Grupos de recursos de Microsoft Azure: introducción y buenas prácticas

Un grupo de recursos de Azure es un servicio de Microsoft Azure que requiere la agrupación de todas las máquinas virtuales (VM) de Azure. En esta publicación, analizaremos qué significa realmente esta estructura de grupos y cómo puede utilizarla para mejorar el gobierno y gestionar mejor los recursos de Azure para su infraestructura.

En primer lugar, una breve descripción general de cómo puede gestionar y aprovisionar grupos de recursos a través de Azure Resource Manager, con el que probablemente esté familiarizado, ya que es la capa de gestión de sus recursos. Con Azure Resource Manager, puede gestionar su infraestructura a través de plantillas declarativas en lugar de scripts, gestión de etiquetado, plantillas de implementación, asignación de dependencias, control de acceso simplificado basado en roles y gestión de costes aclarada.

Puede organizar grupos de recursos para proteger, gestionar y hacer un seguimiento de los costes relacionados con sus flujos de trabajo y aplicaciones.

Los grupos de recursos de Azure son colecciones lógicas de máquinas virtuales, cuentas de almacenamiento, redes virtuales, aplicaciones web, bases de datos y servidores de bases de datos. Puede utilizarlos para agrupar los recursos relacionados de una aplicación y dividirlos en grupos de producción y no producción, o cualquier otra estructura organizativa que prefiera.

El modelo de gestión de grupos de recursos de Azure proporciona cuatro niveles, o “ámbitos” de gestión, para organizar sus recursos:

• Grupos de gestión: estos grupos son contenedores para gestionar el acceso, la política y el cumplimiento de múltiples suscripciones. Todas las suscripciones de un grupo de administración heredan automáticamente las condiciones aplicadas al grupo de administración. Se utilizan a menudo para agrupar las suscripciones por departamento interno o región geográfica.
• Suscripciones: una suscripción asocia las cuentas de usuario y los recursos que crearon esas cuentas de usuario. Cada suscripción tiene límites o cuotas en el número de recursos que puede crear y utilizar. Las organizaciones pueden utilizar las suscripciones para gestionar los costes y los recursos que crean los usuarios, los equipos o los proyectos. Por lo general, una suscripción equivale a una aplicación. 
• Grupos de recursos: un grupo de recursos es un contenedor lógico en el que se implementan y gestionan recursos de Azure como aplicaciones web, bases de datos y cuentas de almacenamiento.
• Recursos: los recursos son instancias de servicios que se crean, como máquinas virtuales, almacenamiento o SQL Database.

Un factor importante a tener en cuenta a la hora de gestionar estos ámbitos es que hay una diferencia entre una suscripción a Azure y un grupo de gestión. Un grupo de gestión no puede incluir un recurso de Azure. Solo puede incluir otros grupos de administración o suscripciones. Los grupos de gestión de Azure proporcionan un nivel de organización superior a las suscripciones de Azure; por ejemplo, si una suscripción representa una aplicación, un grupo de gestión de Azure puede contener todas las aplicaciones gestionadas por ese departamento. Además, no existe una estructura para un grupo de recursos “anidado” en Azure: para “anidar” grupos de permisos, deberá usar una combinación de permisos en los diferentes niveles enumerados anteriormente. Asegúrese también de diferenciar el concepto de grupo de recursos de Azure de un “conjunto de disponibilidad de Azure”. Un conjunto de disponibilidad en Azure es una agrupación lógica de máquinas virtuales para informar a Azure de cómo se crea la aplicación para proteger la disponibilidad de la aplicación.

Hay varias formas de crear un grupo de recursos de Azure:

• El portal Azure
• Scripts de Azure PowerShell
• La CLI de Azure
• Una plantilla ARM

Estas son algunas buenas prácticas para usar el grupo de recursos de Azure:

• Los recursos de un grupo deben tener el mismo ciclo de vida. Por ejemplo, si una aplicación requiere diferentes recursos que deben actualizarse juntos, como tener una base de datos SQL, una aplicación web o una aplicación móvil, tiene sentido agrupar estos recursos en el mismo grupo de recursos. Sin embargo, para DevTest, staging o producción, es importante utilizar diferentes grupos de recursos o un nuevo grupo de recursos, ya que los recursos de estos grupos tienen ciclos de vida diferentes. 
• Los recursos se pueden agregar o eliminar de un grupo de recursos de Azure. Sin embargo, cada uno de sus recursos debe pertenecer a un grupo de recursos de Azure, por lo que si desea mover recursos de un grupo de recursos a otro, debe eliminarlos del grupo original y luego agregarlos al nuevo.
• No todos los recursos se pueden mover  a diferentes grupos de recursos.
• Los recursos que incluya en un grupo de recursos pueden estar ubicados en distintas regiones de Azure, incluso en regiones diferentes a la del propio grupo. Sin embargo, a veces, es una buena práctica mantener todos los recursos de un grupo de recursos en la misma región para reducir la latencia o la transferencia de datos entre regiones. En cualquier caso, el grupo necesita una ubicación para especificar dónde se almacenarán los metadatos, lo que es necesario para algunas políticas de cumplimiento. 
• Conceda acceso a grupos de recursos. Debería utilizar los grupos de recursos para controlar el acceso a sus recursos. Hablaremos más sobre el control de acceso más adelante.
• Cuando se elimina un grupo de recursos, se eliminan todos los recursos del grupo. 
• Puede implementar hasta 800 instancias de un tipo de recurso en cada grupo de recursos, con algunas excepciones .

¿Listo para automatizar la optimización de grupos de recursos de Azure?

Los grupos de recursos de Azure son una forma de operacionalizar el control de acceso basado en roles (RBAC). Normalmente, querrá conceder acceso a los usuarios a nivel de grupo de recursos, ya que los grupos simplifican la gestión y proporcionan una mayor visibilidad.

Una de las buenas prácticas para la nube que recomendamos a los CIO es dar a su organización una estructura que respalde su estrategia. La forma en la que organiza sus recursos de Azure sigue su estructura organizativa, lo que facilita seguir el principio de privilegios mínimos y solo conceder acceso a los permisos mínimos necesarios, lo que puede hacer a nivel de grupo de recursos, en lugar de en el grupo de gestión o nivel de suscripción. Por ejemplo, una política relacionada con la gestión de claves de cifrado se puede aplicar a nivel de grupo de gestión, mientras que una política de suspensión programada se puede aplicar a nivel de grupo de recursos.

El uso eficaz del etiquetado le permite identificar recursos con fines técnicos, de automatización, de facturación y de seguridad. Las etiquetas pueden extenderse más allá de los grupos de recursos, lo que le permite utilizarlas para asociar grupos y recursos que pertenezcan al mismo proyecto, aplicación o servicio. Asegúrese de aplicar las buenas prácticas de etiquetado, como exigir que se aplique un conjunto estándar de etiquetas antes de implementar un recurso, para asegurarse de que está optimizando sus recursos.

Hay varias formas comunes de organizar suscripciones y grupos de recursos. El primer modelo, desafortunadamente común, es el "caos". Si esta palabra describe su entorno, no se rinda. Hemos visto a muchas organizaciones pasar por estas dificultades iniciales y poner en orden sus entornos para que funcionen correctamente.

Luego está la organización por aplicación. Por ejemplo, una aplicación de nóminas o facturación se alinearía con una única suscripción a la nube de Azure, con grupos de recursos para cada entorno (desarrollo, pruebas, pruebas, etc.) acumulados debajo de esa suscripción.

Con frecuencia vemos que existe una estructura organizativa por entorno. En este caso, hay una única suscripción para toda la producción, una para el desarrollo y otra para las pruebas con grupos de recursos que se alinean con cada aplicación debajo de ella. La forma más madura de organizarse es por unidad de negocio o unidad de servicio, el modelo que otorga la propiedad de los recursos a las funciones corporativas. Por ejemplo, el departamento de finanzas tendría una suscripción y el departamento de marketing otra. Debajo de esas suscripciones estarían los grupos de recursos correspondientes a cada aplicación.

Los grupos de recursos de Azure y otras estructuras nativas de los proveedores de servicios en la nube permiten organizar y gobernar los recursos de la nube de forma eficaz. Después de crear la base y utilizar el grupo de recursos de Azure para proporcionarle la segmentación y la alineación necesarias con su línea de negocio y las aplicaciones que ejecutan, el siguiente paso es empezar a adaptar eficazmente sus recursos a la demanda de las aplicaciones. De este modo, podrá maximizar el rendimiento de las aplicaciones y, al mismo tiempo, optimizar los costes de sus recursos.

Garantizar el rendimiento de las aplicaciones y optimizar la nube es una tarea que supera las capacidades humanas, por lo que en IBM nos hemos propuesto como misión gestionar el rendimiento, el cumplimiento normativo y el coste de cualquier aplicación, en cualquier nube y a cualquier escala.

El software de Turbonomic le permite visualizar más fácilmente la relación padre-hijo entre las suscripciones y los grupos de recursos. Esta capacidad ayuda a trazar visualmente el marco que ha implementado su organización, lo que le permite ver su infraestructura en los contextos de aplicación que ya ha creado. El software Turbonomic descubrirá automáticamente todas las suscripciones de Azure asociadas, sus grupos de recursos y los recursos dentro de cada grupo, incluidas las máquinas virtuales de Azure, los discos gestionados de Azure, los SQL Server de Azure, así como cualquier caso reservado (RI), ya sea compartido o con ámbito para una suscripción o un grupo de recursos. A continuación, el software Turbonomic analizará la utilización de cada recurso y comenzará a generar acciones de optimización. Esta vista muestra un desglose de una sola suscripción de Azure y varios grupos de recursos de Azure incluidos, las acciones de optimización pendientes por grupo de recursos y los posibles ahorros derivados de las acciones.

Además, el software de Turbonomic incluye un potente motor de modelado de optimización diseñado para permitir a los clientes modelar diferentes escenarios frente al entorno de la nube en un entorno aislado seguro. Por ejemplo, simule el impacto de la utilización del inventario de instancias de máquina virtual reservadas de Azure después de redimensionar el tamaño de las cargas de trabajo en un grupo de recursos frente a no redimensionar el tamaño de las cargas de trabajo.