Archivi categoria: Microsoft Azure

Azure Management services: le novità di Dicembre 2020

Nel mese di dicembre sono state annunciate da parte di Microsoft diverse novità riguardanti gli Azure management services. La nostra community rilascia mensilmente questo riepilogo che consente di avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre eventuali approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Nuovo agente di Azure Monitor e nuove funzionalità di Data Collection Rules (preview)

In Azure Monitor è stato introdotto (in preview) un nuovo agente unificato (Azure Monitor Agent – AMA) e un nuovo concetto per rendere più efficiente la raccolta dati (Data Collection Rules – DCR).

Tra le varie funzionalità chiave aggiunte in questo nuovo agente troviamo:

  • Supporto per Azure Arc server (Windows and Linux) 
  • Supporto per Virtual Machine Scale Set (VMSS)
  • Installazione tramite template ARM

Per quanto riguarda la Data Collection sono state apportate queste novità:

  • Migliore controllo nella definizione dell’ambito della raccolta dei dati (ad es. possibilità di raccogliere da un sottoinsieme di VMs per un singolo workspace)
  • Raccolta unica ed invio sia a Log Analytics che ad Azure Monitor Metrics
  • Invio verso più workspace (multi-homing per Linux)
  • Possibilità di filtrare meglio gli eventi di Windows
  • Migliore gestione delle estensioni

Azure Monitor per Windows Virtual Desktop (preview)

Azure Monitor permette ora di effettuare le seguenti operazioni relative agli ambienti Windows Virtual Desktop:

  • Visualizzare un riepilogo sullo stato e sull’integrità degli host pool
  • Trovare e risolvere eventuali problemi nel deployment
  • Valutare l’utilizzo delle risorse e prendere decisioni sulla scalabilità e sulla gestione dei costi
  • Comprendere ed indirizzare i feedback degli utenti

Azure Monitor for containers: reports tab e log di deployment

In Azure Monitor for containers è stato reso disponibile un nuovo tab Reports che offre ai clienti un accesso completo a tutti i workbook di monitoring avanzati per Kubernetes, come ad esempio: Node-disk, Node-network, Workloads e monitoring dei Persistent Volume.

Inoltre, è ora possibile visualizzare i log in tempo reale dei deployment di Azure Kubernetes Service (AKS), accedendo direttamente ai Live Logs dei pod. In Log Analytics sarà consentito fare delle ricerche applicando dei filtri per visualizzare i log storici dei deployment dei pod, utile per diagnosticare eventuali problematiche.

Azure Monitor for containers: supporto per i live log dei Private Cluster (preview)

In Azure Monitor for containers è stato introdotto il supporto per i live log dei cluster privati, che consente di visualizzare in tempo reale i log dei container, gli eventi e le metriche dei pod. Per maggiori dettagli a riguardo è possibile consultare la documentazione specifica di Microsoft.

Infrastructure Encryption per i dati di Azure Monitor 

A partire dal 1 novembre 2020 i dati che confluiscono in Azure Monitor vengono crittografati due volte: a livello di servizio e ora anche a livello di infrastruttura, grazie alla double encryption disponibile per Azure storage.

Configure

Azure Automation

Disponibile il supporto per Azure Private Link

Microsoft ha introdotto il supporto per gli Azure Private Link, necessari per connettere in modo sicuro le reti virtuali ad Azure Automation tramite l’utilizzo di endpoint privati. Questa funzionalità risulta utile per:

  • Stabilire una connessione privata con Azure Automation, senza aprire l’accesso dalla rete pubblica.
  • Assicurare che i dati di Azure Automation siano accessibili solo attraverso reti private autorizzate.
  • Proteggersi dall’estrazione dei dati permettendo un accesso granulare a specifiche risorse.
  • Mantenere tutto il traffico all’interno della rete backbone di Microsoft Azure.

Disponibilità in nuove region

Azure Automation è ora disponibile nelle region di “Norway East” e “Germany West Central”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Supporto per i runbook Python3 (preview)

In Azure Automation è ora possibile importare, creare ed eseguire runbook Python 3 in Azure oppure in un Hybrid Runbook Worker.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (December 2020 – Weeks: 51 and 52)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure VMware Solution: now available in UK South and Japan East Azure regions

The new Azure VMware Solution empowers customers to seamlessly extend or migrate their existing on-premises VMware applications to Azure without the cost, effort or risk of re-architecting applications or retooling operations. General Availability of the new Azure VMware Solution was announced at Microsoft Ignite, Sept 2020, with initial availability in US East, US West, West Europe and Australia. Microsoft has now expanded availability to two more Azure regions Japan East and UK South. For updates on more upcoming region availability please visit the product by region page here.

HBv2-series VMs for HPC now available in the UAE North region

HBv2 VMs are now Generally Available in the Azure UAE North region.

Storage

Azure File Sync agent v11.1

Azure File Sync agent v11.1 is now on Microsoft Update and Microsoft Download Center.

Improvements and issues that are fixed:

  • New cloud tiering modes to control initial download and proactive recall
    • Initial download mode: you can now choose how you want your files to be initially downloaded onto your new server endpoint. Want all your files tiered or as many files as possible downloaded onto your server by last modified timestamp? You can do that! Can’t use cloud tiering? You can now opt to avoid tiered files on your system. To learn more, see Create a server endpoint section in the Deploy Azure File Sync documentation.
    • Proactive recall mode: whenever a file is created or modified, you can proactively recall it to servers that you specify within the same sync group. This makes the file readily available for consumption in each server you specified. Have teams across the globe working on the same data? Enable proactive recalling so that when the team arrives the next morning, all the files updated by a team in a different time zone are downloaded and ready to go! To learn more, see Proactively recall new and changed files from an Azure file share section in the Deploy Azure File Sync documentation.
  • Exclude applications from cloud tiering last access time tracking
    • You can now exclude applications from last access time tracking. When an application accesses a file, the last access time for the file is updated in the cloud tiering database. Applications that scan the file system like anti-virus cause all files to have the same last access time which impacts when files are tiered. For more details, see the release notes.
  • Miscellaneous performance and reliability improvements
    • Improved change detection performance to detect files that have changed in the Azure file share.
    • Improved sync upload performance.
    • Initial upload is now performed from a VSS snapshot which reduces per-item errors and sync session failures.
    • Sync reliability improvements for certain I/O patterns.
    • Fixed a bug to prevent the sync database from going back-in-time on failover clusters when a failover occurs.
    • Improved recall performance when accessing a tiered file.

More information about this release:

  • This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
  • The agent version for this release is 11.1.0.0.
  • A restart may be required if files are in use during the agent installation.
  • Installation instructions are documented in KB4539951.

Le possibilità offerte da Azure per l’esecuzione dei container

La forte tendenza nello sviluppo di applicazioni che prevedono architetture basate su microservizi rendono i container perfetti per eseguire il deployment del software in modo efficiente ed operare su larga scala. I container sono in grado di funzionare su sistemi operativi Windows, Linux e Mac, su macchine virtuali oppure bare metal, in data center on-premise e, ovviamente, nel cloud pubblico. Microsoft è certamente uno dei principali provider che consente l’esecuzione di container a livello enterprise nel cloud pubblico. In questo articolo viene riportata una panoramica delle principali soluzioni che è possibile adottare per l’esecuzione di container in ambiente Microsoft Azure.

Macchine virtuali

Le macchine virtuali IaaS in ambiente Azure sono in grado di fornire la massima flessibilità per eseguire container Docker. Infatti, su macchine virtuali Windows e Linux è possibile installare il runtime Docker e grazie alla disponibilità di diverse combinazioni di CPU e RAM si può disporre delle risorse necessarie per eseguire uno o più container. Questo approccio è tipicamente consigliato in ambienti di DevTest, in quanto l’onere di configurazione e manutenzione della macchina virtuale non è comunque trascurabile.

Approcci serverless

Azure Container Instances (ACI)

Azure Container Instances (ACI) è il metodo più semplice e rapido in Azure per l’esecuzione di container on-demand in un ambiente serverless gestito. Il tutto viene reso possibile senza dover attivare macchine virtuali specifiche e la manutenzione necessaria è pressoché trascurabile. La soluzione Azure Container Instances è idonea in scenari che richiedono container isolati, senza la necessità di adottare un sistema complesso di orchestrazione. ACI è infatti in grado di fornire solo alcune funzionalità di schedulazione di base offerte delle piattaforme di orchestrazione e, sebbene non copra i servizi di valore forniti da tali piattaforme, può essere visto come una soluzione complementare.

Le risorse di primo livello in Azure Container Instances sono i Container group, una raccolta di container che vengono schedulati sulla stessa macchina host. I container all’interno di un Container group condividono il lifecycle, le risorse, la rete locale ed i volumi di archiviazione. Il concetto di Container group è simile a quello del pod in ambiente Kubernetes.

Figura 1 – Esempio di container group in Azure Container Instances

Il servizio Azure Container Instances comporta dei costi che dipendono dal numero di vCPU e di GBs di memoria allocati al secondo. Per maggiori dettagli sui costi è possibile consultare la relativa pagina ufficiale Microsoft.

Azure Web App for Containers

Per carichi di lavoro web-based esiste la possibilità di far eseguire i container dagli Azure App Service, la piattaforma Azure di web hosting, utilizzando il servizio Azure Web App for Containers, con il vantaggio di poter sfruttare le metodologie di distribuzione, scalabilità e monitor intrinseche nella soluzione.

Azure Batch e container

Se i workload prevedono la necessità di scalare con più job batch è possibile inserirli in container e gestire lo scaling tramite Azure Batch. In questo scenario la combinazione tra Azure Batch e container risulta vincente. Azure Batch consente l’esecuzione ed il ridimensionare di un numero elevato di processi di elaborazione batch in Azure, mentre i container forniscono un metodo semplice per eseguire le attività Batch, senza dover gestire l’ambiente e le relative dipendenze, necessarie per l’esecuzione delle applicazioni. In questi scenari è possibile prevedere l’adozione delle low-priority VMs con Azure Batch per ridurre i costi.

Orchestrazione dei container

I task di automazione e gestione di un numero elevato di container e le modalità con le quali questi interagiscono applicativamente tra di loro è noto come orchestrazione. Nel caso quindi ci sia la necessità di orchestrare più containers è necessario adottare soluzioni più sofisticate come: Azure Kubernetes Service (AKS) oppure Azure Service Fabric.

Azure Kubernetes Service (AKS)

Azure Kubernetes Service (AKS) è il servizio Azure completamente gestito che permette l’attivazione di un cluster Kubernetes.

Kubernetes, conosciuto anche come “k8s”, provvede all’orchestrazione automatizzata dei container, migliorandone l’affidabilità e riducendo il tempo e le risorse necessarie in ambito DevOps. Kubernetes tende a semplificare i deployment, permettendo di eseguire automaticamente le implementazioni ed i rollback. Inoltre, permette di migliorare la gestione delle applicazioni e di monitorare lo stato dei servizi per evitare errori in fase di implementazione. Tra le varie funzionalità sono previsti controlli di integrità dei servizi, con la possibilità di riavviare i container che non sono in esecuzione oppure che risultano bloccati, permettendo di annunciare ai client solo i servizi correttamente avviati. Kubernetes permette inoltre di scalare automaticamente in base all’utilizzo ed esattamente come i container, permette di gestire in maniera dichiarativa l’ambiente cluster, consentendo una configurazione controllata a livello di versione e facilmente replicabile.

Figura 2 – Esempio di architettura a microservizi basata su Azure Kubernetes Service (AKS)

Azure Service Fabric

Un’altra possibilità per orchestrare i container è l’adozione dell’affidabile e flessibile piattaforma Azure Service Fabric. Si tratta dell’orchestratore di container di Microsoft che permette il deployment e la gestione dei microservizi in ambienti cluster ad elevata intensità e con tempi di deployment molto rapidi. Con questa soluzione si ha la possibilità, per la stessa applicazione, di unire servizi che risiedono in processi e servizi all’interno di container. L’architettura unica e scalabile di Service Fabric consente di eseguire analisi dei dati pressoché in tempo reale, calcoli computazionali in memoria, transazioni parallele ed elaborazione di eventi nelle applicazioni. Service Fabric offre un runtime sofisticato e leggero che supporta microservizi stateless e stateful. Un elemento chiave di differenziazione di Service Fabric è il suo robusto supporto per la creazione di servizi stateful, adottando modelli di programmazione built-in di Service Fabric oppure servizi stateful containerizzati. Per maggiori informazioni sugli scenari applicativi che possono trarre vantaggio dai servizi stateful di Service Fabric è possibile consultare questo documento.

Figura 3 – Panoramica di Azure Service Fabric

Azure Service Fabric può vantare di ospitare molti servizi Microsoft, tra i quali Azure SQL Database, Azure Cosmos DB, Cortana, Microsoft Power BI, Microsoft Intune, Azure Event Hubs, Azure IoT Hub, Dynamics 365, Skype for Business, e molti servizi core di Azure.

Conclusioni

Microsoft offre un ventaglio di opzioni per l’esecuzione dei container nel proprio cloud pubblico. La scelta della soluzione più adatta alle proprie esigenze tra tutte quelle offerte, nonostante richieda una attenta valutazione, permette di avere una elevata flessibilità. Dall’adozione di approcci serverless, alla gestione di ambienti cluster per l’orchestrazione, fino alla creazione di una propria infrastruttura basata su macchine virtuali è possibile trovare la soluzione ideale per eseguire i container in ambiente Microsoft Azure.

Azure IaaS and Azure Stack: announcements and updates (December 2020 – Weeks: 49 and 50)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure Dedicated Host: automatic VM placement and Azure Virtual Machine Scale Sets available

You can simplify the deployment and increase the scalability of your Azure Dedicated Hosts environments with two new features now generally available:

  • You can accelerate the deployment of Azure VMs in Dedicated Hosts by letting the platform select the host group to which the VM will be deployed.
  • You can also use Virtual Machine Scale Sets in conjunction with Dedicated Hosts. This new capability allows IT organizations to use scale sets across multiple dedicated hosts part of a dedicated hosts group. 

New datacenter region in Denmark

Microsoft has announced the most significant investment in its 30-year history in Denmark, introducing Denmark as the location for its next sustainable datacenter region and a comprehensive skilling commitment for an estimated 200,000 Danes by 2024. Powered by 100 percent renewable energy, the datacenter region will provide Danish customers of all sizes faster access to the Microsoft Cloud, world-class security and the ability to store data at rest in the country.

HBv2-series VMs for HPC are now available in UAE North

HBv2 VMs for supercomputing lass HPC are now generally available in the Azure UAE North region.

Storage

Azure Storage blob inventory (preview)

A lot of valuable data is stored in Azure Blob Storage. Customers frequently want to have an overview of their data for business and compliance reasons. The Azure Storage blob inventory feature provides an overview of your blob data within a storage account. Use the inventory report to understand your total data size, age, encryption status, and so on. Enable blob inventory reports by adding a policy to your storage account. Add, edit, or remove a policy by using the Azure portal. Once enabled, an inventory report is automatically created daily.

Azure Storage account recovery available via portal

Azure Storage uses a storage account to contain all of your Azure Storage data including: blobs, files,  tables, queues, and disks.  Accidentally deleting a storage account deletes all data in the account and previously could not be recovered. Microsoft is announcing that storage account recovery is available with some restrictions and this functionality is available via the Azure Portal. 

 For a storage account to be recoverable: 

  • A new storage account with the same name has not been recreated since deletion 
  • The storage account was deleted in the last 14 days 
  • It is not a classic storage account 
  •  Azure Blob Storage NFS 3.0 preview supports general purpose v2 (GPV2) storage accounts with standard tier performance in the following regions: Australia East, Korea Central, and South Central US. In addition, the NFS 3.0 preview is expanded to support block blob with premium performance tier in all available regions.  

Azure Blob Storage NFS 3.0 preview supports general purpose v2 (GPV2) storage accounts

Azure Blob Storage NFS 3.0 preview supports general purpose v2 (GPV2) storage accounts with standard tier performance in the following regions: Australia East, Korea Central, and South Central US. In addition, the NFS 3.0 preview is expanded to support block blob with premium performance tier in all available regions.

Azure Stack

Azure Stack Edge

Virtual Machine Support (public preview)

Azure Stack Edge hosts Azure virtual machines so you can run your VM based IoT, AI, and business applications on an Azure appliance at your location. The system includes deployment and management from the Azure portal, meaning you use the Azure Portal to deploy a VM Image and a VM to your Edge device at your location. Because Azure Stack Edge supports Azure VMs, you can build and test your VM image in Azure before deploying straight to the edge. For local control, ARM compatible APIs and templates can deploy and manage VMs, even when the device is disconnected from Azure.

Kubernetes system is available

Azure Stack Edge includes a managed Kubernetes environment so you can deploy your containerized apps to the edge using this industry standard technology. Just click a button in the Azure Portal and Azure Stack Edge will create a Kubernetes cluster and keep it running for you. Then deploy your Kubernetes apps from the cloud via IoT Edge or Arc enabled Kubernetes. Or use native kubectl tools for local deployment. This makes it simple to have an on-premises Kubernetes environment for your AI, IoT, and modern business applications.

Azure Stack HCI

The new Azure Stack HCI is now generally available

Azure Stack HCI is the new subscription service for hyperconverged infrastructure from Microsoft Azure. Azure Stack HCI brings together the familiarity and flexibility of on-premises virtualization with powerful new hybrid capabilities. With Azure Stack HCI, you can run virtual machines, containers, and select Azure services on-premises with management, billing, and support through the Azure cloud.

Azure Stack Hub

Event hubs is available

Event Hubs is a reliable and scalable event streaming engine that backs thousands of applications across every kind of industry in Microsoft Azure. Microsoft is announcing the general availability of Event Hubs on Azure Stack Hub. Event Event Hubs on Azure Stack Hub will allow you to realize cloud and on-premises scenarios that use streaming architectures.

 

Azure Application delivery: quale servizio di load balancing scegliere?

La transizione verso soluzioni cloud per erogare le applicazioni è una tendenza che procede a un ritmo molto elevato e garantire un accesso rapido, sicuro ed affidabile a tali applicazioni è un’attività sfidante che deve essere indirizzata adottando le giuste soluzioni. Microsoft Azure mette a disposizione una vasta gamma di servizi per garantire una erogazione ottimale delle applicazioni, ma nella valutazione di quale soluzione di load-balancing adottare ci sono diversi aspetti da prendere in considerazione. Questo articolo vuole fare chiarezza sugli elementi che è opportuno valutare per adottare la soluzione Azure più idonea in questo ambito.

L’esigenza di distribuire i carichi di lavoro su più risorse di elaborazione può essere data dalla necessità di ottimizzare l’uso delle risorse, massimizzare il throughput, ridurre al minimo i tempi di risposta ed evitare di sovraccaricare ogni singola risorsa. Inoltre, può essere rivolta anche a migliorare la disponibilità delle applicazioni condividendo un carico di lavoro tra risorse di elaborazione ridondanti.

Servizi di load balancing di Azure

Per erogare servizi di load-balancing di Azure troviamo i seguenti componenti.

Azure Load Balancer e cross-region Azure Load Balancer: si tratta di componenti che consentono il bilanciamento del carico Layer-4 per tutti i protocolli TCP e UDP, garantendo alte prestazioni e bassissime latenze. Azure Load Balancer è un componente zone-redundant, pertanto offre un’elevata disponibilità tra le Availability Zones.

Figura 1 – Panoramica di Azure Load Balancer e cross-region Azure Load Balancer

Azure Application Gateway: si tratta di un servizio gestito dalla piattaforma Azure, con funzionalità intrinseche di alta disponibilità e scalabilità. L’Application Gateway è un load balancer applicativo (OSI layer 7) per il traffico web, che consente di governare il traffico HTTP e HTTPS delle applicazioni (URL path, host based, round robin, session affinity, redirection). L’Application Gateway è in grado di gestire in modo centralizzato i certificati per la pubblicazione applicativa, tramite policy SSL ed effettuando SSL offload quando necessario. L’Application Gateway può avere assegnato un indirizzo IP Privato oppure un indirizzo IP Pubblico, se la ripubblicazione applicativa deve avvenire verso Internet. In particolare, in quest’ultimo caso, è consigliato attivare la funzionalità di Web Application Firewall (WAF), che consente di ottenere una protezione applicativa, basandosi su regole OWASP core rule sets. Il WAF protegge l’applicativo da vulnerabilità e da attacchi comuni, come ad esempio attacchi X-Site Scripting e SQL Injection.

Figura 2 – Panoramica di Azure Application Gateway

Front Door: è un application delivery network che fornisce bilanciamento del carico a livello globale e un servizio di site accelleration per le applicazioni web. Offre funzionalità Layer-7 per la pubblicazione applicativa come ad esempio SSL offload, path-based routing, fast failover, caching, al fine di migliorare le prestazioni e l’alta disponibilità delle applicazioni.

Figura 3 – Panoramica di Azure Front Door

Traffic Manager: è un servizio di bilanciamento del carico basato su DNS che consente di distribuire il traffico in modo ottimale ai servizi distribuiti in differenti region di Azure, fornendo al contempo alta disponibilità e responsività. Sono disponibili diversi metodi di instradamento per determinare verso quale endpoint dirigere il traffico. Basandosi su DNS, il failover può non essere immediato a causa delle sfide comuni relative al caching DNS e ai sistemi che non rispettano i TTL del DNS.

Figura 4 – Panoramica di Azure Traffic Manager (performance traffic-routing method)

Aspetti da valutare nella scelta dei servizi di load balancing di Azure

Ogni servizio ha le proprie caratteristiche e per scegliere quello più opportuno è bene fare una classificazione rispetto ai seguenti aspetti.

Servizi di load-balancing: globali vs regionali

  • Global load-balancing: vengono utilizzati per distribuire il traffico verso i backend distribuiti globalmente su più region, i quali possono essere dislocati in ambienti cloud oppure ibridi. Rientrano in questa categoria Azure Traffic Manager, Azure Front Door ed i cross-region Azure Load Balancer.
  • Regional load-balancing: consentono di distribuire il traffico verso le macchine virtuali attestate su una specifica virtual network oppure verso endpoint in una specifica region. Rientrano in questa categoria gli Azure Load Balancer e gli Azure Application Gateway.

Tipologia di traffico: HTTP(S) vs non-HTTP(S)

Un’altra importante discriminante nella scelta della soluzione di load-balancing da adottare è la tipologia di traffico che si deve gestire:

  • HTTP(S): è consigliata l’adozione di servizi di load-balancing Layer-7 che accettano solo traffico HTTP(S). Sono adatti per questa tipologia di traffico Azure Front Door ed Azure Application Gateway. Tipicamente vengono utilizzati per applicazioni web oppure per altri endpoint HTTP(S) e includono funzionalità come: SSL offload, web application firewall, path-based load balancing, e session affinity.
  • Non-HTTP(S): viene richiesto l’utilizzo di servizi di load-balancing che permettono di contemplare il traffico non-HTTP(S), come Azure Traffic Manager, cross-region Azure Load Balancer e Azure Load Balancer.

Nella valutazione del servizio Azure di load-balancing da adottare è opportuno far rientrare anche considerazioni riguardanti i seguenti aspetti:

Per facilitare la scelta della soluzione di load-balancing è possibile utilizzare come base di partenza il seguente diagramma di flusso, che indirizza la scelta su una serie di aspetti chiave:

Figura 5 – Flowchart per la scelta della soluzione Azure di load-balancing

NOTA: Questo flowchart non contempla i cross-region Azure Load Balancer in quanto al momento (11/2020) sono in preview.

Questo diagramma di flusso è un ottimo punto di inizio per le proprie valutazioni, ma siccome ogni applicazione ha requisiti unici è bene effettuare un’analisi specifica più di dettaglio.

Se l’applicazione è composta da più workload è opportuno valutare ciascuno di questi in modo separato, in quanto può essere necessario adottare una o più soluzioni di bilanciamento del carico.

I vari servizi di load load-balancing possono essere utilizzati in combinazione tra loro per garantire un accesso applicativo affidabile e sicuro ai servizi erogati in ambienti IaaS, PaaS oppure on-premises.

Figura 6 – Possibile esempio di come combinare i vari servizi di load-balancing di Azure

Conclusioni

Grazie ad un’ampia gamma di servizi globali e regionali Azure è in grado di garantire performance, sicurezza ed alta disponibilità nell’accesso agli applicativi. Per stabilire l’architettura più idonea alle proprie esigenze sono diversi gli elementi da valutare, ma la giusta combinazione delle soluzioni di Application Delivery di Azure permette di fornire un notevole valore alle organizzazioni IT, garantendo una distribuzione veloce, sicura ed affidabile delle applicazioni e dei dati all’utente.

Azure Networking: come monitorare ed analizzare i log di Azure Firewall

Nelle architetture di rete in Azure dove è presente Azure Firewall, la soluzione di firewall-as-a-service (FWaaS) che consente di mettere in sicurezza le risorse presenti nelle Virtual Network e di governare i relativi flussi di rete, diventa strategico adottare degli strumenti per monitorare in modo efficace i relativi log. In questo articolo viene esplorato come interpretare al meglio i log e come è possibile fare analisi approfondite di Azure Firewall, un componente che spesso detiene un ruolo fondamentale nelle architetture di rete in Azure.

Un aspetto importante da verificare è che in Azure Firewall siano correttamente configurate le impostazioni di diagnostica, per far confluire i dati di log e le metriche verso un workspace di Azure Monitor Log Analytics.

Figura 1 – Impostazioni di diagnostica di Azure Firewall

Per avere una panoramica complessiva dei diagnostic logs e delle metriche disponibili per Azure Firewall è possibile consultare la specifica documentazione di Microsoft.

Uno dei metodi più efficaci per visualizzare ed analizzare i log di Azure Firewall è utilizzare i Workbooks, che consentono di combinare testo, query di Log Analytics, metriche di Azure e parametri, costituendo così dei report interattivi e facilmente consultabili.

Per Azure Firewall è presente un workbook specifico fornito da Microsoft che permette di ottenere informazioni dettagliate sugli eventi, conoscere le application e le network rule attivate e visualizzare le statistiche sulle attività del firewall per URL, porte e indirizzi.

L’importazione di questo workbook può avvenire tramite ARM template oppure Gallery template, seguendo le istruzioni riportate in questo articolo.

Figura 2 – Importazione del workbook di Azure Firewall

Completato il processo di importazione è possibile consultare nella pagina di overview una panoramica dei diversi eventi e delle tipologie di log presenti (application, networks, threat intel, DNS proxy), con la possibilità di applicare dei filtri specifici relativi ai workspace, alla fascia oraria ed ai firewall.

Figura 3 – Azure Firewall Workbook overview

Nel workbook è presente una sezione specifica per le Application rule dove vengono mostrate le origini per indirizzo IP, l’utilizzo delle application rule, e gli FQDN negati e consentiti. Inoltre, è possibile applicare dei filtri di ricerca sui dati delle Application rule.

Figura 4 – Azure Firewall Workbook – Application rule log statistics

Inoltre, nella sezione Network Rule è possibile visualizzare le informazioni in base alle azioni compiute dalle regole (allow/deny), alle target port e alle azioni DNAT.

Figura 5 – Azure Firewall Workbook – Network rule log statistics

Nel caso Azure Firewall sia stato impostato per funzionare anche come DNS Proxy è possibile visualizzare nel tab “Azure Firewall – DNS Proxy” del Workbook anche informazioni riguardanti il traffico e le richieste DNS gestite.

Qualora si renda necessario effettuare degli approfondimenti per ottenere maggiori informazioni sulle comunicazioni di specifiche risorse è possibile utilizzare la sezione Investigation andando ad agire sui filtri a disposizione.

Figura 6 – Azure Firewall Workbook – Investigation

Per visualizzare ed analizzare gli activity log è possibile connettere i log di Azure Firewall ad Azure Sentinel, il servizio che amplia le capacità dei tradizionali prodotti SIEM (Security Information and Event Management), utilizzando le potenzialità del cloud e l’intelligenza artificiale. In questo modo, tramite workbook specifici disponibili in Azure Sentinel, è possibile ampliare le capacità di analisi e creare alert specifici per poter identificare e gestirerapidamente le minacce di security che interessano questo componente di infrastruttura. Per connettere i log di Azure Firewall ad Azure Sentinel è possibile seguire la procedura riportata in questo documento Microsoft.

Conclusioni

Azure Firewall è un servizio ampliamene utilizzato e spesso è il fulcro della propria architettura network in Azure, dove transitano e vengono controllate tutte le comunicazioni di rete. Diventa pertanto importante datarsi di uno strumento per analizzare le metriche e le informazioni raccolte, in grado di fornire anche un valido supporto nella risoluzione di eventuali problemi ed incident. Grazie all’adozione di questi Workbooks è possibile consultare agilmente i dati raccolti da Azure Firewall, utilizzando report visivamente accattivanti, con funzionalità avanzate che consentono di arricchire l’esperienza di analisi direttamente dal portale di Azure.

Azure IaaS and Azure Stack: announcements and updates (November 2020 – Weeks: 47 and 48)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure Hybrid Benefit for Linux

Azure Hybrid Benefit functionality is available for Linux customers, allowing you to bring both your on-premises Windows Server and SQL Server licenses, as well as Red Hat Enterprise Linux (RHEL) or SUSE Linux Enterprise Server (SLES) subscriptions to Azure.

Microsoft to establish its first datacenter region in Sweden

Microsoft’s newest datacenter region will be among the most sustainable to date, as Microsoft will be partnering with Vattenfall around their 24/7 matching solution, which will track renewable energy consumption in the upcoming Swedish datacenters. The Microsoft Cloud delivered from datacenters in Sweden will enable Swedish businesses to empower employees, engage customers, transform products, and optimize operations, all through connected experiences and supported by advanced data privacy and security. Upcoming plans also include a skilling initiative for up to 150,000 Swedes. Microsoft’s community investments in Sweden total more than $1.25 million (U.S.) in partnership with 13 organizations to advance STEM programs focused on youth, skilling and culture. The new region will also deliver Availability Zones.

Storage

SMB Multichannel available on Azure Files premium tier (preview)

SMB Multichannel enables an SMB 3.x client to establish multiple network connections to a premium file share, and hence, increasing client’s performance up to 3x in terms of IOPS and throughput. Workloads running on the premium file shares can now achieve the required scale from a single virtual machine (VM) or a smaller set of VMs, thereby reducing the total cost of ownership.

Performance tiers for Premium SSDs

To sustain high performance demands for a specific duration, such as running a training environment during daytime, performance testing, or an event like Black Friday, you can now set the performance tier of your Premium SSDs without increasing the capacity of the disk. This provides the flexibility to achieve higher performance while also controlling costs. To start with, a baseline performance tier is set based on the provisioned disk size. However, when your application has higher performance demands, you can choose a higher performance tier. Once the period of high demand is complete, your provisioned disk can return to the initial baseline performance tier. For example, if you initially provision a P10 disk (128GB), your baseline performance tier is set as P10 (500 IOPS and 100MB/s). Later, you can update the tier to match the performance of P50 (7500 IOPS and 250MBs) and return to P10 when higher performance is no longer needed.

More IOPS at no additional cost for Azure Files premium tier

Effective immediately, all premium shares get an input/output per second (IOPS) uplift for free. All shares get an additional 400 baseline IOPS, and even the smallest share of 100 GiB can now burst up to 4,000 IOPS. This change is particularly beneficial for workloads that do not have a high capacity requirement but need extra performance to accommodate spikes in traffic or sudden unpredictable loads, such as web applications, backup and restore operations, and batch jobs.

Earlier:

  • Baseline IOPS = 1 * provisioned GiB. (Up to a max of 100,000 IOPS).
  • Burst Limit = 3 * Baseline IOPS. (Up to a max of 100,000 IOPS).

With this change:

  • Baseline IOPS = 400 + 1 * provisioned GiB. (Up to a max of 100,000 IOPS).
  • Burst Limit = MAX (4,000, 3 * Baseline IOPS). (Up to a max of 100,000 IOPS).

The new IOPS limits are available in all Azure Files premium tier regions. This additional free IOPS offer coupled with our recent price reduction of 33% on Azure Files premium tier will significantly reduce the total cost of deployment.

Networking

VPN over ExpressRoute private peering

For customers such as those in financial and health industries, double encryption over both their private WANs and Azure WAN is a key compliance requirement. VPN over ExpressRoute private peering allows customers to use IPsec tunnels over their ExpressRoute private peering to satisfy this need. You can configure a Site-to-Site VPN to a virtual network gateway over an ExpressRoute private peering using an RFC 1918 IP address. This configuration provides the following benefits:

  • Traffic over private peering is encrypted.

  • Point-to-site users connecting to a virtual network gateway can use ExpressRoute (via the Site-to-Site tunnel) to access on-premises resources.

New features for Azure VPN Gateway

 The following new features for Azure VPN Gateway as generally available:

  • High availability for RADIUS servers in point-to-site VPN – This feature enables highly available configuration for customers using RADIUS/AD authentication for their point-to-site VPN.
  • Custom IPsec/IKE policy with DPD timeout – Setting IKE DPD (Dead Peer Detection) timeout allows customers to adjust the IKE session timeout value based on their connection latency and traffic conditions to minimize unnecessary tunnel disconnect, improving both reliability and experience. This feature brings the entire custom IPsec/IKE policy configuration experience to Azure Portal.
  • APIPA support for BGP speaker – This feature supports customers with legacy VPN routers and Amazon Web Service (AWS) VGW, Google Cloud Platform (GCP) VPN which use Automatic Private IP Addressing (APIPA) addresses as their Border Gateway Protocol (BGP) speaker IP addresses. Now they can establish BGP sessions with Azure VPN gateways using APIPA (169.254.x.x) addresses.
  • FQDN support for site-to-site VPN – This feature supports customer branches or locations without static public IP addresses to connect to Azure VPN gateways. Customers can now leverage dynamic DNS services and use their Fully Qualified Domain Name (FQDN) instead of IP addresses. Azure VPN gateways will automatically resolve and update the VPN target to establish IPsec/IKE connections.
  • Session management and revocation for point-to-site VPN users – Enterprise administrators can now list and revoke individual user connections to their VPN gateways from Azure Portal in real time, addressing a key management asks.

Azure Management services: le novità di Novembre 2020

Nel mese di novembre Microsoft ha svelato numerose novità riguardanti gli Azure management services. La nostra community, tramite questi articoli rilasciati con cadenza mensile, vuole fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Nuova versione dell’agente per sistemi Linux

Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per i sistemi Linux, che include diversi miglioramenti e garantisce una maggiore stabilità. Tra le principali novità il supporto per Red Hat Enterprise Linux 8, CentOS 8, Ubuntu 20.04 e SLES 15 SP1+, oltre che un’estensione delle funzionalità per Azure Arc VMs. Viene inoltre incluso un nuovo strumento di troubleshooting.

Disponibilità in nuove regions

Azure Log Analytics è ora disponibile nelle region di “Brazil Southeast” e “Norway East”. Inoltre è disponibile in preview in tre nuove regions: “Germany West Central”, “UAE North”, e “Switzerland West”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Virtual Machines Guest Health (preview)

La funzionalità Virtual Machines Guest Health permette di monitorare lo stato di integrità della CPU, dei dischi e della memoria per una macchina virtuale e consente di ricevere degli avvisi a fronte di modifiche. Ogni monitor misura lo stato di salute di un particolare componente e i tre stati contemplati sono: Healthy, Warning, e Critical. Questi stati vengono definiti in base alle soglie impostate dall’utente per ciascun monitor. La funzionalità Virtual Machines Guest Health ha un modello gerarchico “padre-figlio” dove l’integrità generale della macchina virtuale è determinata dall’integrità dei suoi singoli monitor e corrisponde allo stato del monitor “figlio” avente lo stato di integrità peggiore.

Configure

Azure Automation

Disponibilità in una nuova region

Azure Automation è ora disponibile nelle region di “Brazil Southeast”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Govern

Azure Policy

Export e gestione delle Azure Policy as code con GitHub

Ora risulta possibile esportare le policy di Azure su GitHub direttamente dal portale Azure, tramite la funzionalità “Export definitions”. Dopo aver effettuato l’esportazione è possibile usare le azioni di GitHub per creare workflows personalizzati per la distribuzione delle policy da GitHub verso Azure. Per maggiori informazioni a riguardo è possibile consultare questa documentazione.

Azure Advisor

Nuove raccomandazioni

In Azure Adivisor sono state aggiunte le seguenti raccomandazioni utili per migliorare l’affidabilità e le prestazioni delle risorse Azure.

Affidabilità:

Prestazioni:

Protect

Azure Backup

Soft Delete per SQL Server e per SAP HANA nelle VMs Azure

In Azure Backup è stata ufficialmente rilasciata la funzionalità di soft delete anche per quanto riguarda la protezione di SQL Server e SAP HANA a bordo di macchine virtuali AzureSoft delete è una funzionalità di security che consente di proteggere i backup anche in seguito alla cancellazione. Grazie a Soft delete, nell’eventualità che un backup venga rimosso in modo accidentale o per azioni malevole, si ha la garanzia che il dato di backup sia comunque mantenuto per 14 giorni dalla data di cancellazione. Questa funzionalità, che non prevede costi aggiuntivi, permette di recuperare eventuali backup rimossi entro il periodo di retention.

Novità nella protezione di SAP HANA 

Azure Backup consente di eseguire facilmente il backup ed il ripristino dei database SAP HANA in esecuzione su macchine virtuali di Azure ed è certificata BackInt da SAP. In merito alla protezione di SAP HANA sono state introdotte le seguenti novità:

  • Il supporto per i backup incrementali dei database di SAP HANA (preview).
  • Il backup SAP HANA di Azure Backup usa uno script di pre-registrazione per creare un utente HANA per eseguire operazioni di backup e ripristino, il quale ha subito aggiornamenti significativi in merito alle autorizzazioni richieste dall’utente utilizzato per svolgere i backup.

Protezione long term per Azure PostgreSQL

Azure Backup prevede la possibilità di mantenere i backup di Azure Database per PostgreSQL fino 10 anni. Per consultare le funzionalità avanzate di protezione dei database di Azure PostgreSQL è possibile consultare questo articolo.

Supporto dei template Azure Resource Manager per il backup delle Azure file share

Azure Backup ha introdotto la possibilità di effettuare la configurazione della protezione dei backup per le Azure file shares utilizzando il modello dichiarativo Azure Resource Manager (ARM). Grazie a questa nuova opzione è possibile abilitare il backup delle Azure file shares tramite uno specifico file JSON che può essere distribuito tramite il portale Azure, Azure Powershell oppure con l’interfaccia da riga di comando di Azure.

Azure Site Recovery

DR per Azure VM: aumentata la dimensione massima dei dischi

Tramite Azure Site Recovery è ora possibile abilitare scenari di Disaster Recovery per le macchine virtuali in Azure con dischi managed fino a 32 TB, replicati in una region secondaria.

Migrate

Azure Migrate

Supporto di PowerShell per lo strumento Server Migrate

In Azure Migrate, grazie all’aggiunta di una nuova interfaccia di gestione basata su PowerShell per lo strumento Server Migrate, è possibile configurare e gestire la replica e la migrazione dei server in Azure utilizzando i cmdlet di Azure PowerShell. Questo permette di eseguire migrazioni in modo ripetibile ed automatizzato, potendo ottenere una maggiore scalabilità e velocità nei processi di migrazione.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure Networking: nuove funzionalità da conoscere per progettare al meglio le architetture di rete

Le soluzioni cloud evolvono molto rapidamente e rimanere costantemente aggiornati è un elemento fondamentale per innovarsi e per saper rispondere efficacemente ai cambiamenti tecnologici. Con il cambio di passo imposto dalla digital transformation anche le infrastrutture di rete devono essere sempre più efficienti, flessibili ed in grado di erogare al meglio i servizi richiesti dal business aziendale. Per modernizzare la propria strategia di progettazione e di implementazione in ambito Azure Networking è perciò importante valutare come evolvono le varie tecnologie. In questo articolo vengono riportate le novità recentemente rilasciate da Microsoft e che possono interessare la progettazione del networking di Azure, con dei riferimenti a dei casi d’uso reali.

Azure Bastion e VNet peering

Azure Bastion è un servizio PaaS che offre un accesso RDP ed SSH sicuro e affidabile alle macchine virtuali, direttamente tramite il portale di Azure. Il provisioning del servizio Azure Bastion viene effettuato all’interno di una Virtual Network di Azure e consente l’accesso senza dover assegnare degli indirizzi IP pubblici direttamente ai sistemi.

La novità è che ora Azure Bastion può lavorare in sinergia con i Virtual Network (VNet) peering. Questo significa che è possibile attivare Azure Bastion su una VNet specifica e lo stesso servizio può essere utilizzato per connettersi anche alle macchine virtuali attestate sulle VNet in peering con questa.

Azure Bastion funziona sia in presenza di network peering che collegano VNet sulla stessa region di Azure, sia con VNet peering di tipologia global, che collegano VNet dislocate in region di Azure differenti. Dal punto di vista delle architetture di rete questa possibilità apre nuovi possibili scenari. Nel modello di rete tipico ed ampiamente utilizzato, definito hub-and-spoke, si ha una rete virtuale in Azure di hub che funge da punto di connettività verso la rete on-premises e le reti virtuali che eseguono il peering con l’Hub vengono definite spoke, utili per isolare i carichi di lavoro. Adottando questo modello è possibile attivare Azure Bastion sulla rete di hub. In questo modo sarà possibile raggiungere con un unico servizio Azure Bastion anche tutte le macchine virtuali distribuite nelle VNet di spoke.

Figura 1 – Azure Bastion in una architettura hub-and-spoke

Nel diagramma seguente viene riportato il deployment di Azure Bastion in una architettura di rete hub-and-spoke dove:

  • Il Bastion host viene attivato nella rete virtuale centralizzata di Hub.
  • Vengono consentite le comunicazioni, per le porte TCP 3389 e 22, provenienti dalla subnet di Azure Bastion presente nella virtual network di Hub, verso gli IP privati delle virtual network di Spoke.
  • Nessun IP pubblico viene richiesto per accedere alle macchine virtuali.

Grazie a questa configurazione sarà possibile semplificare l’architettura e ridurre i costi Azure, in quanto sarà necessario un solo servizio Azure Bastion per l’intera topologia di rete hub-and-spoke.

Inoltre, può essere effettuato il provisioning di Azure Bastion anche in topologie di rete full-mesh, ottenendo la medesima esperienza di accesso ai sistemi in modalità RDP / SSH per le VMs attestate su tutte le virtual network in peering.

Si riportano alcune osservazioni in merito:

  • Risulta possibile avere attivi contemporaneamente più Bastion hosts tra virtual network in peering. Questo può accadere in particolare nel periodo di transizione, quando si vogliono consolidare diversi Bastion hosts secondo la topologia hub-and-spoke sopra descritta. In presenza di più Bastion host, quando si effettuerà la connessione, sarà proposto di scegliere quale Bastion host utilizzare.
  • Attualmente Azure Bastion supporta gli scenari di virtual network in peering solo se queste risiedono in subscription appartenenti allo stesso tenant.

Azure Firewall: nuove impostazioni DNS

Azure Firewall è la soluzione di firewall-as-a-service (FWaaS) presente nel cloud pubblico di Microsoft, che consente di mettere in sicurezza le risorse presenti nelle Virtual Network di Azure e di governare i relativi flussi di rete. Le funzionalità di Azure Firewall sono state arricchite aggiungendo il supporto dei custom DNS e del DNS proxy.

Custom DNS

Per impostazione predefinita Azure Firewall utilizza i DNS di Azure per la risoluzione dei nomi. Ora è stata inclusa la possibilità di configurare Azure Firewall per utilizzare dei server DNS specifici.

Nelle impostazioni è possibile configurare un singolo server DNS oppure più server DNS:

Figura 2 – Impostazione dei custom DNS in Azure Firewall dal portale Azure

Azure Firewall può effettuare la risoluzione dei nomi anche utilizzando Azure Private DNS. In questo scenario è richiesto che la VNet all’interno della quale risiede Azure Firewall sia collegata all’Azure Private Zone.

DNS proxy

Azure Firewall può ora essere configurato per svolgere il ruolo di DNS proxy. Abilitando questa nuova funzionalità è possibile configurare come DNS delle virtual network l’indirizzo IP privato di Azure Firewall. In questo modo tutto il traffico DNS viene indirizzato verso Azure Firewall, il quale funge da intermediario tra i sistemi che effettuano le richieste DNS e i server DNS stessi, evitando in questo modo possibili incoerenze nelle risoluzioni dei nomi se vengono utilizzati dei DNS custom.

Quando il firewall di Azure agisce come DNS proxy, sono previste due tipologie di cache:

  • Positive cache: la risoluzione DNS va a buon fine. In questo caso Azure Firewall utilizza il TTL (time to live) del pacchetto o dell’oggetto.
  • Negative cache: la risoluzione DNS non va a buon fine. In questo caso le informazioni vengono memorizzate nella cache di Azure Firewall per un’ora.

Figura 3 – Configurazione di Azure Firewall come DNS proxy dal portale Azure

Questa funzionalità consente di valutare un nuovo scenario di utilizzo per Azure Firewall, molto utile quando si ha la necessità di gestire la risoluzione DNS in presenza dei Private Link, il meccanismo che permette di instaurare una connessione privata verso i servizi in Azure.

Ad ogni servizio PaaS di Azure che utilizza Azure Private Link viene assegnato un FQDN mappato e archiviato in una Azure Private DNS zone. Le richieste inviate verso le Azure DNS Private Zones vengono indirizzate all’IP di piattaforma 168.63.129.16, il quale è raggiungibile solo dall’interno dell’ambiente Azure. Per questa ragione, se la richiesta DNS ha origine dai sistemi on-premises (o comunque dall’esterno di Azure), è necessario attivare un DNS proxy all’interno di una rete virtuale di Azure connessa all’ambiente on-premise. Grazie a questa nuova funzionalità di DNS proxy di Azure Firewall è possibile gestire questa sfida di risoluzione dei nomi dei servi PaaS che utilizzano Private Link con i seguenti step:

  • La VNet all’interno della quale risiede Azure Firewall la si collega all’Azure Private Zone.
  • Azure Firewall lo si configura per utilizzare il DNS predefinito di Azure e si abilita la funzionalità di DNS Proxy.
  • Si configura il server DNS locale per inoltrare in modo condizionale le richieste ad Azure Firewall per il nome della zona richiesto.

Azure Firewall: utilizzo di FQDN filtering nelle network rule

Nelle Network Rule di Azure Firewall è ora possibile utilizzare dei fully qualified domain name (FQDN) basati sulla risoluzione DNS di Azure Firewall. Questa funzionalità permette di filtrare il traffico in uscita per qualsiasi protocollo TCP / UDP (NTP, SSH, RDP, etc.) e richiede che sia attiva la funzionalità di DNS proxy descritta nel paragrafo precedente. Azure Firewall, quando configurato come DNS proxy, archivia tutti gli indirizzi IP risolti dagli FQDN utilizzati nelle network rule. Per questa ragione come best practice è bene utilizzare gli FQDN nelle network rule.

Azure Firewall, sia per le application rule che per le network rule, converte l’FQDN in uno o più indirizzi IP in base al server DNS selezionato (Azure DNS oppure DNS personalizzato). Nel momento in cui avviene una nuova risoluzione DNS vengono aggiunti i nuovi indirizzi IP alle regole del firewall, mentre gli indirizzi IP che non vengono più restituiti dal server DNS hanno una scadenza di 15 minuti. Le Network Rule di Azure Firewall vengono aggiornate ogni 15 secondi utilizzando la risoluzione DNS. Se si ha la necessità di applicare dei filtri FQDN rimane comunque buona norma utilizzare sempre le application rule di Azure Firewall per i protocolli HTTP/S oppure MSSQL, mentre per tutti i restanti protocolli è possibile utilizzare sia le application rule che le network rule.

Nuove funzionalità per gli Azure VPN gateway

In seguito, si riportano le nuove funzionalità che è possibile adottare in presenza degli Azure VPN gateway:

  • Alta disponibilità dei server RADIUS nelle VPN point-to-site: questa funzionalità consente di effettuare una configurazione in alta disponibilità presso i clienti che utilizzano l’autenticazione RADIUS/AD per le VPN point-to-site.
  • Policy IPsec/IKE personalizzate con timeout DPD: l’impostazione del timeout IKE DPD (Dead Peer Detection) consente di regolare il valore di timeout della sessione IKE in base alla latenza di connessione e alle condizioni del traffico. Questa configurazione risulta utile per ridurre al minimo le disconnessioni del tunnel, migliorando l’affidabilità e l’esperienza di utilizzo.
  • Supporto APIPA per gli annunci BGP: questa funzione consente di stabilire sessioni Border Gateway Protocol (BGP), con i VPN gateway di Azure, usando indirizzi APIPA (169.254.x.x). Questa funzionalità è utile in particolare per i clienti con router VPN legacy, Amazon Web Service (AWS) VGW, Google Cloud Platform (GCP) VPN che utilizzano indirizzi APIPA (Automatic Private IP Addressing) per annunciare gli indirizzi BGP.
  • Supporto dei nomi FQDN per le VPN site-to-site: questa funzionalità consente di configurare le VPN site-to-site in presenza di apparati che non dispongono di indirizzi IP pubblici statici per connettersi ai VPN gateway di Azure. Risulta infatti possibile utilizzare il nome di dominio completo (FQDN) anziché gli indirizzi IP. I VPN gateway di Azure saranno in grado di effettuare la risoluzione del nome DNS, aggiornando automaticamente la destinazione per stabilire le connessioni IPsec/IKE della VPN.
  • Gestione delle sessioni e revoca degli utenti per le VPN point-to-site: viene data la possibilità di elencare e revocare le connessioni dei singoli utenti ai VPN gateway, direttamente dal portale di Azure ed in tempo reale.

Conclusioni

Diverse sono le novità rilasciate recentemente da Microsoft in ambito Azure networking ed è opportuno valutarle attentamente per effettuare una progettazione accurata. In questo modo sarà possibile realizzare architetture di rete efficaci, ottimizzando i costi ed in grado di sfruttare tutte le potenzialità offerte dalla piattaforma Azure.

Azure IaaS and Azure Stack: announcements and updates (November 2020 – Weeks: 45 and 46)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

New SAP HANA Certified Memory-Optimized Virtual Machines

Microsoft is expanding SAP HANA certifications, enabling you to run production SAP HANA workloads on the Edsv4 virtual machines sizes.

Intel SGX based confidential computing VMs now available on Azure Dedicated Hosts

Azure Dedicated Host provides a single-tenant physical server to host your Azure Virtual Machines for Windows and Linux. The server capacity is not shared with other customers. You can now deploy DCsv2 Azure Virtual Machines to Dedicated Hosts. The DCsv2-series can help protect the confidentiality and integrity of your data and code while it’s processed in the public cloud. The new DCsv2_Type1 Dedicated Host SKUs feature the latest generation of Intel XEON E-2288G Processor with SGX technology. This new offering will enable you to build secure enclave-based applications to protect your code and data while it’s in use. Example use cases include confidential multiparty data sharing, fraud detection, anti-money laundering, blockchain, confidential usage analytics, intelligence analysis, and confidential machine learning.

New constrained vCPUs capable VMs

The Esv4, Edsv4, and Easv4 memory optimized Azure VM series now offer new constrained vCPU VM sizes. You can now take advantage of the latest generation Azure Virtual Machines for workloads that need high memory, storage, and I/O bandwidth, but not a high vCPU count. Several database workloads are not CPU-intensive and can benefit from these offerings.

SQL Server Reporting Services Virtual Machine images

Now in general availability, you have the option of migrating SQL Server Reporting Services workloads into Azure using pre-configured virtual machine images. This enables you to easily see your different virtual machine workloads and manage them. It can also help make your workloads more efficient and enables an easier onboarding experience to the cloud. 

Storage

Azure File Sync agent v11.1 

Improvements and issues that are fixed:

  • New cloud tiering modes to control initial download and proactive recall
    • Initial download mode: you can now choose how you want your files to be initially downloaded onto your new server endpoint. Want all your files tiered or as many files as possible downloaded onto your server by last modified timestamp? You can do that! Can’t use cloud tiering? You can now opt to avoid tiered files on your system. To learn more, see Create a server endpoint section in the Deploy Azure File Sync documentation.
    • Proactive recall mode: whenever a file is created or modified, you can proactively recall it to servers that you specify within the same sync group. This makes the file readily available for consumption in each server you specified. Have teams across the globe working on the same data? Enable proactive recalling so that when the team arrives the next morning, all the files updated by a team in a different time zone are downloaded and ready to go! To learn more, see Proactively recall new and changed files from an Azure file share section in the Deploy Azure File Sync documentation.
  • Exclude applications from cloud tiering last access time tracking
    • You can now exclude applications from last access time tracking. When an application accesses a file, the last access time for the file is updated in the cloud tiering database. Applications that scan the file system like anti-virus cause all files to have the same last access time which impacts when files are tiered. For more details, see the release notes.
  • Miscellaneous performance and reliability improvements
    • Improved change detection performance to detect files that have changed in the Azure file share.
    • Improved sync upload performance.
    • Initial upload is now performed from a VSS snapshot which reduces per-item errors and sync session failures.
    • Sync reliability improvements for certain I/O patterns.
    • Fixed a bug to prevent the sync database from going back-in-time on failover clusters when a failover occurs.
    • Improved recall performance when accessing a tiered file.

To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog.

The agent version for this release is 11.1.0.0 and a restart may be required if files are in use during the agent installation. Installation instructions are documented in KB4539951.

Networking

New Azure Firewall capabilities

This new Azure Firewall capabilities will be generally available in Q4 CY2020:

  • Custom DNS: Allows you to configure Azure Firewall to use your own DNS server.
  • DNS Proxy capability: You can enable your Azure Firewall to act as a proxy for your DNS traffic. This is crucial for reliable FQDN filtering in network rules and provides DNS security through integration.
  • FQDN filtering in network rules: You can use this based on DNS resolution from Custom DNS or Azure DNS. This capability is recommended for protocols that are not supported with FQDN filtering in application rules today.

You can learn more about DNS Settings in this document.