Stretched Clusters for Azure VMware Solution, now in preview, provides 99.99 percent uptime for mission critical applications that require the highest availability. In times of availability zone failure, your virtual machines (VMs) and applications automatically failover to an unaffected availability zone with no application impact.
Azure NetApp Files Datastores is now generally available to run your storage intensive workloads on Azure VMware Solution. This integration between Azure VMware Solution and Azure NetApp Files enables you to create datastores via the Azure VMware Solution resource provider with Azure NetApp Files NFS volumes and attach the datastores to your private cloud clusters of choice.
Customer-managed keys for Azure VMware Solution is now in preview, both supporting higher security for customers’ mission-critical workloads and providing you with control over your encrypted vSAN data on Azure VMware Solution. With this feature, you can use Azure Key Vault to generate customer-managed keys as well as centralize and streamline the key management process.
New node sizing for Azure VMware Solution. Start leveraging Azure VMware Solution across two new node sizes with the general availability of AV36P and AV52 in AVS. With these new node sizes organizations can optimize their workloads for memory and storage with AV36P and AV52.
Virtual Machine software reservations
The new Virtual Machine software reservations enable savings on your Virtual Machine software costs when you make a one- to three-year commitment for plans offered by third-party publishers such as Canonical, Citrix, and Red Hat.
Arm-based VMs now available in four additional Azure regions
The Dpsv5, Dplsv5, and Epsv5 VMs are available in the following additional four Azure regions: West US, North Central US, UK South, and France Central
Storage
Encrypt managed disks with cross-tenant customer-managed keys
Encrypting managed disks with cross-tenant customer-managed keys (CMK) enables you to encrypt managed disks with customer-managed keys using Azure Key Vault hosted in a different Azure Active Directory (AD) tenant.
Networking
New capabilities for Azure Firewall
Azure Firewall is a cloud-native firewall as a service offering that enables customers to centrally govern and log all their traffic flows using a DevOps approach.
Several key Azure Firewall capabilities are now generally available:
New GA regions in Qatar central, China East, and China North: Azure Firewall Standard, Azure Firewall Premium, and Azure Firewall Manager are now generally available in three new regions: Qatar Central, China East, and China North
IDPS Private IP ranges: in Azure Firewall Premium IDPS, Private IP address ranges are used to identify traffic direction (inbound, outbound, or internal) to allow accurate matches with IDPS signatures. By default, only ranges defined by Internet Assigned Numbers Authority (IANA) RFC 1918 are considered private IP addresses. To modify your private IP addresses, you can now easily edit, remove, or add ranges as needed.
Single Click Upgrade/Downgrade (preview): With this new capability, customers can easily upgrade their existing Firewall Standard SKU to Premium SKU as well as downgrade from Premium to Standard SKU. The process is fully automated and has zero service downtime.
Enhanced Threat Intelligence (preview): Threat Intelligence-based filtering can be enabled for your firewall to alert and deny traffic from/to known malicious IP addresses and FQDNs. With the new enhancement, Azure Firewall Threat Intelligence has more granularity for filtering based on malicious URLs. This means that customers may have access to a certain domain through a specific URL in this domain will be denied by Azure Firewall if identified as malicious.
KeyVault with zero internet exposure (preview): in Azure Firewall Premium TLS inspection, customers are required to deploy their intermediate CA certificate in Azure KeyVault. Now that Azure firewall is listed as a trusted Azure KeyVault service, customers can eliminate any internet exposure of their Azure KeyVault.
Azure Front Door: new features in preview
New features are available for Azure Front Door (preview):
Azure Front Door zero downtime migration. In March of this year, Microsoft announced the general availability of two new Azure Front Door tiers. Azure Front Door Standard and Premium are native, modern cloud content delivery network (CDN) catering to both dynamic and static content delivery acceleration with built-in turnkey security and a simple and predictable pricing model. The migration capability enables you to perform a zero-downtime migration from Azure Front Door (classic) to Azure Front Door Standard or Premium in just three simple steps or five simple steps if your Azure Front Door (classic) instance has custom domains with your own certificates. The migration will take a few minutes to complete depending on the complexity of your Azure Front Door (classic) instance, such as number of domains, backend pools, routes, and other configurations.
Upgrade from Azure Front Door Standard to Premium tier: Azure Front Door supports upgrading from Standard to Premium tier without downtime. Azure Front Door Premium supports advanced security capabilities and has increased quota limit, such as managed Web Application Firewall rules and private connectivity to your origin using Private Link.
Azure Front Door integration with managed identities. Azure Front Door now supports managed identities generated by Azure Active Directory to allow Front Door to easily and securely access other Azure AD-protected resources such as Azure Key Vault. This feature is in addition to the AAD Application access to Key Vault that is currently supported.
Default Rule Set 2.1 for Azure Web Application Firewall
Default Rule Set 2.1 (DRS 2.1) on Azure’s global Web Application Firewall (WAF) running on Azure Front Door is available. This rule set is available on the Azure Front Door Premium tier.
DRS 2.1 is baselined off the Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 and includes additional proprietary protections rules developed by Microsoft Threat Intelligence team. As with previous DRS releases, DRS 2.1 rules are also tailored by Microsoft Threat Intelligence Center (MSTIC). The MSTIC team analyzes Common Vulnerabilities and Exposures (CVEs) and adapts the CRS ruleset to address those issues while also reducing false positives to our customers.
Bot Manager Rule Set 1.0 on regional Web Application Firewall
A new bot protection rule set (Microsoft_BotManagerRuleSet_1.0) is now generally available for Azure Web Application Firewall (WAF) with Azure Application Gateway. Added to this updated rule set are three bot categories: good, bad, and unknown. Bot signatures are managed and dynamically updated by Azure WAF. The default action for bad bot groups is set to Block, for the verified search engine crawlers group it’s set to Allow, and for the unknown bot category it’s set to Log. You may overwrite the default action with Allow, Block, or Log for any type of bot rule
Per Rule Actions on regional Web Application Firewall
Azure’s regional Web Application Firewall (WAF) with Application Gateway running the Bot Protection rule set and Core Rule Set (CRS) 3.2 or higher now supports setting actions on a rule-by-rule basis. This gives you greater flexibility when deciding how the WAF handles a request that matches a rule’s conditions.
Azure Stack
Azure Stack HCI
Network HUD
Network HUD is a new feature, available with the November update on Azure Stack HCI that detects operational network issues causing stability issues or degrade performance. It distills the various indicators of problems generated by event logs, performance counters, the physical network and more, to proactively identify issues and alert you with contextual messages that you can act on. It also integrates with the existing alerting mechanisms you’re already used to and leverages Network ATC for intent-based analytics and remediation.
Azure Stack HCI è la soluzione che permette di realizzare una infrastruttura hyper-converged (HCI) per l’esecuzione di workload in ambiente on-premises e che prevede una strategica connessione a vari servizi di Azure. Anche Azure Stack HCI viene considerato come servizio hybrid di Azure e come tale è in continua evoluzione. Recentemente Microsoft ha introdotto una serie di nuove funzionalità che aprono la strada a nuovi scenari di adozione di Azure Stack HCI e che consentono di gestire al meglio la propria infrastruttura ibrida basata su questa soluzione. In questo articolo vengono riportati i principali aspetti che hanno subito un’evoluzione e le nuove funzionalità recentemente introdotte in Azure Stack HCI.
Vantaggi economici per i clienti con un contratto di Software Assurance
I clienti che dispongono di licenze Windows Server Datacenter con Software Assurance attiva, possono attivare l’Azure Hybrid Benefit anche per il proprio cluster Azure Stack HCI. Per attivare questo vantaggio, senza costi aggiuntivi, sarà necessario scambiare una licenza core di Windows Server Datacenter con Software Assurance per un core fisico di Azure Stack HCI. Questo aspetto permette di azzerare i costi Azure per il canone degli host Azure Stack HCI e fornisce il diritto ad eseguire un numero illimitato di macchine virtuali guest Windows Server sul cluster Azure Stack HCI.
Inoltre, è possibile attivare gli Azure Hybrid Benefit anche per Azure Kubernetes Service (AKS). In questo caso sono richieste licenze Windows Server StandardDatacenter con Software Assurance attiva, oppure la presenza di una subscription Cloud Solution Provider (CSP). Ogni licenza di Windows Server core dà diritto all’uso di un core virtuale di AKS.
Nell’immagine seguente viene sintetizzato come, i clienti con Software Assurance, possono utilizzare Azure Hybrid Benefit per ridurre ulteriormente i costi nel cloud, nei datacenter on-premises e nelle sedi periferiche.
Figura 1 – Cosa include l’Azure Hybrid Benefit per i clienti in Software Assurance
In particolare per i clienti con un contratto di Software Assurance, l’adozione di Azure Stack HCI si traduce in una riduzione drastica dei costi di modernizzazione dell’ambiente di virtualizzazione, rendendo questa soluzione ancora più competitiva dal punto di vista dei costi rispetto ai competitor sul mercato. Per consultare nel dettaglio i requisiti di licensing è possibile fare riferimento a questo documento.
Aggiornamento 22H2
Il nuovo aggiornamento, conosciuto come “versione 22H2” oppure “22H2 feature update”, è stato rilasciato ufficialmente ed è pronto per l’utilizzo in ambiente produzione. Questa versione apporta su diversi fronti della soluzione una maggiore qualità.
Nei punti seguenti vengono riportate sinteticamente le varie funzionalità e i diversi miglioramenti introdotti al sistema operativo Azure Stack HCI, versione 22H2:
Network ATC v2 è in grado di assegnare automaticamente gli indirizzi IP alle reti storage intra-cluster e di nominare automaticamente le reti del cluster in base all’uso previsto. Può anche gestire le impostazioni della live migration, come la selezione della rete, del trasporto e l’allocazione della larghezza di banda.
La gestione dello storage è più flessibile in quanto è possibile modificare i volumi storage esistenti per aumentarne la resilienza (ad esempio, passando da un two-way a un three-way mirror) oppure effettuare una conversione in-place da provisioning di tipologia fixed verso uno di tipologia thin.
La replica dello storage in uno stretched cluster è più veloce grazie alla nuova possibilità opzionale di compressione.
La live migration di Hyper-V è più affidabile per i cluster a 2 e a 3 nodi senza la presenza di switch specifici.
Lato networking è inoltre disponibile una nuova possibilità di segmentazione della rete basata su tag, che consente di proteggere i workload virtualizzati dalle minacce in base a tag personalizzati che vengono assegnati.
Per consultare tutti i dettagli relativi alla versione 22H2 è possibile consultare questo documento.
Tutti i cluster Azure Stack HCI esistenti possono ricevere l’aggiornamento 22H2 come aggiornamento gratuito over-the-air ed è possibile applicare l’aggiornamento senza interruzioni grazie all’aggiornamento cluster-aware. Microsoft raccomanda la versione 22H2 per tutte le nuove implementazioni di Azure Stack HCI.
Anche gli strumenti di gestione sono stati rinnovati per supportare le funzionalità di questo nuovo aggiornamento. Infatti, è possibile utilizzare Windows Admin Center per gestire la versione 22H2. Inoltre, viene mantenuta la compatibilità con System Center Virtual Machine Manager e con Operations Manager, grazie al primo Update Rollup (UR1) per System Center 2022, che aggiungerà il supporto ufficiale per Azure Stack HCI, versione 22H2.
Azure Arc-enabled VM management
Adottando Azure Stack HCI ed Azure Arc è possibile applicare i modelli di gestione del cloud anche all’ambiente on-premises. All’inizio dell’anno Microsoft ha rilasciato l’anteprima pubblica per la gestione delle macchine virtuali abilitate ad Azure Arc, che consente di distribuire le macchine virtuali su Azure Stack HCI tramite ARM, Azure CLI e portale Azure.
In questo ambito sono state introdotte nuove importanti funzionalità:
Oltre all’utilizzo di immagini personalizzate, è ora possibile accedere alle immagini direttamente dal Marketplace Azure. In modo rapido è così possibile distribuire le ultime immagini Microsoft completamente aggiornate, tra le quali Windows Server 2022 Azure Edition con hotpatching e Windows 11 Enterprise multi-session per Azure Virtual Desktop. In futuro saranno disponibili anche immagini di terzi parti. Questa funzionalità è integrata in modo nativo in Azure Arc ed è stata progettata per rispettare la larghezza di banda della rete. Infatti, le immagini sono ottimizzate per ridurre al minimo le dimensioni dei file ed è sufficiente scaricarle una sola volta per creare anche diverse macchine virtuali.
Quando si distribuisce una nuova VM in Azure Stack HCI attraverso Azure Arc, il sistema operativo guest è ora automaticamente abilitato ad Arc. Ciò significa che è possibile utilizzare estensioni per le VMs, come Domain Join oppure Custom Script per distribuire e configurare le applicazioni. In futuro saranno disponibili anche altre estensioni.
Servizio Kubernetes ibrido di Azure
Molte realtà aziendali hanno un mix di applicazioni obsolete in ambiente di virtualizzazione e nuove applicazioni basate su container. Adottando Azure Kubernetes Service (AKS) in ambiente Azure Stack HCI è possibile distribuire e gestire applicazioni containerizzate parallelamente alle macchine virtuali, sullo stesso server fisico o ambiente cluster.
L’aggiornamento di settembre 2022 per AKS su Azure Stack HCI ha introdotto alcuni miglioramenti significativi, tra i quali:
L’immagine di base del container Linux è stata aggiornata a Mariner 2.0, che è più ridotta come dimensioni e più sicura.
L’integrazione del software-defined networking (SDN) è disponibile e pronta per essere utilizzata in ambiente di produzione.
La procedura per collegare le GPU ai container è stata semplificata.
Viene introdotta la possibilità di utilizzare qualsiasi account del gruppo degli Amministratori di sistema per gestire AKS.
Recentemente è stata inoltre introdotta la possibilità di effettuare il provisioning di cluster AKS ibridi direttamente da Azure, utilizzando un’identità AAD. La distribuzione di nuovi cluster Kubernetes nell’ambiente on-premises avviene mediante l’Arc Resource Bridge, in modo molto simile alla gestione delle macchine virtuali abilitate ad Arc. Si tratta di un’evoluzione importante verso un’esperienza di provisioning delle applicazioni end-to-end semplice e uniforme, che abbraccia il cloud e l’edge.
Hardware progettato, spedito e supportato direttamente da Microsoft
Microsoft ha annunciato che nel 2023 offrirà un sistema Azure Stack HCI basato su hardware progettato, spedito e supportato direttamente dalla casa di Redmond.
La soluzione, chiamata “Pro 2”, ha le seguenti caratteristiche:
Form factor compatto di sole 2U a metà profondità, ideale anche per le implementazione al di fuori dei data center (es. retail, manufacturing e ambienti sanitari).
Resistente alle manomissioni.
Abbastanza silenzioso per un ambiente d’ufficio, generando meno di 60 dBA di rumore acustico.
Ordinabile direttamente dal portale Azure e fornito con Azure Stack HCI preinstallato.
Disponibile in diverse configurazioni, con specifiche adatte a differenti casi d’uso.
Gestione dell’hardware totalmente integrata con gli strumenti di gestione dei cluster esistenti, compresa una nuova estensione di Windows Admin Center in fase di sviluppo.
Questo prossimo rilascio consente ai clienti di adottare un modello di business coerente tra il cloud e l’edge: un modello di pagamento OPEX con la possibilità di utilizzare i commitment Azure per ottenere una soluzione Microsoft completa, compreso l’hardware.
Conclusioni
Grazie ad un costante miglioramento, all’introduzione continua di nuove funzionalità ed all’inclusione di nuovi scenari di utilizzo, la proposizione Microsoft per scenari hyper-converged risulta sempre più completa, integrata e performante. Azure Stack HCI si integra perfettamente all’ambiente on-premises esistente ed offre un importante valore aggiunto: la possibilità di connettere Azure Stack HCI con altri servizi Azure per ottenere una soluzione hyper-converged ibrida. Questo aspetto in particolare la differenzia fortemente da altri competitor che offrono soluzioni in questo ambito.
Attribute-based access control for standard storage accounts
Attribute-based access control (ABAC) is an authorization strategy that defines access levels based on attributes associated with security principals, resources, and requests. Azure ABAC builds on role-based access control (RBAC) by adding conditions to Azure role assignments in the existing identity and access management (IAM) system. This release makes generally available role assignment conditions using request and resource attributes on Blobs, ADLS Gen2 and storage queues for standard storage accounts.
Premium SSD v2 disks available on Azure Disk CSI driver
Premium SSD v2 is the next-generation Azure Disk Storage optimized for performance-sensitive and general-purpose workloads that need consistent low average read and write latency combined with high IOPS and throughput. Premium SSD v2 is now available with the Azure Disk CSI driver to deploy stateful workloads in Kubernetes on Azure.
Ephemeral OS disk support for confidential virtual machines
The support to create confidential VMs using Ephemeral OS disks is available. This enables customers using stateless workloads to benefit from the trusted execution environments (TEEs). Trusted execution environments protect data being processed from access outside the trusted execution environments.
Encrypt storage account with cross-tenant customer-managed keys
The ability to encrypt storage account with customer-managed keys (CMK) using an Azure Key Vault hosted on a different Azure Active Directory tenant is available. You can use this solution to encrypt your customers’ data using an encryption key managed by your customers.
Availability zone volume placement for Azure NetApp Files (preview)
Azure NetApp Files availability zone volume placement feature lets you deploy new volumes in the logical availability zone of your choice to support enterprise, mission-critical high availability (HA) deployments across multiple availability zones.
Nel mese di ottobre sono state annunciate da parte di Microsoft un numero considerevole di novità riguardanti gli Azure management services, complice anche la conferenza Microsoft Ignite 2022. Tramite questi articoli, rilasciati con cadenza mensile, voglio fornire una panoramica complessiva delle principali novità del mese, in modo da poter rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare ulteriori approfondimenti.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli:
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Nuovi strumenti di migrazione per l’agente di Azure Monitor
L’Azure Monitor Agent (AMA) fornisce un modo sicuro, economico e performante per raccogliere dati di telemetria da macchine virtuali Azure, scale set, server abilitati ad Azure Arc e dispositivi client Windows. Microsoft ha annunciato che risulta necessario migrare dall’agente log analytics (agente MMA o OMS) a questo agente prima di agosto 2024. Per affrontare questa migrazione è possibile utilizzare i seguenti strumenti di migrazione:
AMA migration helper: una soluzione basata sui workbook di Azure Monitor che aiuta a scoprire cosa migrare e a monitorare i progressi nel passaggio dagli agenti legacy al nuovo agente Azure Monitor.
DCR config generator: l’agente Azure Monitor si basa solo sulle regole di raccolta dei dati (data collection rule) per la configurazione, mentre l’agente legacy estraeva tutta la sua configurazione dai workspace di Log Analytics. Utilizzando questo script è possibile analizzare la configurazione dell’agente legacy dai workspace e generare automaticamente le regole corrispondenti. Tali regole sarà possibile associarle ai sistemi che eseguono il nuovo agente, utilizzando i criteri di associazione integrati.
Supporto dell’agente di Azure Monitor anche per i client Windows
L’agente Azure Monitor e le regole di raccolta dati ora supportano i dispositivi client Windows 10 e 11. I dispositivi client che eseguono l’agente devono essere collegati ad AAD o ad AAD ibrido, poiché l’agente si basa sull’identità del dispositivo AAD per l’autenticazione. Per i dispositivi client, pur distribuendo lo stesso agente che utilizza le regole di raccolta dati per gestire la configurazione, è consentita solo l’associazione (o il targeting) a livello di tenant AAD. Il targeting granulare dei dispositivi non è ancora disponibile. Inoltre, l’agente è lo stesso utilizzato per le macchine virtuali o per i server, ovvero non presenta alcuna ottimizzazione specifica per i dispositivi client (es. per la batteria, la rete, ecc.).
Annunciato il ritiro di Azure Service Map
Microsoft ha annunciato che Azure Service Map sarà ufficialmente ritirato il 30 settembre 2025. Per monitorare le connessioni tra i server, i processi e le latenza delle connessioni è necessario utilizzare Azure Monitor VM insights. L’esperienza fornita da VM Insights include le stesse funzionalità di Service Map, oltre a:
Scalabilità e supporto migliorati per mappe più complesse.
Metriche più dettagliate per le connessioni.
Supporto integrato per il raggruppamento delle macchine.
Predictive autoscale di Azure Monitor per gli Azure Virtual Machine Scale Set
Il predictive autoscale utilizza l’apprendimento automatico per aiutare a gestire e a scalare gli Azure Virtual Machine Scale Sets con modelli di carico di lavoro ciclici. Questa funzionalità consente di prevedere il carico complessivo della CPU per il set di macchine virtuali in base ai modelli storici di utilizzo della CPU. Questo permette che lo scale-out possa essere fatto in tempo per soddisfare la domanda.
Diverse sono le funzionalità chiave rilasciate:
Le nuove istanze del set di macchine virtuali vengono aggiunte quando il sistema prevede che la percentuale di CPU superi il limite di scale-out.
Risulta possibile configurare con quanto anticipo si desidera il provisioning di nuove istanze.
Risulta possibile visualizzare le previsioni di utilizzo della CPU senza attivare l’azione di scaling, utilizzando la modalità di sola previsione.
Azure Monitor Logs: funzionalità per aggiungere valore ai dati e ridurre i costi
Per Azure Monitor Logs sono state annunciate funzionalità interessanti di analisi dei log che contribuiranno ad aumentare l’efficacia dei costi dei log:
Basic Logs: una soluzione economica per i log verbosi ad alto volume. È ora possibile configurare tabelle di log verbosi ad alto volume come basic logs e ridurre i costi di archiviazione dei dati utilizzati per il debug, la risoluzione dei problemi e l’auditing.
Archiviazione a lungo termine dei log per la sicurezza e per la conformità. L’archiviazione dei log consente di estendere il periodo di conservazione della tabella Log Analytic e di archiviare i registri fino a sette anni con una significativa riduzione dei prezzi.
Risulta possibile accedere ai log archiviati utilizzando un job di ricerca o ripristinando temporaneamente un set di log.
Search Log: un nuovo strumento che esegue la scansione asincrona di petabyte di dati e recupera tutti i record pertinenti in una nuova tabella Log Analytics persistente.
Ripristino: un’operazione che rende disponibile nella hot cache un intervallo di tempo specifico di dati di una tabella, per eseguire query ad alte prestazioni.
Azure Monitor Logs: creazione RBAC in modo granulare per tabelle personalizzate Oggi il controllo dell’accesso ai dati può essere gestito a livello di workspace, di risorsa e di tabella, ma solo per le tabelle standard di Azure. In precedenza, le tabelle personalizzate supportavano solo un metodo di autorizzazione: “tutto o niente”. Il team di prodotto di Log Analytics ha aggiunto la funzionalità per consentire agli amministratori dei workspace di gestire un accesso più granulare ai dati, supportando l’autorizzazione di lettura a livello di tabella, sia per le tabelle Azure sia per le tabelle dei clienti.
Integrazione dell’Azure Monitor Agent con Connection Monitor (preview) Connection Monitor è una soluzione di monitoraggio multi-agente in grado di monitorare la connettività in ambienti Azure e ibridi e di misurare la perdita di pacchetti, la latenza e il jitter. Connection Monitor fornisce informazioni utili per la diagnosi e la risoluzione dei problemi di rete e fornisce visibilità del percorso end-to-end con una topologia unificata.
L’obiettivo di Microsoft è quello di consolidare gli agenti di monitor multipli in un unico agente. Questa funzionalità permette di soddisfare le esigenze di raccolta dei log di monitor relativi alla connettività e delle metriche su Azure e sui computer on-premises abilitati ad Arc, eliminando i costi di gestione e di abilitazione di più agenti di monitor. Inoltre, l’Azure Monitor Agent offre funzionalità di sicurezza e prestazioni migliorate, risparmi effettivi sui costi e una maggiore facilità nella risoluzione di eventuali problemi. Grazie a questo supporto, viene eliminata la dipendenza dall’agente Log Analytics in via di dismissione, aumentando al contempo la copertura dei computer on-premises con il supporto degli endpoint abilitati ad Arc.
Servizio gestito di Azure Monitor per Prometheus (preview)
Prometheus, il progetto open source della Cloud Native Computing Foundation, è considerato lo standard de-facto quando si tratta di monitorare i carichi di lavoro containerizzati. L’esecuzione di Prometheus self-managed è spesso un’ottima soluzione per le implementazioni più piccole, anche se la scalabilità per gestire i carichi di lavoro può essere una sfida importante. Il nuovo servizio compatibile con Prometheus e completamente gestito di Azure Monitor offre il meglio di ciò che piace dell’ecosistema open source, automatizzando allo stesso tempo attività complesse come lo scaling, l’alta disponibilità e la conservazione dei dati a lungo termine. Tale servizio è disponibile come servizio standalone di Azure Monitor oppure come componente integrato di Container Insights e Azure Managed Grafana.
Regole per le risorse Azure Kubernetes Service e per workspace di Log Analytics(preview)
Il portale Azure consente ora di abilitare facilmente una serie di regole di avviso afferenti alle best practice consigliate per le risorse Azure Kubernetes Service (AKS) e per i workspace di Log Analytics.
Govern
Azure Cost Management
Aggiornamenti relativi a Microsoft Cost Management
Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Microsoft Cost Management, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.
Azure Arc
Aggiornamento automatico dell’estensione per i server abilitati ad Azure Arc
Microsoft ha reso disponibile la funzionalità di aggiornamento automatico dell’estensione per i server abilitati ad Azure Arc.
Azure Automanage per le macchine virtuali Azure e per i server abilitati ad Arc Azure Automanage è un servizio che automatizza la configurazione delle macchine virtuali ai servizi Azure, nonché le operazioni di sicurezza e di gestione dell’intero ciclo di vita delle VMs in ambienti Azure oppure ibridi (abilitati tramite Azure Arc). Ciò consente di risparmiare tempo, ridurre i rischi e migliorare l’uptime dei carichi di lavoro, automatizzando le attività quotidiane di configurazione e gestione. Azure Automanage è ora disponibile per le macchine virtuali Azure e per i server abilitati ad Arc.
Microsoft ha aggiunto nuove funzionalità per automatizzare ulteriormente la configurazione e la gestione di qualsiasi macchina virtuale, tra cui:
l’applicazione di impostazioni di backup migliorate e di diverse modalità di auditing per le baseline dei server;
la possibilità di specificare workspace di Log Analytics personalizzati e tag Azure per identificare le risorse;
supporto per le macchine virtuali Windows 10;
supporto per l’abilitazione di Microsoft Antimalware.
Nuove funzionalità per i SQL Server abilitati ad Azure Arc
I SQL Server abilitati ad Azure Arc hanno diverse nuove funzionalità che consentono sempre più ai clienti di sfruttare un’esperienza simile al cloud, tra cui:
esperienza di single sign-on che si integra con Azure Active Directory (Azure AD).
sicurezza migliorata grazie a Microsoft Defender che consente ai clienti di valutare e proteggere le proprietà di SQL Server in ambienti ibridi e multicloud.
Secure
Microsoft Defender for Cloud
Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud
Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:
Microsoft Defender for DevOps, una nuova soluzione che fornirà visibilità su più ambienti DevOps. Tale soluzione permetterà di gestire in modo centralizzato la sicurezza, rafforzare le configurazioni delle risorse cloud nel codice e dare delle priorità alla risoluzione dei problemi critici nel codice in ambienti multi-pipeline e multicloud. Con questa anteprima, le principali piattaforme come GitHub e Azure DevOps sono già supportate e altre importanti piattaforme DevOps verranno supportate a breve.
Microsoft cloud security benchmark: il framework di sicurezza multicloud completo è ora disponibile con Microsoft Defender for Cloud, come parte dell’esperienza gratuita di Cloud Security Posture Management. Questo benchmark integrato è in grado di mappare le best practice tra differenti cloud e i vari framework di settore, consentendo ai team di sicurezza di garantire una conformità alla sicurezza multicloud.
Microsoft Defender for Servers, oltre a un approccio basato su agenti per le macchine virtuali (VM) in Azure e AWS, supporterà la scansione agentless.
Defender for Servers P2 fornirà le funzionalità premium di Microsoft Defender Vulnerability Management.
Microsoft Defender for Containers amplierà la protezione dalle minacce multicloud con la scansione agentless in AWS Elastic Container Registry.
Protect
Azure Backup
Smart tiering: spostamento automatico nel vault-archive tier
In Azure Backup è stata introdotta la possibilità di configurare le policy per automatizzare l’utilizzo del vault-archive tier per le macchine virtuali di Azure e per SQL Server/SAP HANA a bordo di macchine virtuali. Questo garantisce che i punti di ripristino idonei e consigliati (nel caso di macchine virtuali di Azure) vengano spostati automaticamente nel vault-archive tier. Questa operazione viene svolta in modo periodico e in base alle impostazioni della policy di backup. Inoltre, risulta possibile specificare il numero di giorni dopo i quali si desidera che i punti di ripristino vengano spostati nel vault-archive tier.
Supporto per storage zone-rendundant
In Azure Backup è stato introdotto il supporto per i vault di tipologia zone redundant. Quando si configura la protezione di una risorsa utilizzando un vault zone-redundant storage (ZRS), i backup vengono replicati in modo sincrono su tre zone di disponibilità all’interno di una region. Questo consente di effettuare dei ripristini dei dati anche in caso di interruzioni di una zona specifica.
Vault immutabili per Azure Backup
Con i vault immutabili, Azure Backup offre un’opzione per garantire che i punti di ripristino creati non possano essere eliminati prima della scadenza prevista. Azure Backup fa questo impedendo qualsiasi operazione che possa portare alla perdita dei dati di backup. Ciò consente di proteggere i backup da minacce quali gli attacchi ransomware e attori malintenzionati, impedendo operazioni quali l’eliminazione dei backup o la riduzione della conservazione nelle policy di backup.
Miglioramenti della funzionalità di soft delete per Azure Backup
Risulta ora possibile garantire una migliore protezione dei backup contro varie minacce, rendendo l’eliminazione soft irreversibile. Inoltre, la funzionalità di soft delete consente di fornire un periodo di conservazione personalizzabile per il quale i dati eliminati devono essere conservati.
Supporto per HANA System Replication in Azure Backup for HANA (preview)
Azure Backup protegge i database HANA nelle macchine virtuali Azure con una soluzione di backup dei database in streaming, certificata Backint. In precedenza, se il database HANA aveva HANA System Replication (HSR) come soluzione di disaster recovery (DR), dopo ogni failover era necessario un intervento manuale per attivare i backup. Ora, con questa nuova funzionalità in anteprima, si ottiene una protezione istantanea e continua per la configurazione di HANA System Replication, senza bisogno di alcun intervento manuale.
Azure Site Recovery
Nuova architettura per il DR per le macchine VMware
In ASR è stato reso più semplice, affidabile e moderno il meccanismo per proteggere le macchine virtuali VMware. Tra i principali miglioramenti è opportuno citare:
Appliance di replica ASR senza stato: il Configuration Server e i suoi componenti locali sono stati convertiti in un’appliance di replica ASR senza stato. Questa scelta semplifica il processo di discovery e di failback, introducendo l’opzione per selezionare qualsiasi appliance, senza dover configurare alcun master target server o process server.
Aggiornamenti automatici per l’appliance di replica ASR e per il mobility agent. Un problema sentito con l’architettura classica era dato dalla necessità di effettuare l’aggiornamento manuale dei vari componenti del Configuration Server e dei mobility agent. Per semplificare le cose, sono stati introdotti gli aggiornamenti automatici.
Scalabilità più flessibile. L’appliance di replica costituisce una singola unità di gestione e tutti i suoi componenti sono stati convertiti in microservizi ospitati in ambiente Azure. Ciò non solo semplifica la risoluzione di eventuali problemi, ma anche la gestione della scalabilità è molto più agevole.
Elevata disponibilità per le appliance. Con l’architettura moderna, non è più necessario eseguire backup regolari dell’appliance. Infatti, basta avviare un’altra appliance e passare tutte le macchine alla nuova appliance. Gli elementi replicati verranno trasferiti alla nuova appliance, senza dover ripetere la replica completa.
Nuovo Update Rollup
Per Azure Site Recovery è stato rilasciato l’Update Rollup 64 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.
Migrate
Azure Migrate
Discovery e assessment finalizzato alla migrazione di SQL Server in Azure
Le nuove funzionalità di discovery e di assessment di SQL in Azure Migrate consentono di mappare l’ambiente e di valutare la disponibilità, i costi ed eventuali blocchi nello spostamento di queste istanze su Azure IaaS e PaaS. Grazie a questo strumento è possibile rilevare il target Azure più valido e conveniente per le istanze SQL analizzate. Inoltre, queste informazioni possono essere scaricate in un report specifico.
Nuovi rilasci e funzionalità di Azure Migrate
Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità.
Azure Database Migration
Migrazione da Oracle ad Azure con Database Migration Assessment for Oracle Database Migration Assessment for Oracle, un’estensione di Azure Data Studio alimentata da Azure Database Migration Service, consente ora di effettuare una valutazione per la migrazione da Oracle Database ad Azure Database for PostgreSQL. La valutazione include raccomandazioni per la migrazione dei database e una valutazione della complessità del codice dei database. Attraverso lo stesso strumento, i clienti possono ottenere raccomandazioni sul dimensionamento mirato per la migrazione di Oracle Database ad Azure Database for PostgreSQL e Azure SQL, compreso Azure SQL Database Hyperscale, ideale per grandi carichi di lavoro fino a 100 TB. Con queste nuove funzionalità, la pianificazione della migrazione è resa più semplice per i clienti Oracle che desiderano modernizzare il proprio patrimonio di dati con i database gestiti da Azure.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
In this dedicated post you can find the most important announcements and major updates officialized last week during Microsoft Ignite (October 2022) conference.
Azure
Compute
Azure savings plan for compute
Azure savings plan for compute is an easy and flexible way to save significantly on compute services, compared to pay-as-you-go prices. The savings plan unlocks lower prices on select compute services when customers commit to spend a fixed hourly amount for one or three years. Choose whether to pay all upfront or monthly at no extra cost. As you use select compute services across the world, your usage is covered by the plan at reduced prices, helping you get more value from your cloud budget. During the times when your usage is above your hourly commitment, you’ll be billed at your regular pay-as-you-go prices. With savings automatically applying across compute usage globally, you’ll continue saving even as your usage needs change over time.
Storage
SFTP support for Azure Blob Storage
SSH File Transfer Protocol (SFTP) support for Azure Blob Storage is now generally available. Azure Blob Storage now supports SFTP, enabling you to leverage object storage economics and features for your SFTP workloads. With just one click, you can provision a fully managed, highly scalable SFTP endpoint for your storage account. This expands Blob Storage’s multi-protocol access capabilities and eliminates data silos, meaning you can run different applications, requiring different protocols, on a single storage platform with no code changes.
Azure NetApp Files new regions and cross-region replication
Azure NetApp Files is now available in the following additional regions:
Korea South,
Sweden Central.
Additionally, Azure NetApp Files cross-region replication has been enabled between following regions:
Korea Central and Korea South,
North Central US and East US 2,
France Central and West Europe.
Networking
ExpressRoute FastPath support for Vnet peering and UDRs
FastPath now supports virtual network peering and user defined routing (UDR). FastPath will send traffic directly to any VM deployed in a spoke virtual network peered to the virtual network where the ExpressRoute virtual network gateway is deployed. Additionally, FastPath will now honor UDRs configured on the GatewaySubnet and send traffic directly to an Azure Firewall or third-party Network Virtual Appliance (NVA).
Azure Firewall Basic (preview)
Azure Firewall Basic is a new SKU for Azure Firewall designed for small and medium-sized businesses.
Seamless integration with other Azure security services
Simple setup and easy-to-use:
Setup in just a few minutes
Automate deployment (deploy as code)
Zero maintenance with automatic updates
Central management via Azure Firewall Manager
Cost-effective:
Designed to deliver essential, cost-effective protection of your resources within your virtual network
Policy analytics for Azure Firewall (preview)
Policy analytics for Azure Firewall, now in public preview, provides enhanced visibility into traffic flowing through Azure Firewall, enabling the optimization of your firewall configuration without impacting your application performance.
Azure Basic Load Balancer will be retired
On 30 September 2025, Azure Basic Load Balancer will be retired. You can continue to use your existing Basic Load Balancers until then, but you’ll no longer be able to deploy new ones after 31 March 2025.
To keep your workloads appropriately distributed, you’ll need to upgrade to Standard Load Balancer, which provides significant improvements including:
High performance, ultra-low latency, and superior resilient load-balancing.
Security by default: closed to inbound flows unless allowed by a network security group.
Diagnostics such as multi-dimensional metrics and alerts, resource health, and monitoring.
SLA of 99.99 percent availability.
Basic SKU public IP addresses will be retired
On 30 September 2025, Basic SKU public IP addresses will be retired in Azure. You can continue to use your existing Basic SKU public IP addresses until then, however, you’ll no longer be able to create new ones after 31 March 2025.
Standard SKU public IP addresses offer significant improvements, including:
Access to a variety of other Azure products, including Standard Load Balancer, Azure Firewall, and NAT Gateway.
Security by default—closed to inbound flows unless allowed by a network security group.
Zone-redundant and zonal front ends for inbound and outbound traffic.
Nel mese di settembre ci sono state diverse novità che Microsoft ha annunciato in merito agli Azure management services. In questo articolo vengono elencati i principali annunci, accompagnati dai riferimenti necessari per poter effettuare ulteriori approfondimenti in merito.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Monitor per VM e cluster AKS basatisu Arm
Azure Monitor ha introdotto il supporto per le macchine virtuali di Azure basate su Ampere Altra Arm e per il servizio Azure Kubernetes composto da nodi Arm.
Aggiornamento necessario per MMA che utilizza SSL v1
A partire dal 1° novembre 2022, Azure non accetterà più connessioni da versioni precedenti dell’agente di Operations Manager, noto anche come Microsoft Monitoring Agent (MMA), che utilizzano SSL V1. Se l’agente di Operations Manager è configurato per inviare dati a Log Analytics è necessario aggiornare l’agente alla versione più recente entro tale data.
Previsto il ritiro del connettore ITSM per ServiceNow
Microsoft ha annunciato che il 30 settembre 2025 sarà ritirato il connettore ITSM di Azure Monitor per la creazione di alert in ServiceNow. Per coloro che utilizzano questa integrazione, sarà possibile possibile creare incidenti oppure eventi utilizzando l’apposito Secure Webhook.
Govern
Azure Policy
Azure Policy built-in per Azure NetApp Files
Microsoft ha introdotto delle policy built-in relative ad Azure NetApp Files per consentire agli amministratori di limitare la creazione di volumi NFS non protetti e per controllare più facilmente i volumi esistenti.
Azure Cost Management
Aggiornamenti relativi a Microsoft Cost Management
Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Microsoft Cost Management, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione, tra i quali:
Possibilità di monitorare i budget dall’app Azure per dispositivi mobili.
Possibilità di ottenere informazioni dettagliate sui possibili risparmi direttamente dall’analisi dei costi (anteprima).
Secure
Microsoft Defender for Cloud
Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud
Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:
Il supporto in Defender for Servers per la funzionalità di File Integrity Monitoring utilizzando l’Azure Monitor Agent.
L’aggiunta di raccomandazioni in ambito identity.
Protect
Azure Backup
Reserved capacity per Azure Backup Storage
Per ottimizzare i costi è possibile acquistare la capacità dell’Azure Backup Storage in modalità reserved capacity. La reservation si applicherà automaticamente sul Backup Storage selezionato e sarà disponibile su base annuale con uno sconto fino al 16% oppure su base triennale con uno sconto del 24%.
Alert in Azure Monitor
Grazie a questa integrazione tra Azure Monitor ed Azure Backup è possibile generare alert per eventi critici relativi alla sicurezza dei backup e in caso di errori nella protezione delle risorse. Per monitorare questi avvisi è possibile utilizzare la dashboard di Azure Monitor oppure il Backup center. Grazie a questa integrazione è possibile anche instradare questi avvisi verso diversi canali di notifica.
Migrate
Azure Migrate
Nuovi rilasci e funzionalità di Azure Migrate
Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità. In particolare, questo mese le principali novità riguardano:
L’introduzione del supporto per sospendere e riprendere le repliche delle VMs in corso, senza dover eseguire nuovamente una replica completa.
Notifiche avanzate riguardanti lo stato di completamento della migrazione ed i test di migrazione.
Il rilevamento di web app Java su Apache Tomcat in esecuzione su server Linux ospitati in ambienti VMware.
Per le web app ASP.NET la possibilità di effettuare una raccolta avanzata di dati, incluso il rilevamento di stringhe di connessione ai database, le directory ed i meccanismi di autenticazione.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Low disk space mode to prevent running out of disk space when using cloud tiering. Low disk space mode is designed to handle volumes with low free space more effectively. On a server endpoint with cloud tiering enabled, if the free space on the volume reaches below a threshold, Azure File Sync considers the volume to be in Low disk space mode. In this mode, files are tiered to the Azure file share more proactively and tiered files accessed by the user will not be persisted to the disk. To learn more, see the low disk space mode section in the Cloud tiering overview documentation.
Fixed a cloud tiering issue that caused high CPU usage after v15.0 agent is installed.
Miscellaneous reliability and telemetry improvements.
To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog.
More information about this release:
This release is available for Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 and Windows Server 2022 installations.
The agent version for this release is 15.1.0.0.
Installation instructions are documented in KB5003883.
Standard network features for Azure NetApp Files
Standard network features for Azure NetApp Files volumes are available. Standard network features provide you with an enhanced, and consistent virtual networking experience along with security posture for Azure NetApp Files.
You are now able to choose between standard or basic network features while creating a new Azure NetApp Files volume:
Basic provide the current functionality, limited scale, and features.
Standard provides the following new features for Azure NetApp Files volumes or delegated subnets: – Increased IP limits for Vnets with Azure NetApp Files volumes. This is at par with VMs to enable you to provision Azure NetApp File volumes in your existing topologies or architectures. This eliminates the need to rearchitect network topologies to use Azure NetApp Files for workloads like VDI, AVD, or AKS. – Enhanced network security with support for network security groups (NSG) on the Azure NetApp Files delegated subnet. – Enhanced network control with support for user-defined routes (UDR) to and from Azure NetApp Files delegated subnets. You can now direct traffic to and from Azure NetApp Files via your choice of network virtual appliances for traffic inspection. – Connectivity over active or active VPN gateway setup for highly available connectivity to Azure NetApp Files from on-premises network. – ExpressRoute FastPath connectivity to Azure NetApp Files. FastPath improves the data path performance between on-premises network and Azure Virtual Network.
Immutable storage for Azure Data Lake Storage
Immutable storage for Azure Data Lake Storage is now generally available. Immutable storage provides the capability to store data in a write once, read many (WORM) state. Once data is written, the data becomes non-erasable and non-modifiable and you can set a retention period so that files can’t be deleted until after that period has elapsed. Additionally, legal holds can be placed on data to make that data non-erasable and non-modifiable until the hold is removed.
Improved Append Capability on Immutable Storage for Blob Storage
Immutable storage for Blob Storage on containers (which has been generally available since September 2018) now includes a new append capability. This capability, titled “Allow Protected Appends for Block and Append Blobs”, allows you to set up immutable policies for block and append blobs to keep already written data in a WORM state and continue to add new data. This capability is available for both legal holds and time-based retention policies.
Encrypt managed disks with cross-tenant customer-managed keys
Many service providers building Software as a Service (SaaS) offerings on Azure want to give their customers the option of managing their own encryption keys. Customers of service providers can now use cross-tenant customer-managed keys to manage encryption keys in their own Azure AD tenant and subscription using Azure Key Vault. As a result, they will have complete control of their customer-managed keys and their data.
Azure Dedicated Host support for Ultra Disk Storage
Virtual machines (VMs) running on Azure Dedicated Host support the use of standard and premium disks as data disks, and now there is also the support for ultra disks on dedicated host.
Azure unmanaged disks will be retired on 30 September 2025
Azure Managed Disks now have full capabilities of unmanaged disks and other advancements. Microsoft will begin deprecating unmanaged disks on September 30, 2022, and this functionality will be completely retired on September 30, 2025.
Encryption scopes on hierarchical namespace enabled storage accounts (preview)
Encryption scopes introduce the option to provision multiple encryption keys in a storage account with hierarchical namespace. Using encryption scopes, you now can provision multiple encryption keys and choose to apply the encryption scope either at the container level (as the default scope for blobs in that container) or at the blob level. The preview is available for REST, HDFS, NFSv3, and SFTP protocols in an Azure Blob / Data Lake Gen2 storage account. The key that protects an encryption scope may be either a Microsoft-managed key or a customer-managed key in Azure Key Vault. You can choose to enable automatic rotation of a customer-managed key that protects an encryption scope. When you generate a new version of the key in your Key Vault, Azure Storage will automatically update the version of the key that is protecting the encryption scope, within a day.
The self-service option to convert storage accounts from non-zonal redundancy (LRS/GRS) to zonal redundancy (ZRS/GZRS) is available. This allows you to initiate the conversion of storage accounts via the Azure portal without the necessity of creating a support ticket.
Networking
Resizing of peered virtual networks
Updating the address space for peered virtual networks now is now generally available. This feature allows you to update the address space or resize for a peered virtual network without removing the peering.
Improvements to Azure Web Application Firewall (WAF) custom rules
There are two improvements for WAF custom rules: Azure regional Web Application Firewall (WAF) with Application Gateway now supports creating custom rules using the operators “Any” and “GreaterThanOrEqual”. Custom rules allow you to create your own rules to customize how each request is evaluatedas it passes through the WAF engine.
Azure global Web Application Firewall (WAF) with Azure Front Door now supports custom geo-match filtering rules using socket addresses. Filtering by socket address allows you to restrict access to your web application by country/region using the source IP that the WAF sees.
Per la maggior parte delle realtà aziendali, la capacità di fornire e di integrare continuamente soluzioni di intelligenza artificiale all’interno delle proprie applicazioni e nei workflow aziendali, viene considerata un’evoluzione particolarmente complessa. Nel panorama dell’intelligenza artificiale in rapida evoluzione il machine learning (ML) ricopre un ruolo fondamentale insieme alla “data science”. Pertanto, per aumentare i successi di determinati progetti di intelligenza artificiale, le organizzazioni devono disporre di architetture IT moderne ed efficienti per il machine learning. In questo articolo viene descritto come è possibile realizzare ovunque queste architetture grazie all’integrazione tra Kubernetes, Azure Arc ed Azure Machine Learning.
Azure Machine Learning
Azure Machine Learning (AzureML) è un servizio cloud che è possibile utilizzare per accelerare e gestire il ciclo di vita dei progetti di machine learning, portando i modelli di ML in un ambiente di produzione sicuro ed affidabile.
Kubernetes come destinazione di calcolo per Azure Machine Learning
Azure Machine Learning ha recentemente introdotto la possibilità di attivare una nuova destinazione per il calcolo computazionale: AzureML Kubernetes compute. Infatti, risulta possibile utilizzare un cluster Azure Kubernetes Service (AKS) esistente oppure un cluster Kubernetes abilitato per Azure Arc come destinazione di calcolo per Azure Machine Learning e utilizzarlo per validare e per distribuire modelli di ML.
Figura 1 – Panoramica su come portare Azure ML ovunque grazie a K8s ed Azure Arc
AzureML Kubernetes compute supporta due tipi di cluster Kubernetes:
Cluster AKS (in ambiente Azure). Utilizzando un cluster gestito Azure Kubernetes Service (AKS), è possibile ottenere un ambiente flessibile, sicuro ed in grado di soddisfare i requisiti di conformità per i workload di ML.
Cluster Kubernetes Arc-enabled (in ambienti differenti da Azure). Grazie ad Azure Arc-enabled Kubernetes risulta possibile gestire da Azure cluster Kubernetes in esecuzione in ambienti differenti (on-premises o su altri cloud) e utilizzarli per distribuire modelli di ML.
Per abilitare e utilizzare un cluster Kubernetes per eseguire workload AzureML è necessario seguire i seguenti passaggi:
Attivare e configurare un cluster AKS oppure un cluster Kubernetes Arc-enabled. A questo proposito si ricorda anche la possibilità di attivare AKS in ambiente Azure Stack HCI.
Distribuire l’estensione AzureML sul cluster.
Collegare il cluster Kubernetes al workspace di Azure ML.
Utilizzare la destinazione di calcolo Kubernetes da CLI v2, SDK v2 e la Studio UI.
Figura 2 – Step per abilitare e per utilizzare un cluster K8s per workload AzureML
La gestione dell’infrastruttura per i workload di ML può risultare complessa e Microsoft consiglia che venga eseguita dal team IT-operations, in modo che il team di data science possa concentrarsi sull’efficienza dei modelli di ML. Alla luce di questa considerazione, la suddivisione dei ruoli può essere la seguente:
Il Team IT-operation è responsabile dei primi 3 passaggi riportati in precedenza. Inoltre, solitamente svolge le seguenti attività per il team di data science:
Effettua le configurazioni degli aspetti legati al networking ed alla sicurezza
Crea e gestisce le tipologie di istanze per i diversi scenari di carico di lavoro di ML al fine di ottenere un utilizzo efficiente delle risorse di calcolo.
Si occupa della risoluzione dei problemi relativi al carico di lavoro dei cluster Kubernetes.
Il Team di data science, concluse le attività di attivazione in carico al Team IT-operation, può individuare un elenco di destinazioni di calcolo e di tipologie di istanza disponibili nel workspace di AzureML. Queste risorse di calcolo possono essere usate per i workload di training oppure di inferenza. La destinazione di calcolo viene scelta dal team utilizzando gli strumenti specifici come AzureML CLI v2, Python SDK v2 oppure Studio UI.
Scenari d’uso
La possibilità di utilizzare Kubernetes come destinazione di calcolo per Azure Machine Learning, unita alle potenzialità di Azure Arc, consente di creare, sperimentare e distribuire modelli di ML in qualsiasi infrastruttura on-premises oppure su differenti cloud.
Questa possibilità attiva differenti nuovi scenari di utilizzo, precedentemente impensabili utilizzando solo l’ambiente cloud. La tabella seguente fornisce un riepilogo degli scenari d’uso resi possibili da Azure ML Kubernetes compute, specificando la posizione in cui risiedono i dati, la motivazione che guida ogni modello di utilizzo e come viene realizzato a livello di infrastruttura e di Azure ML.
Tabella 1 – Nuovi scenari d’uso resi possibili da Azure ML Kubernetes compute
Conclusioni
Gartner prevede che entro il 2025, a causa di una rapida diffusione di iniziative in ambito dell’IA, il 70% delle organizzazioni avrà reso operative architetture IT per l’intelligenza artificiale. Microsoft, grazie all’integrazione tra differenti soluzioni offre una serie di possibilità per attivare architetture flessibili e all’avanguardia per il Machine Learning, parte integrante dell’intelligenza artificiale.
Azure Virtual Machines with Ampere Altra Arm–based processors
Microsoft is announcing the general availability of the latest Azure Virtual Machines featuring the Ampere Altra Arm–based processor. The new virtual machines will be generally available on September 1, and customers can now launch them in 10 Azure regions and multiple availability zones around the world. In addition, the Arm-based virtual machines can be included in Kubernetes clusters managed using Azure Kubernetes Service (AKS). This ability has been in preview and will be generally available over the coming weeks in all the regions that offer the new virtual machines.
Storage
Prevent a lifecycle management policy from archiving recently rehydrated blobs
Azure Storage lifecycle management offers a rule-based policy that you can use to transition blob data to the appropriate access tiers or to expire data at the end of the data lifecycle. You can configure rules to move a blob to archive tier based on last modified condition. If you rehydrate a blob by changing its tier, this rule may move the blob back to the archive tier. This can happen if the last modified time is beyond the threshold set for the policy. Now you can add a new condition, daysAfterLastTierChangeGreaterThan, in your rules, to skip the archiving action if the blobs are newly rehydrated.
Encrypt storage account with cross-tenant customer-managed keys (preview)
The ability to encrypt storage account with customer-managed keys (CMK) using an Azure Key Vault hosted on a different Azure Active Directory tenant is available in preview. You can use this solution to encrypt your customers’ data using an encryption key managed by your customers.
Ephemeral OS disks supports host-based encryption using customer managed key
Ephemeral OS disk customers can choose encryption type between platform managed keys or customer managed keys for host-based encryption. The default is platform managed keys. This feature would enable our customers to meet organization’s compliance needs.
Resource instance rules for access to Azure Storage
Resource instance rules enable secure connectivity to a storage account by restricting access to specific resources of select Azure services. Azure Storage provides a layered security model that enables you to secure and control access to your storage account. You can configure network access rules to limit access to your storage account from select virtual networks or IP address ranges. Some Azure services operate on multi-tenant infrastructure, so resources of these services cannot be isolated to a specific virtual network. With resource instance rules, you can now configure your storage account to only allow access from specific resource instances of such Azure services. For example, Azure Synapse offers analytic capabilities that cannot be deployed into a virtual network. If your Synapse workspace uses such capabilities, you can configure a resource instance rule on a secured storage account to only allow traffic from that Synapse workspace. Resource instances must be in the same tenant as your storage account, but they may belong to any resource group or subscription in the tenant.
Networking
ExpressRoute IPv6 Support for Global Reach
IPv6 support for Global Reach unlocks connectivity between on-premise networks, via the Microsoft backbone, for customers with dual-stack workloads. Establish Global Reach connections between ExpressRoute circuits using IPv4 subnets, IPv6 subnets, or both. This configuration can be done using Azure Portal, PowerShell, or CLI.
