Archivi categoria: Azure Arc

La modernizzazione del datacenter: un caso reale con soluzioni Microsoft

I dati statistici parlano chiaro, oltre il 90% delle realtà aziendali dispongono già oppure prevedono, nel breve periodo, di adottare una strategia ibrida per la propria infrastruttura IT. Questi dati vengono confermati dalla quotidianità dei fatti, dove diversi clienti includono nei loro piani di investimento sia il mantenimento dei workload sulle infrastrutture on-premises, sia l’adozione di soluzioni nel cloud pubblico. Parallelamente viene affiancato un percorso di modernizzazione delle applicazioni con l’obiettivo di sfruttare al meglio le potenzialità e l’innovazione offerte da queste infrastrutture. Viviamo quindi nell’era del cloud ibrido e Microsoft mette a disposizioni diverse soluzioni interessanti per modernizzare il proprio datacenter e gestire agilmente la propria infrastruttura ibrida. In questo articolo viene portato un esempio reale di come un cliente ha intrapreso il percorso di modernizzazione del proprio datacenter grazie ad Azure Stack HCI e come, tramite Azure Arc, è stato in grado di estendere i servizi ed i principi di gestione di Azure anche alla propria infrastruttura on-premises.

Richiesta iniziale del cliente e problematiche da risolvere

Il cliente in questione voleva attivare presso il proprio datacenter una nuova infrastruttura di virtualizzazione moderna ed integrata, per consentire di configurare in modo rapido, dinamico e flessibile i workload applicativi. L’infrastruttura in uso dal cliente non era adeguata e riscontrava diverse problematiche, tra le quali:

  • Soluzione di virtualizzazione non scalabile e poco flessibile
  • Obsolescenza hardware
  • Configurazioni che non garantivano una disponibilità adeguata dei sistemi virtualizzati
  • Problemi di performance e di stabilità
  • Difficoltà nella gestione dei vari componenti dell’infrastruttura

Caratteristiche delle soluzioni proposte, adottate e benefici ottenuti

Il cliente ha deciso di adottare una infrastruttura hyper-converged (HCI), dove sono stati rimossi diversi componenti hardware, sostituti dal software in grado di unire i layer di elaborazione, storage e rete in un’unica soluzione. In questo modo ha effettuato un passaggio da una tradizionale infrastruttura “three tier”, composta da switch di rete, appliance, sistemi fisici con a bordo hypervisor, storage fabric e SAN, verso infrastrutture hyper-converged (HCI).

Figura 1 – Passaggio da una infrastruttura “Three Tier” verso una Hyper-Converged Infrastructure (HCI)

Azure Stack HCI: lo stack completo dell’infrastruttura Hyper-Converged

Tutto ciò è stato fatto adottando la soluzione Microsoft Azure Stack HCI, che consente l’esecuzione di workload ed una facile connessione ad Azure dell’infrastruttura hyper-converged (HCI).  Nei paragrafi seguenti si riportano le principali caratteristiche della soluzione.

Scelta e personalizzazione dell’hardware

Il cliente ha potuto personalizzare la soluzione hardware in base alle proprie esigenze, andando a configurare il processore, la memoria, lo storage e le caratteristiche delle schede di rete, rispettando le matrici di compatibilità del fornitore.

Figura 2 – Composizione hardware della soluzione Azure Stack HCI

Sono diversi i fornitori hardware che offrono soluzioni idonee per eseguire Azure Stack HCI e possono essere consultate accedendo a questo indirizzo. La scelta è ampia e ricade su oltre 200 soluzioni di oltre 20 partner differenti. Azure Stack HCI richiede hardware appositamente testato e validato dai vari vendor.

Sistema operativo dedicato e specifico

Il sistema operativo della soluzione Azure Stack HCI è un sistema operativo specifico con una composizione semplificata e componenti più aggiornati rispetto a Windows Server. In questo sistema operativo non sono inclusi i ruoli non necessari alla soluzione, ma è presente il più recente hypervisor utilizzato anche in ambiente Azure, con tecnologie storage e di rete software-defined ottimizzate per la virtualizzazione.

L’interfaccia utente locale è minima ed è progettato per essere gestito da remoto.

Figura 3 – Interfaccia del SO di Azure Stack HCI

Disaster recovery e failover delle macchine virtuali

Il cliente ha inoltre sfruttato la possibilità di creare uno stretched cluster per estendere il proprio cluster Azure Stack HCI, nel caso specifico in due edifici differenti. Questa funzionalità si basa su una replica dello storage (sincrona in questo scenario) contemplando la crittografia, la resilienza locale del sito ed il failover automatico delle macchine virtuali in caso di disastro.

Figura 4 – Stretched cluster dell’architettura hyper-converged di Azure Stack HCI

Aggiornamenti di tutto lo stack della soluzione (full-stack updates)

Al fine di ridurre la complessità ed i costi operativi dati dal processo di aggiornamento dell’intera soluzione, il cliente può avviare in Azure Stack HCI il processo che prevede l’aggiornamento full-stack (firmware / driver insieme al sistema operativo) direttamente da Windows Admin Center.

Figura 5 – Solution updates della soluzione Azure Stack HCI marchiata Dell EMC

Servizio ibrido di Azure: familiarità nella gestione e nel funzionamento

Il cliente è in grado di gestire la propria infrastruttura basata su Azure Stack HCI in modo semplice e senza adottare strumenti software specifici, come se fosse un’estensione del cloud pubblico, grazie alle caratteristiche citate nei paragrafi seguenti.

Integrazione nativa in Azure

Azure Stack HCI si integra in modo nativo con i servizi Azure e con Azure Resource Manager (ARM). Per questa integrazione non è richiesto alcun agente, ma Azure Arc è integrato direttamente nel sistema operativo. Questa permette di visualizzare, direttamente dal portale Azure, il cluster Azure Stack HCI presente on-premises esattamente come una risorsa di Azure.

Figura 6 – Integrazione di Azure Stack HCI in Azure

Grazie all’integrazione con Azure Resource Manager il cliente può sfruttare i seguenti vantaggi dati della gestione basata su Azure:

  • Adozione dei costrutti standard basati su Azure Resource Manager (ARM)
  • Classificazione dei cluster con i Tags
  • Organizzazione dei cluster in Resource Groups
  • Visualizzazione di tutti i cluster di Azure Stack HCI in un’unica vista centralizzata
  • Gestione degli accessi tramite Azure Identity Access Management (IAM)

Inoltre, dalla risorsa Azure Stack HCI è possibile individuare, aggiungere, modificare o rimuovere le extension, grazie alle quali è possibile accedere facilmente alle funzionalità di gestione.

Figura 7 – Funzionalità di gestione di Azure Stack HCI

Gestione delle VM Arc-enabled

Oltre che per gestire il cluster, il cliente può utilizzare Azure Arc anche per eseguire il provisioning e la gestione delle macchine virtuali in esecuzione su Azure Stack HCI, direttamente dal portale di Azure. Le macchine virtuali e le loro risorse associate (immagini, dischi, e network) vengono proiettate in ARM come risorse separate mediante una nuova tecnologia multi piattaforma chiamata Arc Resource Bridge.

In questo modo è possibile:

  • ottenere una gestione coerente tra le risorse cloud e le risorse Azure Stack HCI;
  • automatizzare le distribuzioni delle macchine virtuali utilizzando i modelli ARM;
  • garantire un accesso self-service grazie al supporto ad Azure RBAC.

Figura 8 – Funzionalità date dall’integrazione di Azure Arc per le VMs di Azure Stack HCI

Azure Backup ed Azure Site Recovery

Azure Stack HCI supporta Azure Backup ed Azure Site Recovery. Con Microsoft Azure Backup Server (MABS) il cliente effettua il backup degli host e delle macchine virtuali attive in Azure Stack HCI. Inoltre, utilizzando Azure Site Recovery è possibile attivare la replica delle macchine virtuali da Azure Stack HCI ad Azure, per creare scenari di disaster recovery specifici.

Monitor dell’infrastruttura con Azure Monitor Insights per Azure Stack HCI

Grazie alla soluzione Azure Stack HCI Insights il cliente è in grado di consultare informazioni dettagliate sull’integrità, sulle prestazioni e sull’utilizzo dei cluster Azure Stack HCI connessi ad Azure e registrati per il relativo monitoraggio. Azure Stack HCI Insights archivia i propri dati in un workspace di Log Analytics, avendo così la possibilità di utilizzare potenti aggregazioni e filtri per analizzare al meglio i dati raccolti nel tempo. Si ha la possibilità di visualizzare i dati di monitor di un singolo cluster dalla pagina delle risorse Azure Stack HCI oppure è possibile utilizzare Azure Monitor per ottenere una visualizzazione aggregata di più cluster Azure Stack HCI con una panoramica dell’integrità del cluster, lo stato di nodi e delle macchine virtuali (CPU, memoria e consumo di storage), metriche delle prestazioni e altro ancora. Si tratta degli stessi dati forniti anche da Windows Admin Center, ma progettati per scalare fino a 500 cluster contemporaneamente.

Figura 9 – Pannello di controllo di Azure Monitor Insights per Azure Stack HCI

Azure benefit per Windows Server

Microsoft offre vantaggi speciali quando si distribuisce Windows Server in ambiente Azure e gli stessi vantaggi sono disponibili anche su Azure Stack HCI.

Figura 10 – Azure benefit per Windows Server

Azure Stack HCI consente di:

  • Distribuire macchine virtuali con Windows Server 2022 edizione Azure Datacenter, che offre funzionalità specifiche non disponibili nelle classiche edizioni Standard e Datacenter. Per approfondire le caratteristiche disponibili in questa edizione è possibile consultare questo articolo.
  • Ottenere gratuitamente aggiornamenti di sicurezza estesi, proprio come in Azure. Questo vale sia per Windows Server 2008/R2, sia per Windows Server 2012/R2, oltre alle versioni corrispondenti di SQL Server.
  • Ottenere la licenza ed attivare le macchine Windows Server come in Azure. Azure Stack HCI oltre a consentire di utilizzare la propria licenza Datacenter per abilitare l’attivazione automatica delle macchine virtuali (Automatic VM Activation – AVMA), mette a disposizione l’opzione di pagare la licenza di Windows Server per i sistemi guest tramite la propria subscription Azure, proprio come avviene in ambiente Azure.

Team di supporto Azure dedicato

Azure Stack HCI è a tutti gli effetti una soluzione Azure, pertanto il cliente può usufruire del supporto Azure con le seguenti caratteristiche:

  • Potrà richiedere facilmente supporto tecnico direttamente dal portale Azure.
  • Il supporto sarà fornito da un nuovo team di esperti dedicato a supportare la soluzione Azure Stack HCI.
  • Sarà possibile scegliere tra diversi piani di supporto, a seconda delle esigenze.

Innovazione dell’infrastruttura e nuovi scenari evoluti

In ambiente Azure Stack HCI, oltre ad eseguire macchine virtuali, è possibile attivare Azure Kubernetes Service (AKS) ed Azure Virtual Desktop.

Azure Kubernetes Service in Azure Stack HCI

Questo scenario di implementazione di AKS on-premises permette di automatizzare l’esecuzione su larga scala di applicazioni moderne basate su micro-servizi. Grazie ad Azure Stack HCI l’adozione di queste architetture applicative basate su container possono essere ospitate direttamente presso il proprio datacenter, adottando la stessa esperienza di gestione di Kubernetes che si ha con il servizio gestito presente nel cloud pubblico di Azure.

Figura 11 – Panoramica di AKS su Azure Stack HCI

Per maggiori informazioni è possibile consultare l’articolo Azure Kubernetes Service in ambiente Azure Stack HCI.

Azure Virtual Desktop per Azure Stack HCI

In situazioni dove le applicazioni risultano sensibili alla latenza, come ad esempio l’editing video, oppure scenari dove gli utenti hanno bisogno di usufruire di un sistema legacy presente on-premises che non può essere facilmente raggiunto, Azure Virtual Desktop aggiunge una nuova opzione ibrida grazie ad Azure Stack HCI. Azure Virtual Desktop per Azure Stack HCI usa lo stesso piano di gestione cloud del normale Azure Virtual Desktop, ma consente di creare pool di session host utilizzando macchine virtuali in esecuzione su Azure Stack HCI. Queste macchine virtuali possono eseguire Windows 10 e/o Windows 11 Enterprise multi-session. Collocando i desktop più vicini agli utenti, è possibile abilitare l’accesso diretto a bassa latenza e senza round trip.

Conclusioni

Microsoft gestisce tra i più grandi data center del mondo e sta facendo grossi investimenti per portare l’esperienza maturata e l’innovazione del cloud anche in Azure Stack HCI. Questo cliente, affidandosi ad Azure Stack HCI sta usufruendo di un servizio in abbonamento che riceve aggiornamenti regolari delle funzionalità, con l’obiettivo importante di poter sfruttare on-premises la tecnologia collaudata su larga scala nel cloud. Inoltre, è in grado di gestione in modo unificato le risorse del proprio ambiente ed avere una continua innovazione della propria infrastruttura ibrida.

Come preparare il proprio ambiente per nuovi scenari ibridi e multicloud

La volontà di molte realtà aziendali è quella di distribuire e adottare applicazioni che possano risiedere su vari ecosistemi: on-premises, su più cloud pubblici e negli edge. Se si decide di avere architetture così distribuite è fondamentale preparare il proprio ambiente per poter garantire conformità e disporre di un metodo efficace per gestire su larga scala i sistemi server, le applicazioni e i dati, mantenendo una elevata agilità. In questo articolo vengono affrontati gli aspetti e le pratiche da tenere in considerazione per adottare tecnologie ibride e multicloud utili a soddisfare le proprie esigenze di business.

Le ragioni che portano all’adozione di soluzioni ibride e multicloud

Microsoft Azure è un provider di servizi cloud a livello enterprise ed è in grado di supportare obiettivi di business per ambienti pubblici, ibridi e multicloud.

Sono molte le ragioni per le quali i clienti scelgono di distribuire il loro patrimonio digitale in ambienti ibridi e multicloud. Tra le principali troviamo:

  • Riduzione al minimo o rimozione di lock-in dati da un singolo cloud provider
  • Presenza di business unit, aziende sussidiarie o società acquisite che hanno già fatto scelte di adozione di differenti piattaforme cloud
  • Diversi fornitori di servizi cloud possono avere requisiti normativi e di sovranità dei dati differenti nei vari paesi
  • Necessità di migliorare la business continuity ed il disaster recovery andando a distribuire i workload tra due provider cloud differenti
  • Esigenza di massimizzare le prestazioni permettendo di eseguire le applicazioni in prossimità rispetto a dove si trovano gli utenti

Quali aspetti considerare?

Per preparare un ambiente IT e renderlo efficace per qualsiasi deployment ibrido e multicloud è opportuno tenere in considerazione i seguenti aspetti chiave:

  • Topologia e connettività di rete
  • Governance, sicurezza e conformità
  • Discipline di automazione, esperienza di sviluppo e pratiche DevOps unificate e coerenti

Per la preparazione di un ambiente idoneo ad ospitare deployment ibridi e multicloud esistono differenti possibilità, motivo per il quale prima di configurare il proprio ambiente Azure o qualsiasi altro cloud pubblico, è importante identificare in che modo l’ambiente cloud dovrà supportare il proprio scenario:

Figura 1 – Diagramma che illustra come diversi clienti distribuiscono i workload tra cloud provider

Nell’immagine sopra riportata ogni punto blu scuro rappresenta un workload ed ogni cerchio di colore azzurro è un processo aziendale, supportato da un ambiente distinto. A seconda del cloud-mix può essere necessaria una diversa configurazione dell’ambiente Azure:

  • Cliente Hybrid-first: la maggior parte dei workload rimane in sede, spesso in una combinazione di modelli di hosting con risorse tradizionali ed ibride. Alcuni workload specifici vengono distribuiti nell’edge, in Azure oppure presso altri provider di servizi cloud.
  • Cliente Azure-first: la maggior parte dei workload risiede in Azure. Alcuni workload rimangono comunque in locale. Inoltre, determinate decisioni strategiche hanno portato alcuni workload a risiedere negli edge oppure in ambienti multicloud.
  • Cliente multicloud-first: la maggior parte dei workload viene ospitata su un cloud pubblico diverso da Azure, come Amazon Web Services (AWS) oppure Google Cloud Platform (GCP). Alcune decisioni strategiche hanno però portato alcuni workload ad essere posizionati in Azure oppure presso gli edge.

A seconda della strategia ibrida e multicloud che si decide di intraprendere per le applicazioni e per i dati, questa sarà in grado di indirizzare determinate scelte.

Come predisporre l’ambiente Azure

Quando si affronta il tema della preparazione del proprio ambiente IT per nuovi scenari ibridi e multicloud è opportuno definire la “Landing Zone” di Azure che rappresenta, nel percorso di adozione del cloud, il punto di arrivo. Si tratta di un’architettura progettata per consentire di gestire ambienti cloud funzionali, contemplando i seguenti aspetti:

  • Scalabilità
  • Security governance
  • Networking
  • Identità
  • Cost management
  • Monitoring

L’architettura della Landing Zone deve essere definita in base ai requisiti aziendali e tecnici specifici. Risulta quindi necessario valutate le possibili opzioni di implementazione della Landing Zone, grazie alle quali sarà possibile soddisfare le esigenze di deployment ed operatività del portfolio cloud.

Figura 2 – Esempio concettuale di una Azure landing zone

Quali strumenti utilizzare?

Cloud Adoption Framework

Il Cloud Adoption Framework di Microsoft fornisce un ricco set di documentazione, linee guida per l’implementazione, procedure consigliate e strumenti utili per accelerare il percorso di adozione del cloud. Tra queste best practice, che è bene adottare comunemente e che è opportuno declinare in modo specifico sui vari clienti in base alle loro esigenze, è presente una sezione specifica riguardante gli ambienti ibridi e multicloud. Questa sezione tratta le diverse best practice che possono aiutare a facilitare vari mix di cloud, che vanno da ambienti totalmente Azure ad ambienti dove l’infrastruttura presso il cloud pubblico di Microsoft non è presente oppure è limitata.

Azure Arc come acceleratore

Azure Arc consiste in un insieme di differenti tecnologie e di componenti che permettono di disporre di un unico meccanismo di controllo per gestire e governare in modo coerente tutte le tue risorse IT, ovunque si trovino. Inoltre, con i servizi abilitati per Azure Arc, si ha la flessibilità di distribuire servizi completamente gestiti di Azure ovunque, on-premises oppure presso altri cloud pubblici.

Figura 3 –  Azure Arc overview

L’Azure Arc-enabled servers Landing Zone, presente nel Cloud Adoption Framework, consente ai clienti di aumentare più facilmente la sicurezza, la governance e lo stato di conformità dei server distribuiti al di fuori di Azure. Insieme ad Azure Arc, servizi come Microsoft Defender for Cloud, Azure Sentinel, Azure Monitor, Azure Log Analytics, Azure Policy e molti altri possono essere estesi a tutti gli ambienti. Per questa ragione Azure Arc lo si deve considerare come un acceleratore per le proprie Landing Zone.

Azure Arc Jumpstart

Azure Arc Jumpstart è cresciuto molto, con oltre 90 scenari automatizzati, migliaia di visitatori al mese e una community open source molto attiva che condivide le proprie conoscenze su Azure Arc. Come parte di Jumpstart, è stato sviluppato ArcBox, un ambiente sandbox automatizzato per tutto ciò che riguarda Azure Arc, distribuibile nelle sottoscrizioni Azure dei clienti. Come acceleratore per la landing zone dei server abilitati per Azure Arc è stato sviluppato il nuovo ArcBox per IT pro, che funge da soluzione di automazione sandbox per questo scenario, con servizi come Azure Policy, Azure Monitor, Microsoft Defender for Cloud, Microsoft Sentinel e altro ancora.

Figura 3 – Architettura che mostra come Azure Resource Manager, Azure Bicep e Hashicorp Terraform interagiscono in ArcBox

Conclusioni

L’adozione di pratiche operative coerenti in tutti gli ambienti cloud, associate ad un piano di controllo comune, consente di affrontare in modo efficace le sfide intrinseche nelle strategie ibride e multicloud. Per farlo Microsoft mette a disposizione vari strumenti ed acceleratori, uno tra i quali è Azure Arc che rende più facile per i clienti aumentare la sicurezza, la governance e lo stato di conformità dei server distribuiti al di fuori di Azure.

Come estendere i principi di gestione di Azure alle infrastrutture VMware con Azure Arc

La tendenza che si riscontra frequentemente in differenti contesti aziendali è quella di ricorrere a strategie ibride e multi-cloud per i propri ambienti IT. Tutto ciò consente di intraprendere un percorso di innovazione digitale con grande flessibilità ed agilità. Per farlo nel migliore dei modi è opportuno adottare tecnologie che consentano di creare nuove opportunità e allo stesso tempo di gestire le sfide intrinseche in questi nuovi paradigmi. In Microsoft è stata ideata una soluzione specifica e prende il nome di Azure Arc. Uno dei benefici cruciali di Azure Arc è quello di estendere le pratiche di gestione e di governance di Azure anche ad ambienti differenti e di adottare soluzioni e tecniche che tipicamente vengono utilizzate in ambiente cloud anche per gli ambienti on-premises. In questo articolo viene approfondito come Microsoft ha recentemente migliorato in Azure Arc il processo di integrazione delle infrastrutture VMware vSphere e quali opportunità si possono cogliere da questa innovazione.

Perché adottare una strategia ibrida?

Tra le principali ragioni che portano i clienti a adottare una strategia ibrida troviamo:

  • Workload che non possono essere spostati nel cloud pubblico a causa dei requisiti normativi e di sovranità dei dati. Questo aspetto solitamente è comune in settori altamente regolamentati come servizi finanziari, ambienti sanitaria e governativi.
  • Alcuni workload, in particolare quelli che risiedono negli edge, richiedono basse latenze.
  • Molte aziende hanno fatto investimenti significativi nell’ambiente on-premises che desiderano massimizzare, quindi la scelta ricade nel modernizzare le applicazioni tradizionali che risiedono on-premises e le soluzioni adottate.
  • Garantire una maggiore resilienza.

Quali domande porsi per sfruttare e gestire al meglio ambienti ibridi e multi-cloud?

In situazioni dove si sta adottando una strategia ibrida oppure multi-cloud, le domande chiave che è opportuno porsi per trarre maggiori benefici sono:

  • Come posso visualizzare, governare e proteggere le risorse IT, indipendentemente da dove sono in esecuzione?
  • C’è la possibilità di portare l’innovazione del cloud anche nell’infrastruttura esistente?
  • Come è possibile modernizzare i datacenter locali adottando nuove soluzioni cloud?
  • Come estendere l’elaborazione e l’intelligenza artificiale all’edge per sbloccare nuovi scenari di business?

La risposta a tutte queste domande può essere… “adottando Azure Arc!”.

Figura 1 – Panoramica di Azure Arc

Molti sono i clienti che dispongono di infrastruttura basate su VMware e che allo stesso tempo stanno utilizzando servizi Azure. Azure Arc estende le possibilità offerte in ambito governance e management da Azure anche alle macchine virtuali presenti in ambienti VMware. Per migliorare ulteriormente questa esperienza di controllo e di gestione di tali risorse è stata introdotta una profonda integrazione tra Azure Arc e VMware vSphere.

Azure Arc-enabled VMware vSphere: come funziona?

Azure Arc-enabled VMware vSphere è una nuova funzionalità di Azure Arc pensata per i clienti con ambienti VMware vSphere on-premises oppure che adottano Azure VMware Solution.

Questa integrazione diretta di Azure Arc con VMware vSphere richiede di attivare un’appliance virtuale denominata “Arc bridge”. Questa risorsa permette di instaurare la connessione tra il server VMware vCenter e l’ambiente Azure Arc.

Grazie a questa integrazione è possibile effettuare l’onboarding in Azure di alcune oppure di tutte le risorse vSphere gestite dal proprio server vCenter quali: resource pool, cluster, host, datastore, network, template e macchine virtuali esistenti.

Figura 2 – VMware vCenter dal portale Azure

Terminata la fase di onboarding si aprono nuovi scenari di utilizzo che consentono di sfruttare i benefici riportati nel paragrafo seguente.

Benefici di Azure Arc-enabled VMware vSphere

Grazie a questa nuova integrazione è possibile ottenere i seguenti benefici:

  • Eseguire il provisioning di nuove macchine virtuali in ambienti VMware da Azure. La distribuzione delle macchine virtuali su VMware vSphere può essere fatta dal portale oppure utilizzando template ARM. La possibilità di poter descrivere l’infrastruttura, mediante processi di Infrastructure as Code, in modo coerente in Azure e negli ambienti on-premises è molto importante. Infatti, adottando template ARM, i team DevOps possono utilizzare pipeline CI/CD per eseguire il provisioning dei sistemi oppure per aggiornare le macchine virtuali VMware in modo contestuale ad altri aggiornamenti applicativi.

Figura 3 – Provisioning di una VM VMware dal portale Azure

  • Effettuare operazioni di manutenzione ordinaria sulle macchine virtuali direttamente dal portale Azure come: l’arresto, l’avvio, il riavvio, il ridimensionamento, l’aggiunta oppure l’aggiornamento di dischi e la gestione delle schede di rete.
  • Garantire un accesso self-service alle risorse vSphere tramite Azure Arc. Per gli amministratori che gestiscono ambienti vSphere, ciò significa che possono facilmente delegare un accesso self-service alle risorse VMware, governando e garantendo la conformità tramite controlli avanzati di governance di Azure ed Azure RBAC. Infatti, risulta possibile assegnare autorizzazioni granulari sulle risorse computazionali, di archiviazione, di rete e sui template.
  • Fornire un inventario delle macchine virtuali in ambienti vSphere distribuiti.
  • Eseguire e gestire su larga scala l’onboarding di ambienti vSphere nei servizi di management di Azure come ad esempio Azure Monitor Log Analytics ed Azure Policy Guest Configuration. Tale abilitazione permette di orchestrare l’installazione dell’agente specifico di Azure Arc (Connected Machine agent) direttamente da Azure.
  • Mantenere sincronizzate in Azure le modifiche apportate direttamente tramite vCenter, grazie alle funzionalità di rilevamento automatico.

Conclusioni

Grazie a questa nuova integrazione avanzata, i clienti possono avere la flessibilità di innovare, anche utilizzando il loro ambiente VMware esistente. Inoltre, mediante questo approccio è possibile avere un meccanismo efficace di controllo per gestire e governare in modo coerente tutte le risorse IT.

La gestione di ambienti Kubernetes con Azure Arc

Il principio che sta alla base di Azure Arc è quello di estendere le pratiche di gestione e di governance di Azure anche ad ambienti differenti e di adottare soluzioni e tecniche, che tipicamente vengono utilizzate in ambiente cloud, anche per gli ambienti on-premises. In questo articolo viene trattato come Azure Arc consente di effettuare il deploy e la configurazione delle applicazioni Kubernetes in modo omogeneo su tutti gli ambienti, adottando le moderne tecniche DevOps.

Grazie ad Azure Arc-enabled Kubernetes risulta possibile collegare e configurare cluster Kubernetes situati all’interno oppure all’esterno dell’ambiente Azure. Connettendo un cluster Kubernetes ad Azure Arc, questo:

  • Appare nel portale Azure con un ID di Azure Resource Manager ed un’identità gestita.
  • Viene inserito all’interno di una sottoscrizione di Azure e di un resource group.
  • Consente che gli vengano associati tag come per qualsiasi altra risorsa di Azure.

Per connettere un cluster Kubernetes ad Azure è necessaria l’installazione degli agenti sui vari nodi. Tali agenti:

  • Vengono eseguiti nel namespace Kubernetes “azure-arc”.
  • Gestiscono la connettività verso Azure.
  • Raccolgono i log e le metriche di Azure Arc.
  • Verificano le richieste di configurazione.

Figura 1 – Architettura dell’agent Azure Arc-enabled Kubernetes

Kubernetes abilitato per Azure Arc supporta il protocollo SSL per proteggere i dati in transito. Inoltre, per garantire la riservatezza dei dati inattivi, questi vengono archiviati in modo crittografato in un database Azure Cosmos DB.

Gli agenti Azure Arc sui sistemi Kubernetes non richiedono l’apertura di porte in ingresso sui sistemi firewall, ma è necessaria solamente l’abilitazione ad accedere in uscita verso specifici endpoint.

Per maggiori dettagli in merito e per la procedura da seguire per connettere un cluster Kubernetes ad Azure Arc è possibile consultare questa documentazione ufficiale di Microsoft.

Distribuzioni supportate

Azure Arc-enabled Kubernetes è possibile abilitarlo con qualsiasi cluster Kubernetes certificato “Cloud Native Computing Foundation (CNCF)”. Infatti, il team di Azure Arc ha collaborato con i principali partner del settore per convalidare la conformità delle loro distribuzioni Kubernetes con Azure Arc-enabled Kubernetes.

Scenari supportati

Abilitando Azure Arc-enabled Kubernetes risultano supportati i seguenti scenari:

  • Connessione di cluster Kubernetes in esecuzione in ambienti differenti da Azure, per eseguire operazioni di inventario, raggruppamento e tagging.
  • Distribuzione di applicazioni e gestione delle configurazioni basandosi su meccanismi GitOps. In relazione a Kubernetes, GitOps è la pratica di dichiarare lo stato desiderato delle configurazioni del cluster Kubernetes (deployments, namespaces, ecc.) in un repository Git. Questa dichiarazione è seguita da un polling e da una distribuzione basata su pull di queste configurazioni cluster utilizzando un operatore. Il repository Git può contenere:
    • Manifesti in formato YAML che descrivono qualsiasi risorsa Kubernetes valida, inclusi Namespace, ConfigMaps, Deployments, DaemonSets, ecc.
    • Chart Helm per la distribuzione delle applicazioni.

Flux, un popolare strumento open source di GitOps, può essere distribuito sul cluster Kubernetes per facilitare il flusso delle configurazioni da un repository Git ad un cluster Kubernetes.

Per maggiori dettagli sul workflow CI/CD utilizzando GitOps per i cluster Kubernetes abilitati ad Azure Arc è possibile fare riferimento a questa documentazione Microsoft.

  • Visualizzazione e monitor degli ambienti cluster utilizzando Azure Monitor for containers.
  • Protezione dalle minacce mediante Azure Defender for Kubernetes. I componenti dell’extension raccolgono gli audit logs di Kubernetes da tutti i nodi del control plane del cluster e li inviano al back-end di Azure Defender for Kubernetes nel cloud per ulteriori analisi. L’extension viene registrata con un workspace Log Analytics che viene utilizzato per la pipeline dei dati, ma gli audit log non vengono archiviati nel workspace di Log Analytics. L’extension consente di proteggere i cluster Kubernetes dislocati presso altri cloud provider, ma non permette di contemplare i loro servizi gestiti di Kubernetes.
  • Applicazione di impostazioni tramite Azure Policy for Kubernetes.
  • Creazione di location custom utilizzate come target per il deployment di Azure Arc-enabled Data Services, App Services su Azure Arc (che comprende web, function, e logic apps) ed Event Grid su Kubernetes.

Azure Arc-enabled Kubernetes supporta inoltre Azure Lighthouse, che consente ai provider di servizi di accedere al proprio tenant per gestire le sottoscrizioni ed i gruppi di risorse delegati dai clienti.

Conclusioni

Le realtà che devono operare in un ambiente ibrido grazie a questa tecnologia saranno in grado di ridurre al minimo l’effort di gestione dei workload containerizzati, estendendo servizi come Azure Policy ed Azure Monitor ai cluster Kubernetes dislocati in ambienti on-premises. Infine, mediante l’approccio GitOps, sarà possibile semplificare gli aggiornamenti alle configurazioni dei cluster in tutti gli ambienti, riducendo al minimo i rischi associati ai problemi di configurazione.

Azure Arc per la gestione dei sistemi server: benefici e scenari di utilizzo

Infrastrutture eterogenee, applicazioni basate su differenti tecnologie e soluzioni dislocate su diversi cloud pubblici sono elementi sempre più diffusi negli ambienti IT aziendali. Queste complessità, unite ad una continua evoluzione dei propri datacenter fanno emergere sempre più la necessità di visualizzare, governare e proteggere le risorse IT, indipendentemente da dove sono in esecuzione. In Microsoft, questa esigenza dei clienti è stata indirizzata progettando una soluzione che permette di gestire realtà complesse, offrendo inoltre la possibilità di portare l’innovazione del cloud anche utilizzando infrastrutture esistenti: questa soluzione prende il nome di Azure Arc. In particolare, Azure Arc for servers estende le possibilità offerte da Azure in ambito governance e management anche alle macchine fisiche ed ai sistemi virtuali che risiedono in ambienti differenti da Azure. In questo articolo verranno esplorati i principali benefici e gli scenari di implementazione che si possono contemplare adottando Azure Arc nella gestione dei sistemi server.

L’abilitazione dei server ad Azure Arc permette di gestire i server fisici e le macchine virtuali che risiedono all’esterno di Azure, sulla rete aziendale on-premises oppure presso altri cloud provider. Questa esperienza di gestione, valida sia per sistemi Windows sia per i sistemi Linux, è progettata per fornire coerenza con le metodologie di gestione delle macchine virtuali native che risiedono in ambiente Azure. Connettendo infatti una macchina ad Azure tramite Arc viene considerata a tutti gli effetti come una risorsa Azure. Ogni macchina connessa ha un ID specifico, viene inclusa in un resource group e beneficia dei costrutti standard di Azure.

Figura 1 – Azure Arc Management Overview

Principali scenari di utilizzo

La proiezione delle risorse server in Azure utilizzando Arc è un passaggio utile per usufruire delle soluzioni di management e di monitoring in seguito descritte.

Visibilità e organizzazione

In ambienti ibridi e multicloud, può essere particolarmente sfidante ottenere una visione centralizzata di tutte le risorse disponibili. Alcune di queste risorse sono in esecuzione in Azure, alcune in ambiente locale, presso le filiali oppure presso altri provider cloud. Collegando le risorse ad Azure Resource Manager tramite Azure Arc, è possibile organizzare, inventariare e gestire centralmente un’ampia gamma di risorse, inclusi server Windows e Linux, server SQL, cluster Kubernetes e servizi di Azure in esecuzione in Azure e all’esterno di Azure. Questa visibilità è possibile ottenerla direttamente dal portale Azure ed è possibile eseguire query specifiche utilizzando Azure Resource Graph.

Figura 2 – Azure Arc e risorse nel portale Azure

Gestione degli accessi

Con Azure Arc for servers è possibile fornire l’accesso ai sistemi tramite Azure role-based access control (Azure RBAC). Inoltre, in presenza di ambienti e tenant differenti, Azure Arc si integra anche con Azure Lighthouse. Questo scenario può essere di particolare interesse per i provider che offrono servizi gestiti a più clienti.

Monitor

Tramite VM Insights è possibile consultare i dati principali di performance, provenienti dal sistema operativo guest. Grazie alle potenti funzionalità di aggregazione dei dati e di filtering è possibile monitorare agilmente le performance per un numero molto elevato di sistemi ed individuare facilmente quelle che presentano problematiche di performance. Inoltre, si ha la possibilità di generare una mappa con le interconnessioni presenti tra i vari componenti che risiedono su sistemi differenti. Le mappe mostrano come le VMs ed i processi interagiscono tra loro e possono identificare eventuali dipendenze da servizi di terze parti. La soluzione permette anche di controllare eventuali errori di connessione, conteggia le connessioni in tempo reale, i byte di rete inviati e ricevuti dai processi e le latenze riscontrare a livello di servizio.

Figura 3 – Monitoring: Performance

Figura 4 – Monitoring: Map

Azure Policy guest configurations

Le guest Configuration Policy consentono di controllare le impostazioni all’interno di un sistema, sia per le macchine virtuali in esecuzione in ambiente Azure sia per le macchine “Arc Connected”. La convalida viene eseguita dal client e dall’estensione Guest Configuration per quanto riguarda:

  • Configurazione del sistema operativo
  • Configurazione oppure presenza di applicazioni
  • Impostazioni dell’ambiente

Al momento, la maggior parte delle Guest Configuration Policy di Azure permettono solamente di effettuare controlli sulle impostazioni all’interno della macchina, ma non applicano configurazioni. Per maggiori informazioni rispetto a questo scenario è possibile consultare l’articolo Azure Governance: come controllare le configurazioni dei sistemi in ambienti ibridi e multicloud.

Inventory

Questa funzionalità consente di recuperare informazioni di inventario relative a: software installati, files, chiavi di Registry in ambiente Windows, Servizi Windows e Daemons Linux. Il tutto può essere consultato facilmente direttamente dal portale Azure.

Change Tracking

La funzionalità di Change Tracking consente di monitorare le modifiche apportate ai sistemi relativamente a Daemons, File, Registry, Software e Servizi Windows. Tale funzionalità può risultare molto utile in particolare per diagnosticare problemi specifici e per abilitare segnalazioni a fronte di cambiamenti non attesi.

Figura 5 – Change Tracking e Inventory

Update Management

La soluzione di Update Management consente di avere una visibilità complessiva sulla compliance degli update sia per sistemi Windows sia per sistemi Linux. La solution non è solo utile a fini di consultazione, ma consente anche di schedulare dei deployment per l’installazione degli update all’interno di specifiche finestre di manutenzione.

Figura 6 – Update Management

Azure Defender
La proiezione delle risorse server in Azure utilizzando Arc è un passaggio utile per garantire che tutte le macchine dell’infrastruttura siano protette da Azure Defender for Server. Analogamente a una macchina virtuale di Azure, sarà inoltre necessario distribuire l’agente di Log Analytics nel sistema di destinazione. Per semplificare il processo di onboarding questo agente viene distribuito utilizzando la VM extension, e questo è uno dei vantaggi dell’utilizzo di Arc.

Una volta che l’agente di Log Analytics è stato installato e connesso ad un workspace utilizzato da ASC, la macchina sarà pronta per utilizzare e beneficiare delle varie funzionalità di sicurezza offerte nel piano Azure Defender for Servers.

Strumenti di Deployment

I deployment possono essere semplificati grazie all’utilizzo di Azure Automation State Configuration e delle Azure VM extensions. Questo permette di contemplare configurazioni post-deployment oppure l’installazione del software utilizzando la Custom Script Extension.

Conclusioni

Mantenere il controllo e gestire la sicurezza dei workload in esecuzione on-premises, in Azure e su altre piattaforme cloud può risultare particolarmente sfidante. Grazie ad Azure Arc for Servers è possibile estendere facilmente i servizi di management e di monitoring tipici di Azure anche ai workloads che risiedono all’esterno dell’ambiente Azure. Inoltre, Azure Arc consente di ottenere informazioni dettagliate e di organizzare le varie risorse IT in un’unica console centralizzata, utile per gestire e controllare efficacemente tutto il proprio ambiente IT.

Come estendere la protezione di Azure Security Center a tutte le risorse tramite Azure Arc

Azure Security Center (ASC) è stato originariamente sviluppato con la volontà di diventare lo strumento di riferimento per proteggere le risorse in ambiente Azure. La necessità molto sentita dei clienti di proteggere le risorse dislocate anche in ambienti differenti da Azure ha portato ad una evoluzione della soluzione che, grazie all’integrazione con Azure Arc, permette di estendere gli strumenti di protezione e di gestione della sicurezza a qualsiasi infrastruttura. In questo articolo viene spiegato come Azure Security Center ed Azure Arc consentono di proteggere le risorse non Azure situate on-premises oppure su altri cloud provider, come macchine virtuali, servizi Kubernetes e risorse SQL.

L’adozione di Azure Defender utilizzando i principi di Azure Arc

Azure Arc permette di gestire i workload che risiedono all’esterno di Azure, sulla rete aziendale on-premises oppure presso un altro cloud provider. Tale esperienza di gestione è progettata per fornire coerenza con le metodologie di management native di Azure.

Grazie al fatto che Azure Security Center ed Azure Arc possono essere utilizzati in modo congiunto, si ha la possibilità di offrire una protezione avanzata per tre differenti scenari:

Figura 1 – Scenari di protezione

Abilitando in Azure Security Center la protezione di Azure Defender dei workload a livello di subscription è possibile contemplare anche le risorse ed i carichi di lavoro che risiedono in ambienti ibridi e multicloud, il tutto in modo estremamente semplice grazie ad Azure Arc.

Azure Defender per i sistemi server abilitati ad Arc

Connettendo una macchina server ad Azure tramite Arc viene considerata a tutti gli effetti come una risorsa Azure. Ogni macchina connessa ha un ID specifico, viene inclusa in un resource group e beneficia dei costrutti standard di Azure come le Azure Policy e l’applicazione dei tag. Questo vale sia per sistemi Windows sia per i sistemi Linux.

Per offrire questa esperienza è richiesta l’installazione dell’agente specifico di Azure Arc su ogni macchina che si prevede di connettere ad Azure (“Azure Connected Machine”).

L’Azure Arc Connected Machine agent è composto dai seguenti componenti logici:

  • L’Hybrid Instance Metadata service (HIMDS) che gestisce la connessione ad Azure e l’identità di Azure della macchina connessa.
  • Il Guest Configuration agent che fornisce le funzionalità di In-Guest Policy e Guest Configuration.
  • L’Extension Manager agent che gestisce i processi di installazione, disinstallazione ed aggiornamento delle estensioni della macchina.

Figura 2 – Componenti dell’agente Azure Arc

Il Connected Machine agent richiede una comunicazione sicura in uscita verso Azure Arc sulla porta TCP  443.

Questo agente non fornisce altre funzionalità e non sostituisce l’agente di Azure Log Analytics, il quale rimane necessario quando si desidera monitorare in modo proattivo il sistema operativo ed i carichi di lavoro in esecuzione sulla macchina.

Per maggiori informazioni sull’installazione di Azure Arc è possibile consultare questo documento ufficiale Microsoft.

I server abilitati per la soluzione Azure Arc possono beneficiare di diverse funzionalità legate ad Azure Resource Manager come Tags, Policies e RBAC, oltre che ad alcune funzionalità relative ad Azure Management.

L’attivazione di Azure Defender for Server con Azure Arc

La proiezione delle risorse server in Azure utilizzando Arc è un passaggio utile per garantire che tutte le macchine dell’infrastruttura siano protette da Azure Defender for Server. Analogamente a una macchina virtuale di Azure, sarà inoltre necessario distribuire l’agente di Log Analytics nel sistema di destinazione. Per semplificare il processo di onboarding questo agente viene distribuito utilizzando la VM extension, e questo è uno dei vantaggi dell’utilizzo di Arc.

Una volta che l’agente di Log Analytics è stato installato e connesso ad un workspace utilizzato da ASC, la macchina sarà pronta per utilizzare e beneficiare delle varie funzionalità di sicurezza offerte nel piano Azure Defender for Servers.

Per ogni risorsa è possibile visualizzare lo stato dell’agente e le relative raccomandazioni di sicurezza correnti:

Figura 3 – Azure Arc Connected Machine in ASC

Nel caso ci sia la necessità di effettuare l’onboarding in Azure Defender di un server non Azure con una versione del sistema operativo non ancora supportata dall’agente di Azure Arc, è comunque possibile eseguire l’onboarding installando solamente l’agente Log Analytics sulla macchina.

Le icone presenti nel portale Azure consentono di distinguere facilmente le differenti risorse:

Figura 4 – Icone delle differenti risorse presenti in ASC

 

Azure Defender per le risorse Kubernetes abilitate ad Arc

Azure Defender for Kubernetes permette di proteggere anche i cluster dislocati on-premises con le stesse funzionalità di rilevamento delle minacce offerte per i cluster Azure Kubernetes Service (AKS).

Per tutti i cluster Kubernetes differenti da AKS, risulta necessario connettere l’ambiente cluster ad Azure Arc. Una volta connesso l’ambiente cluster, Azure Defender for Kubernetes può essere attivato come cluster extension sulle risorse Kubernetes abilitate per Azure Arc.

Figura 5 – Interazione tra Azure Defender for Kubernetes ed il cluster Kubernetes abilitato per Azure Arc

I componenti dell’extension raccolgono gli audit logs di Kubernetes da tutti i nodi del control plane del cluster e li inviano al back-end di Azure Defender for Kubernetes nel cloud per ulteriori analisi. L’extension viene registrata con un workspace Log Analytics che viene utilizzato per la pipeline dei dati, ma gli audit log non vengono archiviati nel workspace di Log Analytics.

L’extension consente anche proteggere i cluster Kubernetes dislocati presso altri cloud provider, ma non permette di contemplare i loro servizi gestiti di Kubernetes.

Azure Defender per le risorse SQL Server abilitate ad Arc

Azure Defender for SQL permette di monitorare costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Anche queste funzionalità sono fruibili non solo per macchine virtuali in Azure, ma anche per SQL Server attivati in ambiente on-premises e in deployment multicloud. I SQL Server abilitati ad Azure Arc fanno parte anche di Azure Arc for servers. Per abilitare gli Azure services, l’istanza di SQL Server deve essere registrata con Azure Arc usando il portale di Azure ed un apposito script di registrazione. Dopo la registrazione, l’istanza verrà rappresentata su Azure come una risorsa SQL Server – Azure Arc. Le proprietà di questa risorsa riflettono un sottoinsieme delle impostazioni di configurazione di SQL Server.

Figura 6 – Diagramma che illustra l’architettura di Azure Arc per le risorse SQL Server


Conclusioni

Gestire la sicurezza e mantenere il controllo dei workload in esecuzione on-premises, in Azure e su altre piattaforme cloud può risultare particolarmente sfidante. Grazie ad Azure Arc è possibile estendere facilmente la copertura di Azure Defender ai carichi di lavoro che risiedono all’esterno dell’ambiente Azure. Inoltre, Azure Security Center consente di ottenere informazioni dettagliate sulla sicurezza del proprio ambiente ibrido in un’unica console centralizzata, utile per controllare efficacemente la security della propria infrastruttura IT.

Azure Governance: come controllare le configurazioni dei sistemi in ambienti ibridi e multicloud

Diverse sono le realtà che stanno investendo in tecnologie ibride e multicloud per ottenere una elevata flessibilità, che consente di innovare e di soddisfare le esigenze aziendali in continua evoluzione. In questi scenari, ai clienti si presenta la sfida di utilizzare in modo efficiente le risorse IT, al fine di raggiungere al meglio i propri obiettivi di business, attuando un processo di IT governance strutturato. Questo risultato è possibile raggiungerlo più agilmente se si dispone di soluzioni che, in modo centralizzato, consentono di inventariare, organizzare ed applicare delle policy di controllo sulle proprie risorse IT ovunque si trovino. La soluzione Azure Arc coinvolge diverse tecnologie con l’obiettivo di sostenere scenari ibridi e multicloud, dove i servizi e i principi di gestione di Azure vengono estesi a qualsiasi infrastruttura. In questo articolo si approfondirà come, grazie all’adozione delle Azure Guest Configuration Policy è possibile controllare le configurazioni dei sistemi in esecuzione in Azure, nei datacenter locali oppure presso altri cloud provider.

Il principio alla base di Azure Arc

Il principio che sta alla base di Azure Arc è quello di estendere le pratiche di gestione e di governance di Azure anche ad ambienti differenti e di adottare soluzioni tipicamente cloud, come tecniche DevOps (infrastructure as code), anche per gli ambienti on-premises e multicloud.

Figura 1 – Panoramica di Azure Arc

L’abilitazione dei sistemi ad Azure Arc

L’abilitazione dei server ad Azure Arc permette di gestire i server fisici e le macchine virtuali che risiedono all’esterno di Azure, sulla rete aziendale on-premises oppure presso un altro cloud provider. Questo vale sia per sistemi Windows sia per i sistemi Linux. Questa esperienza di gestione è progettata per fornire coerenza con le metodologie di gestione delle macchine virtuali native di Azure. Connettendo infatti una macchina ad Azure tramite Arc viene considerata a tutti gli effetti come una risorsa Azure. Ogni macchina connessa ha un ID specifico, viene inclusa in un resource group e beneficia dei costrutti standard di Azure come le Azure Policy e l’applicazione dei tag.

Per offrire questa esperienza è richiesta l’installazione dell’agente specifico di Azure Arc su ogni macchina che si prevede di connettere ad Azure (“Azure Connected Machine”). Attualmente sono supportati i seguenti sistemi operativi:

  • Windows Server 2008 R2, Windows Server 2012 R2 oppure superiore (sono compresi i Server Core)
  • Ubuntu 16.04 and 18.04 LTS (x64)
  • CentOS Linux 7 (x64)
  • SUSE Linux Enterprise Server (SLES) 15 (x64)
  • Red Hat Enterprise Linux (RHEL) 7 (x64)
  • Amazon Linux 2 (x64)
  • Oracle Linux 7

L’Azure Arc Connected Machine agent è composto dai seguenti componenti logici:

  • L’Hybrid Instance Metadata service (HIMDS) che gestisce la connessione ad Azure e l’identità di Azure della macchina connessa.
  • Il Guest Configuration agent che fornisce le funzionalità di In-Guest Policy e Guest Configuration.
  • L’Extension Manager agent che gestisce i processi di installazione, disinstallazione ed aggiornamento delle estensioni della macchina.

Figura 2 – Componenti dell’agente Azure Arc

Il Connected Machine agent richiede una comunicazione sicura in uscita verso Azure Arc sulla porta TCP  443.

Questo agente non fornisce altre funzionalità e non sostituisce l’agente di Azure Log Analytics, il quale rimane necessario quando si desidera monitorare in modo proattivo il sistema operativo ed i carichi di lavoro in esecuzione sulla macchina.

Per maggiori informazioni sull’installazione di Azure Arc è possibile consultare questo documento ufficiale Microsoft.

I server abilitati per la soluzione Azure Arc possono beneficiare di diverse funzionalità legate ad Azure Resource Manager come Tags, Policies e RBAC, oltre che ad alcune funzionalità relative ad Azure Management.

Figura 3 – Azure Management per tutte le risorse IT

Guest Configuration Policy di Azure

Le Guest Configuration Policy permettono di controllare le impostazioni all’interno di una macchina, sia per le macchine virtuali in esecuzione in ambiente Azure che per le macchine “Arc Connected”. La convalida viene eseguita dal client e dall’estensione Guest Configuration per quanto riguarda:

  • Configurazione del sistema operativo
  • Configurazione oppure presenza di applicazioni
  • Impostazioni dell’ambiente

Al momento, la maggior parte delle Guest Configuration Policy di Azure permettono solamente di effettuare controlli sulle impostazioni all’interno della macchina, ma non applicano configurazioni. L’eccezione è una policy incorporata di configurazione del Time Zone del sistema operativo per le macchine Windows.

Requisiti

Prima di poter controllare le impostazioni all’interno di una macchina, tramite le Guest Configuration Policy, è necessario:

  • Abilitare un’extension sulla macchina virtuale di Azure, necessaria per scaricare le assegnazioni delle policy assegnate e le corrispondenti configurazioni. Questa extension non è richiesta per macchine “Arc Connected” in quanto è inclusa nell’agente Arc.
  • Fare in modo che la macchina abbia una system-managed identity, utilizzata per il processo di autenticazione durante la lettura e la scrittura nel servizio Guest Configuration.

Funzionamento

Azure fornisce built-in nella piattaforma delle specifiche initiatives e un numero elevato di Guest Configuration Policy, ma è possibile crearne anche delle personalizzate sia in ambiente Windows, sia in ambiente Linux.

L’assegnazione delle Guest Configuration policy funziona allo stesso modo delle Azure Policy standard, quindi è possibile raggrupparle in initiative. Anche per le Guest Configuration Policy sono configurabili dei parametri specifici ed esiste almeno un parametro che consente di includere i server abilitati ad Azure Arc. Nel momento in cui si possiede la definizione della policy desiderata, è possibile assegnarla a una subscription ed eventualmente in modo più circoscritto ad un Resource Group specifico. Si ha inoltre la possibilità di escludere determinate risorse dall’applicazione della policy.

In seguito all’assegnazione è possibile valutare lo stato di compliance nel dettaglio direttamente dal portale Azure.

All’interno della macchina, il Guest Configuration agent utilizza strumenti locali per eseguire l’audit delle configurazioni:

Il Guest Configuration agent verifica la presenza di assegnazioni di policy guest nuove oppure modificate ogni 5 minuti e una volta ricevuta l’assegnazione le impostazioni vengono controllate a intervalli di 15 minuti.

Costo della soluzione

Il costo delle Guest Configuration Policy di Azure si basa sul numero di server registrati al servizio e che hanno una o più configurazioni guest assegnate. Qualsiasi altro tipo di Azure Policy che non si basa sulla configurazione guest viene offerto senza costi aggiuntivi, comprese le estensioni della macchina virtuali per abilitare servizi come Azure Monitor ed Azure Security Center oppure le policy di auto tagging. La fatturazione è ripartita su base oraria e contempla anche le funzionalità di change tracking presenti tramite Azure Automation. Per maggiori dettagli sui costi è possibile consultare la pagina ufficiale Microsoft.

Conclusioni

Gli ambienti IT sono in continua evoluzione e spesso devono erogare applicazioni critiche per il business aziendale basate su differenti tecnologie, attive su infrastrutture eterogenee e che in alcuni casi utilizzano soluzioni erogate presso differenti cloud pubblici. L’adozione di un processo di IT governance strutturato è più semplice anche grazie alle Guest Configuration Policy e alle potenzialità di Azure Arc, che permettono di controllare e sostenere più facilmente ambienti ibridi e multicloud.

La protezione di ambienti multi-cloud con Azure Security Center

La tendenza delle aziende di adottare una strategia multi-cloud è sempre più diffusa, ma questo modello operativo rende particolarmente sfidante ottenere elevati standard di sicurezza per il proprio ambiente. Per rispondere a questa esigenza Microsoft ha ufficialmente reso disponibile il supporto per la sicurezza multi-cloud nella soluzione Azure Security Center, consentendo di contemplare anche le risorse di Amazon Web Services (AWS) e di Google Cloud Platform (GCP). In questo articolo vengono riportare le caratteristiche di questa soluzione che consente di ottenere un elevato grado di sicurezza e migliorare le security posture in ambienti multi-cloud.

Azure Security Center (ASC) è stato originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure. La necessità dei clienti di proteggere le risorse dislocate su più cloud pubblici è però molto diffusa e per questa ragione il team di prodotto ha deciso di ampliare le capacità di azione, semplificando così gli strumenti di gestione della sicurezza in ambienti multi-cloud. Azure Security Center è in grado di proteggere non solo le risorse in ambienti ibridi ma anche di contemplare architetture multi-cloud, includendo AWS e GCP.

Figura 1 – Multi-cloud e hybrid protection in Azure Security Center

Queste le funzionalità che vengono messe a disposizione degli utilizzatori per coprire scenari multi-cloud:

  • Connettendo i propri account AWS oppure GCP ad Azure Security Center è possibile ottenere una visione multi-cloud unificata per quanto riguarda le security posture del proprio ambiente. In particolare, se le soluzioni AWS Security Hub oppure GCP Security Command Center rilevano configurazioni non corrette, queste segnalazioni vengono contemplate nel modello Secure Score e nella valutazione sulle conformità rispetto a specifiche normative (Regulatory Compliance), presenti in Azure Security Center.
  • Grazie al fatto che Azure Defender for Servers sfrutta Azure Arc è possibile semplificare il processo di onboarding, ed abilitare la protezione delle macchine virtuali in esecuzione in ambienti AWS, GCP oppure in cloud ibridi. Il tutto include diverse funzionalità, tra le quali, il provisioning automatico degli agenti, la gestione delle policy, delle vulnerabilità e l’EDR (Endpoint Detection and Response) integrato. In particolare, per la funzionalità di vulnerability assessment è possibile effettuare scansioni manuali o su larga scala, ed analizzare le vulnerabilità rilevate, sui sistemi sottoposti a scansione, tramite un’esperienza unificata.

Queste funzionalità si completano con il supporto multi-cloud, anch’esso recentemente annunciato, di Azure Defender for SQL, che permette di monitora costantemente le implementazioni di SQL Server per rilevare minacce e vulnerabilità note. Queste funzionalità sono fruibili per SQL Server attivati in ambiente on-premises, su macchine virtuali in Azure ed anche in deployment multi-cloud, contemplando Amazon Web Services (AWS) e Google Cloud Platform (GCP).

La soluzione Azure Arc ricopre un ruolo fondamentale in tutto ciò e permette di estendere i servizi ed i principi di gestione di Azure a qualsiasi infrastruttura. Per ottenere questo risultato Microsoft ha deciso di estensione il modello Azure Resource Manager per poter supportare anche ambienti ibridi e multi-cloud, facilitando in questo modo l’implementazione delle funzionalità di security presenti in Azure su tutti i componenti dell’infrastruttura.

Figura 2 – Azure Arc per ambienti ibridi e multi-cloud

Il processo di onboarding e le capacità offerte variano a seconda del cloud pubblico che si intende inglobare in Azure Security Center. Nei paragrafi seguenti vengono riportate le caratteristiche sia per Amazon Web Services (AWS) che per Google Cloud Platform (GCP).

Amazon Web Services (AWS)

Il processo di onboarding del proprio account AWS effettua l’integrazione della soluzione AWS Security Hub con Azure Security Center. In questo modo è possibile ottenere una visibilità ed una protezione completa di questi ambienti cloud per fornire:

  • Provisioning automatico degli agenti. ASC utilizza Azure Arc per la distribuzione dell’agente di Log Analytics a bordo delle istanze AWS.
  • Gestione delle policy.
  • Gestione delle vulnerabilità.
  • EDR (Endpoint Detection and Response) integrato.
  • Rilevamento di errori di configurazione che impattano sulla sicurezza.
  • Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di AWS Security Hub.
  • Uno score di ASC che contempla anche le risorse AWS.
  • Valutazioni relative alle conformità normativa anche per le risorse AWS.

Nel momento in cui la connessione con AWS Security Hub risulta configurata correttamente:

  • ASC esegue la scansione dell’ambiente AWS alla ricerca di istanze EC2, ne viene fatto l’onboarding in Azure Arc, consentendo l’installazione dell’agente di Log Analytics. In questo modo si ottiene la protezione dalle minacce e si ricevono i consigli sulla sicurezza.
  • Il servizio ASC esegue la scansione di nuove istanze AWS EC2 ogni 6 ore e le integra in base alla configurazione fatta.
  • Lo standard AWS CIS viene mostrato nella dashboard sulle conformità normative di ASC.
  • Se le policy di AWS Security Hub sono abilitate, le relative raccomandazioni verranno visualizzate nel portale di ASC e nella dashboard sulle conformità normative, dopo alcuni minuti dal completamento del processo di onboarding.

Figura 3 – Raccomandazioni di AWS visualizzate nel portale di ASC

Per visualizzare le raccomandazioni attive per le proprie risorse in base alla tipologia, è possibile utilizzare la pagina di asset inventory di Security Center ed applicare il filtro specifico per la tipologia di risorsa AWS che interessa:

Figura 4 – Filtri di visualizzazione per le risorse AWS

Google Cloud Platform (GCP)

Il meccanismo di onboarding del proprio account GCP permette di integrare GCP Security Command con Azure Security Center e di avere una visibilità ed una protezione completa, in particolare fornendo:

  • Rilevamento di errori di configurazione che impattano sulla sicurezza.
  • Una singola visualizzazione in grado di mostrare le raccomandazioni di ASC ed i rilevamenti di GCP Security Command Center.
  • Uno score di ASC che contempla anche le risorse GCP.
  • Integrazione dei consigli di GCP Security Command Center basati sullo standard CIS all’interno della dashboard di conformità delle normative di Azure Security Center.

Nel momento in cui la connessione con GCP Security Command risulta completata:

  • Lo standard GCP CIS viene mostrato nella dashboard delle conformità normative di ASC.
  • Le raccomandazioni sulla sicurezza per le risorse dislocate in GCP verranno visualizzate nel portale di Azure Security Center e nella dashboard delle conformità normative dopo alcuni minuti dal completamento dell’onboarding.

Figura 5 – Raccomandazioni di GCP visualizzate nel portale di ASC

L’onboarding delle macchine virtuali GCP è al momento manuale, ma si possono adottare script per farlo su larga scala.

Nella pagina delle raccomandazioni di Azure Security Center sarà possibile visualizzare tutte le raccomandazioni di security delle risorse Azure insieme a quelle di AWS e di GCP, ottenendo così una visualizzazione multi-cloud.

Conclusioni

La possibilità di adottare Azure Security Center come soluzione centralizzata di controllo, dove confluiscono le informazioni di sicurezza provenienti anche da altri cloud pubblici, unita alle possibilità date dall’integrazione con Azure Arc, per estendere la protezione dei propri sistemi, permette di ottenere un elevato grado di sicurezza e di migliorare le security posture in ambienti multi-cloud. L’adozione di strategie multi-cloud sarà sempre più diffusa e Microsoft continuerà ad espandere Azure Security Center per fornire le migliori soluzioni per proteggere Azure, ambienti ibridi e modelli operativi multi-cloud.

Azure Arc: nuove funzionalità per gestire sistemi in ambienti ibridi

La complessità degli ambienti IT è in continua espansione al punto da avere realtà con applicazioni basate su diverse tecnologie, attive su infrastrutture eterogenee e che magari utilizzano soluzioni in differenti cloud pubblici. L’esigenza molto sentita dai clienti è di poter adottare una soluzione che, in modo centralizzato, consenta di inventariare, organizzare e applicare delle policy di controllo sulle proprie risorse IT ovunque si trovino. La risposta di Microsoft a questa esigenza è Azure Arc, la soluzione che coinvolge diverse tecnologie con l’obiettivo di sviluppare nuovi scenari ibridi, dove i servizi e i principi di gestione di Azure vengono estesi a qualsiasi infrastruttura. In questo articolo vengono riportate le nuove funzionalità che sono state recentemente introdotte per estendere la capacità di gestione degli ambienti ibridi.

I server abilitati per la soluzione Azure Arc possono già beneficiare di diverse funzionalità legate ad Azure Resource Manager come Tags, Policies e RBAC, oltre che ad alcune funzionalità relative ad Azure Management.

Figura 1 – Azure Management per tutte le risorse IT

Grazie al nuovo aggiornamento che è stato recentemente annunciato è possibile utilizzare nuove estensioni, chiamate Azure Arc Extensions, per ampliare le funzionalità ed estendere ulteriormente le pratiche di gestione e di governance di Azure anche ad ambienti differenti. Questo consente di adottare sempre più soluzioni tipicamente cloud, come tecniche DevOps (infrastructure as code), anche per gli ambienti on-premises.

Azure Arc Extensions

Le Azure Arc Extensions sono delle applicazioni che consentono di effettuare delle configurazioni e di eseguire dei task di automazione post-deployment. Queste estensioni possono essere eseguite direttamente da riga di comando Azure, da PowerShell oppure dal portale di Azure.

Al momento sono disponibili le seguenti Azure Arc Extensions che possono essere distribuite sui server abilitati per Azure Arc.

Custom Script Extension per sistemi Windows e Linux

Grazie a questa estensione è possibile eseguire dei task post provisioning della macchina per effettuare delle personalizzazioni dell’ambiente. Aggiungendo questa estensione è infatti possibile scaricare degli script personalizzati, ad esempio da Azure Storage, ed eseguirli direttamente sulla macchina.

Figura 2 – Custom Script Extension, per sistemi Windows abilitati per Azure Arc, dal portale Azure

Durante il deployment della Custom Script Extension è possibile aggiungere il file che contiene lo script da eseguire e opzionalmente i relativi parametri. Per i Sistemi Linux si tratta di uno script shell (.sh), mentre per Windows di uno script Powershell (.ps1).

Desired State Configuration extension su sistemi Windows e Ubuntu (DSCForLinux)

Desired State Configuration (DSC) è una piattaforma di gestione che è possibile utilizzare per gestire l’infrastruttura IT e di sviluppo in ottica di “configuration as code”.

DSC per Windows fornisce nuovi cmdlet di Windows PowerShell e risorse che è possibile utilizzare per specificare in modo dichiarativo come si desidera configurare l’ambiente software. Fornisce inoltre uno strumento utile per mantenere e gestire le configurazioni esistenti. Questa extension funziona come l’estensione per le macchine virtuali in Azure, ma è progettata per essere distribuita sui server abilitati per Azure Arc.

Figura 3 – PowerShell Desired State Configuration, per sistemi Windows abilitati per Azure Arc, dal portale Azure

L’estensione DSCForLinux consente di installare l’OMI agent e il DSC agent sui sistemi Ubuntu abilitati per Azure Arc. L’extension DSC permette di effettuare le seguenti azioni:

  • Registrare la VM ad un Azure Automation account per estrarre (pull) delle configurazioni (Register ExtensionAction).
  • Distribuire delle configurazioni MOF (Push ExtensionAction).
  • Applicare la configurazione meta MOF alla VM per configurare un pull server al fine di estrarre la configurazione del nodo (Pull ExtensionAction).
  • Installare moduli DSC personalizzati (Install ExtensionAction).
  • Rimuovere moduli DSC personalizzati (Remove ExtensionAction).

 

OMS Agent for Linux – Microsoft Monitoring Agent

L’installazione di questo agente consente raccogliere i dati di monitor dal sistema operativo guest e dai workload applicativi dei sistemi e di inviarli a un workspace di Log Analytics. Questo agente viene utilizzato da diverse soluzioni di management di Azure, tra le quali Azure Monitor, Azure Security Center, ed Azure Sentinel. Sebbene oggi sia possibile monitorare VMs non di Azure anche senza Azure Arc, l’utilizzo di questa estensione consente di rilevare e gestire automaticamente gli agenti nelle VMs. Una volta integrati, i server abilitati ad Azure Arc si adatteranno perfettamente alle viste esistenti del portale Azure insieme alle macchine virtuali presenti in Azure e agli Azure scale sets.

Dopo aver distribuito l’agente di Azure Arc sui sistemi è possibile installare il Microsoft Monitoring Agent (MMA) usando questa extension, semplicemente aggiungendo l’ID del workspace di Log Analytics e la relativa key.

Figura 4 – Microsoft Monitoring Agent extension per Azure Arc dal portale Azure

Grazie alla disponibilità di queste nuove extension, i server abilitati per Azure Arc dispongono anche di funzionalità come Update Management, Inventory, Change Tracking e monitor.

Update Management

La soluzione di Update Management consente di avere una visibilità complessiva sulla compliance degli update sia per sistemi Windows che Linux. Tramite il pannello di ricerca è possibile identificare velocemente gli update mancati ed è prevista la possibilità di schedulare dei deployment per l’installazione degli update all’interno di una specifica finestra di manutenzione.

Inventory

Questa funzionalità consente di recuperare informazioni di inventario relative a: software installati, files, chiavi Windows Registry, Servizi Windows e Daemons Linux.

Change Tracking

La funzionalità di Change Tracking consente di monitorare le modifiche apportate ai sistemi relativamente a Daemons, File, Registry, Software e Servizi Windows. Tale funzionalità può risultare molto utile per diagnosticare problemi specifici e per abilitare segnalazioni a fronte di cambiamenti non attesi.

Conclusioni

Grazie alla disponibilità di queste nuove extension è possibile usufruire di funzionalità maggiori, in ambito governance e management tipiche di Azure, anche per gli ambienti hybrid cloud. Si tratta di una importante evoluzione di questa soluzione, al momento ancora in preview, che è destinata presto ad arricchirsi ulteriormente con nuove importanti funzionalità.

Azure Hybrid Cloud: panoramica del nuovo portfolio Azure Stack

Nelle realtà aziendali l’adozione di soluzioni totalmente basate nel cloud non sempre risulta essere una scelta percorribile o la migliore in assoluto, spesso si devono necessariamente adottare soluzioni ibride, che comunque contemplano la possibilità di utilizzo anche delle innovazioni introdotte dal cloud. Microsoft, consapevole di ciò, ha recentemente annunciato diverse novità nella proposizione delle sue soluzioni in ambito Hybryd Cloud estendendo il proprio portfolio per renderlo più completo e maggiorerete adattabile alle esigenze dei clienti. In questo articolo viene riportato come è stata ampliata e modificata la gamma delle soluzioni Microsoft in ambito Azure Stack.

Attualmente le soluzioni incluse nel portfolio Azure Stack sono le seguenti:

  • Azure Stack Hub (in precedenza chiamato solo “Azure Stack”)
  • Azure Stack Edge (in precedenza chiamato “Azure Data Box Edge”)
  • Azure Stack HCI

Figura 1 – Famiglia di prodotti Azure Stack

Azure Stack Hub

Azure Stack Hub che, prima di questa revisione del portfolio prodotti, era conosciuto con il nome Azure Stack continua ad essere l’offerta per le realtà enterprise e per i clienti dei settori pubblici, che necessitano di un ambiente cloud ma disconnesso da Internet oppure che devono soddisfare specifici requisiti normativi e di conformità. Azure Stack Hub permette di erogare i servizi Azure nelle location che si desidera. La soluzione continua ad evolversi per contemplare una gamma sempre più ampia di servizi, tra i quali:

  • Kubernetes con l’integrazione di Azure Kubernetes Service (AKS) per automatizzare la creazione, l’aggiornamento e lo scaling di ambienti cluster.
  • Supporto per machine virtuali N-Series che includono il supporto GPU.
  • Event Hubs (prevista la preview quest’anno)
  • Azure Stream Analytics (prevista la preview quest’anno)
  • Windows Virtual Desktop (WVD) (prevista la preview quest’anno)
  • Azure Data Services con Azure Arc (prevista la preview quest’anno)

Azure Stack Edge

Azure Stack Edge, in precedenza conosciuto come Azure Databox Edge, è una appliance gestita di Azure in grado di portare la potenza computazionale, lo storage e l’intelligenza del cloud in un edge remoto del cliente. Il cliente può effettuare l’ordine ed il provisioning di Azure Stack Edge direttamente dal portale Azure, per poi utilizzare gli strumenti classici di gestione di Azure per farne il monitoring ed eseguirne gli aggiornamenti. Non sono richiesti costi iniziali per ottenere questa appliance, ma sarà contemplata mensilmente nella fatturazione dei servizi Azure. La grande novità riguardante Azure Stack Edge è che saranno supportati nuove funzionalità, tra le principali troviamo:

  • Esecuzione di machine virtuali
  • Cluster Kubernetes
  • Supporto per GPU NVIDIA
  • Supporto per l’alta disponibilità

Azure Stack Edge sarà inoltre disponibile in una versione “rugged”, per resistere a condizioni ambientali estreme, e in una versione alimentata a batterie, per essere facilmente trasportata.

Azure Stack HCI

Con l’arrivo di Windows Server 2019, Microsoft ha introdotto la soluzione Azure Stack HCI, che consente l’esecuzione di macchine virtuali ed un’ampia connessione a differenti servizi offerti da Azure. Si tratta di una infrastruttura hyper-converged (HCI), dove vengono rimossi diversi componenti hardware, sostituti dal software, in grado di unire i layer di elaborazione, storage e rete in un’unica soluzione. Si tratta dell’evoluzione della soluzione Windows Server Software-Defined (WSSD) disponibile in passato con Windows Server 2016. Azure Stack HCI con Windows Server 2019, consente l’utilizzo di Hyper-V, un ormai solido e affidabile hypervisor, insieme alle soluzioni di Software Defined Storage e Software Defined Networking. A questo viene aggiunto Windows Admin Center, che consente di gestire totalmente e da interfaccia grafica l’ambiente hyper-converged.

Azure Stack HCI condivide le stesse tecnologie software-defined utilizzate anche da Azure Stack Hub ed è richiesta l’adozione di hardware testato e validato in modo specifico per la soluzione. Per poter ottenere la certificazione l’hardware è sottoposto infatti a rigorosi test di validazione, che garantiscono l’affidabilità e la stabilità della soluzione. Per consultare le differenti soluzioni Azure Stack HCI dei vari vendor hardware è possibile accedere a questa pagina. Azure Stack HCI può essere utilizzato per ambienti più piccoli con un minimo di due nodi e può scalare fino ad un massimo di 16 nodi. Questo la rende una soluzione adatta a differenti scenari di utilizzo.

Conclusioni

Per rispondere al meglio alle esigenze dei differenti client in questo ambito Microsoft ha rivisitato il proprio portfolio prodotti. Il portfolio Azure Stack combinato con Azure Arc, permette di ottenere un ambiente dove i servizi e la gestione di Azure vengono riportati su modelli di infrastruttura validati e integrati, il tutto in modo complementare.