AZ-104
Deep Dive
IaaS de cómputo en Azure. El AZ-104 evalúa creación y configuración de VMs, tipos de disco, networking, extensiones, estados de VM y estrategias de acceso seguro.
Contenido
Una Azure Virtual Machine es un recurso IaaS que emula hardware físico — CPU, memoria, red y almacenamiento. Tú gestionas el SO, middleware y aplicaciones; Azure gestiona el host físico subyacente.
Las VMs residen en una región y una zona de disponibilidad (o fault domain). Pueden unirse a una VNet, y se accede a ellas vía SSH (Linux) o RDP (Windows).
Componentes de una VM
SLA de disponibilidad
Responsabilidad compartida (IaaS)
El nombre del tamaño codifica la familia, subfamilia, número de vCPUs y features adicionales. Ej: Standard_D4s_v5 = familia D, 4 vCPUs, s=Premium SSD, versión 5.
| Familia | Optimizada para | Ejemplos de tamaño | Casos de uso |
|---|---|---|---|
| B (Burstable) | Balance CPU/RAM con créditos de CPU | B2s, B4ms | Dev/test, apps con bajo uso promedio pero picos ocasionales |
| D (General Purpose) | Balance CPU:RAM = 1:4 | D4s_v5, D8s_v5 | Apps web, bases de datos medianas, enterprise apps. El más versátil. |
| E (Memory Optimized) | Alto ratio RAM (1 vCPU : 8+ GB RAM) | E4s_v5, E16s_v5 | SQL Server en memoria, SAP HANA, cachés grandes |
| F (Compute Optimized) | Alto ratio CPU (1 vCPU : 2 GB RAM) | F4s_v2, F8s_v2 | Servidores web de alto rendimiento, game servers, procesamiento por lotes |
| N (GPU) | GPU (NVIDIA Tesla/A100) | NC6, NV6, ND40rs_v2 | ML/DL training, rendering 3D, simulaciones científicas |
| L (Storage Optimized) | Alto throughput de disco local (NVMe) | L8s_v3, L32s_v3 | Big data, bases de datos NoSQL, Elasticsearch |
| H (HPC) | CPU de alta frecuencia + InfiniBand | H16r, HB120rs_v3 | Simulaciones CFD, modelado financiero, HPC workloads |
Sufijos importantes en el nombre
Límites por suscripción
• Por defecto: 20 vCores por región por suscripción
• Límite por familia también (ej: 20 vCores de familia D)
• Solicitar aumento: Portal → Subscriptions → Usage + quotas → Request increase
• Algunas familias (GPU, HPC) tienen cuota 0 por defecto — requieren solicitud explícita
| Tipo de disco | Latencia | IOPS máx | Throughput máx | Uso recomendado |
|---|---|---|---|---|
| Ultra Disk | <1 ms | Hasta 160.000 | Hasta 2.000 MB/s | SAP HANA, SQL Server tier 1, Oracle en producción |
| Premium SSD v2 | <1 ms | Hasta 80.000 | Hasta 1.200 MB/s | DBs tier 1, apps que necesitan alta consistencia de latencia |
| Premium SSD (v1) | <10 ms | Hasta 20.000 | Hasta 900 MB/s | Producción general: SQL, SharePoint, apps críticas |
| Standard SSD | <10 ms | Hasta 6.000 | Hasta 750 MB/s | Servidores web, apps ligeras, entornos dev/test |
| Standard HDD | 10+ ms | Hasta 2.000 | Hasta 500 MB/s | Archivos, backups, datos raramente accedidos |
Tipos de disco por rol en la VM
OS Disk
Contiene el SO. Se crea automáticamente al crear la VM. Por defecto: Premium SSD en VMs "s". Tamaño típico 30-128 GB. Se puede ampliar pero no reducir.
Data Disk
Discos adicionales para datos de aplicaciones. Hasta 32 data disks según el tamaño de la VM. Se pueden adjuntar/desadjuntar en caliente (hot-swap).
Temp Disk
Disco efímero local en el host físico. Muy rápido. Se pierde al detener/reasignar la VM. NO usar para datos persistentes. Linux: /dev/sdb → /mnt. Windows: D:\.
Managed Disks (recomendados)
• Azure gestiona la Storage Account del disco — tú solo ves el disco
• Snapshots y backup nativos sin configurar Storage Accounts
• Soporte para Availability Sets/Zones (distribución en fault domains)
• Disk Encryption: Server-side encryption (AES-256, por defecto), customer-managed keys (CMK) o Azure Disk Encryption (BitLocker/DM-Crypt dentro del OS)
Disk Caching — afecta rendimiento
None: sin caché. Recomendado para data disks de escritura intensiva (evita inconsistencias).
ReadOnly: caché de lectura en SSD del host. Para data disks mayormente de lectura.
ReadWrite: caché de lectura y escritura. Por defecto en OS disk. No usar en data disks de DB.
Componentes de red de una VM
NIC (Network Interface Card)
Conecta la VM a una subred. Tiene IP privada (estática o dinámica). Puede tener múltiples NICs (según el tamaño de la VM) para separar tráfico.
Public IP (opcional)
IP pública asignada a la NIC. Dynamic (cambia al detener/iniciar la VM) o Static (no cambia). Importante: las IPs dinámicas se liberan al deallocate, las estáticas siempre se cobran.
NSG (Network Security Group)
Firewall stateful a nivel de NIC o subred. Reglas de entrada/salida. Prioridad 100-4096 (menor número = mayor prioridad). Reglas predeterminadas permiten VNet y Azure LB, deniegan internet.
Puertos comunes y acceso
Buenas prácticas de seguridad de red
Las extensions son pequeños agentes que se instalan en la VM para configuración, monitoreo o integración con otros servicios Azure. Se ejecutan dentro del contexto de la VM usando el VM Agent.
Custom Script Extension
Ejecuta scripts (PowerShell o bash) dentro de la VM después de provisionar. Ideal para configuración inicial: instalar software, configurar servicios.
Azure Monitor Agent (AMA)
Recopila métricas y logs de la VM y los envía a Azure Monitor / Log Analytics. Reemplaza a MMA (Microsoft Monitoring Agent) y Diagnostics Extension.
Desired State Configuration (DSC)
Aplica y mantiene configuración declarativa en VMs Windows. Define el estado deseado (qué software, servicios, registry keys) y DSC lo aplica y corrige deriva.
Azure AD Login / SSH
Permite login en la VM usando credenciales de Entra ID en lugar de cuentas locales. Elimina gestión de passwords/keys locales.
| Estado | Descripción | ¿Se cobra cómputo? | ¿Se cobra disco? | ¿IP pública dinámica se libera? |
|---|---|---|---|---|
| Running | VM encendida y ejecutando el OS | Sí | Sí | No |
| Stopped (OS) | VM apagada desde dentro del OS (shutdown desde dentro) | SÍ — sigue en el host | Sí | No |
| Stopped (Deallocated) | VM detenida y liberada del host físico (Stop desde Azure) | NO | Sí | Sí — se libera |
| Starting | Transición de deallocated a running | Empieza a cobrar | Sí | N/A |
| Deallocating | Proceso de liberación del host | Aún se cobra | Sí | N/A |
Trampa clásica del examen
Detener una VM desde dentro del OS (shutdown, poweroff) la deja en estado Stopped (NOT deallocated) — sigue en el host físico y SIGUE COBRANDO cómputo. Para parar el cobro de cómputo debes hacer Stop desde Azure Portal/CLI/PowerShell que la pone en Deallocated.
Spot VMs (Azure Spot)
Usan capacidad no utilizada de Azure a precios reducidos (hasta 90% menos). Azure puede reclamar la VM con 30 segundos de aviso cuando necesita la capacidad.
• Eviction policy: Deallocate (la VM se detiene, puedes reiniciar cuando haya capacidad) o Delete (se elimina)
• Max price: precio máximo que pagas por hora. Si el precio spot supera tu límite, la VM se expulsa.
• Sin SLA de disponibilidad
• Ideal para: procesamiento por lotes, renders, CI/CD, entornos no críticos
• NO usar para: apps de producción, DBs, cargas que requieran uptime
Reserved Instances (Reserved VM Instances)
Compromisos de 1 o 3 años a cambio de descuentos de hasta 72% sobre pay-as-you-go. No reservas una VM específica — reservas la capacidad y el descuento aplica automáticamente.
• Flexibility: la reserva aplica a cualquier VM del mismo grupo de tamaño en la región
• Scope: suscripción individual, grupo de recursos, o Shared (compartido entre suscripciones)
• Se puede cancelar con penalización o intercambiar por otra reserva
• También disponible para SQL, Storage, Cosmos DB y más
Azure Hybrid Benefit
Si tienes licencias de Windows Server o SQL Server con Software Assurance, puedes aplicarlas a VMs Azure y ahorrar hasta 49% sobre el costo de licencia. Combinado con Reserved Instances: hasta 80% de descuento total.
Pay-as-you-go
Precio base
Reserved (1 año)
~40% descuento
Reserved + Hybrid
~80% descuento
Qué es Azure Bastion
Servicio PaaS que provee SSH/RDP seguro a VMs directamente desde el Azure Portal a través del navegador, sin necesidad de IP pública en la VM ni de abrir puertos 22/3389 en el NSG.
• Se despliega en una subred especial llamada AzureBastionSubnet (mínimo /26)
• La VM NO necesita IP pública ni NSG con puertos abiertos
• El tráfico SSH/RDP viaja cifrado sobre HTTPS (443) por el backbone de Azure
• Integración nativa con Entra ID si tienes la extensión AAD Login
SKUs de Azure Bastion
Developer
Gratis. Comparte instancia del servicio. Sin IP pública, sin escala. Solo 1 conexión simultánea por VNet. Para dev/test.
Basic
IP pública dedicada. Múltiples conexiones simultáneas. Sin file transfer, sin custom ports.
Standard
Todo lo de Basic + file transfer, custom ports, native client (no solo browser), IP-based connection, escalado automático de instancias.
Premium
Todo lo de Standard + session recording, private-only deployment (sin IP pública en Bastion). Para entornos de alta seguridad.
Run Command
Ejecuta scripts dentro de la VM a través del VM Agent sin necesidad de conectividad de red (SSH/RDP). Útil para emergencias cuando la VM no responde por red.
Serial Console
Acceso al puerto serie de la VM — similar a conectar un teclado físico a un servidor. Funciona incluso si el OS no arranca o el networking está roto.
Azure Backup (RSV)
Backup completo gestionado. Políticas de retención configurables. Recovery points en vault. Soporta restore a nueva VM, restore de discos o ILR (file recovery).
Cuándo usar
Producción. Necesitas retención a largo plazo y restore documentado.
Disk Snapshots (Managed)
Snapshot incremental del disco en un punto del tiempo. Se almacena en Azure Storage. Rápido de crear. No gestionado (no hay política automática).
Cuándo usar
Antes de cambios de configuración, actualizaciones de OS o scripts de mantenimiento.
Azure Site Recovery (ASR)
Replica VMs a otra región continuamente. Permite failover a la réplica en caso de desastre de región. No es backup — es replicación para DR.
Cuándo usar
Disaster Recovery — RTO de minutos en caso de caída de región completa.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Un administrador apaga una VM de Azure usando el comando 'shutdown' dentro del sistema operativo Windows. ¿Cuál es el impacto en facturación?