Archivi categoria: Cloud

Azure IaaS and Azure Stack: announcements and updates (November 2019 – Weeks: 43 and 44)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

New Cost Management features

Here are the Cost Management features that are generally available as of October 2019.

Azure Mv2-series VMs with 12TB memory now GA in new regions

Azure Mv2-series Virtual Machines with 12TB memory are generally available for the US West 2, US East, US East 2, Southeast Asia, EU West and EU North regions. Azure Mv2-series virtual machines are hyper-threaded and feature Intel® Xeon® Platinum 8180M 2.5GHz (Skylake) processors, offering up to 416 vCPU in 3TB, 6 TB and 12 TB memory configurations. This is by far the largest-memory virtual machine offered on Azure. Mv2-series virtual machines provide unparalleled computational performance to support large in-memory databases and workloads such as SAP HANA and SQL Hekaton.

Azure Monitor’s Service Map is available in new regions

The Service Map feature of Azure Monitor is now available in South Central US, West US, Central US, North Central US, East Asia, and Central India.  Around the world is it available in eighteen public regions. Service map automatically discovers application components on Windows and Linux systems and maps the communication between services. With service map, you can view your servers in the way that you think of them—as interconnected systems that deliver critical services. Service map shows connections between servers, processes, inbound and outbound connection latency, and ports across any TCP-connected architecture, with no configuration required other than the installation of an agent.

Server-side encryption with customer-managed keys for Azure Managed Disks (preview)

The preview for server-side encryption (SSE) with customer-managed keys (CMK) for Azure Managed Disks is available. Azure customers already benefit from server-side encryption with platform managed keys (PMK) for Azure Managed Disks enabled by default. Customers also benefit from Azure disk encryption (ADE) that leverages the BitLocker feature of Windows and the DM-Crypt feature of Linux to encrypt Managed Disks with customer managed keys within the guest virtual machine. Server-side encryption with customer-managed keys improves on platform managed keys by giving you control of the encryption keys to meet your compliance needs. It improves on Azure disk encryption by enabling you to use any OS types and images for your virtual machines by encrypting data in the storage service. Server-side encryption with customer-managed keys is integrated with Azure Key Vault (AKV) that provides highly available and scalable, secure storage for RSA cryptographic keys backed by hardware security modules (HSMs). You can either import your RSA keys to Azure Key Vault or generate new RSA keys in Azure Key Vault.

Azure File Sync is available in new regions

Azure File Sync is available in South Africa and UAE regions. To get the latest list of supported regions, see this document.

Azure File Sync agent v8 release

Azure File Sync is now on Microsoft Update and Microsoft Download Center. Improvements and issues that are fixed:

  • Restore performance improvements
    • Faster recovery times for recovery done through Azure Backup.Restored files will sync back down to Azure File Sync servers much faster.
  • Improved cloud tiering portal experience
    • If you have tiered files that are failing to recall, you can now view the recall errors in the server endpoint properties. Also, the server endpoint health will now show an error and mitigation steps if the cloud tiering filter driver is not loaded on the server.
  • Simpler agent installation
    • The Az\AzureRM PowerShell module is no longer required to register the server making installation simpler and fast.
  • Miscellaneous performance and reliability improvements

More information about this release:

  • This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
  • The agent version of this update rollup is 8.0.0.0.
  • A restart may be required if files are in use during the update rollup installation.
  • Installation instructions are documented in KB4511224.

Azure management services e System Center: novità di Ottobre 2019

Nel mese di ottobre sono state annunciate, da parte di Microsoft, un numero considerevole di novità riguardanti gli Azure management services e System Center. La nostra community, tramite questi articoli rilasciati con cadenza mensile, vuole fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

Azure Log Analytics

Disponibilità in nuove regions

Azure Log Analytics è ora disponibile nella nuova region “Switzerland North”, per consentire di collezionare log ed effettuare le relative analisi sull’utilizzo delle risorse.

Nuova opzione per il modello di pricing

Per Azure Monitor Log Analytics è disponibile dall’1 novembre 2019 un nuovo modello di pricing, che consente di pagare una quota fissa per la data ingestion, sulla base della capacità del tier selezionato. I tier partono da 100 GB al giorno e consentono di ottenere un risparmio fino al 25%, paragonato al costo Pay-As-You-Go.

Nuova versione dell’agente per sistemi Linux

Questo mese la nuova versione dell’agente di Log Analytics per sistemi Linux introduce miglioramenti riguardanti in particolare il processo di installazione e le performance. Per ottenere maggiori informazioni a riguardo è possibile accedere alla pagina ufficiale GitHub.

Retention configurabile per tipologia di dato

In Azure Monitor Log Analytics è stata introdotta la possibilità di configurare la data retention, cioè il periodo di mantenimento dei dati, per ogni tipologia di dato, anziché avere una singola impostazione di retention per l’intero workspace. La configurazione al momento deve essere fatta tramite comandi ARM. Questa nuova possibilità consente di avere una maggiore flessibilità e di ottenere un risparmio sui costi di retention a partire dai dati collazionati dal mese di ottobre (data di rilascio di questa funzionalità). Per maggiori dettagli è possibile consultare la documentazione ufficiale Microsoft.

Modifica al salvataggio dei dati di Service Map in Log Analytics

I dati relativi a Service Map, fino ad ora salvati nelle custom log tables ServiceMapComputer_CL e ServiceMapProcess_CL saranno spostati in specifici data types di Log Analytics. Queste nuove tabelle saranno chiamate VMComputer e VMProcess.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 41 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Aggiornamento per Windows servicing stack e SHA-2

Per l’Azure Site Recovery Mobility agent è stato rilasciato un aggiornamento specifico necessario per abilitare il supporto di Windows servicing stack e SHA-2.

Disponibilità in nuove regions

Azure Site Recovery è ora disponibile nelle region di “Norway East” e “Norway West”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Azure Backup

Supporto per dischi fino a 32 TB

Per Azure Backup è stato annunciato il supporto per dischi Managed di grandi dimensioni, fino a 32 TB. Per maggiori informazioni a riguardo è possibile consultare questo articolo.

System Center Configuration Manager

Nuovi rilasci per il Technical Preview Branch

Per Configuration Manager è stato rilasciato l’update 1910 che tra le principali novità prevede la possibilità di effettuare il deploy e la gestione di Microsoft Edge. Grazie a questa integrazione è anche possibile gestire facilmente il deploy delle nuove versioni di Microsoft Edge dal channel beta (aggiornato ogni 6 settimane) e dal channel Dev (aggiornato settimanalmente).

Per verificare i dettagli riguardanti le novità incluse in questi aggiornamenti è possibile consultare questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure IaaS and Azure Stack: announcements and updates (October 2019 – Weeks: 41 and 42)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Azure DNS private zones is now generally available

Azure DNS private zones is now production ready and backed by Azure DNS SLA. Azure DNS private zones provide reliable, secure DNS service to host, resolve and manage domain names from a virtual network without the need to add a custom DNS solution.  Azure DNS private zones enables you to effortlessly tailor your DNS namespace design to best suit your organization’s needs without having to worry about scalability, security and performance issues that arise from operating a custom DNS solution. Unlike public DNS zone, private DNS zones are not accessible over internet. DNS queries made against a private DNS zones can be resolved only from the virtual networks linked to the zone.

Customer Provided Keys with Azure Storage Service Encryption

Microsoft presents enhancement to storage service encryption to support granular encryption settings on storage account with keys hosted in any key store. Customer provided keys (CPK) enables you to store and manage keys in on-premises or key stores other than Azure Key Vault to meet corporate, contractual, and regulatory compliance requirements for data security.

New Azure Active Directory roles to reduce the number of Global administrators

Microsoft introduces 16 new roles in Azure AD designed to help you reduce the number of Global administrators by delegating administration tasks and assigning lower-privileged roles.

New Azure Resource Graph functionality

An update to Azure Resource Graph API now allows you to see further details about the changes to your Azure resources. For each change record, an overall changeType is returned indicating if the overall change to the resource was a Create, Update, or Delete action. When you set the fetchPropertyChanges flag to true in your request, the response body will contain a new section called propertyChanges that contains the list of property changes made, including the property name, the before value, the after value, and the change type for that property change (Insert, Update, or Remove).

Large file shares (100 TiB) for Azure Files standard tier

Microsoft announces the general availability of larger, more powerful files shares (100TiB) for Azure Files on standard tier. Large file shares on standard shares significantly improves customers’ experience on standard shares by increasing not only the capacity limits to 100 TiB (20x increase), but also the performance limits up to 10,000 IOPS (10x increase) and 300 MiB/s (5x increase). Large file shares for standard tier is now live in 13 Azure regions with support to enable large file shares on existing accounts.

SR-IOV availability schedule on NCv3 Virtual Machines SKU

As part of Azure’s ongoing commitment to providing industry-leading performance, Microsoft is enabling support for all MPI types and versions, and RDMA verbs for InfiniBand-equipped virtual machines, beginning with NCv3 coming in early November 2019.

Azure Monitor updates

  • Azure Monitor for VMs is available in South Central US, West US, Central US, North Central US, East Asia, and Central India. It’s available around the world in eighteen public regions.
  • In April 2019 Microsoft added support for Azure Kubernetes Services (AKS) in China regions. As part of this support, multi-cluster view is now available in the table of contents so you can monitor multiple clusters at once. Also, AKS-Engine is now supported for China regions. 
  • Azure Monitor for containers has updated the agent to support pod annotation settings. This supports Prometheus metrics scrapping per namespace configurations via config map. Also supports descriptive error outputs to troubleshoot scrape settings.
  • Grafana dashboard template is now available for out-of-the-box metrics collected by Azure Monitor for containers.

Come affrontare la fine del ciclo di vita di Windows Server 2008\2008 R2

La fine del supporto Microsoft per i sistemi operativi Windows Server 2008 e Windows Server 2008 R2 è imminente e prevista per il 14 gennaio 2020. A partire da questa data Microsoft non rilascerà più update di security in modo gratuito per queste piattaforme in ambiente on-premises. Purtroppo, sono ancora molti i sistemi in ambiente di produzione che adottano queste versioni di sistema operativo. In questo articolo vengono affrontati gli approcci che è possibile adottare per affrontare questa situazione, evitando di esporre la propria infrastruttura a problematiche di security causate dall’indisponibilità degli aggiornamenti necessari.

La fine del periodo extended support per queste piattaforme implica che Microsoft, a meno che non vengano svolte determinate azioni, non rilascerà più i relativi security update. In queste condizioni l’esposizione ad attacchi di security è notevole e comporterebbe lo stato di non compliance rispetto a specifici regolamenti, come ad esempio il General Data Protection Regulation (GDPR). Questa condizione, sicuramente poco piacevole per chi si ritrova ad affrontarla ora, visti i tempi ristretti, può anche essere vista come una importante opportunità di rinnovo e innovazione della propria infrastruttura.

Per continuare a ricevere gli update di security per i sistemi Windows Server 20082008 R2 ospitati in ambiente on-premises, l’unica possibilità è quella di aderire al programma Extended Security Update (ESU). Tale programma a pagamento è disponibile solo per i clienti in Software Assurance e garantisce il provisioning di Update di Security classificati come “critical” e “important” per ulteriori tre anni, a partire dal 14 gennaio 2020.

Qualora il programma ESU non lo si ritenga adeguato alle proprie esigenze si possono valutare due percorsi di upgrade totalmente differenti.

Upgrade on-premises

Questo percorso prevede il passaggio a una nuova versione di Windows Server in ambiente on-premises. Il consiglio in questo caso è di approcciare come piattaforma almeno Windows Server 2016 e di non procedere, qualora possibile, con aggiornamenti in place del sistema operativo, ma di gestire la migrazione in side-by-side. Questo metodo solitamente richiede un coinvolgimento del fornitore applicativo, per garantire la compatibilità software con la nuova versione del sistema operativo. Trattandosi di software non recenti, spesso viene richiesta l’adozione di versioni aggiornate degli stessi, che possono prevedere un adeguamento dell’architettura e una fase approfondita di test della nuova release. Adottando questo processo di upgrade i tempi e l’effort sono considerevoli, ma il risultato che si ottiene è fondamentale per rispettare il rinnovo tecnologico.

Migrazione verso Azure

Migrando i sistemi Windows Server 2008 e Windows Server 2008 R2 presenti on-premises in ambiente Azure si continueranno a ricevere per altri tre anni i security update, classificati come critici e importanti, senza dover aderire al programma ESU. Questo scenario non solo è utile per garantire il rispetto della compliance dei propri sistemi, ma apre la strada verso architetture ibride dove sarà possibile ottenere i vantaggi dati dal cloud. A questo proposito Microsoft offre un’ottima soluzione in grado di fornire un ampio set di strumenti necessari per affrontare al meglio i più comuni scenari di migrazione: Azure Migrate,  che struttura il processo di migrazioni in fase differenti (discovery, assessment, e migrazione). Questo approccio può risultare più immediato rispetto all’upgrade dei sistemi e consente di avere più tempo a disposizione per affrontare il rinnovo software. A questo proposito il cloud consente di avere un’ottima flessibilità e agilità nel testare gli applicativi in ambienti paralleli. Prima di iniziare il percorso di migrazione verso Azure è fondamentale strutturare il networking dell’ambiente ibrido in modo opportuno e valutare le iterazioni con gli altri componenti dell’infrastruttura, per constatare se l’applicativo può funzionare bene anche in ambiente cloud.

Indipendentemente dal percorso di upgrade che si decide adottare il consiglio è di fare un assessment dettagliato, in modo da poter categorizzare ciasun workload per tipologia, criticità, complessità e rischio. In questo modo è possibile dare delle priorità e procedere con un piano strutturato di migrazione.

Conclusioni

Per tutti coloro che all’interno del proprio datacenter dispongono di sistemi Windows Server 2008 oppure Windows Server 2008 R2 è opportuno gestire la condizione che Microsoft a breve non rilascerà più update di security in modo gratuito, esponendo così i sistemi a potenziali problemi di sicurezza. Allo stesso tempo sono diverse le possibilità offerte da Microsoft per affrontare nel migliore dei modi questa situazione. Il percorso di migrazione verso Azure è sicuramente un’opzione molto interessante che consente di iniziare il percorso per espandere il proprio datacenter nel cloud pubblico di Microsoft.

Azure IaaS and Azure Stack: announcements and updates (October 2019 – Weeks: 39 and 40)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Large file shares (100 TiB) Azure FIles standard preview available in new regions

Azure Files standard large file shares (LFS) preview in available in two more regions: North Europe and East Asia. Please see the full region list at this page.

New version of Azure Storage Explorer

This month Microsoft released a new version of Azure Storage Explorer, 1.10.0. This latest version of Storage Explorer introduces several new features and delivers significant updates to existing functionality. These features and changes are all designed to make users more efficient and productive when working with Azure Storage, CosmosDB, ADLS Gen2, and, starting with 1.10.0, managed disks. You can download Storage Explorer 1.10.0 to take advantage of all of these new features.

Increment snapshots of Azure managed disks in preview

The preview of incremental snapshots of Azure managed disks is now available. Incremental snapshots are a cost-effective point-in-time backup of managed disks. Unlike current snapshots, which are billed for the full size, incremental snapshots are billed for the delta changes to disks since the last snapshot. They are always stored on the most cost-effective storage i.e., standard HDD irrespective of the storage type of the parent disks. Additionally, for increased reliability, they are stored on Zone redundant storage (ZRS) by default in regions that support ZRS. They cannot be stored on premium storage. 

Windows Virtual Desktop is generally available

Windows Virtual Desktop is generally available worldwide. It is the only service that delivers simplified management, a multi-session Windows 10 experience, optimizations for Office 365 ProPlus, and support for Windows Server Remote Desktop Services (RDS) desktops and apps. With Windows Virtual Desktop, you can deploy and scale your Windows desktops and apps on Azure in minutes. It is available in all geographies, customers will be able to deploy scalable Azure-based virtualization solutions with a number of operating systems, including Windows 10 multi-session, Windows Server, and Windows 7 desktops with free Extended Security Updates for up to three years for customers still completing their move to Windows 10.

Azure Lab Service Updates

Azure Lab Services added this new features:

  • Adjust quota per user, enabling instructors to give additional hours to students as needed.
  • An option to install GPU drivers automatically if a GPU size is picked. 
  • An updated and improved UI experience.

Private Link for Azure SQL Database and Data Warehouse is in preview

Private Link enables you to connect to Azure SQL Database and Data Warehouse via a private endpoint. Use it to establish cross-premises access to the private endpoint using ExpressRoute, private peering, or VPN tunneling, or you can choose to disable all access via public endpoint.

Preview of direct-upload to Azure managed disks

You can directly upload your VHD do Azure Managed disks without converting them. The direct-upload is in preview.

Azure File Sync agent version 4.x will expire

On November 5, 2019, Azure File Sync agent version 4.x will be expired and stop syncing. If you have servers with agent version 4.x, update to a supported agent version (5.x or later). If you don’t update your servers before November 5, 2019, they will stop syncing. To resume syncing, the agent must be updated to a support version.

Azure management services e System Center: novità di Settembre 2019

Anche nel mese di settembre sono state annunciate da parte di Microsoft novità riguardanti gli Azure management services e System Center. La nostra community pubblica mensilmente questo riepilogo per fornire una panoramica complessiva di queste novità. In questo modo è possibile rimanere sempre aggiornati su tali argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 40 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Azure Backup

Supporto per dischi fino a 30 TB

Per Azure Backup è stato annunciato il supporto in public preview per dischi Managed di grandi dimensioni, fino a 30TB. Per maggiori informazioni a riguardo è possibile consultare questo articolo.

System Center

Nuovo Update Rollup per System Center 2016

Microsoft ha rilasciato l’Update Rollup 8 (UR8) per System Center 2016. Si tratta del secondo update rollup dell’anno e include aggiornamenti per i seguenti prodotti, prevalentemente rivolti alla risoluzione di problematiche:

System Center Configuration Manager

Nuovi rilasci per il Technical Preview Branch

Per Configuration Manager è stato rilasciato l’update 1909 che tra le principali novità prevede la possibilità di creare dei gruppi di orchestrazione, per meglio controllare il deployment dei software updates. Gli Orchestration Groups sono pensati per dare una maggiore flessibilità in fase di aggiornamento dei dispositivi, prevedendo anche la possibilità di eseguire degli script PowerShell prima e dopo la fase di update deployment.

Per verificare i dettagli riguardanti le novità incluse in questi aggiornamenti è possibile consultare questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure Migrate: introduzione alla soluzione

La migrazione dei workload ospitati presso i datacenter on-premises verso Azure è un processo sfidante che viene richiesto sempre più frequentemente per sfruttare i benefici del cloud. Per affrontare nel migliore dei modi il percorso di migrazione ed ottenere i risultati sperati è opportuno effettuare una attenta analisi preliminare ed utilizzare tool adeguati. Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. In questo articolo vengono riportate le caratteristiche principali di Azure Migrate e le novità che hanno recentemente interessato questa soluzione.

Azure Migrate struttura il processo di migrazioni in fase differenti: discovery, assessment, e migrazione. Questo approccio consente di avere un’esperienza integrata che garantisce continuità e permette di avere una visione complessiva del processo di migrazione.

Attualmente la soluzione è in grado di contemplare i seguenti scenari di migrazione verso Azure:

  • Sistemi virtuali, in ambiente VMware, Hyper-V o in altri cloud pubblici (AWS, Google) e macchine fisiche.
  • Database SQL Server verso Azure SQL Database oppure Azure SQL Database Managed Instance.
  • Web App basate su .NET oppure PHP verso Azure App Service, il relativo servizio Azure di Platform-as-a-Service.
    • In questo caso si viene direttamente indirizzati verso la pagina di App Service Migration, che fornendo l’URL pubblico effettua la scansione e fornisce un report dettagliato delle tecnologie che vengono utilizzate, per individuare se possono essere ospitate da App Service. In caso affermativo è possibile avviare il processo di migrazione tramite il tool Migration Assistant installato localmente.
  • Grossi quantitativi di dati tramite il servizio offline di Data Box.
    • Direttamente dal portale è possibile ordinare un Azure Data Box, monitorare lo stato di spedizione e il relativo processo di copia dei dati verso Azure.

Accedendo ad Azure Migrate dal portale Azure si viene subito indirizzati, in base allo scenario di migrazione che si intende effettuare, agli strumenti più opportuni da utilizzare.

Figura 1 – Overview di Azure Migrate

Per procedere con l’utilizzo dello strumento è necessario creare un nuovo progetto. Tale progetto viene utilizzato per salvare i metadati derivanti dalle attività di discovery, assessment e migrazione effettuate nell’ambiente on-premises. I metadati vengono mantenuti in un datacenter di Azure nell’area geografica selezionata. Si ha comunque la possibilità di utilizzare un progetto in qualsiasi area geografica per eseguire migrazioni verso qualunque region di Azure.

Figura 2 – Creazione del progetto di migrazione

Ciascuna di queste fasi viene effettuata tramite soluzioni fornite direttamente da Microsoft oppure tramite strumenti forniti da vendor di terze parti. Al momento in Azure Migrate sono integrati i tool dei seguenti vendor: Carbonite, Cloudamize, Corent, Device42, Turbonomic, e UnifyCloud.

Figura 4 – Tool di migrazione disponibili

Lo strumento Microsoft che consente di effettuare l’assessment dei server, chiamato “Azure Migrate: Server Assessment”, è stato arricchito con le seguenti funzionalità:

  • Può effettuare il discovery e l’assessment di ambienti VMware che ospitano fino a 35000 macchine virtuali. Il limite nella versione precedente era di 1500 VMs.
  • Si ha la possibilità di effettuare la profilazione di ambienti Hyper-V che ospitano fino a 10000 VMs.
  • I dati di inventory provenienti da ambienti VMware ed Hyper-V possono confluire all’interno dello stesso progetto di Azure Migrate.
  • Fornisce delle indicazioni sul dimensionamento dei sistemi, effettua un’analisi per individuare le dipendenze applicative e fornisce una stima dei costi.

Tutto il processo di discovery e assessment con il tool Server Assessment avviene senza dover installare alcun agente. Si tratta di uno strumento totalmente gratuito per tutti i clienti Azure e presto sarà arricchito per contemplare anche il supporto dei sistemi fisici.

Anche per quanto riguarda il processo di migrazione Microsoft mette a disposizione il proprio tool chiamato “Azure Migrate: Server Migration”, che consente di migrare sistemi virtuali in ambienti VMware, Hyper-V, Amazon Web Services (AWS), e Google Cloud Platform (GCP) e server fisici. Questo strumento è stato recentemente arricchito con le seguenti funzionalità:

  • Possibilità di migrare VMs in ambiente VMware in modalità agentless. Adottando questa modalità di migrazione senza agente, è possibile utilizzare la stessa appliance per il discovery, l’assessment e la migrazione. Si ha in questo modo un supporto indipendente dal sistema operativo, che permette di migrare qualsiasi SO client o server, purché supportato sulla piattaforma Azure.
  • Possibilità di migrare senza agente macchine virtuali in ambienti Hyper-V.
  • Migrazione basata su agente per server fisici e VMs in esecuzione su Amazon Web Services oppure Google Cloud Platform.
  • Una nuova esperienza utente semplificata è stata introdotta, rendendo il processo simile alla creazione di una macchina virtuale in Azure.
  • Possibilità di effettuare dei test di migrazione senza dare alcun impatto, permettendo in questo modo di pianificare al meglio la migrazione. Inoltre, il processo di migrazione consente di ottenere una perdita di dati pari a zero quando si spostano le applicazioni in Azure.

Anche “Azure Migrate: Server Migration” è uno strumento utilizzabile in modo gratuito da tutti i clienti Azure. Ovviamente sono da considerarsi i costi per le risorse computazionali e per lo storage utilizzato nelle subscription Azure in seguito all’avvenuta migrazione. A questo proposito è possibile anche stimare a priori i possibili risparmi sui costi che si possono ottenere migrando i propri workloads in Azure. Lo strumento Total Cost of Ownership (TCO) Calculator permette di definire le caratteristiche dei proprio workloads che si intende migrare e, dopo aver sistemato differenti parametri specifici per ciascuna realtà, si ottiene una stima sui potenziali risparmi nell’arco dei 5 anni.

Figura 5 – Grafico di una stima dei risparmi, migrando in Azure, effettuata tramite TCO Calculator

Conclusioni

Azure Migrate, grazie alle nuove funzionalità recentemente rilasciate, risulta un’ottima soluzione in grado di fornire un ampio set di strumenti necessari per affrontare al meglio i più comuni scenari di migrazione. Azure Migrate è ora un vero punto di riferimento per lo spostamento dei propri workloads in Azure grazie a una gestione integrata e centralizzata e ad un approccio trasversale, in grado di affrontare differenti percorsi di migrazione.

Azure IaaS and Azure Stack: announcements and updates (September 2019 – Weeks: 37 and 38)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

New cloud regions in Germany

Microsoft Azure is available from new cloud regions in Germany. Azure is available in new cloud datacenter regions in Germany, Germany West Central (located in Frankfurt) and Germany North (located in Berlin), to provide greater flexibility, the latest intelligent cloud services, full connectivity to the global cloud network, and data residency within Germany. The new regions with German-specific compliance, including Cloud Computing Compliance Controls Catalogue (C5) attestation, and will remove barriers so in-country companies can benefit from the latest solutions such as containers, IoT, and AI.

Azure Firewall is ISO compliant

Azure Firewall is Payment Card Industry (PCI), Service Organization Controls (SOC), and International Organization for Standardization (ISO) compliant. It currently supports SOC 1 Type 2, SOC 2 Type 2, SOC 3, PCI DSS, and ISO 27001, 27018, 20000-1, 22301, 9001, 27017. For more information, see the Microsoft Compliance Guide.

New Azure ExpressRoute sites

The following new ExpressRoute meet-me sites are now live:

  • Copenhagen
  • Stockholm
  • Munich

Azure Private Link in preview

Private Link simplifies the network architecture and secures the connection between endpoints in Azure by keeping data on the Azure network, thus eliminating exposure to the internet. Private Link also enables you to create and render your own services on Azure. During public preview, Private Link supports Azure Storage, Azure Data Lake Storage Gen 2, Azure SQL Database, Azure SQL Data Warehouse, and customer-owned services.

Monitor bandwidth for all peered Azure virtual networks with ExpressRoute

Azure network monitoring solutions including Network Performance Monitor and Network Watcher help monitor your networks in the cloud and in hybrid environments. ExpressRoute Monitoring enables you to monitor network performance over ExpressRoute circuits that are configured to use private peering or Microsoft peering.

Azure Monitor for Azure Virtual Machines is available in additional regions

Monitor for Virtual Machines monitors and analyzes the performance and health of your Windows and Linux virtual machines hosted in Azure, on-premises, or with another cloud provider. Azure Monitor for Azure Virtual Machines is now available in Japan East, North Europe, and East US2. 

Service Map feature of Azure Monitor is available in additional regions

Service Map automatically discovers application components on Windows and Linux systems and maps communication between services. The feature enables you to view your servers, processes, inbound and outbound connection latency, and ports as interconnected systems. The Service Map feature of Azure Monitor is available in Japan East, North Europe, and East US2. 

Zone Redundant Storage (ZRS) for Azure Files premium tier

Zone Redundant Storage (ZRS) is available for Azure Files premium tier. The ZRS replication provides customers a choice of performant Azure Files services with higher availability. With the release of ZRS support, Azure Files premium tier now offers two durability options:

  • Zone redundant storage (ZRS) for data protection against entire zonal outage.
  • Locally-redundant storage (LRS) for lower cost-effective storage for data protection against hardware failure.

Currently, ZRS option is available in West Europe and we plan to gradually expand the regional coverage.

Azure Lab Services supports new GPU Virtual Machine sizes

Azure Lab Services supports two new 6-core GPU Virtual Machine sizes: 

  • Small GPU (Compute): 6 cores, 56 GB RAM, 139 Lab units.
    • Available in US, North Europe, and West Europe regions
    • Best-suited for compute-intensive and network-intensive applications such as Artificial Intelligence and Deep Learning 
  • Small GPU (Visualization): 6 cores, 56 GB RAM, 160 Lab units.
    • Available in US, North Europe, West Europe, and Australia regions
    • Best-suited for remote visualization, streaming, gaming, and encoding using frameworks such as OpenGL and DirectX. 

M-series virtual machines (VMs) are available in new regions

Azure M-series VMs are now available in: Germany West, Germany North, Switzerland West and Switzerland North. M-series VMs offer configurations with memory from 192 GB to 3.8 TiB (4 TB) RAM and are certified for SAP HANA.

Azure Networking: le novità di Azure Firewall

Azure Firewall è la soluzione di firewall-as-a-service presente nel cloud pubblico di Microsoft, che consente di mettere in sicurezza le risorse presenti nelle Virtual Network di Azure e di governare i relativi flussi di rete. Questo servizio è stato rilasciato ufficialmente da diversi mesi e, come spesso accade per i servizi cloud, si hanno delle rapide evoluzioni, volte a migliorare il servizio e ad aumentare il set di funzionalità. In questo articolo vengo riportate le principali novità che hanno recentemente interessato Azure Firewall.

Indirizzi IP Pubblici associati ad Azure Firewall

Mentre inizialmente era possibile associare ad Azure Firewall un solo indirizzo IP pubblico, ora si possono associare fino a 100 indirizzi IP pubblici. Questa possibilità apre nuovi scenari di configurazione e di funzionamento:

  • In configurazioni DNAT si ha la possibilità di utilizzare la stessa porta su indirizzi IP Pubblici differenti.
  • Per quanto riguarda connessioni SNAT in outbound saranno disponibili un numero maggiore di porte, riducendo la possibilità di terminare le porte a disposizione.

Attualmente l’indirizzo IP Pubblico sorgente di Azure Firewall utilizzato per le connessioni viene scelto in modo casuale. Questo aspetto è da tenere in considerazione quando sono necessarie autorizzazioni specifiche per il traffico proveniente da Azure Firewall. Microsoft ha comunque in roadmap la possibilità di fare configurazioni SNAT specificando l’indirizzo IP Pubblico da utilizzare. La procedura da seguire per effettuare il deployment di Azure Firewall con più indirizzi IP Pubblici, tramite comandi PowerShell, è possibile consultarla in questo documento.

Figura 1 – Assegnazione di più IP pubblici ad Azure Firewall dal portale Azure

Availability Zones

Al fine di aumentare i livelli di disponibilità di Azure Firewall è possibile, durante la fase di creazione,  prevedere l’utilizzo delle Availability Zones. Selezionando due o più Availability Zones si potrà ottenere una percentuale di uptime del 99.99 percento. Tutti i dettagli relativi ai Service Level Agreement (SLA) di Azure Firewall sono contenuti in questo documento. L’adozione di questa metodologia di deployment non prevede costi aggiuntivi, ma è necessario contemplare un incremento dei costi dati dal data transfer in inbound e in outbound dalle Availability Zones, reperibili in questo documento. Rispetto al costo dell’Azure Firewall questi non impattano in modo particolarmente significativo. Personalmente ritengo che se si adotta una architettura del networking di Azure dove Azure Firewall è il componente core per la messa in sicurezza dell’ambiente, diventa molto utile utilizzare le Availability Zones per garantire un elevato livello di disponibilità delle applicazioni mission-critical protette da questo servizio.

Figura 2 – Configurazione Availability Zones in fase di creazione di Azure Firewall

In presenza di Azure Firewall creati senza l’utilizzo delle Availability Zones, non si ha la possibilità di effettuare una conversione all’utilizzo delle stesse. L’unica modalità attualmente disponibile prevede la creazione di un nuovo Azure Firewall migrando le configurazioni esistenti. I backup in formato JSON della configurazione di Azure Firewall possono essere fatti utilizzando i seguenti comandi PowerShell:

$AzureFirewallId = (Get-AzFirewall -Name "AzureFirewallName" -ResourceGroupName "Network-RG").id

$BackupFileName = ".AzureFirewallBackup.json"

Export-AzResourceGroup -ResourceGroupName "Network-RG" -Resource $AzureFirewallId -SkipAllParameterization -Path $BackupFileName

Avendo a disposizione il file JSON è necessario modificarlo per contemplare le Availability Zones:

{

"apiVersion": "2019-04-01",

"type": "Microsoft.Network/azureFirewalls",

"name": "[variables('FirewallName')]",

"location": "[variables('RegionName')]",

"zones": [

"1",

"2",

"3"

],

"properties": {

"ipConfigurations": [

{

Al termine della modifica è possibile effettuare il deployment del nuovo Azure Firewall, utilizzando il file JSON opportunamente modificato, tramite il seguente comando:

New-AzResourceGroupDeployment -name "RestoreFirewallAvZones" -ResourceGroupName "Network-RG" -TemplateFile ".AzureFirewallBackup.json"

Gestione centralizzata con soluzioni di terze parti

Azure Firewall espone pubblicamente delle REST APIs che possono essere utilizzate da vendor di terze parti per fornire delle soluzioni che permettono una gestione centralizzata degli Azure Firewall, dei Network Security Groups (NSGs), e delle virtual appliance di rete (NVAs). Al momento questi sono i vendor che offrono soluzioni di questo tipo: Barracuda con Cloud Security Guardian, AlgoSec con CloudFlow e Tufin con Orca.

Just-in-time (JIT) VM access per Azure Firewall

Quando un utente richiede di accedere a una VM con una policy Just-in-time (JIT), il Security Center prima verifica se l’utente dispone effettivamente dei permessi Role-Based Access Control (RBAC) necessari per effettuare la richiesta di accesso. In caso affermativo la richiesta viene approvata, e il Security Center è in grado di configurare automaticamente non solo i NSG, ma anche le regole necessarie lato Azure Firewall per consentire il traffico in ingresso.

Application rules con FQDN di SQL

Nelle application rule di Azure Firewall è stata introdotta la possibilità di specificare degli FQDN di SQL. In questo modo è possibile governare l’accesso dalle virtual network verso specifiche istanze SQL server. Tramite gli FQDN SQL è possibile filtrare il traffico:

  • Da Virtual Network verso un Azure SQL Database oppure un Azure SQL Data Warehouse.
  • Dall’ambiente on-premises verso Azure SQL Managed Instances oppure SQL IaaS in esecuzione sulle Virtual Network.
  • Da spoke-to-spoke verso Azure SQL Managed Instances oppure SQL IaaS in esecuzione sulle Virtual Network.

Figura 3 – Creazione Application Rule con FQDN SQL

FQDN Tag per Azure HDInsight (HDI)

I cluster Azure HDInsight presenti sulle proprie Virtual Network hanno diverse dipendenze da altri servizi Azure (esempio Azure Storage), con i quali è necessario prevedere un traffico di rete in uscita per funzionare in modo corretto. Grazie all’introduzione degli FQDN tags per HDInsight è possibile configurare Azure Firewall per restringere l’accesso in outbound per i cluster HDI. Per maggiori dettagli a riguardo è possibile consultare la documentazione ufficiale Microsoft.

Automazione per gestire il backup

Disporre di una strategia che consenta di ripristinare la configurazione del servizio in tempi rapidi è fondamentale in quanto questo servizio è il centro di governo del networking vostro ambiente Azure e contiene diverse regole per gestire in modo completo il traffico di rete. Il servizio al momento non dispone in modo integrato di una funzionalità per farne il backup completo in modo periodico. In questo articolo viene riportato un meccanismo ideato per fare il backup schedulato della configurazione di questo componente utilizzando il servizio Azure Automation.

Conclusioni

Azure Firewall è una soluzione che sempre più spesso viene utilizzata nelle architetture di rete di Azure, per i vantaggi che offre rispetto alle soluzioni firewall di vendor di terze parti e grazie ad un costante arricchimento delle funzionalità offerte. Tutte queste novità introdotte rendono Azure Firewall una soluzione più completa, totalmente integrata nella piattaforma, che consente di mettere in sicurezza le risorse presenti sulle Virtual Network di Azure con una elevata flessibilità.

Azure IaaS and Azure Stack: announcements and updates (September 2019 – Weeks: 35 and 36)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Microsoft Azure available from new cloud regions in Switzerland

Microsoft announced the availability of new Azure Regions in Switzerland. With the Azure Region Switzerland West and Switzerland North, Microsoft addresses the need of customers to have cloud regions and datacenters available in Switzerland. Remember that not all services are available in all Azure regions. You can find more information about the products and services available in the Swiss Azure regions on the Azure website.

31 new Azure edge sites

Microsoft announced the addition of 31 new edge sites, bringing the total to over 150 across more than 50 countries. Microsoft is also adding 14 new meet-me sites to Azure ExpressRoute to further enable and expand access to dedicated private connections between customers’ on-premises environments and Azure.

Azure Firewall in China

Azure Firewall is also available in China.

Azure DevTest Labs now integrates with Azure Bastion

Azure DevTest Labs now integrates with Azure Bastion, enabling you to connect to your virtual machines through a web browser. Azure Bastion provides secure and seamless RDP/SSH connectivity to your virtual machines directly in the Azure portal over SSL. As a lab owner, it’s possible to enable your lab virtual machines to have browser-based access provided they’re created in a virtual network that has Azure Bastion configured on it.

Azure Stack

Azure App Service on Azure Stack Update 7 (1.7)

This release updates the resource provider and brings the following key capabilities and fixes:

  • Updates to **App Service Tenant, Admin, Functions portals and Kudu tools**. Consistent with Azure Stack Portal SDK version.
  • Updates to core service to improve reliability and error messaging enabling easier diagnosis of common issues.
  • Access Restrictions now enabled in User Portal

All other fixes and updates are detailed in the App Service on Azure Stack Update Seven Release Notes.

Diagnostic log collection is generally available for Azure Stack

The Azure Stack diagnostic log collection service provides a simplified way for Azure Stack operators to collect and share diagnostic logs with Microsoft Customer Support Services (CSS). A new user experience in the Azure Stack administrator portal is available for operators to set up the automatic upload of diagnostic logs to a storage blob when certain critical alerts are raised, or to perform the same operation on demand.