Microsoft is announcing a price reduction on the DCsv2 and DCsv3-series VMs by up to 33%. The price reduction enables the data protection benefits of ACC with no premium compared to general purpose VMs on a per physical core basis. New prices took effect on 1/1/2022. If you are already using DCsv2 and DCsv3-series VMs prior to 1/1/2022, you will see the price reduction in your next bill.
Storage
Azure Ultra Disk Storage is available in West US 3
Azure Ultra Disk Storage is now available in West US 3. Azure Ultra Disks offer high throughput, high IOPS, and consistent low latency disk storage for Azure virtual machines (VMs). Ultra Disks are suited for data-intensive workloads such as SAP HANA, top tier databases, and transaction-heavy workloads.
Networking
Multiple custom BGP APIPA addresses for active VPN gateways
All SKUs of active-active VPN gateways now support multiple custom BGP APIPA addresses for each instance. Automatic Private IP Addressing (APIPA) addresses are commonly used as the BGP IP addresses for VPN connectivity. In addition to many on-premises VPN devices requiring multiple custom APIPA addresses for BGP, this feature enables BGP connections to Amazon Web Services (AWS) and other cloud providers.
Load Balancer SKU upgrade through PowerShell script
You can now upgrade your Azure Load Balancer from Basic SKU to Standard SKU by using a PowerShell script. By upgrading to Standard SKU, the Load Balancer enables the network layer traffic to drive higher performance and stronger resiliency, along with an improved integration experience with other Azure services. The PowerShell script creates the Standard SKU Load Balancer with the same configurations as the Basic Load Balancer. In addition, the script migrates the backend resources to the Standard Load Balancer for you.
Azure Traffic Manager: additional IP addresses for endpoint monitoring service
Traffic Manager uses a probing mechanism to evaluate your application endpoints. To enhance the capacity of our probing plane, Microsoft will be increasing the number of probes deployed within Traffic Manager’s endpoint monitoring service over the next few years to continue to mitigate the large amount of growth. Your applications will see an increase in number of health probes and some of these probes may originate from new IP addresses. These changes will start to go live on 21st January 2022 at 20:00 UTC.
Recommended action: if you use a network access control mechanism (e.g., Azure Firewall or Network Security Groups) and are not using Service Tags (AzureTrafficManager), please continue checking this updated list of IP addresses each Wednesday, until further notice, to ensure you allow incoming traffic from these new IP addresses. Failure to do so may cause some Traffic Manager health probes for the application endpoints to fail and may result in misrouting of traffic. No action is required access control isn’t used or network access control is utilized with AzureTrafficManager service tags.
Nel momento in cui si decide di intraprendere una strategia basata su un cloud ibrido, che combina le risorse IT on-premises con le risorse ed i servizi del cloud pubblico, è opportuno valutare attentamente come connettere la propria rete locale con le reti virtuali presenti nel cloud pubblico. In Azure una possibilità è quella di utilizzare ExpressRoute, una connessione privata e dedicata che avviene tramite un provider di connettività di terze parti. In questo articolo vengono riportate le possibili architetture di rete con ExpressRoute, insieme ad una serie di accorgimenti da tenere in considerazione per un deployment di successo.
Molto spesso viene utilizzata una VPN Site-to-site per stabilire la connettività tra le risorse on-premise e le risorse in ambiente Azure attestate sulle Virtual Network. Questo tipo di connettività è ideale per i seguenti casi d’uso:
Ambienti di sviluppo, test, laboratori, ma anche workload di produzione dove le risorse dislocate in ambiente Azure non un utilizzano in modo intensivo e strategico la connettività verso l’ambiente on-premises e viceversa.
Quando si ha una tolleranza accettabile per quanto riguarda la larghezza di banda e la velocità nella connessione ibrida.
Ci sono alcuni casi d’uso però dove è opportuno configurare ExpressRoute, secondo le best practice Microsoft, per garantire una connettività bidirezionale tra la rete on-premise e le reti virtuali (vNet) di Azure del cliente. Infatti, ExpressRoute risulta adatto per i seguenti casi d’uso:
Se si devono soddisfare requisiti di alta velocità, connessione a bassa latenza e di disponibilità/resilienza elevata.
In presenza di carichi di lavoro mission-critical che fanno uso di una connettività ibrida.
Che cos’è ExpressRoute?
Grazie ad ExpressRoute è possibile attivare una connessione privata dedicata, fornita da un provider di connettività di terze parti, per estendere la rete locale in Azure. Le connessioni ExpressRoute non passano attraverso la rete Internet pubblica. In questo modo possono offrire un livello di sicurezza superiore, maggiore affidabilità, velocità più elevate e latenze coerenti rispetto alle connessioni Internet tradizionali.
Figura 1 – Schema logico di ExpressRoute
Le connessioni ExpressRoute abilitano l’accesso ai servizi seguenti:
Servizi di Microsoft Azure (scenario trattato in questo articolo).
Servizi di Microsoft 365. Microsoft 365 è stato progettato per essere accessibile in modo sicuro e affidabile tramite Internet. Per questo motivo è consigliabile utilizzare ExpressRoute con Microsoft 365 solo in determinati scenari, come descritto in questo articolo Microsoft.
Risulta possibile creare una connessione ExpressRoute tra la rete locale ed il cloud Microsoft tramite quattro differenti modalità:
Figura 2 – Modelli di connettività di ExpressRoute
I provider di connettività possono offrire uno o più modelli di connettività ed è possibile scegliere il modello più appropriato per le proprie esigenze di connettività.
Architetture di riferimento
La seguente architettura di riferimento mostra come è possibile connettere la rete locale alle reti virtuali in Azure, usando Azure ExpressRoute.
Figura 3 – Architettura di riferimento per estendere una rete locale con ExpressRoute
L’architettura sarà costituita dai seguenti componenti.
Rete aziendale locale (nello schema “On-premises network”). Si tratta della rete locale privata del Cliente.
Edge router locali. Si tratta dei router che collegano la rete locale al circuito gestito dal provider.
ExpressRoute Circuit. Si tratta di un circuit layer 2 oppure layer 3, fornito dal provider di connettività, che unisce la rete locale ad Azure tramite edge router. Il circuit utilizza l’infrastruttura hardware gestita dal provider di connettività.
Edge router Microsoft. Si tratta di router in una configurazione ad alta disponibilità attivo-attivo. Questi router consentono al provider di connettività di connettere i propri circuit direttamente al data center.
Virtual network gateway (ExpressRoute). Il gateway di rete virtuale ExpressRoute consente alla rete virtuale (VNet) di Azure di connettersi al circuito ExpressRoute usato per la connettività con la rete locale.
Reti virtuali di Azure (VNet). Rete virtuali che risiedono in una region di Azure.
Nell’architettura sopra descritta, ExpressRoute sarà utilizzato come canale di connettività principale per connettere la rete locale ad Azure.
Inoltre, è possibile prevedere l’utilizzo di una connessione VPN site-to-site come fonte di connettività di backup per migliorare la resilienza della connettività. In questo caso l’architettura di riferimento sarà la seguente:
Figura 4 – Architettura di riferimento per utilizzare sia ExpressRoute sia una connessione VPN site-to-site
In questo scenario sono previsti, in aggiunta ai componenti architetturali descritti in precedenza, i seguenti componenti:
Appliance VPN on-premises. Un dispositivo oppure un servizio che fornisce connettività esterna alla rete locale. L’appliance VPN può essere un dispositivo hardware oppure una soluzione software supportata per la connessione ad Azure.
Virtual network gateway (VPN). Il gateway di rete virtuale VPN consente alla rete virtuale di connettersi all’appliance VPN presente nella rete locale.
Connessione VPN. La connessione ha proprietà che specificano la tipologia di connessione (IPSec) e la chiave condivisa con l’appliance VPN locale per crittografare il traffico.
Come monitorare ExpressRoute
Per consentire di monitorare le risorse di rete in presenza di una connettività ExpressRoute si può adottare lo strumento di piattaforma Azure Monitor, attraverso il quale è possibile verificare la disponibilità, le prestazioni, l’utilizzo ed il funzionamento di tale connettività.
Si riporta a titolo di esempio una schermata della soluzione.
Figura 5 – Monitor dei circuit ExpressRoute tramite Azure Monitor
Mediante questa soluzione verrà fornito un mapping dettagliato della topologia di tutti i componenti di ExpressRoute (peering, connessioni, gateway) in relazione tra loro. Le informazioni dettagliate sulla rete per ExpressRoute includeranno una dashboard attraverso la quale è possibile consultare le metriche, la velocità effettiva, l’eventuale drop di pacchetti di rete e le metriche del gateway.
Si riporta a titolo di esempio una schermata della dashboard che mostra il Throughput totale del traffico in ingresso ed in uscita per il circuit ExpressRoute (espresso in bit/secondo). Inoltre, risulta possibile visualizzare il throughput per le singole connessioni.
Figura 6 – Metriche relative al Throughput delle connection ExpressRoute
Microsoft nelle security baseline per ExpressRoute, riferite all’Azure Security Benchmark versione 1.0, il set di linee guida specifico per Azure creato da Microsoft, fornisce diverse indicazioni che è consigliato seguire. Tra le principali che è opportuno adottare troviamo:
Definizione e implementazione delle configurazioni di sicurezza standard per Azure ExpressRoute utilizzando le Azure Policy.
Utilizzo di tag per i componenti Azure ExpressRoute in modo da fornire metadati e un’organizzazione logica e strutturata delle risorse.
Applicazione di lock per evitare la cancellazione oppure la modifica accidentalenon voluta dei componenti Azure relativi alla configurazione ExpressRoute.
Utilizzo degli strumenti della piattaforma Azure per monitorare le configurazioni delle risorse di rete e rilevare le modifiche relative alle risorse di rete delle connessioni ExpressRoute. Creazione di Alert in Azure Monitor da generare quando vengono apportate modifiche alle risorse critiche.
Configurazione della raccolta centralizzata degli Activity Log per i componenti ExpressRoute.
Conclusioni
ExpressRoute offre una connessione veloce e affidabile ad Azure con larghezze di banda che possono raggiungere fino ai 100 Gbps. Si tratta quindi di un’opzione ideale per scenari specifici come la migrazione periodica dei dati, la replica a fini di business continuity, il disaster recovery, e l’attivazione di strategie di alta disponibilità. Grazie all’elevata velocità ed ai tempi di latenza ridotti di ExpressRoute, Azure sembrerà una naturale estensione dei propri data center. In questo modo è possibile trarre vantaggio dalla scalabilità e dall’innovazione del cloud pubblico senza compromessi in termini di prestazioni di rete.
In the past two weeks, Microsoft hasn’t made any major announcements regarding these topics. However, here are some links to interesting videos made by John Savill, Principal Cloud Solution Architect at Microsoft:
Nel mese di dicembre sono state annunciate da parte di Microsoft novità riguardanti gli Azure managementservices. Grazie al rilascio di questo riepilogo, che avviene con frequenza mensile, si vuole fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Audit Logs per le query di Azure Monitor
Azure Monitor consente di raccogliere dati dell’intero ecosistema, inclusi i dati di telemetria a livello di applicazione e di sistema operativo, log di sicurezza, log di rete, log di diagnostica dalle risorse Azure e log personalizzati. Tutti questi dati possono essere interrogati con il potente linguaggio KQL, utile per ottenere informazioni dettagliate ed effettuare correlazioni. Microsoft ha incluso la possibilità di controllare le query di Azure Monitor. Infatti, abilitando tale funzionalità mediante il meccanismo di diagnostica di Azure, è possibile raccogliere dati di telemetria su chi ha eseguito una query, quando è stata eseguita, quale strumento è stato usato per eseguire la query, il testo della query e le statistiche sulle prestazioni relative all’esecuzione della query. Questa telemetria, come qualsiasi altra telemetria basata su Azure Diagnostic, può essere inviata ad un Azure Storage Blob, ad un Azure Event Hub, oppure nei log di Azure Monitor.
Govern
Azure Cost Management
Aggiornamenti relativi ad Azure Cost Management and Billing
Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.
Secure
Microsoft Defender for Cloud
Microsoft Defender for Containers aggiunge nuove funzionalità per Kubernetes(preview)
Microsoft Defender for Containers, è una nuova offerta che unisce le funzionalità di Azure Defender for Kubernetes e Azure Defender for Container registries, aggiungendo diverse nuove funzionalità relative a Kubernetes su Azure:
Profilo AKS: onboarding e manutenzione come profilo AKS, in modo da non avere più una dipendenza dall’agente di Log Analytics.
Supporto multi cloud: supporto multi cloud per AKS, Amazon EKS, Kubernetes on-prem/IaaS (GCP verrà aggiunto in futuro).
Visibilità delle vulnerabilità: una nuova raccomandazione effettua il monitor dei cluster Kubernetes e mostra un elenco di immagini in esecuzione con le eventuali vulnerabilità, basate su scansioni di valutazione fornite da Qualys. Questo consente di concentrarsi sulle vulnerabilità più critiche che espongono i gli ambienti di runtime a minacce e attacchi alla sicurezza.
Protezione avanzata dalle minacce: analisi di AI compatibili con Kubernetes e rilevamento delle anomalie.
Valutazione della vulnerabilità ACR migliorata: la raccomandazione sulla valutazione della vulnerabilità di Azure Container Registry (ACR) è stata migliorata con l’aggiunta di informazioni di runtime ai risultati della scansione delle immagini. Questo consente l’assegnazione di priorità e di applicare filtri in base allo stato di distribuzione dell’immagine.
Scansione continua delle immagini: oltre alla scansione periodica delle immagini di Azure Container Registry (ACR) negli ultimi 30 giorni, la scansione continua delle immagini esegue periodicamente la scansione delle immagini ACR in esecuzione sui cluster Kubernetes.
Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud
Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:
Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Microsoft Defender for Cloud, precedentemente noto come Azure Security Center ed Azure Defender, è una soluzione di Cloud Security Posture Management (CSPM) e per la protezione dei workload, in grado di individuare i punti di debolezza in ambito security nelle configurazioni cloud, rafforzare la security posture complessiva dell’ambiente e proteggere i carichi di lavoro in ambienti ibridi e multi-cloud. Per le realtà che stanno adottando una strategia multi-cloud e che necessitano di elevati standard di sicurezza per il proprio ambiente è importante sapere che Microsoft Defender for Cloud può contemplare anche risorse presenti in Amazon Web Services (AWS) e Google Cloud Platform (GCP). In questo articolo viene riportato come proteggere ambienti AWS utilizzando Microsoft Defender for Cloud.
I pilastri della sicurezza contemplati da Microsoft Defender for Cloud
Le funzionalità di Microsoft Defender for Cloud sono in grado di contemplare due grandi pilastri della sicurezza del cloud:
Cloud Security Posture Management (CSPM) in grado di fornire le seguenti funzionalità:
Visibilità: per valutare la situazione attuale in merito alla sicurezza.
Guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace
Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Questo elenco di raccomandazioni è preso e supportato da Azure Security Benchmark, il set di linee guida specifico per Azure creato da Microsoft, che contiene le best practice di sicurezza e di conformità basate su framework comuni, con particolare attenzione alla sicurezza incentrata sul cloud. Questo benchmark può contemplare i controlli del Center for Internet Security (CIS) e del National Institute of Standards and Technology (NIST).
Defender for Cloud assegna un punteggio globale all’ambiente ambiente, definito Secure Score, che permette di valutare il profilo di rischio (più alto è il punteggio, più basso è il livello di rischio identificato) e di agire per intraprendere delle azioni di remediation.
Cloud workload protection (CWP): Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud.
Defender for Cloud permette quindi di soddisfare le seguenti tre esigenze, ritenute fondamentali durante la gestione della sicurezza delle risorse e dei workload che risiedono nel cloud ed in locale:
Figura 1 – Esigenze di sicurezza contemplate da Microsoft Defender for Cloud
La protezione delle risorse AWS
Per proteggere con questa soluzione le risorse su altri cloud pubblici esiste ormai da tempo un meccanismo che prevede l’utilizzo di connettori di interfacciamento con gli account AWS e GCP. Il processo di onboarding del proprio account AWS era basata sull’integrazione della soluzione AWS Security Hub, come descritto nel dettaglio in questo articolo.
Ora è stato rilasciato un nuovo meccanismo nativo che, mediante un approccio agentless, consente di connettersi agli ambienti AWS. Questa nuova metodologia di interfacciamento sfrutta le API di AWS e non ha dipendenza da altre soluzioni, come AWS Security Hub. L’esperienza di onboarding è progettata per funzionare facilmente su larga scala, semplicemente collegando il proprio master account AWS, che permette di effettuare automaticamente l’onboarding degli account esistenti e futuri.
Figura 2 – Connessione di AWS a Microsoft Defender for Cloud
Questo meccanismo estende facilmente le funzionalità di sicurezza avanzate di Defender for Cloud alle proprie risorse AWS e comprende le seguenti aree.
Figura 3 – Piani di protezione disponibili
Cloud Security Posture Management (CSPM) per AWS
Le funzionalità CSPM di Defender for Cloud vengono estese alle proprie risorse AWS. Questo piano agentless valuta le risorse AWS in base alle raccomandazioni di sicurezza specifiche di AWS e queste vengono contemplate nel calcolo del security score globale. Per fornire una visione complessiva sullo stato di sicurezza dei propri ambienti multi-cloud, anche le raccomandazioni relative alla sicurezza di AWS sono integrate nel portale Defender for Cloud, insieme ai consigli di Azure. Sono stati implementate da Microsoft oltre 160 raccomandazioni pronte all’uso per i servizi IaaS e PaaS e tre standard normativi tra cui AWS CIS, AWS PCI DSS e AWS Foundational Security Best Practices. Tutto questo consente di rafforzare la propria security posture contemplando al meglio anche le risorse AWS. Inoltre, è possibile personalizzare i modelli esistenti oppure crearne dei nuovi che contengono le proprie raccomandazioni ed i propri standard per verificare la compliance dei requisiti interni.
Figura 4 – Raccomandazioni per AWS integrate in Defender for Cloud
Cloud workload protection (CWP) per AWS
Per AWS al momento è prevista la protezione avanzata per i seguenti workload:
Protezione dei server: Microsoft Defender for server offre il rilevamento delle minacce e la difese avanzate anche per le istanze EC2, sia per sistemi Windows sia per sistemi Linux. Questo piano include la licenza integrata per Microsoft Defender for Endpoint e diverse funzionalità, tra le quali: Security baselines e assessment a livello di SO, Vulnerability assessment, Adaptive Application Controls (AAC) e File Integrity Monitoring (FIM).
Protezione dei container: Microsoft Defender for Containers estende il rilevamento delle minacce per i container e le difese avanzate di Defender for Kubernetes ai cluster Amazon EKS (Elastic Kubernetes Service). Affinché Defender for Kubernetes sia in grado di proteggere i cluster AWS EKS, è necessaria la presenza di Azure Arc-enabled Kubernetes e dell’extension di Defender.
Figura 5 – Alert e raccomandazioni per i cluster EKS
NOTA: Per coloro che hanno hai già configurato un connettore AWS tramite i connector cloud classici, è consigliato connettere nuovamente l’account utilizzando il nuovo meccanismo.
Costo della soluzione
Se si decide di attivare questa integrazione valgono le seguenti indicazioni sui costi:
Il piano CSPM è gratuito. Per fornire le raccomandazioni il piano CSPM interroga le API delle risorse AWS più volte al giorno. Queste chiamate API di sola lettura non comportano alcun addebito, ma vengono registrate in CloudTrail nel caso in cui sia stato abilitato il trail per gli eventi di lettura. Come riportato nella documentazione AWS, questo non comporta costi aggiuntivi per il mantenimento. Occorre però fare attenzione ed eventualmente filtrare questi eventi se sono previsti delle esportazioni di dati (ad esempio per farli confluire in un SIEM esterno).
Il piano Defender for Containers verrà fatturato allo stesso prezzo del piano Defender for Kubernetes per le risorse di Azure.
Per ogni macchina AWS connessa ad Azure mediante Azure Arc, il piano Defender per server viene fatturato allo stesso prezzo del piano Microsoft Defender per server per le macchine Azure.
Conclusioni
Microsoft Defender for Cloud, originariamente sviluppato con la pretesa di essere lo strumento migliore per proteggere le risorse in ambiente Azure, estendere e perfeziona le proprie funzionalità per contemplare anche altri cloud pubblici. In particolare, grazie al nuovo meccanismo di integrazione con AWS è possibile adottare in modo nativo una soluzione di CSPM ed abilitare la protezione dalle minacce per i workload di elaborazione in Amazon Web Services (AWS). Questo consente di ottenere un elevato grado di sicurezza, di migliorare le security posture in ambienti multi-cloud e di semplificare la gestione degli strumenti utili per governare la sicurezza.
Public preview of VM restore point is available, a new resource that stores VM configuration and a point-in-time snapshot of one or more managed disks attached to a VM. VM restore points supports multi-disk application consistent snapshots and can be leveraged to easily capture backups of your VM and disks. You can easily restore the VM using VM restore points in cases of data loss, corruption, or disasters. Microsoft is also introducing a new Azure Resource Manager (ARM) resource called Restore Point Collection, which will act as a container for all the restore points of a specific VM.
Placement polices for Azure VMware Solution
Placement policies are used to define constraints for running virtual machines in the Azure VMware Solution Software-Defined Data Center (SDDC). These constraints allow the you to decide where and how the virtual machines should run within the SDDC clusters. Placement polices are used to support performance optimization of virtual machines (VMs) through policy, and help mitigate the impact of maintenance operations to policies within the SDDC cluster.
Storage
Secure access to storage account from a virtual network/subnet in any region (preview)
You can secure access to your storage account by enabling a service endpoint for Storage in the subnet and configuring a virtual network rule for that subnet through the Azure storage firewall. You can now configure your storage account to allow access from virtual networks and subnets in any Azure region. By default, service endpoints enable connectivity from a virtual network to a storage account in the same Azure region as the virtual network or it’s paired Azure region. This preview enables you to register your subnet to allow service endpoint connectivity to storage accounts in any Azure region across the globe.
Attribute-based Access Control (ABAC) conditions with principal attributes (preview)
Attribute-based access control (ABAC) is an authorization strategy that defines access levels based on attributes associated with security principals, resources, requests, and the environment. Azure ABAC builds on role-based access control (RBAC) by adding conditions to Azure role assignments expressed as a predicate using these attributes. This update to the preview enables the use of Azure AD custom security attributes for principals in role assignment conditions. You can now use combine principal attributes with resource and request attributes in your condition expressions.
Soft delete for blobs capability for Azure Data Lake Storage
Soft delete for blobs capability for Azure Data Lake Storage is now generally available. This feature protects files and directories from accidental deletes by retaining the deleted data in the system for a specified period of time. During the retention period, you can restore a soft-deleted object, i.e. file or directory, to its state at the time it was deleted. After the retention period has expired, the object is permanently deleted. All soft deleted files and directories are billed at the same rate as active ones until the retention period has expired.
Azure Stack
Azure Stack HCI
Windows Server guest licensing offer for Azure Stack HCI (preview)
To facilitate guest licensing for Azure Stack HCI customers, we are pleased to announce a new offer that brings simplicity and more flexibility for licensing. The new Windows Server subscription for Azure Stack HCI is available in public preview as of December 14, 2021. This offer will allow you to purchase unlimited Windows Server guest licenses for your Azure Stack HCI cluster through your Azure subscription. You can sign up and cancel anytime and preview pricing is $0 until general availability (GA). At GA, the offer will be charged at $23.60 per physical core per month. This offer simplifies billing through an all-in-one place Azure subscription and in some cases will be less expensive for customers than the traditional licensing model.
La tendenza che si riscontra frequentemente in differenti contesti aziendali è quella di ricorrere a strategie ibride e multi-cloud per i propri ambienti IT. Tutto ciò consente di intraprendere un percorso di innovazione digitale con grande flessibilità ed agilità. Per farlo nel migliore dei modi è opportuno adottare tecnologie che consentano di creare nuove opportunità e allo stesso tempo di gestire le sfide intrinseche in questi nuovi paradigmi. In Microsoft è stata ideata una soluzione specifica e prende il nome di Azure Arc. Uno dei benefici cruciali di Azure Arc è quello di estendere le pratiche di gestione e di governance di Azure anche ad ambienti differenti e di adottare soluzioni e tecniche che tipicamente vengono utilizzate in ambiente cloud anche per gli ambienti on-premises. In questo articolo viene approfondito come Microsoft ha recentemente migliorato in Azure Arc il processo di integrazione delle infrastrutture VMware vSphere e quali opportunità si possono cogliere da questa innovazione.
Perché adottare una strategia ibrida?
Tra le principali ragioni che portano i clienti a adottare una strategia ibrida troviamo:
Workload che non possono essere spostati nel cloud pubblico a causa dei requisiti normativi e di sovranità dei dati. Questo aspetto solitamente è comune in settori altamente regolamentati come servizi finanziari, ambienti sanitaria e governativi.
Alcuni workload, in particolare quelli che risiedono negli edge, richiedono basse latenze.
Molte aziende hanno fatto investimenti significativi nell’ambiente on-premises che desiderano massimizzare, quindi la scelta ricade nel modernizzare le applicazioni tradizionali che risiedono on-premises e le soluzioni adottate.
Garantire una maggiore resilienza.
Quali domande porsi per sfruttare e gestire al meglio ambienti ibridi e multi-cloud?
In situazioni dove si sta adottando una strategia ibrida oppure multi-cloud, le domande chiave che è opportuno porsi per trarre maggiori benefici sono:
Come posso visualizzare, governare e proteggere le risorse IT, indipendentemente da dove sono in esecuzione?
C’è la possibilità di portare l’innovazione del cloud anche nell’infrastruttura esistente?
Come è possibile modernizzare i datacenter locali adottando nuove soluzioni cloud?
Come estendere l’elaborazione e l’intelligenza artificiale all’edge per sbloccare nuovi scenari di business?
La risposta a tutte queste domande può essere… “adottando Azure Arc!”.
Figura 1 – Panoramica di Azure Arc
Molti sono i clienti che dispongono di infrastruttura basate su VMware e che allo stesso tempo stanno utilizzando servizi Azure. Azure Arc estende le possibilità offerte in ambito governance e management da Azure anche alle macchine virtuali presenti in ambienti VMware. Per migliorare ulteriormente questa esperienza di controllo e di gestione di tali risorse è stata introdotta una profonda integrazione tra Azure Arc e VMware vSphere.
Azure Arc-enabled VMware vSphere: come funziona?
Azure Arc-enabled VMware vSphere è una nuova funzionalità di Azure Arc pensata per i clienti con ambienti VMware vSphere on-premises oppure che adottano Azure VMware Solution.
Questa integrazione diretta di Azure Arc con VMware vSphere richiede di attivare un’appliance virtuale denominata “Arc bridge”. Questa risorsa permette di instaurare la connessione tra il server VMware vCenter e l’ambiente Azure Arc.
Grazie a questa integrazione è possibile effettuare l’onboarding in Azure di alcune oppure di tutte le risorse vSphere gestite dal proprio server vCenter quali: resource pool, cluster, host, datastore, network, template e macchine virtuali esistenti.
Figura 2 – VMware vCenter dal portale Azure
Terminata la fase di onboarding si aprono nuovi scenari di utilizzo che consentono di sfruttare i benefici riportati nel paragrafo seguente.
Benefici di Azure Arc-enabled VMware vSphere
Grazie a questa nuova integrazione è possibile ottenere i seguenti benefici:
Eseguire il provisioning di nuove macchine virtuali in ambienti VMware da Azure. La distribuzione delle macchine virtuali su VMware vSphere può essere fatta dal portale oppure utilizzando template ARM. La possibilità di poter descrivere l’infrastruttura, mediante processi di Infrastructure as Code, in modo coerente in Azure e negli ambienti on-premises è molto importante. Infatti, adottando template ARM, i team DevOps possono utilizzare pipeline CI/CD per eseguire il provisioning dei sistemi oppure per aggiornare le macchine virtuali VMware in modo contestuale ad altri aggiornamenti applicativi.
Figura 3 – Provisioning di una VM VMware dal portale Azure
Effettuare operazioni di manutenzione ordinaria sulle macchine virtuali direttamente dal portale Azure come: l’arresto, l’avvio, il riavvio, il ridimensionamento, l’aggiunta oppure l’aggiornamento di dischi e la gestione delle schede di rete.
Garantire un accesso self-service alle risorse vSphere tramite Azure Arc. Per gli amministratori che gestiscono ambienti vSphere, ciò significa che possono facilmente delegare un accesso self-service alle risorse VMware, governando e garantendo la conformità tramite controlli avanzati di governance di Azure ed Azure RBAC. Infatti, risulta possibile assegnare autorizzazioni granulari sulle risorse computazionali, di archiviazione, di rete e sui template.
Fornire un inventario delle macchine virtuali in ambienti vSphere distribuiti.
Eseguire e gestire su larga scala l’onboarding di ambienti vSphere nei servizi di management di Azure come ad esempio Azure Monitor Log Analytics ed Azure Policy Guest Configuration. Tale abilitazione permette di orchestrare l’installazione dell’agente specifico di Azure Arc (Connected Machine agent) direttamente da Azure.
Mantenere sincronizzate in Azure le modifiche apportate direttamente tramite vCenter, grazie alle funzionalità di rilevamento automatico.
Conclusioni
Grazie a questa nuova integrazione avanzata, i clienti possono avere la flessibilità di innovare, anche utilizzando il loro ambiente VMware esistente. Inoltre, mediante questo approccio è possibile avere un meccanismo efficace di controllo per gestire e governare in modo coerente tutte le risorse IT.
West Central US: Microsoft expands cloud services with two new datacenters in Wyoming
Microsoft is announcing the launch of two new Microsoft datacenters in Cheyenne – Wyoming, one in Cheyenne Business Parkway and another in Bison Business Park, enabling to expand and support the growth and demand for digital services in West Central US datacenter region. Cheyenne has been home to Microsoft’s cloud infrastructure services since 2012 and this expansion will enable us to continue providing services to current and new customers.
New Azure Virtual Machines DCasv5 and ECasv5-series (preview)
Azure DCasv5/ECasv5 confidential virtual machines (VMs) powered by 3rd Gen AMD EPYC™ processors with SEV-SNP are available in preview.
SQL Server IaaS Agent extension for Linux SQL VMs
Microsoft is making the capabilities of SQL Server IaaS Agent extension available to Linux platforms, starting with Ubuntu with plans for other distributions in time.
If you are already running SQL Server on Azure using an Ubuntu Linux Virtual Machine, the SQL Server IaaS Agent extension now enables you to leverage integration with the Azure portal and unlocks the following benefits for SQL Server on Linux Azure VMs:
Compliance: The extension offers a simplified method to fulfill the requirement of notifying Microsoft that the Azure Hybrid Benefit has been enabled as is specified in the product terms. This process negates needing to manage licensing registration forms for each resource.
Simplified license management: The extension simplifies SQL Server license management, and allows you to quickly identify SQL Server VMs with the Azure Hybrid Benefit enabled using the Azure portal, Azure PowerShell, or the Azure CLI.
IaaS Agent extension full mode no restart for SQL VMs
You can now enable the full mode of SQL Server IaaS Agent extension with no restart, giving you access to more manageability features for SQL Server on Azure Virtual Machines without interruption to your workloads. Previously, you had to restart the SQL Server services to enable these features. The full mode of SQL Server IaaS Agent extension unlocks many benefits such as Automated Backup, Automated Patching, Storage Optimization, and more, along with license management that comes with lightweight mode.
Storage
Azure File Sync: new agent released
The Azure File Sync agent v14.1 is available. Issue that is fixed in the v14.1 release:
Tiered files deleted on Windows Server 2022 are not detected by cloud tiering filter driver. This issue can also impact Windows 2016 and Windows Server 2019 if a tiered file is deleted using the FILE_DISPOSITION_INFORMATION_EX class.
To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog.
More information about this release:
This release is available for Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 and Windows Server 2022 installations.
A restart is required for servers that have an existing Azure File Sync agent installation if the agent version is less than version 12.0.
The agent version for this release is 14.1.0.0.
Installation instructions are documented in KB5001873.
Azure NetApp Files application volume group for SAP HANA (preview)
Application volume group (AVG) for SAP HANA enables you to deploy all volumes required to install and operate an SAP HANA database according to best practices in a single one-step and optimized workflow. The application volume group feature includes the use of proximity placement group (PPG) with VMs to achieve automated, low-latency deployments. Application volume group for SAP HANA has implemented many technical improvements that simplify and standardize the entire process to help you streamline volume deployments for SAP HANA. Instead of creating the SAP HANA volumes (data, log, shared, log-backup, file-backup) individually, the new application volume group for SAP HANA creates these volumes in a single ‘atomic’ operation (GUI, RP, API).
Networking
VPN Gateway NAT
Azure VPN NAT (Network Address Translation) supports overlapping address spaces between your on-premises branch networks and your Azure Virtual Networks. NAT can also enable business-to-business connectivity where address spaces are managed by different organizations and re-numbering networks is not possible. VPN NAT provides support for 1:1 Static NAT and 1-to-many dynamic NAT.
Wildcard listener on Application Gateways
Azure Application Gateway now supports the use of wildcard characters such as asterisk (*) and question mark (?) for hostnames on a multi-site HTTP(S) listener. You can now route requests from multiple host-names such as shop.contoso.com, accounts.contoso.com, pay.contoso.com to the same backend pool through a single listener configured with a wildcard hostname such as *.contoso.com.
Nel mese di novembre Microsoft ha svelato numerose novità riguardanti gli Azure management services, complice anche la conferenza Microsoft Ignite 2021. Tramite questi articoli rilasciati con cadenza mensile, si vuole fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Log Analytics Workspace Insights in Azure Monitor
Microsoft ha annunciato la disponibilità di Log Analytics workspace insights che consente di ottenere informazioni dettagliate sui workspace di Log Analytics, fornendo una panoramica completa in merito ai seguenti aspetti: utilizzo, prestazioni, integrità, agenti, query e change logs.
Queste le principali domande alle quali la soluzione può fornire una risposta:
Quali sono le tabelle principali, quelle in cui viene importata la maggior parte dei dati?
Quale risorsa invia la maggior parte dei log verso il workspace?
Quanto tempo impiegano i log a raggiungere il workspace?
Quanti agenti sono collegati all’area di lavoro? Quanti sono in stato di salute?
Controllo delle query: quante query vengono eseguite nel workspace? Quali sono i loro codici di risposta e il tempo di durata? Quali sono le query lente e inefficienti che richiedono un sovraccarico del workspace?
Chi ha impostato un limite giornaliero? Quando la conservazione dei dati è cambiata?
Utili per tracciare un registro delle modifiche delle impostazioni del workspace.
Nuove esperienze nella risoluzione dei problemi in Network Insights per VPN Gateway & Azure Firewall
Risulta ora possibile accedere a informazioni dettagliate ed avere una nuova esperienze nella risoluzione dei problemi in Azure Monitor Network Insights per VPN Gateway ed Azure Firewall.
Infatti, si ha la possibilità di:
Accedere alla topologia delle risorse che mostra l’integrità delle stesse e le relative connessioni
Un workbook che mostra tutte le metriche chiave
Collegamenti diretti alla documentazione e alla guida per la risoluzione dei problemi
Azure Monitor container insights per Azure Arc enabled Kubernetes
In Azure Monitor si possono ottenere informazioni dettagliate sui conteiner in esecuzione in ambienti Kubernetes abilitati per Azure Arc. Questo permette di centralizzare la visualizzazione delle metriche dell’infrastruttura, dei log dei container e delle relative raccomandazioni. Le caratteristiche principali sono:
Onboarding semplice direttamente dal portale di Azure
Ricezione di aggiornamenti automatici dell’agente di monitoring
Visibilità delle prestazioni, raccogliendo le metriche di memoria e processore dai controller, nodi e container
Visualizzazioni tramite workbook e nel portale di Azure
Alert e query sui dati storici per la risoluzione dei problemi
Capacità di esaminare le metriche di Prometheus
Gestione delle regole di esportazione dei dati di Log Analytics nel portale di Azure (preview)
L’esportazione dei dati di Log Analytics ora può essere configurata nel portale di Azure. Questo consente di gestire facilmente le regole di esportazione dei dati offrendo una visione chiara delle regole esistenti nel workspace, indipendentemente dal fatto che siano in stato abilitato o disabilitato. Risulta inoltre possibile modificare le regole esistenti e creare nuove regole con pochi semplici passaggi.
Azure Monitor for SAP: nuove telemetriee root cause analysis (RCA)
Azure Monitor per soluzioni SAP (AMS) ha introdotto il supporto per nuovi dati di telemetria SAP HANA (preview) e SAP NetWeaver
Per SAP HANA troviamo:
Stato licenza: fornisce i dettagli delle licenze per tutti i tenant in esecuzione con SAP HANA MDC.
Multi-Version Concurrency Control (MVCC): report sulla consistenza dei dati transazionali, isolando le transazioni che accedono agli stessi dati contemporaneamente
Dettagli su save point operation
Dettagli su delta merge
Statistiche sugli alert di HANA
I clienti che stanno utilizzando la soluzione avranno a disposizione, senza effettuare ulteriori attività, i dati di telemetria sopra riportati. Per i nuovi clienti che vogliono attivare questa soluzione, è possibile seguire questa guida all’onboarding di AMS e configurare almeno un provider SAP HANA.
Inoltre, i clienti che utilizzano SAP in ambiente Azure possono visualizzare le “root cause analysis (RCA)” quando un sistema SAP diventa indisponibile per un’interruzione della macchina virtuale o dell’host. Infatti, AMS consente di visualizzare le informazioni sul riavvio, l’analisi della causa scatenante, i dettagli sul sistema interessato ed i passaggi consigliati.
AMS è attualmente disponibile nelle seguenti region di Azure: US East, US East 2, US West 2, Europe West, e Europe North. AMS non prevede costi di licenza aggiuntivi, ma sono contemplati solamente i costi di consumo di Azure Monitor.
Configure
Azure Automation
Supporto per runbook PowerShell 7.1 (preview)
Il supporto di Azure Automation per i runbook di PowerShell 7.1 è stato reso disponibile in anteprima in Azure, Azure Gov ed Azure China. Ciò consente lo sviluppo e l’esecuzione di runbook utilizzando PowerShell 7.1, sia per processi cloud sia per processi ibridi su sistemi Azure e non.
Supporto per le Managed Identities
In Azure Automation è stato introdotto il supporto alle Managed Identities. Le System Assigned Managed Identities sono supportate per i processi cloud ed ibridi, mentre le User Assigned Managed Identities sono supportate solo per i processi cloud. Questo supporto consente di ridurre l’effort di gestione dei RunAs Account per i runbook. Una User Assigned Managed Identities è una risorsa Azure indipendente che può essere assegnata all’account di Azure Automation, il quale può avere più identità user-assigned associate. La stessa identità può essere assegnata a più Azure Automation account.
Govern
Update Management
Automatic VM guest patching
La nuova funzionalità denominata “Automatic VM guest patching” è ora disponibile ed aiuta a semplificare la gestione degli aggiornamenti e a raggiungere la conformità in ambito sicurezza. Abilitando la funzionalità “Automatic VM guest patching” vengono scaricate e applicate automaticamente sul sistema le patch classificate come critiche e di sicurezza. Tale funzionalità è disponibile sia per sistemi Windows sia per sistemi Linux.
Azure Cost Management
Azure Advisor: consigli per risparmiare sui costi delle risorse Azure Cosmos DB
In Azure Advisor sono state incluse delle raccomandazione specifiche che consentono di ottenere possibili risparmi sui costi di Azure Cosmos DB, ottenute in base all’utilizzo storico delle risorse.
Aggiornamenti relativi ad Azure Cost Management and Billing
Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.
Secure
Microsoft Defender for Cloud
Cambio ai nomi delle soluzioni Azure in ambito sicurezza
A novembre, durante Ignite 2021, sono stati annunciati cambiamenti ai nomi delle soluzioni Microsoft Azure in ambito sicurezza, come riportato in seguito:
Figura 2 – Nuovi nomi per le soluzioni Azure di sicurezza
Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud
Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:
Azure Security Center ed Azure Defender sono stati unificati e vengono chiamati “Microsoft Defender for Cloud”
CSPM nativo per AWS e protezione dalle minacce per Amazon EKS e AWS EC2
Assegnazione delle priorità ai dati sensibili nei cloud workload, utilizzando Azure Purview
Miglioramenti all’integrazione con Microsoft Sentinel
Rilascio di Azure Security Benchmark v3
Protect
Azure Backup
Autorizzazione multi-utente per i backup (preview)
La multi-user authorization per Azure Backup fornisce una protezione avanzata per i Recovery Services vaults contro operazioni critiche non autorizzate. Azure Backup utilizza un Resource Guard per garantire che le operazioni critiche vengano eseguite solo in presenza dell’autorizzazione appropriata. Con questo meccanismo, Azure Backup aiuta a fornire una migliore protezione contro le operazioni che potrebbero portare alla perdita dei dati di backup, tra cui:
Disabilitazione del soft delete e delle impostazioni di hybrid security
Disabilitazione della protezione MUA
Modifiche alle backup policy
Modifiche alla protezione
Stop della protezione
Cambio del MARS security PIN
L’amministratore dei backup, che in genere accede al Recovery Services vault, deve acquisire il ruolo di Contributor su Resource Guard per poter eseguire le suddette operazioni protette (critiche). Per farlo deve richiedere anche l’azione dell’owner di Resource Guard, il quale deve approvare e concedere l’accesso richiesto. Risulta possibile anche usare Azure AD Privileged Identity Management per gestire l’accesso just-in-time su Resource Guard. Inoltre, è possibile creare la risorsa Resource Guard in una subscription oppure in un tenant diverso da quello del Recovery Services vault, per ottenere il massimo isolamento.
Metriche e relativi alert per Azure Backup (preview)
Azure Backup mette ora a disposizione metriche built-in per consentire di monitorare l’integrità dei backup e di scrivere regole di alert personalizzate basate su queste metriche.
Azure Site Recovery
Supporto per il failover di più configurazioni IP
Azure Site Recovery ha introdotto, per le macchine virtuali presenti in Azure, il supporto per il failover delle configurazioni IP secondarie. Questo consente di configurare le impostazioni di failover e di test failover per ciascuna configurazione IP secondaria, al momento solo nello scenario Azure to Azure (A2A).
Nuovo Update Rollup
Per Azure Site Recovery è stato rilasciato l’Update Rollup 59 che risolve diverse problematiche e introduce alcunimiglioramenti. Tra le novità più importanti troviamo il supporto per Windows Server 2022 per il mobility Service. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.
Migrate
Azure Migrate
Nuovi rilasci e funzionalità di Azure Migrate
Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Azure Stack HCI è la soluzione che permette di realizzare una infrastruttura hyper-converged (HCI) per l’esecuzione di workload in ambiente on-premises e che prevede una strategica connessione a vari servizi di Azure. Anche Azure Stack HCI viene considerato come servizio hybrid di Azure e come tale è in continua evoluzione. Recentemente Microsoft ha introdotto una serie di nuove funzionalità che aprono la strada a nuovi scenari di adozione di Azure Stack HCI e che consentono di gestire al meglio la propria infrastruttura ibrida basata su questa soluzione. In questo articolo vengono riportati i principali aspetti che hanno subito un’evoluzione e le nuove funzionalità recentemente introdotte in Azure Stack HCI.
Nuovi workload e nuovi benefici
Il risultato che si intende perseguire con l’infrastruttura Azure Stack HCI è quello di poter eseguire in ambiente on-premises gli stessi carichi di lavoro del cloud pubblico con gli stessi vantaggi. Per raggiungerlo Microsoft sta portando i workload di Azure più popolari in Azure Stack HCI.
A partire dallo scorso anno è possibile attivare su Azure Stack HCI l’orchestratore Azure Kubernetes Service (AKS), che consente di automatizzare la distribuzione e la gestione delle applicazioni containerizzate in ambiente on-premises esattamente come avviene in Azure. Oltre a poter eseguire app Windows e Linux in conteniter, AKS rende disponibile l’infrastruttura per eseguire dei servizi selezionati della piattaforma Azure (PaaS) su Azure Stack HCI.
Le importanti novità annunciate in questo ambito sono le seguenti.
Figura 1 – Nuovi workload Azure e nuovi benefici in Azure Stack HCI
Azure Virtual Desktop per Azure Stack HCI (preview)
Attivando Azure Virtual Desktop nel cloud pubblico, gli utenti possono accedere ai propri desktop e alle proprie applicazioni da qualsiasi luogo, usufruendo della familiarità e della compatibilità garantita da Windows 10 e da Windows 11. Azure Virtual Desktop è un servizio ospitato e gestito da Microsoft, che non richiede la configurazione di una complessa infrastruttura VDI.
Esistono però situazioni dove le applicazioni risultano sensibili alla latenza, come ad esempio l’editing video, oppure scenari dove gli utenti hanno bisogno di usufruire di un sistema legacy presente on-premises che non può essere facilmente raggiunto. Per consentire di affrontare al meglio situazioni di questo tipo, Azure Virtual Desktop aggiunge una nuova opzione ibrida grazie ad Azure Stack HCI.
Azure Virtual Desktop per Azure Stack HCI usa lo stesso piano di gestione cloud del normale Azure Virtual Desktop, ma consente di creare pool di session host utilizzando macchine virtuali in esecuzione su Azure Stack HCI. Queste macchine virtuali possono eseguire Windows 10 e/o Windows 11 Enterprise multi-session. Collocando i desktop più vicini agli utenti, è possibile abilitare l’accesso diretto a bassa latenza e senza round trip, utilizzando una tecnologia chiamata RDP Shortpath.
Azure benefit per Windows Server
Microsoft offre vantaggi speciali quando si distribuisce Windows Server in ambiente Azure e gli stessi vantaggi, entro la fine di quest’anno, saranno disponibili anche su Azure Stack HCI.
Innanzi tutto, quando si distribuiscono macchine virtuali con Windows Server 2022, anche in ambiente Azure Stack HCI è possibile attivare l’edizione Azure Datacenter che offre funzionalità specifiche non disponibili nelle classiche edizioni Standard e Datacenter. Per approfondire le caratteristiche disponibili in questa edizione è possibile consultare questo articolo.
Inoltre, Azure Stack HCI versione 21H2 consente di:
Ottenere gratuitamente aggiornamenti di sicurezza estesi, proprio come in Azure. Questo vale per Windows Server 2008/R2 e verrà presto applicato anche a Windows Server 2012/R2 quando si raggiungerà la fine del supporto, oltre alle versioni corrispondenti di SQL Server.
Ottenere la licenza ed attivare le macchine Windows Server come in Azure. Azure Stack HCI oltre a consentire di utilizzare la propria licenza Datacenter per abilitare l’attivazione automatica delle macchine virtuali (Automatic VM Activation – AVMA), mette a disposizione l’opzione di pagare la licenza di Windows Server per i sistemi guest tramite la propria subscription Azure, proprio come avviene in ambiente Azure.
Innovazione dell’infrastruttura
In Microsoft vengono gestiti tra i più grandi data center del mondo e si vuole portare l’esperienza maturata e l’innovazione del cloud anche in Azure Stack HCI. Per queste ragioni Azure Stack HCI è un servizio in abbonamento che riceve aggiornamenti regolari delle funzionalità con l’obiettivo importante di poter sfruttare on-premises la tecnologia collaudata su larga scala nel cloud.
Figura 2 – Innovazione dell’infrastruttura in Azure Stack HCI
Grazie al rilascio dell’ultimo aggiornamento, noto come “versione 21H2” oppure come “feature update 21H2”, vengono introdotte le seguenti nuove funzionalità:
Gestione del quick restart con Kernel Soft Reboot: migliora le prestazioni di riavvio, saltando la sequenza di pre-avvio e l’autotest all’accensione dell’hardware. In questo modo si riduce anche il tempo complessivo di aggiornamento del cluster (disponibile solo su Azure Stack HCI Integrated Systems).
Utilizzo delle GPUs con VM clusterizzate: fornisce l’accelerazione GPU ai carichi di lavoro in esecuzione sulle VM in ambiente cluster. Ideale per workload in ambito AI/ML.
Dynamic CPU compatibility mode: la modalità di compatibilità del processore è stata aggiornata per sfruttare al meglio tutte le funzionalità dei processori in ambiente cluster. Infatti, è possibile combinare differenti generazioni di processori nello stesso cluster con un degrado minimo. Il cluster calcola in modo intelligente il più grande sottoinsieme comune di funzionalità del processore che possono essere esposte alle macchine virtuali.
Storage thin provisioning: migliora l’efficienza dello storage e semplificata la gestione mediante il thin provisioning.
Network ATC: semplifica la gestione della configurazione di rete degli host.
Secured-Core Server: offre una sicurezza trasversale su hardware e firmware, integrata nelle funzionalità del sistema operativo, in grado di aiutare a proteggere i server da minacce avanzate.
Nuove funzionalità di gestione
Un altro risultato che si vuole ottenere con Azure Stack HCI è quello di poter gestire la propria infrastruttura come se fosse un’estensione del cloud pubblico. Azure Stack HCI si integra infatti in modo nativo con Azure Resource Manager e questo consente di proiettare il cluster come risorsa nel portale di Azure. In questo modo è possibile sfruttare gli stessi processi in tutti gli ambienti e gestire le risorse Azure Stack HCI proprio come le risorse cloud.
Figura 3 – Nuove funzionalità di gestione di Azure Stack HCI
Host server Arc-enabled ed extension
Dalla risorsa Azure Stack HCI è possibile individuare, aggiungere, modificare o rimuovere le extension, grazie alle quali è possibile accedere facilmente alle funzionalità di gestione. Con la disponibilità di Azure Stack HCI versione 21H2 il cluster abiliterà automaticamente ad Arc i server host, al momento della registrazione, per poter utilizzare fin da subito le extension disponibili.
Gestione delle VM Arc-enabled (preview)
Oltre che per gestire il cluster, ora è possibile utilizzare Azure Arc anche per eseguire il provisioning e la gestione delle macchine virtuali in esecuzione su Azure Stack HCI, direttamente dal portale di Azure. Le macchine virtuali e le loro risorse associate (immagini, dischi, e network) vengono proiettate in ARM come risorse separate mediante una nuova tecnologia multipiattaforma chiamata Arc Resource Bridge.
In questo modo è possibile:
ottenere una gestione coerente tra le risorse cloud e le risorse Azure Stack HCI;
automatizzare le distribuzioni delle macchine virtuali utilizzando i modelli ARM;
garantire un accesso self-service grazie al supporto ad Azure RBAC.
Azure Backup ed Azure Site Recovery
Con Azure Stack HCI versione 21H2 è stato introdotto il supporto ufficiale per Azure Backup ed Azure Site Recovery. Con MABS v3 UR2 o versioni successive è possibile eseguire il backup degli host e delle macchine virtuali attive in Azure Stack HCI. Inoltre, con Azure Site Recovery è possibile replicare le macchine virtuali da Azure Stack HCI ad Azure ed attivare scenari di disaster recovery.
Conclusioni
Grazie ad un costante miglioramento, all’introduzione continua di nuove funzionalità ed all’inclusione di nuovi scenari di utilizzo, la proposizione per scenari hyper-converged risulta sempre più completa, integrata e performante. Azure Stack HCI si integra perfettamente all’ambiente on-premises esistente ed offre un importante valore aggiunto: la possibilità di connettere Azure Stack HCI con altri servizi Azure per ottenere una soluzione hyper-converged ibrida. Questo aspetto in particolare la differenzia fortemente da altri competitor che offrono soluzioni in questo ambito.