Archivi categoria: Microsoft Azure

Azure Networking: nuove funzionalità da conoscere per progettare al meglio le architetture di rete

Le soluzioni cloud evolvono molto rapidamente e rimanere costantemente aggiornati è un elemento fondamentale per innovarsi e per saper rispondere efficacemente ai cambiamenti tecnologici. Con il cambio di passo imposto dalla digital transformation anche le infrastrutture di rete devono essere sempre più efficienti, flessibili ed in grado di erogare al meglio i servizi richiesti dal business aziendale. Per modernizzare la propria strategia di progettazione e di implementazione in ambito Azure Networking è perciò importante valutare come evolvono le varie tecnologie. In questo articolo vengono riportate le novità recentemente rilasciate da Microsoft e che possono interessare la progettazione del networking di Azure, con dei riferimenti a dei casi d’uso reali.

Azure Bastion e VNet peering

Azure Bastion è un servizio PaaS che offre un accesso RDP ed SSH sicuro e affidabile alle macchine virtuali, direttamente tramite il portale di Azure. Il provisioning del servizio Azure Bastion viene effettuato all’interno di una Virtual Network di Azure e consente l’accesso senza dover assegnare degli indirizzi IP pubblici direttamente ai sistemi.

La novità è che ora Azure Bastion può lavorare in sinergia con i Virtual Network (VNet) peering. Questo significa che è possibile attivare Azure Bastion su una VNet specifica e lo stesso servizio può essere utilizzato per connettersi anche alle macchine virtuali attestate sulle VNet in peering con questa.

Azure Bastion funziona sia in presenza di network peering che collegano VNet sulla stessa region di Azure, sia con VNet peering di tipologia global, che collegano VNet dislocate in region di Azure differenti. Dal punto di vista delle architetture di rete questa possibilità apre nuovi possibili scenari. Nel modello di rete tipico ed ampiamente utilizzato, definito hub-and-spoke, si ha una rete virtuale in Azure di hub che funge da punto di connettività verso la rete on-premises e le reti virtuali che eseguono il peering con l’Hub vengono definite spoke, utili per isolare i carichi di lavoro. Adottando questo modello è possibile attivare Azure Bastion sulla rete di hub. In questo modo sarà possibile raggiungere con un unico servizio Azure Bastion anche tutte le macchine virtuali distribuite nelle VNet di spoke.

Figura 1 – Azure Bastion in una architettura hub-and-spoke

Nel diagramma seguente viene riportato il deployment di Azure Bastion in una architettura di rete hub-and-spoke dove:

  • Il Bastion host viene attivato nella rete virtuale centralizzata di Hub.
  • Vengono consentite le comunicazioni, per le porte TCP 3389 e 22, provenienti dalla subnet di Azure Bastion presente nella virtual network di Hub, verso gli IP privati delle virtual network di Spoke.
  • Nessun IP pubblico viene richiesto per accedere alle macchine virtuali.

Grazie a questa configurazione sarà possibile semplificare l’architettura e ridurre i costi Azure, in quanto sarà necessario un solo servizio Azure Bastion per l’intera topologia di rete hub-and-spoke.

Inoltre, può essere effettuato il provisioning di Azure Bastion anche in topologie di rete full-mesh, ottenendo la medesima esperienza di accesso ai sistemi in modalità RDP / SSH per le VMs attestate su tutte le virtual network in peering.

Si riportano alcune osservazioni in merito:

  • Risulta possibile avere attivi contemporaneamente più Bastion hosts tra virtual network in peering. Questo può accadere in particolare nel periodo di transizione, quando si vogliono consolidare diversi Bastion hosts secondo la topologia hub-and-spoke sopra descritta. In presenza di più Bastion host, quando si effettuerà la connessione, sarà proposto di scegliere quale Bastion host utilizzare.
  • Attualmente Azure Bastion supporta gli scenari di virtual network in peering solo se queste risiedono in subscription appartenenti allo stesso tenant.

Azure Firewall: nuove impostazioni DNS

Azure Firewall è la soluzione di firewall-as-a-service (FWaaS) presente nel cloud pubblico di Microsoft, che consente di mettere in sicurezza le risorse presenti nelle Virtual Network di Azure e di governare i relativi flussi di rete. Le funzionalità di Azure Firewall sono state arricchite aggiungendo il supporto dei custom DNS e del DNS proxy.

Custom DNS

Per impostazione predefinita Azure Firewall utilizza i DNS di Azure per la risoluzione dei nomi. Ora è stata inclusa la possibilità di configurare Azure Firewall per utilizzare dei server DNS specifici.

Nelle impostazioni è possibile configurare un singolo server DNS oppure più server DNS:

Figura 2 – Impostazione dei custom DNS in Azure Firewall dal portale Azure

Azure Firewall può effettuare la risoluzione dei nomi anche utilizzando Azure Private DNS. In questo scenario è richiesto che la VNet all’interno della quale risiede Azure Firewall sia collegata all’Azure Private Zone.

DNS proxy

Azure Firewall può ora essere configurato per svolgere il ruolo di DNS proxy. Abilitando questa nuova funzionalità è possibile configurare come DNS delle virtual network l’indirizzo IP privato di Azure Firewall. In questo modo tutto il traffico DNS viene indirizzato verso Azure Firewall, il quale funge da intermediario tra i sistemi che effettuano le richieste DNS e i server DNS stessi, evitando in questo modo possibili incoerenze nelle risoluzioni dei nomi se vengono utilizzati dei DNS custom.

Quando il firewall di Azure agisce come DNS proxy, sono previste due tipologie di cache:

  • Positive cache: la risoluzione DNS va a buon fine. In questo caso Azure Firewall utilizza il TTL (time to live) del pacchetto o dell’oggetto.
  • Negative cache: la risoluzione DNS non va a buon fine. In questo caso le informazioni vengono memorizzate nella cache di Azure Firewall per un’ora.

Figura 3 – Configurazione di Azure Firewall come DNS proxy dal portale Azure

Questa funzionalità consente di valutare un nuovo scenario di utilizzo per Azure Firewall, molto utile quando si ha la necessità di gestire la risoluzione DNS in presenza dei Private Link, il meccanismo che permette di instaurare una connessione privata verso i servizi in Azure.

Ad ogni servizio PaaS di Azure che utilizza Azure Private Link viene assegnato un FQDN mappato e archiviato in una Azure Private DNS zone. Le richieste inviate verso le Azure DNS Private Zones vengono indirizzate all’IP di piattaforma 168.63.129.16, il quale è raggiungibile solo dall’interno dell’ambiente Azure. Per questa ragione, se la richiesta DNS ha origine dai sistemi on-premises (o comunque dall’esterno di Azure), è necessario attivare un DNS proxy all’interno di una rete virtuale di Azure connessa all’ambiente on-premise. Grazie a questa nuova funzionalità di DNS proxy di Azure Firewall è possibile gestire questa sfida di risoluzione dei nomi dei servi PaaS che utilizzano Private Link con i seguenti step:

  • La VNet all’interno della quale risiede Azure Firewall la si collega all’Azure Private Zone.
  • Azure Firewall lo si configura per utilizzare il DNS predefinito di Azure e si abilita la funzionalità di DNS Proxy.
  • Si configura il server DNS locale per inoltrare in modo condizionale le richieste ad Azure Firewall per il nome della zona richiesto.

Azure Firewall: utilizzo di FQDN filtering nelle network rule

Nelle Network Rule di Azure Firewall è ora possibile utilizzare dei fully qualified domain name (FQDN) basati sulla risoluzione DNS di Azure Firewall. Questa funzionalità permette di filtrare il traffico in uscita per qualsiasi protocollo TCP / UDP (NTP, SSH, RDP, etc.) e richiede che sia attiva la funzionalità di DNS proxy descritta nel paragrafo precedente. Azure Firewall, quando configurato come DNS proxy, archivia tutti gli indirizzi IP risolti dagli FQDN utilizzati nelle network rule. Per questa ragione come best practice è bene utilizzare gli FQDN nelle network rule.

Azure Firewall, sia per le application rule che per le network rule, converte l’FQDN in uno o più indirizzi IP in base al server DNS selezionato (Azure DNS oppure DNS personalizzato). Nel momento in cui avviene una nuova risoluzione DNS vengono aggiunti i nuovi indirizzi IP alle regole del firewall, mentre gli indirizzi IP che non vengono più restituiti dal server DNS hanno una scadenza di 15 minuti. Le Network Rule di Azure Firewall vengono aggiornate ogni 15 secondi utilizzando la risoluzione DNS. Se si ha la necessità di applicare dei filtri FQDN rimane comunque buona norma utilizzare sempre le application rule di Azure Firewall per i protocolli HTTP/S oppure MSSQL, mentre per tutti i restanti protocolli è possibile utilizzare sia le application rule che le network rule.

Nuove funzionalità per gli Azure VPN gateway

In seguito, si riportano le nuove funzionalità che è possibile adottare in presenza degli Azure VPN gateway:

  • Alta disponibilità dei server RADIUS nelle VPN point-to-site: questa funzionalità consente di effettuare una configurazione in alta disponibilità presso i clienti che utilizzano l’autenticazione RADIUS/AD per le VPN point-to-site.
  • Policy IPsec/IKE personalizzate con timeout DPD: l’impostazione del timeout IKE DPD (Dead Peer Detection) consente di regolare il valore di timeout della sessione IKE in base alla latenza di connessione e alle condizioni del traffico. Questa configurazione risulta utile per ridurre al minimo le disconnessioni del tunnel, migliorando l’affidabilità e l’esperienza di utilizzo.
  • Supporto APIPA per gli annunci BGP: questa funzione consente di stabilire sessioni Border Gateway Protocol (BGP), con i VPN gateway di Azure, usando indirizzi APIPA (169.254.x.x). Questa funzionalità è utile in particolare per i clienti con router VPN legacy, Amazon Web Service (AWS) VGW, Google Cloud Platform (GCP) VPN che utilizzano indirizzi APIPA (Automatic Private IP Addressing) per annunciare gli indirizzi BGP.
  • Supporto dei nomi FQDN per le VPN site-to-site: questa funzionalità consente di configurare le VPN site-to-site in presenza di apparati che non dispongono di indirizzi IP pubblici statici per connettersi ai VPN gateway di Azure. Risulta infatti possibile utilizzare il nome di dominio completo (FQDN) anziché gli indirizzi IP. I VPN gateway di Azure saranno in grado di effettuare la risoluzione del nome DNS, aggiornando automaticamente la destinazione per stabilire le connessioni IPsec/IKE della VPN.
  • Gestione delle sessioni e revoca degli utenti per le VPN point-to-site: viene data la possibilità di elencare e revocare le connessioni dei singoli utenti ai VPN gateway, direttamente dal portale di Azure ed in tempo reale.

Conclusioni

Diverse sono le novità rilasciate recentemente da Microsoft in ambito Azure networking ed è opportuno valutarle attentamente per effettuare una progettazione accurata. In questo modo sarà possibile realizzare architetture di rete efficaci, ottimizzando i costi ed in grado di sfruttare tutte le potenzialità offerte dalla piattaforma Azure.

Azure IaaS and Azure Stack: announcements and updates (November 2020 – Weeks: 45 and 46)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

New SAP HANA Certified Memory-Optimized Virtual Machines

Microsoft is expanding SAP HANA certifications, enabling you to run production SAP HANA workloads on the Edsv4 virtual machines sizes.

Intel SGX based confidential computing VMs now available on Azure Dedicated Hosts

Azure Dedicated Host provides a single-tenant physical server to host your Azure Virtual Machines for Windows and Linux. The server capacity is not shared with other customers. You can now deploy DCsv2 Azure Virtual Machines to Dedicated Hosts. The DCsv2-series can help protect the confidentiality and integrity of your data and code while it’s processed in the public cloud. The new DCsv2_Type1 Dedicated Host SKUs feature the latest generation of Intel XEON E-2288G Processor with SGX technology. This new offering will enable you to build secure enclave-based applications to protect your code and data while it’s in use. Example use cases include confidential multiparty data sharing, fraud detection, anti-money laundering, blockchain, confidential usage analytics, intelligence analysis, and confidential machine learning.

New constrained vCPUs capable VMs

The Esv4, Edsv4, and Easv4 memory optimized Azure VM series now offer new constrained vCPU VM sizes. You can now take advantage of the latest generation Azure Virtual Machines for workloads that need high memory, storage, and I/O bandwidth, but not a high vCPU count. Several database workloads are not CPU-intensive and can benefit from these offerings.

SQL Server Reporting Services Virtual Machine images

Now in general availability, you have the option of migrating SQL Server Reporting Services workloads into Azure using pre-configured virtual machine images. This enables you to easily see your different virtual machine workloads and manage them. It can also help make your workloads more efficient and enables an easier onboarding experience to the cloud. 

Storage

Azure File Sync agent v11.1 

Improvements and issues that are fixed:

  • New cloud tiering modes to control initial download and proactive recall
    • Initial download mode: you can now choose how you want your files to be initially downloaded onto your new server endpoint. Want all your files tiered or as many files as possible downloaded onto your server by last modified timestamp? You can do that! Can’t use cloud tiering? You can now opt to avoid tiered files on your system. To learn more, see Create a server endpoint section in the Deploy Azure File Sync documentation.
    • Proactive recall mode: whenever a file is created or modified, you can proactively recall it to servers that you specify within the same sync group. This makes the file readily available for consumption in each server you specified. Have teams across the globe working on the same data? Enable proactive recalling so that when the team arrives the next morning, all the files updated by a team in a different time zone are downloaded and ready to go! To learn more, see Proactively recall new and changed files from an Azure file share section in the Deploy Azure File Sync documentation.
  • Exclude applications from cloud tiering last access time tracking
    • You can now exclude applications from last access time tracking. When an application accesses a file, the last access time for the file is updated in the cloud tiering database. Applications that scan the file system like anti-virus cause all files to have the same last access time which impacts when files are tiered. For more details, see the release notes.
  • Miscellaneous performance and reliability improvements
    • Improved change detection performance to detect files that have changed in the Azure file share.
    • Improved sync upload performance.
    • Initial upload is now performed from a VSS snapshot which reduces per-item errors and sync session failures.
    • Sync reliability improvements for certain I/O patterns.
    • Fixed a bug to prevent the sync database from going back-in-time on failover clusters when a failover occurs.
    • Improved recall performance when accessing a tiered file.

To obtain and install this update, configure your Azure File Sync agent to automatically update when a new version becomes available or manually download the update from the Microsoft Update Catalog.

The agent version for this release is 11.1.0.0 and a restart may be required if files are in use during the agent installation. Installation instructions are documented in KB4539951.

Networking

New Azure Firewall capabilities

This new Azure Firewall capabilities will be generally available in Q4 CY2020:

  • Custom DNS: Allows you to configure Azure Firewall to use your own DNS server.
  • DNS Proxy capability: You can enable your Azure Firewall to act as a proxy for your DNS traffic. This is crucial for reliable FQDN filtering in network rules and provides DNS security through integration.
  • FQDN filtering in network rules: You can use this based on DNS resolution from Custom DNS or Azure DNS. This capability is recommended for protocols that are not supported with FQDN filtering in application rules today.

You can learn more about DNS Settings in this document.

Come ottimizzare la gestione ed i costi delle macchine virtuali Azure con a bordo SQL Server

Per le macchine virtuali in ambiente Azure sulle quali è in esecuzione SQL Server è stata introdotta una nuova modalità di gestione che rende più semplice le attività di manutenzione necessarie per aumentare la sicurezza, ottenere benefici in termini di costi ed ottimizzare i deployment. In questo articolo viene riportato come attivare questa nuova funzionalità e vengono esplorati i benefici che è possibile ottenere.

Azure mette a disposizione una ampia gamma di servizi SQL database completamente gestiti, moderni e sicuri in grado di supportare differenti scenari, come il re-hosting, la modernizzazione dei workload esistenti di SQL Server e lo sviluppo di nuove applicazioni cloud.

Figura 1 – Famiglia dei servizi SQL

Nonostante l’adozione dei servizi gestiti porti ad avere elevati benefici in termini di costi, gestione e scalabilità, spesso in ambiente Azure viene tuttora richiesta l’attivazione di macchine virtuali IaaS con installato SQL Server. Questo scenario è frequente anche quando si affrontano migrazioni “lift and shift” di macchine virtuali dall’ambiente on-premises.

Figura 2 – Effort di amministrazione negli scenari di Cloud migration

Al fine di ottimizzare ed automatizzare le attività di gestione e di amministrazione è possibile attivare la nuova estensione SQL Server IaaS Agent (SqlIaasExtension) sulle macchine virtuali Azure con installato SQL Server. Grazie alla registrazione di questa estensione dal portale Azure sarà possibile accedere al gruppo di risorse “SQL virtual machines” oltre che il classico “Virtual machines”.

L’adozione di questa estensione è completamente gratuita e la raccolta dei dati effettuata è finalizzata esclusivamente ad offrire nuove funzionalità dal portale Azure. I dati raccolti non saranno utilizzati da Microsoft per effettuare controlli sulle licenze senza il previo consenso del cliente.

Come attivare questo nuovo metodo di gestione?

Il primo step necessario per utilizzare l’estensione SQL Server IaaS Agent è effettuare la registrazione del resource provider Microsoft.SqlVirtualMachine sulla subscription specifica. Questo provider offre all’estensione la possibilità di creare risorse all’interno di quella specifica sottoscrizione.

Figura 3 – Registrazione del resource provider

Completata questa operazione è opportuno scegliere la modalità di gestione che si vuole adottare, tra le seguenti:

  • Lightweight mode: in questa modalità vengono copiati i file binari dell’estensione nella macchina virtuale, ma non viene installato nessun agente e non viene riavviato il servizio SQL Server in esecuzione sulla VM. Adottando questa modalità è possibile solamente modificare la tipologia di licenza e l’edizione di SQL Server, oltre ad avere un set limitato di opzioni in termini di gestione. Si tratta della modalità di gestione predefinita quando si utilizza la funzione di registrazione automatica che è possibile attivare dal portale Azure oppure tramite registrazione manuale.

Figura 4 – Registrazione automatica dal portale Azure

Figura 5 – Selezione della subscription durante la fase di registrazione automatica dal portale Azure

L’adozione di questa modalità non ha alcun impatto sull’utilizzo delle risorse della macchina virtuale in termini di memoria e CPU ed è consigliato attivare questa modalità prima della modalità di gestione completa (full mode).

  • Full mode: in questa modalità è prevista l’installazione del SQL IaaS Agent a bordo della macchina virtuale e viene fornita un’esperienza di gestione completa. L’attivazione di questa modalità comporta il riavvio del servizio SQL Server. La modalità completa installa nello specifico due servizi Windows che, per esperienza diretta, possono avere un impatto sull’utilizzo della memoria e della CPU non sempre trascurabile.
  • NoAgent Mode: si tratta della modalità dedicata a installazioni di SQL Server 2008 e SQL Server 2008 R2 a bordo di sistemi Windows Server 2008. Per questa modalità non è previsto alcun impatto sull’utilizzo della memoria oppure della CPU e non è necessario il riavvio di SQL Server.

Le macchine virtuali con SQL Server che hanno registrato l’estensione in modalità “lightweight” possono eseguire l’aggiornamento alla modalità “full” tramite il portale di Azure, riga di comando Azure oppure Azure PowerShell. Non è prevista nessuna procedura di downgrade, ma per passare dalla modalità “full” alla modalità “lightweight” è necessario annullare sulla VM la registrazione dell’estensione SQL IaaS Agent.

Nel caso di attivazione di una macchine virtuali con SQL Server utilizzando le immagini disponibili nel Marketplace Azure, l’estensione SQL Server IaaS Agent viene registrata automaticamente se sulla subscription è attivo il resource provider specifico.

Per maggiori dettagli sul processo di registrazione e sui comandi che è possibile utilizzare si può fare riferimento a questo documento Microsoft.

Funzionalità offerte

L’estensione SQL Server IaaS Agent consente di poter usufruire, direttamente dal portale Azure, dei vantaggi in seguito riportati per le macchine virtuali che ospitano SQL Server:

  • Management dal portale Azure: sarà possibile visualizzare e gestire specifiche funzionalità relative a SQL di tutte le macchine virtuali con a bordo SQL Server, in un unico punto centralizzato nel portale Azure.

Figura 6 – Management di SQL Server tramite l’estensione SQL Server IaaS Agent

  • Gestione dei backup: sarà possibile schedulare l’esecuzione dei backup per i database selezionando varie opzioni come la crittografia dei backup, l’impostazione del periodo di conservazione, il backup dei database di sistema e la configurazione di una pianificazione manuale oppure automatica. Questa funzionalità risulta utile per la protezione di SQL Server quando non si desidera adottare una soluzione specifica di backup, ma è sufficiente eseguire il backup dei database presenti sull’istanza su uno storage account.

Figura 7 – Gestione dei backup di SQL Server tramite l’estensione SQL Server IaaS Agent

  • Gestione del patching: sarà consentito configurare una finestra di manutenzione durante la quale possono essere installati gli aggiornamenti di sicurezza, provenienti da Windows Update e classificati come critici oppure importanti, di Windows e di SQL Server.

Figura 8 – Gestione del patching tramite l’estensione SQL Server IaaS Agent

  • Aspetti di sicurezza e integrazione con Azure Key Vault: sarà possibile gestire la porta per collegarsi all’istanza di SQL Server. Inoltre, sarà consentito abilitare l’autenticazione SQL, specificando un determinato login. Se la SKU di SQL Server lo supporta, è altresì possibile installare e configurare l’integrazione con Azure Key Vault, per utilizzare le funzionalità di crittografia dei dati quali Transparent Database Encryption, Column Level Encryption e Always Encrypted.

Figura 9 – Gestione degli aspetti di sicurezza e integrazione con Azure Key Vault tramite l’estensione SQL Server IaaS Agent

  • Gestione del licensing: sarà possibile cambiare agilmente le modalità di licenziamento di SQL Server, potendo così ottenere un risparmio diretto sui costi.

Figura 10 – Gestione del licensing di SQL Server tramite l’estensione SQL Server IaaS Agent

  • Gestione flessibile della versione e dell’edition: nel caso ci sia la necessità di modificare la versione o l’edizione di SQL Server, è possibile aggiornare i metadati all’interno del portale Azure senza dover ridistribuire l’intera VM di SQL Server.

Figura 11 – Gestione dell’edition di SQL Server tramite l’estensione SQL Server IaaS Agent

  • Attivazione della funzionalità R Services (Advanced analytics): se il sistema viene utilizzato in ambito Machine Learning viene fornita la possibilità di installare questa funzionalità, durante il setup di SQL Server, per consentire l’esecuzione di script R sulla macchina virtuale SQL Server.

Figura 12 – Attivazione della funzionalità R Services tramite l’estensione SQL Server IaaS Agent

  • Configurazione della funzionalità di Always On availability group: direttamente dal portale Azure è possibile attivare meccanismi di alta disponibilità e disaster recovery configurando la funzionalità di Always On availability group.

Figura 13 – Attivazione della funzionalità Always On availability group tramite l’estensione SQL Server IaaS Agent

Conclusioni

Grazie all’adozione di questa recente estensione SQL Server IaaS Agent, l’esecuzione di SQL Server a bordo di una macchina virtuale Azure permette di poter usufruire di diverse funzionalità aggiuntive e di avere un’esperienza di gestione ottimale, simile al servizio gestito SQL Server. Tutte queste funzionalità consentono inoltre di avere una maggiore facilità d’uso e importanti vantaggi nella gestione di SQL Server rispetto alle implementazioni su macchine virtuali on-premise.

Azure IaaS and Azure Stack: announcements and updates (November 2020 – Weeks: 43 and 44)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Microsoft plans to establish new cloud datacenter region in Austria

Microsoft announced intent to build a new datacenter region in Austria. The announcement also included details around establishment of a new Center of Digital Excellence in Austria, as well as a digital skilling initiative targeted at reaching approximately 120,000 Austrians by 2024.

Microsoft to establish its first datacenter region in Taiwan

Microsoft has announced plans to build a new datacenter region in Taiwan, along with a skilling initiative for over 200,000 people in Taiwan by 2024. The new region will also include Availability Zones, building on Microsoft’s 30+ year history in Taiwan.

Microsoft Cloud for Healthcare (generally available)

Microsoft Cloud for Healthcare is now generally available. This integrated solution enables customers to quickly access a portfolio of released and new healthcare capabilities tailored to the unique requirements of health data in the cloud. It unlocks the power of Microsoft Azure, Microsoft 365, Microsoft Dynamics 365, Microsoft Power Platform, and our ecosystem of partner healthcare solutions to create trusted, end-to-end cloud-based solutions. Healthcare organizations can engage in more proactive ways with patients and give caregivers tools to improve workflow efficiency and streamline interactions. Microsoft Cloud for Healthcare will make it easier for healthcare organizations to remain agile and focus on what they do best delivering better experiences, insights, and care. For more information on general availability read this page.

New VM series supported by Azure Batch

Use Azure Batch to run large-scale parallel and high-performance computing (HPC) batch jobs in Azure. The selection of VMs that can be used by Azure Batch has been expanded, allowing newer Azure VM series to be used. The following additional VM series can now be specified when Batch pools are created:

  • Dav4, Dasv4
  • Ddv4, Ddsv4
  • Eav4, Easv4
  • Edv4, Edsv4
  • E64iv3
  • Mv2
  • NVv4

Azure SQL Virtual Machines with SQL Server IaaS Agent extension

Registering your SQL Server Virtual Machine images in Azure Marketplace and extracting the total value from your Azure IaaS data estate is now easier with the SQL Server IaaS Extension now in general availability. Previously, in order to enjoy the full scope of cost saving and manageability features offered on Azure SQL Server Virtual Machines, you had to run a complicated script that required a large portion of time. Now you can simply tick a consent checkbox and allow Microsoft to automatically register all existing and future SQL Server Virtual Machines in your subscription. Access a number of features designed to save you money and increase manageability by providing a PaaS-like service while still maintaining the ability to customize your data estate that is integral to any IaaS service.

Storage

Soft delete for Azure file shares is now generally available in all regions

Soft delete acts like a recycle bin for your file shares, protecting your Azure file shares from accidental deletion. Now when a file share is deleted, it transitions to a soft deleted state in the form of a soft deleted snapshot. You get to configure how long soft deleted data is recoverable for before it is permanently erased. In January 2021, soft delete will be enabled by default for all new storage accounts with a default retention period of 7 days. Settings for existing storage accounts will not change.

Azure Blob storage lifecycle management supports blob versions management

Azure Blob storage lifecycle management now supports blob versions. Microsoft recommends using blob versioning to maintain previous versions of a blob for data protection. When blob versioning is enabled for a storage account, Azure Storage automatically creates a new version of a blob each time that blob is modified or deleted. You can use lifecycle management to automatically transition old blob versions to a cooler storage tier (hot to cool, hot to archive, or cool to archive) or delete old blob versions to optimize for cost. The lifecycle management feature is free of charge. Customers are charged the regular operation cost for the Set Blob Tier API calls. Delete operation is free. For more information about pricing, see Block Blob pricing.

Policy to control the minimum TLS version used with Azure Storage

Azure Storage now offers administrators the flexibility to specify the minimum version of TLS that a client application must use to communicate with a storage account. Microsoft recommends that you follow a DRAG (Detection-Remediation-Audit-Governance) framework to continuously manage secure TLS for your storage accounts.

Networking

New features for Azure VPN Gateway (preview)

Microsoft is announcing the following new features for Azure VPN Gateway in public preview:

  • High availability for RADIUS servers in point-to-site VPN – This feature enables highly available configuration for customers using RADIUS/AD authentication for their point-to-site VPN.
  • VPN over ExpressRoute private peering – For customers such as those in financial and health industries, double encryption over both their private WANs and Azure WAN is a key compliance requirement. VPN over ExpressRoute private peering allows customers to use IPsec tunnels over their ExpressRoute private peering to satisfy this need.
  • Custom IPsec/IKE policy with DPD timeout – Setting IKE DPD (Dead Peer Detection) timeout allows customers to adjust the IKE session timeout value based on their connection latency and traffic conditions to minimize unnecessary tunnel disconnect, improving both reliability and experience. This feature brings the entire custom IPsec/IKE policy configuration experience to Azure Portal.
  • APIPA support for BGP speaker – This feature supports customers with legacy VPN routers and Amazon Web Service (AWS) VGW, Google Cloud Platform (GCP) VPN which use APIPA addresses as their BGP speaker IP addresses. Now they can establish BGP sessions with Azure VPN gateways using APIPA addresses.
  • FQDN support for site-to-site VPN – This feature supports customer branches or locations without static public IP addresses to connect to Azure VPN gateways. Customers can now leverage dynamic DNS services and use their FQDNs instead of IP addresses. Azure VPN gateways will automatically resolve and update the VPN target to establish IPsec/IKE connections.
  • Session management and revocation for point-to-site VPN users – Enterprise administrators can now list and revoke individual user connections to their VPN gateways from Azure Portal in real time, addressing a key management asks.

Azure Management services: le novità di Ottobre 2020

Nel mese di ottobre sono state annunciate da parte di Microsoft un numero considerevole di novità riguardanti gli Azure management services. La nostra community, tramite questi articoli rilasciati con cadenza mensile, vuole fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Nuova versione dell’agente per sistemi Linux

Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per i sistemi Linux, che include diversi miglioramenti e garantisce una maggiore stabilità. Tra le principali novità il supporto per Red Hat Enterprise Linux 8, CentOS 8, Ubuntu 20.04 e SLES 15 SP1+, oltre che un’estensione delle funzionalità per Azure Arc VMs. Viene inoltre incluso il supporto per Python 3 e un nuovo strumento di troubleshooting.

Monitorare ambienti Kubernetes abilitati per Azure Arc

Azure Monitor for Containers ora estende il supporto contemplando gli alert relativi alle metriche degli ambienti Kubernetes abilitati per Azure Arc. Questi avvisi sulle metriche consentono un monitor efficace delle risorsa di sistema. Per consultare la lista degli alert disponibili per i cluster Kubernetes abilitati per Azure Arc è possibile consultare questo documento.

Azure Monitor for containers: supporto di Network Policy Manager (Preview)
Risulta ora possibile effettuare il monitor del networking dei cluster AKS utilizzando Network Policy Manager (NPM). In questo modo Azure monitor for containers collezionerà le metriche e segnalerà eventuali anomalie nella configurazione oppure nelle performance della rete.

Azure Monitor for containers: supporto per il monitoring del Persistent Volume (PV)

Azure Monitor for containers è ora in grado di effettuare il monitor della capacità del volume persistente (PV) collegato al cluster AKS, raccogliendo le metriche relative alla capacità per tutti i PV, eccetto per i kubesystem namespace.

Azure Monitor Log Analytics data export (preview)

Grazie a questa funzionalità è possibile esportare in modo continuo i dati che risiedono in determinate tabelle di un workspace di Log Analytics verso uno storage account di Azure (ogni ora) oppure verso Azure Event Hub (pressoché in tempo reale). Nell’esportazione verso uno storage account ogni tabella viene conservata in un container separato. Allo stesso modo, quando si esporta verso Event Hub, ogni tabella viene esportata in una nuova istanza di Event Hub. Al momento non è previsto un metodo per filtrare i dati e limitare l’esportazione solo di determinati eventi. Adottando questa funzionalità è possibile usufruire dei seguenti benefici:

  • Conservazione dei dati a basso costo
  • Compliance più semplice quando è necessaria una conservazione dei dati per un lungo periodo di tempo
  • Integrazione con soluzioni terze come Azure Data Lake e Splunk
  • Esportazione a bassa latenza verso Event Hub, consentendo monitoraggio e avvisi pressoché in tempo reale

Disponibilità in nuove regions (preview)

Azure Log Analytics è ora disponibile in preview nelle region di “Brazil Southeast” e “Norway East”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Configure

Azure Automation

Disponibilità in una nuova region

Azure Automation è ora disponibile nelle region di “Switzerland North”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.

Govern

Azure Policy

Introdotto il supporto a keys, secrets, e certificates nelle Azure Policy per Key Vault

Le Azure Policy per Key Vault consentono di controllare secrets, keys, e certificates archiviati nel key vault per garantire che vengano soddisfatti i requisiti di conformità impostati. Qualsiasi secrets, keys, o certificates che non soddisfa i requisiti apparirà come non conforme nella dashboard di compliance delle policy. Inoltre, sarà possibile impostare i criteri di deny per impedire agli utenti di creare o importare oggetti nel key vault non conformi alle policy impostate. I risultati di compliance sarà possibile pubblicarli anche in Azure Security Center.

Azure Cost Management

Azure Cost Management + Billing updates

Durante questo mese sono state annunciate novità relative ai seguenti ambiti di Azure Cost Management e Billing:

Azure Advisor

Nuove raccomandazioni

In Azure Adivisor sono state aggiunte le seguenti raccomandazioni per migliorare le prestazioni delle risorse:

  • Use the Accelerated Writes feature in your HBase cluster
  • Review Azure Data Explorer table cache-period (policy)
  • Optimize MySQL temporary-table sizing
  • Distribute data in server group to distribute workload among nodes

Per maggiori informazioni a riguardo è possibile consultare questo articolo.

Inoltre, per migliorare l’operatività dell’ambiente Azure sono state incluse le seguenti raccomandazioni:

  • Ensure that at least one host pool is Validation Environment enabled
  • Make sure not too many host pools have Validation Environment enabled
  • Use Traffic Analytics to view insights into traffic patterns across Azure resources

Maggiori dettagli sono disponibili in questo articolo.

Protect

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 51 che risolve diverse problematiche e introduce il supporto per le seguenti distribuzioni Linux: SUSE 15 SP2, RHEL 7.9 e Cent OS 7.9. I relativi dettagli e la procedura da seguire per l’installazione sono consultabili nella KB specifica.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure Migrate: come valutare l’ambiente VMware per affrontare la migrazione dei workloads verso Azure

Il processo di trasformazione digitale che interessa le realtà aziendali spesso prevede la migrazione dei workloads ospitati presso i propri datacenter verso il cloud per ottenere migliori risultati per quanto concerne la governance, la sicurezza e l’efficienza dei costi. L’innovazione data dalla migrazione verso il cloud diventa frequentemente una priorità aziendale al punto che questo processo non è più una questione di “se” oppure di “quando”, ma la vera domanda ora è “come” affrontare questa migrazione? A questo proposito Microsoft ha sviluppato la soluzione Azure Migrate che consente di trattare i più comuni scenari di migrazione riducendo la complessità ed i costi. In questo articolo viene riportato nel dettaglio come è possibile effettuare il discovery e l’assessment delle macchine virtuali ospitate in ambiente VMware con Azure Migrate, in modo da poter affrontare al meglio il percorso di migrazione.

Panoramica di Azure Migrate

Azure Migrate struttura il processo di migrazioni in fase differenti: discovery, assessment, e migrazione. Questi tre passaggi rientrano nel Microsoft Cloud Adoption Framework per Azure il quale, nel percorso di adozione di soluzioni cloud, definisce sei fasi principali che valgono per la maggior parte delle organizzazioni:

  • Strategy: definisce la “business justification” ed i risultati attesi.
  • Plan: allinea il piano di adozione del cloud ai risultati aziendali.
  • Ready: Prepara l’ambiente cloud per le modifiche volute.
  • Adopt: implementa le modifiche desiderate nei processi IT e aziendali.
    • Discovery, assessment, e migrazione con Azure Migrate sono parte di questa fase
  • Manage: implementa linee operative di base e best practice.
  • Govern: valuta e implementa le best practices in ambito governance.

Nell’hub di Azure Migrate vengono forniti tutti gli strumenti per svolgere, monitorare e analizzare il proprio percorso di migrazione verso Azure. Questo approccio consente di avere un’esperienza integrata che garantisce continuità e permette di avere una visione complessiva del processo di migrazione.

Figura 1 – Overview di Azure Migrate

L’hub di Azure Migrate comprende servizi di Azure e soluzioni di terze parti per affrontare differenti scenari di migrazione:

  • Server Windows e Linux
  • Database SQL e non-SQL
  • Web apps
  • Virtual desktop infrastructure
  • Data

Il discovery e l’assessment per ambienti VMware

Il processo di discovery dell’ambiente VMware tramite Azure Migrate è in grado di generare una grande quantità di informazioni, utili per valutare lo stato dei workloads. Il processo di assessment effettua una valutazione dell’ambiente ed è in grado di rispondere a domande critiche come:

  • La tua macchina virtuale è pronta per essere eseguita in ambiente Azure?

Azure Migrate riporta se esistono configurazioni che non sono adatte per Azure, come ad esempio la versione del sistema operativo oppure la dimensione del disco non supportati. Riporta inoltre i consigli su come correggere queste situazioni in modo da evitare problemi con la migrazione.

  • Quale dimensione la VM in Azure dovrà avere?

La maggior parte delle organizzazioni desidera conoscere a priori le dimensioni della macchina virtuale in Azure per eseguire in modo efficiente il carico di lavoro, in quanto il dimensionamento aiuta a prevedere i costi. Azure Migrate elimina le necessità di effettuare calcoli e traduce CPU, disco e memoria di un sistema locale in un ambiente equivalente in Azure. Il servizio consiglia una dimensione specifica della macchina virtuale e il tipo di disco in base ai dati raccolti sulle prestazioni.

  • Quanto costerà l’esecuzione in Azure?

Azure Migrate fornisce una stima dei costi mensili per l’esecuzione dei server in Azure.

  • Quali sono le applicazioni in esecuzione sul sistema e le relative dipendenze?

Grazie a Server Assessment è possibile analizzare le dipendenze applicative cross-server e di conseguenza ottimizzare le strategie per lo spostamento interdipendente di server in Azure. L’identificazione delle dipendenze può essere eseguita con agenti installati su ogni macchina virtuale oppure negli ambienti VMware può essere eseguita senza agenti. Quando si utilizza la soluzione basata su agenti, i dati vengono inviati ad Azure Log Analytics in modo da poterli analizzare in modo estremamente dettagliato per trovare dipendenze nascoste che potrebbero altrimenti sfuggire al rilevamento.

Per avviare questo processo di discovery dell’ambiente VMware è necessario creare un nuovo progetto di Azure Migrate, nella sezione “Servers”:

Figura 2 – Creazione di uno progetto di Azure Migrate

Dopo avergli assegnato un nome e definito in che area geografica di Azure dovranno risiedere i metadati inviati è opportuno scegliere lo strumento per effettuare l’assessment. In questo caso si è scelto di adottare la soluzione Microsoft Server Assessment, ma è possibile adottare anche soluzioni di altri vendor.

Figura 3 – Scelta dello strumento per effettuare l’assessment

In modo analogo è possibile eventualmente scegliere anche lo strumento da utilizzare per effettuare la migrazione.

Giunti a questo punto è possibile avviare il processo di discovery.

Figura 4 – Avvio del processo di discovery

Per identificare i server e i carichi di lavoro da valutare è possibile importare nel proprio ambiente locale l’appliance di Azure Migrate oppure utilizzare un metodo manuale importando un file CSV.

Nel caso di utilizzo dell’appliance il processo può essere sintetizzato con le seguenti fasi:

Figura 5 – Processo di discovery ed assessment di ambienti VMware

L’attivazione dell’appliance di Azure Migrate per ambienti VMware è documentata in questo articolo Microsoft. Dopo aver completato il deployment del template OVA è necessario proseguire con le seguenti fasi.

Figura 6 – Configurazione dei prerequisiti

L’appliance necessita di essere registarta al progetto di Azure Migrate creato nella propria subscription. Per farlo è necessario inserire una chiave generata direttamente dal portale Azure.

Figura 7 – Registrazione dell’appliance

Al termine della registrazione è necessario fornire le credenziali del vCenter, utili per effettuare il discovery delle macchine virtuali VMware, e i dettagli per connettersi al server vCenter. Inoltre, è possibile specificare le credenziali da utilizzare per rilevare le applicazioni installate e le varie dipendenze, il tutto in modalità agentless. Per maggiori informazioni a riguardo è possibile consultare la documentazione specifica di Microsoft.

Figura 8 – Gestione delle credenziali e delle sorgenti VMware

Al termine del processo di discovery è possibile consultare i dati raccolti dal portale Azure.

Figura 9 – Server discovery

La fase successiva prevede la creazione del processo di assessment, andando a definire le proprietà in base alle proprie esigenze.

Figura 10 – Proprietà del processo di assessment

In seguito, è necessario specificare i sistemi che si intende migrare, che saranno oggetto dell’assessment.

Figura 11 – Selezione delle macchine sulle quali effettuare l’assessment

Il processo di assessment, se basato sui dati di performance raccolti dalla virtual applicance di Azure Migrate, presenta un livello di affidabilità espresso con un grado di confidenza da 1 a 5.

Figura 12 – Assessment effettuati e livelli di affidabilità

Il dimensionamento ipotizzato per i sistemi Azure viene calcolato esaminando le prestazioni raccolte nei giorni precedenti, nello specifico:

  • Utilizzo di RAM e CPU
  • IOPS e velocità effettiva per ogni disco collegato alla macchina virtuale.
  • I/O di rete per gestire il dimensionamento basato sulle prestazioni per ogni scheda di rete collegata a una macchina virtuale.

Per maggiori informazioni sul processo di assessment è possibile consultare questo documento Microsoft.

L’esito dell’assessment può essere consultato direttamente dal portale Azure, dove è anche possibile scaricare un foglio Excel con i relativi dettagli.

Figura 13 – Dettagli dell’assessment

Per ogni sistema è inoltre possibile esplorare le varie dipendenze applicative:

Figura 14 – Dipendenze applicative di un singolo server

Tutte le dipendenze applicative scoperte da Azure Migrate possono inoltre essere esportate dal portale Azure in un foglio Excel.

Conclusioni

Spostare agilmente i workloads VMware verso Azure è un’esigenza sempre più sentita al fine di aumentare la produttività grazie ad una maggiore elasticità e scalabilità offerta dal cloud pubblico. Utilizzando Azure Migrate è possibile portare a termine con facilità e precisione le fasi di discovery ed assessment del proprio ambiente VMware. Queste fasi risultano di fondamentale importanza per poter affrontare il processo di migrazione dei workload applicativi di VMware verso Azure nel migliore dei modi.

Azure IaaS and Azure Stack: announcements and updates (October 2020 – Weeks: 41 and 42)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

New cloud datacenter region in Greece

Microsoft has announced plans build its newest datacenter region in Greece. This announcement will also encompass a skilling initiative which will reach a minimum of 100,000 people in Greece, as well as an AI for Cultural Heritage initiative, which will digitize 3D video from the Ancient City of Olympia. The new region is anticipated to include Microsoft Azure, with Microsoft 365, Dynamics 365 and Power Platform to follow.

New Azure Spot Virtual Machines features

In the Azure portal, you can now access the spot price and the eviction rate for the past 28 trailing days for the specific Spot VM you intend to deploy. These new capabilities will enable you to derive estimates about the probability that your workloads will be evicted while providing insights regarding the cost of running interruptible workloads using Spot VMs.

Azure Virtual Machines DCsv2-series expanding within Europe, United Kingdom and United States

Confidential computing DCsv2-series virtual machines (VMs) are now available in North Europe, UK West and US West. Customers in Europe, United Kingdom and United States now have disaster recovery capabilities available. These VMs are backed by the latest generation of Intel XEON E-2288G processor with Software Guard Extensions (SGX) technology, and with the Intel Turbo Boost Technology these machines can go up to 5.0 GHz. Use the DCsv2-series instances to build secure, enclave-based applications to protect your code and data while it’s in use.

Azure DevTest Labs: network isolated lab

An Azure Virtual Network helps ensure that private network traffic is logically isolated from outside traffic. Each lab can be configured with an Azure network to ensure virtual machines and environments created within are isolated from unwanted traffic and follow enterprise networking policies. Lab owners can also now create a network isolated lab. This means, alongside isolating lab virtual machines and environments to a selected network, lab owners can also isolate the lab storage account and key vaults created for certain lab operations. Learn more about how you can create an isolated network lab.

Azure DevTest Labs: available in more regions

 

Azure DevTest Labs is now available in the UAE North, Germany West Central and Norway East regions. The support includes full Azure DevTest Labs capabilities. 

Storage

Azure NetApp Files Manual QoS Capacity Pool (preview)

Microsoft is introducing Azure NetApp Files (ANF) manual quality of service (QoS) capacity pool, which is a new type of capacity pool that allows you to assign the capacity and throughput for a volume independently. The total throughput of all volumes created with a manual QoS capacity pool is limited by the total throughput of the pool. The total throughput of the pool is determined by the combination of the pool size and the service-level throughput. Find more details in the ANF user documentation.

Azure Blob: Soft Delete for Containers preview region expansion

Soft delete for containers expands upon Azure Blob Storage’s existing capabilities such as blob versioningsoft delete for blobsaccount delete locking, and immutable blobs, making our data protection and restore capabilities even better. When container soft delete is enabled for a storage account, any deleted container and their contents are retained in Azure Storage for the period that you specify. During the retention period, you can restore previously deleted containers and any blobs within them. Microsoft is expanding the public preview to all public Azure regions. There is no additional charge to enable container soft delete. Data in soft deleted containers is billed at the same rate as active data.

Azure Files premium tier is now available in more regions with LRS, ZRS, and NFS support

Azure Files premium tier storage offers highly-performant, highly available file services, that is built on solid-state drives (SSD). Premium tier is optimized to deliver consistent performance for IO-intensive workloads that require high-throughput and low latency. More Azure Files premium tier regions, more premium files regions with locally redundant storage (LRS), zone redundant storage (ZRS) support, and Network File System (NFS 4.1) public preview support. Stay up to date on the premium tier region availability through the Azure region availability page.

Networking

Standard Load Balancer and Public IP addresses support resource group move

Standard Load Balancers and Standard Public IP addresses now support being moved across resource groups within the same subscription. Moving a resource only moves it to a new resource group. It doesn’t change the location of the resource or the subscription. Moving Standard Load Balancers and Public IP addresses across resource groups is supported in all Azure public cloud regions.

Azure IaaS and Azure Stack: announcements and updates (October 2020 – Weeks: 39 and 40)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

In this dedicated post you can find the most important announcements and major updates officialized last week during Microsoft Ignite 2020 conference.

Azure

Compute

The new Azure VMware Solution is now generally available

Designed, built, and supported by Microsoft, Cloud Verified by VMware, running VMware Cloud Foundation technologies, Azure VMware Solution enables customers to extend or migrate VMware workloads to the cloud seamlessly. Organizations can maintain existing VMware skills and operational processes, running VMware Cloud Foundation technologies, and leverage the benefits of Azure, all at the same time.

Azure Availability Zones in more regions

Azure Availability Zones, high-availability solutions for mission-critical applications, are now generally available in Australia East and Canada Central.

Azure DevTest Labs: Encrypt OS disks in your lab

Server-side encryption (SSE) protects your data and helps you meet your organizational security and compliance commitments. SSE automatically encrypts your data stored on managed disks in Azure (OS and data disks) at rest by default when persisting it to the cloud. Within DevTest Labs, all OS disks and data disks created as part of a lab are encrypted using platform-managed keys. As a lab owner you can now choose to encrypt lab virtual machine OS disks using your own keys. If you choose to manage encryption with your own keys, you can specify a customer-managed key to use for encrypting data in lab OS disks.

Storage

Price reduction on the Azure Files premium tier by 33%

The new pricing is effective October 1st and applies to all the regions/redundancy options for the premium tier. The price reduction on the premium tier, coupled with the recent introduction of two new hot and cool tiers, makes customers’ decision easier to choose the right files storage tier that fits best their workload’s needs while offering a most cost effective storage.  Azure Files premium tier hosted on SSD storage, with no additional cost for transactions, is best suited for workloads that are IO intensive, with high throughput and low latency needs. The three standard tiers (transaction optimized, hot, and cool) are best suited for workloads that do not need high throughput or IOPS but require a reliable lower cost storage.

Shared disks on Azure Disk Storage is now available in broader set of regions

With shared disks, Azure Disk Storage is the only shared block storage in the cloud that supports both Windows and Linux based clustered or high-availability applications. Shared disks is now available for Premium SSDs in all regions and available for Ultra Disks in all regions that support Ultra Disks. Shared disks allows a single disk to be attached to multiple virtual machines, enabling customers to run their most demanding enterprise applications in the cloud like clustered databases, parallel file systems, persistent containers, and machine learning applications, without compromising on well-known deployment patterns for fast failover and high availability.

Azure Ultra Disk is now available in more regions

Azure Ultra Disks offer high throughput, high IOPS, and consistent low latency disk storage for Azure VMs. Azure Ultra Disk is now available in Australia Central, India Central, Korea Central and US Gov Texas.

Azure Management services: le novità di Settembre 2020

Anche nel mese di settembre sono state annunciate da parte di Microsoft novità riguardanti gli Azure management services. La nostra community pubblica mensilmente questo riepilogo per fornire una panoramica complessiva di queste novità. In questo modo è possibile rimanere sempre aggiornati su tali argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Nuova versione dell’agente per sistemi Windows

Questo mese è stata rilasciata una nuova versione dell’agente di Log Analytics per sistemi Windows, che introduce diversi miglioramenti e una maggiore stabilità.

Nuovo agente unificato e regole di Data Collection (preview)

Azure Monitor sta introducendo un nuovo concetto per la configurazione della raccolta dati e un nuovo agente unificato per Azure Monitor in anteprima pubblica. Il nuovo agente e le regole di Data Collection migliorano alcune aree chiave della raccolta dati dalle macchine virtuali in Azure Monitor, tra cui:

  • Invio dei dati sia a Log Analytics che alle metriche di Azure Monitor.
  • Scoping della raccolta dei dati per un sottoinsiemi di macchine virtuali per un singolo workspace.
  • Invio dei dati a più workspace per le VM Linux (multi-homing).
  • Miglioramenti nei filtri degli eventi di Windows.

Nuovo agente per containers

La nuova versione dell’agente di Azure Monitor per containers introduce queste novità:

  • Consente di monitorare lo stato dei propri deployment e di Horizontal Pod Autoscaler (HPA) tramite workbook.
  • Accesso al tab Health (limited preview)
  • Correzioni di bug come la visualizzazione dello stato del nodo “not ready”.

Azure Resource Health

Supporto per Azure Cloud Services

In Azure Resource Health viene ora riportato lo stato di integrità in tempo reale e la cronologia degli stati per i deployment degli Azure Cloud Services, nello specifico:

  • Consente di diagnosticare e ottenere supporto per i problemi di Azure Cloud Service.
  • Segnala lo stato attuale e passato delle risorse a livello di Deployment, Role & Role Instance.
  • Fornisce le ragioni dettagliate per le modifiche allo stato di integrità.
  • Consente di impostare avvisi quando lo stato di salute cambia.

Govern

Azure Cost Management

Gestione dei costi di Amazon Web Services (AWS)

L’adozione di una strategia multi-cloud comporta solitamente una complessità elevata nel controllo dei costi, spesso data dalla differente gestione dei diversi modelli di costo e dai diversi cicli di fatturazione. Mantenere sotto controllo i costi dei workload che risiedono su differenti cloud provider può risultare di difficile comprensione in quanto impongono l’utilizzo di dashboard e viste differenti.

In Azure Cost Management è stata introdotta la possibilità di gestire in modo centralizzato anche i costi di AWS oltre a quelli di Azure. Questa funzionalità permette di evitare eccedenze di budget, di mantenere il controllo e di gestire al meglio la responsabilità dei costi del cloud.

Secure

Azure Security Center

Introduzione di Azure Defender

I servizi di protezione dalle minacce in Azure Security Center sono stati rinominati in Azure Defender. Inoltre, grazie alle nuove dashboard viene offerta una migliore experience per il rilevamento delle minacce di sicurezza e per le relative risposte.

Protezione di database SQL e di macchine virtuali in qualsiasi location

Grazie al supporto di Azure Arc, Azure Defender ora è in grado di proteggere i server SQL dislocati on-premises e in ambienti multicloud, nonché le macchine virtuali ospitate presso altri cloud pubblici.

Protezione avanzata per i containers

La crescente diffusione nell’adozione dei containers e di Kubernetes ha portato un’evoluzione in Azure Defender for Kubernetes. Infatti, per garantire una adeguata protezione dei workloads in ambiente Kubernetes, è stata inclusa in Azure Defender la gestione delle policy Kubernetes, dell’hardening e dell’applicazione dei controllo di ammissione.

Inoltre, grazie all’introduzione di un meccanismo che permette la scansione continua delle immagini dei containers viene ridotta al minimo la possibilità di sfruttare in modo malevolo i containers in esecuzione.

Protezione dell’IoT

Azure Defender for IoT, grazie alla recente acquisizione di CyberX, è in grado di offrire una sicurezza per i dispositivi IoT in modalità agentless. La soluzione offre un rilevamento continuo degli asset IoT / OT, la gestione delle vulnerabilità e il monitoraggio delle minacce sia per i dispositivi greenfield che brownfield.

Protect

Azure Backup

Backup Center

La nuova soluzione Backup Center, attualmente disponibile in anteprima pubblica, offre un’esperienza unica progettata per la gestione centralizzata dei backup su larga scala. Con Backup Center, è possibile esplorare dinamicamente grandi inventari di backup tra vaults, subscriptions, locations e persino tenants differenti. Tramite Backup Center è inoltre possibile governare qualsiasi azione relativa ai backup.

Backup Center supporta i seguenti tipi di workload:

  • Azure Virtual Machines
  • SQL in Azure Virtual Machines
  • Azure Database for PostgreSQL servers
  • Azure Files

Cross Region Restore

Il ripristino tra region differenti di Azure, disponibile per le macchine virtuali, è stato esteso anche per supportare SQL e SAP HANA. Il Cross Region Restore consente ai clienti di ripristinare i propri dati nelle regioni secondarie in qualsiasi momento, fondamentale in caso di indisponibilità della region primaria.

Protezione long term di Azure Database for PostgreSQL

Azure Backup e Azure Database Services si sono uniti per fornire una soluzione di backup di classe enterprise per Azure Database for PostgreSQL (in anteprima). Tramite policy di backup gestite è possibile abilitare il mantenimento dei backup fino a dieci anni.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 50 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Migrate

Azure Migrate

Introdotto il supporto per le Availability Zones

Nello strumento Azure Migrate: Server Migration è stato introdotto il supporto per le Availability Zone in fase di migrazione dei sistemi server in Azure. Le Azure Availability Zones sono un meccanismo per ottenere l’alta disponibilità, proteggendo le applicazioni e i dati da failure che potrebbero verificarsi nei datacenter di Azure. Grazie a questa nuova possibilità che viene offerta è possibile ottenere una migliore resilienza per i workload applicativi che si migrano in ambiente Azure.

Incluso il supporto per Windows Virtual Desktop e per applicativi web ASP.NET

Azure Migrate ha recentemente ampliato il supporto comprendendo negli scenari di migrazione:

  • Windows Virtual Desktop. Questo processo di migrazione aiutata le aziende a fornire un’esperienza remote desktop sicura ed affidabile, semplificando il percorso per l’adozione di soluzioni cloud.
  • Applicazioni Web ASP.NET. Migrando gli applicativi Web locali basati su .NET verso i servizi gestiti forniti dalla piattaforma Azure, quali App Service ed Azure SQL, i clienti sono in grado di ridurre i costi e di semplificare la gestione degli applicativi.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (Microsoft Ignite 2020 – Special Edition)

This special edition includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft this week during Microsoft Ignite 2020 conference. Microsoft announced several important additions to its Azure infrastructure as a service (IaaS) portfolio and the Microsoft infrastructure services continue to evolve to optimize the experience of running business-critical workloads.

Azure

Compute

Availability Zones deployed to more Azure Regions

Azure Availability Zones (AZs) provide a high-availability option for comprehensive business-continuity and disaster-recovery strategies (BCDR), 99.99% uptime service-level agreement (SLA) on virtual machines, flexible high-performance architecture and multizone support with built-in security. Microsoft continues to expand deployment of Availability Zones in datacenter regions worldwide, with a roadmap to provide Availability Zone options in each country it operates datacenters in over the next 24 months. In September, Availability Zones will be available in two more existing regions, Canada Central and Australia East, bringing the total number of Microsoft’s AZ-enabled regions to 14.

Zone to zone disaster recovery for azure virtual machines

Zone to Zone disaster recovery allows customers to replicate, failover and failback their business-critical virtual machines within the same region with zones. The capability adds options for scenarios such as metro-based disaster-recovery strategy while customers are hosting applications on-premises and are looking to mimic that after migrating applications over to Azure; those that have complicated networking infrastructure and want to avoid the cost and complexity of recreating it in a secondary region; and those in regions that prefer not to use paired region disaster recovery options.

New Azure Spot VM features

New Azure Spot VM features, in preview soon in the Azure portal, enable customers to access and review the price history of Spot VMs and eviction rate for the past 28 trailing days. Also, not only allow customers to derive estimates about the probability that their workloads will be evicted, but also enable better estimates for the cost of running interruptible workloads using Spot VMs.

Azure Hybrid Benefit for Linux workload (preview)

Azure Hybrid Benefit, available in preview, improves flexibility and enhances user experience for Red Hat and SUSE customers migrating Linux to Azure.Directly in the portal or through CLI, Red Hat Enterprise Linux (RHEL) and SUSE Linux Enterprise Server (SLES) customers will be able to convert existing Linux VMs from pay-as-you-go (PAYG) billing to bring-your-own-subscription (BYOS) billing, making use of their existing Red Hat and SUSE subscriptions. This is a unique capability that allows customers to first deploy a POC in Azure using the convenience of on-demand PAYG Linux VMs, and when testing is complete, convert it to long-term production using RHEL and SLES subscriptions. This removes the headache of production redeployment, preserves existing investments in on-premises RHEL and SLES subscriptions, and reduces migration planning worries.

A new Azure-supported Linux distribution

Flatcar Container Linux by Kinvolk, is now available in Azure Marketplace. Flatcar is an immutable Linux distribution and is compatible with Core OS (which reached its end of service on May 26, 2020), making Flatcar Container Linux a viable and straightforward migration choice for container workloads running on Azure.

Azure Image Builder

Azure Image Builder, generally available by the end of this year, is a free image-building service that streamlines the creation, update, patch, management and operation of Linux and Windows images. Azure Image Builder will deploy resources into your subscription when used, and you pay only for the virtual machines and associated storage and networking resources consumed when running your image-building pipeline.

Multiple new Azure Infrastructure features

Multiple new Azure Infrastructure features are now available:

  • New Azure Virtual Machines (VMs) are now generally available featuring Intel Cascade Lake processors for general purpose and memory-intensive workloads. These VMs provide up to 20% greater CPU performance compared to the prior generation.
  • Azure Dedicated Host now gives customers more control. Customers can schedule host maintenance operations on Dedicated Hosts and isolated VMs as well as control when guest OS image updates are rolled out. Azure Dedicated Host also supports Virtual Machine Scale Sets and simplifies deployment by offering customers the ability to let the platform select the host group where VMs are deployed to.

Storage

New Azure Disk Storage updates

New Azure Disk Storage updates, including:

  • Azure Private Link integration which enables secure import and export of data over a private virtual network for enhanced security
  • Support for 512E on Azure Ultra Disks to enable migration of legacy databases to Azure.

Networking

Cisco SD-WAN with Azure Virtual and Global Load Balancer feature (preview)

Azure networking enhancements announced at Ignite include the addition of Cisco Software-Defined Wide Area Network (SD-WAN) native support within the Azure Virtual WAN hubs, and the Global Load Balancer feature for Azure Load Balancer. Both are available in preview.

The use of Cisco SD-WAN with Azure Virtual WAN aligns with networking trends to leverage technologies such as SD-WAN to improve performance through intelligent path selection and central policies. They work to eliminate traditional networking backhauls by sending traffic directly from branch to the cloud via local breakouts and allow you to leverage your chosen vendor’s path selection and policy management.

With Global Load Balancer, customers can use the feature in the Azure Load Balancer to distribute traffic to their global applications, improving performance and availability.

Azure orbital: a new managed service that provides access to physical satellite communication  (private preview)

Azure Orbital is a new managed service that provides access to physical satellite communication capabilities to process and analyze data in Microsoft Azure. Take advantage of a low-latency global fiber network when working with large satellite datasets. Azure Orbital is available now to select customers in private preview. Azure Orbital enables satellite operators to schedule contacts with their spacecrafts and directly downlink data into their virtual network (VNet) in Azure. 

Azure Stack

Azure Stack Edge

Two new Azure Stack Edge rugged devices are available

Customers can perform machine learning and gain quick insights at the edge by running the Azure Stack Edge Pro R with NVIDIA’s powerful T4 GPU and the lightweight, portable Azure Stack Edge Mini R. Both devices are designed to operate in the harshest environments at remote locations. 

Azure Stack Edge is now available with GPUs

Customers can run visualization, inferencing, and machine learning at the edge with the Azure Stack Edge Pro series powered by the NVIDIA T4 Tensor Core GPU. This unlocks a broad set of new edge scenarios, such as automatically recognizing license plates for efficient retail curbside pickup, and detecting defects in real time in products on a manufacturing assembly line.

Azure Stack HCI

Preview of Azure Kubernetes Services (AKS) on Azure Stack HCI

AKS on Azure Stack HCI enables customers to deploy and manage containerized apps at scale on Azure Stack HCI, just as they can run AKS within Azure. This now provides a consistent, secure, and fully managed Kubernetes experience for customers who want to use Azure Stack HCI within their datacenters. Sign up for the preview of AKS on Azure Stack HCI.

Azure Stack Hub

Azure Stack Hub is now available with GPUs

To power visualization intense apps, we’ve partnered with AMD to bring the AMD Mi25 GPU to Azure Stack Hub, which allows users to share the GPU in an efficient way. The NVIDIA V100 Tensor Core GPU enables customers to run compute intense machine learning workloads in disconnected or partially connected scenarios. The NVIDIA T4 Tensor Core GPU provides visualization, inferencing, and machine learning for less compute intense workloads