Cerrar
MENU
mobile-logo
InicioAzureAzure AD: Gobernanza de Office 365 y Recursos de Azure (Parte 4)
Azure

Azure AD: Gobernanza de Office 365 y Recursos de Azure (Parte 4)

0 Comentarios
0

Siguiendo con la serie de artículos de Gobernanza, hoy quería comentar algo que considero fundamental que es el etiquetado de recursos en Azure. El aplicar una etiqueta a un recurso nos permite mantenerlos organizados, puesto que a posteriori podemos realizar búsquedas os filtrados de los recursos que tienen una misma etiqueta. Esto, claramente tiene un impacto importante a la hora de la facturación, puesto que podemos conocer con exactitud el coste de nuestros servicios.

Cada etiqueta consta de un nombre y un valor, para ponernos en situación primero vamos a conocer los límites de las etiquetas:

  • No todos los tipos de recursos admiten etiquetas. Aquí os dejo un enlace para que podáis comprobar que tipo de recursos admiten o no etiquetado: Tag support for Azure resources
  • Cada recurso o grupo de recursos puede tener un máximo de cincuenta pares de nombre/valor de etiqueta. Si necesita aplicar más etiquetas que el número máximo permitido, use una cadena JSON para el valor de etiqueta. La cadena JSON puede contener muchos valores que se aplican a un sol nombre de etiqueta. Un grupo de recursos puede contener muchos recursos con cincuenta pares de clave/valor de etiqueta cada uno.
  • El nombre de etiqueta está limitado a 512 caracteres y el valor de la etiqueta, a 256. En las cuentas de almacenamiento, el nombre de etiqueta se limita a 128 caracteres y el valor de la etiqueta, a 256.
  • Las VM generalizadas no admiten etiquetas.
  • Los recursos de un grupo de recursos no heredan las etiquetas aplicadas a este.
  • No se pueden aplicar etiquetas a recursos clásicos como Cloud Services.
  • Los nombres de etiqueta no pueden contener estos caracteres: <, >, %, &, \, ?, /

Etiquetar un recurso es muy sencillo, os voy a mostrar como etiquetar servidores virtuales. Si estamos en la sección de Máquinas virtuales dentro del Portal de Azure, podemos seleccionar varias máquinas virtuales y luego pulsar en Asignar etiquetas:

Ahora definimos un nombre para la etiqueta y otro para su valor, en mi caso le he puesto dos etiquetas como se aprecia en la siguiente captura:

  • Infraestructura: quiero conocer todos los recursos que voy a utilizar en infraestructura, en este caso yo voy a aplicarle esta etiqueta a los controladores de dominio (valor: Identity)
  • Ambiente: quiero especificar los diferentes ambientes que tiene mi empresa: producción, testing, dev, etc..)

Una vez que tengamos las etiquetas definidas, pulsamos en Guardar

Ahora ya tenemos las etiquetas asignadas a los recursos seleccionados (sino veis la columna etiquetas tenéis que pulsar en Editar columnas y habilitarla)

Los Los valores de las etiquetas son algo que vosotros debéis aplicar en base a vuestros criterios de filtrado posterior a su aplicación y  me explico. Si queremos conocer el coste de todos los recursos de SAP (Servidores, Balanceadores, etc..), tendré que crear una serie de etiquetas que luego me puedan devolver los diferentes recursos de forma organizada. En este ejemplo, yo quiero conocer lo que me cuestan los servidores de SAP separado por ambientes y servicios, además, quiero conocer por tipo de servicio que coste tienen. Con esto, podríamos aplicar las diferentes etiquetas:

  • Infraestructura -> Red (todos los recursos de red: balanceadores, reverse-proxy, etc…)
  • Infraestructura –> SAPFrontEnd (servidores de SAP con el rol de Front-End)
  • Infraestructura –> SAPBacken (servidores de SAP con el rol de BackEnd)
  • Ambiente –> Producción (entorno de producción de SAP)

Con esto, ya podríamos filtrar por cada recurso y a nivel de facturación conocer por separado cada coste. Esto es muy útil, puesto que, si realizamos facturación por centro de coste o por departamentos u otro método de re-facturación, nos vendrá muy conocer con exactitud del coste de cada conjunto de recursos implicados.

Aquí os muestro una captura de pantalla con el coste de los recursos etiquetados anteriormente (servidores virtuales), veremos lo sencillos que ahora es conocer el coste de dichos recursos etiquetados previamente. La sección de facturación la tenemos desde dentro de las opciones de la suscripción, por lo que, debemos primeramente acceder a la suscripción y a la sección de Análisis de Costos. Una vez dentro, tenemos el coste actual filtrado por los últimos 30 días:

Si ahora queremos conocer el coste por etiquetas debemos pulsar en agregar filtro.

Ahora debemos seleccionar alguno de los filtros que tenemos disponibles, en nuestro caso vamos a elegir Etiqueta:

Ahora nos mostrará los valores de las etiquetas que tengamos configurados, en esta suscripción que os estoy mostrando es muy simple, por lo que tengo dos etiquetas muy sencillas:

Una vez elegida la etiqueta, debemos elegir alguno de los valores de dicha etiqueta, en mi caso por IP Públicas:

Una vez aplicado el filtro, ya podemos ver el coste de todos los recursos que tengan dicha etiqueta (y las fechas por la que hemos realizado el filtro)

Como veis es muy sencillo, únicamente aplicamos etiquetas a los recursos y ya podemos realizar diferente filtrados para conocer por ejemplo su coste.

Nota: El coste de los recursos por etiquetas no tiene carácter retroactivo, por lo que, sólo veréis el coste de los recursos con etiqueta desde la fecha en la que habéis aplicado las etiquetas.

Esta captura nos muestra como habiendo establecido las etiquetas hoy mismo, no podemos filtrar por ellas hasta si la fecha de filtrado es de hoy o días anteriores:

Otra utilidad de las etiquetas es por ejemplo cuando queremos buscar recursos, ahora podemos filtrar por su etiqueta:

Ahora elegimos alguno de los valores que tenemos para la etiqueta seleccionada:

Y vemos que ya tenemos un listado de todos los recursos que se corresponden con el filtro definido:

Si os habéis fijado, yo sólo había puesto las etiquetas a los servidores pero no al resto de recursos (discos, grupos de seguridad, interfaces de red, etc…), pues esto es porque he aplicado una directiva que se la aplica en base a algunos criterios que he establecido previamente. Pues bien, ahora “empieza” el artículo de gobernanza de Azure parte 4!!

Hasta el momento hemos visto como aplicar y que usuarios tiene las etiquetas, pero claro, en entornos muy grandes debemos mantener una coherencia y gorbenanza a todos los niveles. Por lo que, ahora veremos como agregar/reemplazar etiquetas en nuestros recursos de forma automática y obligatoria. Lo primero, mostraros una pequeña infografía para este artículo:

Siguiendo con el inicio del artículo, os recuerdo que habíamos aplicado dos etiquetas a 3 controladores de dominio:

Pero esto no hace que le asigne  las etiquetas a todos los recursos que necesita un servidor virtual, aquí os muestro como el resto de recursos del servidor no están etiquetados:

Y claro, si nosotros queremos conoce el coste real de un servicio, debemos tener todos lo recursos que lo componente. En el caso de un servidor, pues como vemos, además de la propia máquina virtual necesitamos etiquetar el grupo de seguridad, interface de red y disco duro. Pues a continuación vamos a ver como podemos automatizare este proceso, para ello utilizamos Azure Policy para establecer una directiva que reemplace y asigne las etiquetas correspondientes a todos los recursos ubicados en un grupo de recursos específico.

Siguiendo con la misma idea de gobierno de Azure, nos vamos a la gestión de los grupos de administración

Accedemos al grupo de administración donde queremos asignar la directiva de etiquetado

Nos vamos a la sección Directivas

Ahora pulsamos en Asignar directiva

En mi caso quiero definir a que suscripción le voy a aplicar esta directiva, por lo que, pulsamos en los puntos suspensivos en la sección de ámbito:

Elegiré la suscripción sobre la que quiero aplicar la directiva

Y como quiero seguir filtrado para este artículo, porque sólo quiero que se apliquen a los grupos de recursos donde tengo los controladores de dominio (RG-XXX-XX-MV-Identity), pues realizaremos las exclusiones necesarias de la siguiente forma:

Aquí quitaremos a todos los grupos de recursos que no sean los de Identity (donde están los controladores de dominio)

Ahora pulsaremos en los puntos suspensivos de la sección de Definición de directiva

Yo iré directamente a elegir agregar o reemplazar etiquetas, pero antes poneros en situación. Si buscáis por etique  veréis que tenéis un montón de posibilidades con respecto al etiquetado de recursos y grupos de recursos:

Como os comentaba, yo buscaré por reempla y elegiré la opción de Agregar o reemplazar una etiqueta en los recursos

Recomendable especificar una descripción de lo que hará esta directiva, sino cuando tengamos decenas de directivas será muy complicado diferenciarlas. Una vez establecidos los comentarios oportunos, pulsamos en Siguiente.

Ahora definiremos el nombre de la etiqueta y su valor, una vez realizado pulsamos en Siguiente

Establecemos la región de la identidad administrada a crear y pulsamos en en siguiente:

Por último, revisamos que todo esté correcto y si es así, pulsamos en Crear:  

Como yo tengo filtrado las suscripciones a mostrar, no puedo ver la directiva recientemente creada, de ahí que la tenga que mostrar. Para ello pulsaremos en los puntos suspensivos del ámbito:

Elegimos la suscripción a mostrar y pulsamos en Seleccionar

Como siempre, debemos esperar unos 15 minutos hasta que tenga efecto (paciencia)

Si os encontréis este estado en vuestra directiva, simplemente debéis esperar unos minutos a que la cuenta de ejecución creada anteriormente en la asignación de directiva tenga los permisos necesarios (ampliar info aquí: Permisos de RBAC en Azure Policy)

Una vez que se haya ejecutado, veremos los resultados y podemos acceder a la directiva y ampliar los detalles correspondientes: 

Pues como esperábamos, nos indica que “todos los recursos” ubicados en los grupos de recursos de los controladores de dominio (Identity) no tienen la etiqueta que queremos aplicar. Vemos que tres recursos si lo cumplen, recordad que son los tres (de 4) servidores a los cuales si le habíamos aplicado etiquetas

Pues bien, ahora debemos aplicar una tarea de corrección, porque queremos que a todos los recursos dentro de los grupos de recursos filtrados se les aplique (agregue o reemplace) las etiquetas definidas en la directiva. Para ello, debemos pulsar en el botón

Ahora pulsamos en Corregir y sobre todos los recursos a los cuales no le habíamos asignado previamente una etiqueta se la asignará:

Ahora ya tenemos la tarea de corrección en marcha:

En cuestión de minutos veremos que se habrá ejecutado y aplicado la etiqueta definida en la directiva:

Desde la sección de Corrección podemos ver el estado de la tarea:

E igualmente desde la sección de información general:

Accediendo ahora a la directiva, vemos el % de cumplimiento ahora mismo:

Si ahora volvemos a revisar el listado de servidores, veremos que todos los controladores de dominio tienen la etiqueta de Infraestructura asignada:

Y todos los recursos que componente cada servidor!!

Además, ahora, para cualquier recursos a crear dentro de cada grupo de recursos con la directiva asignada, automáticamente la asignará la etiqueta definida en la directiva:

Como vemos, la conjunción de Etiquetas + Azure Policy nos permitirá gobernar de forma más eficiente nuestros recursos en Azure.

Espero que os sea de utilidad y, como siempre, ahora os toca probarlo a vosotros!!!

ETIQUETAS:
COMPARTE EN:
Azure Bastion: Conex
Azure AD: Gobernanza

Sbuitrago@asirsl.com

ARTÍCULOS RELACIONADOS
  1. Microsoft Azure: Instalación y Configuración de un Firewall Fortinet (Parte Final)
  2. Microsoft Azure: Instalación y Configuración de un Firewall Fortinet (Parte II)
  3. Infraestructura 100% Cloud con M365 + Azure
  4. Azure Virtual Desktop: SSO and Passwordless Authentication (+FIDO2)
  5. Infraestructura en Microsoft Azure y Servicios de Office 365 [Parte II]: tips para tu firewall
  6. Infraestructura en Microsoft Azure y Servicios de Office 365 [Parte I]
  7. Azure Virtual Desktop: Aumentando la Seguridad con Acceso Condicional + MFA + Intune
  8. Microsoft Teams: Quitar usuarios deshabilitados en AzureAD de todos tus Teams
  9. Microsoft Azure: cambiar el tamaño de nuestras máquinas virtuales vía PowerShell
  10. Microsoft Teams: Migrar Usuarios a Teams desde SkypefB On-Premises y Configurar SIP Trunk vía SBC
NO HAY COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This