Administración de cargas de trabajo de Azure híbridas mediante Windows Admin Center

Esta arquitectura de referencia muestra cómo diseñar una solución híbrida de Windows Admin Center para administrar cargas de trabajo que se hospedan de forma local y en Microsoft Azure. Esta arquitectura incluye dos escenarios:

• Implementación de Windows Admin Center en una máquina virtual (VM) en Azure.
• Implementación de Windows Admin Center en un servidor (físico o virtual) local.

Arquitectura

En el primer diagrama se ilustra la implementación de Windows Admin Center en una máquina virtual en Azure.

En el segundo diagrama se ilustra la implementación de Windows Admin Center en el entorno local.

Descargue un archivo de Visio de todos los diagramas de arquitecturas en este artículo.

Flujo de trabajo

La arquitectura consta de los siguientes elementos:

• Red corporativa local. Una red de área local privada que se ejecuta dentro de una organización.
• Firewall corporativo local. Un firewall de la organización configurado para permitir el acceso de los usuarios a la puerta de enlace de Windows Admin Center cuando la puerta de enlace se implementa en el entorno local.
• Máquina virtual Windows. Una máquina virtual Windows instalada con la puerta de enlace de Windows Admin Center que hospeda los servicios web a los que se pueden conectar los usuarios.
• Aplicación Microsoft Entra. Una aplicación que se usa para todos los puntos de integración de Azure en Windows Admin Center, incluida la autenticación de Microsoft Entra en la puerta de enlace.
• Nodos administrados. Nodos administrados por Windows Admin Center, que pueden incluir servidores físicos que ejecutan Azure Stack, o bien Windows Server o máquinas virtuales que ejecutan Windows Server.
• VPN o ExpressRoute. VPN de sitio a sitio (S2S) o ExpressRoute para administrar los nodos locales al implementar Windows Admin Center en Azure.
• Adaptador de red de Azure. Un adaptador para una VPN de punto a sitio (P2S) en Azure al implementar Windows Admin Center en el entorno local. Windows Admin Center puede implementar automáticamente el adaptador y crear una puerta de enlace de Azure.
• Sistema de nombres de dominio (DNS) . Un registro DNS al que hacen referencia los usuarios para conectarse a la puerta de enlace de Windows Admin Center.

Componentes

• Windows Admin Center es un conjunto de herramientas de administración basado en explorador que ofrece el control total de todos los aspectos de tu infraestructura de servidores y es especialmente útil para la administración de servidores en redes privadas que no están conectadas a Internet. Accede a los servidores a través de la puerta de enlace de Windows Admin Center instalada en Windows Server o en Windows 10 unido a un dominio. La puerta de enlace se puede instalar en un en el entorno local o en una máquina virtual de Azure que ejecute Windows.
• Azure ExpressRoute crea conexiones privadas entre los centros de datos de Azure y la infraestructura de su entorno local o de un entorno de coubicación.
• Azure Virtual Network proporciona una infraestructura de red segura en la nube.
• Azure Virtual Machines proporciona máquinas virtuales Linux y Windows. En esta solución, puede usarlo para proporcionar una máquina virtual Windows que ejecute Windows Admin Center.

Detalles del escenario

Posibles casos de uso

Los usos habituales de esta arquitectura incluyen:

• Organizaciones que quieren administrar instancias individuales de Windows Server, infraestructura hiperconvergida o máquinas virtuales de Hyper-V que se ejecutan en el entorno local y en Microsoft Azure.
• Organizaciones que quieren administrar instancias de Windows Server hospedadas por otros proveedores de nube.

Recomendaciones

Las siguientes recomendaciones sirven para la mayoría de los escenarios. Sígalas a menos que tenga un requisito concreto que las invalide.

Tipos de instalación

Tiene varias opciones para implementar Windows Admin Center, incluida la instalación en un equipo con Windows 10, una instancia de Windows Server o una máquina virtual de Azure. El tipo de implementación que elija dependerá de sus requisitos empresariales.

A continuación, se muestran los tipos de instalación local:

• Opción 1: Cliente local. Implemente Windows Admin Center en un cliente de Windows 10. Esto es ideal para implementaciones rápidas, pruebas y escenarios improvisados o a pequeña escala.
• Opción 2: Servidor de puerta de enlace. Realice la instalación en un servidor de puerta de enlace designado que ejecute Windows Server 2016, Windows Server 2019 o posterior, y acceda desde cualquier explorador cliente con conectividad al servidor de puerta de enlace.
• Opción 3: Servidor administrado. Realice la instalación directamente en un servidor administrado que ejecute Windows Server 2016, Windows Server 2019 o posterior para permitir que el servidor se administre a sí mismo o administre un clúster en el que el servidor administrado sea un nodo de miembro. Esta opción es excelente para escenarios distribuidos de sucursales.
• Opción 4: Clúster de conmutación por error. Implementación en un clúster de conmutación por error para permitir la alta disponibilidad del servicio de puerta de enlace. Esta opción es excelente para entornos de producción con el fin de garantizar la resistencia del servicio de administración.

Dado que Windows Admin Center no tiene dependencias de servicios en la nube, algunas organizaciones pueden optar por implementar Windows Admin Center en un sistema local para administrar equipos locales y, a continuación, habilitar los servicios híbridos a lo largo del tiempo. Sin embargo, muchas organizaciones prefieren sacar provecho de las ofertas de servicio en Azure y en otras plataformas en la nube que se integran con Windows Admin Center.

La implementación de Windows Admin Center en una máquina virtual de Azure proporciona una funcionalidad de puerta de enlace similar a Windows Server 2016 y Windows Server 2019. Sin embargo, Azure también habilita características adicionales para las máquinas virtuales de Azure. Consulte Confiabilidad para más información acerca de las ventajas de la implementación de Windows Admin Center en máquinas virtuales de Azure.

Implementación automatizada

Microsoft proporciona un archivo .msi que se usa para implementar Windows Admin Center en una máquina virtual local. El archivo .msi instala Windows Admin Center y genera automáticamente un certificado autofirmado o asocia un certificado existente en función de sus preferencias.

Al implementar Windows Admin Center en una máquina virtual de Azure, Microsoft proporciona el script Deploy-Windows Admin CenterAzVM.ps1 para implementar automáticamente todos los recursos necesarios. En este escenario, el script implementa una nueva máquina virtual de Azure con Windows Admin Center instalado y abre el puerto 443 en la dirección IP pública. El script también puede implementar Windows Admin Center en una máquina virtual de Azure existente. Al ejecutar el script, puede usar variables para especificar el grupo de recursos, el nombre de red virtual, el nombre de la máquina virtual, la ubicación y muchas otras opciones.

Recomendaciones de topología

Aunque puede implementar Windows Admin Center en cualquier máquina virtual nueva o existente que esté en el entorno local u hospedada en Azure, Microsoft recomienda implementar la puerta de enlace de Windows Admin Center en una máquina virtual de Azure con Windows Server 2019. La opción de implementación automatizada que se ha explicado anteriormente permite implementar Windows Admin Center en una máquina virtual de Azure más rápidamente mientras se sigue protegiendo el entorno. En lugar de implementar Windows Admin Center en una máquina virtual local, puede minimizar los cambios de configuración necesarios para una red y un firewall local.

Cuando se implementa en el entorno local, puede usar Windows Admin Center para compilar la conexión híbrida en Azure. La conexión híbrida, denominada adaptador de red de Azure, es una VPN P2S a Azure que permite que Windows Admin Center obtenga acceso a las características de nube híbrida. Este proceso también crea automáticamente una puerta de enlace de Azure para la conexión VPN. Para más información, consulte Acerca de las conexiones VPN de punto a sitio.

También debe configurar la puerta de enlace de Windows Admin Center para alta disponibilidad. Esto ayudará a garantizar que la administración de sistemas y servicios permanezca disponible durante errores inesperados. Azure proporciona varias ofertas de servicio para estos escenarios, independientemente de si la puerta de enlace de Windows Admin Center está implementada en una máquina virtual de Azure o en el entorno local. Para obtener más información, consulte Consideraciones sobre disponibilidad.

Recomendaciones de certificados

La puerta de enlace de Windows Admin Center es una herramienta basada en web que utiliza un certificado Capa de sockets seguros (SSL) para cifrar el tráfico web para los administradores que usan la puerta de enlace. Windows Admin Center le permite usar un certificado SSL que es una entidad de certificación (CA) de terceros de confianza creada a partir de un certificado autofirmado. Si elige la última opción, recibirá una advertencia al intentar conectarse desde un explorador. Como resultado, se recomienda usar solo certificados autofirmados para entornos de prueba.

Recomendaciones administrativas

La implementación de Windows Admin Center en un cliente local de Windows 10 es excelente para las pruebas de inicio rápido y los escenarios ad hoc o a pequeña escala. Sin embargo, para escenarios de producción con varios administradores, se recomienda Windows Server. Cuando se implementa en Windows Server, Windows Admin Center proporciona un centro de administración centralizado para el entorno de servidor con capacidades adicionales, como la autenticación de tarjeta inteligente, el acceso condicional y la autenticación multifactor. Para obtener más información acerca de cómo controlar el acceso a Windows Admin Center, consulte Opciones de acceso de usuario con Windows Admin Center.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Confiabilidad

La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.

• Puede ayudar a garantizar la alta disponibilidad del servicio de puerta de enlace de Windows Admin Center mediante su implementación en un modelo activo/pasivo en un clúster de conmutación por error. En este escenario, solo hay una instancia del servicio de puerta de enlace de Windows Admin Center activa. Si se produce un error en uno de los nodos del clúster, el servicio de puerta de enlace de Windows Admin Center conmuta por error a otro nodo sin problemas.

  Precaución

  La implementación de Windows Admin Center en un equipo cliente de Windows 10 no proporciona alta disponibilidad porque la funcionalidad de puerta de enlace no está incluida en la implementación de Windows 10. Implemente la puerta de enlace de Windows Admin Center en Windows Server 2016 o Windows Server 2019.

• Para garantizar la alta disponibilidad de los datos de Windows Admin Center en caso de un error de nodo, configure un Volumen compartido de clúster (CSV) en el que Windows Admin Center almacenará los datos persistentes a los que obtengan acceso todos los nodos del clúster. Puede implementar el clúster de conmutación por error para la puerta de enlace de Windows Admin Center mediante un script de implementación automatizada. El script Install-WindowsAdminCenterHA.ps1 implementa automáticamente el clúster de conmutación por error, configura las direcciones IP para el servicio de clúster, instala la puerta de enlace de Windows Admin Center, configura el número de puerto para el servicio de puerta de enlace y configura el servicio web con el certificado adecuado.

  Sugerencia

  Para obtener más información acerca del uso del script de implementación automatizada, consulte Implementación de Windows Admin Center con alta disponibilidad.

• La implementación de la puerta de enlace de Windows Admin Center en una máquina virtual de Azure proporciona opciones adicionales de alta disponibilidad. Por ejemplo, al usar conjuntos de disponibilidad puede proporcionar redundancia y disponibilidad de la máquina virtual en un centro de datos de Azure mediante la distribución de las máquinas virtuales en varios nodos de hardware aislados. También puede usar zonas de disponibilidad en Azure, que proporcionan tolerancia a errores del centro de datos. Las zonas de disponibilidad son ubicaciones físicas exclusivas que ocupan los centros de datos de una región de Azure. Esto ayuda a garantizar que las máquinas virtuales de Azure tengan energía, refrigeración y redes independientes. Para obtener más información sobre la alta disponibilidad, consulte Opciones de disponibilidad para las máquinas virtuales de Azure y Alta disponibilidad y recuperación ante desastres para aplicaciones IaaS.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

• La implementación de Windows Admin Center proporciona a la organización una interfaz de administración centralizada para el entorno de servidor. Al controlar el acceso a Windows Admin Center, puedes mejorar la seguridad de tu entorno de administración.
• Windows Admin Center proporciona varias características que ayudan a proteger la plataforma de administración. En el caso de los iniciadores, la autenticación de puerta de enlace de Windows Admin Center puede usar grupos locales, Active Directory Domain Services (AD DS) y Microsoft Entra ID basado en la nube. También puede exigir la autenticación mediante tarjeta inteligente si especifica un grupo necesario adicional para los grupos de seguridad basados en tarjeta inteligente. Además, al requerir la autenticación de Microsoft Entra para la puerta de enlace, puede usar otras características de seguridad de Microsoft Entra, como el acceso condicional y la autenticación multifactor de Microsoft Entra.
• El acceso a la puerta de enlace de Windows Admin Center no implica el acceso a los servidores de destino que la puerta de enlace hace visibles. Para administrar un servidor de destino, los usuarios deben conectarse con las credenciales que conceden privilegios de administrador en los servidores que quieren administrar. Sin embargo, es posible que algunos usuarios no necesiten acceso administrativo para llevar a cabo sus responsabilidades. En este escenario, puede usar el control de acceso basado en rol (RBAC) en Windows Admin Center para proporcionar a estos usuarios acceso limitado a los servidores en lugar de concederles acceso administrativo completo.

  Nota

  Si ha implementado la Solución de contraseñas de administrador local (LAPS) en el entorno, use las credenciales de LAPS a través de Windows Admin Center para autenticarse con un servidor de destino.

• En Windows Admin Center, RBAC funciona mediante la configuración de cada servidor administrado con un punto de conexión de Just Enough Administration de Windows PowerShell. Este punto de conexión define los roles, incluidos los elementos del sistema que cada rol puede administrar y los usuarios que están asignados a los roles. Cuando un usuario se conecta al punto de conexión, RBAC crea una cuenta de administrador local temporal para administrar el sistema en su nombre y la quita automáticamente cuando el usuario deja de administrar el servidor a través de Windows Admin Center. Para más información, consulte Just Enough Administration.
• Windows Admin Center también proporciona visibilidad de las acciones de administración realizadas en el entorno. Windows Admin Center registra los eventos mediante el registro de acciones en el canal de eventos Microsoft-ServerManagementExperience del registro de eventos del servidor administrado. Esto le permite auditar las acciones que realizan los administradores y ayuda a solucionar problemas de Windows Admin Center y a revisar las métricas de uso. Para obtener más información sobre la auditoría, consulte Uso del registro de eventos en Windows Admin Center para obtener información sobre las actividades de administración y realizar un seguimiento del uso de la puerta de enlace.

Optimización de costos

La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.

• En el caso de las implementaciones locales, Windows Admin Center no tiene ningún costo más allá del costo del sistema operativo Windows, que requiere licencias válidas de Windows Server o Windows 10.
• En el caso de las implementaciones de Azure, planee los costos asociados a la implementación de Windows Admin Center en una máquina virtual de Azure. Algunos de estos costos pueden incluir la máquina virtual, el almacenamiento, las direcciones IP estáticas o públicas (si están habilitadas) y los componentes de red necesarios para la integración con entornos locales. Además, es posible que necesite planear el costo de la compra de certificados de entidad de certificación que no sean de Microsoft.

Excelencia operativa

La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.

Facilidad de uso

• El acceso al conjunto de herramientas de administración de Windows Admin Center depende del tipo de instalación. Por ejemplo, en un escenario de cliente local, puede abrir Windows Admin Center desde el menú Inicio y conectarse a él desde un explorador web del cliente mediante el acceso a https://localhost:6516. En otros escenarios en los que se implementa la puerta de enlace de Windows Admin Center en una instancia de Windows Server, puede conectarse a la puerta de enlace de Windows Admin Center desde un explorador web del cliente mediante el acceso a la dirección URL del nombre del servidor, como https://servername.contoso.com, o la dirección URL del nombre del clúster.
• Cuando se implementa en Windows Server, Windows Admin Center proporciona un punto de administración centralizado para el entorno del servidor. Windows Admin Center proporciona herramientas de administración para muchos escenarios y herramientas comunes, entre los que se incluyen:
  • Administración de certificados
  • Visor de eventos
  • Explorador de archivos
  • Configuración de red
  • Conexión del Escritorio remoto
  • Windows PowerShell
  • Administración del firewall
  • Edición del registro
  • Habilitación y deshabilitación de características
  • Administración de dispositivos y aplicaciones instalados
  • Administración de tareas programadas
  • Configuración de usuarios y grupos locales
  • Administración de servicios de Windows
  • Administración del almacenamiento
  • Administración de Windows Update

Para obtener una lista completa de las capacidades de administración de servidores, consulte Administración de servidores con Windows Admin Center.

• Windows Admin Center proporciona compatibilidad para administrar clústeres de conmutación por error y recursos de clúster, administrar máquinas virtuales de Hyper-V y conmutadores virtuales, y administrar réplicas de almacenamiento de Windows Server. Además de usar Windows Admin Center para administrar y supervisar una infraestructura hiperconvergida existente, también se puede usar para implementar una nueva infraestructura hiperconvergida. Mediante el uso de un flujo de trabajo de varias fases, Windows Admin Center le guía por la instalación de características, la configuración de redes, la creación de un clúster y la implementación de Espacios de almacenamiento directo y redes definidas por software. Para obtener más información, consulte Administración de la infraestructura hiperconvergida con Windows Admin Center.

  Nota

  Puede usar Windows Admin Center para administrar Microsoft Hyper-V Server 2016 o Microsoft Hyper-V Server 2019 (el producto de virtualización de Microsoft gratuito).

• La herramienta de servicios híbridos de Azure de Windows Admin Center proporciona una ubicación centralizada para todos los servicios integrados de Azure. Puede usar los servicios híbridos de Azure para proteger las máquinas virtuales en Azure y en el entorno local con copias de seguridad basadas en la nube y la recuperación ante desastres. También puede ampliar la capacidad local con almacenamiento y proceso en Azure, así como simplificar la conectividad de red a Azure. Con la ayuda de los servicios de administración inteligentes en la nube de Azure, puede centralizar la supervisión, la gobernanza, la configuración y la seguridad en las aplicaciones, la red y la infraestructura.

DevOps

• Windows Admin Center se creó para la extensibilidad para que Microsoft y otros desarrolladores puedan crear herramientas y soluciones más allá de las ofertas actuales. Windows Admin Center proporciona una plataforma extensible en la que cada tipo de conexión y herramienta es una extensión que puede instalar, desinstalar y actualizar de forma individual. Microsoft ofrece un kit de desarrollo de software (SDK) que permite a los desarrolladores crear sus propias herramientas para Windows Admin Center.
• Puede compilar extensiones de Windows Admin Center mediante tecnologías web modernas, como HTML5, CSS, Angular, TypeScript y jQuery, para administrar servidores de destino a través de Windows PowerShell o Instrumental de administración de Windows. También puede administrar dispositivos, servicios y servidores de destino a través de protocolos diferentes, como la Transferencia de estado representacional (REST) mediante la compilación de un complemento de puerta de enlace de Windows Admin Center.

  Sugerencia

  Para obtener más información acerca del uso del SDK para desarrollar extensiones para Windows Admin Center, consulte Extensiones para Windows Admin Center.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Mike Martin | Arquitecto sénior de soluciones en la nube

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

Más información sobre Azure Automation:

• Instalar Windows Admin Center
• Versión preliminar: Uso de Windows Admin Center en Azure Portal para administrar una VM de Windows Server
• Implementación manual de Windows Admin Center en Azure para administrar varios servidores
• Conexión de máquinas híbridas a Azure desde Windows Admin Center

Recursos relacionados

• Conexión de servidores independientes mediante el adaptador de red de Azure
• Uso de clústeres extendidos de Azure Stack HCI para la recuperación ante desastres
• Administración de configuraciones para servidores habilitados para Azure Arc
• Uso de la interconexión sin conmutador de Azure Stack HCI y el cuórum ligero para oficinas remotas o sucursales