Archivi categoria: Cloud

Azure management services e System Center: novità di Settembre 2019

Anche nel mese di settembre sono state annunciate da parte di Microsoft novità riguardanti gli Azure management services e System Center. La nostra community pubblica mensilmente questo riepilogo per fornire una panoramica complessiva di queste novità. In questo modo è possibile rimanere sempre aggiornati su tali argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 40 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Azure Backup

Supporto per dischi fino a 30 TB

Per Azure Backup è stato annunciato il supporto in public preview per dischi Managed di grandi dimensioni, fino a 30TB. Per maggiori informazioni a riguardo è possibile consultare questo articolo.

System Center

Nuovo Update Rollup per System Center 2016

Microsoft ha rilasciato l’Update Rollup 8 (UR8) per System Center 2016. Si tratta del secondo update rollup dell’anno e include aggiornamenti per i seguenti prodotti, prevalentemente rivolti alla risoluzione di problematiche:

System Center Configuration Manager

Nuovi rilasci per il Technical Preview Branch

Per Configuration Manager è stato rilasciato l’update 1909 che tra le principali novità prevede la possibilità di creare dei gruppi di orchestrazione, per meglio controllare il deployment dei software updates. Gli Orchestration Groups sono pensati per dare una maggiore flessibilità in fase di aggiornamento dei dispositivi, prevedendo anche la possibilità di eseguire degli script PowerShell prima e dopo la fase di update deployment.

Per verificare i dettagli riguardanti le novità incluse in questi aggiornamenti è possibile consultare questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure Migrate: introduzione alla soluzione

La migrazione dei workload ospitati presso i datacenter on-premises verso Azure è un processo sfidante che viene richiesto sempre più frequentemente per sfruttare i benefici del cloud. Per affrontare nel migliore dei modi il percorso di migrazione ed ottenere i risultati sperati è opportuno effettuare una attenta analisi preliminare ed utilizzare tool adeguati. Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. In questo articolo vengono riportate le caratteristiche principali di Azure Migrate e le novità che hanno recentemente interessato questa soluzione.

Azure Migrate struttura il processo di migrazioni in fase differenti: discovery, assessment, e migrazione. Questo approccio consente di avere un’esperienza integrata che garantisce continuità e permette di avere una visione complessiva del processo di migrazione.

Attualmente la soluzione è in grado di contemplare i seguenti scenari di migrazione verso Azure:

  • Sistemi virtuali, in ambiente VMware, Hyper-V o in altri cloud pubblici (AWS, Google) e macchine fisiche.
  • Database SQL Server verso Azure SQL Database oppure Azure SQL Database Managed Instance.
  • Web App basate su .NET oppure PHP verso Azure App Service, il relativo servizio Azure di Platform-as-a-Service.
    • In questo caso si viene direttamente indirizzati verso la pagina di App Service Migration, che fornendo l’URL pubblico effettua la scansione e fornisce un report dettagliato delle tecnologie che vengono utilizzate, per individuare se possono essere ospitate da App Service. In caso affermativo è possibile avviare il processo di migrazione tramite il tool Migration Assistant installato localmente.
  • Grossi quantitativi di dati tramite il servizio offline di Data Box.
    • Direttamente dal portale è possibile ordinare un Azure Data Box, monitorare lo stato di spedizione e il relativo processo di copia dei dati verso Azure.

Accedendo ad Azure Migrate dal portale Azure si viene subito indirizzati, in base allo scenario di migrazione che si intende effettuare, agli strumenti più opportuni da utilizzare.

Figura 1 – Overview di Azure Migrate

Per procedere con l’utilizzo dello strumento è necessario creare un nuovo progetto. Tale progetto viene utilizzato per salvare i metadati derivanti dalle attività di discovery, assessment e migrazione effettuate nell’ambiente on-premises. I metadati vengono mantenuti in un datacenter di Azure nell’area geografica selezionata. Si ha comunque la possibilità di utilizzare un progetto in qualsiasi area geografica per eseguire migrazioni verso qualunque region di Azure.

Figura 2 – Creazione del progetto di migrazione

Ciascuna di queste fasi viene effettuata tramite soluzioni fornite direttamente da Microsoft oppure tramite strumenti forniti da vendor di terze parti. Al momento in Azure Migrate sono integrati i tool dei seguenti vendor: Carbonite, Cloudamize, Corent, Device42, Turbonomic, e UnifyCloud.

Figura 4 – Tool di migrazione disponibili

Lo strumento Microsoft che consente di effettuare l’assessment dei server, chiamato “Azure Migrate: Server Assessment”, è stato arricchito con le seguenti funzionalità:

  • Può effettuare il discovery e l’assessment di ambienti VMware che ospitano fino a 35000 macchine virtuali. Il limite nella versione precedente era di 1500 VMs.
  • Si ha la possibilità di effettuare la profilazione di ambienti Hyper-V che ospitano fino a 10000 VMs.
  • I dati di inventory provenienti da ambienti VMware ed Hyper-V possono confluire all’interno dello stesso progetto di Azure Migrate.
  • Fornisce delle indicazioni sul dimensionamento dei sistemi, effettua un’analisi per individuare le dipendenze applicative e fornisce una stima dei costi.

Tutto il processo di discovery e assessment con il tool Server Assessment avviene senza dover installare alcun agente. Si tratta di uno strumento totalmente gratuito per tutti i clienti Azure e presto sarà arricchito per contemplare anche il supporto dei sistemi fisici.

Anche per quanto riguarda il processo di migrazione Microsoft mette a disposizione il proprio tool chiamato “Azure Migrate: Server Migration”, che consente di migrare sistemi virtuali in ambienti VMware, Hyper-V, Amazon Web Services (AWS), e Google Cloud Platform (GCP) e server fisici. Questo strumento è stato recentemente arricchito con le seguenti funzionalità:

  • Possibilità di migrare VMs in ambiente VMware in modalità agentless. Adottando questa modalità di migrazione senza agente, è possibile utilizzare la stessa appliance per il discovery, l’assessment e la migrazione. Si ha in questo modo un supporto indipendente dal sistema operativo, che permette di migrare qualsiasi SO client o server, purché supportato sulla piattaforma Azure.
  • Possibilità di migrare senza agente macchine virtuali in ambienti Hyper-V.
  • Migrazione basata su agente per server fisici e VMs in esecuzione su Amazon Web Services oppure Google Cloud Platform.
  • Una nuova esperienza utente semplificata è stata introdotta, rendendo il processo simile alla creazione di una macchina virtuale in Azure.
  • Possibilità di effettuare dei test di migrazione senza dare alcun impatto, permettendo in questo modo di pianificare al meglio la migrazione. Inoltre, il processo di migrazione consente di ottenere una perdita di dati pari a zero quando si spostano le applicazioni in Azure.

Anche “Azure Migrate: Server Migration” è uno strumento utilizzabile in modo gratuito da tutti i clienti Azure. Ovviamente sono da considerarsi i costi per le risorse computazionali e per lo storage utilizzato nelle subscription Azure in seguito all’avvenuta migrazione. A questo proposito è possibile anche stimare a priori i possibili risparmi sui costi che si possono ottenere migrando i propri workloads in Azure. Lo strumento Total Cost of Ownership (TCO) Calculator permette di definire le caratteristiche dei proprio workloads che si intende migrare e, dopo aver sistemato differenti parametri specifici per ciascuna realtà, si ottiene una stima sui potenziali risparmi nell’arco dei 5 anni.

Figura 5 – Grafico di una stima dei risparmi, migrando in Azure, effettuata tramite TCO Calculator

Conclusioni

Azure Migrate, grazie alle nuove funzionalità recentemente rilasciate, risulta un’ottima soluzione in grado di fornire un ampio set di strumenti necessari per affrontare al meglio i più comuni scenari di migrazione. Azure Migrate è ora un vero punto di riferimento per lo spostamento dei propri workloads in Azure grazie a una gestione integrata e centralizzata e ad un approccio trasversale, in grado di affrontare differenti percorsi di migrazione.

Azure IaaS and Azure Stack: announcements and updates (September 2019 – Weeks: 37 and 38)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

New cloud regions in Germany

Microsoft Azure is available from new cloud regions in Germany. Azure is available in new cloud datacenter regions in Germany, Germany West Central (located in Frankfurt) and Germany North (located in Berlin), to provide greater flexibility, the latest intelligent cloud services, full connectivity to the global cloud network, and data residency within Germany. The new regions with German-specific compliance, including Cloud Computing Compliance Controls Catalogue (C5) attestation, and will remove barriers so in-country companies can benefit from the latest solutions such as containers, IoT, and AI.

Azure Firewall is ISO compliant

Azure Firewall is Payment Card Industry (PCI), Service Organization Controls (SOC), and International Organization for Standardization (ISO) compliant. It currently supports SOC 1 Type 2, SOC 2 Type 2, SOC 3, PCI DSS, and ISO 27001, 27018, 20000-1, 22301, 9001, 27017. For more information, see the Microsoft Compliance Guide.

New Azure ExpressRoute sites

The following new ExpressRoute meet-me sites are now live:

  • Copenhagen
  • Stockholm
  • Munich

Azure Private Link in preview

Private Link simplifies the network architecture and secures the connection between endpoints in Azure by keeping data on the Azure network, thus eliminating exposure to the internet. Private Link also enables you to create and render your own services on Azure. During public preview, Private Link supports Azure Storage, Azure Data Lake Storage Gen 2, Azure SQL Database, Azure SQL Data Warehouse, and customer-owned services.

Monitor bandwidth for all peered Azure virtual networks with ExpressRoute

Azure network monitoring solutions including Network Performance Monitor and Network Watcher help monitor your networks in the cloud and in hybrid environments. ExpressRoute Monitoring enables you to monitor network performance over ExpressRoute circuits that are configured to use private peering or Microsoft peering.

Azure Monitor for Azure Virtual Machines is available in additional regions

Monitor for Virtual Machines monitors and analyzes the performance and health of your Windows and Linux virtual machines hosted in Azure, on-premises, or with another cloud provider. Azure Monitor for Azure Virtual Machines is now available in Japan East, North Europe, and East US2. 

Service Map feature of Azure Monitor is available in additional regions

Service Map automatically discovers application components on Windows and Linux systems and maps communication between services. The feature enables you to view your servers, processes, inbound and outbound connection latency, and ports as interconnected systems. The Service Map feature of Azure Monitor is available in Japan East, North Europe, and East US2. 

Zone Redundant Storage (ZRS) for Azure Files premium tier

Zone Redundant Storage (ZRS) is available for Azure Files premium tier. The ZRS replication provides customers a choice of performant Azure Files services with higher availability. With the release of ZRS support, Azure Files premium tier now offers two durability options:

  • Zone redundant storage (ZRS) for data protection against entire zonal outage.
  • Locally-redundant storage (LRS) for lower cost-effective storage for data protection against hardware failure.

Currently, ZRS option is available in West Europe and we plan to gradually expand the regional coverage.

Azure Lab Services supports new GPU Virtual Machine sizes

Azure Lab Services supports two new 6-core GPU Virtual Machine sizes: 

  • Small GPU (Compute): 6 cores, 56 GB RAM, 139 Lab units.
    • Available in US, North Europe, and West Europe regions
    • Best-suited for compute-intensive and network-intensive applications such as Artificial Intelligence and Deep Learning 
  • Small GPU (Visualization): 6 cores, 56 GB RAM, 160 Lab units.
    • Available in US, North Europe, West Europe, and Australia regions
    • Best-suited for remote visualization, streaming, gaming, and encoding using frameworks such as OpenGL and DirectX. 

M-series virtual machines (VMs) are available in new regions

Azure M-series VMs are now available in: Germany West, Germany North, Switzerland West and Switzerland North. M-series VMs offer configurations with memory from 192 GB to 3.8 TiB (4 TB) RAM and are certified for SAP HANA.

Azure Networking: le novità di Azure Firewall

Azure Firewall è la soluzione di firewall-as-a-service presente nel cloud pubblico di Microsoft, che consente di mettere in sicurezza le risorse presenti nelle Virtual Network di Azure e di governare i relativi flussi di rete. Questo servizio è stato rilasciato ufficialmente da diversi mesi e, come spesso accade per i servizi cloud, si hanno delle rapide evoluzioni, volte a migliorare il servizio e ad aumentare il set di funzionalità. In questo articolo vengo riportate le principali novità che hanno recentemente interessato Azure Firewall.

Indirizzi IP Pubblici associati ad Azure Firewall

Mentre inizialmente era possibile associare ad Azure Firewall un solo indirizzo IP pubblico, ora si possono associare fino a 100 indirizzi IP pubblici. Questa possibilità apre nuovi scenari di configurazione e di funzionamento:

  • In configurazioni DNAT si ha la possibilità di utilizzare la stessa porta su indirizzi IP Pubblici differenti.
  • Per quanto riguarda connessioni SNAT in outbound saranno disponibili un numero maggiore di porte, riducendo la possibilità di terminare le porte a disposizione.

Attualmente l’indirizzo IP Pubblico sorgente di Azure Firewall utilizzato per le connessioni viene scelto in modo casuale. Questo aspetto è da tenere in considerazione quando sono necessarie autorizzazioni specifiche per il traffico proveniente da Azure Firewall. Microsoft ha comunque in roadmap la possibilità di fare configurazioni SNAT specificando l’indirizzo IP Pubblico da utilizzare. La procedura da seguire per effettuare il deployment di Azure Firewall con più indirizzi IP Pubblici, tramite comandi PowerShell, è possibile consultarla in questo documento.

Figura 1 – Assegnazione di più IP pubblici ad Azure Firewall dal portale Azure

Availability Zones

Al fine di aumentare i livelli di disponibilità di Azure Firewall è possibile, durante la fase di creazione,  prevedere l’utilizzo delle Availability Zones. Selezionando due o più Availability Zones si potrà ottenere una percentuale di uptime del 99.99 percento. Tutti i dettagli relativi ai Service Level Agreement (SLA) di Azure Firewall sono contenuti in questo documento. L’adozione di questa metodologia di deployment non prevede costi aggiuntivi, ma è necessario contemplare un incremento dei costi dati dal data transfer in inbound e in outbound dalle Availability Zones, reperibili in questo documento. Rispetto al costo dell’Azure Firewall questi non impattano in modo particolarmente significativo. Personalmente ritengo che se si adotta una architettura del networking di Azure dove Azure Firewall è il componente core per la messa in sicurezza dell’ambiente, diventa molto utile utilizzare le Availability Zones per garantire un elevato livello di disponibilità delle applicazioni mission-critical protette da questo servizio.

Figura 2 – Configurazione Availability Zones in fase di creazione di Azure Firewall

In presenza di Azure Firewall creati senza l’utilizzo delle Availability Zones, non si ha la possibilità di effettuare una conversione all’utilizzo delle stesse. L’unica modalità attualmente disponibile prevede la creazione di un nuovo Azure Firewall migrando le configurazioni esistenti. I backup in formato JSON della configurazione di Azure Firewall possono essere fatti utilizzando i seguenti comandi PowerShell:

[cc lang=”powershell”]

$AzureFirewallId = (Get-AzFirewall -Name “AzureFirewallName” -ResourceGroupName “Network-RG”).id

$BackupFileName = “.AzureFirewallBackup.json”

Export-AzResourceGroup -ResourceGroupName “Network-RG” -Resource $AzureFirewallId -SkipAllParameterization -Path $BackupFileName

[/cc]

Avendo a disposizione il file JSON è necessario modificarlo per contemplare le Availability Zones:

[cc lang=”powershell”]

{

“apiVersion”: “2019-04-01”,

“type”: “Microsoft.Network/azureFirewalls”,

“name”: “[variables(‘FirewallName’)]”,

“location”: “[variables(‘RegionName’)]”,

“zones”: [

“1”,

“2”,

“3”

],

“properties”: {

“ipConfigurations”: [

{

[/cc]

Al termine della modifica è possibile effettuare il deployment del nuovo Azure Firewall, utilizzando il file JSON opportunamente modificato, tramite il seguente comando:

[cc lang=”powershell”]

New-AzResourceGroupDeployment -name “RestoreFirewallAvZones” -ResourceGroupName “Network-RG” -TemplateFile “.AzureFirewallBackup.json”

[/cc]

Gestione centralizzata con soluzioni di terze parti

Azure Firewall espone pubblicamente delle REST APIs che possono essere utilizzate da vendor di terze parti per fornire delle soluzioni che permettono una gestione centralizzata degli Azure Firewall, dei Network Security Groups (NSGs), e delle virtual appliance di rete (NVAs). Al momento questi sono i vendor che offrono soluzioni di questo tipo: Barracuda con Cloud Security Guardian, AlgoSec con CloudFlow e Tufin con Orca.

Just-in-time (JIT) VM access per Azure Firewall

Quando un utente richiede di accedere a una VM con una policy Just-in-time (JIT), il Security Center prima verifica se l’utente dispone effettivamente dei permessi Role-Based Access Control (RBAC) necessari per effettuare la richiesta di accesso. In caso affermativo la richiesta viene approvata, e il Security Center è in grado di configurare automaticamente non solo i NSG, ma anche le regole necessarie lato Azure Firewall per consentire il traffico in ingresso.

Application rules con FQDN di SQL

Nelle application rule di Azure Firewall è stata introdotta la possibilità di specificare degli FQDN di SQL. In questo modo è possibile governare l’accesso dalle virtual network verso specifiche istanze SQL server. Tramite gli FQDN SQL è possibile filtrare il traffico:

  • Da Virtual Network verso un Azure SQL Database oppure un Azure SQL Data Warehouse.
  • Dall’ambiente on-premises verso Azure SQL Managed Instances oppure SQL IaaS in esecuzione sulle Virtual Network.
  • Da spoke-to-spoke verso Azure SQL Managed Instances oppure SQL IaaS in esecuzione sulle Virtual Network.

Figura 3 – Creazione Application Rule con FQDN SQL

FQDN Tag per Azure HDInsight (HDI)

I cluster Azure HDInsight presenti sulle proprie Virtual Network hanno diverse dipendenze da altri servizi Azure (esempio Azure Storage), con i quali è necessario prevedere un traffico di rete in uscita per funzionare in modo corretto. Grazie all’introduzione degli FQDN tags per HDInsight è possibile configurare Azure Firewall per restringere l’accesso in outbound per i cluster HDI. Per maggiori dettagli a riguardo è possibile consultare la documentazione ufficiale Microsoft.

Automazione per gestire il backup

Disporre di una strategia che consenta di ripristinare la configurazione del servizio in tempi rapidi è fondamentale in quanto questo servizio è il centro di governo del networking vostro ambiente Azure e contiene diverse regole per gestire in modo completo il traffico di rete. Il servizio al momento non dispone in modo integrato di una funzionalità per farne il backup completo in modo periodico. In questo articolo viene riportato un meccanismo ideato per fare il backup schedulato della configurazione di questo componente utilizzando il servizio Azure Automation.

Conclusioni

Azure Firewall è una soluzione che sempre più spesso viene utilizzata nelle architetture di rete di Azure, per i vantaggi che offre rispetto alle soluzioni firewall di vendor di terze parti e grazie ad un costante arricchimento delle funzionalità offerte. Tutte queste novità introdotte rendono Azure Firewall una soluzione più completa, totalmente integrata nella piattaforma, che consente di mettere in sicurezza le risorse presenti sulle Virtual Network di Azure con una elevata flessibilità.

Azure IaaS and Azure Stack: announcements and updates (September 2019 – Weeks: 35 and 36)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Microsoft Azure available from new cloud regions in Switzerland

Microsoft announced the availability of new Azure Regions in Switzerland. With the Azure Region Switzerland West and Switzerland North, Microsoft addresses the need of customers to have cloud regions and datacenters available in Switzerland. Remember that not all services are available in all Azure regions. You can find more information about the products and services available in the Swiss Azure regions on the Azure website.

31 new Azure edge sites

Microsoft announced the addition of 31 new edge sites, bringing the total to over 150 across more than 50 countries. Microsoft is also adding 14 new meet-me sites to Azure ExpressRoute to further enable and expand access to dedicated private connections between customers’ on-premises environments and Azure.

Azure Firewall in China

Azure Firewall is also available in China.

Azure DevTest Labs now integrates with Azure Bastion

Azure DevTest Labs now integrates with Azure Bastion, enabling you to connect to your virtual machines through a web browser. Azure Bastion provides secure and seamless RDP/SSH connectivity to your virtual machines directly in the Azure portal over SSL. As a lab owner, it’s possible to enable your lab virtual machines to have browser-based access provided they’re created in a virtual network that has Azure Bastion configured on it.

Azure Stack

Azure App Service on Azure Stack Update 7 (1.7)

This release updates the resource provider and brings the following key capabilities and fixes:

  • Updates to **App Service Tenant, Admin, Functions portals and Kudu tools**. Consistent with Azure Stack Portal SDK version.
  • Updates to core service to improve reliability and error messaging enabling easier diagnosis of common issues.
  • Access Restrictions now enabled in User Portal

All other fixes and updates are detailed in the App Service on Azure Stack Update Seven Release Notes.

Diagnostic log collection is generally available for Azure Stack

The Azure Stack diagnostic log collection service provides a simplified way for Azure Stack operators to collect and share diagnostic logs with Microsoft Customer Support Services (CSS). A new user experience in the Azure Stack administrator portal is available for operators to set up the automatic upload of diagnostic logs to a storage blob when certain critical alerts are raised, or to perform the same operation on demand.

Azure management services e System Center: novità di Agosto 2019

Microsoft rilascia costantemente novità riguardanti gli Azure management services e System Center. La nostra community pubblica questo riepilogo con cadenza mensile per fornire una panoramica complessiva delle principali novità rilasciate nell’ultimo mese. Questo consente di rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 39 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Disponibilità in nuove regions

Azure Site Recovery è ora disponibile in queste nuove regions: West India, UAE Central, UAE North, South Africa North, e South Africa West.

Disaster recovery di macchine virtuali con Azure Disk Encryption

Azure Site Recovery ha introdotto il supporto per le macchine virtuali con dischi che utilizzano Azure Disk Encryption senza l’utilizzo di Azure Active Directory app. Al momento questa funzionalità è supportata solo per macchine virtuali Windows che utilizzano managed disks. Presto sarà introdotto il supporto anche per le macchine virtuali Linux, che utilizzano managed disks.

Monitor in Log Analytics

Nel vault di Site Recovery è stata introdotta la possibilità di inviare i log di diagnostica verso un workspace di Log Analytics. Questi log vengono generati oltre che dalle macchine virtuali in Azure, anche dalle macchine VMware e dai sistemi fisici protetti da Azure Site Recovery.

Azure Backup

Disponibilità in nuove regions

Azure Backup è ora possibile utilizzarlo anche in queste nuove regions: West India, UAE Central, UAE North, South Africa North, e South Africa West.

Supporto per dischi fino a 30 TB

Per Azure Backup è stato annunciato il supporto, al momento in limited public preview, per dischi Managed di grandi dimensioni, fino a 30TB. Per maggiori informazioni a riguardo è possibile consultare questo articolo.

Soft Delete delle macchine virtuali protette

Al fine di aumentare la protezione dei backup fatti tramite Azure Backup, è stata introdotta la funzionalità di soft delete per le macchine virtuali IaaS. Questo consente di avere un livello di protezione maggiore da cancellazioni accidentali o malevole dei backup delle VMs IaaS.

System Center Configuration Manager

Nuovi rilasci per il Technical Preview Branch

Per Configuration Manager è stato rilasciato l’update 1908 che tra le principali novità prevede la possibilità di attivare l’High Performance Power Plan durante l’esecuzione delle task sequence, per ottenere vantaggi prestazionali.

Inoltre, è stato rilasciato l’update 1908.02 che include la funzionalità di messaggistica di Teams integrata nella console di Configuration Manager.

Per verificare i dettagli riguardanti le novità incluse in questi aggiornamenti è possibile consultare questo documento per l’update 1908 e questo documento per l’update 1908.02.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure Dedicated Host: la creazione di macchine virtuali su un sistema dedicato

In Azure è stata recentemente annunciata la disponibilità del nuovo servizio Azure Dedicated Host, che consente di disporre di un server fisico in Azure, totalmente dedicato alla propria organizzazione, sul quale attivare macchine virtuali Windows oppure Linux. In questo articolo vengono descritte quali sono le principali caratteristiche del servizio, i relativi benefici apportati e quale procedura seguire per l’attivazione.

Normalmente, senza l’adozione di questo nuovo servizio, in Azure gli host fisici vengono utilizzati per ospitare macchine virtuali di più tenants, e l’isolamento avviene mediante l’hypervisor multi-tenant. Utilizzando Azure Dedicated Host, il server fisico può mantenere in esecuzione solo i workloads di un singolo tenant. In questo modo si può avere una visibilità ampia ed un controllo superiore sull’hardware sul quale sono in esecuzione le proprie macchine virtuali, con la certezza che le capacità dell’host non sono condivise con altri clienti di Azure.

Scenari di utilizzo

Il servizio Azure Dedicated Host può essere molto utile per far fronte ai seguenti scenari di utilizzo:

  • Necessità di avere una isolation a livello di host per ragioni di compliance, in termini di sicurezza fisica, data integrity e monitoring.
  • Disporre di una visibilità e di un controllo sull’infrastruttura server in Azure che ospita le proprie macchine virtuali. Si può infatti definire la tipologia di hardware dell’host, le caratteristiche del processore ed il numero di core, la tipologia e la dimensione delle VMs che si intende deployare, con la possibilità di scegliere differenti size per le virtual machine, pur mantenendo la stessa serie selezionata per l’host specifico.
  • Governare tutte le attività di maintenance a livello di host impartite dalla piattaforma Azure, come ad esempio gli aggiornamenti del sistema operativo dell’host fisico. Utilizzando l’Azure Dedicated Host si ha la possibilità di scegliere il momento più opportuno di maintenance, all’interno di una finestra manutentiva di 35 giorni.

Se si ha l’esigenza di far fronte a uno degli scenari sopra riportati, l’Azure Dedicated Host è sicuramente un’ottima opzione, ma nel caso non si abbiano esigenze specifiche è opportuno utilizzare la metodologia classica per il deploy delle macchine virtuali in Azure, in quanto ha un livello di flessibilità maggiore.

Attivazione del servizio

Il deploy di un nuovo Azure Dedicated Host richiede la presenza di un host group. A questo gruppo possono essere aggiunti più Host, che saranno utilizzati per ospitare le nuove macchina virtuali in Azure. Il deploy di Azure Dedicated Host può avvenire tramite ARM templateCLIPowerShell, e direttamente dal Portale Azure. In questo articolo viene riportata la procedura da seguire per la creazione del servizio direttamente dal Portale Azure.

Figura 1 – Avvio della procedura di creazione di un Host Group

Durante il processo di creazione dell’Host Group vengono richieste impostazioni specifiche come le Availability zone (opzionale) e il numero di fault domain.

Figura 2 – Parametri richiesti durante la creazione di un Host Group

In seguito alla creazione dell’Host Group è possibile avviare il processo di configurazione dell’Azure Dedicated Host, che sarà associato ad uno specifico Host Group.

Figura 3 – Avvio del processo di creazione di un Dedicated Host

Tra i parametri richiesti in fase di creazione di un Dedicated Host è presente la famiglia delle VMs, che potranno essere ospitate dall’host specifico, l’host group di appartenenza, il numero di Fault Domain e la possibilità di sostituire automaticamente l’host in caso di eventuali problemi. Inoltre, vengono richieste le informazioni necessarie per poter ottenere i benefici in termini di licensing, riportati nel paragrafo successivo.

Figura 4 – Parametri richiesti durante la creazione di un Dedicated Host

Completato il processo di configurazione dell’Azure Dedicated Host è possibile, in fase di creazione di una macchina virtuale, attestarla sull’host specifico. Un aspetto importante da considerare è che la region deve essere la stessa dell’host e il size della VM deve appartenere alla VM Family configurata in fase di creazione dell’Host.

Durante il processo di creazione della macchina virtuale è presente, nella sezione Host del tab Advanced, la possibilità di scegliere l’host group e il Dedicated Host.

Figura 5 – Selezione dell’Host Group e dell’Host in fase di creazione della VM

Aspetti legati al licensing

Azure Dedicated Host consente di ottenere dei vantaggi dal punto di vista del licensing, grazie alla possibilità di usufruire dell’Azure Hybrid Benefit. Si potranno infatti utilizzare le licenze a disposizione di Windows Server e SQL Server coperte da Software Assurance anche in questo scenario. Inoltre, i clienti che dispongono di licenze Windows Server Datacenter e Software Assurance possono avere licenziati un numero illimitato di sistemi virtuali Windows Server nell’ambiente Azure Dedicated Host. Allo stesso modo anche i client con licenze SQL Server Enterprise Edition e Software Assurance possono utilizzare diritti di virtualizzazione illimitati per SQL Server sui loro host dedicati in Azure. Anche per altri vendor come SUSE o RedHat Linux è consentito utilizzare le licenze a disposizione con Azure Dedicated Host. In questo caso si consiglia di verificare con i fornitori le condizioni specifiche delle licenze.

Con l’introduzione di questo nuovo servizio, Microsoft sta aggiornando di conseguenza i termini di utilizzo delle licenze per chiarire la distinzione tra i servizi di outsourcing on-premises/tradizionali e i servizi cloud. Per ottenere maggiori informazioni a riguardo è possibile consultare la documentazione ufficiale Microsoft.

Un altro aspetto importante da tenere in considerazione è che utilizzando gli Azure Dedicated Host si può usufruire del servizio di Extended Security Updates per Windows Server 2008/R2 e SQL Server 2008/R2.

Costo del servizio

Il costo di Azure Dedicated Host viene calcolato a livello di host attivato e non sulla base del numero di macchine virtuali in esecuzione sull’host stesso. I costi delle licenze software vengono calcolate separatamente sulla base di utilizzo delle singole VMs. Per ottenere dei risparmi sulle licenze è possibile tenere in considerazione quanto riportato nel paragrafo precedente. Si tratta di un servizio pay-as-you-go, senza costi aggiuntivi di attivazione o di cessazione. Per maggiori dettagli a riguardo è possibile consultare la pagina ufficiale dei costi.

Conclusioni

Il servizio Azure Dedicated Host consente di contemplare nuovi scenari di utilizzo della piattaforma Azure ed è in grado di indirizzare esigenze specifiche di quei clienti che richiedono host isolation, per far fronte a requisiti mirati di conformità e governance. Molto interessante anche la possibilità di poter ottenere risparmi in termini di licensing, grazie all’utilizzo di Azure Hybrid Benefit. Il consiglio è di valutare l’utilizzo di questo servizio solo se realmente necessario per le proprie esigenze, in caso contrario è opportuno utilizzare il metodo di deployment classico delle macchine virtuali.

Azure IaaS and Azure Stack: announcements and updates (August 2019 – Weeks: 33 and 34)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Geo Zone Redundant Storage in Azure in preview

Geo Zone Redundant Storage provides a great balance of high performance, high availability, and disaster recovery and is beneficial when building highly available applications or services in Azure. Geo Zone Redundant Storage helps achieve higher data resiliency by doing the following:

  • Synchronously writing three replicas of your data across multiple Azure Availability Zones, such as zone-redundant storage today, protecting from cluster, datacenter, or entire zone failure.

  • Asynchronously replicating the data to another region within the same geo into a single zone, such as locally redundant storage, protecting from a regional outage.

Ultra Disks generally available

Microsoft Azure Ultra Disks is the new managed disks offering which is now generally available for running data intensive business critical workloads on cloud requiring high IO performance and low latency. With the introduction of Ultra Disk Storage, Azure includes four types of persistent disk: Ultra Disk Storage, Premium SSD, Standard SSD, and Standard HDD. This portfolio gives you price and performance options tailored to meet the requirements of every workload.

Azure File Sync agent v7.2

Azure File Sync agent v7.2 update rollup is on Microsoft Update and Microsoft Download Center.

Improvements and issues that are fixed:

  • Storage Sync Agent (FileSyncSvc) crashes if the proxy configuration is null.
  • Server endpoint will start BCDR (error 0x80c80257 – ECS_E_BCDR_IN_PROGRESS) if multiple endpoints on the server have the same name.
  • Cloud tiering reliability improvements.

More information about this update rollup:

  • This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
  • The agent version of this update rollup is 7.2.0.0.
  • A restart may be required if files are in use during the update rollup installation.
  • Installation instructions are documented in KB4490497.

Azure Files Azure Active Directory Domain Services (Azure AD DS) Authentication

General Availability of Azure Active Directory Domain Services (Azure AD DS) authentication for Azure Files. By enabling integration with Azure AD DS, you can mount your Azure file share over SMB using Azure AD credentials from Azure AD DS domain joined Windows VMs with NTFS ACLs enforced.

Just-in-time (JIT) VM access for Azure Firewall is generally available
 
Use it to secure your Azure Firewall protected environments  in addition to your NSG protected environments.

Azure Firewall: l’automazione per gestirne il backup

Azure Firewall è la soluzione di firewall-as-a-service presente nel cloud pubblico di Microsoft, che consente di mettere in sicurezza le risorse presenti nelle Virtual Network di Azure e di governare i relativi flussi di rete. In questo articolo viene riportato un meccanismo ideato per fare il backup schedulato della configurazione di questo componente utilizzando il servizio Azure Automation.

Azure Firewall è una soluzione che sempre più spesso viene utilizzata nelle architetture Azure, per i vantaggi che offre rispetto alle soluzioni firewall di vendor di terze parti e grazie ad un costante arricchimento delle funzionalità offerte. Dal momento in cui viene adottato, questo servizio diventa il centro di governo del networking vostro ambiente Azure e conterrà diverse regole per gestire in modo completo il traffico di rete. Diventa pertanto fondamentale disporre di una strategia che consenta di ripristinare la configurazione del servizio in tempi rapidi. Il servizio al momento non dispone in modo integrato di una funzionalità per farne il backup completo in modo periodico. Per questa ragione ho realizzato un runbook in Azure Automation che effettua il backup dell’Azure Firewall su un blob storage account di Azure.

Si riporta la procedura per attivare l’esecuzione del backup periodico della configurazione tramite questa metodologia.

Prerequisiti

Qualora non si disponga di un Azure Automation Account è necessario procedere con la relativa creazione:

Figura 1 – Creazione Azure Automation Account

Risulta inoltre necessario disporre di un blob storage account sul quale saranno salvati i backup dell’Azure Firewall.

Figura 2 – Creazione blob storage account

Nelle impostazioni firewall dello storage account è necessario abilitare l’exception “Allow trusted Microsoft services to access this storage account”.

Sullo storage account è inoltre possibile valutare la creazione di policy che consentono di prevenire la cancellazione dei backup.

Configurazione moduli in Azure Automation

Azure Automation supporta la possibilità di utilizzare il modulo Azure Powershell Az nei runbooks. Il modulo AZ non è al momento importato automaticamente negli Automation Accounts. Per questa ragione è necessario procedure con la relativa configurazione come descritto da questo documento Microsoft, nello specifico seguendo la procedura in seguito riportata.

Figura 3 – Avvio procedura di aggiunta moduli

 

Figura 4 – Selezione dei moduli necessari e avvio del processo di import

Questi i moduli necessari per questa automation:

Figura 5 – Moduli necessari

Import e pubblicazione del runbook

Lo step successivo prevede la creazione del Runbook in Azure Automation:

Figura 6 – Creazione del Runbook

Il codice del runbook è possibile trovarlo in questa pagina GitHub. Una volta creato il runbook è opportuno procedere con la relativa pubblicazione.

Figura 7 – Pubblicazione del Runbook.

Schedulazione del runbook

Come ultimo step è opportuno schedulare l’esecuzione periodica del runbook.

Figura 8 – Creazione della schedulazione

 

Figura 9 – Aggiunta della schedulazione al runbook

 

Figura 10 – Configurazione dei parametri richiesti dal runbook

I backup in formato JSON della configurazione di Azure Firewall vengono salvati automaticamente nello storage account indicato e vengono mantenuti per il numero di giorni espresso nel parametro “RetentionDays”.

Figura 11 – Backup di Azure Firewall all’interno del container

Ripristino della configurazione

Nel caso sia necessario ripristinare la configurazione di Azure Firewall è sufficiente fare il deploy del file JSON nel resource group specifico, utilizzando il comando seguente:

New-AzResourceGroupDeployment -name “RestoreAzureFirewall” -ResourceGroupName “AFW-RGNamexxx” -TemplateFile “.xxx-afwxxxxx.json”

 

Conclusioni

Grazie all’adozione di questa automazione è possibile effettuare il backup dell’Azure Firewall su un blob storage account di Azure. Tutto ciò risulta particolarmente utile e strategico in caso di modifica errata delle regole oppure se avviene una cancellazione parziale o totale della configurazione di Azure Firewall, che può essere accidentale oppure svolta da persone non autorizzate.

Azure IaaS and Azure Stack: announcements and updates (August 2019 – Weeks: 31 and 32)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Azure Dedicated Host

Azure Dedicated Host is a new Azure service that enables you to run your organization’s Linux and Windows virtual machines on single-tenant physical servers. Azure Dedicated Hosts provide you with visibility and control to help address corporate compliance and regulatory requirements. Azure Dedicated Host is in preview in most Azure regions.

Azure marketplace charges are available in Azure Cost Management for Pay-As-You-Go customers

Azure marketplace charges within Cost Analysis tool for Pay-As-You-Go customers are available. As a part of this preview you can analyze marketplace charges alongside Azure service charges within Cost Analysis and reconcile Azure marketplace invoice using both Cost Analysis and a new usage csv download API.

Network security group improvements

New improvements have been added to network security group (NSG), which filters network traffic to and from various Azure resources:

  • Specify ICMP as the protocol in your NSG rules, in addition to TCP, UDP, or Any. 
  • Override the default Azure platform considerations by creating an NSG rule with the following service tags. Please exercise caution when using these tags.
    • ​​AzurePlatformDNS for DNS 
    • AzurePlatformIMDS for IMDS 
    • AzurePlatformLKM for Windows licensing (Key Management Service)
Azure File Sync agent v7.1 update rollup
 

Azure File Sync agent v7.1 update rollup is on Microsoft Update and Microsoft Download Center. Improvements and issues that are fixed:

  • Accessing or browsing a server endpoint location over SMB is slow on Windows Server 2012 R2.
  • Increased CPU utilization after installing the Azure File Sync v6 agent.
  • Cloud tiering telemetry improvements.
  • Miscellaneous reliability improvements for cloud tiering and sync.

More information about this update rollup:

  • This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
  • The agent version of this update rollup is 7.1.0.0.
  • A restart may be required if files are in use during the update rollup installation.
  • Installation instructions are documented in KB4490496.

Most cost-effective storage offering

Microsoft has dropped Azure Archive Storage prices by up to 50 percent in some regions. The new pricing is effective immediately.

New AMD-based Azure VMs for general purpose and memory intensive workloads

New Azure virtual machines part of the Dv3 and Ev3-series, optimized for general purpose and memory intensive workloads, are in Preview. The new general purpose Da_v3 and Das_v3 Azure VM-series provide up to 64 vCPUs, 256 GiBs of RAM and 1,600 GiBs of SSD-based temporary storage. Das_v3 Azure VM-series supports Premium SSD disk storage. The new memory optimized Ea_v3 and Eas_v3 Azure VM-series provide up to 64 vCPUs, 432 GiBs of RAM and 1,600 GiBs of SSD-based temporary storage. Eas_v3 Azure VM-series supports Premium SSD disk storage.

M-series virtual machines (VMs) are generally available in the Brazil South Region

Azure M-series VMs are available in the Brazil South region. M-series VMs offer configurations with memory from 192 GB to 3.8 TiB (4 TB) RAM and are certified for SAP HANA.

Azure Geo and Zone Redundant Storage in public preview

Azure Geo and Zone Redundant Storage (GZRS) helps customers achieve higher data resiliency by Synchronously writing three replicas of your data across multiple Availability Zones and Asynchronously replicating the data to another region within the same geo into a single zone (like LRS today) protecting from a regional outage.

Azure Files Active Directory (Azure AD) authentication with Azure AD domain services is generally available

Azure Files offers fully managed file shares in the cloud that are accessible via the industry standard SMB protocol. Integration with Azure AD enables SMB access to Azure file shares using Azure AD credentials from Azure AD domain services domain joined Windows VMs.

Azure Firewall feature updates for July 2019

Here are the Azure Firewall feature updates for July 2019:

  • Multiple public IPs is generally available in all Azure public regions.
  • Availability Zones is now generally available. 
  • SQL FQDN filtering is now in preview in all Azure regions.
  • Azure HDInsight FQDN tag is now in preview in all Azure public regions. 
  • Central management using partner solutions