New Azure Cloud Services deployment model (preview)
Both deployment models are now available in Azure Cloud Services:
Azure Cloud Services (extended support), in public preview, is a new Azure Resource Manager–based deployment model for Azure Cloud Services. As an existing user of Azure Cloud Services, with Azure Cloud Services (extended support) you can now increase regional resiliency while gaining access to new capabilities such as role-based access control (RBAC), tags, policy, and support for deployment templates.
The Azure Service Manager–based deployment model is now named Azure Cloud Services (classic). You can keep using the existing Azure Cloud Services (classic) deployment model for your Azure Service Manager–based applications.
Availability Zones in new regions
Availability Zones give users additional options for high availability for their most demanding applications and services as well as confidence and protection from potential hardware and software failures by providing three or more unique physical locations within an Azure region. Availability Zones are now generally available in South Central US and in Germany West Central. Availability Zones in this regions are made up of 3 unique physically separated locations or “zones” within a single region to bring higher availability and asynchronous replication across Azure regions for disaster recovery protection.
Since this is a major version upgrade this update will not be automatically applied. You will need to update manually.
Storage
Copy Blob support over private endpoints
Azure Storage now enables you to copy data between storage accounts where one or both the accounts are protected using private endpoints. This includes support for Copy Blob or utilities such as such as AzCopy over Private Endpoints. The feature also enables copying of data between storage accounts, where one account uses a private endpoint and another uses a service endpoint. Azure Storage validates that the client has access to both the source and the destination storage accounts before allowing the data to be copied.
Resource instance rules for access to Azure Storage (preview)
Some Azure resources cannot be isolated through a virtual network or an IP address rule. However, you’d still like to secure and restrict access to your storage account to only your application’s Azure resources. You can now configure your storage accounts to allow access to only specific resource instances of select Azure services by creating a resource instance rule. Resource instances must be in the same tenant as your storage account, but they may belong any resource group or subscription in the tenant. Resource instance rules for access to Azure Storage are now in public preview in all Azure public regions.
Prevent Shared Key authorization on Azure Storage accounts (preview)
Every secure request to an Azure Storage account must be authorized. By default, requests can be authorized with either Azure Active Directory (Azure AD) credentials, or by using the account access key for Shared Key authorization. Of these two types of authorization, Azure AD provides superior security and ease of use over Shared Key, and is recommended by Microsoft. To require clients to use Azure AD to authorize requests, you can disallow requests to the storage account that are authorized with Shared Key. Microsoft is announcing the public preview of the ability to disable Shared Key authorization for Azure Storage. Before you disable Shared Key authorization on existing storage accounts, Microsoft suggests checking existing access patterns via monitoring.
Il nuovo anno è iniziato con diversi annunci da parte di Microsoft riguardanti novità relative agli Azure management services. La Cloud Community rilascia mensilmente questo riepilogo, che consente di avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Query cross tra Azure Monitor ed Azure Data Explorer (preview)
Le possibilità di eseguire query tra Azure Monitor ed Azure Data Explorer permette di interrogare i dati esportati in Azure Data Explorer oppure in Azure blob storage e unirli con qualsiasi workspace di Azure Monitor Log Analytics.
Tra le diverse funzionalità recentemente rilasciate troviamo la possibilità di eseguire query:
Tra servizi Azure Data Explorer ed Azure Monitor (Log Analytics / Application Insights) e viceversa
Sui log di Azure Monitor esportati da un Azure blob storage account utilizzando Azure Data Explorer
In Azure Monitor Log Analytics l’arco temporale massimo di conservazione dei dati è limitato a 2 anni. Questo aspetto in alcuni ambiti può risultare limitante, al punto da non permettere di rispettare determinati criteri di conformità. Per superare questa limitazione è possibile esportare i log in un Azure blob storage. Grazie a questa nuova funzionalità è possibile eseguire query incrociate includendo anche i dati esportati nell’Azure blob storage in modo integrato.
Monitoring di Cluster Azure Data Explorer con Azure Monitor (preview)
Azure Monitor amplia le sue capacità con Azure Monitor for Azure Data Explorer, che permette di effettuare un monitor completo dei cluster Azure Data Explorer, fornendo una visione unica delle performance, delle operations, e dell’effettivo utilizzo.
Integrazione tra i workbook di Azure Monitor ed Application Change Analysis (preview)
L’integrazione recentemente rilasciata tra i workbook di Azure Monitor ed Application Change consente di creare diverse tipologie di grafici, utilizzando come origine dati le informazioni riguardanti le modifiche che vengono apportate in ambiente Azure. Ad esempio, risulta possibile creare grafici per visualizzare quando sono avvenute modifiche importanti nelle ultime 24 ore oppure sfruttare la capacità di merge per visualizzare cosa è cambiato prima di un picco di memoria che si è verificato su una VM.
ITSM Connector per ServiceNow ITOM con Secure Export (preview)
Secure Export è la nuova versione (in preview) dell’IT Service Management Connector (ITSM) di Azure Monitor, che consente di creare automaticamente work items in uno strumento ITSM, nel momento in cui viene attivato un alert di Azure Monitor. Come parte dell’anteprima, è stata introdotta una nuova integrazione con ServiceNow IT Operations Management (ITOM) utilizzando Secure Export.
Azure Monitor Network Insights
Azure Monitor Network Insights è ora disponibile e permette , tramite una console centralizzata, di effettuare il monitoraggio dell’infrastruttura di rete di Azure. Le caratteristiche principali di Network Insights sono le seguenti:
Console unica per il monitor del network.
Non è richiesta la configurazione di agenti.
Accesso centralizzato degli strumenti di monitor del traffico e della connettività, che permettono di controllare health state, metriche, alerts, e dati.
Visualizzazione della topologia di rete, con la possibilità di visualizzare le dipendenze funzionali. In questo modo viene resa più semplice la risoluzione di eventuali problematiche.
Accesso alle metriche delle risorse per eseguire il debug quando necessario, senza dover scrivere query oppure creare workbook specifici.
Disponibilità in nuove region
Azure Monitor Log Analytics è ora disponibile nelle seguenti region di Azure: “Germany West Central”, “UAE North”, e “Switzerland West”. Inoltre, Azure Log Analytics è disponibile in preview in due nuove region: “UAE Central” e “Japan West”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.
Configure
Azure Automation
Disponibilità in nuove region
Azure Automation è ora disponibile nella region di “UAE North” e nella region di “Switzerland West”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.
Govern
Azure Policy
Supporto per i NSG Flow Logs
I NSG flow logs nella piattaforma Azure permettono di mantenere la visibilità del traffico di rete in ingresso e in uscita dai Network Security Group. Per semplificare l’esperienza di distribuzione dei NSG flow logs è stato introdotto nelle Azure Policy il supporto integrato, che consente di controllare lo stato di abilitazione e di forzare la raccolta dei NSG flow logs quando disabilitata, nello specifico utilizzando le seguenti policy:
Audit policy: Flag NSGs without Flow logs enabled
DeployIfNotExists policy: Enable Flow logs on NSGs where it is disabled
Azure Cost Management
Aggiornamenti relativi ad Azure Cost Management and Billing
Microsoft è costantemente alla ricerca di nuovi modi per migliorare Azure Cost Management and Billing, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione, tra i quali:
Nuova visualizzazione dei costi per resource groups
Salvataggio dell’ultimo scope utilizzato
Novità di Cost Management Labs
Definizione di ruoli e responsabilità
Metodologie per risparmiare sui costi eseguendo app .NET su Azure
Nuovi metodi per risparmiare denaro
Nuovi video per approfondire queste tematiche
Aggiornamenti della documentazione
Secure
Azure Security Center
Vulnerability assessment per sistemi on-premise e in ambienti multi-cloud
La soluzione Azure Security Center è stata recentemente arricchita con la possibilità di effettuare in modo integrato un Vulnerability Assessment, non solo delle macchine virtuali in Azure, ma anche dei sistemi dislocati on-premises oppure in ambienti multi-cloud, purché sia stato abilitato Azure Arc.
La scansione delle vulnerabilità inclusa in Azure Defender for servers viene effettuata tramite la soluzione Qualys, il quale risulta essere riconosciuto come strumento leader per identificare in tempo reale eventuali vulnerabilità presenti sui sistemi.
Grazie a questo aggiornamento, risulta possibile sfruttare la potenza di Azure Defender for server per consolidare il programma di gestione delle vulnerabilità su tutte le risorse del proprio ambiente (Azure e non). Tra le funzionalità principali troviamo:
Monitoring della scansione del VA (vulnerability assessment) sulle macchine Azure Arc
Provisioning del VA agent sulle macchine Azure Arc Windows e Linux (manualmente e su larga scala)
Ricezione ed analisi delle vulnerabilità rilevate dagli agenti distribuiti (manualmente e su larga scala)
Esperienza unificata per le VMs di Azure e per le macchine Azure Arc
Ulteriori novità di Azure Security Center
Lo sviluppo di Azure Security Center è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:
Azure Backup offre la possibilità, al momento accedendo ad una preview limitata, di proteggere i dischi di tipologia managed. Il tutto avviene tramite la creazione periodica di snapshot che vengono conservati per una durata stabilita tramite policy di backup. La soluzione non prevede la presenza di agenti specifici e supporta il backup ed il ripristino sia dei dischi del sistema operativo che dei dischi dati (inclusi gli Shared Disk), indipendentemente dal fatto che siano collegati o meno ad una macchina virtuale in esecuzione in Azure.
Encryption at rest con chiavi “customer-managed”
In Azure Backup è stato introdotto il supporto per l’encryption at rest utilizzando chiavi gestite dal cliente. Questa funzionalità permette di crittografare i dati di backup nei Recovery Services vaults usando le proprie chiavi presenti in Azure Key Vault. I dati vengono protetti utilizzando una chiave di crittografia dei dati (DEK) basata su AES 256, che a sua volta è protetta utilizzando le chiavi archiviate nel Key Vault. Rispetto alla crittografia che utilizza le chiavi gestite dalla piattaforma Azure (disponibile di default), questo supporto permette un maggiore controllo sulla gestione delle chiavi di crittografia, permettendo di soddisfare al meglio le esigenze di conformità.
Azure Site Recovery
Nuovo Update Rollup
Per Azure Site Recovery è stato rilasciato l’Update Rollup 53 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Per ottenere un elevato livello di sicurezza del proprio ambiente dislocato nel cloud pubblico è necessario prevedere una protezione sulle singole risorse che vengono attivate, ma è anche opportuno monitorare il servizio che permette la distribuzione e la gestione delle risorse stesse. Nel cloud pubblico di Microsoft il servizio di deployment e management è definito Azure Resource Manager, un servizio cruciale connesso a tutte le risorse Azure, pertanto un potenziale ed ambizioso bersaglio per gli aggressori. Microsoft, consapevole di questo aspetto, ha recentemente annunciato Azure Defender for Resource Manager. In questo articolo vengono riportate le caratteristiche di questa soluzione che consente di svolgere un’analisi avanzata di sicurezza, al fine di rilevare potenziali minacce ed essere avvisati a fronte di attività sospette che interessano Azure Resource Manager.
In Azure Defender esistono protezioni pensate appositamente per i singoli servizi Azure, come ad esempio per Azure SQL DB, Azure Storage, Azure VMs, e protezioni che interessano in modo trasversale tutti quei componenti che possono essere utilizzati dalle varie risorse Azure. Tra questi troviamo Azure Defender per Azure Network, Key Vault ed è stata annunciata recentemente anche la disponibilità di Azure Defender per Azure DNS e per Azure Resource Manager. Questi strumenti permettono di ottenere un ulteriore livello di protezione e controllo nel proprio ambiente Azure.
Figura 1 – Azure Defender Threat Protection per Workloads Azure
Azure Resource Manager fornisce il layer di gestione che consente di creare, aggiornare ed eliminare risorse nell’ambiente Azure. Fornisce inoltre funzionalità specifiche per la governance dell’ambiente Azure, come il controllo degli accessi, i lock ed i tag, che consentono di proteggere ed organizzare le risorse dopo la loro distribuzione.
Azure Defender for Resource Manager effettua automaticamente il monitor delle operazioni di gestione delle risorse Azure dell’organizzazione, indipendentemente dal fatto che queste vengano eseguite tramite il portale di Azure, le REST API di Azure, l’interfaccia da riga di comando oppure con altri client di programmazione di Azure.
Figura 2 – Protezione di Azure Defender for Resource Manager
Per attivare questo tipo di protezione è sufficiente abilitare il piano specifico di Azure Defender nelle impostazioni di Azure Security Center:
Figura 3 – Attivazione di Azure Defender for Resource Manager
Azure Defender for Resource Manager è in grado di attivare una protezione al verificarsi delle seguenti condizioni:
Operazioni di gestione delle risorse classificate come sospette, come ad esempio operazioni da indirizzi IP dubbi, disabilitazione del componente antimalware e script ambigui in esecuzione tramite le VM extensions.
Utilizzo di exploitation toolkits come Microburst oppure PowerZure.
Spostamento laterale dall’Azure management layer all’Azure resources data plane.
Un elenco completo degli alert che Azure Defender for Resource Manager è in grado di generare, si trova in questo documento Microsoft.
Gli avvisi di sicurezza generati da Azure Defender for Resource Manager si basano su potenziali minacce che vengono rilevate monitorando le operazioni di Azure Resource Manager utilizzando le seguenti fonti:
Azure Activity Log, il log della piattaforma Azure che fornisce informazioni sugli eventi a livello di sottoscrizione.
Log interni di Azure Resource Manager, non accessibile dai clienti, ma solo dal personale Microsoft.
Al fine di ottenere un’esperienza di indagine migliore e più approfondita è consigliabile far confluire gli Azure Activity Log in Azure Sentinel, seguendo la procedura descritta in questo documento Microsoft.
Simulando un attacco al layer di Azure Resource Manager utilizzando l’exploitation toolkits PowerZure, Azure Defender for Resource Manager genera un alert con severity elevata, come mostrato nell’immagine seguente:
Figura 4 – Alert generato da Azure Defender for Resource Manager
A fronte di un alert di questo tipo è possibile ricevere anche una notifica impostando in modo opportuno un action group in Azure Monitor. Inoltre, nel caso sia stata attivata l’integrazione tra Azure Security Center ed Azure Sentinel, lo stesso alert sarebbe presente anche in Azure Sentinel, con le relative informazioni necessarie per avviare il processo di investigazione e fornire una pronta risposta ad una problematica di questo tipo.
Conclusioni
Proteggere in modo efficace le risorse nell’ambiente Azure significa anche adottare gli strumenti idonei per fronteggiare potenziali attacchi che possono sfruttare i meccanismi di distribuzione e di gestione delle risorse stesse. Grazie al nuovo strumento Azure Defender for Resource Manager è possibile usufruire in modo totalmente integrato nella piattaforma Azure di una efficace protezione, senza dover installare specifici software oppure abilitare agenti aggiuntivi.
Microsoft has announced plans for a new datacenter region in Chile, as part of a “Transforma Chile” initiative. A skilling program as well as an Advisory Board are also part of the initiative, targeted at reaching 180,00 Chileans.
NCas_T4_v3-Series VMs are now generally available
NCas_T4_v3Virtual Machines feature 4 NVIDIA T4 GPUs with 16 GB of memory each, up to 64 non-multithreaded AMD EPYC 7V12 (Rome) processor cores, and 448 GiB of system memory. These virtual machines are ideal to run ML and AI workloads utilizing Cuda, TensorFlow, Pytorch, Caffe, and other frameworks or the graphics workloads using NVIDIA GRID technology. NCas_T4_v3 VMs are now generally available in West US2, West Europe, and Korea Central regions.
Networking
Public IP SKU upgrade
Azure public IP addresses now support the ability to be upgraded from Basic to Standard SKU. Additionally, any Basic Public Load Balancer can now be upgraded to a Standard Public Load Balancer, while retaining the same public IP address. This is supported via PowerShell, CLI, templates, and API and available across all Azure regions.
Microsoft per rispondere al meglio alle esigenze di adottare soluzioni in grado di estendere il proprio ambiente, dal datacenter principale ai siti periferici, con i servizi innovativi di Azure, mette a disposizione dei propri clienti il portfolio Azure Stack. Si tratta di un insieme di soluzioni in ambito Hybryd Cloud, che consentono di distribuire ed eseguire i propri workload applicativi in modo coerente, senza vincoli imposti dalla locazione geografica. In questo articolo viene riportata una panoramica della piattaforma Azure Stack Edge (ASE) e delle sue caratteristiche, esaminando i casi d’uso e le principali funzionalità.
Prima di entrare nello specifico di Azure Stack Edge è bene precisare che le soluzioni incluse nel portfolio Azure Stack sono le seguenti:
Azure Stack Edge: l’appliance gestita di Azure in grado di portare la potenza computazionale, lo storage e l’intelligenza del cloud in un edge remoto del cliente.
Azure Stack HCI: la soluzione che consente l’esecuzione di macchine virtuali ed una facile connessione ad Azure grazie ad una infrastruttura hyper-converged (HCI).
Azure Stack Hub: l’offerta per le realtà enterprise e per i clienti dei settori pubblici, che necessitano di un ambiente cloud ma disconnesso da Internet oppure che devono soddisfare specifici requisiti normativi e di conformità.
Figura 1 – Famiglia di prodotti Azure Stack
Per avere una panoramica di queste soluzioni vi invito a leggere questo articolo.
Value proposition di Azure Stack Edge
I risultati che si possono trarre adottando la soluzione Azure Stack Edge sono i seguenti:
Possibilità di adottare on-premises un modello Infrastructure as a service (IaaS) per i carichi di lavoro nei siti periferici (edge), dove sia l’hardware che il software vengono forniti da Microsoft.
Capacità di eseguire le applicazioni presso i siti del cliente, in modo da mantenerle in prossimità delle fonti dati. Inoltre, consente di eseguire presso l’edge non solo le applicazioni proprietarie e di terze parti, ma anche di usufruire di diversi servizi Azure.
Disponibilità di acceleratori hardware built-in che consentono di eseguire scenari di machine learning e AI presso l’edge, proprio dove si trovano i dati, senza la necessità di dover inviare i dati nel cloud per svolgere ulteriori analisi.
Possibilità di disporre di un cloud storage gateway integrato che consente un facile trasferimento dei dati dall’edge verso l’ambiente cloud.
Scenari d’uso
I principali scenari d’uso di Azure Stack Edge sono i seguenti:
Machine learning presso i siti periferici: grazie alla presenza di acceleratori hardware integrati e le capacità di elaborazione offerte dalla soluzione, si ha la possibilità di far fronte a questi scenari proprio dove risiedono i dati, elaborandoli in tempo reale, senza doverli inviare verso Azure.
Capacità computazione presso gli edge: i clienti possono eseguire le proprie applicazioni aziendali e le soluzioni IoT presso i siti periferici, senza necessariamente dover fare affidamento su una connettività costante verso l’ambiente cloud.
Trasferimento di rete dei dati dall’edge al cloud: utilizzato negli scenari in cui si desidera trasferire periodicamente i dati dall’edge al cloud, per ulteriori analisi oppure per scopi di archiviazione.
Form factors
Per supportare i differenti scenari d’uso riportati, verticalmente tra i settori industriali, Azure Stack Edge è disponibile in tre form factor distinti:
Azure Stack Edge Pro, un server blade 1U con una o due GPU.
Azure Stack Edge Pro R, un server rugged con GPU, in una robusta custodia da trasporto, completa di UPS e batteria di backup.
Azure Stack Edge Mini R, una macchina con un form factor ridotto dotata di batteria e con un peso non elevato (meno di 3,5 Kg).
Figura 2 – Form factors di Azure Stack Edge
Le versioni Azure Stack Edge “rugged” permettono una resistenza a condizioni ambientali estreme, e le versioni alimentate a batterie consentono un facile trasporto.
Stack software di Azure Stack Edge
Il cliente può effettuare l’ordine ed il provisioning di Azure Stack Edge direttamente dal portale Azure, per poi utilizzare gli strumenti classici di gestione di Azure per farne il monitoring ed eseguirne gli aggiornamenti. Il supporto hardware viene fornito direttamente da Microsoft, che provvederà alla sostituzione dei componenti in caso di problematiche. Non sono previsti costi iniziali per ottenere questa appliance, ma il costo sarà contemplato mensilmente nella fatturazione dei servizi Azure. Dal momento che, una volta configurato, qualsiasi applicazione eseguita in Azure Stack Edge può essere configurata e distribuita dal portale di Azure, viene elimina la necessità di disporre di personale IT nell’edge location.
Capacità computazionale di Azure Stack Edge
La possibilità di offrire capacità computazionale preso gli edge è una delle funzionalità chiave di Azure Stack Edge, la quale può essere erogata secondo una delle seguenti modalità:
IoT Edge: l’esecuzione di carichi di lavoro containerizzati distribuiti tramite IoT hub è sempre stata supportata sin dal lancio di Azure Stack Edge e continua tuttora ad esserlo.
Kubernetes: recentemente è stato introdotto il supporto per l’esecuzione di workloads containerizzati in cluster Kubernetes in esecuzione su Azure Stack Edge.
Virtual machines: un ulteriore modo per l’esecuzione delle applicazioni è l’attivazione di workload a bordo di macchine virtuali.
Ambiente Kubernetes in Azure Stack Edge
Kubernetes sta diventando lo standard di fatto per l’esecuzione e l’orchestrazione di workloads containerizzati, ma chi conosce questi ambienti, ha la consapevolezza di alcune delle sfide operative che possono derivare dalla gestione di un cluster Kubernetes. In questo ambito l’obiettivo di Azure Stack Edge è quello di semplificare la distribuzione e la gestione dei cluster Kubernetes. Grazie a una semplice configurazione è possibile attivare un cluster Kubernetes su Azure Stack Edge.
Una volta configurato il cluster Kubernetes, è necessario eseguire ulteriori operazioni di gestione, che vengono semplificare in ASE con dei semplici componenti aggiuntivi. Tra queste operazioni troviamo:
La possibilità di abilitare in modo semplice gli acceleratori hardware.
Il provisioning del sistema storage per la creazione di volumi persistenti.
Lo stare al passo con le versioni di Kubernetes prendendo gli ultimi aggiornamenti disponibili.
La capacità di applicare meccanismi di sicurezza e di governance dalla propria infrastruttura.
Completata la configurazione dell’ambiente cluster, vengono forniti dei meccanismi semplici per distribuire e gestire i carichi di lavoro sul cluster Kubernetes, tramite le seguenti modalità:
Azure Arc: ASE viene fornito con l’integrazione nativa con Azure Arc. Con pochi passaggi è possibile abilitare Azure Arc, permettendo la distribuzione delle applicazioni nel cluster Kubernetes direttamente dal portale Azure.
IoT Hub: abilitando il componente aggiuntivo dell’IoT hub è possibile utilizzarlo per la distribuzione dei conteiners.
Kubectl: risulta infine supportato il modo nativo kubectl, utilizzato tipicamente in ambienti disconnessi oppure se si dispone di un’infrastruttura esistente che si integra già con questa modalità.
Figura 3 – Kubernetes deployment in Azure Stack Edge
Macchine virtuali in Azure Stack Edge
Un’altra variante per offrire capacità computazionale presso gli edge è l’attivazione di macchine virtuali. Azure Stack Edge consente di ospitare macchine virtuali, sia Windows che Linux, offrendo la possibilità di distribuire e gestire queste macchine virtuali direttamente da Azure oppure agendo localmente.
Figura 4 – Macchine virtuali in Azure Stack Edge
Un aspetto da tenere in considerazione è che Azure Stack Edge consente di configurare delle topologie di rete più semplici rispetto ad Azure oppure ad Azure Stack Hub.
Per quanto riguarda le funzionalità di accelerazione hardware presenti in Azure Stack Edge, sono supportate queste due varianti:
GPU NVIDIA T4, completamente integrata con lo stack GPU
Intel Movidius Visual Processing Unit (VPU), per scenari di AI e ML
Servizi Azure che possono essere distribuiti in Azure Stack Edge
Il numero dei servizi che possono essere attivati in Azure Stack Edge è elevato, tra quelli recentemente introdotti troviamo:
Live Video Analytics: una piattaforma per la creazione di soluzioni e applicazioni video basate sull’intelligenza artificiale, per svolgere approfondimenti in tempo reale utilizzando i flussi video.
Spatial Analysis: un modulo di visione artificiale in tempo reale per analizzare i video e comprendere i movimenti delle persone negli spazi fisici. Ad esempio, durante il periodo Covid, molti negozi al dettaglio desiderano implementare politiche di distanziamento sociale e potrebbero utilizzare uno speciale modulo di analisi per comprendere un determinato comportamento sulla base dei video girati nel negozio.
Azure Monitor: che consente di aumentare le prestazioni e la disponibilità delle applicazioni raccogliendo i log dai containers ed analizzandoli.
Figura 5 – Soluzioni Azure in Azure Stack Edge
Conclusioni
Nelle realtà aziendali l’adozione di soluzioni totalmente basate nel cloud non sempre risulta essere una scelta percorribile oppure la migliore in assoluto, spesso si devono necessariamente adottare soluzioni ibride, che comunque contemplano la possibilità di utilizzo anche delle innovazioni introdotte dal cloud. Azure Stack Edge risulta essere una soluzione flessibile e moderna che permettere di rispondere alle esigenze, anche quelle più sfidanti, che emergono per i siti periferici, senza tralasciare le potenzialità offerte dal cloud pubblico.
In the last week of the year, there was little news, thanks to the holiday period.This series of blog posts will continue into 2021. I take this opportunity to wish you a Happy New Year!
Azure Application Consistent Snapshot tool (AzAcSnap) is in public preview. It is a command-line tool enables you to simplify data protection for third-party databases (SAP HANA) in Linux environments (for example, SUSE and RHEL).
Nel mese di dicembre sono state annunciate da parte di Microsoft diverse novità riguardanti gli Azure management services. La nostra community rilascia mensilmente questo riepilogo che consente di avere una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre eventuali approfondimenti.
Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli, per poter rimanere aggiornati su questi temi ed effettuare al meglio il deployment ed il mantenimento delle applicazioni e delle risorse.
Figura 1 – Overview dei Management services in Azure
Monitor
Azure Monitor
Nuovo agente di Azure Monitor e nuove funzionalità di Data Collection Rules (preview)
In Azure Monitor è stato introdotto (in preview) un nuovo agente unificato (Azure Monitor Agent – AMA) e un nuovo concetto per rendere più efficiente la raccolta dati (Data Collection Rules – DCR).
Tra le varie funzionalità chiave aggiunte in questo nuovo agente troviamo:
Supporto per Azure Arc server (Windows and Linux)
Supporto per Virtual Machine Scale Set (VMSS)
Installazione tramite template ARM
Per quanto riguarda la Data Collection sono state apportate queste novità:
Migliore controllo nella definizione dell’ambito della raccolta dei dati (ad es. possibilità di raccogliere da un sottoinsieme di VMs per un singolo workspace)
Raccolta unica ed invio sia a Log Analytics che ad Azure Monitor Metrics
Invio verso più workspace (multi-homing per Linux)
Possibilità di filtrare meglio gli eventi di Windows
Migliore gestione delle estensioni
Azure Monitor per Windows Virtual Desktop (preview)
Azure Monitor permette ora di effettuare le seguenti operazioni relative agli ambienti Windows Virtual Desktop:
Visualizzare un riepilogo sullo stato e sull’integrità degli host pool
Trovare e risolvere eventuali problemi nel deployment
Valutare l’utilizzo delle risorse e prendere decisioni sulla scalabilità e sulla gestione dei costi
Comprendere ed indirizzare i feedback degli utenti
Azure Monitor for containers: reports tab e log di deployment
In Azure Monitor for containers è stato reso disponibile un nuovo tab Reports che offre ai clienti un accesso completo a tutti i workbook di monitoring avanzati per Kubernetes, come ad esempio: Node-disk, Node-network, Workloads e monitoring dei Persistent Volume.
Inoltre, è ora possibile visualizzare i log in tempo reale dei deployment di Azure Kubernetes Service (AKS), accedendo direttamente ai Live Logs dei pod. In Log Analytics sarà consentito fare delle ricerche applicando dei filtri per visualizzare i log storici dei deployment dei pod, utile per diagnosticare eventuali problematiche.
Azure Monitor for containers:supporto per i live log dei Private Cluster (preview)
In Azure Monitor for containers è stato introdotto il supporto per i live log dei cluster privati, che consente di visualizzare in tempo reale i log dei container, gli eventi e le metriche dei pod. Per maggiori dettagli a riguardo è possibile consultare la documentazione specifica di Microsoft.
Infrastructure Encryption per i dati di Azure Monitor
A partire dal 1 novembre 2020 i dati che confluiscono in Azure Monitor vengono crittografati due volte: a livello di servizio e ora anche a livello di infrastruttura, grazie alla double encryption disponibile per Azure storage.
Configure
Azure Automation
Disponibile il supporto per Azure Private Link
Microsoft ha introdotto il supporto per gli Azure Private Link, necessari per connettere in modo sicuro le reti virtuali ad Azure Automation tramite l’utilizzo di endpoint privati. Questa funzionalità risulta utile per:
Stabilire una connessione privata con Azure Automation, senza aprire l’accesso dalla rete pubblica.
Assicurare che i dati di Azure Automation siano accessibili solo attraverso reti private autorizzate.
Proteggersi dall’estrazione dei dati permettendo un accesso granulare a specifiche risorse.
Mantenere tutto il traffico all’interno della rete backbone di Microsoft Azure.
Disponibilità in nuove region
Azure Automation è ora disponibile nelle region di “Norway East” e “Germany West Central”. Per consultare la disponibilità del servizio in tutte le region Azure è possibile consultare questo documento.
Supporto per i runbook Python3 (preview)
In Azure Automation è ora possibile importare, creare ed eseguire runbook Python 3 in Azure oppure in un Hybrid Runbook Worker.
Valutazione di Azure
Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.
Azure VMware Solution: now available in UK South and Japan East Azure regions
The new Azure VMware Solution empowers customers to seamlessly extend or migrate their existing on-premises VMware applications to Azure without the cost, effort or risk of re-architecting applications or retooling operations. General Availability of the new Azure VMware Solution was announced at Microsoft Ignite, Sept 2020, with initial availability in US East, US West, West Europe and Australia. Microsoft has now expanded availability to two more Azure regions Japan East and UK South. For updates on more upcoming region availability please visit the product by region page here.
HBv2-series VMs for HPC now available in the UAE North region
HBv2 VMs are now Generally Available in the Azure UAE North region.
Storage
Azure File Sync agent v11.1
Azure File Sync agent v11.1 is now on Microsoft Update and Microsoft Download Center.
Improvements and issues that are fixed:
New cloud tiering modes to control initial download and proactive recall
Initial download mode: you can now choose how you want your files to be initially downloaded onto your new server endpoint. Want all your files tiered or as many files as possible downloaded onto your server by last modified timestamp? You can do that! Can’t use cloud tiering? You can now opt to avoid tiered files on your system. To learn more, see Create a server endpoint section in the Deploy Azure File Sync documentation.
Proactive recall mode: whenever a file is created or modified, you can proactively recall it to servers that you specify within the same sync group. This makes the file readily available for consumption in each server you specified. Have teams across the globe working on the same data? Enable proactive recalling so that when the team arrives the next morning, all the files updated by a team in a different time zone are downloaded and ready to go! To learn more, see Proactively recall new and changed files from an Azure file share section in the Deploy Azure File Sync documentation.
Exclude applications from cloud tiering last access time tracking
You can now exclude applications from last access time tracking. When an application accesses a file, the last access time for the file is updated in the cloud tiering database. Applications that scan the file system like anti-virus cause all files to have the same last access time which impacts when files are tiered. For more details, see the release notes.
Miscellaneous performance and reliability improvements
Improved change detection performance to detect files that have changed in the Azure file share.
Improved sync upload performance.
Initial upload is now performed from a VSS snapshot which reduces per-item errors and sync session failures.
Sync reliability improvements for certain I/O patterns.
Fixed a bug to prevent the sync database from going back-in-time on failover clusters when a failover occurs.
Improved recall performance when accessing a tiered file.
More information about this release:
This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
The agent version for this release is 11.1.0.0.
A restart may be required if files are in use during the agent installation.
Installation instructions are documented in KB4539951.
La forte tendenza nello sviluppo di applicazioni che prevedono architetture basate su microservizi rendono i container perfetti per eseguire il deployment del software in modo efficiente ed operare su larga scala. I container sono in grado di funzionare su sistemi operativi Windows, Linux e Mac, su macchine virtuali oppure bare metal, in data center on-premise e, ovviamente, nel cloud pubblico. Microsoft è certamente uno dei principali provider che consente l’esecuzione di container a livello enterprise nel cloud pubblico. In questo articolo viene riportata una panoramica delle principali soluzioni che è possibile adottare per l’esecuzione di container in ambiente Microsoft Azure.
Macchine virtuali
Le macchine virtuali IaaS in ambiente Azure sono in grado di fornire la massima flessibilità per eseguire container Docker. Infatti, su macchine virtuali Windows e Linux è possibile installare il runtime Docker e grazie alla disponibilità di diverse combinazioni di CPU e RAM si può disporre delle risorse necessarie per eseguire uno o più container. Questo approccio è tipicamente consigliato in ambienti di DevTest, in quanto l’onere di configurazione e manutenzione della macchina virtuale non è comunque trascurabile.
Approcci serverless
Azure Container Instances (ACI)
Azure Container Instances (ACI) è il metodo più semplice e rapido in Azure per l’esecuzione di container on-demand in un ambiente serverless gestito. Il tutto viene reso possibile senza dover attivare macchine virtuali specifiche e la manutenzione necessaria è pressoché trascurabile. La soluzione Azure Container Instances è idonea in scenari che richiedono container isolati, senza la necessità di adottare un sistema complesso di orchestrazione. ACI è infatti in grado di fornire solo alcune funzionalità di schedulazione di base offerte delle piattaforme di orchestrazione e, sebbene non copra i servizi di valore forniti da tali piattaforme, può essere visto come una soluzione complementare.
Le risorse di primo livello in Azure Container Instances sono i Container group, una raccolta di container che vengono schedulati sulla stessa macchina host. I container all’interno di un Container group condividono il lifecycle, le risorse, la rete locale ed i volumi di archiviazione. Il concetto di Container group è simile a quello del pod in ambiente Kubernetes.
Figura 1 – Esempio di container group in Azure Container Instances
Il servizio Azure Container Instances comporta dei costi che dipendono dal numero di vCPU e di GBs di memoria allocati al secondo. Per maggiori dettagli sui costi è possibile consultare la relativa pagina ufficiale Microsoft.
Azure Web App for Containers
Per carichi di lavoro web-based esiste la possibilità di far eseguire i container dagli Azure App Service, la piattaforma Azure di web hosting, utilizzando il servizio Azure Web App for Containers, con il vantaggio di poter sfruttare le metodologie di distribuzione, scalabilità e monitor intrinseche nella soluzione.
Azure Batch e container
Se i workload prevedono la necessità di scalare con più job batch è possibile inserirli in container e gestire lo scaling tramite Azure Batch. In questo scenario la combinazione tra Azure Batch e container risulta vincente. Azure Batch consente l’esecuzione ed il ridimensionare di un numero elevato di processi di elaborazione batch in Azure, mentre i container forniscono un metodo semplice per eseguire le attività Batch, senza dover gestire l’ambiente e le relative dipendenze, necessarie per l’esecuzione delle applicazioni. In questi scenari è possibile prevedere l’adozione delle low-priority VMs con Azure Batch per ridurre i costi.
Orchestrazione dei container
I task di automazione e gestione di un numero elevato di container e le modalità con le quali questi interagiscono applicativamente tra di loro è noto come orchestrazione. Nel caso quindi ci sia la necessità di orchestrare più containers è necessario adottare soluzioni più sofisticate come: Azure Kubernetes Service (AKS) oppure Azure Service Fabric.
Azure Kubernetes Service (AKS)
Azure Kubernetes Service (AKS) è il servizio Azure completamente gestito che permette l’attivazione di un cluster Kubernetes.
Kubernetes, conosciuto anche come “k8s”, provvede all’orchestrazione automatizzata dei container, migliorandone l’affidabilità e riducendo il tempo e le risorse necessarie in ambito DevOps. Kubernetes tende a semplificare i deployment, permettendo di eseguire automaticamente le implementazioni ed i rollback. Inoltre, permette di migliorare la gestione delle applicazioni e di monitorare lo stato dei servizi per evitare errori in fase di implementazione. Tra le varie funzionalità sono previsti controlli di integrità dei servizi, con la possibilità di riavviare i container che non sono in esecuzione oppure che risultano bloccati, permettendo di annunciare ai client solo i servizi correttamente avviati. Kubernetes permette inoltre di scalare automaticamente in base all’utilizzo ed esattamente come i container, permette di gestire in maniera dichiarativa l’ambiente cluster, consentendo una configurazione controllata a livello di versione e facilmente replicabile.
Figura 2 – Esempio di architettura a microservizi basata su Azure Kubernetes Service (AKS)
Azure Service Fabric
Un’altra possibilità per orchestrare i container è l’adozione dell’affidabile e flessibile piattaforma Azure Service Fabric. Si tratta dell’orchestratore di container di Microsoft che permette il deployment e la gestione dei microservizi in ambienti cluster ad elevata intensità e con tempi di deployment molto rapidi. Con questa soluzione si ha la possibilità, per la stessa applicazione, di unire servizi che risiedono in processi e servizi all’interno di container. L’architettura unica e scalabile di Service Fabric consente di eseguire analisi dei dati pressoché in tempo reale, calcoli computazionali in memoria, transazioni parallele ed elaborazione di eventi nelle applicazioni. Service Fabric offre un runtime sofisticato e leggero che supporta microservizi stateless e stateful. Un elemento chiave di differenziazione di Service Fabric è il suo robusto supporto per la creazione di servizi stateful, adottando modelli di programmazione built-in di Service Fabric oppure servizi stateful containerizzati. Per maggiori informazioni sugli scenari applicativi che possono trarre vantaggio dai servizi stateful di Service Fabric è possibile consultare questo documento.
Figura 3 – Panoramica di Azure Service Fabric
Azure Service Fabric può vantare di ospitare molti servizi Microsoft, tra i quali Azure SQL Database, Azure Cosmos DB, Cortana, Microsoft Power BI, Microsoft Intune, Azure Event Hubs, Azure IoT Hub, Dynamics 365, Skype for Business, e molti servizi core di Azure.
Conclusioni
Microsoft offre un ventaglio di opzioni per l’esecuzione dei container nel proprio cloud pubblico. La scelta della soluzione più adatta alle proprie esigenze tra tutte quelle offerte, nonostante richieda una attenta valutazione, permette di avere una elevata flessibilità. Dall’adozione di approcci serverless,alla gestione di ambienti cluster per l’orchestrazione, fino alla creazione di una propria infrastruttura basata su macchine virtuali è possibile trovare la soluzione ideale per eseguire i container in ambiente Microsoft Azure.
Azure Dedicated Host: automatic VM placement and Azure Virtual Machine Scale Sets available
You can simplify the deployment and increase the scalability of your Azure Dedicated Hosts environments with two new features now generally available:
You can accelerate the deployment of Azure VMs in Dedicated Hosts by letting the platform select the host group to which the VM will be deployed.
You can also use Virtual Machine Scale Sets in conjunction with Dedicated Hosts. This new capability allows IT organizations to use scale sets across multiple dedicated hosts part of a dedicated hosts group.
New datacenter region in Denmark
Microsoft has announced the most significant investment in its 30-year history in Denmark, introducing Denmark as the location for its next sustainable datacenter region and a comprehensive skilling commitment for an estimated 200,000 Danes by 2024. Powered by 100 percent renewable energy, the datacenter region will provide Danish customers of all sizes faster access to the Microsoft Cloud, world-class security and the ability to store data at rest in the country.
HBv2-series VMs for HPC are now available in UAE North
HBv2 VMs for supercomputing lass HPC are now generally available in the Azure UAE North region.
Storage
Azure Storage blob inventory (preview)
A lot of valuable data is stored in Azure Blob Storage. Customers frequently want to have an overview of their data for business and compliance reasons. The Azure Storage blob inventory feature provides an overview of your blob data within a storage account. Use the inventory report to understand your total data size, age, encryption status, and so on. Enable blob inventory reports by adding a policy to your storage account. Add, edit, or remove a policy by using the Azure portal. Once enabled, an inventory report is automatically created daily.
Azure Storage account recovery available via portal
Azure Storage uses a storage account to contain all of your Azure Storage data including: blobs, files, tables, queues, and disks. Accidentally deleting a storage account deletes all data in the account and previously could not be recovered. Microsoft is announcing that storage account recovery is available with some restrictions and this functionality is available via the Azure Portal.
For a storage account to be recoverable:
A new storage account with the same name has not been recreated since deletion
The storage account was deleted in the last 14 days
It is not a classic storage account
Azure Blob Storage NFS 3.0 preview supports general purpose v2 (GPV2) storage accounts with standard tier performance in the following regions: Australia East, Korea Central, and South Central US. In addition, the NFS 3.0 preview is expanded to support block blob with premium performance tier in all available regions.
Azure Blob Storage NFS 3.0 preview supports general purpose v2 (GPV2) storage accounts with standard tier performance in the following regions: Australia East, Korea Central, and South Central US. In addition, the NFS 3.0 preview is expanded to support block blob with premium performance tier in all available regions.
Azure Stack
Azure Stack Edge
Virtual Machine Support (public preview)
Azure Stack Edge hosts Azure virtual machines so you can run your VM based IoT, AI, and business applications on an Azure appliance at your location. The system includes deployment and management from the Azure portal, meaning you use the Azure Portal to deploy a VM Image and a VM to your Edge device at your location. Because Azure Stack Edge supports Azure VMs, you can build and test your VM image in Azure before deploying straight to the edge. For local control, ARM compatible APIs and templates can deploy and manage VMs, even when the device is disconnected from Azure.
Kubernetes system is available
Azure Stack Edge includes a managed Kubernetes environment so you can deploy your containerized apps to the edge using this industry standard technology. Just click a button in the Azure Portal and Azure Stack Edge will create a Kubernetes cluster and keep it running for you. Then deploy your Kubernetes apps from the cloud via IoT Edge or Arc enabled Kubernetes. Or use native kubectl tools for local deployment. This makes it simple to have an on-premises Kubernetes environment for your AI, IoT, and modern business applications.
Azure Stack HCI
The new Azure Stack HCI is now generally available
Azure Stack HCI is the new subscription service for hyperconverged infrastructure from Microsoft Azure. Azure Stack HCI brings together the familiarity and flexibility of on-premises virtualization with powerful new hybrid capabilities. With Azure Stack HCI, you can run virtual machines, containers, and select Azure services on-premises with management, billing, and support through the Azure cloud.
Azure Stack Hub
Event hubs is available
Event Hubs is a reliable and scalable event streaming engine that backs thousands of applications across every kind of industry in Microsoft Azure. Microsoft is announcing the general availability of Event Hubs on Azure Stack Hub. Event Event Hubs on Azure Stack Hub will allow you to realize cloud and on-premises scenarios that use streaming architectures.
