Archivi categoria: Cloud

Azure IaaS and Azure Stack: announcements and updates (January 2021 – Weeks: 01 and 02)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

New datacenter region in Chile

Microsoft has announced plans for a new datacenter region in Chile, as part of a “Transforma Chile” initiative. A skilling program as well as an Advisory Board are also part of the initiative, targeted at reaching 180,00 Chileans.

NCas_T4_v3-Series VMs are now generally available

NCas_T4_v3Virtual Machines feature 4 NVIDIA T4 GPUs with 16 GB of memory each, up to 64 non-multithreaded AMD EPYC 7V12 (Rome) processor cores, and 448 GiB of system memory. These virtual machines are ideal to run ML and AI workloads utilizing Cuda, TensorFlow, Pytorch, Caffe, and other frameworks or the graphics workloads using NVIDIA GRID technology. NCas_T4_v3 VMs are now generally available in West US2, West Europe, and Korea Central regions.

Networking

Public IP SKU upgrade

Azure public IP addresses now support the ability to be upgraded from Basic to Standard SKU.  Additionally, any Basic Public Load Balancer can now be upgraded to a Standard Public Load Balancer, while retaining the same public IP address.  This is supported via PowerShell, CLI, templates, and API and available across all Azure regions.

Azure Hybrid Cloud: panoramica della soluzione Azure Stack Edge

Microsoft per rispondere al meglio alle esigenze di adottare soluzioni in grado di estendere il proprio ambiente, dal datacenter principale ai siti periferici, con i servizi innovativi di Azure, mette a disposizione dei propri clienti il portfolio Azure Stack. Si tratta di un insieme di soluzioni in ambito Hybryd Cloud, che consentono di distribuire ed eseguire i propri workload applicativi in modo coerente, senza vincoli imposti dalla locazione geografica. In questo articolo viene riportata una panoramica della piattaforma Azure Stack Edge (ASE) e delle sue caratteristiche, esaminando i casi d’uso e le principali funzionalità.

Prima di entrare nello specifico di Azure Stack Edge è bene precisare che le soluzioni incluse nel portfolio Azure Stack sono le seguenti:

  • Azure Stack Edge: l’appliance gestita di Azure in grado di portare la potenza computazionale, lo storage e l’intelligenza del cloud in un edge remoto del cliente.
  • Azure Stack HCI: la soluzione che consente l’esecuzione di macchine virtuali ed una facile connessione ad Azure grazie ad una infrastruttura hyper-converged (HCI).
  • Azure Stack Hub: l’offerta per le realtà enterprise e per i clienti dei settori pubblici, che necessitano di un ambiente cloud ma disconnesso da Internet oppure che devono soddisfare specifici requisiti normativi e di conformità.

Figura 1 – Famiglia di prodotti Azure Stack

Per avere una panoramica di queste soluzioni vi invito a leggere questo articolo.

Value proposition di Azure Stack Edge

I risultati che si possono trarre adottando la soluzione Azure Stack Edge sono i seguenti:

  • Possibilità di adottare on-premises un modello Infrastructure as a service (IaaS) per i carichi di lavoro nei siti periferici (edge), dove sia l’hardware che il software vengono forniti da Microsoft.
  • Capacità di eseguire le applicazioni presso i siti del cliente, in modo da mantenerle in prossimità delle fonti dati. Inoltre, consente di eseguire presso l’edge non solo le applicazioni proprietarie e di terze parti, ma anche di usufruire di diversi servizi Azure.
  • Disponibilità di acceleratori hardware built-in che consentono di eseguire scenari di machine learning e AI presso l’edge, proprio dove si trovano i dati, senza la necessità di dover inviare i dati nel cloud per svolgere ulteriori analisi.
  • Possibilità di disporre di un cloud storage gateway integrato che consente un facile trasferimento dei dati dall’edge verso l’ambiente cloud.

Scenari d’uso

I principali scenari d’uso di Azure Stack Edge sono i seguenti:

  • Machine learning presso i siti periferici: grazie alla presenza di acceleratori hardware integrati e le capacità di elaborazione offerte dalla soluzione, si ha la possibilità di far fronte a questi scenari proprio dove risiedono i dati, elaborandoli in tempo reale, senza doverli inviare verso Azure.
  • Capacità computazione presso gli edge: i clienti possono eseguire le proprie applicazioni aziendali e le soluzioni IoT presso i siti periferici, senza necessariamente dover fare affidamento su una connettività costante verso l’ambiente cloud.
  • Trasferimento di rete dei dati dall’edge al cloud: utilizzato negli scenari in cui si desidera trasferire periodicamente i dati dall’edge al cloud, per ulteriori analisi oppure per scopi di archiviazione.

Form factors

Per supportare i differenti scenari d’uso riportati, verticalmente tra i settori industriali, Azure Stack Edge è disponibile in tre form factor distinti:

  • Azure Stack Edge Pro, un server blade 1U con una o due GPU.
  • Azure Stack Edge Pro R, un server rugged con GPU, in una robusta custodia da trasporto, completa di UPS e batteria di backup.
  • Azure Stack Edge Mini R, una macchina con un form factor ridotto dotata di batteria e con un peso non elevato (meno di 3,5 Kg).

Figura 2 – Form factors di Azure Stack Edge

Le versioni Azure Stack Edge “rugged” permettono una resistenza a condizioni ambientali estreme, e le versioni alimentate a batterie consentono un facile trasporto.

Stack software di Azure Stack Edge

Il cliente può effettuare l’ordine ed il provisioning di Azure Stack Edge direttamente dal portale Azure, per poi utilizzare gli strumenti classici di gestione di Azure per farne il monitoring ed eseguirne gli aggiornamenti. Il supporto hardware viene fornito direttamente da Microsoft, che provvederà alla sostituzione dei componenti in caso di problematiche. Non sono previsti costi iniziali per ottenere questa appliance, ma il costo sarà contemplato mensilmente nella fatturazione dei servizi Azure. Dal momento che, una volta configurato, qualsiasi applicazione eseguita in Azure Stack Edge può essere configurata e distribuita dal portale di Azure, viene elimina la necessità di disporre di personale IT nell’edge location.

Capacità computazionale di Azure Stack Edge

La possibilità di offrire capacità computazionale preso gli edge è una delle funzionalità chiave di Azure Stack Edge, la quale può essere erogata secondo una delle seguenti modalità:

  • IoT Edge: l’esecuzione di carichi di lavoro containerizzati distribuiti tramite IoT hub è sempre stata supportata sin dal lancio di Azure Stack Edge e continua tuttora ad esserlo.
  • Kubernetes: recentemente è stato introdotto il supporto per l’esecuzione di workloads containerizzati in cluster Kubernetes in esecuzione su Azure Stack Edge.
  • Virtual machines: un ulteriore modo per l’esecuzione delle applicazioni è l’attivazione di workload a bordo di macchine virtuali.

Ambiente Kubernetes in Azure Stack Edge

Kubernetes sta diventando lo standard di fatto per l’esecuzione e l’orchestrazione di workloads containerizzati, ma chi conosce questi ambienti, ha la consapevolezza di alcune delle sfide operative che possono derivare dalla gestione di un cluster Kubernetes. In questo ambito l’obiettivo di Azure Stack Edge è quello di semplificare la distribuzione e la gestione dei cluster Kubernetes. Grazie a una semplice configurazione è possibile attivare un cluster Kubernetes su Azure Stack Edge.

Una volta configurato il cluster Kubernetes, è necessario eseguire ulteriori operazioni di gestione, che vengono semplificare in ASE con dei semplici componenti aggiuntivi. Tra queste operazioni troviamo:

  • La possibilità di abilitare in modo semplice gli acceleratori hardware.
  • Il provisioning del sistema storage per la creazione di volumi persistenti.
  • Lo stare al passo con le versioni di Kubernetes prendendo gli ultimi aggiornamenti disponibili.
  • La capacità di applicare meccanismi di sicurezza e di governance dalla propria infrastruttura.

Completata la configurazione dell’ambiente cluster, vengono forniti dei meccanismi semplici per distribuire e gestire i carichi di lavoro sul cluster Kubernetes, tramite le seguenti modalità:

  • Azure Arc: ASE viene fornito con l’integrazione nativa con Azure Arc. Con pochi passaggi è possibile abilitare Azure Arc, permettendo la distribuzione delle applicazioni nel cluster Kubernetes direttamente dal portale Azure.
  • IoT Hub: abilitando il componente aggiuntivo dell’IoT hub è possibile utilizzarlo per la distribuzione dei conteiners.
  • Kubectl: risulta infine supportato il modo nativo kubectl, utilizzato tipicamente in ambienti disconnessi oppure se si dispone di un’infrastruttura esistente che si integra già con questa modalità.

Figura 3 – Kubernetes deployment in Azure Stack Edge

Macchine virtuali in Azure Stack Edge

Un’altra variante per offrire capacità computazionale presso gli edge è l’attivazione di macchine virtuali. Azure Stack Edge consente di ospitare macchine virtuali, sia Windows che Linux, offrendo la possibilità di distribuire e gestire queste macchine virtuali direttamente da Azure oppure agendo localmente.

Figura 4 – Macchine virtuali in Azure Stack Edge

Un aspetto da tenere in considerazione è che Azure Stack Edge consente di configurare delle topologie di rete più semplici rispetto ad Azure oppure ad Azure Stack Hub.

Per quanto riguarda le funzionalità di accelerazione hardware presenti in Azure Stack Edge, sono supportate queste due varianti:

  • GPU NVIDIA T4, completamente integrata con lo stack GPU
  • Intel Movidius Visual Processing Unit (VPU), per scenari di AI e ML

Servizi Azure che possono essere distribuiti in Azure Stack Edge

Il numero dei servizi che possono essere attivati in Azure Stack Edge è elevato, tra quelli recentemente introdotti troviamo:

  • Live Video Analytics: una piattaforma per la creazione di soluzioni e applicazioni video basate sull’intelligenza artificiale, per svolgere approfondimenti in tempo reale utilizzando i flussi video.
  • Spatial Analysis: un modulo di visione artificiale in tempo reale per analizzare i video e comprendere i movimenti delle persone negli spazi fisici. Ad esempio, durante il periodo Covid, molti negozi al dettaglio desiderano implementare politiche di distanziamento sociale e potrebbero utilizzare uno speciale modulo di analisi per comprendere un determinato comportamento sulla base dei video girati nel negozio.
  • Azure Monitor: che consente di aumentare le prestazioni e la disponibilità delle applicazioni raccogliendo i log dai containers ed analizzandoli.

Figura 5 – Soluzioni Azure in Azure Stack Edge

Conclusioni

Nelle realtà aziendali l’adozione di soluzioni totalmente basate nel cloud non sempre risulta essere una scelta percorribile oppure la migliore in assoluto, spesso si devono necessariamente adottare soluzioni ibride, che comunque contemplano la possibilità di utilizzo anche delle innovazioni introdotte dal cloud. Azure Stack Edge risulta essere una soluzione flessibile e moderna che permettere di rispondere alle esigenze, anche quelle più sfidanti, che emergono per i siti periferici, senza tralasciare le potenzialità offerte dal cloud pubblico.

Azure IaaS and Azure Stack: announcements and updates (December 2020 – Weeks: 53)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

In the last week of the year, there was little news, thanks to the holiday period. This series of blog posts will continue into 2021. I take this opportunity to wish you a Happy New Year!

Azure

Azure NetApp Files: Application Consistent Snapshot tool (preview)

Azure Application Consistent Snapshot tool (AzAcSnap) is in public preview. It is a command-line tool enables you to simplify data protection for third-party databases (SAP HANA) in Linux environments (for example, SUSE and RHEL).

Azure Management services: le novità di Dicembre 2020

Nel mese di dicembre sono state annunciate da parte di Microsoft diverse novità riguardanti gli Azure management services. La nostra community rilascia mensilmente questo riepilogo che consente di avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre eventuali approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Nuovo agente di Azure Monitor e nuove funzionalità di Data Collection Rules (preview)

In Azure Monitor è stato introdotto (in preview) un nuovo agente unificato (Azure Monitor Agent – AMA) e un nuovo concetto per rendere più efficiente la raccolta dati (Data Collection Rules – DCR).

Tra le varie funzionalità chiave aggiunte in questo nuovo agente troviamo:

  • Supporto per Azure Arc server (Windows and Linux) 
  • Supporto per Virtual Machine Scale Set (VMSS)
  • Installazione tramite template ARM

Per quanto riguarda la Data Collection sono state apportate queste novità:

  • Migliore controllo nella definizione dell’ambito della raccolta dei dati (ad es. possibilità di raccogliere da un sottoinsieme di VMs per un singolo workspace)
  • Raccolta unica ed invio sia a Log Analytics che ad Azure Monitor Metrics
  • Invio verso più workspace (multi-homing per Linux)
  • Possibilità di filtrare meglio gli eventi di Windows
  • Migliore gestione delle estensioni

Azure Monitor per Windows Virtual Desktop (preview)

Azure Monitor permette ora di effettuare le seguenti operazioni relative agli ambienti Windows Virtual Desktop:

  • Visualizzare un riepilogo sullo stato e sull’integrità degli host pool
  • Trovare e risolvere eventuali problemi nel deployment
  • Valutare l’utilizzo delle risorse e prendere decisioni sulla scalabilità e sulla gestione dei costi
  • Comprendere ed indirizzare i feedback degli utenti

Azure Monitor for containers: reports tab e log di deployment

In Azure Monitor for containers è stato reso disponibile un nuovo tab Reports che offre ai clienti un accesso completo a tutti i workbook di monitoring avanzati per Kubernetes, come ad esempio: Node-disk, Node-network, Workloads e monitoring dei Persistent Volume.

Inoltre, è ora possibile visualizzare i log in tempo reale dei deployment di Azure Kubernetes Service (AKS), accedendo direttamente ai Live Logs dei pod. In Log Analytics sarà consentito fare delle ricerche applicando dei filtri per visualizzare i log storici dei deployment dei pod, utile per diagnosticare eventuali problematiche.

Azure Monitor for containers: supporto per i live log dei Private Cluster (preview)

In Azure Monitor for containers è stato introdotto il supporto per i live log dei cluster privati, che consente di visualizzare in tempo reale i log dei container, gli eventi e le metriche dei pod. Per maggiori dettagli a riguardo è possibile consultare la documentazione specifica di Microsoft.

Infrastructure Encryption per i dati di Azure Monitor 

A partire dal 1 novembre 2020 i dati che confluiscono in Azure Monitor vengono crittografati due volte: a livello di servizio e ora anche a livello di infrastruttura, grazie alla double encryption disponibile per Azure storage.

Configure

Azure Automation

Disponibile il supporto per Azure Private Link

Microsoft ha introdotto il supporto per gli Azure Private Link, necessari per connettere in modo sicuro le reti virtuali ad Azure Automation tramite l’utilizzo di endpoint privati. Questa funzionalità risulta utile per:

  • Stabilire una connessione privata con Azure Automation, senza aprire l’accesso dalla rete pubblica.
  • Assicurare che i dati di Azure Automation siano accessibili solo attraverso reti private autorizzate.
  • Proteggersi dall’estrazione dei dati permettendo un accesso granulare a specifiche risorse.
  • Mantenere tutto il traffico all’interno della rete backbone di Microsoft Azure.

Disponibilità in nuove region

Azure Automation è ora disponibile nelle region di “Norway East” e “Germany West Central”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Supporto per i runbook Python3 (preview)

In Azure Automation è ora possibile importare, creare ed eseguire runbook Python 3 in Azure oppure in un Hybrid Runbook Worker.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (December 2020 – Weeks: 51 and 52)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure VMware Solution: now available in UK South and Japan East Azure regions

The new Azure VMware Solution empowers customers to seamlessly extend or migrate their existing on-premises VMware applications to Azure without the cost, effort or risk of re-architecting applications or retooling operations. General Availability of the new Azure VMware Solution was announced at Microsoft Ignite, Sept 2020, with initial availability in US East, US West, West Europe and Australia. Microsoft has now expanded availability to two more Azure regions Japan East and UK South. For updates on more upcoming region availability please visit the product by region page here.

HBv2-series VMs for HPC now available in the UAE North region

HBv2 VMs are now Generally Available in the Azure UAE North region.

Storage

Azure File Sync agent v11.1

Azure File Sync agent v11.1 is now on Microsoft Update and Microsoft Download Center.

Improvements and issues that are fixed:

  • New cloud tiering modes to control initial download and proactive recall
    • Initial download mode: you can now choose how you want your files to be initially downloaded onto your new server endpoint. Want all your files tiered or as many files as possible downloaded onto your server by last modified timestamp? You can do that! Can’t use cloud tiering? You can now opt to avoid tiered files on your system. To learn more, see Create a server endpoint section in the Deploy Azure File Sync documentation.
    • Proactive recall mode: whenever a file is created or modified, you can proactively recall it to servers that you specify within the same sync group. This makes the file readily available for consumption in each server you specified. Have teams across the globe working on the same data? Enable proactive recalling so that when the team arrives the next morning, all the files updated by a team in a different time zone are downloaded and ready to go! To learn more, see Proactively recall new and changed files from an Azure file share section in the Deploy Azure File Sync documentation.
  • Exclude applications from cloud tiering last access time tracking
    • You can now exclude applications from last access time tracking. When an application accesses a file, the last access time for the file is updated in the cloud tiering database. Applications that scan the file system like anti-virus cause all files to have the same last access time which impacts when files are tiered. For more details, see the release notes.
  • Miscellaneous performance and reliability improvements
    • Improved change detection performance to detect files that have changed in the Azure file share.
    • Improved sync upload performance.
    • Initial upload is now performed from a VSS snapshot which reduces per-item errors and sync session failures.
    • Sync reliability improvements for certain I/O patterns.
    • Fixed a bug to prevent the sync database from going back-in-time on failover clusters when a failover occurs.
    • Improved recall performance when accessing a tiered file.

More information about this release:

  • This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
  • The agent version for this release is 11.1.0.0.
  • A restart may be required if files are in use during the agent installation.
  • Installation instructions are documented in KB4539951.

Le possibilità offerte da Azure per l’esecuzione dei container

La forte tendenza nello sviluppo di applicazioni che prevedono architetture basate su microservizi rendono i container perfetti per eseguire il deployment del software in modo efficiente ed operare su larga scala. I container sono in grado di funzionare su sistemi operativi Windows, Linux e Mac, su macchine virtuali oppure bare metal, in data center on-premise e, ovviamente, nel cloud pubblico. Microsoft è certamente uno dei principali provider che consente l’esecuzione di container a livello enterprise nel cloud pubblico. In questo articolo viene riportata una panoramica delle principali soluzioni che è possibile adottare per l’esecuzione di container in ambiente Microsoft Azure.

Macchine virtuali

Le macchine virtuali IaaS in ambiente Azure sono in grado di fornire la massima flessibilità per eseguire container Docker. Infatti, su macchine virtuali Windows e Linux è possibile installare il runtime Docker e grazie alla disponibilità di diverse combinazioni di CPU e RAM si può disporre delle risorse necessarie per eseguire uno o più container. Questo approccio è tipicamente consigliato in ambienti di DevTest, in quanto l’onere di configurazione e manutenzione della macchina virtuale non è comunque trascurabile.

Approcci serverless

Azure Container Instances (ACI)

Azure Container Instances (ACI) è il metodo più semplice e rapido in Azure per l’esecuzione di container on-demand in un ambiente serverless gestito. Il tutto viene reso possibile senza dover attivare macchine virtuali specifiche e la manutenzione necessaria è pressoché trascurabile. La soluzione Azure Container Instances è idonea in scenari che richiedono container isolati, senza la necessità di adottare un sistema complesso di orchestrazione. ACI è infatti in grado di fornire solo alcune funzionalità di schedulazione di base offerte delle piattaforme di orchestrazione e, sebbene non copra i servizi di valore forniti da tali piattaforme, può essere visto come una soluzione complementare.

Le risorse di primo livello in Azure Container Instances sono i Container group, una raccolta di container che vengono schedulati sulla stessa macchina host. I container all’interno di un Container group condividono il lifecycle, le risorse, la rete locale ed i volumi di archiviazione. Il concetto di Container group è simile a quello del pod in ambiente Kubernetes.

Figura 1 – Esempio di container group in Azure Container Instances

Il servizio Azure Container Instances comporta dei costi che dipendono dal numero di vCPU e di GBs di memoria allocati al secondo. Per maggiori dettagli sui costi è possibile consultare la relativa pagina ufficiale Microsoft.

Azure Web App for Containers

Per carichi di lavoro web-based esiste la possibilità di far eseguire i container dagli Azure App Service, la piattaforma Azure di web hosting, utilizzando il servizio Azure Web App for Containers, con il vantaggio di poter sfruttare le metodologie di distribuzione, scalabilità e monitor intrinseche nella soluzione.

Azure Batch e container

Se i workload prevedono la necessità di scalare con più job batch è possibile inserirli in container e gestire lo scaling tramite Azure Batch. In questo scenario la combinazione tra Azure Batch e container risulta vincente. Azure Batch consente l’esecuzione ed il ridimensionare di un numero elevato di processi di elaborazione batch in Azure, mentre i container forniscono un metodo semplice per eseguire le attività Batch, senza dover gestire l’ambiente e le relative dipendenze, necessarie per l’esecuzione delle applicazioni. In questi scenari è possibile prevedere l’adozione delle low-priority VMs con Azure Batch per ridurre i costi.

Orchestrazione dei container

I task di automazione e gestione di un numero elevato di container e le modalità con le quali questi interagiscono applicativamente tra di loro è noto come orchestrazione. Nel caso quindi ci sia la necessità di orchestrare più containers è necessario adottare soluzioni più sofisticate come: Azure Kubernetes Service (AKS) oppure Azure Service Fabric.

Azure Kubernetes Service (AKS)

Azure Kubernetes Service (AKS) è il servizio Azure completamente gestito che permette l’attivazione di un cluster Kubernetes.

Kubernetes, conosciuto anche come “k8s”, provvede all’orchestrazione automatizzata dei container, migliorandone l’affidabilità e riducendo il tempo e le risorse necessarie in ambito DevOps. Kubernetes tende a semplificare i deployment, permettendo di eseguire automaticamente le implementazioni ed i rollback. Inoltre, permette di migliorare la gestione delle applicazioni e di monitorare lo stato dei servizi per evitare errori in fase di implementazione. Tra le varie funzionalità sono previsti controlli di integrità dei servizi, con la possibilità di riavviare i container che non sono in esecuzione oppure che risultano bloccati, permettendo di annunciare ai client solo i servizi correttamente avviati. Kubernetes permette inoltre di scalare automaticamente in base all’utilizzo ed esattamente come i container, permette di gestire in maniera dichiarativa l’ambiente cluster, consentendo una configurazione controllata a livello di versione e facilmente replicabile.

Figura 2 – Esempio di architettura a microservizi basata su Azure Kubernetes Service (AKS)

Azure Service Fabric

Un’altra possibilità per orchestrare i container è l’adozione dell’affidabile e flessibile piattaforma Azure Service Fabric. Si tratta dell’orchestratore di container di Microsoft che permette il deployment e la gestione dei microservizi in ambienti cluster ad elevata intensità e con tempi di deployment molto rapidi. Con questa soluzione si ha la possibilità, per la stessa applicazione, di unire servizi che risiedono in processi e servizi all’interno di container. L’architettura unica e scalabile di Service Fabric consente di eseguire analisi dei dati pressoché in tempo reale, calcoli computazionali in memoria, transazioni parallele ed elaborazione di eventi nelle applicazioni. Service Fabric offre un runtime sofisticato e leggero che supporta microservizi stateless e stateful. Un elemento chiave di differenziazione di Service Fabric è il suo robusto supporto per la creazione di servizi stateful, adottando modelli di programmazione built-in di Service Fabric oppure servizi stateful containerizzati. Per maggiori informazioni sugli scenari applicativi che possono trarre vantaggio dai servizi stateful di Service Fabric è possibile consultare questo documento.

Figura 3 – Panoramica di Azure Service Fabric

Azure Service Fabric può vantare di ospitare molti servizi Microsoft, tra i quali Azure SQL Database, Azure Cosmos DB, Cortana, Microsoft Power BI, Microsoft Intune, Azure Event Hubs, Azure IoT Hub, Dynamics 365, Skype for Business, e molti servizi core di Azure.

Conclusioni

Microsoft offre un ventaglio di opzioni per l’esecuzione dei container nel proprio cloud pubblico. La scelta della soluzione più adatta alle proprie esigenze tra tutte quelle offerte, nonostante richieda una attenta valutazione, permette di avere una elevata flessibilità. Dall’adozione di approcci serverless, alla gestione di ambienti cluster per l’orchestrazione, fino alla creazione di una propria infrastruttura basata su macchine virtuali è possibile trovare la soluzione ideale per eseguire i container in ambiente Microsoft Azure.

Azure IaaS and Azure Stack: announcements and updates (December 2020 – Weeks: 49 and 50)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure Dedicated Host: automatic VM placement and Azure Virtual Machine Scale Sets available

You can simplify the deployment and increase the scalability of your Azure Dedicated Hosts environments with two new features now generally available:

  • You can accelerate the deployment of Azure VMs in Dedicated Hosts by letting the platform select the host group to which the VM will be deployed.
  • You can also use Virtual Machine Scale Sets in conjunction with Dedicated Hosts. This new capability allows IT organizations to use scale sets across multiple dedicated hosts part of a dedicated hosts group. 

New datacenter region in Denmark

Microsoft has announced the most significant investment in its 30-year history in Denmark, introducing Denmark as the location for its next sustainable datacenter region and a comprehensive skilling commitment for an estimated 200,000 Danes by 2024. Powered by 100 percent renewable energy, the datacenter region will provide Danish customers of all sizes faster access to the Microsoft Cloud, world-class security and the ability to store data at rest in the country.

HBv2-series VMs for HPC are now available in UAE North

HBv2 VMs for supercomputing lass HPC are now generally available in the Azure UAE North region.

Storage

Azure Storage blob inventory (preview)

A lot of valuable data is stored in Azure Blob Storage. Customers frequently want to have an overview of their data for business and compliance reasons. The Azure Storage blob inventory feature provides an overview of your blob data within a storage account. Use the inventory report to understand your total data size, age, encryption status, and so on. Enable blob inventory reports by adding a policy to your storage account. Add, edit, or remove a policy by using the Azure portal. Once enabled, an inventory report is automatically created daily.

Azure Storage account recovery available via portal

Azure Storage uses a storage account to contain all of your Azure Storage data including: blobs, files,  tables, queues, and disks.  Accidentally deleting a storage account deletes all data in the account and previously could not be recovered. Microsoft is announcing that storage account recovery is available with some restrictions and this functionality is available via the Azure Portal. 

 For a storage account to be recoverable: 

  • A new storage account with the same name has not been recreated since deletion 
  • The storage account was deleted in the last 14 days 
  • It is not a classic storage account 
  •  Azure Blob Storage NFS 3.0 preview supports general purpose v2 (GPV2) storage accounts with standard tier performance in the following regions: Australia East, Korea Central, and South Central US. In addition, the NFS 3.0 preview is expanded to support block blob with premium performance tier in all available regions.  

Azure Blob Storage NFS 3.0 preview supports general purpose v2 (GPV2) storage accounts

Azure Blob Storage NFS 3.0 preview supports general purpose v2 (GPV2) storage accounts with standard tier performance in the following regions: Australia East, Korea Central, and South Central US. In addition, the NFS 3.0 preview is expanded to support block blob with premium performance tier in all available regions.

Azure Stack

Azure Stack Edge

Virtual Machine Support (public preview)

Azure Stack Edge hosts Azure virtual machines so you can run your VM based IoT, AI, and business applications on an Azure appliance at your location. The system includes deployment and management from the Azure portal, meaning you use the Azure Portal to deploy a VM Image and a VM to your Edge device at your location. Because Azure Stack Edge supports Azure VMs, you can build and test your VM image in Azure before deploying straight to the edge. For local control, ARM compatible APIs and templates can deploy and manage VMs, even when the device is disconnected from Azure.

Kubernetes system is available

Azure Stack Edge includes a managed Kubernetes environment so you can deploy your containerized apps to the edge using this industry standard technology. Just click a button in the Azure Portal and Azure Stack Edge will create a Kubernetes cluster and keep it running for you. Then deploy your Kubernetes apps from the cloud via IoT Edge or Arc enabled Kubernetes. Or use native kubectl tools for local deployment. This makes it simple to have an on-premises Kubernetes environment for your AI, IoT, and modern business applications.

Azure Stack HCI

The new Azure Stack HCI is now generally available

Azure Stack HCI is the new subscription service for hyperconverged infrastructure from Microsoft Azure. Azure Stack HCI brings together the familiarity and flexibility of on-premises virtualization with powerful new hybrid capabilities. With Azure Stack HCI, you can run virtual machines, containers, and select Azure services on-premises with management, billing, and support through the Azure cloud.

Azure Stack Hub

Event hubs is available

Event Hubs is a reliable and scalable event streaming engine that backs thousands of applications across every kind of industry in Microsoft Azure. Microsoft is announcing the general availability of Event Hubs on Azure Stack Hub. Event Event Hubs on Azure Stack Hub will allow you to realize cloud and on-premises scenarios that use streaming architectures.

 

Azure IaaS and Azure Stack: announcements and updates (November 2020 – Weeks: 47 and 48)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure Hybrid Benefit for Linux

Azure Hybrid Benefit functionality is available for Linux customers, allowing you to bring both your on-premises Windows Server and SQL Server licenses, as well as Red Hat Enterprise Linux (RHEL) or SUSE Linux Enterprise Server (SLES) subscriptions to Azure.

Microsoft to establish its first datacenter region in Sweden

Microsoft’s newest datacenter region will be among the most sustainable to date, as Microsoft will be partnering with Vattenfall around their 24/7 matching solution, which will track renewable energy consumption in the upcoming Swedish datacenters. The Microsoft Cloud delivered from datacenters in Sweden will enable Swedish businesses to empower employees, engage customers, transform products, and optimize operations, all through connected experiences and supported by advanced data privacy and security. Upcoming plans also include a skilling initiative for up to 150,000 Swedes. Microsoft’s community investments in Sweden total more than $1.25 million (U.S.) in partnership with 13 organizations to advance STEM programs focused on youth, skilling and culture. The new region will also deliver Availability Zones.

Storage

SMB Multichannel available on Azure Files premium tier (preview)

SMB Multichannel enables an SMB 3.x client to establish multiple network connections to a premium file share, and hence, increasing client’s performance up to 3x in terms of IOPS and throughput. Workloads running on the premium file shares can now achieve the required scale from a single virtual machine (VM) or a smaller set of VMs, thereby reducing the total cost of ownership.

Performance tiers for Premium SSDs

To sustain high performance demands for a specific duration, such as running a training environment during daytime, performance testing, or an event like Black Friday, you can now set the performance tier of your Premium SSDs without increasing the capacity of the disk. This provides the flexibility to achieve higher performance while also controlling costs. To start with, a baseline performance tier is set based on the provisioned disk size. However, when your application has higher performance demands, you can choose a higher performance tier. Once the period of high demand is complete, your provisioned disk can return to the initial baseline performance tier. For example, if you initially provision a P10 disk (128GB), your baseline performance tier is set as P10 (500 IOPS and 100MB/s). Later, you can update the tier to match the performance of P50 (7500 IOPS and 250MBs) and return to P10 when higher performance is no longer needed.

More IOPS at no additional cost for Azure Files premium tier

Effective immediately, all premium shares get an input/output per second (IOPS) uplift for free. All shares get an additional 400 baseline IOPS, and even the smallest share of 100 GiB can now burst up to 4,000 IOPS. This change is particularly beneficial for workloads that do not have a high capacity requirement but need extra performance to accommodate spikes in traffic or sudden unpredictable loads, such as web applications, backup and restore operations, and batch jobs.

Earlier:

  • Baseline IOPS = 1 * provisioned GiB. (Up to a max of 100,000 IOPS).
  • Burst Limit = 3 * Baseline IOPS. (Up to a max of 100,000 IOPS).

With this change:

  • Baseline IOPS = 400 + 1 * provisioned GiB. (Up to a max of 100,000 IOPS).
  • Burst Limit = MAX (4,000, 3 * Baseline IOPS). (Up to a max of 100,000 IOPS).

The new IOPS limits are available in all Azure Files premium tier regions. This additional free IOPS offer coupled with our recent price reduction of 33% on Azure Files premium tier will significantly reduce the total cost of deployment.

Networking

VPN over ExpressRoute private peering

For customers such as those in financial and health industries, double encryption over both their private WANs and Azure WAN is a key compliance requirement. VPN over ExpressRoute private peering allows customers to use IPsec tunnels over their ExpressRoute private peering to satisfy this need. You can configure a Site-to-Site VPN to a virtual network gateway over an ExpressRoute private peering using an RFC 1918 IP address. This configuration provides the following benefits:

  • Traffic over private peering is encrypted.

  • Point-to-site users connecting to a virtual network gateway can use ExpressRoute (via the Site-to-Site tunnel) to access on-premises resources.

New features for Azure VPN Gateway

 The following new features for Azure VPN Gateway as generally available:

  • High availability for RADIUS servers in point-to-site VPN – This feature enables highly available configuration for customers using RADIUS/AD authentication for their point-to-site VPN.
  • Custom IPsec/IKE policy with DPD timeout – Setting IKE DPD (Dead Peer Detection) timeout allows customers to adjust the IKE session timeout value based on their connection latency and traffic conditions to minimize unnecessary tunnel disconnect, improving both reliability and experience. This feature brings the entire custom IPsec/IKE policy configuration experience to Azure Portal.
  • APIPA support for BGP speaker – This feature supports customers with legacy VPN routers and Amazon Web Service (AWS) VGW, Google Cloud Platform (GCP) VPN which use Automatic Private IP Addressing (APIPA) addresses as their Border Gateway Protocol (BGP) speaker IP addresses. Now they can establish BGP sessions with Azure VPN gateways using APIPA (169.254.x.x) addresses.
  • FQDN support for site-to-site VPN – This feature supports customer branches or locations without static public IP addresses to connect to Azure VPN gateways. Customers can now leverage dynamic DNS services and use their Fully Qualified Domain Name (FQDN) instead of IP addresses. Azure VPN gateways will automatically resolve and update the VPN target to establish IPsec/IKE connections.
  • Session management and revocation for point-to-site VPN users – Enterprise administrators can now list and revoke individual user connections to their VPN gateways from Azure Portal in real time, addressing a key management asks.

Azure Management services: le novità di Novembre 2020

Nel mese di novembre Microsoft ha svelato numerose novità riguardanti gli Azure management services. La nostra community, tramite questi articoli rilasciati con cadenza mensile, vuole fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Nuova versione dell’agente per sistemi Linux

Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per i sistemi Linux, che include diversi miglioramenti e garantisce una maggiore stabilità. Tra le principali novità il supporto per Red Hat Enterprise Linux 8, CentOS 8, Ubuntu 20.04 e SLES 15 SP1+, oltre che un’estensione delle funzionalità per Azure Arc VMs. Viene inoltre incluso un nuovo strumento di troubleshooting.

Disponibilità in nuove regions

Azure Log Analytics è ora disponibile nelle region di “Brazil Southeast” e “Norway East”. Inoltre è disponibile in preview in tre nuove regions: “Germany West Central”, “UAE North”, e “Switzerland West”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Virtual Machines Guest Health (preview)

La funzionalità Virtual Machines Guest Health permette di monitorare lo stato di integrità della CPU, dei dischi e della memoria per una macchina virtuale e consente di ricevere degli avvisi a fronte di modifiche. Ogni monitor misura lo stato di salute di un particolare componente e i tre stati contemplati sono: Healthy, Warning, e Critical. Questi stati vengono definiti in base alle soglie impostate dall’utente per ciascun monitor. La funzionalità Virtual Machines Guest Health ha un modello gerarchico “padre-figlio” dove l’integrità generale della macchina virtuale è determinata dall’integrità dei suoi singoli monitor e corrisponde allo stato del monitor “figlio” avente lo stato di integrità peggiore.

Configure

Azure Automation

Disponibilità in una nuova region

Azure Automation è ora disponibile nelle region di “Brazil Southeast”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Govern

Azure Policy

Export e gestione delle Azure Policy as code con GitHub

Ora risulta possibile esportare le policy di Azure su GitHub direttamente dal portale Azure, tramite la funzionalità “Export definitions”. Dopo aver effettuato l’esportazione è possibile usare le azioni di GitHub per creare workflows personalizzati per la distribuzione delle policy da GitHub verso Azure. Per maggiori informazioni a riguardo è possibile consultare questa documentazione.

Azure Advisor

Nuove raccomandazioni

In Azure Adivisor sono state aggiunte le seguenti raccomandazioni utili per migliorare l’affidabilità e le prestazioni delle risorse Azure.

Affidabilità:

Prestazioni:

Protect

Azure Backup

Soft Delete per SQL Server e per SAP HANA nelle VMs Azure

In Azure Backup è stata ufficialmente rilasciata la funzionalità di soft delete anche per quanto riguarda la protezione di SQL Server e SAP HANA a bordo di macchine virtuali AzureSoft delete è una funzionalità di security che consente di proteggere i backup anche in seguito alla cancellazione. Grazie a Soft delete, nell’eventualità che un backup venga rimosso in modo accidentale o per azioni malevole, si ha la garanzia che il dato di backup sia comunque mantenuto per 14 giorni dalla data di cancellazione. Questa funzionalità, che non prevede costi aggiuntivi, permette di recuperare eventuali backup rimossi entro il periodo di retention.

Novità nella protezione di SAP HANA 

Azure Backup consente di eseguire facilmente il backup ed il ripristino dei database SAP HANA in esecuzione su macchine virtuali di Azure ed è certificata BackInt da SAP. In merito alla protezione di SAP HANA sono state introdotte le seguenti novità:

  • Il supporto per i backup incrementali dei database di SAP HANA (preview).
  • Il backup SAP HANA di Azure Backup usa uno script di pre-registrazione per creare un utente HANA per eseguire operazioni di backup e ripristino, il quale ha subito aggiornamenti significativi in merito alle autorizzazioni richieste dall’utente utilizzato per svolgere i backup.

Protezione long term per Azure PostgreSQL

Azure Backup prevede la possibilità di mantenere i backup di Azure Database per PostgreSQL fino 10 anni. Per consultare le funzionalità avanzate di protezione dei database di Azure PostgreSQL è possibile consultare questo articolo.

Supporto dei template Azure Resource Manager per il backup delle Azure file share

Azure Backup ha introdotto la possibilità di effettuare la configurazione della protezione dei backup per le Azure file shares utilizzando il modello dichiarativo Azure Resource Manager (ARM). Grazie a questa nuova opzione è possibile abilitare il backup delle Azure file shares tramite uno specifico file JSON che può essere distribuito tramite il portale Azure, Azure Powershell oppure con l’interfaccia da riga di comando di Azure.

Azure Site Recovery

DR per Azure VM: aumentata la dimensione massima dei dischi

Tramite Azure Site Recovery è ora possibile abilitare scenari di Disaster Recovery per le macchine virtuali in Azure con dischi managed fino a 32 TB, replicati in una region secondaria.

Migrate

Azure Migrate

Supporto di PowerShell per lo strumento Server Migrate

In Azure Migrate, grazie all’aggiunta di una nuova interfaccia di gestione basata su PowerShell per lo strumento Server Migrate, è possibile configurare e gestire la replica e la migrazione dei server in Azure utilizzando i cmdlet di Azure PowerShell. Questo permette di eseguire migrazioni in modo ripetibile ed automatizzato, potendo ottenere una maggiore scalabilità e velocità nei processi di migrazione.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure Networking: nuove funzionalità da conoscere per progettare al meglio le architetture di rete

Le soluzioni cloud evolvono molto rapidamente e rimanere costantemente aggiornati è un elemento fondamentale per innovarsi e per saper rispondere efficacemente ai cambiamenti tecnologici. Con il cambio di passo imposto dalla digital transformation anche le infrastrutture di rete devono essere sempre più efficienti, flessibili ed in grado di erogare al meglio i servizi richiesti dal business aziendale. Per modernizzare la propria strategia di progettazione e di implementazione in ambito Azure Networking è perciò importante valutare come evolvono le varie tecnologie. In questo articolo vengono riportate le novità recentemente rilasciate da Microsoft e che possono interessare la progettazione del networking di Azure, con dei riferimenti a dei casi d’uso reali.

Azure Bastion e VNet peering

Azure Bastion è un servizio PaaS che offre un accesso RDP ed SSH sicuro e affidabile alle macchine virtuali, direttamente tramite il portale di Azure. Il provisioning del servizio Azure Bastion viene effettuato all’interno di una Virtual Network di Azure e consente l’accesso senza dover assegnare degli indirizzi IP pubblici direttamente ai sistemi.

La novità è che ora Azure Bastion può lavorare in sinergia con i Virtual Network (VNet) peering. Questo significa che è possibile attivare Azure Bastion su una VNet specifica e lo stesso servizio può essere utilizzato per connettersi anche alle macchine virtuali attestate sulle VNet in peering con questa.

Azure Bastion funziona sia in presenza di network peering che collegano VNet sulla stessa region di Azure, sia con VNet peering di tipologia global, che collegano VNet dislocate in region di Azure differenti. Dal punto di vista delle architetture di rete questa possibilità apre nuovi possibili scenari. Nel modello di rete tipico ed ampiamente utilizzato, definito hub-and-spoke, si ha una rete virtuale in Azure di hub che funge da punto di connettività verso la rete on-premises e le reti virtuali che eseguono il peering con l’Hub vengono definite spoke, utili per isolare i carichi di lavoro. Adottando questo modello è possibile attivare Azure Bastion sulla rete di hub. In questo modo sarà possibile raggiungere con un unico servizio Azure Bastion anche tutte le macchine virtuali distribuite nelle VNet di spoke.

Figura 1 – Azure Bastion in una architettura hub-and-spoke

Nel diagramma seguente viene riportato il deployment di Azure Bastion in una architettura di rete hub-and-spoke dove:

  • Il Bastion host viene attivato nella rete virtuale centralizzata di Hub.
  • Vengono consentite le comunicazioni, per le porte TCP 3389 e 22, provenienti dalla subnet di Azure Bastion presente nella virtual network di Hub, verso gli IP privati delle virtual network di Spoke.
  • Nessun IP pubblico viene richiesto per accedere alle macchine virtuali.

Grazie a questa configurazione sarà possibile semplificare l’architettura e ridurre i costi Azure, in quanto sarà necessario un solo servizio Azure Bastion per l’intera topologia di rete hub-and-spoke.

Inoltre, può essere effettuato il provisioning di Azure Bastion anche in topologie di rete full-mesh, ottenendo la medesima esperienza di accesso ai sistemi in modalità RDP / SSH per le VMs attestate su tutte le virtual network in peering.

Si riportano alcune osservazioni in merito:

  • Risulta possibile avere attivi contemporaneamente più Bastion hosts tra virtual network in peering. Questo può accadere in particolare nel periodo di transizione, quando si vogliono consolidare diversi Bastion hosts secondo la topologia hub-and-spoke sopra descritta. In presenza di più Bastion host, quando si effettuerà la connessione, sarà proposto di scegliere quale Bastion host utilizzare.
  • Attualmente Azure Bastion supporta gli scenari di virtual network in peering solo se queste risiedono in subscription appartenenti allo stesso tenant.

Azure Firewall: nuove impostazioni DNS

Azure Firewall è la soluzione di firewall-as-a-service (FWaaS) presente nel cloud pubblico di Microsoft, che consente di mettere in sicurezza le risorse presenti nelle Virtual Network di Azure e di governare i relativi flussi di rete. Le funzionalità di Azure Firewall sono state arricchite aggiungendo il supporto dei custom DNS e del DNS proxy.

Custom DNS

Per impostazione predefinita Azure Firewall utilizza i DNS di Azure per la risoluzione dei nomi. Ora è stata inclusa la possibilità di configurare Azure Firewall per utilizzare dei server DNS specifici.

Nelle impostazioni è possibile configurare un singolo server DNS oppure più server DNS:

Figura 2 – Impostazione dei custom DNS in Azure Firewall dal portale Azure

Azure Firewall può effettuare la risoluzione dei nomi anche utilizzando Azure Private DNS. In questo scenario è richiesto che la VNet all’interno della quale risiede Azure Firewall sia collegata all’Azure Private Zone.

DNS proxy

Azure Firewall può ora essere configurato per svolgere il ruolo di DNS proxy. Abilitando questa nuova funzionalità è possibile configurare come DNS delle virtual network l’indirizzo IP privato di Azure Firewall. In questo modo tutto il traffico DNS viene indirizzato verso Azure Firewall, il quale funge da intermediario tra i sistemi che effettuano le richieste DNS e i server DNS stessi, evitando in questo modo possibili incoerenze nelle risoluzioni dei nomi se vengono utilizzati dei DNS custom.

Quando il firewall di Azure agisce come DNS proxy, sono previste due tipologie di cache:

  • Positive cache: la risoluzione DNS va a buon fine. In questo caso Azure Firewall utilizza il TTL (time to live) del pacchetto o dell’oggetto.
  • Negative cache: la risoluzione DNS non va a buon fine. In questo caso le informazioni vengono memorizzate nella cache di Azure Firewall per un’ora.

Figura 3 – Configurazione di Azure Firewall come DNS proxy dal portale Azure

Questa funzionalità consente di valutare un nuovo scenario di utilizzo per Azure Firewall, molto utile quando si ha la necessità di gestire la risoluzione DNS in presenza dei Private Link, il meccanismo che permette di instaurare una connessione privata verso i servizi in Azure.

Ad ogni servizio PaaS di Azure che utilizza Azure Private Link viene assegnato un FQDN mappato e archiviato in una Azure Private DNS zone. Le richieste inviate verso le Azure DNS Private Zones vengono indirizzate all’IP di piattaforma 168.63.129.16, il quale è raggiungibile solo dall’interno dell’ambiente Azure. Per questa ragione, se la richiesta DNS ha origine dai sistemi on-premises (o comunque dall’esterno di Azure), è necessario attivare un DNS proxy all’interno di una rete virtuale di Azure connessa all’ambiente on-premise. Grazie a questa nuova funzionalità di DNS proxy di Azure Firewall è possibile gestire questa sfida di risoluzione dei nomi dei servi PaaS che utilizzano Private Link con i seguenti step:

  • La VNet all’interno della quale risiede Azure Firewall la si collega all’Azure Private Zone.
  • Azure Firewall lo si configura per utilizzare il DNS predefinito di Azure e si abilita la funzionalità di DNS Proxy.
  • Si configura il server DNS locale per inoltrare in modo condizionale le richieste ad Azure Firewall per il nome della zona richiesto.

Azure Firewall: utilizzo di FQDN filtering nelle network rule

Nelle Network Rule di Azure Firewall è ora possibile utilizzare dei fully qualified domain name (FQDN) basati sulla risoluzione DNS di Azure Firewall. Questa funzionalità permette di filtrare il traffico in uscita per qualsiasi protocollo TCP / UDP (NTP, SSH, RDP, etc.) e richiede che sia attiva la funzionalità di DNS proxy descritta nel paragrafo precedente. Azure Firewall, quando configurato come DNS proxy, archivia tutti gli indirizzi IP risolti dagli FQDN utilizzati nelle network rule. Per questa ragione come best practice è bene utilizzare gli FQDN nelle network rule.

Azure Firewall, sia per le application rule che per le network rule, converte l’FQDN in uno o più indirizzi IP in base al server DNS selezionato (Azure DNS oppure DNS personalizzato). Nel momento in cui avviene una nuova risoluzione DNS vengono aggiunti i nuovi indirizzi IP alle regole del firewall, mentre gli indirizzi IP che non vengono più restituiti dal server DNS hanno una scadenza di 15 minuti. Le Network Rule di Azure Firewall vengono aggiornate ogni 15 secondi utilizzando la risoluzione DNS. Se si ha la necessità di applicare dei filtri FQDN rimane comunque buona norma utilizzare sempre le application rule di Azure Firewall per i protocolli HTTP/S oppure MSSQL, mentre per tutti i restanti protocolli è possibile utilizzare sia le application rule che le network rule.

Nuove funzionalità per gli Azure VPN gateway

In seguito, si riportano le nuove funzionalità che è possibile adottare in presenza degli Azure VPN gateway:

  • Alta disponibilità dei server RADIUS nelle VPN point-to-site: questa funzionalità consente di effettuare una configurazione in alta disponibilità presso i clienti che utilizzano l’autenticazione RADIUS/AD per le VPN point-to-site.
  • Policy IPsec/IKE personalizzate con timeout DPD: l’impostazione del timeout IKE DPD (Dead Peer Detection) consente di regolare il valore di timeout della sessione IKE in base alla latenza di connessione e alle condizioni del traffico. Questa configurazione risulta utile per ridurre al minimo le disconnessioni del tunnel, migliorando l’affidabilità e l’esperienza di utilizzo.
  • Supporto APIPA per gli annunci BGP: questa funzione consente di stabilire sessioni Border Gateway Protocol (BGP), con i VPN gateway di Azure, usando indirizzi APIPA (169.254.x.x). Questa funzionalità è utile in particolare per i clienti con router VPN legacy, Amazon Web Service (AWS) VGW, Google Cloud Platform (GCP) VPN che utilizzano indirizzi APIPA (Automatic Private IP Addressing) per annunciare gli indirizzi BGP.
  • Supporto dei nomi FQDN per le VPN site-to-site: questa funzionalità consente di configurare le VPN site-to-site in presenza di apparati che non dispongono di indirizzi IP pubblici statici per connettersi ai VPN gateway di Azure. Risulta infatti possibile utilizzare il nome di dominio completo (FQDN) anziché gli indirizzi IP. I VPN gateway di Azure saranno in grado di effettuare la risoluzione del nome DNS, aggiornando automaticamente la destinazione per stabilire le connessioni IPsec/IKE della VPN.
  • Gestione delle sessioni e revoca degli utenti per le VPN point-to-site: viene data la possibilità di elencare e revocare le connessioni dei singoli utenti ai VPN gateway, direttamente dal portale di Azure ed in tempo reale.

Conclusioni

Diverse sono le novità rilasciate recentemente da Microsoft in ambito Azure networking ed è opportuno valutarle attentamente per effettuare una progettazione accurata. In questo modo sarà possibile realizzare architetture di rete efficaci, ottimizzando i costi ed in grado di sfruttare tutte le potenzialità offerte dalla piattaforma Azure.