¡Descarga Material de Estudio AZ-104 Azure Administrator y más Diapositivas en PDF de Aplicaciones de las Ciencias de la Computación solo en Docsity! Azure Resource Manager Uso de etiquetas para organizar los recursos de Azure y la jerarquía de administración • Las etiquetas son elementos de metadatos que se aplican a los recursos de Azure. Son pares clave-valor que le ayudan a identificar los recursos en función de la configuración que sean relevantes para su organización. • Aplique etiquetas a los recursos, grupos de recursos y suscripciones de Azure. • Las etiquetas se almacenan como texto sin formato. • Tenga cuidado al usar un idioma que no sea inglés en las etiquetas. • Los nombres de etiqueta no distinguen mayúsculas de minúsculas para las operaciones. • Acceso necesario: Puede tener acceso de escritura al tipo de recurso Microsoft.Resources/tags (rol Colaborador de etiquetas). Puede tener acceso de escritura al propio recurso (rol Colaborador ). • Los recursos no heredan las etiquetas que se aplican a un grupo de recursos o a una suscripción. • No todos los tipos de recursos admiten etiquetas. • Cada recurso, grupo de recursos y suscripción puede tener un máximo de 50 pares nombre-valor de etiqueta. • Los nombres de etiqueta no pueden contener estos caracteres: <, >, %, &, \, ?, / Uso de Azure Portal para exportar una plantilla Para exportar uno o varios recursos de un grupo de recursos: 1. Seleccione el grupo de recursos que contiene los recursos que quiere exportar. 2. Seleccione uno o varios recursos activando las casillas. Para seleccionar todo, active la casilla situada a la izquierda de Nombre. El elemento de menú Exportar plantilla solo se habilita después de seleccionar al menos un recurso. Administración de identidades y gobernanza en Azure Microsoft Entra ID Microsoft Entra ID Característica de Descripción Azure AD Acceso mediante inicio Microsoft Entra 1D proporciona inicio de sesión único ($50) seguro en aplicaciones web en la nube y de sesión único (550) en aplicaciones locales. Los usuarios pueden iniciar sesión con el mismo conjunto de credenciales para acceder a todas sus aplicaciones. Compatibilidad con Microsoft Entra ID funciona con dispositivos ¡OS, macOS, Android y Windows, y ofrece una experiencia dispositivos común en todos los dispositivos. Los usuarios pueden iniciar aplicaciones desde un panel de acceso omnipresente personalizado basado en web, una aplicación móvil, Microsoft 365 o portales de empresa personalizados con sus credenciales de trabajo existentes. Acceso remoto seguro Microsoft Entra ID permite el acceso remoto seguro a aplicaciones web locales. El acceso seguro puede incluir la autenticación multifactor (MFA), las directivas de acceso condicional y la administración de acceso basada en grupos. Las usuarios pueden acceder a aplicaciones web locales desde cualquier lugar, incluido desde el mismo portal. Microsoft Entra 1D puede extenderse a la nube para ayudarle a administrar un conjunto coherente de nube Usuarios, grupos, contraseñas y dispositivos en todos los entornos. Protección de datos Microsoft Entra ID ofrece funcionalidades únicas de protección de identidades para proteger los datos confidenciales confidenciales y las aplicaciones. Los administradores pueden supervisar si hay actividad de inicio de sesión sospechosa y posibles vulnerabilidades en una vista consolidada de usuarios y recursos en el directorio. Soporte mediante Microsoft Entra 1D le permite delegar tareas de administrador seleccionadas a los empleados de la autoservicio empresa. Proporcionar acceso a aplicaciones de autoservicio y administración de contraseñas mediante pasos de comprobación puede reducir las llamadas al departamento de soporte técnico y mejorar la seguridad. Administrative units in Microsoft Entra IDEste artículo describe las unidades administrativas en Microsoft Entra ID. Una unidad administrativa es un recurso de Microsoft Entra que puede ser un contenedor para otros recursos de Microsoft Entra. Una unidad administrativa solo puede contener usuarios, grupos o dispositivos. Las unidades administrativas restringen los permisos en una función a cualquier parte de su organización que usted defina. Por ejemplo, podría utilizar unidades administrativas para delegar la función de administrador del servicio de asistencia técnica a especialistas de soporte regional, de modo que puedan administrar usuarios solo en la región a la que dan soporte. Los usuarios pueden ser miembros de varias unidades administrativas. Por ejemplo, podría agregar usuarios a unidades administrativas por geografía y división; Megan Bowen podría estar en las unidades administrativas de "Seattle" y "Marketing". Implementación de suscripciones de AzureUna suscripción de Azure es una unidad lógica de servicios de Azure que está vinculada a una cuenta de Azure. Una cuenta de Azure es una identidad en Microsoft Entra ID o en un directorio de confianza para Microsoft Entra ID, como una cuenta profesional o educativa. Las suscripciones le ayudan a organizar el acceso a los recursos de servicios en la nube de Azure y a controlar cómo se notifica, factura y paga el uso de recursos. Aspectos que debe saber sobre los grupos de administración • De manera predeterminada, todas las suscripciones nuevas se colocan en el grupo de administración de nivel superior o grupo raíz. • Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones aplicadas a ese grupo de administración. • Un árbol de grupo de administración puede admitir hasta seis niveles de profundidad. • La autorización de control de acceso basado en rol de Azure para las operaciones del grupo de administración no está habilitada de manera predeterminada. Microsoft Entra roles Microsoft Entra role Permissions Notes Global Administrator •Manage access to all administrative features in Microsoft Entra ID, as well as services that federate to Microsoft Entra ID •Assign administrator roles to others •Reset the password for any user and all other administrators The person who signs up for the Microsoft Entra tenant becomes a Global Administrator. User Administrator •Create and manage all aspects of users and groups •Manage support tickets •Monitor service health •Change passwords for users, Helpdesk administrators, and other User Administrators Billing Administrator •Make purchases •Manage subscriptions •Manage support tickets •Monitors service health •Solo los administradores globales o los administradores de usuarios tienen privilegios para crear y eliminar cuentas de usuario en Azure Portal. Roles integrados en los recursos de Azure Azure built-in roles Rol integrado (Built-in role) Descripción Contributor Concede acceso completo para administrar todos los recursos, pero no le permite asignar roles en Azure RBAC, administrar asignaciones en Azure Blueprints ni compartir galerías de imágenes. Owner Permite conceder acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC. Reader Permite ver todos los recursos, pero no realizar ningún cambio. Role Based Access Control Administrator Administre el acceso a los recursos de Azure mediante la asignación de roles mediante RBAC de Azure. Este rol no permite administrar el acceso mediante otras formas, como Azure Policy. User Access Administrator Permite administrar el acceso de usuario a los recursos de Azure. Classic Virtual Machine Contributor Permite administrar máquinas virtuales clásicas, pero no acceder a ellas, ni tampoco a la red virtual ni la cuenta de almacenamiento a las que están conectadas. Data Operator for Managed Disks Proporciona permisos para cargar datos en discos administrados vacíos, leer o exportar datos de discos administrados (no conectados a máquinas virtuales en ejecución) e instantáneas mediante URI de SAS y la autenticación de Azure AD. Disk Backup Reader Proporciona permiso para realizar copias de seguridad del almacén para realizar copias de seguridad de disco. Disk Pool Operator Proporcione permiso al proveedor de recursos StoragePool para administrar los discos agregados a un grupo de discos. Disk Restore Operator Proporciona permiso para realizar copias de seguridad del almacén para realizar restauraciones de disco. Disk Snapshot Contributor Proporciona permiso para realizar copias de seguridad del almacén para administrar instantáneas de disco. Virtual Machine Administrator Login Visualización de máquinas virtuales en el portal e inicio de sesión como administrador Virtual Machine Contributor Cree y administre máquinas virtuales, administre discos, instale y ejecute software, restablezca la contraseña del usuario raíz de la máquina virtual mediante extensiones de VM, y administre cuentas de usuario locales mediante extensiones de VM. Este rol no le concede acceso de administración a la red virtual ni a la cuenta de almacenamiento a la que están conectadas las máquinas virtuales. Este rol no le permite asignar roles en Azure RBAC. Virtual Machine Data Access Administrator (preview)Adm nistre el acceso a virtual Machines mediante la adición o eliminación de asignaciones de roles para los roles de inicio de sesión de máquina virtual y inicio de sesión de usuario de máquina virtual Administración istrator. Incluye una condición de ABAC para restringir las asignaciones de roles. Virtual Machine User Login Visualización de máquinas virtuales en el portal e inicio de sesión como usuario normal. Windows Admin Center Administrator LoginPermite administrar el sistema operativo del recurso mediante Windows Admin Center como administrador. General Compute Roles integrados en los recursos de Azure Azure built-in roles Rol integrado (Built-in role) Descripción Azure Front Door Domain Contributor Puede administrar dominios de Azure Front Door, pero no puede conceder acceso a otros usuarios. Azure Front Door Domain Reader Puede ver los dominios de Azure Front Door, pero no puede realizar cambios. Azure Front Door Profile Reader Puede ver los perfiles estándar y premium de AFD y sus puntos de conexión, pero no puede realizar cambios. Azure Front Door Secret Contributor Puede administrar secretos de Azure Front Door, pero no puede conceder acceso a otros usuarios. Azure Front Door Secret Reader Puede ver los secretos de Azure Front Door, pero no puede realizar cambios. CDN Endpoint Contributor Puede administrar puntos de conexión de CDN, pero no conceder acceso a otros usuarios. CDN Endpoint Reader Puede ver puntos de conexión de CDN, pero no hacer cambios. CDN Profile Contributor Puede administrar perfiles de CDN y sus puntos de conexión, pero no conceder acceso a otros usuarios. CDN Profile Reader Puede ver perfiles de CDN y sus puntos de conexión, pero no hacer cambios. Classic Network Contributor Permite administrar las redes clásicas, pero no acceder a ellas. DNS Zone Contributor Permite administrar zonas y conjuntos de registros DNS en Azure DNS, pero no controlar los usuarios que tienen acceso. Network Contributor Permite administrar redes, pero no acceder a ellas. Private DNS Zone Contributor Permite administrar recursos de zonas DNS privadas, pero no las redes virtuales a las que están vinculados. Traffic Manager Contributor Le permite administrar perfiles de Traffic Manager, pero no controlar los usuarios que tienen acceso a ellos. Networking Types of storage accounts | Type of storage account Supported storage services Redundancy options Usage Standard general- purpose v2 Blob Storage (including Data Lake Storage1), Queue Storage, Table Storage, and Azure Files Locally redundant storage (LRS) / geo- redundant storage (GRS) / read-access geo-redundant storage (RA-GRS) Zone-redundant storage (ZRS) / geo- zone-redundant storage (GZRS) / read- access geo-zone-redundant storage (RA-GZRS)2 Standard storage account type for blobs, file shares, queues, and tables. Recommended for most scenarios using Azure Storage. If you want support for network file system (NFS) in Azure Files, use the premium file shares account type. Premium block blobs3 Blob Storage (including Data Lake Storage1) LRS ZRS2 Premium storage account type for block blobs and append blobs. Recommended for scenarios with high transaction rates or that use smaller objects or require consistently low storage latency. Learn more about example workloads. Premium file shares3 Azure Files LRS ZRS2 Premium storage account type for file shares only. Recommended for enterprise or high-performance scale applications. Use this account type if you want a storage account that supports both Server Message Block (SMB) and NFS file shares. Premium page blobs3 Page blobs only LRS ZRS2 Premium storage account type for page blobs only. Learn more about page blobs and sample use cases. Supported storage types | The following list of storage types is supported with Azure Import/Export service. Redundancia en la región primaria Los datos de una cuenta de Azure Storage siempre se replican tres veces en la región primaria. Azure Storage ofrece dos métodos para replicar los datos en la región primaria: Almacenamiento con redundancia local (LRS) Copia los datos de forma sincrónica tres veces dentro de una única ubicación física en la región primaria. LRS es la opción de replicación menos costosa, pero no se recomienda para las aplicaciones que requieren de alta disponibilidad o durabilidad. Almacenamiento con redundancia de zona (ZRS) Copia los datos de forma sincrónica en tres zonas de disponibilidad de Azure en la región primaria. En el caso de las aplicaciones que requieren de alta disponibilidad, Microsoft recomienda usar ZRS en la región primaria, además de replicación en una región secundaria. ZRS proporciona a los recursos de almacenamiento una durabilidad de al menos el 99,9999999999 % (doce nueves) durante un año determinado. Parámetros de durabilidad y disponibilidad En el caso de las aplicaciones que requieren de alta durabilidad, puede optar por copiar los datos de la cuenta de almacenamiento en una región secundaria que esté a cientos de kilómetros de distancia de la región primaria. Si la cuenta de almacenamiento se copia a una región secundaria, sus datos se mantienen incluso ante un apagón regional completo o un desastre del cual la región primaria no se puede recuperar Durabilidad y disponibilidad por escenario de interrupción Durabilidad y disponibilidad por escenario de Escenario de interrupción Un nodo de un centro de datos deja de estar disponible Un centro de datos completo (de zona o no de zona) deja de estar disponible Se produce una interrupción en toda la región en la región primaria Hay disponible acceso de lectura a la región secundaria si la región primaria deja de estar disponible LRS Sí No No No ZAS Si si No No GRS/RA-GRS Sí sí sil Sí (con RA-GRS) interrupción GZRS/RA-GZRS si E sí Sí (con RA-GZRS) Servicios admitidos de Azure Storage Servicios admitidos de Azure Storage Servicio Blob Storage (incluido Data Lake Storage) Queue Storage Almacenamiento de tablas Azure Files Azure Managed Disks Azure Elastic SAN LRS ZRS pa Ea; RA-GRS GZRS RA-GZRS Do Grupos de administración Las organizaciones que usan varias suscripciones necesitan una manera eficaz de administrar el acceso, las directivas y el cumplimiento. Los grupos de administración de Azure ofrecen un nivel de ámbito y control que está por encima de las suscripciones. Puede usar grupos de administración como contenedores para administrar el acceso, la directiva y el cumplimiento en todas las suscripciones. • De manera predeterminada, todas las suscripciones nuevas se colocan en el grupo de administración de nivel superior o grupo raíz. • Todas las suscripciones dentro de un grupo de administración heredan automáticamente las condiciones aplicadas a ese grupo de administración. • Un árbol de grupo de administración puede admitir hasta seis niveles de profundidad. • La autorización de control de acceso basado en rol de Azure para las operaciones del grupo de administración no está habilitada de manera predeterminada. Creación de directivas de Azure (Policy) Los administradores de Azure usan Azure Policy para crear directivas que definan convenciones para los recursos. Una definición de directiva describe las condiciones de cumplimiento de un recurso y las acciones que se deben completar cuando se cumplen las condiciones. Una o varias definiciones de directiva se agrupan en una definición de iniciativa, para controlar el ámbito de las directivas y evaluar el cumplimiento de los recursos. Paso 1: Creación de definiciones de directiva Una definición de directiva expresa una condición para evaluar y las acciones que se deben realizar cuando se cumple la condición Paso 2: Creación de una definición de iniciativa Una definición de iniciativa es un conjunto de definiciones de directiva que facilita el seguimiento del estado de cumplimiento del recurso para satisfacer un objetivo mayor. Paso 3: Ámbito de la definición de iniciativa Azure Policy le permite controlar cómo se aplican las definiciones de iniciativa a los recursos de la organización. Puede limitar el ámbito de una definición de iniciativa a grupos de administración, suscripciones o grupos de recursos concretos. Paso 4: Determinación del cumplimiento Una vez que se asigna una definición de iniciativa, puede evaluar el estado de cumplimiento de todos los recursos. Los recursos individuales, los grupos de recursos y las suscripciones de un ámbito se pueden excluir del efecto de las reglas de directiva. Las exclusiones se controlan individualmente para cada asignación. Estructura de definición de Azure Policy{ "properties": { "displayName": "Allowed locations", "description": "This policy enables you to restrict the locations your organization can specify when deploying resources.", "mode": "Indexed", "metadata": { "version": "1.0.0", "category": "Locations" }, "parameters": { "allowedLocations": { "type": "array", "metadata": { "description": "The list of locations that can be specified when deploying resources", "strongType": "location", "displayName": "Allowed locations" }, "defaultValue": [ "westus2" ] } }, "policyRule": { "if": { "not": { "field": "location", "in": "[parameters('allowedLocations')]" } }, "then": { "effect": "deny" } } } } mode: “All”, “Indexed” metadata: almacena información acerca de la definición de la directiva. parameters: ayudan a simplificar la administración de directivas mediante la reducción del número de definiciones de directiva . policyRule: Los operadores lógicos admitidos son: "not": {condition or operator} "allOf": [{condition or operator},{condition or operator}] "anyOf": [{condition or operator},{condition or operator}] "effect": "deny | audit | modify | denyAction | append | auditIfNotExists | deployIfNotExists | disabled" AMBITO Configuración del acceso condicional de Azure Active Directory (Ejemplo) En la configuración de Nueva directiva, haga clic en Aplicaciones o acciones en la nube y seleccione Visual Studio App Center como destino de la directiva. A continuación, seleccione las demás condiciones que desea aplicar, habilite la directiva y haga clic en Crear para guardarla. Azure Load Balancer Equilibrador de carga de Azure proporciona una alta disponibilidad y un elevado rendimiento de red para sus aplicaciones. Los administradores usan el equilibrio de carga para distribuir eficazmente el tráfico de red entrante entre servidores y recursos de back-end. Un equilibrador de carga se implementa mediante reglas de equilibrio de carga y sondeos de estado. Escenario empresarial Los administradores usan equilibradores de carga internos para dirigir el tráfico a los recursos que residen en una red virtual o a los recursos que usan una VPN para acceder a la infraestructura de Azure. En esta configuración, las direcciones IP del front-end y las redes virtuales no se exponen nunca directamente a un punto de conexión de Internet. Las aplicaciones de línea de negocio internas se ejecutan en Azure y se accede a ellas desde Azure o desde recursos locales. Implementación de un equilibrador de carga internoLos administradores usan equilibradores de carga internos para dirigir el tráfico a los recursos que residen en una red virtual o a los recursos que usan una VPN para acceder a la infraestructura de Azure. En esta configuración, las direcciones IP del front-end y las redes virtuales no se exponen nunca directamente a un punto de conexión de Internet. Las aplicaciones de línea de negocio internas se ejecutan en Azure y se accede a ellas desde Azure o desde recursos locales. Determinación de las SKU del equilibrador de cargaAl c ear un equilibrador de carga de Azure en Azure Portal, seleccione el tipo de equilibrador de carga que se va a crear (interno o público) y la SKU. Azure Load Balancer admite tres opciones de SKU: Básica, Estándar y Puerta de enlace. Cada SKU proporciona diferentes características, escalado de escenarios y precios.Característica SKU Básico SKU Estándar Sondeos de mantenimiento HTTP, TCP HTTPS, HTTP y TCP Zonas de disponibilidad No disponible Servidores front-end con redundancia de zona y zonales para el tráfico de entrada y salida. Varios servidores front-end Solo de entrada Entrada y salida Seguridad - Abierto de forma predeterminada - (Opcional) Control mediante grupos de seguridad de red (NSG) - Cerrado a flujos de entrada, a menos que lo permita un NSG - Se permite el tráfico interno desde la red virtual al equilibrador de carga interno Creación de grupos de servidores back-end Cada equilibrador de carga tiene uno o varios grupos de servidores back-end que se usan para distribuir el tráfico. Los grupos de servidores back-end contienen las direcciones IP de las NIC virtuales que están conectadas al equilibrador de carga. Estas opciones de grupo se configuran en Azure Portal. Configuración de la dirección IP flotante de Azure Load Balancer Dirección IP flotante Algunos escenarios de aplicación prefieren o requieren que varias instancias de la aplicación usen el mismo puerto en una única VM en el grupo back-end, La dirección IP flotante se configura en una regla del equilibrador de carga mediante Azure Portal, la API REST, la CLI, PowerShell u otro cliente. Además de la configuración de la regla, también debe configurar el sistema operativo invitado de la máquina virtual para utilizar la dirección IP flotante.Estado de IP flotante Resultado IP flotante habilitada Azure cambia la asignación de direcciones IP a la dirección IP de front-end del equilibrador de carga IP flotante deshabilitada Azure expone la dirección IP de las instancias de máquina virtual Configuración de Azure Application Gateway Azure Application Gateway es un equilibrador de carga para el tráfico web. Los administradores implementan una puerta de enlace de aplicaciones para administrar el tráfico a sus aplicaciones web Aspectos que debe saber sobre Azure Application Gateway Prestación Descripción Enrutamiento de la capa de aplicación Use el enrutamiento de la capa de aplicación para dirigir el tráfico a un grupo back-end de servidores web a partir de la dirección URL de una solicitud. El grupo back-end puede estar compuesto de máquinas virtuales de Azure, Azure Virtual Machine Scale Sets, Azure App Service e incluso servidores locales. Flujo de equilibrio de carga round robin Utilice el equilibrio de carga round robin para distribuir el tráfico entrante entre varios servidores. Envíe solicitudes de equilibrio de carga a los servidores de cada grupo back-end. Las solicitudes de cliente se reenvían en un ciclo a través de un grupo de servidores para crear un equilibrio eficaz para la carga del servidor. Permanencia de sesión Aplique la permanencia de sesión a la puerta de enlace de aplicación para garantizar que las solicitudes de cliente de una misma sesión se enrutan al mismo servidor back-end. Protocolos admitidos Cree una puerta de enlace de aplicación para admitir los protocolos HTTP, HTTPS, HTTP/2 o WebSocket. Protección por firewall Implemente un firewall de aplicaciones web para protegerse frente a vulnerabilidades de aplicaciones web. Cifrado Admita el cifrado de solicitudes de un extremo a otro para las aplicaciones web. Escalado automático de carga Ajuste dinámicamente la capacidad a medida que cambia la carga del tráfico web. Configuración de componentes de Azure Application Gateway Dirección IP de front-end Las solicitudes de cliente se reciben a través de una dirección IP de front-end. La puerta de enlace de aplicaciones puede tener una dirección IP pública o privada, o ambas. Solo puede tener una dirección IP pública y una dirección IP privada. Agentes de escucha Los clientes de escucha aceptan el tráfico que llega a una combinación especificada de protocolo, puerto, host y dirección IP. Cada cliente de escucha enruta las solicitudes a un grupo de back-end según las reglas de enrutamiento. Reglas de enrutamiento Una regla de enrutamiento enlaza los clientes de escucha a los grupos de back-end. Una regla especifica cómo interpretar los elementos de nombre de host y ruta de la dirección URL de una solicitud y, después, dirigir la solicitud al grupo de servidores back-end adecuado. Grupos de servidores back-end Un grupo de servidores back-end hace referencia a una colección de servidores web. Al configurar el grupo, proporciona la dirección IP de cada servidor web y el puerto en el que escucha las solicitudesSondeos de estado Los sondeos de estado determinan qué servidores del grupo de back-end están disponibles para el equilibrio de carga. Application Gateway usa un sondeo de estado para enviar una solicitud a un servidorFirewall (opcional) Puede habilitar Azure Web Application Firewall para que Azure Application Gateway controle las solicitudes entrantes antes de que lleguen al cliente de escucha. ¿Qué es Azure VPN Gateway? Azure VPN Gateway es un servicio que usa un tipo específico de puerta de enlace de red virtual para enviar tráfico cifrado entre una red virtual de Azure y una ubicación local por medio de la red pública de Internet. También puede usar VPN Gateway para enviar tráfico cifrado entre las redes virtuales de Azure a través de la red de Microsoft. Diseño de un esquema de direcciones IP para la implementación de Azure Conexión de servicios mediante el emparejamiento de redes virtuales Puede usar el emparejamiento de redes virtuales para conectar directamente redes virtuales de Azure conjuntamente. Al usar el emparejamiento para conectar las redes virtuales, las máquinas virtuales de esas redes se pueden comunicar entre sí, como si estuvieran en la misma red. En las redes virtuales emparejadas, el tráfico entre las máquinas virtuales se enruta a través de la red de Azure. El tráfico usa solo direcciones IP privadas. No se basa en la conectividad de Internet, puertas de enlace ni conexiones cifradas. El tráfico siempre es privado, y aprovecha las ventajas de la baja latencia y el elevado ancho de banda de la red troncal de Azure. Tipos de conexiones de emparejamiento •El emparejamiento de red virtual conecta las redes virtuales en la misma región de Azure, por ejemplo, dos redes virtuales en Norte de Europa. •El emparejamiento de red virtual global conecta las redes virtuales que están en regiones de Azure distintas, por ejemplo, una red virtual en Norte de Europa y otra en Oeste de Europa. COMANDOS CLI • Creación de las redes virtuales • Listar redes virtuales • Creación de subredes • Listar Subredes • Conexiones de emparejamiento de red virtual az network vnet create \ --resource-group [sandbox resource group name] \ --name SalesVNet \ --address- prefixes 10.1.0.0/16 \ --subnet-name Apps \ -- subnet-prefixes 10.1.1.0/24 \ --location northeurope az network vnet list --query "[?contains(provisioningState, 'Succeeded')]" --output table az network vnet subnet create \ --resource-group [sandbox resource group name] \ --vnet-name CoreServicesVnet \ --name GatewaySubnet \ -- address-prefixes 10.20.0.0/27az network vnet subnet list \ --resource-group [sandbox resource group name] \ --vnet-name CoreServicesVnet \ --output table az network vnet peering create \ --name SalesVNet-To-MarketingVNet \ --remote-vnet MarketingVNet \ --resource-group [sandbox resource group name] \ --vnet-name SalesVNet \ --allow-vnet- access • ¿Qué es Azure DNS? : Azure DNS es un servicio de hospedaje para dominios DNS que ofrece resolución de nombres mediante la infraestructura de Microsoft Azure. SOA del dominio. • ¿Qué es DNS? : DNS (sistema de nombres de dominio) es un protocolo que se encuentra dentro del estándar TCP/IP. DNS tiene un rol esencial de convertir los nombres de dominio legibles (por ejemplo, www.wideworldimports.com) en una dirección de protocolo IP conocida. Las direcciones IP permiten a los equipos y a los dispositivos de red identificar y enrutar las solicitudes entre sí. Mantiene una memoria caché local de nombres de dominio usados recientemente y sus direcciones IP • ¿Cómo funciona DNS?: Desempeña 1 de las 2 funciones ppales • Mantiene la base de datos de pares clave-valor de las direcciones IP y cualquier host o subdominio sobre el que el servidor DNS tiene autoridad Tipos de regi tros DNS Tipo Descripción A es el registro host y es el tipo de registro DNS más habitual. Asigna el nombre de dominio o de host a la dirección IP. CNAME es un registro de nombre canónico que se usa para asignar un alias de un nombre de dominio a otro. Si tuviera nombres de dominio diferentes a los que ha tenido acceso el mismo sitio web, usaría CNAME. MX es el registro de intercambio de correo. Asigna solicitudes de correo al servidor de correo electrónico, tanto si están hospedadas en el entorno local como en la nube. TXT es el registro de texto. Sirve para asociar cadenas de texto a un nombre de dominio. Azure y Microsoft 365 usan registros TXT para comprobar la propiedad del dominio. PTR permiten realizar búsquedas inversas en el DNS, es decir, buscar un nombre de dominio a partir de una dirección IP Tipos de registros DNS Tipo Descripción Caracteres comodín CAA entidad de certificación NS servidor de nombres* SOA inicio de autoridad* SRV ubicaciones de servidor AAAA Devuelve una dirección IPv6 de 128 bits Configurar Azure DNS - Zona pública Paso 1: crear una zona DNS en Azure Configurar Azure DNS - Zona pública Paso 2: obtener los servidores de nombres de Azure DNS Configurar Azure DNS - Zona privada Paso 2: identificar redes virtuales Identifique las redes virtuales asociadas a las máquinas virtuales que necesiten compatibilidad con la resolución de nombres. Para vincular las redes virtuales a la zona privada, necesitará los nombres de las redes virtuales. Paso 3: vincular la red virtual a una zona DNS privada Para vincular la zona DNS privada a una red virtual, deberá crear un vínculo de red virtual. En Azure Portal, vaya a la zona privada y seleccione Vínculos de la red virtual. Seleccione Agregar para seleccionar la red virtual que quiera vincular a la zona privada. Enrutamiento de Azure Prefijo de dirección Tipo del próximo salto Único para la red virtual Red virtual 0.0.0.0/0 Internet 10.0.0.0/8 Ninguno 172.16.0.0/12 Ninguno 192.168.0.0/16 Ninguno 100.64.0.0/10 Ninguno Puerta de enlace de red virtual | Use una puerta de enlace de red virtual para enviar tráfico cifrado entre Azure y el entorno local a través de Internet, así como para enviar tráfico cifrado entre redes de Azure. Una puerta de enlace de red virtual contiene tablas de enrutamiento y servicios de puerta de enlace. Enrutamiento de Azure Puntos de conexión de servicio de red virtual Los puntos de conexión de red virtual amplían el espacio de direcciones privadas en Azure proporcionando una conexión directa a los recursos de Azure. Rutas personalizadas Las rutas del sistema podrían facilitar la tarea de poner rápidamente en marcha el entorno, pero hay muchos escenarios en los que preferirá tener un control más estrecho del flujo de tráfico dentro de la red. Rutas definidas por el usuario Una ruta definida por el usuario se puede usar para reemplazar las rutas predeterminadas del sistema para que el tráfico se pueda enrutar a través de firewalls o aplicaciones virtuales de red. Aplicación virtual Puerta de enlace de red virtual Red virtual Internet Ninguno Protocolo de puerta de enlace de borde | Una puerta de enlace de red en la red local puede intercambiar rutas con una puerta de enlace de red virtual en Azure mediante el Protocolo de puerta de enlace de borde (BGP). BGP es el protocolo de enrutamiento estándar que se usa habitualmente para el intercambio de enrutamiento e información entre dos o más redes. BGP se usa para transferir datos e información entre diferentes puertas de enlace de host en Internet o entre sistemas autónomos ¿Qué es Azure Bastion? | Azure Bastion es un servicio PaaS totalmente administrado que se aprovisiona para conectarse de forma segura a las máquinas virtuales a través de una dirección IP privada. Proporciona una conectividad RDP/SSH segura e ininterrumpida a las máquinas virtuales directamente sobre TLS desde Azure Portal o a través del cliente nativo SSH o RDP instalado en el equipo local. Cuando se conecta a través de Azure Bastion, las máquinas virtuales no necesitan una dirección IP pública, un agente ni software cliente especial. ARQUITECTURA •El host bastión se implementa en la red virtual que contiene la subred AzureBastionSubnet que tiene un prefijo /26 mínimo. •El usuario se conecta a Azure Portal con cualquier explorador HTML5. •El usuario selecciona la máquina virtual a la que conectarse. •Con un solo clic, la sesión RDP/SSH se abre en el explorador. •No se requiere ninguna dirección IP pública en la máquina virtual de Azure. Ventajas principales | Ventajas principales Prestación RDP y 55H mediante Azure Portal Sesión remota a través de TLS y cruce seguro de firewall para RDP/S55H No requiere que la máquina virtual de Azure disponga de una dirección IP pública Sin la complicación de administrar grupos de seguridad de red (NS5G) No requiere administrar un host bastión independiente en una máquina virtual Protección frente al examen de puertos Protección en un solo lugar Protección frente a vulnerabilidades de seguridad de día cero Descripción Con un solo clic en Azure Portal, podrá ir directamente a la sesión RDP o 55H. Azure Bastion usa un cliente web basado en HTML5 que se transmite automáticamente al dispositivo local. La sesión RDP o 55H se encuentra en el puerto 443 a través del protocolo TLS. Esto permite que el tráfico atraviese los firewalls de forma más segura. Bastion admite TLS 1.2 y versiones posteriores. No se admiten versiones anteriores de TLS. Azure Bastion abrirá la conexión RDP o 55H para la dirección |P privada de la máquina virtual de Azure. La máquina virtual no necesita una dirección IP pública. No es necesario que aplique ningún NSG en la subred de Azure Bastion. Dado que Azure Bastion se conecta a las máquinas virtuales a través de la dirección |P privada, puede configurar los NSG para permitir RDP o 55H solo desde Azure Bastion. De este modo se evita tener que administrar los NSG cada vez que necesite conectarse de forma segura a las máquinas virtuales. Para más información sobre los grupos de seguridad de red, consulte Grupos de seguridad de red. Azure Bastion es un servicio Paa5 de Azure de plataforma totalmente administrada que se refuerza internamente para proporcionar una conexión RDP/S5H segura. Las máquinas virtuales quedan protegidas contra la detección de puertos por parte de usuarios no autorizados y malintencionados, ya que no es necesario exponerlas a Internet. Azure Bastion se encuentra en el perímetro de la red virtual, por lo que no es necesario preocuparse por proteger cada una de las máquinas virtuales de la red virtual. La plataforma de Azure protege contra ataques de día cero manteniendo automáticamente el servicio Azure Bastion protegido y siempre actualizado. MISCELLANIUS