y migró a Azure su plataforma de
bases de datos de código abierto locales de PostgreSQL.
Objetivos de la migración
El equipo de la nube de Contoso ha definido los objetivos de esta migración con el fin de identificar la mejor
forma de llevarla a cabo.
Diseño de la solución
Después de precisar los objetivos y requisitos, Contoso diseña y revisa una solución de implementación e
identifica el proceso de migración. También se identifican las herramientas y los servicios que se usarán para la
migración.
Entorno actual
PostgreSQL 9.6.7 se ejecuta en una máquina física de Linux ( sql-pg-01.contoso.com ) en el centro de recursos de
Contoso. Contoso ya tiene una suscripción a Azure con una puerta de enlace de VPN de sitio a sitio conectada a
una red de centro de datos local.
Solución propuesta
Use Azure Database Migration Service o migre la base de datos a una instancia de Azure Database for
PostgreSQL.
Modificar todas las aplicaciones y procesos para que utilicen la nueva instancia de Azure Database for
PostgreSQL.
Cree una nueva canalización de procesamiento de datos mediante Azure Data Factory que se conecte a la
instancia de Azure Database for PostgreSQL.
Consideraciones sobre la base de datos
Como parte del proceso de diseño de la solución, Contoso revisó las características de Azure para hospedar los
datos de PostgreSQL. Las siguientes consideraciones sirvieron a la empresa para decidir utilizar Azure:
Al igual que Azure SQL Database, Azure Database for PostgreSQL permite usar reglas de firewall.
Azure Database for PostgreSQL puede usarse junto con las redes virtuales para evitar que la instancia sea
accesible públicamente.
Azure Database for PostgreSQL cuenta con las certificaciones de cumplimiento que Contoso necesita
presentar.
La integración con DevOps y Azure Data Factory permitirá crear canalizaciones de procesamiento de datos
automatizadas.
El rendimiento del procesamiento puede mejorar mediante el uso de réplicas de lectura.
Compatibilidad con "bring your own key " (BYOK) para el cifrado de datos.
Posibilidad de exponer el servicio solo al tráfico de red interno (acceso no público) mediante Azure Private
Link.
El ancho de banda y la latencia de la aplicación con respecto a la base de datos serán suficientes de acuerdo
con la puerta de enlace elegida (Azure ExpressRoute o VPN de sitio a sitio).
Revisión de la solución
Contoso evalúa el diseño propuesto y crea una lista de ventajas y desventajas.
C O N SIDERA C IÓ N DETA L L ES
Arquitectura propuesta
NOTE
No se admite la actualización automática de la versión principal. Por ejemplo, no hay una actualización automática de
PostgreSQL 95 a PostgreSQL 9.6. Para actualizar a la siguiente versión principal, realice un volcado de base de datos y
restáurelo en un servidor creado con la nueva versión del motor.
Red
Contoso tendrá que configurar una conexión de puerta de enlace de red virtual desde el entorno local a la red
virtual en la que está ubicada la base de datos de Azure Database for PostgreSQL. Esta conexión permite que la
aplicación local tenga acceso a la base de datos sin migrarse a la nube.
Evaluación
Contoso tendrá que evaluar la base de datos actual para detectar los problemas de replicación. Entre los
problemas se incluyen:
La versión de la base de datos de origen es compatible con la migración a la versión de base de datos de
destino.
Las claves principales deben existir en todas las tablas que se van a replicar.
Los nombres de base de datos no pueden incluir ningún punto y coma ( ; ).
La migración de varias tablas con el mismo nombre, pero con distintas mayúsculas y minúsculas, puede
provocar un comportamiento impredecible.
a. wal_level = logical
b. = [como mínimo, el número máximo de bases de datos para la migración]
max_replication_slots
Por ejemplo, si Contoso quiere migrar cuatro bases de datos, establezca el valor en 4.
c. max_wal_senders = [número de bases de datos que se ejecutarán simultáneamente]
El valor recomendado es 10.
6. El User de la migración debe tener el rol REPLICATION en la base de datos de origen.
7. Agregue la dirección IP de la instancia de Database Migration Service al archivo PostgreSQLpg_hba.conf .
8. Para exportar los esquemas de la base de datos, ejecute los comandos siguientes:
9. Copie el archivo, asigne el nombre de la copia como dvdrental_schema_foreign.sql y quite todos los
elementos relacionados con la clave no externa y los desencadenadores.
10. Quite todos los elementos relacionados con la clave externa y el desencadenador del archivo
dvdrental_schema.sql .
Migración
1. En Azure Portal, Contoso va a su recurso de Database Migration Service.
2. Si el servicio no se inicia, seleccione Iniciar ser vicio .
3. Seleccione Nuevo proyecto de migración .
Ilustración 4:
Inicio de una nueva migración.
4. Seleccione Nueva actividad > Migración de datos en línea .
5. Escriba un nombre.
6. Seleccione PostgreSQL como origen.
7. Seleccione Azure Database for PostgreSQL como destino y, a continuación, seleccione Guardar .
Ilustración 5: Un nuevo
proyecto de migración está resaltado.
8. Especifique la información de origen y seleccione Guardar .
Ilustración 6: Especificación de la información de origen.
9. Especifique la información de destino y seleccione Guardar .
Ilustración 7:
Selección de la información de destino.
10. Seleccione las bases de datos que se van a migrar. El esquema de cada base de datos se debe haber
migrado anteriormente. Después, seleccione Guardar .
NOTE
Los pasos de Database Migration Service anteriores también se pueden realizar a través de la CLI de Azure.
19. Vuelva a configurar todas las aplicaciones o procesos que usen la base de datos local para que apunten a
la nueva instancia de base de datos de Azure Database for PostgreSQL.
20. Para después de la migración, Contoso se asegurará de que también configura las réplicas de lectura
entre regiones, si es necesario, una vez finalizada la migración.
Revisión de la implementación
Con los recursos migrados de Azure, Contoso debe proteger la infraestructura nueva y ponerla totalmente en
marcha.
Seguridad
Contoso debe:
Asegurarse de que la nueva instancia de Azure Database for PostgreSQL y las bases de datos estén
protegidas. Para más información, consulte Seguridad en Azure Database for PostgreSQL con un único
servidor.
Revise las reglas de firewall y las configuraciones de red virtual para comprobar que las conexiones se
limiten únicamente a las aplicaciones que lo requieran.
Implemente el servicio BYOK para el cifrado de datos.
Actualice todas las aplicaciones para que requieran conexiones SSL a las bases de datos.
Configure Private Link para que todo el tráfico de las bases de datos se mantenga dentro de Azure y de la red
local.
Habilite Microsoft Defender for Identity.
Configure Log Analytics para supervisar y enviar alertas sobre seguridad y entradas de registro de interés.
Copias de seguridad
Asegúrese de que las copias de seguridad de las bases de datos de Azure Database for PostgreSQL se realicen
mediante la restauración geográfica. De esta manera, las copias de seguridad se pueden usar en una región
emparejada si se produce una interrupción regional.
IMPORTANT
Asegúrese de que el recurso de Azure Database for PostgreSQL tenga un bloqueo de recursos para impedir su
eliminación. No se pueden restaurar los servidores eliminados.
Conclusión
En este artículo, Contoso migró sus bases de datos de PostgreSQL a una instancia de Azure Database for
PostgreSQL.
Migración de bases de datos de MariaDB a Azure
12/03/2021 • 17 minutes to read • Edit Online
En este artículo se muestra cómo la empresa ficticia Contoso evaluó, planificó y migró su plataforma de bases
de datos de código abierto locales de MariaDB a Azure.
Contoso usa MariaDB en lugar de MySQL debido a:
Sus numerosas opciones del motor de almacenamiento.
Su rendimiento de índice y caché.
Compatibilidad de código abierto con características y extensiones.
Su motor de almacenamiento ColumnStore para cargas de trabajo analíticas.
El objetivo de migración de la empresa es seguir usando MariaDB, sin tener que administrar el entorno
necesario para darle apoyo.
Objetivos de la migración
El equipo de la nube de Contoso ha establecido los objetivos de esta migración. Estos objetivos se usaron para
determinar el mejor método de migración.
Continuidad del negocio El almacén de datos de RR. HH. es una parte importante de
las operaciones diarias de Contoso. Si resulta dañado o es
necesario restaurarlo, la empresa desea minimizar el tiempo
de inactividad.
Diseño de la solución
Después de precisar los objetivos y requisitos, Contoso diseña y revisa una solución de implementación e
identifica el proceso de migración. También se identifican las herramientas y los servicios que se usarán para la
migración.
Aplicación actual
La base de datos de MariaDB hospeda datos de empleados que se utilizan en todos los niveles del
Departamento de RR. HH. de la empresa. Se emplea una aplicación basada en LAMP como front-end para
administrar las solicitudes de RR. HH. a los empleados. Contoso tiene 100 000 empleados en todo el mundo,
por lo que el tiempo de actividad es importante para las bases de datos.
Solución propuesta
Evaluar los entornos en términos de compatibilidad con la migración.
Usar herramientas comunes de código abierto para migrar bases de datos a la instancia de Azure Database
for MariaDB.
Modificar todas las aplicaciones y procesos para que utilicen la nueva instancia de Azure Database for
MariaDB.
Consideraciones sobre la base de datos
Como parte del proceso de diseño de la solución, Contoso revisó las características de Azure para hospedar las
bases de datos de MariaDB. Las siguientes consideraciones sirvieron a la empresa para decidir utilizar Azure:
Al igual que Azure SQL Database, Azure Database for MariaDB permite usar reglas de firewall.
Azure Database for MariaDB puede usarse junto con Azure Virtual Network para evitar que la instancia esté
accesible públicamente.
Azure Database for MariaDB cuenta con las certificaciones de privacidad y cumplimiento que Contoso
necesita presentar a sus auditores.
El rendimiento del procesamiento de informes y aplicaciones mejorará mediante el uso de réplicas de
lectura.
Posibilidad de exponer el servicio solo al tráfico de red interno (acceso no público) mediante Azure Private
Link.
Contoso decidió no migrar a Azure Database for MySQL porque están planteándose utilizar en el futuro
MariaDB ColumnStore y el modelo de base de datos de grafos.
El ancho de banda y la latencia de la aplicación con respecto a la base de datos serán suficientes de acuerdo
con la puerta de enlace elegida (Azure ExpressRoute o VPN de sitio a sitio).
Revisión de la solución
Contoso evalúa el diseño propuesto y crea una lista de ventajas y desventajas.
C O N SIDERA C IÓ N DETA L L ES
Arquitectura propuesta
Restaure la base de datos. Reemplácela por el punto de conexión de la instancia de Azure Database for
MariaDB y el nombre de usuario:
Revisión de la implementación
Con los recursos migrados de Azure, Contoso debe proteger la infraestructura nueva y ponerla totalmente en
marcha.
Seguridad
Contoso debe:
Asegurarse de que la nueva instancia de Azure Database for MariaDB y las bases de datos estén protegidas.
Para más información, consulte Seguridad en Azure Database for MariaDB.
Revise las reglas de firewall y las configuraciones de red virtual para comprobar que las conexiones se
limiten únicamente a las aplicaciones que lo requieran.
Configure los requisitos de IP de salida para permitir conexiones a las direcciones IP de puerta de enlace de
MariaDB.
Actualice todas las aplicaciones para que requieran conexiones SSL a las bases de datos.
Configure Private Link para que todo el tráfico de las bases de datos se mantenga dentro de Azure y de la red
local.
Habilite Microsoft Defender for Identity.
Configure Log Analytics para supervisar y enviar alertas sobre seguridad y entradas de registro de interés.
Copias de seguridad
Asegúrese de que las copias de seguridad de las instancias de Azure Database for MariaDB se hagan mediante
restauración geográfica. De esta manera, las copias de seguridad se pueden usar en una región emparejada si se
produce una interrupción regional.
IMPORTANT
Asegúrese de que la instancia de Azure Database for MariaDB disponga de un bloqueo de recursos para impedir su
eliminación. No se pueden restaurar los servidores eliminados.
En este artículo se muestra cómo la empresa ficticia Contoso rehospeda una aplicación basada en LAMP de dos
niveles mediante máquinas virtuales de infraestructura como servicio (IaaS) de Azure.
La aplicación del departamento de servicios que se usa en este ejemplo, osTicket, se proporciona como software
de código abierto. Si quiere utilizarla para sus propias pruebas, puede descargarla desde GitHub.
Objetivos de la migración
El equipo de la nube de Contoso ha definido los objetivos de esta migración con el fin de determinar el mejor
método para llevarla a cabo:
Tras la migración, la aplicación de Azure debe tener las mismas funcionalidades de rendimiento que las que
tiene actualmente en el entorno de VMware local de la empresa. La aplicación seguirá siendo tan
imprescindible en la nube como lo es en el entorno local.
Contoso no quiere invertir en esta aplicación. Es importante para la empresa, pero en su formato actual
Contoso solo quiere trasladarla a la nube de forma segura.
Contoso no quiere cambiar el modelo de operaciones de esta aplicación. Quiere interactuar con la aplicación
en la nube de la misma manera que lo hace ahora.
Contoso no quiere cambiar la funcionalidad de la aplicación. Solo cambiará su ubicación.
Tras haber completado un par de migraciones de aplicaciones de Windows, Contoso desea aprender a usar
una infraestructura basada en Linux en Azure.
Diseño de la solución
Después de precisar los objetivos y requisitos, Contoso diseña y revisa una solución de implementación e
identifica el proceso de migración. También se identifican los servicios de Azure que usará Contoso para la
migración.
Aplicación actual
La aplicación osTicket se distribuye en niveles entre dos máquinas virtuales ( OSTICKETWEB y OSTICKETMYSQL ).
Las máquinas virtuales se encuentran en el host de VMware ESXi contosohost1.contoso.com (versión 6.5).
El entorno de VMware se administra con vCenter Server 6.5 ( vcenter.contoso.com ) y se ejecuta en una
máquina virtual.
Contoso tiene un centro de datos local ( contoso-datacenter ) con un controlador de dominio local (
contosodc1 ).
Arquitectura propuesta
Dado que la aplicación es para una carga de trabajo de producción, las máquinas virtuales de Azure residirán
en el grupo de recursos de producción ContosoRG .
Las máquinas virtuales se migrarán a la región principal (Este de EE. UU. 2) y se colocarán en la red de
producción ( VNET-PROD-EUS2 ):
La máquina virtual web residirá en la subred de front-end ( PROD-FE-EUS2 ).
La máquina virtual de base de datos residirá en la subred de la base de datos ( PROD-DB-EUS2 ).
Las VM locales del centro de datos de Contoso se retirarán después de realizar la migración.
Revisión de la solución
Contoso evalúa el diseño propuesto y crea una lista de ventajas y desventajas.
C O N SIDERA C IÓ N DETA L L ES
Proceso de migración
Contoso completará el proceso de migración como se indica a continuación:
Como primer paso, contoso prepara y configura componentes de Azure para Azure Migrate: Server
Migration y prepara la infraestructura local de VMware.
La empresa ya tiene la infraestructura de Azure implementada, por lo que solo tiene que configurar la
replicación de las máquinas virtuales con la herramienta Azure Migrate: Herramienta de migración del
servidor.
Con todo preparado, Contoso puede comenzar a replicar las máquinas virtuales.
Una vez que se haya habilitado la replicación y esta se encuentre en funcionamiento, Contoso migrará la
máquina virtual, haciendo que conmute por error en Azure.
Servicios de Azure
SERVIC IO DESC RIP C IÓ N C O ST E
Azure Migrate: Server Migration El servicio orquesta y administra la Durante la replicación en Azure, se
migración de las aplicaciones y cargas incurre en gastos de Azure Storage.
de trabajo locales, así como las Las VM de Azure se crean, y generan
instancias de máquinas virtuales de gastos, cuando se produce la
Amazon Web Services (AWS) y Google migración. Obtenga más información
Cloud Platform (GCP). sobre tarifas y precios.
Requisitos previos
Esto es lo que Contoso necesita para este escenario.
Ser vidores locales La versión de la instalación local de vCenter Server debe ser
5.5, 6.0 o 6.5.
Máquinas vir tuales locales Revise las distribuciones de Linux que se han aprobado para
ejecutarse en Azure.
2. En Replicar > Configuración de origen > ¿Las máquinas están vir tualizadas? , seleccione Sí, con
VMware vSphere .
3. En Dispositivo local , seleccione el nombre del dispositivo de Azure Migrate que configuró y, a
continuación, seleccione Aceptar .
5. En Máquinas vir tuales , busque las máquinas virtuales que necesite y seleccione todas las que desee
migrar. Después, seleccione Next: Configuración de destino .
6. En Configuración de destino , seleccione la suscripción y la región de destino a la que migrará.
Especifique el grupo de recursos en el que residirán las máquinas virtuales de Azure después de la
migración. En Red vir tual , seleccione la red virtual o la subred de Azure a la que se unirán las máquinas
virtuales de Azure después de la migración.
7. En Ventaja híbrida de Azure :
Seleccione No si no desea aplicar la Ventaja híbrida de Azure. Luego, seleccione Siguiente .
Seleccione Sí si tiene equipos con Windows Server que están incluidos en suscripciones activas de
Software Assurance o Windows Server y desea aplicar el beneficio a las máquinas que va a migrar.
Luego, seleccione Siguiente .
8. En Proceso , revise el nombre de la máquina virtual, su tamaño, el tipo de disco del sistema operativo y el
conjunto de disponibilidad. Las máquinas virtuales deben cumplir los requisitos de Azure.
Tamaño de VM: si usa las recomendaciones de la evaluación, la lista desplegable de tamaño de
máquina virtual contendrá el tamaño recomendado. De lo contrario, Azure Migrate elige un tamaño
en función de la coincidencia más cercana en la suscripción de Azure. También puede elegir un
tamaño de manera manual en Tamaño de la máquina vir tual de Azure .
Disco del sistema operativo : especifique el disco del sistema operativo (arranque) de la máquina
virtual. Este es el disco que tiene el cargador de arranque y el instalador del sistema operativo.
conjunto de disponibilidad: si la máquina virtual debe estar incluida en un conjunto de
disponibilidad de Azure después de la migración, especifique el conjunto. El conjunto debe estar en el
grupo de recursos de destino que especifique para la migración.
9. En Discos , especifique si los discos de máquina virtual se deben replicar en Azure. Seleccione el tipo de
disco (SSD/HDD Estándar o discos administrados Premium) de Azure. Luego, seleccione Siguiente .
Puede excluir discos de la replicación.
Si excluye discos, no estarán presentes en la máquina virtual de Azure después de la migración.
10. En Revisar + iniciar replicación , revise la configuración. A continuación, seleccione Replicar para
iniciar la replicación inicial de los servidores.
NOTE
Puede actualizar la configuración de replicación en cualquier momento antes de que esta comience; para ello, vaya a
Administrar > Replicación de máquinas . Una vez iniciada la replicación, su configuración no se puede cambiar.
2. Mantenga presionada o haga clic con el botón derecho en la máquina virtual que va a probar. Luego,
seleccione Migración de prueba .
3. En Migración de prueba , seleccione la red virtual de Azure en la que se ubicará la máquina virtual de
Azure después de la migración. Se recomienda usar una red virtual que no sea de producción.
4. Comienza el trabajo de Migración de prueba . Supervise el trabajo en las notificaciones del portal.
5. Una vez finalizada la migración, la máquina virtual de Azure migrada se puede ver en Máquinas
vir tuales en Azure Portal. El nombre de la máquina tiene el sufijo -Test .
6. Una vez finalizada la prueba, mantenga presionada o haga clic con el botón derecho en la máquina
virtual de Azure, en Replicación de máquinas . A continuación, seleccione Limpiar la migración de
prueba .
Migrar las VM
Ahora, los administradores de Contoso ejecutan una migración completa para completar el movimiento.
1. En el proyecto de Azure Migrate, vaya a Ser vidores > Azure Migrate: Ser ver Migration y seleccione
Replicando ser vidores .
2. En Replicación de máquinas , mantenga presionada o haga clic con el botón derecho en la máquina
virtual y seleccione Migrar .
3. En Migrar > ¿Quiere apagar las máquinas vir tuales y realizar una migración planificada sin
perder datos? , seleccione Sí > Aceptar .
De forma predeterminada, Azure Migrate apaga la máquina virtual local y ejecuta una replicación a
petición para sincronizar los cambios que se han producido en la máquina virtual desde la última
replicación. Esta acción garantiza que no se pierdan datos.
Si no desea apagar la VM, seleccione No .
4. Se inicia un trabajo de migración de la máquina virtual. Realice un seguimiento del trabajo en las
notificaciones de Azure.
5. Una vez finalizado el trabajo, la máquina virtual puede ver y administrar desde la página Máquinas
vir tuales .
Conexión de la VM a la base de datos
Como último paso del proceso de migración, los administradores de Contoso actualizan la cadena de conexión
de la aplicación para que apunte a la base de datos de la aplicación que se ejecuta en la máquina virtual
OSTICKETMYSQL .
1. Establezca una conexión SSH con la máquina virtual OSTICKETWEB mediante PuTTY u otro cliente SSH. La
máquina virtual es privada, por lo que debe conectarse mediante la dirección IP privada.
2. Asegúrese de que la máquina virtual OSTICKETWEB pueda comunicarse con la máquina virtual
OSTICKETMYSQL . Actualmente, la configuración está codificada de forma rígida con la dirección IP local
172.16.0.43 .
Antes de la actualización:
Después de la actualización:
4. Por último, actualice los registros DNS de OSTICKETWEB y OSTICKETMYSQL en uno de los controladores de
dominio de Contoso.
¿Necesita más ayuda?
Más información sobre cómo ejecutar una migración de prueba.
Más información sobre cómo migrar máquinas virtuales a Azure.
Revisión de la implementación
Con la aplicación en ejecución, Contoso debe proteger y poner plenamente en funcionamiento la nueva
infraestructura.
Seguridad
El equipo de seguridad de Contoso revisa las máquinas virtuales OSTICKETWEB y OSTICKETMYSQL para determinar
si existe algún problema de seguridad.
El equipo revisa los grupos de seguridad de red de las máquinas virtuales para controlar el acceso. Los NSG
se usan para garantizar que solo el tráfico permitido puede pasar a la aplicación.
El equipo también se plantea proteger los datos de los discos de máquina virtual mediante Azure Disk
Encryption y Azure Key Vault.
Para obtener más información, consulte Procedimientos de seguridad recomendados para cargas de trabajo de
IaaS de Azure.
Continuidad empresarial y recuperación ante desastres
Para la continuidad empresarial y la recuperación ante desastres, Contoso realiza las siguientes acciones:
Mantener seguros los datos. Contoso hace una copia de seguridad de los datos de las máquinas
virtuales mediante la copia de seguridad de máquina virtual de Azure.
Mantener las aplicaciones en funcionamiento. Contoso replica las máquinas virtuales de
aplicaciones en Azure en una región secundaria mediante Site Recovery. Para más información, consulte
Inicio rápido: Configuración de la recuperación ante desastres en una región secundaria de Azure de una
máquina virtual de Azure.
Optimización de los costos y licencias
Después de implementar los recursos, Contoso asigna etiquetas de Azure según lo definido durante la
implementación de la infraestructura de Azure.
Contoso no tiene problemas relacionados con las licencias con sus servidores de Ubuntu.
Contoso usará Azure Cost Management + Billing para que la compañía permanezca dentro de los
presupuestos establecidos por la dirección de TI.
Rehospedaje de una aplicación de Linux local en
máquinas virtuales de Azure y en Azure Database
for MySQL
12/03/2021 • 34 minutes to read • Edit Online
En este artículo se muestra cómo la empresa ficticia Contoso rehospeda una aplicación de dos niveles basada en
LAMP y la migra de un entorno local a Azure mediante Azure Virtual Machines y Azure Database for MySQL.
La aplicación del departamento de servicios que se usa en este ejemplo, osTicket, se proporciona como software
de código abierto. Si quiere utilizarla para sus propias pruebas, puede descargarla desde GitHub.
Objetivos de la migración
El equipo de la nube de Contoso ha definido los objetivos de esta migración con el fin de determinar el mejor
método para llevarla a cabo:
Tras la migración, la aplicación de Azure debe tener las mismas funcionalidades de rendimiento que las que
tiene actualmente en el entorno de VMware local de la empresa. La aplicación seguirá siendo tan
imprescindible en la nube como lo es en el entorno local.
Contoso no quiere invertir en esta aplicación. Es importante para la empresa, pero en su formato actual
Contoso solo quiere trasladarla a la nube de forma segura.
Tras haber completado un par de migraciones de aplicaciones de Windows, Contoso desea aprender a usar
una infraestructura basada en Linux en Azure.
Quiere minimizar las tareas de administración de la base de datos tras mover la aplicación a la nube.
Arquitectura propuesta
En este escenario:
Actualmente, la aplicación se divide en niveles entre dos máquinas virtuales ( OSTICKETWEB y
OSTICKETMYSQL ).
Las máquinas virtuales se encuentran en el host de VMware ESXi contosohost1.contoso.com (versión 6.5).
El entorno de VMware se administra con vCenter Server 6.5 ( vcenter.contoso.com ) y se ejecuta en una
máquina virtual.
Contoso tiene un centro de datos local ( contoso-datacenter ), con un controlador de dominio local (
contosodc1 ).
La aplicación web en OSTICKETWEB se migrará a una máquina virtual IaaS de Azure.
La base de datos de la aplicación se migrará al servicio PaaS de Azure Database for MySQL.
Dado que Contoso va a migrar una carga de trabajo de producción, los recursos residirán en el grupo de
recursos de producción ContosoRG .
El recurso OSTICKETWEB se replicará en la región principal (Este de EE. UU. 2) y se colocará en la red de
producción ( VNET-PROD-EUS2 ):
La máquina virtual web residirá en la subred de front-end ( PROD-FE-EUS2 ).
La base de datos de la aplicación se migrará a Azure Database for MySQL mediante Azure Database
Migration Service.
Las VM locales del centro de datos de Contoso se retirarán después de realizar la migración.
Proceso de migración
Contoso completará el proceso de migración como se indica a continuación:
Para migrar la VM web:
Como primer paso, Contoso configura la infraestructura local y de Azure necesaria para implementar Azure
Migrate.
La empresa ya tiene la infraestructura de Azure implementada, por lo que solo tiene que agregar y
configurar la replicación de las máquinas virtuales con la herramienta Azure Migrate: Herramienta de
migración del servidor.
Con todo preparado, Contoso puede comenzar a replicar la VM.
Una vez que se haya habilitado la replicación y esta se encuentre en funcionamiento, Contoso completará el
movimiento con Azure Migrate.
Migración de la base de datos:
1. Contoso proporciona una instancia de MySQL en Azure.
2. Contoso configura Database Migration Service (DMS), lo que garantiza el acceso al servidor de bases de
datos local.
3. Contoso migra la base de datos a Azure Database for MySQL.
Servicios de Azure
SERVIC IO DESC RIP C IÓ N C O ST E
Azure Migrate Contoso usa Azure Migrate para Azure Migrate está disponible sin
evaluar sus máquinas virtuales de costo adicional. Puede incurrir en
VMware. Azure Migrate valora la cargos según las herramientas (propias
idoneidad de las máquinas para la o de otros ISV) que decida usar para la
migración. Proporciona estimaciones valoración y migración.
de tamaño y costos para su ejecución
en Azure.
Azure Database Migration Service Database Migration Service permite Información acerca de las regiones
migraciones completas de varios admitidas y los precios de Database
orígenes de base de datos a Migration Service.
plataformas de datos de Azure, con un
tiempo de inactividad mínimo.
Azure Database for MySQL La base de datos se basa en el motor Obtenga más información sobre las
de base de datos MySQL de código opciones de precios y escalabilidad de
abierto. Proporciona una base de Azure Database for MySQL.
datos MySQL de la comunidad
completamente administrada y lista
para la empresa para el desarrollo y la
implementación de aplicaciones.
Prerrequisitos
Esto es lo que Contoso necesita para este escenario.
Ser vidores locales La versión de la instalación local de vCenter Server debe ser
la 5.5, 6.0, 6.5 o 6.7.
Máquinas vir tuales locales Revise las máquinas Linux que se han aprobado para
ejecutarse en Azure.
5. En Máquinas vir tuales , busque las máquinas virtuales que necesite y seleccione todas las que desee
migrar. Después, seleccione Next: Configuración de destino .
6. En Configuración de destino , seleccione la suscripción y la región de destino a la que migrará.
Especifique el grupo de recursos en el que residirán las máquinas virtuales de Azure después de la
migración. En Red vir tual , seleccione la red virtual o la subred de Azure a la que se unirán las máquinas
virtuales de Azure después de la migración.
7. En Ventaja híbrida de Azure :
Seleccione No si no desea aplicar la Ventaja híbrida de Azure. Luego, seleccione Siguiente .
8. En Proceso , revise el nombre de la máquina virtual, su tamaño, el tipo de disco del sistema operativo y el
conjunto de disponibilidad. Las máquinas virtuales deben cumplir los requisitos de Azure.
Tamaño de VM: si usa las recomendaciones de la evaluación, la lista desplegable de tamaño de
máquina virtual contiene el tamaño recomendado. De lo contrario, Azure Migrate elige un tamaño en
función de la coincidencia más cercana en la suscripción de Azure. También puede elegir un tamaño
de manera manual en Tamaño de la máquina vir tual de Azure .
Disco del sistema operativo : especifique el disco del sistema operativo (arranque) de la máquina
virtual. Este es el disco que tiene el cargador de arranque y el instalador del sistema operativo.
conjunto de disponibilidad: si la máquina virtual debe estar incluida en un conjunto de
disponibilidad de Azure después de la migración, especifique el conjunto. El conjunto debe estar en el
grupo de recursos de destino que especifique para la migración.
9. En Discos , especifique si los discos de máquina virtual se deben replicar en Azure. Después, seleccionan
el tipo de disco (SSD/HDD Estándar o discos administrados Premium) de Azure y seleccionan Siguiente .
Puede excluir discos de la replicación.
Si excluye discos, no estarán presentes en la máquina virtual de Azure después de la migración.
10. En Revisar + iniciar replicación , revise la configuración. A continuación, seleccione Replicar para
iniciar la replicación inicial de los servidores.
NOTE
Puede actualizar la configuración de replicación en cualquier momento antes de que esta comience; para ello, vaya a
Administrar > Replicación de máquinas . Una vez iniciada la replicación, su configuración no se puede cambiar.
2. Mantenga presionada o haga clic con el botón derecho en la máquina virtual que va a probar y, a
continuación, seleccione Migración de prueba .
3. En Migración de prueba , seleccione la red virtual de Azure en la que se ubicará la máquina virtual de
Azure después de la migración. Se recomienda usar una red virtual que no sea de producción.
4. Comienza el trabajo de Migración de prueba . Supervise el trabajo en las notificaciones del portal.
5. Una vez finalizada la migración, la máquina virtual de Azure migrada se puede ver en Máquinas
vir tuales en Azure Portal. El nombre de la máquina tiene el sufijo -Test .
6. Una vez finalizada la prueba, mantenga presionada o haga clic con el botón derecho en la máquina
virtual de Azure, en Replicación de máquinas . A continuación, seleccione Limpiar la migración de
prueba .
Migración de la VM
Ahora, los administradores de Contoso ejecutan una migración completa para completar el movimiento.
1. En el proyecto de Azure Migrate, vaya a Ser vidores > Azure Migrate: Ser ver Migration y seleccione
Replicando ser vidores .
2. En Replicación de máquinas , mantenga presionada o haga clic con el botón derecho en la máquina
virtual y seleccione Migrar .
3. En Migrar > ¿Quiere apagar las máquinas vir tuales y realizar una migración planificada sin
perder datos? , seleccione Sí > Aceptar .
De forma predeterminada, Azure Migrate apaga la máquina virtual local y ejecuta una replicación a
petición para sincronizar los cambios que se han producido en la máquina virtual desde la última
replicación. Esta acción garantiza que no se pierdan datos.
Si no desea apagar la VM, seleccione No .
4. Se inicia un trabajo de migración de la máquina virtual. Realice un seguimiento del trabajo en las
notificaciones de Azure.
5. Una vez finalizado el trabajo, la máquina virtual puede ver y administrar desde la página Máquinas
vir tuales .
5. En la red VNET-PROD-EUS2 , vaya a Puntos de conexión de ser vicio , agregue un punto de conexión de
servicio (una subred de la base de datos) para el servicio SQL.
6. Tras agregar la subred, crea una regla de red virtual que permite obtener acceso desde la subred de la
base de datos de la red de producción.
Paso 6: Migración de la base de datos
Hay varias maneras de mover la base de datos MySQL. Cada opción requiere que los administradores de
Contoso creen una instancia de Azure Database for MySQL para el destino. Una vez creada, pueden realizar la
migración mediante el uso de dos rutas de acceso que se describen en los pasos siguientes:
6a: Database Migration Service
6b: Copia de seguridad y restauración de MySQL Workbench
Paso 6a: Migración de la base de datos mediante Database Migration Service
Los administradores de Contoso siguen el tutorial de migración paso a paso para migrar la base de datos con
Database Migration Service. Pueden realizar migraciones en línea, sin conexión e híbridas (versión preliminar)
mediante MySQL 5.6 o 5.7.
NOTE
MySQL 8.0 se admite en Azure Database for MySQL, pero la herramienta Azure Database Migration Service todavía no es
compatible con esa versión.
6. Ahora, importan (restauran) la base de datos en la instancia de Azure Database for MySQL desde el
archivo independiente. Se crea un nuevo esquema ( osticket ) para la instancia.
Conexión de la VM a la base de datos
Como último paso del proceso de migración, los administradores de Contoso actualizan la cadena de conexión
de la aplicación para que apunte a la base de datos de la aplicación que se ejecuta en la máquina virtual
OSTICKETMYSQL .
1. Establezca una conexión SSH con la máquina virtual OSTICKETWEB mediante PuTTY u otro cliente SSH. La
máquina virtual es privada, por lo que debe conectarse mediante la dirección IP privada.
2. Asegúrese de que la máquina virtual OSTICKETWEB pueda comunicarse con la máquina virtual
OSTICKETMYSQL . Actualmente, la configuración está codificada de forma rígida con la dirección IP local
172.16.0.43 .
Antes de la actualización:
Después de la actualización:
4. Por último, actualice los registros DNS de OSTICKETWEB y OSTICKETMYSQL en uno de los controladores de
dominio de Contoso.
¿Necesita más ayuda?
Más información sobre cómo ejecutar una migración de prueba.
Más información sobre cómo migrar máquinas virtuales a Azure.
Revisión de la implementación
Con la aplicación en ejecución, Contoso debe proteger y poner plenamente en funcionamiento la nueva
infraestructura.
Seguridad
El equipo de seguridad de Contoso revisa la máquina virtual y la base de datos para determinar cualquier
problema de seguridad:
Revisan los grupos de seguridad de red de la máquina virtual con el fin de controlar el acceso. Los NSG se
usan para garantizar que solo el tráfico permitido puede pasar a la aplicación.
Consideran la posibilidad de proteger los datos en los discos de la máquina virtual mediante Azure Disk
Encryption y Azure Key Vault.
La comunicación entre la instancia de la base de datos y la VM no está configurada para SSL. Deberán
configurar SSL para garantizar que el tráfico de la base de datos no pueda piratearse.
Para obtener más información, consulte Procedimientos de seguridad recomendados para cargas de trabajo de
IaaS de Azure.
Continuidad empresarial y recuperación ante desastres
Para la continuidad empresarial y la recuperación ante desastres, Contoso realiza las siguientes acciones:
Mantener seguros los datos. Contoso hace copias de seguridad de los datos de la máquina virtual de la
aplicación mediante una copia de seguridad de máquina virtual de Azure. La empresa no tiene que
configurar la copia de seguridad de la base de datos. Azure Database for MySQL crea automáticamente
copias de seguridad del servidor y las almacena. Contoso optó por utilizar la redundancia geográfica para la
base de datos para que sea resistente y esté lista para la producción.
Mantener las aplicaciones en funcionamiento. Contoso replica las máquinas virtuales de aplicaciones
en Azure en una región secundaria mediante Site Recovery. Para más información, consulte Inicio rápido:
Configuración de la recuperación ante desastres en una región secundaria de Azure de una máquina virtual
de Azure.
Optimización de los costos y licencias
Después de implementar los recursos, Contoso asigna etiquetas de Azure según lo definido durante la
implementación de la infraestructura de Azure.
No hay ningún problema relacionado con las licencias para los servidores de Ubuntu de Contoso.
Contoso usará Azure Cost Management + Billing para que la compañía permanezca dentro de los
presupuestos establecidos por la dirección de TI.
Introducción a la migración manual de Moodle
06/03/2021 • 2 minutes to read • Edit Online
Moodle es un sistema gratuito de código abierto de administración del aprendizaje escrito en PHP. En esta guía
se explica cómo migrar una implementación de Moodle desde un entorno local a Azure. En esta guía se
proporcionan los pasos de dos enfoques diferentes que utilizan Azure Portal o la interfaz de la línea de
comandos de Azure (CLI de Azure).
Prerrequisitos
Antes de empezar la migración, necesita los siguientes requisitos previos:
Software local actualizado y revisado con las siguientes versiones:
Ubuntu 18.04 LTS
NGINX 1.14
Servidor de bases de datos MySQL 5.6, 5.7 u 8.0. En esta guía se utiliza Azure Database for MySQL.
PHP 7.2, 7.3 o 7.4
Moodle 3.8 o 3
El sitio web de Moodle establecido en modo de mantenimiento .
Acceda a la infraestructura local para realizar copias de seguridad de la implementación y las configuraciones
de Moodle (incluidas las configuraciones de la base de datos).
CLI de Azure y AzCopy instalado de forma local.
Una suscripción de Azure y una cuenta de Azure Blob Storage creadas.
Pasos siguientes
Continúe con Preparación de una migración de Moodle.
Preparación de una migración de Moodle
06/03/2021 • 11 minutes to read • Edit Online
Antes de migrar una aplicación de Moodle desde el entorno local a Azure, debe exportar los datos. En esta guía
se explican los pasos del proceso de exportación.
2. En la CLI de Azure, escriba este comando para iniciar sesión en su cuenta de Azure:
3. Si la CLI de Azure abre una pestaña o ventana del explorador, inicie sesión en Azure con su cuenta de
Microsoft. Si no se abre una ventana del explorador, vaya a https://aka.ms/devicelogin y escriba el código
de autorización que se muestra en el terminal.
una suscripción
Omita este paso si ya tiene una suscripción de Azure.
Si no tiene una suscripción de Azure, puede crear una gratis. También puede configurar una suscripción de pago
por uso, o bien puede crear una suscripción en Azure Portal.
Para usar Azure Portal para crear una suscripción, abra Suscripciones , seleccione Agregar y escriba la
información necesaria.
Para usar la CLI de Azure para crear una suscripción, escriba este comando:
Para usar la CLI de Azure para crear la cuenta de almacenamiento, escriba este comando:
az storage account create -n <storage account name> -g <resource group name> --sku <storage account
SKU> --kind <storage account type> -l <region>
2. Escriba el siguiente comando para comprobar el estado del sitio web de Moodle:
sudo /usr/bin/php admin/cli/maintenance.php
Debe realizar las copias de seguridad de los archivos moodledata y Moodle locales, las configuraciones y las
bases de datos en un único directorio. En el diagrama siguiente se resume esta recomendación:
sudo -s
cd /home/azureadmin
mkdir storage
cp -R /var/www/html/moodle /home/azureadmin/storage/
cp -R /var/moodledata /home/azureadmin/storage/
cd /home/azureadmin/storage
mkdir configuration
2. Escriba estos comandos para copiar los archivos de configuración de PHP y NGINX:
cp -R /etc/php /home/azureadmin/storage/configuration/
cp -R /etc/nginx /home/azureadmin/storage/configuration/
El directorio php almacena los archivos de configuración de PHP, como php-fpm.conf , php.ini , pool.d
y conf.d . El directorio nginx almacena las configuraciones de nginx, como nginx.conf y
sites-enabled/dns.conf .
sudo -s
mysql -V
2. Si mysql-client está instalado, omita este paso. En caso contrario, escriba este comando para instalar
mysql-client:
3. Escriba este comando para hacer una copia de seguridad de la base de datos:
mysqldump -h <database server name> -u <database user ID> -p<database password> <database name> >
/home/azureadmin/storage/database.sql
Para <database server name> , <database user ID> , <database password> y <database name> , use los
valores que usa la base de datos local.
Creación de un archivo
Escriba este comando para crear un archivo de almacenamiento, storage.tar.gz , para el directorio de copia de
seguridad:
sudo -s
wget https://aka.ms/downloadazcopy-v10-linux
tar -xvf downloadazcopy-v10-linux
sudo rm /usr/bin/azcopy
sudo cp ./azcopy_linux_amd64_*/azcopy /usr/bin/
az storage container create --account-name <storage account name> --name <container name> --auth-mode
login
Cuando se usa el parámetro --auth-mode con un valor de login , Azure usa sus credenciales para la
autenticación y, a continuación, crea el contenedor.
Para usar Azure Portal para crear el contenedor, siga estos pasos:
1. En el portal, vaya a la página de la cuenta de almacenamiento que creó anteriormente.
2. Seleccione Contenedor y, luego, seleccione Agregar .
3. Escriba un nombre para el contenedor y, después, seleccione Crear .
Copia del archivo de almacenamiento en Azure Blob Storage
Escriba este comando para copiar el archivo de almacenamiento en el contenedor que creó en Blob Storage:
Su cuenta de Blob Storage ahora debe contener una copia del archivo.
Pasos siguientes
Continúe con Arquitectura y plantillas de migración de Moodle.
Arquitectura y plantillas de migración de Moodle
06/03/2021 • 5 minutes to read • Edit Online
Infraestructura de Azure
En el diagrama siguiente se proporciona información general sobre los recursos de la infraestructura de Azure
para Moodle:
La implementación de tamaño pequeño a mediano admite hasta 1 000 usuarios simultáneos. Esta
implementación usa NFS, sin alta disponibilidad y MySQL en ocho núcleos virtuales. Esta
implementación no incluye opciones como Elasticsearch o Azure Cache for Redis.
La implementación grande y de alta disponibilidad admite más de 2 000 usuarios simultáneos. Esta
implementación usa Azure Files, MySQL con 16 núcleos virtuales y Azure Cache for Redis, pero no otras
opciones, como Elasticsearch.
La implementación de tamaño máximo usa Azure Files, MySQL con la SKU más alta, Azure Cache for
Redis, Elasticsearch en tres máquinas virtuales y tamaños de almacenamiento grandes para discos de
datos y bases de datos.
Implementación de la plantilla
Para implementar una de las plantillas predefinidas de Resource Manager:
1. En la sección anterior, seleccione el botón Implementar en Azure para la implementación que desee.
Esta acción le lleva a Azure Portal.
2. En la página Implementación personalizada de Azure Portal, complete los campos obligatorios
Suscripción , Grupo de recursos , Región y Clave pública SSH . Para más información sobre cómo
agregar la clave SSH, consulte Generación de una clave SSH nueva y su adición al agente de SSH.
3. Seleccione Revisar + crear .
Edición de la plantilla
Las plantillas de Resource Manager predefinidas implementan las siguientes versiones de software
predeterminadas:
Ubuntu: 18.04 LTS
PHP: 7.4
Moodle: 3.8
Si las versiones de PHP y Moodle locales difieren de los valores anteriores, actualice las versiones de las
plantillas para que coincidan siguiendo estos pasos:
1. En Azure Portal, en la página Implementación personalizada de la plantilla de Resource Manager,
seleccione Editar plantilla .
2. En la sección Recursos de la plantilla, en parámetros , agregue los parámetros de las versiones de
Moodle y PHP.
3. Seleccione Guardar .
Pasos siguientes
Pase al artículo Recursos de migración de Moodle para obtener información sobre los recursos que la plantilla
de Resource Manager implementa en Azure.
Recursos de migración de Moodle
06/03/2021 • 12 minutes to read • Edit Online
Cuando se usa una plantilla de Azure Resource Manager para migrar Moodle, la implementación crea recursos
dentro de Azure. Como parte de este proceso de implementación, las implementaciones adicionales se ejecutan
automáticamente a través de plantillas secundarias. En las secciones siguientes se describen estas
implementaciones y los recursos que crean.
Plantilla de red
La implementación de la plantilla de red crea los siguientes recursos:
Azure Virtual Network: una representación de su propia red en la nube. Una red virtual es un aislamiento
lógico de la nube de Azure dedicado a su suscripción. Cuando se crea una red virtual, los servicios y las
máquinas virtuales de la red virtual pueden comunicarse de manera directa y segura en la nube. La red
virtual que crea la plantilla de red incluye el nombre de la red virtual, la versión de la API, la ubicación, el
nombre del servidor DNS y el espacio de direcciones. El espacio de direcciones contiene un intervalo de
direcciones IP que pueden usar las subredes.
Grupo de seguridad de red (NSG): un filtro de red, o firewall, que contiene una lista de reglas de
seguridad. Estas reglas permiten o deniegan el tráfico de red a los recursos conectados a una red virtual.
Interfaz de red: una interfaz que una máquina virtual de Azure puede usar para comunicarse con los
recursos de Internet, Azure y locales.
Subred: una red más pequeña dentro de una red de mayor tamaño. A estas redes más pequeñas se las
conoce como subredes. De forma predeterminada, una dirección IP de una subred se puede comunicar
con cualquier otra dirección IP dentro de la red virtual.
Dirección IP pública: una dirección IP que un recurso de Azure usa para comunicarse con Internet. La
dirección está dedicada al recurso de Azure.
Azure Load Balancer: un distribuidor de carga que distribuye eficazmente el tráfico de red o de
aplicaciones entre varios servidores de una granja de servidores. Load Balancer garantiza una alta
disponibilidad y confiabilidad mediante el envío de solicitudes solo a los servidores que están en línea.
Azure Application Gateway: una alternativa a Load Balancer. Las cuatro plantillas de Resource Manager
predefinidas implementan Load Balancer. Si usa una implementación totalmente configurable en lugar de
una plantilla de Resource Manager, puede elegir Application Gateway en lugar de Load Balancer.
Application Gateway es un equilibrador de carga de tráfico web que puede usar para administrar el
tráfico a las aplicaciones web. Application Gateway puede tomar decisiones de enrutamiento basadas en
los atributos adicionales de una solicitud HTTP, como una ruta de acceso de identificador URI o un
encabezado host.
Azure Cache for Redis: un almacén de datos en memoria basado en el software de código abierto Redis.
Redis mejora el rendimiento y la escalabilidad de una aplicación que usa en gran medida los almacenes
de datos de back-end. Puede procesar grandes volúmenes de solicitudes de aplicación al mantener los
datos a los que se accede con frecuencia en la memoria del servidor. Estos datos se pueden escribir y leer
rápidamente.
Plantilla de almacenamiento
La implementación de la plantilla de la cuenta de almacenamiento crea una cuenta de Azure Storage de tipo
FileStorage. La cuenta tiene un rendimiento premium, replicación de almacenamiento con redundancia local
(LRS) y 1 terabyte de almacenamiento. La plantilla predefinida está configurada de manera que una cuenta de
almacenamiento con Azure Files crea recursos compartidos de archivos.
Una cuenta de Azure Storage contiene objetos de datos de Azure Storage como blobs, archivos, colas, tablas y
discos. La cuenta de almacenamiento proporciona un espacio de nombres único para los datos de Azure Storage
que es accesible desde cualquier lugar del mundo mediante HTTP o HTTPS. Están disponibles los siguientes
tipos de cuentas de Azure Storage: Uso general v1, Uso general v2, BlockBlobStorage, FileStorage y Blob Storage.
El tipo de replicación puede ser con redundancia geográfica o LRS, y el almacenamiento con redundancia de
zona. Los tipos de rendimiento son Estándar y Premium, y una cuenta de almacenamiento individual puede
almacenar hasta 500 TB de datos como cualquier otro servicio de Azure.
Las plantillas de Resource Manager admiten los siguientes tipos de cuentas de almacenamiento:
Network File System (NFS): un tipo de cuenta que puede usar un host remoto para montar sistemas de
archivos en una red. El host remoto puede interactuar con esos sistemas de archivos como si estuvieran
montados localmente. Con este diseño, los administradores del sistema pueden consolidar los recursos
en servidores centralizados en la red.
GlusterFS: un sistema de archivos distribuido de código abierto que se puede escalar horizontalmente en
bloques de creación para almacenar varios petabytes de datos.
Azure Files: el único almacenamiento de archivos en la nube pública que ofrece recursos compartidos de
archivos en la nube seguros, basados en SMB y totalmente administrados que también se pueden
almacenar en caché de forma local para el rendimiento y la compatibilidad. Para NFS y GlusterFS, la
replicación es LRS estándar y el tipo de almacenamiento es Uso general v1. Para Azure Files, la
replicación es LRS, y el tipo es FileStorage.
Estos mecanismos de almacenamiento son diferentes en función de la implementación que elija. NFS y
GlusterFS crean un contenedor y Azure Files crea un recurso compartido de archivos. En el caso del tamaño de
Moodle mínimo y del tamaño pequeño y medianos, la plantilla admite NFS. Con los tamaños grande y máximo,
la plantilla admite Azure Files. Para acceder a los contenedores y a los recursos compartidos de archivos, vaya a
Azure Portal y seleccione la cuenta de almacenamiento en el grupo de recursos.
Pasos siguientes
Continúe en Pasos de la migración manual de Moodle para los siguientes pasos del proceso de migración de
Moodle.
Pasos de la migración manual de Moodle
06/03/2021 • 15 minutes to read • Edit Online
En este artículo se describen los pasos necesarios para migrar el archivo de Moodle local a Azure. El contenido
de este archivo de Moodle incluye la aplicación Moodle, la configuración correspondiente y una copia de la base
de datos de la implementación de Moodle local. Una vez que haya importado correctamente la copia de
seguridad local en la infraestructura de Azure, deberá realizar las actualizaciones de configuración de Moodle.
Antes de comenzar este proceso, asegúrese de completar todos los pasos de estos artículos:
Preparación de una migración de Moodle
Arquitectura y plantillas de migración de Moodle
Una vez finalizada la implementación de la plantilla de Azure Resource Manager (ARM), inicie sesión en Azure
Portal y vaya al grupo de recursos que creó como parte del proceso de implementación. Revise la lista de
recursos de infraestructura recién creados. Los recursos creados tienen un aspecto similar al de la siguiente
imagen, en función de la plantilla de ARM utilizada para la implementación.
4. Seleccione Auth (Autenticación) y busque el archivo de clave SSH que usó para implementar la
infraestructura de Azure con la plantilla de Resource Manager.
5. seleccione Open (Abrir). Como nombre de usuario, escriba azureadmin , ya que está codificado de forma
rígida en la plantilla.
Para más información acerca de PuTTY, consulte Preguntas generales más frecuentes y preguntas sobre solución
de problemas.
Descarga e instalación de AzCopy en la máquina virtual controladora
Después de iniciar sesión en la máquina virtual controladora, ejecute los siguientes comandos para instalar
AzCopy:
sudo -s
wget https://aka.ms/downloadazcopy-v10-linux
tar -xvf downloadazcopy-v10-linux
sudo rm /usr/bin/azcopy
sudo cp ./azcopy_linux_amd64_*/azcopy /usr/bin/
cd /home/azureadmin/
mkdir -p backup
mkdir -p backup/moodle
mkdir -p backup/moodle/html
mv /moodle/html/moodle /home/azureadmin/backup/moodle/html/moodle
mv /moodle/moodledata /home/azureadmin/backup/moodle/moodledata
sudo -s
cd /home/azureadmin/
azcopy copy "https://<storageaccount>.blob.core.windows.net/<container>/<BlobDirectoryName>
<SAStoken>" "/home/azureadmin/storage.tar.gz"
Sustituya los datos por los de su cuenta de almacenamiento y los valores de token de SAS. Por ejemplo:
azcopy copy "https://onpremisesstorage.blob.core.windows.net/migration/storage.tar.gz?sv=2019-12-
12&ss=" "/home/azureadmin/storage.tar.gz"
cd /home/azureadmin
tar -zxvf storage.tar.gz
O bien, en Azure Portal, seleccione el servidor de Azure Database for MySQL de entre los recursos de
infraestructura de Moodle implementados. En la barra de navegación izquierda de la página del servidor,
seleccione Seguridad de la conexión .
Puede agregar direcciones IP permitidas y configurar las reglas de firewall aquí. Seleccione Guardar después de
crear las reglas.
Ahora puede conectarse al servidor MySQL con la herramienta de la línea de comandos mysql o con MySQL
Workbench.
Para obtener la información de la conexión, vaya a la página Información general de MySQL Server en Azure
Portal. Use los iconos de copia situados junto a cada campo para copiar el nombre del ser vidor y el nombre
de inicio de sesión del administrador del ser vidor .
Por ejemplo, el nombre del servidor podría ser mydemoserver.mysql.database.azure.com y el de inicio de sesión
del administrador del servidor podría ser myadmin@mydemoserver .
También necesitará la contraseña. Si tiene que restablecer la contraseña, seleccione Restablecer la contraseña
en la barra de menús.
Use estos detalles del servidor de bases de datos en las siguientes secciones.
Importación de la base de datos de Moodle a Azure Database for MySQL
1. Cree una base de datos de MySQL para importar la base de datos local a:
2. Actualice los detalles de la base de datos en el archivo con los valores que copió de Azure Portal:
3. Después de realizar los cambios, pulse CTRL + O para guardar el archivo y CTRL + X para salir del editor.
Puede almacenar el directorio dataroot local en cualquier ubicación.
Configuración de los permisos de directorio
Asigne a owner:group los permisos 755 y www-data en el directorio moodle .
nano /etc/nginx/sites-enabled/*.conf
Si la aplicación de Moodle local tiene extensiones PHP que no se encuentran en la máquina virtual controladora,
puede instalarlas manualmente.
Para obtener la lista de extensiones PHP en la aplicación local, ejecute:
php -m
Asegurarse de que las instancias del servidor web de la máquina virtual controladora estén detenidas
1. Reinicie los servidores web.
Cuando una solicitud llega a Azure Load Balancer, ahora se redirige a las instancias del conjunto de escalado de
máquinas virtuales, pero no a la máquina virtual controladora.
Copia de los archivos de configuración
Copie los archivos de configuración de PHP y del servidor web en una ubicación compartida para copiarlos
posteriormente en instancias del conjunto de escalado de máquinas virtuales.
Para crear un directorio para los archivos de configuración en una ubicación compartida, ejecute:
mkdir -p /moodle/config
mkdir -p /moodle/config/php
mkdir -p /moodle/config/nginx
Para copiar los archivos de configuración del servidor web y de PHP en un directorio compartido, ejecute:
cp /etc/nginx/sites-enabled/* /moodle/config/nginx
cp /etc/php/$_PHPVER/fpm/pool.d/www.conf /moodle/config/php
Pasos siguientes
Continúe con Configuración de la instancia de la controladora y los nodos de trabajo de Moodle para ver los
pasos siguientes del proceso de migración de Moodle.
Configuración de nodos de trabajo de Moodle
06/03/2021 • 4 minutes to read • Edit Online
Siga estos pasos para configurar un conjunto de escalado de máquinas virtuales, o nodos de trabajo, para
Moodle.
sudo -s
sudo ssh azureadmin@<private IP address>
sudo -s
sudo ssh [email protected]
cd /home/azureadmin/
mkdir -p backup
mkdir -p backup/moodle
Configuración de PHP y el servidor web
Para configurar PHP y el servidor web, siga estos pasos:
1. Establezca la versión de PHP en una variable:
php -m
2. Use una plantilla de Azure Resource Manager para instalar las siguientes extensiones de PHP:
fpm
cli
curl
zip
pear
mbstring
dev
mcrypt
soap
json
redis
bcmath
gd
mysql
xmlrpc
intl
xml
bz2
3. Si la aplicación de Moodle local tiene extensiones de PHP que no se encuentran en la máquina virtual
controladora, puede instalarlas manualmente con este comando:
sudo apt-get install -y php-<extension name>
Pasos siguientes
Continúe en Cómo continuar después de una migración de Moodle.
Cómo continuar después de una migración de
Moodle
06/03/2021 • 17 minutes to read • Edit Online
Siga estos pasos para actualizar las ubicaciones de los archivos de registro:
1. Use este comando para abrir el archivo de configuración:
nano /etc/nginx/nginx.conf
Como alternativa a copiar los archivos, use estos comandos para generar un certificado autofirmado:
nano /etc/nginx/sites-enabled/*.conf
/moodle/certs/moodle/certs/nginx.crt;
/moodle/certs/nginx.key;
d. Pulse CTRL + O para guardar los cambios y CTRL + X para cerrar el archivo.
Actualización de la copia HTML local
La copia local del contenido del sitio HTML de Moodle, /moodle/html/moodle , se crea en el conjunto de escalado
de máquinas virtuales en esta carpeta: /var/www/html/moodle . La copia local solo se actualiza cuando cambia la
marca de tiempo. Escriba este comando en la máquina virtual controladora para actualizar la marca de tiempo:
sudo -s
/usr/local/bin/update_last_modified_time.moodle_on_azure.sh
El archivo de la marca de tiempo de la última modificación,
/moodle/html/moodle/last_modified_time.moodle_on_azure , contiene un script. Cada vez que se ejecuta el script, el
contenido del directorio /moodle/html/moodle se actualiza en la copia local /var/www/html .
Reinicio de los servidores
Escriba estos comandos para reiniciar los servidores nginx y php-fpm :
2. Escriba este comando para comprobar el estado del sitio web de Moodle:
Si la base de datos se está ejecutando, debería obtener una respuesta que incluye el número de versión
del servidor MySQL.
La dirección de host se ha configurado incorrectamente. Si intenta ejecutar dos instancias de Moodle en
puertos diferentes, utilice la dirección IP del host, no localhost , en la opción $CFG->dbhost . Por ejemplo,
use:
$CFG->dbhost = 127.0.0.1:3308
No ha creado una base de datos de Moodle. O bien, no ha asignado los permisos adecuados para acceder
a la base de datos. Compruebe la base de datos y los permisos que ha concedido.
La configuración de la base de datos de Moodle no es correcta. Por ejemplo, el nombre de la base de
datos, el nombre de usuario o la contraseña del archivo de configuración de Moodle, config.php , no son
correctos. Asegúrese de que el nombre de usuario y la contraseña de MySQL no contienen apóstrofos ni
caracteres no alfanuméricos.
Error interno del servidor
Hay varias causas posibles para este error: 500: Error interno del servidor. Para empezar, revise el registro de
errores del servidor web, que debería tener una explicación detallada. Estas son algunas posibilidades:
Hay un error de sintaxis en los archivos .htaccess o httpd.conf . La sintaxis correcta para las directivas
difiere en función del archivo que esté usando. Use el siguiente comando para comprobar los errores de
configuración en los archivos de NGINX:
`nginx -t`
El servidor web se ejecuta bajo su propio nombre de usuario y los permisos de acceso son incorrectos. En
este caso, todos los archivos necesitan un nivel de permiso máximo de 755. Compruebe que este nivel
está establecido para el directorio de Moodle en el panel de control. También puede usar este comando
para establecer el nivel si tiene acceso al shell:
Si no existe ningún archivo .htaccess , cree uno en el directorio de Moodle con esa línea.
si tiene su propio servidor con acceso al shell, edite el archivo php.ini . A continuación, reinicie el
servidor web para aplicar los cambios realizados en php.ini . Para asegurarse de que ha actualizado el
valor correctamente, escriba este comando:
`phpinfo`
La salida de phpinfo debe contener una línea parecida a esta:
memory_limit <value>M
Una alternativa a aumentar el valor memory_limit es desactivar el límite de memoria. Para ello, desactive este
comando:
memory_limit 0
A server error that affects your login session was detected. Please log in again or restart your
browser.
Puede haber un problema con el método de autenticación, especialmente si usa un método externo como LDAP
para autenticar a los usuarios. Intente iniciar sesión en otra cuenta manual, como su cuenta de administrador
principal. Si no puede iniciar sesión, compruebe la autenticación. Si puede iniciar sesión en la otra cuenta, estas
son las posibles razones y las soluciones para el problema de inicio de sesión de Moodle:
Es posible que el disco duro esté lleno. En esta situación, Moodle no puede crear nuevas sesiones y los
usuarios no pueden iniciar sesión. Compruebe que el disco duro no está lleno, que el servidor está en un
hospedaje compartido y que no ha alcanzado la cuota de espacio en disco.
El servidor web no puede escribir en el subdirectorio sessions . Compruebe cuidadosamente los
permisos en el área moodledata .
Errores graves
Los permisos de Moodle y moodledata pueden ser incorrectos si aparece este error:
fatal error: $cfg->dataroot is not writable. The admin has to fix directory permissions! Exiting.
Compruebe que estos permisos son solo www-data:www-data . Si los permisos se encuentran en un nivel
diferente, use este comando para cambiar el grupo y los permisos de propiedad:
WARNING
Si se deshabilitan los argumentos de barra diagonal, los paquetes SCORM no funcionarán y se mostrarán las
advertencias de los argumentos de barra diagonal.
Pasos siguientes
Documentación de Azure Database for MySQL
¿Qué son los conjuntos de escalado de máquinas virtuales?
Introducción a las cuentas de almacenamiento
Rehospedaje de un entorno de desarrollo/pruebas
local en Azure Virtual Machines mediante Azure
Migrate
12/03/2021 • 31 minutes to read • Edit Online
En este artículo se muestra cómo la empresa ficticia Contoso rehospeda su entorno de desarrollo/pruebas para
dos aplicaciones que se ejecutan en máquinas virtuales de VMware mediante la migración a Azure Virtual
Machines.
Las aplicaciones SmartHotel360 y osTicket que se usan en este ejemplo son de código abierto. Puede
descargarlas para realizar sus propias pruebas.
Opciones de migración
Contoso tiene varias opciones disponibles para trasladar entornos de desarrollo/pruebas a Azure:
O P C IO N ES DE M IGRA C IÓ N RESULTA DO
NOTE
Vea cómo Contoso ha trasladado su entorno de desarrollo/pruebas a Azure mediante DevTest Labs.
Objetivos de la migración
El equipo de desarrollo de Contoso ha establecido los objetivos de esta migración. Estos objetivos se utilizan
para determinar el mejor método de migración:
Contoso quiere trasladar rápidamente sus entornos de desarrollo/pruebas locales.
Después de la migración, el entorno de desarrollo y pruebas de Contoso en Azure debe tener
funcionalidades mejoradas en comparación con las del sistema actual de VMware.
El modelo de operaciones pasará de estar aprovisionado por TI a DevOps con autoservicio de
aprovisionamiento.
Diseño de la solución
Después de precisar los objetivos y requisitos, Contoso diseña y revisa una solución de implementación e
identifica el proceso de migración. El proceso incluye los servicios de Azure que Contoso usará para la
migración.
Aplicación actual
Las máquinas virtuales de desarrollo y pruebas de las dos aplicaciones se ejecutan en máquinas virtuales (
WEBVMDEV , SQLVMDEV , OSTICKETWEBDEV , OSTICKETMYSQLDEV ). Estas máquinas virtuales se usan para el
desarrollo antes de promocionar el código a las máquinas virtuales de producción.
Las máquinas virtuales se encuentran en el host de VMware ESXi contosohost1.contoso.com (versión 6.5).
El entorno de VMware lo administra vCenter Server 6.5 ( vcenter.contoso.com ) que se ejecuta en una
máquina virtual.
Contoso tiene un centro de datos local ( contoso-datacenter ) con un controlador de dominio local (
contosodc1 ).
Arquitectura propuesta
Puesto que las máquinas virtuales se usan para desarrollo/pruebas, residirán en el grupo de recursos
ContosoDevRG de Azure.
Las máquinas virtuales se migrarán a la región principal de Azure ( East US 2 ) y se colocarán en la red
virtual de desarrollo ( VNET-DEV-EUS2 ).
Las máquinas virtuales front-end web residirán en la subred front-end ( DEV-FE-EUS2 ) de la red de
desarrollo.
La máquina virtual de la base de datos residirá en la subred de la base de datos ( DEV-DB-EUS2 ) de la red
de desarrollo.
Las VM locales del centro de datos de Contoso se retirarán después de realizar la migración.
Figura 1: arquitectura propuesta.
Consideraciones sobre la base de datos
Para respaldar el desarrollo continuo, Contoso ha decidido seguir usando las máquinas virtuales existentes y
migrarlas a Azure. En el futuro, Contoso pretenderá el uso de servicios de plataforma como servicio (PaaS),
como Azure SQL Database y Azure Database for MySQL.
Las máquinas virtuales de las bases de datos se migrarán tal cual están, sin cambios.
Con el uso de la oferta de suscripción Desarrollo/pruebas de Azure, los equipos que ejecuten
Windows Server y SQL Server no incurrirán en cargos de licencias. Al evitar esas tarifas, los costos de
proceso se reducirán al mínimo.
En el futuro, Contoso buscará integrar su desarrollo con los servicios de PaaS.
Revisión de la solución
Contoso evalúa el diseño propuesto y crea una lista de ventajas y desventajas.
C O N SIDERA C IÓ N DETA L L ES
C O N SIDERA C IÓ N DETA L L ES
NOTE
Contoso podría afrontar las desventajas de su lista mediante DevTest Labs.
Proceso de migración
Contoso migrará la base de datos y el front-end de desarrollo a máquinas virtuales de Azure con el método sin
agente de Azure Migrate: Herramienta de migración del servidor.
Contoso prepara y configura componentes de Azure para Azure Migrate: Server Migration y prepara la
infraestructura local de VMware.
La infraestructura de Azure ya está implementada, por lo que Contoso solo tiene que configurar la
replicación de las máquinas virtuales con la herramienta Azure Migrate: Herramienta de migración del
servidor.
Con todo preparado, Contoso puede comenzar a replicar las máquinas virtuales.
Una vez que se haya habilitado la replicación y esta se encuentre en funcionamiento, Contoso migrará las
máquinas virtuales. Para ello, probará la migración y, si es correcta, la conmutará por error en Azure.
Una vez que las máquinas virtuales de desarrollo estén en funcionamiento en Azure, Contoso volverá a
configurar sus estaciones de trabajo de desarrollo para que apunten a las máquinas virtuales que ahora se
ejecutan en Azure.
Figura 2: información general sobre el proceso de migración.
Servicios de Azure
SERVIC IO DESC RIP C IÓ N C O ST E
Azure Migrate: Server Migration El servicio orquesta y administra la Durante la replicación en Azure, se
migración de las aplicaciones y cargas incurre en gastos de Azure Storage.
de trabajo locales, y las instancias de Las máquinas virtuales de Azure se
máquinas virtuales de AWS o GCP. crean e incurren en gastos cuando se
produce la migración y empiezan a
ejecutarse en Azure. Más información
sobre cargos y precios.
Requisitos previos
Esto es lo que tiene hacer Contoso para ejecutar este escenario:
Ser vidores locales Los servidores vCenter locales deberían ejecutar las
versiones 5.5, 6.0, 6.5 o 6.7.
Los hosts ESXi deben ejecutar la versión 5.5, 6.0, 6.5 o 6.7.
NOTE
En el caso de Contoso, los administradores seleccionarán No en Ventaja híbrida de Azure porque se trata de una
suscripción de Desarrollo/pruebas de Azure. Esto significa que solo pagarán por el proceso. Ventaja híbrida de
Azure solo se debe usar en los sistemas de producción que tienen ventajas de Software Assurance.
8. En Proceso , revise el nombre de la máquina virtual, su tamaño, el tipo de disco del sistema operativo y el
conjunto de disponibilidad. Las máquinas virtuales deben cumplir los requisitos de Azure.
Tamaño de VM: si usa las recomendaciones de la evaluación, esta lista desplegable contiene el
tamaño recomendado. De lo contrario, Azure Migrate selecciona un tamaño en función de la
coincidencia más cercana en la suscripción de Azure. En su lugar, puede elegir un tamaño manual en
Tamaño de la máquina vir tual de Azure .
Disco del sistema operativo : especifique el disco del sistema operativo (arranque) de la máquina
virtual. El disco de sistema operativo tiene el cargador de arranque y el instalador del sistema
operativo.
conjunto de disponibilidad: si la máquina virtual debe estar incluida en un conjunto de
disponibilidad de Azure después de la migración, especifique el conjunto. El conjunto debe estar en el
grupo de recursos de destino que especifique para la migración.
9. En Discos , especifique si los discos de la máquina virtual se deben replicar en Azure y seleccione el tipo
de disco (discos SSD o HDD Estándar, o bien discos administrados Premium) en Azure. Luego, seleccione
Siguiente . Puede excluir discos de la replicación. Si lo hace, esos discos no estarán presentes en la
máquina virtual de Azure después de la migración.
10. En Revisar e iniciar la replicación , revise la configuración y seleccione Replicar para iniciar la
replicación inicial de los servidores.
NOTE
Puede actualizar la configuración de replicación en cualquier momento antes de que esta comience; para ello, vaya a
Administrar > Replicación de máquinas . Una vez iniciada la replicación, su configuración no se puede cambiar.
Figura 14:
Replicación de servidores.
2. En Replicación de máquinas , mantenga presionada o haga clic con el botón derecho en la máquina
virtual y seleccione Migrar .
3. En Migrar > ¿Quiere apagar las máquinas vir tuales y realizar una migración planificada sin
perder datos? , seleccione Sí > Aceptar . De forma predeterminada, Azure Migrate apaga la máquina
virtual local y ejecuta una replicación a petición para sincronizar los cambios que se han producido en la
máquina virtual desde la última replicación. De esta forma se garantiza que no se pierden datos. Si no
desea apagar la VM, seleccione No .
4. Se inicia un trabajo de migración de la máquina virtual. Realice un seguimiento del trabajo en las
notificaciones de Azure.
5. Una vez finalizado el trabajo, la máquina virtual puede ver y administrar desde la página Máquinas
vir tuales .
¿Necesita más ayuda?
Aprenda a ejecutar una migración de prueba y como migrar máquinas virtuales a Azure.
Revisión de la implementación
Con la aplicación en ejecución, Contoso ahora debe hacer que sea totalmente operativa y protegerla en Azure.
Seguridad
El equipo de seguridad de Contoso revisa las máquinas virtuales de Azure para determinar si existe algún
problema de seguridad. Para controlar el acceso, el equipo revisa los grupos de seguridad de red de las
máquinas virtuales. Los grupos de seguridad de red se usan para garantizar que solo el tráfico permitido pueda
comunicarse con la aplicación. El equipo también tiene en cuenta la protección de los datos en el disco con
Azure Disk Encryption y Azure Key Vault.
Para obtener más información, consulte Procedimientos de seguridad recomendados para cargas de trabajo de
IaaS de Azure.
Conclusión
En este artículo, Contoso ha rehospedado las máquinas virtuales de desarrollo usadas para sus aplicaciones
SmartHotel360 y osTicket en Azure. Los administradores migraron las máquinas virtuales de la aplicación a las
máquinas virtuales de Azure mediante Azure Migrate: Herramienta de migración del servidor.
Migración de un entorno de desarrollo/pruebas a
Azure DevTest Labs
12/03/2021 • 25 minutes to read • Edit Online
En este artículo se muestra cómo la empresa ficticia Contoso migra su entorno de desarrollo/pruebas a Azure
DevTest Labs.
Opciones de migración
Contoso tiene varias opciones disponibles a la hora de trasladar su entorno de desarrollo/pruebas a Azure.
O P C IO N ES DE M IGRA C IÓ N RESULTA DO
NOTE
Este artículo se centra en el uso de DevTest Labs para trasladar un entorno de desarrollo/pruebas local a Azure. Consulte
cómo Contoso trasladó un entorno de desarrollo/pruebas a Azure IaaS a través de Azure Migrate.
NOTE
Los clientes de Azure con un Contrato Enterprise también pueden beneficiarse de la oferta de suscripción
Desarrollo/pruebas de Azure. Para más información, revise el vídeo para habilitar y crear suscripciones Desarrollo/pruebas
- Enterprise mediante el portal de EA.
Objetivos de la migración
El equipo de desarrollo de Contoso ha establecido los objetivos de esta migración. Estos objetivos se utilizan
para determinar el mejor método de migración:
Aprovisionamiento rápido de entornos de desarrollo y pruebas. Debería tardar unos minutos, en lugar de
meses, en crear la infraestructura que un desarrollador necesita para escribir o probar software.
Después de la migración, el entorno de desarrollo/pruebas de Contoso en Azure debe tener funcionalidades
mejoradas en comparación con las del sistema local actual.
El modelo de operaciones pasará de VM aprovisionadas por TI a DevOps con autoservicio de
aprovisionamiento.
Contoso quiere trasladar rápidamente sus entornos de desarrollo/pruebas locales.
Todos los desarrolladores se conectarán a los entornos de desarrollo/pruebas de forma remota y segura.
Diseño de la solución
Después de precisar los objetivos y requisitos, Contoso diseña y revisa una solución de implementación. La
solución incluye los servicios de Azure que usará para desarrollo y pruebas.
Arquitectura actual
Las VM de desarrollo/pruebas de las aplicaciones de Contoso se ejecutan en VMware desde el centro de
datos local.
Estas VM se usan para el desarrollo y pruebas antes de promocionar el código a las VM de producción.
Los desarrolladores dan mantenimiento a sus propias estaciones de trabajo, pero necesitan nuevas
soluciones para conectarse de forma remota desde sus oficinas domésticas.
Arquitectura propuesta
Contoso usará una suscripción Desarrollo/pruebas de Azure para reducir los costos de los recursos de Azure.
Esta suscripción ofrece un ahorro significativo, incluidas las VM que no incurren en los cargos de licencias del
software de Microsoft.
Contoso usará DevTest Labs para administrar los entornos. Se crearán nuevas VM en DevTest Labs para
permitir su traslado a nuevas herramientas para desarrollo y pruebas en la nube.
Las VM locales de desarrollo/pruebas del centro de datos de Contoso se retirarán después de realizar la
migración.
Los desarrolladores y evaluadores tendrán acceso a Windows Virtual Desktop en sus estaciones de trabajo.
Figura 1: Arquitectura del escenario.
Consideraciones sobre la base de datos
Para respaldar el desarrollo continuo, Contoso ha decidido seguir usando bases de datos que se ejecutan en VM.
Sin embargo, las VM actuales se reemplazarán por otras nuevas que se ejecuten en DevTest Labs. En el futuro,
Contoso pretenderá el uso de servicios de plataforma como servicio (PaaS), como Azure SQL Database y Azure
Database for MySQL.
Las máquinas virtuales de base de datos de VMware actuales se retirarán y reemplazarán por máquinas
virtuales de Azure en DevTest Labs. Las bases de datos existentes se migrarán con copias de seguridad y
restauraciones sencillas. El uso de la oferta de suscripción Desarrollo/pruebas de Azure no incurrirá en los
cargos de licencias para instancias de Windows Server y SQL Server, lo que minimiza los costos de proceso.
Revisión de la solución
Contoso evalúa el diseño propuesto y crea una lista de ventajas y desventajas.
C O N SIDERA C IÓ N DETA L L ES
Proceso de migración
Contoso migrará las VM de aplicación y bases de datos de desarrollo a VM de Azure nuevas mediante DevTest
Labs.
Contoso ya tiene preparada la infraestructura de Azure, incluida la red virtual de desarrollo.
Con todo preparado, Contoso aprovisionará y configurará DevTest Labs.
Configurará la red virtual de desarrollo, asignará un grupo de recursos y establecerá las directivas.
Creará instancias de Windows Virtual Desktop para que los desarrolladores usen ubicaciones remotas.
Creará VM en DevTest Labs para el desarrollo y migración de las bases de datos.
Prerrequisitos
Esto es lo que tiene hacer Contoso para ejecutar este escenario.
NOTE
El rol Colaborador es un rol de nivel de administrador con todos los derechos, excepto la capacidad de
proporcionar acceso a otros usuarios. Más información sobre el Control de acceso basado en roles de Azure.
Conclusión
En este artículo, Contoso trasladó sus entornos de desarrollo a DevTest Labs. También implementó Windows
Virtual Desktop como plataforma para desarrolladores remotos y con contrato.
¿Necesita más ayuda?
Cree una instancia de DevTest Labs en su suscripción ahora mismo y aprenda a usar DevTest Labs para
desarrolladores.
Migración de una aplicación a Azure App Service y
SQL Database
12/03/2021 • 32 minutes to read • Edit Online
En este artículo se muestra cómo la compañía ficticia Contoso refactoriza una aplicación de .NET de Windows de
dos niveles que se ejecuta en máquinas virtuales VMware como parte de una migración a Azure. El equipo de
Contoso migra la máquina virtual (VM) de front-end de la aplicación a una aplicación web de Azure App Service
y la base de datos de la aplicación a Azure SQL Database.
La aplicación SmartHotel360 que usamos en este ejemplo se proporciona como software de código abierto. Si
quiere utilizarla para sus propias pruebas, puede descargarla desde GitHub.
Objetivos de la migración
El equipo de la nube de Contoso ha definido los siguientes objetivos con el fin de determinar el mejor método
de migración:
Diseño de la solución
Después de precisar los objetivos y requisitos, Contoso diseña y revisa una solución de implementación.
También identifica el proceso de migración, incluidos los servicios de Azure que usarán para la migración.
Aplicación actual
La aplicación SmartHotel360 local se divide en niveles entre dos máquinas virtuales ( WEBVM y SQLVM ).
Las máquinas virtuales se encuentran en el host de VMware ESXi contosohost1.contoso.com (versión 6.5).
El entorno de VMware se administra con vCenter Server 6.5 ( vcenter.contoso.com ), que se ejecuta en una
máquina virtual.
Contoso tiene un centro de datos local (contoso-datacenter), con un controlador de dominio local
(contosodc1).
Las VM locales del centro de datos de Contoso se retirarán después de realizar la migración.
Solución propuesta
Para la capa de base de datos de la aplicación, Contoso comparó Azure SQL Database con SQL Server según
el artículo Comparación de características: Azure SQL Database y Azure SQL Managed Instance. Contoso se
decantó por Azure SQL Database por diversos motivos:
Azure SQL Database es un servicio administrado de bases de datos relacionales. Ofrece un
rendimiento predecible en los diferentes niveles del servicio, con administración casi inexistente. Las
ventajas incluyen escalabilidad dinámica sin tiempo de inactividad, optimización inteligente integrada
y disponibilidad y escalabilidad global.
Contoso puede usar la herramienta ligera Data Migration Assistant para evaluar la migración de la
base de datos local a Azure SQL Database.
Contoso puede usar Azure Database Migration Service para migrar la base de datos local a Azure SQL
Database.
Con Software Assurance, Contoso puede intercambiar las licencias existentes por descuentos en una
base de datos de SQL Database con la Ventaja híbrida de Azure para SQL Server. Este enfoque podría
proporcionar un ahorro de costos de hasta un 30 por ciento.
SQL Database proporciona características de seguridad, por ejemplo, Always Encrypted,
enmascaramiento dinámico de datos, seguridad a nivel de fila y detección de amenazas SQL.
Para el nivel web de la aplicación, Contoso ha decidido usar Azure App Service. Este servicio PaaS permite
implementar la aplicación con tan solo unos cambios en la configuración. Contoso usará Visual Studio para
realizar el cambio e implementará dos aplicaciones web, una para el sitio web y otra para el servicio WCF.
Para cumplir los requisitos de una canalización de DevOps, Contoso usará Azure DevOps para la
administración del código fuente con repositorios de Git. Se usarán compilaciones y versiones automatizadas
para compilar el código e implementarlo en Azure App Service.
Revisión de la solución
Contoso evalúa el diseño propuesto y crea una lista de ventajas y desventajas como se muestra en la tabla
siguiente:
C O N SIDERA C IÓ N DETA L L ES
C O N SIDERA C IÓ N DETA L L ES
Arquitectura propuesta
Proceso de migración
1. Contoso aprovisiona una instancia de Azure SQL Managed Instance a la que migra la base de datos
SmartHotel360 mediante Azure Database Migration Service.
2. Aprovisiona y configura las aplicaciones web e implementa la aplicación SmartHotel360 en ellas.
Servicios de Azure
SERVIC IO DESC RIP C IÓ N C O ST E
Azure App Service Migration Assistant Una forma sencilla y gratuita de migrar Es una herramienta que se puede
sin problemas aplicaciones web de descargar de forma gratuita.
.NET desde el entorno local a la nube
con cambios mínimos en el código o
incluso sin ningún cambio.
Data Migration Assistant Contoso va a usar Data Migration Es una herramienta que se puede
Assistant para evaluar y detectar descargar de forma gratuita.
problemas de compatibilidad que
podrían afectar a la funcionalidad de la
base de datos en Azure. Data
Migration Assistant evalúa la paridad
de características entre orígenes y
destinos de SQL y recomienda mejoras
de rendimiento y confiabilidad.
Azure Database Migration Service Azure Database Migration Service Información acerca de las regiones
permite migraciones completas de admitidas y los precios de Database
varios orígenes de base de datos a Migration Service.
plataformas de datos de Azure, con un
tiempo de inactividad mínimo.
Azure SQL Database Servicio de base de datos relacional El costo se basa en las características,
inteligente y completamente el rendimiento y el tamaño. Más
administrado en la nube. información.
Azure App Service Permite crear aplicaciones en la nube Los precios se basan en el tamaño, la
eficaces que usan una plataforma ubicación y la duración del uso. Más
totalmente administrada. información.
SERVIC IO DESC RIP C IÓ N C O ST E
Requisitos previos
Contoso debe cumplir los siguientes requisitos previos para ejecutar este escenario:
2. Especifican un nombre de base de datos para que coincida con la base de datos, SmartHotel.Registration
, que se ejecuta en la máquina virtual local. Colocan la base de datos en el grupo de recursos ContosoRG .
Este es el grupo de recursos que usa para los recursos de producción en Azure.
3. Configuran una nueva instancia de SQL Server, sql-smarthotel-eus2 , en la región primaria.
4. Establece el plan de tarifa que mejor se adapta a las necesidades de su servidor y base de datos. Así
mismo, selecciona esta opción para ahorrar dinero con la Ventaja híbrida de Azure, porque ya tiene una
licencia de SQL Server.
5. Para ajustar el tamaño, realiza compras basadas en el núcleo virtual y establece los límites para los
requisitos esperados.
6. Crean la instancia de la base de datos.
7. Abren la base de datos y anotan los detalles que necesitarán cuando usen Data Migration Assistant para
la migración.
2. Importan el repositorio de Git que actualmente contiene su código de la aplicación. Lo descargan desde
el repositorio público de GitHub.
3. Conectan Visual Studio al repositorio y clonan el código en la máquina de desarrollo mediante Team
Explorer.
4. Abren el archivo de la solución para la aplicación. La aplicación web y el servicio WCF tienen proyectos
separados dentro del archivo.
Paso 5: Configurar cadenas de conexión
Los administradores de Contoso se aseguran de que las aplicaciones web y la base de datos pueden
comunicarse. Para ello, configura las cadenas de conexión en el código y en las aplicaciones web.
1. En la aplicación web del servicio WCF, SHWCF-EUS2 , en Configuración > Configuración de la
aplicación , agregan una nueva cadena de conexión llamada DefaultConnection .
2. Extraen la cadena de conexión de la base de datos SmartHotel-Registration y, a continuación, la actualizan
con las credenciales correctas.
4. Cambian la sección client del archivo web.config para que SmartHotel.Registration.Web apunte a la
nueva ubicación del servicio WCF. Esta es la dirección URL de la aplicación web WCF que hospeda el
punto de conexión de servicio.
5. Una vez realizados los cambios en el código, los administradores los confirman y los sincronizan
mediante Team Explorer en Visual Studio.
Se abre el panel Explorador de ar tefactos y la carpeta drop muestra los resultados de la compilación.
Los dos archivos ZIP son los paquetes que contienen las aplicaciones.
Estos archivos ZIP se usan en la canalización de versión para la implementación en Azure App Service.
6. Seleccionan Versiones > + Nueva canalización .
9. En las fases, seleccionan 1 phase, 1 task (1 fase, 1 tarea) para configurar la implementación del servicio
WCF.
10. Comprueban que la suscripción está seleccionada y autorizada y, a continuación, seleccionan Nombre
de App Ser vice .
11. En la canalización > Ar tefactos , seleccionan + Agregar un ar tefacto y, después, optan por compilar
con la canalización ContosoSmarthotel360Refactor .
12. Los administradores seleccionan el icono de rayo en el artefacto para habilitar el desencadenador de la
implementación continua.
16. Seleccionan Canalización > Fases y, a continuación, seleccionan + Agregar para agregar un entorno
para SHWEB-EUS2 . Seleccionan otra implementación de Azure App Service.
17. Repiten el proceso para publicar el archivo SmartHotel.Registration.Web.zip en la aplicación web
correcta y, a continuación, seleccionan Guardar .
20. Los administradores de Contoso pueden seguir el proceso de canalización de compilación y versión en
Azure DevOps. Una vez finalizada la compilación, se inicia la creación de versión.
21. Una vez finalizada la canalización, se habrán implementado ambos sitios y la aplicación estará en
funcionamiento en línea.
La aplicación se ha migrado correctamente a Azure.
Revisión de la implementación
Con los recursos ya migrados a Azure, Contoso debe proteger la infraestructura nueva y ponerla totalmente en
marcha.
Seguridad
Contoso tiene que asegurarse de que la nueva base de datos SmartHotel-Registration es segura. Más
información.
Específicamente, Contoso actualiza las aplicaciones web para usar SSL con certificados.
Copias de seguridad
El equipo de Contoso revisa los requisitos de copia de seguridad para la instancia de Azure SQL Database.
Más información.
También aprenden a administrar las copias de seguridad y las restauraciones de SQL Database. Más
información sobre las copias de seguridad automáticas.
Consideran la implementación de grupos de conmutación por error para proporcionar conmutación por
error regional para la base de datos. Más información.
Para lograr resistencia, consideran la implementación de la aplicación web en la región principal ( East US 2 )
y la región secundaria ( Central US ). El equipo podría configurar Traffic Manager para garantizar la
conmutación por error durante las interrupciones regionales.
Optimización de los costos y licencias
Una vez implementados todos los recursos, Contoso asigna etiquetas de Azure según el planeamiento de la
infraestructura.
Todas las licencias se integran en el costo de los servicios de PaaS que consume Contoso. Este costo se
deduce del Contrato Enterprise.
Contoso usará Azure Cost Management + Billing para asegurarse de que la compañía permanece dentro de
los presupuestos establecidos por la dirección de TI.
Conclusión
En este artículo, Contoso refactorizó la aplicación SmartHotel360 en Azure mediante la migración de la VM de
front-end de la aplicación a dos aplicaciones web de Azure App Service. La base de datos de la aplicación se
migró a Azure SQL Database.
Refactorización de una aplicación local a una
aplicación web de Azure App Service y una
instancia de SQL Managed Instance
23/03/2021 • 40 minutes to read • Edit Online
En este artículo se muestra cómo la compañía ficticia Contoso refactoriza una aplicación de Windows .NET de
dos niveles que se ejecuta en máquinas virtuales de VMware como parte de una migración a Azure. El equipo
de Contoso migra la máquina virtual de front-end de la aplicación a la aplicación web de Azure App Service. En
este artículo también se muestra cómo Contoso migra la base de datos de la aplicación a Azure SQL Managed
Instance.
La aplicación SmartHotel360 que se usa en este ejemplo se proporciona como software de código abierto. Si
quiere utilizarla para sus propias pruebas, puede descargarla desde GitHub.
Objetivos de la migración
El equipo de la nube de Contoso ha definido los siguientes objetivos con el fin de determinar el mejor método
de migración:
Diseño de la solución
Después de precisar los objetivos y requisitos, Contoso diseña y revisa una solución de implementación.
También identifica el proceso de migración, incluidos los servicios de Azure que usarán para la migración.
Aplicación actual
La aplicación SmartHotel360 local se divide en niveles entre dos máquinas virtuales ( WEBVM y SQLVM ).
Las máquinas virtuales se encuentran en el host de VMware ESXi contosohost1.contoso.com (versión 6.5).
El entorno de VMware se administra con vCenter Server 6.5 ( vcenter.contoso.com ), que se ejecuta en una
máquina virtual.
Contoso tiene un centro de datos local (contoso-datacenter), con un controlador de dominio local
(contosodc1).
Las VM locales del centro de datos de Contoso se retirarán después de realizar la migración.
Solución propuesta
Para el nivel web de la aplicación, Contoso ha decidido usar Azure App Service. Este servicio PaaS permite
implementar la aplicación con tan solo unos cambios en la configuración. Contoso usará Visual Studio para
realizar el cambio e implementará dos aplicaciones web, una para el sitio web y otra para el servicio WCF.
Para cumplir los requisitos de una canalización de DevOps, Contoso usará Azure DevOps para la
administración del código fuente con repositorios de Git. Se usarán compilaciones y versiones automatizadas
para compilar el código e implementarlo en Azure App Service.
Consideraciones sobre la base de datos
Como parte del proceso de diseño de la solución, Contoso hizo una comparación de características entre Azure
SQL Database y SQL Managed Instance. Contoso ha decidido usar SQL Managed Instance basándose en las
siguientes consideraciones:
El objetivo de SQL Managed Instance es proporcionar casi un 100 % de compatibilidad con la versión de la
instalación local de SQL Server más reciente. Microsoft recomienda SQL Managed Instance para los clientes
que ejecutan SQL Server de forma local o en máquinas virtuales de infraestructura como servicio (IaaS), que
desean migrar sus aplicaciones a un servicio totalmente administrado con cambios mínimos en el diseño.
Contoso planea migrar un gran número de aplicaciones desde el entorno local a máquinas de IaaS. Muchas
de estas máquinas virtuales las proporcionan proveedores de software independientes. Contoso se da
cuenta de que el uso de SQL Managed Instance le ayudará a garantizar la compatibilidad de las bases de
datos con estas aplicaciones. Utilizarán SQL Managed Instance en lugar de utilizar SQL Database, que podría
no ser compatible.
Contoso simplemente puede realizar una migración mediante lift-and-shift a SQL Managed Instance con
Azure Database Migration Service totalmente automatizado. Con este servicio, Contoso puede reutilizarla
para las migraciones futuras de la base de datos.
SQL Managed Instance admite el Agente SQL Server, un componente importante de la aplicación
SmartHotel360. Contoso necesita esta compatibilidad porque, sin ella, tendrá que volver a diseñar los planes
de mantenimiento que requiere la aplicación.
Con Software Assurance, Contoso puede intercambiar sus licencias existentes para obtener descuentos en
una instancia de SQL Managed Instance con la Ventaja híbrida de Azure para SQL Server. Esto permite a
Contoso ahorrar hasta un 30 % mediante el uso de SQL Managed Instance.
La instancia de SQL Managed Instance está totalmente integrada en la red virtual, por lo que ofrece un
mayor nivel de aislamiento y seguridad para los datos de Contoso. Contoso puede obtener las ventajas de la
nube pública y, al mismo tiempo, mantener el entorno aislado de la red Internet pública.
SQL Managed Instance admite muchas características de seguridad, entre otras, Always Encrypted,
enmascaramiento dinámico de datos, seguridad en el nivel de fila y detección de amenazas.
Revisión de la solución
Contoso evalúa el diseño propuesto y crea una lista de ventajas y desventajas como se muestra en la tabla
siguiente:
C O N SIDERA C IÓ N DETA L L ES
C O N SIDERA C IÓ N DETA L L ES
Arquitectura propuesta
Proceso de migración
1. Contoso aprovisiona una instancia de Azure SQL Managed Instance a la que migra la base de datos
SmartHotel360 mediante Azure Database Migration Service.
2. Aprovisiona y configura las aplicaciones web e implementa la aplicación SmartHotel360 en ellas.
Servicios de Azure
SERVIC IO DESC RIP C IÓ N C O ST E
Azure App Service Migration Assistant Una forma sencilla y gratuita de migrar Es una herramienta que se puede
sin problemas aplicaciones web de descargar de forma gratuita.
.NET desde el entorno local a la nube
con cambios mínimos en el código o
incluso sin ningún cambio.
Azure Database Migration Service Azure Database Migration Service Obtenga información sobre las
permite migraciones completas de regiones admitidas y los precios de
varios orígenes de base de datos a Azure Database Migration Service.
plataformas de datos de Azure, con un
tiempo de inactividad mínimo.
SERVIC IO DESC RIP C IÓ N C O ST E
Instancia administrada de Azure SQL SQL Managed Instance es un servicio El uso de una instancia de SQL
de base de datos administrada que Managed Instance que se ejecuta en
representa una instancia de Azure conlleva cargos en función de la
SQL Server completamente capacidad. Más información acerca de
administrada en Azure. Usa el mismo los precios de SQL Managed Instance.
código que la versión más reciente del
motor de base de datos de SQL Server
y tiene las características, mejoras de
rendimiento y revisiones de seguridad
más recientes.
Azure App Service Permite crear aplicaciones en la nube Los precios se basan en el tamaño, la
eficaces que usan una plataforma ubicación y la duración del uso. Más
totalmente administrada. información.
Requisitos previos
Contoso debe cumplir los siguientes requisitos previos para ejecutar este escenario:
4. Después de implementar la red virtual y las subredes, emparejan las redes como se indica a continuación:
Se empareja VNET-SQLMI-EUS2 con VNET-HUB-EUS2 (la red virtual del centro de conectividad de
East US 2 ).
5. Establecen una configuración de DNS personalizada. La configuración de DNS primero apunta a los
controladores de dominio de Azure de Contoso. Azure DNS es secundario. Los controladores de dominio
de Azure de Contoso están ubicados de la manera siguiente:
Ubicados en la subred PROD-DC-EUS2 , en la red de producción ( VNET-PROD-EUS2 ) en la región
East US 2 .
Dirección de CONTOSODC3 : 10.245.42.4
Una vez implementada la instancia administrada, aparecen dos nuevos recursos en el grupo de recursos
ContosoRG :
2. Importan el repositorio de Git que actualmente contiene su código de la aplicación. Lo descargan desde
el repositorio público de GitHub.
3. Conectan Visual Studio al repositorio y clonan el código en la máquina de desarrollo mediante Team
Explorer.
4. Abren el archivo de la solución para la aplicación. La aplicación web y el servicio WCF tienen proyectos
separados dentro del archivo.
Paso 5: Configurar cadenas de conexión
Los administradores de Contoso se aseguran de que las aplicaciones web y la base de datos pueden
comunicarse. Para ello, configura las cadenas de conexión en el código y en las aplicaciones web.
1. En la aplicación web del servicio WCF, SHWCF-EUS2 , en Configuración > Configuración de la
aplicación , agregan una nueva cadena de conexión llamada DefaultConnection .
2. Extraen la cadena de conexión de la base de datos SmartHotel-Registration y, a continuación, la actualizan
con las credenciales correctas.
4. Cambian la sección client del archivo web.config para que SmartHotel.Registration.Web apunte a la
nueva ubicación del servicio WCF. Esta es la dirección URL de la aplicación web WCF que hospeda el
punto de conexión de servicio.
5. Una vez realizados los cambios en el código, los administradores los confirman y los sincronizan
mediante Team Explorer en Visual Studio.
Se abre el panel Explorador de ar tefactos y la carpeta drop muestra los resultados de la compilación.
Los dos archivos ZIP son los paquetes que contienen las aplicaciones.
Estos archivos ZIP se usan en la canalización de versión para la implementación en Azure App Service.
6. Seleccionan Versiones > + Nueva canalización .
9. En las fases, seleccionan 1 phase, 1 task (1 fase, 1 tarea) para configurar la implementación del servicio
WCF.
10. Comprueban que la suscripción está seleccionada y autorizada y, a continuación, seleccionan Nombre
de App Ser vice .
16. Seleccionan Canalización > Fases y, a continuación, seleccionan + Agregar para agregar un entorno
para SHWEB-EUS2 . Seleccionan otra implementación de Azure App Service.
17. Repiten el proceso para publicar el archivo de aplicación web ( SmartHotel.Registration.Web.zip ) en la
aplicación web correcta y, a continuación, seleccionan Guardar .
20. Los administradores de Contoso pueden seguir el proceso de canalización de compilación y versión en
Azure DevOps. Una vez finalizada la compilación, se inicia la creación de versión.
21. Una vez finalizada la canalización, se han implementado ambos sitios, y la aplicación está funcionamiento
en línea.
La aplicación se ha migrado correctamente a Azure.
Revisión de la implementación
Con los recursos ya migrados a Azure, Contoso debe proteger la infraestructura nueva y ponerla totalmente en
marcha.
Seguridad
Contoso tiene que asegurarse de que la nueva base de datos SmartHotel-Registration es segura. Más
información.
Específicamente, Contoso actualiza las aplicaciones web para usar SSL con certificados.
Copias de seguridad
El equipo de Contoso revisa los requisitos de copia de seguridad de la base de datos de Azure SQL Managed
Instance. Más información.
También aprenden a administrar las copias de seguridad y las restauraciones de SQL Database. Más
información sobre las copias de seguridad automáticas.
Consideran la implementación de grupos de conmutación por error para proporcionar conmutación por
error regional para la base de datos. Más información.
Para lograr resistencia, consideran la implementación de la aplicación web en la región principal ( East US 2 )
y la región secundaria ( Central US ). El equipo podría configurar Traffic Manager para garantizar la
conmutación por error durante las interrupciones regionales.
Optimización de los costos y licencias
Una vez implementados todos los recursos, Contoso asigna etiquetas de Azure según el planeamiento de la
infraestructura.
Todas las licencias se integran en el costo de los servicios de PaaS que consume Contoso. Este costo se
deduce del Contrato Enterprise.
Contoso va a usar Azure Cost Management + Billing para asegurarse de ajustarse a los presupuestos
establecidos por la dirección de TI.
Conclusión
En este artículo, Contoso refactorizó la aplicación SmartHotel360 en Azure mediante la migración de la VM de
front-end de la aplicación a dos aplicaciones web de Azure App Service. La base de datos de la aplicación se
migró a una instancia de Azure SQL Managed Instance.
Refactorización de una aplicación de Linux
mediante Azure App Service, Traffic Manager y
Azure Database for MySQL
12/03/2021 • 30 minutes to read • Edit Online
En este artículo se muestra cómo la empresa ficticia Contoso refactoriza una aplicación basada en LAMP de dos
niveles y la migra del entorno local a Azure mediante Azure App Service con integración de GitHub y Azure
Database for MySQL.
osTicket, la aplicación de consola de servicio que se usa en este ejemplo, se proporciona como software de
código abierto. Si quiere utilizarla para sus propias pruebas, puede descargarla desde el repositorio de osTicket
de GitHub.
Objetivos de la migración
El equipo de la nube de Contoso ha definido los objetivos de esta migración con el fin de determinar el mejor
método para llevarla a cabo:
La aplicación debe escalar más allá de la capacidad y el rendimiento local actual. Contoso va a mover la
aplicación para aprovechar las ventajas del escalado a petición de Azure.
Contoso quiere mover el código base de la aplicación a una canalización de entrega continua. Cuando los
cambios de la aplicación se inserten en GitHub, Contoso quiere implementar dichos cambios sin tareas para
el personal de operaciones.
La aplicación debe ser resistente, con funcionalidades para el crecimiento y la conmutación por error.
Contoso quiere implementar la aplicación en dos regiones de Azure diferentes y configurarla para el
escalado automático.
Quiere minimizar las tareas de administración de la base de datos tras mover la aplicación a la nube.
Diseño de la solución
Después de fijar sus objetivos y requisitos, Contoso diseña y revisa una solución de implementación e identifica
el proceso de migración, incluidos los servicios de Azure que usará para la migración.
Arquitectura actual
La aplicación se divide en niveles entre dos máquinas virtuales ( OSTICKETWEB y OSTICKETMYSQL ).
Las máquinas virtuales se encuentran en el host de VMware ESXi contosohost1.contoso.com (versión 6.5).
El entorno de VMware lo administra vCenter Server 6.5 ( vcenter.contoso.com ) que se ejecuta en una
máquina virtual.
Contoso tiene un centro de datos local ( contoso-datacenter ), con un controlador de dominio local (
contosodc1 ).
Arquitectura propuesta
Esta es la arquitectura propuesta:
La aplicación de nivel web en OSTICKETWEB se migrará mediante la compilación de una aplicación web de
Azure App Service en dos regiones de Azure. El equipo de Contoso implementará Azure App Service para
Linux mediante el contenedor Docker de PHP 7.0.
El código de la aplicación se moverá a GitHub y Azure App Service Web App se configurará para la entrega
continua con GitHub.
Azure App Service se implementará tanto en la región primaria ( East US 2 ) como en la región secundaria (
Central US ).
Azure Traffic Manager se configurará delante de las dos aplicaciones web en ambas regiones.
Traffic Manager se configurará en modo de prioridad para forzar el tráfico a través de East US 2 .
Si Azure App Server en East US 2 se queda sin conexión, los usuarios pueden obtener acceso a la aplicación
de conmutación por error en la Central US .
La base de datos de la aplicación se migrará al servicio Azure Database for MySQL mediante Azure Database
Migration Service. La copia de seguridad de la base de datos local se realizará localmente y se restaurará de
forma directa en Azure Database for MySQL.
La base de datos residirá en la región primaria ( East US 2 ) de la subred de la base de datos ( PROD-DB-EUS2 )
de la red de producción ( VNET-PROD-EUS2 ).
Dado que se migra una carga de trabajo de producción, los recursos de Azure para la aplicación residirán en
el grupo de recursos de producción ContosoRG .
El recurso Traffic Manager se implementará en el grupo de recursos de la infraestructura de Contoso,
ContosoInfraRG .
Las VM locales del centro de datos de Contoso se retirarán después de realizar la migración.
Proceso de migración
Contoso completa el proceso de migración como se indica a continuación:
1. Como primer paso, los administradores de Contoso configuran la infraestructura de Azure, incluido el
aprovisionamiento de Azure App Service, la configuración de Traffic Manager y el aprovisionamiento de una
instancia de Azure Database for MySQL.
2. Después de preparar la infraestructura de Azure, migran la base de datos mediante Azure Database
Migration Service.
3. Cuando la base de datos se ejecuta en Azure, configuran un repositorio privado de GitHub para Azure App
Service con entrega continua y lo cargan con la aplicación osTicket.
4. En Azure Portal, se carga la aplicación desde GitHub en el contenedor Docker que ejecuta Azure App Service.
5. Se modifica la configuración de DNS y se configura el escalado automático para la aplicación.
Servicios de Azure
SERVIC IO DESC RIP C IÓ N C O ST E
Azure Traffic Manager Un equilibrador de carga Los precios se basan en el Más información.
que usa un Sistema de número de consultas de
nombres de dominio (DNS) DNS recibidas y el número
para dirigir los usuarios a de puntos de conexión
Azure o a sitios web y supervisados.
servicios externos.
Azure Database for MySQL La base de datos se basa en Los precios se basan en los
el motor de base de datos requisitos de proceso,
MySQL de código abierto. almacenamiento y copia de
Proporciona una base de seguridad. Más información.
datos MySQL de la
comunidad completamente
administrada y lista para la
empresa para el desarrollo y
la implementación de
aplicaciones.
Requisitos previos
Contoso debe cumplir los siguientes requisitos previos para ejecutar este escenario:
REQ UISITO S DETA L L ES
4. Seleccionan un sistema operativo Linux con la pila en tiempo de ejecución PHP 7.0, que es un contenedor
de Docker.
5. Crean una segunda aplicación web ( osticket-cus ) y un plan de Azure App Service para la región Centro
de EE. UU .
2. Configuran Traffic Manager con puntos de conexión. Agregan la aplicación web de la región Este de
EE. UU. 2 como sitio primario ( osticket-eus2 ) y la aplicación web del Centro de EE. UU. como secundario
( osticket-cus ).
3. Después de agregar los puntos de conexión, los administradores pueden supervisarlos.
NOTE
MySQL 8.0 se admite en Azure Database for MySQL, pero la herramienta Azure Database Migration Service todavía no es
compatible con esta versión.
6. Ahora, pueden importar (restaurar) la base de datos en la instancia de Azure Database for MySQL desde
el archivo independiente. Se crea un nuevo esquema ( osticket ) para la instancia.
7. Una vez que hayan restaurado los datos, los administradores podrán consultarlos mediante MySQL
Workbench. Los datos se muestran en Azure Portal.
8. Los administradores actualizan la información de la base de datos en las aplicaciones web. En la instancia
de MySQL, se abre Cadenas de conexión .
9. En la lista cadenas de conexión, seleccionan la configuración de la aplicación web y, a continuación, la
copian seleccionando Haga clic para copiar .
10. Abren una nueva ventana del Bloc de notas, pegan la cadena allí y la actualizan para que coincida con la
base de datos de osTicket, la instancia de MySQL y la configuración de credenciales.
11. Pueden comprobar el nombre del servidor y el inicio de sesión en el panel de información general de
la instancia de MySQL en Azure Portal.
4. En el editor, los administradores actualizan los detalles de la base de datos, específicamente para DBHOST
y DBUSER .
6. Para cada aplicación web ( osticket-eus2 y osticket-cus ), en Azure Portal, seleccionan Configuración
de la aplicación en el panel izquierdo y, a continuación, modifican la configuración.
7. Se especifica la cadena de conexión con el nombre osticket y se copia la cadena desde el Bloc de notas
en el área de valores . Se selecciona MySQL en la lista desplegable junto a la cadena y se guarda la
configuración.
4. Después de actualizar la configuración y cargar la instancia de la aplicación web de osTicket desde GitHub
en el contenedor de Docker que ejecuta Azure App Service, el sitio se muestra como activo .
8. Se configuran ambas aplicaciones web, osticket-eus2 y osticket-cus , para permitir los nombres de host
personalizados.
Configurar el escalado automático
Por último, los administradores de Contoso configuran el escalado automático de la aplicación. El escalado
automático garantiza que, a medida que los agentes usan la aplicación, las instancias de aplicación aumentan y
disminuyen en función de las necesidades empresariales.
1. En App Service APP-SVP-EUS2 , abren Unidad de escalado .
2. Se configura una nueva opción de escalado automático con una única regla que aumenta el recuento de
instancias en uno cuando el uso de CPU para la instancia actual es superior al 70 % durante 10 minutos.
Revisión de la implementación
Con la aplicación en ejecución, Contoso debe proteger y poner plenamente en funcionamiento la infraestructura
nueva.
Seguridad
El equipo de seguridad de Contoso revisa la aplicación para determinar si existe algún problema de seguridad.
Identifican que la comunicación entre la aplicación osTicket y la instancia de base de datos MySQL no está
configurada para SSL. Hacen todo esto para garantizar que el tráfico de la base de datos no pueda piratearse.
Más información.
Copias de seguridad
Las aplicaciones web de osTicket no contienen datos de estado y, por tanto, no es necesario hacer copias de
seguridad.
El equipo de Contoso no tiene que configurar la copia de seguridad de la base de datos. Azure Database for
MySQL crea automáticamente copias de seguridad del servidor y las almacena. El equipo optó por utilizar la
redundancia geográfica para la base de datos para que sea resistente y esté lista para la producción. Las
copias de seguridad pueden utilizarse para restaurar el servidor a un momento dado. Más información.
Optimización de los costos y licencias
No hay ningún problema relacionado con las licencias para la implementación de PaaS.
Contoso usará Azure Cost Management + Billing para asegurarse de que la compañía permanece dentro de
los presupuestos establecidos por la dirección de TI.
Recompilación de una aplicación local en Azure
12/03/2021 • 50 minutes to read • Edit Online
En este artículo se muestra cómo la compañía ficticia Contoso recompila una aplicación de Windows .NET de
dos niveles que se ejecuta en máquinas virtuales de VMware como parte de una migración a Azure. Contoso
migra la máquina virtual de front-end a una aplicación web de Azure App Service. Contoso compila el back-end
de la aplicación mediante microservicios que se implementan en contenedores administrados por Azure
Kubernetes Service. El sitio interactúa con Azure Functions para ofrecer la funcionalidad de fotos de mascotas.
SmartHotel360, la aplicación que se usa en este ejemplo, se proporciona con una licencia de código abierto. Si
quiere utilizarla para sus propias pruebas, puede descargarla desde GitHub.
Objetivos de la migración
El equipo de la nube de Contoso ha establecido los requisitos de la aplicación para esta migración. Estos
requisitos se usaron para determinar el mejor método de migración:
La aplicación de Azure debe seguir siendo tan importante como lo es hoy en día en el entorno local. Debe
funcionar correctamente y escalarse fácilmente.
La aplicación no debe utilizar componentes de infraestructura como servicio (IaaS). Debe compilarse todo
para usar servicios de plataforma como servicio (PaaS) o sin servidor.
Las compilaciones de la aplicación deben ejecutarse en servicios en la nube y los contenedores deben residir
en un registro de nivel empresarial y privado en la nube.
El servicio de API que se usa para las fotos de mascotas debe ser preciso y fiable en el mundo real, ya que las
decisiones que toma la aplicación deben cumplirse en sus hoteles. Cualquier mascota con acceso autorizado
podrá permanecer en los hoteles.
Para cumplir los requisitos de una canalización de DevOps, Contoso usará un repositorio de Git en Azure
Repos para la administración de código fuente. Se usarán compilaciones y versiones automatizadas para
compilar el código e implementarlo en Azure App Service, Azure Functions y AKS.
Se requieren canalizaciones independientes de integración e implementación continuas (CI/CD) para los
microservicios en el back-end y para el sitio web en el front-end.
Los servicios de back-end tienen ciclos de lanzamiento diferentes a los de la aplicación web de front-end.
Para satisfacer este requisito, Contoso implementará dos canalizaciones distintas.
Contoso necesita la aprobación de administración en todas las implementaciones de sitio web de front-end y
la canalización de CI/CD debe facilitarlo.
Diseño de la solución
Después de fijar sus objetivos y requisitos, Contoso diseña y revisa una solución de implementación e identifica
el proceso de migración, incluidos los servicios de Azure que usará para la migración.
Aplicación actual
La aplicación local de SmartHotel360 se divide en niveles entre dos VM ( WEBVM y SQLVM ).
Las máquinas virtuales se encuentran en el host de VMware ESXi contosohost1.contoso.com (versión 6.5).
El entorno de VMware lo administra vCenter Server 6.5 ( vcenter.contoso.com ) que se ejecuta en una
máquina virtual.
Contoso tiene un centro de datos local ( contoso-datacenter ), con un controlador de dominio local (
contosodc1 ).
Las VM locales del centro de datos de Contoso se retirarán después de realizar la migración.
Arquitectura propuesta
El front-end de la aplicación se implementa como una aplicación web de Azure App Service en la región
primaria de Azure.
Una función de Azure proporciona las cargas de las fotos de mascotas y el sitio interactúa con esta
funcionalidad.
La función de fotos de mascotas aprovecha Computer Vision API de Azure Cognitive Services junto con
Azure Cosmos DB.
El back-end del sitio se ha compilado mediante microservicios. Estos microservicios se implementarán en
contenedores que administra AKS.
Los contenedores se crearán con Azure DevOps y se insertarán en Azure Container Registry.
Por ahora, Contoso implementará manualmente el código de función y la aplicación web con
Visual Studio.
Contoso implementará los microservicios mediante un script de PowerShell que llama a las herramientas
de línea de comandos de Kubernetes.
C O N SIDERA C IÓ N DETA L L ES
Proceso de migración
1. Contoso aprovisiona Azure Container Registry, AKS y Azure Cosmos DB.
2. Contoso aprovisiona la infraestructura para la implementación, incluida la aplicación web de Azure App
Service, la función, la cuenta de almacenamiento y la API.
3. Una vez instalada la infraestructura, Contoso compila las imágenes de contenedor de los microservicios
con Azure DevOps, que las inserta en el registro de contenedor.
4. Contoso implementa estos microservicios en AKS mediante un script de PowerShell.
5. Por último, Contoso implementa la función y la aplicación web.
Figura 2: El proceso de migración.
Servicios de Azure
SERVIC IO DESC RIP C IÓ N C O ST E
Azure Kubernetes Service Simplifica las operaciones, la AKS es un servicio gratuito. Solo debe
implementación y la administración de pagar por las máquinas virtuales y el
Kubernetes. Proporciona un servicio de almacenamiento y los recursos de red
orquestación de contenedores de asociados que use. Más información.
Kubernetes totalmente administrado.
Funciones de Azure Acelera el proceso de desarrollo con Solo debe pagar solo por los recursos
una experiencia de proceso sin consumidos. El plan se factura en
servidor controlada por eventos. función del consumo de recursos y las
Escalado a petición. ejecuciones por segundo. Más
información.
Azure Container Registry Almacena imágenes para todos los El costo se basa en características,
tipos de implementaciones de almacenamiento y duración de la
contenedor. utilización. Más información.
Azure App Service Compile, implemente y escale con Los planes de App Service se facturan
rapidez aplicaciones web, móviles y de por segundo. Más información.
API de naturaleza empresarial que se
puedan ejecutar en cualquier
plataforma.
Prerrequisitos
Esto es lo que Contoso requiere en este escenario:
Requisitos previos para desarrolladores Contoso necesita las siguientes herramientas en una
estación de trabajo de desarrollador:
Visual Studio Community 2017, versión 15.5
Carga de trabajo. NET habilitada
Git
Azure PowerShell
La CLI de Azure
Docker Community Edition (Windows 10) o Docker
Enterprise Edition (Windows Server) configurado para usar
contenedores de Windows
2. Ejecutan el script para crear el clúster de Kubernetes administrado con AKS y Azure Container Registry.
Figura 3: Creación de un clúster de Kubernetes
administrado.
3. Con el archivo abierto, actualizan el parámetro $location a eastus2 y guardan el archivo.
10. Ejecutan el comando kubectl get nodes para verificar la conexión al clúster. El nodo tiene el mismo
nombre que la máquina virtual en el grupo de recursos creado automáticamente.
12. Se abre una pestaña del explorador con el panel. Se trata de una conexión de túnel que usa la CLI de
Azure.
Figura 11: conexión de túnel.
Ilustración 16:
Configuración de la canalización de compilación.
7. En el paso 1 se agrega una tarea de Docker Compose . Esta tarea compila Docker Compose.
Ilustración 17: Compilación de Docker Compose.
8. Repiten la acción y agregan otra tarea de Docker Compose . Esta inserta los contenedores en el registro
de contenedor.
Figura 27:
Captura de la cadena de conexión de cada base de datos.
Crear la canalización de versión de back-end
Ahora, los administradores de Contoso hacen lo siguiente:
Implementan el controlador de entrada NGINX que permite el tráfico entrante a los servicios.
Implementan los microservicios en el clúster de AKS.
Como primer paso, los administradores actualizan las cadenas de conexión a los microservicios con Azure
DevOps. Luego configuran una nueva canalización de versión de Azure DevOps para implementar los
microservicios.
Las instrucciones de esta sección usan el repositorio SmartHotel360-Backend.
Algunas de las opciones de configuración (por ejemplo, Active Directory B2C) no se tratan en este artículo.
Para más información acerca de esta configuración, revise el repositorio SmartHotel360-Backend
mencionado anteriormente.
Los administradores crean la canalización:
1. En Visual Studio, actualizan el archivo /deploy/k8s/config_local.yml con la información de conexión de la
base de datos que apuntaron anteriormente.
2. Abren Azure DevOps y, en el proyecto SmartHotel360, seleccionan + Nueva canalización en el panel
Versiones .
Figura 45:
Adición de una nueva colección a la base de datos.
4. Anotan la información de conexión de la base de datos para futuras referencias.
Figura 53:
Selección de la aplicación de funciones.
2. Proporcionan un nombre para la aplicación de funciones ( smarthotelpetchecker ). Colocan la aplicación
de funciones en el grupo de recursos de producción ( ContosoRG ). Establecen la ubicación de hospedaje
en Plan de consumo y colocan la aplicación de funciones en la región East US 2 . Se crea una cuenta de
almacenamiento, junto con una instancia de Application Insights para la supervisión.
Figura 54: Configuración de la
aplicación de funciones.
3. Una vez implementada la aplicación de funciones, los administradores van a su dirección para comprobar
que se ha creado correctamente.
Revisión de la implementación
Con los recursos migrados de Azure, Contoso debe ahora poner completamente en marcha la nueva
infraestructura y protegerla.
Seguridad
Contoso tiene que asegurarse de que sus nuevas bases de datos son seguras. Para más información, consulte
Información general sobre las capacidades de seguridad de Azure SQL Database e Instancia administrada de
SQL.
La aplicación debe actualizarse para usar SSL con certificados. La instancia del contenedor debe
reimplementarse para responder en 443.
Contoso debería plantearse el uso de Azure Key Vault para proteger los secretos de las aplicaciones de
Service Fabric. Para más información, consulte Administración de secretos cifrados en aplicaciones de
Service Fabric.
Copia de seguridad y recuperación ante desastres
Contoso necesita revisar los requisitos de copia de seguridad de Azure SQL Database.
Contoso debería plantearse la implementación de grupos de conmutación por error de SQL para
proporcionar conmutación por error regional a la base de datos.
Contoso puede usar la replicación geográfica para la SKU Premium de Azure Container Registry.
La copia de seguridad de Azure Cosmos DB se realiza automáticamente. Para más información, consulte
Copias de seguridad automáticas en línea y restauración de datos a petición con Azure Cosmos DB.
Optimización de los costos y licencias
Una vez implementados todos los recursos, Contoso debe asignar etiquetas de Azure según la planificación
de su infraestructura.
Todas las licencias se integran en el costo de los servicios de PaaS que consume Contoso. Esto se deducirá
del contrato Enterprise.
Contoso habilitará Azure Cost Management + Billing para ayudar a supervisar y administrar los recursos de
Azure.
Conclusión
En este artículo, Contoso recompila la aplicación SmartHotel360 en Azure. Se recompila la máquina virtual de
front-end de la aplicación local para las aplicaciones web de Azure App Service. El back-end de la aplicación se
compila con microservicios que se implementan en contenedores administrados por AKS. Contoso mejora la
funcionalidad con una aplicación de fotos de mascotas.
Aptitudes sugeridas
Microsoft Learn es un enfoque nuevo al aprendizaje. La preparación para las nuevas aptitudes y
responsabilidades que acompañan a la adopción de la nube no es fácil. Microsoft Learn proporciona un enfoque
más gratificante para el aprendizaje práctico que le ayuda a lograr sus objetivos con más rapidez. Con Microsoft
Learn, puede ganar puntos, aumentar de nivel y mucho más.
A continuación se muestran dos ejemplos de rutas de aprendizaje adaptadas en Microsoft Learn que se alinean
con la aplicación SmartHotel360 de Contoso en Azure.
Implementación de un sitio web en Azure con Azure App Ser vice : Mediante la creación de
aplicaciones web en Azure, puede publicar y administrar el sitio web fácilmente sin tener que trabajar con
los servidores, almacenamiento o recursos de red subyacentes. En su lugar, puede centrarse en las
características del sitio web y confiar en la sólida plataforma de Azure para proporcionar un acceso
seguro al sitio.
Procese y clasifique las imágenes con los ser vicios de visión cognitiva de Azure : Azure
Cognitive Services ofrece una funcionalidad pregenerada para habilitar la funcionalidad de Computer
Vision en las aplicaciones. Aprenda a usar los servicios de visión cognitiva de Azure para detectar caras,
etiquetar y clasificar imágenes e identificar objetos.
Refactorizar una implementación de Team
Foundation Server a Azure DevOps Services
12/03/2021 • 36 minutes to read • Edit Online
En este artículo se muestra cómo la empresa ficticia Contoso refactoriza su implementación local de Team
Foundation Server de Visual Studio mediante la migración a Azure DevOps Services en Azure. El equipo de
desarrollo de Contoso ha utilizado Team Foundation Server para la colaboración en equipo y el control de
código fuente durante los últimos cinco años. Ahora, quieren pasar a una solución basada en la nube para el
trabajo de desarrollo y pruebas, y para el control de código fuente. Azure DevOps Services jugarán un papel
importante cuando el equipo de Contoso pase a un modelo de Azure DevOps y desarrolle nuevas aplicaciones
nativas de la nube.
Objetivos de la migración
El equipo de la nube de Contoso ha establecido los siguientes objetivos para la migración a Azure DevOps
Services:
El equipo necesita una herramienta para migrar sus datos a la nube. Es posible que sean necesarios algunos
procesos manuales.
El historial y los datos de elementos de trabajo del año pasado deberán migrarse.
El equipo no quiere configurar nuevos nombres de usuario y contraseñas. Se deben mantener todas las
asignaciones del sistema actual.
El equipo quiere pasar del Control de versiones de Team Foundation (TFVC) a GIT para el control de código
fuente.
La transición a Git será una migración sugerida que importa solo la versión más reciente del código fuente.
Se realizará aprovechando el tiempo de inactividad; se detendrá todo el trabajo mientras se desplace el
código base. El equipo entiende que después del paso solo estará disponible el historial de la rama principal
actual.
El equipo está preocupado por el cambio y quiere probarlo antes de llevarlo a cabo. Quieren conservar el
acceso a Team Foundation Server incluso después de la migración a Azure DevOps Services.
El equipo tiene varias colecciones y, para comprender mejor el proceso, quiere empezar por una que tenga
pocos proyectos.
El equipo entiende que las colecciones de Team Foundation Server tienen una relación uno a uno con las
organizaciones de Azure DevOps Services, por lo que habrá varias direcciones URL. Esto, sin embargo, ya
coincide con su modelo actual de separación de bases de código y proyectos.
Arquitectura propuesta
Contoso moverá sus proyectos de Team Foundation Server a la nube; dejará de hospedar los proyectos y el
control de código fuente localmente.
Team Foundation Server se migrará a Azure DevOps Services.
Actualmente, Contoso tiene una colección de Team Foundation Server, denominada ContosoDev , que se
migrará a una organización de Azure DevOps Services denominada contosodevmigration.visualstudio.com .
Los proyectos, los elementos de trabajo, los errores y las iteraciones del último año se migrarán a Azure
DevOps Services.
Contoso usará su instancia de Azure Active Directory (Azure AD), que configuró al implementar su
infraestructura de Azure al principio del planeamiento de la migración.
Proceso de migración
Contoso completará el proceso de migración como se indica a continuación:
1. Se requiere una preparación significativa. En primer lugar, Contoso debe actualizar su implementación de
Team Foundation Server a un nivel compatible. Contoso ejecuta actualmente Team Foundation Server 2017
Update 3, pero para usar la migración de base de datos es necesario ejecutar una versión de 2018
compatible que tenga las actualizaciones más recientes.
2. Después de que Contoso lleve a cabo la actualización, ejecutará la herramienta de migración de Team
Foundation Server y validará su colección.
3. Contoso compilará un conjunto de archivos de preparación y, a continuación, realizará un simulacro de
migración de prueba.
4. Después, Contoso ejecutará otra migración, esta vez una migración completa, que incluye elementos de
trabajo, errores, sprints y código.
5. Tras la migración, Contoso moverá su código de TFVC a Git.
Requisitos previos
Contoso debe cumplir los siguientes requisitos previos para ejecutar este escenario:
Instancia de Team Foundation Ser ver local La instancia local debe ejecutar Team Foundation
Server 2018 Update 2 o actualizarse a ella como parte de
este proceso.
5. Los administradores comprueban la instalación de Team Foundation Server revisando los proyectos, los
elementos de trabajo y el código.
NOTE
En algunas actualizaciones de Team Foundation Server es necesario ejecutar el Asistente para configurar características
una vez finalizada la actualización. Más información.
3. Localizan los archivos de registro en la carpeta Logs , justo antes de la ubicación de la herramienta. Se
genera un archivo de registro para cada validación principal. TfsMigration.log contiene la información
principal.
4. Encuentran esta entrada, que está relacionada con la identidad.
6. Vuelven a ejecutar el comando de validación e incluyen este valor, junto con su nombre de Azure AD,
TfsMigrator validate /collection:http://contosotfs:8080/tfs/ContosoDev
/tenantDomainName:contosomigration.onmicrosoft.com
.
7. En la ventana de inicio de sesión de Azure AD que aparece, especifican las credenciales de un usuario
administrador global.
8. La validación se pasa y la herramienta la confirma.
3. La preparación se completa, y la herramienta notifica que se han generado correctamente los archivos de
importación.
4. Ahora los administradores pueden ver los archivos IdentityMapLog.csv e import.json , que se han
creado en una carpeta nueva.
5. El archivo import.json proporciona opciones de importación. Incluye información como el nombre de
organización deseado y detalles de la cuenta de almacenamiento. La mayoría de los campos se rellenan
automáticamente. Algunos campos requieren la intervención del usuario. Los administradores abren el
archivo y agregan el nombre de la organización de Azure DevOps Services que se va a crear,
contosodevmigration . Con este nombre, la dirección URL de Azure DevOps Services de Contoso será
contosodevmigration.visualstudio.com .
NOTE
La organización debe crearse antes de comenzar la migración, pero se puede cambiar una vez completada.
La validación devuelve un error que indica que la clave SAS necesita un tiempo más largo antes de
expirar.
3. Usan el Explorador de Azure Storage para crear una nueva clave SAS en la que establecen el período
antes de la expiración en siete días.
4. Actualizan el archivo import.json y vuelven a ejecutar el comando. Esta vez, la validación finaliza
correctamente.
TfsMigrator import /importFile:C:\TFSMigrator\import.json /validateonly
Aparece un mensaje que les pide que confirmen que desean continuar con la migración. Es necesario
tener en cuenta el período de siete días después del simulacro durante el cual se mantendrán los datos
almacenados provisionalmente.
6. Se abre la ventana de inicio de sesión de Azure AD. Los administradores de Contoso inician sesión en
Azure AD con permisos de administrador.
7. Después de unos 15 minutos, los administradores van al sitio web y ven la siguiente información:
8. Después de que finalice la migración, un director de desarrollo de Contoso inicia sesión en Azure DevOps
Services para asegurarse de que el simulacro ha funcionado correctamente. Después de la autenticación,
Azure DevOps Services necesita algunos detalles para confirmar la organización.
El director de desarrollo puede ver que los proyectos se migraron correctamente. Un aviso cerca de la
parte superior de la página advierte de que la cuenta de simulacro se eliminará en 15 días.
9. El director de desarrollo abre uno de los proyectos y, después, selecciona Elementos de trabajo >
Asignados a mí . En esta página se comprueba que los datos del elemento de trabajo se han migrado
correctamente, junto con la identidad.
10. Para confirmar que se han migrado el código fuente y el historial, el director de desarrollo también
comprueba otros proyectos y código.
5. Después de unos 15 minutos, los administradores van al sitio web y ven la siguiente información:
6. Cuando finaliza la migración, un director de desarrollo inicia sesión en Azure DevOps Services para
comprobar que la migración ha funcionado correctamente. Después del inicio de sesión, el director de
desarrollo ve que los proyectos se han migrado.
7. El director de desarrollo abre uno de los proyectos y selecciona Elementos de trabajo > Asignados a
mí . Esto muestra que se han migrado los datos de los elementos de trabajo, junto con la identidad.
8. El director de desarrollo realiza comprobaciones para confirmar que se han migrado otros datos de
elementos de trabajo.
9. Para confirmar que se han migrado el código fuente y el historial, el director de desarrollo también
comprueba otros proyectos y código.
Traslado del control de código fuente de TFVC a Git
Una vez completada la migración, los administradores de Contoso quieren trasladar la administración del
código fuente de TFVC a Git. Deben importar el código fuente que se encuentra actualmente en su organización
de Azure DevOps Services como repositorios de Git de la misma organización.
1. En el portal de Azure DevOps Services, abren uno de los repositorios de TFVC ( $/PolicyConnect ) y lo
revisan.
NOTE
Dado que TFVC y Git almacenan la información de control de versiones de forma diferente, se recomienda que
Contoso no migre el historial del repositorio. Este es el enfoque que se adoptó en Microsoft al migrar tanto
Windows como otros productos desde el control de versiones centralizado a Git.
4. Una vez finalizada la importación, los administradores revisan el código.
6. Después de que el director de desarrollo revise el código fuente, se acepta que la migración a Azure
DevOps Services ha finalizado. Ahora Azure DevOps Services se convierte en el origen de todo el
desarrollo para los equipos implicados en la migración.
¿Necesita más ayuda?
Para obtener más información, consulte Importación de repositorios de TFVC a Git.
Cuando la empresa ficticia Contoso migra sus máquinas virtuales de VMware desde un centro de datos local a
Azure, hay dos opciones disponibles para el equipo. Este artículo se centra en Azure VMware Solution, la mejor
opción de migración para Contoso.
O P C IO N ES DE M IGRA C IÓ N RESULTA DO
En este artículo, Contoso utiliza Azure VMware Solution para crear una nube privada en Azure con acceso nativo
a VMware vCenter y otras herramientas compatibles con VMware para la migración de cargas de trabajo.
Contoso puede usar con confianza Azure VMware Solution, sabiendo que son ofertas originales de Microsoft
respaldadas por VMware.
Diseño de soluciones
Después de que Contoso establece los objetivos y requisitos, la compañía diseña y revisa una solución de
implementación e identifica el proceso de migración.
Arquitectura actual
Características de la arquitectura actual de Contoso:
Máquinas virtuales implementadas en un centro de datos local administrado por vSphere.
Cargas de trabajo implementadas en un clúster de hosts de VMware ESXi que se administra con vCenter,
vSAN y NSX.
Arquitectura propuesta
En la arquitectura propuesta, Contoso:
Implementará una nube privada de Azure VMware Solution en la región de Azure "Oeste de EE. UU".
Conectará el centro de datos local a Azure VMware Solution que se ejecuta en la región Oeste de EE. UU.
mediante redes virtuales y ExpressRoute con Global Reach habilitado.
Migrará las máquinas virtuales a una implementación dedicada de Azure VMware Solution mediante
VMware Hybrid Cloud Extension (HCX).
Revisión de la solución
Contoso evalúa el diseño propuesto y crea una lista de ventajas y desventajas como se indica en la tabla
siguiente:
C O N SIDERA C IÓ N DETA L L ES
NOTE
Para más información sobre los precios, consulte Precios de Azure VMware Solution.
Proceso de migración
Contoso trasladará sus máquinas virtuales a Azure VMware Solution mediante la herramienta VMware HCX. Las
máquinas virtuales se ejecutarán en una nube privada de Azure VMware Solution. Entre los métodos de
migración de VMware HCX se incluye la ejecución de una migración masiva o en frío. VMware vMotion o
Replication-assisted vMotion (RAV) es un método reservado para cargas de trabajo que se ejecutan mediante
una migración en vivo.
Para realizar el proceso, el equipo de Contoso:
Planea sus redes en Azure y ExpressRoute.
Crea la nube privada de Azure VMware Solution mediante Azure Portal.
Configura la red para que incluya los circuitos de ExpressRoute.
Configura los componentes de HCX para conectar su entorno de vSphere local a la nube privada de Azure
VMware Solution.
Replica las máquinas virtuales y, a continuación, las traslada a Azure mediante VMware HCX.
Las nubes privadas de Azure VMware Solution requieren como mínimo un bloque de direcciones de red CIDR
/22 para las subredes. Para conectarse a entornos locales y redes virtuales, debe ser un bloque de direcciones
de red no superpuestas.
NOTE
Para más información sobre el planeamiento de redes de Azure VMware Solution, consulte Lista de comprobación de
redes para Azure VMware Solution.
2. En Azure Portal, el equipo crea la nube privada de Azure VMware Solution proporcionando la
información de red del plan. A continuación, el equipo selecciona Revisar y crear . Este paso tarda
aproximadamente dos horas.
3. El equipo comprueba que se haya completado la implementación de la nube privada de Azure VMware
Solution; para ello, va al grupo de recursos y selecciona el recurso de nube privada. El estado aparece
como correcto .
IMPORTANT
El equipo debe usar un espacio de direcciones que no se superponga con el que se usó al crear la nube privada.
3. El equipo obtiene la clave de autorización para conectar ExpressRoute a la red virtual. Esta se encuentra
en la pantalla Conectividad del recurso de la nube privada de Azure VMware Solution en Azure Portal.
4. El equipo conecta ExpressRoute a la puerta de enlace de VPN que conecta la nube privada de Azure
VMware Solution a la red virtual de Contoso. Para ello, crea una conexión en Azure.
Para más información, consulte Acceso a una nube privada de Azure VMware Solution.
Paso 4: Migración con VMware HCX
Para migrar las máquinas virtuales de VMware a Azure mediante HCX, el equipo de Contoso tendrá que seguir
estos pasos de alto nivel:
Instalar y configurar VMware HCX.
Realizar migraciones a Azure mediante HCX.
Para más información, consulte Instalación de HCX para Azure VMware Solution.
Instalación y configuración de VMware HCX para la nube pública
VMware HCX es un producto de VMware que forma parte de la instalación predeterminada de Azure VMware
Solution. HCX Advanced está instalado de manera predeterminada, pero se puede actualizar a HCX Enterprise
para obtener características y funcionalidades adicionales a medida que se necesiten.
Azure VMware Solution automatiza el componente de administrador de la nube de HCX en Azure VMware
Solution. Proporciona las claves de activación del cliente y el vínculo de descarga al dispositivo HCX Connector
que se debe configurar en el lado local y en un dominio de vCenter del cliente. A continuación, estos elementos
se emparejan con el dispositivo en la nube de Azure VMware Solution, de modo que los clientes pueden
aprovechar servicios como la migración y el ajuste de nivel 2.
El equipo de Contoso está implementando HCX mediante el uso de un paquete OVF que VMware
proporciona.
Para instalar y configurar HCX para la nube privada de Azure VMware Solution, consulte Instalación de
HCX para Azure VMware Solution.
A medida que el equipo configura HCX, ha elegido habilitar la migración y otras opciones, incluida la
recuperación ante desastres.
Para más información, consulte Flujo de trabajo de instalación de HCX para nubes públicas de HCX.
Migración de máquinas virtuales a Azure mediante HCX
Cuando el centro de datos local (origen) y la nube privada de Azure VMware Solution (destino) están
configurados con la nube de VMware y HCX, Contoso puede empezar a migrar las máquinas virtuales. El equipo
puede migrar las máquinas virtuales con centros de datos compatibles con VMware HCX como origen y destino,
mediante varias tecnologías de migración.
La aplicación HCX de Contoso está en línea y el estado es verde. El equipo ya está listo para migrar y
proteger las máquinas virtuales de soluciones de Azure VMware Solution mediante HCX.
Migración masiva de VMware HCX
Este método de migración utiliza los protocolos de replicación de VMware vSphere para trasladar
simultáneamente varias máquinas virtuales a un sitio de destino. Dicha integración aporta las siguientes
ventajas:
Este método está diseñado para trasladar varias máquinas virtuales en paralelo.
La migración se puede establecer para que finalice según una programación predefinida.
Las máquinas virtuales se ejecutan en el sitio de origen hasta que se inicia la conmutación por error. La
interrupción del servicio equivale a un reinicio.
Migración en vivo de VMware HCX vMotion
Este método de migración usa el protocolo de VMware vMotion para trasladar una única máquina virtual a un
sitio remoto. Dicha integración aporta las siguientes ventajas:
Este método está diseñado para trasladar una máquina virtual a la vez.
No se produce ninguna interrupción del servicio cuando se migra el estado de la máquina virtual.
Migración en frío de VMware HCX
Este método de migración usa el protocolo de transmisión de datos en proximidad de VMware. La opción se
selecciona automáticamente cuando se apaga la máquina virtual de origen.
VMware HCX Replication-assisted vMotion
VMware HCX RAV combina las ventajas de la migración masiva de VMware HCX, que incluye operaciones en
paralelo, resistencia y programación, con las ventajas de la migración de VMware HCX vMotion, entre las que se
incluye la eliminación del tiempo de inactividad durante la migración del estado de la máquina virtual.
Recursos adicionales
Para obtener documentación técnica adicional de VMware, consulte:
Documentación de VMware HCX
Migración de máquinas virtuales mediante VMware HCX
Traslado de una instancia local de Servicios de
Escritorio remoto a un escenario de Windows
Virtual Desktop
12/03/2021 • 24 minutes to read • Edit Online
Windows Virtual Desktop es un servicio completo de virtualización de escritorio y aplicaciones que se ejecuta
en la nube. Es la única Infraestructura de escritorio virtual (VDI) que ofrece administración simplificada,
multisesión de Windows 10 Enterprise, optimizaciones para aplicaciones de Microsoft 365 para empresas y
compatibilidad con entornos de Servicios de Escritorio remoto (RDS). Implemente y escale las aplicaciones y
escritorios de Windows en Azure en cuestión de minutos y obtenga características de cumplimiento y seguridad
integradas.
O P C IO N ES DE M IGRA C IÓ N RESULTA DO
NOTE
Este artículo se centra en el uso de Windows Virtual Desktop de Azure para migrar un entorno de RDS local a Azure.
Diseño de soluciones
Después de precisar los objetivos y requisitos, Contoso diseña y revisa una solución de implementación e
identifica el proceso de migración.
Arquitectura actual
RDS se implementa en un centro de datos local. La organización usa Microsoft 365 y posee la licencia.
Arquitectura propuesta
Sincronice Active Directory o Azure Active Directory Domain Services.
Implemente Windows Virtual Desktop en Azure.
Migre los servidores locales de RDS a Azure.
Convierta los discos de perfil de usuario en contenedores de perfil de FSLogix.
Figura 1: Arquitectura propuesta.
Revisión de la solución
Contoso evalúa el diseño propuesto y crea una lista de ventajas y desventajas.
C O N SIDERA C IÓ N DETA L L ES
Proceso de migración
Contoso moverá las máquinas virtuales a Windows Virtual Desktop en Azure con la herramienta de evaluación
de Lakeside y Azure Migrate. Contoso tendrá que:
Ejecutar la herramienta de evaluación en su infraestructura de RDS local para determinar la escala de la
implementación de Windows Virtual Desktop en Azure.
Migre a Windows Virtual Desktop mediante máquinas virtuales persistentes o multisesión de Windows
10 Enterprise.
Optimizar el escalado y la reducción vertical de Windows Virtual Desktop multisesión según sea
necesario para administrar los costos.
Virtualice las aplicaciones y asigne usuarios según sea necesario para continuar con la protección y
administración del entorno de Windows Virtual Desktop.
Ilustración 2: El proceso de migración.
NOTE
Contoso analizó dos escenarios durante la evaluación: instancias de RDS multisesión (compartidas) y máquinas virtuales
persistentes (o dedicadas al usuario).
1. Asegúrese de que los servicios de dominio, ya sean Active Directory o Azure Active Directory Domain
Services, estén sincronizados con Azure Active Directory (Azure AD). Asegúrese de que el servicio de
dominio es accesible desde la suscripción de Azure y la red virtual que se va a conectar donde se
implementará el escalado y la reducción vertical de Windows Virtual Desktop.
NOTE
Obtenga más información acerca de Azure AD Connect para sincronizar el entorno local de Active Directory con
Azure AD.
NOTE
Obtenga información sobre el aprovisionamiento de Azure Active Directory Domain Services y la sincronización de
Azure AD.
IMPORTANT
Esta ubicación no es donde se implementará el nuevo entorno de Windows Virtual Desktop. Aquí solo se
almacenarán los datos relacionados con el proyecto de Azure Migrate.
NOTE
Contoso también tendrá que migrar sus servidores de aplicaciones a Azure para acercarlos más al entorno de Windows
Virtual Desktop y reducir la latencia de red para sus usuarios.
NOTE
Contoso no puede crear una red virtual nueva en este paso. Antes de llegar a este paso, Contoso ya debe haber
creado una red virtual que tenga acceso a Active Directory.
NOTE
Contoso no puede utilizar una cuenta de usuario que requiera la autenticación multifactor en este paso. Si
Contoso planea usar la autenticación multifactor para sus usuarios, deberá crear una entidad de servicio para ese
fin.
3. Contoso valida nuevamente la configuración de Windows Virtual Desktop y crea el nuevo entorno de
máquinas virtuales de Windows Virtual Desktop agrupadas.
En este punto, la migración ha habilitado el uso de recursos agrupados con Windows 10 Enterprise multisesión.
Contoso puede empezar a implementar las aplicaciones necesarias para los usuarios que usarán Windows 10
Enterprise multisesión.
No obstante, ahora Contoso debe migrar las máquinas virtuales persistentes a Azure.
NOTE
Contoso también puede automatizar este proceso mediante los comandos msiexec al pasar el token de registro
como una variable.
6. Como último paso antes de la migración final, Contoso selecciona el elemento Usuarios en la
configuración de Azure Windows Virtual Desktop para asignar los servidores a sus usuarios y grupos
respectivos.
Revisión de la implementación
Ya que los escritorios virtuales y servidores de aplicaciones se están ejecutando en Azure, Contoso debe poner
en plena marcha la implementación y protegerla.
Seguridad
El equipo de seguridad de Contoso revisa las máquinas virtuales de Azure para determinar si existe algún
problema de seguridad. Para controlar el acceso, el equipo revisa los grupos de seguridad de red de las
máquinas virtuales. Los grupos de seguridad de red se usan para garantizar que solo el tráfico permitido pueda
comunicarse con la aplicación. El equipo también tiene en cuenta la protección de los datos en el disco con
Azure Disk Encryption y Azure Key Vault.
Para obtener más información, consulte Procedimientos de seguridad recomendados para cargas de trabajo de
IaaS de Azure.
Continuidad empresarial y recuperación ante desastres
Para la continuidad empresarial y la recuperación ante desastres (BCDR), Contoso realiza una copia de
seguridad de los datos de las máquinas virtuales mediante Azure Backup para proteger los datos. Para más
información, consulte la introducción a la copia de seguridad de máquinas virtuales de Azure.
Optimización de los costos y licencias
Las licencias de Microsoft 365 se usan para las implementaciones de escritorio.
Contoso habilitará Azure Cost Management + Billing para ayudar a supervisar y administrar los recursos de
Azure.
Actualmente, Contoso tiene licencia para sus máquinas virtuales y aprovechará la Ventaja híbrida de Azure
para los servidores de aplicación. Contoso convertirá las máquinas virtuales de Azure existentes para
aprovechar las ventajas que ofrecen estos precios.
Conclusión
En este artículo, Contoso migró su implementación de RDS a una instancia de Windows Virtual Desktop
hospedada en Azure.
Procedimientos recomendados para la migración
del host de VMware para Azure
06/03/2021 • 2 minutes to read • Edit Online
La migración de un host de VMware a Azure puede acelerar la metodología estándar que se describe en Cloud
Adoption Framework y que se muestra aquí.
Figura 1
En la tabla de contenido de la izquierda se describen los procedimientos recomendados en varias propiedades
web de Microsoft. Estos procedimientos recomendados pueden servir de guía para ejecutar la migración del
host de VMware a Azure VMware Solution. Marque esta página para tener una referencia rápida a la lista
completa de procedimientos recomendados.
Migración o implementación de instancias de
Windows Virtual Desktop en Azure
06/03/2021 • 4 minutes to read • Edit Online
La migración de los escritorios de los usuarios finales de una organización a la nube es un escenario común en
las migraciones a la nube. Esto ayuda a mejorar la productividad de los empleados y a acelerar la migración de
varias cargas de trabajo para dar soporte a la experiencia del usuario de la organización.
Estrategia y motivaciones
Las migraciones de escritorios virtuales están motivadas por varios objetivos comunes que se muestran aquí:
Las organizaciones quieren ampliar la productividad a equipos, teléfonos, tabletas o exploradores que
podrían no estar bajo el control directo del equipo de TI.
Los empleados necesitan acceder a los datos corporativos y aplicaciones desde sus dispositivos.
A medida que las cargas de trabajo se migran a la nube, los empleados necesitan más soporte para tener
una experiencia más optimizada y de menor latencia.
Los costos de las experiencias de escritorios virtuales actuales o propuestas deben optimizarse para ayudar a
las organizaciones a escalar su trabajo remoto de forma más eficaz.
El equipo de TI desea transformar el área de trabajo, y esta transformación a menudo empieza por la
experiencia de los empleados.
La virtualización de los escritorios de los usuarios finales en la nube puede ayudar a su equipo a comprender
cada uno de estos resultados.
Pasos siguientes
Para obtener una guía sobre elementos concretos del recorrido de adopción de la nube, consulte:
Planeamiento de la migración o implementación de Windows Virtual Desktop
Revisión del entorno o las zonas de aterrizaje de Azure
Finalización de una prueba de concepto de Windows Virtual Desktop
Evaluación de la migración o implementación de Windows Virtual Desktop
Implementación o migración de instancias de Windows Virtual Desktop
Lanzamiento de la implementación de Windows Virtual Desktop en producción
Planificación de Windows Virtual Desktop
06/03/2021 • 8 minutes to read • Edit Online
Los escenarios de implementación de Windows Virtual Desktop siguen la misma metodología de migración que
otros trabajos de migración. Este enfoque coherente permite que los generadores de migración o los equipos de
migración existentes adopten el proceso con pocos cambios en los requisitos no técnicos.
Planeación de la migración
Al igual que con otras migraciones, el equipo evaluará las cargas de trabajo, las implementará y las lanzará para
los usuarios finales. Sin embargo, Windows Virtual Desktop incluye requisitos específicos de consulta de las
zonas de aterrizaje de Azure durante la evaluación de las cargas de trabajo. El proceso también requerirá una
prueba de concepto antes de la primera implementación.
Para compilar el plan, consulte la plantilla de DevOps del plan de adopción de la nube para un trabajo pendiente
de migración existente en Azure DevOps. Úsela para crear un plan de actividades detallado.
Justificación comercial
Parte de la planeación requerirá poder articular las ventajas empresariales de empezar a usar Windows Virtual
Desktop. En la lista siguiente se incluyen los elementos que se van a usar en un caso empresarial.
El plano de control de Windows Virtual Desktop o el plano de administración se proporciona como un
servicio a los clientes. El plano de control administra la conectividad global ininterrumpida del usuario final
en su escritorio, así como la implementación centralizada y la orquestación que requiere TI. Se trata de un
servicio de PaaS en el que no tiene que adquirir hardware, implementarlo, revisarlo ni proporcionarle
soporte técnico. Es un servicio permanente que simplemente se usa. No tiene ningún costo, es un servicio
del que dispone gracias a una licencia que ya posee; por lo tanto, puede lograr un ahorro de costos mediante
este servicio PaaS. Esto también significa que, una vez realizada la migración, no es necesario que realice la
administración, mantenimiento, solución de problemas, corrección de errores, aplicación de revisiones, etc.,
de su propio servicio local de administración de escritorios virtuales. Esto permite al equipo de TI centrarse
en lo más importante, es decir, en ofrecer más valor a la empresa, lo que implica normalmente garantizar a
los clientes la mejor experiencia de usuario posible cuando usen sus aplicaciones y datos.
Sin costes por adelantado. La creación de un escritorio virtual local requiere el pago por adelantado o un
acuerdo de leasing prolongado para todo el hardware necesario para satisfacer la carga máxima demandada,
incluso aunque el hardware no se use a medida que avanza el proyecto, e incluso si el hardware no se utiliza
el 100% del tiempo una vez completado el proyecto. Windows Virtual Desktop y Azure se cobran según el
uso; por lo tanto, solo paga por lo que utiliza. Además, se puede escalar y reducir verticalmente en función de
los requisitos empresariales lo que le permitirá cumplir con estos requisitos y, posteriormente, reducir los
costos mediante una reducción vertical.
Windows Virtual Desktop y Azure tienen una cadencia mucho más rápida en términos de nuevas
características y funcionalidades. El hardware local y el software comercial tienen una vida útil y no reciben
nuevas características o funcionalidades con mucha frecuencia, y normalmente necesitan un proyecto
costoso para su implementación. Windows Virtual Desktop y Azure reciben nuevas funcionalidades de forma
periódica y la implementación la administra Microsoft. Para el usuario, este es un servicio permanente que
simplemente se usa. No necesita un proyecto para implementar nuevos servicios para que los usuarios de su
empresa puedan usarlos. Estas nuevas características pueden proporcionar una ventaja competitiva o al
menos impedir que se vea lastrado por la deuda técnica.
Azure es una nube de hiperescala que puede proporcionar un escalado masivo. Los servicios locales nunca
podrán competir con Azure como plataforma informática. Esto proporciona una agilidad significativa para su
organización. Si la organización tiene la oportunidad de expandirse a otras ubicaciones globales para las que
no se dispone de un centro de datos local, Microsoft puede hospedar este servicio en un número ilimitado de
regiones de Azure, lo cual permite a Microsoft situar la infraestructura y los servicios mucho más cerca de los
usuarios finales de lo que usted podría hacerlo.
La experiencia de usuario enriquecida de Windows 10 que esperan los usuarios finales, al precio de una
solución multisesión. Windows Virtual Desktop permite el escalado de Windows Server con Servicios de
Escritorio remoto junto con la experiencia del usuario de Windows 10, sin poner en peligro la compatibilidad
de las aplicaciones
No hay ningún requisito de licencias de acceso del cliente con Windows 10 multisesión, ya que este no
requiere una licencia CAL.
En Windows Virtual Desktop, si implementa Windows Server (Windows Server 2012 R2, 2016 o 2019), no
es necesario adquirir ninguna licencia de Windows Server.
Todas las máquinas virtuales de Windows Virtual Desktop se cobran según la tarifa de proceso básica.
Windows Virtual Desktop está autorizado mediante otra licencia de la que ya probablemente dispone
(M365 E3+), que incluye la licencia de Windows
Todas las máquinas virtuales de Windows 7 en Windows Virtual Desktop recibirán actualizaciones de
seguridad extendidas gratis hasta el 14 de enero de 2023
Pasos siguientes
Para obtener una guía sobre elementos concretos del recorrido de adopción de la nube, consulte:
Revisión del entorno o las zonas de aterrizaje de Azure
Finalización de una prueba de concepto de Windows Virtual Desktop
Evaluación de la migración o implementación de Windows Virtual Desktop
Implementación o migración de instancias de Windows Virtual Desktop
Lanzamiento de la implementación de Windows Virtual Desktop en producción
Revisión de las zonas de aterrizaje de Azure para
Windows Virtual Desktop
06/03/2021 • 4 minutes to read • Edit Online
Para que el equipo de adopción de la nube de Contoso realice la migración a Windows Virtual Desktop,
necesitará una zona de aterrizaje de Azure que hospede escritorios y cargas de trabajo auxiliares. La siguiente
lista de comprobación sirve de ayuda para que el equipo evalúe la compatibilidad de la zona de aterrizaje. La
guía de la metodología de preparación de este marco puede ayudar al equipo a crear una zona de aterrizaje de
Azure compatible si no se ha proporcionado ninguna.
Evaluación de la compatibilidad
Plan de organización de recursos: la zona de aterrizaje debe incluir referencias a las suscripciones que se
van a usar, instrucciones de uso de los grupos de recursos, y los estándares de etiquetado y la nomenclatura
que el equipo usará al implementar los recursos.
Azure AD: se debe proporcionar una instancia de Azure Active Directory (Azure AD) o un inquilino de
Azure AD para la autenticación de los usuarios finales.
Red: Antes de la migración, debe establecerse toda configuración de red necesaria en la zona de aterrizaje.
VPN o ExpressRoute: además, toda zona de aterrizaje que admita escritorios virtuales necesitará una
conexión de red para que los usuarios finales se conecten a ella y a los recursos hospedados. Si hay un
conjunto existente de puntos de conexión configurados para los escritorios virtuales, se puede seguir
enrutando a los usuarios finales mediante los dispositivos locales con una conexión VPN o Azure
ExpressRoute. Si aún no existe, puede que desee revisar las instrucciones sobre cómo configurar las opciones
de conectividad de red en la metodología de preparación.
Gobernanza, usuarios e identidad: para lograr homogeneidad en el cumplimiento, los requisitos de
control de acceso desde los escritorios virtuales, y de los usuarios y sus identidades deben configurarse
como directivas de Azure y aplicarse a la zona de aterrizaje.
Seguridad: el equipo de seguridad ha revisado la configuración de las zonas de aterrizaje y las ha aprobado
para el uso previsto, como la conexión externa, las aplicaciones críticas o la información confidencial.
Windows Vir tual Desktop: se ha habilitado como plataforma como servicio.
Toda zona de aterrizaje que el equipo desarrolle según los procedimientos recomendados de la metodología de
preparación y que cumpla los requisitos especializados indicados anteriormente sería apta como zona de
aterrizaje para esta migración.
Para aprender a diseñar la arquitectura de Windows Virtual Desktop, revise los requisitos de Windows Virtual
Desktop.
Pasos siguientes
Para obtener una guía sobre elementos concretos del recorrido de adopción de la nube, consulte:
Finalización de una prueba de concepto de Windows Virtual Desktop
Evaluación de la migración o implementación de Windows Virtual Desktop
Implementación o migración de instancias de Windows Virtual Desktop
Lanzamiento de la implementación de Windows Virtual Desktop en producción
Prueba de concepto de Windows Virtual Desktop
06/03/2021 • 5 minutes to read • Edit Online
Antes de que el equipo de adopción de la nube de Contoso implemente sus escritorios de usuario final,
completa y realiza una prueba de concepto para validar la configuración de la zona de aterrizaje de Azure y la
capacidad de la red del usuario final.
El método siguiente para el proceso de migración se ha simplificado para describir la implementación de una
prueba de concepto.
1. Evaluación : el equipo implementa los grupos de host mediante el uso de tamaños de máquina virtual
predeterminados. Los datos de la evaluación ayudan al equipo a identificar no solo el número esperado de
sesiones de usuario simultáneas, sino también el número de máquinas virtuales necesarias para admitir esas
sesiones simultáneas.
2. Implementación : el equipo crea un grupo de hosts para escritorios agrupados mediante una imagen de la
galería de Windows 10 obtenida de Azure Marketplace y el ajuste de tamaño del paso 1 de evaluación.
3. Implementación : el equipo crea grupos de aplicaciones de RemoteApp para las cargas de trabajo que ya se
han migrado.
4. Implementación : el equipo crea un contenedor de perfiles de FSLogix para almacenar los perfiles de
usuario.
5. Lanzamiento : el equipo prueba el rendimiento y la latencia de los grupos de aplicaciones y los escritorios
implementados para realizar un muestreo de los usuarios.
6. Lanzamiento : el equipo incorpora los usuarios finales para enseñarles cómo conectarse mediante el cliente
de escritorio de Windows, el cliente web, el cliente de Android, el cliente de macOS o el cliente de iOS.
Supuestos
El enfoque de prueba de concepto podría satisfacer algunas necesidades de producción, pero se basa en una
serie de supuestos.
Es poco probable que todo lo siguiente se cumpla para todas las migraciones empresariales de Windows Virtual
Desktop. El equipo de adopción debe presuponer que la implementación de producción necesitará una
implementación independiente que se ajuste mejor a los requisitos de producción identificados durante la
evaluación de Windows Virtual Desktop. Dichas suposiciones son:
Los usuarios finales tienen una conexión de baja latencia con la zona de aterrizaje asignada en Azure.
Todos los usuarios pueden trabajar desde un grupo compartido de escritorios.
Todos los usuarios pueden utilizar la imagen de Windows 10 Enterprise para varias sesiones de Azure
Marketplace.
Todos los perfiles de usuario se migrarán a Azure Files, a Azure NetApp Files o a un servicio de
almacenamiento basado en máquinas virtuales para los contenedores de perfiles de FSLogix.
Todos los usuarios se pueden describir mediante un rol común con una densidad de seis usuarios por cada
unidad central de procesamiento virtual (vCPU) y 4 gigabytes (GB) de memoria RAM, tal como se indica en
las recomendaciones de tamaño de la máquina virtual.
Todas las cargas de trabajo son compatibles con Windows 10 Enterprise multisesión.
La latencia entre los escritorios virtuales y los grupos de aplicaciones es aceptable para el uso de producción.
Para calcular el costo del escenario de Windows Virtual Desktop basado en la referencia de la configuración de
la prueba de concepto, el equipo usa la calculadora de precios para las regiones Este de EE. UU., Oeste de Europa
o Sudeste Asiático.
NOTE
Todos estos ejemplos usan Azure Files como servicio de almacenamiento para los perfiles de usuario.
Pasos siguientes
Para obtener una guía sobre elementos concretos del recorrido de adopción de la nube, consulte:
Evaluación de la migración o implementación de Windows Virtual Desktop
Implementación o migración de instancias de Windows Virtual Desktop
Lanzamiento de la implementación de Windows Virtual Desktop en producción
Valoración de Windows Virtual Desktop
06/03/2021 • 12 minutes to read • Edit Online
La prueba de concepto de Windows Virtual Desktop proporciona un ámbito inicial como implementación de
referencia para el equipo de adopción de la nube de Contoso. Pero es poco probable que la salida de esa prueba
de concepto satisfaga las necesidades de producción.
El ejercicio de evaluación de Windows Virtual Desktop sirve para probar supuestos concretos mediante un
proceso controlado por datos. Los datos de la evaluación ayudarán al equipo a responder varias preguntas
importantes, validar o invalidar los supuestos, y refinar el ámbito cuando sea necesario permitir el uso de su
escenario de Windows Virtual Desktop. Este enfoque de validación de supuestos acelera la migración de los
escritorios de usuario final a Windows Virtual Desktop o su implementación.
Cada rol (o cada grupo de usuarios con funciones empresariales y requisitos técnicos únicos) necesitaría una
configuración concreta del grupo de hosts.
La evaluación del usuario final proporcionará los datos necesarios: tipo de grupo, densidad, tamaño, CPU o GPU,
región de la zona de aterrizaje, etc.
A continuación, la evaluación de la configuración del grupo de hosts asigna esos datos a un plan de
implementación. La alineación tanto de los requisitos técnicos y empresariales como del costo ayudará a
determinar el número y la configuración correctos de los grupos de hosts.
Consulte los ejemplos de precios de las regiones Este de EE. UU., Oeste de Europa o Sudeste de Asia.
Grupos de aplicaciones
Los exámenes del entorno local actual que realizan tanto Movere como Lakeside proporcionan datos relativos a
las aplicaciones que se ejecutan en los escritorios de los usuarios finales. Utilice esos datos para crear una lista
de las aplicaciones necesarias para cada rol. En todas estas aplicaciones, las respuestas a las siguientes
preguntas darán forma a las iteraciones de la implementación:
¿Es preciso instalar alguna aplicación para que el rol use este dispositivo de escritorio? Salvo que el rol utilice
aplicaciones de software como servicio basadas totalmente en web, es probable que sea preciso configurar
una imagen maestra personalizada de un disco duro virtual para cada rol, con las aplicaciones necesarias
instaladas en esa imagen.
¿Necesita este rol aplicaciones de Microsoft 365? En caso afirmativo, tendrá que agregar Microsoft 365 a una
imagen maestra personalizada de un disco duro virtual.
¿Es esta aplicación compatible con Windows 10 Enterprise multisesión? Si las aplicaciones no son
compatibles, puede que se necesite un grupo de roles para ejecutar la imagen personalizada del disco duro
virtual. Para obtener ayuda sobre los problemas de compatibilidad de las aplicaciones con Windows Virtual
Desktop, consulte al servicio de asesoría de aplicaciones de escritorio.
¿Es probable que las aplicaciones críticas sufran latencia entre la instancia de Windows Virtual Desktop y los
sistemas de back-end? Si eso sucediera, puede considerar la posibilidad de migrar a Azure los sistemas de
back-end que permiten el uso de la aplicación.
Las respuestas a estas preguntas pueden requerir que el plan incluya la corrección en las imágenes de escritorio
o los componentes de las aplicaciones auxiliares antes de la migración o implementación del escritorio.
Pasos siguientes
Para obtener una guía sobre elementos concretos del recorrido de adopción de la nube, consulte:
Implementación o migración de instancias de Windows Virtual Desktop
Lanzamiento de la implementación de Windows Virtual Desktop en producción
Implementación o migración de Windows Virtual
Desktop
06/03/2021 • 9 minutes to read • Edit Online
En las instrucciones de este artículo se presupone que ha establecido un plan para Windows Virtual Desktop, ha
evaluado los requisitos de implementación del escritorio, ha completado una prueba de concepto y ya está listo
para migrar o implementar las instancias de Windows Virtual Desktop.
Ámbito inicial
La implementación de instancias de Windows Virtual Desktop sigue un proceso similar al de prueba de
concepto. Utilice este ámbito inicial como base de referencia para explicar los distintos cambios de ámbito que
requiere la salida de la evaluación.
Cree un grupo de hosts para escritorios agrupados mediante una imagen de la galería de Windows 10
obtenida de Azure Marketplace y el ajuste de tamaño del paso 1 de ese procedimiento.
Cree grupos de aplicaciones de RemoteApp para las cargas de trabajo que ya se han migrado.
Cree un contenedor de perfiles de FSLogix para almacenar perfiles de usuario.
La implementación o migración constan de las siguientes tareas: migración de roles, migración de aplicaciones y
migración de perfiles de usuario. En función de los resultados de la evaluación de las cargas de trabajo, es
probable que se produzcan cambios en todas esas tareas de migración. Este artículo ayuda a identificar las
distintas formas en que puede cambiar el ámbito en función de los comentarios de la evaluación.
Metodología de iteración
Es probable que cada rol requiera una iteración del ámbito inicial descrito anteriormente, lo que generaría
varios grupos de hosts. En función de la evaluación de Windows Virtual Desktop, el equipo de adopción debería
definir el número de iteraciones según el número de roles o usuarios por rol. El desglose del proceso en
iteraciones controladas por roles ayuda a reducir el impacto que la velocidad de los cambios puede tener en el
negocio y permite que el equipo se centre en la correcta realización de pruebas e incorporaciones de cada uno
de los grupos de roles.
Pasos siguientes
Lanzamiento de la implementación de Windows Virtual Desktop en producción
Tareas posteriores a la implementación de Windows
Virtual Desktop
06/03/2021 • 3 minutes to read • Edit Online
El proceso de lanzamiento tras la migración o la implementación de las instancias de Windows Virtual Desktop
es relativamente sencillo. Este proceso refleja el que se sigue durante la prueba de concepto de Windows Virtual
Desktop:
pruebe el rendimiento y la latencia de los grupos de aplicaciones y los escritorios implementados para
realizar un muestreo de los usuarios.
Incorpore usuarios finales para enseñarles a conectarse mediante el:
Cliente de escritorio de Windows
Cliente web
Cliente de Android
Cliente de macOS
Cliente de iOS
Posterior a la implementación
Una vez finalizado el lanzamiento, es habitual agregar operaciones de registro y diagnósticos para que Windows
Virtual Desktop funcione mejor. También es típico que los equipos de operaciones incorporen los hosts
agrupados y las máquinas virtuales de escritorio a los procedimientos recomendados de administración de
servidores de Azure para administrar los informes, la aplicación de revisiones y las configuraciones de
continuidad empresarial y recuperación ante desastres.
Aunque escapa del ámbito de este escenario de migración, el proceso de lanzamiento puede exponer la
necesidad de migrar cargas de trabajo adicionales a Azure durante las posteriores iteraciones de la migración. Si
no ha configurado Microsoft 365 ni Azure Active Directory, el equipo de adopción de la nube podría incorporar
esos servicios después del lanzamiento de los escenarios de escritorio. En el caso de un modelo de
funcionamiento híbrido, los equipos de operaciones también podrían optar por integrar Intune, System Center u
otras herramientas de administración de la configuración para mejorar las operaciones, el cumplimiento y la
seguridad.
Pasos siguientes
Finalizada la migración de Windows Virtual Desktop, el equipo de adopción de la nube puede comenzar la
siguiente migración específica del escenario. Por otra parte, esta serie de artículos se puede usar de nuevo para
guiar la siguiente migración o implementación de Windows Virtual Desktop si se van a migrar más escritorios.
Planeamiento de la migración o implementación de Windows Virtual Desktop
Revisión del entorno o las zonas de aterrizaje de Azure
Finalización de una prueba de concepto de Windows Virtual Desktop
Evaluación de la migración o implementación de Windows Virtual Desktop
Implementación o migración de instancias de Windows Virtual Desktop
Lanzamiento de la implementación de Windows Virtual Desktop en producción
Procedimientos recomendados de migración de
SQL Server para Azure
06/03/2021 • 2 minutes to read • Edit Online
La migración de SQL Server a Azure puede acelerar la metodología estándar que se describe en el Marco de
adopción Microsoft Cloud. El proceso se muestra en el diagrama siguiente.
Figura 1
En la tabla de contenido de la izquierda se describen los procedimientos recomendados que pueden guiar la
ejecución de la migración de SQL Server. Puede realizar la migración mediante la guía de migración de
Azure Database, Azure Database Migration Service u otras herramientas. Marque esta página para tener una
referencia rápida a la lista completa de procedimientos recomendados.
Azure Stack: una opción estratégica para ejecutar
Azure en cualquier centro de datos
06/03/2021 • 6 minutes to read • Edit Online
Microsoft adopta el enfoque de dar prioridad a la nube para el almacenamiento de datos y las aplicaciones. La
prioridad es trasladar las aplicaciones y los datos a una o varias de las nubes de hiperescala, lo que incluye la
opción de Azure global o una nube regional específica soberana como Azure Alemania o Azure Government.
Azure Stack Hub actúa como otra instancia de una nube soberana, independientemente de que lo usen los
clientes en sus centros de datos o que se consuma a través de un proveedor de servicios en la nube. Sin
embargo, Azure Stack Hub no es una nube de hiperescala y Microsoft no publica ni da soporte a contratos de
nivel de servicio para Azure Stack Hub.
Pasos siguientes
Para obtener una guía sobre elementos concretos del recorrido de adopción de la nube, consulte:
Planeamiento de la migración de Azure Stack Hub
Preparación del entorno
Evaluación de las cargas de trabajo de Azure Stack Hub
Implementación de las cargas de trabajo en Azure Stack Hub
Gobernanza de Azure Stack Hub
Administración de Azure Stack Hub
Planeamiento de la migración a Azure Stack Hub
06/03/2021 • 4 minutes to read • Edit Online
En este artículo se da por supuesto que ha revisado cómo integrar Azure Stack en su estrategia de nube y que el
recorrido se alinea con los ejemplos del artículo.
Antes de pasar directamente a los trabajos de migración de la organización, es importante establecer
apropiadamente las expectativas sobre Azure y Azure Stack Hub. Esto ayuda a evitar que surjan problemas o
contratiempos en fases posteriores del proyecto. La clave para una implementación correcta es saber
perfectamente cuándo usar Azure y cuándo Azure Stack Hub.
Pasos siguientes
Para obtener una guía sobre elementos concretos del recorrido de adopción de la nube, consulte:
Preparación del entorno de nube para la migración de Azure Stack Hub
Evaluación de las cargas de trabajo de Azure Stack Hub
Implementación de las cargas de trabajo en Azure Stack Hub
Gobernanza de Azure Stack Hub
Administración de Azure Stack Hub
Preparación del entorno de nube para la migración
de Azure Stack Hub
06/03/2021 • 4 minutes to read • Edit Online
En este artículo se da por supuesto que ha decidido integrar Azure Stack en su estrategia de nube y ha
desarrollado un plan de para la migración de Azure Stack Hub.
Evalúe primero las dependencias de infraestructura que se deben abordar:
Identidad
Conectividad
Seguridad
Cifrado
Pasos siguientes
Para obtener una guía sobre elementos concretos del recorrido de adopción de la nube, consulte:
Evaluación de las cargas de trabajo de Azure Stack Hub
Implementación de las cargas de trabajo en Azure Stack Hub
Gobernanza de Azure Stack Hub
Administración de Azure Stack Hub
Evaluación de cargas de trabajo para la migración
de Azure Stack Hub
23/03/2021 • 5 minutes to read • Edit Online
En este artículo se da por supuesto que ha decidido integrar Azure Stack en su estrategia de nube, que ha
desarrollado un plan para la migración de Azure Stack Hub y que su entorno está preparado para la migración.
Durante la racionalización del patrimonio digital de la organización en la metodología de planeamiento, se ha
detectado e inventariado cada carga de trabajo y se han tomado decisiones iniciales basadas en datos
cuantitativos. Antes de la implementación de cada carga de trabajo, es importante validar los datos y las
decisiones con datos cualitativos.
Ubicación
El primer punto de datos que se debe tener en cuenta es la selección de ubicación. Es decir, ¿se migrará esta
carga a su nube pública, su nube privada o a cualquier otra plataforma en la nube, como una nube soberana o el
entorno de Azure del proveedor de servicios?
La información de cada una de las secciones siguientes puede ayudar a validar las decisiones sobre la selección
de ubicación. La información también ayuda a exponer los datos útiles durante la implementación de las cargas
de trabajo.
Métricas correctas
Determine las métricas correctas y las tolerancias de disponibilidad:
Rendimiento
Disponibilidad
Resistencia
Enfoque con implementación o migración
Licencias
Evalúe el impacto de las licencias y del soporte técnico:
¿Existen restricciones en las licencias de productos que limiten la transformación?
¿Son compatibles la aplicación o el conjunto de datos con el nuevo entorno?
¿Hay proveedores de software de terceros que necesiten proporcionar instrucciones de soporte técnico?
Requisitos de operaciones
Evite la duplicación de trabajos y optimice los Acuerdos de Nivel de Servicio mediante el examen de la
correlación entre servicios en la nube administrados por TI y servicios específicos de la aplicación.
Tenga en cuenta la automatización necesaria para orquestar el aprovisionamiento de servicios durante la
implementación y la migración de aplicaciones.
Para ayudar a cumplir los requisitos operativos, tenga en cuenta los servicios de escalabilidad y
disponibilidad, como el pago por uso, los conjuntos de disponibilidad, los conjuntos de escalado de
máquinas virtuales, los adaptadores de red y la capacidad de agregar y cambiar el tamaño tanto de las VM y
los discos.
Supervisión
Supervise el mantenimiento del sistema, y el estado y el rendimiento operativos mediante métricas bien
definidas que forman la base de los Acuerdos de Nivel de Servicio que ofrece a los usuarios finales.
Compruebe la seguridad y el cumplimiento, y evalúe hasta qué punto el entorno de la nube cumple los
requisitos legales y de cumplimiento impuestos por la aplicación.
¿Cuáles son los procesos para la copia de seguridad o restauración y la replicación o conmutación por error?
Busque los servicios de protección de datos para la infraestructura como servicio, la plataforma como
servicio y los recursos de software como servicio.
Incorpore varios proveedores, tecnologías y funcionalidades para lograr una estrategia de protección
completa.
Pasos siguientes
Para obtener una guía sobre elementos concretos del recorrido de adopción de la nube, consulte:
Evaluación de las cargas de trabajo de Azure Stack Hub
Implementación de las cargas de trabajo en Azure Stack Hub
Gobernanza de Azure Stack Hub
Administración de Azure Stack Hub
Implementación de cargas de trabajo en Azure
Stack Hub
23/03/2021 • 5 minutes to read • Edit Online
Con Azure Stack, su organización puede ejecutar su propia instancia de Azure en su centro de datos. Las
organizaciones incluyen Azure Stack como parte de su estrategia en la nube porque les ayuda a controlar
situaciones en las que la nube pública no les serviría. Las tres razones más comunes para usar Azure Stack son:
Conectividad de red inestable a la nube pública.
Requisitos normativos o contractuales.
Sistemas de back-end que no se pueden exponer a Internet.
Pasos siguientes
Para obtener una guía sobre elementos concretos del recorrido de adopción de la nube, consulte:
Gobernanza de Azure Stack Hub
Administración de Azure Stack Hub
Gobernanza de una instancia de Azure desde el
centro de datos
06/03/2021 • 2 minutes to read • Edit Online
El control de soluciones híbridas en plataformas de nube pública y privada agrega complejidad. Como la
implementación de Azure Stack Hub es su instancia privada de Azure propia y se ejecuta en su centro de datos,
la complejidad se reduce.
Los procesos empresariales, las disciplinas y muchos de los procedimientos recomendados que se describen en
Metodología de gobernanza de Cloud Adoption Framework se pueden aplicar a la gobernanza híbrida con
Azure Stack Hub. Muchas herramientas nativas de la nube que se usan en la versión de nube pública de Azure
también se pueden utilizar en la implementación de Azure Stack Hub.
Pasos siguientes
Para obtener una guía sobre elementos concretos del recorrido de adopción de la nube, consulte:
Administración de Azure Stack Hub
Administración de cargas de trabajo que se
ejecutan en Azure Stack Hub
06/03/2021 • 3 minutes to read • Edit Online
Las operaciones y la administración de soluciones híbridas en plataformas de nube pública y privada son
complejas y pueden generar riesgos para las operaciones empresariales. Como Azure Stack Hub es la instancia
privada de Azure propia de la organización que se ejecuta en su centro de datos, el riesgo de las operaciones
híbridas se reduce de forma considerable.
Como se describe en la metodología de administración de Cloud Adoption Framework, las actividades
sugeridas de administración de operaciones se centran en la siguiente lista de responsabilidades centrales. Esas
mismas responsabilidades son válidas para los equipos de administración de operaciones que dan soporte a
Azure Stack Hub.
Inventario y visibilidad: cree un inventario de recursos en varias nubes. Desarrolle la visibilidad del estado
de ejecución de cada recurso.
Cumplimiento operativo: establezca controles y procesos para asegurarse de que todos los estados están
configurados correctamente y de que se ejecutan en un entorno bien controlado.
Protección y recuperación: asegúrese de que todos los recursos administrados están protegidos y se
pueden recuperar mediante las herramientas de administración de la línea de base.
Opciones de línea de base mejorada: evalúe las incorporaciones comunes a la línea de base que puedan
satisfacer las necesidades empresariales.
Operaciones de la plataforma: amplíe la línea de base de administración con un catálogo de servicios
bien definido y plataformas administradas centralmente.
Operaciones con cargas de trabajo: amplíe la línea de base de administración para incluir la posibilidad
de centrarse en las cargas de trabajo críticas.
Pasos siguientes
Una vez que la migración de Azure Stack Hub haya alcanzado un estado operativo, puede comenzar la siguiente
iteración de migraciones mediante Azure Stack Hub u otros escenarios de migración de la nube pública de
Azure.
Planeamiento de las migraciones con Azure Stack Hub
Preparación del entorno
Evaluación de las cargas de trabajo de Azure Stack Hub
Implementación de las cargas de trabajo en Azure Stack Hub
Gobernanza de Azure Stack Hub
Administración de Azure Stack Hub
Soluciones de Azure Synapse Analytics
06/03/2021 • 3 minutes to read • Edit Online
Las ofertas actuales del mercado no son suficientes para satisfacer las necesidades en continuo crecimiento de
una organización. Los entornos locales heredados, como Teradata, Netezza y Oracle Exadata, son caros, lentos
para la innovación y poco elásticos. Las organizaciones que usan sistemas locales ahora consideran la
posibilidad de aprovechar las ventajas de la nube, la infraestructura como servicio y las ofertas de plataforma
como servicio innovadoras en entornos más recientes, como Azure.
Muchas organizaciones están preparadas para llevar a cabo el paso de mover tareas costosas como el
mantenimiento de la infraestructura y el desarrollo de las plataformas a un proveedor de nube. En Microsoft
Azure, las organizaciones tienen acceso a un entorno de nube escalable, muy seguro y disponible a nivel global
que incluye Azure Synapse Analytics dentro de un ecosistema de herramientas y funcionalidades
complementarias.
Azure Synapse Analytics proporciona el mejor rendimiento de las bases de datos relacionales gracias al uso de
técnicas como el procesamiento paralelo masivo (MPP) y el almacenamiento en caché automático en memoria.
Los resultados de este enfoque pueden verse en pruebas comparativas independientes, como la ejecutada
recientemente por GigaOm, que compara Azure Synapse con otras ofertas conocidas de almacenamiento de
datos en la nube.
Las organizaciones que ya se han migrado a Azure Synapse Analytics han logrado muchas ventajas, como, por
ejemplo:
Rendimiento y relación precio/rendimiento mejorados.
Mayor agilidad y tiempo de rentabilidad menor.
Implementación de servidores y desarrollo de aplicaciones más rápidos.
Escalabilidad elástica para garantizar que solo se paga por lo que se usa.
Cumplimiento y seguridad avanzados.
Costos reducidos de almacenamiento y recuperación ante desastres.
Menor TCO general y mejor control de costos (gastos operativos).
Para aumentar estas ventajas, es necesario migrar los datos y las aplicaciones existentes a la plataforma Azure
Synapse. En muchas organizaciones, este enfoque incluye la migración de un almacenamiento de datos
existente desde una plataforma local heredada como Teradata, Netezza o Exadata. Las organizaciones necesitan
modernizar su patrimonio de datos con una oferta de análisis que tenga una buena relación precio-rendimiento,
que permita innovaciones rápidas y que sea escalable y realmente elástica. En las secciones siguientes, puede
encontrar más información sobre los procedimientos recomendadas de migración en Teradata, Netezza y
Exadata.
Pasos siguientes
Soluciones de Azure Synapse Analytics para Teradata
Soluciones de Azure Synapse Analytics para Netezza
Soluciones de Azure Synapse Analytics para Exadata
Soluciones y migración de Azure Synapse Analytics
para Teradata
23/03/2021 • 40 minutes to read • Edit Online
De hecho, muchas están preparadas para acometer el paso de pasar las tareas costosas de almacenamiento de
datos, como mantenimiento de la infraestructura y desarrollo de la plataforma, a un proveedor de nube. Las
organizaciones buscan ahora aprovechar las innovaciones de la nube, la infraestructura como servicio y las
ofertas de plataforma como servicio en entornos más novedosos, como Azure.
Azure Synapse Analytics es un servicio de análisis ilimitado que reúne el almacenamiento de datos
empresariales y el análisis de macrodatos. Este servicio ofrece la libertad de consultar los datos a gran escala de
la manera que prefiera: a petición sin servidor o con recursos aprovisionados. Sepa qué debe planear cuando
migre un sistema de Teradata heredado a Azure Synapse.
Aunque Teradata y Azure Synapse son parecidas, ya que ambas son bases de datos SQL diseñadas para usar
técnicas de procesamiento paralelo masivo destinadas a lograr un alto rendimiento de las consultas en grandes
volúmenes de datos, presentan algunas diferencias:
Los sistemas heredados de Teradata se instalan de forma local y usan hardware propio. Azure Synapse está
basado en la nube y usa recursos de almacenamiento y proceso de Azure.
La actualización de una configuración de Teradata es una tarea importante que abarca hardware físico
adicional y una reconfiguración o volcado, y recarga de las bases de datos potencialmente prolongadas. En
Azure Synapse, los recursos de proceso y almacenamiento son independientes, por lo que se pueden escalar
o reducir verticalmente por separado y con facilidad mediante el uso de la escalabilidad elástica de Azure.
Sin un sistema físico que haya que mantener, puede pausar o cambiar el tamaño de Azure Synapse según
sea necesario para reducir el costo y el uso de recursos. En Azure, tiene acceso a un entorno de nube
escalable, muy seguro y disponible a nivel global que incluye Azure Synapse dentro de un ecosistema de
herramientas y funcionalidades complementarias.
En este artículo, se examina la migración de esquemas, con miras a obtener un rendimiento equivalente o mejor
del almacenamiento de datos y de los data marts migrados de Teradata en Azure Synapse. Se considerarán los
problemas que se aplican en concreto a la migración desde un entorno de Teradata existente.
A nivel general, el proceso de migración incluye los pasos que se enumeran en la tabla siguiente:
Definir el ámbito: ¿Qué se quiere Comience con algo pequeño y Supervise y documente todas las
migrar? sencillo. fases del proceso de migración.
Cree un inventario de los datos y Automatice siempre que sea posible. Aproveche la experiencia adquirida
procesos que se van a migrar. Use herramientas y características para generar una plantilla de cara a
Defina cualquier cambio en el integradas de Azure para reducir el migraciones futuras.
modelo de datos. trabajo de migración. Vuelva a diseñar el modelo de datos,
Identifique las mejores herramientas Migre los metadatos de tablas y si es necesario, con el rendimiento y la
y características de Azure y de terceros vistas. escalabilidad de la nueva plataforma.
que se usarán. Migre los datos históricos Pruebe las aplicaciones y
Entrene al personal en la nueva apropiados. herramientas de consulta.
plataforma desde el principio. Migre o refactorice los Realice evaluaciones comparativas y
Configure la plataforma de destino procedimientos almacenados y los optimice el rendimiento de las
de Azure. procesos empresariales. consultas.
Migre o refactorice los procesos de
carga incremental ETL/ELT.
Al migrar desde un entorno de Teradata heredado a Azure Synapse, además de los temas más generales que se
describen en la documentación de Teradata, debe tener en cuenta algunos factores más específicos.
Migración de metadatos
Es razonable automatizar y organizar el proceso de migración mediante las funcionalidades del entorno de
Azure. Este enfoque también minimiza el impacto en el entorno de Teradata existente (que es posible que ya
funcione próximo a la capacidad plena).
Azure Data Factory es un servicio de integración de datos en la nube. Puede usar Data Factory para crear flujos
de trabajo controlados por datos en la nube a fin de organizar y automatizar tanto el movimiento como la
transformación de datos. Las canalizaciones de Data Factory pueden ingerir datos de distintos almacenes de
datos. Después, pueden procesar y transformar los datos mediante servicios de proceso, como Azure HDInsight
para Apache Hadoop y Apache Spark, Azure Data Lake Analytics y Azure Machine Learning.
Empiece por crear metadatos que muestren las tablas de datos que desea migrar junto con sus ubicaciones. A
continuación, use las funciones de Data Factory para administrar el proceso de migración.
Use los metadatos de las tablas del catálogo de Teradata para decidir si alguno de estos tipos de datos se va a
migrar y posteriormente planear los recursos auxiliares en el plan de migración. Por ejemplo, puede usar una
consulta SQL como la que se encuentra en la sección siguiente para buscar cualquier aparición de tipos de datos
no admitidos que deba resolver.
Los proveedores de terceros ofrecen herramientas y servicios que pueden automatizar la migración, incluida la
asignación de tipos de datos entre plataformas. Si ya usa una herramienta ETL de terceros como Informatica o
Talend en el entorno de Teradata, puede utilizarla para implementar las transformaciones de datos necesarias.
Las herramientas y servicios de terceros pueden automatizar las tareas de asignación de datos:
QUALIFY ROW_NUMBER() OVER (PARTITION by col1 ORDER BY col1) = 1;
Aritmética de fecha: Azure Synapse tiene operadores como DATEADD y DATEDIFF , que puede usar en
DATE o DATETIME .
Ejemplo:
SELECT * FROM CUSTOMER WHERE POSTCODE LIKE ANY ('CV1%', 'CV2%', CV3%') ; .
El equivalente en la sintaxis de Azure Synapse es:
SELECT * FROM CUSTOMER WHERE (POSTCODE LIKE 'CV1%') OR (POSTCODE LIKE 'CV2%') OR (POSTCODE LIKE
'CV3%') ;
Pasos siguientes
Para más información sobre la implementación de una migración de Teradata, hable con su representante de
cuentas de Microsoft sobre las ofertas de migración en el entorno local.
Soluciones y migración de Azure Synapse Analytics
en Netezza
23/03/2021 • 37 minutes to read • Edit Online
Debido a que el soporte técnico de IBM para Netezza finaliza, muchas organizaciones que actualmente usan
sistemas de almacenamiento de datos de Netezza buscan aprovechar las ventajas de las ofertas de nube
innovadoras, de infraestructura como servicio y de plataforma como servicio en entornos más nuevos como
Azure. De hecho, muchas están preparadas para acometer el paso de pasar las tareas costosas, como
mantenimiento de la infraestructura y desarrollo de la plataforma, a un proveedor de nube.
Azure Synapse Analytics es un servicio de análisis ilimitado que reúne el almacenamiento de datos
empresariales y el análisis de macrodatos. Este servicio ofrece la libertad de consultar los datos a gran escala de
la manera que prefiera: a petición sin servidor o con recursos aprovisionados. Conozca lo que debe planear
cuando migre un sistema Netezza heredado a Azure Synapse.
Netezza y Azure Synapse son parecidos, ya que ambos son una base de datos SQL diseñada para usar técnicas
de procesamiento paralelo masivo destinadas a lograr un alto rendimiento de las consultas en grandes
volúmenes de datos. Sin embargo, las dos plataformas presentan algunas diferencias importantes:
Los sistemas Netezza heredados se instalan de forma local y usan hardware propio. Azure Synapse está
basado en la nube y usa recursos de almacenamiento y proceso de Azure.
La actualización de una configuración de Netezza es una tarea importante que abarca hardware físico
adicional y una reconfiguración o volcado y recarga de las bases de datos potencialmente largas. En Azure
Synapse, los recursos de almacenamiento y proceso son independientes. Puede usar la escalabilidad elástica
de Azure para escalarlos o reducirlos verticalmente de forma independiente.
Sin un sistema físico que haya que mantener, puede pausar o cambiar el tamaño de Azure Synapse según
sea necesario para reducir el costo y el uso de recursos. En Azure, tiene acceso a un entorno de nube
escalable, muy seguro y disponible a nivel global que incluye Azure Synapse dentro de un ecosistema de
herramientas y funcionalidades complementarias.
En este artículo, se examina la migración de esquemas, con miras a obtener un rendimiento equivalente o mejor
del almacenamiento de datos y de los data marts migrados de Netezza en Azure Synapse. Se considerarán los
problemas que se aplican en concreto a la migración desde un entorno de Netezza existente.
A nivel general, el proceso de migración incluye los pasos que se enumeran en la tabla siguiente:
Definir el ámbito: ¿Qué se quiere Comience con algo pequeño y Supervise y documente todas las
migrar? sencillo. fases del proceso de migración.
Cree un inventario de los datos y Automatice siempre que sea posible. Aproveche la experiencia adquirida
procesos que se van a migrar. Use herramientas y características para generar una plantilla de cara a
Defina cualquier cambio en el integradas de Azure para reducir el migraciones futuras.
modelo de datos. trabajo de migración. Vuelva a diseñar el modelo de datos,
Identifique las mejores herramientas Migre los metadatos de tablas y si es necesario, con el rendimiento y la
y características de Azure y de terceros vistas. escalabilidad de la nueva plataforma.
que se usarán. Migre los datos históricos Pruebe las aplicaciones y
Entrene al personal en la nueva apropiados. herramientas de consulta.
plataforma desde el principio. Migre o refactorice los Realice evaluaciones comparativas y
Configure la plataforma de destino procedimientos almacenados y los optimice el rendimiento de las
de Azure. procesos empresariales. consultas.
Migre o refactorice los procesos de
carga incremental ETL o ELT.
Al migrar de un entorno de Netezza heredado a Azure Synapse, además de los temas más generales que se
describen en la documentación de Netezza, debe tener en cuenta algunos factores específicos.
Migración de metadatos
Es razonable automatizar y organizar el proceso de migración mediante las funcionalidades del entorno de
Azure. Este enfoque también reduce el impacto en el entorno de Netezza existente (que podría estar ya próximo
a la capacidad máxima).
Azure Data Factory es un servicio de integración de datos en la nube. Puede usar Data Factory para crear flujos
de trabajo controlados por datos en la nube a fin de organizar y automatizar tanto el movimiento como la
transformación de datos. Las canalizaciones de Data Factory pueden ingerir datos de almacenes de datos
dispares y, luego, procesar y transformar los datos mediante servicios de proceso como Azure HDInsight para
Apache Hadoop y Apache Spark, Azure Data Lake Analytics y Azure Machine Learning. Para comenzar, cree
metadatos para mostrar las tablas de datos que quiere migrar, con sus ubicaciones y, luego, use las
funcionalidades de Data Factory para administrar el proceso de migración.
AGE: Netezza admite el operador AGE para proporcionar el intervalo entre dos valores
temporales (por ejemplo, marcas de tiempo y fechas). Por ejemplo:
SELECT AGE ('23-03-1956', '01-01-2019') FROM ...
El mismo resultado se puede obtener en Azure Synapse mediante DATEDIFF (tenga en cuenta la
secuencia de representación de fecha):
SELECT DATEDIFF(day, '1956-03-23', '2019-01-01') FROM ...
Si hay suficiente ancho de banda de red, los datos se pueden extraer directamente de un sistema de Netezza
local en tablas de Azure Synapse o en almacenamiento de datos de Azure mediante procesos de Data Factory o
productos ETL o de migración de datos de terceros.
Los formatos de datos recomendados para los datos extraídos son archivos de texto delimitados (también
denominados valores separados por comas), archivos de columnas de filas optimizadas o archivos Parquet.
Se puede encontrar información más detallada sobre el proceso de migración de datos y ETL desde un entorno
de Netezza en la documentación de Netezza sobre ETL de migración de datos y carga.
Pasos siguientes
Para más información sobre la implementación de una migración de Netezza, hable con su representante de
cuentas de Microsoft sobre las ofertas de migración locales.
Soluciones y migración de Azure Synapse Analytics
para un almacenamiento de datos de Oracle
06/03/2021 • 5 minutes to read • Edit Online
Un esquema de almacenamiento de datos de Oracle difiere de Azure Synapse Analytics de varias maneras. Entre
las diferencias se incluyen las de las bases de datos, tipos de datos y diversos tipos de objetos de base de datos
de Oracle que no se admiten en Azure Synapse Analytics.
Al igual que otros sistemas de administración de bases de datos, al migrar un almacenamiento de datos de
Oracle a Azure Synapse, observará que hay varias bases de datos independientes en Oracle y una sola base de
datos en Azure Synapse. Puede que sea necesario usar una nueva convención de nomenclatura, como la
concatenación de nombres de tablas y esquemas de Oracle, para mover tablas y vistas de la base de datos
provisional del almacenamiento de datos de Oracle, la base de datos de producción y las bases de datos de data
marts a Azure Synapse.
No se admiten varios objetos de base de datos de Oracle en Azure Synapse. Entre los objetos de base de datos
que no se admiten en Azure Synapse se incluyen índices en mapas de bits de Oracle, índices basados en
funciones, índices de dominio, tablas agrupadas de Oracle, desencadenadores en el nivel de fila, tipos de datos
definidos por el usuario y procedimientos almacenados de PL/SQL. Estos objetos se pueden identificar mediante
la consulta de varias vistas y tablas del catálogo del sistema de Oracle. En algunos casos, puede usar soluciones
alternativas. Por ejemplo, se pueden usar otros tipos de índices o particiones de Azure Synapse para solucionar
los tipos de índices no admitidos en Oracle. Puede usar vistas materializadas en lugar de tablas agrupadas de
Oracle, siempre y herramientas de migración como SQL Server Migration Assistant para que Oracle pueda
traducir al menos algo de código PL/SQL.
Al migrar un esquema de almacenamiento de datos de Oracle, también debe tener en cuenta las diferencias de
los tipos de datos en las columnas. Para encontrar las columnas de los esquemas de data marts y de
almacenamiento de datos de Oracle que tengan tipos de datos que no se asignen a tipos de datos de Azure
Synapse, consulte el catálogo de Oracle. En algunos de estos casos, puede usar soluciones alternativas.
Para mantener o mejorar el rendimiento del esquema después de la migración, tenga en cuenta los mecanismos
de rendimiento, como la indexación de Oracle, que tiene actualmente en vigor. Por ejemplo, los índices en mapa
de bits que Oracle consulta con frecuencia pueden indicar que la creación de un índice no agrupado en el
esquema migrado de Azure Synapse resultaría beneficiosa.
Entre los procedimientos recomendados de Azure Synapse se incluye el uso de la distribución de datos para
ubicar conjuntamente los datos que se van a combinar en el mismo nodo de procesamiento. Otra
procedimiento recomendado en Azure Synapse es asegurarse de que los tipos de datos de las columnas que se
van a combinar sean idénticos. El uso de columnas de combinación idénticas optimiza el procesamiento de las
combinaciones mediante la reducción de la necesidad de transformar los datos para que coincidan. En Azure
Synapse, no suele ser necesario migrar todos los índices de Oracle, ya que otras características proporcionan un
alto rendimiento. Así, se pueden usar en su lugar las opciones de procesamiento de consultas en paralelo, datos
en memoria, almacenamiento en caché de conjuntos de resultados y distribución de datos para reducir la E/S.
SQL Server Migration Assistant le puede ayudar a migrar un almacenamiento de datos o un data mart de
Oracle en Azure Synapse. SQL Server Migration Assistant está diseñado para automatizar el proceso de
migración de tablas, vistas y datos desde un entorno de Oracle existente. Entre otras características, SQL Server
Migration Assistant recomienda distribuciones de datos y tipos de índices para las tablas de Azure Synapse de
destino, y aplica asignaciones de tipos de datos durante la migración. Aunque SQL Server Migration Assistant
no será la estrategia más eficaz para grandes volúmenes de datos, resulta útil en el caso de tablas más
pequeñas.
Información general sobre la migración del sistema
central
06/03/2021 • 11 minutes to read • Edit Online
Muchas empresas y organizaciones se benefician del traslado de algunas o todas sus bases de datos,
aplicaciones y cargas de trabajo de sistema central a la nube. Azure proporciona características similares al
sistema central en el escalado de la nube sin muchos de los inconvenientes asociados a los sistemas centrales.
Normalmente, el término sistema central hace referencia a un equipo de gran tamaño, pero, actualmente, la
inmensa mayoría de los sistemas centrales implementados son servidores IBM System Z o sistemas
compatibles con enchufe IBM que ejecutan MVS, DOS, VSE, OS/390 o z/OS. Los sistemas centrales continúan
usándose en muchos sectores para ejecutar sistemas de información vitales y ocupan un lugar en situaciones
muy específicas, como entornos de TI donde se realizan una gran cantidad de transacciones y que tienen gran
volumen y tamaño.
La migración a la nube permite a las empresas modernizar su infraestructura. Con los servicios en la nube,
puede hacer que las aplicaciones de sistema central y el valor que proporcionan estén disponibles como carga
de trabajo siempre que su organización así lo necesite. Muchas cargas de trabajo pueden transferirse a Azure
con solo leves cambios en el código, como la actualización de los nombres de las bases de datos. Puede migrar
cargas de trabajo más complejas con un enfoque por fases.
La mayoría de las empresas Fortune 500 ya ejecutan Azure para sus cargas de trabajo críticas. Incentivos finales
significativos de Azure fomentan muchos proyectos de migración. Normalmente, las empresas trasladan las
cargas de trabajo de desarrollo y pruebas a Azure primero, a lo que le sigue DevOps, el correo electrónico y la
recuperación ante desastres.
Destinatarios
Si tiene en cuenta una migración o la adición de servicios en la nube como opción para su entorno de TI, esta
guía es para usted.
Ayuda a las organizaciones de TI a iniciar la conversación sobre la migración. Puede que esté más familiarizado
con Azure y las infraestructuras basadas en la nube que con los sistemas centrales, de modo que esta guía
comienza con información general sobre el funcionamiento de los sistemas centrales y continúa con diversas
estrategias para determinar qué y cómo migrar.
Pasos siguientes
Mitos y verdades
Mitos y verdades del sistema central
23/03/2021 • 4 minutes to read • Edit Online
Los sistemas centrales aparecen de en un lugar destacado de la historia de la informática y siguen siendo
viables para cargas de trabajo muy específicas. La mayoría está de acuerdo en que los sistemas centrales son
una plataforma probada, con procedimientos operativos arraigados, que los convierten en entornos de
confianza y sólidos. Hay ejecuciones de software basadas en el uso, medidas en millones de instrucciones por
segundo (MIPS), e informes extensos del uso disponibles para anulaciones.
La confiabilidad, la disponibilidad y la capacidad de procesamiento de los sistemas centrales se han encargado
de proporciones casi míticas. Para evaluar las cargas de trabajo de los sistemas centrales que son más
adecuadas para Azure, primero debe distinguir entre los mitos y la realidad.
Mito: Los servidores basados en Intel no son tan eficaces como los
sistemas centrales.
Los nuevos sistemas basados en Intel con núcleo denso tienen tanta capacidad de proceso como los sistemas
centrales.
Resumen
En comparación, Azure proporciona una plataforma alternativa que es capaz de ofrecer unas características y
una funcionalidad equivalentes a un sistema central con un costo mucho menor. Además, el costo total de
propiedad (TCO) del modelo de costo controlado por el uso basado en suscripciones de la nube es mucho más
económico que los sistemas centrales.
Pasos siguientes
Realizar el cambio desde sistemas centrales a Azure
Realizar el cambio desde sistemas centrales a Azure
06/03/2021 • 11 minutes to read • Edit Online
Como plataforma alternativa para ejecutar aplicaciones de sistemas centrales tradicionales, Azure ofrece un
proceso y el almacenamiento en hiperescala de un entorno de alta disponibilidad. Obtenga el valor y la agilidad
de una plataforma moderna basada en la nube sin los costos asociados a un entorno de sistema central.
En esta sección se proporciona orientación técnica para hacer el cambio desde una plataforma de sistema
central a Azure.
NOTE
Estas estimaciones pueden cambiar a medida que la nueva serie de máquinas virtuales (VM) esté disponible en Azure.
Alta disponibilidad y conmutación por error
Los sistemas centrales a menudo ofrecen cinco 9s de disponibilidad (99.999 por ciento) cuando se usan el
acoplamiento de sistemas centrales y el Sysplex Paralelo. Sin embargo, los operadores de sistemas aún deben
programar el tiempo de inactividad del mantenimiento y las cargas iniciales del programa (IPL). La
disponibilidad real se acerca a dos o tres 9s, a la par con los servidores de gama alta, basados en Intel.
En comparación, Azure ofrece Acuerdos de Nivel de Servicio (SLA) basados en el compromiso, donde la
disponibilidad de varios nueves es el valor predeterminado y está optimizada con la replicación local o basada
en información geográfica de los servicios.
Azure proporciona disponibilidad adicional al replicar datos de varios dispositivos de almacenamiento, ya sea
localmente o en otras regiones geográficas. Si se produce un error basado en Azure, los recursos del proceso
pueden obtener acceso a los datos replicados a nivel regional o local.
Cuando usa recursos de plataforma como servicio (PaaS) de Azure, como Azure SQL Database y Azure
Cosmos DB, Azure puede administrar automáticamente las conmutaciones por error. Cuando se usa la
infraestructura de Azure como servicio (IaaS), la conmutación por error se basa en las funciones específicas del
sistema, como las características Always On de SQL Server, las instancias de clústeres de conmutación por error
y los grupos de disponibilidad.
Escalabilidad
Los sistemas centrales suelen escalarse verticalmente, mientras que los entornos de nube se escalan
horizontalmente. Los sistemas centrales también pueden escalarse horizontalmente si usan una instalación de
acoplamiento (CF), pero debido a los elevados costos que conllevan el hardware y el almacenamiento, resulta
caro escalarlos horizontalmente.
Una instalación de acoplamiento también ofrece un proceso estrechamente acoplado, mientras que las
características de escalamiento horizontal de Azure están acopladas débilmente. La nube puede escalarse
verticalmente u horizontalmente para que coincida con las especificaciones exactas del usuario, con la potencia
del proceso, el almacenamiento y los servicios que se escalan a petición según un modelo de facturación basado
en el uso.
Storage
Para comprender cómo funcionan los sistemas centrales, debe descodificar varios términos que se superponen.
Por ejemplo, el almacenamiento central, la memoria real, el almacenamiento real y el almacenamiento principal
generalmente se refieren al almacenamiento conectado directamente al procesador del sistema central.
El hardware del sistema central incluye procesadores y otros dispositivos, como dispositivos de almacenamiento
de acceso directo (DASD), unidades de cinta magnética y varios tipos de consolas de usuario. Los programas de
usuario usan las cintas y los DASD en las funciones del sistema.
Los tipos de almacenamiento físico para sistemas centrales incluyen:
Almacenamiento central : ubicado directamente en el procesador del sistema central, también se conoce
como procesador o almacenamiento real.
Almacenamiento auxiliar : está separado del sistema central; este tipo incluye el almacenamiento en DASD
y también se conoce como almacenamiento de paginación.
La nube ofrece una gama de opciones flexibles y escalables, y solo deberá pagar las opciones que necesite.
Azure Storage ofrece un almacén de objetos que se puede escalar de forma masiva destinado a objetos de
datos, un servicio de sistema de archivos para la nube, un almacén de mensajería para mensajería confiable y
un almacén NoSQL. En cuanto a las máquinas virtuales, los discos administrados y no administrados
proporcionan un almacenamiento de disco persistente y seguro.
Pasos siguientes
Migrar la aplicación del sistema central
Migración de aplicaciones del sistema central
23/03/2021 • 24 minutes to read • Edit Online
Al migrar aplicaciones de entornos de sistema central a Azure, la mayoría de los equipos siguen un enfoque
pragmático: reutilizar siempre que sea posible y, después, iniciar una implementación por fases en la que las
aplicaciones se reescriben o se reemplazan.
Normalmente, la migración de aplicaciones implica una o varias de las estrategias siguientes:
Rehospedaje: puede trasladar el código, los programas y las aplicaciones existentes desde el sistema
central y, después, recompilar el código que se ejecutará en un emulador de sistema central hospedado
en una instancia de la nube. Normalmente, este enfoque comienza con el traslado de las aplicaciones a
un emulador basado en la nube y, después, se migra la base de datos a una base de datos en la nube. Hay
que hacer algunos trabajos de ingeniería y refactorización, además de las conversiones de datos y
archivos.
Como alternativa, puede rehospedar mediante un proveedor de hospedaje tradicional. Una de las
principales ventajas de la nube es la subcontratación de la administración de la infraestructura. Puede
encontrar un proveedor de centro de datos que hospede sus cargas de trabajo de sistema central. Este
modelo puede darle algo de tiempo, reducir el bloqueo de los proveedores y producir un ahorro de los
costos intermedios.
Retirada: todas las aplicaciones que ya no son necesarias deberán retirarse antes de la migración.
Recompilación: algunas organizaciones deciden volver a escribir los programas usando técnicas
modernas. Dado el costo adicional y la complejidad de este enfoque, no es tan común como una
migración mediante lift-and-shift. Después de este tipo de migración, suele ser conveniente reemplazar
los módulos y el código mediante motores de transformación de código.
Reemplazo: este método reemplaza la funcionalidad del sistema central por las características en la
nube equivalentes. El software como servicio (SaaS) es una opción, que consiste en usar una solución
creada específicamente para abordar una cuestión empresarial; por ejemplo, finanzas, recursos humanos,
producción o planeamiento de recursos empresariales. Además, ahora hay disponibles muchas
aplicaciones específicas del sector para resolver los problemas que antes solían resolver las soluciones
del sistema central personalizadas.
Plantéese comenzar con el planeamiento de las cargas de trabajo que desea migrar inicialmente y, después,
determine los requisitos para trasladar las aplicaciones, las bases de código heredado y las bases de datos
asociados.
C O M P O N EN T E O P C IO N ES DE A Z URE
Soluciones de socios
Si se está planteando migrar un sistema central, el ecosistema de asociados está disponible para ayudarlo.
Azure es una infraestructura probada que ofrece alta disponibilidad y escalabilidad para los sistemas que
actualmente se ejecutan en sistemas centrales. Algunas cargas de trabajo se pueden migrar con relativa
facilidad. Otras cargas de trabajo que dependen de software del sistema heredado, como CICS e IMS, pueden
rehospedarse con las soluciones de los asociados y migrarse a Azure con el tiempo. Independientemente de la
opción que elija, Microsoft y nuestros asociados están a su disposición para ayudarlo a optimizar su
implementación en Azure, manteniendo la funcionalidad del software en el sistema central.
Más información
Para obtener más información, consulte los siguientes recursos:
Comience a usar Azure
Implementación de IBM DB2 pureScale en Azure
Documentación de Host Integration Server
Procedimientos recomendados para proteger y
gestionar las cargas de trabajo migradas a Azure
23/03/2021 • 67 minutes to read • Edit Online
A medida que planea y diseña la migración, además de pensar en la migración propiamente dicha, debe tener
en cuenta el modelo de seguridad y administración en Azure después de la migración. En este artículo se
describe el planeamiento y los procedimientos recomendados para proteger la implementación de Azure
después de la migración. También se abordan las tareas en curso para mantener el funcionamiento de la
implementación en un nivel óptimo.
IMPORTANT
Los procedimientos recomendados y las opiniones que se describen en este artículo se basan en la plataforma de Azure y
las características del servicio disponibles en el momento de redactar el artículo. Las características y funcionalidades
cambian con el tiempo.
Figura 7: Etiquetado.
Más información:
Más información sobre el etiquetado y las limitaciones de las etiquetas.
Consulte los ejemplos de PowerShell y la CLI para configurar el etiquetado y para aplicar las etiquetas de un
grupo de recursos a sus recursos.
Consulte los procedimientos recomendados de etiquetado de Azure.
Pasos siguientes
Examine otros procedimientos recomendados:
Procedimientos recomendados para las redes después de la migración.
Procedimientos recomendados para la administración de costos después de la migración.
Lista de comprobación de procedimientos
recomendados para la migración a la nube de
Azure
06/03/2021 • 4 minutes to read • Edit Online
Si está interesado en la migración a Azure, comience por la guía de migración de Azure de Cloud Adoption
Framework. Esta guía le guiará a través de un conjunto de herramientas y enfoques básicos para la migración
de máquinas virtuales a la nube.
En las siguientes listas de comprobación encontrará procedimientos recomendados para la migración a la nube
de Azure que van más allá de las herramientas nativas de la nube básicas. Aquí se describen las áreas comunes
de complejidad que podrían requerir que el ámbito de la migración se ampliara más allá de la guía de migración
a Azure.
Pasos siguientes
La siguiente información es un buen punto de partida para examinar los procedimientos recomendados para la
migración de Azure.
Varios centros de datos
Varios centros de datos
06/03/2021 • 6 minutes to read • Edit Online
A menudo, el ámbito de una migración implica la transición de varios centros de datos. La siguiente guía amplía
el ámbito de la guía de migración de Azure para dar respuesta a varios centros de datos.
IMPORTANT
En primer lugar, es necesario que un experto en la materia que entienda los esquemas de dirección IP y la ubicación de
los recursos identifique los recursos que residen en un centro de datos secundario.
Evalúe tanto las dependencias de nivel inferior como los clientes en la visualización para comprender las dependencias
bidireccionales.
Cambios del proceso de migración
La migración de varios centros de datos se parece al proceso de consolidación. Después de la migración, la nube
se convierte en la solución singular de centro de datos para varios recursos. La expansión de ámbito más
probable durante el proceso de migración es la validación y la alineación de las direcciones IP.
Acción sugerida durante el proceso de migración
A continuación se indican las actividades que afectan en gran medida al éxito de una migración en la nube:
Evaluación de los conflictos de red: Al consolidar los centros de recursos en un solo proveedor de nube,
es probable que cree conflictos de red, DNS u otros. Durante la migración, es importante comprobar si hay
conflictos para evitar interrupciones en los sistemas de producción hospedados en la nube.
Actualización de las tablas de enrutamiento: A menudo, las modificaciones en las tablas de
enrutamiento son necesarias al consolidar redes o centros de datos.
Pasos siguientes
Vuelva a la lista de comprobación para asegurarse de que el método de migración está totalmente alineado.
Lista de comprobación de procedimientos recomendados de migración
Guía de decisiones sobre regiones de Azure
12/03/2021 • 35 minutes to read • Edit Online
Azure abarca muchas regiones de todo el mundo. Cada una de las regiones de Azure tiene unas características
concretas, lo que hace que elegir cuál de ellas se usa sea algo extraordinariamente importante. Estas incluyen
servicios disponibles, capacidad, restricciones y soberanía:
Ser vicios disponibles: los servicios que se implementan en cada región varían en función de varios
factores. Seleccione para la carga de trabajo una región que contenga el servicio que desea. Para más
información, consulte Productos disponibles por región.
Capacidad : cada región tiene una capacidad máxima. Esto puede afectar a los tipos de suscripciones que
pueden implementar los tipos de servicios y en qué circunstancias. La capacidad es diferente a las cuotas de
suscripción. Si planea una migración a gran escala del centro de datos a Azure, puede que quiera consultarlo
con el equipo de campo local de Azure o con el administrador de cuentas para confirmar que puede realizar
la implementación a la escala necesaria.
Restricciones: la implementación de servicios en determinadas regiones está sujeta a ciertas restricciones.
Por ejemplo, algunas regiones solo están disponibles como destino de copia de seguridad o de conmutación
por error. Otras restricciones que se deben tener en cuenta son los requisitos de soberanía de los datos.
Soberanía: determinadas regiones están dedicadas a entidades soberanas concretas. Aunque todas las
regiones son regiones de Azure, estas regiones soberanas están completamente aisladas del resto de Azure.
Microsoft no las administra necesariamente y podrían estar restringidas a determinados tipos de clientes.
Estas regiones soberanas son:
Azure China 21Vianet
Azure Alemania: Azure Alemania está en desuso en favor de regiones de Azure no soberanas estándar
en Alemania.
Azure Gobierno de EE. UU.
Microsoft administra dos regiones de Australia, pero se proporcionan para el gobierno australiano y
sus clientes y contratistas. Por lo tanto, estas regiones llevan unas restricciones del cliente similares a
las demás nubes soberanas.
WARNING
No intente utilizar el almacenamiento con redundancia geográfica de Azure para las operaciones de copia de
seguridad o recuperación de máquinas virtuales. Use mejor Azure Backup y Azure Site Recovery, junto con Azure
Managed Disks, para respaldar la resistencia de las cargas de trabajo de infraestructura como servicio (IaaS).
Azure Backup y Azure Site Recovery funcionan de forma conjunta con el diseño de la red para facilitar la
resistencia regional para sus necesidades de IaaS y de copia de seguridad de datos. Asegúrese de que la
red está optimizada para que las transferencias de datos permanezcan en la red troncal de Microsoft, y
use el emparejamiento de redes virtuales si es posible. Algunas organizaciones de mayor tamaño con
implementaciones globales pueden usar en su lugar ExpressRoute Premium para enrutar el tráfico entre
regiones y ahorrarse los posibles costos de salida regionales.
Los grupos de recursos de Azure son específicos de cada región. Sin embargo, es normal que los
recursos de un grupo de recursos abarquen varias regiones. Tenga en cuenta que, en caso de error en
una región, las operaciones del plano de control en un grupo de recursos producirán un error en la
región afectada, aunque los recursos de otras regiones (dentro de ese grupo de recursos) sigan
funcionando. Esto puede afectar tanto al diseño de la red como al del grupo de recursos.
Muchos servicios de plataforma como servicio (PaaS) dentro de Azure admiten puntos de conexión de
servicio o Azure Private Link. Ambas soluciones afectan notablemente a aspectos de la red como la
resistencia, la migración y la gobernanza regionales.
Muchos servicios de PaaS se basan en sus propias soluciones de resistencia regional. Por ejemplo, tanto
Azure SQL Database como Azure Cosmos DB permiten realizar fácilmente réplicas en regiones
adicionales. Los servicios como Azure DNS no tienen dependencias regionales. A la hora de considerar
qué servicios va a utilizar en el proceso de adopción, asegúrese de que conoce a la perfección las
funcionalidades de la conmutación por error y los pasos de recuperación que puede necesitar cada
servicio de Azure.
Además de realizar la implementación en varias regiones para permitir la recuperación ante desastres,
muchas organizaciones deciden usar un patrón activo-activo en la implementación para que no sea
necesaria ninguna conmutación por error. Este método ofrece las ventajas adicionales de equilibrio de
carga global, tolerancia a errores adicional y mejoras del rendimiento de la red. Para sacar el máximo
partido a este patrón, las aplicaciones deben admitir la ejecución activa-activa en varias regiones.
WARNING
Las regiones de Azure son construcciones de alta disponibilidad a las que se ha aplicado un Acuerdo de Nivel de Servicio a
los servicios que se ejecutan en ellas. Pero nunca debe haber dependencia de una sola región en las aplicaciones con
misiones críticas. Disponga siempre de algún plan contra errores regionales y practique medidas de recuperación y de
mitigación.
Complejidad de documentos
La tabla siguiente puede ayudar a documentar los resultados de los pasos anteriores:
C EN T RO S DE
USUA RIO S DATO S O REQ UISITO S DE
EM P L EA DO S EXT ERN O S REC URSO S SO B ERA N ÍA DE
REGIO N C O UN T RY LO C A L ES LO C A L ES LO C A L ES DATO S
IMPORTANT
En primer lugar, es necesario que un experto en la materia que entienda los esquemas de dirección IP y la ubicación de
los recursos identifique los recursos que residen en un centro de datos secundario.
Evalúe tanto las dependencias de nivel inferior como los clientes en la visualización para comprender las dependencias
bidireccionales.
Identificación del impacto en el usuario global: las salidas del análisis de perfiles de usuario de requisito
previo deben identificar las cargas de trabajo afectadas por los perfiles de usuario globales. Cuando un
candidato a la migración se encuentra en la lista de cargas de trabajo afectadas, el arquitecto que prepara la
migración debe consultar a los expertos en redes y operaciones para validar las expectativas de enrutamiento y
rendimiento de la red. Como mínimo, la arquitectura debe incluir una conexión ExpressRoute entre el centro de
operaciones de red más cercano y Azure. La arquitectura de referencia para las conexiones de ExpressRoute
puede ayudar a configurar la conexión necesaria.
Diseño para el cumplimiento: las salidas del análisis de perfiles de usuario de requisito previo deben
identificar las cargas de trabajo afectadas por los requisitos de soberanía de datos. Durante las actividades de
arquitectura del proceso de evaluación, el arquitecto asignado debe consultar a expertos en cumplimiento para
comprender los requisitos de migración e implementación en varias regiones. Esos requisitos afectan
considerablemente a las estrategias de diseño. Las arquitecturas de referencia para aplicaciones web de varias
regiones y aplicaciones de n niveles de varias regiones pueden contribuir al diseño.
WARNING
Al usar cualquiera de las arquitecturas de referencia anteriores, puede ser necesario excluir elementos de datos específicos
de los procesos de replicación para cumplir con los requisitos de soberanía de datos. Esto agregará un paso adicional al
proceso de promoción.
NOTE
Este enfoque puede aumentar los costos de migración a corto plazo debido a los cargos adicionales de ancho de banda
de salida.
En una migración a la nube, los recursos se replican y se sincronizan por la red entre el centro de datos existente
y la nube. No es infrecuente que los requisitos de tamaño de datos existentes de varias cargas de trabajo
superen la capacidad de la red. En dicho escenario, el proceso de migración se puede ralentizar de manera
considerable o, en algunos casos, se puede detener por completo. En las instrucciones siguientes se expande el
ámbito de la Guía de migración a Azure para proporcionar una solución para las limitaciones de la red.
IMPORTANT
Al concluir el análisis, podría ser necesario actualizar el plan de migración para que refleje el tiempo necesario para enviar,
restaurar y sincronizar los recursos que se van a transferir sin conexión.
Análisis de la desviación: se debe analizar cada recurso que se va a transferir sin conexión para conocer la
desviación del almacenamiento y la configuración. La desviación del almacenamiento es la cantidad de cambios
en el almacenamiento subyacente a lo largo del tiempo. La desviación de la configuración es el cambio en la
configuración del recurso a lo largo del tiempo. Desde el momento en el que se copia el almacenamiento al
momento en el que el recurso se envía a producción, esa desviación se podría perder. Si es necesario reflejar esa
desviación en el recurso migrado,deberá sincronizar el recurso local y el migrado. Marque esto para tenerlo en
cuenta durante la ejecución de la migración.
Cambios del proceso de migración
Cuando se usan mecanismos de transferencia sin conexión, no se suelen necesitar procesos de replicación, pero
sí procesos de sincronización. Entender los resultados del análisis de desviación a partir del proceso de
evaluación proporcionará información sobre las tareas necesarias durante la migración si hay algún recurso que
se transfiere sin conexión.
Acción sugerida durante el proceso de migración
Copia del almacenamiento: este enfoque sirve para transferir datos de HDFS, copias de seguridad, archivos,
servidores de archivos o aplicaciones. La guía técnica existente explica cómo usar este enfoque para transferir
datos desde un almacén de HDFS o desde discos con SMB, NFS, REST o el servicio de copia de datos a Data Box.
También hay soluciones de terceros asociados que usan Azure Data Box para la migración. Con estas soluciones
se mueve un gran volumen de datos por transferencia sin conexión, pero se sincroniza más adelante por la red a
una escala inferior.
Envío del dispositivo: Después de copiar los datos, se puede enviar el dispositivo a Microsoft. Una vez
recibidos e importados los datos, están disponibles en una cuenta de Azure Storage.
Restauración del recurso: compruebe que los datos estén disponibles en la cuenta de almacenamiento. Si es
así, puede usarlos como blob o en Azure Files. Si los datos son un archivo VHD/VHDX, el archivo se puede
convertir en discos administrados. Esos discos administrados se pueden usar para crear instancias de una
máquina virtual, que crea una réplica del recurso local original.
Sincronización: si la sincronización de la desviación es obligatoria para un recurso migrado, se puede usar una
de las soluciones de terceros asociados para sincronizar los archivos hasta que se restaure el recurso.
Pasos siguientes
Vuelva a la lista de comprobación para asegurarse de que el método de migración está totalmente alineado.
Lista de comprobación de procedimientos recomendados de migración
Procedimientos recomendados para la
configuración de redes para las cargas de trabajo
migradas a Azure
23/03/2021 • 63 minutes to read • Edit Online
A la hora de planear y diseñar la migración, además de la migración propiamente dicha, uno de los pasos más
importantes es el diseño y la implementación de redes de Azure. En este artículo se describen procedimientos
recomendados para la configuración de redes al migrar a implementaciones de infraestructura como servicio
(IaaS) y plataforma como servicio (PaaS) en Azure.
IMPORTANT
Los procedimientos recomendados y las opiniones que se describen en este artículo se basan en la plataforma de Azure y
las características del servicio disponibles en el momento de redactar el artículo. Las características y funcionalidades
cambian con el tiempo. Es posible que no todas las recomendaciones sean aplicables a su implementación, así que
seleccione las que sean válidas en su caso.
Más información:
Obtenga información sobre el diseño de subredes.
Vea cómo una compañía ficticia, Contoso, ha preparado su infraestructura de red para la migración.
Quiere que los usuarios de ambas oficinas tengan acceso a sus servicios de Azure más cercanos para
disfrutar de una experiencia óptima.
Así que quiere conectar los usuarios de Los Ángeles a Azure West US y los usuarios de Nueva York a
East US .
Esto funciona para los usuarios de la costa este, pero no para los de la costa oeste. El problema es el
siguiente:
En cada circuito ExpressRoute, se indican los prefijos de Azure East US ( 23.100.0.0/16 ) y Azure
West US ( 13.100.0.0/16 ).
Al no saber qué prefijo corresponde a cada región, los prefijos no se tratan de forma distinta.
La red WAN puede presuponer que ambos prefijos están más cerca de East US que de West US y,
por tanto, enrutar a los usuarios de ambas oficinas al circuito ExpressRoute de East US , lo que ofrece
una peor experiencia a los usuarios de la oficina de Los Ángeles.
Figura 6: Conexión no optimizada de comunidades de BGP.
Solución:
Para optimizar el enrutamiento para ambas oficinas, debe saber qué prefijo corresponde a Azure West US y qué
prefijo corresponde a Azure East US . Puede codificar esta información mediante los valores de la comunidad
de BGP.
Asigne un valor único de comunidad de BGP a cada región de Azure. Por ejemplo, 12076:51004 para
East US y 12076:51006 para West US .
Ahora que ha quedado claro qué prefijo pertenece a cada región de Azure, puede configurar un circuito
ExpressRoute preferido.
Puesto que usa BGP para intercambiar información de enrutamiento, puede usar la preferencia local de BGP
para influir en el enrutamiento.
En nuestro ejemplo, asigna un valor de preferencia local superior a 13.100.0.0/16 en West US que en
East US . Del mismo modo, asigna un valor de preferencia local superior a 23.100.0.0/16 en East US que
en West US .
Esta configuración garantiza que, cuando las dos rutas de acceso a Microsoft estén disponibles, los usuarios
de Los Ángeles se conectarán a West US con el circuito oeste, y los de Nueva York se conectarán a East US
con el circuito este.
Figura 7: Conexión optimizada de comunidades de BGP.
Más información:
Obtenga información sobre cómo optimizar el enrutamiento.
Figura 9:
Ejemplo de grupo de seguridad de aplicaciones.
NIC1 AsgWeb
NIC2 AsgWeb
NIC3 AsgLogic
NIC4 AsgDb
En nuestro ejemplo, cada interfaz de red pertenece a un único grupo de seguridad de aplicaciones, pero en
realidad una interfaz puede pertenecer a varios grupos, de acuerdo con los límites de Azure. Ninguna de las
interfaces de red tiene un grupo de seguridad de red asociado. NSG1 se asocia con ambas subredes y contiene
las siguientes reglas:
N O M B RE DE L A REGL A P RO P Ó SITO DETA L L ES
Protocolo: TCP
Acceso: Allow
Protocolo: All
Acceso: Deny
Acceso: Allow
Las reglas que especifican un grupo de seguridad de aplicaciones como origen o destino solo se aplican a las
interfaces de red que son miembros del grupo de seguridad de aplicaciones. Si la interfaz de red no es miembro
de un grupo de seguridad de aplicaciones, la regla no se aplica a la interfaz de red aunque el grupo de seguridad
de red esté asociado a la subred.
Más información:
Obtenga información sobre los grupos de seguridad de aplicaciones.
Procedimiento recomendado: Protección del acceso a PaaS mediante el uso de puntos de conexión de
servicio de red virtual
Los puntos de conexión de servicio de red virtual extienden el espacio de direcciones privadas y la identidad de
la red virtual a los servicios de Azure a través de una conexión directa.
Los puntos de conexión permiten proteger los recursos de servicio de Azure críticos únicamente para las
redes virtuales. El tráfico desde la red virtual al servicio de Azure siempre permanece en la red troncal de
Azure.
El espacio de direcciones privadas de red virtual se puede estar solapando y, por tanto, no se puede usar para
identificar de forma única el tráfico que se origina en la red virtual.
Una vez que los puntos de conexión de servicio se habilitan en la red virtual, puede proteger los recursos de
servicio de Azure mediante la incorporación de una regla de red virtual a los recursos del servicio. Esta regla
proporciona una mayor seguridad dado que se elimina totalmente el acceso público a Internet a los recursos
y solo se permite el tráfico que procede de la red virtual.
T IP O DE F IREWA L L DETA L L ES
Azure Firewall Al igual que las granjas de firewalls de NVA, Azure Firewall
usa un mecanismo de administración común y un conjunto
de reglas de seguridad para proteger las cargas de trabajo
hospedadas en redes de radio. Azure Firewall también ayuda
a controlar el acceso a las redes locales. Azure Firewall tiene
escalabilidad integrada.
Firewalls de NVA Al igual que Azure Firewall, las granjas de firewalls de NVA
tienen un mecanismo de administración común y un
conjunto de reglas de seguridad para proteger las cargas de
trabajo hospedadas en redes de radio. Las granjas de
firewalls también ayudan a controlar el acceso a las redes
locales. Los firewalls de NVA se pueden escalar manualmente
detrás de un equilibrador de carga.
Se recomienda usar un conjunto de firewalls de Azure (o aplicaciones virtuales de red) para el tráfico que se
origina en Internet y otro para el tráfico que se origina en el entorno local. Utilizar únicamente un conjunto de
firewalls para ambos es un riesgo de seguridad, ya que no proporciona ningún perímetro de seguridad entre los
dos conjuntos de tráfico de red. El uso de capas de firewalls independientes reduce la complejidad de la
comprobación de las reglas de seguridad y deja claro qué reglas se corresponden con cada solicitud de red
entrante.
Más información:
Obtenga información sobre cómo usar NVA en Azure Virtual Network.
Pasos siguientes
Examine otros procedimientos recomendados:
Procedimientos recomendados para la seguridad y administración después de la migración.
Procedimientos recomendados para la administración de costos después de la migración.
Implementación de una infraestructura de
migración
23/03/2021 • 83 minutes to read • Edit Online
En este artículo se muestra cómo la empresa ficticia Contoso prepara su infraestructura local para la migración,
configura una infraestructura de Azure como preparación para la migración a Azure y dirige el negocio en un
entorno híbrido.
Cuando use este ejemplo como ayuda para planear sus propios trabajos de migración de la infraestructura,
tenga en cuenta que la arquitectura de ejemplo proporcionada es específica de Contoso. Antes de tomar
decisiones importantes sobre la infraestructura relacionadas con el diseño de las suscripciones o la arquitectura
de red examine las necesidades empresariales de su organización, su estructura y los requisitos técnicos.
El que necesite todos los elementos que se describen en este artículo depende de su estrategia de migración.
Por ejemplo, puede que necesite una estructura de red menos compleja si solo va a crear aplicaciones nativas de
nube en Azure.
Información general
Antes de poder migrar Contoso a Azure, es fundamental preparar una infraestructura de Azure. Por lo general,
Contoso debe pensar en seis áreas:
Paso 1: Suscripciones de Azure. ¿Cómo adquirirá el equipo de TI la plataforma Azure y cómo interactuará
con la plataforma y los servicios de Azure?
Paso 2: Identidad híbrida. ¿Cómo administrará y controlará el equipo de TI el acceso a los recursos de
Azure y locales después de la migración? ¿Cómo ampliará o moverá el equipo de TI la administración de
identidades a la nube?
Paso 3: Recuperación ante desastres y resistencia. ¿Cómo garantizará el equipo de TI que sus
aplicaciones e infraestructuras sean resistentes en caso de interrupciones y desastres?
Paso 4: Red. ¿Cómo debería diseñar el equipo de TI una infraestructura de red y establecer la conectividad
entre el centro de datos local y Azure?
Paso 5: Seguridad. ¿Cómo protegerá el equipo de TI la implementación híbrida?
Paso 6: Gobernanza. ¿De qué manera el equipo de TI mantendrá alineada la implementación con los
requisitos de seguridad y gobernanza?
Antes de comenzar
Antes de empezar a revisar la infraestructura, considere la posibilidad de conocer algunos datos generales sobre
las funcionalidades de Azure relevantes:
Hay varias opciones para adquirir acceso a Azure, entre ellas, suscripciones de pago por uso, un Contrato
Enterprise (EA) de Microsoft, licencias Open de revendedores de Microsoft, o compra a asociados de
Microsoft en el programa Proveedor de soluciones en la nube (CSP). Obtenga información acerca de las
opciones de compra y sobre cómo se organizan las suscripciones a Azure.
Obtenga información general acerca de Administración de identidad y acceso de Azure. Obtenga
información sobre Azure Active Directory y la ampliación del entorno de Active Directory local a la nube.
Azure ofrece una sólida infraestructura de red con opciones para conectividad híbrida. Obtenga información
general acerca de las redes y el control de acceso de red.
Lea la introducción a la seguridad de Azure y aprenda a crear un plan de gobernanza en Azure.
Arquitectura local
Aquí se muestra un diagrama de la infraestructura local de Contoso en la actualidad.
Figura 2: Jerarquía
empresarial.
Examinar la concesión de licencias
Con las suscripciones configuradas, Contoso puede consultar sus licencias de Microsoft. Su estrategia de
licencias dependerá de los recursos que quiera migrar a Azure y de cómo se seleccionan e implementan los
servicios y las máquinas virtuales de Azure.
Ventaja híbrida de Azure
Para implementar máquinas virtuales en Azure, las imágenes estándar incluyen una licencia que se le cobrará a
Contoso por minuto en función del software que se esté usando. Sin embargo, Contoso ha sido cliente de
Microsoft durante mucho tiempo y ha mantenido Contrato Enterprise y licencias Open con Software Assurance.
Ventaja híbrida de Azure proporciona un método rentable para la migración. Permite a Contoso ahorrar en
máquinas virtuales de Azure y cargas de trabajo de SQL Server mediante la conversión o reutilización de
Windows Server Datacenter y licencias Standard Edition que cubre Software Assurance. Esto permitirá que
Contoso pague una tarifa de proceso base más baja por las VM y SQL Server. Para más información, consulte
Ventaja híbrida de Azure.
Movilidad de licencias
Movilidad de licencias a través de Software Assurance ofrece a los clientes del programa de licencias por
volumen de Microsoft, como Contoso, la flexibilidad de implementar aplicaciones de servidor aptas, con una
instancia activa de Software Assurance en Azure. Esto elimina la necesidad de adquirir licencias nuevas. Sin
costos asociados a movilidad, las licencias existentes se pueden implementar fácilmente en Azure. Para obtener
más información, consulte Movilidad de Licencias a través de Software Assurance en Azure.
Instancias reservadas para cargas de trabajo predecibles
Las cargas de trabajo predecibles son aquellas que siempre tienen que estar disponibles con máquinas virtuales
en ejecución; por ejemplo, las aplicaciones de línea de negocio como un sistema ERP de SAP. Las cargas de
trabajo impredecibles son variables, como las máquinas virtuales que están encendidas durante los períodos de
alta demanda y apagadas cuando la demanda es baja.
NOTE
El directorio creado tiene un nombre de dominio inicial con el formato domain-name.onmicrosoft.com . Este nombre no
se podrá modificar ni eliminar. En su lugar, los administradores deberán agregar su nombre de dominio registrado en
Azure AD.
Para configurar un nombre de dominio personalizado, los administradores lo agregan al directorio, se agrega
una entrada DNS y, luego, se comprueba el nombre en Azure AD.
1. En Nombres de dominio personalizado > Agregar dominio personalizado , Contoso agrega el
dominio.
2. Para utilizar una entrada DNS en Azure, es necesario registrarla con el registrador de dominios:
En la lista Nombres de dominio personalizado , se tiene en cuenta la información de DNS para el
nombre. Usa un registro MX.
Es necesario acceder al servidor de nombres. Se inicia sesión en el dominio contoso.com y se crea un
nuevo registro MX para la entrada DNS proporcionada por Azure AD con los detalles indicados.
3. Una vez propagados los registros DNS, en los detalles del dominio, se selecciona Verificar para
comprobar el nombre de dominio personalizado.
Ilustración 5: Comprobación del nombre de dominio.
Configurar usuarios y grupos de Azure y locales
Ahora que Azure AD ya está establecido, los administradores de Contoso deben agregar empleados a grupos de
Active Directory locales que se sincronizarán con Azure AD. Es recomendable que usen nombres de grupos
locales que coincidan con los nombres de los grupos de recursos de Azure. Esto hace más fácil identificar las
coincidencias con fines de sincronización.
Crear grupos de recursos en Azure
Los grupos de recursos de Azure recopilan los recursos de Azure. Usar un identificador de grupo de recursos
permite que Azure realice operaciones en los recursos del grupo.
Una suscripción de Azure puede tener varios grupos de recursos. Un grupo de recursos existe en una sola
suscripción. Además, un único grupo de recursos puede tener varios recursos. Cada recurso pertenece a un
único grupo de recursos.
Los administradores de Contoso configuran los grupos de recursos de Azure tal como se muestra en la tabla
siguiente.
ContosoFailoverRG Este grupo actúa como una zona de aterrizaje para los
recursos conmutados por error.
RESO URC E GRO UP DETA L L ES
En el futuro, Contoso agregará otros grupos de recursos según las necesidades. Por ejemplo, se podría definir
un grupo de recursos para cada aplicación o servicio, para que se pueden administrar y proteger de forma
independiente.
Crear grupos de seguridad coincidentes locales
En la instancia de Active Directory local, los administradores de Contoso configurarán los grupos de seguridad
con nombres que coincidan con los nombres de los grupos de recursos de Azure.
Figura 7: Grupos de seguridad de Active Directory locales.
Para fines de administración, se crea un grupo adicional que se agregará a todos los demás grupos. Este grupo
tendrá derechos para todos los grupos de recursos de Azure. A este grupo se agregará un número limitado de
administradores globales.
Sincronización de Active Directory
Contoso quiere proporcionar una identidad común para obtener acceso a los recursos locales y en la nube. Para
ello, integrará la instancia de Active Directory local con Azure AD. Con este modelo, los usuarios y las
organizaciones pueden aprovechar las ventajas de una identidad única para acceder a aplicaciones locales y a
servicios como Microsoft 365 y miles de sitios más en Internet. Los administradores pueden usar los grupos de
Active Directory para implementar el control de acceso basado en roles de Azure (RBAC de Azure).
Para facilitar la integración, Contoso usa la herramienta Azure AD Connect. Al instalar y configurar la
herramienta en un controlador de dominio, se sincronizan las identidades locales de Active Directory en
Azure AD.
Descargar la herramienta
1. En Azure Portal, los administradores de Contoso van a Azure Active Director y > Azure AD Connect y
descargan la versión más reciente de la herramienta en el servidor que se usa para la sincronización.
Ilustración 12: Objetos del entorno local de Active Directory visibles en Azure AD.
El equipo de TI de Contoso está representado en cada grupo y se basa en su rol.
3. Esto se repite con los mismos permisos para los demás grupos de recursos (excepto para
ContosoAzureAdmins ), mediante la adición de permisos de Colaborador al grupo de seguridad que
corresponda al grupo de recursos.
4. Para el grupo de seguridad ContosoAzureAdmins , se asigna el rol Propietario .
Cuando piensa en su entorno híbrido, Contoso debe considerar cómo compilar una estrategia de recuperación
ante desastres y de resistencia en su diseño de la región. La estrategia más sencilla es una implementación en
una sola región, que se basa en características de la plataforma Azure como, por ejemplo, los dominios de error
y el emparejamiento regional para lograr resistencia. La estrategia más compleja consiste en un modelo
completamente activo-activo en el que los servicios y las bases de datos en la nube se implementan y ofrecen a
los usuarios de dos regiones.
Contoso ha decidido tomar un camino intermedio. Se implementarán las aplicaciones y recursos en una región
primaria y se mantendrá una copia completa de la infraestructura en la región secundaria. Con esa estrategia, la
copia está lista para funcionar como una copia de seguridad completa en caso de que se produzca un desastre
completo o un error regional de la aplicación.
Configuración de la disponibilidad
Conjuntos de disponibilidad
Los conjuntos de disponibilidad ayudan a proteger las aplicaciones y los datos en caso de interrupción de la red
o del hardware local de un centro de datos. Los conjuntos de disponibilidad distribuyen las máquinas virtuales
de Azure entre el hardware físico de un centro de datos.
Los dominios de error representan el hardware subyacente con una fuente de alimentación común y un
conmutador de red dentro del centro de datos. Las máquinas virtuales de un conjunto de disponibilidad están
distribuidas entre los dominios de error para minimizar las interrupciones provocadas por un solo error de la
red o del hardware.
Los dominios de actualización representan hardware subyacente que puede someterse a mantenimiento o
reiniciarse al mismo tiempo. Los conjuntos de disponibilidad también distribuyen las máquinas virtuales entre
varios dominios de actualización para garantizar que al menos habrá una instancia en ejecución en todo
momento.
Contoso implementará los conjuntos de disponibilidad cada vez que las cargas de trabajo de VM requieran alta
disponibilidad. Para más información, consulte Administración de la disponibilidad de las máquinas virtuales
Windows en Azure.
Zonas de disponibilidad
Las zonas de disponibilidad ayudan a proteger las aplicaciones y los datos frente a los errores que afecten a
todo un centro de datos dentro de una región.
Cada zona de disponibilidad representa una ubicación física exclusiva dentro de una región de Azure. Cada zona
de disponibilidad consta de uno o varios centros de datos equipados con alimentación, refrigeración y redes
independientes.
Hay tres zonas independientes como mínimo en todas las regiones habilitadas. La separación física de las zonas
dentro de una región protege las aplicaciones y los datos frente a los errores del centro de datos.
Contoso usará zonas de disponibilidad siempre que las aplicaciones requieran mayor escalabilidad,
disponibilidad y resistencia. Para obtener más información, consulte Regiones y zonas de disponibilidad en
Azure.
Configuración de la copia de seguridad
Azure Backup
Puede usar Azure Backup para crear copias de seguridad de discos de máquinas virtuales de Azure y
restaurarlos.
Azure Backup permite crear copias de seguridad automatizadas de imágenes de discos de máquinas virtuales y
almacenarlas en Azure Storage. Las copias de seguridad son coherentes con la aplicación para garantizar que los
datos con copia de seguridad sean transaccionalmente coherentes y que las aplicaciones arranquen después de
la restauración.
Azure Backup admite el almacenamiento con redundancia local para replicar varias copias de los datos con
copia de seguridad de un centro de datos si se produce un error de hardware local. Si se produce una
interrupción regional, Azure Backup también admite el almacenamiento con redundancia geográfica, que replica
los datos de la copia de seguridad en una región secundaria emparejada.
Azure Backup cifra los datos en tránsito mediante AES-256. Los datos en reposo con copia de seguridad se
cifran mediante el cifrado de Azure Storage.
Contoso usará Azure Backup con GRS en todas las VM de producción para garantizar que se creen copias de
seguridad de los datos de cargas de trabajo y que se puedan restaurar rápidamente si se produce una
interrupción. Para más información, consulte la introducción a la copia de seguridad de máquinas virtuales de
Azure.
Configuración de la recuperación ante desastres
Azure Site Recovery
Azure Site Recovery ayuda a garantizar la continuidad empresarial manteniendo las aplicaciones y cargas de
trabajo empresariales en funcionamiento durante las interrupciones regionales.
Azure Site Recovery replica de manera continua las VM de Azure de una región primaria a una secundaria, lo
que garantiza la existencia de copias funcionales en ambas ubicaciones. En caso de que se produzca una
interrupción en la región primaria, la aplicación o el servicio conmutará por error y pasará a usar instancias de
máquinas virtuales replicadas en la región secundaria. Esta conmutación por error minimiza las posibles
interrupciones. Cuando las operaciones vuelven a la normalidad, las aplicaciones o servicios pueden conmutar
por recuperación en las máquinas virtuales de la región primaria.
Contoso implementará Azure Site Recovery para todas las VM de producción que se usan en cargas de trabajo
críticas, lo que garantiza una interrupción mínima durante un corte en la región primaria.
East US 2 es la región principal que Contoso usará para implementar servicios y recursos. A continuación se
indica cómo diseñará Contoso las redes en esa región:
Centro: la red virtual del centro de conectividad de East US 2 se considera la conectividad principal de
Contoso con el centro de datos local.
Redes vir tuales: las redes virtuales de radios de East US 2 pueden usarse para aislar las cargas de
trabajo si es necesario. Además de la red virtual del centro de conectividad, Contoso tendrá dos redes
virtuales de radios en East US 2 :
VNET-DEV-EUS2. Esta red virtual proporcionará al equipo de desarrollo y pruebas una red
totalmente funcional para los proyectos de desarrollo. Actuará como una zona piloto de
producción y dependerá de la infraestructura de producción para su funcionamiento.
VNET-PROD-EUS2 . los componentes de producción de IaaS de Azure se encontrarán en esta red.
Cada red virtual tendrá su propio espacio de direcciones únicas, sin superposiciones. Contoso desea
configurar el enrutamiento sin necesidad de una traducción de direcciones de red (NAT).
Subredes: Habrá una subred en cada red para cada capa de aplicación. Cada subred de la red de
producción tendrá una subred correspondiente en la red virtual de desarrollo. La red de producción tiene
una subred para controladores de dominio.
En la tabla siguiente se resumen las redes virtuales de East US 2 .
En el caso de los controladores de dominio de la red VNET-PROD-EUS2 , Contoso desea que el tráfico fluya entre la
red del centro de conectividad o producción EUS2 a través de la conexión de VPN hasta el entorno local. Para
ello, los administradores de Contoso deben permitir lo siguiente:
1. Allow for warded traffic (Permitir tráfico reenviado) y Allow gateway transit configurations
(Permitir configuraciones de tránsito de puer ta de enlace) en la conexión emparejada. En nuestro
ejemplo, esta sería la conexión de VNET-HUB-EUS2 a VNET-PROD-EUS2 .
Ilustración 23: Conexión emparejada.
2. Seleccione Permitir tráfico reenviado y Usar puer tas de enlace remotas en el otro lado del
emparejamiento, en la conexión de VNET-PROD-EUS2 a VNET-HUB-EUS2 .
Una red del mismo nivel con radio no puede ver a través de un concentrador a otra red del mismo nivel con
radio que se encuentre en otra región. Para que las redes de producción de Contoso en ambas regiones puedan
verse entre sí, los administradores de Contoso deben crear una conexión directa emparejada para
VNET-PROD-EUS2 y VENT-PROD-CUS .
Una vez que se implementan las redes virtuales, los controladores de dominio locales se configuran
como servidores DNS en las redes.
Si se especifica un DNS personalizado para la red virtual, es necesario agregar a la lista la dirección IP
virtual 168.63.129.16 de las resoluciones recursivas de Azure. Para ello, Contoso configura el servidor
DNS en cada red virtual. Por ejemplo, la configuración de DNS personalizada para la red VNET-HUB-EUS2
sería la siguiente:
Figura 27: Servidor DNS personalizado.
Además de sus controladores de dominio local, Contoso implementará cuatro más para dar apoyo a sus redes
de Azure (dos para cada región):
Después de implementar los controladores de dominio local, Contoso necesita actualizar la configuración de
DNS en redes en ambas regiones para incluir los nuevos controladores de dominio en su lista de servidores
DNS.
Configurar controladores de dominio de Azure
Después de actualizar la configuración de red, los administradores de Contoso están listos para crear sus
controladores de dominio en Azure.
1. En Azure Portal, se implementa una nueva máquina virtual de Windows Server en la red virtual
adecuada.
2. Se crean conjuntos de disponibilidad en cada ubicación para la VM. Los conjuntos de disponibilidad
garantizan que el tejido de Azure separa las máquinas virtuales en infraestructuras diferentes en la
región de Azure. Los conjuntos de disponibilidad también permiten a Contoso optar a un Acuerdo de
Nivel de Servicio del 99,95 % para las máquinas virtuales de Azure.
Figura 28: Conjunto de disponibilidad.
3. Una vez implementada la VM, hay que encargarse de la interfaz de red de la VM. Se establece la dirección
IP privada como estática y se especifica una dirección válida.
NOTE
El disco no se debe configurar como de lectura y escritura para el almacenamiento en caché del host. Las bases de
datos de Active Directory no admiten esto.
Figura 30: Disco de Active Directory.
5. Una vez agregado el disco, se conecta a una máquina virtual a través de los servicios de Escritorio
remoto y abren el Administrador del servidor.
6. En Ser vicios de archivos y almacenamiento , se ejecuta el Asistente para nuevo volumen. Se
comprueba que a la unidad se le asigna la letra F u otra posterior en la máquina virtual local.
1. Crean dos nuevos sitios ( AZURE-EUS2 y AZURE-CUS ) junto con el sitio del centro de datos (
contoso-datacenter ).
2. Después de crear los sitios, se crean subredes en ellos, para que coincidan las redes virtuales y el centro
de datos.
N O M B RE DE ET IQ UETA VA L UE
Por ejemplo:
Figura 42: Etiquetas de Azure.
Después de crear la etiqueta, Contoso volverá atrás y creará nuevas asignaciones y definiciones de directiva
para exigir el uso de las etiquetas necesarias en toda la organización.
Figura
44: Supervisión.
Trabajar con Grupos de seguridad de red
Contoso puede limitar el tráfico de red a los recursos de una red virtual mediante grupos de seguridad de red.
Un grupo de seguridad de red contiene una lista de reglas de seguridad que permiten o deniegan el tráfico de
red entrante o saliente en función de las direcciones IP de origen o destino, el puerto y el protocolo. Cuando se
aplican a una subred, las reglas se aplican a todos los recursos de la subred. Además de interfaces de red, esto
incluye instancias de servicios de Azure implementados en la subred.
Los grupos de seguridad de aplicaciones permiten configurar la seguridad de red como extensión natural de
una estructura de aplicación. Puede agrupar las máquinas virtuales y definir directivas de seguridad de red
basadas en esos grupos.
Contoso puede utilizar grupos de seguridad de aplicaciones para reutilizar la directiva de seguridad a escala sin
mantenimiento manual de direcciones IP explícitas. La plataforma controla la complejidad de las direcciones IP
explícitas y de varios conjuntos de reglas, lo que permite a la organización centrarse en la lógica de negocios.
Contoso puede especificar un ASG como origen y destino en una regla de seguridad. Cuando se haya definido
una directiva de seguridad, Contoso podrá crear redes virtuales y asignar los adaptadores de red de las
máquinas virtuales a un grupo.
Contoso implementará una mezcla de NSG y ASG. Le preocupa la administración de NSG. También le preocupa
el uso excesivo de los grupos de seguridad de red y la mayor complejidad para el personal encargado de las
operaciones. Esto es lo que Contoso hará:
Todo el tráfico que entra y sale de todas las subredes (norte-sur) estará sujeto a una regla de grupo de
seguridad de red, excepto las subredes de puerta de enlace en las redes de centro de conectividad.
Cualquier controlador de dominio o firewall estará protegido por los grupos de seguridad de red de la
subred y por los de NIC.
Todas las aplicaciones de producción tendrán ASG aplicados.
Contoso ha creado un modelo con el aspecto que esta configuración de seguridad presentará para sus
aplicaciones.
Figura 45: Modelo de seguridad.
Los NSG asociados con el ASG se configurarán con privilegios mínimos para asegurarse de que solo los
paquetes permitidos pueden fluir de una parte de la red a su destino.
A C C IÓ N N O M B RE SO URC E DEST IN O P O RT
Cifrado de datos
Azure Disk Encryption se integra con Azure Key Vault para ayudar a controlar y administrar las claves y los
secretos de cifrado de discos de una suscripción. Esto garantiza que todos los datos de los discos de máquina
virtual se cifren en reposo en Azure Storage.
Contoso determinó que las VM específicas requieren cifrado. Contoso aplicará el cifrado a las máquinas
virtuales que contengan datos de clientes, confidenciales o personales.
Conclusión
En este artículo, Contoso configuró su infraestructura y directiva para la suscripción a Azure, la identificación
híbrida, la recuperación ante desastres, las redes, la gobernanza y la seguridad.
No es necesario realizar todos los pasos que se indican aquí en una migración a la nube. En este caso, Contoso
ha planeado una infraestructura de red que permite controlar todos los tipos de migraciones y que es segura,
resistente y escalable.
Pasos siguientes
Después de configurar su infraestructura de Azure, Contoso está listo para empezar a migrar las cargas de
trabajo a la nube. Consulte la sección de introducción sobre los patrones y ejemplos de migración para ver una
selección de los escenarios que usan esta infraestructura de ejemplo como destino de migración.
Procedimientos recomendados para gestionar los
costos y el tamaño de las cargas de trabajo
migradas a Azure
23/03/2021 • 39 minutes to read • Edit Online
Al planear y diseñar una migración de Azure, centrarse en los costos puede ayudar a garantizar su éxito a largo
plazo. Durante un proyecto de migración, es fundamental que todos los equipos (como los de finanzas,
administración y desarrollo de aplicaciones) comprendan los costos asociados a este proceso.
Antes de la migración, es importante tener una base de referencia para los objetivos de presupuesto
mensual, trimestral y anual con el fin de evaluar la cantidad de tiempo empleado en la migración y
asegurarse de que se ha realizado correctamente.
Tras la migración, debe optimizar los costos, supervisar continuamente las cargas de trabajo y planear los
patrones de uso futuro. Los recursos migrados podrían comenzar como un tipo de carga de trabajo y
cambiar a otro con el tiempo, en función del uso, los costos y requisitos empresariales cambiantes.
En este artículo se describen los procedimientos recomendados para preparar y administrar el costo y el
tamaño, tanto antes como después de la migración.
IMPORTANT
Los procedimientos recomendados y las opiniones que se describen en este artículo se basan en la plataforma Windows
Azure y las características disponibles en el momento de redactar el artículo. Las características y funcionalidades cambian
con el tiempo. No todas las recomendaciones pueden aplicarse para una implementación, de modo que seleccione lo que
sea válido en su caso.
Antes de la migración
Antes de mover las cargas de trabajo a la nube, valore el costo mensual que supone ejecutarlas en Azure. Una
administración proactiva de los costos de la nube le ayuda a cumplir su presupuesto para los gastos operativos.
Si el presupuesto es limitado, debe tenerlo en cuenta antes de la migración. Considere la posibilidad de
convertir las cargas de trabajo a las tecnologías sin servidor de Azure, cuando sea apropiado, para reducir los
costos.
Los procedimientos recomendados de esta sección le ayudarán a:
Evaluar los costos.
Realizar el ajuste de tamaño adecuado para las máquinas virtuales (VM) y el almacenamiento.
Usar la Ventaja híbrida de Azure.
Uso de Azure Reserved VM Instances.
Evaluar el gasto en la nube entre suscripciones.
T IP O DETA L L ES USO
Uso general Uso equilibrado de CPU y memoria. Adecuada para pruebas y desarrollo,
bases de datos de tamaño pequeño o
mediano, y servidores web con un
volumen de tráfico bajo o medio.
Optimizada para proceso Uso elevado de la CPU respecto a la Adecuada para servidores web con un
memoria. volumen de tráfico medio, aplicaciones
de red, procesos por lotes y servidores
de aplicaciones.
Optimizada para memoria Memoria alta en relación con CPU. Adecuada para bases de datos
relacionales, memorias caché de
tamaño mediano a grande y análisis en
memoria.
Almacenamiento optimizado Alto rendimiento de disco y E/S. Adecuada para bases de datos SQL y
NoSQL, y macrodatos.
GPU optimizada Máquinas virtuales especializadas. Una Gráficos pesados y edición de vídeo.
o varias GPU.
T IP O DETA L L ES USO
Alto rendimiento CPU más rápida y eficaz. Máquinas Aplicaciones críticas de alto
virtuales con interfaces de red de alto rendimiento.
rendimiento (RDMA) opcionales.
Es importante comprender las diferencias de precio entre estas máquinas virtuales y los efectos a largo plazo
en el presupuesto.
Cada tipo tiene varias series de máquinas virtuales.
Además, cuando se selecciona una máquina virtual dentro de una serie, solo puede escalar la máquina
virtual y reducirla verticalmente dentro de esa serie. Por ejemplo, una instancia de DS2_v2 se puede escalar
verticalmente a DS4_v2 , pero no se puede cambiar a una instancia de otra serie, como F2s_v2 .
Más información:
Obtenga más información sobre los tipos de máquina virtual y el tamaño, y asigne tamaños a los tipos.
Planee los tamaños de las instancias de VM.
Revise un ejemplo de valoración de la empresa ficticia Contoso.
Discos En función de los blobs en páginas. Se usan discos Premium para las
máquinas virtuales. Se usan discos
Tipo de disco: estándar (HDD o SSD) o administrados para simplificar la
premium (SSD). administración y la escala.
Administración de discos: no
administrado (se administra la
configuración de los discos y el
almacenamiento) o administrado (se
selecciona el tipo de disco y Azure lo
administra en su lugar).
Niveles de acceso
Azure Storage ofrece diferentes opciones para obtener acceso a los datos de blob en bloques. Si selecciona el
nivel de acceso adecuado, ayuda a garantizar que almacena los datos de blob en bloques de la manera más
rentable.
Acceso frecuente El costo de almacenamiento es mayor Se emplea para datos en uso activo a
que en el nivel esporádico. Los gastos los que se accede con frecuencia.
de acceso son menores que en el nivel
esporádico.
Archivar Se usa para blobs en bloques Se usa para los datos que admiten
individuales. varias horas de latencia de
recuperación y que permanecerán en
Es la opción más rentable para el ese nivel al menos durante 180 días.
almacenamiento. El acceso a los datos
es más caro que en los niveles de
acceso de uso frecuente y esporádico.
Uso general v2 Estándar Admite blobs (de bloques, páginas y Se usa para la mayoría de los
anexos), archivos, discos, colas y tablas. escenarios y la mayoría de los tipos de
datos. Las cuentas de almacenamiento
Admite los niveles de acceso frecuente, estándar pueden basarse en HDD o en
esporádico y de archivo. Se admite el SSD.
almacenamiento con redundancia de
zona (ZRS).
Uso general v2 Premium Admite datos de Blob Storage (blobs Microsoft recomienda usarlo para
en páginas). Admite los niveles de todas las máquinas virtuales.
acceso frecuente, esporádico y de
archivo. Se admite ZRS.
Se almacena en SSD.
Uso general v1 No se admiten los niveles de acceso. Se usa si las aplicaciones necesitan el
No admite ZRS. modelo de implementación clásica de
Azure.
T IP O DETA L L ES USO
Almacenamiento con redundancia Protege contra una interrupción local Considere si la aplicación almacena
local (LRS) mediante la replicación dentro de una datos que se pueden reconstruir
unidad de almacenamiento individual a fácilmente.
un dominio de error y un dominio de
actualización independientes. Mantiene
varias copias de los datos en un centro
de datos. Proporciona una durabilidad
mínima del 99,999999999 por ciento
(once nueves) de los objetos en un año
en concreto.
T IP O DETA L L ES USO
Almacenamiento con redundancia Protege contra una interrupción del Considere si necesita coherencia,
de zona (ZRS) centro de datos; para ello, replica a durabilidad y alta disponibilidad. Podría
través de tres clústeres de no proteger frente a un desastre
almacenamiento en una sola región. regional en el que varias zonas
Cada clúster de almacenamiento está resulten afectadas de forma
separado físicamente y ubicado en su permanente.
propia zona de disponibilidad.
Proporciona al menos una durabilidad
del 99,9999999999 % (doce nueves)
de los objetos durante un año
determinado, para lo cual mantiene
varias copias de sus datos en varios
centros de datos o en regiones
diferentes.
Almacenamiento con redundancia Protege contra una interrupción de No hay disponibles datos de réplica a
geográfica (GRS) toda la región, mediante la replicación menos que Microsoft inicie la
de los datos en una región secundaria conmutación por error para la región
lejos de la réplica principal. Proporciona secundaria. Si se produce la
al menos una durabilidad del conmutación por error, el acceso de
99,99999999999999 por ciento lectura y de escritura está disponible.
(dieciséis nueves) de los objetos en un
año determinado.
Almacenamiento con redundancia Similar a GRS. Proporciona al menos Proporciona una disponibilidad de
geográfica con acceso de lectura una durabilidad del lectura del 99,99 %, ya que permite el
(RA-GRS). 99,99999999999999 por ciento acceso de lectura desde la segunda
(dieciséis nueves) de los objetos en un región utilizada para GRS.
año determinado.
Más información:
Revise los precios de Azure Storage.
Más información sobre la importación y exportación de Azure.
Compare blobs, archivos y tipos de datos de almacenamiento de disco.
Obtenga más información sobre los niveles de acceso.
Revise los diferentes tipos de cuentas de almacenamiento.
Obtenga información sobre la redundancia de Azure Storage, que incluye LRS, ZRS, GRS y GRS de solo
lectura.
Obtenga más información sobre Azure Files.
Después de la migración
Después de una migración correcta de las cargas de trabajo y un par de semanas de recopilar datos de
consumo, tendrá una idea clara de los costos que suponen los recursos. Cuando analice los datos, podrá
empezar a generar una base de referencia de presupuesto para los recursos y los grupos de recursos de Azure.
A continuación, como ya sabe dónde se gasta su presupuesto en la nube, puede analizar cómo reducir aún más
los costos.
NOTE
Además de supervisar las máquinas virtuales, debe supervisar otros recursos de red, como Azure ExpressRoute y las
puertas de enlace de red, a fin de tener en cuenta cuándo se usan demasiado o demasiado poco.
Más información:
Lea los documentos de información general de Azure Monitor y Azure Advisor.
Obtenga recomendaciones sobre el costo de Azure Advisor.
Obtenga información sobre cómo optimizar los costos a partir de las recomendaciones y evitar cargos
imprevistos.
Obtenga información sobre el Kit de herramientas Azure Resource Optimization (ARO).
Pasos siguientes
Examine otros procedimientos recomendados:
Explore los procedimientos recomendados de seguridad y administración después de la migración de cargas
de trabajo a Azure.
Explore los procedimientos recomendados de redes después de la migración de cargas de trabajo a Azure.
Escalado de una migración en Azure
12/03/2021 • 44 minutes to read • Edit Online
En este artículo se muestra cómo la empresa ficticia Contoso realiza una migración a escala en Azure. La
compañía está considerando cómo planear y realizar una migración de más de 3000 cargas de trabajo, 8000
bases de datos y 10 000 máquinas virtuales.
Objetivos de la migración
El equipo de la nube de Contoso ha establecido los objetivos de esta migración. Estos objetivos se utilizan para
determinar el mejor método de migración.
Evaluación y clasificación de las aplicaciones Contoso quiere aprovechar al máximo la nube. De forma
predeterminada, Contoso supone que todos los servicios se
ejecutarán como plataforma como servicio (PaaS). Sin
embargo, se usará infraestructura como servicio cuando no
sea adecuado usar PaaS.
Entrenarse y migrar a DevOps Contoso desea pasar a un modelo DevOps. Para ello,
proporcionará formación de Azure y DevOps, y reorganizará
los equipos según sea necesario.
Después de establecer los objetivos y requisitos, Contoso revisa la huella de TI e identifica el proceso de
migración.
Implementación actual
Contoso ha planeado y configurado una infraestructura de Azure y ha probado otras combinaciones de
migración de prueba de concepto como se detalla en la tabla anterior. Ahora está listo para embarcarse en una
migración completa a Azure a escala. Esto es lo que Contoso desea migrar.
EL EM EN TO VO L UM EN DETA L L ES
Proceso de migración
Ahora que Contoso ha establecido las motivaciones empresariales y los objetivos de la migración, se puede
alinear con la metodología de migración. Puede basarse en la aplicación de oleadas y sprints de migración para
planear y ejecutar de forma iterativa los esfuerzos de migración.
Plan
Contoso inicia el proceso de planeamiento con la detección y evaluación de las aplicaciones, la infraestructura y
los datos locales. Esto es lo que Contoso hará:
Contoso debe detectar las aplicaciones, asignar las dependencias entre estas y decidir la prioridad y el orden
de la migración.
A medida que Contoso realiza esta evaluación, se creará un inventario detallado de las aplicaciones y
recursos. Junto con el nuevo inventario, Contoso usará y actualizará estos elementos existentes:
La base de datos de administración de configuración (CMDB). Esta contiene la configuración técnica
de las aplicaciones de Contoso.
El catálogo de servicios. El catálogo de servicios documenta los detalles operativos de las aplicaciones,
incluidos los socios comerciales asociados y los Acuerdos de Nivel de Servicio.
Detección de aplicaciones
Contoso ejecuta miles de aplicaciones en una amplia gama de servidores. Además de la CMDB y del catálogo de
servicios, Contoso necesita herramientas de detección y evaluación.
Las herramientas deben proporcionar un mecanismo que introduzca datos de evaluación en el proceso de
migración. Las herramientas de evaluación deben proporcionar datos que ayuden a crear un inventario
inteligente de los recursos físicos y virtuales de Contoso. Estos datos deben incluir información de perfil y
métricas de rendimiento.
Una vez completada la detección, Contoso debería disponer de un inventario completo de los recursos y los
metadatos asociados con estos. La compañía usará este inventario para definir el plan de migración.
Identificar las clasificaciones
Contoso identifica algunas categorías comunes para clasificar los recursos en el inventario. Estas clasificaciones
son fundamentales para la toma de decisiones de Contoso para la migración. La lista de clasificación ayuda a
establecer prioridades en la migración e identificar problemas complejos.
Grupo de negocios Lista de nombres de grupos de ¿Qué grupo es responsable del artículo
negocios del inventario?
Grupo de negocios Lista de nombres de grupos de ¿Qué grupo es responsable del artículo
negocios del inventario?
Contoso necesita usar Azure Migrate correctamente para determinar la escala de esta migración:
Contoso evalúa cada aplicación mediante Azure Migrate. Esta evaluación garantiza que Azure Migrate
devolverá los datos oportunamente a Azure Portal.
Los administradores de Contoso aprenden a implementar Azure Migrate a escala.
Contoso anota un resumen de los límites de Azure Migrate en la tabla siguiente.
A C C IÓ N L ÍM IT E
Paso 2: Migrar
Una vez concluida la evaluación, Contoso debe identificar herramientas para trasladar sus aplicaciones, datos e
infraestructura a Azure.
Estrategias de migración
Hay cuatro estrategias de migración generales que Contoso puede considerar.
Volver a generar Este enfoque recompila una Contoso puede volver a escribir
aplicación desde cero con tecnologías aplicaciones críticas para aprovechar
nativas de la nube. las ventajas de las tecnologías de la
La plataforma como servicio (PaaS) nube, como los procesos sin servidor o
de Azure ofrece un entorno de los microservicios.
desarrollo e implementación completo Contoso administrará la aplicación y
en la nube. Elimina algunos gastos y la los servicios que desarrolla, y Azure
complejidad de las licencias de administrará todo lo demás.
software. También elimina la necesidad
de una infraestructura de aplicaciones
subyacente, middleware y otros
recursos.
También hay que tener en cuenta los datos, especialmente con el volumen de bases de datos que tiene Contoso.
De manera predeterminada, Contoso usa los servicios PaaS, como Azure SQL Database, para aprovechar al
máximo las características de la nube. Al cambiar a un servicio PaaS para bases de datos, Contoso solo tendrá
que mantener los datos. Dejará a Microsoft encargarse de la plataforma subyacente.
Evaluación de las herramientas de migración
Contoso usa principalmente estos servicios y herramientas de Azure para la migración:
Azure Migrate: servicio para migrar máquinas virtuales locales y otros recursos a Azure.
Azure Database Migration Service: herramienta que migra las bases de datos locales como SQL Server,
MySQL y Oracle a Azure.
Azure Migrate
Azure Migrate es el servicio principal de Azure para orquestar la migración dentro de Azure y desde sitios
locales a Azure.
Azure Migrate organiza la replicación de las ubicaciones locales a Azure. Cuando se configura y ejecuta la
replicación, los equipos locales pueden conmutar por error a Azure, completando la migración.
Contoso ya completó una prueba de concepto para ver cómo puede ayudarles Azure Migrate con la migración a
la nube.
U so d e A z u r e M i g r a t e a e sc a l a
Contoso planea realizar múltiples migraciones mediante lift-and-shift. Para asegurarse de que funciona, Azure
Migrate replicará lotes de aproximadamente 100 máquinas virtuales a la vez. Para determinar cómo funcionará,
Contoso debe planear la capacidad para la migración propuesta.
Contoso necesita recopilar información acerca de sus volúmenes de tráfico. En concreto:
Contoso necesita determinar la frecuencia de cambio para las máquinas virtuales que quiere replicar.
También debe tener en cuenta la conectividad de red desde el sitio local a Azure.
En respuesta a los requisitos de capacidad y volumen, Contoso deberá asignar un ancho de banda suficiente
basado en la frecuencia de cambio diaria de las máquinas virtuales necesarias, para así cumplir con el objetivo
del punto de recuperación (RPO). Por último, se debe terminar cuántos servidores se necesitan para ejecutar los
componentes de Azure Migrate necesarios para la implementación.
R e c o p i l a c i ó n d e i n fo r m a c i ó n l o c a l
Además de las máquinas virtuales que se replican, Site Recovery requiere una serie de componentes para la
migración de VMware.
C O M P O N EN T E DETA L L ES
Contoso necesita averiguar cómo implementar estos componentes, en función de las consideraciones de
capacidad.
Tasa máxima de cambios diaria Un servidor de un solo proceso puede administrar una
tasa de cambio diaria de hasta 2 terabytes. Puesto que una
máquina virtual solo puede usar un servidor de procesos, la
frecuencia de cambio de datos diaria máxima que se admite
para una máquina virtual replicada es de 2 TB.
C O M P O N EN T E REQ UISITO S DE C A PA C IDA D
Contoso usará Database Migration Service para las migraciones desde SQL Server.
Al aprovisionar Database Migration Service, Contoso tiene que ajustar el tamaño correctamente y configurarlo
para optimizar el rendimiento de las migraciones de datos. Contoso va a seleccionar el nivel Crítico para la
empresa con cuatro núcleos virtuales. Esta opción permite que el servicio aproveche varias CPU virtuales para
la paralelización y para una transferencia de datos más rápida.
Otra táctica de escalado de Contoso es escalar verticalmente y de manera temporal la instancia de destino de
Azure SQL Database o Azure Database for MySQL al plan de tarifa Premium durante la migración de los datos.
Esto minimiza la limitación de base de datos que podría afectar a las actividades de transferencia de datos
cuando una organización usa los niveles inferiores.
U so d e o t r a s h e r r a m i e n t a s
Además de Database Migration Service, Contoso puede usar otras herramientas y servicios para identificar la
información de la máquina virtual:
Los scripts pueden ayudar con las migraciones manuales. Estos se encuentran disponibles en el repositorio
de GitHub.
Varias herramientas de asociados para la migración.
<-- docutune:ignore "herramientas de administración de costos" -->
Herramientas nativas
Contoso también usará scripts para localizar los recursos no utilizados.
Durante las migraciones de gran tamaño, a menudo hay piezas de datos sobrantes, como unidades de disco
duro virtuales, que conllevan un costo, pero no proporcionan ningún valor para la empresa. Los scripts están
disponibles en el repositorio de GitHub.
Contoso aprovechará el trabajo realizado por el departamento de TI de Microsoft y considerará la posibilidad de
implementar el kit de herramientas de Azure Resource Optimization (ARO). El kit de herramientas también está
en el repositorio de GitHub.
Contoso puede implementar una cuenta de Azure Automation con runbooks preconfigurados, programar sus
suscripciones y empezar a ahorrar dinero. La optimización de recursos se realiza automáticamente en una
suscripción al crear o habilitar una programación, incluida la optimización en nuevos recursos. Esto proporciona
funcionalidades de automatización descentralizada para reducir costos. Características incluidas:
Posponer automáticamente las máquinas virtuales de Azure cuando el uso de CPU sea bajo.
Programar las máquinas virtuales de Azure para posponerse y no posponerse.
Programar las máquinas virtuales de Azure para que se pospongan o no en orden ascendente y descendente
con etiquetas de Azure.
Eliminación masiva de grupos de recursos a petición.
Herramientas de optimización de asociados
Contoso puede usar herramientas de asociados como Hanu y Scalr.
Conclusión
En este artículo, Contoso planea una migración con escala a Azure. El proceso de migración se divide en cuatro
etapas. Las etapas van desde la evaluación y la migración, pasando por la optimización, la seguridad y la
administración una vez que la migración concluye.
Es importante para una organización planear un proyecto de migración como un proceso completo y migrar
sus sistemas mediante el desglose de conjuntos en clasificaciones y cifras que sean significativas para el
negocio. Al evaluar los datos y aplicar clasificaciones, el proyecto se puede dividir en una serie de migraciones
más pequeñas, que pueden ejecutarse rápidamente y de forma segura. La suma de estas migraciones más
pequeñas se convierte rápidamente en una migración correcta de gran tamaño a Azure.
Lenguajes de definición de datos para la migración
de esquemas
23/03/2021 • 51 minutes to read • Edit Online
En este artículo se describen los aspectos de diseño y las opciones de rendimiento para los lenguajes de
definición de datos cuando se migran esquemas a Azure Synapse Analytics.
Consideraciones de diseño
Revise estas consideraciones de diseño al planear la migración del esquema.
Preparación de la migración
Al preparar la migración de los datos existentes a Azure Synapse Analytics, es importante definir claramente el
ámbito del ejercicio (especialmente para un proyecto de migración inicial). El tiempo invertido por anticipado
para comprender cómo se migrarán los objetos de base de datos y los procesos relacionados puede reducir el
esfuerzo y los riesgos más adelante en el proyecto.
Cree un inventario de los objetos de base de datos que se van a migrar. En función de la plataforma de origen,
este inventario incluirá algunos o todos los objetos siguientes:
Tablas
Vistas
Índices
Funciones
Procedimientos almacenados
Distribución de datos y creación de particiones
La información básica sobre estos objetos debe incluir métricas como los recuentos de filas, el tamaño físico, la
razón de compresión de los datos y las dependencias de objetos. Esta información debe estar disponible a
través de las consultas en las tablas del catálogo del sistema de origen. Los metadatos del sistema son el mejor
origen de esta información. Es posible que la documentación externa esté obsoleta y no esté sincronizada con
los cambios que se han aplicado a la estructura de datos desde la implementación inicial.
También es posible analizar el uso real de los objetos a partir de los registros de consultas o usar herramientas
de asociados de Microsoft, como Attunity Visibility, como ayuda. Es posible que no sea necesario migrar algunas
tablas debido a que ya no se usan en las consultas de producción.
La información sobre el tamaño de los datos y la carga de trabajo es importante para Azure Synapse Analytics
porque ayuda a definir las configuraciones adecuadas. Un ejemplo son los niveles de simultaneidad necesarios.
Comprender el crecimiento previsible de los datos y las cargas de trabajo puede afectar a una configuración de
destino recomendada por lo que resulta útil aprovechar esta información.
Al usar volúmenes de datos para calcular el almacenamiento necesario para la plataforma de destino nueva, es
importante comprender la razón de compresión de los datos (si existe) en la base de datos de origen. Es
probable que la cantidad de almacenamiento que se usa en el sistema de origen sea una base falsa para el
ajuste de tamaño. La información de metadatos y supervisión puede ayudarle a determinar el tamaño de los
datos sin procesar sin comprimir, así como las sobrecargas de la indexación, la replicación de datos, el registro u
otros procesos del sistema actual.
El tamaño de los datos sin procesar no comprimidos de las tablas que se van a migrar es un buen punto inicial
para calcular el almacenamiento necesario en el entorno de Azure Synapse Analytics de destino nuevo.
La nueva plataforma de destino incluirá también un factor de compresión y una sobrecarga de indexación, pero
probablemente serán distintas en comparación con el sistema de origen. Los precios de almacenamiento de
Azure Synapse Analytics también incluyen siete días de copias de seguridad de instantáneas. Esto puede tener
un impacto en el costo total del almacenamiento necesario en comparación con el entorno existente.
Puede retrasar el ajuste del rendimiento del modelo de datos para más adelante en el proceso de migración y
programar este para cuando los volúmenes de datos reales estén en el almacenamiento de datos. Sin embargo,
se recomienda implementar algunas opciones de ajuste del rendimiento por anticipado.
Por ejemplo, en Azure Synapse Analytics, tiene sentido definir tablas de dimensiones pequeñas como tablas
replicadas y definir tablas de hechos grandes como índices agrupados de almacén de columnas. Del mismo
modo, los índices definidos en el entorno de origen proporcionan una buena indicación de las columnas que
pueden beneficiarse de la indexación en el entorno nuevo. Usar esta información al definir inicialmente las
tablas antes de la carga permitirá ahorrar tiempo más adelante en el proceso.
Se recomienda medir la razón de compresión y la sobrecarga de índice para sus propios datos en Azure
Synapse Analytics a medida que progresa el proyecto de migración. Esta medida permite planear la capacidad
futura.
Para reducir la complejidad y facilitar la migración, es posible simplificar el almacenamiento de datos existente
antes de la migración. Este esfuerzo puede incluir:
Quitar o archivar las tablas no utilizadas antes de la migración para evitar la migración de datos que no se
usan. Archivar en Azure Blob Storage y definir los datos como una tabla externa podría hacer que los datos
estuvieran disponibles a un menor costo.
Convertir los data marts físicos en data marts virtuales mediante software de virtualización de datos para
reducir lo que se debe migrar. Esta conversión también mejora la agilidad y reduce el costo total de
propiedad. Puede considerarla como una modernización durante la migración.
Un objetivo del ejercicio de migración también podría ser el de modernizar el almacén cambiando el modelo de
datos subyacente. Un ejemplo es el paso de un modelo de datos de estilo Inmon a un enfoque de almacén de
datos. Esto se debe decidir como parte de la fase de preparación y se debe incorporar una estrategia para la
transición en el plan de migración.
El enfoque recomendado en este escenario consiste en migrar primero el modelo de datos tal cual a la nueva
plataforma y, a continuación, realizar la transición al nuevo modelo en Azure Synapse Analytics. Utilice las
características de escalabilidad y rendimiento de la plataforma para ejecutar la transformación sin que ello
afecte al sistema de origen.
Migración del modelo de datos
Dependiendo de la plataforma y de los orígenes del sistema de origen, el modelo de datos de algunas o todas
las partes puede estar ya en formato de esquema de estrella o de copo de nieve. Si es así, se puede migrar
directamente a Azure Synapse Analytics tal como está. Este escenario es la migración más sencilla y con menos
riesgo que se puede lograr. Una migración tal cual también podría ser la primera fase de una migración más
compleja que incluye una transición a un modelo de datos subyacente nuevo como, por ejemplo, un almacén de
datos, tal como se describió anteriormente.
Cualquier conjunto de tablas y vistas relacionales se puede migrar a Azure Synapse Analytics. En el caso de las
cargas de trabajo de consulta analítica en un conjunto de datos grande, un modelo de datos de estrella o copo
de nieve generalmente ofrece el mejor rendimiento general. Si el modelo de datos de origen todavía no tiene
este formato, puede que valga la pena usar el proceso de migración para volver a diseñar el modelo.
Si el proyecto de migración incluye cualquier cambio en el modelo de datos, el procedimiento recomendado es
realizar estos cambios en el nuevo entorno de destino. Es decir, migre primero el modelo existente y, a
continuación, use la potencia y la flexibilidad de Azure Synapse Analytics para transformar los datos según el
nuevo modelo. Este enfoque minimiza el impacto en el sistema existente y usa el rendimiento y la escalabilidad
de Azure Synapse Analytics para hacer cambios de forma rápida y rentable.
Puede migrar el sistema existente como varias capas; por ejemplo, la capa de ingesta y almacenamiento
provisional de datos, la capa de almacenamiento de datos y la capa de informes o data marts. Cada capa se
compone de tablas y vistas relacionales. Aunque se pueden todas a Azure Synapse Analytics tal cual, puede que
sea más rentable y confiable usar algunas de las características y funcionalidades del ecosistema de Azure. Por
ejemplo:
Almacenamiento provisional e ingesta de datos: en lugar de usar tablas relacionales para la carga
rápida de datos en paralelo, puede usar Azure Blob Storage junto con PolyBase para parte del proceso de
ETL (extracción, transformación y carga de datos) o ELT (extracción, carga y transformación de datos).
Almacenamiento provisional e ingesta de datos: puede usar Azure Blob Storage junto con PolyBase
para la carga rápida de datos en paralelo para parte del proceso de ETL (extracción, transformación y
carga de datos) o ELT (extracción, carga y transformación de datos) en lugar de usar tablas relacionales.
Nivel de informes y data mar ts: las características de rendimiento de Azure Synapse Analytics
pueden eliminar la necesidad de crear físicamente instancias de las tablas agregadas para la elaboración
de informes o los data marts. Es posible implementarlos como vistas en el almacenamiento de datos
principal o a través de una capa de virtualización de datos de terceros. En el nivel básico, puede conseguir
el proceso para la migración de datos históricos y, posiblemente, también las actualizaciones
incrementales, como se indica en este diagrama:
En la tabla siguiente se enumeran algunos tipos de datos comunes que no se admiten actualmente con el
enfoque recomendado para almacenarlos en Azure Synapse Analytics.
geometry varbinary
geography varbinary
hierarchyid nvarchar(4000)
T IP O DE DATO S N O A DM IT IDO SO L UC IÓ N A LT ERN AT IVA
image varbinary
text varchar
ntext nvarchar
xml varchar
Tipo definido por el usuario Volver a convertir el tipo de datos nativo cuando sea posible
Evite definir los campos de caracteres con un tamaño predeterminado de gran tamaño. Si el tamaño máximo de
los datos de un campo es 50 caracteres, use VARCHAR(50) . Del mismo modo, no se NVARCHAR si VARCHAR es
suficiente. NVARCHAR almacena datos Unicode para permitir diferentes juegos de caracteres de idiomas. VARCHAR
almacena datos ASCII y ocupa menos espacio.
Opciones de rendimiento
En esta sección se describen las características disponibles en Azure Synapse Analytics que se pueden usar para
mejorar el rendimiento de un modelo de datos.
Enfoque general
Las características de la plataforma ejecutan el ajuste del rendimiento en la base de datos que se va a migrar. Los
índices, la creación de particiones de datos y la distribución de datos son ejemplos de este ajuste del
rendimiento. Durante la preparación de la migración, documentar el ajuste permite capturar y descubrir
optimizaciones que puede aplicar en el entorno de destino de Azure Synapse Analytics.
Por ejemplo, la presencia de un índice no único en una tabla puede indicar que los campos que se usan en el
índice se utilizan con frecuencia para filtrar, agrupar o combinar. Este seguirá siendo el caso en el entorno nuevo
y, por tanto, se debe tener en cuenta al elegir qué campos quiere indexar. Para obtener información más
detallada sobre los entornos de Teradata o Netezza, consulte los artículos de Azure Synapse Analytics sobre
soluciones y migración para Teradata y soluciones y migración para Netezza.
Use el rendimiento y la escalabilidad del entorno de Azure Synapse Analytics de destino para experimentar con
distintas opciones de rendimiento como la distribución de datos. Determine el mejor enfoque alternativo (por
ejemplo, el enfoque replicado en comparación con el distribuido por hash para una tabla de dimensiones de
gran tamaño). Esto no significa que los datos se deben volver a cargar desde orígenes externos. Es relativamente
rápido y fácil probar enfoques alternativos en Azure Synapse Analytics mediante la creación de copias de
cualquier tabla con distintas opciones de creación de particiones o distribución a través de una instrucción
CREATE TABLE AS SELECT .
Use las herramientas de supervisión que proporciona el entorno de Azure para comprender cómo se ejecutan
las consultas y dónde se pueden producir cuellos de botella. También hay herramientas disponibles de
asociados de Microsoft independientes que proporcionan paneles de supervisión y alertas y administración
automatizada de recursos.
Cada operación de SQL en Azure Synapse Analytics y en el recurso como, por ejemplo, la memoria o la CPU
usada por esa consulta, se registra en las tablas del sistema. Una serie de vistas de administración dinámica
simplifica el acceso a esta información.
En las secciones siguientes se explican las opciones clave de Azure SQL Data Warehouse para optimizar el
rendimiento de las consultas. Los entornos existentes contendrán información sobre la optimización potencial
en el entorno de destino.
Tablas temporales
Azure Synapse Analytics admite tablas temporales que solo son visibles para la sesión en la que se crearon.
Existen mientras dura una sesión de usuario y se eliminan automáticamente al final de la sesión.
Para crear una tabla temporal, anteponga el carácter de almohadilla ( # ) al nombre de la tabla, como prefijo.
Puede usar todas las opciones de indexación y distribución habituales con tablas temporales, como se describe
en la sección siguiente.
Las tablas temporales tienen algunas restricciones:
No se permite el cambio de nombre.
No se permite la visualización ni la creación de particiones.
No se permiten los cambios de permisos.
Las tablas temporales suelen usarse dentro del procesamiento ETL/ELT, donde los resultados intermedios
transitorios se usan como parte de un proceso de transformación.
Opciones de distribución de tabla
Azure Synapse Analytics es un sistema de bases de datos de procesamiento paralelo masivo (MPP) que logra
rendimiento y escalabilidad al ejecutarse en paralelo en varios nodos de procesamiento.
El escenario de procesamiento idóneo para ejecutar una consulta SQL en un entorno de varios nodos consiste
en equilibrar la carga de trabajo y dar a todos los nodos una cantidad de datos igual que procesar. Este enfoque
también le permite minimizar, o incluso eliminar, la cantidad de datos que deben moverse entre los nodos para
satisfacer la consulta.
Puede resultar difícil lograr el escenario ideal ya que, a menudo, en las consultas de análisis habituales hay
agregaciones y varias combinaciones entre varias tablas como, por ejemplo, entre tablas de hechos y de
dimensiones.
Una manera de influir en cómo se procesan las consultas es usar las opciones de distribución de Azure Synapse
Analytics para especificar dónde se almacenan las filas de datos individuales de cada tabla. Por ejemplo,
supongamos que dos tablas grandes están combinadas en la columna de datos, CUSTOMER_ID . Mediante la
distribución de las dos tablas a través de las columnas CUSTOMER_ID cada vez que se realiza la combinación,
puede asegurarse de que los datos de cada lado de la combinación se colocarán ya en el mismo nodo de
procesamiento. Este método elimina la necesidad de trasladar los datos entre los nodos. La especificación de
distribución para una tabla se define en la instrucción CREATE TABLE .
En las secciones siguientes se describen las opciones de distribución disponibles y las recomendaciones sobre
cuándo se deben usar. Es posible cambiar la distribución de una tabla después de la carga inicial, si es necesario;
para ello, vuelva a crear la tabla con la distribución nueva mediante la instrucción CREATE TABLE AS SELECT .
Round robin
Esta distribución de tabla del tipo round robin es la opción predeterminada y permite distribuir los datos de
manera uniforme entre los nodos del sistema. Este método es adecuado para la carga rápida de datos y para
aquellos datos con un volumen relativamente bajo y que no tienen un candidato obvio para la aplicación de un
algoritmo hash. Se suele usar para las tablas de almacenamiento provisional como parte de un proceso ETL o
ELT.
Con hash
El sistema asigna la fila a un cubo de hash, una tarea basada en un algoritmo hash se aplica a una clave definida
por un usuario como CUSTOMER_ID en el ejemplo anterior. A continuación, el cubo se asigna a un nodo específico
y todas las filas de datos que se distribuyen con hash en el mismo valor terminan en el mismo nodo de
procesamiento.
Este método es útil para las tablas grandes que con frecuencia se combinan o se agregan en una clave. Si es
posible, se debe aplicar un algoritmo hash a otras tablas grandes que se van a combinar en la misma clave. Si
hay varios candidatos para la clave hash, elija la combinación más frecuente.
La columna hash no debe contener valores NULL y, por lo general, no es una fecha porque muchas consultas se
filtran por fecha. Habitualmente, el hash es más eficaz si la clave para aplicar el algoritmo hash es un valor
entero en lugar de CHAR o VARCHAR . Evite también la elección de claves que tengan un intervalo muy sesgado
de valores, como un pequeño número de valores de clave que representan un porcentaje alto de filas de datos.
Replicado
Elegir el replicado como opción de distribución para una tabla hará que se replique una copia completa de esa
tabla en cada nodo de ejecución con fines de procesamiento de consultas.
Este enfoque es útil para las tablas relativamente pequeñas (por lo general, con menos de 2 GB comprimidos)
que son relativamente estáticas y se combinan con frecuencia con tablas grandes a través de una combinación
de igualdad. Estas tablas suelen ser tablas de dimensiones en un esquema de estrella.
Indización
Azure Synapse Analytics incluye opciones de indexación de datos en tablas de gran tamaño para reducir los
recursos y el tiempo necesarios para recuperar registros:
Índice de almacén de columnas agrupado
Índice agrupado
Índice no agrupado
Hay una opción no indexada, denominada HEAP , para las tablas que no se beneficiarían de ninguna de las
opciones de indexación. El uso de índices supone un equilibrio entre mejores tiempos de consulta y tiempos de
carga más largos y más uso de espacio de almacenamiento. Los índices suelen acelerar las operaciones de
SELECT , UPDATE , DELETE y MERGE en tablas grandes que afectan a un pequeño porcentaje de las filas de datos
y pueden minimizar los recorridos de tabla completos.
Los índices se crean automáticamente cuando se definen las restricciones UNIQUE o PRIMARY KEY en las
columnas.
Índice de almacén de columnas agrupado
El índice de almacén de columnas agrupado es la opción de indexación predeterminada de Azure Synapse
Analytics. Proporciona la mejor compresión y rendimiento de consultas para tablas grandes. En el caso de las
tablas más pequeñas (con menos de 60 millones de filas), estos índices no son eficaces y, por tanto, se debe usar
la opción HEAP . Del mismo modo, si los datos de una tabla son transitorios y forman parte de un proceso ETL o
ETL, una tabla de montón o una tabla temporal puede ser más eficaz.
Índice agrupado
Si hay un requisito para recuperar de manera periódica una fila única o un número pequeño de filas de una
tabla de gran tamaño en función de una condición de filtro segura, un índice agrupado puede ser más eficaz que
un índice de almacén de columnas agrupado. Solo se permite un índice agrupado por tabla.
Índice no agrupado
Los índices no agrupados son similares a los índices agrupados, ya que pueden acelerar la recuperación de filas
individuales o de un número pequeño de filas en función de una condición de filtro. Internamente, los índices no
agrupados se almacenan de forma independiente de los datos y se pueden definir varios índices no agrupados
en una tabla. Sin embargo, cada índice adicional necesitará más almacenamiento y reducirá el rendimiento de la
inserción o carga de datos.
Montón
Las tablas de montones no incurren en la sobrecarga asociada con la creación y el mantenimiento de índices en
el momento de la carga de datos. Pueden ayudar a cargar rápidamente datos transitorios durante los procesos,
incluidos los procesos de ELT. El almacenamiento en caché también puede ayudar cuando los datos se leen
inmediatamente después. Dado que los índices de almacén de columnas agrupados son ineficaces en tablas con
menos de 60 millones de filas, las tablas de montones también pueden ayudar a almacenar aquellas tablas con
un número menor de filas.
Creación de particiones de datos
En un almacén de datos empresarial, las tablas de hechos pueden contener muchos miles de millones de filas de
datos. La creación de particiones es una manera de optimizar el mantenimiento y las consultas de estas tablas al
dividirlas en partes independientes para reducir la cantidad de datos que se procesan al ejecutar consultas. La
especificación del particionamiento para una tabla se define en la instrucción CREATE TABLE .
En la creación de particiones, solo se puede usar un campo por tabla. Suele ser un campo de fecha porque
muchas consultas se filtran por una fecha o un intervalo de fechas. Puede cambiar la creación de particiones de
una tabla después de la carga inicial, si es necesario; para ello, vuelva a crear la tabla con la nueva distribución
mediante la instrucción CREATE TABLE AS SELECT .
Creación de par ticiones para la optimización de consultas: si las consultas realizadas en una tabla de
hechos de gran tamaño se filtran con frecuencia por una determinada columna de datos, la creación de
particiones en esa columna puede reducir considerablemente la cantidad de datos que se deben procesar para
realizar las consultas. Un ejemplo común es usar un campo de fecha para dividir la tabla en grupos más
pequeños. Cada grupo contiene datos de un solo día. Cuando una consulta contiene una cláusula WHERE que
filtra por la fecha, solo es necesario tener acceso a las particiones que coinciden con el filtro de fecha.
Creación de par ticiones para la optimización del mantenimiento de tablas: es habitual que los
entornos de almacenamiento de datos mantengan una ventana con desplazamiento de datos de hechos
detallados. Por ejemplo, las transacciones de ventas de hasta cinco años atrás. Al crear particiones en la fecha de
venta, la eliminación de los datos antiguos que van más allá del período acumulado es mucho más eficaz. Quitar
la partición más antigua es más rápido y usa menos recursos que las eliminación de todas las filas individuales.
Estadísticas
Cuando se envía una consulta a Azure Synapse Analytics, la procesa primero el optimizador de consultas. El
optimizador determina los mejores métodos internos para ejecutar la consulta de forma eficaz.
El optimizador compara los distintos planes de ejecución de consultas que están disponibles en función de un
algoritmo basado en el costo. La precisión de las estimaciones de costos depende de las estadísticas disponibles.
Por lo tanto, se recomienda asegurarse de que las estadísticas estén actualizadas.
En Azure Synapse Analytics, si está activada la opción AUTO_CREATE_STATISTICS , se desencadenará una
actualización automática de las estadísticas. Las estadísticas también se pueden crear o actualizar manualmente
mediante el comando CREATE STATISTICS .
Actualice las estadísticas cuando el contenido haya cambiado sustancialmente (por ejemplo, en una
actualización diaria). Esta actualización se puede incorporar en un proceso ETL.
Todas las tablas de la base de datos deben tener estadísticas recopiladas en al menos una columna. Garantiza
que la información básica, como el recuento de filas y el tamaño de la tabla, está disponible para el optimizador.
Otras columnas que deben tener estadísticas recopiladas son las columnas especificadas en el procesamiento
JOIN , DISTINCT , ORDER BY y GROUP BY .
Una de las principales ventajas de una infraestructura moderna basada en la nube, como Microsoft Azure, es
que las características de alta disponibilidad y recuperación ante desastres están integradas y son fáciles de
implementar y personalizar. Estos recursos suelen ser de menor costo que la funcionalidad equivalente en un
entorno local. El uso de estas funciones integradas también significa que no es necesario migrar los
mecanismos de copia de seguridad y de recuperación del almacenamiento de datos existente.
En las secciones siguientes se describen las características estándar de Azure Synapse Analytics que satisfacen
los requisitos de alta disponibilidad y recuperación ante desastres.
Alta disponibilidad
Azure Synapse Analytics usa instantáneas de base de datos para proporcionar una alta disponibilidad del
almacén. Una instantánea de almacenamiento de datos crea un punto de restauración que se puede usar para
copiar el almacenamiento de datos o recuperarlo a un estado anterior. Como Azure Synapse Analytics es un
sistema distribuido, una instantánea de almacenamiento de datos consta de muchos archivos que se almacenan
en Azure Storage. Las instantáneas capturan los cambios incrementales de los datos almacenados en el
almacenamiento de datos.
Azure Synapse Analytics toma automáticamente instantáneas a lo largo del día y crea puntos de restauración
que están disponibles durante siete días. Este período de retención no se puede modificar. Azure Synapse
Analytics admite un objetivo de punto de recuperación (RPO) de ocho horas. Puede restaurar el
almacenamiento de datos de la región primaria a partir de cualquiera de las instantáneas capturadas en los
últimos siete días.
El servicio también admite los puntos de restauración definidos por el usuario. El desencadenamiento manual
de las instantáneas sirve para crear puntos de restauración de un almacenamiento de datos antes y después de
realizar grandes modificaciones. Esta funcionalidad garantiza la coherencia lógica de los puntos de restauración.
La coherencia lógica proporciona protección de datos adicional ante posibles interrupciones de la carga de
trabajo o errores del usuario para una pronta recuperación.
A menudo, los clientes experimentan antipatrones durante la fase de migración de la adopción de la nube. Las
siguientes medidas ayudan a evitar los antipatrones de migración:
Comprobación de que las barreras de seguridad y cumplimiento normativo están implementadas.
Descripción de las posibles dependencias de aplicaciones y servidores.
Elección de una arquitectura basada en una evaluación exhaustiva.
Pasos siguientes
Introducción a la guía de migración de Azure
Lista de comprobación de procedimientos recomendados para la migración a la nube de Azure
Organización de grupos de administración y suscripciones
Modelo de migración de Cloud Adoption
Framework
12/03/2021 • 7 minutes to read • Edit Online
En esta sección de Cloud Adoption Framework se explican los principios que subyacen en el modelo de
migración. Siempre que sea posible, este contenido intenta mantener una posición neutral respecto a los
proveedores mientras le guía por los procesos y actividades que se pueden aplicar a cualquier migración a la
nube, independientemente del proveedor de nube elegido.
NOTE
Mientras que el planeamiento empresarial es importante, una mentalidad de crecimiento es igualmente importante.
Paralelamente a los esfuerzos de planeamiento empresarial más amplios del equipo de estrategia en la nube, se sugiere
que el equipo de adopción de la nube comience a migrar una primera carga de trabajo como precursora de los esfuerzos
de migración a mayor escala. Esta migración inicial permitirá que el equipo adquiera experiencia práctica con las cuestiones
comerciales y técnicas que implica una migración.
La migración y modernización de las cargas de trabajo van desde simples migraciones de rehospedaje
(llamadas también migraciones lift and shift) mediante las funcionalidades de infraestructura como servicio
(IaaS) que no requieren cambios de código y aplicaciones, pasando por la refactorización con cambios mínimos,
hasta el rediseño para modificar y ampliar la funcionalidad de código y aplicaciones para aprovechar las
tecnologías de la nube.
Las estrategias nativas de la nube y las estrategias de plataforma como servicio (PaaS) recompilan cargas de
trabajo locales mediante ofertas de la plataforma Azure y servicios administrados. Las cargas de trabajo que
tienen ofertas equivalentes de software como servicio (SaaS) totalmente administrado basadas en la nube
pueden reemplazarse totalmente por estos servicios como parte del proceso de migración.
NOTE
Durante la versión preliminar pública de Cloud Adoption Framework, en esta sección de la plataforma se hace hincapié en
una estrategia de migración de rehospedaje. Aunque las soluciones PaaS y SaaS se tratan como alternativas cuando es
apropiado, la migración de cargas de trabajo basadas en máquinas virtuales que utilizan funcionalidades IaaS es el
objetivo principal.
Otras secciones e iteraciones futuras de este contenido se ampliarán en otros enfoques. Para obtener una descripción de
alto nivel sobre la ampliación del ámbito de la migración para incluir estrategias de migración más complicadas, consulte el
artículo sobre cómo equilibrar la cartera.
Migración incremental
El modelo de migración de Cloud Adoption Framework se basa en un proceso de transformación incremental
en la nube. Asume que la organización comenzará con un esfuerzo inicial, de ámbito limitado, de migración a la
nube, al que nos referimos comúnmente como la primera carga de trabajo. Este esfuerzo se ampliará de forma
iterativa para incluir más cargas de trabajo a medida que los equipos de operaciones perfeccionen y mejoren
sus procesos de migración.
Las herramientas de migración en nube como Azure Site Recovery pueden migrar centros de datos completos
que consisten en decenas de miles de máquinas virtuales. Sin embargo, la empresa y las operaciones de TI
existentes rara vez pueden controlar un ritmo de cambio tan alto. Como tales, muchas organizaciones dividen el
esfuerzo de migración en varias iteraciones y, para ello, mueven una carga de trabajo (o una colección de cargas
de trabajo) por iteración.
Los principios que subyacen en este modelo incremental se basan en la ejecución de procesos y requisitos
previos a los que se hace referencia en la siguiente infografía.
La aplicación coherente de estos principios representa un objetivo final para sus procesos de migración a la
nube y no debe considerarse como un punto inicial necesario. A medida que maduren los esfuerzos de
migración, consulte la guía en esta sección para ayudar a definir el mejor proceso para apoyar sus necesidades
organizacionales.
Pasos siguientes
Para aprender sobre este modelo, investigue los requisitos previos para la migración.
Requisitos previos para la migración
Requisitos previos para la migración
06/03/2021 • 7 minutes to read • Edit Online
Antes de comenzar cualquier migración, es preciso preparar el entorno de destino de la migración para los
cambios que se van a producir. En este caso, el entorno hace referencia a la base técnica en la nube. El entorno
también significa el entorno empresarial y la mentalidad que promueven la migración. Del mismo modo, el
entorno incluye la referencia cultural de los equipos que llevan a cabo los cambios y de los que se ven afectados
por estos. La falta de preparación para estos cambios es el motivo más habitual para los errores en las
migraciones. Esta serie de artículos le guiará a través de los requisitos previos recomendados para preparar el
entorno.
Objetivo
Garantice la preparación empresarial, cultural y técnica antes de comenzar un plan de migración iterativo.
Definición de finalizado
Los requisitos previos están completos cuando se cumple lo siguiente:
Preparación empresarial. El equipo de estrategia en la nube ha definido y clasificado por orden de
prioridad un trabajo pendiente de migración de alto nivel que representa la parte del patrimonio digital que
se va a migrar en las próximas dos o tres etapas. Los equipos de estrategia en la nube y de adopción de esta
han acordado una estrategia inicial para administrar los cambios.
Preparación cultural. Se han acordado las funciones, responsabilidades y expectativas del equipo de
adopción de la nube, el equipo de estrategia en la nube y los usuarios afectados en relación con las cargas de
trabajo que se van a migrar en las próximas dos o tres etapas.
Preparación técnica. La zona de aterrizaje (o espacio asignado de hospedaje en la nube) que recibirá los
recursos migrados cumple unos requisitos mínimos para hospedar la primera carga de trabajo migrada.
Cau t i on
La preparación es clave para el éxito de una migración. Sin embargo, demasiada preparación puede conducir a
una parálisis del análisis en la que el exceso de tiempo invertido en la planeación puede retrasar seriamente un
esfuerzo de migración. Los procesos y requisitos previos que se definen en esta sección están diseñados para
ayudarle a tomar decisiones, pero no les permita que supongan un impedimento para lograr un progreso
significativo.
Elija una carga de trabajo relativamente sencilla para la migración inicial. Use los procesos descritos en esta
sección cuando planee e implemente esta primera migración. Este primer esfuerzo de migración permitirá
mostrar rápidamente los principios de la nube a su equipo y obligarlos a obtener información acerca del
funcionamiento de la nube. A medida que el equipo gana en experiencia, integre los elementos aprendidos en
migraciones de mayor calado y complejidad.
Responsabilidad durante la fase de los requisitos previos
Dos equipos son responsables de la preparación al completar los requisitos previos:
Equipo de estrategia en la nube: Este equipo es responsable de identificar y clasificar por orden de
prioridad la dos o tres primeras cargas de trabajo que actuarán como candidatas a la migración.
Equipo de adopción de la nube: Este equipo es responsable de validar la preparación del entorno técnico
y la viabilidad de migrar las cargas de trabajo propuestas.
Se debe identificar un único miembro de cada equipo como responsable de cada una de las tres definiciones de
preparación que se indicaban en la sección anterior.
Pasos siguientes
Con un reconocimiento general de los requisitos previos, estará listo para adoptar las primeras decisiones
iniciales de la migración sobre los requisitos previos.
Decisiones iniciales de la migración
Decisiones que afectan a la migración
12/03/2021 • 14 minutes to read • Edit Online
Durante la migración, hay varios factores que afectan a las decisiones y las actividades de ejecución. En este
artículo se explica el tema central de esas decisiones y se exploran algunas de las cuestiones que conducen los
análisis de los principios de la migración en esta sección de la guía del marco de adopción de la nube.
Resultados empresariales
El objetivo o meta de cualquier esfuerzo de adopción puede tener un efecto importante sobre el enfoque que se
ha sugerido ejecutar.
Migración. Los impulsores de negocio urgentes, la velocidad de adopción o el ahorro de costos son
ejemplos de resultados operativos. Estos resultados son fundamentales para los esfuerzos que generan valor
empresarial por los cambios transitivos en los modelos de TI o de operaciones. La metodología de migración
de Cloud Adoption Framework se centra en gran medida en los resultados empresariales basados en la
migración.
Innovación de aplicaciones. La mejora de la experiencia del cliente y el crecimiento de la cuota de
mercado son ejemplos de resultados incrementales. Los resultados proceden de una colección de cambios
incrementales centrados en las necesidades y los deseos de los clientes actuales.
Innovación controlada por datos . Los nuevos productos o servicios, especialmente los que se basan en la
eficacia de los datos, son ejemplos de resultados perjudiciales. Estos resultados son el producto de la
experimentación y las predicciones que usan datos para alterar el status quo en el mercado.
Ninguna empresa perseguirá solamente uno de estos resultados. Sin operaciones, no hay clientes y viceversa.
La adopción de la nube no es diferente. Normalmente, las empresas trabajan para lograr cada uno de estos
resultados, pero tratar de centrarse en todos ellos a la vez puede hacer que se abarque demasiado y que se
ralentice el progreso del trabajo que podría beneficiar más a las necesidades de su empresa.
Este requisito previo no es una exigencia para que elija uno de estos tres objetivos, sino que puede ayudar a los
equipos de estrategia y adopción de la nube a establecer un conjunto de prioridades operativas que guíen la
ejecución durante el próximo período de tres a seis meses. Estas prioridades se establecen mediante la
clasificación de cada una de las tres opciones detalladas de más importante a menos importante, ya que se
relacionan con los esfuerzos con los que puede contribuir este equipo en el próximo par de trimestres.
Actuación sobre los resultados de la migración
Si los resultados operativos obtienen la clasificación más alta de la lista, esta sección de Cloud Adoption
Framework se adaptará bien al equipo. En esta sección, se supone que debe priorizar la velocidad y el ahorro en
los costos como indicadores clave de rendimiento (KPI) principales, en cuyo caso un modelo de migración a la
adopción se alineará bien con los resultados. Un modelo centrado en la migración se basa en gran medida en la
migración mediante lift-and-shift de los recursos de infraestructura como servicio (IaaS) para consumir un
centro de datos y producir ahorros en los costos. En este modelo, puede producirse alguna modernización, pero
es un enfoque secundario hasta que se realice la misión principal de la migración.
Actuación sobre las innovaciones de las aplicaciones
Si la cuota de mercado y la experiencia del cliente son los impulsores principales, es posible que esta no sea la
mejor sección de Cloud Adoption Framework para guiar los esfuerzos de los equipos. La innovación de las
aplicaciones requiere un plan que se centre en la modernización y la transición de las cargas de trabajo, sin
importar la infraestructura subyacente. En tal caso, las instrucciones de esta sección pueden ser informativas,
pero es posible que no sea el mejor enfoque para guiar las decisiones básicas.
Actuación sobre las innovaciones de los datos
Si los datos, la experimentación, la investigación y el desarrollo (I+D) o los nuevos productos son su prioridad
durante los próximos seis meses, es posible que esta no sea la mejor sección de Cloud Adoption Framework
para guiar los esfuerzos de los equipos. Cualquier esfuerzo de innovación de los datos podría beneficiarse de las
instrucciones relativas a la migración de los datos de origen existentes. Sin embargo, el enfoque más amplio de
ese esfuerzo estaría sobre la entrada y la integración de orígenes de datos adicionales. La ampliación de estas
instrucciones con predicciones y nuevas experiencias es mucho más importante que la migración de recursos
de IaaS.
Esfuerzo
El esfuerzo de migración puede variar considerablemente en función del tamaño y las complejidades de las
cargas de trabajo implicadas. Una migración de cargas de trabajo más pequeña en la que solo intervengan unos
cientos de máquinas virtuales (VM) es un proceso táctico, que puede implementarse mediante herramientas
automatizadas como Azure Migrate. Por el contrario, una gran migración empresarial de decenas de miles de
cargas de trabajo requiere un proceso muy estratégico y puede implicar una extensa refactorización,
recompilación y reemplazo de las aplicaciones existentes que integran las funcionalidades de plataforma como
servicio (PaaS) y software como servicio (SaaS). Es fundamental identificar y equilibrar el ámbito de las
migraciones planeadas.
Antes de tomar decisiones que pudieran tener un efecto a largo plazo sobre el programa de migración actual, es
fundamental crear un consenso sobre las siguientes decisiones.
Tipo de esfuerzo
En cualquier migración de escala considerable (más de 250 máquinas virtuales), los recursos se migran
mediante una variedad de opciones de transición, que se describen en las cinco R de la racionalización:
rehospedaje, refactorización, rediseño, recompilación y reemplazo.
Algunas cargas de trabajo se modernizan mediante un proceso de recompilación o rediseño, lo que crea
aplicaciones más modernas con nuevas características y funcionalidades técnicas. Otros recursos pasan por un
proceso de refactorización, por ejemplo, se mueven a contenedores u otros enfoques más modernos de
funcionamiento y hospedaje que no afectan necesariamente al código base de las soluciones. Normalmente, las
máquinas virtuales y otros recursos que están más establecidos pasan por un proceso de rehospedaje, con una
transición de esos recursos del centro de datos a la nube. Es posible que algunas cargas de trabajo se puedan
migrar a la nube, pero que en cambio se deban reemplazar mediante servicios en la nube basados en servicios
(basados en SaaS) que satisfagan la misma necesidad empresarial; por ejemplo, usar Microsoft 365 como
alternativa a la migración de instancias de Exchange Server.
En la mayoría de los escenarios, algunos eventos empresariales crean una función impulsora que hace que un
alto porcentaje de recursos se migren temporalmente mediante el proceso de rehospedaje, seguido de una
transición secundaria más significativa por medio de una de las otras estrategias de migración después de que
están en la nube. Este proceso se conoce normalmente como transición a la nube.
Durante el proceso de racionalización del patrimonio digital, estos tipos de decisiones se aplican a cada recurso
que se va a migrar. Sin embargo, el requisito previo necesario en este momento es realizar una suposición de
línea base. De las cinco estrategias de migración, ¿cuál concuerda más con los objetivos empresariales o los
resultados empresariales que impulsan este esfuerzo de migración? Esta decisión sirve como supuesto guía en
todo el esfuerzo de migración.
Escala del esfuerzo
La escala de la migración es la siguiente decisión importante que constituye un requisito previo. Los procesos
necesarios para migrar 1000 recursos serán diferentes de los procesos necesarios para trasladar 10 000. Antes
de comenzar cualquier esfuerzo de migración, es importante responder a las siguientes preguntas:
¿Cuántos recursos admiten las cargas de trabajo de migración hoy en día? Los recursos incluirán
estructuras de datos, aplicaciones, VM y los dispositivos de TI necesarios. Elija una carga de trabajo
relativamente pequeña para su primer candidato a la migración.
De esos recursos, ¿cuántos están planeados para la migración? Es habitual que durante un proceso
de migración se finalicen los recursos, debido a la falta de dependencia sostenida del usuario final.
¿Cuáles son las estimaciones descendentes de la escala de recursos que se pueden migrar? En el
caso de las cargas de trabajo que se incluyen en la migración, calcule el número de recursos auxiliares, como
aplicaciones, máquinas virtuales, orígenes de datos y dispositivos de TI. Consulte la sección sobre el
patrimonio digital de Cloud Adoption Framework para obtener instrucciones sobre cómo identificar recursos
importantes.
Tiempo del esfuerzo
A menudo, las migraciones están impulsadas por un evento empresarial apremiante que depende del tiempo.
Por ejemplo, un impulsor común es la terminación o la renovación de un contrato de hospedaje de terceros.
Aunque hay muchos posibles eventos empresariales que requieren una migración, todos comparten un factor
común: una fecha de finalización. Es importante comprender la temporalidad de cualquier evento empresarial
inminente, de forma que sea posible planear y validar correctamente las actividades y la velocidad.
Resumen
Antes de continuar, documente los siguientes supuestos y compártalos con los equipos de estrategia en la nube
y adopción de la nube:
Resultados empresariales
Roles, documentados y definidos para los procesos de migración Evaluación, Migración, Optimización y
Protección y administración.
Definición de hecho, documentada y perfeccionada por separado para los procesos de migración.
Tipo de esfuerzo
Escala del esfuerzo
Tiempo del esfuerzo
Pasos siguientes
Una vez entendido el proceso en el equipo, es el momento de revisar los requisitos previos técnicos. La lista de
comprobación de planeamiento del entorno de migración ayuda a garantizar que los cimientos técnicos están
listos para la migración.
Una vez que el proceso se entienda en el equipo, es hora de revisar los requisitos previos técnicos; la lista de
comprobación del planeamiento de la migración ayudará a garantizar que los cimientos técnicos están listos
para la migración.
Revisión de la lista de comprobación del planeamiento de la migración
Lista de comprobación del planeamiento del
entorno de migración: Validación de la preparación
del entorno antes de la migración
06/03/2021 • 7 minutes to read • Edit Online
Como paso inicial en el proceso de migración, debe crear el entorno adecuado en la nube para recibir, hospedar
y respaldar la migración de los recursos. En este artículo se proporciona una lista de aspectos que se deben
validar en el entorno actual antes de la migración.
La siguiente lista de comprobación se alinea con las instrucciones de la metodología de preparación del marco
de adopción de la nube. Revise esa sección para obtener instrucciones sobre la ejecución de cualquiera de las
siguientes opciones.
Alineación de la gobernanza
La primera decisión, y la más importante, con respecto a cualquier entorno preparado para la migración es la
elección de la alineación de la gobernanza. ¿Se ha logrado un consenso con respecto a la alineación de la
gobernanza con la base de la migración? Como mínimo, el equipo de adopción de la nube debe comprender si
esta migración se va a realizar en un único entorno con gobernanza limitada, en una factoría con un entorno
completamente regulado o en alguna opción intermedia. Para más información sobre la alineación de
gobernanza, consulte la metodología de gobernanza.
Se recomienda encarecidamente desarrollar una estrategia de gobernanza para todos aquellos aspectos que
vayan más allá de la migración inicial de la carga de trabajo.
Con independencia del nivel de alineación de la gobernanza, deberá tomar decisiones relacionadas con los
temas siguientes.
Organización de recursos
En función de la decisión sobre la alineación de la gobernanza, se debe establecer un enfoque para la
organización y la implementación de recursos antes de la migración.
Nomenclatura
Antes de la migración, se debe establecer un enfoque coherente para asignar nombres a los recursos, junto con
esquemas de nomenclatura coherentes.
Regulación de recursos
Antes de la migración, se debe tomar una decisión con respecto a las herramientas para regular los recursos.
Aunque no es necesario que las herramientas estén totalmente implementadas, se deben seleccionar y probar
en una dirección. Antes de la migración, el equipo de gobernanza de la nube debe definir y exigir la
implementación de un producto mínimo viable (MVP) para las herramientas de gobernanza.
Red
Las cargas de trabajo basadas en la nube requerirán el aprovisionamiento de redes virtuales para admitir el
acceso administrativo y del usuario final. En función de las decisiones sobre la organización y la gobernanza de
los recursos, debe seleccionar un enfoque de red para alinearlo con los requisitos de seguridad de TI. Además,
las decisiones de red deben estar en consonancia con cualquier restricción de red híbrida necesaria para operar
las cargas de trabajo en el trabajo pendiente de migración y admitir cualquier acceso a los recursos hospedados
de forma local.
Identidad
Los servicios de identidad basados en la nube son un requisito previo para ofrecer administración de
identidades y acceso (IAM) para los recursos en la nube. Alinee la estrategia de administración de identidades
con los planes de adopción de la nube antes de continuar. Por ejemplo, al migrar recursos locales existentes,
considere la posibilidad de admitir un enfoque de identidad híbrida mediante la sincronización de directorios
para permitir un conjunto coherente de credenciales de usuario en el entorno local y en la nube durante y
después de la migración.
Pasos siguientes
Si el entorno cumple los requisitos mínimos, se puede considerar aprobado para la preparación de la migración.
La administración de la complejidad cultural y de los cambios ayuda a alinear roles y responsabilidades para
garantizar las expectativas adecuadas durante la ejecución del plan.
Administración de la complejidad cultural y de los cambios
Preparación para la complejidad cultural: alineación
de roles y responsabilidades
06/03/2021 • 8 minutes to read • Edit Online
Es importante comprender la referencia cultural necesaria para poner en funcionamiento los centros de
recursos existentes para que cualquier migración se realice correctamente. En algunas organizaciones, la
administración de los centros de datos está incluida en los equipos de operaciones de TI centralizados. En estos
equipos centralizados, los roles y las responsabilidades tienden a estar bien definidos y a que todo el equipo los
comprenda bien. En el caso de las empresas más grandes, especialmente las que están determinadas por los
requisitos de cumplimiento normativo de terceros, la referencia cultural tiende a ser más matizada y compleja.
La complejidad cultural puede llevar a obstáculos que son difíciles de comprender y que tardan mucho tiempo
en superarse.
En cualquier escenario, es recomendable invertir en la documentación de los roles y las responsabilidades que
se necesitan para completar una migración. En este artículo se describen algunos de los roles y las
responsabilidades que se han visto en una migración de centros de datos, para servir como plantilla para la
documentación que puede brindar claridad a lo largo de la ejecución.
Funciones empresariales
En cualquier migración, hay algunas funciones clave que las ejecuta mejor en la empresa, siempre que sea
posible. A menudo, el departamento de TI es capaz de completar las tareas siguientes. Sin embargo, la
participación de miembros de la empresa podría ayudar a disminuir las barreras más adelante en el proceso de
adopción. También garantiza la inversión mutua de las partes interesadas clave durante todo el proceso de
migración.
En última instancia, el equipo de adopción de la nube es responsable de cada una de estas actividades. Sin
embargo, el establecimiento de responsabilidades y una cadencia periódica con el negocio para completar estas
actividades a un ritmo establecido puede mejorar la alineación y la cohesión de las partes interesadas con el
negocio.
NOTE
En la tabla siguiente, una entidad responsable debe iniciar la alineación de los roles. Esa columna se debe personalizar para
ajustarse a los procesos existentes para realizar una ejecución eficaz. Idealmente, se debe asignar a una sola persona como
la entidad responsable.
Cau t i on
Para estas actividades, los permisos y las autorizaciones influyen en gran medida en la parte responsable, que
debe tener acceso directo a los sistemas de producción en el entorno existente o debe tener medios para
proteger el acceso a través de otros actores responsables. Determinar esta entidad responsable afecta
directamente a la estrategia de promoción durante el proceso de migración y optimización.
Pasos siguientes
Cuando el equipo entiende en términos generales los roles y las responsabilidades, es el momento de empezar
a preparar los detalles técnicos de la migración. Comprender la complejidad técnica y la administración de
cambios puede ayudarlo a preparar el equipo de adopción de la nube para la complejidad técnica de la
migración mediante la alineación con un proceso de administración de cambios incremental.
Complejidad técnica y administración de cambios
Prepárese para abordar la complejidad técnica:
Administración de cambios ágil
06/03/2021 • 28 minutes to read • Edit Online
Cuando se puede desaprovisionar y volver a crear un centro de datos entero con una sola línea de código, los
procesos tradicionales luchan por estar a la altura. Las instrucciones de Cloud Adoption Framework se basan en
prácticas como la administración de servicios de TI (ITSM), el marco de arquitectura de grupo abierta (TOGAF),
etc. Sin embargo, para garantizar la agilidad y la capacidad de respuesta al cambio empresarial, este marco de
trabajo moldea esas prácticas para incorporar metodologías ágiles y enfoques de DevOps.
Al cambiar a un modelo ágil donde se resaltan la flexibilidad y la iteración, la complejidad técnica y la
administración de cambios se tratan de forma diferente a como se hace en un modelo en cascada tradicional,
que se centra en una serie lineal de pasos de migración. En este artículo se describe un enfoque general para la
administración de cambios en un trabajo de migración basado en el método ágil. Al final del artículo, debería
tener una idea general de los niveles de administración de cambios y de la documentación que conlleva un
enfoque de migración incremental. Es necesario más aprendizaje y tomar más decisiones para seleccionar e
implementar prácticas ágiles basadas en esta idea. La intención de este artículo es preparar a los arquitectos de
la nube para una conversación facilitada con los directores de proyectos al objeto de explicar el concepto
general de administración de cambios con este enfoque.
Los trabajos pendientes de migración, versión e iteración realizan un seguimiento de los distintos niveles de
actividad durante los procesos de migración.
En cualquier trabajo pendiente de una migración, el equipo de administración de cambios debe procurar
obtener la siguiente información para cualquier carga de trabajo del plan. Como mínimo, estos datos deben
estar disponibles para cualquier carga de trabajo prioritaria para la migración en las dos o tres versiones
siguientes.
Puntos de datos del trabajo pendiente de migración
Impacto de negocio. Comprensión del impacto que tendría en el negocio si no se cumple la escala de
tiempo prevista o si se reduce la funcionalidad durante los períodos de inmovilización.
Prioridad empresarial relativa. Lista de cargas de trabajo clasificada por prioridad empresarial.
Propietario empresarial. Documente la persona responsable de tomar decisiones empresariales en
relación con esta carga de trabajo.
Propietario técnico. Documente la persona responsable de tomar decisiones técnicas en relación con esta
carga de trabajo.
Escalas de tiempo previstas. Fecha de finalización programada para la migración.
Inmovilizaciones de la carga de trabajo. Períodos en los que no se puede cambiar la carga de trabajo.
Nombre de la carga de trabajo.
Inventario inicial. Recursos necesarios para proporcionar la funcionalidad de la carga de trabajo, como las
máquinas virtuales, los dispositivos de TI, los datos, las aplicaciones, las canalizaciones de implementación,
etc. Es probable que esta información no sea precisa.
Pasos siguientes
Una vez establecidos los enfoques de administración de cambios, es el momento de abordar el último requisito
previo, la revisión del trabajo pendiente de migración
Revisión del trabajo pendiente de migración
Revisión del trabajo pendiente de migración
06/03/2021 • 3 minutes to read • Edit Online
La salida accionable durante la fase de planeamiento es un trabajo pendiente de migración, que influye en todos
los requisitos previos descritos hasta ahora. El desarrollo del trabajo pendiente de migración se debe completar
como primer requisito previo. Este artículo sirve como hito para completar las actividades de requisitos previos.
El equipo de la estrategia en la nube es responsable del cuidado y el mantenimiento del patrimonio digital. Sin
embargo, la realización del trabajo pendiente resultante es responsabilidad de cada miembro del trabajo de
migración. Como requisito previo final, el equipo de la estrategia en la nube y el equipo de adopción de la nube
deben revisar y comprender el trabajo pendiente de migración. Durante esa revisión, los miembros de ambos
equipos deben obtener conocimientos suficientes para articular los siguientes puntos clave en el trabajo
pendiente de migración.
Prioridades empresariales
A veces, dar prioridad a una carga de trabajo sobre otra puede parecer ilógico al equipo de adopción de la nube.
Comprender las prioridades empresariales que condujeron esas decisiones puede ayudar a mantener la
motivación del equipo. También permite al equipo realizar una mayor contribución al proceso de priorización.
Suposiciones básicas
En el artículo sobre la racionalización del patrimonio digital se describe la agilidad y el impacto del ahorro de
tiempo de las suposiciones básicas al evaluar un patrimonio digital. Para darse plena cuenta de estos valores, el
equipo de adopción de la nube necesita entender las suposiciones y las razones por las que se establecieron. Ese
conocimiento provee mejor al equipo de adopción de la nube para desafiar esas suposiciones.
Pasos siguientes
Con una descripción general del patrimonio digital y del trabajo pendiente de migración, el equipo está
preparado para ir más allá de los requisitos previos y comenzar a evaluar las cargas de trabajo.
Evaluación de las cargas de trabajo
Evaluación de cargas de trabajo y validación de las
suposiciones antes de la migración
06/03/2021 • 9 minutes to read • Edit Online
Muchas de sus cargas de trabajo ya existentes son candidatas ideales para la migración a la nube, pero no todos
los recursos son compatibles con plataformas en la nube y no todas las cargas de trabajo se pueden beneficiar
del hospedaje en la nube. El planeamiento del patrimonio digital le permite generar un completo trabajo
pendiente de migración con posibles cargas de trabajo que se pueden migrar. Sin embargo, este esfuerzo de
planeamiento es de alto nivel. Se basa en suposiciones realizadas por el equipo de estrategia en la nube y no
analiza en profundidad las consideraciones técnicas.
Por tanto, antes de migrar una carga de trabajo a la nube es fundamental evaluar los recursos individuales
asociados a esa carga de trabajo para determinar su idoneidad para la migración. Durante esta valoración, su
equipo de adopción de la nube deberá evaluar la compatibilidad técnica, la arquitectura necesaria, las
expectativas de rendimiento y tamaño, y las dependencias para asegurarse de que la carga de trabajo migrada
se puede implementar eficazmente en la nube.
El proceso de valoración constituye la primera de las cuatro actividades incrementales que se producen en una
iteración. Como ya se ha descrito en el artículo de requisitos previos acerca de la complejidad técnica y la
administración de cambios, se debe tomar una decisión de antemano para determinar cómo se ejecuta esta
fase. Concretamente, ¿será el equipo de adopción de la nube el que complete las valoraciones durante el mismo
sprint que el esfuerzo de migración real? O, por el contrario, ¿se usará una oleada o modelo de fábrica para
completar las valoraciones en una iteración independiente? Si todos los miembros del equipo no pueden dar
una respuesta a esta pregunta básica sobre el proceso, es recomendable que revisen la sección de Requisitos
previos.
Objetivo
Valorar a una candidata a la migración mediante la evaluación de la carga de trabajo, los recursos y las
dependencias asociados antes de realizar la migración.
Definición de finalizado
Este proceso termina cuando se realizan las siguientes tareas relacionadas con una carga de trabajo candidata a
la migración:
Se ha definido la ruta de acceso del entorno local a la nube, incluida la decisión sobre el método de
promoción de la producción.
Se han completado las aprobaciones, cambios, estimaciones de costos o procesos de validación necesarios
para permitir al equipo de adopción de la nube ejecutar la migración.
Esta lista completa de responsabilidades y acciones puede admitir migraciones grandes y complejas que
implican varios roles con distintos niveles de responsabilidad y que requieren un proceso de aprobación
detallado. Puede que otros esfuerzos de migración más sencillos y pequeños no necesiten todos los roles y
acciones que se describen aquí. Para determinar cuáles de estas actividades agregan valor y cuáles son
innecesarias, tanto el equipo de adopción de la nube como el de estrategia en la nube deberían usar todo este
proceso como parte de la migración de la primera carga de trabajo. Después de haber comprobado y probado
la carga de trabajo, el equipo puede evaluar este proceso y elegir qué acciones desea usar más adelante.
Pasos siguientes
Si tiene un conocimiento general del proceso de valoración, estará listo para comenzar el proceso de
clasificación de las cargas de trabajo.
Clasificación de cargas de trabajo
Clasificación de la carga de trabajo antes de la
migración
06/03/2021 • 5 minutes to read • Edit Online
Durante cada iteración de un proceso de migración, una o más cargas de trabajo se migrarán y promoverán a
producción. Antes de realizar estas actividades de migración, es importante clasificar cada carga de trabajo. La
clasificación ayuda a aclarar los requisitos de gobernanza, seguridad, operaciones y administración de datos.
La siguiente guía se basa en los requisitos de etiquetado sugeridos que se describen en Definición de la
estrategia de etiquetado y agrega importantes operaciones y elementos de gobernanza.
En este artículo, se recomienda específicamente agregar el grado de importancia y la confidencialidad de los
datos a los estándares de etiquetado existentes. Cada uno de estos puntos de datos ayudará a otros equipos a
comprender qué cargas de trabajo pueden requerir atención o soporte técnico adicional.
Pasos siguientes
Una vez que las cargas de trabajo están clasificadas correctamente, es mucho más fácil alinear las prioridades
empresariales.
Alineación de las prioridades empresariales
Prioridades empresariales: mantenimiento de la
alineación
12/03/2021 • 7 minutes to read • Edit Online
La transformación se suele definir como un cambio drástico o espontáneo. En el nivel de panel, el cambio puede
ser similar a una transformación drástica. Sin embargo, para aquellos que trabajan a lo largo del proceso de
cambio en una organización, la transformación es un poco engañosa. Bajo la superficie, la transformación se
describe mejor como una serie de transiciones ejecutadas correctamente de un estado a otro.
La cantidad de tiempo que se necesita para racionalizar o cambiar una carga de trabajo variará en función de la
complejidad técnica implicada. Sin embargo, incluso cuando este proceso se puede aplicar rápidamente a una
sola carga de trabajo o a un grupo de aplicaciones, generar cambios sustanciales entre una base de usuarios
tarda un tiempo. Los cambios tardan más en propagarse a través de las diversas capas de procesos
empresariales existentes. Si se espera que la transformación dé forma a los patrones de comportamiento de los
consumidores, los resultados pueden tardar más tiempo en generar resultados significativos.
Desafortunadamente, el mercado no espera a que las empresas cambien. Los patrones de comportamiento del
consumidor cambian por sí solos, a menudo de manera inesperada. La percepción del mercado de una empresa
y sus productos se puede ver influenciada por las redes sociales o por la posición de un competidor. Los
cambios de mercado rápidos e inesperados exigen que las empresas sean ágiles y receptivas.
La capacidad de ejecutar procesos y transiciones técnicas requiere un esfuerzo constante y estable. Se necesitan
decisiones rápidas y medidas ágiles para responder a las condiciones del mercado. Estos dos aspectos entran en
conflicto, lo que facilita que las prioridades queden fuera de la alineación. En este artículo se describen los
enfoques para mantener la alineación transitoria durante los esfuerzos de migración.
Acciones tangibles
Durante la ejecución del plan de cambio empresarial, el equipo de estrategia en la nube supervisa los resultados
positivos y negativos. Cuando esas observaciones requieren cambios técnicos, los ajustes se agregan como
elementos de trabajo al trabajo pendiente de liberación para que se asigne su prioridad en la siguiente iteración.
Cuando el mercado cambia, el equipo de estrategia en la nube trabaja con la empresa para saber cómo
responder mejor a los cambios. Cuando esa respuesta requiere un cambio en las prioridades de la migración, se
ajusta el trabajo pendiente de la migración. De este modo, se asigna una prioridad más alta a cargas de trabajo
que tenían previamente menos prioridad.
Pasos siguientes
Con las prioridades empresariales correctamente alineadas, el equipo de adopción de la nube puede comenzar a
evaluar las cargas de trabajo con confianza para desarrollar planes de arquitectura y migración.
Evaluación de las cargas de trabajo
Evaluación de la disponibilidad de las cargas de
trabajo
06/03/2021 • 7 minutes to read • Edit Online
Esta actividad se centra en evaluar la disponibilidad de una carga de trabajo para migrar a la nube. Durante esta
actividad, el equipo de adopción de la nube valida que todos los recursos y las dependencias asociadas sean
compatibles con el modelo de implementación y el proveedor de nube elegidos. Durante el proceso, el equipo
documenta los esfuerzos necesarios para corregir los problemas de compatibilidad.
Suposiciones de evaluación
La mayor parte del contenido que analiza los principios de Cloud Adoption Framework no depende de la nube.
Sin embargo, el proceso de evaluación de la disponibilidad debe ser muy específico para cada plataforma de
nube específica. En la siguiente guía se presupone una intención de migrar a Azure. También se presupone el
uso de Azure Migrate (también conocido como Azure Site Recovery) para las actividades de replicación. Para ver
herramientas alternativas, consulte las opciones de replicación.
Este artículo no incluye todas las actividades de evaluación posibles. Se presupone que cada entorno y resultado
empresarial determinarán los requisitos específicos. Para ayudar a acelerar la creación de estos requisitos, el
resto de este artículo comparte algunas actividades de evaluación comunes relacionadas con la evaluación de la
infraestructura, la base de datos y la red.
NOTE
La sincronización de cualquier recurso consume ancho de banda durante los procesos de replicación. Una dificultad muy
común es pasar por alto el consumo de ancho de banda necesario para mantener los recursos sincronizados entre el
punto de replicación y la liberación. Las bases de datos son consumidores comunes de ancho de banda durante los ciclos
de liberación y las bases de datos con grandes superficies de almacenamiento o una alta tasa de cambio están son de
especial interés. Considere un enfoque de replicación de la estructura de datos, con actualizaciones controladas antes de
las pruebas de aceptación de usuario (UAT) y las liberaciones. En estos escenarios, pueden ser más adecuadas alternativas
a Azure Site Recovery. Para más información, consulte las instrucciones de la Guía de migración de Azure Database.
NOTE
El almacenamiento total afecta directamente a los requisitos de ancho de banda durante la replicación inicial. Sin embargo,
la desviación del almacenamiento continúa desde el punto de replicación hasta la liberación. Esto significa que la
desviación tiene un efecto acumulativo en el ancho de banda disponible.
Pasos siguientes
Una vez que se completa la evaluación de un sistema, los resultados alimentan el desarrollo de una nueva
arquitectura de nube.
Diseño de las cargas de trabajo antes de una migración
Diseño de las cargas de trabajo antes de una
migración
23/03/2021 • 10 minutes to read • Edit Online
En este artículo se amplía el proceso de evaluación a través de la revisión de las actividades asociadas con la
definición de la arquitectura de una carga de trabajo dentro de una iteración determinada. Tal como se describe
en el artículo sobre la racionalización incremental, se realizan algunas suposiciones de diseño durante cualquier
transformación empresarial que requiera una migración. En este artículo se explican estas suposiciones, se
comparten algunos obstáculos que se pueden evitar y se identifican oportunidades para acelerar el valor
empresarial al desafiar esas suposiciones. Este modelo incremental para la arquitectura permite que los equipos
se muevan más rápido y obtengan resultados empresariales antes.
Pasos siguientes
Una vez definida la arquitectura nueva, se pueden calcular estimaciones de costos precisas.
Estimación del costo de la nube
Estimación del costo de la nube
06/03/2021 • 5 minutes to read • Edit Online
Durante la migración, hay varios factores que pueden afectar a las decisiones y las actividades de ejecución. Para
ayudar a entender cuáles son las opciones más adecuadas para las distintas situaciones, en este artículo se
describen varias opciones para estimar el costo de la nube.
Modelos de contabilidad
Modelos de contabilidad
Si está familiarizado con los procesos de adquisición de TI tradicionales, es posible que la estimación en la nube
parezca externa. Cuando se adoptan tecnologías de nube, la adquisición pasa de un modelo rígido y
estructurado de gastos de capital a un modelo de gastos operativos fluidos. En el modelo de gastos de capital
tradicional, el equipo de TI intentaría consolidar el poder adquisitivo de varias cargas de trabajo en varios
programas con el fin de centralizar un grupo de recursos de TI compartidos que podrían admitir cada una de
esas soluciones. En el modelo de gastos operativos en la nube, los costos se pueden atribuir directamente a las
necesidades de compatibilidad de cargas de trabajo individuales, equipos o unidades de negocio. Este enfoque
permite una atribución más directa de los costos al cliente interno compatible. Al estimar los costos, es
importante comprender primero qué parte de esta nueva funcionalidad de contabilidad usará el equipo de TI.
Para quienes deseen replicar el enfoque de gastos de capital heredado para la contabilidad, use las salidas de
cualquiera de los enfoques sugeridos en la sección Tamaño del patrimonio digital más arriba para obtener una
base de costos anual. A continuación, multiplique ese costo anual por el ciclo de actualización de hardware típico
de la empresa. El ciclo de actualización de hardware se refiere la velocidad con la que una empresa reemplaza el
hardware antiguo y que, por lo general, se mide en años. La velocidad de ejecución anual multiplicada por el
ciclo de actualización de hardware crea una estructura de costos similar a un patrón de inversión de gastos de
capital.
Pasos siguientes
Después de estimar los costos, puede comenzar la migración. Sin embargo, sería aconsejable revisar las
opciones de colaboración y soporte técnico antes de comenzar cualquier migración.
Descripción de las opciones de colaboración y soporte técnico
Descripción de las opciones de colaboración y
soporte técnico
12/03/2021 • 13 minutes to read • Edit Online
Durante la migración, el equipo de adopción de la nube realiza la migración real de cargas de trabajo a la nube.
A diferencia de las tareas de colaboración y solución de problemas a la hora de definir el patrimonio digital o de
crear la infraestructura en la nube principal, la migración tiende a ser una serie de tareas de ejecución
repetitivas. Más allá de los aspectos repetitivos, es probable que haya esfuerzos de prueba y optimización que
requieren un conocimiento profundo del proveedor de nube elegido. En algunas ocasiones, un asociado puede
abordar mejor la naturaleza repetitiva de este proceso, lo que reduce la presión sobre el personal a tiempo
completo. Además, los asociados pueden ser capaces de alinear mejor los conocimientos técnicos cuando los
procesos repetitivos detectan anomalías en una ejecución.
Los asociados tienden a estar estrechamente alineados con un solo proveedor de nube o con un número
reducido de proveedores de nube. Para ilustrar mejor las opciones de asociación, para el resto de este artículo
se presupone que Microsoft Azure es el proveedor de nube elegido.
Durante el plan, la compilación o la migración, una empresa generalmente tiene cuatro opciones de
colaboración para la ejecución:
Autoser vicio guiado. El equipo técnico existente ejecuta la migración, con la ayuda de Microsoft.
FastTrack for Azure. Use el programa Microsoft FastTrack for Azure para acelerar la migración.
Par tners de soluciones. Póngase en contacto con partners de Azure o proveedores de soluciones en la
nube (CSP) para acelerar la migración.
Autoser vicio compatible. La ejecución la lleva a cabo el personal técnico existente con soporte técnico de
Microsoft.
Autoservicio guiado
Si una organización planea realizar una migración a Azure por sí misma, Microsoft siempre está ahí para
ayudarle durante el recorrido. Para ayudar a realizar una migración acelerada a Azure, Microsoft y sus asociados
han desarrollado un amplio conjunto de arquitecturas, guías, herramientas y servicios con el fin de disminuir el
riesgo y acelerar la migración de máquinas virtuales, aplicaciones y bases de datos. Estas herramientas y
servicios admiten una amplia selección de sistemas operativos, lenguajes de programación, marcos y bases de
datos.
Herramientas de evaluación y migración. Azure proporciona una amplia variedad de herramientas que
se pueden usar en distintas fases para la transformación en la nube, incluida la evaluación de la
infraestructura existente. Para obtener más información, consulte la sección "Evaluación" en el capítulo
"Migración" que aparece a continuación.
Plataforma de adopción de la nube de Microsoft . Esta plataforma presenta un enfoque estructurado
para la adopción y la migración a la nube. Se basa en los procedimientos recomendados en muchas de las
interacciones con los clientes compatibles con Microsoft y se organiza como una serie de pasos, desde la
arquitectura y el diseño hasta la implementación. Para cada paso, hay instrucciones auxiliares que lo
ayudarán con el diseño de la arquitectura de la aplicación.
Patrones de diseño en la nube . Azure proporciona algunos patrones útiles de diseño en la nube para
crear cargas de trabajo confiables, escalables y seguras en la nube. Cada patrón describe el problema al que
hace frente, las consideraciones sobre su aplicación y un ejemplo basado en Azure. La mayoría incluye
ejemplos de código o fragmentos de código que muestran cómo implementar el patrón en Azure. Sin
embargo, son importantes para todos los sistemas distribuidos, tanto si se hospedan en Azure como en otras
plataformas en la nube.
Aspectos básicos de la nube . Estos ayudan a enseñar los enfoques básicos para la implementación de los
conceptos básicos. Esta guía ayuda a los técnicos a pensar en soluciones que van más allá de un único
servicio de Azure.
Escenarios de ejemplo . En esta guía se proporcionan referencias de implementaciones de clientes reales,
donde se describen las herramientas, los enfoques y los procesos que los clientes han seguido para lograr
objetivos empresariales específicos.
Arquitecturas de referencia . Las arquitecturas de referencia se organizan por escenario, agrupando juntas
aquellas arquitecturas relacionadas. Cada arquitectura incluye procedimientos recomendados junto con
consideraciones sobre escalabilidad, disponibilidad, capacidad de administración y seguridad. La mayoría
también incluye una solución que se puede implementar.
Evaluación: Los Servicios de Microsoft usan un enfoque unificado impulsado por datos y herramientas que se
compone de talleres de diseño, información en tiempo real de Azure, modelos de amenazas de seguridad e
identidad, y diversas herramientas para proporcionar información sobre los desafíos, los riesgos, las
recomendaciones y los problemas a un entorno de Azure existente con un resultado clave como la hoja de ruta
de modernización de alto nivel.
Adopción: A través de Azure Cloud Foundation de los Servicios de Microsoft, establezca sus diseños, patrones
y arquitectura de gobernanza principales de Azure mediante la asignación de sus requisitos a la arquitectura de
referencia más adecuada, y planee, diseñe e implemente la infraestructura, la administración, la seguridad y la
identidad necesarias para las cargas de trabajo.
Migración/optimización: La solución de modernización de la nube de los Servicios de Microsoft ofrece un
enfoque integral para trasladar aplicaciones e infraestructura a Azure, así como para optimizar y modernizar
después de la implementación en la nube con el respaldo de una migración simplificada.
Innovación: La solución Centro de excelencia en la nube (CCoE) de los Servicios de Microsoft ofrece un
compromiso de preparación para DevOps, y usa principios de DevOps combinados con controles prescriptivos
de seguridad y administración de servicios nativos de la nube para ayudar a impulsar la innovación empresarial,
aumentar la agilidad y reducir el tiempo de amortización, dentro de una funcionalidad de administración de
operaciones y entrega de servicios segura, predecible y flexible.
Pasos siguientes
Una vez que se selecciona un asociado y una estrategia de soporte técnico, los trabajos pendientes de liberación
e iteración se pueden actualizar para reflejar los esfuerzos y las asignaciones planeados.
Administración de cambios con trabajos pendientes de liberación e iteración
Administración de los cambios en un esfuerzo de
migración incremental
06/03/2021 • 3 minutes to read • Edit Online
En este artículo se presupone que los procesos de migración son incrementales por naturaleza y que se ejecutan
en paralelo al proceso de control. Sin embargo, se podría usar la misma guía para rellenar las tareas iniciales en
una estructura de descomposición del trabajo para los enfoques tradicionales de administración de cambios en
cascada.
Pasos siguientes
Una vez que se define el trabajo pendiente de iteración y el equipo de adopción de la nube lo acepta, se pueden
finalizar las aprobaciones de administración de cambios.
Aprobación de los cambios de arquitectura antes de la migración
Aprobación de los cambios de arquitectura antes de
la migración
06/03/2021 • 11 minutes to read • Edit Online
Durante el proceso de evaluación de la migración, cada carga de trabajo se evalúa, diseña y calcula para
desarrollar un plan de estado a futuro para la carga de trabajo. Algunas cargas de trabajo se pueden migrar a la
nube sin cambiar la arquitectura. Mantener la arquitectura y la configuración local puede disminuir el riesgo y
optimizar el proceso de migración. Desafortunadamente, no todas las aplicaciones se pueden ejecutar en la
nube sin realizar cambios en la arquitectura. Cuando se requieren cambios en la arquitectura, este artículo
puede ayudarlo a clasificar el cambio y puede proporcionar alguna orientación sobre las actividades de
aprobación adecuadas.
Aprobación técnica
La disponibilidad de la organización para la aprobación de los cambios técnicos se encuentra entre las causas
más comunes de los errores del proceso de migración a la nube. Hay más proyectos detenidos por una serie de
aprobaciones técnicas que cualquier déficit en una plataforma en la nube. Preparar la organización para la
aprobación de los cambios técnicos es un requisito importante para que la migración se realice correctamente.
A continuación, se indican algunos procedimientos recomendados para garantizar que la organización está lista
para la aprobación técnica.
Desafíos del comité de evaluación de cambios de ITIL
Cada enfoque de administración de cambios tiene su propio conjunto de controles y procesos de aprobación. La
migración es una serie de cambios continuos que comienzan con un alto grado de ambigüedad y desarrollan
mayor claridad durante el curso de la ejecución. De ese modo, la migración se rige mejor por los enfoques de
administración de cambios basados en Agile, con el equipo de estrategia en la nube que actúa como propietario
del producto.
Sin embargo, la escala y la frecuencia de los cambios durante una migración a la nube no se ajustan bien a la
naturaleza de los procesos de ITIL. Los requisitos de una aprobación del CAB pueden poner en peligro el éxito de
una migración, lo que ralentiza o detiene el trabajo. Además, en las primeras fases de la migración, la
ambigüedad es alta y la experiencia en la materia tiende a ser baja. En el caso de las primeras migraciones o
liberaciones de varias cargas de trabajo, el equipo de adopción de la nube suele estar en modo de aprendizaje.
De ese, podría ser difícil para el equipo proporcionar los tipos de datos necesarios para pasar una aprobación
del CAB.
Los procedimientos recomendados siguientes pueden ayudar al CAB a mantener un grado de confort durante la
migración sin convertirse en un obstáculo bloqueador complicado.
Estandarización de los cambios
Para un equipo de adopción de la nube resulta tentador considerar decisiones de diseño detalladas para cada
carga de trabajo que se va a migrar a la nube. Es igualmente tentador usar la migración a la nube como
catalizador para refactorizar las decisiones de diseño anteriores. En el caso de las organizaciones que están
migrando cientos de máquinas virtuales o algunas docenas de cargas de trabajo, cualquiera de estos enfoques
se puede administrar correctamente. Al migrar un centro de información que consta de 1000 o más recursos,
cada uno de estos enfoques se considera un como un antipatrón de alto riesgo que disminuye
considerablemente la probabilidad de éxito. Modernizar, refactorizar y rediseñar cada aplicación requiere un
conjunto de aptitudes diversas y una gran variedad de cambios y estas tareas crean dependencias de los
esfuerzos humanos a escala. Cada una de estas dependencias inserta riesgo en el esfuerzo de migración.
En el artículo sobre la racionalización del patrimonio digital se describe la agilidad y el impacto del ahorro de
tiempo de las suposiciones básicas al racionalizar un patrimonio digital. El cambio estandarizado agrega una
ventaja adicional. Al elegir un enfoque de racionalización predeterminado para regir el esfuerzo de migración, el
comité de evaluación de la nube o el propietario del producto puede revisar y aprobar la aplicación de un
cambio a una larga lista de cargas de trabajo. Esto reduce la aprobación técnica de cada carga de trabajo a
aquellas que requieren un cambio significativo en la arquitectura para ser compatible con la nube.
Aclaración de las expectativas y los roles de los aprobadores
Antes de evaluar la primera carga de trabajo, el equipo de estrategia en la nube debe documentar y comunicar
las expectativas de cualquier persona implicada en la aprobación de los cambios. Esta sencilla actividad puede
evitar retrasos costosos cuando el equipo de adopción de la nube está totalmente comprometido.
Búsqueda anticipada de la aprobación
Cuando sea posible, el cambio técnico se debe detectar y documentar durante el proceso de evaluación.
Independientemente de los procesos de aprobación, el equipo de adopción de la nube debe ponerse en contacto
con los aprobadores al principio. Cuanto antes se pueda comenzar la aprobación de los cambios, menos
probable será que un proceso de aprobación bloquee las actividades de migración.
Pasos siguientes
Con la ayuda de estos procedimientos recomendados, debería ser más fácil integrar la aprobación adecuada y
de bajo riesgo en los esfuerzos de migración. Una vez que se aprueban los cambios en la carga de trabajo, el
equipo de adopción de la nube está listo para migrar las cargas de trabajo.
Migración de cargas de trabajo
Implementación de cargas de trabajo
06/03/2021 • 4 minutes to read • Edit Online
Una vez que las cargas de trabajo se hayan evaluado, se pueden implementar en la nube o almacenar
provisionalmente para su lanzamiento. En esta serie de artículos se explican las diversas actividades que pueden
estar implicadas en esta fase del trabajo de migración.
Objetivo
El objetivo de una migración es migrar una sola carga de trabajo a la nube.
Definición de finalizado
La fase de migración está completa cuando la carga de trabajo está almacenada provisionalmente y lista para
las pruebas en la nube, incluidos todos los recursos dependientes necesarios para que la carga de trabajo
funcione. Durante el proceso de optimización, la carga de trabajo se prepara para su uso en producción.
Esta definición de listo puede variar en función de los procesos de pruebas y liberación. El siguiente artículo de
esta serie trata sobre la elección de un modelo de promoción y puede ayudarle a entender cuándo sería mejor
promover una carga de trabajo migrada a producción.
La migración de una carga de trabajo se suele tratar como una actividad única. En la práctica, es un conjunto de
actividades más pequeñas que facilitan el traslado de un recurso digital a la nube. Una de las últimas actividades
de una migración es la promoción de un recurso a producción. La promoción es el punto en el que el sistema de
producción cambia para los usuarios finales. A menudo, puede ser algo tan simple como cambiar el
enrutamiento de red, redirigiendo a los usuarios finales al nuevo recurso en producción. La promoción es
también el punto en el que las operaciones de TI o las operaciones en la nube cambian el foco de atención,
pasando de los procesos de administración operativa del sistema de producción anterior a los nuevos sistemas
de producción.
Hay varios modelos de promoción. En este artículo se describen tres de los más comunes que se usan en las
migraciones a la nube. La elección de un modelo de promoción cambia las actividades que se pueden ver en los
procesos de migración y optimización. Por ello, el modelo de promoción debe decidirse en una fase temprana
del lanzamiento.
NOTE
La tabla de contenido de este sitio muestra la actividad de promoción como parte del proceso de optimización. En
un modelo en un solo paso, la promoción se produce durante la fase de migración. Al usar este modelo, los roles y
las responsabilidades se deben actualizar para reflejar esto.
Provisional. En un modelo de promoción provisional, la carga de trabajo se considera migrada cuando está
en el entorno provisional pero aún no se ha promocionado. Antes de la promoción, la carga de trabajo
migrada se somete a una serie de pruebas de rendimiento, pruebas empresariales y cambios de
optimización. Después, se promociona en una fecha futura junto con un plan de pruebas empresariales. Este
enfoque mejora el equilibrio entre el costo y el rendimiento, a la vez que facilita la obtención de validación
empresarial.
Por etapas. El modelo de promoción por etapas combina los modelos en un solo paso y provisional. En un
modelo por etapas, los recursos de la carga de trabajo se tratan como recursos de producción después de
ponerlos en el entorno provisional. Después de un período comprimido de pruebas automatizadas, el tráfico
de producción se enruta a la carga de trabajo. Sin embargo, se trata de un subconjunto del tráfico. Ese tráfico
actúa como la primera etapa de producción y pruebas. Si damos por hecho que la carga de trabajo se realiza
desde una perspectiva de características y rendimiento, se migra tráfico adicional. Una vez que todo el tráfico
de producción se ha trasladado a los nuevos recursos, la carga de trabajo se considera totalmente
promocionada.
El modelo de promoción elegido afecta a la secuencia de actividades que se van a realizar. También afecta a los
roles y responsabilidades del equipo de adopción de la nube. Incluso puede afectar a la composición de un
sprint o de varios.
Promoción provisional
En este modelo, el espacio aislado de ensayo administrado por la herramienta de migración se usa para realizar
un número limitado de pruebas. Los recursos replicados se implementan después en el entorno en la nube, que
actúa como un entorno de ensayo extendido. Los recursos migrados se ejecutan en la nube, mientras que los
recursos adicionales se replican, se envían al entorno provisional y se migran. Cuando hay cargas de trabajo
completas disponibles, se inicia un conjunto de pruebas enriquecidas. Cuando se han migrado todos los
recursos asociados a una suscripción, la suscripción y todas las cargas de trabajo hospedadas se promocionan a
producción. En este escenario, no se produce ningún cambio en las cargas de trabajo durante el proceso de
promoción. En vez de eso, los cambios tienden a producirse en las capas de red y de identidad, los usuarios se
enrutan al nuevo entorno y se revoca el acceso del equipo de adopción de la nube.
Ventajas. Las ventajas de este enfoque incluyen:
Este modelo ofrece la posibilidad de realizar pruebas empresariales más precisas.
La carga de trabajo se puede estudiar más detenidamente para optimizar mejor el rendimiento y el costo de
los recursos.
Se puede replicar un mayor número de recursos en un límite de tiempo y de ancho de banda similar.
Inconvenientes. Entre los aspectos negativos de este enfoque se incluyen:
La herramienta de migración elegida no puede facilitar la replicación en curso después de la migración.
Se requiere un medio secundario de replicación de datos para sincronizar las plataformas de datos durante
el período provisional.
Pasos siguientes
Una vez que el equipo de adopción de la nube define y acepta un modelo de promoción, se puede iniciar la
corrección de los recursos.
Corrección de los recursos antes de la migración
Corrección de los recursos antes de la migración
06/03/2021 • 9 minutes to read • Edit Online
Durante el proceso de evaluación de la migración, el equipo intenta identificar cualquier configuración que
pueda hacer que un recurso sea incompatible con el proveedor de nube elegido. La corrección es un punto de
control en el proceso de migración para asegurarse de que se han resuelto esas incompatibilidades. En este
artículo se describen algunas tareas de corrección habituales a modo de referencia. También se establece un
proceso estructural para decidir si la corrección es una inversión razonable.
NOTE
Este no es el enrutamiento de producción a los nuevos recursos, sino la configuración que permite el
enrutamiento correcto a los recursos en general.
Marco de decisión
Puesto que la corrección de las cargas de trabajo más pequeñas es sencilla, debe elegir una carga de trabajo
más pequeña para la migración inicial. Sin embargo, a medida que los esfuerzos de migración evolucionan y se
empieza a tratar con cargas de trabajo de mayor tamaño, la corrección puede ser un proceso lento y costoso.
Por ejemplo, los esfuerzos de corrección para una migración de Windows Server 2003 que incluye un conjunto
de recursos de más de 5000 máquinas virtuales puede retrasar una migración varios meses. Cuando se
requiere este tipo de corrección a gran escala, las siguientes preguntas pueden servir de orientación para tomar
decisiones:
¿Se han identificado todas las cargas de trabajo afectadas por la corrección y se han anotado en el trabajo
pendiente de migración?
En el caso de las cargas de trabajo que no se ven afectadas, ¿una migración puede producir una rentabilidad
de la inversión parecida?
¿Se pueden corregir los recursos afectados dentro de la escala de tiempo original de la migración? ¿Qué
impacto tendrían los cambios de la escala de tiempo en la rentabilidad de la inversión?
¿Es económicamente factible corregir los recursos en paralelo a los trabajos de migración?
¿Hay suficiente ancho de banda para efectuar la corrección y la migración? ¿Debe participar un asociado
para ejecutar una o ambas tareas?
Si estas preguntas no tienen una respuesta favorable, puede que sea conveniente considerar la posibilidad de
utilizar otros enfoques que vayan más allá de una simple estrategia de rehospedaje de IaaS:
Creación de contenedores. Algunos recursos se pueden hospedar en un entorno con contenedores sin
corrección. Esto podría generar un rendimiento inferior al deseable y no resuelve los problemas de
seguridad o de cumplimiento.
Automatización. Según los requisitos de la carga de trabajo y de la corrección, puede que sea más
beneficioso crear un script para la implementación en nuevos recursos utilizando un enfoque de DevOps.
Recompilación. Cuando los costos de la corrección son muy altos y el valor empresarial es igualmente alto,
una carga de trabajo puede ser una buena candidata para la recompilación o el rediseño de su arquitectura.
Pasos siguientes
Una vez finalizado el proceso de corrección, las actividades de replicación están listas.
Replicación de recursos
¿Qué papel desempeña la replicación en el proceso
de migración?
06/03/2021 • 10 minutes to read • Edit Online
Los centros de datos locales se rellenan con recursos físicos como servidores, dispositivos y dispositivos de red.
Sin embargo, cada servidor es solo un shell físico. El valor real procede de los datos binarios que se ejecutan en
el servidor. Las aplicaciones y los datos constituyen el objetivo del centro de datos. Esos son los datos binarios
principales que se van a migrar. Detrás de estas aplicaciones y de los almacenes de datos se encuentran otros
recursos digitales y fuentes de datos binarios, como sistemas operativos, rutas de red, archivos y protocolos de
seguridad.
La replicación es el verdadero caballo de batalla de los trabajos de migración. Es el proceso que consiste en
copiar una versión en un momento dado de varios datos binarios. Posteriormente, las instantáneas de los datos
binarios se copian en una nueva plataforma y se implementan en un hardware nuevo, en un proceso
denominado propagación. Cuando se ejecuta correctamente, la copia propagada de los datos binarios se debe
comportar de forma idéntica a los datos binarios originales en el hardware antiguo. Sin embargo, esa
instantánea de los datos binarios deja de estar actualizada y alineada con la fuente original inmediatamente.
Para mantener alineados los nuevos datos binarios y los antiguos existe un proceso denominado sincronización
que continuamente actualiza la copia almacenada en la nueva plataforma. La sincronización continúa hasta que
se promociona el recurso según el modelo de promoción elegido. En ese momento, se interrumpe la
sincronización.
Pasos siguientes
Una vez completada la replicación, pueden comenzar las actividades de ensayo.
Actividades de ensayo durante una migración
Opciones de replicación
06/03/2021 • 6 minutes to read • Edit Online
Antes de realizar cualquier migración, debe asegurarse de que los sistemas principales sean seguros y de que
continuarán ejecutándose sin problemas. Cualquier tiempo de inactividad interrumpe a los usuarios o clientes, y
cuesta tiempo y dinero. La migración no es tan sencilla como desactivar las máquinas virtuales locales y
copiarlas en Azure. Las herramientas de migración deben tener en cuenta la replicación sincrónica o asincrónica
para asegurarse de que los sistemas activos se puedan copiar en Azure sin tiempo de inactividad. Y lo más
importante de todo, los sistemas deben ir a la par con sus homólogos locales. Es posible que desee probar los
recursos migrados en particiones aisladas de Azure para asegurarse de que las cargas de trabajo funcionan
según lo previsto.
El contenido de Cloud Adoption Framework supone que Azure Migrate (o Azure Site Recovery) es la
herramienta más adecuada para replicar recursos en la nube. No obstante, hay otras opciones disponibles. En
este artículo se describen esas opciones para ayudarle con la toma de decisiones.
Pasos siguientes
Una vez completada la replicación, pueden comenzar las actividades de ensayo.
Actividades de ensayo durante una migración
Descripción de las actividades de almacenamiento
provisional durante una migración
06/03/2021 • 2 minutes to read • Edit Online
Tal como se describe en el artículo sobre los modelos de promoción, el almacenamiento provisional es el punto
en el que se han migrado los recursos a la nube. Sin embargo, todavía no están preparados para promoverse a
producción. Este suele ser el último paso del proceso de migración de una migración. Después del
almacenamiento provisional, la carga de trabajo la administra un equipo de operaciones de TI o de operaciones
en la nube para prepararla para su uso en producción.
Resultados
Es posible que los recursos almacenados provisionalmente no estén listos para su uso en producción. Hay varias
comprobaciones de disponibilidad para la producción que se deben finalizar antes de que esta fase se considere
completa. A continuación, se muestra una lista de los resultados que se suelen asociar con la finalización de la
etapa del almacenamiento provisional de los recursos.
Pruebas automatizadas. Las pruebas automatizadas disponibles para validar el rendimiento de la carga de
trabajo deben ejecutarse antes de concluir el proceso de almacenamiento provisional. Una vez que el recurso
sale del almacenamiento provisional, se finaliza la sincronización con el sistema de origen original. Por lo
tanto, es más difícil volver a implementar los recursos replicados una vez que los recursos se almacenan
provisionalmente para su optimización.
Documentación de la migración. La mayoría de las herramientas de migración pueden generar un
informe automatizado de los recursos que se están migrando. Antes de concluir la actividad de
almacenamiento provisional, todos los recursos migrados deben documentarse para mayor claridad.
Documentación de la configuración. Cualquier cambio realizado en un recurso (durante la corrección, la
replicación o el almacenamiento provisional) debe documentarse para la disponibilidad operativa.
Documentación del trabajo pendiente. El trabajo pendiente de migración se debe actualizar para reflejar
la carga de trabajo y los recursos almacenados provisionalmente.
Pasos siguientes
Después de probar y documentar los recursos almacenados provisionalmente, puede continuar con las
actividades de optimización.
Optimización de las cargas de trabajo migradas
Lanzamiento de cargas de trabajo
06/03/2021 • 5 minutes to read • Edit Online
Una vez que una colección de cargas de trabajo y sus recursos de apoyo se han implementado en la nube, es
preciso prepararlas para poder lanzarlas. En esta fase del trabajo de migración, se realiza una prueba de carga
de las cargas de trabajo y se validan con la empresa. Luego, se optimizan y se documentan. Una vez que los
equipos de TI y de la empresa han revisado las implementaciones de las cargas de trabajo y han cerrado sesión,
las cargas se pueden lanzar o entregar a los equipos de gobernanza, seguridad y operaciones para sus
operaciones en curso.
El objetivo del "lanzamiento de las cargas de trabajo" es preparar las cargas de trabajo migradas para su uso en
producción.
Definición de finalizado
El proceso de optimización estará completo cuando una carga de trabajo se haya configurado correctamente, se
haya ajustado su tamaño y se haya implementado en producción.
Pasos siguientes
Con un conocimiento general del proceso de optimización, estará listo para comenzar el proceso mediante el
establecimiento de un plan de cambio empresarial para la carga de trabajo candidata a la migración.
Plan de cambio empresarial
Plan de cambio de negocio
12/03/2021 • 6 minutes to read • Edit Online
Diagrama: Matriz
Eason de tipos de adopción por parte de los usuarios.
Estos temas suelen basarse en la suposición de que la introducción de nuevas soluciones para los usuarios debe
centrarse en gran medida en el control de riesgos y en facilitar el cambio. Además, el equipo de TI se suele
centrar principalmente en el riesgo de ese cambio tecnológico y en facilitar dicho cambio.
Pasos siguientes
Una vez que el cambio empresarial está documentado y planeado, pueden comenzar las pruebas empresariales.
Guía sobre las pruebas empresariales (UAT) durante la migración
Referencias
Eason, K. (1988) Information technology and organizational change (Tecnologías de la información y cambios
organizativos), Nueva York: Taylor and Francis.
Guía sobre las pruebas empresariales (UAT) durante
la migración
06/03/2021 • 6 minutes to read • Edit Online
Tradicionalmente consideradas como una función del equipo de TI, las pruebas de aceptación de usuario
durante una transformación empresarial las puede organizar exclusivamente dicho equipo. Sin embargo, esta
función se ejecuta a menudo de forma más eficaz como una función empresarial. El equipo de TI respalda esta
actividad empresarial facilitando los planes de pruebas y desarrollo, y automatizando las pruebas cuando es
posible. Aunque a menudo el equipo de TI puede actuar como suplente para las pruebas, no hay mejor sustituto
que la observación de primera mano de usuarios reales que intentan usar una nueva solución en el contexto de
un proceso empresarial real o replicado.
NOTE
Cuando están disponibles, las pruebas automatizadas son un medio mucho más eficaz de probar cualquier sistema. Sin
embargo, las migraciones en la nube a menudo se centran principalmente en sistemas heredados o en sistemas de
producción menos estables. A menudo, esos sistemas no se administran mediante pruebas automatizadas exhaustivas y
bien conservadas. En este artículo se da por supuesto que no hay ninguna de esas pruebas disponible en el momento de
la migración.
Por detrás de las pruebas automatizadas, se encuentran las pruebas de los cambios de procesos y tecnologías
por parte de usuarios avanzados. Los usuarios avanzados son las personas que normalmente ejecutan un
proceso real que requiere interacciones con una herramienta o conjunto de herramientas tecnológicas. Un
cliente externo que usa un sitio de comercio electrónico para adquirir bienes o servicios podría constituir un
buen ejemplo. Otro ejemplo de usuarios avanzados lo podría constituir un grupo de empleados que ejecutan un
proceso empresarial como, por ejemplo, un centro de llamadas que atiende a clientes y registra sus
experiencias.
El objetivo de las pruebas empresariales es solicitar la validación de los usuarios avanzados para certificar que la
nueva solución funciona según las expectativas y no impide los procesos empresariales. Si no se cumple ese
objetivo, las pruebas empresariales pueden servir como circuito de retroalimentación que puede ayudar a
definir cómo y por qué la carga de trabajo no satisface las expectativas.
Pasos siguientes
Junto con las pruebas de negocio, la optimización de los recursos migrados puede contribuir a refinar el costo y
el rendimiento de la carga de trabajo.
Pruebas comparativas y ajuste del tamaño de los recursos de la nube
Pruebas comparativas y ajuste del tamaño de los
recursos de la nube
06/03/2021 • 7 minutes to read • Edit Online
La supervisión del uso y el gasto es muy importante para las infraestructuras en la nube. Las organizaciones
pagan por los recursos que consumen a lo largo del tiempo. Cuando el uso supera los umbrales del contrato,
pueden acumularse gastos inesperados rápidamente. Los informes de administración de costos ayudan a
supervisar los gastos para analizar y realizar un seguimiento del uso de la nube, los costos y las tendencias. Los
informes de uso a lo largo del tiempo permiten detectar anomalías que difieren de las tendencias normales. Los
informes de optimización también permiten detectar las deficiencias en la implementación de la nube. Observe
las deficiencias en los informes de análisis de costos.
En los modelos locales tradicionales de TI, la solicitud de sistemas de TI es costosa y lenta. Los procesos
requieren a menudo ciclos de revisión de inversiones prolongados e incluso pueden requerir un proceso de
planeamiento anual. Como tal, es una práctica habitual comprar más de lo necesario. También es habitual que
los administradores de TI sobreaprovisionen los recursos para anticiparse a demandas futuras.
En la nube, los modelos de contabilidad y aprovisionamiento eliminan los retrasos de tiempo que conducen a la
adquisición excesiva. Si un recurso necesita recursos adicionales, se puede escalar vertical u horizontalmente de
forma casi instantánea. Esto significa que los activos se pueden reducir de forma segura para minimizar el
número de recursos y los costes consumidos. Durante las pruebas comparativas y la optimización, el equipo de
adopción de la nube trata de encontrar el equilibrio entre el rendimiento y los costos, aprovisionando los
recursos para que tengan justo el tamaño adecuado para satisfacer las demandas de producción.
Mejorar la eficiencia
Determine el uso óptimo de las máquinas virtuales e identifique o elimine aquellas que están inactivas, y detecte
discos sin conexión con Azure Cost Management + Billing. Con la información de los informes acerca de la
optimización de tamaño y las deficiencias puede crear un plan para reducir o eliminar las máquinas virtuales
inactivas.
Pasos siguientes
Después de probar y optimizar una carga de trabajo, es el momento de preparar la carga de trabajo para la
promoción.
Preparación de una carga de trabajo migrada para la promoción a producción
Preparación de una aplicación migrada para la
promoción de producción
06/03/2021 • 4 minutes to read • Edit Online
Después de promocionar una carga de trabajo, el tráfico de usuario de producción se enruta a los recursos
migrados. Las actividades de preparación proporcionan una oportunidad para preparar la carga de trabajo para
ese tráfico. A continuación se muestran algunas consideraciones empresariales y tecnológicas que le ayudarán a
guiar las actividades de preparación.
Pasos siguientes
Una vez completadas todas las actividades de preparación, es el momento de promover la carga de trabajo.
¿Qué se necesita para promover un recurso migrado a producción?
¿Qué se necesita para promover un recurso
migrado a producción?
06/03/2021 • 4 minutes to read • Edit Online
La promoción a producción marca la finalización de la migración de una carga de trabajo a la nube. Después de
promocionar el recurso y todas sus dependencias, se vuelve a enrutar el tráfico de producción. El
redireccionamiento del tráfico hace que los recursos locales sean obsoletos, lo que permite su retirada.
El proceso de promoción varía según la arquitectura de la carga de trabajo. Sin embargo, hay varios requisitos
previos coherentes y algunas tareas comunes. En este artículo se describen cada uno de ellos, y sirve como un
tipo de lista de comprobación de promoción previa.
Pasos siguientes
La promoción de una carga de trabajo indica la finalización de una versión. Sin embargo, en paralelo con la
migración, los recursos retirados debe darse de baja del servicio.
Baja de recursos retirados
Retirar activos retirados
06/03/2021 • 3 minutes to read • Edit Online
Después de promocionar una carga de trabajo a producción, ya no es necesario que los recursos que
hospedaban previamente la carga de trabajo de producción admitan las operaciones empresariales. En ese
momento, los recursos más antiguos se consideran retirados. Los recursos retirados se pueden dar de baja, lo
cual reducirá los costos operativos. Dar de baja un recurso puede ser tan sencillo como apagarlo y desecharlo
de manera responsable. Desafortunadamente, dar de baja los recursos a veces puede acarrear consecuencias no
deseadas. Las siguientes instrucciones pueden ayudarle a dar de baja correctamente los recursos retirados, con
interrupciones mínimas de la actividad empresarial.
Supervisión continuada
Después de que se promocione una carga de trabajo migrada, se debe seguir supervisando los recursos que se
van a retirar para comprobar que no hay ningún tráfico de producción adicional que se esté enrutando a los
recursos equivocados.
Pasos siguientes
Después de dar de baja los recursos retirados, se completa la migración. Esto crea una buena oportunidad para
mejorar el proceso de migración, y una visión retrospectiva puede hacer que el equipo de adopción de la nube
revise el lanzamiento con el fin de aprender y mejorar.
Retrospectiva
¿Cómo ayudan las retrospectivas a crear una
mentalidad de crecimiento?
06/03/2021 • 6 minutes to read • Edit Online
"La cultura se come la estrategia para desayunar". El mejor plan de migración se puede deshacer fácilmente, en
caso de que no tenga soporte ejecutivo ni estímulo por parte del equipo de dirección. El aprendizaje, el
crecimiento e incluso los errores se encuentran en el corazón de la mentalidad de crecimiento. También se
encuentran en el centro de cualquier esfuerzo de transformación.
La humildad y la curiosidad nunca son más importantes que durante una transformación empresarial. La
adopción de la transformación digital requiere ambas en gran cantidad. Estos rasgos se refuerzan mediante una
introspección normal y un entorno de estímulo. Cuando se anima a los empleados a asumir riesgos, encuentran
mejores soluciones. Cuando se permite que los empleados generen errores y aprendan de ellos, tendrán éxito.
Las retrospectivas son una oportunidad para la investigación y el crecimiento.
Las retrospectivas refuerzan los principios de una mentalidad de crecimiento: experimentación, pruebas,
aprendizaje, uso compartido, crecimiento y capacitación. Proporcionan un lugar seguro para que los miembros
del equipo compartan los desafíos a los que se enfrentan en el sprint actual. Y permiten que el equipo discuta y
colabore en las formas de superar esos desafíos. Las retrospectivas permiten al equipo crear un crecimiento
sostenible.
Estructura retrospectiva
Una búsqueda rápida en cualquier motor de búsqueda ofrecerá muchos enfoques y herramientas diferentes
para ejecutar una retrospectiva. En función de la madurez de la cultura y el nivel de experiencia del equipo, estos
podrían resultar útiles. Sin embargo, la estructura general de una retrospectiva se mantiene aproximadamente
igual. Durante estas reuniones, se espera que cada miembro del equipo aporte un pensamiento con respecto a
tres preguntas básicas:
¿Qué salió bien?
¿Qué podría haber salido mejor?
¿Qué hemos aprendido?
Aunque estas preguntas son sencillas por naturaleza, requieren que los empleados hagan una pausa y
reflexiones sobre su trabajo en la última iteración. Esta pequeña pausa para la introspección es el componente
principal de una mentalidad de crecimiento. La humildad y honestidad que se produce al compartir las
respuestas puede ser contagiosa más allá del contrato de tiempo para la reunión retrospectiva.
Lecciones aprendidas
Los equipos muy eficaces no solo ejecutan reuniones retrospectivas. Viven los procesos retrospectivos. Las
lecciones aprendidas y compartidas en estas reuniones pueden influir en el proceso, conformar el trabajo futuro
y ayudar a que el equipo funcione de forma más eficaz. Las lecciones aprendidas en una retrospectiva deben
ayudar al equipo a crecer orgánicamente. Los principales subproductos de una retrospectiva son el aumento de
la experimentación y el perfeccionamiento de las lecciones aprendidas por el equipo.
Ese nuevo crecimiento se representa de forma más tangible en los cambios del trabajo pendiente de la iteración
o de la versión.
La retrospectiva marca el final de una versión o iteración, a medida que los equipos adquieren experiencia y
aprenden lecciones, y ajustan el trabajo pendiente de la iteración o de la versión para reflejar los nuevos
procesos y experimentos que se van a probar. Esto inicia la siguiente iteración mediante los procesos de
migración.
Preparación de las aptitudes para la migración a la
nube
06/03/2021 • 4 minutes to read • Edit Online
Durante una migración a la nube, es probable que los empleados, así como algunos asociados de integración de
sistemas o asociados de servicios administrados, deban desarrollar nuevas aptitudes para que sean eficaces
durante los trabajos de migración.
Hay cuatro procesos distintos que se completan de forma iterativa en la metodología de migración. En las
secciones siguientes se alinean las aptitudes necesarias para cada uno de esos procesos con referencias a dos
requisitos previos para los recursos de desarrollo de aptitudes.
Pasos siguientes
Vuelva a la lista de comprobación de procedimientos recomendados de migración para asegurarse de que el
método de migración está totalmente alineado.
Lista de comprobación de procedimientos recomendados de migración
Innovación relacionada con la adopción de la nube
21/04/2021 • 5 minutes to read • Edit Online
Todas las carteras de TI contienen varias cargas de trabajo e ideas que pueden mejorar considerablemente la
posición de una empresa en el mercado. La mayor parte de los esfuerzos de adopción de la nube se centran en
la migración y modernización de las cargas de trabajo existentes. Sin embargo, la innovación en la nube puede
proporcionar el máximo valor empresarial. La innovación relacionada con la adopción de la nube puede
desbloquear nuevas aptitudes técnicas y ampliar las funcionalidades empresariales.
Esta sección de Cloud Adoption Framework se centra en los elementos de la que más rentabilidad de la
inversión generan.
Para prepararse para esta fase del ciclo de vida de la adopción de la nube, el marco sugiere los siguientes
ejercicios de innovación de la nube:
Resumen de la innovación
En la innovación en la economía digital se establece un lenguaje común para la innovación en la nube en los
equipos de desarrollo de aplicaciones, DevOps, TI y empresariales. El enfoque siguiente se basa en metodologías
lean existentes. Está diseñado para ayudarle a crear una conversación centrada en la nube acerca de la adopción
por parte del cliente y un modelo científico para crear valor empresarial. El enfoque también asigna los actuales
servicios de Azure a procesos de toma de decisiones administrables. Esta alineación puede ayudarle a encontrar
las opciones técnicas correctas para satisfacer las hipótesis o necesidades específicas del cliente.
Aptitudes sugeridas
La preparación para las nuevas aptitudes y responsabilidades que acompañan a la adopción de la nube no es
fácil. Microsoft Learn proporciona un enfoque gratificante para el aprendizaje práctico que le ayuda a lograr sus
objetivos con más rapidez. Gane puntos y niveles y consiga más.
A continuación, se muestran un par de ejemplos de rutas de aprendizaje específicas de roles de Microsoft Learn
que se alinean con la metodología de innovación de Cloud Adoption Framework.
Administración de contenedores en Azure: Azure Container Instances es la forma más rápida y sencilla de
ejecutar contenedores en Azure. Esta ruta de aprendizaje le enseñará no solo a crear y administrar los
contenedores, sino también cómo se puede usar Azure Container Instances para proporcionar una escala
elástica para Kubernetes.
Cree aplicaciones sin servidor: Azure Functions permite la creación sistemas de proceso a petición y basados en
eventos que pueden desencadenar varios eventos externos. Aprenda a usar Functions para ejecutar la lógica del
servidor y crear arquitecturas sin servidor.
Para descubrir más rutas de aprendizaje, eche un vistazo al catálogo de Microsoft Learn. Use el filtro Roles para
alinear las rutas de aprendizaje con su rol.
Introducción a la guía de soluciones innovadoras de
Azure
12/03/2021 • 3 minutes to read • Edit Online
NOTE
Esta guía de soluciones innovadoras ofrece un punto de partida para la guía de innovación en Cloud Adoption
Framework. También está disponible en el Centro de inicio rápido de Azure.
Antes de empezar a desarrollar soluciones innovadoras mediante los servicios de Azure, es preciso preparar el
entorno, lo que incluye la preparación de la administración de los bucles de comentarios de los clientes. En esta
guía se presentan características que le ayudan a captar clientes, crear soluciones innovadoras e impulsar la
adopción. Para más información, procedimientos recomendados y consideraciones relacionados con la
preparación de un entorno en la nube, consulte la sección Innovación en la nube en Cloud Adoption Framework.
En esta guía de innovación, aprenderá a:
Administrar los comentarios de los clientes: configure las herramientas y procesos necesarios para
administrar el bucle de comentarios crear-medir-aprender mediante GitHub y Azure DevOps.
Democratizar los datos: los datos por sí solos pueden ser suficientes para impulsar soluciones
innovadoras para sus clientes. Implemente opciones de datos comunes en Azure.
Par ticipación a través de aplicaciones: la innovación requiere una experiencia atractiva. Use las
plataformas de aplicaciones nativas en la nube para crear experiencias atractivas.
Capacitar la adopción: la invención es excelente, pero se necesita un plan que reduzca la fricción para
capacitar y escalar la adopción. Implemente una base para CI/CD, DevOps y otros habilitadores de la
adopción.
Interactuar mediante dispositivos: cree experiencias ambientales que acerquen sus aplicaciones y datos
a las necesidades de los clientes. IoT, la realidad mixta y las experiencias móviles son más fáciles con Azure.
Predecir e influir : busque patrones en los datos. Con esos patrones puede predecir e influir en los
comportamientos de los clientes mediante herramientas el uso de análisis predictivo basadas en Azure.
TIP
Para una experiencia interactiva, consulte esta guía en Azure Portal. Vaya al Centro de inicio rápido de Azure en
Azure Portal, seleccione Guía de innovación de Azure y, después, siga las instrucciones paso a paso.
Pasos siguientes:
Prepárese para la innovación con un repositorio compartido y herramientas de administración de la
conceptualización
Esta guía incluye pasos interactivos que permiten probar las características a medida que se introducen. Para
volver a donde lo dejó, utilice la ruta de navegación para la navegación.
Preparación para los comentarios de los clientes
23/03/2021 • 8 minutes to read • Edit Online
La adopción del usuario, el compromiso y la retención son clave para la innovación correcta. ¿Por qué?
La creación de una nueva solución innovadora no consiste en ofrecer a los usuarios lo que desean o lo que
pensamos que desean. Se trata de la formulación de una hipótesis que se pueda probar y mejorar. Las pruebas
se incluyen en dos formatos:
Cuantitativas (comentarios sobre la prueba): estos comentarios miden las acciones que esperamos ver.
Cualitativas (comentarios del cliente): estos comentarios nos indican lo que significan las métricas
desde el punto de vista del cliente.
Los datos cuantitativos se basan en números y usan un proceso de medida cuantificable. Los comentarios
cuantitativos proporcionan información numérica sobre los datos, lo cual resulta útil para recopilar rápidamente
un gran número de respuestas de los clientes. Algunos ejemplos de comentarios cuantitativos serían preguntas
de tipo test y datos numéricos de involucración del usuario. Los comentarios cualitativos son más detallados y
permiten obtener una variedad más amplia de respuestas e información sobre los pensamientos o las opiniones
de los clientes. Algunos ejemplos de comentarios cualitativos serían una encuesta a clientes con preguntas
abiertas. Ambos métodos relacionados con los comentarios de los clientes proporcionan una información
valiosa para mejorar los productos y servicios de la empresa.
Antes de integrar bucles de comentarios, debe tener un repositorio compartido para la solución. Un repositorio
centralizado proporcionará una manera de registrar todos los comentarios que se emiten sobre el proyecto, así
como actuar sobre estos. GitHub es el lugar principal para encontrar software de código abierto. También es una
de las plataformas que se usan con más frecuencia para hospedar los repositorios de código fuente para
aplicaciones que se desarrollan comercialmente. El artículo sobre creación de repositorios de GitHub puede
ayudarle a empezar a trabajar con su repositorio.
Cada una de las siguientes herramientas de Azure se integra (o es compatible) con proyectos hospedados en
GitHub:
Application Insights es una herramienta de supervisión que proporciona comentarios cuantitativos casi en
tiempo real sobre el uso de su aplicación. Estos comentarios pueden ayudarle a probar y validar la hipótesis
actual para dar forma a la siguiente característica o caso de usuario en el trabajo pendiente.
Acción
Para ver los datos cuantitativos en las aplicaciones:
1. Vaya a Application Insights .
Si la aplicación no aparece en la lista, seleccione Agregar y siga las indicaciones para iniciar la
configuración de Application Insights.
Si la aplicación deseada está en la lista, selecciónela.
2. En el panel Información general se incluyen algunas estadísticas sobre la aplicación. Seleccione Panel de
la aplicación para crear un panel personalizado con los datos más importantes para su hipótesis.
G O TO A P P L I C ATI O N
I N S I G H TS
Para ver los datos sobre sus aplicaciones, vaya a Azure Portal.
Más información
Configuración de Azure Monitor
Introducción a Azure Monitor Application Insights
Compile un panel de telemetría
Democratización de los datos
06/03/2021 • 6 minutes to read • Edit Online
La democratización de datos es la capacidad de hacer que la información digital sea accesible para el usuario
medio con poco conocimientos técnicos de los sistemas de información, sin necesidad de un equipo selector ni
ayuda externa para acceder a los datos. La democratización de datos ayuda a los usuarios a conseguir un acceso
ilimitado a datos importantes sin crear un cuello de botella que impida la productividad.
Uno de los primeros pasos para la democratización de datos es mejorar la detectabilidad de los datos. Catalogar
y administrar los datos compartidos puede ayudar a las empresas a sacar el máximo partido de sus recursos de
información existentes. Mediante la democratización, un catálogo de datos facilita que los usuarios que
administran los datos puedan detectar y comprender los orígenes de datos. Azure Data Catalog permite la
administración dentro de una empresa, mientras que Azure Data Share permite la administración y el uso
compartido fuera de la empresa.
Los servicios de Azure que proporcionan procesamiento de datos como Azure Time Series Insights y Stream
Analytics son otras funcionalidades que los clientes y asociados usan correctamente en sus necesidades de
innovación.
Catálogo
Compartir
Insights
Cree aplicaciones nativas de nube para conectar a los clientes de nuevas maneras. Las aplicaciones nativas de la
nube se crean desde cero y están optimizadas para la escala y el rendimiento de la nube. Las aplicaciones
nativas de nube, se basan en arquitecturas de microservicios, utilizan servicios administrados y se benefician de
la entrega continua para conseguir confiabilidad y una comercialización más rápida.
La innovación con aplicaciones incluye la modernización de las aplicaciones existentes hospedadas en el
entorno local y la compilación de aplicaciones nativas de la nube con contenedores o tecnologías sin servidor.
Azure proporciona servicios PaaS, como Azure App Service, para ayudar a modernizar fácilmente las
aplicaciones web y de API existentes escritas en .NET, .NET Core, Java, Node.js, Ruby, Python o PHP para su
implementación en Azure.
Con un modelo de contenedor de estándar abierto, la creación de microservicios o la inclusión en contenedores
de sus aplicaciones actuales y su implementación en Azure son sencillas cuando se usan servicios
administrados, como Azure Kubernetes Service, Azure Container Instances y Web App for Containers. Las
tecnologías sin servidor como Azure Functions y Azure Logic Apps usan un modelo de consumo (pago por lo
que se usa) y ayudan a centrarse en la compilación de la aplicación, en un lugar de implementar y administrar la
infraestructura.
Entregar valor más rápido
Creación de aplicaciones nativas de la nube
Aislar puntos de error
Una de las ventajas de las soluciones basadas en la nube es la capacidad de recopilar comentarios más rápido y
de comenzar a entregar valor al usuario. Si ese usuario es un cliente externo o un usuario de su propia empresa,
cuanto más rápido pueda obtener comentarios sobre sus aplicaciones, mejor.
Azure App Service
Azure App Service proporciona un entorno de hospedaje para las aplicaciones que elimina la carga de
administración de la infraestructura y la aplicación de revisiones del sistema operativo. Permite la
automatización del escalado para satisfacer las demandas de los usuarios, pero debe cumplir con los límites que
defina para mantener los costos en la comprobación.
Azure App Service ofrece compatibilidad de primera clase con lenguajes de programación como ASP.NET,
ASP.NET Core, Java, Ruby, Node.js, PHP y Python. Si necesita hospedar otra pila en tiempo de ejecución, Web
App for Containers le permite hospedar de forma rápida y sencilla un contenedor de Docker en App Service, de
modo que pueda hospedar la pila de código personalizada en un entorno fuera de la empresa del servidor.
Acción
Para configurar o supervisar las implementaciones de Azure App Service:
1. Vaya a App Ser vices .
2. Configure un nuevo servicio: seleccione Agregar y siga las indicaciones.
3. Administre los servicios existentes: seleccione la aplicación deseada de la lista de aplicaciones hospedadas.
G O TO A P P
S E R V IC E S
Azure DevOps
Durante el recorrido de innovación, con el tiempo se encontrará en la ruta de acceso a DevOps. Microsoft ya ha
tenido un producto local conocido como Team Foundation Server (TFS). Durante nuestro propio recorrido de
innovación, Microsoft desarrolló Azure DevOps, un servicio basado en la nube que proporciona herramientas de
compilación y lanzamiento que admiten muchos lenguajes y destinos diferentes para sus versiones. Para más
información, consulte Azure DevOps.
Visual Studio App Center
A medida que las aplicaciones móviles continúan creciendo en popularidad, crece la necesidad de una
plataforma que pueda proporcionar pruebas automatizadas en dispositivos reales de diversas configuraciones.
Visual Studio App Center no solo proporciona un lugar en el que puede probar sus aplicaciones nativas de nube
en iOS, Android, Windows y macOS, sino que también proporciona una plataforma de supervisión que puede
utilizar Azure Application Insights para analizar los datos de telemetría de forma rápida y sencilla. Para más
información, consulte Visual Studio App Center.
Visual Studio App Center también proporciona un servicio de notificación que le permite usar una sola llamada
para enviar notificaciones a la aplicación entre plataformas sin tener que ponerse en contacto con cada servicio
de notificación de forma individual. Para obtener más información, consulte Visual Studio App Center Push
(ACP).
Más información
Información general de App Service
Web App for Containers: ejecutar un contenedor personalizado
Introducción a Azure Functions
Azure para desarrolladores de .NET y .NET Core
Azure SDK para la documentación Python
Azure para desarrolladores de Java Cloud
Creación de una aplicación web de PHP en Azure
Documentación de Azure SDK para JavaScript
Documentación de Azure SDK para Go
Soluciones de DevOps
Capacitación para la adopción de la nube
24/04/2021 • 16 minutes to read • Edit Online
Como sabe, la innovación y la transformación digital son fundamentales para el éxito empresarial. La
transformación digital consiste en la adopción de tecnologías basadas en la nube y tecnologías digitales para
reemplazar los sistemas antiguos y crear unas mejores experiencias para los clientes, una mayor eficacia,
información empresarial y una mayor innovación a partir de los datos. La innovación no se logra únicamente a
través de la introducción de nuevas tecnologías. Debe centrarse en respaldar a las personas que catalizan el
cambio y crean el nuevo valor que busca. Los desarrolladores están en el centro de la transformación digital y,
para ayudarles a mejorar sus logros, es necesario acelerar la velocidad del desarrollador. Para liberar la energía
creativa de los equipos de desarrolladores, debe ayudarles a compilar de forma productiva, fomentar la
colaboración global segura y eliminar las barreras para que puedan escalar la innovación.
Generar valor
En todos los sectores, todas las organizaciones intentan hacer algo: impulsar la generación de valores
constante.
Centrarse en la innovación es esencialmente un proceso que le ayuda a su organización a encontrar nuevas
formas de generar valor.
Quizás el mayor error que cometen las organizaciones es introducir nuevas tecnologías para intentar
generar valor nuevo.
A veces, la actitud es "si solo usamos más tecnología, veremos que las cosas mejoran". Sin embargo, la
innovación es ante todo una historia de personas.
La innovación es un asunto de la combinación de personas y tecnología.
Las organizaciones que innovan correctamente hacia la transformación digital ven la visión, la estrategia, la
cultura, el potencial único y las capacidades como elementos fundamentales. Luego, recurren a la tecnología con
un propósito específico en mente. Cada empresa está convirtiéndose en una compañía de software. La
contratación de ingenieros de software está creciendo a un ritmo más rápido fuera del sector tecnológico que
dentro, según datos de LinkedIn.
La innovación se logra cuando las organizaciones permiten a sus usuarios crear el valor que buscan. Un grupo
de usuarios de este tipo, el de desarrolladores, funciona como catalizador para la innovación. Desempeñan un
papel cada vez más importante en la creación y el crecimiento de los valores en todo el sector. Son los creadores
de nuestra era, quienes escriben el código del mundo y se sitúan en el corazón de la innovación. Las
organizaciones innovadoras crean una cultura que permite a los desarrolladores obtener más.
Velocidad de desarrollador
Permitir a los desarrolladores inventar significa acelerar la velocidad del desarrollador, lo que les permite crear
más, innovar más y resolver más problemas. La velocidad del desarrollador es la base de la intensidad
tecnológica de cada organización. La velocidad del desarrollador no es solo cuestión de rapidez. También guarda
relación con el impulso del ingenio del desarrollador, para convertir su ideas en software con velocidad y
agilidad, de modo que se puedan crear soluciones innovadoras. La solución diferenciada de Azure goza de una
posición única para facilitar la innovación y la adopción de la nube en su organización.
Compilación de manera productiva
Existen varias áreas de oportunidad en las que Azure puede ayudarle a compilar de manera productiva:
Asegurarse de que los desarrolladores se convierten en expertos en su dominio y lo siguen siendo gracias a
la ayuda para fomentar su conocimiento.
Mejore las habilidades adecuadas con las herramientas adecuadas.
Una de las mejores formas de mejorar las aptitudes de los desarrolladores es proporcionarles herramientas que
conocen y adoran. Las herramientas de Azure se adaptan a las que los desarrolladores utilizan hoy en día y los
introducen en las nuevas tecnologías de transformación digital en el contexto del código que están escribiendo.
Con el compromiso de Azure con el software de código abierto y la compatibilidad con todos los lenguajes y
marcos de sus herramientas, los desarrolladores pueden compilar lo que quieran e implementarlo donde
quieran.
Azure DevOps proporciona las mejores herramientas para cada desarrollador. Los servicios para
desarrolladores de Azure y los de transformación digital incorporan procedimientos de desarrollo modernos y
tendencias emergentes en nuestras herramientas. Con la plataforma Azure, los desarrolladores tienen acceso a
las tecnologías más recientes y a una cadena de herramientas de vanguardia que admite la forma en que
trabajan.
Herramientas de desarrollo asistido por IA
Herramientas y nube integradas
Desarrollo remoto y programación en pareja
Vaya a la documentación de Azure DevOps
Acción
Para crear un proyecto de DevOps:
1. Vaya a Azure DevOps Projects .
2. Seleccione Crear un proyecto de DevOps .
3. Seleccione Runtime, Marco y Ser vicio .
G O TO A Z U R E D E V O P S
P R O J E C TS
Interacción mediante dispositivos conectados
30/03/2021 • 12 minutes to read • Edit Online
Diseñe soluciones que ejerzan comunicación bidireccional con dispositivos de IoT a escala de miles de millones.
Utilice datos de telemetría enviados desde el dispositivo a la nube listos para usar para determinar el estado de
sus dispositivos y definir rutas de mensajes hacia otros servicios de Azure solo con la configuración. Al
aprovechar los mensajes enviados de la nube al dispositivo, puede enviar comandos y notificaciones de forma
confiable a los dispositivos conectados y realizar un seguimiento de la entrega de los mensajes con acuses de
recibo. Los mensajes de los dispositivos se reenviarán automáticamente según sea necesario para ajustarse a
una conectividad intermitente.
Estas son algunas de las características que encontrará:
Canal de comunicación con seguridad mejorada para enviar y recibir datos desde los dispositivos de IoT.
Administración de dispositivos integrada y aprovisionamiento para conectarse y administrar
dispositivos IoT y perimetrales a escala.
Integración total con Event Grid y la informática sin servidor, para simplificar el desarrollo de
aplicaciones de IoT.
Compatibilidad con Azure IoT Edge para crear aplicaciones de IoT híbridas.
Más información
Azure IoT Hub
Azure IoT Hub Device Provisioning Service (DPS)
Use nuestro proyecto de Azure DevOps de IoT moderno para facilitar el proceso de administración de
elementos de trabajo.
Acción
Para crear un centro de IoT:
1. Vaya a IoT Hub .
2. Seleccione Crear IoT Hub .
G O TO I O T
HUB
Azure IoT Hub Device Provisioning Service es un servicio auxiliar de Azure IoT Hub que permite un
aprovisionamiento Just-In-Time, sin interacción.
Acción
Para crear una instancia de Azure IoT Hub Device Provisioning Service:
1. Vaya a Ser vicios Device Provisioning .
2. Seleccione Agregar .
G O TO D E V I C E P R O V I S I O N I N G
S E R V IC E S
Innovación con IA en Azure
23/03/2021 • 8 minutes to read • Edit Online
Como innovador, su empresa tiene abundante información sobre su negocio y sus clientes. Mediante la
innovación con inteligencia artificial, su empresa puede:
Realizar predicciones sobre las necesidades de los clientes.
Automatizar los procesos empresariales.
Detectar la información latente en datos no estructurados.
Interactuar de nuevas formas con los clientes para ofrecer mejores experiencias.
En este artículo se presentan algunos enfoques para innovar con IA. Las innovaciones pueden ampliar la
información empresarial que se obtiene a partir de los datos existentes. La tabla siguiente puede resultar útil a la
hora de encontrar la mejor solución en función de las necesidades de implementación.
Machine Learning
Azure proporciona funcionalidades avanzadas de aprendizaje automático. Compile, entrene e implemente los
modelos de Machine Learning en toda la nube y el entorno perimetral con Azure Machine Learning. Desarrolle
modelos con más rapidez mediante el aprendizaje automático automatizado. Use las herramientas y los marcos
de trabajo que prefiera sin que se bloquee.
Para más información, consulte Información general sobre Azure Machine Learning e Introducción al primer
experimento de aprendizaje automático. Para más información sobre el formato de modelo de código abierto y
el runtime para el aprendizaje automático, consulte ONNX Runtime.
Acción
Un científico de datos puede usar Azure Machine Learning para entrenar y compilar un modelo mediante
lenguajes avanzados como Python y R, así como usar una experiencia visual de arrastrar y colocar. Para empezar
a usar Azure Machine Learning:
1. En Azure Portal, busque y seleccione Machine Learning .
2. Seleccione Agregar y siga los pasos del portal para crear un área de trabajo.
3. El área de trabajo nueva proporciona un enfoque de código reducido y controlado por código para que
los científicos de datos entrenen, compilen, implementen y administren modelos.
G O TO A Z U R E M A C H I N E L E A R N I N G
RESO URCES
Aplicaciones y agentes de IA
Azure proporciona un conjunto de servicios de inteligencia artificial precompilados denominados Cognitive
Services para compilar aplicaciones de inteligencia artificial. Además, Azure ofrece un servicio de bot que
permite a los desarrolladores crear agentes de IA de conversación que mejoran la interacción entre el cliente y el
empleado.
Aplicaciones de IA
Cognitive Services permite incorporar las funcionalidades de inteligencia artificial de visión, voz, lenguaje y
decisión a las aplicaciones. La mayoría de los modelos predictivos no requieren entrenamiento adicional. Estos
servicios resultan útiles cuando entre el personal no se cuenta con científicos de datos para que entrenen el
modelo predictivo. Otros requieren un entrenamiento mínimo.
Para más información sobre el entrenamiento necesario y una lista de los servicios disponibles en visión, voz,
lenguaje y decisión, consulte la documentación de Cognitive Services.
Acción
Para empezar a trabajar con una Cognitive Services API:
1. En Azure Portal, busque y seleccione Cognitive Ser vices .
2. Seleccione Agregar para buscar una API de Cognitive Services en Azure Marketplace.
3. Busque y seleccione un servicio:
Si conoce el nombre del servicio que quiere usar, escríbalo en Buscar en el Marketplace y
selecciónelo.
Para obtener una lista de Cognitive Services APIs, seleccione Más junto al encabezado Cognitive
Ser vices . y, después, el servicio.
4. Seleccione Crear y siga los pasos que aparecen en el portal para aprovisionar el servicio.
G O TO C O G N I TI V E
S E R V IC E S
Minería de conocimientos
La minería de conocimientos usa la inteligencia artificial para mejorar la comprensión de los contenidos
procedentes de grandes cantidades de información no estructurada, semiestructurada y estructurada. Use Azure
Cognitive Search para descubrir información latente del contenido, incluidos documentos, imágenes y
elementos multimedia. Puede detectar patrones y relaciones en el contenido, comprender las opiniones y
extraer frases clave.
Azure Cognitive Search usa la misma pila de lenguaje natural que usan Bing y Microsoft Office. Dedique más
tiempo a innovar y menos tiempo a mantener una solución de búsqueda en la nube compleja.
Para más información, consulte ¿Qué es Azure Cognitive Search?
Acción
Primeros pasos:
1. En Azure Portal, busque y seleccione Azure Cognitive Search .
2. Siga los pasos que aparecen en el portal para aprovisionar el servicio.
G O TO A Z U R E C O G N I TI V E
SEARCH
Revise un marco normativo que incluye herramientas, programas y contenido (procedimientos recomendados,
plantillas de configuración e instrucciones de arquitectura) que simplifican la adopción tanto de Kubernetes
como de prácticas nativas de la nube a escala.
La lista de acciones necesarias está clasificada por rol, con el fin de impulsar una implementación correcta de las
aplicaciones en Kubernetes, desde la prueba de concepto a la producción y, posteriormente, su escalado y
optimización.
Introducción
Para prepararse para esta fase del ciclo de vida de la adopción de la nube, realice los siguientes ejercicios:
Desarrollo e implementación de aplicaciones: examine los patrones y prácticas de desarrollo de aplicaciones,
configure canalizaciones de integración continua y entrega continua, e implemente los procedimientos
recomendados de ingeniería de confiabilidad de sitios (SRE).
Diseño y operaciones de clústeres: Identifíquese para la configuración de clústeres y el diseño de la red.
Garantice la escalabilidad futura mediante la automatización del aprovisionamiento de la infraestructura.
Mantenga una alta disponibilidad mediante el planeamiento de la continuidad empresarial y recuperación
ante desastres.
Seguridad de clústeres y aplicaciones: Familiarícese con los elementos esenciales de la seguridad de
Kubernetes. Consulte la configuración segura de los clústeres y las instrucciones para la protección de
aplicaciones.
Desarrollo e implementación de aplicaciones
22/04/2021 • 12 minutes to read • Edit Online
Examine los patrones y prácticas del desarrollo de aplicaciones, configure Azure Pipelines e implemente los
procedimientos recomendados de ingeniería de confiabilidad de sitios (SRE). La Ingeniería de confiabilidad de
sitios (SRE) es un enfoque de ingeniería de software para el desarrollo e implementación de aplicaciones, la
administración de cambios, la supervisión, la respuesta de emergencia y mucho más.
Optimización y escalado
Ahora que la aplicación está en producción, ¿cómo puede optimizar el flujo de trabajo y preparar la aplicación y
el equipo para el escalado? Use la lista de comprobación de optimización y escalado para la preparación. Debe
ser capaz de responder a estas preguntas:
¿Se han eliminado las cuestiones transversales de la aplicación?
¿Puede mantener la confiabilidad del sistema y de la aplicación mientras recorre en iteración nuevas
características y versiones?
Lista de comprobación de implementación de aplicaciones:
Implementación de una puer ta de enlace de API . Una puerta de enlace de API sirve como punto de
entrada a los microservicios, desacopla a los clientes de los microservicios, agrega otra capa de
seguridad y reduce la complejidad de los microservicios al eliminar la carga que supone la
administración de las cuestiones transversales. Para obtener más información, consulte Uso de Azure API
Management con microservicios implementados en Azure Kubernetes Service.
Implementación de una malla de ser vicio . Una malla de servicio proporciona a las cargas de trabajo
funcionalidades como administración del tráfico, resistencia, directiva, seguridad, identidad sólida y
observabilidad. La aplicación se desacopla de estas funciones operativas y la malla del servicio las retira
de la capa de la aplicación, bajándolas al nivel de infraestructura.
Para más información, consulte:
Funcionamiento de las mallas de servicio en Kubernetes (vídeo)
Más información sobre mallas de servicio
Uso de Open Service Mesh con Azure Kubernetes Service
Uso de Istio con Azure Kubernetes Service
Uso de Linkerd con Azure Kubernetes Service
Uso de Consul con Azure Kubernetes Service
Implementación de procedimientos de ingeniería de confiabilidad de sitios (SRE). La
ingeniería de confiabilidad de sitios (SRE) es un enfoque de eficacia probada para mantener la
confiabilidad de sistemas y aplicaciones cruciales mientras se realizan las iteraciones al ritmo que el
mercado demanda.
Para obtener más información, consulte:
Introducción a la ingeniería de confiabilidad de sitios (SRE)
DevOps at Microsoft: Game streaming SRE (DevOps en Microsoft: SRE de streaming de juegos)
Diseño y operaciones de clústeres
22/04/2021 • 9 minutes to read • Edit Online
En este artículo se trata la configuración de clústeres y el diseño de red. Aprenda a realizar una prueba de la
escalabilidad mediante la automatización del aprovisionamiento de la infraestructura. El aprovisionamiento es el
proceso de configuración de la infraestructura de TI que desea. El aprovisionamiento de infraestructura
automatizado admite una instalación remota y configura entornos virtuales. También le ayuda a mantener una
alta disponibilidad mediante el planeamiento de la continuidad empresarial y recuperación ante desastres.
Optimización y escalado
Una vez que la aplicación esté en producción, ¿cómo puede optimizar el flujo de trabajo y preparar la aplicación
y el equipo para el escalado? Use la lista de comprobación de optimización y escalado para la preparación. Al
final de esta sección, podrá responder a estas preguntas:
¿Dispone de un plan de continuidad empresarial y recuperación ante desastres?
¿Puede escalarse el clúster para satisfacer las necesidades de la aplicación?
¿Puede supervisar el estado del clúster y la aplicación y recibir alertas?
Lista de comprobación:
Escalado automático de un clúster para satisfacer las necesidades de la aplicación . Para
satisfacer las necesidades de la aplicación, es posible que deba ajustar el número de nodos que ejecutan
las cargas de trabajo mediante la escalabilidad automática del clúster. Para obtener más información,
consulte Configuración de la escalabilidad automática de clústeres en Kubernetes.
Planes de continuidad empresarial y recuperación ante desastres . Planee una implementación
en varias regiones, cree un plan de migración del almacenamiento y habilite la replicación geográfica
para las imágenes de contenedor. Para obtener más información, consulte Procedimientos recomendados
para implementaciones de regiones - Replicación geográfica en Azure Container Registry.
Configuración de la super visión y solución de problemas a escala . Configure las alertas y la
supervisión de aplicaciones en Kubernetes. Obtenga más información sobre la configuración
predeterminada, la integración de más métricas avanzadas, y la incorporación de supervisión y alertas
personalizadas para manejar la aplicación.
Introducción a la supervisión y las alertas de Kubernetes (vídeo)
Configuración de alertas mediante Azure Monitor para contenedores
Revisión de los registros de diagnóstico de los componentes maestros
Diagnósticos de Azure Kubernetes Service (AKS)
Seguridad de clústeres y aplicaciones
24/04/2021 • 9 minutes to read • Edit Online
Familiarícese con los elementos esenciales de seguridad de Kubernetes y revise la configuración de seguridad
de clústeres y aplicaciones. La seguridad de Kubernetes es importante a lo largo del ciclo de vida del contenedor
debido a la naturaleza dinámica y distribuida de un clúster de Kubernetes. Las aplicaciones son igual de seguras
que el eslabón más débil de la cadena de servicios que conforma la seguridad de la aplicación.
Optimización y escalado
Ahora que la aplicación está en producción, ¿cómo puede optimizar el flujo de trabajo y preparar la aplicación y
el equipo para el escalado? Use la lista de comprobación de optimización y escalado para la preparación. Al final
de esta sección, podrá responder a esta pregunta:
¿Puedo aplicar directivas de gobernanza y clúster a escala?
Lista de comprobación de seguridad:
Aplicación de directivas de gobernanza del clúster . Aplique medidas de seguridad y cumplimiento
a escala en los clústeres de una manera centralizada y coherente. Para obtener más información, consulte
Control de implementaciones con Azure Policy.
Rotación periódica de los cer tificados del clúster . Kubernetes usa certificados para la autenticación
con muchos de sus componentes. Puede que quiera rotar periódicamente esos certificados por motivos
de seguridad o de directivas. Para obtener más información, consulte Rotación de certificados en Azure
Kubernetes Service (AKS).
Inteligencia artificial en Cloud Adoption Framework
21/04/2021 • 2 minutes to read • Edit Online
Introducción
Para prepararse para esta fase del ciclo de vida de la adopción de la nube, realice los siguientes ejercicios:
Desarrollo, implementación y administración del modelo de Machine Learning: Examine los patrones y
procedimientos de creación de sus propios modelos de aprendizaje automático, como las operaciones de
aprendizaje automático (MLOps), aprendizaje automático automatizado y herramientas de aprendizaje de
Machine Learning responsables como InterpretML y FairLearn.
Incorporación de modelos de inteligencia artificial específicos de un dominio a las aplicaciones: obtenga
información sobre los procedimientos recomendados para agregar funcionalidades de inteligencia artificial a
sus aplicaciones con Cognitive Services. Conozca también los principales escenarios que estos servicios le
ayudan a afrontar.
Creación de su propia solución de inteligencia artificial de conversación: Aprenda a crear su propio asistente
virtual, una aplicación de inteligencia artificial de conversación que puede comprender el lenguaje y la voz,
percibir grandes cantidades de información y responder de forma inteligente.
Creación de soluciones de minería de conocimientos basadas en inteligencia artificial: Aprenda a usar la
minería de conocimientos para extraer datos estructurados del contenido no estructurado y detectar
información procesable en los datos de su organización.
Machine Learning
24/04/2021 • 4 minutes to read • Edit Online
El aprendizaje automático es un subconjunto de la inteligencia artificial que permite que las máquinas detecten
patrones y aprendan de los datos sin que estén expresamente programadas para ello. Las soluciones de Azure
Machine Learning pueden mejorar sus conclusiones informáticas.
Azure le permite obtener las funcionalidades más avanzadas de aprendizaje automático. Compile, entrene e
implemente de forma rápida y sencilla los modelos de Machine Learning mediante Azure Machine Learning. La
IA de Machine Learning se puede usar para todo tipo de aprendizaje automático, del clásico al profundo,
supervisado y no supervisado. Tanto si prefiere escribir código de Python o de R como si se decide por opciones
con poco o ningún código, como el diseñador, puede compilar y entrenar modelos de aprendizaje automático y
aprendizaje profundo muy precisos en un área de trabajo de Machine Learning y realizar su seguimiento.
Así que puede comenzar a entrenar en su máquina local y luego escalar horizontalmente a la nube. El servicio
también interopera con herramientas aprendizaje profundo y de código abierto populares, como PyTorch,
TensorFlow, scikit-learn, Ray y RLlib.
Para empezar, lea Soluciones de Machine Learning, donde encontrará un tutorial sobre cómo configurar el
primer experimento de aprendizaje automático. Para más información sobre el formato de los modelos de
código abierto y el tiempo de ejecución para el aprendizaje automático, consulte ONNX Runtime.
Entre los escenarios comunes para las soluciones de aprendizaje automático se incluyen:
Mantenimiento predictivo
Administración de inventario
Detección de fraudes
Previsión de la demanda
Recomendaciones inteligentes
Previsión de ventas
Pasos siguientes
Explore otras categorías de soluciones de IA:
Aplicaciones y agentes de IA
Minería de conocimientos
Aplicaciones y agentes de IA
24/04/2021 • 9 minutes to read • Edit Online
Las aplicaciones de IA abarcan una amplia variedad de aplicaciones, como plataformas de comercio electrónico,
detección remota, control de robots y diagnóstico médico. La infusión de IA en una aplicación puede resultar ser
una tarea difícil y lenta. Hasta hace poco, se necesitaba una comprensión profunda del aprendizaje automático y
meses de desarrollo para adquirir datos, entrenar modelos e implementarlos a gran escala. Incluso entonces, el
éxito no estaba garantizado. El camino estaba lleno de obstáculos y dificultades que hacían que los equipos no
pudieran obtener valor de sus inversiones en IA.
Aplicaciones de IA
Microsoft Azure Cognitive Services son servicios de IA específicos de un dominio y están disponibles como API.
Estos servicios eliminan los desafíos de la infusión de IA en las aplicaciones y están diseñados para que hacerlas
productivas, estén preparadas para la empresa y sean de confianza. Le permiten aprovechar las últimas
novedades en IA sin necesidad de crear e implementar sus propios modelos; en su lugar, puede implementar
modelos de IA con solo ajustar unas pocas líneas de código. Incluso sin un equipo de ciencia de datos de gran
tamaño, pueda crear rápidamente aplicaciones de IA que vean, escuchen, hablen, comprendan e, incluso,
empiecen a razonar.
Algunos ejemplos comunes de aplicaciones de IA incluyen:
análisis de opiniones
Detección de objetos
Traducción
Personalización
Automatización de procesos robóticos
Siga estas instrucciones para planear el desarrollo y la implementación de aplicaciones de IA:
Familiarícese con la gran variedad de funcionalidades y servicios que se ofrecen en Azure Cognitive Services,
y decida cuáles usará.
Decida si tiene datos personalizados con los que desea entrenar y personalizar estos modelos de IA. Algunos
servicios de Cognitive Services se pueden personalizar.
Explore los tutoriales de inicio rápido de Azure Cognitive Services para aprender a usar el SDK y las API REST.
Los SDK de Cognitive Services están disponibles para muchos lenguajes de desarrollo populares, como C#,
Python, Java, JavaScript y Go.
Decida si necesita implementar estos productos de Cognitive Services en contenedores.
Agentes de IA
La plataforma de Microsoft Azure AI pretende permitir a los desarrolladores innovar y acelerar sus proyectos. En
el caso de la IA conversacional, Azure ofrece Azure Bot Service, SDK y herramientas de Bot Framework para
permitir a los desarrolladores crear experiencias de conversación enriquecidas. Además, los desarrolladores
pueden usar Azure Cognitive Services, como Language Understanding (LUIS), QnA Maker y el servicio Voz, para
agregar las capacidades de que los bots de chat entiendan a los usuarios finales y hablen con ellos.
Entre los escenarios comunes de soluciones de IA conversacional o bot de chat se incluyen:
Bot de chat informativo de preguntas y respuestas
Bot de chat de servicio al cliente o soporte técnico
Bot de chat del departamento de soporte técnico o RR. HH.
Bot de chat de ventas o comercio electrónico
Dispositivos compatibles con voz
NOTE
Microsoft ofrece Power Virtual Agents, creados a partir de Bot Framework, para los desarrolladores que desean crear un
bot de chat principalmente con una experiencia sin código o de poco código. En este escenario, los desarrolladores no
hospedan el bot ellos mismos ni controlan el lenguaje natural ni otros modelos de IA con Cognitive Services.
Pasos siguientes
Explore otras categorías de soluciones de IA:
Aprendizaje automático
Minería de conocimientos
Minería de conocimientos
21/04/2021 • 4 minutes to read • Edit Online
La minería de conocimientos hace referencia a una categoría emergente de inteligencia artificial diseñada para
simplificar el proceso de acceso a información latente contenida en datos estructurados y no estructurados. La
minería de conocimientos define el proceso de uso de una canalización de inteligencia artificial para detectar
patrones ocultos e información procesable en conjuntos de datos estructurados y no estructurados de una
manera escalable. Asimismo, la minería de conocimientos incluye una comprensión lógica compleja, y puede
conectar flujos de información para formar una perspectiva empresarial real.
Azure Cognitive Search es un servicio y una solución de búsqueda en la nube administrada que proporciona a
los desarrolladores las API y las herramientas necesarias para agregar una experiencia completa de búsqueda
de datos a través de contenido privado y heterogéneo en aplicaciones web, móviles y empresariales. Ofrece
funcionalidades como puntuación, facetas, sugerencias, sinónimos y búsqueda geográfica para proporcionar
una experiencia de usuario enriquecida. Azure Cognitive Search es también el único servicio de búsqueda en la
nube con funcionalidades de minería de conocimientos integradas. Azure Cognitive Search actúa como
orquestador de la canalización de enriquecimiento de la minería de conocimientos, tras los pasos de ingesta,
enriquecimiento, exploración y análisis.
Los escenarios clave de la minería de conocimientos incluyen:
Administración de contenido digital: ayuda a los clientes a consumir contenido más rápidamente al
proporcionarles resultados de búsqueda pertinentes en el catálogo de contenido.
Asistencia al cliente y análisis de comentarios: encuentre rápidamente la respuesta correcta en
documentos y descubra tendencias de lo que los clientes solicitan para mejorar su experiencia.
Extracción de datos y administración de procesos: acelere el procesamiento de documentos al extraer
la información clave y rellenándola en otra documentación empresarial.
Revisión e investigación del contenido técnico: revise rápidamente documentos y extraiga la
información clave para tomar decisiones informadas.
Administración de auditoría y cumplimiento: identifique rápidamente las áreas clave y marque ideas o
información importantes en los documentos.
Pasos siguientes
Explore otras categorías de soluciones de IA:
Aplicaciones y agentes de inteligencia artificial
Aprendizaje automático
Desarrollo de invenciones digitales en Azure
26/04/2021 • 2 minutes to read • Edit Online
Azure puede ayudarle a acelerar el desarrollo de todas las áreas de la invención digital. Esta sección de
procedimientos recomendados digitales de Cloud Adoption Framework se basa en la metodología de
innovación. En ella se muestra cómo combinar servicios de Azure para crear una cadena de herramientas para
la invención digital.
Cadena de herramientas
En la siguiente serie de artículos se muestran algunos de los procedimientos recomendados y las herramientas
que se alinean estrechamente con la metodología de innovación. Para probar si hipótesis, empiece por la página
de información general del tipo de invención digital que necesita. La página de información general tiene la guía
de procedimientos recomendados sobre la que actuar para que pueda crear con empatía con el cliente.
Estos son los tipos de invención digital de que esta serie de artículos:
Democratización de datos: herramientas para compartir datos que satisfagan las necesidades de los clientes
relacionadas con la información.
Participación a través de aplicaciones: Herramientas para crear aplicaciones que permitan la participación de
los clientes más allá de los datos sin procesar.
Capacitación de la adopción: herramientas para acelerar la adopción por parte del cliente mediante el apoyo
digital a los ciclos de crear-medir-aprender.
Interacción con dispositivos: herramientas para crear distintos niveles de experiencias ambientales para los
clientes.
Predicción e influencia: herramientas para el análisis predictivo y la integración de su salida en aplicaciones.
Herramientas de innovación para la
democratización de los datos en Azure
21/04/2021 • 5 minutes to read • Edit Online
Tal y como se describe en el artículo conceptual sobre la democratización de los datos, se pueden ofrecer
muchas innovaciones de recopilación de datos con una inversión técnica mínima. Muchas innovaciones
importantes requieren poco más que datos sin procesar. La democratización de los datos consiste en invertir la
menor cantidad de recursos necesarios para atraer a los clientes. Luego los clientes usan los datos para
aprovechar el conocimiento existente.
Comenzar con la democratización de los datos es una forma rápida de probar una hipótesis antes de pasar a
invenciones digitales más amplias y costosas. A medida que refine más la hipótesis y empiece a adoptar las
invenciones a escala, los siguientes procesos le ayudarán a preparar el soporte operativo de la innovación.
Cadena de herramientas
En Azure, las siguientes herramientas de innovación se suelen usar para acelerar la invención digital en las fases
anteriores:
Power BI
Azure Data Catalog
Azure Synapse Analytics
Azure Cosmos DB
Azure Database para PostgreSQL
Azure Database for MySQL
Azure Database for MariaDB
Hiperescala para Azure Database for PostgreSQL
Almacén de Azure Data Lake
Azure Database Migration Service
Azure SQL Database, con o sin Instancia administrada de Azure SQL
Azure Data Factory
Azure Stream Analytics
SQL Server Integration Services
Azure Stack
SQL Server Stretch Database
Azure StorSimple
Archivos de Azure
Azure File Sync
PolyBase
A medida que la invención se aproxima a la adopción a escala, los aspectos de cada solución requieren una fase
de refinamiento y maduración técnica. A medida que eso vaya sucediendo, es probable que se requieran más
servicios de los mencionados. Use la tabla de contenido de la izquierda de esta página para obtener la guía de
herramientas de Azure correspondiente a su proceso de prueba de hipótesis.
Introducción
En la tabla de contenido del lado izquierdo de esta página se describen muchos artículos. Estos artículos ayudan
a empezar a trabajar con cada una de las herramientas de esta cadena de herramientas.
NOTE
Algunos vínculos pueden salir de Cloud Adoption Framework para ayudarle a ir más allá del ámbito de esta plataforma.
Clasificación de los datos de la organización
06/03/2021 • 4 minutes to read • Edit Online
La clasificación de datos permite determinar y asignar valor a los datos de la organización y proporciona un
punto de partida común para la gobernanza. El proceso de clasificación de datos clasifica los datos por
confidencialidad e impacto empresarial a fin de identificar los riesgos. Cuando los datos están clasificados, se
pueden administrar de formas que protegen aquellos confidenciales o importantes frente al robo o la pérdida.
Realizar acción
Actúe definiendo y etiquetando los recursos con una clasificación de datos definida.
Elija una de las guías prácticas de gobernanza en la nube para obtener ejemplos de cómo aplicar etiquetas a
toda la cartera.
Revise las convenciones recomendadas de nomenclatura y etiquetado para definir un estándar de etiquetado
más completo.
Para información adicional sobre el etiquetado de recursos, consulte Uso de etiquetas para organizar los
recursos de Azure y la jerarquía de administración.
Pasos siguientes
Siga aprendiendo con esta serie de artículos revisando el artículo sobre la protección de datos confidenciales. El
siguiente artículo contiene información detallada que es aplicable si está trabajando con datos clasificados como
confidenciales o extremadamente confidenciales.
Protección de datos confidenciales
Recopilación de datos mediante migración y
modernización de los orígenes existentes
21/04/2021 • 5 minutes to read • Edit Online
A menudo, las empresas tienen diferentes tipos de datos existentes que pueden democratizar. Cuando una
hipótesis de cliente requiere el uso de los datos existentes para crear soluciones modernas, un primer paso
puede ser la migración y modernización de los datos para prepararse para las innovaciones e invenciones. Para
alinear los esfuerzos de migración existentes dentro de un plan de adopción de la nube, migre y modernice los
datos según la metodología de migración.
Consideraciones e instrucciones
Al usar Azure Database Migration Service para la migración y modernización de los datos, es importante
comprender lo siguiente:
La plataforma actual para hospedar el origen de datos.
La versión actual.
La plataforma y la versión futuras que mejor respaldan la hipótesis o el destino del cliente.
Tipo de migración de datos
Con una migración sin conexión, el tiempo de inactividad de la aplicación se inicia cuando comienza la
migración. Con una migración en línea, el tiempo de inactividad se limita al momento de la transición al final de
la migración.
Pruebe una migración sin conexión para determinar si el tiempo de inactividad es aceptable. Si el tiempo de
restauración no es aceptable, realice una migración en línea.
En la tabla siguiente de los tipos de migración de datos se muestran los pares de origen y de destino que se van
a revisar con el equipo de migración. Cada par incluye una elección de herramienta y un vínculo a un tutorial
relacionado.
SQL Server Azure SQL Database Database Migration Sin conexión Tutorial
Service
RDS SQL Server Azure SQL Database Database Migration En línea Tutorial
o Azure SQL Service
Managed Instance
Cree aplicaciones nativas de nube para conectar a los clientes de nuevas maneras. Las aplicaciones nativas de la
nube se crean desde cero y están optimizadas para la escala y el rendimiento de la nube. Se basan en
arquitecturas de microservicios, usan servicios administrados y se benefician de la entrega continua para
conseguir confiabilidad y una comercialización más rápida.
Como se describe en Participación a través de las aplicaciones, las aplicaciones pueden ser un aspecto
importante de una solución de producto viable mínimo (MVP). Por ejemplo, las aplicaciones suelen ser
necesarias para probar una hipótesis. Este artículo le ayuda a conocer las herramientas de desarrollo de
aplicaciones que proporciona Azure para acelerar el desarrollo de esas aplicaciones.
Cadena de herramientas
En función de la ruta tomada por el equipo de adopción de la nube, Azure proporciona servicios y herramientas
de desarrollo de aplicaciones para acelerar su capacidad de crear teniendo en cuenta la empatía con el cliente.
La siguiente lista de ofertas de Azure se agrupa en función de las rutas de decisiones anteriores. Estas ofertas
incluyen:
Azure App Service
Azure Kubernetes Service (AKS)
Azure Migrate
Azure Stack
PowerApps
Power Automate
Power BI
Introducción
En la tabla de contenido del lado izquierdo de esta página se describen muchos artículos. Estos artículos ayudan
a empezar a trabajar con cada una de las herramientas de esta cadena de herramientas.
NOTE
Algunos vínculos pueden salir de Cloud Adoption Framework para ayudarle a ir más allá del ámbito de esta plataforma.
Herramientas que posibilitan la adopción en Azure
24/04/2021 • 3 minutes to read • Edit Online
Tal y como se describe en Capacitación para la adopción, crear verdaderas innovaciones a escala requiere una
inversión para eliminar fricciones, lo que puede ralentizar la adopción. En las primeras etapas de la prueba de
una hipótesis, una solución es pequeña. La inversión para eliminar la fricción probablemente también lo sea. A
medida que se demuestran las hipótesis, crecen la solución y la inversión en posibilitar la adopción. En este
artículo se proporcionan vínculos clave para empezar a trabajar con cada fase del modelo de madurez.
Cadena de herramientas
En el caso de los equipos de adopción que sean equipos de desarrollo profesional experimentados con
numerosos colaboradores, la cadena de herramientas de Azure comienza con GitHub y Azure DevOps.
A medida que crezcan sus necesidades, puede ampliar esta base para usar otras características de la
herramienta. La base ampliada puede incluir herramientas como las siguientes:
Azure Blueprint
Azure Policy
Plantillas del Administrador de recursos de Azure
Azure Monitor
En la tabla de contenido de la izquierda de esta página se muestra las guías de cada herramienta, que se alinean
con el modelo de madurez descrito anteriormente.
Introducción
En la tabla de contenido del lado izquierdo de esta página se describen muchos artículos. Estos artículos ayudan
a empezar a trabajar con cada una de las herramientas de esta cadena de herramientas.
NOTE
Algunos vínculos pueden salir de Cloud Adoption Framework para ayudarle a ir más allá del ámbito de esta plataforma.
MLOps con Azure Machine Learning
23/03/2021 • 4 minutes to read • Edit Online
Pasos siguientes
Para más información, lea y explore los siguientes recursos:
MLOps: administración de modelos, implementación y supervisión con Azure Machine Learning
Cómo y dónde se implementan los modelos con Azure Machine Learning.
Tutorial: Implementación de un modelo de clasificación de imágenes en Azure Container Instances.
Repositorio de ejemplos de MLOps de un extremo a otro
CI/CD de modelos de aprendizaje automático con Azure Pipelines
Creación de clientes que consumen un modelo implementado
Aprendizaje automático a escala
Repositorio de procedimientos recomendados y arquitecturas de referencia de Azure AI
Herramientas de experiencia ambiental para
interactuar con dispositivos en Azure
24/04/2021 • 4 minutes to read • Edit Online
Tal y como se describe en el artículo sobre la interacción con dispositivos, los dispositivos que se usan para
interactuar con un cliente dependen de la cantidad de experiencia ambiental del usuario necesaria para
satisfacer las necesidades del cliente y facilitar la adopción. La velocidad del desencadenador que provoca la
necesidad y la capacidad de la solución para satisfacerla son factores determinantes en el uso de la repetición.
Las experiencias ambientales contribuyen a acelerar el tiempo de respuesta y a crear una mejor experiencia para
los clientes, ya que incorporan la solución en el entorno inmediato de los clientes.
Introducción
En la tabla de contenido del lado izquierdo de esta página se describen muchos artículos. Estos artículos ayudan
a empezar a trabajar con cada una de las herramientas de esta cadena de herramientas.
NOTE
Algunos vínculos pueden salir de Cloud Adoption Framework para ayudarle a ir más allá del ámbito de esta plataforma.
Uso de herramientas innovadoras de predicción e
influencia con inteligencia artificial
12/03/2021 • 5 minutes to read • Edit Online
IA significa inteligencia artificial, mediante la que un equipo detecta patrones de datos para generar información
que puede ayudar a las empresas a comprender el comportamiento de sus clientes. Las predicciones con
inteligencia artificial pueden predecir las necesidades de los clientes y automatizar los procesos empresariales.
Mediante el uso de aplicaciones con inteligencia artificial y herramientas digitales de innovación, las empresas
pueden detectar información latente en datos no estructurados y ofrecer nuevas formas de interactuar con los
clientes para proporcionar una mejor experiencia.
Puede acelerar este tipo de innovación digital a través de cada una de las siguientes áreas de solución. En la
tabla de contenido de la izquierda de esta página se incluyen los procedimientos recomendados y una guía
técnica para acelerar la invención digital. Estos artículos se agrupan por área de solución:
Machine Learning
Aplicaciones y agentes de inteligencia artificial
Minería de conocimientos
Introducción
Los artículos del índice le ayudarán a empezar a trabajar con cada una de las áreas de la solución.
NOTE
Algunos vínculos pueden salir de Cloud Adoption Framework para ayudarle a ir más allá del ámbito de esta plataforma.
¿Qué es el aprendizaje automático?
12/03/2021 • 14 minutes to read • Edit Online
El aprendizaje automático es una técnica de ciencia de datos que permite a los equipos utilizar datos existentes
para prever tendencias, resultados y comportamientos futuros. Mediante el aprendizaje automático, los equipos
aprenden sin necesidad de programarlos explícitamente. Las herramientas de aprendizaje automático usan
sistemas de inteligencia artificial que proporcionan la capacidad de identificar patrones y crear asociaciones a
partir de experiencias con los datos.
Las previsiones o predicciones del aprendizaje automático automatizado pueden hacer que las aplicaciones y los
dispositivos sean más inteligentes. Por ejemplo, cuando compra en línea, el aprendizaje automático ayuda a
recomendar otros productos según lo que haya adquirido. O, cuando pasa su tarjeta de crédito, el aprendizaje
automático compara la transacción con una base de datos de transacciones y ayuda a detectar fraudes. Y
cuando la aspiradora robot aspira una sala, el aprendizaje automático le ayuda a decidir si se ha terminado el
trabajo.
Pasos siguientes
Revise las notas del producto y los libros electrónicos sobre Machine Learning Studio y Machine Learning
Service.
Revise las arquitecturas de IA + aprendizaje automático.
Procedimientos para enfocar las operaciones de
aprendizaje automático
24/04/2021 • 10 minutes to read • Edit Online
Las operaciones de aprendizaje automático constan de principios y procedimientos recomendados sobre cómo
organizar y estandarizar el desarrollo, la implementación y el mantenimiento del modelo de máquina de una
forma escalable.
Sculley, et al. 2015. Deuda técnica oculta en sistemas de aprendizaje automático. Procedimientos de la 28.ª
conferencia internacional sobre sistemas de procesamiento de información neuronal, volumen 2 (NIPS 2015).
Pasos siguientes
Microsoft AI Business School es un recurso que describe la IA, lo que incluye cómo abordar la
implementación de forma holística, comprender las dependencias más allá de la tecnología e impulsar un
impacto empresarial duradero.
Obtenga más información sobre el proceso de operaciones de aprendizaje automático para explorarlo
con más detalle.
Proceso de las operaciones de aprendizaje
automático
06/03/2021 • 15 minutes to read • Edit Online
Una vez desarrollado, se entrena, valida, implementa y supervisa un modelo de aprendizaje automático. Desde
el punto de vista de la organización y en el nivel técnico y administrativo, es importante definir quién se encarga
de este proceso y lo implementa. En las empresas más grandes, un científico de datos podría encargarse de los
pasos de entrenamiento y validación del modelo, mientras que un ingeniero de aprendizaje automático podría
ocuparse de los pasos restantes. En empresas más pequeñas, un científico de datos podría encargarse de todos
los pasos.
Entrenamiento del modelo
En este paso, un conjunto de datos de entrenamiento entrena el modelo de aprendizaje automático. El código de
entrenamiento tiene control de versiones y es reutilizable, y esta característica optimiza los clics de botón y los
desencadenadores de eventos (p. ej., una nueva versión de los datos que pasan a estar disponibles) a fin de
automatizar cómo se entrena el modelo.
Validación del modelo
Este paso usa métricas establecidas, como una métrica de precisión, para validar automáticamente el modelo
recién entrenado y compararlo con los más antiguos. ¿La precisión aumentó? En caso afirmativo, este modelo
podría registrarse en el registro de modelos a fin de garantizar que se puede usar en los pasos siguientes. Si la
precisión del nuevo modelo es peor, se puede avisar a un científico de datos para que investigue el motivo o
descartar el modelo recién entrenado.
Implementación del modelo
Implemente el modelo como un servicio de API para aplicaciones web en el paso de implementación. Este
enfoque permite escalar y actualizar el modelo de forma independiente de las aplicaciones. Como alternativa, el
modelo se puede utilizar para realizar la puntuación por lotes, en la que se usa una vez o periódicamente para
calcular las predicciones en los nuevos puntos de datos. Esto resulta útil cuando se deben procesar grandes
cantidades de datos de forma asincrónica. Puede encontrar más detalles sobre los modelos de implementación
en la página inferencia de aprendizaje automático durante la implementación .
Supervisión del modelo
Es necesario supervisar el modelo por dos motivos clave. En primer lugar, la supervisión del modelo permite
garantizar que sea técnicamente funcional, por ejemplo, que pueda generar predicciones. Esto es importante si
las aplicaciones de una organización dependen del modelo y lo usan en tiempo real. La supervisión del modelo
también ayuda a las organizaciones a medir si genera predicciones útiles continuamente. Esto podría no resultar
útil cuando se produce el desfase de datos, por ejemplo, cuando los datos usados para entrenar el modelo
difieren significativamente de los datos que se envían a este durante la fase de predicción. Por ejemplo, un
modelo entrenado para recomendar productos a personas jóvenes podría producir resultados no deseados si
recomienda productos a personas de otro grupo de edad. La supervisión de modelos con el desfase de datos
puede detectar este tipo de discrepancia, alertar a los ingenieros de aprendizaje automático y volver a entrenar
de manera automática el modelo con datos más pertinentes o más recientes.
Cómo supervisar los modelos
Dado que el desfase de datos, la estacionalidad o la arquitectura más reciente optimizada para mejorar el
rendimiento pueden provocar que el rendimiento del modelo varíe a lo largo del tiempo, es importante
establecer un proceso para implementar modelos continuamente. Algunos de los procedimientos
recomendados son los siguientes:
Propiedad: se debe asignar un propietario al proceso de supervisión del rendimiento del modelo a fin
de administrar activamente su rendimiento.
Canalizaciones de versión: configure una canalización de versión en Azure DevOps primero y
establezca el desencadenador en el registro de modelo. Cuando se registra un nuevo modelo en el
registro, la canalización de versión se desencadena y se aprueba en un proceso de implementación.
El aprendizaje automático presenta consideraciones de seguridad únicas para las empresas, y las empresas
deben tener en cuenta varios principios de seguridad al diseñar y evaluar arquitecturas de aprendizaje
automático.
Resistencia: los sistemas de aprendizaje automático deben identificar un comportamiento anómalo y
evitar la manipulación o la coerción.
Discreción : cualquier escenario de acceso a datos que implique la IA debe limitar el acceso a los datos lo
máximo posible.
Datos malintencionados: los algoritmos de aprendizaje automático deben protegerse frente a datos
introducidos de forma malintencionada.
Transparencia y responsabilidad: la inteligencia artificial debe tener funcionalidades forenses
integradas para brindar transparencia y responsabilidad. Estas funcionalidades funcionan como un
método temprano de detección de intrusiones de la IA para ayudar a los ingenieros a comprender el
momento exacto en el que se tomó la decisión y los datos que se usaron.
Entornos seguros: el acceso a los entornos de desarrollo, entrenamiento e inferencia debe estar
protegido a fin de proteger también los datos y los resultados y las predicciones del modelo.
Pasos siguientes
Consulte cómo proteger un entorno de inferencia de Azure Machine Learning con redes virtuales para
ver un intervalo de direcciones IP y los pasos para realizar la inferencia en una red virtual.
Consulte la sección Rol de colaborador de red para aprender a configurar un equilibrador de carga
privado y un rol de colaborador de red.
Inferencia de aprendizaje automático durante la
implementación
21/04/2021 • 16 minutes to read • Edit Online
Al implementar el modelo de IA durante la fase de producción, debe tener en cuenta cómo realizará las
predicciones. Los dos procesos principales de los modelos de IA son los siguientes:
Inferencia por lotes: proceso asincrónico que basa sus predicciones en un lote de observaciones. Las
predicciones se almacenan como archivos o en una base de datos para usuarios finales o aplicaciones
empresariales.
Inferencia en tiempo real (o interactiva): libera el modelo para que realice predicciones en cualquier
momento y desencadene una respuesta inmediata. Este patrón se puede usar para analizar datos de
streaming e interactivos de la aplicación.
Tenga en cuenta las siguientes preguntas para evaluar el modelo, comparar los dos procesos y seleccionar el
que mejor se adapte a su modelo:
¿Con qué frecuencia se deben generar las predicciones?
¿Con qué puntualidad se necesitan los resultados?
¿Se deben generar predicciones de forma individual, en lotes pequeños o en lotes grandes?
¿Se espera la latencia del modelo?
¿Cuánta capacidad de proceso se necesita para ejecutar el modelo?
¿Existen implicaciones y costos operativos para mantener el modelo?
El siguiente árbol de decisión puede ayudarle a determinar qué modelo de implementación se adapta mejor a
su caso de uso:
Implementar la inferencia por lotes: Azure admite varias características para la inferencia por lotes.
Una característica es ParallelRunStep en Azure Machine Learning, que permite a los clientes obtener
conclusiones a partir de terabytes de datos estructurados o no estructurados almacenados en Azure.
ParallelRunStep proporciona un paralelismo listo para usarse en canalizaciones de Azure Machine
Learning.
Desafíos de la inferencia por lotes: aunque la inferencia por lotes es una forma más sencilla de usar
e implementar el modelo en producción, presenta desafíos determinados:
En función de la frecuencia con la que se ejecuta la inferencia, los datos generados podrían ser
irrelevantes en el momento en que se accede a ellos.
Una variación del problema de inicio en frío. Es posible que los resultados no estén disponibles
para los nuevos datos. Por ejemplo, si un nuevo usuario crea una cuenta e inicia la compra con un
sistema de recomendación de venta directa, las recomendaciones de productos no estarán
disponibles hasta que después de la siguiente ejecución de la inferencia por lotes. Si este es un
obstáculo para su caso de uso, considere la posibilidad de usar la inferencia en tiempo real.
La implementación en muchas regiones y la alta disponibilidad no son problemas críticos en un
escenario de inferencia por lotes. No es necesario implementar el modelo por regiones, y es
posible que sea necesario implementar el almacén de datos con una estrategia de alta
disponibilidad en muchas ubicaciones. Normalmente, se seguirá el diseño y la estrategia de alta
disponibilidad de la aplicación.
Pasos siguientes
Explore los siguientes recursos para obtener más información sobre la inferencia con Azure Machine Learning:
Compilación de una canalización de Azure Machine Learning para la puntuación por lotes
Ejecución de la predicción por lotes mediante el diseñador de Azure Machine Learning
Inferencia por lotes en Azure Machine Learning
Determinación de las instancias de proceso,
desarrollo y entrenamiento para el modelo de
aprendizaje automático
06/03/2021 • 2 minutes to read • Edit Online
A la hora de determinar las instancias de proceso, desarrollo y entrenamiento para el modelo de aprendizaje
automático, tenga en cuenta el algoritmo que usa, el tipo de datos, los tamaños de los datos y si va a realizar el
entrenamiento distribuido.
En un entorno de desarrollo: las canalizaciones de aprendizaje automático deben ser compatibles con las
actividades de ingeniería y ciencia de datos que realizan los científicos e ingenieros de datos. Deben tener
permisos completos relacionados con los experimentos en ejecución, como el aprovisionamiento de clústeres
de entrenamiento o la creación de modelos. Sin embargo, no deben tener permiso para actividades como
eliminar o crear áreas de trabajo, o agregar o quitar usuarios del área de trabajo.
En un entorno de pruebas: se realizan varias pruebas en el entorno del modelo, y se deben usar las de tipo
champion/challenger o A/B para el modelo. El entorno de prueba debe imitar el entorno de implementación y
debe realizar pruebas como las de carga, el tiempo de respuesta del modelo, etc. Los ingenieros y científicos de
datos tienen acceso limitado a este entorno (principalmente, acceso de solo lectura y algunos derechos de
configuración). Un ingeniero de DevOps tiene acceso total al entorno. Automatización de tantas pruebas como
sea posible. Una vez completadas todas las pruebas, se requiere la aprobación de las partes interesadas para la
implementación en el entorno de producción.
En un entorno de producción: se implementa un modelo durante la inferencia por lotes o en tiempo real.
Normalmente, un entorno de producción es de solo lectura; sin embargo, un ingeniero de DevOps tiene acceso
total a este entorno y es responsable de ofrecer soporte técnico y mantenimiento continuamente. Los
ingenieros y científicos de datos tienen acceso limitado al entorno (de solo lectura).
En el diagrama siguiente se muestra el control de acceso basado en roles para todos los entornos:
En esta tabla se muestra que los niveles de acceso de los ingenieros y científicos de datos se reducen en
entornos más altos, mientras que el acceso de los ingenieros de DevOps aumenta. Esto se debe a que un
ingeniero de operaciones de aprendizaje automático crea la canalización, reúne cosas e implementa modelos en
producción. Este nivel de granularidad se recomienda para cada rol.
Pública, restringida:
Área de trabajo de desarrollo, pruebas y producción
Rol personalizado: Científico de datos
Integración de GIT para el control de versiones y la integración continua y desarrollo continuo (CI/CD)
Pública, sin restricciones:
Área de trabajo de desarrollo, pruebas y producción
Rol: colaborador
Integración de GIT para el control de versiones y CI/CD
Privada, restringida:
Área de trabajo de desarrollo, pruebas y producción
Private Link habilitado
Rol personalizado: Científico de datos
Integración de GIT para el control de versiones y CI/CD
Privada, sin restricciones:
Área de trabajo de desarrollo, pruebas y producción
Private Link habilitado
Rol: colaborador
Integración de GIT para el control de versiones y CI/CD
Todas las áreas de trabajo:
Un área de trabajo de Estudio de Azure Machine Learning por proyecto
Una instancia de proceso por científico de datos
Un clúster de proceso por tamaño de máquina virtual compartido con científicos de datos para
desarrollo
Un clúster de proceso por canalización de producción
Establecer el tamaño mínimo de nodo del clúster de proceso en 0 para reducir los costos
Indicar a los usuarios que cierren las instancias de proceso manualmente después del uso
Un rol personalizado de "administrador de área de trabajo" con acceso para crear instancias de
proceso y clústeres
Un rol personalizado de "científico de datos" que requiere la configuración de toda la infraestructura
por parte de otro usuario antes de que el científico de datos pueda empezar a trabajar
Pasos siguientes
Obtenga más información sobre cómo crear y administrar un área de trabajo en Azure Machine Learning.
Use el SDK de Python para crear un área de trabajo en su entorno de desarrollo.
Use los cuadernos de Jupyter y Azure Portal durante el ciclo de vida de desarrollo para configurar el
entorno de desarrollo de Azure Machine Learning y entrenar el modelo.
Inteligencia artificial de confianza y responsable
23/03/2021 • 20 minutes to read • Edit Online
Microsoft destaca seis principios rectores para la inteligencia artificial responsable: responsabilidad, inclusión,
confiabilidad y seguridad, equidad, transparencia y privacidad y seguridad. Estos principios son esenciales para
crear inteligencia artificial de confianza y responsable a medida que se incorpora en productos y servicios más
convencionales. Se regirán por dos perspectivas: ética y explicable.
Ética
Desde una perspectiva ética, la inteligencia artificial deben ser equitativa e inclusiva en sus aserciones,
responsable de sus decisiones y no discriminar ni obstaculizar diferentes razas, discapacidades o conocimientos.
Microsoft estableció un comité ético para la inteligencia artificial, la ética y los efectos en la ingeniería e
investigación (Aether), en 2017. La responsabilidad principal del comité es informar sobre temas, tecnologías,
procesos y procedimientos recomendados responsables. Obtenga más información sobre Aether en este
módulo de Microsoft Learn.
Rendición de cuentas
La responsabilidad es un pilar esencial de la inteligencia artificial responsable. Las personas que diseñan e
implementan el sistema de inteligencia artificial deben ser responsables de sus acciones y decisiones,
especialmente a medida que progresamos hacia sistemas más autónomos. Las organizaciones deben considerar
la posibilidad de establecer un cuerpo de revisión interno que proporcione supervisión, conclusiones y
orientación sobre el desarrollo e implementación de sistemas de inteligencia artificial. Aunque esta guía puede
variar en función de la empresa y la región, debe reflejar el recorrido de la inteligencia artificial de una
organización.
Inclusión
La inclusión exige que la inteligencia artificial tenga en cuenta todas las razas y experiencias humanas, y las
prácticas de diseño inclusivas pueden ayudar a los desarrolladores a comprender y abordar las barreras
potenciales que podrían excluir involuntariamente a personas. Siempre que sea posible, se debe usar la
tecnología de reconocimiento visual, de voz a texto y de texto a voz a fin de empoderar a los usuarios con
discapacidades auditivas, visuales y otras.
Confiabilidad y seguridad
Los sistemas de inteligencia artificial deben ser confiables y seguros para que los usuarios puedan confiar en
ellos. Es importante que un sistema se ejecute según lo previsto originalmente y que responda de forma segura
a las nuevas situaciones. Su resistencia inherente debe soportar la manipulación prevista o imprevista. Se deben
establecer rigurosas pruebas y validaciones para las condiciones de funcionamiento con el fin de garantizar que
el sistema responde de forma segura a los casos extremos. Además, las pruebas A/B y los métodos de tipo
champion/challenger deben integrarse en el proceso de evaluación.
El rendimiento de un sistema de inteligencia artificial puede reducirse con el tiempo. Por este motivo, es
necesario establecer un proceso de supervisión y seguimiento de modelos sólido a fin de medir de forma
reactiva y proactiva el rendimiento del modelo y volver a entrenarlo, según sea necesario, a fin de modernizarlo.
Diseñador de IA
El diseñador de IA crea el modelo y es responsable de lo siguiente:
Realizar comprobaciones de calidad y desfase de datos. Detectan valores atípicos y realizan
comprobaciones de calidad de datos para identificar los valores que faltan, estandarizar la distribución,
examinar los datos y generar informes de casos de uso y de proyectos.
Evaluar los datos en el origen del sistema para identificar posibles sesgos.
El diseño de algoritmos de inteligencia artificial para minimizar las sesgos de datos, como la detección de
la discretización, la agrupación y la normalización (especialmente en los modelos de aprendizaje
automático tradicionales, como los basados en árboles) pueden eliminar los grupos minoritarios de los
datos. El diseño de IA por categorías reitera los sesgos de los datos mediante la agrupación de clases
sociales, raciales y de género en los segmentos verticales del sector que dependen de la información
médica protegida (PHI) e información de identificación personal (PII).
Optimizar la supervisión y las alertas para identificar la pérdida de destinos y fortalecer el desarrollo del
modelo.
Establecer los procedimientos recomendados para la creación de informes y las conclusiones que ofrecen
una comprensión pormenorizada del modelo, y evitar enfoques de caja negra que utilizan la importancia
de características o vectores, la agrupación en clústeres de UMAP, la estadística H de Friedman, efectos de
características, etc. Las métricas de identificación ayudan a definir influencias, relaciones y dependencias
predictivas entre correlaciones en conjuntos de valores complejos y modernos.
Administradores y responsables de la inteligencia artificial
El administrador y los responsables de la IA supervisan las operaciones del marco de inteligencia artificial,
gobierno y auditoría y las métricas de rendimiento, además de cómo se implementa la seguridad de la IA y del
retorno de la inversión de la empresa.
Supervisión de un panel de seguimiento que ayuda a supervisar el modelo, combina métricas del
modelo para modelos de producción y se centra en la precisión, degradación del modelo, el desfase de
datos, la desviación y los cambios en la velocidad/error de inferencia.
La realización de una implementación y reimplementación flexibles (preferiblemente, la API REST)
permite que los modelos se implementen en una arquitectura abierta e independiente, que integra el
modelo con procesos de negocio y genera un valor para los bucles de comentarios.
Al trabajar en la creación de la gobernanza y el acceso de los modelos, se establecen límites y se mitiga el
impacto empresarial y operativo negativo. Los estándares de control de acceso basado en roles
determinan los controles de seguridad, que conservan los entornos de producción restringidos y la IP.
Uso de los marcos de auditoría y cumplimiento de inteligencia artificial para realizar un seguimiento de
cómo los modelos desarrollan y cambian para cumplir los estándares específicos del sector. La IA
interpretable y responsable se basa en medidas de explicabilidad, características concisas, visualizaciones
de modelos y lenguaje del segmento vertical del sector.
Consumidor empresarial de IA
Los consumidores empresariales de IA (expertos empresariales) cierran el bucle de comentarios y proporcionan
entradas para el diseñador de IA. La toma de decisiones predictiva y las posibles implicaciones de sesgo, como
la equidad y las medidas éticas, la privacidad y el cumplimiento y la eficiencia empresarial, ayudan a evaluar los
sistemas de IA.
Los bucles de comentarios pertenecen al ecosistema de una empresa. Los datos que muestran el sesgo,
los errores, la velocidad de predicción y la equidad de un modelo establecen la confianza y el equilibrio
entre el diseñador, el administrador y los responsables de la IA. La evaluación centrada en el usuario
debería mejorar gradualmente la IA a lo largo del tiempo. Además, el hecho de minimizar el aprendizaje
de la IA a partir de datos complejos y multidimensionales (aprendizaje "LO-shot") puede ayudar a
prevenir el aprendizaje sesgado.
El uso de herramientas y el diseño de interpretabilidad responsabiliza a los sistemas de IA de posibles
sesgos. Los problemas de sesgo y equidad del modelo deben marcarse y enviarse a un sistema de alerta
y detección de anomalías que aprenda de este comportamiento y aborde automáticamente los sesgos.
Cada valor predictivo debe desglosarse en características o vectores individuales según la importancia o
el impacto, así como ofrecer explicaciones de predicción detalladas que se puedan exportar a un informe
empresarial para realizar revisiones de auditoría y cumplimiento, con fines de transparencia del cliente y
para la preparación comercial.
Debido al aumento de los riesgos globales de seguridad y privacidad, los procedimientos recomendados
para resolver infracciones de datos durante la inferencia requieren el cumplimiento de regulaciones de
los segmentos verticales concretos del sector, por ejemplo, alertas sobre incumplimiento de la
información PHI y PII, infracción de las leyes de seguridad nacional, etc.
Pasos siguientes
Explore las instrucciones de la IA centrada en el usuario para obtener más información sobre la IA responsable.
¿Qué son las aplicaciones de IA?
12/03/2021 • 10 minutes to read • Edit Online
Las aplicaciones de inteligencia artificial incluyen elementos como las API de reconocimiento de voz, las API de
Computer Vision, las API de lógica de decisiones y otros tipos de sistemas inteligentes que imitan la razón
humana. Estas son funciones esenciales de muchos productos de software del mercado actual, ya que las
aplicaciones de inteligencia artificial pueden comunicarse con los usuarios finales de una forma más natural y
ofrecer una mejor experiencia de usuario. Azure puede ayudarle a usted y a su equipo a ahorrar tiempo
mediante la implementación de aplicaciones de inteligencia artificial en cualquier lugar.
En Azure, puede compilar aplicaciones inteligentes más rápido con las herramientas y tecnologías que prefiera y
la inteligencia artificial integrada.
Compile e implemente fácilmente en cualquier par te: utilice su conjunto preferido de aptitudes y
herramientas de su equipo para compilar aplicaciones inteligentes e implementarlas sin cambiar el código.
Se compila solo una vez y se implementa en la nube, en el entorno local y en dispositivos perimetrales.
Puede estar seguro de que la distribución global se realizará a más centros de datos que con cualquier otro
proveedor.
Genere impacto con una plataforma abier ta : elija sus tecnologías favoritas, incluido el código abierto.
Azure admite una amplia gama de opciones de implementación, pilas y lenguajes populares, y un conjunto
completo de motores de datos. Aproveche esta flexibilidad, junto con el rendimiento, la escala y la seguridad
que ofrecen las tecnologías de Microsoft, para crear aplicaciones para cualquier escenario.
Desarrolle aplicaciones con inteligencia integrada: La creación de aplicaciones inteligentes con Azure
es fácil, porque ninguna otra plataforma aporta análisis e IA nativa a los datos dondequiera que se
encuentren y en los lenguajes que use. Aproveche las ventajas de un completo conjunto de API cognitivas
para compilar fácilmente nuevas experiencias en sus aplicaciones con el fin de obtener inteligencia de tipo
humano.
Form Recognizer (versión preliminar) Identifica y extrae los pares clave-valor y los datos de tabla
de formularios. A continuación, genera una salida de datos
estructurados que incluye las relaciones en el archivo
original.
Speaker Recognition (versión preliminar) Speaker Recognition API proporciona algoritmos para la
identificación y la verificación del hablante.
Bing Speech (retirada) Puede migrar aplicaciones de API Bing Speech existentes al
servicio Voz.
Translator Speech (retirada) Puede migrar aplicaciones de API Bing Translator Speech
existentes al servicio Voz.
API de idioma
N O M B RE DEL SERVIC IO DESC RIP C IÓ N DEL SERVIC IO
Anomaly Detector (versión preliminar) Anomaly Detector permite supervisar y detectar anomalías
en datos de series temporales.
Pasos siguientes
Más información sobre Cognitive Services.
Busque los procedimientos recomendados para arquitecturas de inteligencia artificial.
¿Qué son los agentes de inteligencia artificial?
24/03/2021 • 14 minutes to read • Edit Online
Los agentes de inteligencia artificial consisten en código o mecanismos que actúan para lograr objetivos
predeterminados. Puede encontrar ejemplos de agentes de inteligencia artificial en el código de elementos
como bots de chat, hogares inteligentes y el software comercial mediante programación que se usa en finanzas.
Azure Bot Service y Bot Framework son ejemplos de plataformas que se pueden usar para crear estos agentes
de inteligencia artificial e integrarlos en aplicaciones de software de mayor tamaño.
Los usuarios interactúan cada vez más con interfaces de conversación que pueden ofrecer una experiencia más
natural en la que las personas expresan sus necesidades a través de expresiones de lenguaje natural y
completan tareas con rapidez. Para muchas empresas, las aplicaciones de inteligencia artificial conversacionales
están convirtiéndose en un diferenciador competitivo. Muchas organizaciones están haciendo que los bots estén
disponibles de forma estratégica en las mismas plataformas de mensajería que utilizan sus clientes.
Las organizaciones de todo el mundo están transformando sus negocios gracias a la inteligencia artificial de
conversación, la cual puede promover unas interacciones más eficientes y naturales con sus clientes y sus
empleados. A continuación, se presentan algunos casos de uso:
Servicio al cliente
Asistente empresarial
Optimización del centro de llamadas
Asistente de voz para el coche
Creación de un bot
Azure Bot Service y Bot Framework ofrecen un conjunto integrado de herramientas y servicios que le ayudarán
a crear el agente de inteligencia artificial que necesite. Elija el entorno de desarrollo o las herramientas de línea
de comandos que prefiera para crear el bot. Existen SDK para C#, JavaScript, Typescript y Python. El SDK para
Java está en desarrollo. Proporcionamos herramientas para varias etapas del desarrollo de bots para ayudarle a
diseñar y crear bots.
Plan
Tener un conocimiento exhaustivo de los objetivos, los procesos y las necesidades de los usuarios es importante
para el proceso de creación de un bot potente. Antes de escribir código, revise las directrices de diseño del bot
para seguir los procedimientos recomendados e identificar las necesidades del bot. Puede crear un agente de
inteligencia artificial sencillo o incluir funcionalidades más sofisticadas, como la voz, el reconocimiento de
lenguaje natural y la respuesta a preguntas.
Al diseñar el agente de inteligencia artificial durante la fase de planeamiento, tenga en cuenta estos aspectos:
Definición de los roles del bot:
¿Qué aspecto debería tener el bot?
¿Cómo se denominará?
¿Cuál es la personalidad del bot? ¿Tendrá género?
¿Cómo debe manejar el bot situaciones y preguntas difíciles?
Diseño del flujo conversacional:
¿Cuál es el tipo de conversaciones que prevé para sus casos de uso?
Definición de un plan de evaluación:
¿Cómo se puede medir el éxito?
¿Qué medidas desea usar para mejorar el servicio?
Para más información sobre el diseño del bot, consulte Principios de diseño de bots.
Build
Un bot es un servicio web que implementa una interfaz de conversación y que se comunica con el servicio Bot
Framework para enviar y recibir mensajes y eventos. Bot Framework Service es uno de los componentes de
Azure Bot Service y Bot Framework. Se pueden crear bots en cualquier número de entornos y lenguajes. Puede
comenzar el desarrollo del bot en Azure Portal o usar plantillas de C#, JavaScript o Python para el desarrollo
local. También tiene acceso a una variedad de ejemplos que presentan muchas de las funcionalidades
disponibles a través del SDK. Estos ejemplos son magníficos para los desarrolladores que desean un punto de
partida con muchas más características.
Como parte de Azure Bot Service y Bot Framework, ofrecemos componentes adicionales que se pueden usar
para ampliar la funcionalidad del bot. Con Azure Bot Service y Bot Framework, puede crear un bot con confianza
y rapidez.
Agregar procesamiento de lenguaje Habilite el bot para que reconozca el Uso de LUIS
natural lenguaje natural y los errores de
ortografía, use la voz, y reconozca la
intención del usuario.
Responder preguntas Agregue una knowledge base para Uso de QnA Maker
responder a las preguntas que los
usuarios formulen de forma más
natural y conversacional.
Administrar varios modelos Si usa más de un modelo, por ejemplo, Herramienta de distribución
para LUIS y para QnA Maker,
determine de manera inteligente
cuándo usar cada uno de ellos durante
la conversación del bot.
Agregar tarjetas y botones Mejore la experiencia del usuario con Procedimientos para agregar tarjetas
medios distintos al texto, como
gráficos, menús y tarjetas.
NOTE
Esta tabla no es una lista completa. Para más información, consulte la documentación de Azure Bot Service.
Prueba
Los bots son aplicaciones complejas con muchos elementos distintos que funcionan conjuntamente. Como
cualquier otra aplicación compleja, esta complejidad puede provocar errores interesantes o que el bot se
comporte de forma diferente a la esperada. Antes de publicar el bot, pruébelo. Hay varias maneras de probar los
bots antes de ponerlos en funcionamiento:
Pruebe el bot localmente con el emulador. Bot Framework Emulator es una aplicación independiente que no
solo proporciona una interfaz de chat, sino también herramientas de depuración y consulta que ayudan a
conocer el funcionamiento del bot. El emulador se puede ejecutar localmente junto con la aplicación del bot
en desarrollo.
Pruebe el bot en la Web. Una vez configurado el bot mediante Azure Portal, también se puede acceder a él
desde una interfaz de chat web, que es una excelente manera de conceder acceso al bot tanto a los
evaluadores como a otras personas que no tienen acceso directo al código de ejecución.
Realice una prueba unitaria del bot con la actualización de julio del SDK de Bot Framework.
Publicar
Cuando esté listo para que el bot esté disponible en Internet, publíquelo en Azure o en su propio servicio web o
centro de datos. Tener una dirección en la red pública de Internet es el primer paso para que el bot cobre vida en
su sitio web o en los canales de chat.
Conectar
Conecte el bot a canales como Facebook, Messenger, Kik, Slack, Microsoft Teams, Telegram, mensajes de texto o
SMS, Twilio, Cortana y Skype. Bot Framework realiza la mayor parte del trabajo necesario para enviar y recibir
mensajes de todas estas plataformas diferentes. La aplicación de bot recibe una secuencia unificada y
normalizada de mensajes independientemente del número y del tipo de canales a los que esté conectado. Para
más información sobre la incorporación de canales, consulte Canales.
Evaluate
Use los datos recopilados en Azure Portal para identificar oportunidades para mejorar las funcionalidades y el
rendimiento del bot. Puede obtener nivel de servicio y datos de instrumentación como tráfico, latencia e
integraciones. Analytics proporciona también informes en el nivel de conversación relativos a los datos del
usuario, los mensajes y los canales. Para más información, consulte el artículo acerca de cómo recopilar análisis.
Patrones para casos de uso habituales
Hay patrones habituales que se usan para la implementación de una aplicación de inteligencia artificial de
conversación:
Knowledge base : Puede diseñar un bot de conocimientos para proporcionar información sobre
prácticamente cualquier tema. Por ejemplo, un bot de conocimientos podría responder a preguntas sobre
eventos, como "¿Qué actos sobre bots se celebran en esta conferencia?" o "¿Cuándo es el próximo
concierto de reggae?" Otro bot podría responder a preguntas sobre TI, por ejemplo, "¿Cómo actualizo el
sistema operativo?" Otro incluso podría responder a preguntas sobre contactos, como "¿Quién es John
Doe?" o "¿Cuál es la dirección de correo electrónico de Jane Doe?".
Para más información sobre los elementos de diseño de los bots de conocimiento, consulte Diseño de
bots de conocimientos.
Paso a una persona : independientemente de la inteligencia artificial que posea un bot, puede haber
ocasiones en las que sea necesario pasar la conversación a una persona. En tales casos, el bot debe
reconocer esta necesidad y que la transición sea fácil para el usuario.
Para más información sobre los patrones para este paso, consulte Paso de conversaciones de un bot a
una persona.
Inserción de un bot en una aplicación : aunque los bots normalmente existen fuera de las
aplicaciones, también pueden integrarse en ellas. Por ejemplo, puede insertar un bot de conocimientos en
una aplicación para ayudar a los usuarios a buscar información. Podría también insertar un bot en una
aplicación del departamento de soporte técnico para que actúe como primer respondedor de las
solicitudes entrantes de los usuarios. El bot podría resolver problemas sencillos de manera independiente
y derivar problemas más complejos a un agente humano.
Para más información sobre las maneras de integrar el bot en una aplicación, consulte Inserción de un
bot en una aplicación.
Inserción de un bot en un sitio web : al igual que en las aplicaciones, los bots también se pueden
insertar en un sitio web para habilitar varios modos de comunicación entre canales.
Para más información sobre las maneras de integrar su bot en un sitio web, consulte Inserción de un bot
en un sitio web.
Pasos siguientes
Consulte las notas del producto sobre aprendizaje automático y los libros electrónicos acerca de Azure Bot
Service.
Revise las arquitecturas de IA + aprendizaje automático.
Creación de aplicaciones inteligentes con las API cognitivas (libro electrónico).
Preguntas frecuentes sobre la arquitectura del bot.
¿Qué es Azure Cognitive Search?
12/03/2021 • 10 minutes to read • Edit Online
Azure Cognitive Search (anteriormente conocido como Azure Search) es una solución administrada en la nube
que proporciona a los desarrolladores las API y herramientas necesarias para agregar una experiencia de
búsqueda de datos enriquecida en un contenido privado y heterogéneo en las aplicaciones web, para
aplicaciones móviles y empresariales. El código o una herramienta invoca la ingesta de datos (indexación) para
crear y cargar un índice. Opcionalmente, puede agregar aptitudes cognitivas para aplicar procesos de
inteligencia artificial durante la indexación. Mediante el uso de Azure Cognitive Services puede agregar nueva
información y estructuras útiles para escenarios de búsqueda y de otros tipos.
En el otro lado del servicio, el código de la aplicación genera solicitudes de consulta y controla las respuestas. La
experiencia de búsqueda se define en el cliente mediante el uso de funciones de Azure Cognitive Search, con la
ejecución de consultas en un índice persistente que crea, es de su propiedad y almacena en el servicio.
Azure Cognitive Search es una funcionalidad importante de las aplicaciones. La capacidad de encontrar
rápidamente los datos importantes es fundamental para la experiencia y los resultados del usuario final. El
motor de Azure Cognitive Search usa la funcionalidad de inteligencia artificial que ayuda a las aplicaciones a
trabajar de forma más humana y a realizar asociaciones que van más allá de la mera coincidencia de palabras
clave. Azure Cognitive Services puede ayudar a los usuarios finales a encontrar lo que quieren saber, de forma
más rápida.
La funcionalidad se expone a través de API de REST o SDK de .NET sencillos que enmascaran la complejidad
inherente de la recuperación de información. Además de las API, Azure Portal proporciona soporte
administrativo y de administración de contenido, con herramientas para la creación de prototipos y la consulta
de índices. Como el servicio se ejecuta en la nube, Microsoft administra la infraestructura y la disponibilidad.
Pasos siguientes
Más información sobre Azure Cognitive Search.
Examinar más arquitecturas de inteligencia artificial.
Consulte una solución de minería de conocimientos de ejemplo en el artículo de ejemplo de arquitectura y
solución de los archivos de JFK.
Innovación en la economía digital
23/04/2021 • 10 minutes to read • Edit Online
La economía digital es una fuerza innegable en casi todos los sectores. Durante la revolución industrial, la
gasolina, las cintas transportadoras y el ingenio humano fueron recursos clave para impulsar la innovación en el
mercado. La calidad del producto, el precio y la logística inciden en el mercado, mientras las empresas buscan
ofrecer mejores productos a sus clientes con más rapidez. La economía digital actual cambia el modo en que los
clientes interactúan con las organizaciones. Como resultado, las principales formas de capital y los
diferenciadores de mercado también han cambiado. En la economía digital, los clientes están menos
preocupados por la logística y más por su experiencia general de uso de un producto. Este cambio surge de la
interacción directa con la tecnología en nuestras vidas diarias y del descubrimiento de las propuestas de valor
asociadas a esas interacciones.
En la metodología de innovación de Cloud Adoption Framework, nos centraremos en comprender las
necesidades de los clientes y en crear rápidamente innovaciones que se adapten al modo en que los clientes
interactúan con sus productos. Ilustraremos también el valor que aporta entregar un producto viable mínimo.
Por último, veremos la correspondencia entre las decisiones comunes y los ciclos de innovación para ayudarle a
entender cómo la nube puede dar rienda suelta a la innovación y crear asociaciones con sus clientes.
Metodología innovadora
La siguiente imagen ilustra la metodología sencilla de la innovación en la nube dentro de Cloud Adoption
Framework. En los artículos posteriores de esta sección se muestra cómo establecer los principales procesos,
enfoques y mecanismos de innovación para buscar e impulsar la innovación en su empresa.
Compromisos culturales
La adopción de la metodología de innovación requiere algunos compromisos culturales para usar de forma
efectiva las métricas que se describen en este artículo. Antes de cambiar el enfoque para impulsar la innovación,
asegúrese de que los equipos de adopción y dirección están preparados para asumir estos importantes
compromisos.
Pasos siguientes
Antes de crear el siguiente gran invento, empiece por la adopción del cliente, para lo cual debe comprender el
bucle de comentarios crear-medir-aprender.
Adopción del cliente con el bucle de comentarios crear-medir-aprender
Creación de consenso sobre el valor empresarial de
la innovación
24/04/2021 • 12 minutes to read • Edit Online
El primer paso para desarrollar cualquier innovación nueva es identificar la forma en que puede impulsar el
valor empresarial. En este ejercicio, debe responder a una serie de preguntas que destacan la importancia de
invertir bastante tiempo cuando la organización define el valor empresarial.
NOTE
La documentación existente no se debe compartir con ninguno de los equipos antes de la reunión. Si existe una
verdadera alineación, los miembros de cada grupo deben mencionar (o mejor aún, recitar) las hipótesis orientadoras.
WARNING
No facilite la reunión. Esta prueba está destinada a determinar la alineación; no es un ejercicio para crear una alineación. Al
iniciar la reunión, recuerde a los asistentes que el objetivo es probar la alineación direccional con los acuerdos existentes
dentro del equipo. Establezca un límite de tiempo de cinco minutos para cada pregunta. Establezca un temporizador y
cierre cada pregunta transcurridos cinco minutos, aunque los asistentes no hayan acordado una respuesta.
Tenga en cuenta los distintos idiomas e intereses de cada grupo. Si la prueba da como resultado respuestas
alineadas direccionalmente, considere que el ejercicio ha sido una victoria. Está listo para pasar al desarrollo de
la solución.
Si una o dos de las respuestas están alineadas direccionalmente, reconozca que el trabajo duro compensa. Ya se
ha alineado mejor que la mayoría de las organizaciones. Es probable que se produzca un éxito futuro, con una
pequeña inversión continua en la alineación. Revise en cada una de las siguientes secciones las ideas que
pueden ayudarle a crear más alineación.
Si alguno de los equipos no responde a las cuatro preguntas en 30 minutos, es probable que la alineación y las
consideraciones de las siguientes secciones tengan un gran impacto sobre este y otros esfuerzos. Preste especial
atención a cada una de las siguientes secciones.
Pasos siguientes
Una vez que la propuesta de valor empresarial esté bien alineada y la haya comunicado, está listo para empezar
a compilar la solución.
Volver a los ejercicios de innovación para los pasos siguientes
Crear asociaciones con los clientes a través del
bucle de comentarios crear-medir-aprender
21/04/2021 • 3 minutes to read • Edit Online
La verdadera innovación proviene del duro trabajo de creación de soluciones que muestran la empatía de los
clientes, a partir de la medición del impacto de los cambios en el cliente y a partir del aprendizaje con el cliente.
Lo más importante es que proviene de los comentarios realizados durante varias iteraciones.
Si la pasada década nos ha enseñado algo sobre la innovación, es que las antiguas reglas empresariales han
cambiado. Los que hoy son prósperos ya no conservan de forma ininterrumpida su posición en el mercado. El
primer contendiente en comercializar el producto (o el mejor) no siempre es el ganador. Tener la mejor idea no
conduce a dominar el mercado. En un clima empresarial de cambios rápidos, los líderes del mercado son los
más ágiles.
Las empresas grandes o pequeñas que prosperan en la economía digital como líderes innovadores son las que
tienen la mejor capacidad de escuchar a su base de clientes. Esa aptitud puede ser cultivada y administrada. En
el centro de todas las buenas asociaciones entre clientes siempre hay un bucle de comentarios claro. El proceso
para crear asociaciones con los clientes dentro del marco de adopción de la nube es el bucle de comentarios
crear-medir-aprender.
Pasos siguientes
Obtenga información sobre cómo crear con la empatía de los clientes para comenzar el ciclo crear-medir-
aprender.
Crear con la empatía de los clientes
Creación con la empatía de los clientes
21/04/2021 • 24 minutes to read • Edit Online
"La necesidad es la madre la invención". Este proverbio captura la durabilidad del espíritu humano, así como
nuestro impulso natural de inventario. Tal y como se explica en el Oxford English Dictionary, "cuando se torna
imperativa la necesidad de algo, estás obligado a encontrar formas de conseguirlo". Pocas personas podrían
negar estas verdades universales sobre las invenciones. No obstante, como se describe en Innovación en la
economía digital, la innovación en la nube requiere un equilibrio entre la invención y adopción.
Para continuar con la analogía, la innovación proviene de una familia más amplia. La empatía hacia el cliente es
el padre orgulloso de la innovación. La creación de una solución de empatía con los clientes que impulse la
innovación requiere que el cliente legítimamente necesite volver para resolver sus desafíos críticos. Estas
soluciones se basan en lo que el cliente necesita, en lugar de en lo que quiere o desea. Para detectar sus
verdaderas necesidades, comenzamos con la empatía: una comprensión profunda de la experiencia del cliente.
Se trata de una aptitud poco desarrollada para muchos ingenieros, administradores de productos e incluso
líderes empresariales. Afortunadamente, las diversas interacciones y el rápido ritmo del rol de arquitecto de la
nube probablemente ya ha empezado a desarrollar esta aptitud.
¿Cómo se genera la empatía y por qué es tan importante la empatía con los clientes? La empatía con los clientes
nos ayuda a comprender y compartir la experiencia de los clientes. Desde la primera versión de un producto
mínimo viable (MVP) hasta la disponibilidad general de una solución apta para el mercado, la empatía con los
clientes nos ayuda a crear una mejor solución. Y lo que es aún más importante, nos posiciona mejor para
inventar soluciones que fomentarán la adopción. En una economía digital, los usuarios que pueden empatizar
inmediatamente con las necesidades del cliente pueden crear un futuro más brillante que redefina y lidere el
mercado.
La definición correcta de lo que se va a crear puede ser complicado y requiere alguna práctica. Si se crea algo
demasiado rápido, si es posible que no refleje las necesidades de los clientes. Si dedica demasiado tiempo a
intentar comprender las necesidades iniciales del cliente y los requisitos de la solución, el mercado puede
satisfacer dichas necesidades antes de que pueda crear algo siquiera. En cualquier escenario, la oportunidad de
aprender se puede retrasar o reducir considerablemente. A veces, los datos pueden estar dañados.
Las soluciones más innovadoras de la historia comenzaron con una creencia intuitiva. Ese presentimiento
proviene de la experiencia existente y de la observación de primera mano. Comenzamos con la fase de creación
porque permite realizar una prueba rápida de esa intuición. A partir de ahí, podemos cultivar una comprensión
más profunda y unos grados de empatía más claros. En cada iteración o versión de una solución, el saldo
procede de la creación de un MVP que demuestran la empatía hacia el cliente.
Para fijar este acto de equilibrio, en las dos secciones siguientes se describen los conceptos para crear con
empatía y definir un MVP.
Definición de una hipótesis centrada en el cliente
La creación con empatía significa crear una solución basada en hipótesis definidas que ilustran una necesidad
específica del cliente. Los pasos siguientes pretenden formular una hipótesis para fomentar la creación con
empatía.
1. Cuando se crea con empatía, el cliente siempre es el centro de atención. Esta intención puede adoptar
muchas formas. Puede hacer referencia a un arquetipo de cliente, a un rol específico o incluso a la imagen de
un cliente con el problema que quiere resolver. Tenga en cuenta que los clientes pueden ser internos
(empleados o asociados) o externos (consumidores o clientes empresariales). Esta definición es la primera
hipótesis que se va a poner a prueba: ¿podemos ayudar a este cliente específico?
2. Comprender la experiencia del cliente. La creación con empatía significa que puede verse reflejado en la
experiencia del cliente y comprender sus desafíos. Esta forma de pensar lleva a la siguiente hipótesis que se
va a poner a prueba: ¿podemos ayudar a este cliente específico a solucionar este desafío manejable?
3. Definir una solución sencilla para un único desafío. Depender de la experiencia de las personas, los procesos
y los expertos en la materia conducirá a una posible solución. Esta es la hipótesis completa que se va a poner
a prueba: ¿podemos ayudar a este cliente específico a solucionar este desafío manejable con la solución
apropiada?
4. Llegar a una instrucción de valor. ¿Qué valor a largo plazo espera proporcionar a estos clientes? La respuesta
a esta pregunta constituye la hipótesis completa: ¿cómo mejorará la vida de los clientes con el uso de la
solución propuesta para abordar este desafío manejable?
Este último paso es la culminación de una hipótesis guiada por la empatía con los clientes. Define a la audiencia,
el problema, la solución y la métrica por la que se va a realizar la mejora, todo ello centrado en el cliente.
Durante las fases de medida y aprendizaje, se debe probar cada hipótesis. Los cambios en el cliente, la
declaración del problema o la solución se prevén a medida que el equipo desarrolla una mayor empatía hacia la
base de clientes disponible.
Cau t i on
El objetivo es crear con empatía con el cliente, no planear con esta. Es fácil quedarse atascado en ciclos de
planeamiento y ajuste interminables para encontrar la declaración perfecta de empatía con el cliente. Antes de
intentar desarrollar una instrucción de este tipo, revise las dos secciones siguientes sobre cómo definir y crear
un MVP.
Una vez que se puedan demostrar las suposiciones principales, las iteraciones posteriores se centrarán en las
pruebas de crecimiento, así como en las pruebas de empatía. Una vez que se ha creado, probado y validado la
empatía, puede empezar a comprender el mercado disponible a escala. Esto puede realizarse a través de una
expansión de la fórmula de hipótesis estándar descrita anteriormente. En función de los datos disponibles,
estime el tamaño del mercado total (el número de posibles clientes).
A partir de ahí, estime el porcentaje de ese mercado total que experimenta un desafío similar y que podría estar
interesado en esta solución. Este es su mercado disponible. La siguiente hipótesis que se quedará fuera será:
¿cómo se mejorará la vida de un x % de los clientes al usar la solución propuesta para abordar este desafío
manejable? Una pequeña muestra de los clientes revela indicadores principales, lo que sugiere un impacto
porcentual en el grupo de clientes que han participado.
Definición de una solución para probar la hipótesis
Durante cada iteración de un ciclo de comentarios de creación, medida y aprendizaje, el intento de crear con
empatía se define mediante un MVP.
Un MVP es la unidad de trabajo más pequeña (invención, ingeniería, desarrollo de aplicaciones o arquitectura de
datos) necesaria para crear una solución suficiente como para aprender con el cliente. El objetivo de cada MVP
es probar algunas o todas las hipótesis anteriores y recibir comentarios directamente del cliente. La salida no es
una aplicación hermosa con todas las características necesarias para cambiar el sector. La salida deseada de cada
iteración es una oportunidad de aprendizaje, una oportunidad de probar con mayor profundidad una hipótesis.
La definición del tiempo asignado es una manera estándar de asegurarse de que un producto sigue siendo
eficiente. Por ejemplo, asegúrese de que el equipo de desarrollo piense que la solución se puede crear en una
sola iteración para permitir pruebas rápidas. Para comprender mejor el uso de la velocidad, las iteraciones y las
versiones para definir el significado de mínimo, consulte la planificación de la velocidad, las iteraciones, el
lanzamiento y las rutas de acceso de iteración.
Reducción de la complejidad y retraso de los picos técnicos
Las materias de invención que se encuentran dentro de la metodología de innovación describen la funcionalidad
que a menudo se necesita para ofrecer una solución de MVP preparada para el escalado o de innovación
madura. Use estas disciplinas como guía a largo plazo para la inclusión de características. Del mismo modo,
úselas como guía de cautela durante las primeras pruebas de valor para los clientes y empatía en la solución.
La amplitud de las características y las distintas materias de invención no se pueden crear todas en una sola
iteración. Pueden ser necesarias varias versiones para que una solución de MVP incluya la complejidad de varias
materias. En función de la inversión en desarrollo, puede haber varios equipos trabajando en paralelo en
distintas materias para probar varias hipótesis. Aunque se aconseja mantener la alineación arquitectónica entre
esos equipos, no es aconsejable intentar crear soluciones complejas integradas hasta que se puedan validar las
hipótesis de valor.
La complejidad se detecta mejor mediante la frecuencia o el volumen de los picos técnicos. Los picos técnicos
son esfuerzos para crear soluciones técnicas que no se pueden probar fácilmente con los clientes. Cuando el
valor del cliente y la empatía con el cliente no se prueban, los picos técnicos representan un riesgo para la
innovación y deben minimizarse. En el caso de los tipos de soluciones probadas Y consolidadas incluidas en un
esfuerzo de migración, los picos técnicos pueden ser comunes durante toda la adopción. Sin embargo, retrasan
las pruebas de las hipótesis en los esfuerzos de innovación y deben posponerse cuando sea posible.
Se sugiere un enfoque de simplificación constante para la definición de cualquier MVP. Este enfoque consiste en
eliminar todo lo que no contribuya a su capacidad de validar la hipótesis. Para minimizar la complejidad,
reduzca el número de integraciones y características que no son necesarias para probar la hipótesis.
Crear un MVP
En cada iteración, una solución de MVP puede tomar muchas formas diferentes. El requisito común es
simplemente que la salida permita medir y probar la hipótesis. Este requisito sencillo inicia el proceso científico
y permite al equipo crear con empatía. Para hacer realidad este enfoque centrado en el cliente, un MVP inicial
solo puede basarse en una de las materias de invención.
En algunos casos, la ruta más rápida a la innovación consiste en evitar temporalmente estas materias por
completo hasta que el equipo de adopción de la nube está seguro de que la hipótesis se ha validado
correctamente. Procedente de una empresa tecnológica como Microsoft, esta guía puede parecer contradictoria.
Sin embargo, esto solo enfatiza que las necesidades del cliente, no una decisión tecnológica específica, son la
máxima prioridad en una solución de MVP.
Normalmente, una solución de MVP consta de una sencilla solución de datos o aplicación con características
mínimas y detalles limitados. En el caso de las organizaciones que tienen experiencia de desarrollo profesional,
esta suele ser la ruta más rápida hacia el aprendizaje y la iteración. En la lista siguiente se incluyen otros
enfoques que un equipo puede adoptar para crear un MVP:
Un algoritmo predictivo que no es correcto un 99 por ciento del tiempo, pero que muestra resultados
deseados específicos.
Un dispositivo IoT que no se comunica de forma segura a nivel de producción, pero que muestra el valor de
los datos prácticamente en tiempo real dentro de un proceso.
Una aplicación creada por un desarrollador cívico para probar una hipótesis o satisfacer necesidades de
menor escala.
Un proceso manual que reproduce las ventajas que debe seguir la aplicación.
Un contorno reticular o vídeo lo suficientemente detallado como para permitir que el cliente interactúe con
él.
El desarrollo de un MVP no debe requerir grandes cantidades de inversión en desarrollo. Preferiblemente, la
inversión se debe restringir tanto como sea posible para minimizar el número de hipótesis que se ponen a
prueba al mismo tiempo. Después, en cada iteración y cada versión, la solución mejora de forma intencionada
hasta convertirse en una solución preparada para el escalado que representa varias materias de invención.
Aceleración del desarrollo de MVP
El tiempo de comercialización es fundamental para el éxito de cualquier innovación. Los lanzamientos más
rápidos conducen a un aprendizaje más rápido. Un aprendizaje más rápido conduce a productos que se pueden
escalar más rápido. En ocasiones, los ciclos de desarrollo de aplicaciones tradicionales pueden ralentizar este
proceso. Con mayor frecuencia, la innovación está restringida por los límites de la experiencia disponible. Los
presupuestos, las reducciones de plantilla y la disponibilidad del personal pueden crear límites para el número
de innovaciones nuevas que un equipo puede gestionar.
Las restricciones de personal y el deseo de crear con empatía han generado una tendencia en auge: los
desarrolladores cívicos. Estos desarrolladores reducen el riesgo y proporcionan una escala dentro de la
comunidad de desarrollo profesional de una organización. Los desarrolladores cívicos son expertos en la
materia en lo que se refiere a la experiencia del cliente, pero no están entrenados como ingenieros. Estas
personas usan herramientas de creación de prototipos o herramientas de desarrollo más ligeras que podrían los
desarrolladores profesionales podrían mirar con desdén. Estos nuevos desarrolladores alineados con la
empresa crean soluciones de MVP y prueban teorías. Cuando se coordina correctamente, este proceso puede
crear soluciones de producción que proporcionan valor, pero no pasan una hipótesis de escala suficientemente
eficaz. También se pueden usar para validar un prototipo antes de comenzar el trabajo de escalado.
Dentro de cualquier plan de innovación, los equipos de adopción de la nube deben diversificar su cartera para
incluir el trabajo de los desarrolladores cívicos. Al escalar los esfuerzos de desarrollo, se pueden formar y probar
más hipótesis con una menor inversión. Cuando se valida una hipótesis y se identifica un mercado disponible,
los desarrolladores profesionales pueden reforzar y escalar la solución mediante herramientas de desarrollo
modernas.
Último obstáculo de creación: problemas del cliente
Cuando la empatía con el cliente es fuerte, debe resultar fácil identificar un problema que existe claramente. Los
problemas del cliente deben ser obvios. Durante la creación, el equipo de adopción de la nube está generando
una solución para probar una hipótesis basada en un punto problemático para el cliente. Si la hipótesis está bien
definida, pero el punto problemático no, la solución no se basa realmente en la empatía con el cliente. En este
escenario, la creación no es el punto de inicio correcto. En su lugar, invierta primero en la generación de empatía
y en el aprendizaje de clientes reales. El mejor enfoque para generar empatía y validar los problemas es sencillo:
escuche a los clientes. Dedique tiempo a reunirse con sus clientes y a observarlos hasta que pueda identificar un
punto problemático que se produce con frecuencia. Una vez que entienda el punto problemático, estará
preparado para probar una solución hipotética para resolver ese problema.
Referencias
Algunos de los conceptos de este artículo se basan en los temas examinados en el libro El método Lean Startup
de Eric Ries.
Pasos siguientes
Después de crear una solución de MVP, puede medir los valores de empatía y escalado. Obtenga información
sobre cómo medir el impacto en los clientes.
Medida del impacto en los clientes
Medida del impacto en los clientes
12/03/2021 • 9 minutes to read • Edit Online
Hay varias maneras de medir el impacto en los clientes. Este artículo le ayudará a definir métricas para validar
las hipótesis que surgen de un trabajo para crear con la empatía de los clientes.
Métricas estratégicas
La metodología de estrategia analiza las motivaciones y los resultados empresariales. Estos procedimientos
proporcionan un conjunto de métricas con las que probar el impacto para el cliente. Si la innovación es
satisfactoria, podrá ver normalmente resultados que están en línea con sus objetivos estratégicos.
Antes de establecer métricas de aprendizaje, defina un pequeño número de métricas estratégicas a las que
quiera que afecte esta innovación. Por lo general, las métricas estratégicas están en línea con una o varias de las
áreas de resultados siguientes:
Agilidad empresarial
Involucración del cliente
Cobertura del cliente
Impacto financiero
Rendimiento de la solución, en el caso de la innovación operativa.
Documente las métricas acordadas y realice un seguimiento de su impacto con frecuencia, pero no espere que
los resultados de estas métricas aparezcan durante varias iteraciones. Para obtener más información sobre
cómo establecer y alinear las expectativas entre las partes implicadas, consulte Compromiso con la iteración.
Aparte de la motivación y las métricas de los resultados empresariales, el resto de este artículo se centra en las
métricas de aprendizaje diseñadas como guía para la detección transparente y las iteraciones centradas en el
cliente. Para obtener más información sobre estos aspectos, consulte Compromiso con la transparencia.
Métricas de aprendizaje
Cuando se comparte con los clientes la primera versión de un producto viable mínimo (MVP), preferiblemente
al final de la primera iteración de desarrollo, no habrá ningún impacto en las métricas estratégicas. Después de
varias iteraciones, es posible que el equipo todavía esté lidiando para cambiar los comportamientos lo suficiente
para que afecten de manera significativa a las métricas estratégicas. Durante los procesos de aprendizaje, como
los ciclos de crear-medir-aprender, se recomienda que el equipo adopte métricas de aprendizaje. Estas miden las
oportunidades de seguimiento y aprendizaje.
Métricas de flujo y aprendizaje del cliente
Si una solución de MVP valida una hipótesis centrada en el cliente, la solución impulsará algún cambio en los
comportamientos de los clientes. Estos cambios de comportamiento en los cohortes del cliente deben mejorar
los resultados empresariales. Tenga en cuenta que el cambio en el comportamiento del cliente suele ser un
proceso de varios pasos. Dado que cada paso proporciona una oportunidad para medir el impacto, el equipo de
adopción puede aprender durante todo el proceso y crear una solución mejor.
El aprendizaje de los cambios en el comportamiento del cliente comienza con la asignación del flujo que espera
ver de una solución de MVP.
En la mayoría de los casos, el flujo de cliente tendrá un punto inicial fácil de definir y no más de dos puntos
finales. Entre los puntos inicial y finales se encuentran varias métricas de aprendizaje que se usarán como
medidas en el bucle de comentarios:
1. Punto inicial (desencadenador inicial): el punto inicial es el escenario que desencadena la necesidad de
esta solución. Cuando la solución se crea con la empatía de los clientes, ese desencadenador inicial debe
animar al cliente a probar la solución MVP.
2. Necesidad del cliente satisfecha: La hipótesis se valida cuando una necesidad del cliente se satisface
mediante la solución.
3. Pasos de la solución: este término hace referencia a los pasos necesarios para mover al cliente desde el
desencadenador inicial hasta un resultado correcto. Cada paso genera una métrica de aprendizaje basada en
la decisión del cliente para pasar al siguiente paso.
4. Adopción individual conseguida: la próxima vez que se encuentre el desencadenador, si el cliente vuelve
a la solución para satisfacer su necesidad, se consigue la adopción individual.
5. Indicador de resultados empresariales: cuando un cliente se comporta de una manera que contribuye al
resultado empresarial definido, se observa un indicador de resultado empresarial.
6. Innovación verdadera: cuando los indicadores de resultados empresariales y la adopción individual se
producen en la escala deseada, se ha conseguido una verdadera innovación.
Cada paso del flujo de cliente genera métricas de aprendizaje. Después de cada iteración (o versión), se prueba
una nueva versión de la hipótesis. Al mismo tiempo, se prueban los retoques de la solución para reflejar los
ajustes de la hipótesis. Cuando los clientes siguen el trazado prescrito en cualquier paso determinado, se
registra una métrica positiva. Cuando los clientes se desvían del trazado prescrito, se registra una métrica
negativa.
Estos contadores de alineación y desviación crean métricas de aprendizaje. Es necesario registrarlas y realizar su
seguimiento a medida que el equipo de adopción de la nube progresa hacia la consecución de los resultados
empresariales y la verdadera innovación. En el apartado sobre el aprendizaje con los clientes, analizaremos las
maneras de aplicar estas métricas para aprender y crear soluciones mejores.
Agrupación y observación de los asociados cliente
La primera medida para definir las métricas de aprendizaje es la definición del asociado cliente. Cualquier cliente
que participe en ciclos de innovación se califica como asociado cliente. Para medir el comportamiento con
precisión, debe utilizar un modelo de cohorte para definir los asociados cliente. En este modelo, los clientes se
agrupan para mejorar la comprensión de sus respuestas a los cambios en el MVP. Estos grupos suelen ser
similares a los siguientes:
Grupo de experimento o enfoque: agrupación de clientes basada en su participación en un experimento
específico diseñada probar los cambios con el tiempo.
Segmento: Agrupación de los clientes por el tamaño de la empresa.
Ver tical: agrupación de clientes por el sector vertical que representan.
Datos demográficos individuales: agrupación basada en datos demográficos personales, como la edad o
la ubicación física.
Estos tipos de agrupaciones le ayudan a validar las métricas de aprendizaje en varias secciones transversales de
los clientes que deciden asociarse usted durante los trabajos de innovación. Todas las métricas posteriores
deben derivarse de la agrupación de clientes definible.
Pasos siguientes
A medida que se acumulan métricas de aprendizaje, el equipo puede empezar a aprender con los clientes.
Aprender con los clientes
Algunos de los conceptos de este artículo se basan en temas descritos en el libro El método Lean Startup, escrito
por Eric Ries.
Aprendizaje con los clientes
06/03/2021 • 9 minutes to read • Edit Online
Nuestros clientes actuales representan nuestro mejor recurso de aprendizaje. Al asociarse con nosotros, nos
ayudan a crear con la empatía de los clientes y a encontrar la mejor solución para sus necesidades. También
ayudan a crear una solución de producto mínimo viable (MVP) mediante la generación de métricas con las que
medir el impacto para los clientes. En este artículo, describiremos cómo aprender con y de nuestros asociados
clientes.
Aprendizaje continuo
Al final de cada iteración, tenemos la oportunidad de aprender de los ciclos de creación y medida. Este proceso
de aprendizaje continuo es bastante sencillo. La imagen siguiente ofrece información general del flujo de
proceso.
En su forma más básica, el aprendizaje continuo es un método para responder a las métricas de aprendizaje y
evaluar su impacto en las necesidades de los clientes. Este proceso consta de tres decisiones principales que
deben realizarse al final de cada iteración:
¿Se ha demostrado la hipótesis? Cuando la respuesta sea afirmativa, celébrelo un momento y luego
continúe. Siempre hay más cosas que aprender, más supuestos para probar y más formas de ayudar al
cliente en la siguiente iteración. Cuando una hipótesis es verdadera, suele ser un buen momento para que los
equipos tomen una decisión sobre una nueva característica que mejorará la utilidad de la solución para el
cliente.
¿Puede aproximarse más a una hipótesis validada mediante la iteración en la solución actual?
Esta respuesta suele ser sí. Las métricas de aprendizaje suelen sugerir puntos del proceso que conducen a la
desviación de los clientes. Use estos puntos de datos para buscar la raíz de una hipótesis con errores. En
ocasiones, las métricas también pueden sugerir una solución.
¿Es necesario restablecer la hipótesis? Lo peor que se puede aprender en cualquier iteración es que la
hipótesis o la necesidad subyacente eran erróneas. Cuando esto sucede, una iteración por sí sola no es
necesariamente la respuesta correcta. Si es necesario restablecer, se debe volver a escribir la hipótesis y
revisar la solución a la luz de la nueva hipótesis. Cuanto antes se produzca este tipo de aprendizaje, más fácil
será dinamizar el proceso. La hipótesis temprana debe centrarse en probar los aspectos más arriesgados de
la solución para evitar dinamizaciones más adelante en el desarrollo.
¿No está seguro? La segunda respuesta más común después de "iterar" es "no estamos seguros". Adopte
esta respuesta. Representa una oportunidad para implicar al cliente y mirar más allá de los datos.
Las respuestas a estas preguntas formarán la iteración que se va a seguir. Las compañías que tienen la
capacidad de aplicar el aprendizaje continuo y la valentía de tomar las decisiones adecuadas para sus clientes
tienen más probabilidad de convertirse en líderes de su mercado.
Para bien o para mal, la práctica del aprendizaje continuo es un arte que requiere una gran cantidad de pruebas
y errores. También requiere la toma de algunas decisiones basadas en la ciencia y en los datos. Quizás la parte
más difícil de la adopción del aprendizaje continuo está relacionada con los requisitos culturales. Para adoptar
de forma eficaz el aprendizaje continuo, la cultura empresarial debe estar abierta a un enfoque centrado en el
cliente y a que primero se produzcan errores. En la sección siguiente se proporcionan más detalles acerca de
este enfoque.
Mentalidad de crecimiento
Pocos podrán negar la transformación radical que se ha producido en la cultura de Microsoft en los últimos
años. Esta transformación multifaceta dirigida por Satya Nadella se considera una sorprendente historia de éxito
empresarial. En el corazón de esta historia hay una sencilla creencia denominada mentalidad de crecimiento.
Podríamos dedicar una sección completa de este marco a la adopción de una mentalidad de crecimiento. Sin
embargo, para simplificar esta guía, nos centraremos en unos cuantos puntos clave que fundamentarán el
proceso de aprendizaje con los clientes:
El cliente primero: si una hipótesis está diseñada para mejorar la experiencia de los clientes reales, debe
reunirse con los clientes reales en el entorno real. No confíe solo en métricas. Compare y analice las métricas
basándose en una observación de primera mano de las experiencias de los clientes.
Aprendizaje continuo: centrarse en el cliente y tener empatía con el cliente derivan de una mentalidad de
aprendizaje. La metodología de innovación pretende ser un método centrado en aprenderlo todo, no en
saberlo todo.
Mentalidad de principiante: demuestre empatía y enfoque todas las conversaciones con una mentalidad
de principiante. Tanto si no está familiarizado con su campo como si tiene una experiencia de 30 años,
suponga que no sabe nada y aprenderá mucho.
Escuche más: los clientes desean colaborar con usted. Lamentablemente, la necesidad ególatra de hacerlo
bien bloquea esa asociación. Para aprender más allá de las métricas, hable menos y escuche más.
Anime a otros: no solo tiene que escuchar; use lo que dice para animar a otros. En todas las reuniones,
busque formas de extraer distintas perspectivas de aquellas personas que no pueden compartir
rápidamente.
Compar ta el código: cuando creemos que nuestra obligación es tener la propiedad de una base de código,
perdemos de vista el verdadero poder de la innovación. Céntrese en poseer y promover resultados para sus
clientes. Comparta su código (públicamente con el mundo o de forma privada con su empresa) para incluir
distintas perspectivas en la solución y el código base.
Desafío qué funciona: el éxito no significa necesariamente que se muestre verdadera empatía con el
cliente. Evite tener una mentalidad cerrada y una inclinación por repetir aquello que ha funcionado antes.
Implique a sus clientes y busque el aprendizaje en las métricas positivas y negativas.
Sea inclusivo: trabaje duro para incluir distintas perspectivas en la combinación. Hay muchas variables que
pueden dividir a los seres humanos en distintos grupos. Normativas culturales, comportamientos anteriores,
sexo, religión, orientación sexual e incluso capacidades físicas. La verdadera innovación se produce cuando
nos desafiamos a ver más allá de las diferencias y trabajamos a conciencia para incluir a todos los clientes,
asociados y compañeros de trabajo.
Pasos siguientes
El paso siguiente para entender esta metodología es consultar Desafíos y factores de bloqueo comunes para la
innovación a fin de prepararle para los cambios que se avecinan.
Explicación de los desafíos y factores de bloqueo comunes
Algunos de los conceptos de este artículo se basan en temas descritos en el libro El método Lean Startup, escrito
por Eric Ries.
Factores de bloqueo comunes para la adopción de
tecnología y desafíos de la innovación
21/04/2021 • 13 minutes to read • Edit Online
Tal y como se describe en Innovación en la economía digital, la innovación requiere un equilibrio entre la
invención y adopción. En este artículo se amplía la información sobre los desafíos y los factores de bloqueo
comunes de la adopción en la nube, y tiene por objetivo ayudarle a comprender cómo este enfoque puede
aportar valor durante los ciclos de innovación.
Fórmula para la innovación: innovación = invención + adopción
Saber cómo superar los desafíos de innovación lleva algún tiempo, ya que debe aprender los métodos
correctos. En este artículo se profundiza en los desafíos de adopción de tecnología en el área de trabajo.
Desafíos de la invención
Antes de la adopción generalizada de la nube, los ciclos de invención que dependían de la tecnología de la
información eran lentos y laboriosos. Los ciclos de adquisición y aprovisionamiento solían retrasar los primeros
pasos esenciales hacia nuevas soluciones. El costo de las soluciones de DevOps y los bucles de comentarios
retrasaban la capacidad de los equipos para colaborar en la concepción e invención durante las primeras fases.
Los costos relacionados con los entornos de desarrollo y las plataformas de datos impedían que solo
desarrolladores profesionales muy cualificados pudieran participar en la creación de nuevas soluciones.
La nube ha superado muchos de estos desafíos de la invención al ofrecer aprovisionamiento automatizado de
autoservicio, herramientas de desarrollo e implementación ligeras y oportunidades para que los
desarrolladores profesionales y los desarrolladores cívicos colaboren con rapidez en la creación de soluciones.
Usar la nube para la innovación reduce drásticamente los desafíos y los factores de bloqueo de los clientes en el
lado de la invención de la ecuación de la innovación.
Desafíos de la invención y la innovación en una economía digital
Los desafíos de la invención de hoy en día son diferentes a los desafíos del pasado. El potencial interminable de
las tecnologías en la nube también genera más opciones de implementación y consideraciones más detalladas
sobre cómo se podrían usar esas implementaciones.
La metodología de innovación utiliza las siguientes disciplinas de innovación para ayudar a alinear las
decisiones de implementación con los objetivos de invención y adopción:
Plataformas de datos: Hay disponibles nuevos orígenes y variaciones de los datos. Anteriormente, muchos
de estos datos no se podrían integrar en aplicaciones heredadas o locales para crear una solución rentable.
Comprender el cambio que espera generar en los clientes determinará las decisiones acerca de la plataforma
de datos. Dichas decisiones serán una extensión de los enfoques seleccionados para ingerir, integrar,
categorizar y compartir los datos. Microsoft se refiere a este proceso de toma de decisiones como
democratización de los datos.
Interacciones de los dispositivos: IoT, los dispositivos móviles y la realidad aumentada difuminan las
líneas entre lo digital y lo físico, lo que acelera la economía digital. Comprender las interacciones del mundo
real en torno al comportamiento de un cliente determinará las decisiones relacionadas con la integración de
los dispositivos.
Aplicaciones: las aplicaciones ya no son de dominio exclusivo de los desarrolladores profesionales.
Tampoco requieren enfoques tradicionales basados en servidor. Capacitar a los desarrolladores
profesionales, habilitar a los especialistas de la empresa para que se conviertan en desarrolladores cívicos y
expandir las opciones de proceso de las API, los microservicios y las soluciones PaaS amplía las opciones de
interfaz de las aplicaciones. Comprender la experiencia digital necesaria para dar forma al comportamiento
de los clientes mejorará la toma de decisiones acerca de las opciones de aplicación.
Código fuente e implementación: la colaboración entre desarrolladores de todos los sectores mejora la
calidad y el tiempo de comercialización. La integración de los comentarios y una respuesta rápida permite a
los líderes del mercado definir el aprendizaje. Los compromisos en los procesos de creación, medida y
aprendizaje ayudan a acelerar las decisiones de adopción de herramientas.
Soluciones predictivas: en una economía digital, rara vez es suficiente para satisfacer las necesidades
actuales de los clientes. Los clientes esperan que las empresas prevean los pasos siguientes y predigan sus
necesidades futuras. El aprendizaje continuo suele evolucionar en herramientas de predicción. La
complejidad de las necesidades de los clientes y la disponibilidad de los datos ayudarán a definir las mejores
herramientas y los mejores enfoques de predicción e influencia.
En una economía digital, el mayor reto al que se enfrentan los arquitectos es la capacidad de comprender
claramente las necesidades de invención y adopción del cliente, así como de determinar la mejor cadena de
herramientas en la nube para satisfacer dichas necesidades.
Pasos siguientes
Con los conocimientos adquiridos sobre el modelo de creación-medida-aprendizaje y la mentalidad de
crecimiento, ya está listo para desarrollar invenciones digitales dentro de la metodología de innovación.
Desarrollo de invenciones digitales
Desarrollo de invenciones digitales
24/04/2021 • 3 minutes to read • Edit Online
¿Qué son las invenciones digitales? Tal y como se describe en Innovación en la economía digital, la innovación
requiere un equilibrio entre la invención y adopción. Las invenciones digitales son productos de innovación
tecnológica que resuelven las necesidades de los clientes y proporcionan soluciones innovadoras. Los
comentarios de los clientes y la colaboración son necesarios para impulsar la adopción, preferiblemente
mediante el bucle de comentarios crear-medir-aprender. Para más información, consulte Crear asociaciones con
los clientes a través del bucle de comentarios crear-medir-aprender.
Los tipos de innovación y las materias que se indican en la siguiente sección presentan una serie de enfoques
para desarrollar invenciones digitales teniendo en mente la adopción y la empatía con el cliente. Cada materia
se describe brevemente junto con vínculos a cada proceso.
Pasos siguientes
La primera materia de la innovación que se debe considerar y evaluar es la democratización de los datos.
Democratización de los datos
Democratización de datos con la invención digital
06/03/2021 • 15 minutes to read • Edit Online
El carbón, el aceite y el potencial humano fueron los tres recursos más importantes durante la revolución
industrial. Estos recursos creaban compañías, movían los mercados y, en última instancia, cambiaban países. En
la economía digital, hay tres recursos igualmente importantes: datos, dispositivos y potencial humano. Cada uno
de estos recursos presenta un fantástico potencial de innovación. En cualquier trabajo de innovación de la era
moderna, los datos son el nuevo aceite.
En todas las empresas de hoy en día, hay depósitos de datos que podrían emplearse para buscar y satisfacer las
necesidades de los clientes de manera más eficaz. Lamentablemente, el proceso de minería de datos para
impulsar la innovación es muy costoso y lento. Muchas de las soluciones más valiosas para las necesidades de
los clientes se desestiman porque las personas adecuadas no pueden acceder a los datos que necesitan.
La democratización de los datos es el proceso de poner estos datos en las manos adecuadas para impulsar la
innovación. Este proceso puede tener varias formas, pero generalmente incluye soluciones para datos sin
procesar ingeridos o integrados, centralización de datos, uso compartido de datos y protección de datos.
Cuando estos métodos se ejecutan correctamente, los expertos de la empresa pueden usar los datos para
probar los supuestos. En muchos casos, los equipos de adopción de la nube pueden crear con empatía con el
cliente usando solo datos, lo que permite satisfacer rápidamente las necesidades existentes de los clientes.
Compartir datos
Al crear con empatía con el cliente, todos los procesos priorizan la necesidad del cliente frente a una solución
técnica. Dado que la democratización de los datos no es una excepción, comenzaremos compartiendo los datos.
Para democratizar los datos, debe incluir una solución que comparta los datos con un consumidor de datos. El
consumidor de datos puede ser un cliente directo o un servidor proxy que toma decisiones para los clientes. Los
consumidores de datos aprobados tienen la capacidad de realizar análisis, preguntas e informes con los datos
centralizados, sin soporte técnico del personal de TI.
Muchas innovaciones de éxito se han iniciado como soluciones de producto mínimo viable (MVP) que
proporcionan procesos manuales y controlados por datos en nombre del cliente. En este modelo, un empleado
es el consumidor de los datos. Ese empleado utiliza datos para ayudar al cliente. Cada vez que el cliente se pone
en contacto con el soporte manual, se puede probar y validar una hipótesis. Este enfoque suele ser un medio
rentable de probar una hipótesis centrada en el cliente antes de realizar grandes inversiones en soluciones
integradas.
Las principales herramientas para compartir datos directamente con los consumidores de datos incluyen
informes de autoservicio o datos insertados en otras experiencias mediante herramientas como Power BI.
NOTE
Antes de compartir datos, asegúrese de haber leído las secciones siguientes. El uso compartido de datos puede requerir
gobernanza para proteger los datos compartidos. Además, los datos pueden estar diseminados en varias nubes y podrían
requerir centralización. Gran parte de los datos pueden residir incluso dentro de las aplicaciones, lo que requerirá recopilar
los datos antes de compartirlos.
La centralización de los datos representa un punto de riesgo en cualquier proceso de innovación. Cuando la
centralización de datos supone una demanda técnica, y no una fuente de valor del cliente, se recomienda
retrasar la centralización hasta que se hayan validado las hipótesis del cliente.
Si es necesario centralizar los datos, el primer paso es definir el almacén de datos adecuado para los datos
centralizados. El procedimiento recomendado es establecer un almacenamiento de datos en la nube. Esta opción
escalable proporciona una ubicación central para todos los datos. Este tipo de solución está disponible en las
opciones de procesamiento analítico en línea (OLAP) o de macrodatos.
Las arquitecturas de referencia de las soluciones OLAP y de macrodatos pueden ayudarle a elegir la solución
más adecuada en Azure. Si se requiere una solución híbrida, la arquitectura de referencia para la extensión de
los datos locales también puede ayudar a acelerar el desarrollo de soluciones.
IMPORTANT
En función de las necesidades del cliente y la solución correspondiente, quizás un enfoque más sencillo sea suficiente. El
arquitecto de la nube debe desafiar al equipo para que considere soluciones de menor costo que podrían permitir una
validación más rápida de la hipótesis del cliente, especialmente durante las primeras fases del desarrollo. En la siguiente
sección sobre la recopilación de datos se tratan algunos escenarios que podrían sugerir una solución diferente para su
situación.
Recopilación de datos
Cuando los datos deben centralizarse para satisfacer las necesidades de un cliente, es muy probable que
también sea necesario recopilar los datos de varios orígenes y pasarlos al almacén de datos centralizado. Existen
principalmente dos maneras de recopilar datos: integración e ingesta.
Integración: los datos existentes que ya residen en un almacén de datos se pueden integrar en el almacén de
datos centralizado mediante técnicas tradicionales de movimiento de datos. Esto es especialmente frecuente en
escenarios que implican el almacenamiento de datos en varias nubes. Estas técnicas implican la extracción de los
datos del almacén de datos existente y su carga posterior en el almacén de datos central. En algún momento de
este proceso, los datos suelen transformarse para facilitar su uso y para que sean más pertinentes en el almacén
central.
Las herramientas basadas en la nube han convertido estas técnicas en herramientas de pago por uso, lo que
reduce las barreras iniciales para la centralización y recopilación de los datos. Herramientas como Azure
Database Migration Service y Azure Data Factory son dos ejemplos. La arquitectura de referencia para una
factoría de datos con un almacén de datos OLAP es un ejemplo de este tipo de solución.
Ingesta: algunos datos no residen en un almacén de datos existente. Cuando estos datos transitorios son una
fuente principal de innovación, se deben tener en cuenta enfoques alternativos. Los datos transitorios se pueden
encontrar en diversos orígenes, tales como aplicaciones, API, flujos de datos, dispositivos IoT, cadenas de
bloques, caché de aplicaciones, contenido multimedia o incluso archivos planos.
Puede integrar estas diversas formas de datos en un almacén de datos central en una solución OLAP o de
macrodatos. Sin embargo, en las primeras iteraciones del ciclo de creación-medición-aprendizaje, una solución
de procesamiento transaccional en línea (OLTP) puede ser más que suficiente para validar la hipótesis de un
cliente. Las soluciones OLTP no son la mejor opción en todos los escenarios de informes. Sin embargo, al crear
con empatía con el cliente, es más importante centrarse en las necesidades del cliente que en las decisiones
sobre herramientas técnicas. Una vez validada la hipótesis del cliente a escala, puede ser necesaria una
plataforma más adecuada. La arquitectura de referencia de los almacenes de datos OLTP puede ayudar a
determinar qué almacén de datos es el más adecuado para la solución.
Vir tualización: La integración y la ingesta de datos a veces pueden ralentizar la innovación. Si ya hay
disponible una solución de virtualización de datos, podría representar un enfoque más razonable. La ingesta y la
integración pueden duplicar los requisitos de almacenamiento y desarrollo, agregar latencia de datos, aumentar
el área expuesta a ataques, desencadenar problemas de calidad y aumentar el trabajo de gobernanza. La
virtualización de los datos es una alternativa más actual que deja los datos originales en una ubicación única y
crea consultas de paso a través o almacenadas en caché de los datos de origen.
SQL Server 2017 y Azure SQL Data Warehouse admiten PolyBase, que es el enfoque de virtualización de datos
que se usa con más frecuencia en Azure.
Pasos siguientes
Cuando ya se disponga de una estrategia de democratización de los datos, lo siguientes es evaluar los enfoques
para involucrar a los clientes mediante las aplicaciones.
Involucrar a los clientes mediante las aplicaciones
Desarrollo de aplicaciones innovadoras
24/04/2021 • 17 minutes to read • Edit Online
Como se indica en Democratización de datos con la invención digital los datos impulsan la mayoría de las
innovaciones en la economía digital. Según esta analogía, las aplicaciones serían las estaciones de servicio y la
infraestructura necesaria para que dicho combustible llegue a las manos adecuadas.
En algunos casos, los datos por sí mismos son suficientes para producir un cambio y satisfacer las necesidades
de los clientes. Sin embargo, lo más frecuente es que la solución para las necesidades de los clientes requiera
aplicaciones para dar forma a los datos y crear una experiencia. Las aplicaciones innovadoras involucran al
usuario y permiten interactuar con él, proporcionando información e instrucciones. En este artículo se resumen
varios principios que pueden ayudarle a encontrar la solución de desarrollo de aplicaciones correcta, en función
de las hipótesis que se vayan a validar.
Código compartido
Los equipos que son rápidos a la hora de responder a los comentarios de los clientes, los cambios en el
mercado y las oportunidades suelen innovar mejor. El primer principio de las aplicaciones innovadoras es un
elemento de la mentalidad de crecimiento, "Compartir el código". El uso compartido de código invita a disponer
de diversas perspectivas y contribuciones, e impulsa la innovación. Por ello, todo el desarrollo de aplicaciones
debe comenzar por un repositorio de código compartido.
Una herramienta ampliamente adoptada para administrar los repositorios de código es GitHub, que permite
crear rápidamente un repositorio de código compartido. Una alternativa es Microsoft Azure Repos, que es un
servicio de Azure DevOps que proporciona repositorios privados ilimitados hospedados en la nube para el
proyecto. Para el control de versiones cuando usa Azure Repos, puede elegir Git, que es un tipo distribuido, o
Control de versiones de Team Foundation (TFVC), que está centralizado. Para más información sobre Azure
Repos, Git y Control de versiones de Team Foundation (TFVC), consulte la documentación de Azure Repos.
Desarrolladores cívicos
Los desarrolladores profesionales son importantes para la innovación. Cuando una hipótesis resulta precisa a
gran escala, puede estabilizar la solución y prepararla para el escalado. Desafortunadamente, los
desarrolladores profesionales pueden tener poca oferta y el desarrollo profesional puede aumentar los costos y
ralentizar la innovación.
Los desarrolladores civiles son usuarios que crean nuevas aplicaciones empresariales mediante entornos de
desarrollo y entornos de tiempo de ejecución autorizados por el equipo de TI corporativo. El uso de
desarrolladores civiles puede ayudar a escalar los esfuerzos de desarrollo y acelerar las primeras pruebas de
hipótesis. Esta estrategia resulta viable y efectiva cuando se pueden validar las primeras hipótesis con
herramientas como Power Apps para interfaces de aplicaciones, AI Builder para procesos y predicciones, Power
Automate para flujos de trabajo y Power BI para el consumo de datos.
NOTE
Cuando confía en desarrolladores civiles para probar hipótesis, se recomienda contar con desarrolladores profesionales
que apoyen, revisen y guíen el trabajo. Los profesionales pueden ayudar a desarrollar un diseño sólido que acelere los
resultados de la innovación. Al implicar a desarrolladores profesionales en el momento adecuado, podrá realizar
transiciones más sencillas en el futuro.
Experiencias inteligentes
Las experiencias inteligentes combinan la velocidad y la escala de las aplicaciones web modernas, con la
inteligencia de los servicios y bots cognitivos. Por sí solas, cada una de estas tecnologías puede bastar para
satisfacer las necesidades de los clientes. Cuando se combinan adecuadamente, amplían el espectro de
necesidades que se pueden satisfacer a través de una experiencia digital, a la vez que ayudan a contener los
costos de desarrollo de la aplicación.
Aplicaciones web modernas
Las aplicaciones web modernas pueden ser la manera más rápida de satisfacer las necesidades de los clientes
internos o externos. Las experiencias que proporcionan pueden involucrar a los clientes rápidamente y permitir
una rápida evolución de la solución.
Incorporación de inteligencia
A los desarrolladores profesionales y civiles les resulta más fácil agregar características de aprendizaje
automático e inteligencia artificial a las aplicaciones que ayudan a satisfacer las necesidades del cliente y que
crean una experiencia interactiva. Estos son algunos ejemplos de estas características:
Conversión de voz en texto
Texto a voz
Visión del equipo
Búsqueda visual
Inteligencia artificial predictiva
Los innovadores deben estar atentos para aprovechar estas características y crear una experiencia interactiva y
moderna.
Bots
Un bot es una aplicación de inteligencia artificial conversacional que proporciona a los usuarios una experiencia
que se parece más a trabajar con una persona y menos a tratar con una aplicación informática convencional. Los
usuarios conversan con los bot a través de texto, tarjetas interactivas y la voz. Una interacción con un bot puede
ir desde una pregunta y una respuesta rápidas (para hacer una reserva para cenar, por ejemplo) a una
conversación sofisticada que proporcione acceso a servicios de forma inteligente.
Los bots puede hacer lo mismo que otros tipos de software: leer y escribir archivos, usar bases de datos y API y
realizar las tareas de cálculo habituales. Lo que hace que los bots sean únicos es su uso de mecanismos que
generalmente se reservan para la comunicación entre humanos. Los bots se parecen mucho a las aplicaciones
web modernas: residen en Internet y usan las API para enviar y recibir mensajes. El contenido de un bot varía
considerablemente en función de su tipo. El software para bot moderno se basa en una pila de tecnología y
herramientas que proporcionan experiencias cada vez más complejas en varias plataformas. Sin embargo, un
bot simple simplemente puede recibir un mensaje y devolvérselo al usuario con muy poco código implicado.
Pasos siguientes
En función de la hipótesis y la solución, los principios de este artículo pueden ayudar a diseñar aplicaciones que
cumplan con las definiciones de MVP e interaccionen con los usuarios. A continuación, se indican los principios
de capacitación para la adopción, que ofrecen formas de poner la aplicación y los datos en las manos de los
clientes de forma más rápida y eficiente.
Capacitación para la adopción
Capacitación de la adopción con invención digital
22/04/2021 • 18 minutes to read • Edit Online
Solución compartida
Tal y como se describe en Medida del impacto en los clientes, una validación positiva de cualquier hipótesis
requiere iteración y determinación. Experimentará muchos más errores que aciertos durante los ciclos de
innovación. Se espera que esto sea así. Sin embargo, cuando se alinean a escala la necesidad del cliente, la
hipótesis y la solución, todo cambia rápidamente.
Cuando escala la invención digital y la innovación, la herramienta más valiosa es una base de código
compartido para la solución. Lamentablemente, no hay ninguna manera confiable de predecir qué iteración o
producto viable mínimo será la combinación ganadora. Esta es la razón por la que nunca es demasiado pronto
para establecer una base de código o un repositorio compartido. Esta es la única demanda técnica que no se
debe retrasar. A medida que el equipo itera por las distintas soluciones de producto viable mínimo, un
repositorio compartido facilita colaboración y acelera el desarrollo. Cuando los cambios en la solución minan las
métricas de aprendizaje, el control de versiones le permite revertir a una versión anterior y más efectiva de la
solución.
La herramienta de CI/CD más adoptada para administrar los repositorios de código es GitHub, que permite la
creación de un repositorio de código compartido en tan solo unos pasos. Como alternativa, se puede usar la
característica Azure Repos de Azure DevOps para crear un repositorio Git o TFVC.
Bucles de comentarios
Hacer que el cliente forme parte de la solución es la clave para crear asociaciones con los clientes durante los
ciclos de innovación. Esto se logra, en parte, midiendo el impacto del cliente. Requiere conversaciones y pruebas
directas con el cliente. Ambos generan comentarios que se deben administrar de forma eficaz.
Cada comentario es una posible solución a las necesidades del cliente. Lo que es más importante, cada uno de
los comentarios directos de un cliente representa una oportunidad para mejorar la relación. Si los comentarios
permiten dar con la solución viable mínima, celébrelo con el cliente. Aunque algunos comentarios no sean
accionables, ser transparentes con la decisión de reducir la prioridad de los comentarios demuestra una
mentalidad de crecimiento y una atención en el aprendizaje continuo.
Azure DevOps incluye maneras de solicitar, proporcionar y administrar comentarios. Cada una de estas
herramientas centraliza los comentarios para que el equipo pueda tomar medidas y proporcionar seguimiento
en servicio de un bucle de comentarios transparente.
Integración continua
La integración continua es la automatización del código varias veces al día para tener un único proyecto
actualizado. A medida que la adopción escala y la hipótesis se aproxima a una verdadera innovación a escala, el
número de pequeñas hipótesis que hay que probar tiende a crecer rápidamente. Para facilitar bucles de
comentarios precisos y procesos de adopción fluidos, es importante que cada una de esas hipótesis se integre y
respalde la hipótesis principal que subyace a la innovación. Esto requiere que sea rápido a la hora de innovar y
crecer, para lo cual necesita que varios desarrolladores prueben variantes de la hipótesis principal. En los
trabajos de desarrollo de fases posteriores, es posible que necesite varios equipos de desarrolladores que
colaboren en la creación de una solución compartida. La integración continua es el primer paso para la
administración de todas las partes móviles.
En la integración continua, los cambios de código se combinan con frecuencia en la rama principal. Los procesos
automatizados de compilación y pruebas garantizan que el código de la rama principal siempre tenga una
calidad de producción. Esto permite que los desarrolladores trabajen juntos para desarrollar soluciones
compartidas que proporcionen bucles de comentarios precisos y confiables.
Azure DevOps y Azure Pipelines proporcionan funcionalidades de integración continua con unos pocos pasos
en GitHub o en otros repositorios. Para más información, consulte ¿Qué es la integración continua? o el
laboratorio práctico. Existen arquitecturas de soluciones que pueden acelerar la creación de las canalizaciones de
CI/CD a través de Azure DevOps.
Pruebas confiables
Los defectos de cualquier solución pueden crear falsos positivos o falsos negativos. Los errores inesperados
pueden dar lugar a una interpretación incorrecta de las métricas de adopción de los usuarios. También pueden
generar comentarios negativos de los clientes que no representen con precisión la demostración de su
hipótesis.
En las primeras iteraciones de una solución de MVP, es normal que haya defectos. Los usuarios pioneros pueden
incluso encontrarlos simpáticos. En las primeras versiones, no suelen existir pruebas de aceptación. Sin
embargo, uno de los aspectos de la creación con empatía está relacionado con la validación de la necesidad y la
hipótesis. Ambas se pueden realizar mediante pruebas unitarias en el nivel de código y pruebas de aceptación
manuales antes de la implementación. En conjunto, proporcionan medios para confiar en las pruebas. Debe
procurar automatizar una serie bien definida de pruebas de creación, unitarias y de aceptación. Esto garantizará
métricas confiables relacionadas con ajustes más pormenorizados de la hipótesis y la solución resultante.
La característica Azure Test Plans proporciona herramientas para desarrollar y utilizar planes de pruebas durante
la ejecución de pruebas manuales o automatizadas.
Implementación de la solución
Quizás el aspecto más significativo de la capacitación para la adopción es la posibilidad de controlar la
publicación de una solución para los clientes. Proporcionar una canalización de autoservicio o automatizada
para lanzar una solución a los clientes acelera el bucle de comentarios. Permitir a los clientes interactuar con los
cambios en la solución rápidamente les invita a participar en el proceso. Este enfoque también desencadena
pruebas más rápidas de las hipótesis, lo que reduce las suposiciones y las posibles repeticiones del trabajo.
Existen varios métodos para la implementación de soluciones. Los tres más comunes son los siguientes:
La implementación continua es el enfoque más avanzado, ya que implementa automáticamente los
cambios de código en producción. Para los equipos experimentados que realizan pruebas de hipótesis más
desarrolladas, la implementación continua puede ser muy valiosa.
Durante las primeras fases del desarrollo, puede ser más adecuada la entrega continua . En la entrega
continua, los cambios de código se implementan automáticamente en un entorno similar al de producción.
Los desarrolladores, los responsables de la toma de decisiones empresariales y otros miembros del equipo
pueden usar este entorno para comprobar si su trabajo está listo para producción. También puede usar este
método para probar una hipótesis con los clientes, sin que ello afecte a las actividades empresariales en
curso.
La implementación manual es el enfoque menos sofisticado para la administración de versiones. Como
sugiere el nombre, alguien del equipo implementara manualmente los cambios de código más recientes.
Este enfoque es propenso a errores, no confiable y considerado un antipatrón por los ingenieros más
experimentados.
Durante la primera iteración de una solución mínima viable, es habitual la implementación manual a pesar de la
valoración anterior. Cuando la solución es muy fluida y no se conocen los comentarios de los clientes,
restablecer toda la solución (o incluso la hipótesis principal) supone un riesgo significativo. La regla general de
la implementación manual es que no se realiza ninguna prueba de cliente ni automatización de la
implementación.
Invertir pronto puede provocar pérdida de tiempo. Lo que es más importante, puede crear dependencias en la
canalización de lanzamiento, lo que hace que el equipo sea más resistente a una dinamización temprana.
Después de las primeras iteraciones o cuando los comentarios de los clientes sugieren un posible éxito, se debe
adoptar rápidamente un modelo de implementación más avanzado.
En cualquier etapa de la validación de hipótesis, Azure DevOps y Azure Pipelines proporcionan funciones de
entrega continua e implementación continua. Obtenga más información sobre la entrega continua o consulte el
laboratorio práctico. La arquitectura de la solución también puede acelerar la creación de sus canalizaciones de
CI/CD a través de Azure DevOps.
Medidas integradas
A la hora de medir el impacto en el cliente, es importante comprender cómo reaccionan los clientes a los
cambios en la solución. Estos datos, que se conocen como telemetría, proporcionan información detallada sobre
las acciones que tomó un usuario (o una cohorte de usuarios) al trabajar con la solución. A partir de estos datos,
es fácil obtener una validación cuantitativa de la hipótesis. Estas métricas se pueden usar para ajustar la solución
y generar hipótesis más específicas. Estos cambios más sutiles ayudan a madurar la solución inicial en
iteraciones posteriores, lo que conduce en última instancia a repetir la adopción a gran escala.
En Azure, Azure Monitor proporciona herramientas y una interfaz para recopilar y revisar datos de las
experiencias de los clientes. Puede aplicar dichas observaciones e información para refinar el trabajo pendiente
mediante Azure Boards.
Pasos siguientes
Una vez que comprenda las herramientas y los procesos de la canalización de CI/CD necesarios para posibilitar
la adopción, es el momento de examinar una materia de innovación más avanzada: la interacción con
dispositivos. Esta materia puede ayudar a reducir las barreras entre las experiencias física y digital, lo que facilita
la adopción de la solución.
Interacción con dispositivos
Experiencias ambientales de usuario: Interacción
con dispositivos
22/04/2021 • 19 minutes to read • Edit Online
En Crear con la empatía de los clientes, analizamos las tres pruebas de la verdadera innovación: solucionar las
necesidades de un cliente, lograr que el cliente vuelva y escalar a través de una base de cohortes de clientes.
Probar cada hipótesis requiere trabajo e iteraciones en el enfoque de la adopción. En este artículo se
proporciona información detallada sobre enfoques avanzados para reducir ese trabajo mediante experiencias
ambientales de usuario. Al interactuar con dispositivos en lugar de hacerlo con una aplicación, es posible que el
cliente tenga más probabilidades de acudir primero a su solución.
Experiencia móvil
En la primera fase de la experiencia ambiental de usuario, este se debe alejar del equipo. Los consumidores y los
profesionales de la actualidad se mueven con fluidez entre dispositivos móviles y PC. Cada una de las
plataformas o dispositivos usados por el cliente crea una nueva experiencia potencial. Agregar una experiencia
móvil que amplíe la solución principal es la forma más rápida de mejorar la integración en el entorno inmediato
del cliente. Aunque un dispositivo móvil esté lejos del ambiente, podría estar más próximo a la necesidad del
cliente.
Cuando los clientes cambian de ubicación con frecuencia, puede ser la forma más pertinente de experiencia
ambiental y digital para una solución concreta. En la última década, la integración de las soluciones existentes
con una experiencia móvil ha desencadenado frecuentemente la innovación.
Azure App Service es un buen ejemplo de este enfoque. Durante las primeras iteraciones, se puede usar la
característica de aplicación web de Azure App Service para probar la hipótesis. A medida que las hipótesis se
vuelven más complejas, la característica de aplicación móvil de Azure App Service puede ampliar la aplicación
web para que se ejecute en diversas plataformas móviles.
Realidad mixta
Las soluciones de realidad mixta representan el siguiente paso en las experiencias ambientales de usuario. Este
enfoque aumenta o replica el entorno del cliente y crea una extensión de la realidad para que el cliente trabaje
dentro de ella.
IMPORTANT
Si se requiere un dispositivo de realidad virtual y todavía no forma parte de los comportamientos naturales o
circundantes inmediatos de un cliente, la realidad virtual o aumentada es más una experiencia alternativa digital y menos
una experiencia ambiental.
Las experiencias de realidad mixta son cada vez más habituales entre los empleados remotos. Su uso está
creciendo aún más rápido en sectores que requieren conocimientos de colaboración o especializados que no
están disponibles en el mercado local. Las situaciones que requieren la implementación centralizada de un
producto complejo para un grupo de empleados remotos son un terreno especialmente adecuado para la
realidad aumentada. En esos casos, el equipo de soporte técnico central y los empleados remotos pueden usar
la realidad aumentada para solucionar problemas, instalar el producto o trabajar con él.
Por ejemplo, considere el caso de los anclajes espaciales. Los anclajes espaciales le permiten crear experiencias
de realidad mixta con objetos cuyas ubicaciones correspondientes persisten en todos los dispositivos a lo largo
del tiempo. Los anclajes espaciales se usan para capturar, grabar y conservar un comportamiento específico, que
proporcionará una experiencia ambiental la próxima vez que el usuario trabaje dentro de ese entorno
aumentado. Azure Spatial Anchors es un servicio que mueve esta lógica a la nube, lo que permite compartir
experiencias digitales entre dispositivos interactivos e incluso entre soluciones.
Realidad integrada
La realidad integrada va más allá de la realidad móvil o incluso de la realidad mixta. La realidad integrada
pretende eliminar por completo la experiencia digital. Todos los dispositivos que usamos tienen funcionalidades
de conectividad y proceso. Estos dispositivos se pueden usar para recopilar datos del entorno inmediato sin que
el cliente tenga que tocar un teléfono, un portátil o un dispositivo de realidad virtual.
Esta experiencia digital es idónea cuando una forma de dispositivo es coherente en el mismo entorno en el que
se produce la necesidad del cliente. Entre los escenarios comunes se incluyen las fábricas, los ascensores o
incluso su automóvil. Estos tipos de dispositivos grandes ya contienen potencia de proceso. También puede usar
datos del propio dispositivo para detectar los comportamientos del cliente y enviarlos a la nube. Esta captura
automática de los datos de comportamiento del cliente reduce drásticamente la necesidad de que un cliente
escriba datos. Además, la experiencia web, móvil o de realidad virtual puede funcionar como un bucle de
comentarios para compartir lo que se ha aprendido de la solución de realidad integrada.
Entre los ejemplos de realidad integrada en Azure se incluyen:
Soluciones de Internet de las cosas (IoT) de Azure: Una colección de servicios de Azure que ayuda a
administrar los dispositivos y el flujo de datos desde esos dispositivos hacia la nube y de vuelta a los
usuarios finales.
Azure Sphere: Una combinación de hardware y software que ofrece una manera intrínsecamente segura de
permitir que un dispositivo existente transmita datos entre el dispositivo y las soluciones de Azure IoT.
Azure Kinect DK, sensores de IA con modelos avanzados de Computer Vision y de voz. Estos sensores
pueden recopilar datos visuales y de audio del entorno inmediato y alimentan la solución con esas entradas.
Puede usar las tres herramientas de experiencia digital para recopilar datos del entorno natural y en el
momento en que se produce la necesidad del cliente. A partir de ahí, la solución puede responder a esas
entradas de datos para resolver la necesidad, a veces antes de que el cliente sea consciente de que se ha
desencadenado esa necesidad.
Realidad ajustada
La forma más refinada de experiencia ambiental de usuario es la realidad ajustada, también conocida como
inteligencia ambiental. La inteligencia ambiental hace referencia a cualquier entorno electrónico o digital que
responde a la presencia de personas y se ajusta automáticamente. La realidad ajustada es un enfoque
relacionado con el uso de la información de la solución para cambiar la realidad del cliente sin que este tenga
que interactuar directamente con una aplicación. En este enfoque, la aplicación que creó inicialmente para
demostrar su hipótesis puede que ya no sea pertinente. En su lugar, los dispositivos del entorno ayudarían a
modular las entradas y salidas para satisfacer las necesidades de los clientes.
Los asistentes virtuales o altavoces inteligentes son un buen ejemplo de realidad ajustada. Por sí mismo, un
altavoz inteligente es un ejemplo de realidad integrada simple. Agregue una luz inteligente y un sensor de
movimiento a una solución de altavoz inteligente, y habrá creado fácilmente una solución básica que encienda
las luces cuando se entra en una habitación.
Las fábricas de todo el mundo constituyen otros ejemplos de realidad ajustada. En las primeras fases de la
realidad integrada, los sensores de los dispositivos detectaban condiciones como un sobrecalentamiento, y la
notificaban a un ser humano mediante una aplicación. En la realidad ajustada, el cliente podría seguir
participando, pero el bucle de comentarios es más estrecho. En una fábrica con realidad ajustada, un dispositivo
podría detectar el sobrecalentamiento de una máquina vital en alguna parte de la línea de montaje. En cualquier
otra parte de la planta, un segundo dispositivo ralentizaría la producción ligeramente para permitir que la
máquina se enfriara y el ritmo se reanudara cuando se resolviera la condición. En esta situación, el cliente es un
participante de segunda mano. El cliente utiliza la aplicación para establecer las reglas y entender cómo han
afectado a la producción, pero no sería una parte necesaria del bucle de comentarios.
Los servicios de Azure que se describen en Soluciones de Internet de las cosas (IoT) de Azure, Azure Sphere y
Azure Kinect DK podrían ser componentes de una solución de realidad ajustada. La aplicación original y la lógica
de negocios serviría como intermediario entre la entrada del entorno y el cambio que se debe realizar en el
entorno físico.
Un gemelo digital es otro ejemplo de realidad ajustada. Este término se refiere a una representación digital de
un dispositivo físico que se presenta mediante equipos, dispositivos móviles o formatos de realidad mixta. A
diferencia de los modelos 3D menos sofisticados, un gemelo digital refleja los datos recopilados de un
dispositivo real en el entorno físico. Esta solución permite al usuario interactuar con la representación digital de
maneras que nunca podrían darse en el mundo real. En este enfoque, los dispositivos físicos ajustan un entorno
de realidad mixta. Sin embargo, la solución sigue recopilando datos de una solución de realidad integrada y
usándolos para dar forma a la realidad del entorno actual del cliente.
En Azure, se crean gemelos digitales y se accede a ellos con un servicio llamado Azure Digital Twins.
Pasos siguientes
Ahora que conoce mejor las interacciones con los dispositivos y la experiencia ambiental de usuario o las
herramientas de inteligencia ambiental adecuadas para su solución, ya está preparado para explorar la materia
final de innovación: predicción e influencia.
Predicción e influencia
Modelado predictivo e influencia en el
comportamiento del cliente
22/04/2021 • 13 minutes to read • Edit Online
Hay dos clases de aplicaciones en la economía digital: históricas y predictivas. Muchas de las necesidades de los
clientes se pueden satisfacer únicamente mediante el uso de datos históricos, incluidos los datos casi en tiempo
real. En este momento, la mayoría de las soluciones se centran principalmente en la agregación de datos.
Después, procesan y comparten los datos de nuevo con el cliente, en forma de experiencia digital o sobre el
terreno.
Lo opuesto al modelado histórico es el modelado predictivo. Pero, ¿qué es el modelado predictivo? El modelado
predictivo usa estadísticas y resultados conocidos para procesar y crear modelos que se pueden usar para
predecir resultados futuros, dentro de lo razonable. A medida que el modelado predictivo es más rentable y está
disponible fácilmente, los clientes exigen experiencias avanzadas que les lleven a mejores decisiones y acciones.
Sin embargo, esa demanda no siempre sugiere una solución predictiva. En la mayoría de los escenarios, una
vista de los datos históricos puede proporcionar información suficiente para permitir al cliente tomar una
decisión por sí mismo.
Por desgracia, los clientes suelen tener una falta de visión que conduce a tomar decisiones en función de su
entorno inmediato y de su esfera de influencia. A medida que las opciones y las decisiones crecen en número y
consecuencias, es posible que esta falta de visión no satisfaga las necesidades de los clientes. Al mismo tiempo,
cuando se demuestra una hipótesis a escala, la empresa que proporciona la solución puede comprender miles o
millones de decisiones de los clientes. Este enfoque general permite ver patrones amplios, así como el impacto
que tienen. La funcionalidad de modelado predictivo es una inversión razonable cuando es necesario
comprender esos patrones para tomar las decisiones más acertadas para el cliente.
Cau t i on
Si la hipótesis del cliente desarrollada en Creación con la empatía de los clientes incluye funcionalidades
predictivas, puede que se apliquen los principios descritos. Sin embargo, las funcionalidades predictivas
requieren una gran inversión de tiempo y energía. Cuando las funcionalidades predictivas constituyen
demandas técnicas en lugar de una posible fuente de valor para el cliente, se recomienda retrasar las
predicciones hasta que se hayan comprobado las hipótesis de los clientes a escala.
data
Los datos son el componente más elemental de las características mencionadas anteriormente. Cada una de las
materias para desarrollar invenciones digitales genera datos. Ciertamente, esos datos contribuyen al desarrollo
de predicciones. Para más información sobre las formas de trasladar datos a una solución predictiva, consulte
Democratización de datos con la invención digital e Interacción con dispositivos.
Se pueden usar diversos orígenes de datos para proporcionar funcionalidades de modelado predictivo.
Información detallada
Los expertos en la materia usan los datos sobre las necesidades y comportamientos de los clientes para
desarrollar conclusiones empresariales básicas a partir de un estudio de datos sin procesar. Esta información
detallada puede identificar los casos de comportamientos deseados de los clientes (o, por el contrario, los
resultados no deseados). Durante las iteraciones en las predicciones, esta información detallada puede ayudar a
identificar posibles correlaciones, lo que finalmente podría generar resultados positivos. Para obtener
información sobre cómo permitir que los expertos en la materia elaboren conclusiones, consulte
Democratización de datos con la invención digital.
Patrones
Las personas siempre han intentado detectar patrones en grandes volúmenes de datos. Los equipos
informáticos se diseñaron para ese propósito. La solución Machine Learning acelera esta misión mediante la
detección precisa de dichos patrones, una aptitud que comprende el modelo de modelo de Machine Learning. A
continuación, estos patrones se aplican mediante algoritmos de aprendizaje automático para predecir los
resultados cuando se especifique un nuevo conjunto de puntos de datos en los algoritmos.
Usando las conclusiones como punto de partida, el aprendizaje automático desarrolla y aplica modelos
predictivos para exprimir los patrones de datos. A través de varias iteraciones de entrenamiento, prueba y
adopción, estos modelos y algoritmos pueden predecir con precisión los resultados futuros.
Azure Machine Learning es el servicio nativo en la nube de Azure para la creación y el entrenamiento de
modelos basados en los datos. Esta herramienta también incluye un flujo de trabajo para acelerar el desarrollo
de algoritmos de aprendizaje automático. Este flujo de trabajo se puede usar para desarrollar algoritmos
mediante una interfaz visual o Python.
Si lo que se busca son modelos de aprendizaje automático más sólidos, los servicios de aprendizaje automático
de Azure HDInsight proporcionan una plataforma de aprendizaje automático basada en clústeres de Apache
Hadoop. Este enfoque permite un control más pormenorizado de los clústeres subyacentes, el almacenamiento
y los nodos de proceso. Azure HDInsight también proporciona una integración más avanzada mediante
herramientas como ScaleR y SparkR para crear predicciones basadas en datos integrados e ingeridos, incluso
con datos de una secuencia. La solución de predicción de retrasos de vuelos muestra cada una de estas
funcionalidades avanzadas cuando se usa para predecir retrasos de vuelos en función de las condiciones
meteorológicas. La solución de HDInsight también permite controles empresariales, como la seguridad de los
datos, el acceso a la red y la supervisión del rendimiento para la puesta en marcha de patrones.
Predicciones
Después de crear y entrenar un patrón, puede aplicarlo mediante las API, que pueden realizar predicciones
durante la entrega de una experiencia digital. La mayoría de estas API se crean a partir de un modelo bien
entrenado basado en un patrón de los datos. A medida que más clientes implementan las cargas de trabajo
diarias en la nube, las API de predicción que usan los proveedores de la nube conducen a una adopción cada vez
más rápida.
Azure Cognitive Services es un ejemplo de API predictiva creada por un proveedor de la nube. Este servicio
incluye API predictivas para la moderación de contenido, la detección de anomalías y las sugerencias para
personalizar el contenido. Estas API están preparadas para usar y se basan en patrones de contenido conocidos,
que Microsoft ha usado para entrenar los modelos. Cada una de esas API realiza predicciones basadas en los
datos que se introducen en la API.
Azure Machine Learning permite la implementación de algoritmos personalizados, que pueden crear y entrenar
únicamente con sus propios datos. Para obtener información sobre la implementación de predicciones con
Azure Machine Learning, consulte Implementación de modelos de aprendizaje automático en Azure.
Para más información sobre los procesos para exponer las predicciones desarrolladas para ML Services en
Azure HDInsight, consulte Configuración de clústeres de HDInsight.
Interacciones
Una vez que una predicción está disponible a través de una API, se puede usar para influir en el
comportamiento del cliente. Esa influencia se produce en forma de interacciones. Una interacción con un
algoritmo de aprendizaje automático se produce dentro de las otras experiencias digitales o ambientales. A
medida que se recopilan datos a través de la aplicación o la experiencia, se ejecutan mediante los algoritmos de
aprendizaje automático. Cuando el algoritmo predice un resultado, la predicción se puede volver a compartir
con el cliente mediante la experiencia actual.
Obtenga más información sobre cómo crear una experiencia ambiental a través de una solución de realidad
ajustada.
Pasos siguientes
Una vez familiarizado con las materias de invención y la metodología de innovación, está preparado para
aprender a crear usando la empatía con el cliente.
Crear con empatía
Gobernanza en Microsoft Cloud Adoption
Framework para Azure
06/03/2021 • 7 minutes to read • Edit Online
La nube crea nuevos paradigmas para las tecnologías que respaldan el negocio. Estos nuevos paradigmas
también cambian la forma en que se adoptan, administran y gobiernan esas tecnologías. Si es posible destruir y
volver a crear centros de datos enteros con una sola línea de código ejecutada desde un proceso desatendido, es
preciso volver a considerar los enfoques tradicionales. Esto es especialmente cierto en el caso de la gobernanza.
La gobernanza de la nube es un proceso iterativo. Para las organizaciones con directivas existentes que
gobiernan los entornos de TI locales, la gobernanza de la nube debe complementar esas directivas. El nivel de
integración de las directivas corporativas entre el entorno local y la nube varía en función de la madurez de la
gobernanza de la nube y del patrimonio digital en la nube. A medida que el patrimonio de la nube cambia con el
tiempo, también lo hacen los procesos y las directivas de gobernanza de la nube. Los ejercicios siguientes le
ayudarán a empezar a crear su base de gobernanza inicial.
1. Metodología: Establezca un reconocimiento básico de la metodología que promueve la gobernanza en la
nube dentro de Cloud Adoption Framework para empezar a pensar en la solución de estado final.
2. Banco de pruebas: Evaluación del estado actual y futuro para establecer una visión a la hora de aplicar la
plataforma.
3. Base de gobernanza inicial: Comience su recorrido por la gobernanza con un pequeño conjunto de
herramientas de gobernanza de fácil implementación. Esta base de gobernanza inicial se denomina producto
viable mínimo (MVP).
4. Mejora de la base de gobernanza inicial: Durante la implementación del plan de adopción de la nube,
agregue de manera iterativa los controles de gobernanza para afrontar riesgos tangibles a medida que
avanza hacia el estado final.
Destinatarios
El contenido de Cloud Adoption Framework afecta al negocio, a la tecnología y a la cultura de las empresas. Esta
sección de Cloud Adoption Framework interactúa considerablemente con los equipos de seguridad de TI,
gobernanza de TI, finanzas, responsables de línea de negocio, redes, identidad y adopción de la nube. Varias
dependencias de estos roles requieren un enfoque facilitador por parte de los arquitectos de la nube que usan
esta guía. La facilitación de estos equipos puede ser una tarea única. En algunos casos, las interacciones con
estos otros usuarios serán continuas.
El arquitecto de la nube sirve como líder de pensamiento y facilitador para reunir a estas audiencias. El
contenido de esta colección de guías está diseñado para ayudar al arquitecto de la nube a facilitar la
conversación correcta, con la audiencia adecuada, para tomar las decisiones necesarias. La transformación
empresarial que potencia la nube depende de que el arquitecto de la nube sirva de guía en las decisiones tanto
de TI como de toda la empresa.
Especialización de arquitecto de la nube en esta sección : Cada una de las secciones de Cloud Adoption
Framework representa una especialización o variante diferentes del rol de arquitecto de la nube. Esta sección de
Cloud Adoption Framework está diseñada para arquitectos de la nube con pasión por la reducción de riesgos
técnicos. Algunos proveedores de servicios en la nube se refieren a estos especialistas como administradores de
la nube, pero nosotros preferimos llamarles protectores de la nube o, colectivamente, equipo de gobernanza de
la nube. Las guías de gobernanza que requiere acción muestran de qué forma tanto la composición como el rol
del equipo de gobernanza de la nube pueden cambiar con el tiempo.
Adoptar la nube es un recorrido, no un destino. En el camino, hay hitos claros y ventajas empresariales
tangibles. El estado final de la adopción de la nube es desconocido cuando una compañía comienza el recorrido.
La gobernanza de la nube crea barreras de seguridad que mantienen a la compañía en una ruta segura a lo
largo del recorrido.
Cloud Adoption Framework ofrece guías de gobernanza que describen las experiencias de compañías ficticias
basadas en experiencias de clientes reales. Cada guía sigue al cliente a través de los aspectos de gobernanza de
la adopción de la nube.
El modelo de gobernanza del marco de adopción en la nube identifica las principales áreas de importancia del
recorrido. Cada área se relaciona con diferentes tipos de riesgos que la compañía debe resolver al adoptar más
servicios en la nube. En este marco, la guía de gobernanza identifica las acciones necesarias para el equipo de
gobernanza en la nube. En el camino, cada entidad de seguridad del modelo de gobernanza del marco de
adopción en la nube se describe con más detalle. En líneas generales, se incluyen las siguientes:
Directivas corporativas: Las directivas corporativas rigen la gobernanza de la nube. La guía de gobernanza se
centra en aspectos específicos de las directivas corporativas:
Riesgos empresariales: identificación y reconocimiento de los riesgos corporativos.
Directiva y cumplimiento: conversión de los riesgos en instrucciones de directiva que admitan los
requisitos de cumplimiento.
Procesos: garantía del cumplimiento de las directivas indicadas.
Cinco disciplinas de la gobernanza de la nube: Estas disciplinas admiten las directivas corporativas. Cada
disciplina protege a la compañía de posibles dificultades:
Materia de administración de costos
Materia de base de referencia de seguridad
Materia de coherencia de recursos
Materia de base de referencia de identidad
Materia de aceleración de la implementación
Básicamente, las directivas corporativas sirven como sistema de advertencia anticipada para detectar posibles
problemas. Las disciplinas ayudan a la compañía a mitigar los riesgos y crear barreras de seguridad.
NOTE
La gobernanza no sustituye a las funciones clave como la seguridad, las redes, la identidad, las finanzas, DevOps o las
operaciones. En el camino, surgirán interacciones y dependencias con los miembros de cada función. Estos miembros
deben incluirse en el equipo de gobernanza en la nube para acelerar las decisiones y las acciones.
Pasos siguientes
Aprenda a usar la herramienta de pruebas comparativas de gobernanza de Cloud Adoption Framework para
evaluar su recorrido de transformación e identificar carencias en su organización en seis dominios clave, tal y
como se define en el marco.
Evaluación del recorrido de transformación
Evaluación del recorrido de transformación
06/03/2021 • 2 minutes to read • Edit Online
Cloud Adoption Framework proporciona una herramienta de pruebas comparativas de gobernanza que le
ayudará a identificar carencias en su organización en seis dominios clave, tal y como se define en el marco.
Pasos siguientes
Comience su recorrido por la gobernanza con un pequeño conjunto de herramientas de gobernanza de fácil
implementación. Esta base de gobernanza inicial se denomina producto viable mínimo (MVP).
Establecimiento de una base de gobernanza inicial
Establecimiento de una base de gobernanza de la
nube inicial
22/03/2021 • 4 minutes to read • Edit Online
Pasos siguientes
Una vez que se implementa una base de gobernanza, aplique las recomendaciones adecuadas para mejorar la
solución y protegerse frente a riesgos tangibles.
Mejora de la base de gobernanza inicial
Mejora de una base de gobernanza de la nube
inicial
23/03/2021 • 2 minutes to read • Edit Online
En este artículo se supone que ha establecido una base de gobernanza de la nube inicial. A medida que se
implementa el plan de adopción de la nube, surgen riesgos tangibles a partir de los enfoques propuestos
mediante los cuales los equipos quieren adoptar la nube. A medida que estos riesgos afloren en las
conversaciones de planeamiento del lanzamiento, use la siguiente cuadrícula para identificar con rapidez
algunos procedimientos recomendados para aprovechar el plan de adopción y evitar que los riesgos se
conviertan en amenazas reales.
Vectores de madurez
Los procedimientos recomendados siguientes se pueden aplicar en cualquier momento a los fundamentos
iniciales de gobernanza a fin de afrontar los riesgos o necesidades que se mencionan en la siguiente tabla.
IMPORTANT
La organización de los recursos puede afectar al modo en que estos procedimientos recomendados se aplican. Es
importante comenzar con las recomendaciones que mejor se adaptan a la base de gobernanza de la nube inicial que
implementó en el paso anterior.
Pasos siguientes
Además de la aplicación de los procedimientos recomendados, la metodología de gobernanza de Cloud
Adoption Framework se puede personalizar para adaptarse a restricciones empresariales específicas. Después
de seguir las recomendaciones aplicables, evalúe las directivas corporativas para comprender los requisitos de
personalización adicionales.
Evaluación de las directivas corporativas
Guías de gobernanza en la nube
06/03/2021 • 11 minutes to read • Edit Online
En las guías prácticas de gobernanza de esta sección se explica el enfoque incremental del modelo de
gobernanza de Cloud Adoption Framework, basado en la metodología de gobernanza descrita anteriormente.
Puede establecer un enfoque ágil con respecto a la gobernanza en la nube que crecerá para satisfacer las
necesidades de cualquier escenario de gobernanza en la nube.
WARNING
Es posible que se requiera un punto de partida de gobernanza más sólido. En tales casos, considere la posibilidad de usar
la zona de aterrizaje de escala empresarial de CAF. Este método se centra en los equipos de adopción que tengan un
objetivo a medio plazo (un máximo de 24 meses) para hospedar más de 1000 recursos (aplicaciones, infraestructura o
datos) en la nube. La zona de aterrizaje de escala empresarial de CAF es la opción habitual para escenarios de gobernanza
complejos en los trabajos de adopción de la nube.
NOTE
Es improbable que alguna de las guías se ajuste en su totalidad a su situación. Elija la guía más adecuada y úsela como
punto de partida. A lo largo de la guía, se proporciona información adicional que le ayudará a personalizar las decisiones
para que cumplan criterios específicos.
Características empresariales
C A RA C T ERÍST IC A O RGA N IZ A C IÓ N ESTÁ N DA R EM P RESA C O M P L E JA
Geografía (país o región geopolítica) Los clientes y el personal residen en Los clientes y el personal residen en
gran medida en una geografía. varias regiones geográficas o requieren
nubes soberanas.
Unidades de negocio afectadas Unidades de negocio que comparten Varias unidades de negocio que no
una infraestructura de TI común comparten ninguna infraestructura de
TI común.
Inversiones en TI Las inversiones determinadas por los Las inversiones orientadas a los gastos
gastos de capital se planean de capital se planean anualmente y a
anualmente y, por lo general, cubren menudo incluyen el mantenimiento y
solo el mantenimiento básico. un ciclo de actualización de 3 a 5 años.
Proveedores de hospedaje de terceros Menos de cinco centros de datos Más de cinco centros de datos
o centro de datos
Base de referencia de seguridad: datos Datos financieros de la compañía e IP. Varias colecciones de datos financieros
protegidos Datos limitados del cliente. Sin y personales de los clientes. Es posible
requisitos de cumplimiento de que deba tener en cuenta el
terceros. cumplimiento de terceros.
Pasos siguientes
Elija una de estas guías:
Guía de gobernanza para empresas estándar
Guía de gobernanza para empresas complejas
Guía de gobernanza para empresas estándar
09/03/2021 • 19 minutes to read • Edit Online
WARNING
Este MVP es un punto de inicio de la base de referencia, basado en un conjunto de suposiciones. Incluso este conjunto
mínimo de procedimientos recomendados se basa en directivas corporativas controladas por las tolerancias al riesgo y los
riesgos empresariales únicos. Para ver si estas suposiciones se aplican a los usuarios, lea la narrativa más larga que sigue
este artículo.
Todas las aplicaciones deben implementarse en el área adecuada de la jerarquía de grupos de recursos,
suscripción y grupos de administración. Durante el planeamiento de la implementación, el equipo de
gobernanza en la nube creará los nodos necesarios en la jerarquía para capacitar a los equipos de adopción de
la nube.
1. Un grupo de administración para cada tipo de entorno (por ejemplo, producción, desarrollo y pruebas).
2. Dos suscripciones, una para cargas de trabajo de producción y otra para cargas de trabajo que no sean de
producción.
3. Debe aplicarse una nomenclatura coherente en cada nivel de esta jerarquía de agrupación.
4. Los grupos de recursos se deben implementar de forma que se tenga en cuenta el ciclo de vida de su
contenido: todo lo que se desarrolla conjuntamente, se administra conjuntamente y se retira conjuntamente.
Para más información sobre los procedimientos recomendados de los grupos de recursos, consulte la guía
de decisiones con coherencia de recursos.
5. La selección de región es sumamente importante y se debe tener muy en cuenta para que las redes, la
supervisión y la auditoría estén en vigor para la conmutación por error o la conmutación por recuperación
así como para la confirmación de que las SKU necesarias están disponibles en las regiones preferidas.
A continuación, se indica un ejemplo de este patrón de uso:
Estos patrones proporcionan espacio para el crecimiento sin complicar la jerarquía de forma innecesaria.
NOTE
En caso de que se produzcan cambios en sus requisitos empresariales, los grupos de administración de Azure permiten
reorganizar fácilmente la jerarquía de administración y las asignaciones de los grupos de suscripciones. Sin embargo,
tenga en cuenta que las asignaciones de directivas y roles que se aplican a un grupo de administración las heredan todas
las suscripciones que se encuentren debajo de ese grupo en la jerarquía. Si planea reasignar suscripciones entre los
distintos grupos de administración, asegúrese de que conoce todos los cambios en las asignaciones de directivas y roles
que pueden producirse. Para más información, consulte la documentación de los grupos de administración de Azure.
Gobernanza de recursos
Un conjunto de roles RBAC y directivas globales proporcionará un nivel base de referencia de cumplimiento de
gobernanza. Para satisfacer los requisitos de directivas del equipo de gobernanza de la nube, la implementación
del MVP de gobernanza exige completar las tareas siguientes:
1. Identifique las definiciones de Azure Policy personalizadas necesarias para cumplir los requisitos
empresariales. Esto puede incluir el uso de definiciones integradas y la creación de definiciones
personalizadas. Para mantenerse al día de las definiciones integradas recién publicadas, hay una fuente Atom
de todas las confirmaciones de las directivas integradas, que puede usar para una fuente RSS. Como
alternativa, puede comprobar AzAdvertizer.
2. Cree una definición del plano técnico mediante estas directivas integradas y personalizadas y las
asignaciones de roles que requiere el MVP de gobernanza.
3. Aplique las directivas y la configuración globalmente mediante la asignación de la definición del plano
técnico a todas las suscripciones.
Identificación de las definiciones de directivas
Azure proporciona varias directivas integradas y definiciones de roles que se pueden asignar a cualquier grupo
de administración, suscripción o grupo de recursos. Muchos requisitos habituales de gobernanza pueden
controlarse mediante definiciones integradas. Sin embargo, es probable que también necesite crear definiciones
de directivas personalizadas para administrar sus requisitos específicos.
Las definiciones de las directivas personalizadas se guardan en un grupo de administración o en una suscripción
y se heredan a través de la jerarquía de los grupos de administración. Si la ubicación de guardado de la
definición de una directiva es un grupo de administración, dicha definición está disponible para asignarla a
cualquiera de las suscripciones o grupos de administración secundarios de ese grupo.
Dado que las directivas necesarias para dar soporte al MVP de gobernanza están destinadas a aplicarse a todas
las suscripciones actuales, se implementarán los siguientes requisitos empresariales mediante una combinación
de definiciones integradas y personalizadas creadas en el grupo de administración raíz:
1. Restrinja la lista de asignaciones de roles disponibles al conjunto de roles de Azure integrados que autorice el
equipo de gobernanza de la nube. Esto requiere una definición de directiva personalizada.
2. Exija el uso de las siguientes etiquetas en todos los recursos: Departamento/unidad de facturación,
Geografía, Clasificación de los datos, Importancia crítica, Acuerdo de Nivel de Servicio, Entorno, Arquetipo de
aplicación, Aplicación y Propietario de aplicación. Esto se puede controlar mediante la definición integrada de
Require specified tag .
3. Solicite que la etiqueta Application de los recursos coincida con el nombre del grupo de recursos
pertinente. Esto puede controlarse mediante la definición integrada "Requerir etiqueta y su valor".
Para obtener información acerca de cómo definir directivas personalizadas, consulte la documentación de Azure
Policy. Para obtener una guía y ejemplos de directivas personalizadas, consulte el sitio de ejemplos de Azure
Policy y el repositorio de GitHub asociado.
Asignación de roles de RBAC y de Azure Policy mediante Azure Blueprints
Las directivas de Azure se pueden asignar en el nivel de grupo de recursos, suscripción y grupo de
administración, y se pueden incluir en las definiciones de Azure Blueprints. Aunque los requisitos de directiva
que se definen en este MVP de gobernanza se aplican a todas las suscripciones actuales, es muy probable que
las futuras implementaciones requieran excepciones o directivas alternativas. Como resultado, la asignación de
una directiva mediante grupos de administración. y que todas las suscripciones secundarias heredan estas
asignaciones, puede no ser lo suficientemente flexible para admitir estos escenarios.
Azure Blueprints permite la asignación coherente de roles y directivas, la aplicación de plantillas de Resource
Manager y la implantación de grupos de recursos en varias suscripciones. Al igual que las definiciones de
directivas, las definiciones de planos técnicos se guardan en grupos de administración o suscripciones. Las
definiciones de directivas están disponibles mediante la herencia para todos los elementos secundarios de la
jerarquía de grupos de administración.
El equipo de gobernanza en la nube ha decidido que el cumplimiento de las asignaciones de RBAC y Azure
Policy necesarias en las suscripciones se implementará a través de Azure Blueprints y los artefactos asociados:
1. En el grupo de administración raíz, cree una definición de plano técnico denominada governance-baseline .
2. Agregue los siguientes artefactos de plano técnico a dicha definición:
a. Asignaciones de directivas para las definiciones de Azure Policy personalizadas definidas en la raíz del
grupo de administración.
b. Definiciones de grupo de recursos para los grupos necesarios en las suscripciones creadas i regidas
por el MVP de gobernanza.
c. Asignaciones de roles estándar necesarias en las suscripciones que el MVP de gobernanza ha creado o
regido.
3. Publique la definición del plano técnico.
4. Asigne la definición del plano técnico governance-baseline a todas las suscripciones.
Consulte la documentación de Azure Blueprints para obtener más información sobre cómo crear y usar
definiciones del plano técnico.
Red virtual híbrida segura
A menudo, determinadas suscripciones requieren cierto nivel de acceso a los recursos locales. Esto es habitual
en escenarios de migración o escenarios de desarrollo en los que los recursos dependientes residen en el centro
de datos local.
Hasta que la confianza en el entorno de nube está completamente establecida es importante controlar y
supervisar estrechamente no solo todas las comunicaciones que se permiten entre el entorno local y las cargas
de trabajo en la nube, sino también que la red local está protegida contra el potencial acceso no autorizado de
recursos basados en la nube. Para admitir estos escenarios, el MVP de gobernanza agrega las siguientes
prácticas recomendadas:
1. Establezca una red virtual híbrida segura en la nube.
a. La arquitectura de referencia de la VPN establece un patrón y un modelo de implementación para
crear una instancia de VPN Gateway en Azure.
b. Compruebe que los mecanismos locales de seguridad y administración del tráfico traten las redes en
la nube conectadas como recursos que no son de confianza. Los recursos y servicios hospedados en la
nube solo deben tener acceso a los servicios locales autorizados.
c. Valide que el dispositivo de extremo local que se encuentra en el centro de datos local es compatible
con los requisitos de Azure VPN Gateway y está configurado para acceder a la red Internet pública.
d. Tenga en cuenta que los túneles de VPN no deben considerarse circuitos preparados para producción
salvo para las cargas de trabajo más simples. Todo lo que vaya más allá de algunas cargas de trabajo
sencillas que requieran conectividad local debería emplear Azure ExpressRoute.
2. En el grupo de administración raíz, cree una segunda definición del plano técnico llamada
secure-hybrid-vnet .
a. Agregue la plantilla de Resource Manager para la instancia de VPN Gateway como un artefacto para la
definición del plano técnico.
b. Agregue la plantilla de Resource Manager para la red virtual como un artefacto para la definición del
plano técnico.
c. Publique la definición del plano técnico.
3. Asigne la secure-hybrid-vnet definición del plano técnico a todas las suscripciones que requieran
conectividad local. Esta definición se debe asignar además de la definición del plano técnico
governance-baseline .
Una de las mayores preocupaciones que plantea la seguridad de TI y los equipos de gobernanza tradicional, es
el riesgo de que la adopción de la nube en una etapa temprana vaya a poner en peligro los recursos existentes.
El método anterior permite a los equipos de adopción de la nube crear y migrar soluciones híbridas, con un
riesgo reducido para los recursos locales. Cuando la confianza en el entorno en la nube aumente, las posteriores
evoluciones podrán quitar esta solución temporal.
NOTE
La información anterior es solo un punto de partida para crear rápidamente un MVP de gobernanza de línea de base.
Esto es solo el comienzo del recorrido hacia la gobernanza. De todos modos, será necesaria una evolución aún mayor a
medida que la empresa continúe adoptando la nube y asuma más riesgos en las siguientes áreas:
Cargas de trabajo críticas
Datos protegidos
Administración de costos
Escenarios de nube múltiple
Además, los detalles concretos de este MVP se basan en el proceso de ejemplo de una empresa ficticia, que se describe en
los artículos siguientes. Le recomendamos encarecidamente que se familiarice con los otros artículos de esta serie antes
de implementar este procedimiento recomendado.
Pasos siguientes
Ahora que se ha familiarizado con el producto viable mínimo de gobernanza y tiene una idea de las mejoras de
gobernanza que se deben seguir, lea la documentación complementaria para obtener más contexto.
Lectura de la narrativa de apoyo
Guía de gobernanza para empresas estándar: La
narrativa detrás de la estrategia de gobernanza
22/03/2021 • 6 minutes to read • Edit Online
La narrativa siguiente describe un caso de uso de gobernanza durante el recorrido de adopción de la nube de
una empresa estándar. Antes de implementar el recorrido, es importante comprender las suposiciones y los
razonamientos que se reflejan en esta descripción. Solo entonces podrá alinear mejor la estrategia de
gobernanza con el recorrido de su organización.
Antecedentes
La junta directiva comenzó el año con planes para dinamizar el negocio de varias maneras. Están impulsando el
liderazgo para mejorar las experiencias de los clientes y ganar cuota de mercado. También están apostando por
nuevos productos y servicios que posicionarán a la compañía como líder indiscutible del sector. Asimismo,
iniciaron un esfuerzo paralelo para reducir los desperdicios y los costos innecesarios. Aunque pueden ser
intimidantes, las acciones que la junta quiere llevar a cabo y su liderazgo muestran que el propósito de invertir
la mayor cantidad de capital posible está enfocado a conseguir un crecimiento futuro.
En el pasado, el director de sistemas de información de la empresa había sido excluido de estas conversaciones
estratégicas. Dado que la visión de futuro está intrínsecamente vinculada al crecimiento técnico, el
departamento de TI tiene un lugar en la mesa para aportar sus ideas en estos grandes planes y ahora se espera
que ofrezca nuevas formas de crecimiento. De todos modos, el equipo no está preparado para estos cambios y
es probable que tenga problemas con la curva de aprendizaje.
Características empresariales
La empresa tiene el siguiente perfil de negocio:
Todas las ventas y operaciones residen en un solo país, lo que supone un bajo porcentaje de clientes
globales.
El negocio funciona como una sola unidad de negocio y cuenta con un presupuesto alineado a las
funciones, entre las que se incluyen los departamentos de ventas, marketing, operaciones y TI.
La empresa considera la mayor parte del departamento de TI como una fuga de capital o un centro de
coste.
Estado actual
A continuación se muestra el estado actual de las operaciones de TI y de la nube de la empresa:
El departamento de TI operaba en dos entornos de infraestructura hospedados. Un entorno contiene
activos de producción. El segundo entorno contiene la opción de recuperación ante desastres y algunos
recursos de desarrollo y prueba. Estos entornos se hospedan en dos proveedores diferentes. El
departamento de TI se refiere a estos dos centros de datos como Prod y DR , respectivamente.
Asimismo, el departamento de TI entró en la nube al migrar todas las cuentas de correo electrónico de
los usuarios finales a Microsoft 365. Esta migración se completó hace seis meses. Desde entonces, solo se
han implementado unos pocos recursos de TI en la nube.
Los equipos de desarrollo de aplicaciones están trabajando en una capacidad de desarrollo y prueba para
aprender más sobre las funcionalidades nativas de la nube.
El equipo de inteligencia empresarial (BI) está experimentando con los macrodatos en la nube y la
protección de datos en nuevas plataformas.
La empresa tiene una directiva definida de manera general que indica que la información personal del
cliente y los datos financieros no se pueden hospedar en la nube, lo que limita las aplicaciones críticas en
las implementaciones actuales.
Las inversiones en TI están controladas en gran medida por el gasto de capital. Además, esas inversiones
se planifican anualmente. En los últimos años, en las inversiones se ha incluido poco más que los
requisitos básicos de mantenimiento.
Estado futuro
Se prevén los siguientes cambios para los próximos años:
El Director de sistemas de información está revisando la directiva sobre información personal y datos
financieros para poder llevar a cabo los futuros objetivos de estado.
Los equipos de desarrollo de aplicaciones y de BI quieren ponerse a producir y lanzar soluciones basadas
en la nube en los próximos 24 meses, según el objetivo para atraer clientes y ofrecer nuevos productos.
Este año, el equipo de TI terminará de retirar las cargas de trabajo de recuperación ante desastres del
centro de datos de DR al migrar 2000 máquinas virtuales a la nube. Se espera que esto produzca un
ahorro de costos estimado de 25 millones USD durante los próximos cinco años.
Debido a esto, la empresa planea cambiar la forma en que realiza las inversiones en TI cambiando la
posición del gasto de capital comprometido, que se ha establecido como un gasto operativo dentro del
departamento de TI. Este cambio proporcionará un mayor control de los costos, y permitirá que el
departamento de TI pueda acelerar otros esfuerzos previstos.
Pasos siguientes
La empresa ha desarrollado una directiva corporativa para dar forma a la implementación de la gobernanza. La
directiva corporativa dirige muchas de las decisiones técnicas.
Revisión de la directiva corporativa inicial
Guía de gobernanza para empresas estándar:
directiva corporativa inicial que está detrás de la
estrategia de gobernanza
06/03/2021 • 10 minutes to read • Edit Online
La siguiente directiva corporativa define una posición de gobernanza inicial, que es el punto de inicio de esta
guía. En este artículo se definen riesgos incipientes, las declaraciones de directiva iniciales y los procesos
iniciales para aplicar las declaraciones de directiva.
NOTE
La directiva corporativa no es un documento técnico, pero promueve muchas decisiones técnicas. El producto mínimo
viable de gobernanza descrito en la información general deriva, en última instancia, de esta directiva. Antes de
implementar un producto mínimo viable de gobernanza, su organización debe desarrollar una directiva corporativa en
función de sus propios objetivos y riesgos empresariales.
Objetivo
El objetivo inicial es establecer una base para la agilidad de gobernanza. Un producto viable mínimo de
gobernanza eficaz permite al equipo de gobernanza anticiparse a la adopción de la nube e implementar
barreras de seguridad a medida que cambia el plan de adopción.
Riesgos empresariales
La empresa está en una fase temprana de adopción de la nube, experimentando y creando pruebas de concepto.
Ahora los riesgos son relativamente bajos, pero es posible que existan riesgos futuros con un impacto
significativo. Existe poca definición acerca del estado final de las soluciones técnicas que se implementarán en la
nube. Además, la preparación de los empleados de TI para la nube es baja. Una base para la adopción de la nube
ayudará al equipo a aprender y crecer de forma segura.
Perdurabilidad: Existe el riesgo de no permitir el crecimiento, pero también el riesgo de no proporcionar los
mecanismos de protección adecuados contra los riesgos futuros.
Es necesario un enfoque de gobernanza ágil, pero sólido para admitir la visión del consejo para el crecimiento
corporativo y técnico. No implementar este tipo de estrategia ralentizará el crecimiento técnico, lo que
posiblemente ponga en riesgo el crecimiento de la cuota de mercado actual y futura. El impacto de un riesgo
empresarial tal es claramente alto. Sin embargo, se desconoce el rol que TI desempeñará en dichos posibles
estados futuros, lo que hace que el riesgo asociado con los esfuerzos actuales de TI sean relativamente altos.
Dicho esto, en tanto no se alineen planes más concretos, la empresa tiene una alta tolerancia al riesgo.
Este riesgo empresarial puede dividirse de manera táctica en varios riesgos técnicos:
Las directivas corporativas bienintencionadas podrían ralentizar los esfuerzos de transformación o
interrumpir los procesos empresariales esenciales si no se tienen en cuenta dentro de un flujo de aprobación
estructurado.
La aplicación de la gobernanza a los recursos implementados podría ser difícil y costosa.
La gobernanza puede no aplicarse correctamente en una aplicación o una carga de trabajo, lo que crea
brechas de seguridad.
Con tantos equipos que trabajan en la nube, existe un riesgo de incoherencia.
Los costos pueden no alinearse correctamente con las unidades de negocio, los equipos u otras unidades de
administración presupuestarias.
El uso de varias identidades para administrar varias implementaciones puede provocar problemas de
seguridad.
A pesar de las directivas actuales, existe el riesgo de que los datos protegidos puedan implementarse por
error en la nube.
Indicadores de tolerancia
La tolerancia al riesgo actual es alta y el apetito por invertir en la gobernanza de la nube es bajo. Como tales, los
indicadores de tolerancia actúan como sistema de advertencia anticipado para desencadenar una mayor
inversión de tiempo y energía. Si se observan los indicadores siguientes, debe mejorar de forma iterativa la
estrategia de gobernanza.
Administración de costos: La escala de la implementación supera los límites predeterminados de número
de recursos o el costo mensual.
Base de referencia de seguridad : inclusión de datos protegidos en planes de adopción de la nube
definidos.
Coherencia de recursos: inclusión de cualquier aplicación crítica en planes de adopción de la nube
definidos.
Policy statements
Las siguientes declaraciones de la directiva establecen los requisitos necesarios para corregir los riesgos
definidos. Estas directivas definen los requisitos funcionales para el MVP de gobernanza. Cada uno se
representará en la implementación del MVP de gobernanza.
Administración de costos:
Con fines de seguimiento, todos los recursos deben asignarse a un propietario de aplicación dentro de una
de las principales funciones empresariales.
Cuando surjan problemas de costos, se establecerán requisitos de gobernanza adicionales con el equipo de
finanzas.
Base de referencia de seguridad:
Cualquier recurso implementado en la nube debe tener una clasificación de datos aprobada.
Ningún recurso identificado con un nivel de datos protegidos se puede implementar en la nube, hasta que se
aprueben e implementen los suficientes requisitos de seguridad y gobernanza.
Hasta que se puedan validar y gobernar los requisitos mínimos de seguridad de red, los entornos en la nube
se perciben como una red perimetral y deben cumplir con requisitos de conexión similares a otros centros de
datos o redes internas.
Coherencia de recursos:
Dado que no se implementa ninguna carga de trabajo crítica en esta fase, no hay ningún requisito de SLA,
rendimiento o BCDR que se deba gobernar.
Cuando se implementen cargas de trabajo críticas, se establecerán requisitos de gobernanza adicionales con
las operaciones de TI.
Base de referencia de identidad:
todos los recursos que se implementan en la nube deben controlarse mediante identidades y roles
aprobados por las directivas de gobernanza actuales.
todos los grupos de la infraestructura local de Active Directory que tienen privilegios elevados deben
asignarse a un rol RBAC aprobado.
Aceleración de la implementación:
Todos los recursos se deben agrupar y etiquetar en función de las estrategias de agrupación y etiquetado
definidas.
Todos los recursos deben usar un modelo de implementación aprobado.
Una vez que se ha establecido una base de gobernanza para un proveedor de nube, las herramientas de
implementación deben ser compatibles con las herramientas definidas por el equipo de gobernanza.
Procesos
No se ha asignado ningún presupuesto para la supervisión en curso y el cumplimiento de estas directivas de
gobernanza. Por este motivo, el equipo de gobernanza de la nube tiene varias formas improvisadas de
supervisar el cumplimiento de las declaraciones de las directivas.
Educación: el equipo de gobernanza de la nube está invirtiendo tiempo en formar a los equipos de
adopción de la nube en las guías de gobernanza que admiten estas directivas.
Revisiones de la implementación: antes de implementar cualquier recurso, el equipo de gobernanza de
la nube revisará la guía de gobernanza con los equipos de adopción de la nube.
Pasos siguientes
Esta directiva corporativa prepara el equipo de gobernanza de la nube para implementar el producto viable
mínimo de gobernanza, que será la base para la adopción. El siguiente paso es implementar dicho producto
mínimo viable.
Explicación de los procedimientos recomendados
Guía de gobernanza para empresas estándar:
Explicación de los procedimientos recomendados
06/03/2021 • 24 minutes to read • Edit Online
La guía de gobernanza empieza con un conjunto de directivas corporativas iniciales. Estas directivas se usan
para establecer un MVP de gobernanza que refleje los procedimientos recomendados.
En este artículo, se abordarán las estrategias generales necesarias para crear un MVP de gobernanza. En el
centro del MVP de gobernanza se encuentra la materia de aceleración de la implementación. Las herramientas y
los patrones que se aplican en esta etapa darán lugar a las mejoras graduales necesarias para expandir la
gobernanza en el futuro.
Proceso de implementación
La implementación del MVP de gobernanza tiene dependencias de identidad, seguridad y redes. Una vez
resueltas las dependencias, el equipo de gobernanza de la nube decidirá algunos aspectos de la gobernanza. Las
decisiones del equipo de gobernanza de la nube y de los equipos auxiliares se implementarán a través de un
único paquete de recursos de cumplimiento.
Esta implementación también se puede describir con una simple lista:
1. Solicitar decisiones relacionadas con las dependencias principales: identidad, redes, supervisión y cifrado.
2. Determinar el patrón que se usará durante el cumplimiento de las directivas corporativas.
3. Determinar los patrones de gobernanza apropiados para las materias de coherencia de los recursos,
etiquetado de los recursos y registro e informes.
4. Implementar las herramientas de gobernanza alineadas con el patrón elegido de cumplimiento de directivas
para aplicar las decisiones dependientes y las decisiones de gobernanza.
Decisiones dependientes
Las siguientes decisiones proceden de equipos fuera del equipo de gobernanza de la nube. La implementación
de cada una procederá de esos mismos equipos. No obstante, el equipo de gobernanza de la nube es
responsable de implementar una solución para validar que esas implementaciones se aplican de forma
coherente.
Línea de base de identidad
La línea de base de identidad es el punto de partida fundamental para toda gobernanza. Antes de intentar
aplicar la gobernanza, se debe establecer la identidad. A continuación, las soluciones de gobernanza harán
cumplir la estrategia de identidad establecida. En esta guía de gobernanza, el equipo de administración de
identidades implementa el patrón de sincronización de directorios:
Azure Active Directory (Azure AD) proporcionará RBAC, mediante la sincronización de directorios o el
"mismo inicio de sesión" que se implementó durante la migración de la empresa a Microsoft 365. Para una
guía sobre la implementación, consulte Arquitectura de referencia para Integración de Azure AD.
El inquilino de Azure AD también regirá la autenticación y el acceso a los recursos implementados en Azure.
En el producto viable mínimo de gobernanza, el equipo de gobernanza hará cumplir la aplicación del inquilino
replicado mediante herramientas de gobernanza de la suscripción que se describen más adelante en este
artículo. En iteraciones futuras, el equipo de gobernanza podría también aplicar herramientas enriquecidas de
Azure AD para ampliar esta funcionalidad.
Base de referencia de seguridad: Redes
Una red definida por software es un aspecto inicial importante de la línea de base de seguridad. Establecer el
MVP de gobernanza depende de decisiones tempranas por parte del equipo de administración de seguridad
para definir cómo se pueden configurar con seguridad las redes.
Debido a la falta de requisitos, el equipo de seguridad de TI busca protección y ha solicitado un patrón de nube
DMZ. Esto significa que la gobernanza de las implementaciones de Azure mismas será muy ligero.
Las suscripciones de Azure pueden conectarse a un centro de datos existente mediante VPN, pero deben
seguir todas las directivas locales de gobernanza de TI con respecto a la conexión de una red perimetral a los
recursos protegidos. Para obtener instrucciones sobre la implementación con respecto a la conectividad de
VPN, consulte el artículo Red local conectada a Azure mediante VPN Gateway.
Actualmente se están aplazando las decisiones con respecto a subredes, firewalls y enrutamiento a cada
cliente potencial de aplicación y carga de trabajo.
Se requiere un análisis adicional antes de la publicación de datos protegidos o cargas de trabajo críticas.
En este patrón, las redes en la nube solo pueden conectarse a los recursos locales a través de una VPN existente
que sea compatible con Azure. El tráfico a través de esa conexión se tratará como cualquier tráfico procedente
de una red perimetral. Puede que sean necesarias consideraciones adicionales relativas al dispositivo perimetral
local para controlar el tráfico de Azure de forma segura.
El equipo de gobernanza de la nube ha invitado activamente a los miembros de los equipos de redes y de
seguridad de TI a reuniones periódicas para anticiparse a las demandas y los riesgos de las redes.
Base de referencia de seguridad: Cifrado
El cifrado es otra decisión fundamental en la materia de línea de base de seguridad. Dado que la empresa
actualmente todavía no almacena ningún dato protegido en la nube, el equipo de seguridad ha decidido un
patrón menos agresivo para el cifrado. En este momento, se sugiere un patrón nativo de la nube para el cifrado,
pero no es obligatorio para ningún equipo de desarrollo.
No se han establecido requisitos de gobernanza con respecto al uso de cifrado, ya que la actual directiva
corporativa no permite datos críticos ni protegidos en la nube.
Serán necesarios análisis adicionales antes de la publicación de datos protegidos o cargas de trabajo críticas.
Aplicación de directivas
La primera decisión que se deberá tomar en cuanto a la aceleración de la implementación es el patrón para el
cumplimiento. En esta narración, el equipo de gobernanza ha decidido implementar el patrón cumplimiento
automatizado.
Azure Security Center estará disponible para que los equipos de seguridad e identidad supervisen los riesgos
de seguridad. También es probable que ambos equipos usen Security Center para identificar los nuevos
riesgos y mejorar la directiva corporativa.
RBAC se requiere en todas las suscripciones para controlar el cumplimiento de autenticación.
Azure Policy se publicará en cada grupo de administración y se aplicará a todas las suscripciones. Sin
embargo, el nivel de las directivas que se aplique será muy limitado en este MVP de gobernanza inicial.
Aunque se usen grupos de administración de Azure, se espera una jerarquía relativamente sencilla.
Azure Blueprints se usará para implementar y actualizar las suscripciones mediante la aplicación de
requisitos de RBAC, plantillas de Resource Manager y Azure Policy en los grupos de administración.
IMPORTANT
Siempre que un recurso de un grupo deje de compartir el mismo ciclo de vida, se debe trasladar a otro grupo de recurso.
Entre los ejemplos se incluyen bases de datos y componentes de red habituales. Aunque pueden servir a la aplicación que
se está desarrollando, también pueden servir para otros fines y, por tanto, existir en otros grupos de recursos.
Etiquetado de recursos
Las decisiones sobre el etiquetado de recursos determinan cómo se aplican los metadatos a los recursos de
Azure de una suscripción con fines operativos, administrativos y contables. En este caso, se ha elegido el patrón
Clasificación como modelo predeterminado del etiquetado de recursos.
Los recursos implementados se deben etiquetar con:
Clasificación de datos
Grado de importancia
Contrato de nivel de servicio
Entorno
Estos cuatro valores impulsarán las decisiones de gobernanza, operaciones y seguridad.
Si esta guía de gobernanza se implementa en una unidad de negocio o un equipo dentro de una empresa
más grande, el etiquetado también debe incluir los metadatos para la unidad de facturación.
Registro e informes
Las decisiones sobre registro e informes determinan cómo el almacén registra los datos y cómo se estructuran
las herramientas de supervisión e informe que mantienen al personal de TI informado del estado operativo. En
este ejemplo, se sugiere un patrón nativo en la nube** para el registro y los informes.
Patrones alternativos
Si cualquiera de los patrones seleccionados en esta guía de gobernanza no se adapta a los requisitos del lector,
existen otras alternativas para cada patrón:
Patrones de cifrado
Patrones de identidad
Patrones de registro e informes
Patrones de cumplimiento de directivas
Patrones de coherencia de recursos
Patrones de etiquetado de recursos
Patrones de redes definidos por software
Patrones de diseño de suscripciones
Pasos siguientes
Una vez que se implemente esta guía, cada equipo de adopción de la nube puede continuar con una base sólida
de gobernanza. Al mismo tiempo, el equipo de gobernanza de la nube trabajará para actualizar continuamente
las directivas corporativas y las materias de gobernanza.
Los dos equipos usarán los indicadores de tolerancia para identificar el próximo conjunto de mejoras necesario
para seguir impulsando la adopción de la nube. Para la empresa ficticia de esta guía, el siguiente paso es
mejorar la base de referencia de seguridad para respaldar la migración de datos protegidos a la nube.
Mejora de la materia de base de referencia de la seguridad
Guía de gobernanza para empresas estándar:
Mejora de la materia de base de referencia de la
seguridad
06/03/2021 • 22 minutes to read • Edit Online
En este artículo se continúa con la descripción de la estrategia de gobernanza y se agregan los controles de
seguridad que respaldan el traslado de datos protegidos a la nube.
Continuación de la historia
El departamento de TI y la dirección de la empresa están satisfechos con los resultados de la experimentación
inicial de los equipos de TI, desarrollo de aplicaciones y BI. Para obtener valores empresariales tangibles de estos
experimentos, los equipos deben poder integrar datos protegidos en soluciones. Esta integración desencadena
cambios en la directiva corporativa. También requiere una mejora gradual de las implementaciones de la
gobernanza de la nube antes de que los datos protegidos se puedan colocar en la nube.
Cambios en el equipo de gobernanza de la nube
Dado el efecto del cambio de narración y el respaldo proporcionados hasta ahora, el equipo de gobernanza de
la nube se percibe de forma diferente. Los dos administradores del sistema que iniciaron el equipo se ven ahora
como arquitectos con experiencia en la nube. A medida que se desarrolla la narración, la percepción que se tiene
de ellos variará, pasarán de ser administradores de la nube a tener más bien un rol de protectores de la nube.
Aunque la diferencia es sutil, puede suponer una distinción importante a la hora de crear una cultura de TI
centrada en la gobernanza. Los administradores de la nube limpian el desorden realizado por los innovadores
arquitectos de la nube. La fricción entre los dos roles es natural ya que sus objetivos son opuestos. Por otro lado,
un protector de la nube ayuda a mantener la nube segura, con el fin de que otros arquitectos de la nube puedan
moverse más rápidamente, ya que hay menos desorden. Los protectores de la nube participan en la creación de
plantillas que aceleran la implementación de la nube y su adopción. Por consiguiente, son los impulsores de la
innovación, además de los defensores de las cinco materias de la gobernanza en la nube.
Cambios en el estado actual
Al principio de esta narración, los equipos de desarrollo de aplicaciones aún estaban trabajando en una
capacidad de desarrollo y prueba, y el equipo de BI aún estaba en la fase experimental. TI manejaba dos
entornos de infraestructura hospedados, denominados Prod y DR .
Desde entonces, han cambiado algunas cosas que afectarán a la gobernanza:
El equipo de desarrollo de aplicaciones ha implementado una canalización de CI/CD para implementar una
aplicación nativa en la nube con una experiencia de usuario mejorada. Dado que la aplicación aún no
interactúa con datos protegidos, no está lista para producción.
El equipo de inteligencia empresarial de TI mantiene activamente los datos en la nube de terceros, inventario
y logística. Estos datos se usan para impulsar nuevas predicciones que pueden dar forma a procesos
empresariales. Esas predicciones y conclusiones no son útiles hasta que los datos del cliente y los financieros
se pueden integrar en la plataforma de datos.
El equipo de TI hace progresos en los planes del CIO y del director financiero para retirar el centro de datos
de DR. Se han retirado o migrado más de 1000 de los 2000 recursos del centro de datos de DR.
Las directivas definidas de forma flexible para la información personal y datos financieros se han
modernizado. Las nuevas directivas corporativas están supeditadas a la implementación de directivas de
seguridad y de gobernanza relacionadas. Así que los equipos siguen estancados.
Mejora gradual del estado futuro
Los primeros experimentos de los equipos de desarrollo de aplicaciones e inteligencia empresarial han
mostrado mejoras potenciales en las experiencias de los clientes y las decisiones basadas en datos. Ambos
equipos quieren expandir la adopción de la nube en los próximos 18 meses mediante la implementación de
estas soluciones en producción.
Durante los seis meses restantes, el equipo de gobernanza de la nube implementará requisitos de seguridad y
gobernanza para permitir que los equipos de adopción de la nube puedan migrar los datos protegidos de esos
centros de datos.
Los cambios de los estados actual y futuro exponen nuevos riesgos que requieren nuevas instrucciones de
directiva.
Conclusión
La adición de los procesos anteriores y los cambios realizados en el producto viable mínimo de gobernanza
ayudarán a corregir muchos de los riesgos asociados con controles de seguridad. Juntos, agregan herramientas
de supervisión de red, así como la identidad y la seguridad necesarias para proteger los datos.
Pasos siguientes
A medida que avanza la adopción de la nube y aporta valores empresariales adicionales, también cambian los
riesgos y necesidades de gobernanza de la nube. En cuanto a la empresa ficticia de esta guía, el paso siguiente
es dar servicio a las cargas de trabajo críticas. En este punto, se necesitan controles de coherencia de los
recursos.
Mejora de la materia de coherencia de los recursos
Guía de gobernanza para empresas estándar:
Mejora de la materia de coherencia de los recursos
06/03/2021 • 14 minutes to read • Edit Online
En este artículo, la narrativa avanza agregando controles de coherencia de los recursos para dar servicio a
aplicaciones críticas.
Continuación de la historia
Las nuevas experiencias de clientes, las nuevas herramientas de predicción y la infraestructura migrada siguen
avanzando. La empresa ahora está lista para comenzar a usar esos recursos en un entorno de producción.
Cambios en el estado actual
En la fase anterior de esta narrativa, los equipos de BI y desarrollo de aplicaciones estaban prácticamente listos
para integrar los datos financieros y de clientes en cargas de trabajo de producción. El equipo de TI estaba a
punto de retirar el centro de datos de recuperación ante desastres.
Desde entonces, han cambiado algunas cosas que afectarán a la gobernanza:
TI ha retirado el 100 % del centro de datos de recuperación ante desastres, antes de lo previsto. Durante el
proceso, se identificó un conjunto de recursos del centro de datos de producción como candidatos para la
migración a la nube.
Los equipos de desarrollo de aplicaciones ya están preparados para el tráfico de producción.
El equipo de BI está listo para devolver información y predicciones de fuentes a los sistemas de operaciones
del centro de datos de producción.
Mejora gradual del estado futuro
Antes de usar las implementaciones de Azure en los procesos empresariales de producción, las operaciones en
la nube deben madurar. En conjunto, se requieren cambios adicionales de la gobernanza para asegurarse de que
los recursos pueden funcionar correctamente.
Los cambios de los estados actual y futuro exponen nuevos riesgos que requerirán nuevas declaraciones de
directiva.
Conclusión
Estos procesos y cambios adicionales aplicados al producto viable mínimo de gobernanza ayudan a corregir
muchos de los riesgos asociados con la regulación de recursos. Juntos, agregan los controles de recuperación,
tamaño y supervisión que permiten las operaciones basadas en la nube.
Pasos siguientes
A medida que avanza la adopción de la nube y aporta valores empresariales adicionales, también cambian los
riesgos y necesidades de gobernanza de la nube. Para la compañía ficticia de esta guía, el siguiente
desencadenador se da cuando la escala de implementación supera los 100 recursos en la nube o el gasto
mensual supera los 1 000 USD al mes. En este punto, el equipo de gobernanza de la nube agrega controles de
administración de costos.
Mejora de la materia de administración de costos
Guía de gobernanza para empresas estándar:
Mejora de la materia de administración de costos
06/03/2021 • 9 minutes to read • Edit Online
En este artículo se detalla la incorporación de controles de costos al producto viable mínimo de gobernanza.
Continuación de la historia
La adopción ha aumentado superando el indicador de tolerancia de costos que se definió en el producto
mínimo viable de gobernanza. Esto es algo bueno, ya que se corresponde con las migraciones desde el centro
de datos de recuperación ante desastres. Los aumentos en el gasto ahora justifican una inversión de tiempo por
parte del equipo de gobernanza de la nube.
Cambios en el estado actual
En una fase anterior de esta narración, TI había retirado el 100 % del centro de datos de recuperación ante
desastres. Los equipos de desarrollo de aplicaciones y de inteligencia empresarial estaban preparados para el
tráfico de producción.
Desde entonces, han cambiado algunas cosas que afectarán a la gobernanza:
El equipo de migración ha empezado a migrar las máquinas virtuales fuera del centro de datos de
producción.
Los equipos de desarrollo de aplicaciones están insertando activamente aplicaciones de producción en la
nube a través de canalizaciones de CI/CD. Esas aplicaciones se pueden escalar de forma reactiva según las
demandas de los usuarios.
El equipo de inteligencia empresarial del departamento de TI ha entregado varias herramientas de análisis
predictivo en la nube. Los volúmenes de datos agregados en la nube siguen creciendo.
Todo este crecimiento es compatible con los resultados empresariales comprometidos. Los costos han
comenzado a inflarse. Los presupuestos proyectados están creciendo más rápido de lo esperado. El
departamento de dirección financiera necesita enfoques mejorados para administrar los costos.
Mejora gradual del estado futuro
La supervisión de costos y los informes se agregarán a la solución en la nube. TI aún actúa como un centro de
compensación de costos. Esto significa que los pagos para los servicios en la nube proceden aún de la
contratación de TI. Los informes deben vincular los gastos operativos directos a las funciones que consumen los
costos de la nube. A este modelo se le conoce como modelo de simulación de la repercusión de los costos en
relación con la contabilidad de la nube.
Los cambios de los estados actual y futuro exponen nuevos riesgos que requerirán nuevas declaraciones de
directiva.
Pasos siguientes
A medida que avanza la adopción de la nube y aporta valores empresariales adicionales, también cambian los
riesgos y necesidades de gobernanza de la nube. Para la empresa ficticia de esta guía, el siguiente paso es usar
esta inversión de gobernanza para administrar varias nubes.
Evolución en varias nubes
Guía de gobernanza para empresas estándar:
Mejora de la nube múltiple
22/03/2021 • 9 minutes to read • Edit Online
En este artículo se desarrolla la narrativa con la adición de controles para la adopción de varias nubes.
Continuación de la historia
Microsoft reconoce que los clientes pueden adoptar varias nubes para propósitos específicos. El cliente ficticio
de esta guía no es una excepción. Paralelamente al recorrido de adopción de Azure, el éxito del negocio ha
llevado a la adquisición de una empresa pequeña, pero complementaria. Ese negocio ejecuta todas sus
operaciones de TI en un proveedor de servicios en la nube diferente.
En este artículo se describen cómo cambian las cosas cuando se integra la nueva organización. A efectos de la
narrativa, asumimos que esta empresa ha completado cada una de las iteraciones de gobernanza descritas en
esta guía de gobernanza.
Cambios en el estado actual
En la fase anterior de esta narrativa, la empresa había comenzado a insertar activamente las aplicaciones de
producción en la nube mediante canalizaciones de CI/CD.
Desde entonces, han cambiado algunas cosas que afectarán a la gobernanza:
La identidad se controla mediante una instancia local de Active Directory. La identidad híbrida se facilita
mediante la replicación a Azure Active Directory.
Las operaciones de TI o las operaciones de la nube se administran en gran parte en Azure Monitor y en
procesos de automatización relacionados.
La recuperación ante desastres y la continuidad empresarial se controlan mediante almacenes de Recovery
Services.
Azure Security Center se utiliza para supervisar infracciones de seguridad y ataques.
Tanto Azure Security Center como Azure Monitor se utilizan para supervisar la gobernanza de la nube.
Azure Blueprints, Azure Policy y los grupos de administración de Azure se utilizan para automatizar el
cumplimiento con la directiva.
Mejora gradual del estado futuro
El objetivo es integrar la empresa de adquisición en las operaciones existentes siempre que sea posible.
WARNING
Este MVP es un punto de inicio de la base de referencia, basado en un conjunto de suposiciones. Incluso este conjunto
mínimo de procedimientos recomendados se basa en directivas corporativas controladas por las tolerancias al riesgo y los
riesgos empresariales únicos. Para ver si estas suposiciones se aplican a los usuarios, lea la narrativa más larga que sigue
este artículo.
Todas las aplicaciones deben implementarse en el área adecuada de la jerarquía de grupos de recursos,
suscripción y grupos de administración. Durante el planeamiento de la implementación, el equipo de
gobernanza en la nube creará los nodos necesarios en la jerarquía para capacitar a los equipos de adopción de
la nube.
1. Defina un grupo de administración para cada unidad de negocio con una jerarquía detallada que refleje
primero la zona geográfica y, después, el tipo de entorno (por ejemplo, los entornos de producción o de
no producción).
2. Cree una suscripción de producción y otra de no producción para cada combinación única de unidad de
negocio o zona geográfica discretas. La creación de varias suscripciones requiere extremar la atención.
Para más información, consulte la Guía de decisiones de suscripción.
3. Aplique una nomenclatura coherente en cada nivel de esta jerarquía de agrupación.
4. Los grupos de recursos se deben implementar de forma que tengan en cuenta el ciclo de vida de su
contenido. Los recursos que se desarrollan, se administran y se retiran juntos pertenecen al mismo
grupo. Para más información sobre los procedimientos recomendados para usar grupos de recursos,
consulte la guía de decisiones con coherencia de recursos.
5. La selección de región es sumamente importante y se debe tener muy en cuenta para que las redes, la
supervisión y la auditoría estén en vigor para la conmutación por error o la conmutación por
recuperación así como para la confirmación de que las SKU necesarias están disponibles en las regiones
preferidas.
Estos patrones permiten crecer sin que la jerarquía sea innecesariamente complicada.
NOTE
En caso de que se produzcan cambios en sus requisitos empresariales, los grupos de administración de Azure permiten
reorganizar fácilmente la jerarquía de administración y las asignaciones de los grupos de suscripciones. Sin embargo,
tenga en cuenta que las asignaciones de directivas y roles que se aplican a un grupo de administración las heredan todas
las suscripciones que se encuentren debajo de ese grupo en la jerarquía. Si planea reasignar suscripciones entre los
distintos grupos de administración, asegúrese de que conoce todos los cambios en las asignaciones de directivas y roles
que pueden producirse. Para más información, consulte la documentación de los grupos de administración de Azure.
Gobernanza de recursos
Un conjunto de roles RBAC y directivas globales proporcionará un nivel base de referencia de cumplimiento de
gobernanza. Para satisfacer los requisitos de directivas del equipo de gobernanza de la nube, la implementación
del MVP de gobernanza exige completar las tareas siguientes:
1. Identifique las definiciones de Azure Policy personalizadas necesarias para cumplir los requisitos
empresariales. Esto puede incluir el uso de definiciones integradas y la creación de definiciones
personalizadas. Para mantenerse al día de las definiciones integradas recién publicadas, hay una fuente Atom
de todas las confirmaciones de las directivas integradas, que puede usar para una fuente RSS. Como
alternativa, puede comprobar AzAdvertizer.
2. Cree una definición del plano técnico mediante estas directivas integradas y personalizadas y las
asignaciones de roles que requiere el MVP de gobernanza.
3. Aplique las directivas y la configuración globalmente mediante la asignación de la definición del plano
técnico a todas las suscripciones.
Identificación de las definiciones de directivas
Azure proporciona varias directivas integradas y definiciones de roles que se pueden asignar a cualquier grupo
de administración, suscripción o grupo de recursos. Muchos requisitos habituales de gobernanza pueden
controlarse mediante definiciones integradas. Sin embargo, es probable que también necesite crear definiciones
de directivas personalizadas para administrar sus requisitos específicos.
Las definiciones de las directivas personalizadas se guardan en un grupo de administración o en una suscripción
y se heredan a través de la jerarquía de los grupos de administración. Si la ubicación de guardado de la
definición de una directiva es un grupo de administración, dicha definición está disponible para asignarla a
cualquiera de las suscripciones o grupos de administración secundarios de ese grupo.
Dado que las directivas necesarias para dar soporte al MVP de gobernanza están destinadas a aplicarse a todas
las suscripciones actuales, se implementarán los siguientes requisitos empresariales mediante una combinación
de definiciones integradas y personalizadas creadas en el grupo de administración raíz:
1. Restrinja la lista de asignaciones de roles disponibles al conjunto de roles de Azure integrados que autorice el
equipo de gobernanza de la nube. Esto requiere una definición de directiva personalizada.
2. Exija el uso de las siguientes etiquetas en todos los recursos: Departamento/unidad de facturación,
Geografía, Clasificación de los datos, Importancia crítica, Acuerdo de Nivel de Servicio, Entorno, Arquetipo de
aplicación, Aplicación y Propietario de aplicación. Esto se puede controlar mediante la definición integrada de
Require specified tag .
3. Solicite que la etiqueta Application de los recursos coincida con el nombre del grupo de recursos
pertinente. Esto puede controlarse mediante la definición integrada "Requerir etiqueta y su valor".
Para obtener información acerca de cómo definir directivas personalizadas, consulte la documentación de Azure
Policy. Para obtener una guía y ejemplos de directivas personalizadas, consulte el sitio de ejemplos de Azure
Policy y el repositorio de GitHub asociado.
Asignación de roles de RBAC y de Azure Policy mediante Azure Blueprints
Las directivas de Azure se pueden asignar en el nivel de grupo de recursos, suscripción y grupo de
administración, y se pueden incluir en las definiciones de Azure Blueprints. Aunque los requisitos de directiva
que se definen en este MVP de gobernanza se aplican a todas las suscripciones actuales, es muy probable que
las futuras implementaciones requieran excepciones o directivas alternativas. Como resultado, la asignación de
una directiva mediante grupos de administración. y que todas las suscripciones secundarias heredan estas
asignaciones, puede no ser lo suficientemente flexible para admitir estos escenarios.
Azure Blueprints permite la asignación coherente de roles y directivas, la aplicación de plantillas de Resource
Manager y la implantación de grupos de recursos en varias suscripciones. Al igual que las definiciones de
directivas, las definiciones de planos técnicos se guardan en grupos de administración o suscripciones. Las
definiciones de directivas están disponibles mediante la herencia para todos los elementos secundarios de la
jerarquía de grupos de administración.
El equipo de gobernanza en la nube ha decidido que el cumplimiento de las asignaciones de RBAC y Azure
Policy necesarias en las suscripciones se implementará a través de Azure Blueprints y los artefactos asociados:
1. En el grupo de administración raíz, cree una definición de plano técnico denominada governance-baseline .
2. Agregue los siguientes artefactos de plano técnico a dicha definición:
a. Asignaciones de directivas para las definiciones de Azure Policy personalizadas definidas en la raíz del
grupo de administración.
b. Definiciones de grupo de recursos para los grupos necesarios en las suscripciones creadas i regidas
por el MVP de gobernanza.
c. Asignaciones de roles estándar necesarias en las suscripciones que el MVP de gobernanza ha creado o
regido.
3. Publique la definición del plano técnico.
4. Asigne la definición del plano técnico governance-baseline a todas las suscripciones.
Consulte la documentación de Azure Blueprints para obtener más información sobre cómo crear y usar
definiciones del plano técnico.
Red virtual híbrida segura
A menudo, determinadas suscripciones requieren cierto nivel de acceso a los recursos locales. Esto es habitual
en escenarios de migración o escenarios de desarrollo en los que los recursos dependientes residen en el centro
de datos local.
Hasta que la confianza en el entorno de nube está completamente establecida es importante controlar y
supervisar estrechamente no solo todas las comunicaciones que se permiten entre el entorno local y las cargas
de trabajo en la nube, sino también que la red local está protegida contra el potencial acceso no autorizado de
recursos basados en la nube. Para admitir estos escenarios, el MVP de gobernanza agrega las siguientes
prácticas recomendadas:
1. Establezca una red virtual híbrida segura en la nube.
a. La arquitectura de referencia de la VPN establece un patrón y un modelo de implementación para
crear una instancia de VPN Gateway en Azure.
b. Compruebe que los mecanismos locales de seguridad y administración del tráfico traten las redes en
la nube conectadas como recursos que no son de confianza. Los recursos y servicios hospedados en la
nube solo deben tener acceso a los servicios locales autorizados.
c. Valide que el dispositivo de extremo local que se encuentra en el centro de datos local es compatible
con los requisitos de Azure VPN Gateway y está configurado para acceder a la red Internet pública.
d. Tenga en cuenta que los túneles de VPN no deben considerarse circuitos preparados para producción
salvo para las cargas de trabajo más simples. Todo lo que vaya más allá de algunas cargas de trabajo
sencillas que requieran conectividad local debería emplear Azure ExpressRoute.
2. En el grupo de administración raíz, cree una segunda definición del plano técnico llamada
secure-hybrid-vnet .
a. Agregue la plantilla de Resource Manager para la instancia de VPN Gateway como un artefacto para la
definición del plano técnico.
b. Agregue la plantilla de Resource Manager para la red virtual como un artefacto para la definición del
plano técnico.
c. Publique la definición del plano técnico.
3. Asigne la secure-hybrid-vnet definición del plano técnico a todas las suscripciones que requieran
conectividad local. Esta definición se debe asignar además de la definición del plano técnico
governance-baseline .
Una de las mayores preocupaciones que plantea la seguridad de TI y los equipos de gobernanza tradicional, es
el riesgo de que la adopción de la nube en una etapa temprana vaya a poner en peligro los recursos existentes.
El método anterior permite a los equipos de adopción de la nube crear y migrar soluciones híbridas, con un
riesgo reducido para los recursos locales. Cuando la confianza en el entorno en la nube aumente, las posteriores
evoluciones podrán quitar esta solución temporal.
NOTE
La información anterior es solo un punto de partida para crear rápidamente un MVP de gobernanza de línea de base.
Esto es solo el comienzo del recorrido hacia la gobernanza. De todos modos, será necesaria una evolución aún mayor a
medida que la empresa continúe adoptando la nube y asuma más riesgos en las siguientes áreas:
Cargas de trabajo críticas
Datos protegidos
Administración de costos
Escenarios de nube múltiple
Además, los detalles concretos de este MVP se basan en el proceso de ejemplo de una empresa ficticia, que se describe en
los artículos siguientes. Le recomendamos encarecidamente que se familiarice con los otros artículos de esta serie antes
de implementar este procedimiento recomendado.
Pasos siguientes
Ahora que se ha familiarizado con el producto viable mínimo de gobernanza y con los próximos cambios de la
gobernanza, lea la documentación complementaria para obtener más contexto.
Lectura de la narrativa de apoyo
Guía de gobernanza para empresas complejas:
Narrativa de apoyo
06/03/2021 • 10 minutes to read • Edit Online
El siguiente artículo establece un caso de uso de gobernanza durante el recorrido de adopción de la nube de
una empresa compleja. Antes de actuar sobre las recomendaciones de la guía, es importante comprender las
suposiciones y los razonamientos que se reflejan en esta narrativa. Solo entonces podrá alinear mejor la
estrategia de gobernanza con el recorrido de adopción de la nube de su organización.
Antecedentes
Los clientes exigen una mejor experiencia al interactuar con esta empresa. La experiencia actual ha erosionado el
mercado y ha llevado a la junta a contratar a un director de tecnología digital (CDO). El CDO trabaja con
marketing y ventas para impulsar una transformación digital que potenciará las experiencias mejoradas.
Además, varias unidades de negocio contrataron recientemente a científicos de datos para las granjas de datos y
para mejorar muchas de las experiencias manuales mediante el aprendizaje y la predicción. TI apoya estos
esfuerzos en la medida de lo posible. Se están llevando a cabo actividades de "shadow IT" que quedan fuera de
los controles de gobernanza y seguridad necesarios.
La organización de TI también se enfrenta a sus propios retos. Finanzas está planeando reducciones continuas
en el presupuesto de TI durante los próximos cinco años, lo que llevará a algunos recortes de gastos necesarios
a partir de este año. Por el contrario, los requisitos de RGPD y otros requisitos de gobierno de datos están
obligando a TI a invertir en recursos en otros países para localizar datos. Dos de los centros de datos existentes
están atrasados en la actualización de hardware, lo que causa más problemas con la satisfacción de los
empleados y los clientes. Tres centros de datos más requieren actualizaciones de hardware durante la ejecución
del plan quinquenal. El CFO está presionando al CIO para que considere la nube como una alternativa para esos
centros de datos, con objeto de liberar gastos de capital.
El CIO tiene ideas innovadoras que podrían ayudar a la empresa, pero él y sus equipos se limitan a apagar
fuegos y controlar costos. En un almuerzo con el CDO y uno de los responsables de la unidad de negocios, la
conversación sobre la migración a la nube generó el interés de los compañeros del CIO. El objetivo de los tres
responsables es apoyarse mutuamente en el uso de la nube para alcanzar sus objetivos de negocio, y han
comenzado las fases de exploración y planeamiento de la adopción de la nube.
Características empresariales
La empresa tiene el siguiente perfil de negocio:
Las ventas y operaciones abarcan varias áreas geográficas con clientes globales en múltiples mercados.
El negocio ha crecido mediante adquisiciones y opera en tres unidades de negocio basadas en la base de
clientes objetivo. La realización de presupuestos es una matriz compleja que abarca todas las unidades de
negocio y funciones.
La empresa considera la mayor parte del departamento de TI como una fuga de capital o un centro de
coste.
Estado actual
A continuación se muestra el estado actual de las operaciones de TI y de la nube de la empresa:
TI opera más de 20 centros de datos privados en todo el mundo.
Debido al crecimiento orgánico y a varias zonas geográficas, hay algunos equipos de TI que tienen
requisitos únicos de soberanía de datos y cumplimiento que afectan a una sola unidad de negocio que
funciona dentro de una zona geográfica específica.
Cada centro de datos está conectado por una serie de líneas regionales alquiladas, que crean una WAN
global sin conexión directa.
Asimismo, el departamento de TI entró en la nube al migrar todas las cuentas de correo electrónico de
los usuarios finales a Microsoft 365. Esta migración se completó hace más de seis meses. Desde
entonces, solo se han implementado unos pocos recursos de TI en la nube.
El equipo de desarrollo principal del CDO está trabajando en una capacidad de desarrollo y pruebas para
aprender sobre las funcionalidades nativas en la nube.
Una unidad de negocio está experimentando con grandes cantidades de datos en la nube. El equipo de la
unidad de negocio dentro de TI participa en ese esfuerzo.
La actual directiva de gobernanza de TI establece que la información personal del cliente y los datos
financieros se deben hospedar en recursos que pertenecen directamente a la empresa. Esta directiva
bloquea la adopción de la nube para las aplicaciones críticas o los datos protegidos.
Las inversiones en TI están controladas en gran medida por el gasto de capital. Estas inversiones se
planean anualmente y a menudo incluyen planes de mantenimiento continuo, así como ciclos de
actualización establecidos de tres a cinco años, dependiendo del centro de datos.
La mayoría de las inversiones en tecnología que no se alinean con el plan anual se abordan con los
trabajos de TI en la sombra. Estos esfuerzos suelen estar administrados por las unidades de negocio y
financiarse mediante los gastos operativos de la unidad de negocio.
Estado futuro
Se prevén los siguientes cambios para los próximos años:
El CIO está liderando un esfuerzo para modernizar la directiva sobre la información personal y los datos
financieros para apoyar los objetivos futuros. Dos miembros del equipo de gobernanza de TI tienen
visibilidad de este esfuerzo.
El CIO quiere usar la migración a la nube como una función de impulso para mejorar la coherencia y la
estabilidad entre las unidades de negocio y las zonas geográficas. El estado futuro debe respetar todos
los requisitos de cumplimiento externos para los que equipos de TI determinados deban apartarse de los
enfoques estándar.
Si los primeros experimentos en el desarrollo de aplicaciones y en BI muestran indicadores de éxito, a
cada uno de ellos le gustaría lanzar soluciones de producción a pequeña escala a la nube durante los
próximos 24 meses.
El CIO y el CFO han asignado un arquitecto y al vicepresidente de infraestructura para crear un análisis de
costos y un estudio de viabilidad. Estos esfuerzos determinarán si la empresa puede y debe mover 5000
recursos a la nube en los próximos 36 meses. Una migración correcta permitiría al CIO eliminar dos
centros de datos, con lo que se reducen los costos en más de 100 millones USD durante el plan
quinquenal. Si tres o cuatro centros de datos pueden experimentar resultados similares, el presupuesto
volverá a la senda de los beneficios, lo que permitirá que el presupuesto del CIO apoye iniciativas más
innovadoras.
Junto con este ahorro de costos, la empresa planea cambiar la administración de algunas inversiones en
TI cambiando la posición del gasto de capital comprometido como un gasto operativo dentro de TI. Este
cambio proporcionará un mayor control de los costos, que los equipos de TI pueden utilizar para acelerar
otros esfuerzos previstos.
Pasos siguientes
La empresa ha desarrollado una directiva corporativa para dar forma a la implementación de la gobernanza. La
directiva corporativa dirige muchas de las decisiones técnicas.
Revisión de la directiva corporativa inicial
Guía de gobernanza para empresas complejas:
directiva corporativa inicial que está detrás de la
estrategia de gobernanza
06/03/2021 • 11 minutes to read • Edit Online
La siguiente directiva corporativa define la posición inicial de gobernanza, que es el punto de inicio de esta guía.
En este artículo se definen riesgos incipientes, las declaraciones de directiva iniciales y los procesos iniciales
para aplicar las declaraciones de directiva.
NOTE
La directiva corporativa no es un documento técnico, pero promueve muchas decisiones técnicas. El producto mínimo
viable de gobernanza descrito en la información general deriva, en última instancia, de esta directiva. Antes de
implementar un producto mínimo viable de gobernanza, su organización debe desarrollar una directiva corporativa en
función de sus propios objetivos y riesgos empresariales.
Objetivo
El objetivo inicial es establecer una base para la agilidad de gobernanza. Un producto viable mínimo de
gobernanza eficaz permite al equipo de gobernanza anticiparse a la adopción de la nube e implementar
barreras de seguridad a medida que cambia el plan de adopción.
Riesgos empresariales
La empresa está en una fase temprana de adopción de la nube, experimentando y creando pruebas de concepto.
Ahora los riesgos son relativamente bajos, pero es posible que existan riesgos futuros con un impacto
significativo. Existe poca definición acerca del estado final de las soluciones técnicas que se implementarán en la
nube. Además, la preparación de los empleados de TI para la nube es baja. Una base para la adopción de la nube
ayudará al equipo a aprender y crecer de forma segura.
Perdurabilidad: Existe el riesgo de no permitir el crecimiento, pero también el riesgo de no proporcionar los
mecanismos de protección adecuados contra los riesgos futuros.
Es necesario un enfoque de gobernanza ágil, pero sólido para admitir la visión del consejo para el crecimiento
corporativo y técnico. No implementar este tipo de estrategia ralentizará el crecimiento técnico, lo que
posiblemente ponga en riesgo el crecimiento de la cuota de mercado actual y futura. El impacto de un riesgo
empresarial tal es claramente alto. Sin embargo, se desconoce el rol que TI desempeñará en dichos posibles
estados futuros, lo que hace que el riesgo asociado con los esfuerzos actuales de TI sean relativamente altos.
Dicho esto, en tanto no se alineen planes más concretos, la empresa tiene una alta tolerancia al riesgo.
Este riesgo empresarial puede dividirse de manera táctica en varios riesgos técnicos:
Las directivas corporativas bienintencionadas podrían ralentizar los esfuerzos de transformación o
interrumpir los procesos empresariales esenciales si no se tienen en cuenta dentro de un flujo de aprobación
estructurado.
La aplicación de la gobernanza a los recursos implementados podría ser difícil y costosa.
La gobernanza puede no aplicarse correctamente en una aplicación o una carga de trabajo, lo que crea
brechas de seguridad.
Con tantos equipos que trabajan en la nube, existe un riesgo de incoherencia.
Los costos pueden no alinearse correctamente con las unidades de negocio, los equipos u otras unidades de
administración presupuestarias.
El uso de varias identidades para administrar varias implementaciones puede provocar problemas de
seguridad.
A pesar de las directivas actuales, existe el riesgo de que los datos protegidos puedan implementarse por
error en la nube.
Indicadores de tolerancia
La tolerancia al riesgo actual es alta y el apetito por invertir en la gobernanza de la nube es bajo. Como tales, los
indicadores de tolerancia actúan como sistema de advertencia anticipado para desencadenar la inversión de
tiempo y energía. Si se observan los indicadores siguientes, es aconsejable cambiar la estrategia de gobernanza.
Materia de administración de costos: la escala de implementación supera los 1000 recursos en la nube,
o bien los gastos mensuales superan los 10 000 dólares al mes.
Materia de base de referencia de identidad: inclusión de aplicaciones con requisitos de autenticación
multifactor de terceros o heredados.
Materia de base de referencia de seguridad: inclusión de datos protegidos en planes de adopción de la
nube definidos.
Materia de coherencia de recursos: inclusión de cualquier aplicación crítica en planes de adopción de la
nube definidos.
Policy statements
Las siguientes declaraciones de la directiva establecen los requisitos necesarios para corregir los riesgos
definidos. Estas directivas definen los requisitos funcionales para el MVP de gobernanza. Cada uno se
representará en la implementación del MVP de gobernanza.
Administración de costos:
Con fines de seguimiento, todos los recursos deben asignarse a un propietario de aplicación dentro de una
de las principales funciones empresariales.
Cuando surjan problemas de costos, se establecerán requisitos de gobernanza adicionales con el equipo de
finanzas.
Base de referencia de seguridad:
Cualquier recurso implementado en la nube debe tener una clasificación de datos aprobada.
Ningún recurso identificado con un nivel de datos protegidos se puede implementar en la nube, hasta que se
aprueben e implementen los suficientes requisitos de seguridad y gobernanza.
Hasta que se puedan validar y gobernar los requisitos mínimos de seguridad de red, los entornos en la nube
se perciben como una red perimetral y deben cumplir con requisitos de conexión similares a otros centros de
datos o redes internas.
Coherencia de recursos:
Dado que no se implementa ninguna carga de trabajo crítica en esta fase, no hay ningún requisito de SLA,
rendimiento o BCDR que se deba gobernar.
Cuando se implementen cargas de trabajo críticas, se establecerán requisitos de gobernanza adicionales con
las operaciones de TI.
Base de referencia de identidad:
todos los recursos que se implementan en la nube deben controlarse mediante identidades y roles
aprobados por las directivas de gobernanza actuales.
todos los grupos de la infraestructura local de Active Directory que tienen privilegios elevados deben
asignarse a un rol RBAC aprobado.
Aceleración de la implementación:
Todos los recursos se deben agrupar y etiquetar en función de las estrategias de agrupación y etiquetado
definidas.
Todos los recursos deben usar un modelo de implementación aprobado.
Una vez que se ha establecido una base de gobernanza para un proveedor de nube, las herramientas de
implementación deben ser compatibles con las herramientas definidas por el equipo de gobernanza.
Procesos
No se ha asignado ningún presupuesto para la supervisión en curso y el cumplimiento de estas directivas de
gobernanza. Por este motivo, el equipo de gobernanza de la nube tiene varias formas improvisadas de
supervisar el cumplimiento de las declaraciones de las directivas.
Educación: el equipo de gobernanza de la nube está invirtiendo tiempo en formar a los equipos de
adopción de la nube en las guías de gobernanza que admiten estas directivas.
Revisiones de la implementación: antes de implementar cualquier recurso, el equipo de gobernanza de
la nube revisará la guía de gobernanza con los equipos de adopción de la nube.
Pasos siguientes
Esta directiva corporativa prepara el equipo de gobernanza de la nube para implementar el producto viable
mínimo de gobernanza como base de la adopción. El siguiente paso es implementar dicho producto mínimo
viable.
Explicación de los procedimientos recomendados
Guía de gobernanza para empresas complejas:
Explicación de los procedimientos recomendados
06/03/2021 • 26 minutes to read • Edit Online
La guía de gobernanza empieza con un conjunto de directivas corporativas iniciales. Estas directivas se usan
para establecer un producto viable mínimo (MVP) para la gobernanza que refleje los procedimientos
recomendados.
En este artículo, se abordarán las estrategias generales necesarias para crear un MVP de gobernanza. En el
centro del MVP de gobernanza se encuentra la materia de aceleración de la implementación. Las herramientas y
los patrones que se aplican en esta etapa darán lugar a las mejoras graduales necesarias para expandir la
gobernanza en el futuro.
Proceso de implementación
La implementación del MVP de gobernanza tiene dependencias de identidad, seguridad y redes. Una vez
resueltas las dependencias, el equipo de gobernanza de la nube decidirá algunos aspectos de la gobernanza. Las
decisiones del equipo de gobernanza de la nube y de los equipos auxiliares se implementarán a través de un
único paquete de recursos de cumplimiento.
Esta implementación también se puede describir con una simple lista:
1. Solicitar decisiones relacionadas con las dependencias principales: identidad, red y cifrado.
2. Determinar el patrón que se usará durante el cumplimiento de las directivas corporativas.
3. Determinar los patrones de gobernanza apropiados para coherencia de los recursos, etiquetado de recursos
y registro e informes.
4. Implementar las herramientas de gobernanza alineadas con el patrón elegido de cumplimiento de directivas
para aplicar las decisiones dependientes y las decisiones de gobernanza.
Decisiones dependientes
Las siguientes decisiones proceden de equipos fuera del equipo de gobernanza de la nube. La implementación
de cada una procederá de esos mismos equipos. No obstante, el equipo de gobernanza de la nube es
responsable de implementar una solución para validar que esas implementaciones se aplican de forma
coherente.
Línea de base de identidad
La línea de base de identidad es el punto de partida fundamental para toda gobernanza. Antes de intentar
aplicar la gobernanza, se debe establecer la identidad. A continuación, las soluciones de gobernanza harán
cumplir la estrategia de identidad establecida. En esta guía de gobernanza, el equipo de administración de
identidades implementa el patrón de sincronización de directorios:
Azure Active Directory (Azure AD) proporcionará RBAC, mediante la sincronización de directorios o el
"mismo inicio de sesión" que se implementó durante la migración de la empresa a Microsoft 365. Para una
guía sobre la implementación, consulte Arquitectura de referencia para Integración de Azure AD.
El inquilino de Azure AD también regirá la autenticación y el acceso a los recursos implementados en Azure.
En el producto viable mínimo de gobernanza, el equipo de gobernanza hará cumplir la aplicación del inquilino
replicado mediante herramientas de gobernanza de la suscripción que se describen más adelante en este
artículo. En iteraciones futuras, el equipo de gobernanza podría también aplicar herramientas enriquecidas de
Azure AD para ampliar esta funcionalidad.
Base de referencia de seguridad: Redes
Una red definida por software es un aspecto inicial importante de la línea de base de seguridad. Establecer el
MVP de gobernanza depende de decisiones tempranas por parte del equipo de administración de seguridad
para definir cómo se pueden configurar con seguridad las redes.
Debido a la falta de requisitos, el equipo de seguridad de TI busca protección y ha solicitado un patrón de nube
DMZ. Esto significa que la gobernanza de las implementaciones de Azure mismas será muy ligero.
Las suscripciones de Azure pueden conectarse a un centro de datos existente mediante VPN, pero deben
seguir todas las directivas locales de gobernanza de TI con respecto a la conexión de una red perimetral a los
recursos protegidos. Para obtener instrucciones sobre la implementación con respecto a la conectividad de
VPN, consulte el artículo Red local conectada a Azure mediante VPN Gateway.
Actualmente se están aplazando las decisiones con respecto a subredes, firewalls y enrutamiento a cada
cliente potencial de aplicación y carga de trabajo.
Se requiere un análisis adicional antes de la publicación de datos protegidos o cargas de trabajo críticas.
En este patrón, las redes en la nube solo pueden conectarse a los recursos locales a través de una VPN existente
que sea compatible con Azure. El tráfico a través de esa conexión se tratará como cualquier tráfico procedente
de una red perimetral. Puede que sean necesarias consideraciones adicionales relativas al dispositivo perimetral
local para controlar el tráfico de Azure de forma segura.
El equipo de gobernanza de la nube ha invitado activamente a los miembros de los equipos de redes y de
seguridad de TI a reuniones periódicas para anticiparse a las demandas y los riesgos de las redes.
Base de referencia de seguridad: Cifrado
El cifrado es otra decisión fundamental en la materia de línea de base de seguridad. Dado que la empresa
actualmente todavía no almacena ningún dato protegido en la nube, el equipo de seguridad ha decidido un
patrón menos agresivo para el cifrado. En este momento, se sugiere un patrón nativo de la nube para el cifrado,
pero no es obligatorio para ningún equipo de desarrollo.
No se han establecido requisitos de gobernanza con respecto al uso de cifrado, ya que la actual directiva
corporativa no permite datos críticos ni protegidos en la nube.
Serán necesarios análisis adicionales antes de la publicación de datos protegidos o cargas de trabajo críticas.
Aplicación de directivas
La primera decisión que se deberá tomar en cuanto a la aceleración de la implementación es el patrón para el
cumplimiento. En esta narración, el equipo de gobernanza ha decidido implementar el patrón cumplimiento
automatizado.
Azure Security Center estará disponible para que los equipos de seguridad e identidad supervisen los riesgos
de seguridad. También es probable que ambos equipos usen Security Center para identificar los nuevos
riesgos y mejorar la directiva corporativa.
RBAC se requiere en todas las suscripciones para controlar el cumplimiento de autenticación.
Azure Policy se publicará en cada grupo de administración y se aplicará a todas las suscripciones. Sin
embargo, el nivel de las directivas que se aplique será muy limitado en este MVP de gobernanza inicial.
Aunque se usen grupos de administración de Azure, se espera una jerarquía relativamente sencilla.
Azure Blueprints se usará para implementar y actualizar las suscripciones mediante la aplicación de
requisitos de RBAC, plantillas de Resource Manager y Azure Policy en los grupos de administración.
Etiquetado de recursos
Las decisiones sobre el etiquetado de recursos determinan cómo se aplican los metadatos a los recursos de
Azure de una suscripción con fines operativos, administrativos y contables. En este caso, se ha elegido el patrón
contabilidad como modelo predeterminado del etiquetado de recursos.
Los recursos implementados se deben etiquetar con valores para:
Departamentos o unidad de facturación
Geography
Clasificación de datos
Grado de importancia
Contrato de nivel de servicio
Entorno
Arquetipo de aplicación
Application
Propietario de la aplicación
Estos valores, junto con el grupo de administración y la suscripción de Azure asociados con un recurso
implementado impulsarán las decisiones de gobernanza, operaciones y seguridad.
Registro e informes
Las decisiones sobre registro e informes determinan cómo el almacén registra los datos y cómo se estructuran
las herramientas de supervisión e informe que mantienen al personal de TI informado del estado operativo. En
este caso, se sugiere un patrón de supervisión híbrida para el registro y los informes, pero no es obligatorio
para ningún equipo de desarrollo en este momento.
Actualmente, no hay establecido ningún requisito de gobernanza con respecto a los puntos de datos
específicos que deben recopilarse para fines de registro o informes. Esto es específico de esta narración
ficticia y debe considerarse un antipatrón. Los estándares de registro deben determinarse y cumplirse tan
pronto como sea posible.
Se requiere un análisis adicional antes de la publicación de datos protegidos o cargas de trabajo críticas.
Antes de admitir datos protegidos o cargas de trabajo críticas, a la solución de supervisión operativa local
existente se le debe conceder acceso al área de trabajo que se usó para el registro. Las aplicaciones deben
satisfacer los requisitos de seguridad y registro asociados al uso de ese inquilino, si la aplicación contará con
un SLA definido.
Patrones alternativos
Si cualquiera de los patrones seleccionados en esta guía de gobernanza no se adapta a los requisitos del lector,
existen otras alternativas para cada patrón:
Patrones de cifrado
Patrones de identidad
Patrones de registro e informes
Patrones de cumplimiento de directivas
Patrones de coherencia de recursos
Patrones de etiquetado de recursos
Patrones de redes definidos por software
Patrones de diseño de suscripciones
Pasos siguientes
Una vez que se implemente esta guía, cada equipo de adopción de la nube puede continuar con una base sólida
de gobernanza. Al mismo tiempo, el equipo de gobernanza de la nube trabajará para actualizar continuamente
las directivas corporativas y las materias de gobernanza.
Ambos equipos usarán los indicadores de tolerancia para identificar el próximo conjunto de mejoras necesario
para seguir impulsando la adopción de la nube. El siguiente paso para la empresa es la mejora gradual de su
línea de base de gobernanza para dar servicio a aplicaciones con requisitos de autenticación multifactor
heredada o de terceros.
Mejora de la materia de línea de base de identidad
Guía de gobernanza para empresas complejas:
Mejora de la materia de línea de base de identidad
12/03/2021 • 10 minutes to read • Edit Online
En este artículo se desarrolla la narración al agregar controles de base de referencia de identidad al producto
viable mínimo de gobernanza.
Continuación de la historia
El director financiero aprobó la justificación empresarial para la migración a la nube de los dos centros de datos.
Durante el estudio de viabilidad técnica, se detectaron varios obstáculos:
Los datos protegidos y las aplicaciones críticas representan el 25 % de las cargas de trabajo en los dos
centros de datos. No se puede eliminar ninguno hasta que las directivas de gobernanza actuales con
respecto a la información personal confidencial y a las aplicaciones críticas se hayan modernizado.
El 7 % de los recursos de esos centros de datos no son compatibles con la nube. Se moverán a un centro de
datos alternativo antes de la finalización del contrato del centro de datos.
El 15 % de los recursos en el centro de datos (750 máquinas virtuales) tiene una dependencia en la
autenticación heredada o autenticación multifactor de terceros.
La conexión VPN que se conecta a Azure y a los centros de datos existentes no ofrece suficientes velocidades
de transmisión de datos ni la latencia para migrar el volumen de recursos dentro del plazo de dos años para
retirar el centro de datos.
Los dos primeros obstáculos se están administrando en paralelo. En este artículo se abordará la resolución del
tercer y cuarto obstáculos.
Expansión del equipo de gobernanza de la nube
El equipo de gobernanza de la nube se está expandiendo. Dada la necesidad de soporte adicional con respecto a
la administración de identidades, un administrador del sistema del equipo de la base de referencia de identidad
ahora participa en una reunión semanal para mantener a los miembros del equipo existente al tanto de los
cambios.
Cambios en el estado actual
El equipo de TI tiene la aprobación para seguir adelante con los planes del director de información (CIO) y del
director financiero (CFO) para retirar dos centros de datos. Al equipo le preocupa que 750 máquinas virtuales
(el 15 % de los recursos) de esos centros de datos tendrán que moverse a algún lugar distinto de la nube.
Mejora gradual del estado futuro
Los nuevos planes de estado futuro requieren una solución más sólida de base de referencia de identidad para
migrar las 750 máquinas virtuales con los requisitos de autenticación heredados. Más allá de estos dos centros
de datos, es previsible que este problema afecte a un porcentaje similar de recursos en otros centros de datos.
El estado futuro ahora también requiere una conexión desde el proveedor de nube a la solución MPLS o de línea
dedicada de la empresa.
Los cambios de los estados actual y futuro exponen nuevos riesgos que requerirán nuevas declaraciones de
directiva.
Conclusión
Agregar estos cambios al producto viable mínimo de gobernanza ayuda a solucionar muchos de los riesgos
indicados en este artículo, lo que permite a cada equipo de adopción de la nube superar rápidamente este
obstáculo.
Pasos siguientes
A medida que avanza la adopción de la nube y aporta valores empresariales adicionales, también cambian los
riesgos y necesidades de gobernanza de la nube. Las siguientes son algunos cambios que pueden presentarse.
Para esta empresa ficticia, el siguiente desencadenador es la inclusión de datos protegidos en el plan de
adopción de la nube. Este cambio requiere controles de seguridad adicionales.
Mejora de la materia de base de referencia de la seguridad
Guía de gobernanza para empresas complejas:
Mejora de la materia de base de referencia de la
seguridad
23/03/2021 • 31 minutes to read • Edit Online
En este artículo se detalla el método de adición de controles de seguridad que ayudan al traslado de datos
protegidos a la nube.
Continuación de la historia
El director de sistemas de información lleva meses colaborando con sus colegas y el personal del departamento
jurídico de la empresa. Se contrató un consultor de administración con experiencia en ciberseguridad para
ayudar a los equipos de seguridad y gobernanza de TI a redactar una nueva directiva con respecto a los datos
protegidos. El grupo pudo promover el apoyo de la dirección para reemplazar las directivas existentes,
permitiendo así que los proveedores de nube aprobados hospeden los datos financieros y la información
personal confidencial. Debido a ello, es necesario adoptar un conjunto de requisitos de seguridad y un proceso
de gobernanza para comprobar y documentar el cumplimiento de esas directivas.
Durante los últimos 12 meses, los equipos de adopción en la nube han retirado la mayoría de los 5000 recursos
de los dos centros de datos. Por su parte, los 350 recursos incompatibles se llevaron a un centro de datos
alternativo. Así pues, solo quedan las 1250 máquinas virtuales que contienen los datos protegidos.
Cambios en el equipo de gobernanza de la nube
El equipo de gobernanza de la nube continúa cambiando a medida que avanza la historia. Los dos miembros
fundadores del equipo se encuentran ahora entre los arquitectos en la nube más respetados de la empresa. La
colección de scripts de configuración ha crecido a medida que los nuevos equipos abordan nuevas e
innovadoras implementaciones. El equipo de gobernanza de la nube también ha crecido. Hace poco, los
miembros del equipo de operaciones de TI se unieron a las actividades del equipo de gobernanza de la nube
para prepararse para las operaciones en la nube. Asimismo, los arquitectos en la nube que ayudaron a fomentar
esta comunidad son ahora los administradores y aceleradores que revolucionaron y agilizaron la nube.
Aunque la diferencia es sutil, es una distinción importante al crear una cultura de TI centrada en la gobernanza.
Un administrador en la nube se encarga de solucionar los problemas que crean los arquitectos en la nube con
sus innovaciones, así que se puede decir que estos dos roles tienen objetivos encontrados. Un administrador en
la nube ayuda a mantener la nube segura, para que los arquitectos en la nube puedan moverse rápidamente y
crear menos problemas. Un acelerador de la nube realiza ambas funciones, pero también participa en la
creación de plantillas para acelerar la implementación y la adopción, convirtiéndose así en un acelerador de
innovaciones y en un defensor de las cinco materias de gobernanza de la nube.
Cambios en el estado actual
En la fase anterior de esta historia, la compañía había comenzado el proceso de retirar dos centros de datos. Este
trabajo continuo incluye la migración de algunas aplicaciones con requisitos de autenticación heredados, que
requirieron mejoras graduales de la base de referencia de identidad, como se ha descrito en el artículo anterior.
Desde entonces, han cambiado algunas cosas que afectarán a la gobernanza:
Miles de recursos de TI y de negocios se han implementado en la nube.
El equipo de desarrollo de aplicaciones ha implementado una canalización de integración e implementación
continua (CI/CD) para implementar una aplicación nativa en la nube y así poder ofrecer una experiencia de
usuario mejorada. Dado que la aplicación aún no interactúa con los datos protegidos, no está lista para la
producción.
El equipo de inteligencia empresarial de TI mantiene activamente los datos en la nube de terceros, inventario
y logística. Estos datos se emplean para impulsar nuevas predicciones, que podrían dar forma a procesos
empresariales. No se puede actuar sobre las predicciones y conclusiones hasta que los datos de cliente y
financieros puedan integrarse en la plataforma de datos.
El equipo de TI hace progresos en los planes del Director de sistemas de información y del Director
financiero de retirar dos centros de datos. Casi 3500 recursos de los dos centros de datos han sido retirados
o migrados.
Las directivas relativas a la información personal y financiera confidencial se han modernizado. Las nuevas
directivas corporativas están supeditadas a la implementación de directivas de seguridad y de gobernanza
relacionadas. Así que los equipos siguen estancados.
Mejora gradual del estado futuro
Los primeros experimentos de los equipos de desarrollo de aplicaciones y BI han mostrado mejoras
potenciales en las experiencias de los clientes y las decisiones basadas en datos. Ambos equipos quieren
expandir la adopción de la nube en los próximos 18 meses mediante la implementación de esas soluciones
en producción.
Asimismo, el quipo de TI ha desarrollado una justificación comercial para migrar cinco centros de datos más
a Azure, lo que reducirá aún más los costos de TI y proporcionará una mayor agilidad empresarial. Aunque
es menor en escala, se espera que la retirada de esos centros de datos duplique el ahorro en cuanto a costos
totales.
Los presupuestos de gastos de capital y gastos operativos se han aprobado para implementar las directivas,
herramientas y procesos de seguridad y gobernanza requeridos. Los ahorros de costos esperados al retirar el
centro de datos son más que suficientes para pagar esta nueva iniciativa. Los líderes de TI y de negocios
confían en que esta inversión acelerará la realización de devoluciones en otras áreas. El equipo comunitario
de gobernanza de la nube se convirtió en un equipo reconocido con directivos y personal dedicados.
En conjunto, los equipos de adopción de la nube, el equipo de gobernanza de la nube, el equipo de seguridad
de TI y el equipo de gobernanza de TI implementan los requisitos de gobernanza y seguridad para permitir
que los equipos de adopción de la nube migren datos protegidos a la nube.
Conclusión
Al agregar estos procesos y los cambios realizados en el producto viable mínimo de gobernanza, podrá
solucionar muchos de los riesgos asociados a la gobernanza de seguridad. Juntos, agregan herramientas de
supervisión de red, así como la identidad y la seguridad necesarias para proteger los datos.
Pasos siguientes
A medida que avanza la adopción de la nube y aporta valores empresariales adicionales, también cambian los
riesgos y necesidades de gobernanza de la nube. En cuanto a la empresa ficticia de esta guía, el paso siguiente
es dar servicio a las cargas de trabajo críticas. En este punto son necesarios los controles de coherencia de
recursos. Una parte fundamental de esta documentación sobre gobernanza de la seguridad es revisar los
procedimientos recomendados que Microsoft ha creado para la seguridad. La prueba comparativa de seguridad
de Azure (ASB) proporciona recomendaciones y procedimientos recomendados para ayudar a mejorar la
seguridad de las cargas de trabajo, los datos y los servicios de Azure. Obtenga más información aquí.
Mejora de la materia de coherencia de los recursos
Guía de gobernanza para empresas complejas:
Mejora de la materia de coherencia de los recursos
22/03/2021 • 14 minutes to read • Edit Online
En este artículo, la narración avanza añadiendo controles de coherencia de los recursos al producto viable
mínimo de gobernanza para dar servicio a aplicaciones críticas.
Continuación de la historia
Los equipos de la adopción de la nube han cumplido todos los requisitos para mover los datos protegidos. Esas
aplicaciones incluyen los compromisos del Acuerdo de Nivel de Servicio en relación con el negocio y la
necesidad de soporte para operaciones de TI. Justo detrás del equipo de migración de los dos centros de datos,
varios equipos de inteligencia empresarial y desarrollo de aplicaciones están listos para poner en marcha
nuevas soluciones en producción. El equipo de operaciones de TI no está familiarizado con las operaciones en la
nube y necesita integrar rápidamente los procesos operativos existentes.
Cambios en el estado actual
El departamento de TI está moviendo activamente las cargas de trabajo de producción con datos protegidos
a Azure. Varias cargas de trabajo de prioridad baja atienden el tráfico de producción. Se podrán suprimir más
tan pronto como el equipo de operaciones de TI autorice la preparación para dar servicio a las cargas de
trabajo.
Los equipos de desarrollo de aplicaciones están preparados para el tráfico de producción.
El equipo de inteligencia empresarial está listo para integrar las predicciones y perspectivas en los sistemas
que ejecutan operaciones para las tres unidades de negocio.
Mejora gradual del estado futuro
El equipo de operaciones de TI no está familiarizado con las operaciones en la nube y necesita integrar
rápidamente los procesos operativos existentes.
Los cambios de los estados actual y futuro exponen nuevos riesgos que requerirán nuevas declaraciones de
directiva.
Conclusión
La adición de estos procesos y cambios realizados en el producto viable mínimo de gobernanza ayudan a
corregir muchos de los riesgos asociados con la gobernanza de recursos. Juntos, agregan los controles de
recuperación, tamaño y supervisión necesarios para permitir las operaciones basadas en la nube.
Pasos siguientes
A medida que avanza la adopción de la nube y aporta valores empresariales adicionales, también cambian los
riesgos y necesidades de gobernanza de la nube. Para la compañía ficticia de esta guía, el siguiente
desencadenador se da cuando la escala de implementación supera los 1000 recursos en la nube o el gasto
mensual supera los 10 000 USD al mes. En este punto, el equipo de gobernanza de la nube agrega controles de
administración de costos.
Mejora de la materia de administración de costos
Guía de gobernanza para empresas complejas:
Mejora de la materia de administración de costos
23/03/2021 • 10 minutes to read • Edit Online
En este artículo, la narración avanza agregando controles de costos a los mecanismos de gobernanza del
producto viable mínimo.
Continuación de la historia
La adopción ha crecido superando el indicador de tolerancia definido en el MVP para la gobernanza. Los
aumentos en el gasto ahora justifican una inversión de tiempo por parte del equipo de gobernanza de la nube
para supervisar y controlar los patrones de gasto.
En tanto que impulsor claro de la innovación, el departamento de TI ya no se percibe principalmente como un
centro de coste. A medida que la organización de TI genera más valor, el director de sistemas de información y el
director financiero acuerdan que es el momento de cambiar el papel que desempeña el equipo de TI en la
empresa. Entre otros cambios, el director financiero desea probar un enfoque de pago directo para la
contabilidad en la nube destinado a la sucursal canadiense de una de las unidades empresariales. Uno de los
dos centros de datos retirados eran recursos hospedados exclusivamente para las operaciones en Canadá de
esa unidad empresarial. En este modelo, se facturará directamente a la filial canadiense de la unidad empresarial
por los gastos operativos relacionados con los recursos hospedados. Este modelo permite que el equipo de TI se
centre menos en la administración del gasto de los demás y más en la creación de valor. Para que pueda
comenzar esta transición, es necesario que las herramientas de administración de costos estén en vigor.
Cambios en el estado actual
En la fase anterior de esta narración, el equipo de TI movía activamente las cargas de trabajo de producción con
datos protegidos a Azure.
Desde entonces, han cambiado algunas cosas que afectarán a la gobernanza:
Se quitaron 5000 recursos de los dos centros de datos marcados para la retirada. Los departamentos de
adquisiciones y de seguridad de TI ahora están desaprovisionando los recursos físicos restantes.
Los equipos de desarrollo de aplicaciones han implementado canalizaciones de CI/CD para implementar
algunas aplicaciones nativas en la nube, lo cual afecta significativamente a la experiencia del cliente.
El equipo de inteligencia empresarial ha creado procesos de agregación, protección, conocimiento y
predicción que generan beneficios tangibles para las operaciones comerciales. Estas predicciones están
dando ahora lugar a nuevos productos y servicios creativos.
Mejora gradual del estado futuro
La supervisión de costos y los informes se deben agregar a la solución en la nube. Los informes deben vincular
los gastos operativos directos a las funciones que consumen los costos de la nube. Los informes adicionales
deben permitir que el departamento de TI supervise los gastos y proporcione orientación técnica sobre la
administración de costos. En el caso de la sucursal canadiense, se facturará directamente al departamento.
Conclusión
La adición de los procesos anteriores y los cambios realizados en el producto viable mínimo de gobernanza
ayudan a corregir muchos de los riesgos asociados con la administración de los costos. Juntos, crean la
visibilidad, la responsabilidad y la optimización necesarias para controlar los costos.
Pasos siguientes
A medida que avanza la adopción de la nube y aporta valores empresariales adicionales, también cambian los
riesgos y necesidades de gobernanza de la nube. Para esta empresa ficticia, el siguiente paso es usar esta
inversión en gobernanza para administrar varias nubes.
Mejora de la nube múltiple
Guía de gobernanza para empresas complejas:
Mejora de la nube múltiple
22/03/2021 • 8 minutes to read • Edit Online
Continuación de la historia
Microsoft reconoce que los clientes pueden adoptar varias nubes para propósitos específicos. La empresa ficticia
de esta guía no es una excepción. Paralelamente al recorrido de adopción de Azure, el éxito del negocio ha
llevado a la adquisición de una empresa pequeña, pero complementaria. Ese negocio ejecuta todas sus
operaciones de TI en un proveedor de servicios en la nube diferente.
En este artículo se describen cómo cambian las cosas cuando se integra la nueva organización. A efectos de la
narrativa, asumimos que esta empresa ha completado cada una de las iteraciones de gobernanza descritas en
esta guía de gobernanza.
Cambios en el estado actual
En la fase anterior de esta narrativa, la empresa empezó a implementar controles y supervisión de costos, ya
que el gasto en la nube empieza a formar parte de los gastos operativos normales de la empresa.
Desde entonces, han cambiado algunas cosas que afectarán a la gobernanza:
La identidad se controla mediante una instancia local de Active Directory. La identidad híbrida se facilita
mediante la replicación a Azure Active Directory.
Las operaciones de TI o las operaciones en la nube se administran en gran parte en Azure Monitor y en las
funcionalidades de automatización relacionadas.
La continuidad empresarial y recuperación ante desastres (BCDR) se controla mediante almacenes de
Recovery Services.
Azure Security Center se utiliza para supervisar infracciones de seguridad y ataques.
Tanto Azure Security Center como Azure Monitor se utilizan para supervisar la gobernanza de la nube.
Azure Blueprints, Azure Policy y los grupos de administración se utilizan para automatizar el cumplimiento
con la directiva.
Mejora gradual del estado futuro
El objetivo es integrar la empresa de adquisición en las operaciones existentes siempre que sea posible.
Pasos siguientes
En muchas grandes empresas, las cinco materias de gobernanza de la nube pueden ser obstáculos para la
adopción. El siguiente artículo incluye algunas conclusiones adicionales sobre cómo convertir la gobernanza en
un deporte en equipo, a fin de ayudar a garantizar el éxito a largo plazo en la nube.
Varias capas de gobernanza
Guía de gobernanza para empresas complejas:
Varias capas de gobernanza
06/03/2021 • 7 minutes to read • Edit Online
Si las grandes empresas requieren varios niveles de gobernanza, existen mayores niveles de complejidad que
deben tenerse en cuenta en el producto viable mínimo de gobernanza y las posteriores mejoras de gobernanza.
Entre algunos ejemplos comunes de esas complejidades se incluyen:
Funciones de gobernanza distribuido.
Grupo de TI corporativo que asiste a organizaciones de TI de unidades de negocio.
Grupo de TI corporativo que asiste a organizaciones de TI distribuidas geográficamente.
En este artículo se exploran algunas maneras de atravesar este tipo de complejidad.
Cualquier cambio en los procesos de negocio o en las plataformas tecnológicas presenta riesgos empresariales.
Los equipos de gobernanza en la nube, cuyos miembros se conocen a veces como administradores en la nube,
tienen la obligación de mitigar estos riesgos con una interrupción mínima de los esfuerzos de adopción o
innovación.
Sin embargo, la gobernanza de la nube requiere más que una implementación técnica. Los cambios sutiles en la
narrativa o las directivas corporativas pueden afectar a los esfuerzos de adopción significativamente. Antes de la
implementación, es importante mirar más allá de TI para definir la directiva corporativa.
Figura 1: Representación visual de la directiva corporativa y las cinco materias de gobernanza en la nube.
Pasos siguientes
Obtenga información acerca de cómo preparar la directiva corporativa para la nube.
Preparación de la directiva corporativa para la nube
Preparación de la directiva de TI corporativa para la
nube
09/03/2021 • 11 minutes to read • Edit Online
La gobernanza de la nube es producto de un esfuerzo continuo de adopción a lo largo del tiempo, ya que una
verdadera transformación duradera no ocurre de la noche a la mañana. Si intenta ofrecer una gobernanza
integral de la nube antes de abordar los cambios clave de las directivas corporativas mediante un método
rápido y agresivo, rara vez conseguirá los resultados deseados. En su lugar, le recomendamos que aplique un
método incremental.
Lo que diferencia a Cloud Adoption Framework es el ciclo de compra y cómo esto puede permitirle realizar una
transformación auténtica. Puesto que no es necesario cumplir con un requisito excesivo de adquisición de
gastos de capital, los ingenieros pueden comenzar el proceso de experimentación y adopción mucho antes. En la
mayoría de las culturas corporativas, la eliminación de la barrera de los gastos de capital para la adopción puede
llevar a ciclos que ofrecen comentarios más precisos, un crecimiento orgánico y una ejecución incremental.
El cambio a la adopción de la nube requiere realizar un cambio en la gobernanza. Por ello, en muchas
organizaciones, la transformación de las directivas corporativas les permite alcanzar una gobernanza mejor y
mayores tasas de cumplimiento gracias a los cambios realizados en las directivas incrementales y a la aplicación
automática de esos cambios, impulsada gracias a las capacidades recién definidas que debe configurar con su
proveedor de servicios en la nube.
En este artículo se describen las actividades clave que le ayudarán a configurar las directivas corporativas para
habilitar un modelo de gobernanza ampliado.
TIP
Si su organización se rige en función del cumplimiento de directivas de terceros, uno de los mayores riesgos de negocios a
considerar puede ser el riesgo que supone el cumplimiento normativo. Generalmente este riesgo no se puede corregir y,
en cambio, puede requerir una adherencia estricta. Asegúrese de entender los requisitos de cumplimiento de terceros
antes de comenzar a revisar las directivas.
Pasos siguientes
Una estrategia eficaz de gobernanza en la nube empieza por conocer el riesgo empresarial.
Descripción del riesgo empresarial
Descripción del riesgo empresarial durante la
migración a la nube
06/03/2021 • 10 minutes to read • Edit Online
Comprender el riesgo empresarial es uno de los elementos más importantes de cualquier transformación en la
nube. El riesgo impulsa las directivas e influye en los requisitos de supervisión y aplicación. El riesgo influye en
gran medida en nuestra forma de administrar el patrimonio digital, ya sea en el entorno local o en la nube.
Pasos siguientes
Obtenga información sobre cómo evaluar la tolerancia a los riesgos durante la adopción de la nube.
Evaluación de la tolerancia al riesgo
Evaluación de la tolerancia al riesgo
22/03/2021 • 18 minutes to read • Edit Online
Cada decisión empresarial genera nuevos riesgos. Hacer una inversión en cualquier cosa genera un riesgo de
pérdida. Los nuevos productos o servicios generan riesgos de fracaso en el mercado. Los cambios realizados en
los productos o servicios actuales podrían reducir la cuota de mercado. La transformación a la nube no ofrece
una solución mágica a los riesgos empresariales cotidianos. Al contrario, las soluciones conectadas (en la nube o
locales) presentan nuevos riesgos. Implementar recursos en cualquier instalación de red conectada también
expande el perfil de amenazas potenciales al exponer las vulnerabilidades de seguridad a una comunidad global
mucho más amplia. Afortunadamente, los proveedores de servicios en la nube son conscientes de los cambios,
del aumento y de la suma de los riesgos. Hacen grandes inversiones para administrar y mitigar esos riesgos en
nombre de sus clientes.
Este artículo no se centra en los riesgos en la nube. En su lugar, describe los riesgos empresariales asociados con
las diversas formas de transformación a la nube. Más adelante en este artículo, el debate cambia el foco para
describir las formas de entender la tolerancia al riesgo por parte de las empresas.
IMPORTANT
Antes de leer lo siguiente, tenga en cuenta que cada uno de estos riesgos se puede administrar. El objetivo de este
artículo es informar y preparar a los lectores para mantener conversaciones más productivas sobre la administración de
los riesgos.
Pasos siguientes
Este tipo de conversación puede ayudar a las empresas y a TI a evaluar la tolerancia de forma más eficaz. Estas
conversaciones pueden usarse durante la creación de directivas de MVP y durante las revisiones de directivas
incrementales.
Definición de la directiva corporativa
Definición de directivas corporativas para la
gobernanza de la nube
06/03/2021 • 8 minutes to read • Edit Online
Una vez que haya analizado los riesgos conocidos y las tolerancias a riesgos relacionadas del proceso de
transformación hacia la nube de la organización, el siguiente paso consiste en establecer directivas que aborden
explícitamente tales riesgos y definan los pasos necesarios para corregirlos siempre que sea posible.
TIP
Si la organización usa proveedores u otros socios comerciales de confianza, uno de los mayores riesgos empresariales que
se debe tener en cuenta puede ser la falta de cumplimiento normativo por parte de estas organizaciones externas.
Generalmente, este riesgo no se puede corregir y, en cambio, puede requerir un cumplimiento estricto de los requisitos
por parte de todos los interesados. Asegúrese de identificar y entender los requisitos de cumplimiento de terceros antes
de comenzar a revisar las directivas.
Pasos siguientes
Después de definir las directivas, elabore una guía de diseño de la arquitectura para ofrecer instrucciones
prácticas a los desarrolladores y al personal de TI.
Alinee la guía de diseño de gobernanza con las directivas corporativas
Alineación de la guía de diseño de la gobernanza
de la nube con las directivas corporativas
06/03/2021 • 4 minutes to read • Edit Online
Cuando haya definido las directivas de la nube basadas en los riesgos identificados, deberá generar una guía
accionable que se ajuste a estas directivas para que la puedan consultar el personal de TI y los desarrolladores.
Elaborar una guía de diseño de la gobernanza de la nube le permite especificar opciones estructurales,
tecnológicas y de procesos específicas basadas en las declaraciones de directiva que generó para cada una de
las cinco materias de gobernanza.
Una guía de diseño de la gobernanza de la nube debe establecer las opciones de arquitectura y los modelos de
diseño para cada uno de los componentes básicos de infraestructura de las implementaciones en la nube que
mejor se adapten a los requisitos de la directiva. Junto a estos, debe proporcionar una explicación de alto nivel
de la tecnología, las herramientas y los procesos que apoyarán cada una de estas decisiones de diseño.
Aunque el análisis de los riesgos y las declaraciones de directivas pueden, hasta cierto punto, ser independientes
de la plataforma de nube, la guía de diseño debe proporcionar detalles de implementación específicos de la
plataforma al departamento de TI y al de desarrollo a la hora de crear e implementar cargas de trabajo basadas
en la nube. Céntrese en la arquitectura, herramientas y características de la plataforma elegida al tomar
decisiones de diseño y proporcionar orientación.
Aunque las guías de diseño de la nube deben tener en cuenta algunos de los detalles técnicos asociados a cada
componente de la infraestructura, no pretenden ser documentos técnicos o especificaciones extensos.
Asegúrese de que las guías aborden las declaraciones de la directiva y de que expongan claramente las
decisiones de diseño en un formato fácil de entender y de consultar para el personal.
Pasos siguientes
Una vez establecida la guía de diseño, establezca los procesos de adhesión a las directivas para garantizar el
cumplimiento de las mismas.
Establecer procesos de adhesión a directivas
Establecimiento de procesos de adhesión a
directivas
06/03/2021 • 11 minutes to read • Edit Online
Después de establecer las instrucciones de la directiva de la nube y redactar una guía de diseño, deberá crear
una estrategia para garantizar que su implementación de la nube cumpla con los requisitos de la directiva. Esta
estrategia debe abarcar los procesos de comunicación y revisión en curso del equipo de gobernanza de la nube,
establecer criterios para cuando las infracciones de las directivas requieran medidas y definir los requisitos para
los sistemas automatizados de supervisión y cumplimiento que van a detectar las infracciones y desencadenar
las medidas correctoras.
Vea las secciones de directivas corporativas de las guías prácticas de gobernanza para obtener ejemplos de
cómo el proceso de adhesión a las directivas encaja en un plan de gobernanza de la nube.
Línea de base de seguridad Detecte actividad sospechosa de inicio Notifique al equipo de seguridad de TI
de sesión de usuario. y deshabilite la cuenta de usuario
sospechosa.
Pasos siguientes
Obtenga más información sobre el cumplimiento normativo en la nube.
Cumplimiento normativo
Introducción al cumplimiento normativo
12/03/2021 • 8 minutes to read • Edit Online
En este artículo se proporciona una introducción al cumplimiento normativo y, por lo tanto, no está diseñado
para implementar una estrategia de cumplimiento. Encontrará información más detallada sobre las ofertas de
cumplimiento de Azure en el Centro de confianza de Microsoft. Además, toda la documentación que se puede
descargar está disponible para determinados clientes de Azure en Microsoft Service Trust Portal.
Por cumplimiento normativo se entiende la materia y el proceso consistente en garantizar que una empresa
cumple la legislación establecida por las administraciones públicas en su ubicación geográfica, o las normas del
sector adoptadas voluntariamente. En el caso del cumplimiento normativo de TI, los usuarios o los procesos
supervisan los sistemas de la empresa para detectar y evitar las infracciones de las directivas y los
procedimientos que establecen la legislación y los reglamentos existentes. Esto se aplica a su vez a un área muy
amplia de los procesos de supervisión y aplicación. En función del sector y de la ubicación geográfica, estos
procesos pueden ser bastante largos y complejos.
En el caso de las organizaciones multinacionales (especialmente las de los sectores con mucha regulación, como
los servicios financieros y la atención sanitaria), el cumplimiento puede ser muy complicado. Hay un gran
número de normas y regulaciones que, en ciertos casos, cambian con frecuencia. El resultado es que para las
empresas cada vez es más difícil mantenerse al tanto de la evolución de las leyes internacionales de gestión de
datos electrónicos.
Al igual que sucede con los controles de seguridad, las organizaciones deben conocer la división de
responsabilidades con respecto al cumplimiento normativo en la nube. Los proveedores de servicios en la nube
se esfuerzan por asegurarse de que sus servicios y plataformas son cumplen la legislación. Las organizaciones
también deben confirmar que sus aplicaciones, la infraestructura de la que dependen las aplicaciones y los
servicios proporcionados por terceros también estén certificados como conformes a la norma.
Estas son las descripciones de las regulaciones de cumplimiento de diversos sectores y regiones geográficas:
HIPAA
Una aplicación de asistencia sanitaria que procesa información médica protegida (PHI) está sujeta tanto a la
regla de privacidad como a la regla de seguridad incluidas en la Ley de responsabilidad y transferibilidad de
seguros médicos (HIPAA). Como mínimo, es probable que HIPAA requiera que una empresa de atención
sanitaria reciba la garantía por escrito del proveedor de nube de que toda la información médica protegida
recibida o creada estará segura.
PCI
El estándar de seguridad de los datos para la industria de las tarjetas de pago (PCI DSS) es un estándar de
seguridad de información propietario para las organizaciones que controlan las tarjetas de crédito de los
principales sistemas de pago con tarjeta, como Visa, Mastercard, American Express, Discover y JCB. El estándar
de PCI lo imponen las marcas de tarjeta y lo administra la entidad Payment Card Industry Security Standards
Council. Dicho estándar se creó para aumentar los controles de los datos de los titulares, con el fin de reducir el
fraude en las tarjetas de crédito. La validación del cumplimiento la realiza anualmente un asesor de seguridad
cualificado (QSA), un asesor de seguridad interno (ISA) específico de la firma que crea un informe acerca del
cumplimiento (ROC) para las organizaciones que controlan grandes volúmenes de transacciones, o mediante un
cuestionario de autoevaluación (SAQ) de las empresas.
Datos personales
La información personal es cualquier dato que se puede utilizar para identificar a un consumidor, empleado,
asociado o cualquier otra entidad viva o legal. Muchas de las leyes recientes, sobre todo las relacionadas con la
privacidad y los datos personales, no solo requieren que las empresas las cumplan, sino también que informen
acerca del cumplimiento y de las infracciones que se producen.
GDPR
Uno de los desarrollos más importantes en esta área es el Reglamento General de Protección de Datos (RGPD),
diseñado para reforzar la protección de los datos de los ciudadanos de la Unión Europea. El RGPD requiere que
los datos personales (como "el nombre, la dirección particular, la fotografía, la dirección de correo electrónico,
los datos bancarios, las publicaciones en los sitios de redes sociales, la información médica o la dirección IP de
un equipo"), se mantengan en servidores que se encuentren dentro de la UE y no transfieran fuera de ella.
También requiere que las empresas envíen notificaciones a los usuarios si se produce cualquier vulneración de
sus datos y exige que haya un responsable de la protección de los datos. Otros países tienen tipos similares de
regulaciones o los están desarrollando.
Pasos siguientes
Más información sobre la preparación de la seguridad en la nube.
Preparación de la seguridad en la nube
Guía de preparación de CISO para la nube
22/03/2021 • 8 minutes to read • Edit Online
Las guías de Microsoft, como Cloud Adoption Framework, no están en posición de determinar o guiar las
restricciones de seguridad únicas de las miles de empresas a las que se puede aplicar esta documentación. Al
cambiar a la nube, sus tecnologías no reemplazarán el rol de responsable de la seguridad de la información. Al
contrario, el Director de seguridad de la información y la Oficial principal de seguridad de la información se
integran aún más. En esta guía se da por supuesto que el lector está familiarizado con los procesos de seguridad
de la información y que desea modernizar esos procesos para habilitar la transformación a la nube.
La adopción de la nube permite obtener servicios que a menudo no se tenían en cuenta en los entornos de TI
tradicionales. Normalmente, las implementaciones de autoservicio o automatizadas las ejecuta el equipo de
desarrollo de aplicaciones u otros equipos de TI que tradicionalmente no estaban en línea con la
implementación de producción. En algunas organizaciones, los componentes del negocio tienen capacidades de
autoservicio. Esta opción puede desencadenar nuevos requisitos de seguridad que no eran necesarios en el
entorno local. La seguridad centralizada es un desafío mayor, puesto que a menudo se convierte en una
responsabilidad compartida en la cultura empresarial y de TI. Este artículo puede servirle de ayuda para
preparar un CISO para ese enfoque y que así pueda participar en una gobernanza incremental.
Pasos siguientes
El primer paso para tomar medidas en cualquier estrategia de gobernanza es realizar una revisión de directiva.
La sección Directiva y cumplimiento puede ser una guía útil durante la revisión de las directivas.
Prepararse para una revisión de la directiva
Revisión de una directiva de nube
27/03/2021 • 8 minutes to read • Edit Online
La revisión de una directiva de nube es el primer paso hacia la madurez de la gobernanza de la nube. El objetivo
de este proceso es modernizar las directivas de TI corporativas existentes. Una vez finalizada esta tarea, las
directivas actualizadas proporcionan un nivel equivalente de mitigación de los riesgos para los recursos en la
nube. En este artículo se explica el proceso de revisión de una directiva en la nube y su importancia.
Pasos siguientes
Obtenga más información sobre cómo incluir la clasificación de datos en su estrategia de gobernanza de la
nube.
Clasificación de los datos
¿Qué es la clasificación de datos?
06/03/2021 • 4 minutes to read • Edit Online
La clasificación de datos permite determinar y asignar valor a los datos de la organización y proporciona un
punto de partida común para la gobernanza. El proceso de clasificación de datos clasifica los datos por
confidencialidad e impacto empresarial a fin de identificar los riesgos. Cuando los datos están clasificados, se
pueden administrar de formas que protegen aquellos confidenciales o importantes frente al robo o la pérdida.
Realizar acción
Actúe definiendo y etiquetando los recursos con una clasificación de datos definida.
Elija una de las guías prácticas de gobernanza en la nube para obtener ejemplos de cómo aplicar etiquetas a
toda la cartera.
Revise las convenciones recomendadas de nomenclatura y etiquetado para definir un estándar de etiquetado
más completo.
Para información adicional sobre el etiquetado de recursos, consulte Uso de etiquetas para organizar los
recursos de Azure y la jerarquía de administración.
Pasos siguientes
Más información sobre las cinco disciplinas de la gobernanza de la nube.
Cinco disciplinas de la gobernanza de la nube
Las cinco disciplinas de la gobernanza de la nube
06/03/2021 • 3 minutes to read • Edit Online
Cualquier cambio en los procesos de negocio o en las plataformas tecnológicas presenta riesgos. Los equipos
de gobernanza de la nube, cuyos miembros se conocen a veces como custodios de la nube, tienen la tarea de
mitigar estos riesgos y de garantizar una interrupción mínima en los esfuerzos de adopción o innovación.
Figura 1: Representación visual de la directiva corporativa y las cinco materias de gobernanza en la nube.
La materia de Cost Management es una de las cinco materias de la gobernanza en la nube dentro del modelo de
gobernanza de Cloud Adoption Framework. Para muchos clientes, controlar los costos es una preocupación
importante al adoptar tecnologías de nube. Equilibrar las demandas de rendimiento, el ritmo de adopción y los
costos de los servicios en la nube puede suponer todo un desafío. Esto es especialmente pertinente durante las
transformaciones de negocios importantes que implementan tecnologías de nube. En esta sección se describe el
enfoque de desarrollo de una materia de administración de costos como parte de una estrategia de gobernanza
en la nube.
NOTE
La materia de Cost Management no reemplaza los equipos de negocios, las prácticas contables y los procedimientos
existentes que intervienen en la administración financiera de la organización de los costos relacionados con la TI. El
objetivo principal de esta materia es determinar los posibles riesgos relativos a la nube relacionados con el gasto en TI y
proporcionar una guía de mitigación de riesgos para la empresa y los equipos de TI responsables de la implementación y
la administración de los recursos en la nube.
La principal audiencia a la que se dirigen estas instrucciones son los arquitectos de nube de su organización y
otros miembros de su equipo de gobernanza en la nube. Las decisiones, las directivas y los procesos que surgen
de esta materia deben implicar la involucración y los debates con miembros pertinentes de su empresa y de los
equipos de TI, especialmente con directores responsables de la posesión, administración y pago de cargas de
trabajo basadas en la nube.
Policy statements
Las declaraciones de la directiva que requieren acción y los requisitos de arquitectura resultantes actúan como
base de una materia de administración de costos. Use instrucciones de directiva de ejemplo como punto de
partida para definir las directivas de Cost Management.
Cau t i on
Las directivas de ejemplo proceden de experiencias habituales de los clientes. Para alinear mejor estas directivas
con necesidades de gobernanza en la nube específicas, ejecute los pasos siguientes para crear declaraciones de
la directiva que satisfagan sus necesidades empresariales únicas.
Pasos siguientes
Empiece evaluando riesgos empresariales en un entorno específico.
Descripción de los riesgos empresariales
Plantilla de la materia de Cost Management
12/03/2021 • 2 minutes to read • Edit Online
El primer paso para implementar un cambio es comunicarlo. Lo mismo sucede cuando se cambian los
procedimientos de gobernanza. La plantilla siguiente proporciona un punto de partida para documentar y
comunicar las declaraciones de directiva que rigen los problemas de administración de costos en la nube.
A medida que las conversaciones avancen, use la estructura de esta plantilla como modelo para capturar los
riesgos empresariales, las tolerancias a los riesgos, los procesos de cumplimiento y las herramientas necesarias
para definir las declaraciones de las directivas de Administración de costos de la organización.
IMPORTANT
Esta plantilla es un ejemplo limitado. Antes de actualizar esta plantilla para reflejar sus requisitos, debe revisar los pasos
posteriores para definir una materia sobre la administración de los costos eficaz dentro de su estrategia de gobernanza de
la nube.
Pasos siguientes
Los procedimientos de gobernanza sólidos comienzan con una comprensión del riesgo empresarial. Revise el
artículo sobre riesgos empresariales y empiece a documentar aquellos que se alinean con su plan de adopción
de la nube actual.
Descripción de los riesgos empresariales
Motivaciones y riesgos empresariales en la materia
de Cost Management
06/03/2021 • 4 minutes to read • Edit Online
En este artículo se describen las razones por las que los clientes normalmente adoptan una materia de
administración de costos dentro de una estrategia de gobernanza en la nube. También se proporcionan algunos
ejemplos de riesgos empresariales que impulsan las declaraciones de directiva.
Relevancia
En términos de gobernanza de costos, la adopción de la nube genera un cambio de paradigma. La
administración de costos en un mundo local tradicional se basa en ciclos de actualización, adquisiciones de
centros de datos, renovaciones de hosts y problemas de mantenimiento recurrentes. Puede prever, planear y
ajustar estos costos para alinearlos con los presupuestos anuales de gastos de capital.
Para las soluciones de nube, muchas empresas suelen adoptar un enfoque más reactivo ante la administración
de costos. En muchos casos, las empresas compran previamente, o se comprometen a usar, una cantidad
determinada de servicios en la nube. Este modelo da por supuesto que maximizar los descuentos, en función de
cuánto planee gastar la empresa con un proveedor de servicios en la nube específico, crea la percepción de un
ciclo de costos planeado y proactivo. Esa percepción solo se hará realidad si la empresa también implementa
una materia de administración de costos madura.
La nube ofrece capacidades de autoservicio que antes no se conocían en los centros de datos locales
tradicionales. Estas nuevas capacidades permiten a las empresas ser más ágiles, menos restrictivas y más
abiertas en relación con la adopción de nuevas tecnologías. La desventaja del autoservicio es que los usuarios
finales pueden superar los presupuestos asignados sin saberlo. A la inversa, los mismos usuarios pueden
experimentar un cambio en los planes y, de forma inesperada, no utilizar la cantidad de servicios en la nube
previstos. El potencial de cambio en cualquier dirección justifica la inversión en una materia de administración
de costos dentro del equipo de gobernanza.
Riesgo empresarial
La materia de Cost Management intenta abordar los principales riesgos empresariales relacionados con los
gastos que se derivan de hospedar cargas de trabajo basadas en la nube. Trabaje con su empresa para
identificar estos riesgos y supervise cada uno de ellos para determinar su pertinencia a medida que planee y
aplique sus implementaciones en la nube.
Los riesgos variarán según la organización, pero los siguientes sirven como riesgos comunes relacionados con
los costos que puede usar como punto de partida para debatir en el seno de su equipo de gobernanza de la
nube:
Control del presupuesto: No controlar el presupuesto puede llevar a un gasto excesivo con un proveedor
de servicios en la nube.
Pérdida de uso. Las compras previas o los compromisos previos que no se utilicen pueden generar
inversiones perdidas.
Anomalías en el gasto. Los aumentos inesperados en cualquier dirección pueden ser indicadores de un
uso inadecuado.
Recursos sobreaprovisionados. La implementación de los recursos en una configuración que supere las
necesidades de una aplicación o máquina virtual (VM) puede dar lugar a un desperdicio de los recursos.
Pasos siguientes
Utilice la plantilla de Cost Management para documentar los riesgos empresariales que probablemente se
presentarán en el plan de adopción de la nube actual.
Una vez que se consigue una comprensión realista de los riesgos empresariales, el siguiente paso es
documentar la tolerancia al riesgo de la empresa y los indicadores y métricas clave para supervisar esa
tolerancia.
Descripción de indicadores, métricas y tolerancia al riesgo
Métricas e indicadores de tolerancia al riesgo en
materia de Cost Management
06/03/2021 • 7 minutes to read • Edit Online
Métricas
Por lo general, la administración de costos se centra en las métricas relacionadas con los costos. Como parte del
análisis de riesgos, querrá recopilar datos relativos a los gastos actuales y planeados en cargas de trabajo
basadas en la nube para determinar el riesgo al que se enfrenta y la importancia que la inversión en la materia
de Cost Management tiene en sus implementaciones planeadas en la nube.
A continuación encontrará varios ejemplos de métricas útiles que debe recopilar para evaluar la tolerancia al
riesgo en la materia de administración de costos:
Gastos anuales. El costo total anual de los servicios que presta un proveedor de nube.
Gastos mensuales. El costo total mensual de los servicios que presta un proveedor de nube.
Relación entre costos previstos y reales. La relación que compara los gastos previstos con los reales
(mensuales o anuales).
Relación del ritmo de la adopción (mes a mes): El porcentaje de la diferencia de los costos de la nube
de un mes a otro.
Costo acumulado. Total de gastos diarios acumulados desde principios de mes.
Tendencias de los gastos. Tendencias de los gastos con respecto al presupuesto.
Pasos siguientes
Use la plantilla de materia de Cost Management para documentar las métricas y los indicadores de tolerancia
que están en línea con el plan de adopción de la nube actual.
Revise las directivas de Cost Management de ejemplo como punto de partida para desarrollar otras suyas que
aborden los riesgos empresariales específicos vinculados a los planes de adopción de la nube.
Revisión de las directivas de ejemplo
Declaraciones de directivas de ejemplo de
administración de costos
22/03/2021 • 9 minutes to read • Edit Online
Cada declaración de directiva de nube es una guía para abordar los riesgos específicos identificados durante el
proceso de evaluación de riesgos. Estas declaraciones deben proporcionar un breve resumen de los riesgos y
los planes para resolverlos. La definición de cada declaración debe incluir estos fragmentos de información:
Riesgo empresarial : Un resumen del riesgo que esta directiva abordará.
Declaración de directiva : Una explicación clara que resuma los requisitos de la directiva.
Opciones de diseño : Recomendaciones que requieren acción, especificaciones u otras instrucciones que
los equipos de TI y los desarrolladores pueden usar al implementar la directiva.
Las siguientes declaraciones de la directiva de ejemplo abordan algunos riesgos empresariales comunes
relacionados con los costos. Estas declaraciones son ejemplos a los que se puede hacer referencia al elaborar el
borrador de las declaraciones de directiva para satisfacer las necesidades de su organización. Estos ejemplos no
pretenden ser excluyentes y hay varias opciones posibles de directiva para solucionar cada riesgo concreto
identificado. Trabaje estrechamente con los equipos de TI y de dirección para identificar las mejores directivas
para su conjunto de riesgos en particular.
Perdurabilidad
Riesgo empresarial : Criterios actuales que no garantizan una inversión en una materia de Cost Management
por parte del equipo de gobernanza, aunque usted anticipa una inversión en el futuro.
Declaración de directiva : debe asociar todos los recursos implementados en la nube con una unidad de
facturación, una aplicación o una carga de trabajo. Esta directiva garantizará que la materia de Cost
Management sea eficaz.
Opciones de diseño : para obtener información sobre cómo establecer una base orientada al futuro, consulte
los artículos relacionados con la creación de un producto viable mínimo de gobernanza en las guías prácticas
sobre diseño, incluidas como parte de la guía Cloud Adoption Framework.
Infrautilización
Riesgo empresarial : la empresa ha realizado el prepago de servicios en la nube o ha asumido un compromiso
anual de gasto de una cantidad específica. Existe el riesgo de que no se use la cantidad acordada, lo que supone
una pérdida de la inversión.
Declaración de directiva : Cada unidad de facturación con un presupuesto asignado para la nube se reunirá
cada año para determinar los presupuestos, cada trimestre para ajustarlos y todos los meses para asignar el
tiempo para revisar el gasto previsto frente al real. Analice todas las desviaciones superiores al 20 % con el jefe
de la unidad de facturación con carácter mensual. Para fines de seguimiento, asigne todos los recursos a una
unidad de facturación.
Opciones de diseño :
en Azure, el gasto planeado frente al real se puede administrar con Azure Cost Management + Billing.
Hay varias opciones para agrupar recursos por unidad de facturación. En Azure, es necesario elegir un
modelo de coherencia de recursos en colaboración con el equipo de gobernanza, que se deberá aplicar a
todos los recursos.
Recursos sobreaprovisionados
Riesgo empresarial : en los centros de datos locales tradicionales, es una práctica habitual implementar los
recursos con un planeamiento de capacidad adicional para abordar el crecimiento en un futuro lejano. La nube
puede escalar más rápido que el equipo tradicional. Los precios de los recursos en la nube también se fijan en
función de la capacidad técnica. Existe el riesgo de que la antigua práctica local infle el gasto en la nube
artificialmente.
Declaración de directiva : todos los recursos implementados en la nube deben inscribirse en un programa
que pueda supervisar la utilización y notificar cualquier aumento de capacidad por encima del 50 % de
utilización. Todos los recursos implementados en la nube deben agruparse o etiquetarse de forma lógica, para
que los miembros del equipo de gobernanza puedan interactuar con el propietario de la carga de trabajo para
abordar cualquier optimización de recursos sobreaprovisionados.
Opciones de diseño :
en Azure, Azure Advisor puede proporcionar recomendaciones de optimización.
Hay varias opciones para agrupar recursos por unidad de facturación. En Azure, es necesario elegir un
modelo de coherencia de recursos en colaboración con el equipo de gobernanza, que se deberá aplicar a
todos los recursos.
Sobreoptimización
Riesgo empresarial : una administración de costos eficaz puede plantear nuevos riesgos. La optimización del
gasto es lo contrario al rendimiento del sistema. Al reducir los costos, existe el riesgo de restringir
excesivamente el gasto y crear experiencia de usuario deficientes.
Declaración de directiva : todos los recursos que afecten a las experiencias de los clientes deben identificarse
mediante agrupación o etiquetado. Antes de optimizar todos los recursos que afecten a la experiencia del
cliente, el equipo de gobernanza de la nube debe ajustar la optimización basándose en las tendencias de
utilización de 90 días como mínimo. Documente todos los picos temporales o basados en eventos que se han
tenido en cuenta para optimizar los recursos.
Opciones de diseño :
en Azure, las características de información de Azure Monitor pueden facilitar el análisis de la utilización del
sistema.
Hay varias opciones para agrupar y etiquetar los recursos en función de los roles. En Azure, debe elegir un
modelo de coherencia de recursos en colaboración con el equipo de gobernanza, que se deberá aplicar a
todos los recursos.
Pasos siguientes
Use los ejemplos mencionados en este artículo como punto de partida para desarrollar directivas que aborden
los riesgos de negocio específicos que se alinean con los planes de adopción de la nube.
Para empezar a desarrollar sus propias declaraciones de directivas de Cost Management, descargue la plantilla
de directivas de Cost Management.
Para acelerar la adopción de esta materia, elija la guía accionable de gobernanza que más se ajuste a su entorno.
Después, modifique el diseño para incorporar las decisiones de directiva específicas de su organización.
A partir de los riesgos y la tolerancia, establezca un proceso para gobernar y comunicar la adhesión a la
directiva de administración de costos.
Establecimiento de procesos para el cumplimiento de directivas
Procesos de cumplimiento de directivas de Cost
Management
22/03/2021 • 8 minutes to read • Edit Online
En este artículo se explica un enfoque de creación de procesos que admiten una materia de Cost Management
eficaz. Una gobernanza eficaz de los costos de la nube empieza con procesos manuales periódicos diseñados
para admitir el cumplimiento de directivas. Esto requiere la participación regular del equipo de gobernanza de la
nube y las partes interesadas de la empresa para revisar y actualizar la directiva y garantizar el cumplimiento de
las directivas. Además, muchos procesos de aplicación y supervisión en curso se pueden automatizar o
complementar con herramientas para reducir la sobrecarga de la gobernanza y permitir una respuesta más
rápida a la desviación de directivas.
Pasos siguientes
Use la plantilla de la materia de Cost Management para documentar los procesos y los desencadenadores que
se alinean con el plan de adopción actual de la nube.
Para obtener instrucciones sobre cómo ejecutar directivas de Cost Management de conformidad con los planes
de adopción, consulte Mejora de la materia de Cost Management.
Mejora de la materia de Cost Management
Mejora de la materia de Cost Management
12/03/2021 • 9 minutes to read • Edit Online
La materia de Cost Management intenta abordar los principales riesgos empresariales relacionados con los
gastos que se derivan de hospedar cargas de trabajo basadas en la nube. Dentro de las cinco materias de
gobernanza de la nube, la materia Cost Management está involucrada en el control de costos y el uso de los
recursos en la nube con el objetivo de crear y mantener un ciclo de costos planificado.
En este artículo se describen las tareas potenciales que su empresa realiza para desarrollar y desarrollar la
disciplina de Cost Management. Estas tareas se pueden desglosar en las fases de planeamiento, compilación,
adopción y operación de implementación de una solución en la nube. Las tareas se iteran posteriormente para
permitir el desarrollo de una enfoque incremental a para la gobernanza de la nube.
Ni las actividades mínimas ni las posibles que se describen en este artículo están en línea con directivas
corporativas específicas ni con requisitos de cumplimiento de terceros. Esta guía está diseñada como ayuda para
facilitar las conversaciones que darán lugar a la alineación de los requisitos con un modelo de gobernanza de la
nube.
Planeamiento y preparación
Esta fase del desarrollo de la gobernanza permite salvar las diferencias entre los resultados empresariales y
unas estrategias accionables. Durante este proceso, el equipo directivo define métricas específicas, las asigna al
patrimonio digital y empieza a planear el esfuerzo global de migración.
Actividades mínimas sugeridas:
Evalúe las opciones de la cadena de herramientas de Cost Management.
Elabore un documento borrador de las directrices de arquitectura y distribúyalo a las partes interesadas
clave.
Eduque e implique a las personas y equipos a los que afectará el desarrollo de las directrices de arquitectura.
Posible actividades:
Asegúrese de tomar decisiones presupuestarias que respalden la justificación comercial de su estrategia en
la nube.
Valide las métricas de aprendizaje que usa para informar sobre la asignación exitosa de fondos.
Comprenda el modelo de contabilidad en la nube seleccionado y que afecta al modo de contabilizar los
costos de la nube.
Familiarícese con el plan de patrimonio digital y valide las expectativas de costos exactos.
Evalúe las opciones de compra para determinar si es mejor el "pago por uso" o realizar un compromiso
previo mediante la compra de un Contrato Enterprise.
Alinee los objetivos comerciales con los presupuestos planificados y ajuste los planes presupuestarios según
sea necesario.
Desarrolle un mecanismo de notificación de objetivos y presupuestos para enviar una notificación a las
partes técnicas y comerciales interesadas al final de cada ciclo de costos.
Adopción y migración
La migración es un proceso incremental que se centra en el traslado, las pruebas y la adopción de las
aplicaciones o cargas de trabajo de un patrimonio digital existente.
Actividades mínimas sugeridas:
Migre su cadena de herramientas de administración de costos de la fase anterior a la implementación a la
fase de producción.
Actualice el documento de directrices de arquitectura y distribúyalo a las partes interesadas clave.
Desarrolle materiales y documentación educativos, comunicaciones de concienciación, incentivos y otros
programas para ayudar a impulsar la adopción por parte de los usuarios.
Posible actividades:
Implemente su modelo de contabilidad en la nube.
Asegúrese de que sus presupuestos reflejen los gastos reales durante cada lanzamiento y ajústelos según
sea necesario.
Supervise los cambios en los planes presupuestarios y confirme con las partes interesadas si es necesario
realizar aprobaciones adicionales.
Actualice los cambios en el documento de las directrices de arquitectura para reflejar los costos reales.
Funcionamiento y fase posterior a la implementación
Una vez completada la transformación, la gobernanza y las operaciones deben estar disponibles durante el ciclo
de vida natural de una aplicación o carga de trabajo. Esta fase de desarrollo de la gobernanza se centra en las
actividades que surgen habitualmente cuando la solución ya está implementada y el ciclo de transformación
comienza a estabilizarse.
Actividades mínimas sugeridas:
Personalice la cadena de herramientas de Cost Management según las necesidades cambiantes de su
organización.
Considere la posibilidad de automatizar cualquier notificación e informe para reflejar el gasto real.
Mejore las directrices de arquitectura para guiar los procesos de adopción futuros.
Ofrezca cursos a los equipos afectados de forma periódica para garantizar que se cumplan las directrices de
arquitectura.
Posible actividades:
Ejecute una revisión trimestral del negocio en la nube para saber el valor entregado al negocio y los costos
asociados.
Ajuste los planes trimestralmente para reflejar los cambios en los gastos reales.
Determine la alineación financiera con los P&L para las suscripciones de las unidades de negocio.
Analice mensualmente el valor y los métodos de notificación de costos con las partes interesadas.
Corrija los recursos infrautilizados y determine si merece la pena continuar con ellos.
Detecte desajustes y anomalías entre los gastos planeados y los reales.
Ayude a los equipos de adopción y estrategia de la nube a conocer y resolver estas anomalías.
Pasos siguientes
Ahora que comprende el concepto de gobernanza de los costos de la nube, revise los procedimientos
recomendados de administración de costos para encontrar formas de reducir sus gastos generales.
Procedimiento recomendados en la materia de administración de costos
Procedimientos recomendados para la gestión de
costos y los ajustes de tamaño de los recursos
hospedados en Azure
27/03/2021 • 52 minutes to read • Edit Online
Cuando se trata de ofrecer materia sobre gobernanza, la administración de costos es un tema recurrente a nivel
de la empresa. Si optimiza y administra los costos, puede garantizar el éxito a largo plazo de su entorno de
Azure. Es fundamental que todos los equipos (como el de finanzas, administración y equipos de desarrollo de
aplicaciones) conozcan los costos asociados y los revisen de forma periódica.
Antes de la adopción
Antes de mover las cargas de trabajo a la nube, valore el costo mensual que supone ejecutarlas en Azure. Una
administración proactiva de los costos de la nube le ayuda a cumplir su presupuesto para los gastos operativos.
Los procedimientos recomendados de esta sección le ayudarán a calcular los costos y a realizar el ajuste de
tamaño correcto de las VM y del almacenamiento antes de implementar una carga de trabajo en la nube.
T IP O DETA L L ES USO
Uso general Uso equilibrado de CPU y memoria. Adecuada para pruebas y desarrollo,
bases de datos de tamaño pequeño o
mediano, y servidores web de tráfico
bajo o medio.
Optimizada para proceso Uso elevado de la CPU respecto a la Adecuada para servidores web con un
memoria. volumen de tráfico medio, aplicaciones
de red, procesos por lotes y servidores
de aplicaciones.
Optimizada para memoria Memoria alta en relación con CPU. Adecuada para bases de datos
relacionales, memorias caché de
tamaño mediano a grande y análisis en
memoria.
Almacenamiento optimizado Alto rendimiento de disco y E/S. Adecuado para bases de datos SQL y
NoSQL y de macrodatos.
GPU optimizada Máquinas virtuales especializadas. Una Gráficos pesados y edición de vídeo.
o varias GPU.
T IP O DETA L L ES USO
Alto rendimiento CPU más rápida y eficaz. Máquinas Aplicaciones críticas de alto
virtuales con interfaces de red de alto rendimiento.
rendimiento (RDMA) opcionales.
Es importante comprender las diferencias de precio entre estas máquinas virtuales y los efectos a largo plazo
en el presupuesto.
Cada tipo tiene varias series de VM.
Además, cuando se selecciona una máquina virtual dentro de una serie, solo puede escalar la máquina
virtual y reducirla verticalmente dentro de esa serie. Por ejemplo, una instancia de DS2_v2 se puede escalar
verticalmente a DS4_v2 , pero no se puede cambiar a una instancia de otra serie, como F2S_v2 .
Más información:
Obtenga más información sobre los tipos de máquina virtual y el tamaño, y asigne tamaños a los tipos.
Planee el tamaño de las máquinas virtuales.
Revise un ejemplo de valoración de la empresa ficticia Contoso.
Discos En función de los blobs en páginas. Se usan discos Premium para las
máquinas virtuales. Se usan discos
Tipo de disco (velocidad): HDD administrados para simplificar la
estándar, SSD estándar, SSD Premium administración y la escala.
o Discos Ultra.
Administración de discos: no
administrado (se administra la
configuración de los discos y el
almacenamiento) o administrado (se
selecciona el tipo de disco y Azure lo
administra en su lugar).
Niveles de acceso
Azure Storage ofrece diferentes opciones para obtener acceso a los datos de blob en bloques. Si selecciona el
nivel de acceso adecuado, ayuda a garantizar que almacena los datos de blob en bloques de la manera más
rentable.
Acceso frecuente Mayores costos de almacenamiento, Se emplea para datos en uso activo a
menores costos de acceso y los que se accede con frecuencia.
transacciones
Archivar Se usa para blobs en bloques Se usa para los datos que pueden
individuales. tolerar varias horas de latencia de
recuperación y que permanecerán en
Es la opción más rentable para el el nivel de archivo durante un mínimo
almacenamiento. Menores costos de de 180 días.
almacenamiento, mayores costos de
acceso y transacciones.
Nivel estándar de uso general v2 Admite blobs (de bloques, páginas, Se usa para la mayoría de los
anexos), archivos, discos, colas y tablas. escenarios y la mayoría de los tipos de
datos. Las cuentas de almacenamiento
Admite los niveles de acceso frecuente, estándar pueden basarse en HDD o en
esporádico y de archivo. Se admite el SSD.
almacenamiento con redundancia de
zona (ZRS).
Nivel Premium de uso general v2 Admite datos de Blob Storage (blobs Microsoft recomienda usarlo para
en páginas). Admite los niveles de todas las máquinas virtuales.
acceso frecuente, esporádico y de
archivo. Se admite ZRS.
Se almacena en SSD.
Uso general v1 No se admiten los niveles de acceso. Se usa si las aplicaciones necesitan el
No admite ZRS. modelo de implementación clásica de
Azure.
T IP O DETA L L ES USO
Almacenamiento con redundancia Protege contra una interrupción local Considere si la aplicación almacena
local (LRS) mediante la replicación dentro de una datos que se pueden reconstruir
unidad de almacenamiento individual a fácilmente.
un dominio de error y un dominio de
actualización independientes. Mantiene
varias copias de los datos en un centro
de datos. Proporciona una durabilidad
mínima del 99,999999999 % (once
nueves) de los objetos en un año
determinado.
T IP O DETA L L ES USO
Almacenamiento con redundancia Protege contra una interrupción del Considere si necesita coherencia,
de zona (ZRS) centro de datos; para ello, replicar a durabilidad y alta disponibilidad. Podría
través de tres clústeres de no proteger frente a un desastre
almacenamiento en una sola región. regional en el que varias zonas
Cada clúster de almacenamiento está resulten afectadas permanentemente.
separado físicamente y ubicado en su
propia zona de disponibilidad.
Proporciona al menos una durabilidad
del 99,9999999999 % (doce nueves)
de los objetos durante un año
determinado, para lo cual mantiene
varias copias de sus datos en varios
centros de datos o en regiones
diferentes.
Almacenamiento con redundancia Protege contra una interrupción de No hay disponibles datos de réplica a
geográfica (GRS) toda la región mediante la replicación menos que Microsoft inicie la
de los datos en una región secundaria conmutación por error para la región
que se encuentra muy lejos de la secundaria. Si se produce la
réplica principal. Proporciona una conmutación por error, el acceso de
durabilidad mínima del lectura y de escritura está disponible.
99,99999999999999 % (dieciséis
nueves) de los objetos en un año
determinado.
Almacenamiento con redundancia Similar a GRS. Proporciona una Proporciona una disponibilidad de
geográfica con acceso de lectura durabilidad mínima del lectura del 99,99 %, ya que permite el
(RA-GRS). 99,99999999999999 % (dieciséis acceso de lectura desde la segunda
nueves) de los objetos en un año región utilizada para GRS.
determinado.
Más información:
Revise los precios de Azure Storage.
Aprenda a usar el servicio Azure Import/Export para importar de forma segura grandes cantidades de datos
en Azure Blob Storage y Azure Files.
Compare blobs, archivos y tipos de datos de almacenamiento de disco.
Obtenga más información sobre los niveles de acceso.
Revise los diferentes tipos de cuentas de almacenamiento.
Obtenga información sobre la redundancia de Azure Storage, que incluye LRS, ZRS, GRS y GRS de solo
lectura.
Obtenga más información sobre Azure Files.
Pasos siguientes
Una vez que comprenda los procedimientos recomendados, examine la cadena de herramientas de Cost
Management para identificar las características y las herramientas de Azure que le ayudarán a ejecutar esos
procedimientos.
Cadena de herramientas de Cost Management de Azure
Herramientas de Cost Management en Azure
06/03/2021 • 2 minutes to read • Edit Online
La materia Cost Management es una de las cinco disciplinas de gobernanza en la nube. Esta disciplina se centra
en las formas de establecer planes de gastos en la nube, asignar presupuestos de nube, supervisar y exigir los
presupuestos de nube, detectar anomalías costosas y ajustar el plan de gobernanza en la nube cuando el gasto
real no esté alineado.
A continuación, se muestra una lista de las herramientas nativas de Azure que pueden ayudar a desarrollar las
directivas y los procesos que admiten esta materia.
A Z URE C O ST
M A N A GEM EN T + C O N EC TO R DE
H ERRA M IEN TA A Z URE P O RTA L B IL L IN G P O W ER B I DESK TO P A Z URE P O L IC Y
Control del No Sí No Sí
presupuesto
Supervisión y Sí Sí Sí No
detección de
tendencias
Detección de No Sí Sí No
anomalías en el gasto
Socialización de No Sí Sí No
desviaciones
Información general sobre la materia de base de
referencia de seguridad
09/03/2021 • 6 minutes to read • Edit Online
La coherencia de los recursos es una de las cinco materias de la gobernanza en la nube dentro del modelo de
gobernanza de Cloud Adoption Framework. La seguridad es un componente de cualquier implementación de TI
y la nube presenta problemas de seguridad únicos. Muchas empresas están sujetas a requisitos reglamentarios
que convierten la protección de datos confidenciales en una prioridad importante de la organización al
considerar una transformación de la nube. La identificación de posibles amenazas de seguridad al entorno en la
nube y el establecimiento de procesos y procedimientos de tratamiento de estas amenazas deben ser
prioritarios para cualquier equipo de seguridad cibernética o seguridad de TI. La materia de base de referencia
de seguridad garantiza la aplicación coherente de requisitos técnicos y restricciones de seguridad a entornos en
la nube, a medida que esos requisitos se desarrollan.
NOTE
La materia de base de referencia de seguridad no reemplaza los procedimientos, procesos y equipos de TI existentes que
usa su organización para proteger los recursos implementados por la nube. El principal objetivo de esta materia es
identificar riesgos empresariales relacionados con la seguridad y proporcionar orientación en mitigación de riesgos al
personal de TI responsable de la infraestructura de seguridad. A medida que desarrolla procesos y directivas de
gobernanza, asegúrese de implicar a los equipos de TI pertinentes en sus procesos de revisión y planeación.
En este artículo se describe el enfoque de desarrollo de una materia de base de referencia de seguridad como
parte de su estrategia de gobernanza en la nube. La principal audiencia a la que se dirigen estas instrucciones
son los arquitectos de nube de su organización y otros miembros de su equipo de gobernanza en la nube. Las
decisiones, las directivas y los procesos que emergen de esta materia deben implicar la involucración y
discusiones con miembros pertinentes de los equipos de seguridad y TI, especialmente aquellos líderes técnicos
responsables de la implementación de servicios de identidad, cifrado y redes.
Tomar las decisiones de seguridad correctas es fundamental para el éxito de sus implementaciones en la nube y
un mayor éxito empresarial. Si su organización carece de conocimientos internos sobre seguridad cibernética,
considere la posibilidad de involucrar a consultores de seguridad externos como componente de esta materia.
Considere también la posibilidad de involucrar a Servicios de consultoría de Microsoft, el servicio de adopción
de la nube Microsoft FastTrack u otros expertos en adopción de la nube externos para determinar los problemas
relacionados con esta materia.
Policy statements
Las declaraciones de la directiva accionable y los requisitos de arquitectura resultantes actúan como base de una
materia de base de referencia de seguridad. Use instrucciones de directiva de ejemplo como punto de partida
para definir las directivas de línea de base de seguridad.
Cau t i on
Las directivas de ejemplo proceden de experiencias habituales de los clientes. Para alinear mejor estas directivas
con necesidades de gobernanza en la nube específicas, ejecute los pasos siguientes para crear declaraciones de
la directiva que satisfagan sus necesidades empresariales únicas.
Pasos siguientes
Empiece evaluando riesgos empresariales en un entorno específico.
Descripción de los riesgos empresariales
Plantilla de la materia de base de referencia de
seguridad
12/03/2021 • 2 minutes to read • Edit Online
El primer paso para implementar un cambio es comunicar lo que se pretende. Lo mismo sucede cuando se
cambian los procedimientos de gobernanza. La plantilla siguiente proporciona un punto de partida para
documentar y comunicar declaraciones de directivas que controlan problemas relacionados con la seguridad en
la nube.
A medida que las conversaciones avancen, use la estructura de esta plantilla como modelo para capturar los
riesgos empresariales, las tolerancias a los riesgos, los procesos de cumplimiento y las herramientas necesarias
para definir las declaraciones de las directivas de Línea de base de seguridad de la organización.
IMPORTANT
Esta plantilla es un ejemplo limitado. Antes de actualizar esta plantilla para reflejar sus requisitos, debe revisar los pasos
posteriores para definir una materia de base de referencia de seguridad eficaz dentro de su estrategia de gobernanza en la
nube.
Pasos siguientes
Los procedimientos de gobernanza sólidos comienzan con una comprensión del riesgo empresarial. Revise el
artículo sobre riesgos empresariales y empiece a documentar aquellos que se alinean con su plan de adopción
de la nube actual.
Descripción de los riesgos empresariales
Motivaciones y riesgos empresariales en la materia
de base de referencia de seguridad
06/03/2021 • 5 minutes to read • Edit Online
En este artículo se describen las razones por las que los clientes normalmente adoptan una materia sobre la
base de referencia de la seguridad dentro de una estrategia de gobernanza de la nube. También se proporcionan
algunos ejemplos de posibles riesgos empresariales que pueden motivar las declaraciones de directiva.
Relevancia
La seguridad es una preocupación clave en cualquier organización de TI. Las implementaciones en la nube se
enfrentan a los mismos riesgos para la seguridad que las cargas de trabajo hospedadas en los centros de datos
locales tradicionales. Por su naturaleza, las plataformas de nube pública no poseen la propiedad directa del
hardware físico que almacena y ejecuta las cargas de trabajo, lo que implica que la seguridad en la nube
necesita sus propias directivas y procesos.
Uno de los elementos principales que diferencia la gobernanza de la seguridad en la nube de las directivas de
seguridad tradicionales es la facilidad con la que se pueden crear recursos, que agregan posibles
vulnerabilidades si no se tiene en cuenta la seguridad antes de la implementación. La flexibilidad que las
tecnologías tales como las redes definidas por software (SDN) ofrecen para cambiar rápidamente la topología
de una red basada en la nube puede modificar también la superficie de la red que queda expuesta a ataques
fácilmente y de maneras imprevistas. Las plataformas de nube también proporcionan herramientas y
características que pueden mejorar las funcionalidades de seguridad de maneras no siempre es posible en
entornos locales.
La inversión necesaria en directivas y procesos de seguridad dependerá mucho la naturaleza de su
implementación en la nube. Las implementaciones de prueba iniciales solo necesitarán las directivas de
seguridad más básicas, mientras que una carga de trabajo crítica implicará abordar necesidades de seguridad
exhaustivas y complejas. Todas las implementaciones deberán aplicar la materia en algún nivel.
La materia sobre la base de referencia de la seguridad abarca las directivas corporativas y los procesos
manuales que puede poner en marcha para proteger una implementación en la nube frente a los riesgos para la
seguridad.
NOTE
Aunque es importante entender la materia de base de referencia de identidad en el contexto de la materia de base de
referencia de seguridad y cómo se relaciona con el control de acceso, en las Cinco materias de gobernanza de la nube se
trata como una materia aparte.
Riesgo empresarial
La materia sobre la base de referencia de la seguridad intenta abordar los riesgos relacionados con la seguridad
empresarial. Trabaje con su empresa para identificar estos riesgos y supervise cada uno de ellos para
determinar su pertinencia a medida que planee y aplique sus implementaciones en la nube.
Los riesgos difieren entre organizaciones. Use esta lista de riesgos habituales relacionados con la seguridad
como punto inicial para las discusiones dentro del equipo de gobernanza de la nube:
Vulneración de datos: La exposición accidental o la pérdida de información confidencial hospedada en la
nube puede provocar la pérdida de clientes, problemas contractuales o consecuencias legales.
Interrupción del ser vicio. Las interrupciones y otros problemas de rendimiento debidos a una
infraestructura no segura interrumpe las operaciones normales y puede dar lugar a la pérdida de
productividad o la pérdida de negocio.
Pasos siguientes
Use la plantilla de la materia de base de referencia de seguridad para documentar los riesgos empresariales que
es probable que se introduzcan debido al plan actual de adopción de la nube.
Una vez que se consigue una comprensión realista de los riesgos empresariales, el siguiente paso es
documentar la tolerancia al riesgo de la empresa y los indicadores y métricas clave para supervisar esa
tolerancia.
Descripción de indicadores, métricas y tolerancia al riesgo
Indicadores y métricas de tolerancia al riesgo en la
materia de base de referencia de seguridad
06/03/2021 • 10 minutes to read • Edit Online
Métricas
La materia de base de referencia de seguridad se centra por lo general en identificar posibles puntos
vulnerables en las implementaciones en la nube. Como parte del análisis de riesgos, querrá recopilar datos
relacionados con el entorno de seguridad para determinar el riesgo al que se enfrenta y la importancia que la
inversión en la materia de base de referencia de seguridad tiene en sus planes de implementación en la nube.
Cada organización tiene distintos entornos y requisitos de seguridad y diferentes orígenes potenciales de datos
de seguridad. A continuación encontrará varios ejemplos de métricas útiles que debe recopilar, ya que le
ayudarán a evaluar la tolerancia al riesgo en la materia sobre la base de referencia de la seguridad:
Clasificación de datos : Número de servicios y datos almacenados en la nube que no están clasificados
según las normas de privacidad, cumplimiento o impacto empresarial de su organización.
Número de almacenes de datos confidenciales : Número de puntos de conexión de almacenamiento o
bases de datos que contienen información confidencial y que deben protegerse.
Número de almacenes de datos sin cifrar : Número de almacenes de datos confidenciales que no están
cifrados.
Superficie expuesta a ataques : Cuántos orígenes de datos, servicios y aplicaciones en total se hospedarán
en la nube. ¿Qué porcentaje de estos orígenes de datos se clasifican como confidenciales? ¿Qué porcentaje
de estas aplicaciones y servicios es crítico?
Estándares cubier tos : Número de estándares de seguridad definidos por el equipo de seguridad.
Recursos cubier tos : Recursos implementados que están cubiertos por los estándares de seguridad.
Cumplimiento general de estándares : Tasa de cumplimiento de los estándares de seguridad.
Ataques por gravedad : ¿Cuántos intentos de interrupción de los servicios hospedados en la nube, por
ejemplo, mediante ataques de denegación de servicio distribuido (DDoS), experimenta su infraestructura?
¿Cuál es el tamaño y la gravedad de estos ataques?
Protección contra malware : Porcentaje de máquinas virtuales implementadas que tienen todo el software
antimalware, firewall u otro software de seguridad instalado.
Latencia de revisiones : El tiempo que hace desde que se aplicaron las últimas revisiones de software y del
sistema operativo a las máquinas virtuales.
Recomendaciones sobre estado de seguridad : Número de recomendaciones de software de seguridad
para resolver los estándares de mantenimiento para los recursos implementados, organizados por gravedad.
Pasos siguientes
Use la plantilla de la materia de base de referencia de seguridad para documentar las métricas y los indicadores
de tolerancia que se alinean con el plan actual de adopción de la nube.
Revise las directivas de base de referencia de seguridad de ejemplo como punto de partida para desarrollar
otras suyas que aborden los riesgos empresariales específicos vinculados a los planes de adopción de la nube.
Revisión de las directivas de ejemplo
Declaraciones de directiva de ejemplo de la base de
referencia de la seguridad
06/03/2021 • 10 minutes to read • Edit Online
Cada declaración de directiva de nube es una guía para abordar los riesgos específicos identificados durante el
proceso de evaluación de riesgos. Estas declaraciones deben proporcionar un breve resumen de los riesgos y
los planes para resolverlos. La definición de cada declaración debe incluir estos fragmentos de información:
Riesgo técnico: Un resumen del riesgo que esta directiva abordará.
Declaración de directiva : Una explicación clara que resuma los requisitos de la directiva.
Opciones técnicas : Recomendaciones que requieren acción, especificaciones u otras instrucciones que los
equipos de TI y los desarrolladores pueden usar al implementar la directiva.
Las siguientes instrucciones de directiva de ejemplo abordan algunos riesgos empresariales comunes
relacionados con la seguridad. Estas declaraciones son ejemplos a los que se puede hacer referencia al elaborar
el borrador de las declaraciones de directiva para satisfacer las necesidades de su organización. Estos ejemplos
no pretenden ser excluyentes y hay varias opciones posibles de directiva para solucionar cada riesgo concreto
identificado. Trabaje estrechamente con los equipos de TI, seguridad y negocio para identificar las mejores
directivas para su conjunto de riesgos en particular.
Cifrado de datos
Riesgo técnico: hay un riesgo de exposición durante el almacenamiento de datos protegidos.
Declaración de directiva : todos los datos protegidos deben estar cifrados cuando están en reposo.
Opción de diseño posible : consulte el artículo Introducción al cifrado de Azure para ver cómo se realiza el
cifrado de los datos en reposo en la plataforma Azure. También se deben tener en cuenta controles adicionales,
como el cifrado de datos de la cuenta y el control sobre cómo se puede cambiar la configuración de la cuenta de
almacenamiento.
Aislamiento de red
Riesgo técnico: la conectividad entre las redes y subredes presenta posibles vulnerabilidades que pueden dar
lugar a la pérdida de datos o la interrupción de servicios críticos.
Declaración de directiva : las subredes que contengan datos protegidos deben aislarse de las otras subredes.
El tráfico de red entre las subredes de datos protegidos se debe auditar periódicamente.
Opción de diseño posible : en Azure, el aislamiento de las redes y subredes se administra mediante Azure
Virtual Network.
Revisión de la seguridad
Riesgo técnico: con el tiempo, aparecen nuevas amenazas para la seguridad y nuevos tipos de ataques, que
aumentan el riesgo de exposición o la interrupción de los recursos en la nube.
Declaración de directiva : el equipo de seguridad debe revisar periódicamente las tendencias y
vulnerabilidades que podrían afectar a las implementaciones en la nube para proporcionar actualizaciones a las
herramientas de la base de referencia de seguridad que se usan en la nube.
Opción de diseño posible : establezca una reunión periódica para revisar la seguridad, que incluya a los
miembros pertinentes de los equipos de TI y gobernanza. Revise las métricas y los datos de seguridad existentes
para identificar deficiencias en las herramientas y la directiva de la base de referencia de seguridad, y actualice la
directiva para remedir los nuevos riesgos. Utilice Azure Advisor y Azure Security Center para obtener
información útil sobre las amenazas emergentes específicas de las implementaciones.
Pasos siguientes
Use los ejemplos mencionados en este artículo como punto de partida para desarrollar directivas que aborden
los riesgos específicos para su negocio, en línea con sus planes de adopción de la nube.
Para comenzar a desarrollar sus propias declaraciones de directiva personalizadas de la base de referencia de
seguridad, descargue la plantilla de la materia de base de referencia de seguridad.
Para acelerar la adopción de esta materia, elija la guía accionable de gobernanza que más se ajuste a su entorno.
Después, modifique el diseño para incorporar las decisiones de directiva específicas de su organización.
A partir de los riesgos y la tolerancia, establezca un proceso para gobernar y comunicar la adhesión a la
directiva de base de referencia de seguridad.
Establecimiento de procesos para el cumplimiento de directivas
Procesos de cumplimiento de la directiva de la base
de referencia de seguridad
06/03/2021 • 12 minutes to read • Edit Online
En este artículo se describe un enfoque de los procesos de cumplimiento de directivas que rigen la materia de
base de referencia de seguridad. La gobernanza efectiva de la seguridad de la nube comienza con procesos
manuales periódicos diseñados para detectar vulnerabilidades e imponer directivas para remediar los riesgos
para la seguridad. Esto requiere la participación regular del equipo de gobernanza de la nube y las partes
interesadas de TI y de la empresa para revisar y actualizar la directiva y garantizar el cumplimiento de esta.
Además, muchos procesos de aplicación y supervisión en curso se pueden automatizar o complementar con
herramientas para reducir la sobrecarga de la gobernanza y permitir una respuesta más rápida a la desviación
de directivas.
Pasos siguientes
Use la plantilla de la materia de base de referencia de seguridad para documentar los procesos y los
desencadenadores que se alinean con el plan de adopción actual de la nube.
Para obtener instrucciones acerca de cómo ejecutar directivas de administración en la nube de conformidad con
los planes de adopción, consulte el artículo sobre la mejora de la materia.
Mejora de la materia sobre la base de referencia de la seguridad
Mejora de la materia sobre la base de referencia de
la seguridad
12/03/2021 • 12 minutes to read • Edit Online
La materia de base de referencia de la seguridad se centra en formas de establecer directivas que protegen la
red, los recursos y, lo que es más importante, los datos que residirán en una solución del proveedor de nube.
Dentro de las cinco materias de gobernanza de la nube, la correspondiente a la base de referencia de seguridad
implica la clasificación del patrimonio digital y los datos. También incluye documentación de estrategias de
mitigación, tolerancia empresarial y riesgos que se asocian a la seguridad de los datos, los recursos y la red.
Desde una perspectiva técnica, también supone la participación en decisiones sobre el cifrado, los requisitos de
red, las estrategias de identidad híbrida y los procesos utilizados para desarrollar las directivas de la base de
referencia de seguridad.
En este artículo se destacan algunas de las posibles tareas en las que su empresa puede participar para
desarrollar y mejorar la materia sobre la base de referencia de la seguridad. Estas tareas se dividen en las fases
de planeamiento, compilación, adopción y funcionamiento de la implementación de una solución de nube que,
posteriormente, se iteran para permitir el desarrollo de un enfoque incremental a la gobernanza de la nube.
Ni las actividades mínimas ni las posibles que se describen en este artículo están en línea con directivas
corporativas específicas ni con requisitos de cumplimiento de terceros. Esta guía está diseñada como ayuda para
facilitar las conversaciones que darán lugar a la alineación de los requisitos con un modelo de gobernanza de la
nube.
Planeamiento y preparación
Esta fase del desarrollo de la gobernanza permite salvar las diferencias entre los resultados empresariales y
unas estrategias accionables. Durante este proceso, el equipo directivo define métricas específicas, las asigna al
patrimonio digital y empieza a planear el esfuerzo global de migración.
Actividades mínimas sugeridas:
Evalúe las opciones que tiene para la cadena de herramientas de la base de referencia de la seguridad.
Elabore un borrador con las directrices de arquitectura y distribúyalo a las principales partes interesadas.
Eduque e implique a las personas y equipos a los que afectará el desarrollo de las directrices de arquitectura.
Agregue tareas de seguridad priorizadas a su trabajo pendiente de migración.
Posible actividades:
Defina un esquema de clasificación de los datos.
Realice un proceso de planeamiento del patrimonio digital para inventariar los recursos de TI actuales que
dan servicio a los procesos empresariales y respaldan las operaciones.
Lleve a cabo una revisión de la directiva para comenzar el proceso de modernización de las directivas de
seguridad de TI corporativas existentes, y defina las directivas de producto mínimo viable para abordar los
riesgos conocidos.
Revise las directrices de seguridad de la plataforma de nube. En el caso de Azure, se encuentran en el portal
de confianza de servicios de Microsoft.
Determine si la directiva de base de referencia de seguridad incluye un ciclo de vida de desarrollo de la
seguridad.
Evalúe la red, los datos y los riesgos empresariales relacionadas con los recursos, utilizando para ello de una
a tres de las próximas versiones, y evalúe la tolerancia de su organización a esos riesgos.
Revise el informe de Microsoft sobre las principales tendencias en ciberseguridad para obtener información
general sobre el panorama actual de la seguridad.
Considere la posibilidad de desarrollar un rol de DevSecOps en su organización.
Adopción y migración
La migración es un proceso incremental que se centra en el traslado, las pruebas y la adopción de las
aplicaciones o cargas de trabajo de un patrimonio digital existente.
Actividades mínimas sugeridas:
Migre la cadena de herramientas de su base de referencia de la seguridad de la fase anterior a la
implementación a la fase de producción.
Actualice el documento de directrices de arquitectura y distribúyalo a las principales partes interesadas.
Desarrolle materiales y documentación educativos, comunicaciones de concienciación, incentivos y otros
programas para ayudar a impulsar la adopción por parte de los usuarios.
Posible actividades:
Revise la información más reciente sobre amenazas y la base de referencia de seguridad para identificar
nuevos riesgos empresariales.
Calibre qué tolerancia tiene su organización para controlar los nuevos riesgos para la seguridad que
pudieran surgir.
Identifique las desviaciones de la directiva y aplique correcciones.
Ajuste la automatización del control de acceso y la seguridad para garantizar el máximo cumplimiento de la
directiva.
Compruebe que los procedimientos recomendados que se definieron durante las fases de compilación y
anterior a la implementación se ejecutan correctamente.
Revise las directivas de acceso con privilegios mínimos y ajuste los controles de acceso para maximizar la
seguridad.
Pruebe la cadena de herramientas de su base de referencia de la seguridad con sus cargas de trabajo para
identificar y resolver las vulnerabilidades.
Pasos siguientes
Ahora que comprende el concepto de gobernanza de la seguridad en la nube, vamos a ver qué procedimientos
recomendados y guías para la seguridad ofrece Microsoft para Azure.
Más información sobre las guías de seguridad para Azure Introducción a la seguridad de Azure Más información
sobre registro, informes y supervisión
Directivas de línea de base de seguridad nativas en
la nube
23/03/2021 • 15 minutes to read • Edit Online
La materia de base de referencia de seguridad es una de las cinco materias de gobernanza de la nube. Esta
materia se centra en temas de seguridad generales que incluyen la protección de la red, los recursos digitales y
los datos. En este artículo se trata un directiva de ejemplo nativa en la nube para la materia de línea de base de
seguridad.
NOTE
Microsoft no es quien debe dictar las directivas corporativas o de TI. Este artículo le ayudará a prepararse para una
revisión de directivas interna. Se supone que este ejemplo de directiva se ampliará, validará y probará con sus directivas
corporativas antes de intentar utilizarla. El uso de este ejemplo de directiva tal y como está, no es recomendable.
Alineación de la directiva
Esta directiva de ejemplo resume un escenario nativo en la nube, lo cual significa que las herramientas y
plataformas que proporciona Azure son suficientes para administrar los riesgos empresariales que conlleva una
implementación. En tal escenario, se supone que una configuración sencilla de los servicios predeterminados de
Azure ofrece suficiente protección a los recursos.
Herramientas
El portal de confianza de servicios de Microsoft y el administrador de cumplimiento pueden ayudarle a cumplir
esos requisitos:
Superar los desafíos de administración de cumplimiento.
Responsabilizarse de cumplir los requisitos normativos.
Realizar auditorías y autoevaluaciones de riesgos sobre el uso del servicio en la nube empresarial.
Estas herramientas están diseñadas para ayudar a las organizaciones a llevar a cabo obligaciones de
cumplimiento complejas y a mejorar las funcionalidades de protección de datos al elegir y usar servicios de
Microsoft Cloud.
El por tal de confianza de ser vicios de Microsoft proporciona información detallada y herramientas para
ayudarle a satisfacer sus necesidades de uso de los servicios de Microsoft Cloud, lo que incluye Azure,
Microsoft 365, Dynamics 365 y Windows. El portal es una tienda integral donde puede obtener información
sobre seguridad, normativa, cumplimiento y privacidad relacionada con la nube de Microsoft. Se trata de la
ubicación en la que se publican la información y los recursos necesarios para realizar evaluaciones de riesgos de
autoservicio propias de los servicios y las herramientas en la nube. El portal se creó para ayudar a realizar un
seguimiento de las actividades de cumplimiento normativo de Azure e incluye:
Administrador de cumplimiento: el administrador de cumplimiento, una herramienta de evaluación de
riesgos basada en flujos de trabajo del portal de confianza de servicios de Microsoft, le permite realizar
seguimientos, asignar y comprobar las actividades de cumplimiento normativo de la organización
relacionadas con servicios en la nube de Microsoft, por ejemplo, Microsoft 365, Dynamics 365 y Azure.
Puede encontrar más información en la siguiente sección.
Documentos de confianza: hay tres categorías de guías que proporcionan abundantes recursos para
evaluar la nube de Microsoft y para conocer más información en materia de seguridad, cumplimiento y
privacidad de las operaciones de Microsoft, y que le ayudan a mejorar las funcionalidades de protección de
los datos. Entre estas guías s incluyen:
Informes de auditoría: los informes de auditoría le permiten estar al día con la información más reciente
sobre privacidad, seguridad y cumplimiento de los servicios en la nube de Microsoft. Esta información
incluye ISO, SOC, FedRAMP y otros informes de auditoría, cartas intermedias y materiales relacionados con
auditorías independientes de terceros de servicios en la nube de Microsoft, como Azure, Microsoft 365,
Dynamics 365, etc.
Guías de protección de datos: las guías de protección de datos le proporcionan información sobre cómo
protegen los servicios en la nube de Microsoft sus datos y sobre cómo puede administrar la seguridad de los
datos en la nube y el cumplimiento para su organización. Estas guías incluyen informes técnicos detallados
acerca del diseño y operación de los servicios en la nube de Microsoft, las preguntas frecuentes, los informes
de evaluaciones de seguridad de finales de año, los resultados de las pruebas de penetración, y una guía para
ayudarle a realizar evaluaciones de riesgos y a mejorar las funcionalidades de protección de los datos.
Plano técnico de seguridad y cumplimiento de Azure: Los planos técnicos le proporcionan recursos
que le ayudan a la hora de compilar e iniciar aplicaciones basadas en la nube que le ayudan a cumplir con las
estrictas normativas y estándares. Con más certificaciones que ningún otro proveedor de nube, puede
confiar en la implementación de las cargas de trabajo críticas en Azure, con planos técnicos que incluyen:
Información general y orientaciones específicas del sector.
Matriz de responsabilidades del cliente.
Arquitecturas de referencia con modelos de amenazas.
Matrices de implementación de control.
Automatización para implementar arquitecturas de referencia.
Recursos de privacidad. Se proporciona documentación sobre evaluaciones del efecto de la protección
de los datos, solicitudes del titular de los datos y notificaciones de vulneración de datos para que se
incorporen al propio programa de rendición de cuentas como complemento del Reglamento general
de protección de datos (RGPD).
Introducción al RGPD: Los servicios y productos de Microsoft ayudan a las organizaciones a cumplir con
los requisitos del RGPD cuando recopilan o procesan datos personales. El portal de confianza de servicios de
Microsoft está diseñado para proporcionarle información sobre las funcionalidades de los servicios de
Microsoft que puede usar para abordar los requisitos específicos del RGPD. La documentación puede
ayudarle con sus responsabilidades con respecto al RGPD y a comprender las medidas técnicas y
organizativas que implica. Se proporciona documentación de las evaluaciones del efecto de la protección de
datos, las solicitudes del titular de los datos y notificaciones de vulneración de datos para que los incorpore
en su propio programa de rendición de cuentas como complemento al reglamento general de protección de
datos.
Solicitudes del titular de los datos: El RGPD concede a las personas (o titulares de los datos)
determinados derechos relacionados con el procesamiento de sus datos personales. Entre estos
derechos se incluyen los que implican corregir datos incorrectos, eliminar datos o restringir su
procesamiento, así como el derecho a recibir sus datos y a atender una solicitud para transmitirlos a
otro controlador.
Vulneración de datos: El RGPD impone requisitos de notificación para los controladores y
procesadores de datos en caso de que se presente una vulneración de los datos personales. El portal
de confianza de servicios de Microsoft le proporciona información sobre cómo Microsoft impide las
vulneraciones, cómo las detecta y cómo responde y le envía una notificación como controlador de los
datos si se produce una vulneración.
Evaluación de impacto de la protección de datos: Microsoft ayuda a los controladores a
completar evaluaciones del impacto de la protección de datos del RGPD. El RGPD proporciona una
lista no exhaustiva de casos en que se debe realizar este tipo de evaluaciones como, por ejemplo, el
procesamiento automático con fines de generación de perfiles y actividades semejantes, el
procesamiento a gran escala de categorías especiales de datos personales y la supervisión sistemática
de un área accesible públicamente a gran escala.
Otros recursos: además de una guía sobre herramientas analizadas en las secciones anteriores, el
portal de confianza de servicios de Microsoft también proporciona otros recursos entre los que se
incluyen el cumplimiento regional, recursos adicionales para el Centro de seguridad y cumplimiento, y
preguntas frecuentes sobre dicha plataforma, el administrador de cumplimiento, la privacidad o el
RGPD.
Cumplimiento regional: el portal de confianza de servicios de Microsoft proporciona numerosos
documentos sobre cumplimiento y orientaciones sobre los servicios en línea de Microsoft para ayudarle a
cumplir con los requisitos de cumplimiento en diferentes regiones como, por ejemplo, la República Checa,
Polonia y Rumanía.
La materia de base de referencia de seguridad es una de las cinco materias de gobernanza de la nube. Esta
materia se centra en formas de establecer directivas que protegen la red, los recursos y, lo que es más
importante, los datos que residirán en una solución del proveedor de nube. Dentro de las cinco materias de
gobernanza de la nube, la correspondiente a la base de referencia de seguridad implica la clasificación del
patrimonio digital y los datos. También implica documentación de estrategias de mitigación, tolerancia
empresarial y riesgos que se asocian a la seguridad de los datos, los recursos y las redes. Desde una perspectiva
técnica, esta materia también incluye la participación en decisiones sobre el cifrado, los requisitos de red, las
estrategias de identidad híbrida y las herramientas para automatizar la aplicación de directivas de seguridad en
los grupos de recursos.
La siguiente lista de herramientas de Azure puede contribuir desarrollar las directivas y los procesos que
admiten esta materia.
A Z URE
P O RTA L Y
A Z URE A Z URE
H ERRA M IEN T RESO URC E A Z URE K EY A Z URE SEC URIT Y A Z URE
A M A N A GER VA ULT A Z URE A D P O L IC Y C EN T ER M O N ITO R
Aplicación de Sí No Sí No No No
controles de
acceso a
recursos y
creación de
recursos
Protección de Sí No No Sí No No
redes
virtuales
Cifrado de No Sí No No No No
discos
virtuales
Cifrado de No Sí No No No No
bases de
datos y
almacenamie
nto PaaS
Administració No No Sí No No No
n de servicios
de identidad
híbrida
Restricción de No No No Sí No No
tipos de
recurso
permitidos
A Z URE
P O RTA L Y
A Z URE A Z URE
H ERRA M IEN T RESO URC E A Z URE K EY A Z URE SEC URIT Y A Z URE
A M A N A GER VA ULT A Z URE A D P O L IC Y C EN T ER M O N ITO R
Aplicación de No No No Sí No No
restricciones
geográficas
regionales
Supervisión No No No No Sí Sí
del estado de
seguridad de
redes y
recursos
Detección de No No No No Sí Sí
actividad
malintenciona
da
Detección de No No No No Sí No
vulnerabilidad
es de forma
preventiva
Configuración Sí No No No No No
de copia de
seguridad y
recuperación
ante
desastres
Para ver una lista completa de servicios y herramientas de seguridad de Azure, consulte Servicios y tecnologías
de seguridad disponibles en Azure.
Los clientes suelen usar herramientas de terceros para habilitar las actividades de la materia de base de
referencia de seguridad. Para más información, consulte el artículo Integración de soluciones de seguridad en
Azure Security Center.
Además de las herramientas de seguridad, Administración de cumplimiento de Microsoft 365 proporciona
orientación amplia, informes y documentación relacionada que pueden ayudarle a realizar evaluaciones de
riesgos como parte de su proceso de planeación de migración.
Información general sobre la materia de base de
referencia de identidad
09/03/2021 • 5 minutes to read • Edit Online
La base de referencia de identidad es una de las cinco materias de la gobernanza en la nube dentro del modelo
de gobernanza de Cloud Adoption Framework. La identidad se considera cada vez más como el perímetro de
seguridad principal en la nube, lo que supone un avance respecto del enfoque tradicional de seguridad de red.
Los servicios de identidad proporcionan los mecanismos principales que respaldan el control de acceso y la
organización en entornos de TI, y la materia de la base de referencia de identidad complementa a la materia de
la base de referencia de seguridad mediante la aplicación coherente de requisitos de autenticación y
autorización en el trabajo de adopción de la nube.
NOTE
La materia de base de referencia de identidad no reemplaza los procedimientos, procesos y equipos de TI existentes que
permiten a su organización administrar y proteger los servicios de identidad. El propósito principal de esta materia es
identificar los posibles riesgos empresariales relacionados con la identidad y proporcionar orientación sobre la mitigación
de riesgos al personal de TI responsable de la implementación, el mantenimiento y el funcionamiento de la infraestructura
de administración de identidad. A medida que desarrolla procesos y directivas de gobernanza, asegúrese de implicar a los
equipos de TI pertinentes en sus procesos de revisión y planeación.
En esta sección de Cloud Adoption Framework se describe el enfoque de desarrollo de una materia de base de
referencia de identidad como parte de la estrategia de gobernanza en la nube. La principal audiencia a la que se
dirigen estas instrucciones son los arquitectos de nube de su organización y otros miembros de su equipo de
gobernanza en la nube. Las decisiones, las directivas y los procesos que emergen de esta materia deben implicar
la involucración y discusiones con miembros pertinentes de los equipos de TI responsables de la
implementación y administración de soluciones de administración de identidad de su organización.
Si su organización carece de conocimientos internos sobre la identidad y seguridad, considere la posibilidad de
involucrar a consultores externos como parte de esta materia. Considere también la posibilidad de involucrar a
Servicios de consultoría de Microsoft, el servicio de adopción de la nube Microsoft FastTrack u otros asociados
externos de adopción de la nube para determinar los problemas relacionados con esta materia.
Policy statements
Las declaraciones de la directiva accionable y los requisitos de arquitectura resultantes actúan como base de una
materia de base de referencia de identidad. Use instrucciones de directiva de ejemplo como punto de partida
para definir las directivas de línea de base de seguridad.
Cau t i on
Las directivas de ejemplo proceden de experiencias habituales de los clientes. Para alinear mejor estas directivas
con necesidades de gobernanza en la nube específicas, ejecute los pasos siguientes para crear declaraciones de
la directiva que satisfagan sus necesidades empresariales únicas.
Pasos siguientes
Empiece evaluando los riesgos empresariales en un entorno específico.
Descripción de los riesgos empresariales
Plantilla de la materia de base de referencia de
identidad
12/03/2021 • 2 minutes to read • Edit Online
El primer paso para implementar un cambio es comunicarlo. Lo mismo sucede cuando se cambian los
procedimientos de gobernanza. La plantilla siguiente proporciona un punto inicial para documentar y
comunicar las declaraciones de las directivas que rigen los servicios de identidad en la nube.
A medida que las conversaciones avancen, use la estructura de esta plantilla como modelo para capturar los
riesgos empresariales, las tolerancias a los riesgos, los procesos de cumplimiento y las herramientas necesarias
para definir las declaraciones de las directivas de Línea de base de identidad de la organización.
IMPORTANT
Esta plantilla es un ejemplo limitado. Antes de actualizar esta plantilla para reflejar sus requisitos, debe revisar los pasos
posteriores para definir una materia de base de referencia de identidad eficaz dentro de su estrategia de gobernanza en la
nube.
Pasos siguientes
Los procedimientos de gobernanza sólidos comienzan con una comprensión del riesgo empresarial. Revise el
artículo sobre riesgos empresariales y empiece a documentar aquellos que se alinean con su plan de adopción
de la nube actual.
Descripción de los riesgos empresariales
Motivaciones y riesgos empresariales en la materia
de base de referencia de identidad
06/03/2021 • 6 minutes to read • Edit Online
En este artículo se describen las razones por las que los clientes normalmente adoptan una materia sobre la
base de referencia de la identidad dentro de una estrategia de gobernanza de la nube. También se proporcionan
algunos ejemplos de riesgos empresariales que impulsan las declaraciones de directiva.
Relevancia
Los directorios locales tradicionales están diseñados para permitir a las empresas controlar estrictamente los
permisos y directivas de usuarios, grupos y roles dentro de sus redes internas y centros de datos. Estos
directorios suelen facilitar implementaciones de un solo inquilino, con servicios aplicables únicamente en el
entorno local.
Los servicios de identidad de la nube amplían las funcionalidades de autenticación y control de acceso de una
organización a Internet. Admiten la existencia de varios inquilinos y se pueden usar para administrar usuarios y
la directiva de acceso en todas las aplicaciones en la nube y las implementaciones. Las plataformas de nube
pública disponen de servicios de identidad nativos para la nube que admiten tareas de administración e
implementación, y que son capaces de variar los niveles de integración con las soluciones de identidad locales
existentes. Puede que todas estas características den lugar a que la directiva de identidad de la nube sea más
compleja de lo que requieren sus soluciones locales tradicionales.
La importancia de la materia sobre la base de referencia de la identidad para su implementación de la nube
dependerá del tamaño de su equipo y de la necesidad de integrar la solución de identidad basada en la nube
con un servicio de identidad local existente. Puede que las implementaciones de prueba iniciales no requieran
mucho de organización o administración por parte del usuario pero, a medida que el patrimonio de la nube
evoluciona, necesitará probablemente dar cabida a una integración organizativa y administración centralizada
más complejas.
Riesgo empresarial
La materia sobre la base de referencia de la identidad intenta dar respuesta a los principales riesgos
empresariales relacionados con los servicios de identidad y el control de acceso. Trabaje con su empresa para
identificar estos riesgos y supervise cada uno de ellos para determinar su pertinencia a medida que planee y
aplique sus implementaciones en la nube.
Los riesgos variarán según la organización, pero los siguientes pueden servir como ejemplos de riesgos
habituales relacionados con la identidad que puede usar como punto de partida para su análisis en el seno de
su equipo de gobernanza de la nube:
Acceso no autorizado. El acceso de usuarios no autorizados a información y recursos confidenciales puede
provocar pérdidas de datos o interrupciones del servicio, infracciones del perímetro de seguridad de la
organización y poner en riesgo responsabilidades empresariales o legales.
Ineficacia debida a la existencia de varias soluciones de identidad. Las organizaciones con varios
inquilinos de servicios de identidad pueden requerir varias cuentas para los usuarios. Esto puede provocar
ineficacias para los usuarios, ya que tienen que recordar varios juegos de credenciales, y para TI a la hora de
administrar las cuentas en varios sistemas. Si no se actualizan las asignaciones de acceso de los usuarios en
todas las soluciones de identidad a medida que cambia el personal, los equipos y los objetivos empresariales,
los recursos en la nube serán susceptibles de un acceso no autorizado o los usuarios no podrán acceder a
determinados recursos necesarios.
Imposibilidad de compar tir recursos con asociados externos. Las dificultades para agregar asociados
comerciales externos a las soluciones de identidad existentes pueden impedir un uso compartido de los
recursos y una comunicación empresarial eficaces.
Dependencias de identidad locales. Puede que los mecanismos de autenticación heredados o la
autenticación multifactor de terceros no esté disponible en la nube, lo cual hará que sea necesario adaptar la
migración de las cargas de trabajo o que se deban implementar servicios de identidad adicionales en la
nube. Cualquiera de estos requisitos podría retrasar o incluso impedir la migración, con el consiguiente
aumento de los costos.
Pasos siguientes
Use la plantilla de la materia de base de referencia de identidad para documentar los riesgos empresariales que
es probable que se introduzcan debido al plan actual de adopción de la nube.
Una vez que se consigue una comprensión realista de los riesgos empresariales, el siguiente paso es
documentar la tolerancia al riesgo de la empresa y los indicadores y métricas clave para supervisar esa
tolerancia.
Descripción de indicadores, métricas y tolerancia al riesgo
Métricas, indicadores y tolerancia al riesgo de la
base de referencia de identidad
06/03/2021 • 11 minutes to read • Edit Online
Métricas
La administración de identidades se centra en la identificación, autenticación y autorización de usuarios, grupos
de usuarios o procesos automatizados, y en proporcionarles acceso adecuado a los recursos en las
implementaciones en la nube. Como parte del análisis de riesgos, querrá recopilar datos de análisis
relacionados con los servicios de identidad para determinar cuánto riesgo enfrenta, y cuán importante es la
inversión en la materia de la base de referencia de identidad para las implementaciones en la nube planeadas.
Los siguientes son ejemplos de métricas útiles que debe reunir para ayudar a evaluar la tolerancia al riesgo en la
materia de la línea de base de identidad:
Tamaño de los sistemas de identidad. Número total de usuarios, grupos u otros objetos administrados a
través de sus sistemas de identidad.
Tamaño general de la infraestructura de ser vicios de directorio. Número de bosques de directorio,
dominios e inquilinos usados por la organización.
Dependencia de los mecanismos de autenticación heredados o locales. Número de cargas de
trabajo que dependen de los mecanismos de autenticación heredados o servicios de autenticación
multifactor de terceros.
Extensión de los ser vicios de directorio implementados en la nube. Número de bosques de
directorio, dominios e inquilinos implementados en la nube.
Ser vidores de Active Director y implementados en la nube. Número de servidores de Active
Directory implementados en la nube.
Unidades organizativas implementadas en la nube. Número de unidades organizativas de Active
Directory implementadas en la nube.
Extensión de la federación. Número de sistemas de administración de identidades federados con
sistemas de la organización.
Usuarios con privilegios. Número de cuentas de usuario con acceso con privilegios elevados a recursos o
herramientas de administración.
Uso del control de acceso basado en rol de Azure. Número de suscripciones, grupos de recursos o
recursos individuales que no se administran mediante el control de acceso basado en rol de Azure (RBAC de
Azure) mediante grupos.
Notificaciones de autenticación. Número de intentos de autenticación de usuario correctos e incorrectos.
Notificaciones de autorización. Número de intentos correctos e incorrectos de los usuarios por acceder a
los recursos.
Cuentas en peligro. Número de cuentas de usuario que podrían estar en peligro.
Pasos siguientes
Use la plantilla de la materia de base de referencia de identidad para documentar las métricas y los indicadores
de tolerancia que se alinean con el plan actual de adopción de la nube.
Revise las directivas de base de referencia de identidad de ejemplo como punto de partida para desarrollar otras
directivas propias que aborden los riesgos empresariales específicos vinculados a los planes de adopción de la
nube.
Revisión de las directivas de ejemplo
Declaraciones de directivas de ejemplo de base de
referencia de identidad
06/03/2021 • 8 minutes to read • Edit Online
Cada declaración de directiva de nube es una guía para abordar los riesgos específicos identificados durante el
proceso de evaluación de riesgos. Estas declaraciones deben proporcionar un breve resumen de los riesgos y
los planes para resolverlos. La definición de cada declaración debe incluir estos fragmentos de información:
Riesgo técnico: Un resumen del riesgo que esta directiva abordará.
Declaración de directiva : Una explicación clara que resuma los requisitos de la directiva.
Opciones de diseño : Recomendaciones que requieren acción, especificaciones u otras instrucciones que
los equipos de TI y los desarrolladores pueden usar al implementar la directiva.
Las siguientes declaraciones de la directiva de ejemplo abordan algunos riesgos empresariales comunes
relacionados con la identidad. Estas declaraciones son ejemplos a los que se puede hacer referencia al elaborar
el borrador de las declaraciones de directiva para satisfacer las necesidades de su organización. Estos ejemplos
no pretenden ser excluyentes y hay varias opciones posibles de directiva para solucionar cada riesgo concreto
identificado. Trabaje estrechamente con los equipos de TI y de dirección para identificar las mejores directivas
para su conjunto de riesgos en particular.
Acceso sobreaprovisionado
Riesgo técnico: los usuarios y grupos que controlan los recursos más allá de su área de responsabilidad
pueden dar lugar a que se produzcan modificaciones no autorizadas que provoquen interrupciones o
vulnerabilidades de seguridad.
Declaración de directiva : se implementarán las siguientes directivas:
Un modelo de acceso con privilegios mínimos se aplicará a cualquier recurso involucrado en aplicaciones
críticas o datos protegidos.
Los permisos elevados deben ser una excepción, y todas las excepciones deberán notificarse al equipo de
gobernanza de la nube. Las excepciones se auditarán con regularidad.
Opciones de diseño posibles: consulte los procedimientos recomendados de la administración de
identidades de Azure para implementar una estrategia de control de acceso basado en rol de Azure (RBAC de
Azure) que restringe el acceso en función de los principios de necesidad de saber y seguridad con privilegios
mínimos.
Revisiones de identidad
Riesgo técnico: con los cambios empresariales a lo largo del tiempo, la adición de nuevas implementaciones
en la nube u otros problemas de seguridad puede aumentar los riesgos de acceso no autorizado a recursos
seguros.
Declaración de directiva : los procesos de gobernanza en la nube deben incluir revisiones trimestrales con los
equipos de administración de identidad para así poder identificar usuarios malintencionados o patrones de uso
que deban evitarse mediante la configuración de recursos en la nube.
Opciones de diseño posibles: celebrar una reunión de revisión de seguridad trimestral en la que participen
los miembros del equipo de gobernanza y el personal de TI responsable de administrar los servicios de
identidad. Revisar las métricas y los datos de seguridad existentes para identificar deficiencias en las
herramientas y la directiva de administración de identidad, y actualizar la directiva para remediar todos los
riesgos nuevos.
Pasos siguientes
Use los ejemplos mencionados en este artículo como punto de partida para desarrollar directivas que aborden
los riesgos empresariales específicos que se alinean con los planes de adopción de la nube.
Para comenzar a desarrollar sus propias declaraciones de directiva personalizadas de la base de referencia de
identidad, descargue la plantilla de la materia de base de referencia de identidad.
Para acelerar la adopción de esta materia, elija la guía accionable de gobernanza que más se ajuste a su entorno.
Después, modifique el diseño para incorporar las decisiones de directiva específicas de su organización.
A partir de los riesgos y la tolerancia, establezca un proceso para gobernar y comunicar la adhesión a la
directiva de línea de base de identidad.
Establecimiento de procesos para el cumplimiento de directivas
Procesos de cumplimiento de la directiva de la base
de referencia de identidad
06/03/2021 • 11 minutes to read • Edit Online
En este artículo se describe un enfoque de los procesos de cumplimiento de directivas que rigen la materia de
base de referencia de identidad. La gobernanza eficaz de la identidad empieza con procesos manuales
periódicos que guían la adopción y las revisiones de la directiva de identidad. Esto requiere la participación
regular del equipo de gobernanza de la nube y las partes interesadas de TI y de la empresa para revisar y
actualizar la directiva y garantizar el cumplimiento de esta. Además, muchos procesos de aplicación y
supervisión en curso se pueden automatizar o complementar con herramientas para reducir la sobrecarga de la
gobernanza y permitir una respuesta más rápida a la desviación de directivas.
Pasos siguientes
Use la plantilla de la materia de base de referencia de identidad para documentar los procesos y los
desencadenadores que se alinean con el plan de adopción actual de la nube.
Para obtener instrucciones acerca de cómo ejecutar directivas de administración en la nube de conformidad con
los planes de adopción, consulte el artículo sobre la mejora de la materia.
Mejora de la materia sobre la base de referencia de la identidad
Mejora de la materia sobre la base de referencia de
la identidad
12/03/2021 • 14 minutes to read • Edit Online
Esta materia sobre la base de referencia de la identidad se centra en las maneras de establecer directivas que
garanticen la coherencia y continuidad de las identidades de usuario, independientemente del proveedor de
servicios en la nube que hospede la aplicación o carga de trabajo. Dentro de las cinco materias de gobernanza
de la nube, la base de referencia de identidad incluye decisiones relacionadas con la estrategia de identidad
híbrida, la evaluación y extensión de los repositorios de identidades, la implementación del inicio de sesión
único (mismo inicio de sesión), la auditoría y la supervisión de usos no autorizados o la intervención de actores
malintencionados. En algunos casos, también puede implicar decisiones para modernizar, consolidar o integrar
varios proveedores de identidades.
En este artículo se destacan algunas tareas potenciales en las que su empresa puede participar para desarrollar
y mejorar la materia sobre la base de referencia de la identidad. Estas tareas se dividen en las fases de
planeamiento, compilación, adopción y funcionamiento de la implementación de una solución de nube que,
posteriormente, se iteran para permitir el desarrollo de un enfoque incremental a la gobernanza de la nube.
Ni las actividades mínimas ni las posibles que se describen en este artículo están en línea con directivas
corporativas específicas ni con requisitos de cumplimiento de terceros. Esta guía está diseñada como ayuda para
facilitar las conversaciones que darán lugar a la alineación de los requisitos con un modelo de gobernanza de la
nube.
Planeamiento y preparación
Esta fase del desarrollo de la gobernanza permite salvar las diferencias entre los resultados empresariales y
unas estrategias accionables. Durante este proceso, el equipo directivo define métricas específicas, las asigna al
patrimonio digital y empieza a planear el esfuerzo global de migración.
Actividades mínimas sugeridas:
Evalúe las opciones de su cadena de herramientas de la base de referencia de identidad e implemente una
estrategia híbrida que sea adecuada para su organización.
Elabore un borrador con las directrices de arquitectura y distribúyalo a las principales partes interesadas.
Eduque e implique a las personas y equipos a los que afectará el desarrollo de las directrices de arquitectura.
Posible actividades:
Defina los roles y asignaciones que gobernarán la administración de la identidad y el acceso en la nube.
Defina los grupos locales y asígnelos a los roles correspondientes basados en la nube.
Proveedores de identidades de inventario (incluidas las identidades controladas por bases de datos que
utilizan las aplicaciones personalizadas).
Consolide e integre a los proveedores de identidades en los que existe una duplicación para simplificar la
solución global de identidad y reducir el riesgo.
Evalúe la compatibilidad híbrida de los proveedores de identidades existentes.
Para aquellos proveedores de identidades que no presentan esta compatibilidad, evalúe las opciones de
consolidación o reemplazo.
Adopción y migración
La migración es un proceso incremental que se centra en el traslado, las pruebas y la adopción de las
aplicaciones o cargas de trabajo de un patrimonio digital existente.
Actividades mínimas sugeridas:
Migre la cadena de herramientas de la base de referencia de identidad desde el entorno de desarrollo al de
producción.
Actualice el documento de directrices de arquitectura y distribúyalo a las principales partes interesadas.
Desarrolle materiales y documentación educativos, comunicaciones de concienciación, incentivos y otros
programas para ayudar a impulsar la adopción por parte de los usuarios.
Posible actividades:
Compruebe que los procedimientos recomendados que se definieron durante las fases anteriores a la
implementación de la compilación se ejecutan correctamente.
Compruebe y refine la estrategia de identidad híbrida.
Cerciórese de que todas las aplicaciones o cargas de trabajo siguen alineadas con la estrategia de identidad
antes de la publicación.
Compruebe que el inicio de sesión único (SSO) y el SSO de conexión directa funcionan según lo previsto en
las aplicaciones.
Reduzca el número de almacenes de identidades alternativos o elimine algunos de ellos.
Examine la necesidad de almacenes de identidades en aplicaciones o en bases de datos. Las identidades que
se encuentran fuera de un proveedor de identidades adecuado (propias o de terceros) pueden suponer un
riesgo para la aplicación y para los usuarios.
Habilite el acceso condicional para las aplicaciones federadas locales.
Distribuya la identidad entre las regiones globales en varios centros con sincronización entre regiones.
Establezca la federación central del control de acceso basado en rol de Azure (RBAC de Azure).
Pasos siguientes
Ahora que conoce el concepto de gobernanza de identidades en la nube, examine la cadena de herramientas de
la base de referencia de identidad para identificar las herramientas y características de Azure que necesitará al
desarrollar la materia de la base de referencia de la identidad en la plataforma Azure.
Cadena de herramientas de la línea de base de identidad para Azure
Herramientas de la base de referencia de identidad
en Azure
06/03/2021 • 9 minutes to read • Edit Online
La materia de base de referencia de identidad es una de las cinco materias de gobernanza de la nube. Esta
materia se centra en las maneras de establecer directivas que garanticen la coherencia y continuidad de las
identidades de usuario, independientemente del proveedor de servicios en la nube que hospede la aplicación o
carga de trabajo.
Las siguientes herramientas se incluyen en la guía de detección de la identidad híbrida.
Active Director y (local): Active Directory es el proveedor de identidades que más se usa en la empresa para
almacenar y validar credenciales de usuario.
Azure Active Director y: un equivalente de software como servicio (SaaS) a Active Directory, capaz de
federarse con una instancia local de Active Directory.
Active Director y (IaaS): una instancia de la aplicación de Active Directory que se ejecuta en una máquina
virtual de Azure.
Identidad es el plano de control de la seguridad de TI. Por consiguiente, la autenticación es la forma de proteger
el acceso de una organización a la nube. Las organizaciones necesitan un plano de control de identidad que
refuerce su seguridad y mantenga las aplicaciones en la nube protegidas frente a intrusos.
Autenticación en la nube
Elegir el método de autenticación correcto es la primera preocupación para las organizaciones que desean
mover sus aplicaciones a la nube.
Cuando se elige este método, Azure AD controla el proceso de inicio de sesión de los usuarios. Junto con el
inicio de sesión único (SSO) de conexión directa, los usuarios podrán iniciar sesión en las aplicaciones en la
nube sin volver a especificar sus credenciales. Con la autenticación en la nube puede elegir entre dos opciones:
Sincronización de hash de contraseñas de Azure AD: Es la manera más sencilla de habilitar la
autenticación para los objetos de directorio local en Azure AD. Este método también se puede usar utiliza con
cualquier otro como método de autenticación de la conmutación por error de copia de seguridad, en caso de
que el servidor local deje de funcionar.
Autenticación de paso a través de Azure AD: proporciona una validación de contraseñas persistente para
los servicios de autenticación de Azure AD mediante un agente de software que se ejecuta en uno o varios
servidores locales.
NOTE
Las empresas con un requisito de seguridad para aplicar de inmediato los estados de cuenta de los usuarios locales, las
directivas de contraseña y las horas de inicio de sesión deberían considerar la posibilidad de usar el método de
autenticación de paso a través.
Autenticación federada:
si se elige este método, Azure AD pasa el proceso de autenticación a un sistema de autenticación de confianza
como, por ejemplo, una instancia local de Servicios de federación de Active Directory (AD FS) o un proveedor de
federación independiente de confianza para validar la contraseña del usuario.
El artículo Seleccione el método de autenticación adecuado para su solución de identidad híbrida de Azure
Active Directory contiene un árbol de decisión que le ayuda a elegir la mejor solución para su organización.
En la tabla siguiente se enumeran las herramientas nativas que pueden ayudar a desarrollar las directivas y los
procesos que admiten esta materia.
SIN C RO N IZ A C IÓ N DE H A SH A UT EN T IC A C IÓ N DE PA SO
DE C O N T RA SEÑ A S + SSO A T RAVÉS + SSO DE
C O N SIDERA C IÓ N DE C O N EXIÓ N DIREC TA C O N EXIÓ N DIREC TA F EDERA C IÓ N C O N A D F S
¿Cuáles son los requisitos None Un servidor para cada Dos o más servidores de
de servidor local más allá agente de autenticación AD FS
del sistema de adicional
aprovisionamiento (Azure Dos o más servidores WAP
AD Connect)? en la red perimetral
¿Cuáles son los requisitos None Acceso saliente a Internet Acceso entrante a Internet
de redes e Internet locales desde los servidores que para los servidores WAP del
más allá del sistema de ejecutan los agentes de perímetro
aprovisionamiento? autenticación
Acceso entrante de red para
los servidores de AD FS
desde los servidores WAP
del perímetro
¿Hay alguna solución de No se requiere El estado del agente lo Azure AD Connect Health
supervisión de estado? proporciona el Centro de
administración de Azure
Active Directory
¿Los usuarios realizan el Sí, con SSO de conexión Sí, con SSO de conexión Sí
inicio de sesión único en los directa directa
recursos de nube desde
dispositivos unidos a un
dominio de la red de la
empresa?
SIN C RO N IZ A C IÓ N DE H A SH A UT EN T IC A C IÓ N DE PA SO
DE C O N T RA SEÑ A S + SSO A T RAVÉS + SSO DE
C O N SIDERA C IÓ N DE C O N EXIÓ N DIREC TA C O N EXIÓ N DIREC TA F EDERA C IÓ N C O N A D F S
Identificador de inicio de
sesión alternativo
¿Se admite Windows Hello Modelo de confianza de Modelo de confianza de Modelo de confianza de
para empresas? clave clave clave
¿Cuáles son las opciones de Azure Multi-Factor Azure Multi-Factor Azure Multi-Factor
autenticación multifactor? Authentication Authentication Authentication
Controles personalizados
con el acceso de Azure AD
¿Cuáles son las opciones de Acceso condicional de Azure Acceso condicional de Azure Acceso condicional de Azure
acceso condicional de AD AD AD
Azure AD?
Reglas de notificaciones de
AD FS
¿Se puede personalizar el Sí, con Azure AD Premium Sí, con Azure AD Premium Sí
logotipo, la imagen y la
descripción en las páginas
de inicio de sesión?
SIN C RO N IZ A C IÓ N DE H A SH A UT EN T IC A C IÓ N DE PA SO
DE C O N T RA SEÑ A S + SSO A T RAVÉS + SSO DE
C O N SIDERA C IÓ N DE C O N EXIÓ N DIREC TA C O N EXIÓ N DIREC TA F EDERA C IÓ N C O N A D F S
¿Qué escenarios avanzados Smart Password Lockout Smart Password Lockout Sistema de autenticación
se admiten? (Bloqueo inteligente de (Bloqueo inteligente de multisitio de baja latencia
contraseñas) contraseñas)
Bloqueo de extranet de AD
Informes de credenciales FS
filtradas
Integración con sistemas de
identidad de terceros
NOTE
Actualmente, los controles personalizados del acceso condicional de Azure AD no admiten el registro de dispositivos.
Pasos siguientes
Notas del producto del marco de transformación digital de la identidad híbrida describe diversas combinaciones
y soluciones para elegir e integrar estos componentes.
La herramienta Azure AD Connect le permite integrar sus directorios locales con Azure AD.
Introducción a la materia de coherencia de recursos
09/03/2021 • 6 minutes to read • Edit Online
La coherencia de recursos es una de las cinco materias de la gobernanza de la nube dentro del modelo de
gobernanza de Cloud Adoption Framework. Esta materia se centra en las distintas formas de establecer
directivas relacionadas con la administración operativa de un entorno, una aplicación o una carga de trabajo.
Los equipos de operaciones de TI suelen proporcionar supervisión de las aplicaciones, de la carga de trabajo y
del rendimiento de los recursos. También suelen ejecutar las tareas necesarias para satisfacer las demandas de
ampliación y corregir las infracciones del Acuerdo de Nivel de Servicio (SLA) de rendimiento y evitarlas de
forma proactiva mediante la corrección automatizada. Dentro de las cinco materias de gobernanza de la nube, la
coherencia de recursos es una materia que garantiza la configuración coherente de los recursos de forma que
las operaciones de TI puedan detectarlos, su inclusión en soluciones de recuperación y su incorporación en
procesos de operaciones reiterativas.
NOTE
La materia de coherencia de recursos no viene a reemplazar a los procedimientos, procesos y equipos de TI existentes que
permiten a su organización administrar eficazmente los recursos basados en la nube. El principal objetivo de esta materia
es identificar posibles riesgos empresariales y proporcionar orientación en mitigación de riesgos al personal de TI
responsable de la administración de sus recursos en la nube. A medida que desarrolla procesos y directivas de
gobernanza, asegúrese de implicar a los equipos de TI pertinentes en sus procesos de revisión y planeación.
En esta sección de Cloud Adoption Framework se describe cómo desarrollar una materia de coherencia de
recursos como parte de la estrategia de gobernanza en la nube. La principal audiencia a la que se dirigen estas
instrucciones son los arquitectos de nube de su organización y otros miembros de su equipo de gobernanza en
la nube. Las decisiones, las directivas y los procesos que emergen de esta materia deben incluir la involucración
y los debates con miembros pertinentes de los equipos de TI responsables de implementar y administrar las
soluciones de coherencia de recursos de su organización.
Si su organización carece de conocimientos internos sobre estrategias de coherencia de recursos, considere la
posibilidad de interaccionar con consultores externos como parte de esta materia. Considere también la
posibilidad de involucrar a Servicios de consultoría de Microsoft, el servicio de adopción de la nube Microsoft
FastTrack u otros expertos en adopción de la nube externos para determinar la mejor forma de organizar,
optimizar y realizar un seguimiento de sus recursos basados en la nube.
Policy statements
Las declaraciones de la directiva accionable y los requisitos de arquitectura resultantes actúan como base de una
materia de coherencia de recursos. Use declaraciones de directivas de ejemplo. Estos ejemplos pueden servir
como punto de partida para definir las directivas de coherencia de recursos.
Cau t i on
Las directivas de ejemplo proceden de experiencias habituales de los clientes. Para alinear mejor estas directivas
con necesidades de gobernanza en la nube específicas, ejecute los pasos siguientes para crear declaraciones de
la directiva que satisfagan sus necesidades empresariales únicas.
Pasos siguientes
Empiece evaluando los riesgos empresariales en un entorno específico.
Descripción de los riesgos empresariales
Plantilla de la materia de coherencia de recursos
12/03/2021 • 2 minutes to read • Edit Online
El primer paso para implementar un cambio es comunicar lo que se pretende. Lo mismo sucede cuando se
cambian los procedimientos de gobernanza. La plantilla siguiente proporciona un punto de partida para
documentar y comunicar las declaraciones de directiva que rigen la administración y las operaciones de TI en la
nube.
A medida que las conversaciones avancen, use la estructura de esta plantilla como modelo para capturar los
riesgos empresariales, las tolerancias a los riesgos, los procesos de cumplimiento y las herramientas necesarias
para definir las declaraciones de las directivas de coherencia de los recursos de la organización.
IMPORTANT
Esta plantilla es un ejemplo limitado. Antes de actualizar la plantilla para que incluya sus requisitos, debe revisar los pasos
posteriores para definir una materia sobre la coherencia de los recursos eficaz dentro de su estrategia de gobernanza de la
nube.
Pasos siguientes
Los procedimientos de gobernanza sólidos comienzan con una comprensión del riesgo empresarial. Revise el
artículo sobre riesgos empresariales y empiece a documentar aquellos que se alinean con su plan de adopción
de la nube actual.
Descripción de los riesgos empresariales
Motivaciones y riesgos empresariales en la materia
de coherencia de los recursos
06/03/2021 • 5 minutes to read • Edit Online
En este artículo se describen las razones por las que los clientes normalmente adoptan una materia de
coherencia de recursos dentro de una estrategia de gobernanza en la nube. También se proporcionan algunos
ejemplos de posibles riesgos empresariales que pueden motivar las declaraciones de directiva.
Relevancia
Cuando se trata de implementar recursos y cargas de trabajo, la nube ofrece una mayor agilidad y flexibilidad
con respecto a la mayoría de los centros de datos locales tradicionales. Estas posibles ventajas basadas en la
nube también implican posibles inconvenientes de administración que pueden poner en grave peligro el éxito
de su adopción de la nube. ¿Qué recursos ha implementado? ¿Qué equipos poseen qué recursos? ¿Tiene
suficientes recursos para admitir una carga de trabajo? ¿Cómo sabe si las cargas de trabajo están funcionando
correctamente?
La coherencia de los recursos es crucial para garantizar que los recursos se implementen, actualicen y
configuren de manera coherente y repetitiva, y que las interrupciones del servicio se minimicen y solucionen en
el menor tiempo posible.
La materia de coherencia de recursos se ocupa de identificar y mitigar los riesgos empresariales relacionados
con los aspectos operativos de su implementación en la nube. La coherencia de los recursos incluye la
supervisión de aplicaciones, cargas de trabajo y rendimiento de los recursos. También incluye las tareas
necesarias para satisfacer las demandas de escalado, proporcionar funcionalidades de recuperación ante
desastres, corregir las infracciones del Acuerdo de Nivel de Servicio (SLA) de rendimiento y evitar de forma
activa las infracciones del SLA de rendimiento mediante una corrección automatizada.
Es posible que las implementaciones iniciales de prueba no requieran mucho más que la adopción de algunos
estándares de nomenclatura y etiquetado para satisfacer sus necesidades de coherencia de recursos. A medida
que su adopción de la nube madure e implemente recursos más complicados y críticos, la necesidad de invertir
en la materia de coherencia de recursos aumentará rápidamente.
Riesgo empresarial
La materia de coherencia de recursos intenta abordar los principales riesgos empresariales operativos. Trabaje
con su empresa y los equipos de TI para identificar estos riesgos y supervise cada uno de ellos para determinar
su pertinencia a medida que planifique e implemente sus implementaciones en la nube.
Los riesgos variarán según la organización, pero los siguientes sirven como riesgos comunes que puede usar
como punto de partida para debatir en el seno de su equipo de gobernanza de la nube:
Costos operativos innecesarios. Los recursos obsoletos o no utilizados, o los recursos que se
sobreaprovisionan en épocas de baja demanda, agregan costos operativos innecesarios.
Recursos infraaprovisionados. Los recursos que experimentan una demanda mayor a la prevista pueden
dar lugar a una interrupción del negocio, ya que los recursos de la nube se ven desbordados por la demanda.
Ineficiencias de administración. La falta de metadatos de nomenclatura y etiquetado coherentes
asociados con los recursos puede hacer que el personal de TI tenga dificultades para encontrar recursos para
las tareas de administración o para determinar la propiedad y la información de cuentas relacionada con los
recursos. Esto se traduce en ineficiencias de administración que pueden aumentar los costos y retardar la
capacidad de respuesta de la TI ante la interrupción del servicio u otros problemas operativos.
Interrupción del negocio. Las interrupciones del servicio que resultan en infracciones de los Acuerdos de
Nivel de Servicio (SLA) establecidos por su organización pueden dar lugar a la pérdida de negocios o a
repercusiones financieras negativas para la empresa.
Pasos siguientes
Use la plantilla de la materia de coherencia de los recursos para documentar los riesgos empresariales que es
probable que se introduzcan debido al plan actual de adopción de la nube.
Una vez que se consigue una comprensión realista de los riesgos empresariales, el siguiente paso es
documentar la tolerancia al riesgo de la empresa y los indicadores y métricas clave para supervisar esa
tolerancia.
Descripción de indicadores, métricas y tolerancia al riesgo
Indicadores y métricas de tolerancia al riesgo en la
materia de coherencia de recursos
06/03/2021 • 13 minutes to read • Edit Online
Métricas
La coherencia de recursos se centra en abordar los riesgos relacionados con la administración operativa de las
implementaciones en la nube. Como parte del análisis de riesgos, querrá recopilar datos relativos a las
operaciones de TI para determinar el riesgo al que se enfrenta, y la importancia que la inversión en la materia de
coherencia de recursos tiene en sus planes de implementación en la nube.
Cada organización tiene diferentes escenarios operativos, pero los elementos siguientes son ejemplos útiles de
las métricas que debe recopilar a la hora de evaluar la tolerancia a los riesgos en materia sobre la coherencia de
los recursos:
Recursos en la nube. Número total de recursos implementados en la nube.
Recursos sin etiquetar. Número de recursos sin las etiquetas necesarias de propiedad, impacto
empresarial u organizativas.
Recursos infrautilizados. Número de recursos cuyas capacidades de red, CPU o memoria se infrautilizan
de forma constante.
Agotamiento de los recursos. Número de recursos en los que la carga agota las capacidades de red, CPU
o memoria.
Antigüedad de los recursos. Tiempo transcurrido desde que el recurso se implementó o se modificó por
última vez.
Máquinas vir tuales en condición crítica. Número de VM implementadas en las que se han detectado
uno o varios problemas críticos que deben solucionarse para restaurar la funcionalidad normal.
Aler tas por gravedad. Número total de alertas en un recurso implementado, desglosado por gravedad.
Vínculos de red incorrectos. Número de recursos con problemas de conectividad de red.
Puntos de conexión de ser vicio incorrectos. Número de problemas con los puntos de conexión de red
externos.
Incidencias de estado de mantenimiento del ser vicio del proveedor de nube. Número de
interrupciones o incidencias de rendimiento causados por el proveedor de servicios en la nube.
Acuerdos de Nivel de Ser vicio. Pueden incluir tanto los compromisos de Microsoft correspondientes al
tiempo de actividad y conectividad de los servicios de Azure como los compromisos adquiridos por la
empresa con sus clientes externos e internos.
Disponibilidad del ser vicio. Porcentaje del tiempo de actividad real de las cargas de trabajo hospedadas
en la nube en comparación con el tiempo de actividad esperado.
Objetivo de tiempo de recuperación (RTO). El tiempo máximo aceptable que una aplicación puede estar
no disponible después de un incidente.
Objetivo de punto de recuperación (RPO). La duración máxima de pérdida de datos que es aceptable
durante un desastre. Por ejemplo, si se almacenan datos en una única base de datos, sin replicación en otras
bases de datos y se realizan copias de seguridad por hora, se podría perder hasta una hora de datos.
Promedio de tiempo de recuperación (MTTR). El tiempo promedio necesario para restaurar un
componente después de un error.
Promedio de tiempo entre errores (MTBF). La duración razonable que se puede suponer que un
componente se ejecutará entre interrupciones. Esta métrica puede ayudarle a calcular la frecuencia con la
que un servicio dejará de estar disponible.
Estado de mantenimiento de las copias de seguridad. Número de copias de seguridad que se están
sincronizando activamente.
Estado de mantenimiento de la recuperación. Número de operaciones de recuperación realizadas
correctamente.
Pasos siguientes
Use la plantilla de la materia de coherencia de recursos para documentar las métricas y los indicadores de
tolerancia que se alinean con el plan actual de adopción de la nube.
Revise las directivas de coherencia de recursos de muestra como punto de partida para desarrollar otras suyas
que aborden los riesgos empresariales específicos vinculados a los planes de adopción de la nube.
Revisión de las directivas de ejemplo
Instrucciones de directiva de ejemplo de coherencia
de recursos
06/03/2021 • 9 minutes to read • Edit Online
Cada declaración de directiva de nube es una guía para abordar los riesgos específicos identificados durante el
proceso de evaluación de riesgos. Estas declaraciones deben proporcionar un breve resumen de los riesgos y
los planes para resolverlos. La definición de cada declaración debe incluir estos fragmentos de información:
Riesgo técnico: Un resumen del riesgo que esta directiva abordará.
Declaración de directiva : Una explicación clara que resuma los requisitos de la directiva.
Opciones de diseño : Recomendaciones que requieren acción, especificaciones u otras instrucciones que
los equipos de TI y los desarrolladores pueden usar al implementar la directiva.
Las siguientes declaraciones de directiva de ejemplo abordan riesgos empresariales comunes relacionados con
la coherencia de recursos. Estas declaraciones son ejemplos a los que se puede hacer referencia al elaborar el
borrador de las declaraciones de directiva para satisfacer las necesidades de su organización. Estos ejemplos no
pretenden ser excluyentes y hay varias opciones posibles de directiva para solucionar cada riesgo concreto
identificado. Trabaje estrechamente con los equipos de TI y de dirección para identificar las mejores directivas
para su conjunto de riesgos en particular.
Etiquetado
Riesgo técnico: sin el etiquetado correcto de metadatos asociado con los recursos implementados, las
operaciones de TI no pueden dar prioridad al soporte técnico o la optimización de recursos en función del
Acuerdo de Nivel de Servicio necesario, la importancia de las operaciones empresariales o los costos operativos.
Esto puede provocar una asignación errónea de recursos de TI y posibles retrasos en la resolución de incidentes.
Declaración de directiva : se implementarán las siguientes directivas:
Los recursos implementados se deben etiquetar con los valores siguientes:
Coste
Grado de importancia
Contrato de nivel de servicio
Entorno
Las herramientas de gobernanza deben validar el etiquetado relacionado con el costo, la importancia, el SLA,
la aplicación y el entorno. Todos los valores deben alinearse con valores predefinidos, administrados por el
equipo de gobernanza.
Opciones de diseño posibles: En Azure, se admiten las etiquetas de metadatos estándar de nombre y valor
en la mayoría de los tipos de recursos. Azure Policy se usa para exigir etiquetas específicas como parte de la
creación de recursos.
Cumplimiento de la implementación
Riesgo técnico: Los scripts y las herramientas de automatización de la implementación que el equipo de
gobernanza en la nube no haya aprobado completamente pueden dar lugar a implementaciones de recursos
que infrinjan la directiva.
Declaración de directiva : se implementarán las siguientes directivas:
El equipo de gobernanza de la nube debe aprobar las herramientas de implementación para garantizar la
gobernanza en curso de los recursos implementados.
Los scripts de implementación deben conservarse en un repositorio central accesible para el equipo de
gobernanza de la nube para su revisión y auditoría periódicas.
Opciones de diseño posibles: Un uso coherente de Azure Blueprints para administrar implementaciones
automatizadas permite implementaciones coherentes de los recursos de Azure que cumplan con los estándares
de gobernanza y las directivas de la organización.
Supervisión
Riesgo técnico: Si la supervisión se implementa incorrectamente o se instrumenta de forma incoherente
puede impedir la detección de problemas de mantenimiento de la carga de trabajo u otras infracciones de
cumplimiento de directivas.
Declaración de directiva : se implementarán las siguientes directivas:
Las herramientas de gobernanza deben validar que todos los recursos se incluyen en la supervisión de la
disminución, seguridad, cumplimiento y optimización de los recursos.
Las herramientas de gobernanza deben validar que se recopila el nivel adecuado de datos de registro para
todas las aplicaciones y datos.
Opciones de diseño posibles: Azure Monitor es el servicio de supervisión predeterminado de Azure y puede
aplicarse supervisión coherente a través de Azure Blueprints al implementar recursos.
Pasos siguientes
Use los ejemplos mencionados en este artículo como punto de partida para desarrollar directivas que aborden
los riesgos de negocio específicos que se alinean con los planes de adopción de la nube.
Para comenzar a desarrollar sus propias instrucciones de directivas personalizadas de coherencia de recursos,
descargue la plantilla de la materia de coherencia de recursos.
Para acelerar la adopción de esta materia, elija la guía accionable de gobernanza que más se ajuste a su entorno.
Después, modifique el diseño para incorporar las decisiones de directiva específicas de su organización.
A partir de los riesgos y la tolerancia, establezca un proceso para gobernar y comunicar la adhesión a la
directiva de coherencia de los recursos.
Establecimiento de procesos para el cumplimiento de directivas
Procesos de cumplimiento de directivas de
coherencia de recursos
06/03/2021 • 12 minutes to read • Edit Online
En este artículo se describe un enfoque de los procesos de cumplimiento de directivas que rigen la directiva de
la coherencia de recursos. Una gobernanza eficaz de la coherencia de recursos en la nube comienza con
procesos manuales periódicos diseñados para identificar la falta de eficiencia operativa, mejorar la
administración de los recursos implementados y garantizar que las cargas de trabajo críticas tengan
interrupciones mínimas. Estos procesos manuales se complementan con supervisión, automatización y
herramientas para ayudar a reducir la sobrecarga de gobernanza y permitir una respuesta más rápida ante una
desviación de la directiva.
Pasos siguientes
Use la plantilla de la materia de coherencia de los recursos para documentar los procesos y los
desencadenadores que se alinean con el plan de adopción actual de la nube.
Para obtener instrucciones acerca de cómo ejecutar directivas de administración en la nube de conformidad con
los planes de adopción, consulte el artículo sobre la mejora de la materia.
Mejora de la materia de coherencia de recursos
Mejora de la materia de coherencia de recursos
12/03/2021 • 14 minutes to read • Edit Online
Esta materia de coherencia de recursos se centra en formas de establecer directivas relacionadas con la
administración operativa de un entorno, una aplicación o una carga de trabajo. En las cinco materias de
gobernanza de la nube, la de coherencia de los recursos incluye la supervisión del rendimiento de las
aplicaciones, las cargas de trabajo y los recursos. También incluye las tareas necesarias para satisfacer las
demandas de escala, corregir las infracciones del Acuerdo de Nivel de Servicio (SLA) de rendimiento y evitar de
forma proactiva las infracciones del SLA a través de la corrección automatizada.
En este artículo se destacan algunas tareas potenciales en las que su empresa puede participar para desarrollar
y mejorar la materia de coherencia de recursos. Estas tareas se dividen en las fases de planeamiento,
compilación, adopción y funcionamiento de la implementación de una solución de nube que, posteriormente, se
iteran para permitir el desarrollo de un enfoque incremental a la gobernanza de la nube.
Ni las actividades mínimas ni las posibles que se describen en este artículo están en línea con directivas
corporativas específicas ni con requisitos de cumplimiento de terceros. Esta guía está diseñada como ayuda para
facilitar las conversaciones que darán lugar a la alineación de los requisitos con un modelo de gobernanza de la
nube.
Planeamiento y preparación
Esta fase del desarrollo de la gobernanza permite salvar las diferencias entre los resultados empresariales y
unas estrategias accionables. Durante este proceso, el equipo directivo define métricas específicas, las asigna al
patrimonio digital y empieza a planear el esfuerzo global de migración.
Actividades mínimas sugeridas:
evalúe sus opciones de la cadena de herramientas de coherencia de recursos.
Conozca los requisitos de licencia para su estrategia en la nube.
Elabore un borrador con las directrices de arquitectura y distribúyalo a las principales partes interesadas.
Familiarícese con el administrador de recursos que use para implementar, administrar y supervisar todos los
recursos para su solución como grupo.
Eduque e implique a las personas y equipos a los que afectará el desarrollo de las directrices de arquitectura.
Agregue tareas de implementación de recursos priorizadas a su trabajo pendiente de migración.
Posible actividades:
trabaje con las partes interesadas de la empresa o con su equipo de estrategia de la nube para conocer el
enfoque de cuentas de nube deseado y las prácticas de contabilidad de costos dentro de sus unidades de
negocio y su organización como un todo.
Defina sus requisitos de supervisión y aplicación de directivas.
Examine el valor empresarial y el costo de interrupción para definir los requisitos del Acuerdo de Nivel de
Servicio y la directiva de corrección.
Determine si aplicará una estrategia de gobernanza de carga de trabajo sencilla o varios equipos para sus
recursos.
Determine los requisitos de escalabilidad para sus cargas de trabajo planeadas.
Adopción y migración
La migración es un proceso incremental que se centra en el traslado, las pruebas y la adopción de las
aplicaciones o cargas de trabajo de un patrimonio digital existente.
Actividades mínimas sugeridas:
migre su cadena de herramientas de coherencia de los recursos desde la fase anterior a la implementación a
la de producción.
Actualice el documento de directrices de arquitectura y distribúyalo a las principales partes interesadas.
Desarrolle materiales y documentación educativos, comunicaciones de concienciación, incentivos y otros
programas para ayudar a impulsar la adopción por parte de los usuarios.
Migre las herramientas o scripts de corrección automatizados existentes para admitir los requisitos del
Acuerdo de Nivel de Servicio definidos.
Posible actividades:
Complete y pruebe los datos de supervisión y generación de informes con el entorno local, la puerta de
enlace en la nube o la solución híbrida que elija.
Determine si los cambios se deben aplicar a la directiva de administración o al Acuerdo de Nivel de Servicio
de los recursos.
Mejore las tareas de operaciones implementando funcionalidades de consulta para buscar recursos con
eficacia en todo su patrimonio en la nube.
Alinee los recursos para cambiar las necesidades empresariales y los requisitos de gobernanza.
Asegúrese de que sus máquinas virtuales, redes virtuales y cuentas de almacenamiento reflejan necesidades
de acceso a los recursos reales durante cada lanzamiento y realice los ajustes que sean necesarios.
Compruebe que el escalado automatizado de recursos cumple los requisitos de acceso.
Revise el acceso del usuario a los recursos, los grupos de recursos y las suscripciones de Azure, y ajuste los
controles de acceso según sea necesario.
Supervise los cambios en los planes de acceso a los recursos y valide con las partes interesadas si son
necesarias aprobaciones adicionales.
Actualice los cambios en el documento de las directrices de arquitectura para reflejar los costos reales.
Determine si su organización requiere una alineación financiera más clara con P&Ls para las unidades de
negocio.
Para las organizaciones globales, implemente sus requisitos de soberanía o cumplimiento del Acuerdo de
Nivel de Servicio.
Para la agregación de la nube, implemente una solución de puerta de enlace en un proveedor de nube.
Para las herramientas que no permiten opciones de puerta de enlace o híbridas, asocie estrechamente la
supervisión con una herramienta de supervisión operativa que abarque todos los centros de datos y nubes.
Pasos siguientes
Ahora que comprende el concepto de gobernanza de recursos en la nube, puede obtener información acerca de
cómo se administra el acceso a los recursos en Azure como preparación para aprender a diseñar un modelo de
gobernanza para una carga de trabajo sencilla o para varios equipos.
Más información sobre la administración del acceso a los recursos en Azure Más información sobre los
Acuerdos de Nivel de Servicio de Azure Más información sobre registros, informes y supervisión
Herramientas de la coherencia de recursos en Azure
06/03/2021 • 5 minutes to read • Edit Online
Coherencia de recursos es una de las cinco materias de gobernanza de la nube. Esta materia se centra en las
distintas formas de establecer directivas relacionadas con la administración operativa de un entorno, una
aplicación o una carga de trabajo. En las cinco materias de gobernanza de la nube, la de coherencia de los
recursos implica la supervisión del rendimiento de las aplicaciones, las cargas de trabajo y los recursos. También
abarca las tareas necesarias para satisfacer las demandas de escala, corregir las infracciones del contrato de
nivel de servicio de rendimiento y evitar estas de forma proactiva mediante la corrección automatizada.
A continuación, se muestra una lista de las herramientas de Azure que pueden ayudar a desarrollar las directivas
y los procesos que admiten esta materia.
Implement Sí Sí Sí Sí No No No
ación de
recursos
Administrar Sí Sí Sí Sí No No No
recursos
Implement No Sí No Sí No No No
ación de
recursos
mediante
plantillas
Implement No No Sí No No No No
ación de
entornos
organizada
Definición Sí Sí Sí No No No No
de grupos
de recursos
Administrac Sí Sí Sí No No No No
ión de
propietario
s de
cuentas y
de cargas
de trabajo
Administrac Sí Sí Sí No No No No
ión del
acceso
condicional
a los
recursos
A Z URE A Z URE A Z URE
H ERRA M IE A Z URE RESO URC E B L UEP RIN T A UTO M AT I A Z URE A Z URE SIT E
N TA P O RTA L M A N A GER S ON A Z URE A D B A C K UP REC O VERY
Configuraci Sí No No No Sí No No
ón de
usuarios de
RBAC de
Azure
Asignación Sí Sí Sí No Sí No No
de roles y
permisos a
los recursos
Definición No Sí Sí No No No No
de las
dependenci
as entre
recursos
Aplicación Sí Sí Sí No Sí No No
del control
de acceso
Evaluación No No No Sí No No No
de
disponibilid
ad y
escalabilida
d
Aplicación Sí Sí Sí No No No No
de
etiquetas a
recursos
Asignación Sí Sí Sí No No No No
de reglas
de Azure
Policy
Aplicación No No No Sí No No No
de la
corrección
automatiza
da
Administrac Sí No No No No No No
ión de
facturas
Planeamien Sí Sí Sí No No Sí Sí
to de
recursos
para la
recuperació
n ante
desastres
A Z URE A Z URE A Z URE
H ERRA M IE A Z URE RESO URC E B L UEP RIN T A UTO M AT I A Z URE A Z URE SIT E
N TA P O RTA L M A N A GER S ON A Z URE A D B A C K UP REC O VERY
Recuperació No No No No No Sí Sí
n de datos
durante un
corte o una
infracción
del
Acuerdo de
Nivel de
Servicio
Recuperació No No No No No Sí Sí
n de
aplicaciones
y datos
durante un
corte o una
infracción
del
Acuerdo de
Nivel de
Servicio
Junto con estas características y herramientas de la coherencia de recursos, será preciso que supervise si los
recursos implementados tienen problemas de rendimiento y mantenimiento. Azure Monitor es la solución de
supervisión y generación de informes predeterminada de Azure. Azure Monitor proporciona características para
supervisar los recursos en la nube. Esta lista muestra qué característica se ocupa de los requisitos de
supervisión habituales.
A P P L IC AT IO N A P I DE REST DE
H ERRA M IEN TA A Z URE P O RTA L IN SIGH T S LO G A N A LY T IC S A Z URE M O N ITO R
Registro de datos de No No Sí No
telemetría de
máquina virtual
Registro de datos de No No Sí No
telemetría de redes
virtuales
Registro de datos de No No Sí No
telemetría de
servicios de PaaS
Registro de datos de No Sí No No
telemetría de las
aplicaciones
Configuración de Sí No No Sí
informes y alertas
Programación de No No No No
informes periódicos o
análisis
personalizados
A P P L IC AT IO N A P I DE REST DE
H ERRA M IEN TA A Z URE P O RTA L IN SIGH T S LO G A N A LY T IC S A Z URE M O N ITO R
Visualización y Sí No No No
análisis de datos de
rendimiento y
registro
Al planear la implementación, será preciso que tenga en cuenta dónde se almacenan los datos de registro y
cómo se integran los servicios de supervisión y generación de informes en la nube con las herramientas y los
procesos existentes.
NOTE
Las organizaciones también usan herramientas de DevOps de terceros para supervisar las cargas de trabajo y los
recursos. Para obtener más información, vea DevOps Tool Integrations.
Pasos siguientes
Aprenda a crear, asignar y administrar definiciones de directivas en Azure.
Administración del acceso a recursos de Azure
22/03/2021 • 10 minutes to read • Edit Online
La metodología de gobernanza describe las cinco materias correspondientes, que incluye la administración de
recursos. Gobernanza del acceso a los recursos explica cómo la administración del acceso a los recursos está
incluida en la materia sobre la administración de los recursos. Antes de continuar y aprender cómo se diseña un
modelo de gobernanza, es importante comprender los controles de administración de acceso a los recursos de
Azure. La configuración de estos controles de administración de acceso a los recursos constituye la base de su
modelo de gobernanza.
Comience por examinar más de cerca cómo se implementan los recursos en Azure.
Figura 1: Un recurso.
Resumen
En este artículo, ha aprendido cómo se administra el acceso a los recursos en Azure mediante Azure Resource
Manager.
Pasos siguientes
Ahora que comprende cómo administrar el acceso a los recursos en Azure, aprenda ahora cómo diseñar un
modelo de gobernanza para una carga de trabajo simple o para varios equipos con estos servicios.
Introducción a la gobernanza
Diseño de gobernanza para una carga de trabajo
sencilla
12/03/2021 • 13 minutes to read • Edit Online
El objetivo de esta guía es ayudarle a obtener información sobre el proceso para diseñar un modelo de
gobernanza de recursos en Azure que admita un único equipo y una carga de trabajo simple. Veremos un
conjunto de requisitos de gobernanza hipotéticos y, después, describiremos varias implementaciones de
ejemplo que cumplen dichos requisitos.
En la fase de adopción de fundación, nuestro objetivo es implementar una carga de trabajo simple en Azure. El
resultado son los siguientes requisitos:
Administración de identidades para un solo propietario de cargas de trabajo , que es responsable de
implementar y mantener la carga de trabajo simple. El propietario de la carga de trabajo necesita permisos
para crear, leer, actualizar y eliminar recursos, así como permisos para delegar estos derechos a otros
usuarios en el sistema de administración de identidades.
Administrar todos los recursos para la carga de trabajo simple como una unidad única de administración.
Licencias de Azure
Antes de comenzar el diseño de nuestro modelo de gobernanza, es importante comprender cómo se conceden
las licencias de Azure. El motivo es que las cuentas administrativas asociadas con su licencia de Azure tienen el
mayor nivel de acceso a los recursos de Azure. Estas cuentas administrativas forman la base de su modelo de
gobernanza.
NOTE
Si su organización ya tiene un Contrato Enterprise de Microsoft que no incluye Azure, se puede agregar Azure mediante
un compromiso monetario por adelantado. Para obtener más información, consulte Licencias de Azure para la empresa.
Figura 1: Una cuenta de Azure con un propietario de la cuenta de Azure y el administrador global de Azure AD
Administración de identidades
Azure solo confía en Azure AD para autenticar usuarios y autorizar el acceso de los usuarios a los recursos, por
lo que Azure AD es nuestro sistema de administración de identidades. El administrador global de Azure AD tiene
el mayor nivel de permisos y puede realizar todas las acciones relacionadas con la identidad, incluida la creación
de usuarios y asignación de permisos.
Nuestro requisito es una administración de identidades para un solo propietario de cargas de trabajo , que
es responsable de implementar y mantener la carga de trabajo simple. El propietario de la carga de trabajo
necesita permisos para crear, leer, actualizar y eliminar recursos, así como permisos para delegar estos derechos
a otros usuarios en el sistema de administración de identidades.
Nuestro administrador global de Azure AD creará la cuenta de propietario de carga de trabajo para el
propietario de la carga de trabajo:
Figura 2: El administrador global de Azure AD crea la cuenta de usuario del propietario de carga de trabajo.
No puede asignar permiso de acceso a los recursos hasta que este usuario se agregue a una suscripción , lo
que haremos en las dos secciones siguientes.
IMPORTANT
El propietario de la cuenta de Azure es responsable del compromiso financiero asociado con la suscripción, pero el
propietario de la carga de trabajo tiene los mismos permisos. El propietario de la cuenta debe confiar en el
propietario de la carga de trabajo para implementar los recursos que están dentro del presupuesto de suscripción.
El siguiente nivel del ámbito de administración es el nivel grupo de recursos . Un grupo de recursos es un
contenedor lógico de recursos. Las operaciones que se aplican en el nivel de grupo de recursos se aplican a
todos los recursos de un grupo. Además, es importante tener en cuenta que los permisos de cada usuario se
heredan de los permisos del siguiente nivel superior, a menos que se cambien explícitamente en ese ámbito.
Para ilustrar esto, veamos lo que sucede cuando el propietario de la carga de trabajo crea un grupo de
recursos:
Figura 7: El propietario de la carga de trabajo crea un grupo de recursos y hereda el rol integrado propietario en
el ámbito del grupo de recursos.
De nuevo, el rol integrado propietario concede todos los permisos al propietario de la carga de trabajo en
el ámbito del grupo de recursos. Tal y como se explicó anteriormente, este rol se hereda del nivel de suscripción.
Si se asigna un rol diferente a este usuario en este ámbito, se aplica solo a este ámbito.
El nivel del ámbito de administración más bajo es el nivel recurso . Las operaciones que se aplican en el nivel de
recursos se aplican solo al recurso en sí. De nuevo, los permisos del nivel de recurso se heredan del ámbito del
grupo de recursos. Por ejemplo, veamos lo que sucede si el propietario de la carga de trabajo implementa
una red virtual en el grupo de recursos:
Figura 8: El propietario de la carga de trabajo crea un recurso y hereda el rol integrado propietario en el ámbito
del recurso.
El propietario de la carga de trabajo hereda el rol de propietario en el ámbito del recurso, lo que significa
que el propietario de la carga de trabajo tiene todos los permisos para la red virtual.
El objetivo de esta guía es ayudarle a obtener información sobre el proceso de diseño de un modelo de
gobernanza de recursos en Azure que admita varios equipos, varias cargas de trabajo y varios entornos.
Primero, veremos un conjunto de requisitos de gobernanza hipotéticos y, después, describiremos varias
implementaciones de ejemplo que cumplen dichos requisitos.
Los requisitos son:
La empresa planea la transición de nuevos roles y responsabilidades en la nube a un conjunto de usuarios y,
por tanto, se requiere la administración de identidades para varios equipos con diferentes necesidades de
acceso a los recursos de Azure. Este sistema de administración de identidades es necesario para almacenar la
identidad de los usuarios siguientes:
La persona de la organización responsable de la propiedad de las suscripciones .
La persona de la organización responsable de los recursos de la infraestructura compar tida
utilizados para conectar la red local a una red virtual en Azure.
Dos personas de la organización responsables de administrar una carga de trabajo .
Compatibilidad para varios entornos . Un entorno es una agrupación lógica de recursos, como máquinas
virtuales, redes virtuales y servicios de enrutamiento de tráfico de red. Estos grupos de recursos tienen
requisitos de seguridad y administración similares y se suelen usar para un propósito específico, como
pruebas o producción. En este ejemplo, son necesarios cuatro entornos:
Un entorno de infraestructura compar tida que incluya los recursos compartidos por las cargas
de trabajo en otros entornos. Por ejemplo, una red virtual con una subred de puerta de enlace que
proporciona conectividad con el entorno local.
Un entorno de producción con las directivas de seguridad más restrictivas. Puede incluir las cargas
de trabajo de acceso interno o externo.
Un entorno que no sea de preproducción para trabajos de desarrollo y pruebas. Las directivas de
seguridad, de cumplimiento normativo y de costos de este entorno difieren de los del entorno de
producción. En Azure, esto adopta la forma de una suscripción de desarrollo/pruebas - Enterprise.
Un entorno de espacio aislado con fines de prueba de concepto y educativos. Este entorno se
asigna normalmente por cada empleado que participa en las actividades de desarrollo e incluye
estrictos controles de seguridad de procedimientos y controles operativos para evitar que los datos
corporativos entren aquí. En Azure, estos adoptan la forma de suscripciones de Visual Studio. Estas
suscripciones no se deben asociar tampoco a la instancia de Azure Active Directory de la empresa.
Un modelo de permisos de privilegios mínimos en el cual los usuarios no poseen permisos de forma
predeterminada. El modelo debe admitir lo siguiente:
Un único usuario de confianza en el ámbito de la suscripción, tratado como una cuenta de servicio,
con permiso para asignar derechos de acceso a los recursos.
De forma predeterminada, a los propietarios de las cargas de trabajo se les deniega el acceso a los
recursos. Los derechos de acceso a los recursos los concede explícitamente el usuario único de
confianza en el ámbito del grupo de recursos.
Acceso de administración a los recursos compartidos de la infraestructura limitado a los propietarios
de la infraestructura compartida.
Acceso de administración para cada carga de trabajo limitado al propietario de la carga de trabajo en
producción, con el aumento de los niveles de control a medida que el desarrollo continúa a través de
los distintos entornos de implementación (desarrollo, prueba, ensayo y producción).
La empresa no quiere tener que administrar los roles de forma independiente en cada uno de los tres
entornos principales, por lo tanto, solo se necesita el uso de los roles integrados que están disponibles
en el control de acceso basado en rol de Azure (RBAC de Azure). Si la empresa requiere
necesariamente roles personalizados, serán necesarios procesos adicionales para sincronizar los roles
personalizados en los tres entornos.
Seguimiento de los costos por nombre de propietario de la carga de trabajo, entorno o ambos.
Administración de identidades
Antes de diseñar la administración de identidades para nuestro modelo de gobernanza, es importante
comprender las cuatro áreas principales que incluye:
Administración: procesos y herramientas para crear, editar y eliminar identidades de usuario.
Autenticación: validación de las credenciales, por ejemplo, nombre de usuario y contraseña, para
comprobar la identidad del usuario.
Authorization: determinación de cuáles son los recursos a los que puede acceder un usuario autenticado o
qué operaciones está autorizado a realizar.
Auditoría: revisión periódica de los registros y otra información para detectar problemas de seguridad
relacionados con la identidad de los usuarios. Esto incluye la revisión de los patrones de uso sospechosos, la
revisión periódica de los permisos de usuario para comprobar que son precisos, entre otras funciones.
Hay solo un servicio de Azure de confianza para la identidad y es Azure Active Directory (Azure AD). Los
usuarios se agregan a Azure AD, que se usa para todas las funciones enumeradas anteriormente. Antes de ver
cómo configurar Azure AD, es importante comprender las cuentas con privilegios que se utilizan para
administrar el acceso a estos servicios.
Cuando la organización se registró para una cuenta de Azure, se asignó al menos un propietario de la cuenta
de Azure. Además, se creó un inquilino de Azure AD, a menos que ya hubiera un inquilino asociado con el uso
por parte de la organización de otros servicios de Microsoft como Microsoft 365. Al crear el inquilino de Azure
AD, se asocia un administrador global con permisos completos.
Ambas identidades de usuario, administrador global de Azure AD y propietario de la cuenta de Azure, se
almacenan en un sistema de identidades de alta seguridad administrado por Microsoft. El propietario de la
cuenta de Azure tiene autorización para crear, actualizar y eliminar suscripciones. El administrador global de
Azure AD tiene autorización para realizar muchas acciones en Azure AD pero, para los fines de esta guía de
diseño, nos centraremos en la creación y eliminación de identidades de usuario.
NOTE
Puede que su organización ya tenga un inquilino de Azure AD si ya hay una licencia de Microsoft 365, Intune o
Dynamics 365 asociada a su cuenta.
El propietario de la cuenta de Azure tiene permiso para crear, actualizar y eliminar suscripciones:
Figura 1: Una cuenta de Azure con un propietario de la cuenta de Azure y el administrador global de Azure AD
El administrador global de Azure AD tiene permiso para crear cuentas de usuario:
Figura 2: El administrador global de Azure AD crea las cuentas de usuario necesarias en el inquilino.
Las dos primeras cuentas, propietario de la carga de trabajo de app1 y propietario de la carga de
trabajo de app2 , están asociadas a una persona de la organización responsable de administrar una carga de
trabajo. La cuenta de operaciones de red pertenece a la persona responsable de los recursos de la
infraestructura compartida. Por último, la cuenta del propietario de la suscripción está asociada con la
persona responsable de la propiedad de las suscripciones.
Figura 3: Una suscripción con un administrador de servicios al que se asigna el rol integrado Propietario.
1. En el primer ejemplo, el propietario de carga de trabajo A no tiene ningún permiso en el ámbito de
suscripción y ningún derecho de administración de acceso a los recursos de manera predeterminada. Este
usuario quiere volver a implementar y administrar los recursos de su carga de trabajo. Debe ponerse en
contacto con el administrador de ser vicios para pedir la creación de un grupo de recursos.
2. El administrador de ser vicios revisa la solicitud y crea el grupo de recursos A . En este momento, el
propietario de carga de trabajo A aún no tiene permiso para hacer nada.
3. El administrador de ser vicios agrega al propietario de la carga de trabajo A al grupo de recursos
A y le asigna el rol integrado Colaborador. El rol Colaborador concede todos los permisos en el grupo de
recursos A excepto la administración de los permisos de acceso.
4. Supongamos que el propietario de carga de trabajo A necesita que un par de miembros del equipo vean
los datos de supervisión del tráfico de red y la CPU como parte de la planeación de la capacidad para la
carga de trabajo. Dado que el propietario de la carga de trabajo A tiene asignado el rol Colaborador, no
tiene permisos para agregar un usuario al grupo de recursos A . Debe enviar esta solicitud al
administrador de ser vicios .
5. El administrador de ser vicios revisa la solicitud y agrega los dos usuarios colaboradores de carga de
trabajo al grupo de recursos A . Ninguno de estos dos usuarios necesitan permisos para administrar los
recursos, por lo que se les asigna el rol integrado Lector.
6. El propietario de carga de trabajo B también necesita un grupo de recursos para incluir los recursos de
su carga de trabajo. Al igual que con el propietario de carga de trabajo A , el propietario de carga de
trabajo B inicialmente no tiene permisos para realizar ninguna acción en el ámbito de la suscripción, por lo
que debe enviar una solicitud al administrador de ser vicios .
7. El administrador de ser vicios revisa la solicitud y crea el grupo de recursos B .
En este momento, cada uno de los propietarios de carga de trabajo está aislado en su propio grupo de recursos.
Ninguno de los propietarios de carga de trabajo ni los miembros del equipo tienen acceso administrativo a los
recursos de otros grupos de recursos.
Figura 4: Una suscripción con dos propietarios de cargas de trabajo aislados con su propio grupo de recursos.
Este es un modelo con privilegios mínimos. A cada usuario se le asignan los permisos correctos en el ámbito de
administración de recursos correcto.
Tenga en cuenta que todas las tareas del ejemplo las realizó el administrador de ser vicios . Este es un
ejemplo sencillo y quizás esto no parezca un problema porque hay solo dos propietarios de cargas de trabajo,
pero es fácil imaginar los tipos de problemas que habría en una organización grande. Por ejemplo, el
administrador de ser vicios puede convertirse en un cuello de botella con muchas solicitudes acumuladas
que, como resultado, producen retrasos.
Veamos otro ejemplo que reduce el número de tareas realizadas por el administrador de ser vicios .
1. En este modelo, al propietario de la carga de trabajo A se le asigna el rol de propietario integrado en el
ámbito de la suscripción, lo que le permite crear su propio grupo de recursos: grupo de recursos A .
Figura 5: Una suscripción con un administrador de servicios y dos propietarios de cargas de trabajo a los que se
asigna el rol integrado Propietario.
Because both workload owner A and workload owner B are assigned the built-in Owner role at the
subscription scope, they have each inherited the built-in Owner role for each other's resource group. Esto
significa que no solo tienen acceso total a los recursos mutuos sino que también pueden delegar el acceso
administrativo a los grupos de recursos mutuos. Por ejemplo, el propietario de carga de trabajo B tiene
derechos para agregar otros usuarios al grupo de recursos A y puede asignarles cualquier rol, como el rol de
propietario integrado.
Si comparamos cada ejemplo con los requisitos, vemos que ambos ejemplos admiten un único usuario de
confianza en el ámbito de la suscripción con permisos para conceder derechos de acceso a los recursos a los
dos propietarios de carga de trabajo. Ninguno de los dos propietarios de carga de trabajo tenía acceso a la
administración de recursos de forma predeterminada y necesitaron que el administrador de ser vicios les
asignara los permisos explícitamente. Solo el primer ejemplo admite que los recursos asociados a cada carga de
trabajo estén aislados entre sí, de manera que ningún propietario de carga de trabajo tenga acceso a los
recursos de otras cargas de trabajo.
3. El usuario de operaciones de red crea una puerta de enlace VPN y la configura para que se conecte al
dispositivo VPN local. El usuario de operaciones de red también aplica un par de etiquetas a cada uno de
los recursos: environment:shared y managedBy:netops . Cuando el administrador de ser vicios de
suscripción exporta un informe de costos, los costos se alinearán con cada una de estas etiquetas. Esto
permite al administrador de ser vicios de la suscripción dinamizar los costos con las etiquetas
environment y managedBy . Observe el contador límites de recursos en la parte superior derecha de la
ilustración. Cada suscripción de Azure tiene límites de servicio y, para ayudarle a comprender el efecto de
estos límites, seguiremos los límites de redes virtuales para cada suscripción. Hay un límite de 1000 redes
virtuales por suscripción y, después de implementar la primera red virtual, quedan 999 disponibles.
4. Se implementan dos grupos de recursos más. El primero se llama prod-rg . Este grupo de recursos se alinea
con el entorno de producción. El segundo se llama dev-rg y se alinea con el entorno de desarrollo. Todos los
recursos asociados con las cargas de trabajo de producción se implementan en el entorno de producción y
todos los recursos asociados con las cargas de trabajo de desarrollo se implementan en el entorno de
desarrollo. En este ejemplo solo implementaremos dos cargas de trabajo en cada uno de estos dos entornos,
por lo que no encontraremos ningún límite del servicio de suscripción de Azure. Hay que tener en cuenta
que cada grupo de recursos tiene un límite de 800 recursos por grupo. Si continúa agregando cargas de
trabajo a cada grupo de recursos, con el tiempo alcanzará este límite.
5. El primer propietario de carga de trabajo envía una solicitud al administrador de ser vicios de
suscripción y se agrega a cada uno de los grupos de recursos de los entornos de desarrollo y producción
con el rol de colaborador . Tal y como hemos visto, el rol de colaborador permite al usuario realizar
cualquier operación distinta de la asignación de un rol a otro usuario. Ahora, el primer propietario de
carga de trabajo puede crear los recursos asociados con la carga de trabajo.
6. El primer propietario de carga de trabajo crea una red virtual en cada uno de los dos grupos de recursos
con un par de máquinas virtuales en cada una. El primer propietario de carga de trabajo aplica las
etiquetas environment y managedBy a todos los recursos. Tenga en cuenta que el contador de límite de
servicio de Azure ahora está en 997 redes virtuales restantes.
7. Ninguna de las redes virtuales tiene conectividad local cuando se crean. En este tipo de arquitectura, se debe
emparejar cada red virtual con la red hub-vnet en el entorno de la infraestructura compar tida . El
emparejamiento de redes virtuales crea una conexión entre dos redes virtuales diferentes y permite que el
tráfico de red viaje entre ellas. Tenga en cuenta que el emparejamiento de redes virtuales no es
intrínsecamente transitivo. Un emparejamiento debe especificarse entre las dos redes virtuales que están
conectadas y, si solo una de las redes virtuales especifica un emparejamiento, entonces la conexión está
incompleta. Para mostrar este efecto, el primer propietario de carga de trabajo especifica un
emparejamiento entre prod-vnet y hub-vnet . Se crea el primer emparejamiento, pero el tráfico no circula
porque el emparejamiento complementario de hub-vnet a prod-vnet todavía no se ha especificado. El
primer propietario de carga de trabajo se pone en contacto con el usuario de operaciones de red y
solicita esta conexión de emparejamiento complementaria.
8. El usuario de operaciones de red revisa la solicitud, la aprueba y luego especifica el emparejamiento en la
configuración de hub-vnet . La conexión de emparejamiento ya está completa y el tráfico de red circula entre
las dos redes virtuales.
9. Ahora, el segundo propietario de carga de trabajo envía una solicitud al administrador de ser vicios
de suscripción y se agrega a los grupos de recursos existentes en los entornos de desarrollo y
producción con el rol de colaborador . El segundo propietario de carga de trabajo tiene los mismos
permisos en todos los recursos que el primer propietario de carga de trabajo en cada grupo de recursos.
10. El segundo propietario de carga de trabajo crea una subred en la red virtual prod-vnet y luego agrega
dos máquinas virtuales. El segundo propietario de carga de trabajo aplica las etiquetas environment y
managedBy a todos los recursos.
Este modelo de administración de recursos de ejemplo permite administrar los recursos en los tres entornos
necesarios. Los recursos de la infraestructura compartida están protegidos porque hay un único usuario en la
suscripción con permisos para acceder a esos recursos. Cada uno de los propietarios de cargas de trabajo puede
utilizar los recursos de la infraestructura compartida sin tener permisos en los recursos compartidos en sí. Este
modelo de administración no cumple el requisito de aislamiento de las cargas de trabajo; los dos propietarios
de cargas de trabajo pueden acceder a los recursos de la carga de trabajo del otro.
Hay otra consideración importante con este modelo puede no resultar obvio a simple vista. En el ejemplo, el
propietario de carga de trabajo app1 solicitó la conexión de emparejamiento de red con la red virtual
hub-vnet para proporcionar conectividad a la red local. El usuario de operaciones de red evaluó la solicitud
según los recursos implementados con esa carga de trabajo. Cuando la cuenta de propietario de la
suscripción agregó al propietario de carga de trabajo app2 con el rol de colaborador , ese usuario tenía
derechos de acceso de administración a todos los recursos del grupo de recursos prod-rg .
Esto significa que el propietario de carga de trabajo app2 tenía permisos para implementar su propia
subred con máquinas virtuales en la red virtual prod-vnet . De forma predeterminada, esas máquinas virtuales
tienen acceso a la red local. El usuario de operaciones de red no es consciente de esas máquinas y no aprobó
su conectividad al entorno local.
Ahora, veamos a un única suscripción con varios grupos de recursos para diferentes entornos y cargas de
trabajo. Tenga en cuenta que, en el ejemplo anterior, los recursos de cada entorno se podían identificar
fácilmente porque estaban en el mismo grupo de recursos. Ahora que ya no tenemos esa agrupación, tenemos
que utilizar una convención de nomenclatura en el grupo de recursos para proporcionar esa funcionalidad.
1. Los recursos de la infraestructura compar tida seguirán teniendo un grupo de recursos independiente en
este modelo, por lo que esta parte sigue igual. Cada carga de trabajo requiere dos grupos de recursos, uno
para cada uno de los entornos de desarrollo y producción . Para la primera carga de trabajo, la cuenta del
propietario de la suscripción crea dos grupos de recursos. El primero se denomina app1-prod-rg y el
segundo app1-dev-rg . Tal y como se indicó anteriormente, esta convención de nomenclatura identifica los
recursos como asociados con la primera carga de trabajo, app1 , y el entorno de desarrollo o producción .
Una vez más, la cuenta del propietario de la suscripción agrega el propietario de carga de trabajo
app1 al grupo de recursos con el rol de colaborador .
2. De forma similar al primer ejemplo, el propietario de carga de trabajo app1 implementa una red virtual
llamada app1-prod-vnet en el entorno de producción , y otra llamada app1-dev-vnet en el entorno de
desarrollo . Una vez más, el propietario de carga de trabajo app1 envía una solicitud al usuario de
operaciones de red para crear una conexión de emparejamiento. Tenga en cuenta que el propietario de
carga de trabajo app1 agrega las mismas etiquetas que en el primer ejemplo, y el límite de contadores se
ha reducido a 997 redes virtuales disponibles en la suscripción.
3. La cuenta del propietario de la suscripción ahora crea dos grupos de recursos para el propietario de
carga de trabajo app2 . Siguiendo las mismas convenciones que para el propietario de carga de
trabajo app1 , los grupos de recursos se llaman app2-prod-rg y app2-dev-rg . La cuenta del propietario de
la suscripción agrega el propietario de carga de trabajo app2 a cada uno de los grupos de recursos
con el rol de colaborador .
4. La cuenta del propietario de carga de trabajo app2 implementa las redes virtuales y las máquinas
virtuales en los grupos de recursos con las mismas convenciones de nomenclatura. Se agregan las etiquetas
y el contador de límite se ha reducido a 995 redes virtuales disponibles en la suscripción.
5. La cuenta del propietario de carga de trabajo app2 envía una solicitud al usuario de operaciones de
red para emparejar app2-prod-vnet con hub-vnet . El usuario de operaciones de red crea la conexión de
emparejamiento.
El modelo de administración resultante es similar al primer ejemplo, con algunas diferencias importantes:
Cada una de las dos cargas de trabajo se aísla por carga de trabajo y por entorno.
Este modelo requiere dos redes virtuales más que el primer ejemplo de modelo. Aunque esto no supone
mucha diferencia cuando solo hay dos cargas de trabajo, el límite teórico en el número de cargas de trabajo
en este modelo es 24.
Los recursos ya no se agrupan en un único grupo de recursos para cada entorno. Para agrupar los recursos
es necesario conocer las convenciones de nomenclatura que se usan en cada entorno.
El usuario de operaciones de red ha revisado y aprobado cada una de las conexiones de emparejamiento
de red virtual.
Veamos ahora un ejemplo de un modelo de administración de recursos con varias suscripciones. En este
modelo, alinearemos cada uno de los tres entornos con una suscripción diferente: una suscripción de ser vicios
compar tidos , una suscripción de producción y, por último, una suscripción de desarrollo . Las
consideraciones para este modelo son similares a las del modelo con una sola suscripción en el sentido de que
hay que decidir cómo alinear los grupos de recursos con las cargas de trabajo. Ya hemos determinado que crear
un grupo de recursos para cada carga de trabajo satisface el requisito de aislamiento de las cargas de trabajo,
por lo que nos quedaremos con ese modelo en este ejemplo.
1. En este modelo, hay tres suscripciones: infraestructura compar tida , producción y desarrollo . Cada
una de estas tres suscripciones requiere un propietario de la suscripción y, en el ejemplo sencillo,
usaremos la misma cuenta de usuario para las tres. Los recursos de la infraestructura compar tida se
administran de manera similar a los primeros dos ejemplos anteriores, y la primera carga de trabajo se
asocia con el grupo de recursos app1-rg en el entorno de producción y el segundo grupo de recursos
con el mismo nombre en el entorno de desarrollo . La cuenta del propietario de carga de trabajo
app1 se agrega a cada uno de los grupos de recursos con el rol de colaborador .
2. Al igual que en los ejemplos anteriores, el propietario de carga de trabajo app1 crea los recursos y
solicita la conexión de emparejamiento con la red virtual de la infraestructura compar tida . La cuenta
del propietario de carga de trabajo app1 agrega solo la etiqueta managedBy porque ya no se
necesita la etiqueta environment . Es decir, los recursos de cada entorno están agrupados en la misma
suscripción y la etiqueta environment es redundante. El contador de límite se reduce a 999 redes
virtuales disponibles.
3. Por último, la cuenta del propietario de la suscripción repite el proceso para la segunda carga de
trabajo, y agrega el propietario de carga de trabajo app2 a los grupos de recursos con el rol de
colaborador . El contador de límite para cada una de las suscripciones del entorno se reducido a 998
redes virtuales disponibles.
Este modelo de administración tiene las ventajas del segundo ejemplo anterior. La principal diferencia es que los
límites suponen un problema menor porque se extienden a dos suscripciones. El inconveniente es que los datos
de los costos que se controlan con las etiquetas se deben agregar a las tres suscripciones.
Por lo tanto, puede seleccionar cualquiera de estos dos ejemplos de modelos de administración de recursos
según la prioridad de sus requisitos. Si prevé que su organización no llegará a los límites de servicio para una
sola suscripción, puede utilizar una sola suscripción con varios grupos de recursos. Por el contrario, si su
organización anticipa muchas cargas de trabajo, puede ser mejor tener varias suscripciones para cada entorno.
Recursos relacionados
Roles integrados en los recursos de Azure
Introducción a la materia de aceleración de la
implementación
09/03/2021 • 5 minutes to read • Edit Online
La aceleración de la implementación es una de las cinco materias de la gobernanza en la nube dentro del
modelo de gobernanza de Cloud Adoption Framework. Esta materia se centra en las distintas maneras de
establecer directivas para gobernar la configuración o implementación de recursos. Dentro de las cinco materias
de la gobernanza en la nube, la materia de la aceleración de la implementación incluye la implementación, la
alineación de la configuración y la reutilización de scripts. Esto se puede realizar a través de actividades
manuales o de actividades de DevOps completamente automatizadas. En cualquier caso, las directivas seguirían
siendo en gran medida las mismas. A medida que madura esta materia, el equipo de gobernanza en la nube
puede actuar como asociado en las estrategias de DevOps y de implementación al acelerar las
implementaciones y eliminar los obstáculos para la adopción de la nube, mediante la aplicación de recursos
reutilizables.
En este artículo se describe el proceso de aceleración de la implementación que una empresa experimenta
durante las fases de planeamiento, compilación, adopción y operación de implementación de una solución en la
nube. Es imposible que ningún documento recopile todos los requisitos para ninguna empresa. Por lo tanto,
cada sección de este artículo describe actividades posibles y mínimas sugeridas. El objetivo inicial de estas
actividades es ayudarle a crear un MVP de directivas, pero establecer un marco para la mejora de directivas
incrementales. El equipo de gobernanza en la nube debe decidir cuánto invertir en estas actividades para
mejorar la posición de la aceleración de la implementación.
NOTE
La materia de aceleración de la implementación no reemplaza los procedimientos, procesos y equipos de TI existentes que
permiten a su organización implementar y configurar de manera eficaz los recursos basados en la nube. El principal
objetivo de esta materia es identificar posibles riesgos empresariales y proporcionar orientación en mitigación de riesgos
al personal de TI responsable de la administración de sus recursos en la nube. A medida que desarrolla procesos y
directivas de gobernanza, asegúrese de implicar a los equipos de TI pertinentes en sus procesos de revisión y planeación.
La principal audiencia a la que se dirigen estas instrucciones son los arquitectos de nube de su organización y
otros miembros de su equipo de gobernanza en la nube. Las decisiones, las directivas y los procesos que
emergen de esta materia deben implicar la involucración y los debates con miembros pertinentes de los
equipos de TI y la empresa, especialmente aquellos directores responsables de la implementación y
configuración de cargas de trabajo basadas en la nube.
Policy statements
Las instrucciones accionables de las directivas y los requisitos de arquitectura resultantes actúan como base de
una materia de aceleración de la implementación. Use instrucciones de directiva de ejemplo como punto de
partida para definir las directivas de aceleración de la implementación.
Cau t i on
Las directivas de ejemplo proceden de experiencias habituales de los clientes. Para alinear mejor estas directivas
con necesidades de gobernanza en la nube específicas, ejecute los pasos siguientes para crear declaraciones de
la directiva que satisfagan sus necesidades empresariales únicas.
Pasos siguientes
Empiece evaluando los riesgos empresariales en un entorno específico.
Descripción de los riesgos empresariales
Plantilla de aceleración de la implementación
12/03/2021 • 2 minutes to read • Edit Online
El primer paso para implementar un cambio es comunicarlo. Lo mismo sucede cuando se cambian los
procedimientos de gobernanza. La plantilla siguiente proporciona un punto de partida para documentar y
comunicar las declaraciones de la directiva que rigen los problemas de configuración e implementación en la
nube. La plantilla también describe los criterios empresariales que podrían haberle llevado a redactar las
declaraciones de directiva documentadas.
A medida que las conversaciones avancen, use la estructura de esta plantilla como modelo para capturar los
riesgos empresariales, las tolerancias a los riesgos, los procesos de cumplimiento y las herramientas necesarias
para definir las declaraciones de las directivas de aceleración de la implementación de la organización.
IMPORTANT
Esta plantilla es un ejemplo limitado. Antes de actualizar la plantilla para que incluya sus requisitos, debe revisar los pasos
posteriores para definir una materia sobre la aceleración de la implementación eficaz dentro de su estrategia de
gobernanza de la nube.
Pasos siguientes
Los procedimientos de gobernanza sólidos comienzan con una comprensión del riesgo empresarial. Revise el
artículo sobre riesgos empresariales y empiece a documentar aquellos que se alinean con su plan de adopción
de la nube actual.
Descripción de los riesgos empresariales
Motivaciones y riesgos empresariales en la materia
de aceleración de la implementación
06/03/2021 • 4 minutes to read • Edit Online
En este artículo se describen las razones por las que los clientes normalmente adoptan la materia sobre la
aceleración de la implementación dentro de una estrategia de gobernanza de la nube. También se proporcionan
algunos ejemplos de riesgos empresariales que impulsan las declaraciones de directiva.
Relevancia
Los sistemas locales a menudo se implementan mediante imágenes de base referencia o scripts de instalación.
Por lo general, es necesaria una configuración adicional, que puede implicar múltiples pasos o la intervención
humana. Estos procesos manuales son propensos a errores y a menudo dan lugar a un "desfase de
configuración", lo que requiere tareas de solución de problemas y de corrección que necesitan mucho tiempo.
La mayoría de los recursos de Azure se pueden implementar y configurar manualmente mediante Azure Portal.
Este enfoque puede ser suficiente para sus necesidades cuando solo tiene unos pocos recursos para administrar.
A medida que el patrimonio en la nube crece, su organización debe comenzar a integrar funciones de
automatización en los procesos de implementación para garantizar que no ocurre un desfase de configuración
de los recursos en la nube u otros problemas que presentan los procesos manuales. Adoptar un enfoque
DevOps o DevSecOps suele ser la mejor manera de administrar las implementaciones cuando la adopción de la
nube está en una fase más avanzada.
Un sólido plan de aceleración de la implementación garantiza que los recursos de nube se implementen,
actualicen y configuren de forma correcta y coherente, y que permanezcan así. La madurez de la estrategia de
aceleración de la implementación también puede ser un factor significativo en la estrategia de administración de
costos. El aprovisionamiento y la configuración automatizados de los recursos de nube le permiten reducir o
desasignar los recursos cuando la demanda es baja o está limitada en el tiempo, por lo que solo paga por los
recursos cuando los necesita.
Riesgo empresarial
La material sobre la aceleración de la implementación intenta abordar los siguientes riesgos empresariales.
Durante la adopción de la nube, supervise cada uno de los siguientes aspectos para determinar su relevancia:
Interrupción del ser vicio. La falta de procesos de implementación predecibles y repetibles o de cambios
no administrados en las configuraciones del sistema puede interrumpir las operaciones normales y provocar
una pérdida de productividad o de negocio.
Sobrecostos: Los cambios inesperados en la configuración de los recursos del sistema pueden dificultar la
identificación de la causa raíz de los problemas, lo que aumenta los costos de desarrollo, operaciones y
mantenimiento.
Ineficacias de la organización: Las barreras entre los equipos de desarrollo, operaciones y seguridad
pueden causar numerosos desafíos para la adopción efectiva de las tecnologías de nube y el desarrollo de un
modelo unificado de gobernanza de la nube.
Pasos siguientes
Use la plantilla de la materia de aceleración de la implementación para documentar los riesgos empresariales
que es probable que se introduzcan debido al plan actual de adopción de la nube.
Una vez que se consigue una comprensión realista de los riesgos empresariales, el siguiente paso es
documentar la tolerancia al riesgo de la empresa y los indicadores y métricas clave para supervisar esa
tolerancia.
Métricas, indicadores y tolerancia al riesgo
Métricas e indicadores de la tolerancia al riesgo de
la materia de aceleración de la implementación
06/03/2021 • 6 minutes to read • Edit Online
Métricas
La aceleración de la implementación se centra en los riesgos relacionados con la configuración, implementación,
actualización y mantenimiento de los recursos en la nube. La siguiente información es útil al adoptar la materia
de aceleración de la implementación:
Errores de implementación. Porcentaje de implementaciones que generan errores o producen recursos
mal configurados.
Tiempo de implementación. La cantidad de tiempo que se necesita para implementar las actualizaciones
en un sistema existente.
Recursos fuera de cumplimiento. El número o porcentaje de recursos que no cumplen con las directivas
definidas.
Pasos siguientes
Use la plantilla de la materia de aceleración de la implementación para documentar las métricas y los
indicadores de tolerancia que se alinean con el plan actual de adopción de la nube.
Revise las directivas de aceleración de la implementación de ejemplo como punto de partida para desarrollar
sus propias directivas para abordar los riesgos empresariales específicos en línea con los planes de adopción de
la nube.
Revisión de las directivas de ejemplo
Declaraciones de la directiva de ejemplo de
aceleración de la implementación
06/03/2021 • 6 minutes to read • Edit Online
Cada declaración de directiva de nube es una guía para abordar los riesgos específicos identificados durante el
proceso de evaluación de riesgos. Estas declaraciones deben proporcionar un breve resumen de los riesgos y
los planes para resolverlos. La definición de cada declaración debe incluir estos fragmentos de información:
Riesgo técnico: Un resumen del riesgo que esta directiva abordará.
Declaración de directiva : Una explicación clara que resuma los requisitos de la directiva.
Opciones de diseño : Recomendaciones que requieren acción, especificaciones u otras instrucciones que
los equipos de TI y los desarrolladores pueden usar al implementar la directiva.
Las siguientes declaraciones de la directiva de ejemplo abordan algunos riesgos empresariales comunes
relacionados con la configuración. Estas declaraciones son ejemplos a los que se puede hacer referencia al
elaborar el borrador de las declaraciones de directiva para satisfacer las necesidades de su organización. Estos
ejemplos no pretenden ser excluyentes y hay varias opciones posibles de directiva para solucionar cada riesgo
concreto identificado. Trabaje estrechamente con los equipos de TI y de dirección para identificar las mejores
directivas para su conjunto de riesgos en particular.
Pasos siguientes
Use los ejemplos mencionados en este artículo como punto de partida para desarrollar directivas que aborden
los riesgos de negocio específicos que se alinean con los planes de adopción de la nube.
Para comenzar a desarrollar sus propias declaraciones de directiva personalizadas de la base de referencia de
identidad, descargue la plantilla de la materia de base de referencia de identidad.
Para acelerar la adopción de esta materia, elija la guía accionable de gobernanza que más se ajuste a su entorno.
Después, modifique el diseño para incorporar las decisiones de directiva específicas de su organización.
A partir de los riesgos y la tolerancia, establezca un proceso para regular y comunicar la adhesión a la directiva
de aceleración de la implementación.
Establecimiento de procesos para el cumplimiento de directivas
Procesos de cumplimiento de directivas de
aceleración de la implementación
06/03/2021 • 11 minutes to read • Edit Online
En este artículo se describe un enfoque de los procesos de cumplimiento de directivas que rigen la materia de
aceleración de la implementación. Una gobernanza efectiva de la configuración en la nube comienza con los
procesos manuales periódicos diseñados para detectar problemas e imponer directivas para remediar los
riesgos. Puede automatizar estos procesos y complementarlos para reducir la sobrecarga de gobernanza y
permitir una respuesta más rápida a las desviaciones.
Pasos siguientes
Use la plantilla de la materia de aceleración de la implementación para documentar los procesos y los
desencadenadores que se alinean con el plan de adopción actual de la nube.
Para obtener instrucciones acerca de cómo ejecutar directivas de administración en la nube de conformidad con
los planes de adopción, consulte Mejora de la materia de aceleración de la implementación.
Mejora de la disciplina de aceleración de la implementación
Mejora de la disciplina de aceleración de la
implementación
12/03/2021 • 10 minutes to read • Edit Online
La disciplina de aceleración de la implementación se centra en establecer directivas que aseguren que los
recursos se implementen y configuren de manera coherente y repetitiva, y que puedan cumplir los requisitos
establecidos durante todo su ciclo de vida. Dentro de las cinco materias de la gobernanza de la nube, la materia
de aceleración de la implementación incluye decisiones relacionadas con la automatización de
implementaciones, los artefactos de implementación que controlan el origen, la supervisión de los recursos
implementados para mantener el estado establecido y la auditoría de cualquier problema de cumplimiento.
En este artículo se destacan algunas tareas potenciales en las que su empresa puede participar para desarrollar
y mejorar la materia sobre la aceleración de la implementación. Estas tareas se dividen en las fases de
planeamiento, compilación, adopción y funcionamiento de la implementación de una solución de nube que,
posteriormente, se iteran para permitir el desarrollo de un enfoque incremental a la gobernanza de la nube.
Ni las actividades mínimas ni las posibles que se describen en este artículo están en línea con directivas
corporativas específicas ni con requisitos de cumplimiento de terceros. Esta guía está diseñada como ayuda para
facilitar las conversaciones que darán lugar a la alineación de los requisitos con un modelo de gobernanza de la
nube.
Planeamiento y preparación
Esta fase del desarrollo de la gobernanza permite salvar las diferencias entre los resultados empresariales y
unas estrategias accionables. Durante este proceso, el equipo directivo define métricas específicas, las asigna al
patrimonio digital y empieza a planear el esfuerzo global de migración.
Actividades mínimas sugeridas:
Evalúe las opciones de su cadena de herramientas de aceleración de la implementación, e implemente una
estrategia híbrida que sea adecuada para su organización.
Elabore un borrador con las directrices de arquitectura y distribúyalo a las principales partes interesadas.
Eduque e implique a las personas y equipos a los que afectará el desarrollo de las directrices de arquitectura.
Entrene a los equipos de desarrollo y al personal de TI para que comprendan los principios y estrategias de
DevSecOps y la importancia de las implementaciones totalmente automatizadas de la materia de aceleración
de la implementación.
Posible actividades:
Defina los roles y asignaciones que regirán la aceleración de la implementación en la nube.
Adopción y migración
La migración es un proceso incremental que se centra en el traslado, las pruebas y la adopción de las
aplicaciones o cargas de trabajo de un patrimonio digital existente.
Actividades mínimas sugeridas:
Migre la cadena de herramientas para la aceleración de la implementación desde el entorno de desarrollo al
de producción.
Actualice el documento de directrices de arquitectura y distribúyalo a las principales partes interesadas.
Desarrolle materiales y documentación educativos, comunicaciones de reconocimiento, incentivos y otros
programas para ayudar a impulsar la adopción de TI y a los desarrolladores.
Posible actividades:
Compruebe que los procedimientos recomendados que se definieron durante las fases de compilación y
anterior a la implementación se ejecutan correctamente.
Cerciórese de que todas las aplicaciones o cargas de trabajo siguen alineadas con la estrategia de aceleración
de la implementación antes de la publicación.
Pasos siguientes
Ahora que conoce el concepto de gobernanza de identidades en la nube, examine la cadena de herramientas de
la base de referencia de identidad para identificar las herramientas y características de Azure que necesitará al
desarrollar la materia sobre la base de referencia de la identidad en la plataforma Azure.
Cadena de herramientas de la línea de base de identidad para Azure
Herramientas de aceleración de la implementación
en Azure
23/03/2021 • 4 minutes to read • Edit Online
La materia de aceleración de la implementación es una de las cinco materias de la gobernanza de la nube. Esta
materia se centra en las distintas maneras de establecer directivas para gobernar la configuración o
implementación de recursos. Dentro de las cinco materias de la gobernanza de la nube, la aceleración de la
implementación incluye la alineación de la implementación y la configuración. Esto se puede realizar a través de
actividades manuales o de actividades de DevOps completamente automatizadas. En cualquier caso, las
directivas implicadas seguirían siendo en gran medida las mismas.
Es probable que tanto los guardianes de la nube como los arquitectos de la nube interesados en su gobernanza
inviertan mucho tiempo en la materia sobre la aceleración de la implementación, que codifica las directivas y los
requisitos en diversos trabajos de adopción de la nube. Las herramientas de esta cadena de herramientas son
importantes para el equipo de gobernanza de la nube y deben tener una prioridad alta en la ruta de aprendizaje
del equipo.
A continuación, se muestra una lista de las herramientas de Azure que pueden ayudar a desarrollar las directivas
y los procesos que admiten esta materia.
GRUP O S DE
A DM IN IST RA A Z URE A Z URE A Z URE C O ST
A Z URE C IÓ N DE RESO URC E A Z URE RESO URC E M A N A GEM EN
P O L IC Y A Z URE M A N A GER B L UEP RIN T S GRA P H T + B IL L IN G
Implementa Sí No No No No No
ción de
directivas
corporativa
s
Aplicación Obligatorio Sí No No No No
de
directivas a
suscripcione
s
Implementa No No Sí No No Sin
ción de
recursos
definidos
Auditoría Sí No No No No No
de
directivas
GRUP O S DE
A DM IN IST RA A Z URE A Z URE A Z URE C O ST
A Z URE C IÓ N DE RESO URC E A Z URE RESO URC E M A N A GEM EN
P O L IC Y A Z URE M A N A GER B L UEP RIN T S GRA P H T + B IL L IN G
Consulta de No No No No Sí No
recursos de
Azure
Informe de No No No No No Sí
costo de
recursos
Las siguientes son herramientas adicionales que pueden ser necesarias para lograr objetivos específicos de
aceleración de la implementación. A menudo estas herramientas se usan fuera del equipo de gobernanza, pero
se consideran un aspecto de la materia de aceleración de la implementación.
A Z URE
A Z URE RESO URC E A Z URE A Z URE A Z URE A Z URE SIT E
P O RTA L M A N A GER P O L IC Y DEVO P S B A C K UP REC O VERY
Implementa Sí Sí No No es eficaz No Sí
ción manual
(un solo
recurso)
Implementa No Sí No Sí No Sí
ción
automática
(entorno
completo)
Creación de No No No Sí No No
una
canalización
automática
para la
implementa
ción de
código y la
configuració
n de
recursos
(DevOps)
Aparte de las herramientas nativas de Azure que se han mencionado, es habitual que los clientes usen
herramientas de terceros para facilitar la aceleración de la implementación y las implementaciones de DevOps.
Gobernanza de antipatrones
24/04/2021 • 8 minutes to read • Edit Online
A menudo, los clientes experimentan antipatrones durante la fase de gobernanza de la adopción de la nube.
Dedicar tiempo a comprender las responsabilidades compartidas le ayuda a evitar estos antipatrones, ya que
crea su estrategia de seguridad según los marcos existentes en lugar de crear el suyo propio.
Pasos siguientes
Adaptación de los roles, las aptitudes y los procesos existentes de la nube
Definición de una estrategia de seguridad
Administración de la nube en Cloud Adoption
Framework
06/03/2021 • 6 minutes to read • Edit Online
Proporcionar una estrategia de nube requiere un planeamiento, una preparación y una adopción sólidos. Pero
es el funcionamiento continuo de los recursos digitales lo que produce unos resultados empresariales tangibles.
Sin un plan de operaciones confiables y bien administradas de las soluciones en la nube, esos esfuerzos
generarán resultados escasos. Los ejercicios siguientes ayudan a desarrollar los enfoques técnicos y
empresariales necesarios para proporcionar una administración de la nube que impulse las operaciones en
curso.
Introducción
Para prepararse para esta fase del ciclo de vida de la adopción de la nube, el marco sugiere los siguientes
ejercicios:
En los pasos anteriores se crean enfoques prácticos para proporcionar la metodología de administración de
Cloud Adoption Framework.
Tal y como se comentó en el artículo sobre alineación empresarial, no todas las cargas de trabajo son críticas.
Dentro de toda cartera hay distintos grados de necesidades de administración operativa. Los trabajos de
alineación empresarial ayudan a identificar el impacto empresarial y a negociar los costos de administración con
la empresa para garantizar el uso de los procesos y herramientas de administración operativa más adecuados.
La guía de la sección de administración de Cloud Adoption Framework sirve para dos fines:
Proporcionar ejemplos de enfoques prácticos de administración de operaciones que representan
experiencias comunes que los clientes encuentran a menudo.
Ayudarle a crear soluciones de administración personalizadas basadas en compromisos empresariales.
Este contenido está diseñado para su uso por parte del equipo de operaciones en la nube. También es
importante para los arquitectos de la nube que necesitan desarrollar una base sólida para las operaciones en la
nube o los principios de diseño.
El contenido de Cloud Adoption Framework afecta al negocio, a la tecnología y a la cultura de las empresas. Esta
sección de Cloud Adoption Framework interactúa considerablemente con los equipos de operaciones de TI,
gobernanza de TI, finanzas, responsables de línea de negocio, redes, identidad y adopción de la nube. Varias
dependencias de estos roles requieren un enfoque facilitador por parte de los arquitectos de la nube que usan
esta guía. La facilitación de estos equipos rara vez es una tarea única.
El arquitecto de la nube sirve como líder de pensamiento y facilitador para reunir a estas audiencias. El
contenido de esta colección de guías está diseñado para ayudar al arquitecto de la nube a facilitar la
conversación correcta, con la audiencia adecuada, para tomar las decisiones necesarias. La transformación
empresarial que potencia la nube depende de que el arquitecto de la nube sirva de guía en las decisiones tanto
de TI como de toda la empresa.
Cada una de las secciones de Cloud Adoption Framework representa una especialización o variante diferentes
del rol de arquitecto de la nube. Esta sección de Cloud Adoption Framework está diseñada para arquitectos de la
nube apasionados con las operaciones y con la administración de soluciones de implementación. Dentro de este
marco, se hace referencia a estos especialistas con frecuencia como operaciones en la nube o colectivamente
como equipo de operaciones en la nube.
Si desea seguir esta guía de principio a fin, este contenido ayuda a desarrollar una sólida estrategia de
operaciones en la nube. Estas instrucciones le guían mediante la teoría y la implementación de dicha estrategia.
También puede aplicar la metodología para establecer compromisos empresariales claros.
Guía de administración de Azure: Antes de
comenzar
06/03/2021 • 3 minutes to read • Edit Online
Antes de comenzar
La guía de administración de Azure ayuda a los clientes de Azure a crear una línea de base de administración
para establecer la coherencia de los recursos en Azure. En esta guía se describen las herramientas básicas
necesarias para los entornos de producción de Azure, especialmente aquellos que hospedan información
confidencial. Para más información, procedimientos recomendados y consideraciones relacionadas con la
preparación del entorno en la nube, consulte la sección de preparación de Cloud Adoption Framework.
El Inventario y la visibilidad es la primera de tres disciplinas en una línea de base para la administración en la
nube.
Esta materia va en primer lugar porque es fundamental recopilar los datos operativos adecuados al tomar
decisiones sobre las operaciones. Los equipos de administración en la nube deben comprender lo que se está
administrando y el grado de funcionamiento de esos recursos. En este artículo se describen las diversas
herramientas que proporcionan un inventario y permiten ver el estado de ejecución del inventario.
Para cualquier entorno de nivel empresarial, en la tabla siguiente se describen los mínimos sugeridos para una
línea de referencia de administración.
Supervisión del estado de los servicios Azure Service Health Mantenimiento, rendimiento y
de Azure diagnóstico de los servicios que se
ejecutan en Azure
Centralización de registros Log Analytics Registro central para todos los fines de
visibilidad
Supervisión del sistema operativo Azure Monitor para VM Supervisión de los cambios y el
invitado rendimiento de las VM
P RO C ESO H ERRA M IEN TA P RO P Ó SITO
Azure Service Health proporciona una vista personalizada del estado de los servicios y regiones de Azure. La
información acerca de los problemas activos se publica en Azure Service Health, lo cual le ayudará a
comprender el efecto que tienen en los recursos. Las actualizaciones periódicas le mantendrán informado a
medida que se resuelven los problemas.
También se publican los eventos de mantenimiento planeado en Azure Service Health para proporcionarle
información sobre los cambios que pueden afectar a la disponibilidad de los recursos. Configure alertas de
Service Health para que le envíen notificaciones si se producen problemas en el servicio, mantenimientos
planeados o cualquier otro cambio que puedan afectar a los servicios y regiones de Azure.
Azure Service Health incluye:
Estado de Azure: una vista global del estado de los servicios de Azure.
Estado del ser vicio: una vista personalizada del estado de los servicios de Azure.
Estado de los recursos: una vista más detallada del estado de los recursos individuales.
Acción
Para configurar una alerta de Service Health:
1. Vaya a Ser vice Health .
2. Seleccione Aler tas de estado .
3. Cree una alerta de Service Health.
G O TO S E R V I C E
H E A LTH
Log Analytics
Log Analytics
Un área de trabajo de Log Analytics es un entorno único para almacenar los datos de registro de Azure Monitor.
Cada área de trabajo tiene su propio repositorio y configuración de datos. Los orígenes de datos y las soluciones
se configuran para almacenar sus datos en áreas de trabajo determinadas. Las soluciones de supervisión de
Azure requieren que todos los servidores se conecten a un área de trabajo, para poder almacenar los datos de
registro y obtener acceso a ellos.
Acción
E XP L O R E A Z U R E
M O N I TO R
Más información
Para obtener más información, consulte la documentación para la creación de áreas de trabajo de Log Analytics.
Azure Monitor
Azure Monitor
Azure Monitor proporciona un único centro unificado para todos los datos de supervisión y diagnóstico en
Azure, además de ofrecer visibilidad sobre todos los recursos. Con Azure Monitor, puede buscar y corregir
problemas y optimizar el rendimiento. También puede comprender el comportamiento de los clientes.
Super vise y visualice las métricas: las métricas son valores numéricos disponibles en los recursos de
Azure. Ayudan a comprender el estado de los sistemas. Personalice los gráficos de los paneles y use los
libros para los informes.
Consulte y analice los registros: los registros incluyen los registros de actividad y los registros de
diagnóstico de Azure. Recopile registros adicionales de otras soluciones de supervisión y administración
para los recursos de nube o locales. Log Analytics proporciona un repositorio central para agregar todos
estos datos. Desde allí, puede ejecutar consultas para ayudar a solucionar problemas o para visualizar los
datos.
Configure aler tas y acciones: las alertas le notifican las condiciones críticas. Las acciones correctivas
se pueden tomar basándose en los desencadenadores de las métricas, los registros o los problemas de
estado del servicio. Puede configurar diferentes notificaciones y acciones, así como enviar datos a las
herramientas de administración de servicios de TI.
Acción
E XP L O R E A Z U R E
M O N I TO R
Incorporación de soluciones
Incorporación de soluciones
Para habilitar las soluciones, tiene que configurar el área de trabajo Log Analytics. Las VM de Azure y los
servidores locales incorporados obtienen las soluciones de las áreas de trabajo de Log Analytics a las que se
conectan.
Hay dos enfoques en la incorporación:
Una única máquina virtual
Toda la suscripción
Cada uno de los artículos le guía a través de una serie de pasos para incorporar las siguientes soluciones:
Solución Update Management
Solución Seguimiento de cambios e inventario
Registro de actividades de Azure
Agent Health para Azure Log Analytics
Evaluación de antimalware
Azure Monitor para máquinas virtuales
Azure Security Center
Cada uno de los pasos anteriores ayuda a establecer el inventario y la visibilidad.
Cumplimiento operativo en Azure
12/03/2021 • 8 minutes to read • Edit Online
La mejora del cumplimiento operativo reduce la probabilidad de una interrupción relacionada con el desfase en
la configuración o vulnerabilidades relacionadas con sistemas que se han revisado de forma incorrecta.
Para cualquier entorno de nivel empresarial, en esta tabla se describen los mínimos sugeridos para una línea de
referencia de administración.
Administración de actualizaciones
Administración de actualizaciones
Los equipos administrados por la Update Management para Azure Automation usan las siguientes
configuraciones para evaluar e implementar actualizaciones:
Microsoft Monitoring Agent (MMA) para Windows o Linux
Configuración de estado deseado (DSC) de PowerShell para Linux
Hybrid Runbook Worker de Azure Automation.
Microsoft Update o Windows Server Update Services (WSUS) para equipos Windows
Para más información, consulte Solución Update Management para Update Management.
WARNING
Antes de usar Update Management, debe incorporar máquinas virtuales o una suscripción completa en Log Analytics y
Azure Automation.
Hay dos enfoques en la incorporación:
Una única máquina virtual
Toda la suscripción
Debe seguir uno para poder continuar con Update Management.
Administración de actualizaciones
Para aplicar una directiva a un grupo de recursos:
1. Vaya a Azure Automation.
2. Seleccione Cuentas de Automation y elija una de las cuentas de la lista.
3. Diríjase a Administración de configuración .
4. Inventario , Administración de cambios y State Configuration pueden usarse para controlar el estado
y el cumplimiento operativo de las VM administradas.
AS S IG N
PO LIC Y
Azure Policy
Azure Policy
Azure Policy se utiliza en los procesos de gobierno. También es muy útil en los procesos de administración en la
nube. Azure Policy puede auditar y corregir los recursos de Azure, además de auditar la configuración en una
máquina. La validación se realiza mediante el cliente y la extensión Guest Configuration. La extensión, a través
del cliente, valida opciones de configuración como:
Configuración del sistema operativo.
Configuración o presencia de la aplicación.
Configuración del entorno.
Actualmente, la configuración de invitado de Azure Policy solo realiza la auditoría de la configuración dentro de
la máquina. No aplica configuraciones.
Acción
Asigne una directiva integrada a un grupo de administración, suscripción o grupo de recursos.
AS S IG N
PO LIC Y
Azure Blueprint
Azure Blueprints
Con Azure Blueprints, los arquitectos de la nube y los grupos de TI central pueden definir un conjunto repetible
de recursos de Azure. Estos recursos implementan y cumplen los estándares, patrones y requisitos de una
organización.
Con Azure Blueprints, los equipos de desarrollo pueden crear y erigir rápidamente nuevos entornos. Los
equipos también pueden tener la certeza de que actúan en conformidad con la organización. Para ello, usan un
conjunto de componentes integrados como redes para acelerar el desarrollo y la entrega.
Los planos técnicos son una manera declarativa de organizar la implementación de distintas plantillas de
recursos y de otros artefactos, como son:
Asignaciones de roles.
Asignaciones de directivas.
Plantillas de Azure Resource Manager.
Grupos de recursos.
La aplicación de un plano técnico puede exigir el cumplimiento operativo en un entorno, si aún no lo exige el
equipo de gobernanza de la nube.
Creación de un plano técnico
Para crear un plano técnico, realice el siguiente procedimiento:
1. Vaya a Planos técnicos: Introducción .
2. En el panel Crear un plano técnico , seleccione Crear .
3. Filtre la lista Planos técnicos para seleccionar el plano técnico adecuado.
4. En el cuadro Nombre del plano técnico , escriba el nombre del plano técnico.
5. Seleccione Ubicación de definición y elija la ubicación correspondiente.
6. Seleccione Siguiente: Ar tefactos y revise los artefactos incluidos en el plano técnico.
7. Seleccione Guardar borrador .
C R E ATE A
B LU E PR INT
En Cumplimiento operativo en Azure, el objetivo es reducir la probabilidad de una interrupción del negocio. El
artículo actual tiene el objetivo de reducir la duración y el impacto de las interrupciones que no se pueden evitar.
Para cualquier entorno de nivel empresarial, en esta tabla se describen los mínimos sugeridos para cualquier
base de referencia de administración:
Azure Backup
Azure Backup
Con Azure Backup puede crear copias de seguridad de sus datos, así como protegerlos y recuperarlos, en la
nube de Microsoft. Azure Backup reemplaza su solución de copia de seguridad local o remota existente por una
solución basada en la nube. Esta nueva solución es confiable, segura y rentable. Azure Backup también puede
ayudar a proteger y recuperar los recursos locales a través de una solución coherente.
En el caso de los datos presentes en Azure, Azure Backup ofrece diversos niveles de protección. Por ejemplo,
para realizar copias de seguridad de partes importantes de la infraestructura de la nube, como Azure Virtual
Machines y Azure Files, ofrece copia de seguridad de máquinas virtuales de Azure y copia de seguridad de
archivos de Azure. Para otros componentes críticos, como bases de datos que se ejecutan en Azure Virtual
Machines, ofrece soluciones dedicadas de copia de seguridad de base de datos para SQL Server y SAP HANA
con un RPO mucho menor.
Revise la sección siguiente para ver la facilidad con la que puede habilitar la copia de seguridad de Azure Virtual
Machines.
Habilitación de la copia de seguridad de una máquina virtual de Azure
1. En Azure Portal, seleccione Máquinas vir tuales y, a continuación, seleccione la máquina virtual de la que
desea realizar la copia de seguridad.
2. En el panel Operaciones , seleccione Copia de seguridad .
3. Cree un almacén de Azure Recovery Services o seleccione uno existente.
4. Seleccione Crear una nueva directiva (o editar una) .
5. Configure la programación y el período de retención.
6. Seleccione Aceptar .
7. Seleccione Habilitar copia de seguridad .
G O TO V I R TU A L
M AC H INE S
Para más información acerca de Azure Backup, consulte Introducción a Azure Backup.
TIP
Los pasos exactos pueden diferir ligeramente según el escenario.
Comprobación de la configuración
Cuando haya finalizado el trabajo de replicación, puede comprobar el estado de la replicación y probar la
implementación.
1. En el menú de la máquina virtual, seleccione Recuperación ante desastres .
2. Compruebe el estado de la replicación, los puntos de recuperación que se crearon y las regiones de origen y
destino en el mapa.
G O TO V I R TU A L
M AC H INE S
Más información
Información general sobre Azure Site Recovery
Replicación de una máquina virtual de Azure en otra región
Línea base de administración mejorada en Azure
06/03/2021 • 9 minutes to read • Edit Online
Las tres primeras materias de administración de la nube describen una línea de base de administración. En los
artículos anteriores de esta guía se describe un producto mínimo viable (MVP) para servicios de administración
en la nube, lo que se conoce como "línea de referencia de administración". En este artículo se describen algunas
mejoras comunes de la línea base.
El propósito de una línea de referencia de administración es crear una oferta coherente que proporcione un
nivel mínimo de compromiso empresarial para todas las cargas de trabajo que se admiten. Con esta línea de
referencia de ofertas de administración repetibles comunes, el equipo puede ofrecer una administración
operativa altamente optimizada con una desviación mínima.
Sin embargo, podría ser necesario un mayor compromiso con la empresa más allá de la oferta estándar. La
imagen y la lista siguientes muestran tres maneras de ir más allá de la base de referencia de administración.
Inventario y Servicio Change Azure Resource Una mayor visibilidad Información general
visibilidad Tracking Graph de los cambios en los de Azure Resource
servicios de Azure Graph
puede ayudar a
detectar antes los
efectos negativos o a
remediarlos más
rápido.
Azure Automation
Azure Automation
Azure Security Center también desempeña un papel importante en su estrategia de protección y recuperación.
Le permite supervisar la seguridad de las máquinas, las redes, el almacenamiento, los servicios de datos y las
aplicaciones.
Azure Security Center proporciona detección de amenazas avanzada mediante análisis del comportamiento y
aprendizaje automático para ayudar a identificar las amenazas activas dirigidas a los recursos de Azure. También
proporciona protección contra amenazas, que bloquea el malware y otro código no deseado, y reduce la
superficie expuesta a los ataques por fuerza bruta y a otros ataques a la red.
Cuando Azure Security Center identifica una amenaza, desencadena una alerta de seguridad con los pasos que
debe seguir para responder a un ataque. También proporciona un informe con datos sobre la amenaza
detectada.
Azure Security Center se ofrece en dos niveles: Gratis y Estándar. Características como las recomendaciones de
seguridad están disponibles en el nivel Gratis. El nivel Estándar proporciona protección adicional, como
detección de amenazas avanzada y protección en las cargas de trabajo de nube híbrida.
Acción
Probar el nivel Estándar gratis durante los primeros 30 días
Después de habilitar y configurar las directivas de seguridad para los recursos de una suscripción, puede ver el
estado de seguridad de los recursos y cualquier problema en el panel Prevención . Una lista de dichos
problemas también se puede encontrar en el icono Recomendaciones .
E XP L O R E A Z U R E S E C U R I TY
C E N TE R
Al igual que la línea de base de administración mejorada, la especialización de plataforma es una extensión más
allá de la línea de base de administración estándar. Consulte la lista y la imagen siguientes, que muestran las
maneras de ampliar la línea de referencia de administración. En este artículo se tratan las opciones de
especialización de la plataforma.
Operaciones con cargas de trabajo: mayor inversión en operaciones por carga de trabajo y mayor grado
de resistencia. Las operaciones con cargas de trabajo se sugieren para aproximadamente el 20 % de las
cargas de trabajo que impulsan el valor empresarial. Esta especialización suele reservarse para cargas de
trabajo de gran importancia o críticas.
Operaciones de la plataforma: La inversión en operaciones se reparte entre varias cargas de trabajo. Las
mejoras de resistencia afectan a todas las cargas de trabajo que usan la plataforma definida. Las operaciones
de la plataforma se sugieren para aproximadamente el 20 % de las plataformas que tienen una importancia
crítica. Esta especialización se suele reservar para cargas de trabajo de importancia media a crítica.
Línea de base de administración mejorada: inversión en operaciones relativamente más baja. Esta
especialización mejora ligeramente los compromisos empresariales mediante herramientas y procesos de
operaciones nativos de la nube.
Ambas operaciones de carga de trabajo y plataforma requieren cambios en los principios de diseño y
arquitectura. Estos cambios pueden tardar un tiempo y generar mayores gastos de funcionamiento. Para reducir
el número de cargas de trabajo que requieren tales inversiones, una línea de referencia de administración
mejorada puede proporcionar una mejora suficiente en el compromiso empresarial.
En esta tabla se describen algunos procesos, herramientas y posibles consecuencias comunes en las líneas de
referencia de administración mejorada de los clientes:
N IVEL DE
A DM IN IST RA C IÓ N
P RO C ESO H ERRA M IEN TA P RO P Ó SITO SUGERIDO
Mejora del diseño del Marco de buena Mejora del diseño N/D
sistema arquitectura de Microsoft arquitectónico de la
Azure plataforma para mejorar las
operaciones
La mejora del diseño del sistema es el enfoque más eficaz para mejorar las operaciones de cualquier plataforma
común. Gracias a las mejoras en el diseño del sistema, la estabilidad puede aumentar y las interrupciones del
negocio pueden disminuir. El diseño de sistemas individuales está más allá del ámbito de la vista del entorno
que se usa en todo Cloud Adoption Framework.
Como complemento de esta plataforma, el Marco de buena arquitectura de Microsoft Azure proporciona unos
principios rectores para mejorar la calidad de una plataforma o carga de trabajo específica. El marco se centra
en la mejora de los cinco pilares de la excelencia arquitectónica:
Optimización de costos: administra los costos para maximizar el valor entregado.
Excelencia operativa: sigue los procesos de operaciones que mantienen un sistema ejecutándose en
producción.
Eficiencia del rendimiento: escala los sistemas para adaptarse a los cambios en la carga.
Confiabilidad: diseña sistemas para que se recuperen de los errores y sigan funcionando.
Seguridad: protege las aplicaciones y los datos frente a amenazas.
La deuda técnica y los errores arquitectónicos provocan la mayoría de las interrupciones de la empresa. En el
caso de las implementaciones existentes, puede ver las mejoras en el diseño de los sistemas como pagos de la
deuda técnica existente. En el caso de las nuevas implementaciones, puede ver estas mejoras como una medida
para evitar la deuda técnica.
La pestaña Corrección automatizada siguiente examina las formas de abordar la deuda técnica que no se
puede o no se debe solucionar.
Obtenga más información acerca del Marco de buena arquitectura de Microsoft Azure para mejorar el diseño
del sistema.
A medida que el diseño del sistema mejora, vuelva a consultar este artículo para encontrar nuevas
oportunidades de mejorar y escalar esas mejoras en todo el entorno.
Corrección automatizada
Corrección automatizada
Algunas deudas técnicas no se pueden abordar, ya que la resolución puede tener un costo demasiado alto o
haberse planeado, pero tener una duración de proyecto prolongada. Es posible que la interrupción empresarial
no tenga un efecto importante para la empresa. O bien, la prioridad empresarial podría ser una recuperación
rápida en lugar de la inversión en resistencia.
Cuando el enfoque deseado no es la resolución de la deuda técnica, la corrección automática suele ser el
siguiente paso. El uso de Azure Automation y Azure Monitor para detectar tendencias y proporcionar una
corrección automatizada es el enfoque más común para la corrección automatizada.
Para obtener instrucciones sobre la corrección automatizada, consulte Azure Automation y alertas.
Mejora continua
Mejora continua
Operaciones con cargas de trabajo: mayor inversión en operaciones por carga de trabajo y mayor grado
de resistencia. Las operaciones con cargas de trabajo se sugieren para aproximadamente el 20 % de las
cargas de trabajo que impulsan el valor empresarial. Esta especialización suele reservarse para cargas de
trabajo de gran importancia o críticas.
Operaciones de la plataforma: La inversión en operaciones se reparte entre varias cargas de trabajo. Las
mejoras de resistencia afectan a todas las cargas de trabajo que usan la plataforma definida. Las operaciones
de la plataforma se sugieren para aproximadamente el 20 % de las plataformas que tienen una importancia
crítica. Esta especialización se suele reservar para cargas de trabajo de importancia media a crítica.
Línea de base de administración mejorada: inversión en operaciones relativamente más baja. Esta
especialización mejora ligeramente los compromisos empresariales mediante herramientas y procesos de
operaciones nativos de la nube.
Proceso de alto nivel
La especialización de la carga de trabajo consta de una ejecución disciplinada de los cuatro procesos siguientes
con un enfoque iterativo. Cada proceso se explica con más detalle en Especialización de la plataforma.
Mejora del diseño del sistema: se mejora el diseño de una carga de trabajo específica para minimizar las
interrupciones de forma eficaz.
Corrección automática: algunas mejoras no son rentables. En tales casos, es posible que tenga más
sentido automatizar la corrección y reducir el efecto de las interrupciones.
Escalado de la solución: a medida mejora el diseño de los sistemas y la corrección automatizada, los
cambios se pueden escalar en el entorno mediante el catálogo de servicios.
Mejora continua: puede usar distintas herramientas de supervisión para detectar mejoras incrementales.
Estas mejoras se pueden tratar en el siguiente paso del diseño, la automatización y la escala del sistema.
Cambio cultural
La especialización de la carga de trabajo suele desencadenar un cambio cultural en los procesos de compilación
de TI tradicionales que se centran en ofrecer una base de referencia de administración, bases de referencia
mejoradas y operaciones de plataforma. Estos tipos de ofertas se pueden escalar en todo el entorno. La
especialización de la carga de trabajo es similar en aplicación a la especialización de plataforma. Sin embargo, a
diferencia de las plataformas comunes, la especialización que requieren las cargas de trabajo individuales no
suele escalarse.
Cuando se requiere la especialización de carga de trabajo, la administración operativa suele evolucionar más
allá de una perspectiva de TI centralizada. El enfoque sugerido de Cloud Adoption Framework es una
distribución de la funcionalidad de administración en la nube.
En este modelo, las tareas operativas como la supervisión, la implementación, DevOps y otras funciones
centradas en la innovación se desplazan a una organización de desarrollo de aplicaciones o de unidad de
negocio. El equipo de plataforma de la nube y el equipo de supervisión de la nube principal todavía cumplen
con la base de referencia de administración en todo el entorno.
Esos equipos centralizados también guían e instruyen a los equipos especializados en cargas de trabajo sobre
las operaciones de sus cargas de trabajo. Sin embargo, la responsabilidad operativa cotidiana recae en un
equipo de administración en la nube que se administra fuera de TI. Este tipo de control distribuido es uno de los
indicadores principales de madurez del centro de excelencia de la nube.
La adopción de la nube actúa como catalizador para impulsar el valor empresarial. Sin embargo, el valor
empresarial real se obtiene mediante el funcionamiento constante y estable de los recursos tecnológicos
implementados en la nube. Esta sección de Cloud Adoption Framework le guía por diversas transiciones hasta la
administración operativa de la nube.
Operaciones en la nube
Ambos procedimientos recomendados conducen hacia una metodología de estado futuro para la
administración de operaciones, como se ilustra en el diagrama siguiente:
Alineación empresarial: En la metodología de administración todas las cargas de trabajo se clasifican por
nivel de importancia y por valor empresarial. Posteriormente, esa clasificación se puede medir mediante un
análisis de impacto, que calcula el valor perdido asociado con una degradación del rendimiento o con
interrupciones en su negocio. Con ese impacto tangible de los ingresos, los equipos de operaciones en la nube
pueden trabajar con la empresa para establecer un compromiso que equilibre el costo y el rendimiento.
Materias de operaciones en la nube: Una vez alineado el negocio, es mucho más fácil realizar un
seguimiento e informar sobre las materias adecuadas de las operaciones en la nube para cada carga de trabajo.
La toma de decisiones en cada materia se puede convertir posteriormente en términos de compromiso
fácilmente comprensibles para la empresa. Este enfoque de colaboración hace que las partes interesadas de la
empresa se conviertan en asociados a la hora de encontrar el equilibrio adecuado entre costo y rendimiento.
Inventario y visibilidad: Como mínimo, la administración de operaciones necesita un medio para realizar
un inventario de los recursos y visibilidad sobre el estado de ejecución de cada recurso.
Cumplimiento operativo: La administración frecuente de la configuración, tamaño, costo y rendimiento de
los recursos es clave para mantener las expectativas de rendimiento.
Protección y recuperación: minimizar las interrupciones operativas y agilizar la recuperación ayudan a
evitar pérdidas de rendimiento e impactos negativos en los ingresos. Detección y recuperación son aspectos
esenciales de esta materia.
Operaciones de la plataforma: Todos los entornos de TI contienen un conjunto de plataformas que se
emplean habitualmente. Estas plataformas pueden incluir almacenes de datos como SQL Server o Azure
HDInsight. Otras plataformas comunes pueden incluir soluciones de contenedores como Azure Kubernetes
Service (AKS). Con independencia de la plataforma, la madurez de las operaciones que se realizan en esta se
centra en personalizar las operaciones en función de cómo las cargas de trabajo implementan, configuran y
utilizan las plataformas habituales.
Operaciones con cargas de trabajo: En el nivel más alto de madurez operativa, los equipos de
operaciones en la nube pueden optimizar las operaciones de las cargas de trabajo críticas. Para esas cargas
de trabajo, los datos disponibles pueden ayudar a automatizar la corrección, el ajuste de tamaño o la
protección de las cargas de trabajo según su uso.
Instrucciones adicionales, como las que se incluyen en el Marco de buena arquitectura de Microsoft Azure,
pueden ayudar a tomar decisiones de arquitectura detalladas en relación con cada carga de trabajo de las
materias descritas anteriormente.
Esta sección de Cloud Adoption Framework se creará sobre cada uno de estos temas para ayudar a promover
operaciones en la nube maduras dentro de la organización.
Introducción sobre los servicios de administración
de servidores de Azure
06/03/2021 • 2 minutes to read • Edit Online
Los servicios de administración de servidores de Azure proporcionan una experiencia coherente para
administrar sus servidores a escala. Estos servicios abarcan los sistemas operativos Linux y Windows. Se
pueden usar en entornos de producción, desarrollo y pruebas. Los servicios de administración de servidores
pueden admitir máquinas virtuales IaaS de Azure, servidores físicos y máquinas virtuales hospedados de forma
local o en otros entornos de hospedaje.
El conjunto de servicios de administración de servidores de Azure incluye los servicios del siguiente diagrama:
En esta sección de Microsoft Cloud Adoption Framework se ofrece un plan preceptivo y viable para la
implementación de los servicios de administración de servidores en su entorno. Este plan le ayuda a orientarse
rápidamente en estos servicios y le guía a través de un conjunto progresivo de fases de administración para
entornos de todos los tamaños.
Para simplificar, se han clasificado las instrucciones en tres fases:
¿Por qué usar los servicios de administración de servidores de Azure?
Los servicios de administración de servidores de Azure ofrecen las siguientes ventajas:
Nativos de Azure: Los servicios de administración de servidores están integrados de forma nativa con
Azure Resource Manager. Estos servicios se mejoran continuamente para proporcionar funcionalidades y
características nuevas.
Windows y Linux: Las máquinas Windows y Linux obtienen la misma experiencia de administración
coherente.
Híbrido: Los servicios de administración de servidores abarcan máquinas virtuales IaaS de Azure, así como
servidores físicos y virtuales hospedados en el entorno local o en otros entornos de hospedaje.
Seguridad: Microsoft dedica bastantes recursos a todo lo que aporte seguridad. Esta inversión no solo
protege la infraestructura de Azure, sino que también extiende las tecnologías y conocimientos resultantes
para proteger los recursos de los clientes allá donde se encuentren.
Pasos siguientes
Familiarícese con las herramientas, servicios y planeamiento relacionados con la adopción del paquete de
administración de servidores de Azure.
Requisitos previos de herramientas y planeamiento
Fase 1: Planeamiento de los requisitos previos de los
servicios de administración de servidores de Azure
06/03/2021 • 13 minutes to read • Edit Online
En esta fase, se familiarizará con el conjunto de servicios de administración de servidores de Azure y planeará la
implementación de los recursos necesarios para implementar estas soluciones de administración.
Consideraciones de planeación
Al preparar las áreas de trabajo y las cuentas que necesita para incorporar los servicios de administración, tenga
en cuenta los siguientes problemas:
Zonas geográficas de Azure y cumplimiento normativo: Las regiones de Azure se organizan por
zonas geográficas. Una zona geográfica de Azure garantiza que se cumplan los requisitos de residencia,
soberanía, cumplimiento normativo y resistencia de los datos dentro de las fronteras geográficas. Si las
cargas de trabajo están sujetas a la soberanía de datos u otros requisitos de cumplimiento, las cuentas de
Azure Automation y el área de trabajo deben implementarse en regiones dentro de la misma ubicación
geográfica de Azure que los recursos de la carga de trabajo a los que corresponden.
Número de áreas de trabajo: Como regla general, cree el número mínimo de áreas de trabajo necesarias
por ubicación geográfica de Azure. Se recomienda al menos un área de trabajo para cada zona geográfica de
Azure donde se encuentren los recursos de proceso o almacenamiento. Esta alineación inicial ayuda a evitar
problemas normativos futuros al migrar datos a zonas geográficas diferentes.
Límite y retención de los datos: También es posible que deba tener en cuenta las directivas de retención
de datos o los requisitos de límite de datos al crear áreas de trabajo o cuentas de Azure Automation. Para
más información sobre los estos principios y las consideraciones adicionales que conlleva el planeamiento
de las áreas de trabajo, consulte Administración de los datos de registro y las áreas de trabajo en Azure
Monitor.
Asignación de región: solo se pueden vincular un área de trabajo de Log Analytics y una cuenta de Azure
Automation entre determinadas regiones de Azure. Por ejemplo, si el área de trabajo de Log Analytics se
hospeda en la región East US , la cuenta de Azure Automation vinculada se debe crear en la región
East US 2 para poder usarse con los servicios de administración. Si tiene una cuenta de Automation creada
en otra región, no podrá vincularla a un área de trabajo en East US . La elección de la región de
implementación puede afectar significativamente a los requisitos de zona geográfica de Azure. Consulte la
tabla de asignación de regiones para decidir qué región debe hospedar las áreas de trabajo y las cuentas de
Automation.
Hospedaje múltiple de áreas de trabajo: el agente de Azure Log Analytics admite el hospedaje múltiple
en algunos escenarios, pero se esta configuración presenta varias limitaciones y retos. A menos que
Microsoft lo recomiende para su escenario, no configure el host múltiple en el agente de Log Analytics.
NOTE
Al crear una cuenta de Automation mediante Azure Portal, el portal intenta de forma predeterminada crear cuentas de
ejecución para los recursos de Azure Resource Manager y del modelo de implementación clásica. Si no tiene máquinas
virtuales clásicas en su entorno y no es coadministrador de la suscripción, el portal crea una cuenta de ejecución para
Resource Manager pero genera un error al implementar la cuenta de ejecución clásica. Si no desea admitir recursos
clásicos, puede omitir este error.
También puede crear una cuenta de ejecución con PowerShell.
Pasos siguientes
Aprenda cómo incorporar sus servidores a los servicios de administración de servidores de Azure.
Incorporación a los servicios de administración de servidores de Azure
Fase 2: Incorporación a los servicios de
administración de servidores de Azure
06/03/2021 • 4 minutes to read • Edit Online
Una vez que esté familiarizado con las herramientas y el planeamiento implicados en los servicios de
administración de Azure, estará listo para la segunda fase. La segunda fase proporciona una guía paso a paso
para incorporar estos servicios para su uso con los recursos de Azure. Empiece por evaluar este proceso de
incorporación antes de adoptarlo ampliamente en su entorno.
NOTE
Los enfoques de automatización descritos en secciones posteriores de esta guía están destinados a implementaciones que
aún no tienen servidores implementados en la nube. Estos enfoques requieren que tenga el rol de propietario en una
suscripción para crear todos los recursos y directivas necesarios. Si ya ha creado áreas de trabajo de Log Analytics y de
cuenta de Automation, se recomienda que pase estos recursos en los parámetros adecuados al iniciar los scripts de
automatización de ejemplo.
Procesos de incorporación
En esta sección de la guía se tratan los siguientes procesos de incorporación tanto para máquinas virtuales de
Azure como para servidores locales:
Habilitar los ser vicios de administración en una única máquina vir tual para su evaluación con
el por tal. Utilice este proceso para familiarizarse con los servicios de administración de servidores de Azure.
Configuración de ser vicios de administración para una suscripción con el por tal. Este proceso le
ayuda a configurar el entorno de Azure para que las nuevas máquinas virtuales que se aprovisionan usen
automáticamente los servicios de administración. Use este enfoque si prefiere la experiencia de Azure Portal
a scripts y líneas de comandos.
Configuración de ser vicios de administración para una suscripción con Azure Automation. Este
proceso está totalmente automatizado. Solo tiene que crear una suscripción y los scripts configurarán el
entorno para usar los servicios de administración para cualquier VM que se haya aprovisionado
recientemente. Use este enfoque si está familiarizado con los scripts de PowerShell y las plantillas de Azure
Resource Manager, o si quiere aprender a usarlos.
Los procedimientos para cada uno de estos enfoques son diferentes.
NOTE
Cuando se usa Azure Portal, la secuencia de pasos de incorporación difiere de los pasos de incorporación automatizados.
El portal ofrece una experiencia de incorporación más sencilla.
Pasos siguientes
Obtenga información sobre cómo incorporar una única máquina virtual mediante el portal para evaluar el
proceso de incorporación.
Incorporación de una única máquina virtual de Azure para su evaluación
Habilitar los servicios de administración en una
única VM para su evaluación
06/03/2021 • 2 minutes to read • Edit Online
Obtenga información sobre cómo habilitar los servicios de administración en una única VM para su evaluación.
NOTE
Cree el área de trabajo de Log Analytics y la cuenta de Azure Automation necesarias antes de implementar servicios de
administración de Azure en una VM.
Recursos relacionados
Para obtener más información sobre cómo incorporar estas soluciones a VM individuales, consulte:
Incorporación de las soluciones Update Management y Seguimiento de cambios e inventario para una
máquina virtual de Azure
Incorporar Azure Monitor para VM
Pasos siguientes
Aprenda a usar Azure Policy para incorporar máquinas virtuales de Azure a escala.
Configuración de servicios de administración de Azure para una suscripción
Configuración de servicios de administración de
servidores de Azure a escala
24/04/2021 • 15 minutes to read • Edit Online
Debe completar estas dos tareas para incorporar los servicios de administración de servidores de Azure en sus
servidores:
Implementar los agentes de servicio en los servidores
Habilitar las soluciones de administración
En este artículo se tratan los siguientes tres procesos necesarios para realizar estas tareas:
1. Implementar los agentes necesarios en las VM de Azure mediante Azure Policy
2. Implementar los agentes necesarios en servidores locales
3. Habilitar y configurar las soluciones
NOTE
Cree el área de trabajo de Log Analytics y la cuenta de Azure Automation necesarias antes de incorporar máquinas
virtuales a los servicios de administración de servidores de Azure.
NOTE
Para más información sobre distintos agentes de supervisión de Azure, consulte Introducción a los agentes de supervisión
de Azure.
Asignación de directivas
Para asignar las directivas que se describen en la sección anterior:
1. En Azure Portal, vaya a Directiva > Asignaciones > Asignar iniciativa .
2. En la página Asignar directiva , seleccione los puntos suspensivos ( ... ) para establecer la opción
Ámbito y seleccione una suscripción o un grupo de administración. Opcionalmente, seleccione un grupo
de recursos. Luego elija Seleccionar en la parte inferior de la página Ámbito . El ámbito determina los
recursos o el grupo de recursos a los que se asigna la directiva.
3. Seleccione los puntos suspensivos ( ... ) que aparecen junto a Definición de directiva para abrir la lista
de definiciones disponibles. Para filtrar las definiciones de iniciativa, escriba Azure Monitor en el cuadro
de búsqueda :
En el caso de los servidores locales, debe descargar e instalar manualmente el agente de Log Analytics y
Microsoft Dependency Agent, y configurarlos para que se conecten al área de trabajo correcta. Debe especificar
el identificador del área de trabajo y la información de clave. Para obtener esa información, vaya al área de
trabajo de Log Analytics en Azure Portal y, a continuación, seleccione Configuración > Configuración
avanzada .
Heartbeat
| where AzureEnvironment=~"Azure" or Computer in~ ("list of the on-premises server
names", "server1")
| distinct Computer
NOTE
El nombre del servidor debe coincidir exactamente con el valor de la expresión y no debe contener ningún sufijo de
nombre de dominio.
Pasos siguientes
Aprenda a usar la automatización para incorporar servidores y crear alertas.
Automatización de la incorporación y configuración de alertas
Automatizar la incorporación
06/03/2021 • 4 minutes to read • Edit Online
Pasos siguientes
Aprenda a configurar alertas básicas para informar al equipo de problemas y eventos de administración
esenciales.
Configuración de alertas básicas
Configuración de alertas básicas
06/03/2021 • 3 minutes to read • Edit Online
Pasos siguientes
Obtenga información sobre las operaciones y los mecanismos de seguridad que admiten las operaciones en
curso.
Administración y seguridad en curso
Fase 3: Administración y seguridad en curso
06/03/2021 • 2 minutes to read • Edit Online
Una vez que haya incorporado los servicios de administración de servidores de Azure, deberá centrarse en las
configuraciones de operaciones y seguridad en las que se basarán las operaciones en curso. Empezaremos
echando un vistazo a Azure Security Center para proteger el entorno. Después, configuraremos directivas para
mantener el cumplimiento de los servidores y automatizar las tareas comunes. En esta sección se describen los
temas siguientes:
Recomendaciones de seguridad: Azure Security Center ofrece sugerencias para mejorar la seguridad del
entorno. Si sigue estas recomendaciones, podrá ver su impacto reflejado en una puntuación de seguridad.
Habilitar la directiva Configuración de invitado: Use la característica Configuración de invitado de Azure
Policy para auditar la configuración de una máquina virtual. Por ejemplo, puede comprobar si los certificados
están a punto de expirar.
Realizar un seguimiento de los cambios críticos y alertar sobre ellos: Cuando está solucionando un problema,
la primera pregunta que debe hacerse es: "¿qué ha cambiado?" En este artículo, aprenderá a realizar un
seguimiento de los cambios y crear alertas para supervisar de forma proactiva los componentes críticos.
Creación de programaciones de actualizaciones: Programe la instalación de actualizaciones para asegurarse
de que todos los servidores tengan las más recientes.
Ejemplos comunes de Azure Policy: Este artículo proporciona ejemplos de directivas de administración
comunes.
Recomendaciones de seguridad
Azure Security Center es el lugar central para administrar la seguridad de su entorno. Allí encontrará una
evaluación general y recomendaciones específicas.
Se recomienda revisar e implementar las recomendaciones proporcionadas por este servicio. Para más
información sobre las ventajas adicionales de Azure Security Center, vea Seguir las recomendaciones de Azure
Security Center.
Pasos siguientes
Obtenga información sobre cómo habilitar la característica Configuración de invitado de Azure Policy.
Directivas de configuración de invitado
Azure Policy: extensión de configuración de invitado
06/03/2021 • 2 minutes to read • Edit Online
La extensión Configuración de invitado de Azure Policy se puede usar para auditar la configuración en una
máquina virtual. Configuración de invitado solo se admite de momento en máquinas virtuales de Azure.
Para encontrar la lista de directivas de configuración de invitado, busque la categoría Configuración de
invitado en la página del portal de Azure Policy o ejecute este cmdlet en una ventana de PowerShell para
buscar la lista:
NOTE
La funcionalidad de configuración de invitado se actualiza periódicamente para admitir conjuntos de directivas adicionales.
Compruebe periódicamente si hay nuevas directivas admitidas y evalúe si le resultarán útiles.
Implementación
Utilice el siguiente script de ejemplo de PowerShell para implementar estas directivas para llevar a cabo lo
siguiente:
Compruebe que la configuración de seguridad de las contraseñas en equipos Windows y Linux está
establecida correctamente.
Compruebe que los certificados no están próximos a expirar en máquinas virtuales Windows.
Antes de ejecutar este script, utilice el cmdlet Connect-AzAccount para iniciar sesión. Al ejecutar el script, debe
proporcionar el nombre de la suscripción a la que quiere aplicar las directivas.
param (
[Parameter(Mandatory=$true)]
[string] $SubscriptionName
)
New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not
expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location
eastus
Pasos siguientes
Aprenda a Habilitar el seguimiento y las alertas de los cambios críticos de archivos, servicios, software y el
registro.
Habilitar el seguimiento y las alertas de los cambios críticos
Habilitar el seguimiento y las alertas de los cambios
críticos
06/03/2021 • 6 minutes to read • Edit Online
Azure Change Tracking e Inventario proporciona alertas sobre el estado de configuración de su entorno híbrido
y los cambios que se realizan en ese entorno. Puede notificar los cambios críticos en los archivos, los servicios,
el software y el Registro que pueden afectar a los servidores implementados.
De forma predeterminada, el servicio de inventario de Azure Automation no supervisa la configuración del
Registro o los archivos. La solución proporciona una lista de las claves del Registro que se recomienda
supervisar. Para ver esta lista, vaya a la cuenta de Azure Automation en Azure Portal y seleccione Inventario >
Editar configuración .
Para más información sobre cada una de las claves del Registro, consulte Seguimiento de cambios en las claves
del Registro. Seleccione cualquier clave que desee evaluar y, a continuación, habilítela. La configuración se aplica
a todas las VM que están habilitadas en el área de trabajo actual.
También puede usar el servicio para realizar un seguimiento de los cambios críticos en los archivos. Por ejemplo,
puede que desee realizar el seguimiento del archivo C:\windows\system32\drivers\etc\hosts porque el sistema
operativo lo usa para asignar nombres de host a direcciones IP. Los cambios en este archivo podrían provocar
problemas de conectividad o redirigir el tráfico a sitios web peligrosos.
Para habilitar el seguimiento del contenido del archivo de hosts, siga los pasos descritos en Habilitación del
seguimiento del contenido de los archivos.
También puede agregar una alerta para los cambios realizados en los archivos de los que está realizando el
seguimiento. Por ejemplo, suponga que desea establecer una alerta para los cambios realizados en el archivo de
hosts. Para hacerlo, seleccione Log Analytics en la barra de comandos o en la búsqueda de registros del
área de trabajo de Log Analytics vinculada. En Log Analytics, use la siguiente consulta para buscar cambios en el
archivo de hosts:
Esta consulta busca cambios en el contenido de los archivos que tienen una ruta de acceso que contiene la
palabra "hosts". También puede buscar un archivo específico cambiando el parámetro de ruta de acceso. (Por
ejemplo, FileSystemPath == "c:\\windows\\system32\\drivers\\etc\\hosts" ).
Después de que la consulta devuelva los resultados, seleccione Nueva regla de aler tas para abrir el editor de
reglas de alertas. También puede acceder a este editor mediante Azure Monitor en Azure Portal.
En el editor de reglas de alertas, revise la consulta y cambie la lógica de la alerta si es necesario. En este caso,
queremos que se genere la alerta si se detectan cambios en cualquier máquina del entorno.
Después de establecer la lógica de la condición, puede asignar grupos de acciones para realizar acciones como
respuesta a la alerta. En este ejemplo, cuando se genera la alerta, se envían mensajes de correo electrónico y se
crea un vale de ITSM. Se pueden realizar muchas otras acciones útiles, como desencadenar una función de
Azure, un runbook de Azure Automation, un webhook o una aplicación lógica.
Una vez configurados todos los parámetros y la lógica, aplique la alerta al entorno.
Ejemplos de alertas y seguimiento
En esta sección se muestran otros escenarios habituales de seguimiento y alertas que puede utilizar.
Archivo de controlador modificado
Utilice la consulta siguiente para detectar si se modifican, agregan o quitan archivos de controlador. Resulta útil
para el seguimiento de cambios en archivos críticos del sistema.
Pasos siguientes
Obtenga información acerca de cómo Azure Automation puede crear programaciones de actualizaciones para
administrar las actualizaciones de los servidores.
Creación de programaciones de actualizaciones
Creación de programaciones de actualizaciones
06/03/2021 • 3 minutes to read • Edit Online
Puede administrar las programaciones de actualizaciones mediante Azure Portal o con los nuevos módulos de
cmdlet de PowerShell.
Para crear una programación de actualización mediante Azure Portal, consulte Programación de una
implementación de actualizaciones.
El módulo Az.Automation ahora admite la configuración de la administración de actualizaciones mediante Azure
PowerShell. El cmdlet New-AzAutomationUpdateManagementAzureQuery permite usar etiquetas, ubicaciones y
búsquedas guardadas para configurar programaciones de actualizaciones para un grupo flexible de máquinas.
Script de ejemplo
En el script de ejemplo de esta sección se muestra el uso del etiquetado y la consulta para crear grupos
dinámicos de máquinas en los que se pueden aplicar programaciones de actualización. Realiza las siguientes
acciones. Puede hacer referencia a las implementaciones de acciones específicas cuando cree sus propios
scripts.
Crea una programación de actualización de Azure Automation que se ejecuta todos los sábados a las
8:00 a. m.
Crea una consulta para todos los equipos que coinciden con estos criterios:
Se ha implementado en las ubicaciones de Azure westus , eastus o eastus2 .
Tiene aplicada una etiqueta Owner con un valor establecido en JaneSmith .
Tiene aplicada una etiqueta Production con un valor establecido en true .
Aplica la programación de actualización a las máquinas consultadas y establece una ventana de actualización
de dos horas.
Antes de ejecutar este script de ejemplo, debe iniciar sesión con el cmdlet Connect-AzAccount. Cuando inicie el
script, proporcione la siguiente información:
Identificador de la suscripción de destino
Grupo de recursos de destino
Nombre del área de trabajo de Log Analytics
Nombre de la cuenta de Azure Automation
<#
.SYNOPSIS
This script orchestrates the deployment of the solutions and the agents.
.Parameter SubscriptionName
.Parameter WorkspaceName
.Parameter AutomationAccountName
.Parameter ResourceGroupName
#>
param (
[Parameter(Mandatory=$true)]
[string] $SubscriptionId,
[Parameter(Mandatory=$true)]
[string] $ResourceGroupName,
[Parameter(Mandatory=$true)]
[string] $WorkspaceName,
[Parameter(Mandatory=$true)]
[string] $AutomationAccountName,
[Parameter(Mandatory=$false)]
[string] $scheduleName = "SaturdayCriticalSecurity"
)
Import-Module Az.Automation
$startTime = ([DateTime]::Now).AddMinutes(10)
$schedule = New-AzAutomationSchedule -ResourceGroupName $ResourceGroupName `
-AutomationAccountName $AutomationAccountName `
-StartTime $startTime `
-Name $scheduleName `
-Description "Saturday patches" `
-DaysOfWeek Saturday `
-WeekInterval 1 `
-ForUpdateConfiguration
$queryScope = @("/subscriptions/$SubscriptionID/resourceGroups/")
$AzureQueries = @($DGQuery)
Pasos siguientes
Consulte ejemplos de cómo implementar directivas comunes en Azure que pueden ayudar a administrar los
servidores.
Directivas habituales en Azure
Ejemplos comunes de Azure Policy
06/03/2021 • 5 minutes to read • Edit Online
Azure Policy permite aplicar la gobernanza a los recursos en la nube. Con este servicio es más fácil crear
barreras que garanticen que toda la compañía cumple los requisitos de la directiva de gobierno. Para crear
directivas, use los cmdlets de PowerShell o Azure Portal. En este artículo se proporcionan ejemplos de cmdlets
de PowerShell.
NOTE
Con Azure Policy, las directivas de cumplimiento ( DeployIfNotExists ) no se implementan automáticamente en las
máquinas virtuales existentes. Se debe corregir para mantener el cumplimiento de las VM. Para más información, vea
Corregir los recursos no conformes con Azure Policy.
El siguiente script muestra cómo asignar la directiva. Cambie el valor de $SubscriptionID para que apunte a la
suscripción a la que quiere asignar la directiva. Antes de ejecutar el script, utilice el cmdlet Connect-AzAccount
para iniciar sesión.
# Replace the -Name GUID with the policy GUID you want to assign.
Puede usar este mismo script para aplicar las otras directivas que se describen en este artículo. Solo tiene que
reemplazar el GUID de la línea que establece $AllowedLocationPolicy con el GUID de la directiva que quiere
aplicar.
Bloquear determinados tipos de recursos
Otra directiva integrada común que se usa para controlar los costos también se puede utilizar para bloquear
determinados tipos de recursos.
Para encontrar esta directiva en el portal, busque "tipos de recursos permitidos" en la página de definición de
directivas. O bien, ejecute este cmdlet para encontrar la directiva:
Después de identificar la directiva que quiere usar, puede modificar el ejemplo de PowerShell en la sección
Restringir regiones de recursos para asignar la directiva.
Restringir tamaño de máquina virtual
Azure ofrece una amplia gama de tamaños de VM para admitir distintas cargas de trabajo. Para controlar el
presupuesto, puede crear una directiva que permita solamente un subconjunto de tamaños de máquina virtual
en las suscripciones.
Implementar antimalware
Esta directiva se puede usar para implementar una extensión de Microsoft Antimalware con una configuración
predeterminada en las máquinas virtuales que no están protegidas por antimalware.
El GUID de la directiva es 2835b622-407b-4114-9198-6f7064cbe0dc .
El siguiente script muestra cómo asignar la directiva. Para usar el script, cambie el valor de $SubscriptionID
para que apunte a la suscripción a la que quiere asignar la directiva. Antes de ejecutar el script, utilice el cmdlet
Connect-AzAccount para iniciar sesión.
# Replace location "eastus" with the value that you want to use.
Pasos siguientes
Obtenga información sobre otros servicios y herramientas de administración de servidores que hay disponibles.
Servicios y herramientas de administración de servidores de Azure
Servicios y herramientas de administración de
servidores de Azure
06/03/2021 • 10 minutes to read • Edit Online
Migrar
Los servicios de migración pueden ayudarle a migrar sus cargas de trabajo a Azure. Para proporcionar la mejor
orientación, el servicio Azure Migrate comienza midiendo el rendimiento del servidor local y evaluando la
idoneidad para la migración. Una vez que Azure Migrate completa la evaluación, puede usar Azure Site
Recovery y Azure Database Migration Service para migrar las máquinas locales a Azure.
Seguridad
Azure Security Center es una aplicación de administración de seguridad completa. Al incorporarse a Security
Center, puede obtener rápidamente una evaluación de la seguridad y el estado de cumplimiento normativo de
su entorno. Para obtener instrucciones sobre la incorporación de los servidores a Azure Security Center, consulte
Configuración de los servicios de administración de Azure para una suscripción.
Protección
Para proteger los datos, debe planear la copia de seguridad, la alta disponibilidad, el cifrado, la autorización y los
problemas operativos relacionados. Estos temas se tratan ampliamente en línea, por lo que aquí nos
centraremos en la creación de un plan de continuidad empresarial y recuperación ante desastres (BCDR).
Incluiremos referencias a la documentación que describe en detalle cómo implementar este tipo de plan.
Al crear estrategias de protección de datos, considere la posibilidad de desglosar las aplicaciones de carga de
trabajo en sus distintos niveles. Este enfoque resulta útil porque cada nivel suele requerir su propio plan de
protección único. Para obtener más información sobre el diseño de las aplicaciones para que sean resistentes,
consulte Diseño de aplicaciones resistentes para Azure.
La protección de datos más básica es la copia de seguridad. Para acelerar el proceso de recuperación en caso de
pérdida de servidores, debe realizar una copia de seguridad no solo de los datos sino también de las
configuraciones de servidor. La copia de seguridad es un mecanismo eficaz para controlar la eliminación
accidental de datos y los ataques de ransomware. Azure Backup puede ayudarle a proteger los datos en Azure y
en los servidores locales que ejecutan Windows o Linux. Para más información sobre las funcionalidades de
Azure Backup y guías paso a paso, consulte la información general del servicio Azure Backup.
Si una carga de trabajo requiere continuidad empresarial en tiempo real ante errores de hardware o una
interrupción del centro de datos, considere la posibilidad de usar la replicación de datos. Azure Site Recovery
proporciona una replicación continua de las máquinas virtuales, una solución que proporciona una pérdida
mínima de datos. Site Recovery también admite varios escenarios de replicación, como los siguientes:
Replicación de VM de Azure entre dos regiones de Azure.
Replicación entre servidores locales.
Replicación entre servidores locales y Azure.
Para más información, consulte la matriz completa de replicación de Azure Site Recovery.
En el caso de los datos del servidor de archivos, otro servicio que se puede tener en cuenta es Azure File Sync.
Este servicio le ayuda a centralizar los recursos compartidos de archivos de su organización en Azure Files sin
renunciar a la flexibilidad, el rendimiento y la compatibilidad de un servidor de archivos local. Para usar este
servicio, siga las instrucciones para implementar Azure File Sync.
Supervisión
Azure Monitor proporciona una vista de varios recursos, como aplicaciones, contenedores y máquinas virtuales.
También recopila datos de varios orígenes:
Azure Monitor para VM proporciona una visión detallada del estado, las tendencias de rendimiento y las
dependencias de las máquinas virtuales. El servicio supervisa el estado del sistema operativo de las
máquinas virtuales de Azure, los conjuntos de escalado de máquinas virtuales y las máquinas en el entorno
local.
Log Analytics es una característica de Azure Monitor. Su rol es fundamental para la función global de
administración de Azure. Sirve como almacén de datos para el análisis de registros y para muchos otros
servicios de Azure. Ofrece un lenguaje de consulta completo y un motor de análisis que proporciona
información sobre el funcionamiento de las aplicaciones y los recursos.
El registro de actividad de Azure es también una característica de Azure Monitor. Proporciona información
sobre los eventos de nivel de suscripción que se producen en Azure.
Configuración
En esta categoría se ajustan varios servicios. Pueden ayudarle a:
Automatizar las tareas de las operaciones.
Administrar las configuraciones del servidor.
Medir el cumplimiento de las actualizaciones.
Programar actualizaciones.
Detectar cambios en los servidores.
Estos servicios son esenciales para la compatibilidad con las operaciones en curso:
Update Management automatiza la implementación de revisiones en el entorno, incluida la implementación
en instancias del sistema operativo que se ejecutan fuera de Azure. Es compatible con sistemas operativos
Windows y Linux, y realiza un seguimiento de las vulnerabilidades clave del sistema operativo y el
incumplimiento provocados por la falta de revisiones.
Change Tracking e Inventario proporciona información sobre el software que se ejecuta en el entorno y
resalta los cambios que se han producido.
Azure Automation permite ejecutar scripts o runbooks de Python y PowerShell para automatizar las tareas
en el entorno. Cuando se usa Azure Automation con Hybrid Runbook Worker, también se pueden ampliar los
runbooks a los recursos locales.
Azure Automation State Configuration permite insertar configuraciones de Desired State Configuration
(DSC) de PowerShell directamente desde Azure. DSC también permite supervisar y conservar las
configuraciones de las cargas de trabajo y los sistemas operativos invitados.
Control
La adopción y la migración a la nube crean nuevos desafíos de administración. Requieren una mentalidad
diferente a medida que pasa de una carga de administración operativa a la supervisión y la gobernanza. Cloud
Adoption Framework comienza con la gobernanza. El marco explica cómo migrar a la nube, cómo será el
recorrido y quién debe estar implicado.
El diseño de la gobernanza para organizaciones estándar es, a menudo, diferente del de las empresas complejas.
Para más información sobre los procedimientos recomendados de gobernanza para una organización estándar,
consulte la Guía de gobernanza para empresas estándar. Para más información sobre los procedimientos
recomendados de gobernanza para una empresa compleja, consulte la Guía de gobernanza para empresas
complejas.
Información de facturación
Para obtener información sobre los precios de los servicios de administración de Azure, vaya a estas páginas:
Azure Site Recovery
Azure Backup
Azure Monitor
Azure Security Center
Azure Automation, que incluye:
Configuración de estado deseado
Solución Update Management
Solución Seguimiento de cambios e inventario
Azure Policy
Azure File Sync
NOTE
La solución Azure Update Management es gratuita, pero hay un pequeño costo relacionado con la ingesta de datos.
Como regla general, los primeros 5 gigabytes (GB) al mes de ingesta de datos son gratuitos. Hemos observado que
habitualmente cada equipo usa unos 25 MB al mes. Por lo tanto, se incluyen de forma gratuita 200 máquinas al mes. Para
aumentar el número de servidores, multiplique el número de servidores adicionales por 25 MB al mes. A continuación,
multiplique el resultado por el precio del almacenamiento adicional que necesita. Para más información sobre los costos,
consulte Precios de Azure Storage. Cada servidor adicional suele tener un impacto nominal en el costo.
Guía sobre la supervisión en la nube: Introducción
25/03/2021 • 6 minutes to read • Edit Online
La nube cambia fundamentalmente el modo en que las empresas adquieren y usan los recursos tecnológicos.
En el pasado, las empresas asumían la propiedad y responsabilidad en todos los niveles de tecnología desde la
infraestructura al software. Ahora, la nube ofrece a las empresas la posibilidad de aprovisionar y consumir
recursos según sea necesario.
Aunque la nube ofrece una flexibilidad prácticamente ilimitada en términos de opciones de diseño, las empresas
buscan una metodología probada y coherente para la adopción de tecnologías en la nube. Cada empresa tiene
objetivos y escalas de tiempo diferentes para la adopción de la nube, lo cual hace que sea casi imposible
encontrar un único enfoque de adopción.
Esta transformación digital también permite una oportunidad de modernizar la infraestructura, las cargas de
trabajo y las aplicaciones. Según la estrategia empresarial y los objetivos, la adopción de un modelo de nube
híbrida forma, probablemente, parte del proceso de transición de la migración desde un entorno local al
funcionamiento completo en la nube. Durante este proceso, los equipos de TI se enfrentan al desafío de adoptar
y obtener un valor rápido de la nube. El personal de TI también debe saber cómo supervisar con eficacia la
aplicación o el servicio que se van a migrar a Azure y seguir ofreciendo DevOps y operaciones de TI eficaces.
Las partes interesadas quieren usar herramientas de supervisión y administración de software como servicio
(SaaS) basadas en la nube. Necesitan comprender lo que los servicios y las soluciones ofrecen para lograr una
visibilidad de un extremo a otro, reducir costos y prestar una menor atención a la infraestructura y el
mantenimiento de las herramientas operativas tradicionales de TI basadas en software.
Sin embargo, el equipo de TI suele preferir utilizar las herramientas en las que ya ha realizado una inversión
importante. Este enfoque permite que sus procesos de operaciones de servicio supervisen ambos modelos de
nube, con el objetivo final de realizar la transición a una oferta basada en SaaS. El departamento de TI prefiere
este enfoque no solo porque el planeamiento, los recursos y la financiación del cambio requiere bastante
tiempo. También existe confusión sobre qué productos o servicios de Azure son apropiados o aplicables para
conseguir la transición.
El objetivo de esta guía es proporcionar una referencia detallada para ayudar a los administradores
empresariales de tecnologías de TI, a los responsables de toma de decisiones empresariales y a los arquitectos y
desarrolladores de aplicaciones a comprender:
Las plataformas de supervisión, con información general y una comparación de sus funcionalidades.
La solución que mejor se adapta a la supervisión de cargas de trabajo híbridas, privadas y nativas de Azure.
El enfoque de supervisión de un extremo a otro recomendado tanto para la infraestructura como para las
aplicaciones. Este enfoque incluye soluciones que se pueden implementar para migrar estas cargas de
trabajo comunes a Azure.
Esta no es una guía paso a paso de uso o configuración de servicios y soluciones individuales de Azure, pero
hace referencia a esas fuentes si son aplicables o están disponibles. Después de leerla, comprenderá cómo usar
correctamente una carga de trabajo siguiendo unos procedimientos y patrones recomendados.
Si no está familiarizado con Azure Monitor y System Center Operations Manager, y desea descubrir qué es lo
que los hace únicos y cómo compararlos entre sí, revise Introducción a las plataformas de supervisión.
Público
Esta guía resulta especialmente útil para administradores de empresas, operaciones de TI, seguridad y
cumplimiento de TI, arquitectos de aplicaciones, propietarios del desarrollo de cargas de trabajo y propietarios
de operaciones con estas.
Productos y servicios
Hay software y servicios disponibles para ayudarle a supervisar y administrar los diversos recursos hospedados
en Azure, en la red corporativa o en otros proveedores de nube. Son las siguientes:
System Center Operations Manager
Azure Monitor (incluye Log Analytics y Application Insights)
Azure Policy y Azure Blueprints
Azure Arc
Azure Automation
Azure Logic Apps
Azure Event Hubs
En esta primera versión de la guía se describen nuestras plataformas de supervisión actuales: Azure Monitor y
System Center Operations Manager. También se describe la estrategia recomendada para supervisar cada uno
de los modelos de implementación en la nube. También se incluye el primer conjunto de recomendaciones de
supervisión, que comienza con la recopilación de datos, la observabilidad y la generación de alertas.
Pasos siguientes
Estrategia de supervisión para modelos de implementación en la nube
Guía sobre la supervisión en la nube: estrategia de
supervisión para los modelos de implementación en
la nube
24/04/2021 • 38 minutes to read • Edit Online
En este artículo se incluye la estrategia de supervisión recomendada para cada uno de los modelos de
implementación en la nube, según los criterios siguientes:
Es necesario mantener el compromiso con Operations Manager u otra plataforma de supervisión
empresarial porque está integrado con los procesos, conocimientos y experiencia de las operaciones de TI, o
porque aún no está disponible una cierta funcionalidad en Azure Monitor.
Tiene que supervisar las cargas de trabajo tanto en el entorno local como en la nube pública, o solo en la
nube.
La estrategia de migración a la nube incluye modernizar las operaciones de TI y trasladarse a nuestros
servicios y soluciones de supervisión en la nube.
Es posible que cuente con sistemas críticos que no tienen una conexión física o que están aislados
físicamente, hospedados en una nube privada o en hardware físico, y que sea necesario supervisarlos.
Nuestra estrategia incluye compatibilidad con la supervisión de los recursos de infraestructura (cargas de
trabajo de proceso, almacenamiento y servidor), aplicación (usuario final, excepciones y cliente) y red. Esto
ofrece una perspectiva completa de supervisión orientada a servicios.
Application Una aplicación basada en la Supervisa una aplicación Application Insights (una
Web que se ejecuta en la web activa para detectar característica de Azure
plataforma .NET, .NET Core, automáticamente anomalías Monitor).
Java, JavaScript y Node.js en de rendimiento, identificar
una máquina virtual de problemas y excepciones de
Azure, Azure App Service, código, y recopilar análisis
Azure Service Fabric, Azure de comportamiento del
Functions y Azure Cloud usuario.
Services.
Requisitos de infraestructura No Sí
Prueba de disponibilidad de la No Sí
aplicación web (distribuida
globalmente)
Aunque actualmente no se
proporciona ninguna supervisión
nativa de Azure Service Health
mediante un módulo de
administración, puede crear flujos de
trabajo personalizados para consultar
las alertas de Service Health. Use la
API de REST de Azure para obtener
alertas a través de las notificaciones
existentes.
Supervisión de aplicaciones web Sí, la limitación varía según el SDK Sí, limitada
heredadas
Admite la supervisión de versiones
anteriores de aplicaciones web de Java
y .NET.
Supervisión de contenedores de Sí No
Docker o Windows
Admite comprobaciones de
disponibilidad y recopila estadísticas
básicas de los dispositivos de red
mediante el protocolo simple de
administración de redes (SNMP) de la
red corporativa.
Pasos siguientes
Recopilación de los datos adecuados
Guía de supervisión en la nube: observabilidad
24/04/2021 • 40 minutes to read • Edit Online
Este artículo está pensado para ayudar a las organizaciones a implementar una estrategia de supervisión
coherente de forma más rápida, ya que garantiza que la observabilidad se establezca en la zona de aterrizaje de
Azure (es decir, en cada producto mínimo viable) para cada solución de supervisión.
Como planificador, debe formular un plan de supervisión para un servicio e incluir algunos objetivos de
supervisión. Uno de los objetivos que se recomienda establecer, es que los consumidores de la supervisión
lleguen lo antes posible a un nivel de comodidad o confianza con la solución que está planeando. A
continuación, puede trabajar con otros objetivos, como la creación de informes y de paneles personalizados.
Llamamos a este proceso adopción.
El objetivo de este artículo es aplicar las recomendaciones de la estrategia de supervisión para crear un plan de
supervisión que consiga el objetivo de modernizar y desarrollar la estrategia de operaciones de TI de la
organización. El segundo objetivo es impulsar la madurez operativa; para ello, debemos estar constantemente
atentos a los detalles y la iteración para mejorar el modo en que se supervisan esos servicios.
NOTE
En este artículo, una solución de supervisión es la unidad de producción que realiza la supervisión de un servicio en la
nube y un destino de supervisión es el servicio o aquello que se está supervisando. Una solución abarca todos los
aspectos de la supervisión: la herramienta, los datos de supervisión, las alertas, el tipo de respuesta, las acciones de
recuperación, el tipo de visualización, el acceso basado en roles, etc.
NOTE
Este es el enfoque opuesto al que se utilizaba en el pasado, cuando los equipos trabajaban para definir todos los
requisitos de supervisión primero en papel, antes de la compilación, prueba e implementación.
Tanto si el plan (es decir, el objetivo) tiene como destino un tipo de recurso de Azure, como Key Vault, un grupo
de recursos completo o incluso de Microsoft 365 Exchange Online, el primer paso es establecer la
observabilidad.
Este enfoque también simplifica los planes. En todos los casos, la visibilidad total significa lograr y mantener la
visibilidad suficiente en tres dimensiones o aspectos:
Supervisión detallada
Supervisión en amplitud
Supervisión en el modelo de estado
Estar atentos a los detalles no es solo un enfoque de TI; recuerde que el objetivo es garantizar que los usuarios
finales pueden consumir el producto y que se cumplan las expectativas empresariales. Por supuesto, no puede
supervisar lo que no conoce y, como resultado, no podrá ofrecer el nivel de disponibilidad del servicio
prometido a la empresa. Antes de la llegada de la informática en la nube, Microsoft destacaba el análisis del
modo de error durante el desarrollo y el diseño de aplicaciones. El análisis del modo de error ayudó a los
desarrolladores a determinar cómo y cuándo podrían producirse errores de lógica u otros errores críticos en el
código. Asimismo, cuando se obtenían esos errores, se podía exponer la condición de forma significativa para
permitir que la herramienta de supervisión no solo la detectara y actuara en ella, sino que también se ofrecía a
los desarrolladores, operadores o ingenieros del sistema información útil para comprender mejor el
comportamiento de las aplicaciones y tomar decisiones controladas en función de los datos. En la actualidad, la
instancia de Cloud Adoption Framework recomienda seguir ese proceso como parte de las fases de diseño y
arquitectura para compilar la recuperación de los servicios de Azure en el diseño.
En pocas palabras, esta es la observabilidad que quiere, al principio y en el producto mínimo viable.
Disciplinas de supervisión
En la ilustración siguiente se muestra la disciplina de observación a la izquierda y, más adelante en esta sección,
se explica cómo Microsoft Azure desempeña un rol central en ella.
Observabilidad y respuesta
La obser vabilidad es un indicador cualitativo de que una solución de supervisión ayuda al consumidor de
supervisión a lograr el nivel de control satisfactorio de un servicio definido. Asimismo, la supervisión
proporciona a los consumidores del servicio una gama adecuada de capacidades y perspectivas de supervisión.
La respuesta es la capacidad de la organización de determinar rápidamente la importancia de los datos de
supervisión observados (eventos detectados, patrones de telemetría, información correlacionada, etc.), de modo
que pueda restaurar o corregir rápidamente los eventos negativos. En el caso de los eventos positivos o los
eventos informativos, pueden ayudarle a mantener los acuerdos de servicio, mejorar la confiabilidad y reducir
los costos de soporte técnico. Los eventos se producen dinámicamente en el sistema o en el servicio, donde las
soluciones de supervisión proporcionan alertas, controlan la automatización de los bucles y notifican incidentes,
problemas o cambios en un sistema externo de administración de servicios de TI (ITSM). Observe que muchos
eventos no se pueden o no se deben corregir automáticamente.
Utilidad: en este sentido, la observabilidad (y respuesta) está relacionada con el uso operativo o la utilidad de la
solución de supervisión. Azure Monitor proporciona a Microsoft la perspectiva de nuestros recursos de servicio
y ofrece funcionalidades similares a las de un sistema de supervisión local. Una solución de supervisión necesita
visualizaciones; por ejemplo, paneles y libros con acceso basado en roles.
La responsabilidad es el elemento que comparten el cliente del servicio y el recurso compartido del
proveedor de servicios para poder aprender y mejorar en función de ciertos datos. Como tal, debe comprender
la responsabilidad del proveedor de la nube en comparación con la responsabilidad del cliente o del
consumidor. Para cada recurso de Azure, obtiene perspectivas basadas en registros o métricas; estos datos se
pueden representar en paneles específicos de recursos o visualizaciones personalizadas en función de sus
requisitos y compartirlos con los roles necesarios de la organización.
NOTE
La observabilidad es una propiedad de un sistema, que se deriva de la teoría de control del sistema. Es una medida de lo
bien que se pueden inferir los estados internos de un sistema a partir de las salidas externas del mismo junto con la
controlabilidad, otra propiedad de un sistema. Además, con el tiempo, un observador estatal mide o calcula el estado de
mantenimiento del sistema gracias al sistema dinámico. En cambio, en términos modernos de administración de servicios,
debe consultar la sección Super visión y control del ser vicio de Microsoft Operations Framework (MOF), y el bucle de
super visión y control de la biblioteca de Infraestructuras de tecnologías de la información (ITIL) v3.
Antes de entrar en detalles sobre la observabilidad, es necesario resaltar varios términos relacionados con la
supervisión que vamos a usar:
Recurso: son recursos digitales como el contenido de recursos compartidos de archivos, hardware y
recursos de software que también se denominan destinos.
Enfoque: es el ámbito para lograr los objetivos; esto es, si es estrecho, amplio, un componente único, la
clase de componente, la agrupación de componentes y el servicio.
Aspecto: son perspectivas, como la de usuario, de la empresa, del propietario del servicio, etc.
Cober tura: es el indicador de visibilidad y de objetivo, para asegurarse de que todos los recursos
pertinentes se incluyen en el ámbito de supervisión.
Capacidad de administración: es la medida en que un recurso digital se puede controlar, reparar
automáticamente y relacionar con el riesgo de cambios y los grupos de acciones que diagnostican o
corrigen elementos automáticamente.
Origen de datos: son los datos de supervisión de la ubicación principal que proceden de, por ejemplo,
una cuenta de almacenamiento de Azure, Azure Active Directory, orígenes personalizados, etc.
Frecuencia: es la supervisión continua frente a la ocasional.
Plan de supervisión
Puede crear un plan de supervisión para describir los objetivos, los requisitos y otros detalles importantes. A
continuación, solicite un acuerdo entre todas las partes interesadas pertinentes de la organización. Un plan de
supervisión debe explicar cómo desarrollar y usar una o varias soluciones de supervisión. Comience a
desarrollar los planes de supervisión antes de la estrategia y las fases de planeación del proyecto.
Al crear el plan, es importante tener en cuenta las cinco disciplinas de supervisión moderna: observar, medir,
responder, aprender y mejorar.
A continuación se proporciona un esquema recomendado y se enumeran las principales consideraciones para
crear un plan individual para los servicios o cuando se estandarizan las características del servicio en la nube,
como los tipos de recursos de Azure o los servicios de Microsoft 365. La esencia del plan es definir la línea de
visibilidad entre el proveedor de servicios (que hará las soluciones de campo) y los consumidores (que
funcionarán o derivarán el valor).
También es importante incluir la programación que hace referencia a cuándo (y cómo), para obtener el enfoque
de administración del trabajo (por ejemplo, DevOps frente a cascada).
Perspectiva empresarial
Un plan de supervisión completo debe tener en cuenta las necesidades empresariales con respecto a la
supervisión, y esto debe incluir un enfoque centrado en el usuario. Al definir el plan, es importante documentar
y compartir los requisitos empresariales y las opciones siguientes sugieren el ámbito de esta parte del plan.
Partes interesadas y consumidores
Flujos y procesos de valor empresarial
Perspectiva y utilidad del usuario final
Requisitos de medición e informes
Riesgos identificados y marcos de control de cumplimiento
Requisitos de control y acceso
Riesgo para la empresa
Perspectiva del servicio
Un plan de supervisión completo debe tener en cuenta lo que los propietarios de servicios necesitan con y
desde la supervisión. Al definir el plan, es importante documentar y compartir sus requisitos y las opciones
siguientes sugieren el ámbito de esta parte del plan.
Partes interesadas y consumidores
Roles y responsabilidad
Definición del servicio
Requisitos de control y acceso
¿Consideraciones arquitectónicas?
Contratos de respaldo de proveedores y asociados
Acuerdos de Servicio (SLA, OLA)
Identificación de la cobertura de garantía de servicio
Requisitos de medición e informes
Riesgos
Perspectiva tecnológica
En esta sección del plan se representa la solución de supervisión mediante la información procedente de la
perspectiva empresarial y del servicio.
Escenarios y casos de usuario
Objetivos técnicos (por ejemplo, redes)
Asignación de dependencias de componentes
Tipos (por ejemplo, nativo en la nube, híbrido, local)
Observacional
Capacidad de respuesta
Medición
Ajuste y optimización
Consideraciones clave
Resuma el plan para asegurarse de que comunica e informa a todos los consumidores, partes interesadas y
niveles de administración pertinentes.
Fases de producción: la solución de supervisión debe estar preparada para el valor cuando el servicio
se active, por lo que la planeación puede incluir la configuración de laboratorio o de preproducción (en
otra suscripción dedicada a esto) para experimentar y probar sus suposiciones. En la nube, un inquilino
de producción suele ser seguro en función de la gobernanza general.
Estrategia: los planes también se pueden volver a asignar a la supervisión y a la estrategia de TI para
que los objetivos de supervisión realicen el seguimiento de la misión o la empresa. Esto depende de si la
carga de trabajo es una nube nativa.
Destinos: en el plan, debe describir y analizar los recursos o servicios de destino que se deben tener en
cuenta y, si es necesario, asignar todos los componentes que se van a supervisar para incluir las
dependencias de servicio. Identifique las brechas de cobertura y determine quién posee parte del
servicio.
Solución: para la solución de supervisión, identifique a los consumidores, las partes interesadas, los
proveedores, los asociados, el acceso y la instrumentación. Supervise también los aspectos, el enfoque, la
respuesta, los informes y los paneles (disponibilidad, seguridad, experiencia del usuario, etc.).
Consideraciones ágiles y eficientes
Producto mínimo viable: permita que el plan defina el producto mínimo viable, que es lo que se
necesita inicialmente para empezar, y continúe desarrollando la solución de supervisión para maximizar
el valor. Por ejemplo, puede definir una tarea futura para compilar otros libros basados en el registro,
anclar elementos a paneles de Azure y expandir el acceso de la parte interesada a Azure Portal.
Empiece desde cualquier nivel y obtenga valor rápidamente: realice experimentos con rapidez y
de forma drástica, y aproveche SaaS, ya que es fácil y útil.
Conozca las barreras: la nube es nueva y algo desconocida, por lo que es recomendable que permita a
los expertos guiarle para no agregar ningún riesgo extra (por ejemplo, exponer datos de supervisión
confidenciales).
Microsoft 365 depende de Azure: cualquier plan adecuado tiene en cuenta el inquilino de Azure con
Microsoft 365 como opción principal. Microsoft 365 depende de Azure AD, y Azure Monitor proporciona
la integración de Microsoft 365 con la administración de puntos de conexión.
Obser vabilidad para todo: céntrese en la visibilidad total antes de enviar una alerta, ya que esto ahora
supone un costo.
Arquitectura del registro: emisores, telemetría, señales, inteligencia artificial y soluciones
preempaquetadas como Intelligent Security Graph. Céntrese más en un enfoque SIEM, en cómo crear
registros dispares en soluciones de registro como los registros de Azure Monitor.
Movilidad de los datos: si supervisa mucho más, deberá centrarse en el emisor del panel y en el lugar
en el que los datos se transmiten a través de Internet y en las regiones de la nube, las conexiones de
ExpressRoute y las VPN.
Super visión de actividades: las auditorías, el inicio de sesión y los registros de actividad ahora son
fáciles de segmentar para los propietarios y la seguridad de los servicios.
Pasos siguientes
Recopilación de los datos adecuados
Guía sobre la supervisión en la nube: recopilación
de los datos correctos
06/03/2021 • 6 minutes to read • Edit Online
En este artículo se describen algunas consideraciones para recopilar datos de supervisión en una aplicación de
la nube.
Para observar el estado y la disponibilidad de la solución en la nube, debe configurar las herramientas de
supervisión para recopilar un nivel de señales que se basen en estados de error predecibles. Estas señales son
los síntomas del error, no la causa. Las herramientas de supervisión usan métricas y, para los diagnósticos
avanzados y los análisis de la causa principal, usan registros.
Planee cuidadosamente la supervisión y la migración. Para empezar, incluya al propietario del servicio de
supervisión, al administrador de las operaciones y a otro personal relacionado durante la fase de planeamiento
y continúe contando con ellos en todo el ciclo de desarrollo y lanzamiento. Su enfoque será desarrollar una
configuración de supervisión basada en los criterios siguientes:
¿Cuál es la composición del servicio? ¿Se supervisan las dependencias actualmente? Si es así, ¿hay varias
herramientas implicadas? ¿Hay alguna oportunidad de consolidarla, sin introducir riesgos?
¿Cuál es el Acuerdo de Nivel de Servicio y cómo se mide y se notifica?
¿Qué aspecto debería tener el panel de servicio cuando se produce un incidente? ¿Qué aspecto debería tener
el panel para el propietario del servicio y el equipo que respalda el servicio?
¿Qué métricas genera el recurso que se debe supervisar?
¿Cómo realizarán búsquedas los registros el propietario del servicio, los equipos de soporte técnico y otro
personal?
El modo en que se responda a esas preguntas, y los criterios de alerta, determinarán cómo se usará la
plataforma de supervisión. Si va a migrar desde una plataforma de supervisión o un conjunto de herramientas
de supervisión existentes, use la migración como una oportunidad para volver a evaluar las señales que
recopile. Esto es especialmente cierto ahora que hay varios factores de costo que se deben tener en cuenta
durante la migración o integración con una plataforma de supervisión basada en la nube como Azure Monitor.
Recuerde que los datos de supervisión deben ser procesables. Es necesario haber recopilado datos optimizados
para tener una buena visión general del estado del servicio. La instrumentación que está definida para
identificar incidentes reales debe ser tan sencilla, predecible y confiable como sea posible.
Pasos siguientes
Estrategia de alertas
Guía sobre la supervisión en la nube: Alertas
24/04/2021 • 24 minutes to read • Edit Online
Durante años, las organizaciones de TI se han esforzado por combatir la fatiga por alertas que crean las
herramientas de supervisión implementadas en la empresa. Muchos sistemas generan un gran volumen de
alertas que a menudo se consideran no significativas, mientras que otras son pertinentes pero se pasan por alto
o se omiten. Como resultado, las operaciones de los responsables de TI y de los desarrolladores han tenido
dificultades para satisfacer la calidad de nivel de servicio prometida a los clientes internos o externos. Para
garantizar la confiabilidad, es fundamental comprender el estado de la infraestructura y de las aplicaciones. Para
minimizar la degradación y la interrupción del servicio o para reducir el efecto o el número de los incidentes, es
necesario identificar las causas rápidamente.
Azure Monitor para contenedores Los datos de rendimiento medio Cree alertas de métricas si quiere
calculados de nodos y pods se escriben recibir alertas en función de la
en la base de datos de métricas. variación del rendimiento de uso
medido, acumulado a lo largo del
tiempo.
Azure Monitor para máquinas Los criterios de mantenimiento son Se generan alertas cuando el estado
virtuales métricas que se almacenan en la base de mantenimiento cambia de correcto
de datos de métricas. a incorrecto. Esta alerta solo admite
grupos de acciones que están
configurados para enviar notificaciones
por correo electrónico o SMS.
NOTE
Estas características solo se aplican a las alertas de métricas; es decir, las alertas basadas en los datos que se envían a la
base de datos de métricas de Azure Monitor. Las características no se aplican a los otros tipos de alertas. Como se
mencionó anteriormente, el objetivo principal de las alertas de métricas es la velocidad. Si recibir una alerta en menos de
cinco minutos no es la principal preocupación, puede usar en su lugar una alerta de consulta de registro.
Umbrales dinámicos: Los umbrales dinámicos examinan la actividad del recurso durante un período de
tiempo y crean umbrales de "comportamiento normal" superiores e inferiores. Cuando la métrica que se
supervisa está fuera de estos umbrales, recibe una alerta.
Alertas de varias señales: Puede crear una alerta de métrica que use la combinación de dos entradas
diferentes de dos tipos de recursos diferentes. Por ejemplo, si quiere activar una alerta cuando el uso de
CPU de una máquina virtual supere el 90 por ciento y el número de mensajes en una determinada cola
de Azure Service Bus que alimenta esa máquina virtual supera una cantidad determinada, puede hacerlo
sin crear una consulta de registro. Esta característica solo funciona para dos señales. Si tiene una consulta
más compleja, suministre los datos de métricas al área de trabajo de Log Analytics y use una consulta de
registro.
Alertas de varios recursos: Azure Monitor permite una única regla de alertas de métricas que se aplica a
todos los recursos de máquina virtual. Esta característica puede ahorrar tiempo, ya que no es necesario
crear alertas individuales para cada máquina virtual. Los precios de este tipo de alerta son los mismos.
Tiene el mismo costo crear 50 alertas para supervisar el uso de CPU de 50 máquinas virtuales, o una
alerta para supervisar el uso de CPU de las 50 máquinas virtuales. También puede usar estos tipos de
alertas en combinación con umbrales dinámicos.
En conjunto, estas características pueden ahorrar tiempo al minimizar las notificaciones de alerta y la
administración de las alertas subyacentes.
Límites de alertas
Asegúrese de tener en cuenta los límites en el número de alertas que puede crear. Algunos límites (pero no
todos) se pueden aumentar mediante una llamada a soporte técnico.
Mejor experiencia de consulta
Si busca tendencias en todos los datos, tiene sentido importar todos los datos en los registros de Azure Monitor,
a menos que ya estén en Application Insights. Puede crear consultas en ambas áreas de trabajo, por lo que no es
necesario mover los datos entre ellas. También puede importar los datos del registro de actividad y de Azure
Service Health en el área de trabajo de Log Analytics. Se paga por esta ingesta y almacenamiento, pero se
obtienen todos los datos en un solo lugar para su análisis y consulta. Este enfoque también le ofrece la
posibilidad de crear condiciones de consulta complejas y alertar sobre ellas.
Guía sobre la supervisión en la nube: Introducción a
las plataformas de supervisión
24/04/2021 • 31 minutes to read • Edit Online
Microsoft ofrece una gama de funcionalidades de supervisión en dos productos: System Center Operations
Manager, diseñado para el entorno local y después ampliado a la nube, y Azure Monitor, diseñado para la nube,
pero que también puede supervisar sistemas locales. Estas dos ofertas proporcionan servicios de supervisión
principales, como alertas, seguimiento del tiempo de actividad del servicio, supervisión del estado de la
aplicación y la infraestructura, diagnóstico y análisis.
Muchas organizaciones están adoptando las prácticas más recientes en agilidad de DevOps e innovaciones en la
nube, con el fin de administrar sus entornos heterogéneos. Pero también les preocupa su capacidad para tomar
decisiones adecuadas y responsables sobre la forma de supervisar estas cargas de trabajo.
En este artículo se ofrece una introducción general sobre nuestras plataformas de supervisión, para ayudarle a
entender cómo proporciona cada una la funcionalidad de supervisión principal.
Requisitos de infraestructura
Operations Manager
Operations Manager requiere una infraestructura y un mantenimiento importantes para admitir un grupo de
administración, que es una unidad básica de funcionalidad. Como mínimo, un grupo de administración consta
de uno o varios servidores de administración, una instancia de SQL Server —que hospeda la base de datos de
almacenamiento de datos operativos y de informes— y agentes. La complejidad del diseño de un grupo de
administración depende de varios factores, como el ámbito de las cargas de trabajo que se van a supervisar y el
número de dispositivos o equipos que admiten las cargas de trabajo. Si necesita alta disponibilidad y resistencia
de los sitios, como suele suceder en las plataformas de supervisión empresarial, los requisitos de infraestructura
y el mantenimiento asociado pueden aumentar drásticamente.
Operations Manager
Management Group
Network Device
Web
console UNIX/Linux System
Management
server Agent-managed
system
Operations Operational DB
console
Data Warehouse DB
Agentless-managed
system
Reporting DB
Azure Monitor
Azure Monitor es una oferta de software como servicio (SaaS), en el que toda la infraestructura subyacente se
ejecuta en Azure, bajo la administración de Microsoft. Lleva a cabo tareas de supervisión, análisis y diagnóstico a
escala. Está disponible en todas las nubes nacionales. Microsoft mantiene las partes principales de la
infraestructura (recopiladores, almacén de métricas y registros, y análisis) que dan apoyo a Azure Monitor.
Azure Monitor
Sources Collectors Storage Usage
Insights
Application Container VM Monitoring
Solutions
Integrate
Export APIs Logic Apps
Grey items not part of Azure Monitor, but part of Azure Monitor story.
datos, recopilación
Operations Manager
Agentes
Operations Manager solo recopila datos directamente de los agentes instalados en equipos Windows. Puede
aceptar datos del SDK de Operations Manager, pero este enfoque se utiliza habitualmente para los asociados
que amplían el producto con aplicaciones personalizadas, no para recopilar datos de supervisión. Puede
recopilar datos de otros orígenes, como equipos Linux y dispositivos de red, mediante módulos especiales que
se ejecutan en el agente de Windows, que accede de forma remota a estos otros dispositivos.
Network Device
Linux server
Management
server
Agent-managed
Windows computer
El agente de Operations Manager puede recopilar de varios orígenes de datos en el equipo local, como el
registro de eventos, registros personalizados y contadores de rendimiento. También puede ejecutar scripts, que
pueden recopilar datos del equipo local o de orígenes externos. Se pueden escribir scripts personalizados para
recopilar datos que no se pueden recopilar por otros medios, o para recopilar datos desde una variedad de
dispositivos remotos que de otro modo no se podrían supervisar.
Módulos de administración
Operations Manager realiza toda la supervisión con flujos de trabajo (reglas, monitores y detecciones de
objetos). Estos flujos de trabajo se empaquetan en un módulo de administración y se implementan en agentes.
Hay módulos de administración disponibles para una variedad de productos y servicios, que incluyen reglas y
monitores predefinidos. También se pueden crear módulos de administración para aplicaciones propias y
escenarios personalizados.
Configuración de supervisión
Los módulos de administración pueden contener cientos de reglas, monitores y reglas de detección de objetos.
Un agente ejecuta toda la configuración de supervisión de todos los módulos de administración
correspondientes, determinados mediante reglas de detección. Cada instancia de cada configuración de
supervisión se ejecuta de forma independiente y actúa inmediatamente en los datos que recopila. Así es como
Operations Manager puede lograr alertas casi en tiempo real y el estado de mantenimiento actual de los
recursos supervisados.
Por ejemplo, un monitor podría tomar una muestra de un contador de rendimiento cada pocos minutos. Si ese
contador supera un umbral, establece inmediatamente el estado de mantenimiento de su objeto de destino, lo
que desencadena también inmediatamente una alerta en el grupo de administración. Una regla programada
puede inspeccionar la creación de un evento determinado y activar al instante una alerta cuando se crea ese
evento en el registro de eventos local.
Dado que las configuraciones de supervisión están aisladas entre sí y funcionan desde los orígenes individuales
de datos, Operations Manager tiene dificultades para correlacionar los datos entre varios orígenes. También le
resulta difícil reaccionar a los datos después de que se hayan recopilado. Se pueden ejecutar flujos de trabajo
que accedan a la base de datos de Operations Manager, pero este escenario no es habitual y se usa
normalmente para un número limitado de flujos de trabajo de uso especial.
Operations Manager
Management Group
Network Device
Web
console UNIX/Linux System
Management
server Agent-managed
system
Operations Operational DB
console
Data Warehouse DB
Agentless-managed
system
Reporting DB
Azure Monitor
Orígenes de datos
Azure Monitor recopila datos de diversos orígenes, incluidos los recursos de la infraestructura y la plataforma
de Azure, los agentes en los equipos Windows y Linux, y la supervisión de datos recopilados en Azure Storage.
Cualquier cliente de REST puede escribir datos de registro en Azure Monitor mediante una API, y se pueden
definir métricas personalizadas para las aplicaciones web. Algunos datos de métricas se pueden enrutar a
ubicaciones diferentes, en función de su uso. Por ejemplo, puede usar los datos para las alertas "tan rápidas
como sea posible" o para las búsquedas de análisis de tendencias a largo plazo junto con otros datos de
registro.
Soluciones de supervisión e información
Las soluciones de supervisión usan la plataforma de registros en Azure Monitor para proporcionar supervisión
para una aplicación o un servicio determinados. Normalmente definen la recopilación de datos a partir de los
agentes o de los servicios de Azure y proporcionan consultas y vistas de registros para analizar los datos. No
suelen incluir reglas de alertas, lo que significa que debe definir sus propios criterios de alertas en función de
los datos recopilados.
Las soluciones de información, como Azure Monitor para contenedores y Azure Monitor para VM, usan la
plataforma de registros y métricas de Azure Monitor para proporcionar una experiencia de supervisión
personalizada de una aplicación o un servicio en Azure Portal. Pueden proporcionar supervisión del estado y
condiciones de alerta, además del análisis personalizado de los datos recopilados.
Configuración de supervisión
Azure Monitor separa la recopilación de datos de las acciones realizadas en ellos, lo que aporta compatibilidad
con microservicios distribuidos en un entorno en la nube. Consolida los datos de varios orígenes en una
plataforma de datos común y proporciona funcionalidad de análisis, visualización y alerta basadas en los datos
recopilados.
Todos los datos recopilados por Azure Monitor se almacenan como registros o como métricas, y las distintas
características de Azure Monitor se basan en ambos. Las métricas contienen valores numéricos en una serie
temporal lo cual resulta adecuado para disponer de alertas casi en tiempo real y para la detección rápida de
problemas. Los registros contienen texto o datos numéricos, y se pueden consultar mediante un lenguaje
potente que los hace especialmente útiles para realizar análisis complejos.
Dado que Azure Monitor separa la recopilación de datos de las acciones que se realizan en estos, es posible que
no pueda proporcionar alertas casi en tiempo real en muchos casos. Para generar alertar sobre los datos del
registro, se ejecutan consultas según una programación periódica definida en la alerta. Este comportamiento
permite a Azure Monitor correlacionar fácilmente los datos de todos los orígenes supervisados, lo que a su vez
permite analizar interactivamente los datos de diversas maneras. Esto resulta especialmente útil para realizar
análisis de la causa principal e identificar en qué otras circunstancias puede producirse un problema.
Análisis de datos
Operations Manager
Operations Manager proporciona cuatro formas básicas de analizar los datos después de su recopilación:
Explorador de estado: ayuda a descubrir qué monitores identifican un problema de estado de
mantenimiento, así como a revisar la información acerca del monitor y las posibles causas de las acciones
relacionadas con él.
Vistas: ofrece visualizaciones predefinidas de los datos recopilados, como, por ejemplo, un gráfico de
datos de rendimiento o una lista de los componentes supervisados y su estado de mantenimiento actual.
Las vistas de diagrama presentan visualmente el modelo de servicio de una aplicación.
Informes: permiten resumir los datos históricos guardados en el almacenamiento de datos de
Operations Manager. Se pueden personalizar los datos en los que se basan las vistas y los informes. Sin
embargo, no hay ninguna característica que permita el análisis complejo o interactivo de los datos
recopilados.
Shell de comandos de Operations Manager : amplía Windows PowerShell con un conjunto adicional
de cmdlets, puede consultar y visualizar los datos recopilados. Esto incluye gráficos y otras
visualizaciones, de forma nativa con PowerShell o mediante la consola web basada en HTML de
Operations Manager.
Azure Monitor
Con el motor de análisis de alta eficacia de Azure Monitor, puede trabajar de forma interactiva con los datos de
registro y combinarlos con otros datos de supervisión para el análisis de tendencias y otros análisis de datos.
Las vistas y los paneles permiten visualizar los datos de consulta de maneras diferentes desde Azure Portal e
importarlos en Power BI. Las soluciones de supervisión incluyen consultas y vistas para presentar los datos que
recopilan. Las soluciones de información como Application Insights, Azure Monitor para VM y Azure Monitor
para contenedores incluyen visualizaciones personalizadas para admitir escenarios de supervisión interactivos.
Alertas
Operations Manager
Operations Manager crea alertas como respuesta a eventos predefinidos, cuando se alcanza un umbral de
rendimiento y cuando cambia el estado de mantenimiento de un componente supervisado. Incluye la
administración completa de las alertas, lo que permite establecer su resolución y asignarlas a distintos
operadores o ingenieros del sistema. Se pueden establecer reglas de notificación que especifiquen qué alertas
enviarán notificaciones proactivas.
Los módulos de administración incluyen varias reglas de alertas predefinidas para distintas condiciones críticas
en la aplicación que se supervisa. Puede ajustar estas reglas o crear reglas personalizadas para los requisitos
específicos de su entorno.
Azure Monitor
Con Azure Monitor, puede crear alertas basadas en una métrica que supera un umbral o en función del
resultado de una consulta programada. Aunque las alertas basadas en métricas pueden lograr resultados casi
en tiempo real, las consultas programadas tienen un tiempo de respuesta más largo, en función de la velocidad
de ingesta e indexación de los datos. En lugar de limitarse a un agente específico, las alertas de consulta de
registro en Azure Monitor permiten realizar análisis con todos los datos almacenados en varias áreas de trabajo.
Estas alertas también incluyen datos de una aplicación de Application Insights específica mediante una consulta
entre áreas de trabajo.
Aunque las soluciones de supervisión pueden incluir reglas de alerta, normalmente se crean en función de los
propios requisitos.
Workflows
Operations Manager
Los módulos de administración de Operations Manager contienen cientos de flujos de trabajo individuales y
determinan tanto los datos que se van a recopilar como la acción que se debe realizar con ellos. Por ejemplo,
una regla podría tomar una muestra de un contador de rendimiento cada pocos minutos y almacenar los
resultados para su análisis. Un monitor podría tomar una muestra del mismo contador de rendimiento y
comparar su valor con un umbral para determinar el estado de mantenimiento de un objeto supervisado. Otra
regla podría ejecutar un script para recopilar y analizar algunos datos en el equipo de un agente y, a
continuación, activar una alerta si devuelve un valor determinado.
Los flujos de trabajo de Operations Manager son independientes entre sí, por lo que resulta difícil realizar un
análisis en varios objetos supervisados. Estos escenarios de supervisión deben basarse en los datos después de
su recopilación, lo que es posible, pero puede ser difícil y no es habitual.
Azure Monitor
Azure Monitor separa la recopilación de datos de las acciones y los análisis efectuados a partir de estos datos.
Los agentes y otros orígenes de datos escriben datos de registro en un área de trabajo de Log Analytics y datos
de métricas en la base de datos de métricas, sin ningún análisis de esos datos ni conocimientos de cómo
podrían usarse. El monitor genera las alertas y realizar otras acciones a partir de los datos almacenados, lo que
permite realizar análisis con datos de todos los orígenes.
Pasos siguientes
Supervisión de los modelos de implementación en la nube
Preparación de las aptitudes para la supervisión de
la nube
06/03/2021 • 14 minutes to read • Edit Online
Al planear el recorrido de la migración, el objetivo es desarrollar los planes necesarios para guiar la
implementación. Los planes también deben prever cómo funcionarán estas cargas de trabajo antes de que se
realice la transición a producción, y no posteriormente. Las partes interesadas de la empresa esperan servicios
valiosos y los esperan sin interrupciones. Los miembros del personal de TI son conscientes de que necesitan
aprender nuevas aptitudes y adaptarse de modo que estén preparados para emplear con confianza los servicios
de Azure integrados para supervisar eficazmente los recursos en Azure y en entornos híbridos.
Es posible acelerar el desarrollo de las aptitudes necesarias con las siguientes rutas de aprendizaje. Se
organizaron empezando por el aprendizaje de los aspectos básicos y, a continuación, se dividen en tres
dominios de conocimiento principales: infraestructura, aplicación y análisis de datos.
Aspectos básicos
En la introducción a Azure Resource Manager se describen los conceptos básicos de administración e
implementación de recursos de Azure. El personal de TI que administra la experiencia de supervisión en
la empresa debe comprender los ámbitos de administración y el control de acceso basado en roles de
Azure (RBAC de Azure) mediante plantillas de Azure Resource Manager, y la administración de recursos
mediante la CLI de Azure y Azure PowerShell.
La introducción a Azure Policy le ayuda a usar Azure Policy para crear, asignar y administrar directivas.
Azure Policy puede implementar y configurar los agentes de Azure Monitor, habilitar la supervisión con
Azure Monitor para VM y Azure Security Center, implementar la configuración de diagnóstico, auditar la
configuración de invitados, etc.
Revise la introducción a la interfaz de la línea de comandos (CLI) de Azure, la experiencia de línea de
comandos multiplataforma para administrar recursos de Azure. Revise también la introducción a Azure
PowerShell. LinkedIn ofrece, como parte de su curso de nivel básico denominado Aprendizaje de las
herramientas de administración de Azure, sesiones que tratan sobre la CLI de Azure y los lenguajes de
programación de PowerShell:
Uso de la CLI de Azure.
Introducción a Azure PowerShell
Para aprender a proteger los recursos mediante directivas, control de acceso basado en roles de Azure y
otros servicios de Azure, consulte Implementación de la seguridad de administración de recursos en
Azure.
Supervisión de recursos y cargas de trabajo de Microsoft Azure le ayuda a usar herramientas de
supervisión de Azure para supervisar los recursos de red de Azure, así como los locales.
Obtenga información acerca de cómo planear y diseñar las implementaciones de supervisión a escala y
automatizar acciones en Prácticas recomendadas y recomendaciones de Azure Monitor.
Supervisión de infraestructura
Diseño de una estrategia de supervisión para la infraestructura en Microsoft Azure le ayuda a obtener
conocimiento básico sobre las funcionalidades y soluciones de supervisión en Azure.
Cómo supervisar los clústeres de Kubernetes proporciona un análisis detallado de nivel intermedio para
ayudarle a obtener información sobre cómo supervisar el clúster de Kubernetes con Azure Monitor para
contenedores.
Use Azure Monitor para obtener información sobre cómo supervisar los datos de Azure Storage y
HDInsight.
El Cuaderno de estrategias para la supervisión de la base de datos de Microsoft Azure explora las
funcionalidades clave de supervisión que se pueden usar para obtener conclusiones y acciones
recomendadas para Azure SQL Database, Azure SQL Data Warehouse y Azure Cosmos DB.
Supervisión de redes híbridas de nube de Microsoft Azure es un curso avanzado que le ayuda a usar las
herramientas de supervisión de Azure para visualizar, dar mantenimiento y optimizar las redes virtuales,
así como las conexiones de red privada virtual para su implementación en la nube híbrida.
Con Azure Arc para servidores, aprenda a administrar las máquinas Windows y Linux hospedadas fuera
de Azure de forma parecida a como administra las máquinas virtuales que se ejecutan en Azure.
Cómo supervisar las máquinas virtuales proporciona un análisis detallado de nivel intermedio para
ayudarle a obtener información sobre la supervisión de equipos o servidores híbridos y de máquinas
virtuales de Azure o conjuntos de escalado de máquinas virtuales con Azure Monitor para VM.
Supervisión de aplicaciones
Vea cómo Azure Monitor le ayuda a visualizar la disponibilidad y el rendimiento de las aplicaciones y
servicios en un solo lugar. Pluralsight ofrece los siguientes cursos de ayuda:
Microsoft Azure DevOps Engineer: Optimización de los mecanismos de comentarios le ayuda a
prepararse para usar Azure Monitor, incluido Application Insights, para supervisar y optimizar las
aplicaciones web.
Captura y visualización de los tiempos de carga de página en la aplicación web de Azure con
Application Insights. Use este curso como introducción sobre el uso de Azure Monitor Application
Insights para la supervisión de un extremo a otro de los componentes de las aplicaciones que se
ejecutan en Azure.
El cuaderno de estrategias de supervisión de bases de datos de Microsoft Azure le ayuda a
implementar y usar la supervisión de Azure SQL Database, Azure SQL Data Warehouse y Azure
Cosmos DB.
Instrumentación de aplicaciones con Azure Monitor Application Insights es un curso detallado
sobre el uso del SDK de Application Insights para recopilar telemetría y eventos de una aplicación
con componentes de Angular y Node.js.
Depuración y generación de perfiles de la aplicación es una grabación de una conferencia de
Microsoft sobre el uso e interpretación de los datos proporcionados por las herramientas de
depuración de instantáneas y generación de perfiles de Azure Monitor Application Insights.
Análisis de datos
Aprenda a escribir consultas de registro en Azure Monitor. El lenguaje de consulta Kusto es el recurso
principal para escribir consultas de registro de Azure Monitor para explorar y analizar los datos de
registro entre los datos recopilados de Azure y las dependencias de las aplicaciones de recursos híbridos,
incluida la aplicación activa.
Lenguaje de consulta Kusto (KQL) desde cero es un curso completo que incluye ejemplos detallados
sobre una amplia gama de casos de uso y técnicas para el análisis de registros en los registros de Azure
Monitor.
Otras consideraciones
A menudo, los clientes tienen dificultades para administrar, mantener y ofrecer los resultados empresariales
esperados, al igual que la organización de TI con respecto a los servicios que TI tiene obligación de proporcionar.
La supervisión se considera fundamental para administrar la infraestructura y el negocio, ya que se centra en la
medición de la calidad del servicio y la experiencia del cliente. Con el fin de lograr estos objetivos, siente las
bases mediante el uso de ITSM junto con DevOps, los cuales ayudarán al equipo de supervisión a consolidar la
forma en que administran, entregan y apoyan al servicio de supervisión. La adopción de un marco de ITSM
permite al equipo de supervisión funcionar como proveedor y obtener reconocimiento como un facilitador
empresarial de confianza mediante la alineación con los objetivos estratégicos y las necesidades de la
organización.
Repase lo siguiente para conocer las actualizaciones realizadas en el marco de trabajo de ITSM más popular, las
notas del producto ITIL v4 y la nube, que se centra en combinar la guía de ITIL existente con los procedimientos
recomendados de DevOps, Agile y Lean. Tenga en cuenta también la arquitectura de referencia de IT4IT que
proporciona un plano técnico alternativo sobre como transformar TI mediante un marco independiente de los
procesos.
Más información
Para descubrir más rutas de aprendizaje, eche un vistazo al catálogo de Microsoft Learn. Use el filtro de roles
para alinear las rutas de aprendizaje con su rol.
Centralización de operaciones de administración
06/03/2021 • 3 minutes to read • Edit Online
Para la mayoría de las organizaciones, el uso de un único inquilino de Azure Active Directory (Azure AD) para
todos los usuarios simplifica las operaciones de administración y reduce los costos de mantenimiento. Esto se
debe a que todas las tareas de administración pueden realizarlas usuarios designados, grupos de usuarios o
entidades de servicio dentro de ese inquilino.
Si es posible, se recomienda que use un único inquilino de Azure AD en cada organización. No obstante, algunas
situaciones pueden requerir que una organización mantenga varios inquilinos de Azure AD por los siguientes
motivos:
Es una subsidiaria totalmente independiente.
Funciona de forma independiente en varias zonas geográficas.
Se aplican determinados requisitos de cumplimiento o de tipo legal.
Se adquirieron otras organizaciones (a veces de forma temporal hasta que se define una estrategia de
consolidación de inquilinos a largo plazo).
Cuando se requiere una arquitectura de multiinquilino, Azure Lighthouse proporciona una manera de
centralizar y simplificar las operaciones de administración. Las suscripciones de varios inquilinos se pueden
incorporar para la administración de recursos delegados de Azure. Esta opción permite a los usuarios
especificados en el inquilino de administración realizar funciones de administración entre inquilinos de una
manera centralizada y escalable.
Por ejemplo, supongamos que su organización tiene un solo inquilino, Tenant A . Posteriormente, la
organización adquiere dos inquilinos adicionales, Tenant B y Tenant C y, por motivos empresariales, ambos
deben mantenerse como inquilinos independientes.
Su organización quiere usar las mismas definiciones de directiva, prácticas de copia de seguridad y procesos de
seguridad en todos los inquilinos. Dado que ya tiene usuarios (incluidos los grupos de usuarios y las entidades
de servicio) que son responsables de realizar estas tareas en Tenant A , puede incorporar todas las
suscripciones en Tenant B y en Tenant C , con el fin de que los mismos usuarios de Tenant A puedan realizar
esas mismas tareas. Tenant A a continuación, se convierte en el inquilino de administración de Tenant B y
Tenant C .
Para más información, consulte Azure Lighthouse en escenarios empresariales.
Establecimiento de una revisión de adecuación
operativa
23/03/2021 • 20 minutes to read • Edit Online
Una vez que la empresa comienza a trabajar con cargas de trabajo en Azure, el siguiente paso es establecer un
proceso de revisión de la adecuación operativa. Este proceso enumera, implementa y revisa de forma iterativa
los requisitos no funcionales de estas cargas de trabajo. Los requisitos no funcionales están relacionados con el
comportamiento operativo esperado del servicio.
Hay cinco categorías esenciales de requisitos no funcionales, que se denominan los fundamentos de la
excelencia de la arquitectura:
Optimización de costos
Excelencia operativa
Eficiencia del rendimiento
Confiabilidad
Seguridad
El proceso de revisión de la adecuación operativa garantiza que sus cargas de trabajo críticas cumplen las
expectativas de la empresa con respecto a estos fundamentos.
Lleve a cabo un proceso de revisión de la adecuación operativa para entender los problemas derivados de
ejecutar cargas de trabajo en un entorno de producción y cómo solucionar y resolver los problemas. En este
artículo se describe un proceso general de revisión de la adecuación operativa que puede usar su empresa para
conseguir este objetivo.
Comprender el problema
Como se describe en Primeros pasos: Aceleración de la migración, el primer paso en la transformación digital de
una empresa es identificar los problemas empresariales que se van a resolver con la adopción de Azure. El
siguiente paso es determinar una solución general para el problema, como la migración de una carga de trabajo
a la nube o la adaptación de un servicio local existente para incluir funcionalidad de nube. Por último, diseña e
implementa la solución.
Durante este proceso, el foco suelen ser las características del servicio: el conjunto de requisitos funcionales que
desea que el servicio realice. Por ejemplo, un servicio de entrega de productos requiere funciones para
determinar las ubicaciones de origen y destino del producto, realizar el seguimiento del producto durante la
entrega y enviar notificaciones al cliente.
En cambio, los requisitos no funcionales se relacionan con propiedades como la disponibilidad, la resistencia y la
escalabilidad del servicio. Estas propiedades se diferencian de los requisitos funcionales en que no influyen
directamente sobre la función final de ninguna característica en particular del servicio. Sin embargo, los
requisitos no funcionales están relacionados con el rendimiento y la continuidad del servicio.
Puede especificar algunos requisitos no funcionales en los términos de un Acuerdo de Nivel de Servicio (SLA).
Por ejemplo, puede expresar la continuidad del servicio como un porcentaje de disponibilidad: "Disponible el
99,99 por ciento del tiempo". Otros requisitos no funcionales pueden ser más difíciles de definir y pueden
cambiar a medida que cambian las necesidades de producción. Por ejemplo, un servicio orientado al
consumidor podría comenzar a toparse con requisitos de rendimiento no anticipados tras un aumento
repentino de popularidad.
NOTE
Para obtener más información sobre los requisitos de resistencia, consulte Diseño de aplicaciones confiables de Azure. Este
artículo incluye explicaciones de conceptos como el objetivo de punto de recuperación (RPO), el objetivo de tiempo de
recuperación (RTO) y el Acuerdo de Nivel de Servicio.
En un nivel alto, el proceso tiene dos fases. En la fase de requisitos previos, se establecen los requisitos y se
asignan a los servicios correspondientes. Esta fase se produce con poca frecuencia; quizás cada año o cuando se
introducen nuevas operaciones. El resultado de la fase de requisitos previos se usa en la fase de flujo. La fase de
flujo se produce con más frecuencia; por ejemplo, una vez al mes.
Fase de requisitos previos
En los pasos descritos en esta fase se capturan los requisitos para llevar a cabo una revisión periódica de los
servicios importantes.
1. Identificar las operaciones empresariales críticas. Identifique las operaciones empresariales
críticas de la empresa. Las operaciones empresariales son independientes de cualquier funcionalidad de
servicio complementaria. En otras palabras, las operaciones empresariales representan las actividades
reales que el negocio debe realizar y están respaldadas por un conjunto de servicios de TI.
El término crítico (o crítico para el empresa) refleja un impacto grave en la empresa si se impide la
operación. Por ejemplo, un minorista en línea puede tener una operación empresarial del tipo "permitir
que un cliente agregue un artículo al carro de la compra" o "procesar un pago con tarjeta de crédito". Si
alguna de estas operaciones genera un error, el cliente no puede realizar la transacción y la empresa no
puede realizar ventas.
2. Asignar operaciones a ser vicios. Asigne las operaciones empresariales críticas a los servicios
correspondientes. En el ejemplo del carro de la compra, pueden intervenir varios servicios, incluido un
servicio de administración del stock de inventario y un servicio de carro de la compra. Para procesar un
pago con tarjeta de crédito, un servicio de pago local podría interactuar con un servicio de
procesamiento de pagos de terceros.
3. Analizar las dependencias de los ser vicios. La mayoría de las operaciones empresariales requiere la
orquestación de varios servicios. Es importante comprender las dependencias entre los servicios y el
flujo de transacciones críticas a través de estos servicios.
Considere también las dependencias entre los servicios locales y los servicios de Azure. En el ejemplo de
carro de la compra, el servicio de administración de existencias de inventario podría estar hospedado en
el entorno local e ingerir los datos introducidos por los empleados desde un almacén físico. Sin embargo,
podría almacenar los datos fuera del entorno local en un servicio de Azure, como Azure Storage, o en una
base de datos, como Azure Cosmos DB.
Una salida de estas actividades es un conjunto de métricas del cuadro de mandos de las operaciones de servicio.
El cuadro de mandos mide criterios como la disponibilidad, la escalabilidad y la recuperación ante desastres. Las
métricas del cuadro de mandos expresan los criterios operativos que se espera que el servicio cumpla. Estas
métricas se pueden expresar con cualquier nivel de detalle que sea necesario para la operación del servicio.
El cuadro de mandos debe expresarse en términos sencillos para facilitar la comunicación significativa entre los
propietarios de empresa y los ingenieros. Por ejemplo, una métrica de cuadro de mandos para la escalabilidad
podría estar codificada por colores de una manera sencilla. El verde indica que se cumplen los criterios
deseados, el amarillo, que no se cumplen los criterios deseados pero se está en proceso de implementar un plan
de corrección, y el rojo que no se cumplen los criterios deseados con ningún plan o acción.
Es importante destacar que estas métricas deben reflejar directamente las necesidades empresariales.
Fase de revisión de los servicios
La fase de revisión de los servicios es el núcleo del proceso de revisión de la adecuación operativa. Implica estos
pasos:
1. Medir las métricas de los ser vicios. Use las métricas del cuadro de mandos para supervisar los
servicios con el fin de garantizar que cumplen las expectativas empresariales. La supervisión de los
servicios es fundamental. Si no puede supervisar un conjunto de servicios con respecto a los requisitos
no funcionales, las métricas del cuadro de mando correspondientes se deben considerar en rojo. En este
caso, el primer paso para solucionarlo es implementar la supervisión de los servicios adecuada. Por
ejemplo, si la empresa espera que un servicio funcione con una disponibilidad del 99,99 por ciento, pero
no dispone de datos de telemetría de producción para medir la disponibilidad, dé por hecho que no
satisface el requisito.
2. Planear las acciones correctivas. Para cada operación de servicio con métricas que se encuentren por
debajo de un umbral aceptable, determine el costo de corregir el servicio para llevar la operación a un
nivel aceptable. Si el costo de la corrección del servicio es mayor que ingresos esperados del servicio,
pase a considerar los costos no tangibles como la experiencia del cliente. Por ejemplo, si los clientes
tienen dificultad para realizar pedidos correctamente con el servicio, podrían elegir en su lugar a la
competencia.
3. Implementar el plan correctivo. En cuanto los propietarios del negocio y el equipo de ingeniería
acuerden un plan, impleméntelo. Informe del estado de la implementación cada vez que revise las
métricas del cuadro de mandos de revisión.
Este proceso es iterativo y lo ideal es que la empresa tenga un equipo destinado a él. Este equipo debe reunirse
periódicamente para revisar los proyectos de corrección existentes, poner en marcha la revisión de aspectos
básicos de nuevas cargas de trabajo y realizar un seguimiento del cuadro de mandos general de la empresa. El
equipo debe tener la autoridad necesaria para hacer responsables a los equipos de corrección si se retrasan o
no cumplen las métricas.
Estructura del equipo de revisión
El equipo de revisión de la adecuación operativa se compone de los siguientes roles:
Propietario de la empresa: proporciona los conocimientos del negocio para identificar y clasificar por
orden de prioridad cada operación empresarial crítica. Este rol también compara el costo de la solución
con la repercusión para el negocio y conduce la decisión final sobre la corrección.
Defensor del negocio: Divide las operaciones empresariales en diferentes partes y las asigna a los
servicios y la infraestructura, ya sea en el entorno local o en la nube. El rol requiere un conocimiento
profundo de la tecnología asociada con cada operación empresarial.
Propietario de ingeniería: Implementa los servicios asociados al funcionamiento del negocio. Estas
personas pueden participar en el diseño y la implementación de posibles soluciones para resolver los
problemas de requisitos no funcionales detectados por el equipo de revisión.
Propietario del ser vicio: Se encarga del funcionamiento de las aplicaciones y los servicios de la
empresa. Estos individuos recopilan datos de registro y uso de estas aplicaciones y servicios. Estos datos
se usan para identificar problemas y para comprobar las correcciones una vez que se han implementado.
Reuniones de revisión
Es recomendable que el equipo de revisión se reúna periódicamente. Por ejemplo, puede reunirse todos los
meses e informar del estado y las métricas al equipo de dirección trimestralmente.
Adapte los detalles del proceso y las reuniones a sus necesidades específicas. Como punto de partida, se
recomiendan las siguientes tareas:
1. El propietario y el defensor del negocio enumeran y determinan los requisitos no funcionales de cada
operación empresarial, con la aportación de los propietarios de la ingeniería y los servicios. En el caso de
las operaciones empresariales que se han identificado previamente, revise y compruebe la prioridad. Con
las operaciones de negocio nuevas, asigne una prioridad de la lista existente.
2. Los propietarios de la ingeniería y los servicios asignan el estado actual de las operaciones empresariales
a los servicios en la nube y locales correspondientes. La asignación es una lista de los componentes de
cada servicio en forma de árbol de dependencias. Los propietarios del servicio e ingeniería determinan
las rutas de acceso críticas a través del árbol.
3. Los propietarios de ingeniería y del servicio revisan el estado actual del registro y la supervisión
operativos de los servicios enumerados en el paso anterior. Para identificar los componentes del servicio
que contribuyen al incumplimiento de los requisitos no funcionales, son esenciales procedimientos de
registro y supervisión de gran solidez. Si no se disponen de suficientes procedimientos de registro y
supervisión, el equipo debe crear e implementar un plan para llevarlos a cabo.
4. El equipo crea métricas del cuadro de mandos para las nuevas operaciones empresariales. El cuadro de
mandos consta de la lista de componentes que forman cada uno de los servicios identificados en el paso
2. Está en línea con los requisitos no funcionales e incluye una medida del grado en que cada
componente cumple los requisitos.
5. Para los componentes constituyentes que no cumplen los requisitos no funcionales, el equipo diseña una
solución general y asigna un propietario de ingeniería. En este momento, el propietario y el defensor del
negocio establecen un presupuesto para el trabajo de corrección, en función de los ingresos previstos de
la operación empresarial.
6. Por último, el equipo lleva a cabo una revisión del trabajo de corrección en curso. Cada una de las
métricas del cuadro de mandos de trabajo en curso se revisa comparándola con los criterios previstos. En
el caso de los componentes constituyentes que cumplen los criterios, el propietario de los servicios
presenta los datos de registro y supervisión para confirmar que se cumplen los criterios. En cuanto a los
componentes constituyentes que no cumplen los criterios de las métricas, cada propietario de ingeniería
explica los problemas que impiden que se alcancen las métricas y presenta nuevas formas posibles de
corregir el problema.
Recursos recomendados
Marco de buena arquitectura de Microsoft Azure: Obtenga información sobre los principios guía para
mejorar la calidad de una carga de trabajo. Dicho marco consta de cinco pilares de excelencia de la
arquitectura:
Optimización de costos
Excelencia operativa
Eficiencia del rendimiento
Confiabilidad
Seguridad
Diez principios de diseño para las aplicaciones de Azure. Siga estos principios de diseño para que la
aplicación sea más escalable, resistente y administrable.
Diseño de aplicaciones resistentes de Azure. Cree y mantenga sistemas confiables mediante un enfoque
estructurado durante la vigencia de una aplicación, desde el diseño y la puesta en marcha hasta la
implementación y operaciones.
Patrones de diseño en la nube. Use modelos de diseño para crear aplicaciones basadas en los fundamentes
de la excelencia de la arquitectura.
Azure Advisor. Azure Advisor ofrece recomendaciones personalizadas basadas en el uso y la configuración
para ayudar a optimizar los recursos, a fin de obtener alta disponibilidad, seguridad, rendimiento y
rentabilidad.
Administración de TI y operaciones en la nube
06/03/2021 • 4 minutes to read • Edit Online
Cuando una empresa pasa a un modelo basado en la nube, la importancia de una administración y operaciones
adecuadas no se puede sobrestimar. Lamentablemente, hay pocas organizaciones que estén preparadas para el
cambio en la administración de TI que se necesita para crear correctamente un modelo operativo en el que la
nube sea prioritaria. En esta sección de Cloud Adoption Framework se describen el modelo operativo, los
procesos y las herramientas que han demostrado un funcionamiento satisfactorio en la nube. Cada una de estas
áreas representa un cambio pequeño, pero fundamental, en la forma en que la empresa debe ver la
administración y las operaciones de TI al empezar a adoptar la nube.
Administración de la nube
El modelo operativo histórico de TI ha sido suficiente durante más de 20 años. Sin embargo, ese modelo ahora
está anticuado y no es tan atractivo como las alternativas en las que la nube tiene prioridad. Cuando los equipos
de administración de TI pasan a la nube, tienen una oportunidad de replantear este modelo y generar un mayor
valor para la empresa. En esta serie de artículos se describe un modelo moderno de administración de TI.
Pasos siguientes
Para comprender mejor el nuevo modelo de administración de la nube, empiece por Descripción de la
alineación empresarial.
Descripción de la alineación empresarial
Crear la alineación empresarial en la administración
en la nube
06/03/2021 • 3 minutes to read • Edit Online
En entornos locales, TI administra los activos de TI (aplicaciones, máquinas virtuales, hosts de máquina virtual,
discos, servidores, dispositivos y orígenes de datos) para admitir operaciones de carga de trabajo. En términos
de TI, una carga de trabajo es una colección de activos de TI que admiten una operación empresarial específica.
Para ayudar a respaldar las operaciones empresariales, la administración de TI ofrece procesos diseñados para
minimizar las interrupciones de esos recursos. Cuando una organización pasa a la nube, la administración y las
operaciones cambian un poco, lo que crea una oportunidad para desarrollar una mejor alineación empresarial.
Jerga empresarial
El primer paso para crear la alineación empresarial es garantizar la alineación de los términos. La administración
de TI, como la mayoría de las profesiones de ingeniería, ha acumulado una colección de jerga o de términos
muy técnicos. Estos términos pueden generar confusión en las partes interesadas del negocio y dificultar la
asignación de servicios de administración al valor empresarial.
Afortunadamente, el proceso para desarrollar una estrategia de adopción de la nube y un plan de adopción de
la nube crean una oportunidad ideal para la reasignación de estos términos. El proceso también crea
oportunidades para replantear los compromisos para la administración operativa, en colaboración con la
empresa. En la siguiente serie de artículos se describe este nuevo enfoque en tres términos específicos que
pueden ayudar a mejorar las conversaciones entre las partes interesadas del negocio:
Impor tancia crítica : asignación de cargas de trabajo a procesos empresariales. Clasificación del grado de
importancia para enfocar las inversiones.
Impacto : comprensión del impacto de las posibles interrupciones para ayudar a evaluar la rentabilidad de la
inversión para la administración en la nube.
Compromiso : desarrollo de verdaderas asociaciones, mediante la creación y la documentación de contratos
con la empresa.
NOTE
Subyacentes a estos términos hay términos de TI clásicos como SLA, RTO y RPO. Para más información sobre la
asignación de términos empresariales y de TI específicos, consulte Compromiso empresarial en la administración de la
nube.
Pasos siguientes
Comience a crear la alineación empresarial definiendo el grado de importancia de la carga de trabajo.
Definir el grado de importancia de la carga de trabajo
Importancia crítica para la empresa en la
administración de la nube
06/03/2021 • 7 minutes to read • Edit Online
En cada empresa, existe un pequeño número de cargas de trabajo que son demasiado importantes como para
que produzcan errores. Estas cargas de trabajo se consideran críticas. Cuando esas cargas de trabajo
experimentan interrupciones o una degradación del rendimiento, el impacto negativo en los ingresos y la
rentabilidad se puede notar en toda la empresa.
En el otro extremo del espectro, pueden pasar meses sin que se utilicen algunas cargas de trabajo. En este caso,
tampoco se quiere que experimenten un bajo rendimiento o interrupciones, aunque el efecto será aislado y
limitado.
Comprender la importancia crítica de cada carga de trabajo de la cartera de TI es el primer paso para establecer
compromisos mutuos con la administración de la nube. El diagrama siguiente ilustra una alineación común
entre la escala de importancia crítica que se debe seguir y los compromisos estándar realizados por la empresa.
Es habitual que las empresas incluyan clasificaciones adicionales de importancia crítica específicas de su sector,
segmento vertical o proceso empresarial determinado. Entre los ejemplos de clasificaciones adicionales se
incluyen:
Crítica para el cumplimiento: en sectores muy regulados, algunas cargas de trabajo pueden ser críticas
como parte de las labores de cumplimiento de la normativa.
Crítica para la seguridad: es posible que algunas cargas de trabajo no sean críticas, pero las
interrupciones podrían provocar la pérdida de datos o el acceso no deseado a información protegida.
Crítica para la protección: cuando la vida o la seguridad física de empleados y clientes están en juego
durante una interrupción, puede ser aconsejable clasificar las cargas de trabajo como críticas para la
seguridad.
Uso de la plantilla
Los siguientes pasos se aplican si usa el libro de administración de operaciones para planear la administración
de la nube.
1. Registre la escala de criticidad en la hoja de cálculo Scale .
2. Actualice cada carga de trabajo en la hoja de cálculo Example o en la hoja de cálculo Clean Template para
reflejar la criticidad predeterminada en la columna Criticality .
3. La empresa debe introducir los valores correctos para reflejar cualquier desviación de la importancia crítica
predeterminada.
Pasos siguientes
Cuando el equipo haya definido la importancia crítica para la empresa, puede calcular y registrar el impacto
empresarial.
Cálculo y registro del efecto para la empresa
Efecto empresarial en la administración de la nube
06/03/2021 • 9 minutes to read • Edit Online
Presuponga lo mejor y prepárese para lo peor. En la administración de TI es seguro presuponer que las cargas
de trabajo necesarias para admitir las operaciones empresariales estarán disponibles y se realizarán según el
acuerdo en cuanto a las restricciones, en función de la importancia seleccionada. Sin embargo, para administrar
las inversiones de forma inteligente, es importante comprender el impacto en la empresa cuando se produce
una interrupción o una degradación del rendimiento. Esta importancia se ilustra en el siguiente gráfico, que
asigna posibles interrupciones empresariales de cargas de trabajo específicas al impacto empresarial de las
interrupciones en una escala de valor relativa.
Para crear una base justa de comparación para el impacto sobre varias cargas de trabajo en una cartera, se
sugiere una métrica de tiempo/valor. La métrica de tiempo/valor captura el impacto negativo de una
interrupción en la carga de trabajo. Por lo general, este efecto se registra como una pérdida directa de ingresos
o ingresos operativos durante un período de interrupción típico. Más concretamente, calcula la pérdida de
ingresos por unidad de tiempo. La métrica más común de tiempo/valor es el impacto por hora, que mide las
pérdidas de ingresos operativos por hora de interrupción.
Se pueden utilizar varios enfoques para calcular el impacto. Puede aplicar cualquiera de las opciones de las
secciones siguientes para lograr resultados similares. Es importante usar el mismo enfoque para cada carga de
trabajo al calcular las pérdidas protegidas en una cartera.
Uso de la plantilla
Si utiliza el libro de administración de las operaciones para planear la administración de la nube, considere la
posibilidad de realizar los pasos siguientes:
Cada empresa debe actualizar cada carga de trabajo en la hoja de cálculo Example o en la hoja de cálculo
Clean Template , junto con el objeto Time/Value Impact de cada carga de trabajo. De forma predeterminada,
el objeto Time/Value Impact representa las pérdidas proyectadas por hora asociadas con una interrupción en
la carga de trabajo.
Pasos siguientes
Una vez que la empresa haya definido el impacto, puede alinear los compromisos.
Alineación de los compromisos de administración con la empresa
Compromiso empresarial en la administración de la
nube
22/03/2021 • 22 minutes to read • Edit Online
Los compromisos de estabilidad empresarial, a través de la resistencia técnica u otros efectos del Acuerdo de
Nivel de Servicio (SLA), son una decisión de justificación empresarial. Para la mayoría de las cargas de trabajo
de un entorno, es suficiente un nivel de base de referencia de administración de la nube. Para otros, un aumento
de los costos de 2x a 4x se justifica fácilmente por el posible efecto de las interrupciones en el negocio.
Los artículos anteriores de esta serie pueden ayudarle a comprender la clasificación y el impacto de las
interrupciones en varias cargas de trabajo. Este artículo le ayuda a calcular los resultados. Como se muestra en
la imagen anterior, cada nivel de administración de la nube tiene puntos de inflexión en los que los costos
pueden aumentar más rápido que la resistencia. Esos puntos de inflexión requerirán decisiones y compromisos
empresariales detallados.
TIP
Los equipos de operaciones de TI a menudo usan un tiempo de actividad mínimo predeterminado del 99,9 % para el
Acuerdo de Nivel de Servicio compuesto inicial. También pueden optar por normalizar los costos de administración en
función de la carga de trabajo media, especialmente en el caso de las soluciones con requisitos mínimos de registro y
almacenamiento. Calcular el promedio de los costos de algunas cargas de trabajo de importancia intermedia puede ser un
buen punto de partida para las conversaciones iniciales.
TIP
Si usa el libro de administración de operaciones para planear la administración de la nube, los campos de administración
de las operaciones deben actualizarse para reflejar estos requisitos previos. Estos campos incluyen el nivel de compromiso,
el Acuerdo de Nivel de Servicio compuesto y el costo mensual. El costo mensual debe representar el costo mensual
agregado de las herramientas de administración de las operaciones.
La base de referencia de administración de las operaciones sirve como punto de partida que validar en las
siguientes secciones.
Responsabilidad de administración
En un entorno local tradicional, los costos de administración del entorno se suelen presuponer como costos
ocultos de las operaciones de TI. En la nube, la administración es una decisión intencionada con impacto
presupuestario directo. Los costos de cada función de administración se pueden atribuir más directamente a
cada carga de trabajo implementada en la nube. Este enfoque permite mayor control, pero exige a los equipos
de operaciones en la nube y los equipos de estrategia en la nube que celebren primero en un acuerdo sobre las
responsabilidades.
Las organizaciones también pueden optar por externalizar algunas de sus funciones de administración actuales
a algún proveedor de servicios. Estos proveedores de servicios pueden usar Azure Lighthouse para ofrecer a las
organizaciones un control más preciso al conceder acceso a los recursos, además de mayor visibilidad en las
acciones que realizan.
Responsabilidad delegada : dado que no es necesario centralizar y adoptar una sobrecarga de
administración operativa, se están pensando nuevos enfoques para las operaciones de TI de muchas
organizaciones. Un enfoque típico es la responsabilidad delegada. En un modelo de excelencia en la nube,
las operaciones y la automatización de la plataforma proporcionan herramientas de administración de
servicios de autoservicio que pueden usar los equipos de operaciones empresariales,
independientemente de los equipos de operaciones de TI centralizadas. Este enfoque proporciona a las
partes interesadas de la empresa un control total sobre los presupuestos relacionados con la
administración. También permite al centro de excelencia de la nube (CCoE) asegurarse de que un mínimo
de barreras se ha implementado correctamente. En este modelo, el equipo de TI actúa como agente y
guía que ayuda a la empresa a tomar decisiones sensatas. Las operaciones empresariales supervisan las
operaciones cotidianas de las cargas de trabajo dependientes.
Responsabilidad centralizada : los requisitos de cumplimiento, la complejidad técnica y algunos
modelos de servicios compartidos pueden requerir un modelo de equipo de TI central. En este modelo, el
equipo de TI sigue ejerciendo las responsabilidades de administración de las operaciones. El diseño del
entorno, los controles de administración y las herramientas de gobernanza se pueden administrar y
controlar de forma centralizada, lo que restringe el rol de las partes interesadas de la empresa al realizar
compromisos de administración. Sin embargo, la visibilidad del costo y la arquitectura de los enfoques en
la nube facilitan mucho a los equipos de TI centralizados la comunicación de los costos y el nivel de
administración de cada carga de trabajo.
Modelo mixto: la clasificación es la esencia de un modelo mixto de responsabilidades de
administración. Las empresas que se encuentran en medio de una transformación de sus instalaciones
locales a la nube pueden necesitar un modelo operativo local primero durante un tiempo. Las empresas
con requisitos estrictos de cumplimiento o que dependen de contratos a largo plazo con proveedores
externos de TI pueden necesitar un modelo operativo centralizado.
Independientemente de sus restricciones, las empresas actuales deben innovar. En los escenarios de
rápida innovación, en medio de un modelo de responsabilidad centralizada en un equipo de TI central, un
enfoque de modelo mixto puede proporcionar equilibrio. En este enfoque, un equipo de TI central
proporciona un modelo operativo centralizado para todas las cargas de trabajo críticas o que contienen
información confidencial. Al mismo tiempo, el resto de clasificaciones de las cargas de trabajo se pueden
colocar en un entorno de nube diseñado para responsabilidades delegadas. El enfoque de
responsabilidad centralizada actúa como modelo operativo general. La empresa tiene flexibilidad para
adoptar un modelo operativo especializado, en función del nivel de soporte y confidencialidad necesario.
El primer paso es el compromiso con un enfoque de responsabilidad, que a continuación dé forma a los
siguientes compromisos.
¿Qué organización será responsable de la administración de las operaciones diarias de esta carga
de trabajo?
Inquilino en la nube
Para la mayoría de las empresas, la administración es más fácil cuando todos los recursos residen en un único
inquilino. Sin embargo, algunas organizaciones pueden tener que mantener varios inquilinos. Para saber por
qué una empresa puede requerir un entorno multiinquilino de Azure, consulte Centralización de operaciones de
administración con Azure Lighthouse.
¿Residirá esta carga de trabajo en un único inquilino de Azure junto con todas las demás?
TIP
Si usa el libro de administración de operaciones para planear la administración de la nube, actualice los campos de
administración de operaciones para que reflejen cada conversación. Estos campos incluyen el nivel de compromiso, el
Acuerdo de Nivel de Servicio compuesto y el costo mensual. El costo mensual debe representar el costo mensual de las
herramientas de administración de las operaciones agregadas. Una vez actualizados, esos campos actualizarán las
fórmulas del ROI y los campos siguientes.
Interrupción estimada = (1 - porcentaje del Acuerdo de Nivel de Servicio compuesto) x número de horas de
un año
En el libro se usa el valor predeterminado de 8760 horas al año.
Efecto estándar de las pérdidas
El efecto estándar de las pérdidas ( Standard Impact en el libro) pronostica el efecto financiero de las
interrupciones, suponiendo que la predicción interrupción estimada resulte precisa. Para calcular esta previsión
sin usar el libro, aplique la siguiente fórmula:
Efecto estándar = interrupción estimada a tres novenos del tiempo de actividad x tiempo/valor del efecto
Esto sirve como base de referencia del costo si las partes interesadas de la empresa optan por invertir en más
administración.
Efecto del Acuerdo de Nivel de Servicio compuesto
El efecto del Acuerdo de Nivel de Servicio compuesto ( Commitment level impact en el libro) proporciona el
efecto fiscal actualizado en función de los cambios en el Acuerdo de Nivel de Servicio sobre el tiempo de
actividad. Este cálculo le permite comparar el efecto financiero previsto de ambas opciones. Para calcular este
efecto previsto sin la hoja de cálculo, aplique la siguiente fórmula:
Efecto del Acuerdo de Nivel de Servicio compuesto = interrupción estimada x tiempo/valor del efecto
El valor representa las posibles pérdidas que se deben evitar con el cambio en el nivel de compromiso y el
nuevo Acuerdo de Nivel de Servicio compuesto.
Base de comparación
La base de comparación evalúa el efecto estándar y el efecto del Acuerdo de Nivel de Servicio compuesto para
determinar cuál es el más adecuado en la columna de rendimiento.
Rendimiento con la prevención de pérdidas
Si el costo de administrar una carga de trabajo supera las pérdidas potenciales, la inversión propuesta en la
administración de la nube podría no ser adecuada. Para comparar el rendimiento con la prevención de pérdidas,
consulte la columna denominada *Annual ROI**** (ROI anual). Para calcular esta columna por su cuenta, use
esta fórmula:
Rendimiento con la prevención de pérdidas = (base de comparación - [costo mensual × 12] / [costo
mensual × 12])
A menos que haya otros factores de costo indirecto que considerar, esta comparación puede sugerir
rápidamente si debe haber una mayor inversión en las operaciones en la nube, la resistencia, la confiabilidad u
otras áreas.
Pasos siguientes
Una vez realizados los compromisos, los equipos de operaciones responsables pueden comenzar a configurar la
carga de trabajo en cuestión. Para empezar, evalúe varios enfoques para el inventario y la visibilidad.
Opciones de inventario y visibilidad
Nivelación de la administración entre las materias
de administración de la nube
06/03/2021 • 8 minutes to read • Edit Online
Las claves de una administración adecuada en cualquier entorno son la coherencia y los procesos repetibles.
Hay infinitas opciones para las tareas que se pueden hacer en Azure. Del mismo modo, hay innumerables
estrategias de administración de la nube. Para proporcionar coherencia y repetibilidad, es importante restringir
esas opciones a un conjunto coherente de herramientas y procesos de administración que se ofrecerán para las
cargas de trabajo hospedadas en la nube.
Como punto de partida, considere la posibilidad de establecer los niveles de administración que se muestran en
el diagrama anterior y que se sugieren en la lista siguiente:
Base de referencia de administración: una base de referencia de administración de la nube (o base de
referencia de administración) es el conjunto definido de herramientas, procesos y precios coherentes que
sirven de base para toda la administración de la nube en Azure. Para establecer una base de referencia de
administración de la nube y determinar las herramientas que se incluirán en la oferta de base de referencia
para su empresa, revise la lista de la sección "Materias de administración de la nube".
Base de referencia mejorada: puede que algunas cargas de trabajo requieran mejoras de la base de
referencia que no son necesariamente específicas de una sola plataforma o carga de trabajo. Aunque estas
mejoras no son rentables para todas las cargas de trabajo, debe haber procesos, herramientas y soluciones
comunes para cualquier carga de trabajo que pueda justificar los costos de permitir administración adicional.
Especialización de la plataforma: en cualquier entorno proporcionado, distintas cargas de trabajo utilizan
algunas plataformas comunes. Estos elementos comunes de la arquitectura general no cambian cuando las
empresas adoptan la nube. La especialización de la plataforma es un nivel elevado de administración que
aplica los datos y la experiencia en materia de arquitectura para proporcionar un mayor nivel de
administración operativa. Algunos ejemplos de especialización de la plataforma incluirían funciones de
administración específicas de SQL Server, contenedores, Active Directory u otros servicios que se pueden
administrar mejor mediante procesos, herramientas y arquitecturas coherentes y repetibles.
Especialización de la carga de trabajo: en el caso de las cargas de trabajo realmente críticas, los costos
de profundizar aún más en la administración de esa carga de trabajo pueden estar justificados. La
especialización de la carga de trabajo aplica la telemetría de las cargas de trabajo para determinar estrategias
más avanzadas para la administración diaria. Esos mismos datos a menudo identifican mejoras en la
automatización, la implementación y el diseño que llevarán a una mayor estabilidad, confiabilidad y
resistencia más allá de lo que es posible con la administración operativa por sí sola.
No admitidas: igual de importante es comunicar los procesos de administración comunes que no se
facilitarán mediante materias de administración de la nube en las cargas de trabajo clasificadas como no
admitidas o no críticas.
Las organizaciones también pueden optar por subcontratar las funciones relacionadas con uno o varios de estos
niveles de administración a un proveedor de servicios. Estos proveedores de servicios pueden usar Azure
Lighthouse para proporcionar una mayor precisión y transparencia.
En el resto de artículos de esta serie se describen los procesos que se encuentran normalmente en cada una de
estas materias. Al mismo tiempo, la guía de administración de Azure muestra las herramientas que puede
admitir cada uno de estos procesos. Si necesita ayuda para crear la base de referencia de administración,
comience con la guía de administración de Azure. Una vez establecida la base de referencia, esta serie de
artículos y los procedimientos recomendados que los acompañan pueden ayudarle a ampliarla para definir
otros niveles de asistencia de la administración.
Pasos siguientes
El siguiente paso en la definición de cada nivel de administración de la nube es entender el inventario y la
visibilidad.
Opciones de inventario y visibilidad
Inventario y visibilidad de la administración en la
nube
22/03/2021 • 13 minutes to read • Edit Online
La administración operativa depende claramente de los datos. Una administración coherente requiere conocer
lo que se administra (inventario) y de cómo cambian los recursos y las cargas de trabajo administradas con el
tiempo (visibilidad). La información clara y la visibilidad del inventario permiten al equipo administrar el
entorno de forma eficaz. El resto de actividades y procesos de administración operativa se basan en estas dos
áreas.
Algunas frases clásicas sobre la importancia de las medidas establecen la línea de este artículo:
Administrar lo que importa.
Solo se puede administrar lo que se puede medir.
Si no se puede medir, es posible que no sea importante.
La materia de inventario y visibilidad se basa en estas frases atemporales. Para poder establecer de manera
eficaz los procesos de administración operativa, es importante recopilar datos y crear el nivel adecuado de
visibilidad para los equipos correctos.
Procesos
Quizás más importante que las características de la plataforma de administración en la nube son los procesos
de administración en la nube, que se encargarán de los compromisos de operaciones con la empresa. Cualquier
metodología de administración en la nube debe incluir, como mínimo, los siguientes procesos:
Super visión reactiva: cuando las desviaciones afectan negativamente a las operaciones empresariales,
¿quién aborda esas desviaciones? ¿Qué acciones llevan a cabo para corregir las desviaciones?
Super visión proactiva: cuando se detectan desviaciones pero las operaciones empresariales no se ven
afectadas, ¿cómo se abordan esas desviaciones y quién lo hace?
Informes de compromiso: ¿cómo se comunica el cumplimiento del compromiso de la empresa a las
partes interesadas del negocio?
Revisiones presupuestarias: ¿Cuál es el proceso de revisión de dichos compromisos con relación a los
costos presupuestados? ¿Cuál es el proceso de ajuste de la solución implementada o de los compromisos
para crear la alineación?
Rutas de escalación: ¿Qué rutas de escalación hay disponibles cuando alguno de los procesos anteriores
no satisface las necesidades del negocio?
Hay varios procesos más relacionados con el inventario y la visibilidad. La lista anterior está diseñada para
generar ideas en el equipo de operaciones. Responder a estas preguntas ayudará a desarrollar algunos de los
procesos necesarios y, probablemente, a desencadenar nuevas preguntas más profundas.
Responsabilidades
Cuando desarrolla procesos de supervisión de las operaciones, es igualmente importante determinar las
responsabilidades de soporte regular y de las operaciones diarias para cada proceso.
En una organización de TI centralizada, el departamento de TI proporciona la experiencia operativa. La empresa
tendría una naturaleza consultiva cuando se requiere una corrección para los problemas.
En la organización de un centro de excelencia en la nube, las operaciones empresariales proporcionarían la
experiencia y serían responsables de la administración de estos procesos. El departamento de TI se centraría en
la automatización y la prestación de soporte a los equipos, ya que operan en el entorno.
Sin embargo, estas son las responsabilidades comunes. A menudo, las organizaciones requieren una
combinación de responsabilidades para satisfacer los compromisos del negocio.
Pasos siguientes
El cumplimiento operativo se basa en las funcionalidades de inventario y en la aplicación de controles y
automatización de la administración. Consulte la correspondencia entre el cumplimiento operativo y sus
procesos.
Plan de cumplimiento operativo
Cumplimiento operativo en la administración de la
nube
23/03/2021 • 6 minutes to read • Edit Online
El cumplimiento operativo se basa en la materia de inventario y visibilidad. Como primer paso accionable de la
administración de la nube, esta materia se centra en las revisiones habituales de los datos de telemetría y en los
trabajos de corrección (tanto proactivos como reactivos). Esta materia es la piedra angular para mantener el
equilibrio entre la seguridad, la gobernanza, el rendimiento y los costos.
Pasos siguientes
Protección y recuperación, esas son las siguientes áreas que se deben considerarse en una base de referencia
para la administración de la nube.
Protección y recuperación
Protección y recuperación en la administración de la
nube
06/03/2021 • 12 minutes to read • Edit Online
Después de cumplir los requisitos de inventario y visibilidad y de cumplimiento operativo, los equipos de
administración de la nube se pueden anticipar y prepararse para una posible interrupción de la carga de trabajo.
Cuando planean la administración de la nube, los equipos deben plantearse la posibilidad de que se produzca
un error.
No hay ninguna solución técnica que pueda ofrecer constantemente un Acuerdo de Nivel de Servicio de tiempo
de actividad del 100 %. Aquellas soluciones con las arquitecturas más redundantes afirman que pueden ofrecer
un tiempo de actividad de "seis nueves", es decir, del 99,9999 %. Pero incluso estas soluciones dejan de
funcionar durante 31,6 segundos como mínimo cada año. Además, es raro que una solución justifique la gran
inversión operativa constante que se necesita para alcanzar un tiempo de actividad de "seis nueves".
La preparación ante las interrupciones permite que el equipo detecte errores antes y se recupere más
rápidamente. El enfoque de esta materia se centra en los pasos siguientes que hay que tomar inmediatamente
después de un error del sistema. ¿Cómo se protegen las cargas de trabajo para que se puedan recuperar
rápidamente cuando se produce una interrupción?
Pasos siguientes
Una vez satisfecho este componente de la línea de base de administración, el equipo puede prepararse para
evitar interrupciones en sus operaciones de la plataforma y operaciones con cargas de trabajo.
Operaciones de la plataforma Operaciones con cargas de trabajo
Operaciones de plataforma en administración de la
nube
06/03/2021 • 14 minutes to read • Edit Online
Una base de referencia de administración de la nube que abarca inventario y visibilidad, cumplimiento operativo
y protección y recuperación puede proporcionar un nivel suficiente de administración de la nube para la
mayoría de las cargas de trabajo de la cartera de TI. Sin embargo, esa base de referencia rara vez es suficiente
para la cartera completa. Este artículo se basa en el siguiente paso más común de la administración de la nube,
las operaciones de cartera.
Un estudio rápido de los recursos de la cartera de TI resalta los patrones que se admiten en las cargas de
trabajo. Dentro de esas cargas de trabajo, habrá plataformas comunes. En función de las decisiones técnicas
anteriores de la empresa, esas plataformas pueden variar considerablemente.
En algunas organizaciones habrá una gran dependencia de SQL Server, Oracle u otras plataformas de datos de
código abierto. En otras organizaciones, los puntos en común se pueden originar en las plataformas host de las
máquinas virtuales (VM) o los contenedores. Otras pueden tener una dependencia común de aplicaciones o
sistemas de planeamiento de recursos empresariales (ERP), como SAP u Oracle.
La comprensión de estos puntos en común permite al equipo de administración de la nube especializarse en
niveles superiores de soporte para esas plataformas prioritarias.
NOTE
La creación de un catálogo de servicios requiere una gran cantidad de esfuerzo y tiempo de varios equipos. El uso del
catálogo de servicios o la lista aprobada como mecanismo de canalización ralentiza la innovación. Cuando la innovación es
una prioridad, los catálogos de servicios deben desarrollarse en paralelo a otras labores de adopción.
Pasos siguientes
En paralelo con las mejoras en las operaciones de plataforma, los equipos de administración de la nube también
se centran en mejorar las operaciones de carga de trabajo para las cargas de trabajo de producción del 20 % o
menos.
Mejora de las operaciones de carga de trabajo
Operaciones de la carga de trabajo en la
administración de la nube
22/03/2021 • 12 minutes to read • Edit Online
Algunas cargas de trabajo son críticas para el éxito de la empresa. En el caso de esas cargas de trabajo, una base
de referencia de administración no es suficiente para satisfacer los compromisos empresariales necesarios para
la administración de la nube. Puede que incluso las operaciones de la plataforma no sean suficientes para
satisfacer los compromisos empresariales. Este subconjunto de cargas de trabajo de gran importancia requiere
un enfoque especializado respecto de la forma en que funciona la carga de trabajo y cómo se respalda.
A cambio, la inversión en operaciones de la carga de trabajo puede conducir a mejoras en el rendimiento, un
menor riesgo de interrupción del negocio y una recuperación más rápida cuando se producen errores del
sistema. En este artículo se describe un enfoque para la inversión en las operaciones continuadas de estas
cargas de trabajo de alta prioridad con el fin de favorecer mejores compromisos de negocio.
Pasos siguientes
Con un conocimiento completo de la metodología de administración dentro de Cloud Adoption Framework,
ahora está preparado para implementar los principios de administración de la nube. Aprenda a hacer que esta
metodología sea útil en el entorno de operaciones.
Aplicación de esta metodología
Aplicación de principios de diseño y operaciones
avanzadas
06/03/2021 • 15 minutes to read • Edit Online
Las tres primeras materias de administración de la nube describen una línea de base de administración. Como
mínimo, una línea de base de administración debe incluir un compromiso empresarial estándar para minimizar
las interrupciones del negocio y acelerar la recuperación si se interrumpe el servicio. La mayoría de las líneas de
base de administración incluyen una materia centrada en el mantenimiento del "inventario y visibilidad", el
"cumplimiento operativo" y la "protección y recuperación".
El propósito de una línea base de administración es crear una oferta coherente que proporcione un nivel
mínimo de compromiso empresarial para todas las cargas de trabajo que se admiten. Esta línea de base de
ofertas de administración repetibles comunes permite al equipo ofrecer un grado de administración operativa
altamente optimizado con una desviación mínima. Sin embargo, es posible que esa oferta estándar no ofrezca
un compromiso suficientemente completo para la empresa.
En el diagrama de la siguiente sección se muestran tres maneras de ampliar la línea de base de administración.
La línea de base de administración debe cumplir el compromiso mínimo requerido por el 80 % de las cargas de
trabajo de importancia crítica más baja de la cartera. La línea de base no se debe aplicar a las cargas de trabajo
críticas. Tampoco debería aplicarse a plataformas comunes que se comparten entre cargas de trabajo. Esas
cargas de trabajo requieren concentrarse en los principios de diseño y las operaciones avanzadas.
Especialización de la administración
Hay diversos aspectos de las operaciones de carga de trabajo y plataforma que pueden requerir cambios en los
principios de diseño y arquitectura. Estos cambios pueden tardar un tiempo y generar mayores gastos de
funcionamiento. Para reducir el número de cargas de trabajo que requieren tales inversiones, una línea de base
de administración mejorada podría proporcionar una mejora en el compromiso empresarial.
En el caso de las cargas de trabajo que justifican una mayor inversión para satisfacer un compromiso
empresarial, la especialización de las operaciones es clave.
A menudo, los clientes experimentan antipatrones durante la fase de operación o administración de la adopción
de la nube. Al introducir cadenas de herramientas nuevas o modernizadas con precaución, a menudo se pueden
evitar estos antipatrones.
Pasos siguientes
Compromiso empresarial en la administración de la nube
Administración de la alineación de la organización
06/03/2021 • 5 minutes to read • Edit Online
No se puede llevar a cabo la adopción de la nube sin personas bien organizadas. La adopción correcta de la
nube es el resultado de un equipo de personas debidamente cualificadas, que realiza los tipos de trabajo
adecuados, en consonancia con objetivos empresariales claramente definidos y en un entorno bien
administrado. Para ofrecer un modelo de funcionamiento eficaz para la nube, es importante establecer
estructuras organizativas con el personal adecuado. En este artículo se describe un enfoque para establecer y
mantener las estructuras organizativas adecuadas en cuatro pasos.
Los ejercicios siguientes le ayudarán a guiar el proceso de creación de una zona de aterrizaje que admita la
adopción de la nube.
Tipo de estructura
Las siguientes estructuras organizativas no tienen por qué asignarse a un organigrama. Normalmente, los
organigramas reflejan estructuras de administración de mando y control. Por el contrario, las siguientes
estructuras organizativas están diseñadas para capturar la alineación de los roles y las responsabilidades. En una
organización matricial ágil, la mejor forma de representar estas estructuras es como equipos virtuales. No hay
ninguna limitación que sugiera que estas estructuras organizativas no se pudieran representar en un
organigrama, pero no son necesarias para crear un modelo operativo eficaz.
El primer paso en la administración de la alineación organizativa consiste en determinar cómo realizar las
siguientes estructuras organizativas:
Alineación del organigrama: Las jerarquías de administración, las responsabilidades del administrador y
la alineación del personal se alinearán con las estructuras organizativas.
Equipos vir tuales: Las estructuras de administración y los organigramas permanecen sin cambios. En su
lugar, se crearán equipos virtuales que se encargarán de las funciones necesarias.
Modelo mixto: Es más habitual que se necesite una combinación de alineación de organigrama y equipo
virtual para conseguir objetivos de transformación.
Un equipo de estrategia de la nube define las motivaciones y los resultados empresariales y valida y mantiene la
alineación entre las prioridades empresariales y los esfuerzos de adopción de la nube. En ausencia de un equipo
de estrategia de la nube definido, alguien debe proporcionar la funcionalidad para alinear las actividades
técnicas con los resultados empresariales. Esa misma persona o grupo también debe administrar los cambios a
lo largo del proyecto.
Por lo general, los tipos de roles siguientes proporcionan las funciones de estrategia de la nube. Cuando se
define un equipo de estrategia de la nube, debe incluir muchos de los siguientes roles:
Finance
Línea de negocio
Recursos humanos
Operaciones
Arquitectura empresarial
Infraestructura de TI
Grupos de aplicaciones
Jefes de proyecto (a menudo con experiencia en la administración ágil de proyectos)
Esto ayuda a guiar los esfuerzos principales de asignación de prioridades y detección durante la adopción de la
nube. También puede desencadenar cambios en los procesos empresariales, la ejecución de operaciones, las
interacciones de los clientes o incluso el desarrollo del producto. Si estas funciones se reducen a TI, se limitará el
éxito de los esfuerzos de adopción de la nube. Para promover un verdadero cambio empresarial, los líderes de la
empresa deben ser el origen principal de esta funcionalidad. Un equipo definido de estrategia de la nube
proporciona un medio para involucrar a los participantes clave de una manera estructurada.
NOTE
El CEO y el CIO de la organización suelen asignar el equipo. Normalmente, las asignaciones se basan en permitir a este
equipo controlar los cambios que se producen en las diferentes organizaciones de la empresa. Los miembros del equipo
de estrategia de la nube deben asignarse en función de las motivaciones para la adopción de la nube, los resultados
empresariales y los modelos financieros pertinentes.
Preparación
Descubra el valor empresarial de Microsoft Azure.
Descubra como Cloud Adoption Framework puede ayudarlo a alinear la estrategia para la empresa, las
personas y la tecnología.
Revise el proceso de estrategia de adopción de la nube.
Descargue la plantilla de estrategia y plan.
Ámbito mínimo
Alinee las partes interesadas del negocio para maximizar el valor empresarial de las inversiones en adopción de
la nube.
Siempre que sea posible, se deben definir los resultados empresariales y la estrategia de la nube en una fase
temprana del proceso. A medida que crecen las inversiones en la adopción de la nube y se obtienen valores
empresariales, las partes interesadas del negocio suelen implicarse más. Cuando la empresa lidera los esfuerzos
de adopción de la nube, el enfoque podría estar en un modelo operativo y en la organización.
Establecimiento de una visión
Motivaciones para la adopción: Documente y articule los motivos del esfuerzo técnico.
Resultados empresariales: Articule claramente lo que se espera del equipo técnico en lo que respecta a los
cambios empresariales.
Métricas de aprendizaje: Establezca métricas a corto plazo que puedan mostrar el progreso hacia los
resultados empresariales a largo plazo.
Creación de una justificación comercial
Creación de un caso empresarial de migración a la nube. Establezca un caso empresarial para la migración a
la nube.
Racionalización del patrimonio digital
Racionalización incremental: Un enfoque ágil para la racionalización que alinea correctamente las decisiones
técnicas enlazadas en tiempo de ejecución.
Las cinco "R" de la racionalización: Comprender las diversas opciones de racionalización.
Resultado esperado
El equipo de estrategia de la nube impulsa los esfuerzos críticos de detección y establecimiento de prioridades
durante la adopción de la nube. También pueden cambiar los procesos empresariales, la ejecución de
operaciones, las interacciones de los clientes o incluso el desarrollo del producto. El objetivo principal del equipo
de estrategia de la nube es validar y mantener la alineación entre las prioridades empresariales y los esfuerzos
de adopción de la nube. En segundo lugar, este equipo se tiene que centrar en la administración de cambios de
todos los esfuerzos de adopción. El equipo de estrategia de la nube debe ser capaz de cumplir con las tareas
siguientes.
Tareas de planeamiento iniciales:
Revise y proporcione comentarios sobre los resultados empresariales y los modelos financieros.
Ayude a establecer motivaciones claras para la adopción de la nube que estén alineadas con los objetivos
corporativos.
Defina métricas de aprendizaje relevantes que muestren claramente el progreso hacia la consecución de los
resultados empresariales.
Comprenda que los riesgos empresariales que genera el plan representan la tolerancia al riesgo de la
empresa.
Revise y apruebe la racionalización del patrimonio digital.
Tareas mensuales continuadas:
Apoye al equipo de gobernanza de la nube durante las conversaciones sobre riesgos o tolerancia a estos.
Revise los planes de lanzamiento para comprender las escalas de tiempo y el impacto empresarial de los
cambios técnicos.
Defina los planes de cambios empresariales asociados a los lanzamientos planeados.
Asegúrese de que los equipos empresariales están preparados para ejecutar las pruebas empresariales y el
plan de cambio empresarial.
Cadencia de las reuniones:
Los miembros del equipo de estrategia en la nube deben se capaces de asignar el tiempo necesario para planear
y desarrollar la estrategia en la nube:
Durante los primeros esfuerzos de planeamiento, asigne una hora cada semana para reunirse con el equipo.
Una vez que se consolide el plan de adopción (por lo general, en 4-6 semanas), se pueden reducir los
requisitos de tiempo.
A lo largo de los esfuerzos de adopción, asigne 1 o 2 horas al mes para revisar el progreso y validar las
prioridades continuas.
Es probable que se necesite un tiempo adicional para los miembros delegados del equipo ejecutivo según
sea necesario. Cada miembro del equipo de estrategia de la nube debe designar un delegado que pueda
disponer de 5-10 horas por semana para atender preguntas sobre la priorización en curso e informar sobre
necesidades urgentes.
Pasos siguientes
Inicie un equipo de estrategia de la nube.
Alinee su estrategia con las funciones de adopción de la nube mediante la creación de un equipo de
adopción de la nube con el cual trabajar.
Use la plantilla de RACI para alinear las responsabilidades entre los equipos.
Funciones de adopción de la nube
06/03/2021 • 8 minutes to read • Edit Online
Las funciones de adopción de la nube permiten la implementación de soluciones técnicas en la nube. Al igual
que en cualquier proyecto de TI, las personas que llevan a cabo el trabajo real determinarán su éxito. Los
equipos que proporcionan las funciones necesarias de adopción de la nube pueden formarse de la mano de
diversos expertos en la materia o asociados de implementación.
Los equipos de adopción de la nube son el equivalente moderno de los equipos de implementación técnica o los
equipos de proyecto. No obstante, la naturaleza de la nube puede requerir una estructura de equipo más fluida.
Algunos equipos se centran exclusivamente en la migración a la nube, mientras que otros se centran en las
innovaciones que aprovechan las tecnologías en la nube. Algunos equipos cuentan con los amplios
conocimientos técnicos necesarios para completar grandes trabajos de adopción, como una migración completa
del centro de datos. Otros equipos tienen un enfoque técnico más estricto y pueden moverse entre proyectos
para lograr objetivos específicos. Un ejemplo sería un equipo de especialistas en plataformas de datos que
ayudan a convertir máquinas virtuales SQL en instancias PaaS de SQL.
Independientemente del tipo o el número de equipos de adopción de la nube, la funcionalidad necesaria para la
adopción de la nube la proporcionan expertos en la materia que se encuentran entre los asociados de TI, análisis
empresarial o implementación.
Según los resultados empresariales deseados, algunas de las aptitudes necesarias para proporcionar
funcionalidades completas de adopción de la nube podrían ser las siguientes:
Implementadores de infraestructura
Ingenieros de DevOps
Desarrolladores de aplicaciones
Científicos de datos
Especialistas en plataformas de aplicaciones o datos
Para una colaboración y eficiencia óptimas, se recomienda que los equipos de adopción de la nube tengan un
tamaño medio de seis personas. Estos equipos deben organizarse internamente desde una perspectiva de
ejecución técnica. Se recomienda encarecidamente que estos equipos incluyan también expertos en
administración de proyectos, con una mayor experiencia en Agile, Scrum u otros modelos iterativos. Este equipo
es más eficaz cuando se administra mediante una estructura plana.
Preparación
Creación de una cuenta de Azure: El primer paso para usar Azure es crear una cuenta.
Portal de Azure: Pasee por las características y servicios de Azure Portal, y personalice el portal.
Introducción a Azure: comience a usar Azure. Cree y configure su primera máquina virtual en la nube.
Aspectos básicos de Azure: Conozca los conceptos de la nube, comprenda las ventajas, compare y contraste
las estrategias básicas y explore la amplitud de servicios disponibles en Azure.
Revise la metodología de migración.
Ámbito mínimo
El núcleo de todos los trabajos de adopción de la nube es el equipo de migración a la nube. Este equipo impulsa
los cambios técnicos que permiten la adopción. En función de los objetivos del esfuerzo de adopción, este
equipo puede estar compuesto por una gama diversa de miembros que se ocupan de un amplio conjunto de
tareas técnicas y comerciales.
Como mínimo, el ámbito del equipo incluye:
Racionalización del patrimonio digital
Revisión, validación y avance en el trabajo pendiente de migración prioritario
La ejecución de la primera carga de trabajo como una oportunidad de aprendizaje.
Resultado
La principal necesidad de cualquier función de adopción de la nube es la implementación oportuna y de alta
calidad de las soluciones técnicas que se describen en el plan de adopción. Estas soluciones deben estar en
consonancia con los requisitos de gobernanza y los resultados empresariales, y deben aprovechar las ventajas
de la tecnología, las herramientas y las soluciones de automatización que están disponibles para el equipo.
Tareas de planeamiento iniciales:
Ejecución de la racionalización del patrimonio digital.
Revisión, validación y avance en el trabajo pendiente de migración prioritario.
Comienzo de la ejecución de la primera carga de trabajo como oportunidad de aprendizaje.
Tareas mensuales continuadas:
Supervisión de los procesos de administración de cambios.
Administración de los trabajos pendientes de lanzamiento y sprint.
Creación y mantenimiento de la zona de aterrizaje de la adopción junto con los requisitos de gobernanza.
Ejecución de las tareas técnicas indicadas en los trabajos pendientes de sprint.
Cadencia de las reuniones:
Se recomienda que los equipos que proporcionan las funciones de adopción de la nube se dediquen a esta labor
a tiempo completo.
Es preferible que estos equipos se reúnan a diario y se organicen internamente. El objetivo de las reuniones
diarias es actualizar rápidamente el trabajo pendiente y comunicar qué se ha completado, qué se debe realizar
hoy, y qué está bloqueado y precisa soporte externo adicional.
Las programaciones de los lanzamientos y la duración de las iteraciones son únicas para cada empresa. Aunque
parece que la duración media se sitúa en un intervalo de una a cuatro semanas por iteración. Con
independencia de la cadencia de iteración o de lanzamiento, se recomienda que el equipo se reúna con todos los
equipos auxiliares al final de cada lanzamiento para comunicar el resultado del lanzamiento y volver a
establecer la prioridad de los siguientes trabajos. Del mismo modo, resulta útil la reunión del equipo al final de
cada sprint con el centro de excelencia de la nube o con el equipo de gobernanza de la nube para mantenerse al
día del trabajo común y de las necesidades de apoyo.
Algunas de las tareas técnicas asociadas a la adopción de la nube pueden volverse repetitivas. Los miembros del
equipo deben rotar cada 3–6 meses para evitar problemas de satisfacción de los empleados y mantener las
aptitudes adecuadas. Un puesto rotatorio en el centro de excelencia de la nube o en el equipo de gobernanza de
la nube puede suponer una excelente oportunidad para mantener a los empleados actualizados y aprovechar
las innovaciones.
Más información sobre la función de un centro de excelencia de la nube o de un equipo de gobernanza de la
nube.
Pasos siguientes
Formación de un equipo de adopción de la nube
Alinee los trabajos de adopción de la nube con las funciones de gobernanza de la nube para acelerar la
adopción e implementar los procedimientos recomendados y reducir al mismo tiempo los riesgos
empresariales y técnicos.
Funciones de gobernanza de la nube
06/03/2021 • 16 minutes to read • Edit Online
El equipo de gobernanza de la nube garantiza una evaluación y administración correctas de los riesgos y la
tolerancia a ellos. Este equipo garantiza la identificación adecuada de los riesgos que no puede tolerar la
empresa. Las personas de este equipo convierten los riesgos en directivas corporativas de gobernanza.
Según los resultados empresariales deseados, algunas de las aptitudes necesarias para proporcionar funciones
completas de gobernanza de la nube son:
Gobernanza de TI
Arquitectura empresarial
Seguridad
Operaciones de TI
Infraestructura de TI
Redes
Identidad
Virtualización
Continuidad empresarial y recuperación ante desastres
Propietarios de aplicaciones dentro de TI
Propietarios de finanzas
Estas funciones de base de referencia le ayudan a identificar los riesgos relacionados con las versiones actuales
y futuras. Estos trabajos le ayudan a evaluar el riesgo, comprender los posibles efectos y tomar decisiones
respecto a la tolerancia a los riesgos. Cuando los haga, actualice rápidamente los planes para que reflejen las
necesidades cambiantes del equipo de migración a la nube.
Preparación
Revise la metodología de gobernanza.
Realice una valoración del banco de pruebas de gobernanza.
Introducción a la seguridad en Azure: conozca los conceptos básicos para proteger la infraestructura y los
datos en la nube. Conozca cuáles son sus responsabilidades y de cuáles se encarga Azure.
Aprenda a trabajar entre grupos para administrar los costos.
Ámbito mínimo
Comprender los riesgos empresariales introducidos por el plan
Representar la tolerancia al riesgo de la empresa
Ayudar a crear un MVP de gobernanza
Implique a los siguientes participantes en las actividades de gobernanza de la nube:
Los líderes de la administración media y los colaboradores directos en puestos destacados deben
representar a la empresa ayudarán a evaluar la tolerancia al riesgo.
Las funciones de gobernanza de la nube se ofrecen como una extensión del equipo de estrategia de la nube.
Igual que se espera que el director de sistemas (CIO) y los líderes empresariales participen en las funciones
de estrategia de la nube, se espera que sus subordinados directos participen en las actividades de
gobernanza de la nube.
Los empleados de la empresa que son miembros de la unidad de negocio que trabajan estrechamente con la
dirección de la línea de negocio deben estar capacitados para tomar decisiones relacionadas con el riesgo
técnico y corporativo.
Los empleados de tecnologías de la información (TI) y seguridad de la información (IS) que comprenden los
aspectos técnicos de la transformación hacia nube pueden servir de capacidad rotativa en lugar de como
proveedor constante de funciones de gobernanza de la nube.
Resultado
La misión de la gobernanza de la nube es equilibrar las fuerzas contrarias de transformación y la mitigación de
los riesgos. Además, la gobernanza de la nube garantiza que el equipo de migración a la nube está al tanto de
las directrices sobre arquitectura y clasificación de datos y recursos que regulan la adopción. Los equipos o
personas de gobernanza también trabajan con el centro de excelencia de la nube para aplicar enfoques
automatizados a los entornos de gobernanza de la nube.
Tareas mensuales continuadas:
Comprender los riesgos empresariales introducidos en cada versión
Representar la tolerancia al riesgo de la empresa
Ayudar a la mejora incremental de los requisitos de cumplimiento y directivas.
Cadencia de las reuniones:
El compromiso de tiempo de cada miembro del equipo de gobernanza de la nube representará un gran
porcentaje de sus programaciones diarias. Las contribuciones no se limitarán a reuniones y ciclos de
comentarios.
Fuera de ámbito
A medida que se extiende la adopción, el equipo de gobernanza de la nube puede tener problemas para
mantenerse al ritmo de las innovaciones. Esto es especialmente cierto en entornos que tienen requisitos
intensivos de cumplimiento, operaciones o seguridad. Si este es el caso, puede desplazar algunas
responsabilidades a un equipo de TI existente para reducir el ámbito del equipo de gobernanza.
Pasos siguientes
Algunas organizaciones de gran tamaño cuentan ya con equipos dedicados que se centran en la gobernanza de
TI. Estos equipos se especializan en la administración de riesgos en la cartera de TI. Cuando se tienen estos
equipos, los siguientes modelos de madurez se pueden acelerar rápidamente. Aunque se recomienda que el
equipo de gobernanza de TI revise el modelo de gobernanza de la nube para comprender cómo la gobernanza
cambia ligeramente en la nube. Los artículos principales incluyen la extensión de la directiva corporativa a la
nube y las cinco materias de la gobernanza de la nube.
Sin gobernanza: a menudo, las organizaciones se mueven a la nube sin planes claros de gobernanza.
Enseguida, los problemas relacionadas con la seguridad, el costo, la escala y las operaciones comienzan a
desencadenar conversaciones sobre la necesidad de un modelo de gobernanza y la dotación de personal para
llevar a cabo los procesos asociados con ese modelo. Iniciar esas conversaciones antes de que se conviertan en
problemas es siempre un buen primer paso para superar el antipatrón de "sin gobernanza". La sección sobre la
definición de la directiva corporativa puede ayudar a facilitar esas conversaciones.
Gobernanza bloqueada: cuando los problemas entono a la seguridad, el costo, la escala y las operaciones
quedan sin respuesta, los proyectos y los objetivos empresariales tienden a bloquearse. La falta de una
gobernanza adecuada genera temor, incertidumbre y dudas entre las partes interesadas y los ingenieros. Tome
medidas lo antes posible para impedir que esta situación avance. Las dos guías de gobernanza definidas en
Cloud Adoption Framework pueden ayudarle a comenzar poco a poco, a establecer directivas inicialmente
limitadoras para reducir la incertidumbre y a desarrollar la gobernanza con el tiempo. Elija entre la guía de
empresa compleja o la guía de empresa estándar.
Gobernanza voluntaria: En todas las empresas siempre hay algunos valientes. Personas que están dispuestas
a lanzarse y ayudar al equipo a aprender de sus errores. A menudo así es como comienza la gobernanza, en
especial en empresas pequeñas. Estos valientes se ofrece como voluntarios para resolver algunos problemas y
empujar a los equipos de adopción de la nube hacia un conjunto de procedimientos recomendados coherentes
y bien administrados.
Los esfuerzos de estas personas son mucho mejores que los escenarios "sin gobernanza" o "gobernanza
bloqueada". Aunque estos esfuerzos son dignos de elogio, este enfoque no debe confundirse con la gobernanza.
Una gobernanza adecuada requiere algo más que ayuda esporádica para impulsar la coherencia, que es el
objetivo de cualquier buen enfoque de gobernanza. La guía de las cinco materias de gobernanza de la nube
puede ayudar a desarrollar esta materia.
Custodio de la nube: este apodo se ha convertido en una insignia de honor para muchos arquitectos de la
nube que se especializan en la gobernanza en su fase temprana. La primera vez que se emprenden las prácticas
de gobernanza, los resultados parecen similares a los de los voluntarios de la gobernanza. Aunque hay una
diferencia fundamental. Un custodio de la nube tiene un plan en mente. En esta fase de madurez, el equipo
dedica tiempo a limpiar el desorden realizado por los arquitectos de la nube que llegaron antes que ellos.
Aunque el custodio de la nube alinea esa labor con directivas corporativas bien estructuradas. También usa
herramientas de gobernanza, como las que se describen en el MVP de gobernanza.
Otra diferencia fundamental entre un custodio de la nube y un voluntario de la gobernanza es el apoyo de la
dirección. El voluntario invierte horas adicionales y sobrepasa las expectativas normales por su afán de aprender
y hacer. El custodio de la nube obtiene el respaldo de la dirección para reducir sus deberes diarios y garantizar
que se pueden invertir las asignaciones normales de tiempo en la mejora de la gobernanza de la nube.
Guardián de la nube: a medida que se consolidan los procedimientos de gobernanza y los equipos de
adopción de la nube las aceptan, el rol de los arquitectos de la nube especializados en la gobernanza cambia un
poco, al igual que el del equipo de gobernanza de la nube. Por lo general, los procedimientos más madurados se
ganan la atención de los expertos en la materia, quienes pueden ayudar a reforzar las protecciones que
proporcionan las implementaciones de la gobernanza.
Aunque la diferencia es sutil, esta es una distinción importante al crear una cultura de TI centrada en la
gobernanza. Un administrador en la nube se encarga de solucionar los problemas que crean los arquitectos en
la nube con sus innovaciones, así que se puede decir que estos dos roles tienen objetivos encontrados. Un
administrador en la nube ayuda a mantener la nube segura, para que los arquitectos en la nube puedan
moverse rápidamente y crear menos problemas.
Los guardianes de la nube comienzan con enfoques de gobernanza avanzados a fin de acelerar la
implementación de la plataforma y ayudar a los equipos a ser autosuficientes en cuanto a sus necesidades
ambientales, de modo que puedan avanzar más rápido. Ejemplos de estas funciones más avanzadas se aprecian
en las mejoras incrementales del MVP de gobernanza, como la mejora de la base de referencia de seguridad.
Aceleradores de la nube: los guardianes y los custodios de la nube recopilan de forma natural scripts y
herramientas de gobernanza que aceleran la implementación de entornos, plataformas o incluso componentes
de varias aplicaciones. Conservar y compartir estos scripts, además de las responsabilidades de gobernanza
centralizadas, desarrolla un alto grado de respeto por estos arquitectos en todo el ámbito de TI.
Aquellos profesionales de gobernanza que compartan de forma abierta sus scripts conservados ayudarán a
ofrecer proyectos tecnológicos con mayor rapidez y a incorporar la gobernanza en la arquitectura de las cargas
de trabajo. Esta influencia de la carga de trabajo y el respaldo de unos buenos patrones de diseño elevan los
aceleradores de la nube a una categoría mayor de especialista en gobernanza.
Gobernanza global: cuando las organizaciones dependen de necesidades de TI distribuidas globalmente,
puede haber desviaciones importantes en las operaciones y la gobernanza de diversas zonas geográficas. Las
demandas de las unidades de negocio e incluso los requisitos de soberanía de los datos locales pueden hacer
que los procedimientos recomendados de gobernanza interfieran con las operaciones necesarias. En estos
casos, un modelo de gobernanza por niveles permite una coherencia mínimamente viable y una gobernanza
localizada. En el artículo sobre varios niveles de gobernanza se proporciona más información sobre el alcance
de este nivel de madurez.
Cada empresa es única y, por lo tanto, también lo son sus necesidades de gobernanza. Elija el nivel de madurez
que mejor se adapte a su organización y use Cloud Adoption Framework para que guíe las prácticas, los
procesos y las herramientas que le ayuden a conseguirlo.
A medida que la gobernanza de la nube madure, los equipos estarán capacitados para adoptar la nube a un
ritmo mayor. Los continuos esfuerzos de adopción de la nube tienden a desencadenar la madurez en las
operaciones de TI. Desarrolle un equipo de operaciones de la nube, o bien permanezca sincronizado con su
equipo de operaciones de la nube para asegurarse de que la gobernanza forme parte del desarrollo de las
operaciones.
Más información sobre el inicio de un equipo de gobernanza de la nube o un equipo de operaciones de la nube.
Cuando haya establecido una base inicial de gobernanza de la nube, use los procedimientos que se indican en
Mejoras de una base de gobernanza para avanzar en el plan de adopción y evitar riesgos.
Funciones del equipo de TI central
06/03/2021 • 18 minutes to read • Edit Online
A medida que se extiende la adopción de la nube, puede que las funcionalidades de gobernanza de la nube no
sean suficientes por sí solas para gobernar los trabajos de adopción. Si la adopción es gradual, los equipos
tienden a desarrollar orgánicamente las aptitudes y los procesos necesarios para estar preparados para la nube
con el tiempo.
No obstante, cuando un equipo de adopción de la nube usa esta para lograr un resultado empresarial de alto
perfil, este rara vez es el caso. El éxito llama al éxito. Esto también es cierto en la adopción de la nube, pero se
produce en la escala de la nube. Cuando la adopción de la nube se amplía de un equipo a varios equipos con
relativa rapidez, se necesita soporte técnico adicional por parte del personal de TI existente. No obstante, es
posible que ese personal no tenga el entrenamiento y la experiencia necesarios para dar soporte técnico a la
nube mediante herramientas de TI nativas en la nube. Esto a menudo conduce a la formación de un equipo de TI
central que gobierna la nube.
Cau t i on
Aunque se trata de un paso habitual del proceso de consolidación, su adopción puede suponer un riesgo
elevado y es posible que bloquee los esfuerzos de innovación y migración si no se administra correctamente.
Consulte la sección sobre riesgos que aparece a continuación para aprender a mitigar el riesgo de que la
centralización se convierta en un antipatrón cultural.
Las aptitudes necesarias para proporcionar funciones de TI centralizadas pueden proceder de:
Un equipo de TI centralizado existente
Arquitectos empresariales
Operaciones de TI
Gobernanza de TI
Infraestructura de TI
Redes
Identidad
Virtualización
Continuidad empresarial y recuperación ante desastres
Propietarios de aplicaciones dentro de TI
WARNING
Las funciones de TI centralizadas solo se deberían aplicar en la nube si el entorno local existente de trabajo se basa en un
modelo de equipo de TI central. Si el modelo local actual se basa en el control delegado, considere la posibilidad de
emplear una estrategia con un centro de excelencia de la nube (CCoE) como alternativa más adecuada para la nube.
Principales responsabilidades
Adapte los procedimientos de TI existentes para asegurarse de que los esfuerzos de adopción den como
resultado entornos bien gobernados y bien administrados en la nube.
Las siguientes tareas se ejecutan normalmente con regularidad:
Tareas estratégicas
Revisión:
Resultados empresariales.
Modelos financieros
Motivaciones para la adopción de la nube
Riesgos empresariales
Racionalización del patrimonio digital
Supervisión de los planes de adopción y del progreso en comparación con los trabajos pendientes de
migración prioritarios.
Identificación y clasificación por orden de prioridad de los cambios necesarios para dar soporte a los trabajos
pendientes de la migración.
Actuar como un nivel intermedio o de traducción entre las necesidades de adopción de la nube y los equipos
de TI existentes.
Aprovechamiento de los equipos de TI existentes para acelerar las funciones de la plataforma y permitir la
adopción.
Tareas técnicas
Creación y mantenimiento de la plataforma en la nube que admita las soluciones.
Definición e implementación de la arquitectura de la plataforma.
Funcionamiento y administración de la plataforma en la nube.
Mejora continua de la plataforma.
Mantenerse al día de las innovaciones en la plataforma de nube.
Proporcionar nuevas funciones de nube para respaldar la creación de valor empresarial.
Sugerir soluciones de autoservicio.
Asegurarse de que las soluciones cumplen los requisitos de gobernanza y cumplimiento existentes.
Creación y validación de la implementación de la arquitectura de la plataforma.
Revisión de los planes de lanzamiento para conocer el origen de los nuevos requisitos de la plataforma.
Pasos siguientes
A medida que el equipo de TI central va madurando sus funcionalidades de la nube, el siguiente paso de
madurez es normalmente el acoplamiento débil de las operaciones de la nube. La disponibilidad de
herramientas de administración de operaciones nativas en la nube y unos costos operativos más bajos de las
soluciones basadas en PaaS, a menudo conducen a los equipos empresariales (o, más concretamente, a los
equipos de desarrollo y operaciones de la empresa) a asumir la responsabilidad de las operaciones en la
nube.
Más información sobre:
Creación de un equipo de operaciones de la nube
Operaciones y funciones de la nube
Operaciones y funciones de la nube
12/03/2021 • 6 minutes to read • Edit Online
IMPORTANT
Las personas o equipos responsables de las operaciones en la nube suelen ser responsables de realizar cambios reactivos
en la configuración durante la corrección. También es probable que sean responsables de los cambios de configuración
proactivos para minimizar las interrupciones operativas. Según el modelo de funcionamiento de la nube en las
organizaciones, dichos cambios se pueden ofrecer a través de la infraestructura como código, Azure Pipelines, o como una
configuración directa en el portal. Dado que es probable que el equipo de operaciones tenga permisos elevados, es muy
importante que los que cumplen este rol sigan los procedimientos recomendados de identidad y control de acceso para
minimizar los cambios de acceso o de producción no deseados.
Preparación
Administración de recursos en Azure: aprenda a trabajar con la CLI de Azure y el portal web para crear,
administrar y controlar los recursos basados en la nube.
Servicios de red de Azure: conozca los aspectos básicos de las redes de Azure y aprenda a mejorar la
resistencia y a reducir la latencia.
Revise lo siguiente:
Resultados empresariales
Modelos financieros
Motivaciones para la adopción de la nube
Riesgos empresariales
Racionalización del patrimonio digital
Ámbito mínimo
Entre los deberes de las personas del equipo de operaciones de la nube están los de proporcionar el máximo
rendimiento de las cargas de trabajo con el mínimo de interrupciones del negocio y dentro de los presupuestos
de operaciones acordados.
Determinar la importancia de la carga de trabajo y el efecto de las interrupciones o la degradación del
rendimiento.
Establecer compromisos de rendimiento y costo aprobados por la empresa.
Supervisar y manejar las cargas de trabajo en la nube.
Resultados
Mantener el inventario de recursos y cargas de trabajo
Supervisar el rendimiento de las cargas de trabajo
Mantener el cumplimiento operativo
Proteger las cargas de trabajo y los recursos asociados
Recuperar recursos en caso de degradación del rendimiento o interrupción del negocio
Funcionalidad madura de las plataformas principales
Mejorar continuamente el rendimiento de la carga de trabajo
Mejorar los requisitos presupuestarios y de diseño de las cargas de trabajo para adaptarse a los
compromisos con la empresa
Cadencia de las reuniones
El equipo de operaciones de la nube debe participar en el planeamiento del lanzamiento y en el del centro de
excelencia de la nube para proporcionar comentarios y prepararse para los requisitos operativos.
Fuera de ámbito
Las operaciones de TI tradicionales que se centran en el mantenimiento de las operaciones de estado actual para
recursos técnicos de bajo nivel están fuera del ámbito del equipo de operaciones de la nube. Cuestiones como
almacenamiento, CPU, memoria, equipamiento de red, servidores y hosts de máquina virtual requieren tareas
continuas de mantenimiento, supervisión, reparación y corrección de problemas para mantener las operaciones
de máximo apogeo. En la nube, muchos de estos gastos de capital y actividades operativas se trasladan al
proveedor de servicios en la nube.
Pasos siguientes
A medida que se escalan las operaciones y la adopción, es importante definir y automatizar los procedimientos
recomendados de gobernanza que amplían los requisitos de TI existentes. La formación de un centro de
excelencia de la nube es un paso importante para ampliar los trabajos de adopción de la nube, operaciones de la
nube y gobernanza de la nube.
Más información sobre:
Funciones del centro de excelencia de la nube.
Antipatrones de la organización: islas y feudos.
Aprenda a alinear las responsabilidades de los equipos mediante el desarrollo de una matriz entre equipos que
identifique a las entidades responsables, encargadas, consultadas e informadas (RACI por sus siglas en inglés).
Descargue la plantilla RACI y modifíquela.
Funciones del centro de excelencia de la nube
(CCoE)
23/03/2021 • 20 minutes to read • Edit Online
La agilidad técnica y empresarial son objetivos fundamentales para la mayoría de las organizaciones de TI. El
centro de excelencia de la nube (CCoE) es una función que crea un equilibrio entre velocidad y estabilidad.
Estructura de la función
Un modelo de CCoE requiere la colaboración entre cada una de los siguientes componentes:
Adopción de la nube (concretamente, los arquitectos de soluciones)
Estrategia de la nube (concretamente, los jefes de proyectos y de programas)
Gobernanza de la nube
Plataforma de nube
Automatización en la nube
Principales responsabilidades
El deber principal del equipo del CCoE es acelerar la adopción de la nube mediante soluciones híbridas o nativas
en la nube.
El objetivo del CCoE es:
Ayudar a crear una organización de TI moderna a través de métodos ágiles para capturar e implementar
requisitos empresariales.
Emplear paquetes de implementación reutilizables que se adapten a las directivas de seguridad,
cumplimiento y administración de servicios.
Mantener una plataforma de Azure funcional en consonancia con los procedimientos operativos.
Revisar y aprobar el uso de herramientas nativas en la nube.
Con el tiempo, estandarizar y automatizar los componentes y soluciones de la plataforma que se necesitan
normalmente.
Soluciones y controles
A cada miembro del CCoE se le pide que comprenda las restricciones, riesgos y protecciones necesarios que
condujeron al conjunto actual de controles de TI. Los esfuerzos colectivos del CCoE deben centrarse en
soluciones nativas en la nube (o híbridas) o en controles que permitan los resultados empresariales de
autoservicio que se desean. A medida que se crean las soluciones, estas se comparten con diversos equipos en
forma de controles o procesos automatizados que actúan como medidas de protección de los distintos trabajos.
Estas medidas de protección ayudan a enrutar las actividades de libre circulación de los diversos equipos, al
tiempo que permiten delegar responsabilidades en los participantes de los distintos esfuerzos de migración o
innovación.
Ejemplos de esta transición:
Aprovisionamiento de un servidor de Los equipos de las plataformas de El equipo que requiere el servidor
SQL Server de producción redes, TI y datos aprovisionan diversos implementa una instancia de PaaS de
componentes durante días e incluso Azure SQL Database. Como
semanas. alternativa, se podría usar una plantilla
previamente aprobada para
implementar todos los recursos de
IaaS en la nube en cuestión de horas.
Aprovisionamiento de un entorno de Los equipos de redes, TI, desarrollo y El equipo de desarrollo define sus
desarrollo DevOps acuerdan las especificaciones e propias especificaciones e implementa
implementan un entorno. un entorno basado en el presupuesto
asignado.
Negociaciones
En la raíz de cualquier esfuerzo del CCoE se encuentra un proceso de negociación continuo. El equipo del CCoE
negocia las funciones de TI existentes para reducir el control central. Las ventajas de esta negociación para la
empresa son: mayor libertad, agilidad y velocidad. El valor de estas ventajas para los equipos de TI existentes se
traduce en nuevas soluciones. Las nuevas soluciones proporcionan al equipo de TI existente una o varias de las
siguientes ventajas:
Capacidad de automatizar problemas habituales.
Mejoras en la coherencia (con la consiguiente reducción de las frustraciones diarias).
Oportunidad para aprender e implementar nuevas soluciones técnicas.
Reducción de los incidentes graves (menos correcciones y más rápidas, y menor uso de localizadores o
necesidad de respuesta a altas horas de la madrugada).
Capacidad para ampliar su ámbito técnico lo que les permite abordar temas más amplios.
Participación en soluciones empresariales de nivel superior que abordan el impacto de la tecnología.
Reducción de las tareas de mantenimiento de poca importancia.
Aumento de las estrategias tecnológicas y la automatización.
Como contrapartida a estas ventajas, el equipo de TI existente puede experimentar una reducción, real o
percibida, de los siguientes valores:
Sensación de control procedente de los procesos de aprobación manual.
Sensación de estabilidad originada por el control de cambios.
Sensación de seguridad del trabajo gracias a la finalización de tareas necesarias aunque repetitivas.
Sensación de coherencia que procede de la adhesión a los proveedores de soluciones de TI existentes.
En las mejores empresas pioneras en la implementación de la nube, este proceso de negociación es un diálogo
dinámico entre colegas y los equipos de TI asociados. Los detalles técnicos pueden ser complejos, pero son
fáciles de controlar cuando el equipo de TI comprende su finalidad y apoya los esfuerzos del CCoE. Si el equipo
de TI no se muestra tan favorable a estos, la sección siguiente sobre cómo conseguir el éxito del CCoE puede
ayudar a superar los bloqueos culturales.
Pasos siguientes
Un modelo de CCoE requiere funciones de la plataforma de nube y funciones de automatización de la nube. El
siguiente paso consiste en alinear las funciones de la plataforma de nube.
Más información sobre:
Funciones de la plataforma de nube
Funciones de automatización de la nube
Funciones de la plataforma de nube
06/03/2021 • 5 minutes to read • Edit Online
La nube presenta muchos cambios técnicos, así como oportunidades para simplificar las soluciones técnicas. No
obstante, los principios de TI y las necesidades empresariales generales deben seguir siendo los mismos.
Todavía sigue necesitando proteger los datos empresariales confidenciales. Si la plataforma de TI depende de
una red de área local, es bastante probable que necesite definiciones de red en la nube. Los usuarios que
necesitan acceder a las aplicaciones y los datos querrán que sus identidades actuales accedan a los recursos en
la nube pertinentes.
Aunque la nube presenta la oportunidad de aprender nuevas aptitudes, los arquitectos actuales deben poder
aplicar directamente su experiencia y conocimientos. Suele ocuparse de las funciones de la plataforma de nube
un grupo selecto de arquitectos que se centran en el aprendizaje sobre este tema. Después, estos arquitectos
ayudan a otros usuarios a tomar decisiones y a conseguir la aplicación adecuada de los controles en los
entornos en la nube.
Las aptitudes necesarias para proporcionar la funcionalidad completa de la plataforma pueden proceder de:
Arquitectura empresarial
Operaciones de TI
Gobernanza de TI
Infraestructura de TI
Redes
Identidad
Virtualización
Continuidad empresarial y recuperación ante desastres
Propietarios de aplicaciones dentro de TI
Preparación
Fundamentos de la arquitectura en la nube: curso de PluralSight para ayudar a los arquitectos a encontrar las
soluciones básicas adecuadas.
Arquitectura de Microsoft Azure: curso de PluralSight para asentar a los arquitectos en la arquitectura de
Azure.
Servicios de red de Azure: conozca los aspectos básicos de las redes de Azure y aprenda a mejorar la
resistencia y a reducir la latencia.
Revise lo siguiente:
Resultados empresariales
Modelos financieros
Motivaciones para la adopción de la nube
Riesgos empresariales
Racionalización del patrimonio digital
Ámbito mínimo
Los deberes de la plataforma en la nube se centran en torno a la creación y el soporte de la plataforma en la
nube o las zonas de aterrizaje.
Las siguientes tareas se suelen ejecutar con regularidad:
Supervisión de los planes de adopción y del progreso en comparación con los trabajos pendientes de
migración prioritarios.
Identificación y clasificación por orden de prioridad de los cambios necesarios para dar soporte a los trabajos
pendientes de la migración.
Cadencia de las reuniones:
Normalmente, la experiencia en la plataforma en la nube procede de un equipo de trabajo. Se espera que los
miembros dediquen gran parte de su labor diaria al trabajo de la plataforma en la nube. Las contribuciones no
se limitan a reuniones y ciclos de comentarios.
Resultados
Creación y mantenimiento de la plataforma en la nube que admita las soluciones.
Definición e implementación de la arquitectura de la plataforma.
Funcionamiento y administración de la plataforma en la nube.
Mejora continua de la plataforma.
Mantenerse al día de las innovaciones en la plataforma de nube.
Incorporación de nuevas funcionalidades de nube para respaldar la creación de valor empresarial.
Sugerir soluciones de autoservicio.
Garantía de que las soluciones cumplan los requisitos de gobernanza y cumplimiento existentes.
Creación y validación de la implementación de la arquitectura de la plataforma.
Revisión de los planes de lanzamiento para conocer el origen de los nuevos requisitos de la plataforma.
Pasos siguientes
A medida que la plataforma de nube está mejor definida, la alineación de las funciones de automatización de la
nube puede acelerar la adopción. También puede ayudar a establecer procedimientos recomendados, así como a
reducir los riesgos técnicos y empresariales.
Aprenda a alinear las responsabilidades de los equipos mediante el desarrollo de una matriz entre equipos que
identifique a las entidades responsables, encargadas, consultadas e informadas (RACI por sus siglas en inglés).
Descargue la plantilla RACI y modifíquela.
Funciones de automatización de la nube
06/03/2021 • 5 minutes to read • Edit Online
Durante los trabajos de adopción de la nube, las funcionalidades de automatización de la nube darán rienda
suelta al potencial de DevOps y al enfoque nativo de la nube. La experiencia en cada una de estas áreas puede
acelerar la adopción y la innovación.
Las aptitudes necesarias para proporcionar funciones de automatización de la nube pueden ser aportadas por
los siguientes expertos:
Ingenieros de DevOps
Desarrolladores con experiencia en infraestructura y DevOps
Ingenieros de TI con experiencia en automatización y DevOps
Es posible que estos expertos en la materia estén ofreciendo funciones en otras áreas, como la adopción de la
nube, la gobernanza de la nube o la plataforma de la nube. Después de demostrar su dominio en la
automatización de cargas de trabajo complejas, se puede contar con ellos para que aporten su experiencia en
este campo.
Preparación
Para admitir a un miembro en este grupo, deben contar con tres características clave:
Experiencia en cualquier plataforma en la nube con un énfasis especial en DevOps y automatización.
Una mentalidad enfocada hacia el crecimiento o versatilidad para cambiar la forma en que la TI funciona hoy
en día.
Deseo de acelerar el cambio empresarial y eliminar los obstáculos tradicionales de la TI.
Ámbito mínimo
El equipo de automatización de la nube es el propietario del catálogo de soluciones; este catálogo y su
promoción constituyen su principal labor. El catálogo consiste en una colección de soluciones precompiladas o
plantillas de automatización. Estas soluciones se pueden implementar rápidamente en varias plataformas, según
sea preciso para dar soporte a las cargas de trabajo necesarias. Las soluciones son bloques de creación que
aceleran la adopción de la nube y reducen el tiempo de comercialización durante las labores de migración o
innovación.
Entre los ejemplos de soluciones en el catálogo se incluyen:
Un script para implementar una aplicación en contenedores.
Una plantilla de Resource Manager para implementar un clúster de alta disponibilidad de SQL AlwaysOn.
Código de ejemplo para crear una canalización de implementación mediante Azure DevOps.
Una instancia de Azure DevTest Labs del ERP corporativo con fines de desarrollo.
Implementación automatizada de un entorno de autoservicio solicitado habitualmente por los usuarios
empresariales.
Las soluciones del catálogo no son canalizaciones de implementación para una carga de trabajo, sino que puede
usar los scripts de automatización del catálogo para crear rápidamente una canalización de implementación.
También puede usar una solución del catálogo para aprovisionar rápidamente componentes de plataforma que
admitan tareas de carga de trabajo como la implementación automatizada, la implementación manual o la
migración.
Tareas estratégicas
Racionalización del patrimonio digital:
Supervisión de los planes de adopción y del progreso en comparación con los trabajos pendientes de
migración prioritarios.
Identificar oportunidades para acelerar la adopción de la nube, reducir el esfuerzo a través de la
automatización y mejorar la seguridad, la estabilidad y la coherencia.
Asignar prioridad a un trabajo pendiente de soluciones para el catálogo de soluciones que ofrezca el
máximo valor dadas otras entradas estratégicas.
Revisar los planes de lanzamiento de orígenes de nuevas oportunidades de automatización.
Cadencia de las reuniones:
La automatización de la nube es un equipo de trabajo. Se espera que los miembros dediquen gran parte de su
labor diaria al trabajo de automatización de la nube. Las contribuciones no se limitan a reuniones y ciclos de
comentarios.
El equipo de automatización de la nube debe combinar las actividades con otras áreas de funcionalidad. Esto
puede dar lugar a un exceso de reuniones. Para asegurarse de que el equipo de automatización de la nube
dispone de tiempo suficiente para administrar el catálogo de soluciones, se debe revisar la cadencia de las
reuniones, con el fin de maximizar la colaboración y minimizar las interrupciones en las actividades de
desarrollo.
Resultados
Mantener o desarrollar soluciones basadas en el trabajo pendiente prioritario.
Garantizar que las soluciones se adaptan a los requisitos de la plataforma.
Garantizar que las soluciones se aplican de forma coherente y cumplen los requisitos de cumplimiento y
gobernanza existentes.
Crear y validar soluciones en el catálogo.
Pasos siguientes
A medida que se alinean las funciones de nube esenciales, los equipos colectivos pueden ayudar a desarrollar
los conocimientos técnicos necesarios.
Descripción de las funciones de datos en la nube
23/03/2021 • 7 minutes to read • Edit Online
Hay diversos tipos de audiencias implicadas en una conversación analítica, entre los que cabe destacar el típico
vendedor, el arquitecto de bases de datos y el equipo de infraestructura. Además, en las soluciones de análisis
participan "influencers", asesores y responsables de toma de decisiones que pertenecen a roles de arquitectura
empresarial, ciencia de datos, analistas empresariales y directores ejecutivos.
Azure Synapse Analytics permite a toda la empresa, desde el responsable de TI hasta el analista de negocios,
colaborar en las soluciones de análisis y comprender las funciones de datos en la nube. En las siguientes
secciones se describen los roles con más detalle.
Equipos de infraestructura
Estos equipos trabajan con el aprovisionamiento y la arquitectura de los recursos de proceso subyacentes
necesarios para sistemas de análisis de gran tamaño. En muchos casos, administran las transiciones entre los
sistemas basados en centros de datos y basados en la nube, y las necesidades actuales de interoperabilidad
entre ambos. La recuperación ante desastres, la continuidad empresarial y la alta disponibilidad son
preocupaciones habituales.
Con Azure Synapse Analytics, los profesionales de TI pueden proteger y administrar los datos de su
organización de forma más eficaz. Son capaces de habilitar el procesamiento de macrodatos tanto con el
proceso a petición como con el aprovisionado. Gracias a la estrecha integración con Azure Active Directory, el
servicio contribuye a proteger el acceso a las configuraciones híbridas y en la nube. Los profesionales de TI
pueden aplicar los requisitos de privacidad mediante el enmascaramiento de datos, junto con la seguridad en
las filas y las columnas.
Científicos de datos
Los científicos de datos saben cómo crear modelos avanzados para grandes volúmenes de datos críticos, pero a
menudo dispares. Su trabajo implica trasladar las necesidades de la empresa a los requisitos tecnológicos para
la normalización y la transformación de datos. Crean modelos estadísticos y otros modelos analíticos, y
garantizan que los equipos de línea de negocio puedan obtener el análisis que necesitan para su empresa.
Con Azure Synapse Analytics, los científicos de datos pueden crear pruebas de concepto en cuestión de minutos
y crear o ajustar fácilmente las soluciones globales. Pueden aprovisionar los recursos según sea necesario o
consultar los recursos existentes a petición a través de grandes cantidades de datos. Pueden hacer su trabajo en
diversos lenguajes, como T-SQL, R, Python, Scala, .NET y Spark SQL.
Analistas de negocios
Estos equipos crean y usan paneles, informes y otras formas de visualización de datos para obtener información
detallada rápida, necesaria para las operaciones. A menudo, cada departamento de línea de negocio tendrá
analistas de negocios dedicados que recopilen y empaqueten la información y el análisis de aplicaciones
especializadas. Por ejemplo, de tarjetas de crédito, banca al por menor, banca comercial, tesorería, marketing y
otras organizaciones.
Con Azure Synapse Analytics, los analistas de negocios pueden acceder de forma segura a los conjuntos de
datos y usar Power BI para crear paneles. También pueden compartir datos de forma segura dentro y fuera de
su organización a través de Azure Data Share.
Ejecutivos
Los ejecutivos son responsables de trazar las estrategias y garantizar que las iniciativas estratégicas se
implementen de forma eficaz en los departamentos de línea de negocio y de TI. Las soluciones deben ser
rentables, evitar la interrupción del negocio, permitir una extensibilidad sencilla a medida que los requisitos
cambien y crezcan, y generar resultados para la empresa.
Funciones de seguridad en la nube
06/03/2021 • 2 minutes to read • Edit Online
En este artículo se proporciona un resumen de las funciones organizativas necesarias para administrar el riesgo
de seguridad de la información en una empresa. Estas funciones organizativas forman colectivamente la parte
humana de un sistema de ciberseguridad general. Cada función puede ser realizada por una o varias personas, y
cada persona puede realizar una o varias funciones, dependiendo de varios factores, como la referencia cultural,
el presupuesto y los recursos disponibles.
El diagrama y la documentación siguientes representan una vista idónea de las funciones de un equipo de
seguridad empresarial. El diagrama representa una visión aspiracional para organizaciones más pequeñas o
equipos de seguridad más pequeños que podrían no tener recursos significativos ni responsabilidades formales
definidas en torno a todas estas funciones.
La seguridad es un depor te de equipo: es fundamental que las personas del equipo de seguridad se vean
entre sí como parte de un equipo de seguridad global, parte de toda la organización y parte de una comunidad
de seguridad más grande que se defiende contra los mismos adversarios. Esta vista holística permite al equipo
trabajar bien en términos generales. Esto es especialmente importante, ya que los equipos trabajan en lagunas y
superposiciones no planificadas que se detectan durante la evolución de los roles y las responsabilidades.
Funciones de seguridad
En cada uno de los artículos siguientes se proporciona información sobre cada función. Cada artículo
proporciona un resumen de los objetivos, el modo en que la función puede evolucionar debido a los cambios en
el entorno de amenazas o la tecnología de la nube, y las relaciones y dependencias que son fundamentales para
su éxito.
Directivas y estándares
Operaciones de seguridad
Arquitectura de seguridad
Administración del cumplimiento de la seguridad
Seguridad de las personas
Seguridad de las aplicaciones y DevSecOps
Seguridad de datos
Infraestructura y seguridad de los puntos de conexión
Administración de identidades y claves
Información sobre amenazas
Administración de la posición
Preparación de incidentes
Función de los estándares y la directiva de
seguridad en la nube
12/03/2021 • 4 minutes to read • Edit Online
Los equipos de estándares y la directiva de seguridad crean, aprueban y publican los estándares y la directiva de
seguridad para guiar las decisiones de seguridad dentro de la organización.
Las directivas y los estándares deben:
Reflejar la estrategia de seguridad de las organizaciones de una manera suficientemente detallada para guiar
las decisiones de la organización por parte de varios equipos
Habilitar la productividad en toda la organización reduciendo al mismo tiempo el riesgo para el negocio y la
misión de las organizaciones
La directiva de seguridad debe reflejar los objetivos sostenibles a largo plazo que se alinean con la estrategia
de seguridad y la tolerancia a riesgos de las organizaciones. La directiva siempre debe abordar:
Los requisitos de cumplimiento normativo y el estado de cumplimiento actual (requisitos cumplidos, riesgos
aceptados, etc.)
La valoración de la arquitectura del estado actual y lo que es técnicamente posible de diseñar, implementar y
aplicar
La referencia cultural y las preferencias de la organización
Los procedimientos recomendados del sector
La responsabilidad del riesgo de seguridad asignado a las partes interesadas empresariales adecuadas que
son responsables de otros riesgos y resultados empresariales.
Los estándares de seguridad definen los procesos y las reglas para admitir la ejecución de la directiva de
seguridad.
Modernización
Si bien la directiva debe permanecer estática, los estándares deben ser dinámicos y revisarse continuamente
para mantenerse al día de los cambios en la tecnología de la nube, el entorno de amenazas y el panorama
empresarial de la competencia.
Debido a esta alta tasa de cambio, debe estar muy atento a la cantidad de excepciones que se realizan, ya que
esto puede indicar una necesidad de ajustar los estándares (o la directiva).
Los estándares de seguridad deben incluir instrucciones específicas para la adopción de la nube, como:
Uso seguro de las plataformas en la nube para el hospedaje de cargas de trabajo
Uso seguro del modelo DevOps e inclusión de aplicaciones, API y servicios en la nube en desarrollo
Uso de controles de perímetro de identidad para complementar o reemplazar los controles de perímetro de
red
Definición de la estrategia de segmentación antes de mover las cargas de trabajo a la plataforma IaaS
Etiquetado y clasificación de la confidencialidad de los recursos
Definición del proceso para evaluar los recursos y garantizar que estén configurados y protegidos
correctamente
Composición del equipo y relaciones clave
La directiva de seguridad y los estándares en la nube se proporcionan normalmente mediante los siguientes
tipos de roles. La directiva de la organización debe informar a (y ser informada por):
Las arquitecturas de seguridad
Los equipos de administración de riesgos y cumplimiento
Los líderes y representantes de la unidad de negocio
Tecnologías de la información
Equipos de auditoría y legales
La directiva debe refinarse en función de numerosas entradas o requisitos de toda la organización, incluidos,
entre otros, los que se muestran en el diagrama de información general de la seguridad.
Pasos siguientes
Revisión de la función de un centro de operaciones de seguridad en la nube (SOC).
Funciones del centro de operaciones de seguridad
en la nube
12/03/2021 • 4 minutes to read • Edit Online
Modernización
La detección y respuesta a las amenazas está actualmente en un importante proceso de modernización en todos
los niveles.
Elevación a la administración de riesgos empresariales: el SOC está creciendo y convirtiéndose en un
componente clave de la administración de riesgo empresariales dentro de la organización.
Métricas y objetivos: el seguimiento de la eficacia del SOC está evolucionando a partir del tiempo de
detección a estos indicadores clave.
Capacidad de respuesta a través del tiempo medio de confirmación (MTTA).
Velocidad de corrección a través del tiempo medio para corregir (MTTR).
Evolución tecnológica: la tecnología SOC está evolucionando a partir del uso exclusivo del análisis estático
de registros en un SIEM para agregar el uso de herramientas especializadas y técnicas de análisis
sofisticadas. Esto proporciona información detallada sobre los activos que proporcionan una experiencia de
investigación y alertas de alta calidad que complementan la visión completa del SIEM. Ambos tipos de
herramientas usan cada vez más la IA y el aprendizaje automático, el análisis de comportamientos y la
inteligencia sobre amenazas integrada para ayudar a detectar y priorizar acciones anómalas que podrían ser
un atacante malintencionado.
Búsqueda de amenazas: los SOC están agregando la búsqueda de amenazas controlada por hipótesis
para identificar de forma proactiva a los atacantes avanzados y eliminar las alertas de las colas de los
analistas que están en primera línea.
Administración de incidentes: la disciplina se está volviendo formalizada para coordinar los elementos
no técnicos de incidentes con los departamentos legales, de comunicaciones y otros equipos. Integración
del contexto interno: para ayudar a priorizar las actividades del SOC, como las puntuaciones de riesgo
relativas de las cuentas de usuario y los dispositivos, la confidencialidad de los datos y las aplicaciones, y los
límites de aislamiento de seguridad clave para defenderse eficazmente.
Para más información, consulte:
Normas de estrategia y arquitectura y operaciones de seguridad
Módulo de taller para CISO 4b: estrategia de protección contra amenazas
Serie de blogs del Centro de operaciones de defensa cibernética (CDOC), parte 1, parte 2a, parte 2b, parte 3a
y parte 3b
Guía del NIST para controlar incidentes de seguridad en equipos
Guía del NIST para recuperarse de eventos de ciberseguridad
Composición del equipo y relaciones clave
El centro de operaciones de seguridad en la nube se compone normalmente de los siguientes tipos de roles.
Operaciones de TI (contacto cercano y periódico)
Información sobre amenazas
Arquitectura de seguridad
Programa de riesgos de Insider
Recursos legales y humanos
Equipos de comunicaciones
Organización de riesgos (si existe)
Asociaciones, comunidades y proveedores específicos del sector (antes de que se produzca el incidente)
Pasos siguientes
Revise la función de la arquitectura de seguridad.
Funciones de la arquitectura de seguridad en la
nube
06/03/2021 • 3 minutes to read • Edit Online
Modernización
A continuación se mencionan los distintos factores que afectan a la arquitectura de seguridad:
Modelo de compromiso continuo: la publicación continua de actualizaciones de software y las
características en la nube hacen que los modelos de compromiso fijos queden obsoletos. Los arquitectos
deben comprometerse con todos los equipos que trabajan en áreas temáticas técnicas para guiar la toma de
decisiones a lo largo de los ciclos de vida de la capacidad de esos equipos.
Seguridad de la nube: incorpore funcionalidades de seguridad de la nube para reducir el tiempo de
habilitación y los costos de mantenimiento continuos (hardware, software, tiempo y esfuerzo).
Seguridad de la nube: garantice la cobertura de todos los recursos en la nube, incluidas las aplicaciones
de software como servicio (SaaS), las máquinas virtuales de infraestructura como servicio (IaaS) y las
aplicaciones y servicios de plataforma como servicio (PaaS). Esto debe incluir la detección y seguridad de los
servicios autorizados y no autorizados.
Integración de identidades: los arquitectos de seguridad deben garantizar una estrecha alineación con los
equipos de identidades para ayudar a las organizaciones a cumplir un doble objetivo: habilitar la
productividad y proporcionar garantías de seguridad.
Integración del contexto interno en los diseños de seguridad, como el contexto de la administración de
la posición y los incidentes investigados por el centro de operaciones de seguridad (SOC). Esto debe incluir
elementos como las puntuaciones de riesgo relativas de las cuentas de los dispositivos y las cuentas de
usuario, la confidencialidad de los datos y los límites de aislamiento de seguridad clave para defenderse
activamente.
El objetivo de la administración del cumplimiento de la seguridad en la nube es velar por que la organización
cumpla los requisitos normativos (y las directivas internas) y realice un seguimiento del estado y lo notifique de
forma eficaz.
Modernización
La nube introduce cambios en el cumplimiento de la seguridad, como los siguientes:
Requisito de validar el estado de cumplimiento del proveedor de nube con sus requisitos normativos.
Esta validación es una responsabilidad compartida. Para obtener más información sobre cómo difieren
estas responsabilidades en los tipos de nube, consulte la adopción del modelo de responsabilidad
compartida
Instrucciones previas a la nube: aunque se han actualizado muchos requisitos normativos para
incorporar la naturaleza dinámica de los servicios en la nube, algunos aún no reflejan estas diferencias.
Las organizaciones deben trabajar con órganos de regulación para actualizar estos requisitos y
prepararse para explicar estas diferencias durante los ejercicios de auditoría.
Vinculación de la conformidad con el riesgo: asegúrese de que las organizaciones están vinculando
las infracciones de cumplimiento y las excepciones a los riesgos organizativos para garantizar el nivel
adecuado de atención y financiación para corregir los problemas.
Seguimiento y generación de informes habilitados por la nube: esta función debe adoptar
activamente la naturaleza definida por software de la nube, ya que ofrece un registro completo, datos de
configuración e información analítica que hacen que la presentación de informes sobre el cumplimiento
sea más eficiente que los enfoques locales tradicionales.
Hay herramientas de cumplimiento basadas en la nube disponibles para facilitar la creación de
informes de cumplimiento normativo, como Microsoft Compliance Manager, que pueden reducir los
costos de sobrecarga de esta función.
Pasos siguientes
Revise la función de la seguridad de las personas.
Funciones de seguridad de las personas en la nube
06/03/2021 • 2 minutes to read • Edit Online
La seguridad de las personas protege a la organización del riesgo de errores humanos accidentales y acciones
internas malintencionadas.
Modernización
La modernización de esta función incluye:
Mayor involucración positiva con usuarios que usan ludificación y un refuerzo o educación positivos en
lugar de confiar exclusivamente en enfoques de refuerzo negativos como soluciones tradicionales de
"suplantar identidad y castigar".
Involucración humana de alta calidad: Las comunicaciones y el entrenamiento del reconocimiento de
seguridad deben ser producciones de alta calidad que impulsen la empatía y la involucración emocional para
conectar con el lado humano de los empleados y la misión de las organizaciones.
Expectativas realistas: acepte que los usuarios a veces harán clic en correos electrónicos de suplantación
de identidad y, en su lugar, centre las métricas de éxito en reducir la tasa en vez de esperar detener el 100 %
de los clics.
Cambio de referencia cultural de la organización: el liderazgo de la organización debe impulsar un
cambio de referencia cultural deliberado para que la seguridad sea prioritaria para cada miembro de la
organización.
Mayor atención a riesgos internos para ayudar a las organizaciones a proteger secretos comerciales
valiosos y otros datos frente a casos de uso ilícitos altamente rentables (por ejemplo, ubicaciones de clientes
o registros de comunicaciones).
Detección mejorada de riesgos internos que aprovecha las funcionalidades de la nube para el registro
de actividad, análisis de comportamiento y aprendizaje automático (aprendizaje automático).
Pasos siguientes
Revise la función de seguridad de las aplicaciones y DevSecOps.
Funciones de seguridad de las aplicaciones y
DevSecOps
06/03/2021 • 5 minutes to read • Edit Online
El objetivo de la seguridad de las aplicaciones y DevSecOps es integrar las garantías de seguridad en los
procesos de desarrollo y en las aplicaciones de línea de negocio (LOB) personalizadas.
Modernización
El desarrollo de aplicaciones se reforma rápidamente en varios aspectos simultáneamente, incluido el modelo
de equipo DevOps, la cadencia de publicación rápida de DevOps y la composición técnica de las aplicaciones a
través de servicios en la nube y API. Vea cómo la nube está cambiando las relaciones de seguridad y las
responsabilidades para comprender estos cambios.
Esta modernización de modelos de desarrollo anticuados presenta tanto una oportunidad como un requisito
para modernizar la seguridad de las aplicaciones y los procesos de desarrollo. La fusión de la seguridad en los
procesos de DevOps a menudo se denomina DevSecOps e impulsa cambios que incluyen:
La seguridad está integrada, no la aprobación externa: el rápido ritmo de cambio en el desarrollo de
las aplicaciones hace que los enfoques clásicos independientes de "examinar e informar" se queden
obsoletos. Estos enfoques heredados no pueden mantenerse al día con las versiones sin paralizar el
desarrollo y sin dar lugar a demoras en el tiempo de comercialización, infrautilización del desarrollador y
crecimiento de la acumulación de problemas.
Realice pruebas anticipadas para adoptar la seguridad antes en los procesos de desarrollo de las
aplicaciones, ya que corregirlos con anticipación es más barato, rápido y eficaz. Si espera a que se el
pastel se haya horneado, será más difícil cambiar su forma.
Integración nativa: los procedimientos de seguridad se deben integrar sin problemas para evitar la
fricción negativa en los flujos de trabajo de desarrollo y los procesos de integración continua e
implementación continua (CI/CD). Para más información sobre el enfoque de GitHub, consulte
Protección del software, juntos.
Seguridad de alta calidad: la seguridad debe proporcionar hallazgos de alta calidad e instrucciones
que permitan a los desarrolladores corregir problemas rápidamente y no pierdan tiempo con falsos
positivos.
Referencia cultural convergente: los roles de seguridad, desarrollo y operaciones deben contribuir
con elementos clave en una referencia cultural compartida, valores compartidos y objetivos y
responsabilidades compartidos.
Seguridad ágil: cambie la seguridad de una estrategia del tipo "debe ser perfecto para enviar" a una ágil
que empiece con una seguridad viable mínima para las aplicaciones (y para los procesos para desarrollarlas)
y se vaya mejorando continuamente poco a poco.
Adopte características de seguridad e infraestructura nativas de nube para optimizar los procesos
de desarrollo integrando al mismo tiempo la seguridad.
Administración de riesgos de la cadena de suministro: adopte un enfoque de confianza cero para el
software de código abierto (OSS) y los componentes de terceros que valide la integridad y garantice que las
correcciones de errores y las actualizaciones se aplican a estos componentes.
Aprendizaje continuo: el ritmo de lanzamiento rápido de los servicios para desarrolladores, a veces
denominados servicios de plataforma como servicio (PaaS), y el cambio de composición de aplicaciones
significa que los miembros del equipo de desarrollo, operaciones y seguridad van a aprender
constantemente sobre nuevas tecnologías.
Enfoque mediante programación para la seguridad de la aplicación para garantizar que se produce una
mejora continua del enfoque ágil.
Para más contexto, consulte Ciclo de vida de desarrollo seguro de Microsoft.
Pasos siguientes
Revise la función de seguridad de datos.
Función de la seguridad de datos en la nube
06/03/2021 • 2 minutes to read • Edit Online
Modernización
Las estrategias de seguridad de datos se modelan principalmente por:
Dispersión de datos: los datos confidenciales se generan y almacenan en una variedad casi ilimitada de
dispositivos y servicios en la nube donde los usuarios colaboran de forma creativa.
Nuevo modelo: la nube permite que los nuevos modelos de "teléfono residencial para la clave"
complementen y reemplacen los modelos clásicos de protección contra pérdida de datos (DLP) que "lo
atrapan al salir por la puerta".
Las regulaciones como el Reglamento General de Protección de Datos (RGPD) requieren que las
organizaciones realicen un seguimiento exhaustivo de los datos privados y del modo en que los usan las
aplicaciones.
Pasos siguientes
Revise la función de la seguridad de la infraestructura en la nube y los puntos de conexión.
Función de la infraestructura en la nube y la
seguridad de los puntos de conexión
06/03/2021 • 4 minutes to read • Edit Online
Un equipo de seguridad en la nube que trabaja en la infraestructura y la seguridad de los puntos de conexión
proporciona protección de seguridad, capacidad de detección y controles de respuesta en los componentes de
infraestructura y red que usan los usuarios y las aplicaciones empresariales.
Modernización
Los centros de seguridad definidos por software y otras tecnologías en la nube ayudan a abordar retos de larga
data relacionados con la infraestructura y la seguridad de los puntos de conexión, incluidos los siguientes:
La detección de errores de configuración y de inventario es mucho más confiable en los activos
hospedados en la nube, ya que todos son visibles inmediatamente (si se compara con un centro de datos
físico).
La administración de vulnerabilidades , que se está convirtiendo en una parte esencial de la
administración de la postura de seguridad general.
La incorporación de tecnologías de contenedor cuya administración y protección recaerá en los
equipos de red y de infraestructura a medida que la organización adopte ampliamente esta tecnología.
Consulte Seguridad de los contenedores en Security Center para ver un ejemplo.
La consolidación de agentes de seguridad y la simplificación de herramientas para reducir la
sobrecarga de tareas de mantenimiento y rendimiento que implican las herramientas y los agentes de
seguridad.
La inclusión en listas de aplicaciones permitidas y el filtrado de redes internas es mucho más fácil de
configurar e implementar en servidores hospedados en la nube (mediante conjuntos de reglas generadas
por aprendizaje automático). Consulte Controles de aplicaciones adaptables y Protección de red adaptable en
Azure Security Center para ver ejemplos de Azure.
Las plantillas automatizadas para configurar la infraestructura y la seguridad son mucho más fáciles con
los centros de recursos definidos por software en la nube. Un ejemplo de Azure es Azure Blueprints
El acceso Just-in-Time (JIT) y el acceso suficiente para realizar tareas específicas (JEA) permiten la
aplicación práctica de los principios de privilegios mínimos para acceder con privilegios a los servidores y
puntos de conexión.
La experiencia del usuario se convierte en algo fundamental, ya que los usuarios pueden elegir o comprar
cada vez más sus dispositivos de punto de conexión.
La administración de puntos de conexión unificada permite administrar la postura de seguridad de
todos los dispositivos de punto de conexión, incluidos los PC tradicionales y los dispositivos móviles, así
como proporcionar señales de integridad de dispositivos esenciales para las soluciones de control de acceso
de confianza cero.
Las arquitecturas de seguridad de red y los controles se reducen parcialmente con el cambio a
arquitecturas de aplicaciones en la nube, pero siguen siendo una medida de seguridad fundamental. Para
obtener más información, consulte Independencia y seguridad de la red.
Pasos siguientes
Revise la función de la inteligencia sobre amenazas.
Función de administración de identidades y claves
en la nube
06/03/2021 • 3 minutes to read • Edit Online
Modernización
La modernización de la administración de identidades y claves de datos está formada por:
Las disciplinas de administración de identidades y claves o certificaciones confluyen, ya que proporcionan
garantías de autenticación y autorización para habilitar las comunicaciones seguras.
Los controles de identidad están emergiendo como un perímetro de seguridad principal para las aplicaciones
en la nube.
La autenticación basada en claves para los servicios en la nube se ha reemplazado por la administración de
identidades debido a la dificultad que supone almacenar y proporcionar acceso de forma segura a esas
claves.
La importancia crítica de llevar a cabo lecciones positivas aprendidas de las arquitecturas de identidad
locales, como la identidad única, el inicio de sesión único (SSO) y la integración de aplicaciones nativas.
La importancia crítica de evitar errores comunes de arquitecturas locales, que a menudo las complican
demasiado, lo que dificulta la compatibilidad y facilita los ataques. Entre ellas se incluyen las siguientes:
Grupos de expansión y unidades organizativas (OU).
Conjunto de expansión de directorios de terceros y sistemas de administración de identidades.
Falta de normalización y propiedad claras de la estrategia de identidad de la aplicación.
Los ataques de robo de credenciales siguen teniendo un gran impacto y continúan siendo una amenaza de
alta probabilidad para mitigar.
Las cuentas de servicio y las cuentas de aplicación siguen siendo un gran desafío, pero resultan más fáciles
de resolver. Los equipos de identidad deben adoptar activamente las funcionalidades de la nube que
empiezan a resolver esto, como las identidades administradas de Azure AD.
Pasos siguientes
Revisión de la función de la infraestructura y la seguridad de los puntos de conexión
Función de la inteligencia sobre amenazas en la
nube
06/03/2021 • 2 minutes to read • Edit Online
La inteligencia sobre amenazas de seguridad proporciona contexto y conclusiones accionables sobre ataques
activos y amenazas potenciales para habilitar la toma de decisiones por parte de los equipos de seguridad,
equipos técnicos y líderes de la organización.
Modernización
Los equipos de inteligencia sobre amenazas están emergiendo y evolucionando para satisfacer las necesidades
del centro de operaciones de seguridad (SOC) y de otras personas que administran el riesgo de seguridad de la
organización.
Estos equipos deben centrarse en una estrategia que incluya:
Inteligencia sobre amenazas estratégica adaptada al reconocimiento de incrementos de audiencias de
ejecutivos de riesgo de ciberseguridad, requisitos de financiamiento y que admita la toma de decisiones de
riesgo por parte de los responsables de la organización.
Crecimiento incremental de programas para proporcionar logros rápidos con un servicio de soporte
técnico de incidentes directo y evolucionar hacia una plataforma de inteligencia sobre amenazas para realizar
un seguimiento e informar a las partes interesadas.
Inteligencia sobre amenazas táctica y operativa para guiar la toma de decisiones durante la
investigación de incidentes y las detecciones de amenazas.
Pasos siguientes
Revise la función de la administración de la posición de seguridad en la nube.
Función de la administración de la posición de
seguridad en la nube
23/03/2021 • 3 minutes to read • Edit Online
Modernización
La administración de la posición es un conjunto de nuevas funciones que desarrollan muchas ideas imaginadas
o intentadas anteriormente que eran difíciles, imposibles o extremadamente manuales antes de la llegada de la
nube. Se puede realizar un seguimiento de algunos de los elementos de la administración de la posición hasta la
confianza cero, desperimetría, supervisión continua y puntuación manual del riesgo por parte de consultorías
expertas.
La administración de la posición presenta un enfoque estructurado para esto, utilizando lo siguiente:
Control de acceso basado en la confianza cero: considera el nivel de amenaza activo durante las
decisiones de control de acceso.
Puntuación del riesgo en tiempo real: para proporcionar visibilidad sobre los principales riesgos.
Administración de amenazas y vulnerabilidades (TVM) para establecer una vista holística de la
superficie y el riesgo de ataque de la organización e integrarla en las operaciones y la toma de decisiones de
ingeniería.
Detectar riesgos de uso compar tido: para comprender la exposición de los datos de la propiedad
intelectual de la empresa en servicios en la nube autorizados y no autorizados.
Administración de la posición de seguridad en la nube para aprovechar la instrumentación en la nube
para supervisar y priorizar las mejoras de seguridad.
Directiva técnica: aplique barreras para auditar y exigir los estándares y directivas de la organización a los
sistemas técnicos. Para más información, consulte Azure Policy y Azure Blueprints.
Sistemas y arquitecturas de modelado de amenazas , así como aplicaciones específicas.
Disciplina emergente: la administración de la posición de seguridad interrumpirá muchas de las normas de la
organización de seguridad de una manera correcta con estas nuevas funcionalidades y puede desplazar las
responsabilidades entre roles o crear nuevos roles.
Pasos siguientes
Revise la función de la preparación de incidentes de seguridad en la nube.
Función de la preparación de incidentes de
seguridad en la nube
06/03/2021 • 2 minutes to read • Edit Online
Modernización
Los ejercicios de prácticas se han convertido en herramientas poderosas para garantizar que las partes
interesadas estén informadas y familiarizadas con su papel en un incidente de seguridad importante. Estos
ejercicios deben llegar a los siguientes componentes organizativos:
El liderazgo ejecutivo y la junta directiva para tomar decisiones estratégicas de riesgo y brindar
supervisión.
Las comunicaciones y las relaciones públicas para garantizar que los usuarios internos, los clientes y
otras partes interesadas externas tengan la información pertinente y adecuada.
Las par tes interesadas internas para ofrecer asesoramiento legal y otros consejos empresariales.
La administración de incidentes para coordinar las actividades y las comunicaciones.
Los miembros del equipo técnico para investigar y corregir el incidente.
La integración de la continuidad empresarial con funciones organizativas que poseen planes de
continuidad empresarial, administración de crisis y recuperación ante desastres.
Microsoft ha publicado lecciones extraídas y recomendaciones en la guía de referencia de respuesta a incidentes
(IRRG).
En cada esfuerzo de adopción de la nube hay alguien encargado de proporcionar las funciones de la nube. Estas
asignaciones y estructuras de equipo se pueden desarrollar de forma orgánica o diseñarse de manera
intencionada para ajustarse a una estructura de equipo definida.
A medida que aumentan las necesidades de adopción, lo mismo ocurre con la necesidad de equilibrio y
estructura. Vea este vídeo para obtener una introducción sobre las estructuras de equipos comunes en varias
fases de la madurez de la organización.
En el gráfico y la lista siguientes se indican esas estructuras en función de fases de madurez típicas. Use estos
ejemplos para encontrar la estructura organizativa que mejor se ajuste a sus necesidades operativas.
Las estructuras organizativas tienden a avanzar según el modelo de madurez común descrito aquí:
1. Equipo de adopción de la nube solo
2. Procedimiento recomendado de producto viable mínimo
3. Equipo de TI central
4. Alineación estratégica
5. Alineación operativa
6. Centro de excelencia de la nube (CCoE)
La mayoría de las empresas comienzan con poco más que un equipo de adopción de la nube, pero se
recomienda establecer una estructura organizativa que se parezca más a la estructura del procedimiento
recomendado de MVP.
WARNING
Trabajar solo con un equipo de adopción de la nube (o varios equipos de adopción de la nube) se considera un antipatrón
y debe evitarse. Como mínimo, considere el procedimiento recomendado de MVP.
Se recomienda contar con dos equipos para crear equilibrio entre los esfuerzos de adopción de la nube. Estos
dos equipos son responsables de diversas funciones a lo largo del trabajo de adopción.
Equipo de adopción de la nube: responsable de las soluciones técnicas, la alineación del negocio, la
administración de proyectos y el funcionamiento de las soluciones adoptadas.
Equipo de gobernanza de la nube: para equilibrar el equipo de adopción de la nube, un equipo de
gobernanza de la nube se dedica a garantizar la excelencia en las soluciones adoptadas. El equipo de
gobernanza de la nube es responsable de la madurez de la plataforma, las operaciones de esta, la
gobernanza y la automatización.
Este enfoque probado se considera un producto viable mínimo porque podría no ser sostenible. Cada equipo se
ocupa de muchas tareas, como se explica en los gráficos RACI (comprometido, responsable, consultado e
informado).
En las secciones siguientes se describe una estructura organizativa probada y dotada del personal necesario
junto con enfoques para alinear la estructura adecuada con la organización.
Equipo de TI centralizado
A medida que la adopción avanza, el equipo de gobernanza de la nube podría tener problemas para seguir el
ritmo del flujo de innovación de los distintos equipos de adopción de la nube. Esto es especialmente cierto en
entornos que tienen requisitos intensivos de cumplimiento, operaciones o seguridad. En esta fase, es habitual
que las empresas pasen las responsabilidades de la nube a un equipo de TI central existente. Si ese equipo
puede volver a evaluar las herramientas, los procesos y las personas para facilitar una mejor adopción de la
nube a escala, la incorporación del equipo de TI central puede agregar un valor considerable. La incorporación
de expertos en la materia de operaciones, automatización, seguridad y administración para modernizar el
equipo de TI central puede dar lugar a innovaciones operativas eficaces.
Desafortunadamente, la fase del equipo de TI central puede ser una de las fases con más riesgo de madurez de
la organización. El equipo de TI central debe sentarse a la mesa con una profunda mentalidad de crecimiento. Si
el equipo ve la nube como una oportunidad de crecer y adaptarse, puede proporcionar un magnífico valor a lo
largo del proceso. Sin embargo, si el equipo de TI central considera la adopción de la nube fundamentalmente
como una amenaza para su modelo existente, se convierte en un obstáculo para los equipos de adopción de la
nube y los objetivos empresariales que persiguen. Algunos equipos de TI central han dedicado meses o incluso
años a intentar forzar la alineación de la nube con los enfoques locales, con resultados negativos únicamente. La
nube no exige que todo cambie en el equipo de TI central, pero requiere cambios importantes. Si la resistencia a
los cambios es generalizada en el equipo de TI central, esta fase de madurez puede convertirse rápidamente en
un antipatrón cultural.
Los planes de adopción de la nube muy centrados en soluciones de plataforma como servicio (PaaS), DevOps u
otras que requieren menos soporte de operaciones es menos probable que noten valor durante esta fase de
madurez. Por el contrario, estos tipos de soluciones son los más susceptibles de resultar entorpecidos o
bloqueados por intentos de centralizar la TI. Es más probable que un nivel superior de madurez, como un centro
de excelencia de la nube (CCoE), genere resultados positivos para esos tipos de esfuerzos de transformación.
Para comprender las diferencias entre la TI centralizada en la nube y un CCoE, consulte Centro de excelencia en
la nube.
Alineación estratégica
A medida que crece la inversión en la adopción de la nube y se obtienen valores empresariales, las partes
interesadas del negocio suelen implicarse más. Un equipo de estrategia de la nube definido, como se muestra
en la siguiente imagen, alinea esas partes interesadas del negocio a fin de maximizar el valor obtenido por las
inversiones en la adopción de la nube.
Si la madurez se produce de manera orgánica, como resultado de esfuerzos de adopción de la nube dirigidos
por TI, la alineación estratégica suele ir precedida por un equipo de gobernanza o de TI central. Si los esfuerzos
de adopción de la nube son dirigidos por el negocio, el enfoque en el modelo operativo y la organización tiende
a producirse con anterioridad. Siempre que sea posible, se deben definir los resultados empresariales y el
equipo de estrategia de la nube en una fase temprana del proceso.
Alineación operativa
La obtención de valor empresarial a partir de los esfuerzos de adopción de la nube requiere operaciones
estables. Las operaciones en la nube podrían requerir nuevas herramientas, procesos o aptitudes. Si se
requieren operaciones de TI estables para lograr resultados empresariales, es importante agregar un equipo de
operaciones en la nube definido, como se muestra aquí.
Los roles de operaciones de TI existentes pueden realizar las operaciones en la nube. Pero no es raro que las
operaciones en la nube se deleguen en otras partes ajenas a las operaciones de TI. Los proveedores de servicios
administrados, los equipos de DevOps y la TI de unidad de negocio suelen asumir las responsabilidades
asociadas con las operaciones en la nube, con soporte y protección de las operaciones de TI. Esto es cada vez
más común en los esfuerzos de adopción de la nube muy centrados en implementaciones de DevOps o PaaS.
Pasos siguientes
Después de alinear con una determinada fase de madurez de la estructura organizativa, puede usar gráficos
RACI para alinear la responsabilidad y el compromiso en cada equipo.
Alineación de la matriz RACI
Alineación de responsabilidades entre los equipos
06/03/2021 • 7 minutes to read • Edit Online
Aprenda a coordinar las responsabilidades de los equipos mediante el desarrollo de una matriz entre equipos
que identifique a las entidades responsables, encargadas, consultadas e informadas (RACI por sus siglas en
inglés) . En este artículo se proporciona una matriz RACI de ejemplo para las estructuras organizativas que se
describen en Establecimiento de estructuras de equipo:
Equipo de adopción de la nube solo
Procedimiento recomendado de producto viable mínimo
Equipo de TI central
Alineación estratégica
Alineación operativa
Centro de excelencia de la nube (CCoE)
Para realizar un seguimiento de las decisiones sobre la estructura de la organización a lo largo del tiempo,
descargue y modifique la plantilla de RACI.
En los ejemplos de este artículo se especifican estos componentes de RACI:
El equipo encargado de una función.
Los equipos responsables de los resultados.
Los equipos que deben consultarse durante el planeamiento.
Los equipos a los que se debe informar una vez finalizado el trabajo.
La última fila de cada tabla (excepto la primera) contiene un vínculo a la funcionalidad de la nube más adecuada
para más información.
Equipo de TI centralizado
O P ERA C I A UTO M A
EN T REGA A L IN EA C I A DM IN IS O P ERA C I M A DURE O N ES DE T IZ A C IÓ
DE ÓN T RA C IÓ N O N ES DE Z DE L A LA N DE L A
SO L UC IO EM P RESA DE SO L UC IO GO B ERN A P L ATA F O P L ATA F O P L ATA F O
T EA M N ES RIA L C A M B IO S N ES NZA RM A RM A RM A
Alineación estratégica
O P ERA C I A UTO M A
EN T REGA A L IN EA C I A DM IN IS O P ERA C I M A DURE O N ES DE T IZ A C IÓ
DE ÓN T RA C IÓ N O N ES DE Z DE L A LA N DE L A
SO L UC IO EM P RESA DE SO L UC IO GO B ERN A P L ATA F O P L ATA F O P L ATA F O
T EA M N ES RIA L C A M B IO S N ES NZA RM A RM A RM A
RACI del Consulta Informad Informad Informad Encargad Encargad Encargad Encargad
modelo do o o o o o o o
de CCoE
Alineación operativa
O P ERA C I A UTO M A
EN T REGA A L IN EA C I A DM IN IS O P ERA C I M A DURE O N ES DE T IZ A C IÓ
DE ÓN T RA C IÓ N O N ES DE Z DE L A LA N DE L A
SO L UC IO EM P RESA DE SO L UC IO GO B ERN A P L ATA F O P L ATA F O P L ATA F O
T EA M N ES RIA L C A M B IO S N ES NZA RM A RM A RM A
RACI del Consulta Informad Informad Informad Encargad Encargad Responsa Encargad
modelo do o o o o o ble o
de CCoE
O P ERA C I A UTO M A
EN T REGA A L IN EA C I A DM IN IS O P ERA C I M A DURE O N ES DE T IZ A C IÓ
DE ÓN T RA C IÓ N O N ES DE Z DE L A LA N DE L A
SO L UC IO EM P RESA DE SO L UC IO GO B ERN A P L ATA F O P L ATA F O P L ATA F O
T EA M N ES RIA L C A M B IO S N ES NZA RM A RM A RM A
La preparación (técnica) de la organización y el entorno puede requerir nuevas aptitudes para los colaboradores
técnicos y no técnicos. La siguiente información puede ayudar a su organización a desarrollar las aptitudes
necesarias.
Preparación de la organización
En función de las motivaciones y los resultados empresariales asociados al trabajo de adopción de la nube, es
posible que los responsables necesiten establecer nuevas estructuras organizativas o equipos virtuales para
facilitar diversas funciones. Los siguientes artículos pueden ayudar a su organización a desarrollar las aptitudes
necesarias para estructurar los equipos de modo que alcancen los resultados deseados:
Vinculación de la organización: descubra enfoques para establecer las estructuras organizativas adecuadas.
Ejercicios de alineación de la organización: obtenga información general sobre la alineación y las estructuras
de equipo para ayudar a cumplir objetivos específicos.
Establecimiento de equipos: aprenda cómo establecer los equipos de la organización responsables de la
entrega de funcionalidad de la nube.
Desglose en silos y feudos: información sobre dos antipatrones de organización habituales y sobre formas
de guiar al equipo hacia la colaboración productiva.
Más información
Para conocer más rutas de aprendizaje, eche un vistazo al catálogo de Microsoft Learn. Use el filtro de roles para
alinear las rutas de aprendizaje con su rol.
Crear una organización con control de costos
06/03/2021 • 15 minutes to read • Edit Online
Como se describió en Motivaciones: ¿por qué se realiza el traslado a la nube?, hay muchas razones de peso para
la adopción de la nube por parte de una empresa. Si la reducción de costos es uno de los principales factores, es
importante crear una organización con control de costos.
El control de costos no se garantiza en un solo día. Al igual que otros temas de adopción de la nube, es una
actividad iterativa. En el diagrama siguiente se describe este proceso, centrado en tres actividades
interdependientes: visibilidad, responsabilidad y optimización. Estos procesos se aplican en macro y
microniveles, que se describen en detalle en este artículo.
Pasos siguientes
La práctica de estas responsabilidades en cada nivel del negocio ayuda a conseguir una organización con
control de costos. Para comenzar a actuar sobre esta guía, revise la Introducción a la preparación de la
organización como ayuda para identificar las estructuras de equipo adecuadas.
Identificación de las estructuras de equipo correctas
Antipatrones de organización de la nube
06/04/2021 • 11 minutes to read • Edit Online
Los clientes suelen experimentar antipatrones de adopción de la nube en su estructura organizativa. Muchos
factores pueden causar estos problemas:
Conjuntos de herramientas
Asociados
Ingenieros
Departamentos de TI mal alineados
Es importante comprender el rol de cada uno de estos factores en un escenario de adopción de la nube correcta.
Pasos siguientes
Alineación de responsabilidades entre los equipos
Antipatrones de la organización: islas y feudos.
Crear una organización con control de costos
Antipatrones de la organización: Islas y feudos
12/03/2021 • 29 minutes to read • Edit Online
El éxito de cualquier cambio importante en las prácticas empresariales, la cultura o las operaciones tecnológicas
requiere una mentalidad de crecimiento. En el fondo de la mentalidad de crecimiento se encuentra la aceptación
del cambio y la capacidad de liderazgo a pesar de la ambigüedad.
Algunos antipatrones pueden bloquear una mentalidad de crecimiento en las organizaciones que quieren crecer
y transformarse, como la microadministración, el pensamiento sesgado y las prácticas excluyentes. Muchos de
estos bloqueadores son desafíos personales que crean oportunidades de crecimiento personal para todo el
mundo. Pero hay dos antipatrones comunes de TI que requieren más que el crecimiento o la madurez
individuales: islas y feudos.
Estos antipatrones son el resultado de cambios orgánicos en varios equipos, lo que da lugar a comportamientos
incorrectos de la organización. Para abordar la resistencia causada por cada antipatrón, es importante
comprender la causa principal de esta formación.
Antipatrones
El crecimiento orgánico y dinámico en TI que crea equipos de TI sin problemas también puede dar lugar a
antipatrones que bloquean la transformación y la adopción de la nube. Las islas y los feudos de TI son distintos
de las microculturas naturales presentes en equipos de TI sin problemas. En cualquiera de los dos patrones, el
enfoque del equipo tiende a estar dirigido a la protección de su "territorio". Cuando los miembros del equipo se
enfrentan a la oportunidad de impulsar el cambio y mejorar las operaciones, invertirán más tiempo y energía en
bloquear el cambio que en encontrar una solución positiva.
Como se mencionó anteriormente, los equipos de TI sin problemas pueden crear resistencia natural y fricción
positiva. Las islas y los feudos son otro desafío. No se ha documentado ningún indicador adelantado para
ninguno de los dos antipatrones. Estos antipatrones tienden a identificarse después de meses de trabajo del
centro de excelencia de la nube y el equipo de gobernanza en la nube. Se detectan como resultado de la
resistencia continuada.
Incluso en las culturas tóxicas, el trabajo del CCoE y el equipo de gobernanza en la nube deberían contribuir a
impulsar el crecimiento cultural y el progreso técnico. Después de meses de trabajo, es posible que algunos
equipos no muestren todavía signos de conductas inclusivas y se mantengan firmes en su resistencia al cambio.
Es probable que estos equipos funcionen en uno de los siguientes modelos de antipatrón: islas y feudos.
Aunque estos modelos presentan síntomas similares, la causa raíz y los enfoques para resolver la resistencia
son radicalmente diferentes entre ellos.
Islas de TI
Es probable que los miembros del equipo de una isla de TI se definan a sí mismos a través de su alineación con
un pequeño número de proveedores de TI o un área de especialización técnica. No obstante, no deben
confundirse las islas de TI con los feudos de TI. Las islas de TI suelen estar determinadas por la comodidad y el
entusiasmo y, a menudo, son más fáciles de superar que los motivos basados en el miedo que subyacen en los
feudos.
Este antipatrón suele surgir de un entusiasmo común por una solución concreta. Las islas de TI se ven luego
reforzadas por las aptitudes avanzadas del equipo como resultado de la inversión en esa solución específica.
Esta aptitud superior puede ser un acelerador del trabajo de adopción en la nube si se puede superar la
resistencia a los cambios. También puede convertirse en un bloqueador importante si las islas se dividen o si los
miembros del equipo no pueden evaluar con precisión las opciones. Afortunadamente, las islas de TI a menudo
se pueden solucionar sin realizar cambios importantes en el organigrama.
Resolución de la resistencia de islas de TI
Las islas de TI se pueden solucionar a través de los siguientes enfoques. El mejor enfoque dependerá de la causa
raíz de la resistencia.
Cree equipos vir tuales: en la sección Preparación de la organización de Cloud Adoption Framework se
describe una estructura de varias capas para integrar y definir cuatro equipos virtuales. Una ventaja de esta
estructura es la visibilidad y la inclusión entre organizaciones. La introducción de un centro de excelencia de la
nube crea un equipo de aspiraciones de alto perfil en el que los mejores ingenieros querrán participar. Esto
ayuda a crear nuevas alineaciones entre soluciones que no están limitadas por las restricciones del organigrama
y que impulsarán la inclusión de los mejores ingenieros que se encuentran protegidos por islas de TI.
La introducción de un equipo de estrategia en la nube creará una visibilidad inmediata de las contribuciones de
TI en cuanto al trabajo de adopción. Cuando las islas de TI luchan por la separación, esta visibilidad puede
ayudar a motivar a los responsables empresariales y de TI para que apoyen adecuadamente a los miembros del
equipo que se resisten. Este proceso es una vía rápida para la involucración y el soporte de las partes
interesadas.
Considere la experimentación y la exposición: Es probable que los miembros de un equipo en una isla de
TI se hayan visto obligados a pensar de cierta manera durante algún tiempo. La ruptura con la mentalidad de vía
única es un primer paso para resolver la resistencia.
La experimentación y la exposición son herramientas eficaces para derribar barreras de las islas. Es posible que
los miembros del equipo sean resistentes a soluciones de la competencia, por lo que no es aconsejable
colocarlos a cargo de un experimento que compite con su solución existente. No obstante, como parte de una
primera prueba de carga de trabajo de la nube, la organización debe implementar soluciones que compitan
entre sí. Debe invitarse al equipo aislado en la isla a participar como origen de entrada y de revisión, pero no
como responsable de la toma de decisiones. Esto debe comunicarse claramente al equipo, junto con el
compromiso de involucrar al equipo más profundamente como responsable de la toma de decisiones antes de
pasar a las soluciones de producción.
Durante la revisión de la solución competitiva, siga las prácticas descritas en la definición de la directiva
corporativa para documentar los riesgos tangibles del experimento y establecer directivas que ayuden a que el
equipo aislado en la isla se sienta más cómodo con el estado futuro. Esto expondrá al equipo a nuevas
soluciones y afianzará la solución futura.
No se ponga límites: A los equipos que impulsan la adopción de la nube les resulta fácil forzar los límites
explorando nuevas e interesantes soluciones nativas de la nube. Esta es la mitad del enfoque para eliminar los
límites. No obstante, ese planteamiento puede reforzar aún más las islas de TI. Si se intenta lograr un cambio
demasiado rápido sin respetar las culturas existentes, se puede crear una fricción incorrecta y provocar una
resistencia natural.
Cuando las islas de TI comienzan a resistirse, es importante no ponerse límites en las propias soluciones. No
olvide una sencilla verdad: una solución nativa de la nube no siempre es la mejor. Plantéese utilizar soluciones
híbridas que puedan ofrecer la oportunidad de proyectar las inversiones existentes de la isla de TI en el futuro.
Plantéese también usar versiones basadas en la nube de la solución que el equipo de la isla de TI usa ya.
Experimente con esas soluciones y expóngase al punto de vista de quienes viven en la isla de TI. Como mínimo,
obtendrá una nueva perspectiva. En muchas situaciones, es posible que gane suficiente respeto de la isla de TI
como para disminuir la resistencia.
Invier ta en educación: Muchas de las personas que viven en una isla de TI se entusiasmaron con la solución
actual como resultado de la expansión de su propia educación. Invertir en la educación de estos equipos rara
vez está fuera de lugar. Asigne tiempo a estas personas para que participen en aprendizaje autodidacta, clases o
incluso conferencias que rompan el enfoque del día a día sobre la solución actual.
Para que la educación sea una inversión, es necesario que el gasto genere algún tipo de rendimiento. A cambio
de la inversión, el equipo podría mostrar la solución propuesta al resto de los equipos involucrados en la
adopción de la nube. También podría facilitar documentación sobre los riesgos tangibles, los enfoques de
administración de riesgos y las directivas esperadas en la adopción de la solución propuesta. Cada uno
involucrará a estos equipos en la solución y le ayudará a aprovechar sus conocimientos tribales.
Convier ta los muros en baches: Las islas de TI pueden ralentizar o detener cualquier transformación. La
experimentación y la iteración encontrarán salida, pero solo si el proyecto sigue avanzando. Céntrese en
convertir los muros en simples baches. Defina directivas con las que todos puedan sentirse temporalmente
cómodos a cambio de un progreso continuo.
Por ejemplo, si la seguridad de TI es el obstáculo porque su solución de seguridad no puede supervisar los
peligros de los datos protegidos en la nube, establezca directivas de clasificación de datos. Evite la
implementación de datos clasificados en la nube hasta que se encuentre una solución aceptable. Invite a la
seguridad de TI a la experimentación con soluciones híbridas o nativas de la nube para supervisar los datos
protegidos.
Si el equipo de red funciona como una isla, identifique las cargas de trabajo que son autónomas y no tienen
dependencias de red. En paralelo, experimente, exponga y enseñe al equipo de red mientras trabaja en
soluciones híbridas o alternativas.
Sea paciente e inclusivo: Es tentador seguir adelante sin contar con una isla de TI. Pero esta decisión causará
interrupciones y presentará obstáculos más adelante. El cambio de mentalidad de los miembros de la isla de TI
puede llevar tiempo. Tenga paciencia con su resistencia natural: conviértala en valor. Sea inclusivo e invite a la
fricción sin problemas para mejorar la solución futura.
No compita nunca: La isla de TI existe por un motivo. Se conserva por un motivo. Existe una inversión en el
mantenimiento de la solución que entusiasma a los miembros del equipo. La competencia directa con la
solución o la isla de TI distraerá la atención del objetivo real de lograr resultados empresariales. Esta trampa ha
bloqueado muchos proyectos de transformación.
Manténgase centrado en el objetivo, y no en un solo componente del objetivo. Contribuya a acentuar los
aspectos positivos de la solución de la isla de TI y ayude a los miembros del equipo a tomar decisiones
acertadas sobre las mejores soluciones para el futuro. No vaya contra la solución actual, ya que esto sería
contraproducente.
Asóciese a la empresa: Si la isla de TI no bloquea los resultados empresariales, ¿por qué se preocupa? No
existe una solución perfecta ni un proveedor de TI perfecto. La competencia existe por un motivo; cada uno tiene
sus propias ventajas.
Adopte la diversidad e incluya la empresa mediante el apoyo y la alineación con un equipo de estrategia en la
nube fuerte. Cuando una isla de TI prefiere una solución que bloquea los resultados empresariales, será más
fácil comunicar ese obstáculo sin el ruido de las disputas técnicas. El apoyo a islas de TI sin pegas mostrará la
posibilidad de asociar los resultados empresariales esperados. Este trabajo conseguirá un mayor respeto y más
apoyos de la empresa cuando una isla de TI presente un bloqueador legítimo.
Feudos de TI
Los miembros del equipo de un feudo de TI probablemente se definan a sí mismos a través de su alineación con
un proceso o un área de responsabilidad en concreto. El equipo trabaja bajo el supuesto de que la influencia
externa en su área de responsabilidad provocará problemas. Los feudos suelen ser un antipatrón basado en el
miedo, lo que requerirá un considerable apoyo de liderazgo para superarlos.
Los feudos son especialmente comunes en organizaciones que han experimentado reducción de TI, inestabilidad
frecuente del personal de TI o un liderazgo de TI deficiente. Cuando la empresa considera la TI simplemente un
centro de costos, es mucho más probable que surjan feudos.
Por lo general, los feudos son consecuencia de un superior jerárquico que teme la pérdida del equipo y de la
base de poder asociada. Estos responsables suelen tener un sentido del deber hacia su equipo y sienten la
necesidad de proteger a sus subordinados de las consecuencias negativas. Frases como "proteger al equipo del
cambio" y "proteger al equipo de la interrupción del proceso" pueden ser indicadores de un jefe demasiado
cauteloso que puede necesitar más apoyo del liderazgo.
Resolución de la resistencia de feudos de TI
Los feudos de TI pueden mostrar cierto crecimiento si se siguen los enfoques de resolución de la resistencia de
silos de TI. Antes de intentar resolver la resistencia de un feudo de TI, se recomienda tratar primero al equipo
como una isla de TI. Si ese tipo de enfoques no produce ningún cambio significativo, el equipo resistente podría
verse afectado por un antipatrón de feudo de TI. La causa raíz de los feudos de TI es un poco más compleja de
resolver, ya que esa resistencia tiende a proceder del superior jerárquico directo (o un responsable superior en
el organigrama). Por lo general, es más fácil superar los retos basados en islas de TI.
Cuando la resistencia continua de los feudos de TI bloquea el trabajo de adopción de la nube, sería conveniente
realizar un trabajo conjunto para evaluar la situación con los responsables de TI existentes. Los responsables de
TI deben considerar detenidamente la información procedente del equipo de estrategia en la nube, el centro de
excelencia de la nube y el equipo de gobernanza de la nube antes de tomar decisiones.
NOTE
Los responsables de TI no deben tomar nunca a la ligera los cambios en el organigrama. También deben validar y analizar
los comentarios de cada uno de los equipos auxiliares. Aunque el trabajo de transformación, como la adopción en la nube,
tiende a magnificar los problemas subyacentes que han pasado desapercibidos o llevan mucho tiempo sin abordarse
antes de esta iniciativa. Cuando los feudos impiden el éxito de la empresa, es posible que se necesite un cambio de
liderazgo.
Afortunadamente, quitar el responsable de un feudo no suele acabar en despido. Estos responsables fuertes y entusiastas
a menudo pueden pasar a desempeñar un papel directivo después de un breve período de reflexión. Con el apoyo
adecuado, este cambio puede ser recomendable para el responsable del feudo y el equipo actual.
Cau t i on
En el caso de los jefes de feudos de TI, proteger el equipo de riesgos es un claro valor de liderazgo. No obstante,
hay una delgada línea divisoria entre protección y aislamiento. Impedir que el equipo participe en impulsar los
cambios puede tener consecuencias psicológicas y profesionales en él. La tentación de resistirse al cambio
puede ser fuerte, especialmente durante los momentos de cambio visible.
El jefe de cualquier equipo aislado puede demostrar mejor una mentalidad de crecimiento experimentando con
la guía asociada a equipos de TI sin problemas de las secciones anteriores. La participación activa y optimista en
actividades de CCoE y de gobernanza puede conducir al crecimiento personal. Los jefes de feudos de TI son los
más idóneos para cambiar las mentalidades asfixiantes y ayudar al equipo a desarrollar nuevas ideas.
Los feudos de TI pueden ser una señal de problemas de liderazgo sistémicos. Para superar un feudo de TI, los
responsables de TI necesitan tener capacidad para realizar cambios en las operaciones, las responsabilidades y,
ocasionalmente, incluso en las personas responsables del mando directo de equipos específicos. Cuando esos
cambios son necesarios, es aconsejable abordarlos con puntos de datos claros y defendibles.
Puede que se requiera la alineación con las partes interesadas de la empresa, las motivaciones empresariales y
los resultados empresariales para impulsar el cambio necesario. La asociación con el equipo de estrategia en la
nube, el centro de excelencia de la nube y el equipo de gobernanza en la nube puede proporcionar los puntos de
datos necesarios para una posición defendible. Cuando sea necesario, estos equipos deben participar en una
escalación de grupo para abordar los desafíos que no se pueden abordar solo con el liderazgo de TI.
Pasos siguientes
La interrupción de los antipatrones de la organización es un trabajo del equipo. Para actuar según esta guía,
revise la introducción a la preparación de la organización para identificar los participantes y las estructuras de
equipo correctos:
Identificación de los participantes y las estructuras de equipo correctos
Herramientas y plantillas
30/03/2021 • 9 minutes to read • Edit Online
El marco Cloud Adoption Framework incluye herramientas que le permiten implementar rápidamente el cambio
técnico. Use estas herramientas, plantillas y evaluaciones para acelerar la adopción de la nube. Los siguientes
recursos pueden ayudarle en cada fase de adopción. Algunas de las herramientas y plantillas se pueden usar en
varias fases.
Estrategia
REC URSO DESC RIP C IÓ N
Seguimiento del recorrido de la nube Identifique la ruta de adopción de la nube en función de las
necesidades de su empresa.
Plantilla del plan y la estrategia Documente las decisiones a medida que ejecuta la estrategia
y el plan de adopción de la nube.
Plan
REC URSO DESC RIP C IÓ N
Seguimiento del recorrido de la nube Identifique la ruta de adopción de la nube en función de las
necesidades de su empresa.
Plantilla del plan y la estrategia Documente las decisiones, a medida que ejecuta la estrategia
y el plan de adopción de la nube.
Generador del plan de adopción de la nube Para estandarizar los procesos, implemente un trabajo
pendiente en Azure Boards mediante la plantilla.
Uso de la plantilla de ADO de estrategia, planeación, Para estandarizar los procesos, implemente un trabajo
preparación y gobernanza pendiente en Azure Boards mediante la plantilla.
Ready
REC URSO DESC RIP C IÓ N
Lista de comprobación de preparación Use esta lista de comprobación para preparar su entorno
para la adopción, así como para preparar la primera zona de
aterrizaje de migración, personalizar el plano técnico y
expandirlo.
Plantilla de seguimiento de convención de nomenclatura y Documente las decisiones sobre los estándares de
etiquetado nomenclatura y etiquetado para garantizar la coherencia y
reducir el tiempo de incorporación.
Plano técnico de Fundación CAF Use una implementación ligera de una base de gobernanza
inicial para proporcionar experiencia práctica con las
herramientas de gobernanza de Azure.
REC URSO DESC RIP C IÓ N
Plano técnico de la zona de aterrizaje de la migración de CAF Aprovisione las cargas de trabajo que se van a migrar desde
un entorno local a Azure y prepárese para hospedarlas. Para
obtener más información acerca de este plano técnico,
consulte Implementación de una zona de aterrizaje para la
migración.
Control
REC URSO DESC RIP C IÓ N
Evaluación del banco de pruebas de gobernanza Identifique las brechas entre su estado actual y las
prioridades empresariales, y obtenga los recursos adecuados
para abordarlas.
Plano técnico de Fundación CAF Implementación ligera de una base de gobernanza inicial
para proporcionar experiencia práctica con las herramientas
de gobernanza de Azure.
Plantilla de la materia de Cost Management Defina las instrucciones de la directiva y diseñe la guía que le
permitirá consolidar la gobernanza de la nube en su
organización con un enfoque en la administración de costos.
Plantilla de la materia de aceleración de la implementación Defina las instrucciones de directiva y diseñe la guía que le
permitirá consolidar la gobernanza de la nube en su
organización con un enfoque en la aceleración de la
implementación.
Plantilla de la materia de base de referencia de identidad Defina las instrucciones de la directiva y diseñe la guía que le
permitirá consolidar la gobernanza de la nube en su
organización con un enfoque en los requisitos de la
identidad.
Plantilla de la materia de coherencia de recursos Defina las instrucciones de la directiva y diseñe la guía que le
permitirá consolidar la gobernanza de la nube en su
organización con un enfoque en la coherencia de los
recursos.
Plantilla de la materia de base de referencia de seguridad Defina las instrucciones de la directiva y diseñe la guía que le
permitirá consolidar la gobernanza de la nube en su
organización con un enfoque en la base de referencia de
seguridad.
REC URSO DESC RIP C IÓ N
Migrar
RESO URC E DESC RIP C IÓ N
Lista de detección de migración del centro de datos Revise esta lista de comprobación para obtener información
que le ayude a identificar cargas de trabajo, servidores y
otros recursos de su centro de datos. Use esta información
para planear la migración.
Innovación
REC URSO DESC RIP C IÓ N
Administrar
REC URSO DESC RIP C IÓ N
Reseña de buena arquitectura de Microsoft Azure Esta evaluación en línea le ayudará a definir las opciones de
operaciones y las arquitecturas específicas de la carga de
trabajo.
REC URSO DESC RIP C IÓ N
Procedimientos recomendados del código fuente Este código fuente que se puede implementar complementa
y acelera la adopción de procedimientos recomendados de
los servicios de administración de servidores de Azure. Use
este código fuente para habilitar rápidamente la
administración de operaciones y establecer una base de
referencia de las operaciones.
Organizar
REC URSO DESC RIP C IÓ N
Diagrama RACI entre equipos Descargue y modifique la plantilla de hoja de cálculo de RACI
para realizar un seguimiento de las decisiones sobre la
estructura de la organización a lo largo del tiempo.
Procedimientos recomendados de seguridad de
Azure
06/03/2021 • 62 minutes to read • Edit Online
Estos son los principales procedimientos recomendados de seguridad que aconseja Microsoft a partir de las
lecciones aprendidas de clientes y de nuestros propios entornos.
Puede ver una presentación en vídeo de estos procedimientos recomendados en la Comunidad tecnológica de
Microsoft.
IMPORTANT
Los protocolos de identidad son fundamentales para el control de acceso en la nube pero no suelen tener la misma
prioridad en la seguridad local. Por ello, los equipos de seguridad deben centrarse en desarrollar una familiaridad con
estos protocolos y registros.
Microsoft ofrece gran cantidad de recursos para ayudar a los profesionales técnicos a mejorar su competencia
en relación con la protección de recursos de Azure y los informes sobre cumplimiento:
Azure Security
Ruta de aprendizaje AZ-500 (y certificación)
Pruebas comparativas de seguridad de Azure: procedimientos recomendados y controles de
seguridad de Azure preceptivos
Bases de referencia de seguridad para Azure: aplicación de las pruebas comparativas de
seguridad a servicios de Azure individuales
Procedimientos recomendados de seguridad de Microsoft: vídeos y documentación
Cumplimiento de Azure
Evaluación del cumplimiento normativo con Azure Security Center
Protocolos de identidad y seguridad
Sitio web con documentación de Azure Security Center
Series de vídeos de YouTube sobre autenticación de Azure AD
Protección de entornos de Azure con Azure Active Directory
Consulte también la prueba comparativa de seguridad de Azure GS-3: Alineación de los roles y
responsabilidades de la organización
NOTE
Asegúrese de que los responsables de la toma de decisiones tengan la formación adecuada en su área de la nube para
respaldar esta responsabilidad.
Asegúrese de que las decisiones se documentan mediante directivas y estándares para proporcionar un registro y que
sirva de guía a la organización a largo plazo.
Consulte también la prueba comparativa de seguridad de Azure GS-3: Alineación de los roles y
responsabilidades de la organización
NOTE
El objetivo de la simplificación y la automatización no consiste en deshacerse de los trabajos, sino en quitar a las personas
la carga que suponen las tareas repetitivas para que puedan centrarse en actividades humanas de mayor valor, como la
interacción con los equipos de TI y DevOps, y la instrucción de estos.
IMPORTANT
Las explicaciones sobre por qué, qué y cómo proteger los recursos suelen ser similares para los diferentes tipos de
recursos y aplicaciones, pero es fundamental relacionarlos con lo que cada equipo ya conoce y de lo que ya se ocupa. Los
equipos de seguridad deben interactuar con sus colegas de TI y DevOps como asesores y asociados de confianza
centrados en permitir que estos equipos funcionen correctamente.
Herramientas : La puntuación segura de Azure Security Center proporciona una evaluación de la información
de seguridad más importante de Azure para una amplia variedad de recursos. Este debe ser el punto de partida
en la administración de la posición y se puede complementar con directivas de Azure personalizadas y otros
mecanismos según sea necesario.
Frecuencia : Establezca una cadencia regular (normalmente mensual) para revisar la puntuación segura de
Azure y planear iniciativas con objetivos de mejora específicos. La frecuencia se puede aumentar según sea
necesario.
TIP
Ludifique la actividad si es posible para aumentar el compromiso, con actividades como la creación de divertidas
competiciones y premios para el equipo de DevOps que les permitan mejorar su puntuación al máximo.
NOTE
Hoy en día es relativamente sencillo que los atacantes logren sortear una autenticación multifactor basada en mensajes
de texto, por lo que deberá centrarse en la autenticación sin contraseña o en una autenticación multifactor más sólida.
Consulte también la prueba comparativa de seguridad de Azure ID-4: Uso de controles con autenticación
multifactor sólida para todo el acceso basado en Azure Active Directory.
NOTE
Este procedimiento recomendado se refiere específicamente a los recursos de empresa. En el caso de las cuentas de
asociados, use Azure AD B2B de modo que no tenga que crear y mantener cuentas en el directorio. En el caso de las
cuentas de clientes o ciudadanos, use Azure AD B2C para administrarlas.
Por qué : varias cuentas y directorios de identidad crean una fricción y confusión innecesarias en los flujos de
trabajo diarios de los usuarios de producción, desarrolladores, administradores de TI y de identidad, analistas de
seguridad y otros roles.
La administración de varias cuentas y directorios también conlleva unos procedimientos de seguridad
deficientes, como la reutilización de la misma contraseña en todas las cuentas, y aumenta la probabilidad de
cuentas obsoletas o abandonadas a las que los atacantes pueden dirigirse.
Aunque a veces parece más fácil crear rápidamente un directorio personalizado (basado en LDAP, etc.) para una
aplicación o carga de trabajo determinada, esto genera más trabajo de integración y mantenimiento que
configurar y administrar. Esto tiene bastantes similitudes con la decisión de configurar un inquilino de Azure
adicional o bosques adicionales locales de Active Directory en lugar de usar la empresa existente. Consulte
también el principio de seguridad "Impulso de la simplificación".
Quién : esto suele ser un esfuerzo conjunto que controlan los equipos de Arquitectura de seguridad o
Administración de identidades y claves.
Patrocinio: este esfuerzo normalmente es patrocinado por los equipos de Administración de identidades y
claves y Arquitectura de seguridad (aunque algunas organizaciones pueden requerir el patrocinio del
Director de seguridad de la información o el Director tecnológico).
Ejecución: este es un esfuerzo colaborativo que involucra:
Arquitectura de seguridad : incorpora documentos y diagramas en los procedimientos de
seguridad y la arquitectura de TI
Directiva y estándares : documenta las directivas y supervisa el cumplimiento
Al equipo de Administración de identidades y claves o al de Operaciones de TI centrales para
que implemente la directiva habilitando las características y apoyando a los desarrolladores con
cuentas, formación, etc.
A los desarrolladores de aplicaciones y al equipo de Operaciones de TI central : usan las
identidades en aplicaciones y configuraciones de servicios de Azure (las responsabilidades variarán en
función del nivel de adopción de DevOps)
Cómo : adopte un enfoque práctico que comience por las nuevas funcionalidades greenfield (que están
surgiendo en la actualidad) y solucione los desafíos que surjan con las aplicaciones y servicios existentes
brownfield como ejercicio de seguimiento:
Nuevas: establezca e implemente una directiva clara en la que todas las identidades de empresa usen, de
ahora en adelante, un solo directorio de Azure AD con una sola cuenta para cada usuario.
Existentes: muchas organizaciones suelen tener varios directorios y sistemas de identidad heredados.
Tendrá que dar una solución a estas si el costo de las fricciones de su administración continua superan al
de la inversión necesaria para eliminarlas. Aunque las soluciones de administración de identidades y
sincronización pueden mitigar algunos de estos problemas, carecen de una integración profunda de las
características de seguridad y productividad que permitan una experiencia sin problemas para los
usuarios, administradores y desarrolladores.
El momento ideal para consolidar el uso de la identidad es durante los ciclos de desarrollo de aplicaciones ya
que puede:
Modernizar las aplicaciones para la nube
Actualizar las aplicaciones en la nube con procesos de DevOps
Aunque existen motivos válidos para un directorio independiente en el caso de unidades de negocio
extremadamente independientes o requisitos normativos, en todas las demás circunstancias se debe evitar el
uso de varios directorios.
Consulte también la prueba comparativa de seguridad de Azure ID-1: Unificación en Azure Active Directory
como sistema central de identidad y autenticación.
IMPORTANT
La única excepción a la regla de cuentas únicas es que los usuarios con privilegios elevados (incluidos los administradores
de TI y los analistas de seguridad) deben tener cuentas independientes para tareas de usuario estándar y tareas
administrativas.
Para más información, consulte la prueba comparativa de seguridad de Azure Acceso con privilegios.
Las guías de decisiones sobre arquitectura de Cloud Adoption Framework describen patrones y modelos que
ayudan a crear la guía de diseño de la gobernanza de la nube. Cada una de estas guías se centra en un
componente principal de la infraestructura de las implementaciones en la nube y enumera los patrones y
modelos que pueden admitir escenarios concretos de implementación en la nube.
Al empezar a establecer la gobernanza de la nube en una organización, los procesos de gobernanza que
requieren acciones ofrecen una hoja de ruta de la base de referencia. Estos recorridos realizan suposiciones
acerca de los requisitos y prioridades que puede que no reflejen los de su organización.
Estas guías de decisiones complementan los recorridos de gobernanza de ejemplo, ya que proporcionan
patrones y modelos alternativos que le ayudan a alinear las opciones de diseño de arquitectura realizadas en la
guía de diseño de ejemplo con sus propios requisitos.
Pasos siguientes
Obtenga información acerca de cómo tanto las suscripciones como las sirven como base de una
implementación en la nube.
Diseño de suscripciones
Guía de decisiones de suscripción
12/03/2021 • 7 minutes to read • Edit Online
Un diseño eficaz de las suscripciones ayuda a las organizaciones a establecer una estructura para organizar y
administrar los recursos de Azure durante un proceso de adopción de la nube. Esta guía le ayudará a decidir
cuándo debe crear suscripciones adicionales y expandir la jerarquía de grupos de administración para dar apoyo
a sus prioridades empresariales.
Requisitos previos
La adopción de Azure comienza con la creación de una suscripción, la asociación a una cuenta y la
implementación de recursos tales como máquinas virtuales y bases de datos en la suscripción. Para una
introducción sobre estos conceptos, consulte Conceptos básicos de Azure.
Cree las suscripciones iniciales.
Cree suscripciones adicionales para escalar el entorno de Azure.
Organice y administre sus suscripciones mediante grupos de administración de Azure.
NOTE
Un Contrato Enterprise (EA) de Azure le permite definir otra jerarquía organizativa con fines de facturación. Esta jerarquía
es distinta de la jerarquía del grupo de administración, que se centra en proporcionar un modelo de herencia para aplicar
fácilmente directivas adecuadas y control de acceso a los recursos.
Cada organización categorizará las aplicaciones de forma diferente, a menudo separarán las suscripciones
basadas en aplicaciones o servicios específicos o en arquetipos de aplicación. Esta categorización a menudo está
diseñada para admitir cargas de trabajo que es probable que consuman la mayor parte de los límites de
recursos de una suscripción, o bien cargas de trabajo críticas independientes, con el fin de asegurarse de que no
compiten con otras cargas de trabajo dentro de estos límites. Entre las cargas de trabajo que pueden justificar
una suscripción independiente se incluyen:
Cargas de trabajo críticas.
Aplicaciones que forman parte del coste de bienes vendidos (COGS) dentro de la empresa. Por ejemplo,
todos los widgets fabricados por una empresa contienen un módulo de Azure IoT que envía datos de
telemetría. Esto puede requerir una suscripción dedicada para fines de contabilidad o gobernanza como
parte del COGS.
Aplicaciones sujetas a requisitos legales (como HIPAA o FedRAMP).
Estrategia funcional
La estrategia funcional organiza las suscripciones y cuentas a lo largo de líneas funcionales como finanzas,
ventas o soporte técnico de TI, mediante una jerarquía de grupos de administración.
Estrategia de la unidad de negocio
Esta estrategia agrupa las suscripciones y cuentas en función de categorías de pérdidas y ganancias, unidades
de negocio, divisiones, centros de beneficios o estructuras empresariales similares mediante una jerarquía de
grupo de administración.
Estrategia geográfica
Para organizaciones con operaciones globales, la estrategia geográfica agrupa las suscripciones y cuentas en
función de las regiones geográficas mediante una jerarquía de administración de grupos.
Recursos relacionados
Administración del acceso a recursos de Azure
Varias capas de gobernanza en grandes empresas
Varias regiones geográficas
Pasos siguientes
El diseño de suscripciones es solo uno de los principales componentes de infraestructura que requieren
decisiones de arquitectura durante un proceso de adopción de la nube. Visite la introducción a las guías para la
toma de decisiones arquitectónicas para más información sobre las estrategias adicionales que se usan al tomar
decisiones de diseño para otros tipos de infraestructura.
Guías de decisiones sobre arquitectura
Guía de decisión de identidad
06/03/2021 • 16 minutes to read • Edit Online
En cualquier entorno, ya sea local, híbrido, o solo en la nube, el departamento de TI necesita controlar qué
administradores, usuarios y grupos tienen acceso a los recursos. Los servicios de Administración de identidad y
acceso (IAM) le permiten administrar el control de acceso en la nube.
¿Actualmente carece Sí No No No
de un servicio de
directorios local?
¿Las cargas de No Sí No No
trabajo necesitan
usar un conjunto
común de usuarios y
grupos entre el
entorno en la nube y
el local?
¿Sus cargas de No No Sí Sí
trabajo dependen de
mecanismos de
autenticación
heredados, como
Kerberos o NTLM?
¿Necesita el inicio de No No No Sí
sesión único entre
varios proveedores
de identidad?
Como parte del planeamiento de la migración a Azure, deberá determinar la mejor manera de integrar sus
servicios actuales de administración de identidad y de identidad en la nube. A continuación presentamos
escenarios de integración comunes.
Línea base en la nube
Azure AD es el sistema de administración de identidades y acceso (IAM) nativo para conceder acceso a los
usuarios y grupos a las características de administración en la plataforma de Azure. Si la organización no tiene
una solución de identidades significativa en el entorno local y planea migrar las cargas de trabajo para que sean
compatibles con los mecanismos de autenticación basados en la nube, debería comenzar a desarrollar la
infraestructura de identidades con Azure AD como base.
Suposiciones de la línea de base en la nube: El uso de una infraestructura de identidad puramente nativo
de la nube asume lo siguiente:
Los recursos basados en la nube no tendrán dependencias de servicios de directorio locales o servidores de
Active Directory o las cargas de trabajo se pueden modificar para eliminar esas dependencias.
Las cargas de trabajo de servicio o aplicación que se están migrando admiten mecanismos de autenticación
compatibles con Azure AD o se pueden modificar fácilmente para admitirlos. Azure AD se basa en
mecanismos de autenticación por Internet como SAML, OAuth y OpenID Connect. Es posible que haya que
refactorizar las cargas de trabajo existentes que dependen de métodos de autenticación heredados que usan
protocolos como Kerberos o NTLM antes de migrarlas a la nube mediante el patrón de línea de base en la
nube.
TIP
Migrar completamente los servicios de identidad a Azure AD elimina la necesidad de mantener su propia infraestructura
de identidades, con lo que se simplifica de manera significativa la administración de los servicios informáticos.
Pero Azure AD no sustituye completamente una infraestructura de Active Directory local tradicional. Es posible que
algunas características de los directorios, como los métodos de autenticación heredados, la administración de equipos o la
directiva de grupos no estén disponibles si no se han implementado previamente herramientas o servicios adicionales en
la nube.
Para escenarios donde es necesario integrar las identidades locales o los servicios de dominio con las implementaciones en
la nube, consulte los patrones de sincronización de directorios y de servicios de dominio hospedados en la nube que se
explican a continuación.
Sincronización de directorios
Para organizaciones con una infraestructura de Active Directory local existente, la sincronización de directorios
suele ser la mejor solución para conservar los usuarios existentes y la administración del acceso
proporcionando al mismo tiempo las funcionalidades de IAM necesarias para administrar recursos en la nube.
Este proceso replica continuamente la información de los directorios entre Azure AD y los servicios de directorio
locales, lo que permite credenciales comunes para los usuarios y un sistema de identidades, roles y permisos
coherente en toda la organización.
NOTE
Es posible que las organizaciones que han adoptado Microsoft 365 ya hayan implementado la sincronización de
directorios entre su infraestructura de Active Directory local y Azure Active Directory.
TIP
Las cargas de trabajo basadas en la nube que dependen de mecanismos de autenticación heredados proporcionados por
servidores de Active Directory locales y que no son compatibles con Azure AD, seguirán necesitando conectividad con
servicios de dominio locales o servidores virtuales en el entorno en la nube que ofrecen estos servicios. El uso de servicios
de identidad locales también presenta las dependencias en la conectividad entre las redes en la nube y local.
TIP
Mientras que una migración de directorios combinada con servicios de dominio hospedados en la nube ofrece una gran
flexibilidad al migrar las cargas de trabajo existentes, el hospedaje de máquinas virtuales dentro de la red virtual en la
nube para proporcionar estos servicios aumenta la complejidad de las tareas de administración de TI. A medida que crezca
su experiencia de migración en la nube, examine los requisitos de mantenimiento a largo plazo del hospedaje de estos
servidores. Considere si la refactorización de cargas de trabajo existentes para ofrecer compatibilidad con proveedores de
identidades en la nube como Azure Active Directory puede reducir la necesidad de estos servidores hospedados en la
nube.
Más información
Para más información acerca de los servicios de identidad en Azure, consulte:
Azure AD . Azure AD proporciona servicios de identidad basados en la nube. Permite administrar el acceso a
sus recursos de Azure y controlar la administración de identidades, el registro de dispositivos, el
aprovisionamiento de usuarios, el control de acceso de la aplicación y la protección de datos.
Azure AD Connect . La herramienta Azure AD Connect le permite conectarse a instancias de Azure AD con
sus soluciones de administración de identidad existentes, permitiendo la sincronización del directorio actual
en la nube.
Control de acceso basado en rol de Azure (Azure RBAC) . Azure RBAC administra de forma eficaz y
segura el acceso a los recursos en el plano de administración. Los trabajos y las responsabilidades se
organizan en roles, y los usuarios se asignan a estos roles. Azure RBAC permite controlar quién tiene acceso
a un recurso, junto con las acciones que un usuario puede realizar en ese recurso.
Azure AD Privileged Identity Management (PIM) . PIM reduce el tiempo de exposición de los privilegios
de acceso de recursos y aumenta la visibilidad de su uso mediante alertas e informes. Limita a los usuarios a
que solo acepten sus privilegios "just-in-time" (JIT) o mediante la asignación de privilegios por un período de
tiempo más corto, tras el cual se revocan automáticamente.
Integración de dominios locales de Active Director y con Azure Active Director y . Esta arquitectura
de referencia proporciona un ejemplo de sincronización de directorios entre los dominios de Active Directory
local y Azure AD.
Extensión de Active Director y Domain Ser vices (AD DS) a Azure . Esta arquitectura de referencia
proporciona un ejemplo de cómo implementar servidores de AD DS para ampliar los servicios de dominio a
los recursos basados en la nube.
Extensión de Ser vicios de federación de Active Director y (AD FS) a Azure . Esta arquitectura de
referencia configura Servicios de federación de Active Directory (AD FS) para realizar la autenticación
federada y la autorización con su directorio Azure AD.
Pasos siguientes
La identidad es solo uno de los principales componentes de infraestructura que requieren decisiones de
arquitectura durante un proceso de adopción de la nube. Para obtener información sobre patrones o modelos
alternativos que se usan cuando se toman decisiones acerca del diseño de otros tipos de infraestructura,
consulte la introducción a las guías para la toma de decisiones arquitectónicas.
Introducción a las guías para la toma de decisiones arquitectónicas
Guía de decisiones sobre el cumplimiento de
directivas
06/03/2021 • 9 minutes to read • Edit Online
La definición de una directiva de la organización no será eficaz a menos que se pueda aplicar en la organización.
Un aspecto clave a la hora de planear cualquier migración a la nube consiste en determinar la mejor manera de
combinar las herramientas que ofrece la plataforma de nube con los procesos de TI ya existentes para
maximizar el cumplimiento de la directiva en todo el patrimonio de la nube.
Aplicación de directivas
En Azure, también puede aplicar opciones de configuración y reglas de creación de recursos en el nivel de grupo
de administración, suscripción o grupo de recursos para ayudar a garantizar la alineación con las directivas.
Azure Policy es un servicio de Azure para crear, asignar y administrar directivas. Dichas directivas aplican
distintas reglas y efectos a los recursos, con el fin de que estos sigan siendo compatibles con los estándares
corporativos y los acuerdos de nivel de servicio. Azure Policy evalúa los recursos que incumplen las directivas
asignadas. Por ejemplo, puede que desee limitar el tamaño de SKU de las máquinas virtuales del entorno. Tras
implementar la directiva correspondiente, se evalúa el cumplimiento tanto de los recursos nuevos como de los
existentes. Con la directiva correcta, se puede conseguir el cumplimiento de los recursos existentes.
Cumplimiento automatizado
Aunque las plantillas de implementación estándar son eficaces a una escala menor, Azure Blueprints permite un
aprovisionamiento estándar a gran escala y la orquestación de la implementación de las soluciones de Azure.
Las cargas de trabajo de varias suscripciones se pueden implementar con valores de directiva coherentes en
cualquier recurso que se cree.
En entornos de TI que integran recursos locales y en la nube, puede que necesite usar sistemas de registro y
notificación que ofrezcan funcionalidades de supervisión híbridas. Los sistemas de supervisión operativa
personalizados o de terceros pueden ofrecer otras funcionalidades adicionales de cumplimiento de directivas.
Para entornos en la nube mayores o más maduros, analice cómo integrar mejor estos sistemas con los recursos
en la nube.
Pasos siguientes
El cumplimiento de directivas es solo uno de los principales componentes de infraestructura que requieren
decisiones de arquitectura durante un proceso de adopción de la nube. Visite la introducción a las guías para la
toma de decisiones arquitectónicas para obtener información sobre patrones o modelos alternativos que se
usan cuando se toman decisiones de diseño para otros tipos de infraestructura.
Guías de decisiones sobre arquitectura
Guía de decisiones de la coherencia de recursos
09/03/2021 • 11 minutes to read • Edit Online
El diseño de suscripciones de Azure define cómo organizar los recursos en la nube en relación con la estructura
de la organización, las prácticas contables y los requisitos de las cargas de trabajo. Además de este nivel de
estructura, abordar los requisitos de directivas de gobernanza organizativa en todo el entorno en la nube
requiere la capacidad de organizar, implementar y administrar los recursos dentro de una suscripción de forma
coherente.
Agrupación básica
En Azure, los grupos de recursos son un mecanismo principal de organización de recursos para agrupar
lógicamente los recursos dentro de una suscripción.
Los grupos de recursos actúan como contenedores para los recursos con un ciclo de vida común, así como
restricciones de administración compartidas, como los requisitos de la directiva o del control de acceso basado
en rol de Azure (Azure RBAC). Los grupos de recursos no pueden anidarse, y los recursos solo pueden
pertenecer a un solo grupo de recursos. Todas las acciones del plano de control actúan sobre todos los recursos
de un grupo de recursos. Por ejemplo, al eliminar un grupo de recursos, también se eliminan todos los recursos
de ese grupo. El patrón preferido para la administración del grupo de recursos debe tener en cuenta lo
siguiente:
1. ¿Se desarrollan los contenidos del grupo de recursos de forma conjunta?
2. ¿Se administran, actualizan y supervisan de forma conjunta los contenidos del grupo de recursos? ¿Realizan
esas operaciones las mismas personas o equipos?
3. ¿Se retiran los contenidos del grupo de recursos de forma conjunta?
Si respondió no a cualquiera de las preguntas anteriores, el recurso en cuestión debe colocarse en otra parte, en
otro grupo de recursos.
IMPORTANT
Los grupos de recursos también son específicos de cada región; sin embargo, es habitual que los recursos estén en
regiones diferentes, aunque dentro del mismo grupo de recursos, ya que, cómo se indicó anteriormente, se administran
de forma conjunta. Para más información sobre la selección de regiones, consulte Varias regiones.
Coherencia de implementación
Creadas sobre el mecanismo de agrupación de recursos base, la plataforma de Azure proporciona un sistema
para usar plantillas para implementar los recursos en el entorno en la nube. Puede usar plantillas para crear
convenciones de nomenclatura y organización coherentes al implementar cargas de trabajo, reforzando esos
aspectos del diseño de la implementación y la administración de recursos.
Las plantillas de Azure Resource Manager permiten implementar repetidamente los recursos en un estado
coherente mediante una estructura de grupos de recursos y una configuración predeterminada. Las plantillas de
Resource Manager ayudan a definir un conjunto de estándares como punto de partida para las
implementaciones.
Por ejemplo, puede tener una plantilla estándar para la implementación de una carga de trabajo de servidor
web que contiene dos máquinas virtuales como servidores web combinadas con un equilibrador de carga para
distribuir el tráfico entre los servidores. A continuación, puede volver a usar esta plantilla para crear un conjunto
de máquinas virtuales con un equilibrador de carga estructuralmente idénticos cada vez que se necesita este
tipo de carga de trabajo, solo cambiando el nombre de la implementación y las direcciones IP implicadas.
También puede implementar estas plantillas mediante programación e integrarlas con los sistemas de CI/CD.
Coherencia de directivas
Para asegurarse de que se aplican las directivas de gobernanza cuando se crean recursos, parte del diseño de
agrupación de recursos implica el uso de una configuración común al implementar recursos.
Mediante la combinación de grupos de recursos y plantillas de Resource Manager estandarizadas, puede aplicar
estándares para los parámetros que son necesarios en una implementación y las reglas de Azure Policy que se
aplican a cada grupo de recursos o recurso.
Por ejemplo, puede existir el requisito de que todas las máquinas virtuales implementadas dentro de su
suscripción se conecten a una subred común administrada por el equipo de TI central. Puede crear una plantilla
estándar para implementar máquinas virtuales de carga de trabajo para crear un grupo de recursos
independiente para la carga de trabajo e implementar allí las máquinas virtuales necesarias. Este grupo de
recursos tendría una regla de directiva para permitir solo que las interfaces de red dentro del grupo de recursos
se unan a la subred compartida.
Para obtener una explicación más detallada de la aplicación de las decisiones de directiva dentro de una
implementación en la nube, consulte Aplicación de directivas.
Coherencia jerárquica
Los grupos de recursos permiten niveles adicionales de jerarquía dentro de la organización y suscripción,
aplicando reglas de Azure Policy y controles de acceso en un nivel de grupo de recursos. A medida que crece el
tamaño del entorno en la nube, es posible que deba admitir requisitos de gobernanza en varias suscripciones
más complicados que pueden admitirse mediante la jerarquía de empresa, departamento, cuenta y suscripción
del contrato Enterprise de Azure.
Los grupos de administración de Azure le permiten organizar las suscripciones en estructuras organizativas más
sofisticadas mediante la agrupación de suscripciones en una jerarquía distinta de la jerarquía del contrato
Enterprise. Esta jerarquía alternativa le permite aplicar mecanismos de control de acceso y cumplimiento de
directivas en varias suscripciones y los recursos que contienen. Las jerarquías de grupos de administración se
pueden utilizar para hacer coincidir las suscripciones del entorno en la nube con los requisitos de gobernanza
del negocio o las operaciones. Para más información, consulte la Guía de decisiones de suscripción.
Coherencia automatizada
Para las implementaciones de nube de gran tamaño, la gobernanza global pasa a ser más importante y más
complejo. Es fundamental aplicar y exigir automáticamente los requisitos de gobernanza al implementar
recursos, así como satisfacer requisitos actualizados para las implementaciones existentes.
Azure Blueprints permiten a las organizaciones admitir la gobernanza global de entornos de nube de gran
tamaño en Azure. Los planos técnicos van más allá de las capacidades proporcionadas por las plantillas estándar
de Azure Resource Manager para crear orquestaciones de implementación completa capaz de implementar los
recursos y aplicar reglas de directiva. Los planos técnicos son compatibles con el control de versiones, la
capacidad de actualizar todas las suscripciones en las que se usó el plano técnico y la capacidad de bloquear las
suscripciones implementadas para evitar la creación y la modificación no autorizadas de recursos.
Estos paquetes de implementación permiten que los equipos de TI y de desarrollo implementen rápidamente
nuevas cargas de trabajo y recursos de red que cumplan con los requisitos cambiantes de la directiva
organizativa. Los planos técnicos también se pueden integrar en canalizaciones de CI/CD para aplicar los
estándares de gobernanza revisados a las implementaciones cuando se actualizan.
Pasos siguientes
La coherencia de recursos es solo uno de los principales componentes de infraestructura que requieren
decisiones de arquitectura durante un proceso de adopción de la nube. Visite la introducción a las guías para la
toma de decisiones arquitectónicas para obtener información sobre patrones o modelos alternativos que se
usan cuando se toman decisiones de diseño para otros tipos de infraestructura.
Guías de decisiones sobre arquitectura
Guía de decisiones de nomenclatura y etiquetado
de recursos
12/03/2021 • 11 minutes to read • Edit Online
La organización de los recursos basados en la nube es una tarea crucial TI, salvo que solo se realicen
implementaciones simples. Estos son los motivos por los que se recomienda usar los estándares de
nomenclatura y etiquetado para organizar los recursos:
Administración de recursos: los equipos de TI deberán ubicar rápidamente los recursos asociados a
cargas de trabajo específicas, entornos, grupos de propiedad u otra información importante. Organizar
los recursos es fundamental para la asignación de roles de la organización y los permisos de acceso para
la administración de recursos.
Optimización y administración de costos: para que los grupos empresariales conozcan el consumo
de recursos en la nube es preciso que el personal de TI sepa qué recursos y cargas de trabajo usa cada
equipo. Los temas siguientes tienen el soporte de las etiquetas relacionadas con los costos:
Modelos de contabilidad en la nube
Cálculos de rentabilidad de la inversión
Seguimiento de costos
Presupuestos
Alertas
Informes y seguimiento de gastos periódicos
Optimizaciones posteriores a la implementación
Tácticas de optimización de costos
Administración de operaciones: la visibilidad del equipo de administración de operaciones en lo
referente a los compromisos empresariales y de nivel de servicio es un aspecto importante de las
operaciones en curso. Para una buena administración, es obligatorio el etiquetado de la importancia de
cada misión.
Seguridad: la clasificación de los datos y del impacto en la seguridad es un punto de datos vital para el
equipo si se producen vulneraciones o cualquier otro problema de seguridad. Para operar de forma
segura, es preciso un etiquetado para la clasificación de datos.
Gobernanza y cumplimiento normativo: el mantenimiento de la coherencia entre los distintos
recursos ayuda a identificar cualquier desviación de las directivas acordadas. La guía prescriptiva para el
etiquetado de recursos muestra de qué forma puede ayudar uno de los patrones siguientes al
implementar prácticas de gobernanza. Existen patrones similares para evaluar el cumplimiento
normativo mediante etiquetas.
Automation: Además de facilitar la administración de los recursos para TI, un esquema organizativo
correcto le permite aprovechar las ventajas de la automatización como parte de la creación de recursos,
la supervisión operativa y la creación de procesos de DevOps.
Optimización de las cargas de trabajo: el etiquetado puede ayudar a identificar patrones y a resolver
problemas amplios. Las etiquetas también puede ayudar a identificar los recursos necesarios para admitir
cargas de trabajo individuales. El etiquetado de todos los recursos asociados a cada carga de trabajo
permite realizar un análisis más profundo de las cargas de trabajo críticas para tomar decisiones
arquitectónicas sólidas.
Guía de decisiones de identidades
Vaya a: Convenciones de nomenclatura de línea de base | Patrones de etiquetado de recursos | Más información
El enfoque del etiquetado puede ser simple o complejo, con un énfasis que puede ir desde la admisión de que
los equipos de TI administren cargas de trabajo en la nube hasta la integración de la información relativa a
todos los aspectos del negocio.
El uso del etiquetado alineado con TI, como el etiquetado en función de la carga de trabajo, la aplicación, la
función o el entorno, reduce la complejidad de la supervisión de los recursos y simplifica la toma de decisiones
de administración según los requisitos operativos.
Los esquemas de etiquetado que incluyen un centro de atención alineado con el negocio, como la contabilidad,
la propiedad del negocio o la importancia empresarial, pueden requerir una mayor inversión de tiempo para
crear estándares de etiquetado que reflejen los intereses del negocio y conserven esos estándares a lo largo del
tiempo. Esta inversión produce un sistema de etiquetado que proporciona una mejor contabilidad de los costos
y el valor de los recursos de TI a la empresa en general. Esta asociación del valor de negocio de un recurso a su
costo operativo es uno de los primeros pasos para cambiar la percepción del centro de costo de TI dentro de
una organización mayor.
NOTE
Las reglas de nomenclatura y sus restricciones varían el función del recurso de Azure. Las convenciones de nomenclatura
deben cumplir estas reglas.
Más información
Para obtener más información sobre la nomenclatura y etiquetado en Azure, consulte:
Convenciones de nomenclatura para los recursos de Azure. Consulte esta guía para convenciones de
nomenclatura recomendadas para los recursos de Azure.
Uso de etiquetas para organizar los recursos de Azure y la jerarquía de administración. Puede aplicar
etiquetas en Azure en los niveles de grupo de recursos y de recurso individual, lo que ofrece flexibilidad en la
granularidad de los informes de contabilidad en función de las etiquetas aplicadas.
Pasos siguientes
El etiquetado de recursos es solo uno de los principales componentes de infraestructura que requieren
decisiones de arquitectura durante un proceso de adopción de la nube. Visite la introducción a las guías para la
toma de decisiones arquitectónicas para obtener información sobre patrones o modelos alternativos que se
usan cuando se toman decisiones de diseño para otros tipos de infraestructura.
Guías de decisiones sobre arquitectura
Guía de decisiones sobre cifrado
06/03/2021 • 16 minutes to read • Edit Online
El cifrado de datos protege contra accesos no autorizados. Una directiva de cifrado correctamente
implementada proporciona niveles adicionales de seguridad para las cargas de trabajo basadas en la nube y
protege contra atacantes y otros usuarios no autorizados dentro o fuera de su organización y sus redes.
Vaya a: Administración de claves | Cifrado de datos | Más información
La estrategia de cifrado en la nube se centra en directivas corporativas y en las órdenes de cumplimiento
normativo. El cifrado de recursos es deseable y muchos servicios de Azure, como Azure Storage y Azure SQL
Database, habilitan el cifrado de forma predeterminada. Pero el cifrado tiene unos costos que pueden aumentar
la latencia y el uso global de los recursos.
Para las cargas de trabajo más exigentes, encontrar el equilibrio adecuado entre el cifrado y el rendimiento, y
determinar cómo se cifran los datos y el tráfico puede ser fundamental. Los mecanismos de cifrado pueden
variar en costo y complejidad, y los requisitos técnicos y de directivas pueden influir en las decisiones sobre
cómo se aplica el cifrado y cómo se almacenan y administran los secretos y claves críticos.
La directiva corporativa y el cumplimiento de terceros son los factores más importantes a la hora de planear
una estrategia de cifrado. Azure proporciona varios mecanismos estándar que pueden satisfacer los requisitos
comunes de cifrado de datos tanto en reposo como en tránsito. Para aquellos requisitos de directivas y
cumplimiento que exijan controles más estrictos como, por ejemplo, secretos estandarizados y administración
de claves, cifrado en uso o cifrado específico de datos, será preciso que desarrolle una estrategia de cifrado más
sofisticada que admita estos requisitos.
Administración de claves
El cifrado de datos en la nube depende del almacenamiento, administración y uso operativo seguros de las
claves de cifrado. Tener un sistema de administración de claves es fundamental para que la organización pueda
crear, almacenar y administrar claves criptográficas así como contraseñas importantes, cadenas de conexión y
otra información confidencial de TI.
Los sistemas de administración de claves actuales como, por ejemplo, Azure Key Vault, admiten el
almacenamiento y administración de claves protegidas de software para el uso de desarrolladores y de pruebas,
y de claves protegidas del módulo de seguridad del hardware (HSM) para ofrecer la máxima protección de las
cargas de trabajo de producción o de la información confidencial.
Al planear una migración a la nube, la tabla siguiente puede ayudarle a decidir cómo almacenar y administrar
las claves de cifrado, los certificados y los secretos que son fundamentales para crear implementaciones en la
nube seguras y fáciles de administrar:
¿Necesitará limitar la No Sí No
creación de claves y
secretos para dispositivos al
hardware local, pero se
usarán en la nube?
Nativo de la nube
Con la administración nativa de claves en la nube, todas las claves y los secretos se generan, administran y
almacenan en un almacén basado en la nube como Azure Key Vault. Este enfoque simplifica muchas tareas de TI
relacionadas con la administración de claves, como la copia de seguridad, el almacenamiento y la renovación de
claves.
Supuestos nativos de la nube: En el uso de un sistema de administración nativa de claves en la nube se da
por hecho lo siguiente:
Confía en la solución de administración de claves en la nube para crear, administrar y hospedar los secretos y
las claves de su organización.
Permite el acceso al sistema de administración de claves en la nube a todas las aplicaciones y los servicios
locales que dependan del acceso a los secretos o servicios de cifrado.
Traiga su propia clave (BYOK )
Con el enfoque "Bring Your Own Key" puede generar claves en el hardware del HSM dedicado en el entorno
local para transferirlas, posteriormente, a un sistema de administración basado en la nube, como Azure Key
Vault, para el uso de los recursos hospedados en la nube.
Supuestos del enfoque "Bring Your Own Key": La generación de claves en el entorno local y su uso con un
sistema de administración de claves basado en la nube incluye estas suposiciones:
Confía en la infraestructura subyacente de seguridad y control de acceso de la plataforma de nube para
hospedar y usar sus claves y secretos.
Las aplicaciones y servicios hospedados en la nube pueden acceder y utilizar claves y secretos de una
manera sólida y segura.
Está obligado por ley o por una directiva de la organización a mantener la creación y administración de los
secretos y claves de la organización en el entorno local.
Local (mantenga su propia clave )
Determinados escenarios pueden tener motivos técnicos, normativos o de directivas para prohibir el
almacenamiento de claves en un sistema de administración de claves basado en la nube. En ese caso, deberá
generar las claves mediante el hardware local, almacenarlas y administrarlas mediante un sistema de claves
local y establecer una forma de que los recursos basados en la nube acceder a las claves para realizar el cifrado.
Tenga en cuenta que es posible que mantener su propia clave no sea compatible con todos los servicios basados
en Azure.
Suposiciones para la administración local de claves: En el uso de un sistema de administración de claves
local se da por hecho lo siguiente:
Está obligado por ley o por una directiva de la organización a mantener la creación, la administración y el
hospedaje de los secretos y las claves de su organización en el entorno local.
Todas las aplicaciones y los servicios locales que dependan del acceso a los secretos o servicios de cifrado
pueden acceder al sistema de administración local de claves.
Cifrado de datos
Tenga en cuenta los diferentes estados de los datos, con sus diferentes necesidades de cifrado, a la hora de
planear la directiva de cifrado:
Datos en tránsito
Los datos en tránsito son aquellos que se transfieren entre los recursos de la red interna, entre centros de datos
o las redes externas o a través de Internet.
Normalmente, para cifrar los datos en tránsito se requieren los protocolos SSL/TLS para el tráfico de red. Cifre
siempre el tráfico entre los recursos hospedados en la nube y las redes externas o la red pública de Internet. Los
recursos de PaaS normalmente aplican el cifrado SSL/TLS de forma predeterminada. Tanto los equipos de
adopción de la nube como los propietarios de las cargas de trabajo deben considerar la posibilidad de aplicar el
cifrado al tráfico que existe entre los recursos de IaaS hospedados en sus redes virtuales.
Suposiciones sobre el cifrado de datos en tránsito: Al implementar una directiva de cifrado para los datos
en tránsito, se da por hecho lo siguiente:
Todos los puntos de conexión accesibles públicamente en su entorno de nube se comunicarán con la red
pública de Internet mediante los protocolos SSL/TLS.
Al conectar redes en la nube con un entorno local u otra red externa mediante la red pública de Internet, se
usan protocolos de VPN cifrados.
Al conectar redes en la nube con un entorno local u otra red externa mediante una conexión WAN dedicada,
como ExpressRoute, se usará una VPN u otro dispositivo de cifrado local emparejado con el correspondiente
dispositivo de red virtual o de cifrado implementado en la red en la nube.
Si tiene datos confidenciales que no deberían incluirse en los registros de tráfico u otros informes de
diagnóstico visibles para el personal de TI, se cifrará todo el tráfico entre los recursos de la red virtual.
Datos en reposo
Los datos en reposo son aquellos que no se están moviendo ni procesando activamente; incluye archivos, bases
de datos, unidades de máquina virtual, cuentas de almacenamiento de PaaS o recursos similares. El cifrado de
datos almacenados protege los archivos o dispositivos virtuales contra el acceso no autorizado, ya sea por
intrusión desde la red externa, usuarios internos deshonestos o liberaciones accidentales.
Por lo general, los recursos de almacenamiento y base de datos de PaaS aplican el cifrado de forma
predeterminada. Los recursos de IaaS se pueden proteger mediante el cifrado de datos en el nivel de disco
virtual o mediante el cifrado de la cuenta de almacenamiento completa que hospeda las unidades de disco
virtuales. Todos estos recursos pueden usar las claves administradas por Microsoft o por el cliente que están
almacenadas en Azure Key Vault.
El cifrado de datos en reposo también incluye técnicas de cifrado de base de datos más avanzadas, como el
cifrado en el nivel de columna y en el nivel de fila, que ofrece mucho más control sobre qué datos se protegen.
Los requisitos generales de directiva y cumplimiento, la confidencialidad de los datos almacenados y los
requisitos de rendimiento de las cargas de trabajo determinarán qué recursos necesitan cifrado.
Suposiciones sobre el cifrado de datos en reposo
Para el cifrado de datos en reposo se da por hecho lo siguiente:
Almacena datos que no están destinados al consumo público.
Las cargas de trabajo pueden aceptar el costo de latencia agregada que supone el cifrado de los discos.
Datos en uso
El cifrado de datos en uso implica proteger datos en un almacenamiento no persistente, como la RAM o la
memoria caché de la CPU. Usa tecnologías como el cifrado de memoria completo o tecnologías de enclave,
como Intel Secure Guard Extensions (SGX). Esto también incluye técnicas de cifrado, como el cifrado
homomorfo, que puede usarse para crear entornos de ejecución seguros y de confianza.
Suposiciones sobre el cifrado de datos en uso: Para el cifrado de datos en uso se da por hecho lo
siguiente:
Necesita que la propiedad de los datos sea independiente de la plataforma de nube subyacente en todo
momento, incluso en el nivel de RAM y CPU.
Más información
Para más información acerca del cifrado y administración de claves en Azure, consulte:
Introducción al cifrado de Azure : Descripción detallada de cómo utiliza Azure el cifrado para proteger los
datos en reposo y en tránsito.
Azure Key Vault : Key Vault es el principal sistema de administración de claves para almacenar y administrar
claves de cifrado, secretos y certificados dentro de Azure.
Procedimientos recomendados de cifrado y seguridad de datos en Azure . Un análisis sobre los
procedimientos recomendados de cifrado y seguridad de datos en Azure.
Computación confidencial en Azure : La iniciativa de computación confidencial de Azure ofrece
herramientas y tecnología para crear entornos de ejecución de confianza u otros mecanismos de cifrado para
proteger los datos de uso.
Pasos siguientes
El cifrado es solo uno de los componentes principales de infraestructura que requiere decisiones de arquitectura
durante el proceso de adopción de la nube. Para obtener información sobre patrones o modelos alternativos
que se usan cuando se toman decisiones acerca del diseño de otros tipos de infraestructura, consulte la
introducción a las guías para la toma de decisiones arquitectónicas.
Introducción a las guías para la toma de decisiones arquitectónicas
Guía de decisiones sobre redes definidas por
software
06/03/2021 • 8 minutes to read • Edit Online
Redes definidas por software (SDN) es una arquitectura de red diseñada para permitir la funcionalidad de redes
virtualizadas que se pueden administrar, configurar y modificar a través de software. SDN permite la creación de
redes basadas en la nube con los equivalentes virtualizados de enrutadores físicos, firewalls y otros dispositivos
de red que se usan en redes locales. SDN es fundamental para crear redes virtuales seguras en plataformas en
la nube pública como Azure.
Vaya a: Solo PaaS | Nativa de la nube | Red perimetral en la nube | Híbrida | Modelo en estrella tipo hub-and-
spoke | Más información
SDN proporciona varias opciones con diversos grados de complejidad y precios. La guía de detección anterior
proporciona una referencia para personalizar rápidamente dichas opciones, con el fin de ajustarlas lo mejor
posible a estrategias empresariales y tecnológicas concretas.
El punto de inflexión de esta guía depende de varias decisiones clave que ha tomado el equipo de estrategia en
la nube antes de tomar decisiones acerca de la arquitectura de red. Las más importantes de estas decisiones son
aquellas que tienen que ver con la definición del patrimonio digital y el diseño de suscripciones, que también
pueden requerir aportaciones de las decisiones tomadas relacionadas con la contabilidad de la nube y las
estrategias de los mercados globales.
A las implementaciones pequeñas, que se realizan en una sola región, de menos de 1 000 máquinas virtuales es
menos probable que les afecte de manera considerable este punto de inflexión. Por el contrario, a los trabajos de
adopciones de gran tamaño, con más de 1000 máquinas virtuales, varias unidades de negocio o varios
mercados geopolíticos, podrían verse afectados considerablemente tanto por la decisión de SDN como por este
punto de inflexión clave.
¿Va a usar la Sí No No No No
carga de trabajo
solo los servicios
de PaaS y no va
a requerir
funcionalidades
de red que
vayan más allá
de las
proporcionados
por los propios
servicios?
¿Requiere la No No Sí Sí Sí
carga de trabajo
integración con
las aplicaciones
locales?
¿Se han No No No Sí Sí
establecido
directivas de
seguridad
maduras y una
conectividad
segura entre las
redes local y en
la nube?
¿Requiere la No No No Sí Sí
carga de trabajo
servicios de
autenticación
que no se
admite a través
de servicios de
identidad en la
nube o se
necesita acceso
directo a
controladores de
dominio locales?
RED EN EST REL L A
N AT IVO DE L A P ERIM ET RA L EN T IP O H UB - A N D-
P REGUN TA SO LO PA A S N UB E L A N UB E H ÍB RIDO SP O K E
¿Se va a No No No No Sí
necesitar
proporcionar
administración
centralizada y
conectividad
local al delegar el
control sobre los
recursos a los
equipos de las
cargas de trabajo
individuales?
Más información
Para más información acerca de las redes definidas por software en Azure, consulte:
Azure Virtual Network. En Azure, Azure Virtual Network proporciona la funcionalidad de SDN principal, que
actúa como un análogo en la nube a las redes locales físicas. Las redes virtuales también actúan como límite
de aislamiento predeterminado entre los recursos de la plataforma.
Procedimientos recomendados de seguridad de la red de Azure. Recomendaciones del equipo de seguridad
de Azure para configurar las redes virtuales de forma que se reduzcan los puntos vulnerables de seguridad.
Pasos siguientes
Las redes definidas por software son solo uno de los principales componentes de infraestructura que requieren
decisiones de arquitectura durante un proceso de adopción de la nube. Visite la introducción a las guías para la
toma de decisiones arquitectónicas para obtener información sobre patrones o modelos alternativos que se
usan cuando se toman decisiones de diseño para otros tipos de infraestructura.
Guías de decisiones sobre arquitectura
Red definida por software: solo PaaS
06/03/2021 • 3 minutes to read • Edit Online
Se requiere una red virtual nativa en la nube para implementar recursos de IaaS, como las máquinas virtuales,
en una plataforma en la nube. El acceso a redes virtuales de orígenes externos, similares a la web, se debe
proporcionar explícitamente. Este tipo de redes virtuales admiten la creación de subredes y reglas de
enrutamiento, así como firewalls virtuales y dispositivos de administración de tráfico.
Una red virtual nativa en la nube no depende de los recursos locales de la organización ni de otros recursos que
no sean de nube para admitir las cargas de trabajo hospedadas en la nube. Todos los recursos necesarios se
aprovisionan en la propia red virtual o mediante ofertas PaaS administradas.
Pasos siguientes
Para más información sobre las redes virtuales nativas en la nube en Azure, consulte:
Guías de Azure Virtual Network: De forma predeterminada las redes virtuales de Azure que se acaban de
crear son nativas de nube. Use estas guías para ayudar a planear el diseño e implementación de las redes
virtuales.
Acerca de los límites de red: Cada red virtual y sus recursos conectados existen en una suscripción única.
Estos recursos están limitados por los límites de la suscripción.
Red definida por software: Red perimetral en la
nube
06/03/2021 • 5 minutes to read • Edit Online
La arquitectura de red permite un acceso limitado entre la red local y la basada en la nube, y utiliza una red
privada virtual (VPN) para conectar las redes. Aunque los modelos de red perimetral se usan normalmente
cuando se desea proteger el acceso externo a una red, la arquitectura de red perimetral en la nube que se
describe aquí está pensada específicamente para proteger el acceso a la red local desde los recursos basados en
la nube y viceversa.
Esta arquitectura está diseñada para admitir escenarios en los que su organización desea comenzar a integrar
cargas de trabajo basadas en la nube con cargas de trabajo locales pero puede que no tenga directivas de
seguridad en la nube completamente maduras o no haya adquirido una conexión WAN dedicada segura entre
los dos entornos. Como resultado, las redes en la nube deben tratarse como una DMZ para garantizar que los
servicios locales sean seguros.
La red perimetral implementa aplicaciones virtuales de red (NVA) para aplicar la funcionalidad de seguridad,
como firewalls e inspección de paquetes. El tráfico que circula entre aplicaciones o servicios locales y basados en
la nube debe pasar a través de la red perimetral, donde se puede auditar. Las conexiones de VPN y las reglas que
determinan qué tráfico se permite a través de la perimetral están estrictamente controladas por los equipos de
seguridad de TI.
Más información
Para más información acerca de cómo implementar una red perimetral en la nube en Azure, consulte:
Implementación de una zona DMZ entre Azure y el centro de datos local Este artículo aborda el proceso para
implementar una arquitectura de red híbrida segura en Azure.
Red definida por software: Red híbrida
06/03/2021 • 5 minutes to read • Edit Online
La arquitectura de red en una nube híbrida permite a las redes virtuales acceder a los recursos y servicios
locales y viceversa, mediante una conexión WAN dedicada, como ExpressRoute o cualquier otro método de
conexión que conecte directamente las redes.
Al crear en una arquitectura de red virtual nativa en la nube, la red virtual híbrida está aislada en el momento de
su creación. El hecho de incorporar la conectividad al entorno local concede acceso a la red local y desde esta,
aunque el resto del tráfico entrante con destino a recursos de la red virtual deberá permitirse explícitamente.
Puede proteger la conexión mediante dispositivos de firewall y reglas de enrutamiento virtuales para restringir
el acceso, o puede indicar a qué servicios se puede acceder específicamente entre las dos redes mediante
características de enrutamiento nativas para la nube o la implementación de aplicaciones virtuales de red (NVA)
que administren el tráfico.
Aunque la arquitectura de red híbrida es compatible con las conexiones VPN, se prefieren conexiones WAN
dedicadas, como ExpressRoute, debido a un mayor rendimiento y a una seguridad mejorada.
El modelo de redes en estrella tipo hub-and-spoke organiza la infraestructura de la red en la nube basada en
Azure en varias redes virtuales conectadas. Este modelo le permite administrar los requisitos comunes de
comunicación o seguridad de manera más eficaz, así como gestionar las posibles limitaciones de suscripción.
En el modelo en estrella tipo hub-and-spoke, el centro de conectividad es una red virtual que actúa como
ubicación central para administrar la conectividad externa y los servicios de hospedaje que las diversas cargas
de trabajo utilizan. Los radios son redes virtuales que hospedan las cargas de trabajo y se conectan al centro de
conectividad central a través del emparejamiento de redes virtuales.
Todo el tráfico que pasa hacia dentro o fuera de las redes radiales de carga de trabajo se enruta a través de la
red del centro de conectividad donde se puede enrutar, inspeccionar o administrar mediante reglas o procesos
de TI administrados centralmente.
Este modelo tiene como objetivo abordar las preocupaciones siguientes:
Ahorro en costos y eficiencia de la administración . La centralización de los servicios que se pueden
compartir entre varias cargas de trabajo, como las aplicaciones virtuales de red (NVA) y los servidores DNS,
en una única ubicación permite que TI minimice los recursos redundantes y el esfuerzo de administración en
varias cargas de trabajo.
Superación de los límites de las suscripciones. Las cargas de trabajo grandes basadas en la nube
pueden requerir el uso de más recursos que los permitidos en una sola suscripción de Azure. El
emparejamiento de redes virtuales de carga de trabajo de distintas suscripciones con un centro de
conectividad central puede superar estos límites. Para más información, consulte los límites de red de Azure.
Separación de intereses . La capacidad de implementar cargas de trabajo individuales entre los equipos de
TI central y los equipos de las cargas de trabajo.
En el diagrama siguiente se muestra un ejemplo de arquitectura en estrella tipo hub-and-spoke, incluida la
conectividad híbrida administrada centralmente.
La arquitectura en estrella tipo hub-and-spoke se usa a menudo junto con la arquitectura de red híbrida, lo que
proporciona una conexión administrada centralmente para el entorno local compartido entre varias cargas de
trabajo. En este escenario, todo el tráfico realizado entre las cargas de trabajo y el entorno local pasa a través del
centro de conectividad, donde puede administrarse y protegerse.
Más información
Para información sobre las arquitecturas de referencia que muestran cómo implementar redes en estrella tipo
hub-and-spoke en Azure, consulte:
Implementación de una topología de red en estrella tipo hub-and-spoke en Azure
Implementación de una topología de red en estrella tipo hub-and-spoke con servicios compartidos en Azure
Guía de decisiones sobre registros e informes
06/03/2021 • 16 minutes to read • Edit Online
Todas las organizaciones necesitan mecanismos para informar a los equipos de TI sobre los problemas de
rendimiento, tiempo de actividad y seguridad antes de que se conviertan en problemas graves. Una correcta
estrategia de supervisión permite comprender cómo funcionan los componentes individuales que componen la
infraestructura de red y las cargas de trabajo. En el contexto de una migración en la nube pública, la integración
de registros e informes con cualquiera de los sistemas de supervisión existentes, al presentar métricas y eventos
importantes al personal de TI adecuado, es fundamental para garantizar que su organización cumple los
objetivos de tiempo de actividad, seguridad y cumplimiento de directivas.
Vaya a: Planeamiento de una infraestructura de supervisión | Nativo de la nube | Extensión local | Agregación de
puerta de enlace | Supervisión híbrida (local) | Supervisión híbrida (en la nube) | Nube múltiple | Más
información
El punto de inflexión al determinar una estrategia de generación de informes y registro en la nube se basa
principalmente en las inversiones que una organización haya realizado en los procesos operativos y, hasta cierto
punto, en los requisitos que hay que cumplir para respaldar una estrategia de nube múltiple.
Las actividades en la nube se pueden registrar y notificar de varias maneras. El registro nativo en la nube y el
centralizado son dos opciones de servicio administrado habituales basadas en el diseño de la suscripción y en el
número de suscripciones.
¿Dispone de una No Sí Sí No
infraestructura de
supervisión local
existente?
SUP ERVISIÓ N A GREGA C IÓ N DE
P REGUN TA N AT IVO DE L A N UB E EXT EN SIÓ N LO C A L H ÍB RIDA P UERTA DE EN L A C E
¿Existen requisitos No Sí No No
que impidan
almacenar los datos
de registro en
ubicaciones de
almacenamiento
externas?
¿Necesita integrar la No No Sí No
supervisión en la
nube con sistemas
locales?
¿Necesita procesar o No No No Sí
filtrar datos de
telemetría antes de
enviarlos a los
sistemas de
supervisión?
Nativo de la nube
Si una organización no dispone de sistemas de registro y generación de informes establecidos, o si la
implementación planeada no necesita integrarse con los sistemas de supervisión locales existentes u otros
externos, la opción más sencilla es una solución SaaS nativa en la nube, como Azure Monitor.
En este escenario, todos los datos del registro se graban y almacenan en la nube, mientras que las herramientas
de registro y generación de informes que procesan y muestran la información al personal de TI se proporcionan
por la plataforma Azure y Azure Monitor.
Las soluciones de registro personalizadas basadas en Azure Monitor se pueden implementar según sea
necesario para cada suscripción o carga de trabajo en implementaciones más pequeñas o experimentales. Estas
soluciones se organizan de forma centralizada para supervisar los datos de registro en todos los recursos de la
nube.
Supuestos nativos de la nube: Al usar un sistema de registro y generación de informes nativo de la nube, se
asume lo siguiente:
No es necesario integrar los datos de registro de las cargas de trabajo de la nube en los sistemas locales
existentes.
No usará los sistemas de informes basados en la nube para supervisar los sistemas locales.
Extensión local
El uso de soluciones de registro y generación de informes en la nube, como Azure Monitor, puede requerir un
considerable esfuerzo de desarrollo para las aplicaciones y servicios. En esos casos, plantéese la posibilidad de
que estas cargas de trabajo sigan enviando datos de telemetría a los sistemas locales existentes.
Para admitir este enfoque, los recursos en la nube deben comunicarse directamente con los sistemas locales
mediante una combinación de redes híbridas y servicios de dominio hospedados en la nube. Gracias a esto, la
red virtual en la nube funciona como una extensión de red del entorno local. Por tanto, las cargas de trabajo
hospedadas en la nube pueden comunicarse directamente con el sistema local de registros e informes.
Este enfoque saca el máximo rendimiento a la inversión existente en herramientas de supervisión con una
modificación limitada de todos los servicios o las aplicaciones implementados en la nube. Este enfoque a
menudo es el que menos tarda en dar soporte a la supervisión durante una migración mediante lift-and-shift.
Pero no capturará los datos de registro creados por los recursos de PaaS y SaaS basados en la nube y omitirá
los registros relacionados con las máquinas virtuales generados por la plataforma de la nube, como el estado de
dichas máquinas. Como resultado, este patrón debe ser una solución temporal hasta que se implemente una
solución de supervisión híbrida más completa.
Suposiciones sobre entornos locales solo:
Debe mantener los datos de registro solo en el entorno local, bien para satisfacer los requisitos técnicos o
para cumplir las disposiciones legales o de las directivas.
Los sistemas locales no admiten soluciones híbridas de registros e informes o agregación de puerta de
enlace.
Las aplicaciones basadas en la nube pueden enviar los datos de telemetría directamente a los sistemas
locales de registro, o los agentes de supervisión que envían al entorno local pueden implementarse en las
máquinas virtuales de la carga de trabajo.
Las cargas de trabajo no dependen de servicios PaaS o SaaS que requieren registro y generación de
informes basados en la nube.
Agregación de puerta de enlace
En los escenarios en que haya gran cantidad de datos de telemetría basados en la nube o en que los sistemas de
supervisión locales necesiten modificar los datos de registro para poder procesarlos, es posible que sea
necesario un servicio de agregación de puerta de enlace para los datos de registro.
Se implementa un servicio de puerta de enlace en el proveedor de servicios en la nube. A continuación, se
configuran las aplicaciones o los servicios pertinentes para que envíen datos de telemetría a la puerta de enlace
en lugar de a un sistema de registro predeterminado. A continuación, la puerta de enlace puede procesar los
datos: agregarlos, combinarlos o darles formato antes de enviarlos al servicio de supervisión para su ingesta y
análisis.
Además, se puede utilizar una puerta de enlace para agregar y preprocesar datos de telemetría destinados a
sistemas híbridos o nativos en la nube.
En una agregación de puerta de enlace, se da por hecho lo siguiente:
Espera volúmenes altos de datos de telemetría de los servicios o las aplicaciones basados en la nube.
Necesitar dar formato u optimizar los datos de telemetría antes de enviarlos a los sistemas de supervisión.
Los sistemas de supervisión tienen API u otros mecanismos disponibles para la ingesta de datos de registro
después de que la puerta de enlace los procese.
Supervisión híbrida (local)
Una solución de supervisión híbrida combina los datos de registro de los recursos locales y los recursos en la
nube para proporcionar una visión integrada del estado operativo del entorno de TI.
Si ya ha realizado una inversión en sistemas de supervisión local y le resultaría difícil o caro sustituirlos, puede
que necesite integrar los datos de telemetría de las cargas de trabajo en la nube en las soluciones de
supervisión locales preexistentes. En un sistema de supervisión local híbrida, los datos de telemetría locales
siguen usando el sistema de supervisión local existente. Los datos de telemetría basados en la nube se envían
directamente al sistema de supervisión en la nube, o bien los datos se envían a Azure Monitor y luego se
compilan e ingieren en el sistema local a intervalos regulares.
Supuestos de la super visión híbrida local: Al usar un sistema de registros e informes local para una
supervisión híbrida, se da por hecho lo siguiente:
Deberá usar los sistemas de informes locales existentes para supervisar las cargas de trabajo en la nube.
Debe mantener la propiedad local de los datos de registro.
Los sistemas de administración locales tienen API u otros mecanismos disponibles para la ingesta de datos
de registro de los sistemas basados en la nube.
TIP
Como parte de la naturaleza iterativa de migración a la nube, el paso de una supervisión local y nativa de la nube
claramente diferenciadas a un enfoque híbrido parcial se puede realizar cuando madure la integración de servicios y
recursos en la nube en un entorno de TI general.
Más información
Azure Monitor es el servicio de informes y supervisión predeterminado para Azure. Ofrece:
Una plataforma unificada para recopilar datos de telemetría de aplicaciones, telemetría de host (como
máquinas virtuales), métricas de contenedor, métricas de la plataforma Azure y registros de eventos.
Herramientas de visualización, consultas, alertas y análisis. Pueden proporcionar información sobre las
máquinas virtuales, los sistemas operativos invitados, las redes virtuales y los eventos de aplicaciones de
carga de trabajo.
API REST para la integración con servicios externos y automatización de los servicios de supervisión y
alertas.
Integración con muchos proveedores externos populares.
Pasos siguientes
El registro y la generación de informes no es más que uno de los componentes de la infraestructura central que
requieren decisiones arquitectónicas durante un proceso de adopción en la nube. Visite la introducción a las
guías para la toma de decisiones arquitectónicas para obtener información sobre patrones o modelos
alternativos que se usan cuando se toman decisiones de diseño para otros tipos de infraestructura.
Guías de decisiones sobre arquitectura
Guía para la toma de decisiones de las herramientas
de migración
09/03/2021 • 10 minutes to read • Edit Online
La estrategia y las herramientas que usa para migrar una aplicación en Azure dependerán considerablemente de
sus motivaciones empresariales, estrategias tecnológicas y escalas de tiempo, así como de tener un profundo
conocimiento de la carga de trabajo y los recursos reales (infraestructura, aplicaciones y datos) que se van a
migrar. El siguiente árbol de decisión sirve como guía de alto nivel para seleccionar las mejores herramientas en
función de las decisiones que se tomen durante la migración. Este árbol de decisión se puede usar como punto
de partida.
La opción de usar las tecnologías de plataforma como servicio (PaaS) o infraestructura como servicio (IaaS) se
toma debido al equilibrio entre costo, tiempo, la deuda técnica existente y las devoluciones a largo plazo. A
menudo, IaaS es la ruta más rápida hacia la nube y la que menor cantidad de cambio en la carga de trabajo
necesita. PaaS puede requerir que se realicen modificaciones en las estructuras de datos o en el código fuente,
pero genera importantes ventajas a largo plazo, ya que reduce los costos operativos y aumenta la flexibilidad
técnica. En el diagrama siguiente, el término modernizar se usa para reflejar la decisión de modernizar un
recurso durante la migración y migrar el recurso modernizado a una plataforma PaaS.
Preguntas clave
Responder a las preguntas siguientes le permitirá tomar decisiones basándose en el árbol anterior.
¿La modernización de la plataforma de aplicaciones durante la migración resultaría ser una
buena inversión económica, de tiempo y esfuerzo? Las tecnologías de PaaS, como Azure App Service
o Azure Functions, pueden aumentar la flexibilidad de la implementación y reducir la complejidad de la
administración de máquinas virtuales para hospedar aplicaciones. Las aplicaciones pueden requerir una
refactorización para poder aprovechar estas funcionalidades nativas de la nube, lo que puede aumentar
considerablemente el tiempo y costo necesarios en esfuerzo de migración. Si una aplicación puede migrar a
las tecnologías de PaaS con muy pocas modificaciones, es probable que sea buena candidata para la
modernización. Si se requiere una extensa refactorización, es posible que sea mejor realizar la migración
mediante máquinas virtuales basadas en IaaS.
¿La modernización de la plataforma de datos durante la migración resultaría ser una buena
inversión económica, de tiempo y esfuerzo? Igual que sucede con la migración de aplicaciones, las
opciones de almacenamiento administrado de PaaS de Azure, como Azure SQL Database, Azure Cosmos DB
y Azure Storage, ofrecen considerables ventajas en cuanto a administración y flexibilidad, pero la migración a
estos servicios puede requerir la refactorización de los datos existentes y las aplicaciones que usan dichos
datos. Normalmente, las plataformas de datos requieren menos refactorización que la plataforma de
aplicaciones. Por consiguiente, es habitual que la plataforma de datos se modernice, aunque la plataforma de
aplicaciones siga siendo la misma. Si los datos se pueden migrar a un servicio de datos administrados con
un mínimo de cambios, son buenos candidatos para la modernización. Es posible que los datos cuya
refactorización para poder usar los servicios de PaaS requiera mucho tiempo o costo, sea mejor migrarlos
mediante máquinas virtuales basadas en IaaS, con el fin de que se ajusten mejor a las funcionalidades de
hospedaje existentes.
¿Se ejecuta la aplicación actualmente en máquinas vir tuales dedicadas o compar te hospedaje
con otras aplicaciones? Las aplicaciones que se ejecutan en máquinas virtuales dedicadas se pueden
migrar más fácilmente a las opciones de hospedaje de PaaS que las aplicaciones que se ejecutan en
servidores compartidos.
¿Superará la migración de datos el ancho de banda de la red? La capacidad de la red entre los
orígenes de datos locales y Azure puede ser un cuello de botella en la migración de datos. Si los datos que
necesita transferir se enfrentan a limitaciones de ancho de banda que impiden que la migración se realice en
el momento oportuno y de forma eficaz, es posible que deba buscar mecanismos de transferencia
alternativos o sin conexión. En el artículo acerca de la replicación de migraciones de Cloud Adoption
Framework explica de qué forma pueden afectar los límites en la replicación a los esfuerzos de migración.
Una parte de la valoración de la migración consiste en consultar a los equipos de TI si el ancho de banda
local y de la WAN puede cumplir los requisitos de la migración. Consulte también el escenario de migración
para el control de los requisitos de almacenamiento que superan la capacidad de la red durante una
migración.
¿Hace uso su aplicación de una canalización de DevOps existente? En muchos casos Azure Pipelines
se puede refactorizar fácilmente para implementar aplicaciones en entornos de hospedaje basados en la
nube.
¿Tienen los datos requisitos de almacenamiento de datos complejos? Las aplicaciones de
producción normalmente requieren un almacenamiento de datos que tenga una alta disponibilidad y que
ofrezca tanto la funcionalidad Always On como características de continuidad y tiempo de actividad del
servicio similares. Las opciones de bases de datos administradas basadas en PaaS de Azure, como Azure SQL
Database, Azure Database for MySQL y Azure Cosmos DB ofrecen contratos de nivel de servicio de tiempo
de actividad del 99,99 %. Por el contrario, una instancia de SQL Server basada en IaaS en una máquina
virtual de Azure ofrece contratos de nivel de servicio de instancia única del 99,95 por ciento. Si los datos no
se puede modernizar para usar las opciones de almacenamiento de PaaS, lo que garantiza que un mayor
tiempo de actividad de IaaS implicará escenarios de almacenamiento de datos más complejos, como la
ejecución de clústeres Always On de SQL Server y la sincronización continua de datos entre instancias. Esto
puede implicar importantes costos de hospedaje y mantenimiento, por lo que es mantener un equilibrio
entre los requisitos de tiempo de actividad, el esfuerzo de modernización y el impacto general en el
presupuesto es importante al considerar las opciones de migración de datos.
Innovación y migración
En consonancia con el énfasis que hace Cloud Adoption Framework en los trabajos de migración incremental,
una decisión inicial acerca de las herramientas y la estrategia de migración no descarta que los futuros
esfuerzos de innovación por actualizar una aplicación para aprovechar las oportunidades que ofrece la
plataforma Azure. Aunque un esfuerzo de migración inicial podría centrarse principalmente en volver a realizar
hospedaje mediante un enfoque de IaaS, debería planear volver a visitar su cartera de aplicaciones hospedadas
en nube con regularidad para investigar las oportunidades de optimización.
Más información
Aspectos básicos de la nube: introducción a las opciones de proceso de Azure : Proporciona
información acerca de las funcionalidades de las opciones de proceso de Azure IaaS y PaaS.
Aspectos básicos de la nube: Elija el almacén de datos apropiado : Describe las opciones de
almacenamiento de PaaS disponibles en la plataforma Azure.
Procedimientos recomendados de migración: Los requisitos de datos superan la capacidad de
la red durante un esfuerzo de migración : Describe mecanismos de migración de datos alternativos para
escenarios en los que migración de datos se ve dificultada por el ancho de banda de red disponible.
SQL Database: Elija la opción de SQL Ser ver correcta en Azure : Explicación de las opciones y las
justificaciones comerciales para elegir hospedar las cargas de trabajo de SQL Server en una infraestructura
administrada (IaaS) o en un entorno de servicios administrados (PaaS).
El Modelo de funcionamiento en la nube es ahora
parte del Marco de adopción de la nube para
Azure
06/03/2021 • 2 minutes to read • Edit Online
A comienzos de 2018, Microsoft lanzó el modelo operativo de la nube (COM). COM era una guía que ayudaba a
que los clientes entendieran qué era la transformación digital y sus causas. Esto contribuyó a que los clientes
conocieran todas las áreas que se debían abordar: la estrategia empresarial, la estrategia cultural y la estrategia
tecnológica. Lo que no se incluyó en COM fueron los pasos de procedimiento concretos, lo que dejó a los
clientes preguntándose qué hacer a partir de ahí.
Microsoft Cloud Adoption Framework para Azure se ha diseñado para ayudarle a comprender el qué y el por
qué , así como para proporcionar orientación unificada sobre el cómo a fin de ayudar a acelerar los trabajos de
adopción de la nube.
El scaffolding empresarial de Azure se ha integrado en Microsoft Cloud Adoption Framework for Azure. Ahora,
los objetivos de scaffolding empresarial se abordan en la metodología de preparación de Cloud Adoption
Framework. El contenido de scaffolding empresarial ha quedado en desuso.
Para empezar a usar Cloud Adoption Framework, consulte:
Introducción a la preparación
Zonas de aterrizaje de Azure
Consideraciones sobre la zona de aterrizaje
Si necesita revisar el contenido en desuso, consulte Scaffolding empresarial de Azure.
Centro de datos virtual de Azure
12/03/2021 • 2 minutes to read • Edit Online
Se han creado una implementación y una arquitectura de plataforma más sólidas para compilarlas en el
enfoque anterior del centro de datos virtual de Azure (VDC). Las zonas de aterrizaje a escala empresarial en
Microsoft Cloud Adoption Framework para Azure son ahora el enfoque recomendado si se van a realizar
mayores esfuerzos para la adopción en la nube.
Esta guía es una parte importante de la base para las metodologías de preparación y gobernanza de Cloud
Adoption Framework. Para ayudar a aquellos clientes que quieran realizar esta transición, se han archivado los
siguientes recursos y se mantendrán en un repositorio de GitHub independiente.
Centro de datos virtual de Azure: en este libro electrónico se muestra cómo implementar cargas de trabajo
empresariales en la plataforma de nube de Azure, al tiempo que se respetan las directivas existentes de red y
de seguridad.
Centro de datos virtual de Azure; guía para una migración lift-and-shift: en estas notas del producto se
explica el proceso empresarial que el personal de TI y los responsables de la toma de decisiones pueden usar
para identificar y planear la migración de las aplicaciones y los servidores a Azure mediante un enfoque de
tipo lift-and-shift, para minimizar otros costos de desarrollo adicionales y optimizar las opciones de
hospedaje en la nube.