Anterior

Siguientes

Implementación de una base de gobernanza en la nube

Completado

La implementación de una base de gobernanza en la nube impulsa su capacidad de controlar todo el entorno de Azure. En esta unidad se describen las consideraciones y las implementaciones que se requieren para lograr una base que pueda crear coherencia de recursos y para prepararse para otras materias de gobernanza.

¿Qué va a configurar?

En esta unidad se da por supuesto que ya ha implementado recursos en Azure. Ahora le interesa configurar el entorno para mejorar la organización, el seguimiento y el control de dichos recursos. Cuando termine esta unidad, comprenderá por qué y cómo se configuran los grupos de administración, el diseño de suscripciones, los grupos de recursos y el etiquetado.

Consideraciones estratégicas

La organización de recursos se basa en lo que se considera importante para la organización. Antes de definir un grupo de administración o un diseño de suscripciones, es importante comprender cuáles de estas prioridades contrapuestas son más importantes:

• Transparencia de los costos: cada adopción de la nube debe alinearse con los departamentos, las unidades de negocio, los proyectos u otros mecanismos de asignación de costos para cumplir los requisitos de contabilidad aplicables a los contracargos y la visualización de costos.
• Cumplimiento y seguridad: cada adopción de la nube debe asignarse a requisitos de cumplimiento específicos que asignen la adopción de la nube a estructuras específicas de organización de cumplimiento, seguridad y riesgo.
• Democratización (responsabilidad delegada): cada adopción de la nube debe asignarse a equipos, grupos de productos o proyectos para que sea más fácil segmentar la responsabilidad por equipos.

Si entiende estas prioridades estratégicas, puede identificar el mejor punto de partida para diseñar la suscripción y la administración.

Organización de recursos en Azure

La base fundamental de la gobernanza comienza con una organización de recursos coherente.

Figura 1: Coherencia de recursos.

Los tres componentes principales de la organización de recursos son:

• Los grupos de administración, que reflejan la seguridad, las operaciones y las jerarquías de los negocios o de la contabilidad.
• Las suscripciones, que agrupan recursos similares dentro de límites lógicos.
• Los grupos de recursos, que agrupan a su vez aplicaciones o cargas de trabajo en unidades de implementación y de operaciones.

Consideración sobre el diseño de la gobernanza

Para adaptarse a las necesidades de gobernanza a largo plazo, diseñe una jerarquía de alto nivel, pero implemente solo lo que necesita. Agregue nuevos nodos a la jerarquía según lo vayan dictando los requisitos.

Figura 2: Jerarquía de grupos de administración.

Los componentes siguientes se indican en niveles descendentes en la jerarquía de grupos de administración que se muestra en la Figura 2:

• Grupo de administración: unidad de negocio, geografía y entorno
• Suscripción:: por categoría de aplicación, preproducción, entornos de desarrollo y producción
• Grupos de recursos: por aplicación

Ejercicio: configuración de la primera jerarquía de grupos de administración

Comience con una jerarquía más pequeña para poder experimentar y superar rápidamente las curvas de aprendizaje iniciales.

Figura 3: Jerarquía inicial de grupos de administración con un tamaño reducido.

En esta versión más pequeña, intente realizar los siguientes pasos de configuración:

• Nodo primario: defina una jerarquía de grupos de administración para el entorno de TI corporativo.
• Nodos secundarios: defina nodos secundarios para cada entorno de producción y de no producción.

Para obtener instrucciones sobre la creación de estos grupos de administración, consulte Inicio rápido: Creación de un grupo de administración.

Detalles de la suscripción

Una suscripción es un contenedor lógico para todos los recursos implementados. Las suscripciones se usan para agrupar cargas de trabajo comunes en función de requisitos de facturación, cumplimiento, seguridad o acceso. Para maximizar la eficacia de la gobernanza, debe usar el menor número posible de suscripciones.

Figura 4: Suscripciones de producción y de no producción.

Escalado con suscripciones

Hay varios motivos técnicos y no técnicos para escalar con varias suscripciones. Consulte el artículo dedicado a los conceptos básicos para obtener información general sobre las razones habituales para escalar.

Las preguntas siguientes pueden ayudarle a comprender los motivos para escalar las suscripciones:

• ¿Hay limitaciones técnicas o de capacidades?
• ¿Es necesario separar claramente los problemas? Por ejemplo:
  • Separación de tareas
  • Desarrollo/pruebas frente a la no producción genérica
  • Clientes diferentes
  • Departamentos o unidades de negocio diferentes
  • Proyectos diferentes
• ¿Puede distribuir el costo de una infraestructura compartida entre los propietarios de las aplicaciones? (A menudo, se usa una suscripción dedicada para la infraestructura compartida, como Microsoft Entra ID, la supervisión o las herramientas de aplicación de revisiones).
• ¿Necesita crear una separación más clara de las obligaciones mediante suscripciones de servicio compartidas para los equipos de administración de operaciones, seguridad, sincronización de identidades, conectividad o DevOps?

Ejercicio: incorporación de suscripciones a los grupos de administración

Incorpore suscripciones existentes en cada uno de los nodos de entorno para distinguir con claridad los recursos de producción, desarrollo y control de calidad.

Figura 5: Incorporación de una suscripción a un grupo de administración.

Para obtener instrucciones sobre cómo incorporar suscripciones a un grupo de administración, vea la guía de procedimientos.

Etiquetado

Los grupos de administración reflejan la estructura de la organización de prioridad más alta. El etiquetado refleja varios principios organizativos que también se reflejan en los metadatos. A continuación se indican las etiquetas recomendables para todas las cargas de trabajo:

• Carga de trabajo (o aplicación)
• Confidencialidad de los datos (vea ejemplos en Clasificación de datos)
• Importancia de la misión (vea ejemplos en Importancia de la carga de trabajo)
• Propietario
• Departamento (centro de costos)
• Entorno

Ejercicio: asignación de una directiva de etiquetado

Puede aplicar directivas de Azure a todas las suscripciones de un grupo de administración. Para entender el rol de la directiva en la base de gobernanza, aplique una directiva a uno de los grupos de administración de la jerarquía.

Figura 6: Asignación de una directiva en Azure Portal.

Para obtener instrucciones sobre cómo aplicar una directiva, consulte el tutorial Creación y administración de directivas.

• El paso 4 de las instrucciones para asignar una directiva trata sobre el ámbito. Em este paso, seleccionará el grupo de administración para asegurarse de que las directivas se aplican a todas las suscripciones del grupo de administración.
• Los pasos 6 y 7 tratan sobre la definición de directiva. En la lista de directivas integradas, se recomienda seleccionar una de las directivas relacionadas con el etiquetado. En concreto, la directiva que requiere una etiqueta en todos los recursos ayuda a establecer una base de gobernanza.

Importante

En el paso 9 del tutorial se muestra el Cumplimiento de directivas. A medida que aprende sobre la gobernanza, asegúrese de establecer la opción Cumplimiento de directivas en Deshabilitado. Cuando esta configuración está deshabilitada, puede auditar el entorno sin realizar ningún cambio, y ello no impedirá futuras implementaciones.

Aceleración de la implementación

El proceso de empaquetar todos los cambios de la gobernanza en un plano técnico acelera las implementaciones y crea una aplicación de gobernanza coherente. Al asignar un plano técnico en el siguiente ejercicio, la gobernanza se aplicará de forma coherente a todas las suscripciones del grupo de administración asignado. También se aplica a todos los grupos de recursos y recursos de esas suscripciones.

Ejercicio: asignación de un plano técnico Foundation de CAF

Use Azure Blueprints para empaquetar plantillas de Azure Resource Manager, directivas de Azure y configuraciones de control de acceso basado en roles en un único paquete. El plano técnico Foundation de Cloud Adoption Framework (CAF) para Azure proporciona un ejemplo y un punto de partida para usar planos técnicos en la gobernanza en la nube con los siguientes fines:

• Implementar Azure Key Vault
• Implementación de Log Analytics en los registros de Azure Monitor.
• Implemente Microsoft Defender for Cloud (versión estándar).

El plano técnico Foundation de CAF también define e implementa directivas para:

• Aplique las etiquetas cost center a los grupos de recursos.
• Anexe los recursos en un grupo de recursos con la etiqueta cost center.
• Permita una región de Azure para los recursos y los grupos de recursos.
• Permita el SKU de cuenta de almacenamiento (se elige durante la implementación).
• Permita el SKU de máquinas virtuales de Azure (se elige durante la implementación).
• Requiera la implementación de Azure Network Watcher.
• Requiera el cifrado de transferencia segura para las cuentas de Azure Storage.
• Deniegue los tipos de recursos (se elige durante la implementación).
• Cree una iniciativa para habilitar la supervisión en Microsoft Defender for Cloud (89 directivas).

Siga los pasos establecidos para publicar y asignar este plano técnico de ejemplo a su grupo de administración.

Ejercicio: evaluación de un entorno actual

Por lo general, los clientes intentan agregar gobernanza a esfuerzos de adopción consolidados que ya existen en varias suscripciones. A medida que las prácticas de gobernanza se consolidan en una cartera, el visualizador de Gobernanza en Azure puede proporcionar información sobre la configuración de gobernanza actual.

Figura 7: Visualizador de Gobernanza en Azure.

Implemente el visualizador de Gobernanza en Azure para ver cómo se han aplicado los grupos de administración, los planos técnicos, las directivas y otras configuraciones de gobernanza en todo el entorno.

Estos ejercicios ayudan a mostrar un punto de partida o una base para la gobernanza. En la unidad siguiente, partirá de esta base para establecer una materia de administración de costos consolidada.

Continuar