Grupos de recursos de Microsoft Azure: introducción y mejores prácticas

Un grupo de recursos de Azure es un servicio de Microsoft Azure que requiere agrupación para todas sus máquinas virtuales (VM) de Azure. En esta publicación, veremos qué significa realmente esta estructura de grupo y cómo puede usarla para una mejor gobernanza y para administrar mejor los recursos de Azure para su infraestructura.

Primero, una breve descripción general de cómo puede administrar y aprovisionar grupos de recursos a través de Azure Resource Manager, con el que probablemente esté familiarizado, ya que es la capa de administración de sus recursos. Con Azure Resource Manager, puede gestionar su infraestructura a través de plantillas declarativas en lugar de scripts, gestión de etiquetado, plantillas de despliegue, asignación de dependencias, control de acceso simplificado basado en roles y gestión de costos aclarada.

Puede organizar grupos de recursos para proteger, gestionar y rastrear los costos relacionados con sus flujos de trabajo y aplicaciones.

Los grupos de recursos de Azure son colecciones lógicas de VM, cuentas de almacenamiento, redes virtuales, aplicaciones web, bases de datos y servidores de bases de datos. Puede usarlos para agrupar recursos relacionados para una aplicación y dividirlos en grupos para producción y no producción, o cualquier otra estructura organizativa que prefiera.

El modelo de gestión de grupos de recursos de Azure proporciona cuatro niveles, o “ámbitos” de gestión, para organizar sus recursos:

• Grupos de administración: estos grupos son contenedores para administrar el acceso, la política y el cumplimiento de múltiples suscripciones. Todas las suscripciones de un grupo de administración heredan automáticamente las condiciones aplicadas al grupo de administración. A menudo se utilizan para agrupar suscripciones por departamento interno o región geográfica.
• Suscripciones: una suscripción asocia cuentas de usuario y los recursos creados por esas cuentas de usuario. Cada suscripción tiene límites o cuotas en la cantidad de recursos que puede crear y usar. Las organizaciones pueden usar suscripciones para administrar los costos y los recursos creados por usuarios, equipos o proyectos. Por lo general, una suscripción equivale a una aplicación. 
• Grupos de recursos: un grupo de recursos es un contenedor lógico en el que se despliegan y administran recursos de Azure, como aplicaciones web, bases de datos y cuentas de almacenamiento.
• Recursos: instancias de servicios que crea, como VM, almacenamiento o bases de datos SQL.

Un factor importante a tener en cuenta al administrar estos ámbitos es que existe una diferencia entre una suscripción de Azure y un grupo de administración. Un grupo de administración no puede incluir un recurso de Azure. Solo puede incluir otros grupos de administración o suscripciones. Los grupos de administración de Azure proporcionan un nivel de organización superior a las suscripciones de Azure; por ejemplo, si una suscripción representa una aplicación, un grupo de administración de Azure puede contener todas las aplicaciones administradas por ese departamento. Además, no hay una estructura para un grupo de recursos “anidado” en Azure: para “anidar” grupos de permisos, deberá usar una combinación de permisos en los diferentes niveles enumerados anteriormente. Asegúrese también de diferenciar el concepto de grupo de recursos de Azure de un “conjunto de disponibilidad de Azure”. Un conjunto de disponibilidad en Azure es una agrupación lógica de VM para informar a Azure cómo se crea su aplicación para proteger la disponibilidad de su aplicación.

Hay varias formas de crear un grupo de recursos de Azure:

• El portal de Azure
• Scripts de Azure PowerShell
• La CLI de Azure
• Una plantilla ARM

Estas son algunas de las mejores prácticas para usar el grupo de recursos de Azure:

• Los recursos de un grupo deben tener el mismo ciclo de vida. Por ejemplo, si una aplicación requiere diferentes recursos que deben actualizarse juntos, como tener una base de datos SQL, una aplicación web o una aplicación móvil, entonces tiene sentido agrupar estos recursos en el mismo grupo de recursos. Sin embargo, para DevTest, staging o producción, es importante usar diferentes grupos de recursos o un nuevo grupo de recursos, ya que los recursos de estos grupos tienen diferentes ciclos de vida. 
• Los recursos se pueden agregar o eliminar de un grupo de recursos de Azure. Sin embargo, cada uno de sus recursos debe pertenecer a un grupo de recursos de Azure, por lo que si desea mover recursos de un grupo de recursos a otro, debe eliminarlos del grupo original y luego agregarlos al nuevo.
• No todos los recursos se pueden mover  a diferentes grupos de recursos.
• Los recursos que usted incluye en un grupo de recursos pueden estar ubicados en diferentes regiones de Azure, incluso en regiones diferentes a las del propio grupo. Sin embargo, a veces, es una mejor práctica mantener todos los recursos de un grupo de recursos en la misma región para reducir la latencia o la transferencia de datos entre regiones. Independientemente, el grupo necesita una ubicación para especificar dónde se almacenarán los metadatos, lo cual es necesario para algunas políticas de cumplimiento. 
• Otorgue acceso a grupos de recursos. Debe usar grupos de recursos para controlar el acceso a sus recursos (hablaremos más sobre el control de acceso más adelante).
• Cuando se elimina un grupo de recursos, se eliminan todos los recursos del grupo. 
• Puede desplegar hasta 800 instancias de un tipo de recurso en cada grupo de recursos, con algunas excepciones .

¿Está listo para automatizar la optimización de grupos de recursos de Azure?

Los grupos de recursos de Azure son una forma de poner en funcionamiento el control de acceso basado en roles (RBAC). Por lo general, querrá otorgar acceso a los usuarios a nivel de grupo de recursos; los grupos simplifican la administración y brindan mayor visibilidad.

Una de las principales mejores prácticas en la nube que recomendamos a los directores de sistemas de información (CIO) es dotar a su organización de una estructura que respalde su estrategia. La forma en que organiza sus recursos de Azure sigue su estructura organizativa, lo que facilita seguir el principio de privilegios mínimos y solo otorgar acceso a los permisos mínimos necesarios, lo que puede hacer a nivel de grupo de recursos, en lugar de en el grupo de administración o nivel de suscripción. Por ejemplo, una política relacionada con la gestión de claves de cifrado se puede aplicar a nivel de grupo de gestión, mientras que una política de suspensión programada se puede aplicar a nivel de grupo de recursos.

El uso eficaz del etiquetado le permite identificar recursos con fines técnicos, de automatización, de facturación y de seguridad. Las etiquetas pueden extenderse más allá de los grupos de recursos, lo que le permite usar etiquetas para asociar grupos y recursos que pertenecen al mismo proyecto, aplicación o servicio. Asegúrese de aplicar las mejores prácticas de etiquetado, como exigir que se aplique un conjunto estándar de etiquetas antes de desplegar un recurso, para asegurarse de que está optimizando sus recursos.

Hay varias formas comunes de organizar suscripciones y grupos de recursos. El primer modelo, desafortunadamente común, es el “caos”. Si esta palabra describe su entorno, no se rinda. Hemos visto a muchas organizaciones pasar por estos problemas de crecimiento y lograr que sus entornos funcionen correctamente.

Luego, está la organización por aplicación. Por ejemplo, una aplicación de nómina o facturación se alinearía con una única suscripción a la nube de Azure, con grupos de recursos para cada entorno (desarrollo, pruebas, staging, etc.) agrupados debajo de esa suscripción.

Con frecuencia vemos una estructura organizacional por entorno. En este caso, hay una única suscripción para toda la producción, una para desarrollo y otra para pruebas con grupos de recursos que se alinean con cada aplicación debajo. La forma más madura de organizar es por unidad de negocio o unidad de servicio, el modelo que otorga la propiedad de los recursos a las funciones corporativas. Por ejemplo, el departamento de finanzas tendría una suscripción y el departamento de marketing otra. Debajo de esas suscripciones estarían los grupos de recursos correspondientes a cada aplicación.

Los grupos de recursos de Azure y otras estructuras nativas de los proveedores de la nube le permiten organizar y gobernar los recursos de la nube de manera eficaz. Después de crear la base y usar el grupo de recursos de Azure para proporcionarle la segmentación y la alineación necesarias con su línea de negocio y las aplicaciones que ejecutan, el siguiente paso es comenzar a hacer coincidir eficazmente sus recursos con la demanda de las aplicaciones. Al hacerlo, podrá maximizar el rendimiento de las aplicaciones y, al mismo tiempo, optimizar los costos de sus recursos.

Garantizar el rendimiento de las aplicaciones y optimizar su nube está más allá de la escala humana, por lo que hemos dedicado nuestra misión en IBM a gestionar el rendimiento, el cumplimiento y el costo de cualquier aplicación, en cualquier nube, a cualquier escala.

El software Turbonomic le permite visualizar la relación principal y secundaria entre suscripciones y grupos de recursos con mayor facilidad. Esta capacidad ayuda a trazar visualmente el marco que su organización ha implementado, lo que le permite ver su infraestructura en los contextos de aplicación que ya creó. El software Turbonomic descubrirá automáticamente todas las suscripciones de Azure asociadas, sus grupos de recursos y los recursos dentro de cada grupo, incluidas las máquinas virtuales de Azure, los discos administrados de Azure, los SQL Server de Azure, así como cualquier instancia reservada (RI), ya sea compartida o con ámbito para una suscripción o un grupo de recursos. Luego, el software Turbonomic analizará la utilización de cada recurso y comenzará a generar acciones de optimización. La vista aquí muestra un desglose de una sola suscripción de Azure y varios grupos de recursos de Azure debajo de ella, las acciones de optimización pendientes por grupo de recursos y los ahorros potenciales de las acciones.

Además, el software Turbonomic incluye un potente motor de modelado de optimización diseñado para permitir a los clientes modelar diferentes escenarios en el entorno de la nube en un modo sandbox seguro. Por ejemplo, simule el impacto de la utilización del inventario de instancias de VM reservadas de Azure después de reajustar las cargas de trabajo en un grupo de Recursos frente a sin reajustar las cargas de trabajo.