Azure VMware Solution achieves FedRAMP High Authorization
With this certification, U.S. government and public sector customers can now use Azure VMware Solution as a compliant FedRAMP cloud computing environment, ensuring it meets the demanding standards for security and information protection.
JetStream Disaster Recovery for Azure VMware Solution (preview)
JetStream Disaster Recovery is now available on Azure VMware Solution in public preview, enabling DR protection needed for business and mission-critical applications. JetStream Disaster Recovery on Azure VMware Solution is also cost-effective, as it uses minimal resources at the DR site by leveraging cloud storage, such as Azure Blob Storage.
Azure AD-joined VMs support
With this latest update, you can now:
Join your Azure Virtual Desktop virtual machines directly to Azure Active Directory (Azure AD.)
Connect to the virtual machine from any device with basic credentials.
Automatically enroll the virtual machines with Microsoft Endpoint Manager.
Management Group Scope for Azure Reservations (preview)
You can scope a reservation to a management group. When you set the scope to a management group, the reservation discount is applied to matching resources in the list of subscriptions that are a part of the management group and the billing context.
Storage
Azure Archive Storage now available in three new regions
Azure Archive Storage provides a secure, low-cost means for retaining cold data including backup and archival storage. Now, Azure Archive Storage is available in three new regions: Norway East, UAE North, and Germany West Central.
La soluzione hyper-converged Azure Stack HCI permette di attivare in ambiente on-premises l’orchestratore Azure Kubernetes Service (AKS) per l’esecuzione di applicazioni containerizzate su larga scala. In questo articolo viene approfondito come Azure Kubernetes in ambiente Azure Stack HCI offre la possibilità di ospitare nel proprio datacenter container Linux e Windows, andando ad esplorare i principali benefici di questa soluzione.
Prima di entrare nello specifico di AKS in ambiente Azure Stack si riporta un riepilogo delle soluzioni coinvolte.
Che cos’è Kubernetes?
Kubernetes, conosciuto anche come “k8s”, provvede all’orchestrazione automatizzata dei container, migliorandone l’affidabilità e riducendo il tempo e le risorse necessarie in ambito DevOps, mediante:
Deployment tendenzialmente più semplici che permettono di eseguire implementazioni e rollback in modo automatico.
Migliore gestione delle applicazioni con la possibilità di monitorare lo stato dei servizi per evitare errori in fase di implementazione. Infatti, tra le varie funzionalità sono previsti controlli di integrità dei servizi, con la possibilità di riavviare i container che non sono in esecuzione oppure che risultano bloccati, permettendo di annunciare ai client solo i servizi correttamente avviati.
Possibilità di scalare automaticamente in base all’utilizzo e, esattamente come per i container, gestire in maniera dichiarativa l’ambiente cluster, consentendo una configurazione controllata a livello di versione e facilmente replicabile.
Figura 1 – Cluster Kubernetes con i relativi componenti dell’architettura
Che cos’è Azure Kubernetes Service (AKS)?
Azure Kubernetes Service (AKS) è il servizio Azure completamente gestito che permette l’attivazione di un cluster Kubernetes, ideale per semplificare il deployment e la gestione di architetture basate su microservizi. Grazie alle funzionalità offerte da AKS è possibile scalare automaticamente in base all’utilizzo, utilizzare controlli per garantire l’integrità dei servizi, implementare politiche di bilanciamento del carico e gestire i secret. L’utilizzo di questo servizio gestito viene integrato con le pipeline di sviluppo e di deployment dei container.
Figura 2 – Esempio di architettura di Azure Kubernetes Service (AKS)
Che cos’è Azure Stack HCI?
Azure Stack HCI è la soluzione che permette di realizzare una infrastruttura hyper-converged (HCI) per l’esecuzione di workloads in ambiente on-premises e che prevede una connessione strategica ai servizi di Azure. Si tratta di una infrastruttura hyper-converged (HCI), dove vengono rimossi diversi componenti hardware, sostituti dal software, in grado di unire i layer di elaborazione, storage e rete in un’unica soluzione. In questo modo si ha un passaggio da una tradizionale infrastruttura “three tier”, composta da switch di rete, appliance, sistemi fisici con a bordo hypervisor, storage fabric e SAN, verso infrastrutture hyper-converged (HCI).
Figura 3 – “Three Tier” Infrastructure vs Hyper-Converged Infrastructure (HCI)
Che cos’è AKS in Azure Stack HCI?
AKS in ambiente Azure Stack HCI è un’implementazione Microsoft di AKS, che consente di automatizzare la distribuzione e la gestione delle applicazioni containerizzate.
Microsoft, dopo aver introdotto AKS come servizio in Azure, ha esteso la sua disponibilità anche agli ambienti on-premises. Tuttavia, ci sono alcune importanti differenze:
In Azure, Microsoft gestisce il control plane di ogni cluster AKS. Inoltre, i nodi del cluster (management node e worker node) vengono eseguiti su macchine virtuali Azure oppure su virtual machine scale set di Azure.
In ambiente on-premises, il cliente gestisce l’intero ambiente, dove i nodi del cluster AKS sono in esecuzione su macchine virtuali ospitate sull’infrastruttura hyper-converged.
Architettura di AKS su Azure Stack HCI
L’implementazione di AKS in Azure Stack HCI è costituita da due tipologie di cluster:
Un cluster di management di AKS. Questo cluster funge da control plane dedicato per la gestione dei cluster Kubernetes in esecuzione sulla piattaforma hyper-converged. Tale cluster è costituito da macchine virtuali Linux, che ospitano componenti di sistema Kubernetes come API server e load balancer.
Uno o più cluster Kubernetes. Questi cluster sono costituiti dai control node e dai worker node. I control node sono implementati come macchine virtuali Linux, con API server e load balancer che soddisfano le richieste degli utenti di Azure Stack HCI. I workload sono distribuiti sui worker node basati su sistema operativo Linux oppure Windows.
Figura 4 – Architettura di AKS su Azure Stack HCI
Ogni cluster Kubernetes viene eseguito sul proprio set dedicato di macchine virtuali, protette dall’isolamento basato su Hypervisor, consentendo di condividere in modo sicuro la stessa infrastruttura fisica anche in scenari che richiedono l’isolamento dei workload.
AKS in Azure Stack HCI supporta sia i container basati su Linux sia i container basati su Windows. Quando si crea un cluster Kubernetes si deve semplicemente specificare la tipologia di container che si intende eseguire e sulla piattaforma hyper-converged viene avviata automaticamente la procedura di installazione del sistema operativo richiesto sui nodi del cluster Kubernetes.
Vantaggi di AKS su Azure Stack HCI
AKS semplifica la distribuzione dei cluster Kubernetes fornendo un livello di astrazione in grado di mascherare alcuni dei dettagli di implementazione più impegnativi.
Tra i principali benefici di AKS in ambiente Azure Stack HCI troviamo:
Deployment semplificati di app containerizzate in ambiente cluster. Mediante l’utilizzo di Windows Admin Center si ha un processo guidato di installazione del cluster di management di AKS. Windows Admin Center facilita inoltre l’installazione di singoli cluster Kubernetes che contengono i worker node, mediante un processo di installazione automatico di tutti i componenti software rilevanti, inclusi gli strumenti di gestione come kubectl.
Possibilità di scalare orizzontalmente per gestire le risorse computazionali, aggiungendo o rimuovendo nodi del cluster Kubernetes.
Gestione semplificata dello storage e delle configurazioni di rete delle risorse cluster.
Aggiornamenti automatici dei nodi del cluster all’ultima versione di Kubernetes disponibile. Microsoft gestisce le immagini Windows Server e Linux per i nodi del cluster e le aggiorna mensilmente.
Connessione strategica, mediante Azure Arc, ai servizi Azure come: Microsoft Azure Monitor, Azure Policy, e Azure Role-Based Access Control (RBAC).
Gestione centralizzata dei cluster Kubernetes e dei relativi carichi di lavoro tramite il portale Azure, grazie all’adozione di Azure Arc for Kubernetes. La gestione basata sul portale di Azure integra anche gli strumenti e le interfacce di amministrazione Kubernetes tradizionali, come l’utility da riga di comando kubectl e le dashboard Kubernetes.
Gestione del failover automatico delle macchine virtuali che fungono da nodi del cluster Kubernetes se si verifica un errore localizzato dei componenti fisici sottostanti. Ciò integra l’elevata disponibilità intrinseca in Kubernetes, in grado di riavviare automaticamente i conteiner in stato failed.
Conclusioni
Grazie ad Azure Stack HCI l’adozione di architetture applicative basate su container possono essere ospitate direttamente presso il proprio datacenter, adottando la stessa esperienza di gestione di Kubernetes che si ha con il servizio gestito presente nel cloud pubblico di Azure. Anche il processo di deployment risulta molta semplificato ed intuitivo. Inoltre, Azure Stack HCI permette di migliorare ulteriormente l’agilità e la resilienza delle distribuzioni Kubernetes in ambiente on-premises.
On-demand capacity reservations for Azure Virtual Machines (preview)
On-demand capacity reservations for Azure Virtual Machines, now in public preview, enable IT organization to reserve compute capacity for a VM size. The reservation can be for any length of time in any public Azure region or Availability Zone and supports most VM series. You can create and cancel an on-demand capacity reservation at any time, no commitment is required. The ability for you to access compute capacity, with SLA guarantees when on-demand capacity reservations become generally available, ahead of actual VM deployments is particularly important to ensure the availability of business-critical applications running on Azure. On-demand capacity reservations can be combined with Azure Reserved VM Instances (RIs) to significantly reduce costs.
Run Commands for Azure VMware Solution (preview)
Run commands are a collection of PowerShell packages available in the Azure VMware Solution portal that simplify the execution of certain operations on vCenter. With this announcement your cloud administrator can now more easily run management tasks that require elevated privileges.
Microsoft has enabled elastic virtual machine profile and automatic scaling for Azure Virtual Machine Scale Sets with flexible orchestration elastic profile and automatic scaling. The features are now in public preview, and provide:
Up to 1000 instances in a scale set (general purpose virtual machine sizes only)
Ability to manually add VM instances to the scale set
The option to spread instances across fault domains automatically, or specify a fault domain
Place on demand and Spot VMs in the same scale set
(New) Define a VM profile and specify instance count
(New) Automatically scale out and scale in based on metrics, schedule, or AI prediction (private preview)
(New) In guest patching that respects high availability / FD constraints
(New) Automatic extension updates
(New) Automatic instance repair/replacement of unhealthy instances
(New) Terminate notification for on demand and Spot VMs
(New) Secure by default networking – customers must explicitly define outbound connectivity
(New) Improved scale out and scale in reliability, latency, and elasticity
Server Message Block (SMB) 3.1.1 is the most recent version of the SMB protocol, released with Windows 10, containing important security and performance updates. Azure Files SMB 3.1.1 ships with two additional encryption modes, AES-128-GCM and AES-256-GCM, in addition to AES-128-CCM which was already supported. In addition to SMB 3.1.1, Azure Files exposes security settings that change the behavior of the SMB protocol. With this release, you may configure allowed SMB protocol versions, SMB channel encryption options, authentication methods, and Kerberos ticket encryption options. By default, Azure Files enables the most compatible options, however these options may be toggled at any time.
Server Message Block (SMB) Multichannel enables you to improve the IO performance of your SMB client 2-4x, increasing performance and decreasing total cost of ownership.
Storage capacity reservations for Azure Files enable you to significantly reduce the total cost of ownership of storage by pre-committing to storage utilization. To achieve the lowest costs in Azure, you should consider reserving capacity for all production workloads.
Zone redundant storage (ZRS) for Azure Disk Storage
Zone redundant storage (ZRS) for Azure Disk Storage is now generally available on Azure Premium SSDs and Standard SSDs in West Europe, North Europe, West US 2 and France Central regions. Disks with ZRS provide synchronous replication of data across the zones in a region, enabling disks to tolerate zonal failures which may occur due to natural disasters or hardware issues. They also enable you to maximize your virtual machine availability without the need for application-level replication of data across zones, which is not supported by many legacy applications such as old versions of SQL or industry-specific proprietary software. This means that, if a virtual machine becomes unavailable in an affected zone, you can continue to work with the disk by mounting it to a virtual machine in a different zone. You can also use the ZRS option with shared disks to provide improved availability for clustered or distributed applications like SQL FCI, SAP ASCS/SCS, or GFS2.
Automatic key rotation of customer-managed keys for encrypting Azure disks
Azure Disk Storage now enables you to automatically rotate keys for encryption of your data.
Change performance tiers for Azure Premium SSDs with no downtime
On Azure Premium SSDs, you can now change the performance tiers without any downtime to your application (generally available). You can change the performance tier of a disk even when it is attached to running virtual machines. For planned events like a seasonal sales promotion or running a training environment, you need to achieve sustained higher performance for a few hours or days and then return to the normal performance levels. With performance tiers on Premium SSDs, you have the flexibility to scale the disk performance without increasing the disk size by selecting a higher performance tier. You can also change tiers to bring it back to your baseline performance tier, enabling you to achieve higher performance and cost savings.
Networking
New updates to Azure Firewall
New Azure Firewall capabilities:
Azure Firewall supports US West 3, Jio India West, and Brazil Southeast.
Auto-generated self-signed certificates for Azure Firewall Premium SKU.
Secure Hub now supports Availability Zones.
Deploy Azure Firewall without public IP in Forced Tunnel mode.
Configure pre-existing Azure Firewalls in Force Tunnel mode using stop or start commands.
Azure Route Server
Azure Route Server simplifies dynamic routing between your network virtual appliance (NVA) and your virtual network. When you establish a Border Gateway Protocol (BGP) peering between your NVA and Azure Router Server, you can advertise IP addresses from your NVA to your virtual network. Your NVA will also learn what IP addresses your virtual network has. Azure Route Server is a fully managed service and is configured with high availability.
Several key Azure Route Server benefits include:
Simplify network appliance operations
Deploy it in your existing setup
Support any network appliance
Enable new network topology
Private Link Network Security Group Support (preview)
Private Endpoint support for Network Security Groups (NSGs) is now in public preview. This feature enhancement will provide you with the ability to enable advanced security controls on traffic destined to a private endpoint. In order to leverage this feature, you will need to set a specific subnet level property, called PrivateEndpointNetworkPolicies, to Enabled. In addition to toggling this property, you will need to also register for the Microsoft.Network/AllowPrivateEndpointNSG feature.
Private Link UDR Support (preview)
Private Endpoint support for User Defined Routes (UDRs) is now in public preview. This feature enhancement will provide you with the ability to apply custom routes to traffic destined to a private endpoint with a wider subnet range. In order to leverage this feature, you will need to set a specific subnet level property, called PrivateEndpointNetworkPolicies, to Enabled. In addition to toggling this property, you will need to also register for the Microsoft.Network/AllowPrivateEndpointNSG feature.
Address changes on an Azure virtual network that has active peerings (preview)
You can now update your virtual network address space without needing to remove the peering links on their virtual networking and incurring any downtime.
Azure ExpressRoute: new ExpressRoute Direct and Peering locations
New locations are available for ExpressRoute Direct:
Denver
Newport (Wales)
Pune
The new locations support dual 10Gbps or 100Gbps connectivity into Microsoft’s global network.
New peering locations are available for ExpressRoute:
Microsoft rilascia costantemente novità riguardanti gli Azure management services. Pubblicando questo riepilogo si vuole fornire una panoramica complessiva delle principali novità rilasciate nell’ultimo mese. Questo consente di rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Il connettore IT Service Management è certificato con la versione Quebec di ServiceNow
Il connettore IT Service Management (ITSM) di Azure Monitor risulta ora certificato per la versione Quebec di ServiceNow. Tale connettore consente di stabilire una connessione bidirezionale tra Azure e gli strumenti ITSM, utile per gestire gli incident e risolvere i problemi più velocemente. Inoltre, risulta possibile creare work items nello strumento ITSM, in base agli alert di Azure (Metric Alerts, Activity Log Alerts, e Log Analytics alert).
Livelli inferiori per le reservation dei cluster dedicati di Azure Monitor
Microsoft ha ridotto la prenotazione della capacità (capacity reservation) minima richiesta per i cluster dedicati di Azure Monitor, portandola da 1.000 GB a 500 GB al giorno. Questo consente di sfruttare funzionalità avanzate come customer-managed key, lockbox, ed encryption dell’infrastruttura, anche ai clienti con un volume di inserimento di dati inferiore.
Annunciato il ritiro dell’agente di Log Analytics
Microsoft ha annunciato che il 31 agosto 2024 sarà ritirato l’agente di Log Analytics utilizzato in Azure Monitor. Pertanto, prima di tale data, è opportuno utilizzare il nuovo Azure Monitor agent (AMA) e data collection rules (DCR) di Azure Monitor per monitorare le macchine virtuali ed i server.
Configure
Azure Automation
Nuove funzionalità prossime al rilascio
Microsoft ha annunciato che per Azure Automation verranno presto rilasciate le seguenti nuove funzionalità:
Supporto per Azure AD: possibilità di utilizzare l’autenticazione basata su Azure AD per gli endpoint pubblici di automazione
Supporto per Powershell 7: possibilità di eseguire runbook di Azure Automation, in scenari di produzione, che utilizzano PowerShell 7.1
Azure Automation Hybrid Worker Extension per Azure e per macchine Azure Arc: possibilità di effettuare l’onboard di hybrid workers utilizzando l’hybrid extension per Azure e per macchine Azure Arc.
Supporto per le Availability Zone, utile per aumentare i livelli di affidabilità e resilienza.
Supporto nativo del modulo Az di Powershell.
Govern
Azure Policy
Azure Guest Configuration Policy: possibilità di applicare anche delle impostazioni all’interno dei sistemi(preview)
Le Guest Configuration Policy permettono di controllare le impostazioni all’interno di una macchina, sia per le macchine virtuali in esecuzione in ambiente Azure che per le macchine “Arc Connected”. Al momento, la maggior parte delle Guest Configuration Policy di Azure permettono solamente di effettuare controlli sulle impostazioni all’interno della macchina, ma non applicano configurazioni. Microsoft ha però annunciato in preview la possibilità di applicare anche delle configurazioni fornite da Microsoft oppure di creare i propri pacchetti di configurazione usando PowerShell DSC versione 3.
Azure Cost Management
Aggiornamenti relativi ad Azure Cost Management and Billing
Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.
Secure
Azure Security Center
Azure Defender for SQL disponibile dal blade Azure SQL Virtual Machine
Questa nuova esperienza di consultazione delle informazioni di Azure Defender per le macchine virtuali SQL, consente di visualizzare, direttamente dal pannello della macchina virtuale SQL, le informazioni relative alle procedure di sicurezza consigliate per i relativi database SQL Server.
Nuove funzionalità, correzioni di bug e funzionalità deprecate di Azure Security Center
Lo sviluppo di Azure Security Center è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:
Supporto per l’Archive storage per il backup delle VMs e di SQL a bordo di VMs
In Azure Backup è ora possibile spostare i recovery point per risparmiare sui costi e conservare i dati di backup per una durata maggiore. Questa funzionalità è disponibile per le VMs di Azure e per i SQL Server installati a bordo delle VMs di Azure. Utilizzando Azure PowerShell, è possibile spostare questi backup dal standard tier al nuovo archive tier.
Quando si spostano i dati di backup dal vault-standard al vault-archive, Azure Backup converte i dati incrementali in backup full. Questo procedimento comporta un aumento dei GB complessivi utilizzati, ma i costi si riducono a causa dell’enorme differenza del costo per GB tra i due livelli di archiviazione. Per semplificare questo procedimento, Azure Backup fornisce dei consigli sui Recovery Points (RPs) per i quali è consigliata la migrazione nel vault-archive. I ripristini è possibile farli in modo integrato dal portale di Azure, con un processo semplice e intuitivo.
Azure Site Recovery
Supporto in ASR per il global disaster recovery
Azure Site Recovery (ASR) ha introdotto il supporto per il ripristino di emergenza cross-continentale. Grazie a questa funzionalità una macchina virtuale può essere replicata da una region Azure in un continente a una region in un altro continente. In caso di interruzione pianificata o non pianificata, sarà possibile eseguire il failover della macchina virtuale in tutti i continenti e, una volta che l’interruzione è stata mitigata, potrà essere portata nuovamente nel continente di origine (fail-back) e protetta.
Estesa la data del ritiro degli Hard coded IP address
Microsoft ha esteso la data del ritiro per gli indirizzi IP codificati per la connessione con i servizi di Azure Site Recovery al 31 agosto 2024. Questo consente di avere più tempo a disposizione per adeguare le configurazioni degli ambienti per utilizzare gli Azure service tag.
Migrate
Azure Migrate
Software inventory e analisi delle dipendenze agentless
In Azure Migrate è ora possibile effettuare l’inventario delle applicazioni, dei ruoli e delle funzionalità installate ed eseguire l’analisi delle dipendenze, sui server Windows e Linux, senza installare alcun agente. L’analisi delle dipendenze senza agente consente di identificare e comprendere le dipendenze tra i server, supportando la raccolta dei dati per un massimo di 1000 server contemporaneamente.
Discovery e assessment delle Web App ASP.NET con Azure Migrate(preview)
Azure Migrate consente ora di individuare ed effettuare l’assessment delle Web App ASP.NET in esecuzione su Web server IIS on-premises e gestirne la migrazione. Fino ad ora, era necessario utilizzare strumenti come App Service Migration Assistant per valutare le Web App. Grazie all’introduzione di questa funzionalità in Azure Migrate, è possibile effettuare il discovery delle Web App .NET in esecuzione nel proprio ambiente VMware e creare assessment per gestire la migrazione verso Azure IaaS oppure Azure App Service.
Containerizzazione delle app e migrazione verso AKS oppure verso Azure App Service
Lo strumento di containerizzazione delle app di Azure Migrate consente di modernizzare le applicazioni Web ASP.NET e Java esistenti, usando un approccio di containerizzazione che richiede modifiche minime oppure nulle alle applicazioni. Lo strumento raggruppa le applicazioni esistenti in esecuzione sui server in un’immagine container e consente di effettuarne la distribuzione in container in esecuzione in Azure Kubernetes Service (AKS) oppure in Azure App Service. Come parte del processo di migrazione, lo strumento consente di parametrizzare le configurazioni dell’applicazione, esternalizzare le dipendenze del file system utilizzando volumi persistenti e configurare il monitor dell’applicazione containerizzata mediante Application Insights.
Nuovi rilasci e funzionalità di Azure Migrate
Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Placement polices for Azure VMware Solution (preview)
Placement policies are used to define constraints for running virtual machines in the Azure VMware Solution software-defined data center (SDDC). These constraints allow you to decide where and how the virtual machines should run within the SDDC clusters. Placement polices are used to support performance optimization of virtual Machines (VMs) through policy, and help mitigate the impact of maintenance operations to policies within the SDDC cluster. When you create a placement policy, it creates a vSphere Distributed Resource Scheduler (DRS) rule in the specified vSphere cluster. It also includes additional logic for interoperability with Azure VMware Solution operations.
New VM series supported by Azure Batch
The selection of VMs that can be used by Azure Batch has been expanded, allowing newer Azure VM series to be used. The following additional VM series can now be specified when Batch pools are created:
H-series Azure Virtual Machine sizes (H8, H8m, H16, H16r, H16m, H16mr, H8 Promo, H8m Promo, H16 Promo, H16r Promo, H16m Promo, and H16mr Promo) on 31 August 2022.
ND-series virtual machine sizes on 31 August 2022.
Basic and Standard A-series VMs on 31 August 2024.
Azure Government Top Secret now generally available for US national security missions
Azure Government Top Secret is available for US and this is a significant milestone in Microsoft commitment to bringing unmatched commercial innovation to US government customers across all data classifications. This announcement, together with new services and functionality in Azure Government Secret, provides further evidence of Microsoft’s relentless commitment to the mission of national security, enabling customers and partners to realize the vision of a multi-cloud strategy and achieve greater agility, interoperability, cost savings, and speed to innovation.
Storage
Azure Blob storage inventory
Inventory provides an easy way to gain insights into the containers and all block, append, and page blobs stored within an account. Blob Inventory can be selected to provide a full listing of all blobs and containers on a daily or weekly basis. Prior to Inventory, either a separate catalog system or, listing of all blobs and analyzing added complexity and cost to solutions that used blob storage. With inventory, all blobs and containers that match an optional filter will be listed on a daily or weekly basis to a CSV or Parquet file that can then be processed for insights.
Azure Archive Storage events for easy rehydration of archived blobs
The Azure Archive Storage provides a secure, low-cost means for retaining cold data including backups and archival storage. When your data is stored in Archive Storage, the data is offline and not available for read until it is moved to the hot or cool tier. Previously, the only way to determine when blob rehydration was complete and available to be read was to repeatedly poll the status of the rehydration operation, increasing complexity and cost. Azure Event Grid now supports events that fire when a blob is rehydrated from the archive tier. The Microsoft.Storage.BlobCreated event fires when a blob is copied from the archive tier to a new destination blob in the hot or cool tier. The Microsoft.Storage.BlobTierChanged event fires when the archived blob’s tier is changed to hot or cool. Your application can handle these events in order to respond to blob rehydration.
Azure Blob storage: last access time tracking
Last access time tracking integrates with lifecycle management to allow the automatic tiering and deletion of data based on when individual blobs are last accessed. This allows greater cost control as well as an automatic workflow including deletion of data after it is no longer used. Last access time can also be used without lifecycle management by any solution that needs to understand when individual blobs are last read and then take action. Lifecycle management with last access time tracking is available in all public regions for accounts with flat namespace used. Azure Data Lake Storage Gen2 will be supported later this year.
Networking
Network Insights: enhanced troubleshooting experiences for additional resources
You now have access to rich insights and enhanced troubleshooting experiences for four additional networking resources in Network Insights: Private Link, NAT Gateway, Public IP, and NIC.
With the onboarding of these resources, customers can access:
A resource topology showing resource health and connected resources
A pre-built workbook showing all key metrics along multiple
Direct links to documentation and troubleshooting help
Il nuovo sistema operativo Windows Server 2022, basato sulle solide fondamenta del predecessore Windows Server 2019, apporta numerose innovazioni in ambito sicurezza, nell’integrazione e nella gestione ibrida in ambiente Azure, e come piattaforma applicativa. L’articolo si divide in due parti, nella prima parte sono state trattate le edizioni disponibili, le funzionalità per gli ambienti ibridi e gli aspetti legati alla piattaforma applicativa. In questa seconda parte vengono riportate le principali caratteristiche del nuovo sistema operativo server in ambito sicurezza e storage, ma non solo.
Sicurezza
Windows Server 2022 combina diverse funzionalità di sicurezza in aree differenti per fornire una protezione multilivello avanzata in grado di contrastare efficacemente le sempre più sofisticate minacce di security.
Secured-core server
Windows Server 2022 rientra nel programma Secured-Core di Microsoft. Tale programma è stato inizialmente lanciato con partner hardware per PC per poi estendersi anche all’ambito server. Secured-core offre una sicurezza trasversale su hardware e firmware, integrata nelle funzionalità del sistema operativo, in grado di aiutare a proteggere i server da minacce avanzate.
Utilizzando una combinazione di funzionalità in ambito identity, virtualizzazione, sistema operativo e difese hardware, i server Secured-Core offrono protezione sia a livello hardware sia a livello software. Insieme a Windows Defender System Guard, integrato in Windows Server 2022, i server Secured-Core permettono alle organizzazioni di avere garanzie sull’integrità del sistema operativo e verifiche per aiutare a prevenire attacchi ai firmware.
Secured-core server si basa su tre pilastri fondamentali:
Sicurezza semplificata: quando si acquista hardware da un OEM per server Secured-core, si ha la certezza che il vendor fornisce un set hardware dotato di firmware e di driver in grado di soddisfare la promessa Secured-core. Inoltre, l’esperienza di configurazione di Windows Server sarà semplice e l’abilitazione delle funzionalità di sicurezza di Secured-core può avvenire direttamente da Windows Admin Center.
Protezione avanzata contemplando le seguenti aree:
Root-of-trust hardware (TPM 2.0 come standard)
Firmware protection
Virtualization-based security (VBS)
Difesa preventiva: l’abilitazione della funzionalità Secured-core aiuta a difendersi in modo proattivo ed a interrompere molti dei percorsi che gli aggressori possono utilizzare per compromettere un sistema.
Connettività sicura
Per aumentare il livello di sicurezza nelle comunicazioni, in Windows Server 2022 sono state introdotte le seguenti novità:
Trasporto: HTTPS e TLS 1.3 abilitati di default
DNS sicuro: richieste di risoluzione dei nomi DNS crittografate con DNS-over-HTTPS
Server Message Block (SMB): introdotto il supporto alla crittografia AES-256 per il protocollo SMB
SMB: controlli di crittografia SMB est-ovest per le comunicazioni interne dei sistemi cluster. I failover cluster ora supportano il controllo granulare della crittografia e della firma delle comunicazioni intra-nodo per i Cluster Shared Volumes (CSV) e per lo storage bus layer (SBL). Ciò significa che quando si utilizza Storage Spaces Direct, è possibile decidere di crittografare o firmare le comunicazioni est-ovest all’interno del cluster stesso per una maggiore sicurezza.
SMB over QUIC. QUIC è un protocollo standard progettato per fornire una connessione più affidabile su reti non sicure, come Internet. QUIC utilizza un tunnel crittografato TLS 1.3 sulla porta UDP 443. All’interno di questo tunnel tutto il traffico SMB, compreso il processo di autenticazione e autorizzazione, non viene mai esposto sulla rete e SMB si comporta in modo del tutto normale offrendo le solite capacità. SMB over QUIC in Windows Server 2022 Datacenter: Azure Edition utilizza la versione aggiornata del protocollo SMB (versione 3.1.1). Utilizzando SMB over QUIC insieme a TLS 1.3, gli utenti e le applicazioni possono accedere in modo sicuro e affidabile ai dati presenti sui file server in esecuzione in ambiente Azure, senza dover adottare delle connessioni VPN.
Innovazioni in ambito Storage
In ambito storage Windows Server 2022 porta le seguenti novità:
Storage Migration Service: diversi sono i miglioramenti che riguardano questo servizio, utili per semplificare le migrazioni storage sia verso Windows Server sia verso Azure, tra i quali:
Migrazione utenti e gruppi locali verso il nuovo server.
Migrazione dello storage tra failover cluster, e migrazione tra server standalone e failover cluster.
Migrazione storage da server Linux che utilizzano Samba.
Sincronizzazione più semplice delle share migrate con Azure, usando Azure File Sync.
Migrazione più semplice verso nuovi ambienti, come Azure.
Migrazione dei server NetApp CIFS da array NetApp FAS verso server e cluster Windows.
In Storage Space Direct viene introdotta la nuova funzionalità User adjustable storage repair speed che offre un maggiore controllo sul processo di resync dei dati allocando risorse per riparare le copie dei dati (resilienza) oppure per eseguire workload attivi (prestazioni).
SMB compression: grazie a miglioramenti lato SMB in Windows Server 2022 e Windows 11 è possibile comprimere i file durante il trasferimento in rete, ottenendo così dei benefici nei tempi di trasferimento.
Storage bus cache è disponibile anche per server standalone. Questa funzionalità può migliorare significativamente le prestazioni di lettura e scrittura, mantenendo elevata l’efficienza dello storage e bassi i costi operativi. Così come avviene nella sua implementazione per Storage Spaces Direct, questa funzione unisce i supporti più veloci (ad esempio, NVMe oppure SSD) con i supporti più lenti (ad esempio, HDD) per creare tier differenti. Una parte del media più veloce viene riservata alla cache.
Ulteriori nuove funzionalità
Oltre agli aspetti trattati nei paragrafi precedenti sono state annunciate le seguenti funzionalità:
La Nested Virtualization in Windows Server 2022 è disponibile anche per processori AMD, ampliando così la scelta hardware per il proprio ambiente.
Microsoft Edge viene incluso in Windows Server 2022, in sostituzione di Internet Explorer. Edge può essere utilizzato con le opzioni di installazione Server Core e Server con Desktop Experience.
Conclusioni
Windows Server 2022 evolve la piattaforma matura e consolidata di Windows Server introducendo una serie di aggiornamenti innovativi in differenti ambiti. Per le realtà aziendali diversi sono quindi i vantaggi per valutare l’adozione di questo nuovo sistema operativo server, in particolare, per coloro che utilizzano Windows Server in ambiente Azure.
Il nuovo sistema operativo Windows Server 2022, basato sulle solide fondamenta del predecessore Windows Server 2019, apporta numerose innovazioni in ambito sicurezza, nell’integrazione e nella gestione ibrida in ambiente Azure, e come piattaforma applicativa. L’articolo si divide in due parti, in questa prima parte vengono riportate le principali caratteristiche del nuovo sistema operativo server relative alle edizioni disponibili, alle funzionalità pensate per gli ambienti ibridi e ai nuovi aspetti legati alla piattaforma applicativa.
Edizioni
Windows Server 2022 si caratterizza per i seguenti aspetti relativi alle edizioni:
Windows Server 2022 avrà un’edizione Standard, un’edizione Datacenter e una nuova versione definita Datacenter Azure.
L’edizione Datacenter Azure di Windows Server 2022 sarà supportata solo in Azure (Azure IaaS oppure Azure Stack HCI – 21H2) ed offre funzionalità specifiche non disponibili al di fuori di questi ambienti (hotpaching, SMB over QUIC, ed Azure Extended Networking).
Per tutte le edizioni Windows Server 2022 sono presenti entrambe le opzioni di installazione Core e Desktop.
Sarà possibile effettuare l’upgrade in place di Windows Server 2019 Datacenter Edition per portarlo al nuovo Windows Server 2022 Datacenter Azure edition. Ciò nonostante l’upgrade in place per sistemi operativi server è una pratica da valutare attentamente e se possibile da evitare.
Recentemente Microsoft ha aggiornato il suo servicing model per i sistemi operativi server. Infatti, Microsoft ha deciso di abbandonare le versioni semestrali di Windows Server e, a partire da Windows Server 2022, è disponibile un unico canale di rilascio principale, il Long-Term Servicing Channel. Con il Long-Term Servicing Channel viene rilasciata una nuova versione principale di Windows Server ogni 2-3 anni. Gli utenti hanno diritto a 5 anni di supporto mainstream e 5 anni di supporto extended. Questo canale offre ai sistemi una manutenzione prolungata ed una stabilità funzionale. Il Long-Term Servicing Channel riceve aggiornamenti di sicurezza e non, ma non riceve nuove caratteristiche e nuove funzionalità. Il Semi-Annual Channel, disponibile nelle versioni precedenti di Windows Server, era idoneo per containers e microservizi. In questi ambiti l’innovazione proseguirà con Azure Stack HCI. A questo proposito si ricorda che il sistema operativo della soluzione Azure Stack HCI è un sistema operativo specifico e dedicato con una composizione semplificata, che include solamente i ruoli necessari alla soluzione.
Funzionalità per ambienti ibridi
Utilizzando Windows Server 2022 è possibile aumentare l’efficienza e l’agilità utilizzando funzionalità pensate per ambienti ibridi e totalmente integrate nel sistema operativo.
Azure Automanage – Hotpatch
La funzionalità Hotpatch, parte di Azure Automanage, risulta supportata in Windows Server 2022 Datacenter: Azure Edition. Al momento il supporto è per le installazioni effettuate in modalità Core, ma verrà in futuro esteso anche per le installazioni Desktop. L’hotpatching è un nuovo meccanismo, utilizzato per installare gli aggiornamenti sulle macchine virtuali Windows Server Azure Edition, che consente di ridurre i riavvi necessari per l’installazione degli aggiornamenti.
Azure Automanage permette di orchestrare l’installazione di patch di sicurezza on top ad un Cumulative Update, che viene rilasciato ogni tre mesi. Il Cumulative Update richiede un riavvio del sistema, ma le patch di sicurezza rilasciate tra i Cumulative Update possono modificare il codice in esecuzione in memoria senza la necessità di dover riavviare la macchina.
Windows Admin Center (WAC) introduce dei miglioramenti specifici per la gestione di Windows Server 2022, tra i quali WAC consente di verificare lo stato delle funzionalità Secured-core e, ove applicabile, permette la relativa abilitazione.
Azure Arc
Anche Windows Server 2022 consente l’abilitazione ad Azure Arc per ottenere una gestione, dei server fisici e delle macchine virtuali che risiedono all’esterno di Azure (sulla rete aziendale on-premises oppure presso altri cloud provider), coerente con le metodologie di gestione delle macchine virtuali native che risiedono in ambiente Azure. Connettendo infatti una macchina ad Azure tramite Arc viene considerata a tutti gli effetti come una risorsa Azure. Ogni macchina connessa ha un ID specifico, viene inclusa in un resource group e beneficia dei costrutti standard di Azure.
Piattaforma applicativa
Diversi sono i miglioramenti che Windows Server 2022 porta in ambito applicativo, tra i principali troviamo:
La riduzione delle dimensioni dell’immagine Windows Container fino al 40%, che porta ad avere un tempo di avvio più veloce del 30% e delle prestazioni migliori.
Possibilità di eseguire le applicazioni che dipendono da Azure Active Directory con group Managed Services Accounts (gMSA) senza dover fare la join al dominio del container host.
Supporto da parte dei Windows Container del Microsoft Distributed Transaction Control (MSDTC) e del Microsoft Message Queuing (MSMQ).
Semplificazione dell’esperienza dei Windows Container in ambito Kubernetes, tra i quali: supporto per gli host-process container per la configurazione dei nodi, IPv6 e l’implementazione delle policy di rete con Calico.
Oltre ai miglioramenti della piattaforma, Windows Admin Center è stato aggiornato per semplificare la containerizzazione delle applicazioni .NET. Una volta che l’applicazione si trova in un container, è possibile ospitarla in un Azure Container Registry per poi distribuirla in altri servizi di Azure, incluso Azure Kubernetes Service (AKS).
Grazie al supporto dei processori Intel Ice Lake, Windows Server 2022 supporta applicazioni business-critical su larga scala, come ad esempio SQL Server, che richiedono fino a 48 TB di memoria e 2.048 core logici in esecuzione su 64 socket fisici. Mediante la tecnologia di Confidential computing Intel Secured Guard Extension (SGX) disponibile su Intel Ice Lake è possibile ottenere un miglioramento nell’ambito della sicurezza delle applicazioni, isolandole l’una dall’altra tramite la protezione della memoria.
Nella seconda parte dell’articolo vengono riportate le principali caratteristiche del nuovo sistema operativo server in ambito sicurezza e storage, ma non solo.
Azure Virtual Machine extensions are small applications that provide post-deployment configuration and automation on Azure VMs. The ability to automatically upgrade VM extensions is now available for Azure Virtual Machines and Virtual Machine Scale Sets. If the automatic extension upgrade feature is enabled for an extension on a VM or a VM scale set, the extension is upgraded automatically whenever the extension publisher releases a new version. Azure manages the upgrade rollout and the upgrades are safely applied following availability-first principles, keeping your environments more secure and up to date.
Storage
Azure File Sync agent v13
Improvements and issues that are fixed in the v13 release:
Authoritative upload: authoritative upload is a new mode available when creating the first server endpoint in a sync group. It is useful for the scenario where the cloud (Azure file share) has some/most of the data but is outdated and needs to be caught up with the more recent data on the new server endpoint. This is the case in offline migration scenarios like DataBox, for instance. When a DataBox is filled and sent to Azure, the users of the local server will keep changing / adding / deleting files on the local server. That makes the data in the DataBox and thus the Azure file share, slightly outdated. With Authoritative Upload, you can now tell the server and cloud, how to resolve this case and get the cloud seamlessly updated with the latest changes on the server. No matter how the data got to the cloud, this mode can update the Azure file share if the data stems from the matching location on the server. Be sure to avoid large directory restructures between the initial copy to the cloud and catching up with Authoritative Upload. This will ensure you are only transporting updates. Changes to directory names will cause all files in these renamed directories to be uploaded again. This functionality is comparable to semantics of RoboCopy /MIR = mirror source to target, including removing files on the target that no longer exist on the source. Authoritative Upload replaces the “Offline Data Transfer” feature for DataBox integration with Azure File Sync via a staging share. A staging share is no longer required to use DataBox. New Offline Data Transfer jobs can no longer be started with the AFS V13 agent. Existing jobs on a server will continue even with the upgrade to agent version 13.
Portal improvements to view cloud change enumeration and sync progress: when a new sync group is created, any connected server endpoint can only begin sync, when cloud change enumeration is complete. In case files already exist in the cloud endpoint (Azure file share) of this sync group, change enumeration of content in the cloud can take some time. The more items (files and folders) exist in the namespace, the longer this process can take. Admins will now be able to obtain cloud change enumeration progress in the Azure portal to estimate an eta for completion / sync to start with servers.
Support for server rename: if a registered server is renamed, Azure File Sync will now show the new server name in the portal. If the server was renamed prior to the v13 release, the server name in the portal will now be updated to show the correct server name.
Support for Windows Server 2022 Preview: the Azure File Sync agent is now supported on Windows Server 2022 Preview build 20348 or later. Note: Windows Server 2022 adds support for TLS 1.3 which is not currently supported by Azure File Sync. If the TLS settings are managed via group policy, the server must be configured to support TLS 1.2.
Miscellaneous improvements:
Reliability improvements for sync, cloud tiering and cloud change enumeration.
If a large number of files is changed on the server, sync upload is now performed from a VSS snapshot which reduces per-item errors and sync session failures.
The Invoke-StorageSyncFileRecall cmdlet will now recall all tiered files associated with a server endpoint, even if the file has moved outside the server endpoint location.
Explorer.exe is now excluded from cloud tiering last access time tracking.
New telemetry (Event ID 6664) to monitor the orphaned tiered files cleanup progress after removing a server endpoint with cloud tiering enabled.
More information about this release:
This release is available for Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 and Windows Server 2022 Preview installations.
A restart is required for servers that have an existing Azure File Sync agent installation if the agent version is less than version 12.0.
The agent version for this release is 13.0.0.0.
Installation instructions are documented in KB4588753.
Networking
Re-size Azure virtual networks that are peered (preview)
Virtual networks in Azure have had a long-standing constraint where any address space change is only allowed if the virtual network does not have any peerings. Microsoft is announcing that this limitation has been lifted, and customers can freely resize their virtual networks without incurring any downtime. With this feature, existing peerings on the virtual network do not need to be deleted prior to adding or deleting an address prefix on the virtual network.
Azure VPN Client for macOS
Azure VPN Client for macOS is available with support for native Azure AD, certificate-based, and RADIUS authentication for OpenVPN protocol.
Native Azure AD authentication support is highly desired by organizations as it enables user-based policies, conditional access, and multi-factor authentication (MFA) for P2S VPN. Native Azure AD authentication requires both Azure VPN gateway integration and the Azure VPN Client to obtain and validate Azure AD tokens. With the Azure VPN Client for macOS, you can use user-based policies, Conditional Access, as well as Multi-factor Authentication (MFA) for your Mac devices.
Azure ExpressRoute Global Reach: 2 new locations
There are 2 new locations for ExpressRoute Global Reach:
South Africa (Johannesburg only)
Taiwan
For more information about ExpressRoute Global Reach and available locations, visit ExpressRoute Global Reach webpage.
Il business aziendale è fortemente dipendente dalle soluzioni IT e spesso queste non sono opportunamente strutturate per far fronte a incidenti di qualsiasi natura, anche i più remoti, che potrebbero generare un danno, una interruzione oppure una perdita di dati. VMware Site Recovery Manager (SRM) è una soluzione di disaster recovery che consente di minimizzare i tempi di indisponibilità dei workload in ambiente VMware in caso di disastro. SRM è molto popolare per i clienti che utilizzano VMware presso i datacenter on-premises e di recente è stata annunciata la possibilità di utilizzare la stessa soluzione anche con Azure VMware Solution (AVS). In questo articolo viene descritto come SRM per AVS è in grado di semplificare la gestione delle strategie di Disaster Recovery, garantendo tempi di ripristino rapidi e prevedibili.
Che cos’è VMware Site Recovery Manager (SRM)?
VMware Site Recovery Manager è una soluzione di automazione, che si integra con una tecnologia di replica sottostante, in grado di offrire:
Test di ripristino senza interruzioni di servizio
Workflow in grado di garantire l’orchestrazione dei piani di DR in modo automatizzato
Ripristino automatico delle impostazioni di rete e di sicurezza (integrazione con VMware NSX)
La soluzione offre la possibilità di assicurare in modo semplice ed affidabile, il ripristino e lo spostamento delle macchine virtuali tra più siti VMware con downtime minimo oppure pari allo zero.
Site Recovery Manager consente di sfruttare in modo nativo i vantaggi di VMware vSphere e di utilizzare l’architettura SDDC (Software-Defined Data Center) integrandosi con altre soluzioni VMware, come VMware NSX (virtualizzazione della rete) e VMware vSAN.
Site Recovery Manager richiede una delle seguenti tecnologie di replica sottostanti per orchestrare le operation di ripristino delle macchine virtuali:
VMware vSphere Replication: replica incentrata sulle VMs e basata sull’hypervisor. Si tratta della soluzione integrata in modo nativo con Site Recovery Manager ed inclusa nella maggior parte delle versioni di vSphere.
Soluzioni di terze parti: Site Recovery Manager utilizza plug-in SRA (Storage Replication Adapter) sviluppati dai partner di storage per l’integrazione con sistemi di terze parti.
Modalità di acquisto di SRM
Site Recovery Manager è disponibile in due versioni: Standard ed Enterpirse. Entrambe le versioni di Site Recovery Manager sono concesse in licenza “per macchina virtuale protetta”.
SRM STANDARD
SRM ENTERPRISE
Licenze
Fino a 75 VM protette per sito
Nessun limite di licenze per il numero di VM protette
Funzionalità esclusive
– Integrazione con VMware NSX
– Spostamento orchestrato con vMotion tra più istanze di vCenter
– Supporto dello storage esteso
– Gestione dello storage basata su policy
Che cos’è Azure VMware Solution (AVS)?
Azure VMware Solution (AVS) è un servizio che consente il provisioning e l’esecuzione di un ambiente VMware Cloud Foundation completo in Azure. VMware Cloud Foundation è la piattaforma hybrid cloud di VMware per la gestione delle macchine virtuali e l’orchestrazione dei container, dove l’intero stack è basato su una infrastruttura hyperconverged (HCI). Questo modello di architettura assicura un’infrastruttura e operation coerenti su qualsiasi cloud privato e pubblico, tra i quali Microsoft Azure.
Figura 1 – Panoramica di Azure VMware Solution
La soluzione AVS permette ai clienti l’adozione di un set completo di funzionalità VMware, con la garanzia di detenere la convalida “VMware Cloud Verified”. Allo stesso tempo la piattaforma viene mantenuta da Microsoft e sono garantiti aggiornamenti automatici e regolari, che consentono di usufruire dei più recenti set di funzionalità, oltre che ottenere una elevata sicurezza e stabilità.
Grazie a questa soluzione è quindi possibile avere coerenza, prestazioni e interoperabilità per i workload VMware esistenti, senza rinunciare alla velocità, alla scalabilità e alla disponibilità dell’infrastruttura globale di Azure.
Un Azure VMware Solution Private Cloud comprende:
vCenter server per la gestione di ESXi e della vSAN
Server bare-metal dedicati forniti con hypervisor VMware ESXi
VMware vSAN datastore per le VMs vSphere
VMware NSX-T software defined networking per le VMs vSphere
VMware HCX per la gestione della mobilità dei workloads
Figura 2 – Interconnessione di Azure VMware Solution con l’ambiente on-premises ed Azure
L’infrastruttura Azure Private Cloud contiene cluster vSphere su sistemi bare metal dedicati, in grado di scalare da 3 a 16 host. Viene inoltre fornita la possibilità di avere più cluster in un unico Azure Private Cloud. Gli host sono di fascia alta e dotati di due processori Intel 18 core da 2,3 GHz e 576 GB di RAM.
VMware Site Recovery Manager (SRM) con Azure VMware Solution (AVS)
Site Recovery Manager (SRM) per Azure VMware Solution (AVS) è in grado di automatizzare ed orchestrare i processi di failover e di failback nei seguenti scenari di Disaster Recovery:
VMware on-premises verso un private cloud Azure VMware Solution di disaster recovery
Azure VMware Solution primario verso un private cloud Azure VMware Solution secondario di disaster recovery
Inoltre, grazie alla possibilità di effettuare dei test di failover senza generare interruzioni sull’ambiente di produzione, si ha la possibilità di garantire periodicamente il raggiungimento degli obiettivi di tempo di ripristino richiesti per i piani di disaster recovery.
Figura 3 – Diagramma di uno scenario di DR tra due ambienti Azure VMware Solution
Anche in questo scenario SRM è licenziato e supportato direttamente da VMware. I clienti non possono riutilizzare le licenze SRM dell’ambiente on-premises anche negli ambienti AVS, ma devono essere disponibili nuove licenze SRM per gli ambienti AVS.
Azure VMware Solution prevede inoltre un meccanismo per semplificare l’installazione e la gestione del ciclo di vita di SRM. Infatti, accedendo al menu di navigazione nel cloud privato di AVS è possibile installare VMware SRM con vSphere Replication come servizio aggiuntivo. Per farlo è sufficiente selezionare “VMware Site Recovery Manager (SRM) – vSphere Replication” dal menu Disaster Recovery Solution e seguire le relative istruzioni.
Figura 4 – Abilitazione di “VMware Site Recovery Manager (SRM) – vSphere Replication” dal menu Disaster Recovery Solution di AVS
Casi d’uso
Questa integrazione tra Azure VMware Solution e Site Recovery Manager è possibile attivarla per implementare le seguenti tipologie di scenari di recovery:
Migrazione pianificata. Si tratta di una migrazione ordinata di macchine virtuali dal sito protetto al sito di ripristino in cui non è prevista alcuna perdita di dati durante la migrazione pilotata dei workload.
Disaster Recovery. Tramite SRM viene attivato il piano di DR quando il sito primario va offline in modo imprevisto. Site Recovery Manager orchestra il processo di ripristino con i meccanismi di replica, per ridurre al minimo la perdita di dati ed i tempi di inattività dell’ambiente.
Protezione bidirezionale. La protezione bidirezionale utilizza un singolo set di siti SRM accoppiati per proteggere le macchine virtuali in entrambe le direzioni. Ogni sito può essere contemporaneamente un sito protetto ed un sito di ripristino, ma per un diverso set di macchine virtuali.
Conclusioni
Grazie all’introduzione di questa funzionalità in AVS, partendo dalla funzionalità di automazione dei piani di ripristino di VMware Site Recovery Manager e dalle funzionalità di replica basata sull’hypervisor di vSphere Replication, si può usufruire di una soluzione di Disaster Recovery di tipo end-to-end, in grado di accelerare l’abilitazione della protezione, oltre che di semplificare le operation necessarie ad attuare i piani di DR. In questo modo è possibile sfruttare al meglio l’agilità e la convenienza di questa soluzione in ambiente Azure.
Shared disks on Azure Disk Storage are now generally available on all Premium SSD and Standard SSD sizes
Shared disks can now be leveraged on smaller Premium SSDs from 4GiB to 128 GiB and all Standard SSDs from 4 GiB to 32 TiB. This expands shared disk support to Ultra Disk, Premium SSD, and Standard SSD enabling you to optimize for different price and performance options based on your workload needs.
Immutable storage with versioning for Blob Storage (preview)
Immutable storage with versioning for Blob Storage is now available in preview. Immutable storage provides the capability to store data in a write once, read many (WORM) state. Once data is written, the data becomes non-erasable and non-modifiable, and you can set a retention period so that files can’t be deleted until after that period has elapsed. Additionally, legal holds can be placed on data to make that data non-erasable and non-modifiable until the hold is removed. Immutable storage with versioning adds the capability to set an immutable policy on the container or object level. It also allows for the immutable protection of all past and current versions of any blob.
Networking
Next-generation firewall capabilities with Azure Firewall Premium
Microsoft Azure Firewall Premium is now available with this key features:
TLS inspection: Azure Firewall Premium terminates outbound and east-west transport layer security (TLS) connections. Inbound TLS inspection is supported in conjunction with Azure Application Gateway allowing end-to-end encryption. Azure Firewall performs the required value-added security functions and re-encrypts the traffic which is sent to the original destination.
IDPS: Azure Firewall Premium provides signature-based intrusion detection and prevention system (IDPS) to allow rapid detection of attacks by looking for specific patterns, such as byte sequences in network traffic or known malicious instruction sequences used by malware.
Web categories: Allows administrators to filter outbound user access to the internet based on categories (for example, social networking, search engines, gambling, and so on), reducing the time spent on managing individual fully qualified domain names (FQDNs) and URLs. This capability is also available for Azure Firewall Standard based on FQDNs only.
URL filtering: Allow administrators to filter outbound access to specific URLs, not just FQDNs. This capability works for both plain text and encrypted traffic if TLS inspection is enabled.
Application Gateway: new featuresfor Web Application Firewall (WAF)
Bot protection: Web Application Firewall (WAF) bot protection feature on Application Gateway allows users to enable a managed bot protection rule set for their WAF to block or log requests from known malicious IP addresses. The IP addresses are sourced from the Microsoft Threat Intelligence feed. This rule set can be used alongside the OWASP core rule sets (CRS) to provide additional protection.
Geomatch custom rules: Web Application Firewall (WAF) geomatch custom rule feature on Application Gateway allows users to restrict access to their web applications by country/region. As with all custom rules, this logic can be compounded with other rules to suit the needs of your application.
Azure ExpressRoute: 3 New Peering Locations Available
Three new peering locations are available for ExpressRoute:
Campinas
Sao Paulo2
Dublin2
With this announcement, ExpressRoute is now available across 79 global commercial Azure peering locations.
New insights in Traffic Analytics
Azure Network Watcher Traffic Analytics solutions is used to monitor network traffic. It now provides WHOIS and Geographic data for all Public IPs interacting with your deployments and further adds DNS domain, threat type & threat description for Malicious IPs. Now, it also supports inter-zone traffic and VMSS level traffic insights.
