Azure avanzado: IaC, observabilidad y producción

Este curso lleva a los profesionales que ya operan servicios Azure a nivel intermedio hacia prácticas de producción escalables y seguras. Cubre el aprovisionamiento de infraestructura reproducible con Bicep y ARM Templates, el diseño de arquitecturas de red avanzadas con VNet peering, Private Endpoints y controles de tráfico, la implementación de observabilidad con Azure Monitor y Application Insights, la optimización de costes con Azure Cost Management y modelos de compra flexibles, el gobierno a escala con Management Groups y Azure Policy, y el despliegue de cargas de trabajo en contenedores con Azure Container Apps. Al finalizar, el participante será capaz de diseñar, desplegar y gobernar arquitecturas Azure de nivel productivo que sean seguras, observables y optimizadas en coste.

Al finalizar el curso, el participante será capaz de:

• Diseñar y desplegar infraestructura reproducible en Azure usando Bicep o ARM Templates, definiendo módulos con parámetros, outputs y dependencias entre recursos y justificando la elección entre ambas herramientas
• Arquitecturar soluciones de red avanzadas en Azure configurando VNet peering o Virtual WAN para conectar múltiples VNets, Private Endpoints para acceso privado a servicios PaaS, y NSGs junto a UDRs para controlar el tráfico con mínimo privilegio
• Implementar una estrategia de observabilidad configurando métricas personalizadas, dashboards y alertas en Azure Monitor, e instrumentando telemetría distribuida con Application Insights para identificar cuellos de botella en aplicaciones multi-componente
• Evaluar el gasto en Azure con Cost Management, configurar presupuestos con alertas y justificar la elección entre VMs Pay-as-you-go, Reserved Instances y Spot según el perfil de carga de trabajo
• Diseñar una estrategia de gobernanza a escala configurando Management Groups con jerarquía de suscripciones, aplicando Azure Policy para restricciones y auditoría, y habilitando Microsoft Defender for Cloud para detectar configuraciones inseguras
• Desplegar una aplicación en contenedores con Azure Container Apps configurando secretos mediante Managed Identity y Key Vault, alta disponibilidad multi-zona, y estrategias de tráfico entre revisiones para despliegues sin tiempo de inactividad

1. Infraestructura como código con Bicep y ARM Templates Diferencia entre Bicep y ARM JSON: compilación, sintaxis y curva de aprendizaje; estructura de un fichero Bicep: params, vars, resources, outputs y módulos; archivos de parámetros por entorno: .bicepparam y parámetros en línea; dependencias implícitas y explícitas entre recursos; ciclo de despliegue: what-if, create y gestión de drift
2. Redes avanzadas en Azure VNet peering: configuración, no-transitividad y hub-and-spoke con Azure Firewall; Private Endpoints vs. Service Endpoints: diferencias, DNS privado y casos de uso de cada uno; NSGs vs. UDRs: stateful vs. enrutamiento forzado; diseño de arquitectura multi-VNet con aislamiento selectivo entre entornos de producción, staging y servicios compartidos
3. Observabilidad con Azure Monitor y Application Insights Métricas de plataforma vs. métricas personalizadas; alertas de métrica vs. alertas de log (KQL): latencia y flexibilidad de condición; Application Insights: SDK vs. auto-instrumentación, trazas distribuidas y Application Map; dashboards operativos en Azure Portal; diagnóstico de latencia con percentiles (p95, p99) en Log Analytics
4. Optimización de costes Azure Cost Management: filtros por suscripción, grupo de recursos y etiqueta; presupuestos con alertas por umbral de gasto; Azure Reservations vs. Savings Plans: compromisos, flexibilidad y cuándo usar cada uno; Spot VMs: casos de uso adecuados, gestión de desalojo y estrategias de reintento; rightsizing e identificación de recursos infrautilizados
5. Gobernanza a escala con Management Groups y Azure Policy Jerarquía de Management Groups: estructura de suscripciones y herencia de políticas; Azure Policy: efectos Deny, Audit, DeployIfNotExists y Modify; iniciativas de política y compliance dashboard; Microsoft Defender for Cloud: habilitación a escala con Policy, Secure Score y recomendaciones; diferencia entre Azure Policy y RBAC en el control de recursos
6. Contenedores con Azure Container Apps Revisiones: inmutabilidad, historial y reparto de tráfico; entorno de Container Apps con zona de redundancia habilitada; secretos seguros: Managed Identity + Key Vault vs. variables de entorno cifradas; estrategias de despliegue: canary (porcentaje gradual) y blue/green (cambio atómico); escalado basado en HTTP, CPU y colas de Azure Service Bus

• Azure CLI instalado y autenticado con una suscripción activa
• Extensión Bicep de Azure CLI (az bicep install)
• Cuenta Azure con permisos sobre Bicep/ARM, VNet, Azure Monitor, Container Apps, Management Groups y Cost Management
• Docker Desktop instalado para construir y subir imágenes a Azure Container Registry
• Navegador web actualizado para acceso al Azure Portal

→ AZR02 — Azure VMs: Compute, redes y escalado (Intermedio, 8h)

• Crear y configurar VMs Azure con grupos de seguridad de red e identidades administradas
• Diseñar arquitecturas de red con VNet, subredes públicas y privadas
• Configurar un Virtual Machine Scale Set con escalado automático y Load Balancer
• Gestionar discos administrados y crear imágenes de VM personalizadas

→ AZR03 — Datos y seguridad en Azure: Cosmos DB y Key Vault (Intermedio, 6h)

• Diseñar contenedores Cosmos DB con partition key e índices secundarios
• Ejecutar CRUD sobre Cosmos DB y seleccionar entre consultas por partition key y cross-partition
• Almacenar y recuperar secretos con Azure Key Vault y comparar con App Configuration