Archivi categoria: Microsoft Azure

Come affrontare la fine del ciclo di vita di Windows Server 2008\2008 R2

La fine del supporto Microsoft per i sistemi operativi Windows Server 2008 e Windows Server 2008 R2 è imminente e prevista per il 14 gennaio 2020. A partire da questa data Microsoft non rilascerà più update di security in modo gratuito per queste piattaforme in ambiente on-premises. Purtroppo, sono ancora molti i sistemi in ambiente di produzione che adottano queste versioni di sistema operativo. In questo articolo vengono affrontati gli approcci che è possibile adottare per affrontare questa situazione, evitando di esporre la propria infrastruttura a problematiche di security causate dall’indisponibilità degli aggiornamenti necessari.

La fine del periodo extended support per queste piattaforme implica che Microsoft, a meno che non vengano svolte determinate azioni, non rilascerà più i relativi security update. In queste condizioni l’esposizione ad attacchi di security è notevole e comporterebbe lo stato di non compliance rispetto a specifici regolamenti, come ad esempio il General Data Protection Regulation (GDPR). Questa condizione, sicuramente poco piacevole per chi si ritrova ad affrontarla ora, visti i tempi ristretti, può anche essere vista come una importante opportunità di rinnovo e innovazione della propria infrastruttura.

Per continuare a ricevere gli update di security per i sistemi Windows Server 20082008 R2 ospitati in ambiente on-premises, l’unica possibilità è quella di aderire al programma Extended Security Update (ESU). Tale programma a pagamento è disponibile solo per i clienti in Software Assurance e garantisce il provisioning di Update di Security classificati come “critical” e “important” per ulteriori tre anni, a partire dal 14 gennaio 2020.

Qualora il programma ESU non lo si ritenga adeguato alle proprie esigenze si possono valutare due percorsi di upgrade totalmente differenti.

Upgrade on-premises

Questo percorso prevede il passaggio a una nuova versione di Windows Server in ambiente on-premises. Il consiglio in questo caso è di approcciare come piattaforma almeno Windows Server 2016 e di non procedere, qualora possibile, con aggiornamenti in place del sistema operativo, ma di gestire la migrazione in side-by-side. Questo metodo solitamente richiede un coinvolgimento del fornitore applicativo, per garantire la compatibilità software con la nuova versione del sistema operativo. Trattandosi di software non recenti, spesso viene richiesta l’adozione di versioni aggiornate degli stessi, che possono prevedere un adeguamento dell’architettura e una fase approfondita di test della nuova release. Adottando questo processo di upgrade i tempi e l’effort sono considerevoli, ma il risultato che si ottiene è fondamentale per rispettare il rinnovo tecnologico.

Migrazione verso Azure

Migrando i sistemi Windows Server 2008 e Windows Server 2008 R2 presenti on-premises in ambiente Azure si continueranno a ricevere per altri tre anni i security update, classificati come critici e importanti, senza dover aderire al programma ESU. Questo scenario non solo è utile per garantire il rispetto della compliance dei propri sistemi, ma apre la strada verso architetture ibride dove sarà possibile ottenere i vantaggi dati dal cloud. A questo proposito Microsoft offre un’ottima soluzione in grado di fornire un ampio set di strumenti necessari per affrontare al meglio i più comuni scenari di migrazione: Azure Migrate,  che struttura il processo di migrazioni in fase differenti (discovery, assessment, e migrazione). Questo approccio può risultare più immediato rispetto all’upgrade dei sistemi e consente di avere più tempo a disposizione per affrontare il rinnovo software. A questo proposito il cloud consente di avere un’ottima flessibilità e agilità nel testare gli applicativi in ambienti paralleli. Prima di iniziare il percorso di migrazione verso Azure è fondamentale strutturare il networking dell’ambiente ibrido in modo opportuno e valutare le iterazioni con gli altri componenti dell’infrastruttura, per constatare se l’applicativo può funzionare bene anche in ambiente cloud.

Indipendentemente dal percorso di upgrade che si decide adottare il consiglio è di fare un assessment dettagliato, in modo da poter categorizzare ciasun workload per tipologia, criticità, complessità e rischio. In questo modo è possibile dare delle priorità e procedere con un piano strutturato di migrazione.

Conclusioni

Per tutti coloro che all’interno del proprio datacenter dispongono di sistemi Windows Server 2008 oppure Windows Server 2008 R2 è opportuno gestire la condizione che Microsoft a breve non rilascerà più update di security in modo gratuito, esponendo così i sistemi a potenziali problemi di sicurezza. Allo stesso tempo sono diverse le possibilità offerte da Microsoft per affrontare nel migliore dei modi questa situazione. Il percorso di migrazione verso Azure è sicuramente un’opzione molto interessante che consente di iniziare il percorso per espandere il proprio datacenter nel cloud pubblico di Microsoft.

Azure Networking: il nuovo metodo per accedere in modo privato ai servizi in Azure

L’esigenza di poter accedere a dati e servizi in Azure in modo totalmente privato e sicuro, in particolare dal proprio ambiente on-premises, è sicuramente molto sentita e sempre più diffusa. Per questa ragione Microsoft ha annunciato la disponibilità di Azure Private Link, che permette di semplificare l’architettura di rete instaurando una connessione privata verso i servizi in Azure, senza alcuna necessità di esposizione verso internet. In questo articolo vengono riportate le caratteristiche di questa tipologia di connettività e come è possibile attivarla.

Grazie ad Azure Private Link è possibile portare i servizi Azure in una Virtual Network e mapparli con un endpoint privato. In questo modo tutto il traffico viene istradato tramite l’endpoint privato, mantenendolo sulla rete globale di Microsoft. Il dato non transita mai su Internet, questo riduce l’esposizione a minacce e aiuta a rispettare gli standard di compliance.

Figura 1 – Panoramica di Azure Private Link

Il concetto che sta alla base di Azure Private Link è già in parte noto nell’ambito del networking di Azure e richiama i Virtual Network Service Endpoints. Prima dell’introduzione di Azure Private Link l’unico modo disponibile per aumentare il livello di sicurezza nell’accesso ai servizi Azure, come ad esempio Azure Storage e Azure SQL Database, era dato dai VNet Service Endpoints. La differenza però è sostanziale, in quanto utilizzando i VNet Service Endpoints il traffico rimane nella rete di backbone di Microsoft, consentendo l’accesso alle risorse PaaS solamente dalla propria VNet, ma l’endpoint PaaS viene comunque acceduto tramite l’IP pubblico del servizio. Ne consegue che il principio di funzionamento dei vNet Service Endpoints non si estende al mondo on-premises anche in presenza di connettività con Azure (VPN oppure ExpressRoute). Infatti, per consentire l’accesso da sistemi presenti on-premises è necessario continuare ad utilizzare le regole firewall del servizio per limitare la connettività solamente agli IP pubblici di propria appartenenza.

Grazie ad Azure Private Link è possibile invece accedere alle risorse PaaS tramite un indirizzo IP privato della propria VNet, il quale è potenzialmente accessibile anche da:

  • Sistemi on-premises tramite Azure ExpressRoute private peering eo Azure VPN gateway.
  • Sistemi attestati su VNet in peering.

Tutto il traffico risiede all’interno della rete Microsoft e non è necessario configurare l’accesso tramite gli IP Pubblici del servizio PaaS.

Figura 2 – Accesso da on-premises e peered networks

Azure Private Link semplifica notevolmente il modo in cui è possibile accedere ai servizi Azure (Azure PaaS, Microsoft partner e servizi privati) in quanto sono supportate configurazioni cross Azure Active Directory (Azure AD) tenants.

Figura 3 – Private Link cross Azure Active Directory (Azure AD) tenants

L’attivazione di Azure Private Link è semplice e richiede un numero limitato di configurazioni lato networking di Azure. La connettività avviene basandosi su un flusso di approvazione di chiamate e quando una risorsa PaaS viene mappata su un endpoint privato, non è richiesta la configurazione di route table e di Network Security Groups (NSG).

Dal Private link center è possibile creare nuovi servizi e gestire la configurazione oppure configurare servizi esistenti per usufruire dei Private Link.

Figura 4 – Avvio della configurazione da Private link center

Figura 5 – Creazione di un Azure Storage Account da rendere accessibile in modo privato

Figura 6 – Parametri classici per la creazione di uno storage account

Figura 7 – Configurazione del Private endpoint

Figura 8 – Private endpoint connection presente nello storage account creato

Giunti a questo punto lo storage account sarà accessibile in modo totalmente privato. Per testarne l’accesso è stata creata una macchina virtuale e verificata la connettività tramite “Connection troubleshoot”:

Figura 9 – Test eseguito da “Connection troubleshoot” che dimostra la connettività privata

Per collegare tra di loro più Azure Virtual Network vengono tipicamente utilizzati i VNet peering, i quali richiedono che negli address space delle VNet non ci siano delle sovrapposizioni. Qualora si verifichi questa condizione è possibile adottare gli Azure Private Link come metodo alternativo per connettere in modo privato applicazioni che risiedono in differenti VNet con una sovrapposizione degli address space.

Figura 10 – Azure Private Link in presenza di overlapping address space

Le caratteristiche di Azure Private Link consentono di avere un accesso specifico solamente alle risorse mappate in modo esplicito. Nell’eventualità di un incident di security all’interno della propria VNet, questo meccanismo elimina la minaccia di estrazione di dati da altre risorse utilizzando lo stesso endpoint.

Figura 11 – Accesso mirato solo alle risorse mappate in modo esplicito

Gli Azure Private Link aprono inoltre nuovi scenari di esposizione dei servizi erogati in Azure da parte dei service provider. Per consentire l’accesso ai servizi erogati ai propri clienti tipicamente si procedeva secondo una di queste modalità:

  • Si rendevano accessibili direttamente tramite IP Pubblici.
  • Per renderli privati, si creavano dei VNet peering, ma con problemi di scalabilità e di potenziali conflitti IP.

Figura 12 – Come Azure Private Link cambia gli scenari “Service Consumer”-“Service Provider”.

La nuova possibilità che viene offerta in questi scenari, che richiedono un accesso totalmente privato al servizio erogato, è la seguente:

  • Service Provider: configura un Azure Standard Load Balancer, crea un Azure Private Link e consente l’accesso dal Service Consumer proveniente da una differente VNet, subscription, o tenant Azure Active Directory (AD).
  • Service consumer: creare un Private Endpoint nella VNet specifica e richiedere l’accesso al servizio.

Figura 13 – Azure Private Link workflow in scenari “Service Consumer”-“Service Provider”

Per maggiori dettagli a riguardo è possibile consultare la documentazione ufficiale Microsoft.

Conclusioni

Questo nuovo metodo consente di consumare privatamente soluzioni erogate in Azure all’interno della propria infrastruttura di rete. Si tratta di un importante cambiamento che sicuramente è opportuno tenere in considerazioni quando si progettano le architetture di rete in Azure, in particolare per gli scenari ibridi. Al momento il servizio è in preview, quindi non ancora utilizzabile per ambienti di produzione e disponibile per un set limitato di servizi Azure. Nei prossimi mesi però Microsoft ha annunciato che renderà disponibile questa funzionalità anche per altri servizi di Azure e dei partner, consentendo così di avere una esperienza di connettività privata, elemento chiave per avere una maggiore adozione e diffusione di questi servizi.

Azure IaaS and Azure Stack: announcements and updates (October 2019 – Weeks: 39 and 40)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Large file shares (100 TiB) Azure FIles standard preview available in new regions

Azure Files standard large file shares (LFS) preview in available in two more regions: North Europe and East Asia. Please see the full region list at this page.

New version of Azure Storage Explorer

This month Microsoft released a new version of Azure Storage Explorer, 1.10.0. This latest version of Storage Explorer introduces several new features and delivers significant updates to existing functionality. These features and changes are all designed to make users more efficient and productive when working with Azure Storage, CosmosDB, ADLS Gen2, and, starting with 1.10.0, managed disks. You can download Storage Explorer 1.10.0 to take advantage of all of these new features.

Increment snapshots of Azure managed disks in preview

The preview of incremental snapshots of Azure managed disks is now available. Incremental snapshots are a cost-effective point-in-time backup of managed disks. Unlike current snapshots, which are billed for the full size, incremental snapshots are billed for the delta changes to disks since the last snapshot. They are always stored on the most cost-effective storage i.e., standard HDD irrespective of the storage type of the parent disks. Additionally, for increased reliability, they are stored on Zone redundant storage (ZRS) by default in regions that support ZRS. They cannot be stored on premium storage. 

Windows Virtual Desktop is generally available

Windows Virtual Desktop is generally available worldwide. It is the only service that delivers simplified management, a multi-session Windows 10 experience, optimizations for Office 365 ProPlus, and support for Windows Server Remote Desktop Services (RDS) desktops and apps. With Windows Virtual Desktop, you can deploy and scale your Windows desktops and apps on Azure in minutes. It is available in all geographies, customers will be able to deploy scalable Azure-based virtualization solutions with a number of operating systems, including Windows 10 multi-session, Windows Server, and Windows 7 desktops with free Extended Security Updates for up to three years for customers still completing their move to Windows 10.

Azure Lab Service Updates

Azure Lab Services added this new features:

  • Adjust quota per user, enabling instructors to give additional hours to students as needed.
  • An option to install GPU drivers automatically if a GPU size is picked. 
  • An updated and improved UI experience.

Private Link for Azure SQL Database and Data Warehouse is in preview

Private Link enables you to connect to Azure SQL Database and Data Warehouse via a private endpoint. Use it to establish cross-premises access to the private endpoint using ExpressRoute, private peering, or VPN tunneling, or you can choose to disable all access via public endpoint.

Preview of direct-upload to Azure managed disks

You can directly upload your VHD do Azure Managed disks without converting them. The direct-upload is in preview.

Azure File Sync agent version 4.x will expire

On November 5, 2019, Azure File Sync agent version 4.x will be expired and stop syncing. If you have servers with agent version 4.x, update to a supported agent version (5.x or later). If you don’t update your servers before November 5, 2019, they will stop syncing. To resume syncing, the agent must be updated to a support version.

Azure management services e System Center: novità di Settembre 2019

Anche nel mese di settembre sono state annunciate da parte di Microsoft novità riguardanti gli Azure management services e System Center. La nostra community pubblica mensilmente questo riepilogo per fornire una panoramica complessiva di queste novità. In questo modo è possibile rimanere sempre aggiornati su tali argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 40 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Azure Backup

Supporto per dischi fino a 30 TB

Per Azure Backup è stato annunciato il supporto in public preview per dischi Managed di grandi dimensioni, fino a 30TB. Per maggiori informazioni a riguardo è possibile consultare questo articolo.

System Center

Nuovo Update Rollup per System Center 2016

Microsoft ha rilasciato l’Update Rollup 8 (UR8) per System Center 2016. Si tratta del secondo update rollup dell’anno e include aggiornamenti per i seguenti prodotti, prevalentemente rivolti alla risoluzione di problematiche:

System Center Configuration Manager

Nuovi rilasci per il Technical Preview Branch

Per Configuration Manager è stato rilasciato l’update 1909 che tra le principali novità prevede la possibilità di creare dei gruppi di orchestrazione, per meglio controllare il deployment dei software updates. Gli Orchestration Groups sono pensati per dare una maggiore flessibilità in fase di aggiornamento dei dispositivi, prevedendo anche la possibilità di eseguire degli script PowerShell prima e dopo la fase di update deployment.

Per verificare i dettagli riguardanti le novità incluse in questi aggiornamenti è possibile consultare questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure Migrate: introduzione alla soluzione

La migrazione dei workload ospitati presso i datacenter on-premises verso Azure è un processo sfidante che viene richiesto sempre più frequentemente per sfruttare i benefici del cloud. Per affrontare nel migliore dei modi il percorso di migrazione ed ottenere i risultati sperati è opportuno effettuare una attenta analisi preliminare ed utilizzare tool adeguati. Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. In questo articolo vengono riportate le caratteristiche principali di Azure Migrate e le novità che hanno recentemente interessato questa soluzione.

Azure Migrate struttura il processo di migrazioni in fase differenti: discovery, assessment, e migrazione. Questo approccio consente di avere un’esperienza integrata che garantisce continuità e permette di avere una visione complessiva del processo di migrazione.

Attualmente la soluzione è in grado di contemplare i seguenti scenari di migrazione verso Azure:

  • Sistemi virtuali, in ambiente VMware, Hyper-V o in altri cloud pubblici (AWS, Google) e macchine fisiche.
  • Database SQL Server verso Azure SQL Database oppure Azure SQL Database Managed Instance.
  • Web App basate su .NET oppure PHP verso Azure App Service, il relativo servizio Azure di Platform-as-a-Service.
    • In questo caso si viene direttamente indirizzati verso la pagina di App Service Migration, che fornendo l’URL pubblico effettua la scansione e fornisce un report dettagliato delle tecnologie che vengono utilizzate, per individuare se possono essere ospitate da App Service. In caso affermativo è possibile avviare il processo di migrazione tramite il tool Migration Assistant installato localmente.
  • Grossi quantitativi di dati tramite il servizio offline di Data Box.
    • Direttamente dal portale è possibile ordinare un Azure Data Box, monitorare lo stato di spedizione e il relativo processo di copia dei dati verso Azure.

Accedendo ad Azure Migrate dal portale Azure si viene subito indirizzati, in base allo scenario di migrazione che si intende effettuare, agli strumenti più opportuni da utilizzare.

Figura 1 – Overview di Azure Migrate

Per procedere con l’utilizzo dello strumento è necessario creare un nuovo progetto. Tale progetto viene utilizzato per salvare i metadati derivanti dalle attività di discovery, assessment e migrazione effettuate nell’ambiente on-premises. I metadati vengono mantenuti in un datacenter di Azure nell’area geografica selezionata. Si ha comunque la possibilità di utilizzare un progetto in qualsiasi area geografica per eseguire migrazioni verso qualunque region di Azure.

Figura 2 – Creazione del progetto di migrazione

Ciascuna di queste fasi viene effettuata tramite soluzioni fornite direttamente da Microsoft oppure tramite strumenti forniti da vendor di terze parti. Al momento in Azure Migrate sono integrati i tool dei seguenti vendor: Carbonite, Cloudamize, Corent, Device42, Turbonomic, e UnifyCloud.

Figura 4 – Tool di migrazione disponibili

Lo strumento Microsoft che consente di effettuare l’assessment dei server, chiamato “Azure Migrate: Server Assessment”, è stato arricchito con le seguenti funzionalità:

  • Può effettuare il discovery e l’assessment di ambienti VMware che ospitano fino a 35000 macchine virtuali. Il limite nella versione precedente era di 1500 VMs.
  • Si ha la possibilità di effettuare la profilazione di ambienti Hyper-V che ospitano fino a 10000 VMs.
  • I dati di inventory provenienti da ambienti VMware ed Hyper-V possono confluire all’interno dello stesso progetto di Azure Migrate.
  • Fornisce delle indicazioni sul dimensionamento dei sistemi, effettua un’analisi per individuare le dipendenze applicative e fornisce una stima dei costi.

Tutto il processo di discovery e assessment con il tool Server Assessment avviene senza dover installare alcun agente. Si tratta di uno strumento totalmente gratuito per tutti i clienti Azure e presto sarà arricchito per contemplare anche il supporto dei sistemi fisici.

Anche per quanto riguarda il processo di migrazione Microsoft mette a disposizione il proprio tool chiamato “Azure Migrate: Server Migration”, che consente di migrare sistemi virtuali in ambienti VMware, Hyper-V, Amazon Web Services (AWS), e Google Cloud Platform (GCP) e server fisici. Questo strumento è stato recentemente arricchito con le seguenti funzionalità:

  • Possibilità di migrare VMs in ambiente VMware in modalità agentless. Adottando questa modalità di migrazione senza agente, è possibile utilizzare la stessa appliance per il discovery, l’assessment e la migrazione. Si ha in questo modo un supporto indipendente dal sistema operativo, che permette di migrare qualsiasi SO client o server, purché supportato sulla piattaforma Azure.
  • Possibilità di migrare senza agente macchine virtuali in ambienti Hyper-V.
  • Migrazione basata su agente per server fisici e VMs in esecuzione su Amazon Web Services oppure Google Cloud Platform.
  • Una nuova esperienza utente semplificata è stata introdotta, rendendo il processo simile alla creazione di una macchina virtuale in Azure.
  • Possibilità di effettuare dei test di migrazione senza dare alcun impatto, permettendo in questo modo di pianificare al meglio la migrazione. Inoltre, il processo di migrazione consente di ottenere una perdita di dati pari a zero quando si spostano le applicazioni in Azure.

Anche “Azure Migrate: Server Migration” è uno strumento utilizzabile in modo gratuito da tutti i clienti Azure. Ovviamente sono da considerarsi i costi per le risorse computazionali e per lo storage utilizzato nelle subscription Azure in seguito all’avvenuta migrazione. A questo proposito è possibile anche stimare a priori i possibili risparmi sui costi che si possono ottenere migrando i propri workloads in Azure. Lo strumento Total Cost of Ownership (TCO) Calculator permette di definire le caratteristiche dei proprio workloads che si intende migrare e, dopo aver sistemato differenti parametri specifici per ciascuna realtà, si ottiene una stima sui potenziali risparmi nell’arco dei 5 anni.

Figura 5 – Grafico di una stima dei risparmi, migrando in Azure, effettuata tramite TCO Calculator

Conclusioni

Azure Migrate, grazie alle nuove funzionalità recentemente rilasciate, risulta un’ottima soluzione in grado di fornire un ampio set di strumenti necessari per affrontare al meglio i più comuni scenari di migrazione. Azure Migrate è ora un vero punto di riferimento per lo spostamento dei propri workloads in Azure grazie a una gestione integrata e centralizzata e ad un approccio trasversale, in grado di affrontare differenti percorsi di migrazione.

Azure IaaS and Azure Stack: announcements and updates (September 2019 – Weeks: 37 and 38)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

New cloud regions in Germany

Microsoft Azure is available from new cloud regions in Germany. Azure is available in new cloud datacenter regions in Germany, Germany West Central (located in Frankfurt) and Germany North (located in Berlin), to provide greater flexibility, the latest intelligent cloud services, full connectivity to the global cloud network, and data residency within Germany. The new regions with German-specific compliance, including Cloud Computing Compliance Controls Catalogue (C5) attestation, and will remove barriers so in-country companies can benefit from the latest solutions such as containers, IoT, and AI.

Azure Firewall is ISO compliant

Azure Firewall is Payment Card Industry (PCI), Service Organization Controls (SOC), and International Organization for Standardization (ISO) compliant. It currently supports SOC 1 Type 2, SOC 2 Type 2, SOC 3, PCI DSS, and ISO 27001, 27018, 20000-1, 22301, 9001, 27017. For more information, see the Microsoft Compliance Guide.

New Azure ExpressRoute sites

The following new ExpressRoute meet-me sites are now live:

  • Copenhagen
  • Stockholm
  • Munich

Azure Private Link in preview

Private Link simplifies the network architecture and secures the connection between endpoints in Azure by keeping data on the Azure network, thus eliminating exposure to the internet. Private Link also enables you to create and render your own services on Azure. During public preview, Private Link supports Azure Storage, Azure Data Lake Storage Gen 2, Azure SQL Database, Azure SQL Data Warehouse, and customer-owned services.

Monitor bandwidth for all peered Azure virtual networks with ExpressRoute

Azure network monitoring solutions including Network Performance Monitor and Network Watcher help monitor your networks in the cloud and in hybrid environments. ExpressRoute Monitoring enables you to monitor network performance over ExpressRoute circuits that are configured to use private peering or Microsoft peering.

Azure Monitor for Azure Virtual Machines is available in additional regions

Monitor for Virtual Machines monitors and analyzes the performance and health of your Windows and Linux virtual machines hosted in Azure, on-premises, or with another cloud provider. Azure Monitor for Azure Virtual Machines is now available in Japan East, North Europe, and East US2. 

Service Map feature of Azure Monitor is available in additional regions

Service Map automatically discovers application components on Windows and Linux systems and maps communication between services. The feature enables you to view your servers, processes, inbound and outbound connection latency, and ports as interconnected systems. The Service Map feature of Azure Monitor is available in Japan East, North Europe, and East US2. 

Zone Redundant Storage (ZRS) for Azure Files premium tier

Zone Redundant Storage (ZRS) is available for Azure Files premium tier. The ZRS replication provides customers a choice of performant Azure Files services with higher availability. With the release of ZRS support, Azure Files premium tier now offers two durability options:

  • Zone redundant storage (ZRS) for data protection against entire zonal outage.
  • Locally-redundant storage (LRS) for lower cost-effective storage for data protection against hardware failure.

Currently, ZRS option is available in West Europe and we plan to gradually expand the regional coverage.

Azure Lab Services supports new GPU Virtual Machine sizes

Azure Lab Services supports two new 6-core GPU Virtual Machine sizes: 

  • Small GPU (Compute): 6 cores, 56 GB RAM, 139 Lab units.
    • Available in US, North Europe, and West Europe regions
    • Best-suited for compute-intensive and network-intensive applications such as Artificial Intelligence and Deep Learning 
  • Small GPU (Visualization): 6 cores, 56 GB RAM, 160 Lab units.
    • Available in US, North Europe, West Europe, and Australia regions
    • Best-suited for remote visualization, streaming, gaming, and encoding using frameworks such as OpenGL and DirectX. 

M-series virtual machines (VMs) are available in new regions

Azure M-series VMs are now available in: Germany West, Germany North, Switzerland West and Switzerland North. M-series VMs offer configurations with memory from 192 GB to 3.8 TiB (4 TB) RAM and are certified for SAP HANA.

Azure Networking: le novità di Azure Firewall

Azure Firewall è la soluzione di firewall-as-a-service presente nel cloud pubblico di Microsoft, che consente di mettere in sicurezza le risorse presenti nelle Virtual Network di Azure e di governare i relativi flussi di rete. Questo servizio è stato rilasciato ufficialmente da diversi mesi e, come spesso accade per i servizi cloud, si hanno delle rapide evoluzioni, volte a migliorare il servizio e ad aumentare il set di funzionalità. In questo articolo vengo riportate le principali novità che hanno recentemente interessato Azure Firewall.

Indirizzi IP Pubblici associati ad Azure Firewall

Mentre inizialmente era possibile associare ad Azure Firewall un solo indirizzo IP pubblico, ora si possono associare fino a 100 indirizzi IP pubblici. Questa possibilità apre nuovi scenari di configurazione e di funzionamento:

  • In configurazioni DNAT si ha la possibilità di utilizzare la stessa porta su indirizzi IP Pubblici differenti.
  • Per quanto riguarda connessioni SNAT in outbound saranno disponibili un numero maggiore di porte, riducendo la possibilità di terminare le porte a disposizione.

Attualmente l’indirizzo IP Pubblico sorgente di Azure Firewall utilizzato per le connessioni viene scelto in modo casuale. Questo aspetto è da tenere in considerazione quando sono necessarie autorizzazioni specifiche per il traffico proveniente da Azure Firewall. Microsoft ha comunque in roadmap la possibilità di fare configurazioni SNAT specificando l’indirizzo IP Pubblico da utilizzare. La procedura da seguire per effettuare il deployment di Azure Firewall con più indirizzi IP Pubblici, tramite comandi PowerShell, è possibile consultarla in questo documento.

Figura 1 – Assegnazione di più IP pubblici ad Azure Firewall dal portale Azure

Availability Zones

Al fine di aumentare i livelli di disponibilità di Azure Firewall è possibile, durante la fase di creazione,  prevedere l’utilizzo delle Availability Zones. Selezionando due o più Availability Zones si potrà ottenere una percentuale di uptime del 99.99 percento. Tutti i dettagli relativi ai Service Level Agreement (SLA) di Azure Firewall sono contenuti in questo documento. L’adozione di questa metodologia di deployment non prevede costi aggiuntivi, ma è necessario contemplare un incremento dei costi dati dal data transfer in inbound e in outbound dalle Availability Zones, reperibili in questo documento. Rispetto al costo dell’Azure Firewall questi non impattano in modo particolarmente significativo. Personalmente ritengo che se si adotta una architettura del networking di Azure dove Azure Firewall è il componente core per la messa in sicurezza dell’ambiente, diventa molto utile utilizzare le Availability Zones per garantire un elevato livello di disponibilità delle applicazioni mission-critical protette da questo servizio.

Figura 2 – Configurazione Availability Zones in fase di creazione di Azure Firewall

In presenza di Azure Firewall creati senza l’utilizzo delle Availability Zones, non si ha la possibilità di effettuare una conversione all’utilizzo delle stesse. L’unica modalità attualmente disponibile prevede la creazione di un nuovo Azure Firewall migrando le configurazioni esistenti. I backup in formato JSON della configurazione di Azure Firewall possono essere fatti utilizzando i seguenti comandi PowerShell:

[cc lang=”powershell”]

$AzureFirewallId = (Get-AzFirewall -Name “AzureFirewallName” -ResourceGroupName “Network-RG”).id

$BackupFileName = “.AzureFirewallBackup.json”

Export-AzResourceGroup -ResourceGroupName “Network-RG” -Resource $AzureFirewallId -SkipAllParameterization -Path $BackupFileName

[/cc]

Avendo a disposizione il file JSON è necessario modificarlo per contemplare le Availability Zones:

[cc lang=”powershell”]

{

“apiVersion”: “2019-04-01”,

“type”: “Microsoft.Network/azureFirewalls”,

“name”: “[variables(‘FirewallName’)]”,

“location”: “[variables(‘RegionName’)]”,

“zones”: [

“1”,

“2”,

“3”

],

“properties”: {

“ipConfigurations”: [

{

[/cc]

Al termine della modifica è possibile effettuare il deployment del nuovo Azure Firewall, utilizzando il file JSON opportunamente modificato, tramite il seguente comando:

[cc lang=”powershell”]

New-AzResourceGroupDeployment -name “RestoreFirewallAvZones” -ResourceGroupName “Network-RG” -TemplateFile “.AzureFirewallBackup.json”

[/cc]

Gestione centralizzata con soluzioni di terze parti

Azure Firewall espone pubblicamente delle REST APIs che possono essere utilizzate da vendor di terze parti per fornire delle soluzioni che permettono una gestione centralizzata degli Azure Firewall, dei Network Security Groups (NSGs), e delle virtual appliance di rete (NVAs). Al momento questi sono i vendor che offrono soluzioni di questo tipo: Barracuda con Cloud Security Guardian, AlgoSec con CloudFlow e Tufin con Orca.

Just-in-time (JIT) VM access per Azure Firewall

Quando un utente richiede di accedere a una VM con una policy Just-in-time (JIT), il Security Center prima verifica se l’utente dispone effettivamente dei permessi Role-Based Access Control (RBAC) necessari per effettuare la richiesta di accesso. In caso affermativo la richiesta viene approvata, e il Security Center è in grado di configurare automaticamente non solo i NSG, ma anche le regole necessarie lato Azure Firewall per consentire il traffico in ingresso.

Application rules con FQDN di SQL

Nelle application rule di Azure Firewall è stata introdotta la possibilità di specificare degli FQDN di SQL. In questo modo è possibile governare l’accesso dalle virtual network verso specifiche istanze SQL server. Tramite gli FQDN SQL è possibile filtrare il traffico:

  • Da Virtual Network verso un Azure SQL Database oppure un Azure SQL Data Warehouse.
  • Dall’ambiente on-premises verso Azure SQL Managed Instances oppure SQL IaaS in esecuzione sulle Virtual Network.
  • Da spoke-to-spoke verso Azure SQL Managed Instances oppure SQL IaaS in esecuzione sulle Virtual Network.

Figura 3 – Creazione Application Rule con FQDN SQL

FQDN Tag per Azure HDInsight (HDI)

I cluster Azure HDInsight presenti sulle proprie Virtual Network hanno diverse dipendenze da altri servizi Azure (esempio Azure Storage), con i quali è necessario prevedere un traffico di rete in uscita per funzionare in modo corretto. Grazie all’introduzione degli FQDN tags per HDInsight è possibile configurare Azure Firewall per restringere l’accesso in outbound per i cluster HDI. Per maggiori dettagli a riguardo è possibile consultare la documentazione ufficiale Microsoft.

Automazione per gestire il backup

Disporre di una strategia che consenta di ripristinare la configurazione del servizio in tempi rapidi è fondamentale in quanto questo servizio è il centro di governo del networking vostro ambiente Azure e contiene diverse regole per gestire in modo completo il traffico di rete. Il servizio al momento non dispone in modo integrato di una funzionalità per farne il backup completo in modo periodico. In questo articolo viene riportato un meccanismo ideato per fare il backup schedulato della configurazione di questo componente utilizzando il servizio Azure Automation.

Conclusioni

Azure Firewall è una soluzione che sempre più spesso viene utilizzata nelle architetture di rete di Azure, per i vantaggi che offre rispetto alle soluzioni firewall di vendor di terze parti e grazie ad un costante arricchimento delle funzionalità offerte. Tutte queste novità introdotte rendono Azure Firewall una soluzione più completa, totalmente integrata nella piattaforma, che consente di mettere in sicurezza le risorse presenti sulle Virtual Network di Azure con una elevata flessibilità.

Azure IaaS and Azure Stack: announcements and updates (September 2019 – Weeks: 35 and 36)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Microsoft Azure available from new cloud regions in Switzerland

Microsoft announced the availability of new Azure Regions in Switzerland. With the Azure Region Switzerland West and Switzerland North, Microsoft addresses the need of customers to have cloud regions and datacenters available in Switzerland. Remember that not all services are available in all Azure regions. You can find more information about the products and services available in the Swiss Azure regions on the Azure website.

31 new Azure edge sites

Microsoft announced the addition of 31 new edge sites, bringing the total to over 150 across more than 50 countries. Microsoft is also adding 14 new meet-me sites to Azure ExpressRoute to further enable and expand access to dedicated private connections between customers’ on-premises environments and Azure.

Azure Firewall in China

Azure Firewall is also available in China.

Azure DevTest Labs now integrates with Azure Bastion

Azure DevTest Labs now integrates with Azure Bastion, enabling you to connect to your virtual machines through a web browser. Azure Bastion provides secure and seamless RDP/SSH connectivity to your virtual machines directly in the Azure portal over SSL. As a lab owner, it’s possible to enable your lab virtual machines to have browser-based access provided they’re created in a virtual network that has Azure Bastion configured on it.

Azure Stack

Azure App Service on Azure Stack Update 7 (1.7)

This release updates the resource provider and brings the following key capabilities and fixes:

  • Updates to **App Service Tenant, Admin, Functions portals and Kudu tools**. Consistent with Azure Stack Portal SDK version.
  • Updates to core service to improve reliability and error messaging enabling easier diagnosis of common issues.
  • Access Restrictions now enabled in User Portal

All other fixes and updates are detailed in the App Service on Azure Stack Update Seven Release Notes.

Diagnostic log collection is generally available for Azure Stack

The Azure Stack diagnostic log collection service provides a simplified way for Azure Stack operators to collect and share diagnostic logs with Microsoft Customer Support Services (CSS). A new user experience in the Azure Stack administrator portal is available for operators to set up the automatic upload of diagnostic logs to a storage blob when certain critical alerts are raised, or to perform the same operation on demand.

Azure management services e System Center: novità di Agosto 2019

Microsoft rilascia costantemente novità riguardanti gli Azure management services e System Center. La nostra community pubblica questo riepilogo con cadenza mensile per fornire una panoramica complessiva delle principali novità rilasciate nell’ultimo mese. Questo consente di rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 39 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Disponibilità in nuove regions

Azure Site Recovery è ora disponibile in queste nuove regions: West India, UAE Central, UAE North, South Africa North, e South Africa West.

Disaster recovery di macchine virtuali con Azure Disk Encryption

Azure Site Recovery ha introdotto il supporto per le macchine virtuali con dischi che utilizzano Azure Disk Encryption senza l’utilizzo di Azure Active Directory app. Al momento questa funzionalità è supportata solo per macchine virtuali Windows che utilizzano managed disks. Presto sarà introdotto il supporto anche per le macchine virtuali Linux, che utilizzano managed disks.

Monitor in Log Analytics

Nel vault di Site Recovery è stata introdotta la possibilità di inviare i log di diagnostica verso un workspace di Log Analytics. Questi log vengono generati oltre che dalle macchine virtuali in Azure, anche dalle macchine VMware e dai sistemi fisici protetti da Azure Site Recovery.

Azure Backup

Disponibilità in nuove regions

Azure Backup è ora possibile utilizzarlo anche in queste nuove regions: West India, UAE Central, UAE North, South Africa North, e South Africa West.

Supporto per dischi fino a 30 TB

Per Azure Backup è stato annunciato il supporto, al momento in limited public preview, per dischi Managed di grandi dimensioni, fino a 30TB. Per maggiori informazioni a riguardo è possibile consultare questo articolo.

Soft Delete delle macchine virtuali protette

Al fine di aumentare la protezione dei backup fatti tramite Azure Backup, è stata introdotta la funzionalità di soft delete per le macchine virtuali IaaS. Questo consente di avere un livello di protezione maggiore da cancellazioni accidentali o malevole dei backup delle VMs IaaS.

System Center Configuration Manager

Nuovi rilasci per il Technical Preview Branch

Per Configuration Manager è stato rilasciato l’update 1908 che tra le principali novità prevede la possibilità di attivare l’High Performance Power Plan durante l’esecuzione delle task sequence, per ottenere vantaggi prestazionali.

Inoltre, è stato rilasciato l’update 1908.02 che include la funzionalità di messaggistica di Teams integrata nella console di Configuration Manager.

Per verificare i dettagli riguardanti le novità incluse in questi aggiornamenti è possibile consultare questo documento per l’update 1908 e questo documento per l’update 1908.02.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure Dedicated Host: la creazione di macchine virtuali su un sistema dedicato

In Azure è stata recentemente annunciata la disponibilità del nuovo servizio Azure Dedicated Host, che consente di disporre di un server fisico in Azure, totalmente dedicato alla propria organizzazione, sul quale attivare macchine virtuali Windows oppure Linux. In questo articolo vengono descritte quali sono le principali caratteristiche del servizio, i relativi benefici apportati e quale procedura seguire per l’attivazione.

Normalmente, senza l’adozione di questo nuovo servizio, in Azure gli host fisici vengono utilizzati per ospitare macchine virtuali di più tenants, e l’isolamento avviene mediante l’hypervisor multi-tenant. Utilizzando Azure Dedicated Host, il server fisico può mantenere in esecuzione solo i workloads di un singolo tenant. In questo modo si può avere una visibilità ampia ed un controllo superiore sull’hardware sul quale sono in esecuzione le proprie macchine virtuali, con la certezza che le capacità dell’host non sono condivise con altri clienti di Azure.

Scenari di utilizzo

Il servizio Azure Dedicated Host può essere molto utile per far fronte ai seguenti scenari di utilizzo:

  • Necessità di avere una isolation a livello di host per ragioni di compliance, in termini di sicurezza fisica, data integrity e monitoring.
  • Disporre di una visibilità e di un controllo sull’infrastruttura server in Azure che ospita le proprie macchine virtuali. Si può infatti definire la tipologia di hardware dell’host, le caratteristiche del processore ed il numero di core, la tipologia e la dimensione delle VMs che si intende deployare, con la possibilità di scegliere differenti size per le virtual machine, pur mantenendo la stessa serie selezionata per l’host specifico.
  • Governare tutte le attività di maintenance a livello di host impartite dalla piattaforma Azure, come ad esempio gli aggiornamenti del sistema operativo dell’host fisico. Utilizzando l’Azure Dedicated Host si ha la possibilità di scegliere il momento più opportuno di maintenance, all’interno di una finestra manutentiva di 35 giorni.

Se si ha l’esigenza di far fronte a uno degli scenari sopra riportati, l’Azure Dedicated Host è sicuramente un’ottima opzione, ma nel caso non si abbiano esigenze specifiche è opportuno utilizzare la metodologia classica per il deploy delle macchine virtuali in Azure, in quanto ha un livello di flessibilità maggiore.

Attivazione del servizio

Il deploy di un nuovo Azure Dedicated Host richiede la presenza di un host group. A questo gruppo possono essere aggiunti più Host, che saranno utilizzati per ospitare le nuove macchina virtuali in Azure. Il deploy di Azure Dedicated Host può avvenire tramite ARM templateCLIPowerShell, e direttamente dal Portale Azure. In questo articolo viene riportata la procedura da seguire per la creazione del servizio direttamente dal Portale Azure.

Figura 1 – Avvio della procedura di creazione di un Host Group

Durante il processo di creazione dell’Host Group vengono richieste impostazioni specifiche come le Availability zone (opzionale) e il numero di fault domain.

Figura 2 – Parametri richiesti durante la creazione di un Host Group

In seguito alla creazione dell’Host Group è possibile avviare il processo di configurazione dell’Azure Dedicated Host, che sarà associato ad uno specifico Host Group.

Figura 3 – Avvio del processo di creazione di un Dedicated Host

Tra i parametri richiesti in fase di creazione di un Dedicated Host è presente la famiglia delle VMs, che potranno essere ospitate dall’host specifico, l’host group di appartenenza, il numero di Fault Domain e la possibilità di sostituire automaticamente l’host in caso di eventuali problemi. Inoltre, vengono richieste le informazioni necessarie per poter ottenere i benefici in termini di licensing, riportati nel paragrafo successivo.

Figura 4 – Parametri richiesti durante la creazione di un Dedicated Host

Completato il processo di configurazione dell’Azure Dedicated Host è possibile, in fase di creazione di una macchina virtuale, attestarla sull’host specifico. Un aspetto importante da considerare è che la region deve essere la stessa dell’host e il size della VM deve appartenere alla VM Family configurata in fase di creazione dell’Host.

Durante il processo di creazione della macchina virtuale è presente, nella sezione Host del tab Advanced, la possibilità di scegliere l’host group e il Dedicated Host.

Figura 5 – Selezione dell’Host Group e dell’Host in fase di creazione della VM

Aspetti legati al licensing

Azure Dedicated Host consente di ottenere dei vantaggi dal punto di vista del licensing, grazie alla possibilità di usufruire dell’Azure Hybrid Benefit. Si potranno infatti utilizzare le licenze a disposizione di Windows Server e SQL Server coperte da Software Assurance anche in questo scenario. Inoltre, i clienti che dispongono di licenze Windows Server Datacenter e Software Assurance possono avere licenziati un numero illimitato di sistemi virtuali Windows Server nell’ambiente Azure Dedicated Host. Allo stesso modo anche i client con licenze SQL Server Enterprise Edition e Software Assurance possono utilizzare diritti di virtualizzazione illimitati per SQL Server sui loro host dedicati in Azure. Anche per altri vendor come SUSE o RedHat Linux è consentito utilizzare le licenze a disposizione con Azure Dedicated Host. In questo caso si consiglia di verificare con i fornitori le condizioni specifiche delle licenze.

Con l’introduzione di questo nuovo servizio, Microsoft sta aggiornando di conseguenza i termini di utilizzo delle licenze per chiarire la distinzione tra i servizi di outsourcing on-premises/tradizionali e i servizi cloud. Per ottenere maggiori informazioni a riguardo è possibile consultare la documentazione ufficiale Microsoft.

Un altro aspetto importante da tenere in considerazione è che utilizzando gli Azure Dedicated Host si può usufruire del servizio di Extended Security Updates per Windows Server 2008/R2 e SQL Server 2008/R2.

Costo del servizio

Il costo di Azure Dedicated Host viene calcolato a livello di host attivato e non sulla base del numero di macchine virtuali in esecuzione sull’host stesso. I costi delle licenze software vengono calcolate separatamente sulla base di utilizzo delle singole VMs. Per ottenere dei risparmi sulle licenze è possibile tenere in considerazione quanto riportato nel paragrafo precedente. Si tratta di un servizio pay-as-you-go, senza costi aggiuntivi di attivazione o di cessazione. Per maggiori dettagli a riguardo è possibile consultare la pagina ufficiale dei costi.

Conclusioni

Il servizio Azure Dedicated Host consente di contemplare nuovi scenari di utilizzo della piattaforma Azure ed è in grado di indirizzare esigenze specifiche di quei clienti che richiedono host isolation, per far fronte a requisiti mirati di conformità e governance. Molto interessante anche la possibilità di poter ottenere risparmi in termini di licensing, grazie all’utilizzo di Azure Hybrid Benefit. Il consiglio è di valutare l’utilizzo di questo servizio solo se realmente necessario per le proprie esigenze, in caso contrario è opportuno utilizzare il metodo di deployment classico delle macchine virtuali.