AZ-900
- Cloud Computing
- [Modelo de responsabilidad compartida](#Modelo-de-responsabilidad compartida)
Glosario
- Escalado horizontal
Es el escalado de recursos de un mismo tipo en base a este último, no en base a las capacidades de cada uno. Por ejemmplo; el aumentar el número de VMs según la carga de trabajo.
- Escalado vertical
Es el escalado de las características de un recurso específico. Por ejemplo; el aumento de espacio de almacenamiento en un disco.
- Capital Expenditure (CapEx)
Gastos en temas de infraestructuras físicas. Por la devaluación natural de la nube, el costo neto se reduce con el paso del tiempo hasta que es amortizado.
- Operational Expenditure (OpEx)
Gastos en temas de infraestructuras bajo uso de la nube. Se paga lo que se usa. Generalmente todos los proveedores de la nube proveen descuentos en CapEx por pagos adelantados.
Permite una mejor predicción de costos y el desgrane de costos por recurso individual.
- Grupo de administración
Contiene suscripciones que contienen grupos de recursos y que contienen recursos.
Un directorio de Azure (osea una cuenta) puede tener hasta 10k de estos con hasta 6 niveles de profundidad cada uno.
- Suscripción
Grupos de recurso agrupados por un nombre que identifica una forma de pago específico para tales. También ayuda a delimitar que personas tienen acceso a que suscripciones (y por ende a sus grupos de recursos).
- Grupos de recursos
Recursos agrupados en grupos específicos para su mejor organización. No necesariamente tienen que pertenecer a la misma región o zona.
Cada grupo no es anidable a otro. Si es eliminado, se borra todo lo que contiene.
- Recurso
Instancia de un servicio. Cada recurso existe en un solo grupo de recursos, se pueden mover entre grupos.
Cloud Computing
Is the delivery of computing services over the internet, enabling faster innovation, flexible resources and economies of scale.
Modelo de responsabilidad compartida
Tipos de nubes
Nube privada
Características;
-
Las organizaciones pueden crear ambientes cloud en sus centros de datos.
-
La organización es responsable por las operaciones de los servicios que provee.
-
No provee acceso a los usuarios fuera de la organización.
Nube pública
Es un proveedor de la nube de terceros.
Características;
-
Es perteneciente al proveedor de la nube y de sus servicios.
-
Provee recursos y servicios a múltiples organizaciones y usuarios.
-
Es accedida mediante redes públicas segurizadas (como HTTPS).
Nube híbrida
Es un intermedio entre ambas anteriores. Al ser híbrida, le permite a una empresa el poder personalizar que se necesita de ambos mundos.
Comparación de los modelos de la nube
- Nube pública
Las aplicaciones pueden ser provistas y desprovistas rápidamente (dependiendo de la automatización, pueden ser hasta segundos) con una alta escalabilidad, predicibilidad y manejo.
Las organizaciones solamente pagan por lo que usan.
- Nube privada
El hardware debe ser comprado, aunque quede desproporcionado para los requerimientos.
Las organizaciones tienen control total sobrel a seguridad y los recursos.
Las organizaciones son responsables por TODO.
- Nube híbrida
Provee la mayor flexibilidad.
Las organizaciones determinen donde correr sus aplicaciones.
Las organizaciones controlan la seguridad, el cumplimiento legal y los requerimientos.
Tipos de nubes
- Infrastructure as a Service (IaaS)
Servidores virtuales, almacenamientos, redes y sistemas operativos.
- Platform as a Service (PaaS)
Provee ambientes para construir, desarrollar, probar y desplegar software, sin importar la infraestructura que va debajo.
Sistemas operativos y ambientes de desarrollo.
- Software as a Service (SaaS)
Software basado en apps por internet.
Tipos de cuentas
-
Cuenta normal
-
Cuenta de prueba
-
Cuenta gratuita para estudiantes
-
Sandbox para Microsoft Learn
Regiones
Región; un centro de datos para desplegar los servicios.
Azure ofrece más de 60 regiones.
Se debe elegir la región más cerca a donde se van a proveer los servicios, así mismo el uso de requerimientos legales (como el GPDR) obliga al uso de determinadas regiones para el cliente.
Zona de disponibilidad
Existen 3 por región. Son centros de datos en la misma región que provee protección física ante caidas, ya que están separados físicamente pero conectados por red.
Se suelen usar también para crear redundancia y alta disponibilidad en aplicaciones y datos críticos dentro de la misma región.
Pares de región
Regiones separados por, al menos, 300 millas. Proveen réplicas automáticas para algunos servicios ante la caida de una región, sincronizándose periódicamente.
Como todo servicio pago, hay que solicitarlo.
Regiones soberanas y gubernamentales
Regiones para gobiernos federales que están separadas del Azure normal (aisladas físicamente y solamente accesibles por personal autorizado).
Existen;
-
Azure US
-
Azure China
-
Azure Germany (recientemente deprecada).
Recursos y servicios
Compute Services
Todo lo que sea on-demand de recursos de discos, procesadores, memoria, red y sistemas operativos. Incluye cosas como; AKS (Azure Kubernetes Services), Azure container (PaaS), Azure Functions (simplemente es código que se ejecuta en un contenedor propio de Linux/Windows), "VM Availability sets" (conjuntos de disponibilidad para auto reinicio) y el auto escalado de máquinas virtuales.
-
Azure Bastion; Setup de configuraciones para que otras apps puedan usar RDP y SSH desde el portal.azure.com
-
Azure Virtual Desktop; servicio que utiliza Bastion para conectarse de forma remota por RDP o SSH.
Networking Services
Todo lo que sea networking; Azure Virtual Network, Virtual Private Network Gateway (VPN - Es usado como gateway entre Azure y otra red a nivell VPN), Azure Express Route (Es una VPN provista por un partner de Microsoft a nivel del ISP que no solamente enruta a Azure si no también a Office365 y otros servicios), Azure DNS,
Storage
Todo lo que sea almacenamiento; Storage Accounts (tienen nombres globales únicos, proveen acceso por internet, tienen servicios como contenedores/tablas/etc y opciones de redundancia - Locally Redundant Storage LRS, Zone redundant storage ZRS, Geo redundant Storage GRS, Geo-Zone Redundant Storage GZRS con triple réplica - ), Disk Storage (los volúmenes), Azure Files (disponibles por SMB), Azure Data Box (almacena hasta 80 teras de datos, puede funcionar como disaster recovery backups, usa TLS, puede migrar data FUERA de Azure por temas de compliance y migrar datos HACIA Azure), AzCpy CLI, Azure Storage Explrer, Azure File Sync,
Manejo de costos
El costo depende del tipo de recurso, su consumo, zona geográfica, del costo por recurso del Azure Marketplace, del tráfico saliente-entrante, del tipo de suscripción, y el mantenimiento.
- Billing Service - Azure cost Management
Para el control de gastos. Tiene segmentación por recurso y en totalidad por suscripción.
IAM, Gobierno, Gobernanza y compliance
- Azure Policy
Políticas tanto de acceso como de uso para poder cumplir con los requerimientos.
- Azure Migrate
Una plataforma unificada de amplio espectro en herramientas para la migración de datos.
- Azure Active Directory (AAD)
Provee; Authenticación, SSO, App Management, Business to Business (B2B - Identidades externas como apps empresariales y organizaciones externas para que inicien sesión), Business to Customer (B2C - Como B2B pero para usuarios finales), Device Management, Azure MFA, Conditional Access
- Azure Role-Based Access control (Azure RBAC)
Se apoya en AAD para garantizar privilegios en cada suscripción y sus respectivos servicios/recursos. No se aplica este nivel a las aplicaciones, ya que cada aplicación tiene su propio RBAC.
- Zero Trust
No se confia en absolutamente algo, se desconfia de todo y se chequea todo. En Azure el método de cero confianza se debe chequear con políticas condicionales.
- Defensa en profundidad
Un sistema de cada con múltiples niveles de protección a fin de que un ataque a una capa no comprometa a todo el sistema.
De arriba a abajo;
- Defensa física
- IAM
- Perímetro
- Red
- Computacional
- Aplicación
- Datos
- Lock Resources
Bloquear ciertos recursos aún cuando los permisos de X usuario le permitan realizar tales acciones.
Despliegue de recursos
- Azure Resource Manager (ARC)
Permite lo mismo que Azure pero integrando multinube, on-premise y edge mediante templates (en formato JSON).
- Cloud Shell y PowerShell
Soporte tanto en BASH como PowerShell
-
Azure REST Clients
-
Azure Blueprints
Planos de configuraciones (roles, políticas, templates de recursos, grupos de recursos) versionados.
Monitoreo
- Microsoft Defender for cloud
Detecta y bloquea malware, analiza los recursos buscando CVE's/malas configuraciones y recomendaciones.
- TAGS
"Key=value" sirven para organizar recursos y que puedan ser mejor reconocidos
- Azure Advisor
Monitorea los recurso y provee recomendaciones basadas en las mejores prácticas de seguridad, performance, costo y operacional.
- Azure Monitor
Chequea el estado de los recursos operacionales.
- Azure Health Service Check
Chequea el estado operacional de los servicios de Azure.