Azure NetApp Files new regions and cross-region replication
Azure NetApp Files is now available in the following additional regions:
Korea South,
Sweden Central.
Additionally, Azure NetApp Files cross-region replication has been enabled between following regions:
Korea Central and Korea South,
North Central US and East US 2,
France Central and West Europe.
Networking
ExpressRoute FastPath support for Vnet peering and UDRs
FastPath now supports virtual network peering and user defined routing (UDR). FastPath will send traffic directly to any VM deployed in a spoke virtual network peered to the virtual network where the ExpressRoute virtual network gateway is deployed. Additionally, FastPath will now honor UDRs configured on the GatewaySubnet and send traffic directly to an Azure Firewall or third-party Network Virtual Appliance (NVA).
Azure Firewall Basic (preview)
Azure Firewall Basic is a new SKU for Azure Firewall designed for small and medium-sized businesses.
Seamless integration with other Azure security services
Simple setup and easy-to-use:
Setup in just a few minutes
Automate deployment (deploy as code)
Zero maintenance with automatic updates
Central management via Azure Firewall Manager
Cost-effective:
Designed to deliver essential, cost-effective protection of your resources within your virtual network
Policy analytics for Azure Firewall (preview)
Policy analytics for Azure Firewall, now in public preview, provides enhanced visibility into traffic flowing through Azure Firewall, enabling the optimization of your firewall configuration without impacting your application performance.
Azure Basic Load Balancer will be retired
On 30 September 2025, Azure Basic Load Balancer will be retired. You can continue to use your existing Basic Load Balancers until then, but you’ll no longer be able to deploy new ones after 31 March 2025.
To keep your workloads appropriately distributed, you’ll need to upgrade to Standard Load Balancer, which provides significant improvements including:
High performance, ultra-low latency, and superior resilient load-balancing.
Security by default: closed to inbound flows unless allowed by a network security group.
Diagnostics such as multi-dimensional metrics and alerts, resource health, and monitoring.
SLA of 99.99 percent availability.
Basic SKU public IP addresses will be retired
On 30 September 2025, Basic SKU public IP addresses will be retired in Azure. You can continue to use your existing Basic SKU public IP addresses until then, however, you’ll no longer be able to create new ones after 31 March 2025.
Standard SKU public IP addresses offer significant improvements, including:
Access to a variety of other Azure products, including Standard Load Balancer, Azure Firewall, and NAT Gateway.
Security by default—closed to inbound flows unless allowed by a network security group.
Zone-redundant and zonal front ends for inbound and outbound traffic.
Nel mese di settembre ci sono state diverse novità che Microsoft ha annunciato in merito agli Azure management services. In questo articolo vengono elencati i principali annunci, accompagnati dai riferimenti necessari per poter effettuare ulteriori approfondimenti in merito.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Monitor per VM e cluster AKS basatisu Arm
Azure Monitor ha introdotto il supporto per le macchine virtuali di Azure basate su Ampere Altra Arm e per il servizio Azure Kubernetes composto da nodi Arm.
Aggiornamento necessario per MMA che utilizza SSL v1
A partire dal 1° novembre 2022, Azure non accetterà più connessioni da versioni precedenti dell’agente di Operations Manager, noto anche come Microsoft Monitoring Agent (MMA), che utilizzano SSL V1. Se l’agente di Operations Manager è configurato per inviare dati a Log Analytics è necessario aggiornare l’agente alla versione più recente entro tale data.
Previsto il ritiro del connettore ITSM per ServiceNow
Microsoft ha annunciato che il 30 settembre 2025 sarà ritirato il connettore ITSM di Azure Monitor per la creazione di alert in ServiceNow. Per coloro che utilizzano questa integrazione, sarà possibile possibile creare incidenti oppure eventi utilizzando l’apposito Secure Webhook.
Govern
Azure Policy
Azure Policy built-in per Azure NetApp Files
Microsoft ha introdotto delle policy built-in relative ad Azure NetApp Files per consentire agli amministratori di limitare la creazione di volumi NFS non protetti e per controllare più facilmente i volumi esistenti.
Azure Cost Management
Aggiornamenti relativi a Microsoft Cost Management
Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Microsoft Cost Management, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione, tra i quali:
Possibilità di monitorare i budget dall’app Azure per dispositivi mobili.
Possibilità di ottenere informazioni dettagliate sui possibili risparmi direttamente dall’analisi dei costi (anteprima).
Secure
Microsoft Defender for Cloud
Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud
Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:
Il supporto in Defender for Servers per la funzionalità di File Integrity Monitoring utilizzando l’Azure Monitor Agent.
L’aggiunta di raccomandazioni in ambito identity.
Protect
Azure Backup
Reserved capacity per Azure Backup Storage
Per ottimizzare i costi è possibile acquistare la capacità dell’Azure Backup Storage in modalità reserved capacity. La reservation si applicherà automaticamente sul Backup Storage selezionato e sarà disponibile su base annuale con uno sconto fino al 16% oppure su base triennale con uno sconto del 24%.
Alert in Azure Monitor
Grazie a questa integrazione tra Azure Monitor ed Azure Backup è possibile generare alert per eventi critici relativi alla sicurezza dei backup e in caso di errori nella protezione delle risorse. Per monitorare questi avvisi è possibile utilizzare la dashboard di Azure Monitor oppure il Backup center. Grazie a questa integrazione è possibile anche instradare questi avvisi verso diversi canali di notifica.
Migrate
Azure Migrate
Nuovi rilasci e funzionalità di Azure Migrate
Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità. In particolare, questo mese le principali novità riguardano:
L’introduzione del supporto per sospendere e riprendere le repliche delle VMs in corso, senza dover eseguire nuovamente una replica completa.
Notifiche avanzate riguardanti lo stato di completamento della migrazione ed i test di migrazione.
Il rilevamento di web app Java su Apache Tomcat in esecuzione su server Linux ospitati in ambienti VMware.
Per le web app ASP.NET la possibilità di effettuare una raccolta avanzata di dati, incluso il rilevamento di stringhe di connessione ai database, le directory ed i meccanismi di autenticazione.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Low disk space mode to prevent running out of disk space when using cloud tiering. Low disk space mode is designed to handle volumes with low free space more effectively. On a server endpoint with cloud tiering enabled, if the free space on the volume reaches below a threshold, Azure File Sync considers the volume to be in Low disk space mode. In this mode, files are tiered to the Azure file share more proactively and tiered files accessed by the user will not be persisted to the disk. To learn more, see the low disk space mode section in the Cloud tiering overview documentation.
Fixed a cloud tiering issue that caused high CPU usage after v15.0 agent is installed.
Miscellaneous reliability and telemetry improvements.
To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog.
More information about this release:
This release is available for Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 and Windows Server 2022 installations.
The agent version for this release is 15.1.0.0.
Installation instructions are documented in KB5003883.
Standard network features for Azure NetApp Files
Standard network features for Azure NetApp Files volumes are available. Standard network features provide you with an enhanced, and consistent virtual networking experience along with security posture for Azure NetApp Files.
You are now able to choose between standard or basic network features while creating a new Azure NetApp Files volume:
Basic provide the current functionality, limited scale, and features.
Standard provides the following new features for Azure NetApp Files volumes or delegated subnets: – Increased IP limits for Vnets with Azure NetApp Files volumes. This is at par with VMs to enable you to provision Azure NetApp File volumes in your existing topologies or architectures. This eliminates the need to rearchitect network topologies to use Azure NetApp Files for workloads like VDI, AVD, or AKS. – Enhanced network security with support for network security groups (NSG) on the Azure NetApp Files delegated subnet. – Enhanced network control with support for user-defined routes (UDR) to and from Azure NetApp Files delegated subnets. You can now direct traffic to and from Azure NetApp Files via your choice of network virtual appliances for traffic inspection. – Connectivity over active or active VPN gateway setup for highly available connectivity to Azure NetApp Files from on-premises network. – ExpressRoute FastPath connectivity to Azure NetApp Files. FastPath improves the data path performance between on-premises network and Azure Virtual Network.
Immutable storage for Azure Data Lake Storage
Immutable storage for Azure Data Lake Storage is now generally available. Immutable storage provides the capability to store data in a write once, read many (WORM) state. Once data is written, the data becomes non-erasable and non-modifiable and you can set a retention period so that files can’t be deleted until after that period has elapsed. Additionally, legal holds can be placed on data to make that data non-erasable and non-modifiable until the hold is removed.
Improved Append Capability on Immutable Storage for Blob Storage
Immutable storage for Blob Storage on containers (which has been generally available since September 2018) now includes a new append capability. This capability, titled “Allow Protected Appends for Block and Append Blobs”, allows you to set up immutable policies for block and append blobs to keep already written data in a WORM state and continue to add new data. This capability is available for both legal holds and time-based retention policies.
Encrypt managed disks with cross-tenant customer-managed keys
Many service providers building Software as a Service (SaaS) offerings on Azure want to give their customers the option of managing their own encryption keys. Customers of service providers can now use cross-tenant customer-managed keys to manage encryption keys in their own Azure AD tenant and subscription using Azure Key Vault. As a result, they will have complete control of their customer-managed keys and their data.
Azure Dedicated Host support for Ultra Disk Storage
Virtual machines (VMs) running on Azure Dedicated Host support the use of standard and premium disks as data disks, and now there is also the support for ultra disks on dedicated host.
Azure unmanaged disks will be retired on 30 September 2025
Azure Managed Disks now have full capabilities of unmanaged disks and other advancements. Microsoft will begin deprecating unmanaged disks on September 30, 2022, and this functionality will be completely retired on September 30, 2025.
Encryption scopes on hierarchical namespace enabled storage accounts (preview)
Encryption scopes introduce the option to provision multiple encryption keys in a storage account with hierarchical namespace. Using encryption scopes, you now can provision multiple encryption keys and choose to apply the encryption scope either at the container level (as the default scope for blobs in that container) or at the blob level. The preview is available for REST, HDFS, NFSv3, and SFTP protocols in an Azure Blob / Data Lake Gen2 storage account. The key that protects an encryption scope may be either a Microsoft-managed key or a customer-managed key in Azure Key Vault. You can choose to enable automatic rotation of a customer-managed key that protects an encryption scope. When you generate a new version of the key in your Key Vault, Azure Storage will automatically update the version of the key that is protecting the encryption scope, within a day.
The self-service option to convert storage accounts from non-zonal redundancy (LRS/GRS) to zonal redundancy (ZRS/GZRS) is available. This allows you to initiate the conversion of storage accounts via the Azure portal without the necessity of creating a support ticket.
Networking
Resizing of peered virtual networks
Updating the address space for peered virtual networks now is now generally available. This feature allows you to update the address space or resize for a peered virtual network without removing the peering.
Improvements to Azure Web Application Firewall (WAF) custom rules
There are two improvements for WAF custom rules: Azure regional Web Application Firewall (WAF) with Application Gateway now supports creating custom rules using the operators “Any” and “GreaterThanOrEqual”. Custom rules allow you to create your own rules to customize how each request is evaluatedas it passes through the WAF engine.
Azure global Web Application Firewall (WAF) with Azure Front Door now supports custom geo-match filtering rules using socket addresses. Filtering by socket address allows you to restrict access to your web application by country/region using the source IP that the WAF sees.
Per la maggior parte delle realtà aziendali, la capacità di fornire e di integrare continuamente soluzioni di intelligenza artificiale all’interno delle proprie applicazioni e nei workflow aziendali, viene considerata un’evoluzione particolarmente complessa. Nel panorama dell’intelligenza artificiale in rapida evoluzione il machine learning (ML) ricopre un ruolo fondamentale insieme alla “data science”. Pertanto, per aumentare i successi di determinati progetti di intelligenza artificiale, le organizzazioni devono disporre di architetture IT moderne ed efficienti per il machine learning. In questo articolo viene descritto come è possibile realizzare ovunque queste architetture grazie all’integrazione tra Kubernetes, Azure Arc ed Azure Machine Learning.
Azure Machine Learning
Azure Machine Learning (AzureML) è un servizio cloud che è possibile utilizzare per accelerare e gestire il ciclo di vita dei progetti di machine learning, portando i modelli di ML in un ambiente di produzione sicuro ed affidabile.
Kubernetes come destinazione di calcolo per Azure Machine Learning
Azure Machine Learning ha recentemente introdotto la possibilità di attivare una nuova destinazione per il calcolo computazionale: AzureML Kubernetes compute. Infatti, risulta possibile utilizzare un cluster Azure Kubernetes Service (AKS) esistente oppure un cluster Kubernetes abilitato per Azure Arc come destinazione di calcolo per Azure Machine Learning e utilizzarlo per validare e per distribuire modelli di ML.
Figura 1 – Panoramica su come portare Azure ML ovunque grazie a K8s ed Azure Arc
AzureML Kubernetes compute supporta due tipi di cluster Kubernetes:
Cluster AKS (in ambiente Azure). Utilizzando un cluster gestito Azure Kubernetes Service (AKS), è possibile ottenere un ambiente flessibile, sicuro ed in grado di soddisfare i requisiti di conformità per i workload di ML.
Cluster Kubernetes Arc-enabled (in ambienti differenti da Azure). Grazie ad Azure Arc-enabled Kubernetes risulta possibile gestire da Azure cluster Kubernetes in esecuzione in ambienti differenti (on-premises o su altri cloud) e utilizzarli per distribuire modelli di ML.
Per abilitare e utilizzare un cluster Kubernetes per eseguire workload AzureML è necessario seguire i seguenti passaggi:
Attivare e configurare un cluster AKS oppure un cluster Kubernetes Arc-enabled. A questo proposito si ricorda anche la possibilità di attivare AKS in ambiente Azure Stack HCI.
Distribuire l’estensione AzureML sul cluster.
Collegare il cluster Kubernetes al workspace di Azure ML.
Utilizzare la destinazione di calcolo Kubernetes da CLI v2, SDK v2 e la Studio UI.
Figura 2 – Step per abilitare e per utilizzare un cluster K8s per workload AzureML
La gestione dell’infrastruttura per i workload di ML può risultare complessa e Microsoft consiglia che venga eseguita dal team IT-operations, in modo che il team di data science possa concentrarsi sull’efficienza dei modelli di ML. Alla luce di questa considerazione, la suddivisione dei ruoli può essere la seguente:
Il Team IT-operation è responsabile dei primi 3 passaggi riportati in precedenza. Inoltre, solitamente svolge le seguenti attività per il team di data science:
Effettua le configurazioni degli aspetti legati al networking ed alla sicurezza
Crea e gestisce le tipologie di istanze per i diversi scenari di carico di lavoro di ML al fine di ottenere un utilizzo efficiente delle risorse di calcolo.
Si occupa della risoluzione dei problemi relativi al carico di lavoro dei cluster Kubernetes.
Il Team di data science, concluse le attività di attivazione in carico al Team IT-operation, può individuare un elenco di destinazioni di calcolo e di tipologie di istanza disponibili nel workspace di AzureML. Queste risorse di calcolo possono essere usate per i workload di training oppure di inferenza. La destinazione di calcolo viene scelta dal team utilizzando gli strumenti specifici come AzureML CLI v2, Python SDK v2 oppure Studio UI.
Scenari d’uso
La possibilità di utilizzare Kubernetes come destinazione di calcolo per Azure Machine Learning, unita alle potenzialità di Azure Arc, consente di creare, sperimentare e distribuire modelli di ML in qualsiasi infrastruttura on-premises oppure su differenti cloud.
Questa possibilità attiva differenti nuovi scenari di utilizzo, precedentemente impensabili utilizzando solo l’ambiente cloud. La tabella seguente fornisce un riepilogo degli scenari d’uso resi possibili da Azure ML Kubernetes compute, specificando la posizione in cui risiedono i dati, la motivazione che guida ogni modello di utilizzo e come viene realizzato a livello di infrastruttura e di Azure ML.
Tabella 1 – Nuovi scenari d’uso resi possibili da Azure ML Kubernetes compute
Conclusioni
Gartner prevede che entro il 2025, a causa di una rapida diffusione di iniziative in ambito dell’IA, il 70% delle organizzazioni avrà reso operative architetture IT per l’intelligenza artificiale. Microsoft, grazie all’integrazione tra differenti soluzioni offre una serie di possibilità per attivare architetture flessibili e all’avanguardia per il Machine Learning, parte integrante dell’intelligenza artificiale.
Azure Virtual Machines with Ampere Altra Arm–based processors
Microsoft is announcing the general availability of the latest Azure Virtual Machines featuring the Ampere Altra Arm–based processor. The new virtual machines will be generally available on September 1, and customers can now launch them in 10 Azure regions and multiple availability zones around the world. In addition, the Arm-based virtual machines can be included in Kubernetes clusters managed using Azure Kubernetes Service (AKS). This ability has been in preview and will be generally available over the coming weeks in all the regions that offer the new virtual machines.
Storage
Prevent a lifecycle management policy from archiving recently rehydrated blobs
Azure Storage lifecycle management offers a rule-based policy that you can use to transition blob data to the appropriate access tiers or to expire data at the end of the data lifecycle. You can configure rules to move a blob to archive tier based on last modified condition. If you rehydrate a blob by changing its tier, this rule may move the blob back to the archive tier. This can happen if the last modified time is beyond the threshold set for the policy. Now you can add a new condition, daysAfterLastTierChangeGreaterThan, in your rules, to skip the archiving action if the blobs are newly rehydrated.
Encrypt storage account with cross-tenant customer-managed keys (preview)
The ability to encrypt storage account with customer-managed keys (CMK) using an Azure Key Vault hosted on a different Azure Active Directory tenant is available in preview. You can use this solution to encrypt your customers’ data using an encryption key managed by your customers.
Ephemeral OS disks supports host-based encryption using customer managed key
Ephemeral OS disk customers can choose encryption type between platform managed keys or customer managed keys for host-based encryption. The default is platform managed keys. This feature would enable our customers to meet organization’s compliance needs.
Resource instance rules for access to Azure Storage
Resource instance rules enable secure connectivity to a storage account by restricting access to specific resources of select Azure services. Azure Storage provides a layered security model that enables you to secure and control access to your storage account. You can configure network access rules to limit access to your storage account from select virtual networks or IP address ranges. Some Azure services operate on multi-tenant infrastructure, so resources of these services cannot be isolated to a specific virtual network. With resource instance rules, you can now configure your storage account to only allow access from specific resource instances of such Azure services. For example, Azure Synapse offers analytic capabilities that cannot be deployed into a virtual network. If your Synapse workspace uses such capabilities, you can configure a resource instance rule on a secured storage account to only allow traffic from that Synapse workspace. Resource instances must be in the same tenant as your storage account, but they may belong to any resource group or subscription in the tenant.
Networking
ExpressRoute IPv6 Support for Global Reach
IPv6 support for Global Reach unlocks connectivity between on-premise networks, via the Microsoft backbone, for customers with dual-stack workloads. Establish Global Reach connections between ExpressRoute circuits using IPv4 subnets, IPv6 subnets, or both. This configuration can be done using Azure Portal, PowerShell, or CLI.
Azure VMware Solution (AVS) è il servizio progettato, realizzato e supportato da Microsoft, e approvato da VMware, che consente ai clienti di estendere agilmente oppure di migrare completamente verso Azure workload VMware che risiedono in ambiente on-premises. Recentemente Microsoft ha introdotto una serie di interessanti novità riguardanti Azure VMware Solution che aprono la strada a nuovi scenari di adozione e che la rendono ancora più completa. In questo articolo vengono riportati i principali aspetti che hanno subito un’evoluzione e le nuove funzionalità recentemente introdotte in Azure VMware Solution.
Azure VMware Solution consente di distribuire un cloud privato di VMware, in modalità Software-Defined Data Center (SDDC), in ambiente Microsoft Azure.
Figura 1 – Panoramica di Azure VMware Solution
Principali scenari di adozione
L’adozione di Azure VMware Solution viene solitamente contemplata per far fronte ai seguenti scenari:
Necessità di espansione del proprio datacenter
Disaster recovery e business continuity
Modernizzazione delle applicazioni
Riduzione, consolidamento oppure dismissione del proprio datacenter
Benefici della soluzione
Tra i principali benefici nell’adozione di questa soluzione è possibile citare:
Possibilità di sfruttare gli investimenti già effettuati per quanto riguarda le competenze e gli strumenti per la gestione degli ambienti VMware on-premises.
Modernizzazione dei propri workload applicativi adottando i servizi Azure e senza dover affrontare interruzioni.
Convenienza economica per quanto concerne l’esecuzione di workload Windows e SQL Server. Infatti, trattandosi a tutti gli effetti di un servizio Azure, Azure VMware Solution supporta gli Azure Hybrid Benefit, che consentono di massimizzare gli investimenti fatti in licenze di Windows Server e SQL Server in ambiente on-premises, durante la migrazione oppure l’estensione verso Azure. Inoltre, i clienti che adottano questa soluzione hanno diritto a tre anni di aggiornamenti di sicurezza estesa gratuiti per Windows Server e SQL Server.
Per maggiori dettagli in merito ad Azure VMware Solution (AVS) potete fare riferimento a questo articolo.
Evoluzione e novità della soluzione
Per arricchire ulteriormente le capacità della soluzione AVS e per renderla sempre più efficace, Microsoft ha introdotto recentemente le novità riportate nei paragrafi seguenti.
Presenza in 24 region di Azure
Dal lancio di AVS, avvenuto circa due anni fa, Microsoft ha lavorato per estendere la disponibilità di questa soluzione a livello globale ed ora è disponibile in 24 region differenti di Azure, più di qualsiasi altro provider di servizi cloud. Per consultare la disponibilità geografica di AVS è possibile consultare questa pagina.
Figura 2 – Presenza di AVS a livello globale
VMware vSphere 7.0
Tutti i deployment di Azure VMware solution possono adottare VMware vSphere 7.0, la versione più recente della suite che offre una gamma completa di funzionalità enterprise in ambito virtualizzazione.
Disponibilità dei datastore di Azure NetApp Files
I workload che richiedono un utilizzo intensivo dello storage, anche in ambiente AVS, possono usufruire dell’integrazione con Azure NetApp Files. Adottando questa soluzione è possibile scalare facilmente per aumentare le capacità di archiviazione, superando così i limiti delle istanze storage locali messe a disposizione dalla vSAN. Per maggiori informazioni a riguardo è possibile consultare la documentazione ufficiale Microsoft.
Jetstream DR con il supporto dei datastore di Azure NetApp Files
Microsoft, al fine di garantire ai propri clienti la possibilità di sfruttare al meglio gli investimenti fatti in competenze e tecnologie, ha collaborato con alcuni dei principali partner che offrono soluzioni di disaster recovery, uno di questi è Jetstream. L’adozione di JetStream per sviluppare piani di DR è interessante in quanto vengono utilizzati degli Azure Blob Storage per mantenere le copie delle macchine virtuali ed i relativi dati. JetStream DR è ora anche in grado di replicare ed automatizzare il ripristino utilizzando i datastore di Azure NetApp Files.
VMware Cloud Director Services
I clienti che hanno adottato la soluzione AVS, utilizzando il contratto Microsoft Enterprise agreement, possono acquistare il servizio VMware Cloud Director da VMware. Questo consente di connetterci il cloud privato di AVS per creare e per gestire data center virtuali privati. Inoltre, è possibile sfruttare le funzionalità offerte per la migrazione dei workload VMware locali verso il private cloud di Azure VMware Solution. Per ulteriori dettagli è possibile consultare questa documentazione.
VMware vRealize Log Insight Cloud
Il servizio VMware vRealize Log Insight Cloud è disponibile anche per AVS. Questa soluzione fornisce una gestione centralizzata dei log, una visibilità operativa dettagliata e la possibilità di fare analisi approfondite. Grazie a questa soluzione è possibile aumenta l’efficienza operativa dei reparti IT, ridurre i costi derivanti da tempi di inattività non pianificati e fornire una visibilità approfondita sugli eventi di security.
“Public IP to NSX Edge” disponibile in 17 region di Azure
Frequentemente le applicazioni client in esecuzione su AVS richiedono connettività Internet sia in uscita sia in entrata. Grazie a questa nuova funzionalità, è possibile adottare tre differenti modelli per garantire l’accesso Internet in entrata ed in uscita alle risorse ospitate nel cloud privato di Azure VMware Solution.
Programma VMware Cloud Universal
Microsoft ha esteso la partnership con VMware aggiungendo il supporto al programma VMware Cloud Universal, un programma flessibile di acquisto e consumo per l’adozione di strategie ibride e multi-cloud. Questo consentirà ai clienti di acquistare Azure VMware Solution come parte del programma VMware Cloud Universal.
Conclusioni
Alle aziende viene richiesto di adottare in ambito IT soluzioni flessibili e all’avanguardia per ottenere una maggiore stabilità, continuità e resilienza dei principali workload applicativi che sostengono il loro core business. Azure VMware solution ha tutte le caratteristiche per rispondere nel migliore dei modi a queste esigenze ed i numerosi miglioramenti introdotti, frutto del lavoro congiunto tra Microsoft e VMware, la rendono sempre più moderna, solida ed affidabile.
Microsoft rilascia costantemente novità riguardanti gli Azure management services. Pubblicando questo riepilogo si vuole fornire una panoramica complessiva delle principali novità rilasciate nell’ultimo mese. Questo consente di rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Azure Monitor metric alerts: miglioramento nell’apprendimento delle soglie
I “metric alerts” di Azure Monitor con il rilevamento dinamico delle soglie, utilizzano algoritmi di machine learning (ML) avanzati per apprendere il comportamento storico delle metriche e identificare modelli e anomalie che indicano possibili problemi nei servizi. Grazie all’introduzione di questa nuova funzionalità vengono riconosciute automaticamente le interruzioni prolungate e tali interruzioni vengono rimosse dall’andamento per non falsare i risultati. In questo modo si ottengono soglie molto migliori che si adattano ai dati e possono rilevare problemi nei servizi con la stessa sensibilità prima dell’interruzione.
VM insights e l’utilizzo del nuovo agente di Azure Monitor (preview)
Attualmente, per poter utilizzare Azure Monitor VM insights è necessario installare, a bordo di ogni macchina virtuale oppure dei virtual machine scale set da monitorare, l’agente di Log Analytics ed il dependency agent. Grazie al rilascio di questa nuova funzionalità (in anteprima) VM insights utilizzerà il nuovo agente di Azure Monitor, anziché l’agente di Log Analytics.
Diverse sono le funzionalità che si ottengono con questa preview:
Configurazione facilitata, utilizzando le data collection rule, per collezionare i performance counters delle VMs e specifici data types.
Possibilità di abilitare e disabilitare processi e dati delle dipendenze che generano la Map view, ottenendo così una conseguente ottimizzazione dei costi.
Miglioramento della sicurezza e delle performance derivanti dall’utilizzo dell’Azure Monitor agent e delle managed identity.
Autenticazione basata sulle managed identity per abilitare Azure Monitor container insights(preview)
Container insights ora supporta l’integrazione tramite l’agente di Azure Monitor per i cluster AKS (nodi Linux) e per i cluster abilitati per Arc. Questo agente raccoglie i dati sulle prestazioni e sugli eventi da tutti i nodi del cluster e viene automaticamente distribuito e registrato con il workspace di Log Analytics. Con l’agente di Azure Monitor, container insights supporta anche l’autenticazione tramite managed identity per AKS e per i cluster abilitati per Arc. Si tratta di un modello di autenticazione sicuro e semplificato in cui l’agente di monitor usa la managed identity del cluster per inviare i dati ad Azure Monitor. Questo nuovo meccanismo di autenticazione va a sostituire l’autenticazione locale basata sui certificati ed elimina la necessità di aggiungere un ruolo specifico al cluster. Sono supportate le System-assigned identity e le user-assigned identity.
Disponibilità in nuove regions
Azure Monitor Log Analytics è disponibile nelle seguenti nuove region:
China North 3
China East 3
Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.
Govern
Azure Policy
Policy per bloccare il deployment di potenziali immagine vulnerabili
Per proteggere i cluster Kubernetes ed i relativi workload basati su container da potenziali tentativi di attacco è ora possibile creare delle restrizioni nel deployment delle immagini che contengono vulnerabilità nei relativi componenti software. Grazie a questa funzionalità è possibile utilizzare le Azure Policy e Azure Defender for Containers per identificare le vulnerabilità e applicare le relative patch prima di effettuare i deployment.
Azure Cost Management
Aggiornamenti relativi a Microsoft Cost Management
Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Microsoft Cost Management, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione. In particolare si segnala la possibilità di consolidare e gestire vari tenant di Azure Active Directory da un unico account di fatturazione del Microsoft Customer Agreement (MCA).
Azure Arc
Azure Arc-enable Servers: disponibilità in nuove regions
Azure Arc-enable Servers è disponibile nelle seguenti nuove region:
China East 2 (preview)
China North 2 (preview)
South Africa North
Secure
Microsoft Defender for Cloud
Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud
Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:
Distribuzione automatica dell’agente di Azure Monitor (preview)
Alert deprecati riguardanti attività sospette correlate ad un cluster Kubernetes
Protect
Azure Site Recovery
Nuovo Update Rollup
Per Azure Site Recovery è stato rilasciato l’Update Rollup 63 che risolve diverse problematiche e introduce alcuni miglioramenti.
Tra le principali migliorie introdotte da questa versione dei componenti di ASR, troviamo:
Il supporto di Oracle Linux 8.6 per Linux OS/Azure verso Azure e per VMware/Physical verso Azure
La possibilità di migrare i processi di replica esistenti dalla modalità classica a quella moderna per le macchine virtuali VMware (vedi paragrafo seguente “Aggiornamento per adottare l’esperienza moderna di replica delle VMs di VMware”)
I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.
Aggiornamento per adottare l’esperienza moderna di replica delle VMs di VMware
In ASR è stata introdotta la possibilità di migrare, le macchine virtuali VMware protette da Azure Site Recovery, dall’esperienza classica a quella moderna introdotta recentemente. La modalità classica prevede la replica delle VMs di VMware utilizzando il Configuration Server, mentre la modalità moderna prevede l’adozione dell’appliance di replica di ASR. Il processo di migrazione, verso la modalità moderna, che è stato introdotto prevede:
Un meccanismo di detection che consente di non dover ripetere la replica iniziale dei sistemi protetti.
Il calcolo dei tempi di migrazione necessari, al fine di poter avere tutti gli elementi necessari per una corretta pianificazione.
Un robusto meccanismo di rollback, per ripristinare la situazione iniziale (modalità classica) nel caso emergano delle problematiche.
L’adozione del meccanismo moderno di replica è raccomandato da Microsoft in quanto consente di migliorare la sicurezza, ridurre l’effort di gestione e semplificare l’ambiente.
Migrate
Azure Migrate
Nuovi rilasci e funzionalità di Azure Migrate
Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità. In particolare, questo mese le principali novità riguardano:
Possibilità di effettuare il discovery e l’assessment di ambienti SQL in Microsoft Hyper-V e in sistemi fisici/bare-metal, nonché sui servizi IaaS di altri cloud pubblici.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Azure VMware Solution empowers you to seamlessly extend or migrate your existing on-premises VMware workloads to Azure without the cost, effort, or risk of re-architecting applications or retooling operations. With this update Azure VMware Solution has now expanded availability to the Sweden Central Azure region.
Azure VMware Solution: public IP capability
Most customer applications running on Azure VMware Solution require internet access. These applications require both outbound and inbound internet connectivity. Azure VMware Solution Public IP is a simplified and scalable solution for running these applications. With this capability, Microsoft enables the following:
Direct inbound and outbound internet access for AVS to the NSX-T Edge.
The ability to receive up to 1000 or more Public IPs.
DDoS Security protection against network traffic in and out of the internet.
Enable support for VMware HCX (migration tool for VMwre VMs) over the public internet.
UAE North Availability Zones
Availability Zones in UAE North are made up of three unique physically separated locations or “zones” within a single region to bring higher availability and asynchronous replication across Azure regions for disaster recovery protection.
Networking
Private endpoint network security group support
Private endpoint support for network security groups (NSGs) is now generally available. This feature enhancement provides you with the ability to enable advanced security controls on traffic destined to a private endpoint. In order to leverage this feature, you will need to set a specific subnet level property, called PrivateEndpointNetworkPolicies, to enabled.
Private endpoint user-defined routes support
Private endpoint support for user-defined routes (UDRs) is now generally available. This feature enhancement will remove the need to create a /32 address prefix when defining custom routes. You will now have the ability to use a wider address prefix in the user defined route tables for traffic destined to a private endpoint (PE) by way of a network virtual appliance (NVA). In order to leverage this feature, you will need to set a specific subnet level property, called PrivateEndpointNetworkPolicies, to enabled on the subnet containing private endpoint resources.
Azure Stack
Azure Stack HCI
Azure Stack HCI 22H2: Network ATC improvements
Network ATC can simplify the deployment and on-going management of host networking in Azure Stack HCI. In this article are described all improvements to this component, released with Azure Stack HCI 22H2 update.
Software Defined Networking (SDN) extensions reach General Availability for WAC
SDN Infrastructure, Network Security Groups (NSGs), Logical networks, Virtual Networks, Load Balancers, and Gateways reach General Availability for Windows Admin Center (WAC). SDN Infrastructure’s “Network Controller” tab in WAC now displays information about cluster, server, and node certificates, complete with UI indications that certificate will expire soon.
Le comuni pratiche in materia di sicurezza informatica prevedono, tra i molteplici accorgimenti, l’applicazione tempestiva degli aggiornamenti software. Infatti, questa attività risulta di fondamentale importanza anche per eliminare le vulnerabilità che permettono l’attuazione di specifici attacchi informatici sui sistemi aziendali. Per facilitare l’applicazione delle patch, relative al sistema operativo, alle macchine della propria infrastruttura, Microsoft ha recentemente annunciato la disponibilità di una nuova soluzione denominata “Update management center”. In questo articolo vengono riportate le caratteristiche e le peculiarità di questa soluzione che aiuta a semplificare la gestione degli aggiornamenti e a raggiungere la conformità per quanto concerne questi aspetti legati alla sicurezza.
Cosa consente di fare questa soluzione?
Update management center è la nuova soluzione che aiuta a gestire e a governare centralmente gli aggiornamenti di tutte le macchine presenti nella propria infrastruttura. Infatti, mediante questa soluzione risulta possibile:
Controllare la conformità degli aggiornamenti per l’intero parco macchine.
Distribuire istantaneamente aggiornamenti critici per proteggere i propri sistemi oppure pianificare l’installazione all’interno di una finestra di manutenzione definita.
Sfruttare le differenti opzioni di applicazione delle patch, come Automatic VM guest patching in Azure, hot patching, e le pianificazioni delle manutenzioni definite dal cliente.
Ad oggi, Update management center è in grado di gestire e governare gli aggiornamenti su:
Sistemi operativi Windows e Linux.
Macchine che risiedono in Azure, in locale e su altre piattaforme cloud, grazie ad Azure Arc.
Il diagramma seguente illustra come Update management center effettua la valutazione e l’applicazione degli aggiornamenti su tutti i sistemi Azure e sui server abilitati per Arc, sia Windows sia Linux.
Figura 1 – Panoramica di Update management center
Update Management Center si basa su una nuova Azure extension progettata per fornire tutte le funzionalità necessarie per interagire con il sistema operativo per quanto riguarda la valutazione e l’applicazione degli aggiornamenti. Questa extension viene installata automaticamente all’avvio di qualsiasi operazione di Update Management Center. La distribuzione dell’extension è supportata sulle macchine virtuali di Azure oppure sui server abilitati per Arc e viene installata e gestita utilizzando:
L’agente Windows oppure l’agente Linux per le macchine virtuali di Azure.
L’agente Azure Arc per computer o server fisici non Azure (sia Linux, sia Windows).
L’installazione e la configurazione dell’extension viene gestita dalla soluzione e non è necessario alcun intervento manuale, purché gli agenti delle macchine virtuali di Azure o gli agenti per Azure Arc siano funzionanti. L’extension dell’Update management center esegue il codice in locale sul computer per interagire con il sistema operativo e consente di:
Recuperare le informazioni di valutazione sullo stato degli aggiornamenti di sistema, specificati dall’agente di Windows Update oppure dal Linux package manager*.
Avviare il download e l’installazione degli aggiornamenti approvati dal client Windows Update oppure dal Linux package manager.
Ottenere tutte le informazioni sui risultati dell’installazione degli aggiornamenti, le quali vengono riportate nell’Update management center dall’extension e sono disponibili per essere analizzate tramite Azure Resource Graph. La visualizzazione dei dati delle valutazioni è possibile consultarla per gli ultimi sette giorni ed i risultati riguardanti l’installazione degli aggiornamenti è disponibile per gli ultimi trenta giorni.
* Le macchine erogano le segnalazioni sugli aggiornamenti in base all’origine con cui sono configurate per la sincronizzazione. Windows Update Agent (WUA) su macchine Windows può essere configurato per far riferimento a Windows Server Update Services (WSUS) oppure a Microsoft Update. Le macchine Linux possono essere configurate per far riferimento a un repository di pacchetti YUM o APT locale oppure pubblico.
Benefici della soluzione
Update management center funziona senza la necessità di fare attività di onboarding, in quanto è una soluzione che si basa nativamente sulla piattaforma Azure Compute e su Azure Arc-enabled servers. Questa soluzione prenderà presto il posto di Update Management di Azure Automation, rimuovendo qualsiasi dipendenza da Azure Automation e da Log Analytics.
Nei paragrafi seguenti vengono sintetizzati i principali punti di forza della nuova soluzione.
Visibilità centralizzata degli aggiornamenti
Grazie a questa soluzione è possibile consultare in modo centralizzato, direttamente dal portale Azure, lo stato di compliance rispetto agli aggiornamenti richiesti e distribuiti sui vari sistemi.
Integrazione nativa e zero onboarding
Trattandosi di una soluzione creata come funzionalità nativa della piattaforma Azure, non è presente nessuna dipendenza da Log Analytics e da Azure Automation. Inoltre, la soluzione supporta una totale integrazione con le Azure Policy.
Integrazione con i ruoli e le identità di Azure
La soluzione consente di ottenere un controllo di accesso granulare a livello di risorsa. Il tutto è basato su Azure Resource Manager e quindi consente l’utilizzo di RBAC e dei ruoli basati su ARM in Azure.
Elevata flessibilità nella gestione degli aggiornamenti
La possibilità di controllare automaticamente gli aggiornamenti mancanti oppure su richiesta, così come la capacità di agire installando immediatamente gli aggiornamenti oppure di pianificarli per una data successiva sono elementi che garantiscono una elevata flessibilità. Inoltre, è consentito mantenere aggiornati i sistemi adottando nuove tecniche, come ad esempio l’automatic VM guest patching in Azure e l’hotpatching.
Integrazione con altre soluzioni
In questo contesto è opportuno considerare che Microsoft offre, oltre a questa soluzione, anche altre funzionalità per gestire gli aggiornamenti per le macchine virtuali di Azure. Queste funzionalità è necessario considerarle come parte integrante della propria strategia generale per la gestione degli aggiornamenti. Tra le varie funzionalità troviamo:
Questa nuova funzionalità, totalmente integrata nella piattaforma Azure ed in grado di sfruttare le potenzialità di Azure Arc permette di mantenere aggiornati tutti i sistemi della propria infrastruttura in modo semplice, diretto e con un effort amministrativo molto ridotto. Inoltre, garantisce una visibilità totale sulla compliance degli update sia per i sistemi Windows sia per i sistemi Linux, elemento fondamentale per aumentare la security posture della propria infrastruttura.
Azure Dedicated Host gives you more control over the hosts you deployed by giving you the option to restart any host. When undergoing a restart, the host and its associated VMs will restart while staying on the same underlying physical hardware. With this new capability, now in preview, you can take troubleshooting steps at the host level.
Azure Dedicated Host support for Ultra SSD (preview)
Currently, VMs running on Azure Dedicated Host support the use of Standard and Premium Azure disks as data disks. With this preview, Microsoft is introducing support for Azure Ultra Disks on Azure Dedicated Host. Azure Ultra disks are highly performant disks on Azure that offer high throughput (maximum of 4000 MBps per disk) and high IOPS (maximum of 160,00 IOPS per disk) depending on the disk size.
If you are running IaaS workloads that are data intensive and latency sensitive, such as Oracle DB, MySQL DB, other critical databases, and gaming applications, you will benefit from using Ultra disks as data disks on VMs hosted on Azure Dedicated Host.
Microsoft Azure available from new cloud region in Qatar
Microsoft is launching a new datacenter region in Qatar. The new datacenter region includes Azure Availability Zones, which offer you additional resiliency for your applications by designing the region with unique physical datacenter locations with independent power, network, and cooling for additional tolerance to datacenter failures.
Enforcement mode of machine configuration (previously guest configuration)
The enforcement mode of machine configuration (previously guest configuration) is now generally available. This represents the ApplyAndMonitor and ApplyAndAutocorrect auditing modes. The customer experience within Azure has not changed as a result of the renaming. Machine configuration continues to provide a native capability to audit or configure operating system settings as code, both for machines running in Azure and hybrid Azure Arc-enabled servers, directly per-machine or at-scale orchestrated through Azure Automanage, Microsoft Defender for Cloud, or Azure Policy.
You will now be able to:
Apply and monitor configurations: set the required configuration on your machines and remediate on demand.
Apply and autocorrect configurations: set the required configuration at scale and autoremediate in the event of a configuration drift.
Apply configurations to machines at management group level.
Set TLS 1.2 to machines through our newly released built-in policy.
Create, delete, and monitor the compliance of your configurations through the Azure portal.
Storage
Azure StorSimple 8000/1200 series will no longer be supported starting 31st December 2022
Support for the following StorSimple versions will end 31st December 2022:
• StorSimple 8000 series – 8100, 8600, 8010, 8020
• StorSimple 1200 Series
• StorSimple Data Manager
• StorSimple Snapshot Manager
The StorSimple service will reach end of life which means the following will no longer be available:
• All cloud management capability (e.g. viewing or updating settings related to volumes, shares, backups, backup policies or installing updates, etc.)
• Access to live data and backups.
• Access to customer support resources (phone, email, web)
• Hardware replacement parts and repair services for StorSimple 8000 series devices
• Software updates for StorSimple 8000 series and 1200 series devices
Microsoft has been expanding the portfolio of Azure Hybrid storage capabilities with new services for data tiering and cloud ingestion, providing more options to customers for storing data in Azure in native formats.
Networking
Azure Firewall Premium is now ICSA labs certified
Azure Firewall Premium SKU is a managed, cloud-based network security service that protects your Azure Virtual Network resources. It provides advanced threat protection that meets the needs of highly sensitive and regulated environments and includes Intrusion Prevention System (IPS) and TLS inspection capabilities.
The new Intrusion Prevention System (IPS) certification from ICSA Labs is an important IPS certification, is an addition to existing Firewall certification, from ICSA Labs.
ICSA Labs provides credible third-party testing and certification of security and health IT products, as well as network-connected devices. This includes certification of network intrusion prevention systems.
ICSA Labs Network Intrusion Prevention System (IPS) security certification test cycle includes Azure Firewall protection against exploits aimed at approximately 100 high severity vulnerabilities in enterprise software. Because real world attacks do not happen on a quiescent network, ICSA Labs tests with an appropriate level of background traffic using various mixes of enterprise network traffic. The test included evasion techniques, platform security of the product itself, logging, secure administration, and administrative functions.
Azure Firewall is the first cloud firewall service to attain the ICSA Labs Corporate Certification for both Firewall and IPS services.
Next hop IP support for Route Server
With next hop IP support, you can deploy network virtual appliances (NVAs) behind an Azure Internal Load Balancer (ILB) to acheive key active-passive connectivity scenarios and improve connectivity performance.
