El aprovisionamiento de una máquina virtual (VM) de Azure requiere algunos componentes adicionales, además de la propia máquina virtual, como recursos de red y de almacenamiento. En este artículo se muestran los procedimientos recomendados para ejecutar una máquina virtual segura de Windows en Azure.
Arquitectura
Descargue un archivo Visio de esta arquitectura.
Flujo de trabajo
Resource group
Un grupo de recursos es un contenedor lógico que incluye recursos de Azure relacionados. En general, los grupos de recursos se basan en su duración y quién los administra.
Coloque los recursos estrechamente asociados que comparten el mismo ciclo de vida en un mismo grupo de recursos. Los grupos de recursos permiten implementar y supervisar los recursos como un grupo, y realizar un seguimiento de los costes de facturación por grupo de recursos. También se pueden eliminar recursos en conjunto, lo que resulta útil cuando se realizan implementaciones de prueba. Asigne nombres de recursos significativos para simplificar la ubicación de un recurso específico y comprender su rol. Para obtener más información, consulte las Convenciones de nomenclatura para los recursos de Azure.
Máquina virtual
Puede aprovisionar una máquina virtual desde una lista de imágenes publicadas, desde una imagen administrada personalizada o desde un archivo de disco duro virtual (VHD) cargado en Azure Blob Storage.
Azure ofrece numerosos tamaños diferentes de máquina virtual. Para obtener más información, consulte Tamaños de máquinas virtuales en Azure. Si va a desplazar una carga de trabajo existente a Azure, comience con el tamaño de máquina virtual que más se acerque a los servidores locales. Luego, mida el rendimiento de la carga de trabajo real, en términos de CPU, memoria y operaciones de entrada/salida por segundo (IOPS) del disco, y ajuste el tamaño según sea necesario.
Por lo general, se recomienda elegir una región de Azure más cercana a los usuarios internos o clientes. No todos los tamaños de máquina virtual están disponibles en todas las regiones. Para obtener más información, consulte Productos disponibles por región. Para obtener una lista de los tamaños de VM disponibles en una región específica, ejecute el siguiente comando desde la CLI de Azure:
az vm list-sizes --location <location>
Para obtener información sobre cómo elegir una imagen de VM publicada, consulte Búsqueda de imágenes de VM de Windows.
Discos
Para un mejor rendimiento de la E/S de disco, se recomienda Premium Storage, que almacena los datos en unidades de estado sólido (SSD). El costo se basa en la capacidad del disco aprovisionado. Las E/S por segundo y el rendimiento también dependen del tamaño del disco, por lo que al aprovisionar un disco, debería tener en cuenta los tres factores (capacidad, E/S por segundo y rendimiento). Premium Storage también incluye expansión gratuita que, combinada con una comprensión de los patrones de carga de trabajo, ofrece una estrategia eficaz de selección de SKU y optimización de costes para la infraestructura de IaaS, lo que permite un alto rendimiento sin un exceso de aprovisionamiento y minimiza el coste de la capacidad no utilizada.
Managed Disks facilita la administración de discos y controla el almacenamiento automáticamente. Managed Disks no requiere una cuenta de almacenamiento. Indique el tamaño y el tipo de disco y se implementará como un recurso de alta disponibilidad. Managed Disks también ofrece optimización de costes al proporcionar el rendimiento deseado sin necesidad de sobreaprovisionamiento, teniendo en cuenta los patrones fluctuantes de carga de trabajo y minimizando la capacidad aprovisionada no utilizada.
El disco del sistema operativo es un disco duro virtual almacenado en Azure Storage, por lo que se conserva incluso cuando la máquina host está inactiva. También se recomienda crear uno o varios discos de datos, que son discos duros virtuales persistentes que se usan para los datos de aplicación.
Los discos efímeros ofrecen un buen rendimiento sin coste adicional, pero tienen el inconveniente de no ser persistentes, tener una capacidad limitada y estar restringidos al uso del sistema operativo y de discos temporales. Cuando sea posible, instale las aplicaciones en un disco de datos, no en el disco del sistema operativo. Es posible que algunas aplicaciones heredadas deban instalar componentes en la unidad C:. En ese caso, puede cambiar el tamaño del disco del sistema operativo mediante PowerShell.
La máquina virtual también se crea con un disco temporal (la unidad D:
de Windows). Este disco se almacena en una unidad física del equipo host. No se guarda en Azure Storage y es posible que se elimine durante los reinicios y otros eventos del ciclo de vida de la máquina virtual. Use este disco solo para datos temporales, como archivos de paginación o de intercambio.
Red
Los componentes de red incluyen los siguientes recursos:
Red virtual. Todas las máquinas virtuales se implementan en una red virtual que se puede dividir en varias subredes.
Interfaz de red (NIC) . La NIC permite que la VM se comunique con la red virtual. Si necesita varias tarjetas de interfaz de red para la máquina virtual, hay un número máximo definido para cada tamaño de máquina virtual.
Dirección IP pública. Es necesaria una dirección IP pública para comunicarse con la máquina virtual, por ejemplo, a través del Protocolo de escritorio remoto (RDP). La dirección IP pública puede ser dinámica o estática. El valor predeterminado es dinámico.
- Reserve una dirección IP estática si necesita una dirección IP fija que no cambie; por ejemplo, si tiene que crear un registro "A" en DNS o agregar la dirección IP a una lista segura.
- También puede crear un nombre de dominio completo (FQDN) para la dirección IP. Después, puede registrar un registro CNAME en DNS que apunte al nombre de dominio completo. Para obtener más información, consulte Crear un nombre de dominio completo en Azure Portal.
Grupo de seguridad de red (NSG) . Los grupos de seguridad de red se utilizan para permitir o denegar el tráfico de red a las máquinas virtuales. Los grupos de seguridad de red se pueden asociar con subredes o con instancias de máquina virtual individuales.
- Todos los NSG contienen un conjunto de reglas predeterminadas, incluida una que bloquea todo el tráfico de entrada de Internet. No se pueden eliminar las reglas predeterminadas, pero otras reglas pueden reemplazarlas. Para permitir el tráfico de Internet, cree reglas que permitan el tráfico entrante a puertos específicos; por ejemplo, el puerto 80 para HTTP. Para habilitar RDP, agregue una regla de NSG que permita el tráfico entrante al puerto TCP 3389.
Azure NAT Gateway. Las puertas de enlace NAT (Network Address Translation) permiten que todas las instancias de una subred privada realicen conexiones salientes a Internet mientras permanecen totalmente privadas. Solo los paquetes que llegan como paquetes de respuesta a una conexión saliente pueden pasar a través de una puerta de enlace NAT. No se permiten conexiones entrantes no solicitadas desde Internet.
Azure Bastion. Azure Bastion es una plataforma totalmente administrada como solución de servicio que otorga acceso seguro a las máquinas virtuales a través de direcciones IP privadas. Con esta configuración, las máquinas virtuales no necesitan una dirección IP pública que las exponga a Internet, lo que mejora su estado de seguridad. Azure Bastion ofrece conectividad RDP o Secure Shell (SSH) segura a las máquinas virtuales directamente a través del protocolo Seguridad de la capa de transporte (Transport Layer Security , TLS) a través de varios métodos, como Azure Portal o clientes SSH o RDP nativos.
Operaciones
Diagnóstico. Habilite la supervisión y el diagnóstico, como las métricas básicas de estado, los registros de infraestructura de diagnóstico y los diagnósticos de arranque. Los diagnósticos de arranque pueden ayudarle a diagnosticar errores de arranque si la máquina virtual entra en un estado de imposibilidad de arranque. Cree una cuenta de Azure Storage para almacenar los registros. Una cuenta de almacenamiento con redundancia local (LRS) estándar es suficiente para este tipo de registros. Para obtener más información, consulte Habilitación de supervisión y diagnóstico.
Disponibilidad. La máquina virtual podría verse afectada por un mantenimiento programado o un tiempo de inactividad no planeado. Puede usar registros de reinicio de máquina virtual para determinar si se produjo un reinicio de la máquina virtual por un mantenimiento planeado. Para obtener mayor disponibilidad, implemente varias máquinas virtuales en un conjunto de disponibilidad o entre las zonas de disponibilidad de una región. Estas dos configuraciones ofrecen un Acuerdo de nivel de servicio (SLA) superior.
Copias de seguridad Para crear una protección contra la pérdida accidental de datos, use el servicio Azure Backup para realizar una copia de seguridad de las máquinas virtuales en el almacenamiento con redundancia geográfica. Azure Backup proporciona copias de seguridad coherentes con la aplicación.
Detención de una máquina virtual. Azure hace una distinción entre los estados "Detenido" y "Desasignado". Se le cobra cuando el estado de la máquina virtual se detiene, pero no cuando se desasigna la máquina virtual. En Azure Portal, con el botón Detener, se desasigna la máquina virtual. Si apaga desde dentro del sistema operativo mientras tiene la sesión iniciada, la VM se detiene pero no se desasigna, por lo que se le seguirá cobrando.
Eliminación de una máquina virtual. Si elimina una máquina virtual, tiene la opción de eliminar o mantener sus discos. Esto significa que puede eliminar de forma segura la VM sin perder datos. Sin embargo, se le seguirá cobrando por los discos. Puede eliminar discos administrados como cualquier otro recurso de Azure. Para evitar eliminaciones por error, use un bloqueo de recurso para bloquear el grupo de recursos completo o recursos individuales, como una máquina virtual.
Consideraciones
Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.
Optimización de costes
La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para obtener más información, vea Información general del pilar de optimización de costes.
Hay varios tamaños de máquina virtual y la elección de uno u otro dependerá del uso y la carga de trabajo. El intervalo incluye la opción más económica de la serie Bs para las VM de GPU más recientes optimizadas para el aprendizaje automático. Para más información sobre las opciones disponibles, consulte Precios de VM Windows de Azure.
Para cargas de trabajo predecibles, use Azure Reservations y el plan de ahorro de Azure para el proceso con un contrato de uno o tres años y obtenga un ahorro significativo en los precios de pago por uso. En el caso de cargas de trabajo sin tiempo predecible de finalización o consumo de recursos, considere la opción Pago por uso.
Use máquinas virtuales de Azure Spot para ejecutar cargas de trabajo que se pueden interrumpir y no es necesario que finalicen dentro de un período de tiempo predeterminado o según un SLA. Azure implementa VM de Spot si hay capacidad disponible y deja de hacerlo cuando vuelve a necesitar la capacidad. Los costes asociados a las máquinas virtuales de Spot son significativamente menores. Considere la posibilidad de usar VM de Spot para estas cargas de trabajo:
- Escenarios informáticos de alto rendimiento, trabajos de procesamiento por lotes o aplicaciones de representación visual.
- Entornos de prueba, incluidas las cargas de trabajo de integración continua y entrega continua.
- Aplicaciones sin estado a gran escala.
Puede usar la calculadora de precios de Azure para calcular los costes.
Para obtener más información, consulte la sección acerca de los costes del artículo sobre el marco de buena arquitectura de Microsoft Azure.
Seguridad
La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para obtener más información, consulte Introducción al pilar de seguridad.
Para obtener una vista centralizada del estado de seguridad de sus recursos de Azure, utilice Microsoft Defender for Cloud. Defender for Cloud supervisa los posibles problemas de seguridad y proporciona una imagen completa del estado de seguridad de su implementación. Defender for Cloud se configura por suscripción de Azure. Habilite la colección de datos de seguridad que se describe en Incorporación de su suscripción de Azure a Defender for Cloud estándar. Una vez habilitada la recopilación de datos, Defender for Cloud busca automáticamente las máquinas virtuales creadas en esa suscripción.
Administración de revisiones. Si está habilitada esta opción, Defender for Cloud comprueba si falta alguna actualización crítica y de seguridad. Use la configuración de directiva de grupo de la máquina virtual para habilitar las actualizaciones automáticas del sistema.
Antimalware. Si está habilitada esta opción, Defender for Cloud comprueba si está instalado software antimalware. También puede utilizar Defender for Cloud para instalar software antimalware desde Azure Portal.
Control de acceso. Use el control de acceso basado en roles de Azure (RBAC de Azure) para controlar el acceso a los recursos de Azure. RBAC de Azure le permite asignar roles de autorización a los miembros de su equipo de DevOps. Por ejemplo, el rol de lector puede ver recursos de Azure pero no crearlos, administrarlos o eliminarlos. Algunos permisos son específicos para un tipo de recurso de Azure. Por ejemplo, el rol Colaborador de la máquina virtual puede reiniciar o desasignar una máquina virtual, restablecer la contraseña de administrador, crear una nueva máquina virtual, etc. Otros roles integrados que pueden resultar útiles para esta arquitectura son, por ejemplo, el de Usuario de DevTest Labs y el de Colaborador de la red.
Nota
RBAC de Azure no limita las acciones que puede realizar un usuario que ha iniciado sesión en una máquina virtual. Esos permisos están determinados por el tipo de cuenta en el sistema operativo invitado.
Registros de auditoría. Use registros de auditoría para ver las acciones de aprovisionamiento y otros eventos de máquina virtual.
Cifrado de datos. Use Azure Disk Encryption si necesita cifrar los discos de datos y del sistema operativo.
Excelencia operativa
La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.
Use la infraestructura como código (IaC) mediante una sola plantilla de Azure Resource Manager para aprovisionar los recursos de Azure (enfoque declarativo) o mediante un único script de PowerShell (enfoque imperativo). Dado que todos los recursos están en la misma red virtual, están aislados en la misma carga de trabajo básica. Esto facilita la asociación de recursos específicos de la carga de trabajo a un equipo de DevOps para que este pueda administrar todos los aspectos de esos recursos de forma independiente. Este aislamiento permite que el equipo y los servicios de DevOps realicen la integración continua y la entrega continua (CI/CD).
Además, puede usar distintas plantillas de Azure Resource Manager e intégrelas con Azure DevOps Services para aprovisionar entornos diferentes en minutos; por ejemplo, para replicar escenarios similares a la producción o entornos de prueba de carga solo cuando sea necesario y ahorrar costos.
Considere la posibilidad de usar Azure Monitor para analizar y optimizar el rendimiento de la infraestructura, así como supervisar y diagnosticar problemas de red sin iniciar sesión en las máquinas virtuales.
Pasos siguientes
- Para crear una máquina virtual Windows, consulte Inicio rápido: Creación de una máquina virtual Windows en Azure Portal
- Para instalar controladores NVIDIA en una máquina virtual Windows, consulte Instalación de controladores de GPU de NVIDIA en VM de la serie N con Windows
- Para instalar controladores AMD en una máquina virtual Windows, consulte Instalación de controladores de GPU de AMD en VM de la serie N con Windows
- Para aprovisionar una máquina virtual Windows consulte Tutorial: Creación y administración de máquinas virtuales Windows con Azure PowerShell
- Acceso de salida predeterminado en Azure