Archivi categoria: Datacenter Management

Massimizza le prestazioni di Azure Stack HCI: scopri le migliori configurazioni per il networking

Le infrastrutture iperconvergenti (HCI) sono sempre più diffuse in quanto consentono di semplificare la gestione dell’ambiente IT, ridurre i costi e scalare facilmente in caso di necessità. Azure Stack HCI è la soluzione Microsoft che permette di realizzare una infrastruttura hyper-converged per l’esecuzione di workload in ambiente on-premises e che prevede una strategica connessione a vari servizi di Azure per modernizzare la propria infrastruttura IT. Configurare correttamente il networking di Azure Stack HCI è fondamentale per garantire la sicurezza, l’affidabilità e le prestazioni delle applicazioni. In questo articolo, vengono esplorati i fondamenti della configurazione del networking di Azure Stack HCI, approfondendo le opzioni di rete disponibili e le best practice per la progettazione e la configurazione del networking.

Sono differenti i modelli di rete che è possibile prendere come riferimento per progettare, distribuire e configurare Azure Stack HCI. Nei paragrafi seguenti vengono riportati gli aspetti principali da considerare per indirizzare le possibili scelte di implementazione a livello di rete.

Numero di nodi che compongono il cluster Azure Stack HCI

Un singolo cluster Azure Stack HCI può essere composto da un unico nodo e può scalare fino a 16 nodi.

Se il cluster è composto da un singolo server a livello fisico è consigliato prevedere i seguenti componenti di rete, riportati anche nell’immagine:

  • singolo switch TOR (L2 oppure L3) per il traffico in direzione nord-sud;
  • due\quattro porte di rete in team per gestire il traffico di management e computazionale collegate allo switch;

Inoltre, opzionalmente è possibile prevedere i seguenti componenti:

  • due NIC RDMA, utili se si prevede di aggiunge un secondo server al cluster per scalare la configurazione;
  • una scheda BMC per la gestione remota dell’ambiente.

Figura 1 – Architettura di rete per un cluster Azure Stack HCI composto da un singolo server

Se il cluster Azure Stack HCI è composto da due o più nodi è necessario approfondire i parametri seguenti.

Necessità di switch Top-Of-Rack (TOR) e relativo livello di ridondanza

Per i cluster Azure Stack HCI composti da due o più nodi, in ambiente di produzione, è fortemente consigliata la presenza di due switch TOR, in modo da poter tollerare interruzioni delle comunicazioni riguardanti il traffico nord-sud, in caso di guasto oppure di manutenzione del singolo switch fisico.

Se il cluster Azure Stack HCI è composto da due nodi si può fare in modo di non prevedere una connettività tramite switch per il traffico riguardante lo storage.

Configurazione a due nodi senza switch TOR per la comunicazione storage

In un cluster Azure Stack HCI composto da solo due nodi, per ridurre i costi degli switch, andando magari ad utilizzare switch già in possesso, è possibile collegare in modalità full-mesh le NIC RDMA dello storage.

In determinati scenari, che includono ad esempio branch office, oppure laboratori, si può adottare il seguente modello di rete che prevede un unico switch TOR. Applicando questo modello si ottiene una tolleranza agli errori a livello di cluster, ed è idonea se è possibile tollerare interruzioni della connettività in direzione nord-sud quando il singolo switch fisico si guasta oppure richiede manutenzione.

Figura 2 – Architettura di rete per un cluster Azure Stack HCI composto da due server, senza switch per lo storage e con un unico switch TOR

Sebbene i servizi SDN L3 siano pienamente supportati per questo schema, i servizi di routing come BGP dovranno essere configurati sul dispositivo firewall che si trovano sopra allo switch TOR, se questo non supporta i servizi L3.

Nel caso si voglia ottenere una maggiore tolleranza ai guasti per tutti i componenti di rete è possibile prevedere la seguente architettura, che prevede due switch TOR ridondati:

Figura 3 – Architettura di rete per un cluster Azure Stack HCI composto da due server, senza switch per lo storage e switch TOR ridondati

I servizi SDN L3 sono pienamente supportati da questo schema. I servizi di routing come BGP possono essere configurati direttamente sugli switch TOR se questi supportano i servizi L3. Le funzionalità legate alla sicurezza della rete non richiedono una configurazione aggiuntiva per il dispositivo firewall, poiché sono implementate a livello di virtual network adapter.

A livello fisico è consigliato prevedere i seguenti componenti di rete per ciascun server:

  • duequattro porte di rete in team, per gestire il traffico di management e computazionale, collegate alloagli switch TOR;
  • due NIC RDMA in una configurazione full-mesh per il traffico est-ovest per lo storage. Ogni nodo del cluster deve avere una connessione ridondata all’altro nodo del cluster;
  • come opzionale, una scheda BMC per la gestione remota dell’ambiente.

In entrambi i casi sono necessarie le seguenti connettività:

Reti Management e computazionale Storage BMC
Velocità di rete Almeno 1 GBps,

10 GBps recommendata

 Almeno 10 GBps Tbd
Tipologia di interfaccia RJ45, SFP+ oppure SFP28 SFP+ oppure SFP28 RJ45
Porte e aggregazione Duequattro porte in teaming Due porte standalone Una porta

Configurazione a due o più nodi utilizzando switch TOR anche per la comunicazione storage

Quando si prevede un cluster Azure Stack HCI composto da più di due nodi oppure se non si vuole precludere la possibilità di poter aggiungere facilmente ulteriori nodi al cluster, è necessario far confluire anche il traffico riguardante lo storage dagli switch TOR. In questi scenari si può prevedere una configurazione dove si mantengono delle schede di rete dedicate per il traffico storage (non-converged), come mostrato nella seguente immagine:

Figura 4 – Architettura di rete per un cluster Azure Stack HCI composto da due o più server, switch TOR ridondati utilizzati anche per il traffico storage e configurazione “non-converged”

A livello fisico è consigliato prevedere i seguenti componenti di rete per ciascun server:

  • due schede di rete in team per gestire il traffico di management e computazionale. Ogni NIC è collegata a uno switch TOR diverso;
  • due NIC RDMA in configurazione standalone. Ogni NIC è collegata a uno switch TOR diverso. La funzionalità multicanale SMB garantisce l’aggregazione dei percorsi e la tolleranza agli errori;
  • come opzionale, una scheda BMC per la gestione remota dell’ambiente.

Queste le connettività previste:

Reti Management e computazionale Storage BMC
Velocità di rete Almeno 1 GBps,

10 GBps recommendata

 Almeno 10 GBps Tbd
Tipologia di interfaccia RJ45, SFP+ oppure SFP28 SFP+ oppure SFP28 RJ45
Porte e aggregazione Due porte in teaming Due porte standalone Una porta

Un’altra possibilità da tenere in considerazione prevede una configurazione “fully-converged” delle schede di rete, come riportato nella seguente immagine:

Figura 5 – Architettura di rete per un cluster Azure Stack HCI composto da due o più server, switch TOR ridondati utilizzati anche per il traffico storage e configurazione “fully-converged”

Quest’ultima soluzione è preferibile quando:

  • i requisiti di larghezza di banda per il traffico nord-sud non richiedono schede dedicate;
  • le porte fisiche degli switch sono un numero ridotto;
  • si vogliono mantenere contenuti i costi della soluzione.

A livello fisico è consigliato prevedere i seguenti componenti di rete per ciascun server:

  • due schede di rete RDMA in team per il traffico di management, computazionale e storage. Ogni NIC è collegata a uno switch TOR diverso. La funzionalità multicanale SMB garantisce l’aggregazione dei percorsi e la tolleranza agli errori;
  • come opzionale, una scheda BMC per la gestione remota dell’ambiente.

Queste le connettività previste:

Reti Management, computazionale e storage BMC
Velocità di rete Almeno 10 GBps Tbd
Tipologia di interfaccia SFP+ oppure SFP28 RJ45
Porte e aggregazione Due porte in teaming Una porta

I servizi SDN L3 sono pienamente supportati da entrambi i modelli sopra riportati. I servizi di routing come BGP possono essere configurati direttamente sugli switch TOR se questi supportano i servizi L3. Le funzionalità legate alla sicurezza della rete non richiedono una configurazione aggiuntiva per il dispositivo firewall, poiché sono implementate a livello di virtual network adapter.

Tipologia di traffico che deve passare dagli switch TOR

Per scegliere gli switch TOR più adatti è necessario valutare il traffico di rete che confluirà da tali apparati di rete, il quale può essere suddiviso in:

  • traffico di management;
  • traffico computazionale (generato dai workload ospitati dal cluster), il quale può essere suddiviso in due categorie:
    • traffico standard;
    • traffico SDN;
  • traffico storage.

Microsoft ha recentemente cambiato l’approccio a riguardo. Infatti, non è più richiesto che gli switch TOR rispettino ogni requisito di rete riguardante le varie funzionalità, indipendentemente dal tipo di traffico per il quale lo switch viene utilizzato. Questo consente di avere switch fisici supportati in base al tipo di traffico che trasportano e permette di poter scegliere tra un maggior numero di dispositivi di rete ad un costo più contenuto, ma sempre di qualità.

In questo documento sono elencati gli standard di settore obbligatori per i ruoli specifici degli switch di rete utilizzati nelle implementazioni di Azure Stack HCI. Questi standard contribuiscono a garantire comunicazioni affidabili tra i nodi dei cluster Azure Stack HCI. In questa sezione sono invece riportati i modelli degli switch supportati dai vari vendor, in base alla tipologia di traffico prevista.

Conclusioni

Configurare correttamente il networking di Azure Stack HCI è fondamentale per garantire che l’infrastruttura hyper-converged funzioni in modo corretto, garantendo sicurezza, affidabilità e prestazioni ottimali. In questo articolo sono stati riportati i concetti fondamentali riguardanti la configurazione del networking di Azure Stack HCI, analizzando le opzioni di rete disponibili. Il consiglio è di pianificare sempre attentamente gli aspetti legati al networking di Azure Stack HCI, scegliendo l’opzione di rete più appropriata per le esigenze del vostro business e seguendo le best practice di implementazione.

Azure Management services: le novità di marzo 2023

Nel mese di marzo ci sono state diverse novità annunciate da parte di Microsoft riguardanti gli Azure management services. In questa serie di articoli, pubblicati con cadenza mensile, vengono elencati i principali annunci, accompagnati dai riferimenti necessari per poter effettuare ulteriori approfondimenti in merito.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli:

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Librerie client per l’ingestion

Microsoft annuncia la release iniziale delle librerie client Azure Monitor Ingestion per .NET, Java, JavaScript e Python. Le librerie permettono di:

  • Effettuare il caricamento di log personalizzati in un workspace di Log Analytics.
  • Modernizzare gli standard di sicurezza richiedendo l’autenticazione basata su token di Azure Active Directory.
  • Completare le librerie Azure Monitor Query, utilizzate per interrogare i log in un workspace di Log Analytics.

Raccolta di Syslog dai nodi AKS usando Azure Monitor Container Insights (preview)

I clienti possono ora utilizzare Azure Monitor Container Insights per raccogliere Syslog dai nodi dei loro cluster Azure Kubernetes Service (AKS). In combinazione con i sistemi SIEM (Microsoft Sentinel) e gli strumenti di monitor (Azure Monitor), la raccolta di syslog consente di tracciare gli eventi di sicurezza e salute dei workload IaaS e containerizzati.

Il servizio gestito Azure Monitor per Prometheus ora supporta l’interrogazione di PromQL

Grazie al supporto di Azure Workbooks per il servizio gestito Azure Monitor Prometheus, viene fornita agli utenti la possibilità di utilizzare i workbook Prometheus per eseguire query PromQL nel portale. Inoltre, gli utenti hanno il vantaggio di creare report personalizzati per i workbook Prometheus.

Azure Monitor supporta le Availability Zone in nuove regioni

Azure Monitor continua ad ampliare il supporto delle zone di disponibilità aggiungendo tre regioni: Canada Central, France Central e Japan East.

Gli alert di Azure Monitor supportano la clonazione

Quando si visualizzano i dettagli di una regola di alert nel portale Azure, è ora disponibile una nuova opzione di “Duplica”, che consente di duplicare la regola di alert. Quando si seleziona tale opzione per una regola di alert esistente, viene avviata la creazione guidata della regola, precompilata con la configurazione della regola di alert originale, consentendo al contempo di apportare delle modifiche.

Configure

Azure Automation

Annunciato il ritiro delll’Hybrid Worker basato su agenti (Windows e Linux) per il 31 agosto 2024

Azure Automation sta deprecando l’Hybrid Runbook Worker basato su agenti (Windows e Linux) e questo avverrà definitivamente il 31 agosto 2024. Entro tale data è necessario migrare agli Hybrid Worker basati su extension (Windows e Linux).

I vantaggi principali dell’Hybrid Runbook Worker basato su extension sono:

  • utilizza identità gestite assegnate dal sistema, quindi non è necessario gestire i certificati per l’autenticazione;
  • offre l’aggiornamento automatico delle versioni minori;
  • semplifica la gestione su scala degli hybrid worker grazie all’integrazione nativa con Azure Resource Manager e alla governance con Azure Policy.

Migrazione dell’autenticazione da Run As account a Managed Identity in ASR

Risulta ora possibile migrare il tipo di autenticazione degli account, passando alle Managed Identity, utilizzando Azure Site Recovery dal portale di Azure. L’autenticazione dei runbook tramite account Run As sarà dismessa il 30 settembre 2023. Prima di tale data, è necessario migrare i runbook per consentire l’utilizzo delle Managed Identities.

Govern

Azure Cost Management

Aggiornamenti relativi a Microsoft Cost Management

Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Microsoft Cost Management, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati gli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.

Azure Arc

Integrazione migliorata di Azure Arc con Datadog

Microsoft sta migliorando la capacità di osservazione e di gestione dell’infrastruttura IT grazie all’integrazione di Microsoft Azure Arc con Datadog. Sulla base della consolidata collaborazione, Microsoft sta integrando Datadog con Azure Arc in modo nativo, per andare incontro ai clienti Datadog, fornendo ricchi insights dalle risorse abilitate ad Azure Arc direttamente nelle dashboard di Datadog. I clienti possono monitorare i dati in tempo reale durante le migrazioni nel cloud e le prestazioni delle applicazioni in esecuzione sia nel cloud pubblico sia in ambienti ibridi o multicloud.

Secure

Microsoft Defender for Cloud

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud

Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

  • disponibilità di un nuovo piano di Defender for Storage, che include la scansione quasi in tempo reale dei malware ed il rilevamento delle minacce ai dati sensibili;
  • security posture consapevole dei dati (anteprima);
  • nuova esperienza per la gestione delle policy di sicurezza predefinite di Azure;
  • Defender per CSPM (Cloud Security Posture Management) è ora disponibile (GA);
  • possibilità di creare raccomandazioni e standard di sicurezza personalizzati in Microsoft Defender for Cloud;
  • Microsoft Cloud Security Benchmark (MCSB) versione 1.0 è ora disponibile (GA);
  • alcuni standard di conformità normativa sono ora disponibili nei cloud governativi;
  • nuova raccomandazione in anteprima per Azure SQL Servers;
  • nuovo avviso in Defender per Key Vault.

Protect

Azure Backup

Vault immutabili per Azure Backup

I vault immutabili sono ora disponibili anche per gli ambienti di produzione e offrono una maggiore sicurezza per i backup, garantendo che i punti di ripristino creati una volta non possano essere eliminati prima della scadenza prevista. Azure Backup impedisce qualsiasi operazione sui vault immutabili che potrebbe portare alla perdita dei dati di backup. Inoltre, è possibile mettere in lock la proprietà dei vault immutabili per renderla irreversibile. Ciò consente di proteggere i backup da minacce come attacchi ransomware e attori malintenzionati, impedendo operazioni come l’eliminazione dei backup oppure la riduzione della conservazione nelle policy di backup.

Backup per Azure Kubernetes Service (preview)

Le organizzazioni che utilizzano Azure Kubernetes Services (AKS) eseguono sempre più spesso applicazioni stateful sui loro cluster, distribuendo carichi di lavoro come code di messaggistica basate su Apache Kafka e database come Postgres e MongoDB. Con l’archiviazione dei dati all’interno del cluster, il backup e il ripristino diventano una delle principali preoccupazioni dei responsabili IT. Assicurarsi che le funzionalità di backup di Kubernetes siano scalabili, flessibili e costruite appositamente per Kubernetes è fondamentale per un piano complessivo di protezione dei dati. Azure Backup ha introdotto ora Backup for AKS. Questa soluzione semplifica il backup e il ripristino di applicazioni e dati containerizzati e consente ai clienti di configurare un backup pianificato sia per lo stato del cluster sia per i dati delle applicazioni. Backup for AKS è allineato con la Container Storage Interface (CSI) per offrire funzionalità di backup Kubernetes-aware. La soluzione consente ai clienti di sbloccare diversi scenari, come il backup dei dati per la sicurezza delle applicazioni e i requisiti normativi, la clonazione di ambienti di sviluppo/test e la gestione del rollback.

Azure Backup consente di mantenere i backup nei vault per Azure Blob e per Azure File (preview)

Azure Backup ora supporta il trasferimento dei backup di Azure Blob e di Azure File nei vault. Un vault è un’entità logica che archivia i backup e i punti di ripristino creati nel tempo. A questo proposito è possibile definire una pianificazione dei backup per la creazione di punti di ripristino e specificare le impostazioni di conservazione che determinano per quanto tempo i backup verranno archiviati nel vault. I backup nel vault sono isolati dai dati di origine e consentono di attingere ai dati anche se quelli di origine sono stati compromessi, eseguendo dei ripristini.

Di seguito sono elencate alcune delle principali caratteristiche che si possono ottenere posizionando i backup nei vault:

  • Copia off-site dei dati: consente di ripristinare i dati mission-critical dai backup, indipendentemente dallo stato dei dati di origine.
  • Conservazione a lungo termine dei dati di backup, che consente di soddisfare i requisiti di conformità, in particolare nei settori finanziari e sanitari, con linee guida rigorose sul periodo di conservazione dei dati.
  • Ripristino in posizione alternativa: consente di ripristinare i dati su un account alternativo se l’account di archiviazione di origine è compromesso o di creare copie diverse dei dati per scopi di test o sviluppo.
  • Gestione centralizzata tramite il backup center: i backup nei vault possono essere monitorati e analizzati su scala insieme ad altri carichi di lavoro protetti utilizzando Azure Backup.
  • Backup sicuri. Le funzionalità di sicurezza integrate di Azure Backup, come l’autorizzazione multi-utente (MUA) per le operazioni di backup critiche, la crittografia dei dati e il controllo degli accessi basato sui ruoli (RBAC), aiutano a proteggere i backup nel vault e a soddisfare le esigenze di sicurezza per i backup.

Azure Site Recovery

Migliorata la possibilità per rinominare le interfaccia di rete e i dischi delle macchine virtuali protette

In ASR è stato introdotta una nuova modalità più semplice per nominare e rinominare le interfacce di rete (NIC) ed i dischi delle macchine virtuali presenti nei recovery service vault.

Migrate

Azure Migrate

Nuovi rilasci e funzionalità di Azure Migrate

Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità. In particolare, questo mese la principale novità riguarda il supporto per il discovery e l’assessment delle web app per Azure app service per i server Hyper-V e fisici.

Azure Database Migration

Migrazioni offline di Azure SQL Database con l’estensione Azure SQL Migration

Le migrazioni offline dei database SQL Server in esecuzione on-premises, su macchine virtuali Azure oppure su qualsiasi macchina virtuale in esecuzione nel cloud (privato, pubblico) verso Azure SQL Database è possibile farla tramite l’estensione Azure SQL Migration. La nuova funzionalità di migrazione dell’estensione Azure SQL Migration per Azure Data Studio offre un’esperienza end-to-end per modernizzare SQL Server in Azure SQL Database. L’estensione consente di eseguire una preparazione alla migrazione con azioni per rimediare a eventuali blocchi e permette di ottenere raccomandazioni per dimensionare adeguatamente i target di Azure SQL Database, compresa la configurazione hardware nel livello di servizio Hyperscale.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (March 2023 – Weeks: 11 and 12)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure VMware Solution: Azure Hybrid Benefit for SQL Server

Azure Hybrid Benefit (AHB) for SQL Server is now available in Azure VMware Solution (AVS). With AHB for SQL Server on Azure VMware Solution, you can take advantage of the unlimited virtualization licensing capability included with the SQL Server Software Assurance. To this end, you can configure and enable VM-Host placement policies via the Azure portal and apply Azure Hybrid Benefit. 

Networking

Azure Firewall Basic

Azure Firewall Basic is a new SKU for Azure Firewall designed for small and medium-sized businesses. Azure Firewall Basic can be deployed inside a virtual network or a virtual hub. This gives businesses the flexibility to choose the deployment option that best meets their needs. 

The main benefits are: 

  • Comprehensive, cloud-native network firewall security
    • Network and application traffic filtering 
    • Threat intelligence to alert on malicious traffic 
    • Built-in high availability 
    • Seamless integration with other Azure security services 
  • Simple setup and easy-to-use
    • Setup in just a few minutes 
    • Automate deployment (deploy as code) 
    • Zero maintenance with automatic updates 
    • Central management via Azure Firewall Manager
  • Cost-effective
    • Designed to deliver essential, cost-effective protection of your resources within your virtual network

Pricing and billing for Azure Firewall Basic with secured virtual hub will be effective starting May 1, 2023.

Azure Virtual Network Manager

Azure Virtual Network Manager (AVNM) is now generally available. AVNM is a highly scalable and available network management solution that allows you to simplify network management across subscriptions globally. Using its centralized network management capabilities, you can manage your network resources at scale from a single plane of glass.

Key features of Azure Virtual Network Manager include:

  • global management of virtual network resources across regions, subscriptions, and tenants;
  • automated management and deployment of virtual network topology to create hub and spoke*;
  • high-priority security rule enforcement at scale to protect your network resources*;
  • safe deployment of network configurations across desired regions.

*The mesh topology and security admin rule features remain in public preview and will become generally available soon

Azure Traffic Manager: reserved namespaces for subdomains

Azure Traffic Manager has added functionality for reserving domain labels for traffic manager profiles. Any customer requesting a traffic manger profile of the form label1.trafficmanager.net will have “label1” label reserved for the tenant and another user will not be able to create a new traffic manager profile with this name or subdomains below it. For example if a user creates a profile names label1.trafficmanager.net then “label1” and all labels of form “<labelN>….<lable2>.<label1>.trafficmanager.net” will be reserved for the subscription. With these enhancements, once a namespace is created by a customer under trafficmanager.net domain, it will not be available for any other tenant. This enhancement ensures that customers have full control over the labels tree used in their traffic manager profiles and enables customers better manage their namespace without having to worry about a specific name/label being in use by other tenants.

Illumio for Azure Firewall (preview)

Microsoft partnered with Illumio, the leader in Zero Trust Segmentation, to build Illumio for Azure Firewall, an integrated solution that brings the benefits of Zero Trust Segmentation to Azure Firewall.

Illumio for Azure Firewall uses the Azure platform to protect your resources across your Azure virtual networks and at your Azure perimeter. It enables organizations to understand application traffic and dependencies and apply consistent protection across your environment – limiting exposure, containing breaches, and improving efficiency. Illumio for Azure Firewall also helps simplify Zero Trust Segmentation by enhancing visibility, streamlining policy management, and providing scalable security.

 Key benefits:

  • Reduce security risks with a single view of your east-west and north-south traffic based on Azure Firewall flow data within your Azure subscriptions.
  • Gain a holistic view of your application traffic with real-time visibility of interactions and dependencies across your environment.
  • Easily deploy and configure Azure application-based polices within the Illumio platform.
  • Deploy Azure Firewall policies confidently with policies that automatically scale along with your applications.
  • Avoid application downtime by understanding the impact of Azure Firewall policies before they are enforced.
  • Works with all 3 SKUs of Azure Firewall – Basic, Standard, and Premium – to meet the needs of any organization.

Accelerated Connections for Network Virtual Appliances now in Azure Marketplace (preview)

Accelerated Connections is a new product that enhances Accelerated Networking enabled vNICs, enabling customer flexibility in selecting the best option of CPS capabilities suited to match their Azure implementation.  This offering will enable you to achieve the first bare-metal-like performance levels for connections per second (CPS) in Azure.

Storage

Ephemeral OS disks supports encryption at host using customer managed keys

Ephemeral OS disks can be encrypted at host using platform managed keys or customer managed keys. The default is platform managed keys. This feature would enable our customers to meet your organization’s compliance needs.

Azure Ultra Disk Storage in Brazil Southeast, South Africa North and UAE North

Azure Ultra Disk Storage is now available in one zone in Brazil Southeast, South Africa North and UAE North region. Azure Ultra Disk Storage offers high throughput, high IOPS and consistent low latency disk storage for Azure Virtual Machines (VMs). Ultra Disk Storage is well suited for data-intensive workloads such as SAP HANA, top-tier databases and transaction-heavy workloads.

Encryption scopes on hierarchical namespace enabled storage accounts

Encryption scopes introduce the option to provision multiple encryption keys in a storage account with hierarchical namespace. Using encryption scopes, you now can provision multiple encryption keys and choose to apply the encryption scope either at the container level (as the default scope for blobs in that container) or at the blob level. The capability is available for REST, HDFS, NFSv3 and SFTP protocols in an Azure Blob / Data Lake Gen2 storage account. The key that protects an encryption scope may be either a Microsoft-managed key or a customer-managed key in Azure Key Vault. You can choose to enable automatic rotation of a customer-managed key that protects an encryption scope. When you generate a new version of the key in your Key Vault, Azure Storage will automatically update the version of the key that is protecting the encryption scope, within a day.

Performance Plus for Azure Disk Storage (preview)

Azure Disk Storage now offers a new feature called Performance Plus, which enhances the IOPS and throughput performance of Standard HDD, Standard SSD, and Standard HDD disks that are sized 1TB or larger. Performance Plus is offered for free and is available to use through deployments on Azure Command-Line Interface (CLI) and PowerShell.

L’importanza delle Azure Policy nell’ambito della Cloud Technical Governance

L’adozione del cloud computing sta diventando sempre più diffusa, ma la gestione e il controllo delle risorse cloud può rappresentare una ardua sfida per le organizzazioni. In questo contesto, le Azure Policy di Microsoft rappresentano uno strumento fondamentale per la governance del cloud, in grado di aiutare le aziende a definire, applicare e far rispettare le politiche di sicurezza e conformità in modo coerente e automatizzato. Questo articolo esplorerà l’importanza delle Azure Policy nella gestione dei servizi cloud, illustrando i vantaggi che derivano dall’uso di questa soluzione e alcuni casi d’uso più comuni. Inoltre, saranno presentati alcuni consigli utili per la definizione di policy efficaci e per l’integrazione delle Azure Policy nella strategia complessiva di cloud governance.

L’esigenza comune e i possibili approcci

L’esigenza comune è di standardizzare, e in alcuni casi imporre, come vengono configurate le risorse in ambiente cloud. Tutto questo viene fatto per ottenere ambienti che rispettano specifiche normative di conformità, controllare la sicurezza, i costi delle risorse ed uniformare il design delle differenti architetture.

Ottenere questo risultato non è semplice, soprattutto in ambienti complessi dove si possono trovare differenti subscription Azure sulle quali sviluppano e operano diversi gruppi di operatori.

Questi obiettivi si possono ottenere con un approccio tradizionale, che prevede un blocco degli operatori nell’accesso diretto alle risorse cloud (tramite portale, API oppure cli):

Figura 1 – Approccio tradizionale

Tuttavia, questo tipo di approccio tradizionale risulta poco flessibile, in quanto implica una perdita di agilità nel controllare il deployment delle risorse.

A questo proposito è invece consigliato utilizzare un meccanismo che viene fornito in modo nativo dalla piattaforma Azure, che consente di pilotare i processi di governance per ottenere il controllo desiderato, ma senza impattare sulla velocità, elemento fondamentale nelle operations nell’IT moderno con risorse nel cloud:

Figura 2 – Approccio moderno con Azure Policy

Cosa è possibile ottenere grazie alle Azure Policy

Attivando le Azure Policy risulta possibile:

  • attivare ed effettuare in tempo reale la valutazione dei criteri presenti nelle policy;
  • valutare la compliance delle policy periodicamente oppure su richiesta;
  • attivare operazioni per la remediation in tempo reale, anche per risorse già esistenti.

Tutto questo si traduce nella possibilità di applicare e forzare su larga scala dei criteri di compliance e le relative azioni di remediation.

Come funziona il meccanismo delle Azure Policy

Il meccanismo di funzionamento delle Azure Policy è semplice e integrato nella piattaforma.  Nel momento in cui viene fatta una richiesta di configurazione di una risorsa Azure tramite ARM, questa viene intercettata dal layer contenente il motore che effettua la valutazione delle policy. Tale engine effettua una valutazione sulla base delle policy Azure attive e stabilisce la legittimità della richiesta.

Figura 3 – Principio di funzionamento delle Azure Policy nella creazione di risorse

Lo stesso meccanismo viene poi ripetuto periodicamente oppure su specifica richiesta per valutare lo stato di compliance delle risorse esistenti.

Figura 4 – Principio di funzionamento delle Azure Policy nel controllo delle risorse

In Azure sono già presenti molte policy built-in pronte per essere applicate oppure è possibile configurarle in base alle proprie esigenze. La definizione delle Azure Policy è fatta in JSON e segue una struttura ben precisa, descritta in questo documento Microsoft. Si ha inoltre la possibilità di creare delle Initiatives, che sono un insieme di più policy.

Nel momento in cui si possiede la definizione della policy desiderata, è possibile assegnarla a un Management Group, a una subscription ed eventualmente in modo più circoscritto ad un Resource Group specifico. Lo stesso vale per le Initiatives. Si ha inoltre la possibilità di escludere determinate risorse dall’applicazione della policy qualora necessario.

In seguito all’assegnazione è possibile valutare lo stato di compliance nel dettaglio e se lo si ritiene necessario applicare delle azioni di remediation.

Casi d’uso delle Azure policy

Si riportano i principali ambiti che è possibile governare adottando in modo opportuno le Azure Policy:

  • finanziari: risorse distribuite in Azure per le quali è necessario applicare una strategia di metadati coerente per ottenere una mappatura efficace dei costi;
  • ubicazione dei dati: requisiti di sovranità che impongono che i dati risiedano in determinate location geografiche;
  • spese non necessarie: risorse che non sono più utilizzate oppure che non sono state correttamente dismesse comportando spese non necessarie per l’azienda;
  • inefficienze di gestione: una strategia incoerente di naming e di tagging delle risorse può rendere difficile la risoluzione delle problematiche e le richieste di manutenzione ordinaria delle architetture esistenti;
  • interruzione delle attività legate al business: gli SLA sono necessari per garantire che i sistemi siano costruiti in conformità ai requisiti aziendali. Pertanto, le architetture devono essere progettate in base agli SLA e devono essere esaminate se non li rispettano.

Conclusioni

Nell’ambito della Cloud Technical Governance è fondamentale andare a definire e ad applicare delle regole che consentano di assicurarsi che le risorse Azure siano sempre conformi agli standard aziendali definiti. Grazie all’utilizzo delle Azure Policy, anche aumentando la complessità e la quantità di servizi, è sempre possibile garantire un controllo avanzato del proprio ambiente Azure.

Come mantenere il controllo tecnologico ed economico delle risorse Azure e non solo

Le soluzioni legate al cloud pubblico negli ultimi anni hanno registrato un notevole interesse da parte di molte aziende, attratte dalle possibilità offerte e dai relativi benefici. Infatti, tra le principali caratteristiche del public cloud troviamo dinamicità e rapidità di provisioning, che possono essere in ambito IT un grande vettore d’innovazione per le organizzazioni. Tuttavia, se si decide di applicare procedimenti e pratiche già consolidate nel mondo on-premise anche agli ambienti cloud, si rischia di commettere gravi errori. Il cloud è per natura differente e, applicando gli stessi processi dell’ambiente on-premise, si rischiano di avere gli stessi risultati, le medesime problematiche, tempistiche di implementazione pressoché analoghe e costi persino più elevati. Diventa pertanto fondamentale mettere in atto un processo di Cloud Technical Governance attraverso il quale garantire un utilizzo efficace ed efficiente delle risorse IT in ambiente cloud, al fine di poter raggiungere al meglio i propri obiettivi. In particolare, la Governance dell’ambiente Azure è resa possibile da una serie di soluzioni appositamente progettate per consentire una gestione ed un costante controllo delle varie risorse Azure su vasta scala. In questo articolo saranno riportate alcune delle principali soluzioni Microsoft da contemplate per definire e gestire al meglio la governance dei servizi in ambiente Azure e non solo.

Public cloud: un’arma a doppio taglio

Parlare di public cloud oggi significa far riferimento a risorse e servizi di cui difficilmente un’azienda può fare a meno, ma per certi aspetti può essere un’arma a doppio taglio.

Quelle che sono le caratteristiche principali e i potenziali punti di forza, possono nascondere delle insidie se non governate a dovere:

  • La delega Self-service, ciò la possibilità di demandare a più gruppi di lavoro la creazione di risorse, aumenta fortemente l’agilità e la velocità di provisioning, ma allo stesso tempo potrebbe portare a una totale mancanza di controllo se questa non viene effettuata in modo corretto e controllato.
  • Nel cloud pubblico quasi tutto viene fatturato a consumo. Se questa caratteristica la affianchiamo all’adozione di deleghe self-service incontrollate, dove ciascuno crea le risorse senza un opportuno governo, il risultato può condurre a costi molto elevati e non necessari.
  • Quando parliamo di cloud pubblico sappiamo anche che flessibilità e scalabilità sono due grandi elementi di forza e valore, ma questa flessibilità, il fatto di poter adottare centinaia di soluzioni, l’operare secondo logiche di self-service, unito ad ambienti in connettività ibrida devono porre la nostra attenzione anche su nuove potenziali minacce di sicurezza.
  • Sebbene Azure, così come i principali cloud pubblici, abbiano un numero molto elevato di certificazioni, introduce soluzioni basate su nuove tecnologie che potrebbero essere difficili da conciliare con i requisiti di compliance aziendali.

Adottare il cloud con una corretta Technical Governance

Alla luce di queste considerazioni, il consiglio è di adottare soluzioni nel cloud pubblico per rimanere competitivi in questo mondo digitale in continua evoluzione, ma con le opportune pratiche di Cloud Technical Governance che aiutano l’azienda a mitigare i rischi e a creare dei guardrail. Le politiche di governance all’interno di una organizzazione, se opportunamente gestite, fungono anche da sistema di allarme preventivo per rilevare potenziali problemi.

Quando si parla di governance del cloud ci sono diverse discipline che emergono. La gestione dei costi rientra tra le materie fondamentali che devono essere assolutamente trattate e gestite. A questa si aggiungono argomenti altrettanto importanti, come la definizione di baseline di sicurezza e di compliance, la gestione delle identità, l’accelerazione dei processi di deployment e la standardizzazione delle risorse create.

Declinare dunque il concetto di governance per un sistema ICT nel cloud significa definire, attuare e verificare continuamente tutte quelle norme che lo rendono:

  • con costi predicibili;
  • sicuro secondo le linee guida definite dalla sicurezza aziendale a qualsiasi livello, non necessariamente tecnico:
  • supportabile da tutti i gruppi di lavoro coinvolti nelle implementazioni;
  • soggetto ad audit in termini di conformità rispetto alle normative vigenti e a quelle aziendali.

I principali strumenti Microsoft per la Governance

La cloud governance può essere associata ad un viaggio, dove Microsoft fornisce diversi strumenti di piattaforma per fare in modo che si svolga nel migliore dei modi. Nei paragrafi seguenti vengono riportate alcune delle principali soluzioni da tenere in considerazione per attuare una governance funzionale.

Cloud Adoption Framework di Azure

Dal punto di vista della progettazione, Microsoft mette a disposizione il Cloud Adoption Framework di Azure, un set di documentazione e strumenti che guidano nelle best practices di implementazioni di soluzioni in ambiente Azure. Tra queste best practice, che è bene adottare comunemente e che è opportune declinare in modo specifico sui vari clienti in base alle loro esigenze, c’è anche una sezione specifica per la governance. Questo può essere visto come un punto di partenza per applicare nel dettaglio queste pratiche.

Figura 1 – Progettazione e standardizzazione: Cloud Adoption Framework for Azure

Azure Policy

Le Azure Policy, integrate nativamente nella piattaforma, sono un elemento chiave per la governance in quanto permettono di controllare l’ambiente e di ottenere consistenza rispetto alle risorse Azure attivate.

Le Azure Policy permettono di gestire:

  • conformità:
    • attivazione di policy native o personalizzate per tutti i tipi di risorsa;
    • valutazione e applicazione delle policy in tempo reale:
    • valutazione della conformità periodica e su richiesta;
  • distribuzione su larga scala:
    • applicazione di policy a Management Group con controllo su tutta l’organizzazione;
    • applicazione di più policy e aggregazione degli stati delle policy grazie alle initiatives;
    • exclusion scope;
    • Policy as Code con Azure DevOps.
  • rimedi ed automazioni:
    • correzione delle risorse esistenti su scala;
    • remediation automatiche al momento dell’implementazione;
    • attivazione di alert quando una risorsa non è conforme.

Defender for Cloud

La soluzione Microsoft Defender for Cloud mette a disposizione una serie di funzionalità in grado di contemplare due importanti pilastri della sicurezza per le architetture moderne che adottano componenti cloud: Cloud Security Posture Management (CSPM) e Cloud workload protection (CWP).

Figura 2 – I pilastri della sicurezza contemplati da Microsoft Defender for Cloud

In ambito Cloud Security Posture Management (CSPM) Defender for Cloud è in grado di fornire le seguenti funzionalità:

  • visibilità: per valutare l’attuale situazione relativa alla sicurezza;
  • guida all’hardening: per poter migliorare la sicurezza in modo efficiente ed efficace.

Grazie ad un assessment continuo Defender for Cloud è in grado di scoprire continuamente nuove risorse che vengono distribuite e valuta se sono configurate in base alle best practice di sicurezza. In caso contrario, le risorse vengono contrassegnate e si ottiene un elenco prioritario di consigli relativi a ciò che è opportuno correggere per migliorare la loro protezione. Per quanto concerne l’ambito Cloud Workload Protection (CWP), Defender for Cloud eroga avvisi di sicurezza basati su Microsoft Threat Intelligence. Inoltre, include una ampia gamma di protezioni avanzate ed intelligenti per i workload, fornite tramite piani di Microsoft Defender specifici per le differenti tipologie di risorse presenti nelle subscription ed in ambienti ibridi e multi-cloud.

Microsoft Cost Management

Per far fronte all’importante sfida di riuscire a mantenere sempre sotto controllo e ad ottimizzare le spese da sostenere per le risorse create in ambiente cloud, lo strumento principe è Microsoft Cost Management, che consente di:

  • Monitorare le spesa per il cloud: la soluzione traccia l’utilizzo delle risorse e permette di gestire i costi, anche su AWS e GCP, con una visione unica e unificata. Questo permette di accedere a una serie di informazioni operative e finanziarie e di prendere decisioni con la giusta consapevolezza.
  • Aumentare la responsabilità: permette di aumentate la responsabilità delle varie aree aziendali mediante i budget, utilizzando l’allocazione dei costi e con politiche di chargeback.
  • Ottimizzare i costi: mediante l’applicazione delle best practice del settore

Microsoft Sustainability Manager

Oggi, un utilizzo efficiente ed efficace delle risorse IT deve tenere in considerazione anche l’impatto ambientale ed il consumo energetico. Microsoft Sustainability Manager è una soluzione Microsoft Cloud for Sustainability che unifica i dati per monitorare e gestire al meglio l’impatto ambientale delle risorse. Indipendentemente dalla fase in cui ci si trova per raggiungere l’obiettivo di zero emissioni, questa soluzione permette di documentare e supportare il percorso per la riduzione delle emissioni. Infatti, la soluzione permette di:

  • ottenere la visibilità necessaria per promuovere la sostenibilità;
  • semplificare la raccolta dei dati e i calcoli delle emissioni;
  • analizzare e segnalare in modo più efficiente l’impatto ambientale e i progressi di una azienda in termini di sostenibilità.

Non solo Azure, ma una governance per tutte le risorse IT

In situazioni dove si sta adottando una strategia ibrida oppure multi-cloud, sorge spontanea la domanda: “come è possibile visualizzare, governare e proteggere le risorse IT, indipendentemente da dove sono in esecuzione?”

La risposta a questa domanda può essere: “adottando Azure Arc”.

Infatti, il principio che sta alla base di Azure Arc è quello di estendere le pratiche di gestione e di governance di Azure anche ad ambienti differenti e di adottare soluzioni tipicamente cloud, anche per gli ambienti on-premises.

Figura 3 – Panoramica di Azure Arc

Per ottenere questo risultato Microsoft ha deciso di estensione il modello Azure Resource Manager per poter supportare anche ambienti ibridi, facilitando in questo modo l’implementazione delle funzionalità di controllo presenti in Azure su tutti i componenti dell’infrastruttura.

Conclusioni

Per garantire un utilizzo efficace del cloud pubblico, è importante adottare le giuste pratiche di cloud governance che consentono di mitigare i rischi e di proteggere l’azienda da un utilizzo improprio delle risorse IT. Ci sono diverse discipline da considerare e la governance del proprio ambiente IT deve essere estesa a tutte le risorse, indipendentemente da dove si trovano. Microsoft offre una serie di strumenti e soluzioni per affrontare la sfida della governance, tuttavia è necessaria molta esperienza per mettere in atto processi consolidati ed affidabili.

Azure IaaS and Azure Stack: announcements and updates (March 2023 – Weeks: 09 and 10)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure VMware Solution in Microsoft Azure Government (preview)

Azure VMware Solution is a fully managed service in Azure that customers can use to extend their on-premises VMware workloads more seamlessly to the cloud, while maintaining their existing skills and operational processes. Azure VMware Solution is already available in Azure commercial for any customer, including public sector organizations. With this launch, Microsoft is extending the same benefits of Azure VMware Solution to Azure Government, where US Government customers and their partners can meet their security and compliance needs.

Spot Priority Mix

Spot Priority Mix is a new feature for Virtual Machine Scale Sets (VMSS) with Flexible Orchestration Mode enabled. With Spot Priority Mix, customers can now mix spot and standard virtual machines in their Flexible scale set, providing the high availability of standard virtual machines and the cost savings of Spot virtual machines. This feature also allows customers to autoscale their scale set with a percentage split of Spot and standard virtual machines, providing even more flexibility and cost optimization. With Spot Priority Mix, customers can specify a base number of standard virtual machines and a percentage split of spot and standard virtual machines to be used when the scale set capacity is above the base number of standard virtual machines. This allows customers to ensure that their critical workloads are always running on standard virtual machines, while taking advantage of the cost savings offered by spot virtual machines for non-critical, interruptible workloads.

Networking

Azure Network Watcher: new enhanced connection troubleshoot

As customers bring sophisticated, high-performance workloads into Azure, there is a critical need for increased visibility and control over the operational state of complex networks running these workloads. One such day-to-day common occurring scenario is connectivity.

Although Microsoft Azure Network Watcher provides numerous specialized standalone tools to diagnose and troubleshoot connectivity cases. These tools include:

  • IP Flow Verify – helping detect blocked traffic due to network security group (NSG) rules restriction
  • Next Hop – determine intended traffic as per the rules of the effective route
  • Port Scanner – helping determine any port blocking traffic.

With a one-stop solution to all disjointed operations and actionable insights at the fingertips, the new comprehensive and improved Network Watcher connection troubleshoot aims to reduce mean time to resolution and improve your experience.

New features:

  • Unified solution for troubleshooting all NSG, user defined routes, and blocked ports
  • Actionable insights with step-by-step guide to resolve issues
  • Identifying configuration issues impacting connectivity
  • NSG rules that are blocking traffic
  • Inability to open a socket at the specified source port
  • No servers listening on designated destination ports
  • Misconfigured or missing routes

Scale improvements and metrics enhancements on Azure’s regional WAF

You can now do more with less using the increased scale limits for Azure’s regional Web Application Firewall (WAF) running on Application Gateway. These increased scale limits allow you greater flexibility, and scale, when configuring your WAF to meet the needs of your applications and network. Application Gateway v2 WAF enabled SKUs running Core Rule Set (CRS) 3.2 or higher now supports a higher number of frontend ports, HTTP load-balancing rules, backend HTTP settings, SSL certificates, number of sites, and redirect configurations. The regional WAF also increased the number of HTTP listeners from 40 to 200. You can leverage the new metrics for Azure’s regional v2 WAF when you use CRS 3.2 or higher, or if your WAF has bot protection and geo-filtering enabled. The regional WAF now allows you to filter the metrics total requests, managed rule matches, custom rule matches, and bot protection matches by the dimensions policy name, policy scope and ruleset name, in addition to the already existing dimensions that the WAF supports.

Azure Virtual Network Manager Event Logging (preview)

Azure Virtual Network Manager (AVNM) event logging is now available for public preview. AVNM is a highly scalable and available network management solution that allows you to simplify network management across subscriptions globally. With this new feature, you can monitor changes in network group membership by accessing event logs. Whenever a virtual network is added to or removed from a network group, a corresponding log is emitted for that specific addition or removal. You can view and interact with these logs using Azure Monitor’s Log Analytics tool in the Azure Portal, or you can store them in your storage account, or send them to an event hub or partner solution.

Storage

More transactions at no additional cost for Azure Standard SSD

Microsoft has made changes to the billable transaction costs per hour that can result in additional cost savings. The total cost of Azure Standard SSD storage depends on the size, number of disks, and the number of transactions. Any transactions that exceed the maximum hourly limit will not incur additional charges. New prices took effect on March 6th, 2023.

Customer Initiated Storage Account Conversion

Microsoft is now supporting the self-service ability to convert storage accounts from non-zonal redundancy (LRS/GRS) to zonal redundancy (ZRS/GZRS). You can now save time by initiating a storage account conversion directly through Azure Portal rather than creating a support ticket. Converting your storage account to zonal redundancy allows you to increase your intra-regional resiliency and availability.

Online live resize of persistent volumes

Live resizing capability allows you to dynamically scale up your persistent volumes without application downtime. Previously, in order to resize the disk, you had to scale down your deployment to zero pods, wait several minutes for the disk to detach, update your persistent volume claim, and then scale back up the deployment. With Live resize of persistent volumes, you can just modify your persistent volume claim directly, avoiding any application downtime.

Azure Ultra Disk Storage in the China North 3 Azure region

Azure Ultra Disk Storage is now available in the China North 3 Azure region. Azure Ultra Disk Storage offers high throughput, high input/output operations per second (IOPS), and consistent low latency disk storage for Azure Virtual Machines. Ultra Disk Storage is well-suited for data-intensive workloads such as SAP HANA, top-tier databases, and transaction-heavy workloads.

Azure Archive Storage now available in West US 3

Azure Archive Storage provides a secure, low-cost means for retaining rarely accessed data including backup and archival storage. Now, Azure Archive Storage is available in West US 3.

Azure Management services: le novità di Febbraio 2023

Durante il mese di febbraio sono state annunciate alcune novità riguardanti gli Azure management services. In questo articolo viene fatta una panoramica complessiva delle principali novità del mese, in modo da poter rimanere aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli:

Figura 1 – Overview dei Management services in Azure

Govern

Azure Cost Management

Aggiornamenti relativi a Microsoft Cost Management

Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Microsoft Cost Management, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.

Secure

Microsoft Defender for Cloud

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud

Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

Protect

Azure Backup

Esperienza migliorata per la creazione e la gestione di endpoint privati per i Recovery Services vault

Azure Backup consente di utilizzare endpoint privati per eseguire backup e ripristini in modo sicuro, utilizzando IP privati delle reti virtuali. Azure Backup ha recentemente introdotto diversi miglioramenti che forniscono un’esperienza più semplice per la creazione e l’utilizzo degli endpoint privati per i Recovery Service vault. I miglioramenti principali apportati nell’ambito di questo aggiornamento sono i seguenti:

  • Possibilità di creare endpoint privati senza managed identities
  • Utilizzo di un minor numero di IP privati per vault
  • Non è più necessario creare endpoint privati separati per i servizi di blob e queue

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 66 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Migrate

Azure Migrate

Nuovi rilasci e funzionalità di Azure Migrate

Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità. In particolare, questo mese la principale novità riguarda il supporto al discovery e all’assessment per le istanze dei failover cluster Always On di SQL Server e per i gruppi di disponibilità Always On.

Azure Database Migration

Migrazioni di database con login e TDE

La nuova funzionalità dell’estensione Azure SQL Migration rende l’esperienza post migrazione del database più fluida. Infatti, è possibile avere supporto per la migrazione degli oggetti a livello di istanza, come i login SQL e Windows, le autorizzazioni, i ruoli del server e la mappatura aggiornata degli utenti dei database precedentemente migrati.

Inoltre, è ora possibile eseguire migrazioni di database abilitati al TDE con una procedura guidata che automatizza il processo di backup, copia e riconfigurazione delle chiavi di crittografia dei database per i target Azure SQL Managed Instance.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (February 2023 – Weeks: 07 and 08)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Storage

Create disks from CMK-encrypted snapshots across subscriptions and in the same tenant

To ease manageability, Microsoft makes disks encrypted with customer-managed keys (CMK) more flexible by allowing creation of disks and snapshots from CMK-encrypted source across subscriptions.

Incremental snapshots for Premium SSD v2 Disk Storage (preview)

Incremental snapshots for Premium SSD v2 Disk Storage in the US East and West Europe Azure region are available. This new capability is particularly important to customers who want to create a backup copy of their data stored on disks to recover from accidental deletes, or to have a last line of defense against ransomware attacks, or to ensure business continuity. You can now create incremental snapshots for Premium SSD v2 Disk Storage on Standard HDD. Additionally, snapshot resources can be used to store incremental backups of your disk, create or recover to new disks, or download snapshots to on-premises locations. This new feature adds an extra layer of data protection and flexibility for users.

Azure Managed Lustre (preview)

Azure Managed Lustre is a managed, pay-as-you-go file system purpose-built for high-performance computing (HPC) and AI workloads. This high-performance distributed parallel file system delivers hundreds of GBps storage bandwidth and solid-state disk latency and integrates fully with Azure services such as Azure HPC Compute, Azure Kubernetes Service, and Azure Machine Learning.

Use this system to:

  • Simplify operations
  • Reduce setup costs
  • Eliminate complex maintenance

Azure NetApp Files updates (preview)

  • Azure NetApp Files volume user and group quotas: in some scenarios you may want to limit this storage consumption of users and groups within the volume. With Azure NetApp Files volume and group quotas you can now do so. User and/or group quotas enable you to restrict the storage space that a user or group can use within a specific Azure NetApp Files volume. You can choose to set default (same for all users) or individual user quotas on all NFS, SMB, and dual protocol-enabled volumes. On all NFS-enabled volumes, you can set default (same for all users) or individual group quotas.
  • You can now create Azure NetApp Files large volumes between 100TiB to 500TiB in size.
  • Azure NetApp Files now supports smaller 2TiB capacity pool sizes, lowered from 4TiB, when used with volumes using standard network features.
  • Azure NetApp Files volumes now support encryption with customer-managed keys (CMK), using Azure Key Vault for key storage, to enable an extra layer of security for data at rest.

Attiva il Disaster Recovery dei tuoi workload in modo semplice e veloce grazie ad Azure VMware Solution

In un’era in cui le aziende dipendono sempre di più dai sistemi informatici per il loro funzionamento, la protezione dei dati e la continuità del business sono elementi che devono necessariamente essere presi in considerazione. Gli eventi imprevisti come disastri naturali, guasti hardware, attacchi informatici ed errori umani possono causare l’interruzione dei servizi IT, con conseguenti perdite finanziarie significative. È qui che entra in gioco il piano di Disaster Recovery (DR), che permette alle aziende di ripristinare rapidamente i servizi IT e minimizzare l’impatto sul business degli eventi imprevisti. Per le grandi realtà con ambienti IT eterogenei e complessi può essere particolarmente sfidante attivare un piano di Disaster Recovery. In questo articolo viene illustrato come Azure VMware Solution (AVS), grazie alle sue caratteristiche, può essere la soluzione ideale per sviluppare in modo semplice e veloce un piano di Disaster Recovery.

L’importanza di un piano di DR in azienda

La presenza di una buona strategia di Disaster Recovery può sembrare scontata, ma molta realtà aziendale continuano a trascurarne l’importanza. Tra i principali fattori da considerare per il DR troviamo:

  • Continuità del business: il piano di DR consente alle aziende di ripristinare rapidamente il funzionamento dei sistemi IT, minimizzando l’impatto degli eventi imprevisti e garantendo la continuità del business.
  • Minimizzazione delle perdite finanziarie: le interruzioni del servizio IT possono causare perdite finanziarie significative. Il piano di DR consente di minimizzare queste perdite, ripristinando i sistemi IT il più rapidamente possibile.
  • Conformità alle normative: molte normative richiedono alle aziende di avere un piano di DR in atto per proteggere i dati e garantire la continuità del business.
  • Fiducia dei clienti: la continuità del business è un fattore importante per la fiducia dei clienti. Un piano di DR può dimostrare ai clienti che l’azienda è in grado di gestire gli eventi imprevisti e garantire la continuità dei servizi.

Sfide da affrontare nell’attivazione di un piano di DR

Capita l’importanza è comunque vero che le aziende si trovano spesso ad affrontare diverse sfide quando devono attivare un piano di Disaster Recovery (DR). Alcune delle sfide più comuni sono:

  • Disponibilità del sito di ripristino: solitamente il Disaster Recovery (DR) viene attivato in un sito di ripristino dedicato separato dalla sede principale dell’azienda. Questo sito di ripristino può essere situato in una zona geografica diversa per garantire una maggiore protezione contro eventi catastrofici che potrebbero interessare l’area geografica in cui si trova la sede principale dell’azienda. Il sito di ripristino deve essere adeguato, equipaggiato e configurato per supportare le attività critiche dell’azienda, in modo che queste possano essere ripristinate il più rapidamente possibile.
  • Tempi di ripristino: il tempo necessario per ripristinare i sistemi IT è una delle sfide più importanti in caso di interruzione del servizio. Le aziende devono fare tutto il possibile per ridurre il tempo di inattività e ripristinare i servizi IT il più rapidamente possibile.
  • Accesso ai dati: nel caso in cui l’interruzione del servizio IT sia causata da un disastro naturale, un attacco informatico o un errore umano, l’accesso ai dati potrebbe essere compromesso. È importante che le aziende proteggano i propri dati e che i backup siano conservati in un luogo sicuro, per garantire il ripristino delle informazioni.
  • Formazione del personale: il personale dell’azienda deve essere adeguatamente formato per essere in grado di gestire le procedure di ripristino in modo efficace. Questo richiede un investimento in formazione e nello sviluppo del personale.

Premessa per l’adozione di Azure

Microsoft Azure è stato progettato sin dall’inizio per aiutare i clienti a ridurre i costi, la complessità e per migliorare l’affidabilità e l’efficienza del proprio ambiente IT.

Figura 1 – L’ approccio completo alla creazione di un’infrastruttura progettata per differenti workload

Non esiste un modo valido per tutti per adottare le soluzioni cloud, ma è opportuno fornire ai clienti la possibilità di abbracciare il cloud al loro ritmo, in certi casi anche adottando le stesso soluzioni tecnologiche che stanno ad oggi utilizzando nel loro ambiente on-premises. Fornire una simmetria di piattaforma (on-premises – cloud), ove appropriato, è utile per indirizzare scenari di migrazione dei workload, ma anche per attivare piani di Disaster Recovery.

In questo articolo sarà preso in considerazione Azure VMware Solution (AVS) il servizio progettato, realizzato e supportato da Microsoft, ed approvato da VMware, che consente ai clienti di utilizzare cluster VMware vSphere fisici ospitati in Azure.

Azure VMware Solution: perché utilizzarla per il Disaster Recovery

Azure VMware Solution è un servizio che consente il provisioning e l’esecuzione di un ambiente VMware Cloud Foundation completo su Azure. VMware Cloud Foundation è la piattaforma hybrid cloud di VMware per la gestione delle macchine virtuali e l’orchestrazione dei container, dove l’intero stack è basato su una infrastruttura hyper-converged (HCI).

Figura 2 – Panoramica di Azure VMware Solution

Questo modello di architettura assicura un’infrastruttura e operation coerenti su qualsiasi cloud privato e pubblico, tra i quali Microsoft Azure. La soluzione Azure VMware permette ai clienti l’adozione di un set completo di funzionalità VMware, con la garanzia di detenere la convalida “VMware Cloud Verified”. Grazie a questa soluzione è quindi possibile ottenere coerenza, prestazioni e interoperabilità per i carichi di lavoro VMware esistenti, senza rinunciare alla velocità, scalabilità e disponibilità dell’infrastruttura globale di Azure. Tra i principali scenari di adozione di Azure VMware Solution troviamo il Disaster recovery.

Parlando con i clienti di grandi dimensioni, vediamo una varietà di driver che indirizzano l’adozione di una soluzione come Azure VMware Solution per attivare una strategia di DR efficace:

  • Velocità: AVS consente di implementare piani di DR in modo rapido ed efficiente grazie ad una architettura cloud ibrida, alla replica delle macchine virtuali e alle funzionalità di automazione avanzate che si possono adottare. Questi elementi consentono alle aziende di ridurre il tempo necessario per attivare un piano di DR e per ripristinare le operazioni critiche in caso di emergenza.
  • Costi e complessità: Azure VMware Solution può aiutare a ridurre i costi di attivazione di un sito di Disaster Recovery (DR). Infatti, AVS consente alle aziende di estendere le loro soluzioni VMware on-premises in Azure, creando un ambiente di DR su cloud ibrido che offre flessibilità e scalabilità. Invece di acquistare hardware e infrastrutture costose per un sito di DR separato, le aziende possono utilizzare Azure come sito di ripristino e pagare solo per le risorse cloud che effettivamente utilizzano durante l’attivazione del DR. Ciò consente alle aziende di ridurre i costi iniziali di attivazione del DR e di semplificare l’infrastruttura IT con conseguenti benefici anche dal punto di vista della manutenzione. Inoltre, grazie ad AVS è possibile ridimensionare l’infrastruttura in modo dinamico, in base alle proprie esigenze, e garantire una maggiore efficienza operativa.
  • Persone, processi e strumenti: AVS consente di sfruttare gli investimenti già effettuati per quanto riguarda le competenze e gli strumenti per la gestione degli ambienti VMware on-premises. Per implementare dei piani di disaster recovery utilizzando Azure VMware Solution è possibile adottare soluzioni native di VMware oppure soluzioni di terze parti. Infatti, Microsoft, al fine di garantire ai propri clienti la possibilità di sfruttare al meglio gli investimenti fatti in competenze e tecnologie, ha collaborato con alcuni dei principali partner del settore, per garantire integrazione e supporto. Per maggiori approfondimenti a riguardo è possibile consultare l’articolo “Il disaster recovery con Azure VMware Solution – Cloud Community”.

Conclusioni

Azure VMware Solution rappresenta una soluzione ideale per indirizzare casi di Disaster Recovery (DR), per le realtà enterpise, grazie alla sua flessibilità, scalabilità e affidabilità. Utilizzando questa soluzione, le aziende possono creare ambienti in Azure che sono compatibili e integrati con l’infrastruttura VMware on-premise, garantendo la continuità operativa e la ripresa di emergenza in caso di disastro. Inoltre, la soluzione consente di semplificare e automatizzare la gestione del DR, riducendo i costi e aumentando la velocità di ripristino. Pertanto, se siete alla ricerca di una soluzione per attuare piani di DR efficienti ed efficaci, Azure VMware Solution è sicuramente una soluzione da tenere in considerazione.

L’importanza di un approccio moderno al networking e di una network governance efficace nell’era del cloud

Il networking è uno dei pilastri nel mondo IT, perché sostiene le infrastrutture, consente lo scambio di tutti i dati necessari al business, sia all’interno sia all’esterno dell’azienda, e abilita la creazione e l’adozione di nuove soluzioni. Si può facilmente intuire come il networking sia un ambito delicato, complesso e in continua evoluzione. Tuttavia, ciò a cui si assiste in molte realtà aziendali è l’ostinazione ad un approccio tradizionale al networking che risulta oggi limitante e poco efficace. In questo articolo vengono elencate le principali sfide di un approccio tradizionale al networking nell’era moderna e vengono riportati alcuni spunti per adottare un approccio differente e per strutturare una network governance efficace.

Le sfide del networking tradizionale nell’era moderna

Entrando nel merito delle sfide principali che i clienti affrontano quotidianamente in ambito networking troviamo:

  • un aumento della complessità e dell’effort di gestione: la rapida proliferazione di ambienti cloud, dei dispositivi mobili e dell’IoT ha di fatto eroso quelli che sono i confini delle reti moderne, rendendole più difficili da gestire e più vulnerabili;
  • l’espansione della superficie di attacco: a questo proposito la domanda alla quale è opportuno saper rispondere è «in che modo è possibile garantire una protezione di rete efficace senza interferire con la crescita e le fluttuazioni dei workload in ambienti cloud e multi-cloud?»;
  • una visibilità ed una integrazione frammentata ed incoerente tra i datacenter locali e gli ambienti cloud: l’aggiunta di prodotti di rete monofunzionali isolati per far fronte a problemi di comunicazione incrementa la complessità, i costi ed il carico di lavoro del personale IT;
  • cambiamenti nella connettività delle sedi periferiche: la tendenza delle realtà aziendali, distribuite geograficamente, vede la sostituzione delle costose connessioni MPLS con connessioni Internet dirette più convenienti, ma che non sempre permettono di raggiungere gli stessi livelli di qualità e di prestazione.

Tutto questo si traduce in specifici punti di criticità che nel tempo ho riscontrato presso i nostri clienti:

  • Costi elevati e molta complessità
  • Molti vendor di soluzioni di rete con una scarsa integrazione
  • Troppi alert con risposte lente e manuali
  • Mancanza di personale IT interno opportunamente formato

L’adozione di un approccio moderno al Networking

Alla luce di queste considerazioni diventa indispensabile adottare un approccio moderno al networking in grado di affrontare al meglio tutte queste sfide, andando a ridurre le complessità e a migliorare l’efficienza. Individuare e realizzare architetture di rete progettate per la trasformazione digitale deve avvenire tramite:

  • Un networking basato sulla sicurezza che garantisce e velocizza l’esperienza di rete e dell’utente.
  • Una gestione dinamica e trasversale di qualsiasi ambiente per proteggere e controllare l’infrastruttura e le applicazioni on-premise, in ambienti ibridi e nei cloud pubblici.
  • Soluzioni integrate per connettere i componenti dell’intera infrastruttura di rete, aiutando le organizzazioni ad adattarsi a un ambiente mutevole e sempre più sfidante.
  • Un ecosistema monitorato e controllato per rilevare e rispondere a malfunzionamenti, alle minacce di sicurezza e per ottimizzare le operazioni, alleggerendo il carico di lavoro sul personale.

Come strutturare la governance del networking

Nell’ambito dell’IT governance merita sicuramente un capitolo dedicato la network governance che deve contemplare un insieme di processi attraverso i quali è possibile garantire ad un’organizzazione un utilizzo efficace ed efficiente delle risorse IT in ambito networking, al fine di poter raggiungere i propri obiettivi.

Anche la network governance deve comprende l’applicazione di:

  • controlli che aiutano l’azienda a mitigare i rischi e a creare «guardrail»
  • misurazioni per verificare la presenza di potenziali problemi

Le principali discipline che emergono in ambito Network Governance sono:

  • Baseline di compliance e di sicurezza
  • Gestione delle vulnerabilità
  • Gestione delle identità e controllo degli accessi
  • Accelerazione, controllo e coerenza nei processi di deployment e change delle soluzioni di rete
  • Ottimizzazione ed efficientamento delle reti wired e wireless

Un aspetto importante è che tutto ciò deve essere fatto per le risorse IT in ambito networking in qualsiasi ambiente, sia on-premise sia in realtà cloud e multi-cloud con un approccio strutturato, consolidato ed olistico.

Microsoft, anche in questo ambito, offre diversi strumenti e soluzioni che permettono di affrontare la sfida della network governance in ambiente Azure, ai quali è necessario affiancare esperienza per mettere in atto processi consolidati ed affidabili.

Conclusioni

Negli ultimi anni l’adozione di architetture ibride ha registrato un notevole interesse da parte di molte aziende, attratte dalle possibilità offerte e dai benefici. Per poter realizzare al meglio questi ambienti e promuovere l’innovazione è indispensabile adeguare anche l’approccio nell’utilizzo delle risorse di rete ed estendere i processi di governance dell’ambiente IT all’ambito networking.