Archivi categoria: Microsoft Azure

Azure Governance: come organizzare le risorse utilizzando gli Azure Management Groups

In presenza di ambienti con un numero elevato di subscription Azure è necessario avere un livello di astrazione differente per poter gestire in modo efficace gli accessi, le policy e la compliance. A questo scopo sono stati introdotti gli Azure Management Groups, che consentono di organizzare differenti subscriptions in contenitori logici, sui quali definire, porre in essere e verificare le politiche di governo necessarie. In questo articolo vengono esaminati nel dettaglio i relativi concetti e vengono riportate delle indicazioni per organizzare al meglio le risorse Azure al fine di facilitare il processo di governance.

Per organizzare in modo efficace le risorse Azure è fondamentale definire una gerarchia di management groups e di subscriptions sulla quale è possibile applicare le Azure Policy, il servizio che consente di creare, assegnare e gestire dei criteri di controllo. L’utilizzo dei Management Group è inoltre utile per gestire in modo efficace l’assegnazione dei permessi tramite role-based access control (RBAC), a fini di delega amministrativa.

Figura 1 – Esempio di gerarchia di Management Groups

Ogni risorsa Azure è contenuta all’interno di una specifica Azure Subscription, la quale è associata ad un solo tenant Azure Active Directory, ed eredita i permessi impostati a tale livello.

Al momento, un vincolo da tenere in considerazione, è che un Management Group può contenere più subscriptions purché le stesse facciano parte dello stesso tenant Azure Active Directory.  Detto in altri termini, i Management Groups risiedono all’interno di un tenant e non possono contenere subscriptions di tenant diversi. I security principal utilizzabili sui management group possono provenire solo dal tenant di riferimento per il management group.

Figura 2 –  Relazione tra Azure AD e la struttura organizzativa

Le risorse Azure appartenenti a una subscription sono contenute a loro volta in Resource Groups. I resource groups sono contenitori di risorse che, a fini amministrativi, consentono di ottenere i seguenti vantaggi:

  • Facilitano la delega amministrativa in quanto le risorse contenute ereditano i permessi a livello di resource group.
  • Sui resorce group si possono assegnare dei tag, anche se questi non vengono in automatico ereditati dalle risorse, ma è opportuno prevedere dei meccanismi specifici se lo si ritiene necessario.

Figura 3 – Relazione tra i livelli della struttura organizzativa

Le Azure Policy possono essere assegnate a livello di Subscription oppure di Management Group e possono essere definite eccezioni per Resource Group. A questo proposito si consiglia quando possibile, di organizzare le policy in “initiative” e assegnarle a livello di Management Group.

Il Management Group root è al livello top e contiene tutti Management Groups configurati e le varie subscriptions Azure. Il root Management Group non può essere rimosso o spostato. La struttura può essere creata con al massimo sei livelli di profondità, senza considerare il Root level e il livello della subscription. Ogni Management Group può avere più figli, ma è supportato un solo parent per ogni Management Group e per ogni subscription.

In assenza di specifici requisiti, Microsoft consiglia di dividere gli ambienti di produzione da quelli di “DevTest”, creando due livelli di management groups. Al management group root di default saranno associate le policy fondamentali, come ad esempio quelle relative alla security. Sui restanti Management Groups saranno invece associate policy specifiche. La gerarchia dei Management Groups permette di avere un modello per il quale le policy che vengono definite a livelli più alti della gerarchia non possono essere sovrascritte dai livelli inferiori.

Figura 4 – Management Group & Subscription Modeling Strategy

Questo approccio consente di gestire ambienti Azure complessi, che vedono la presenza di più subscription. in modo più semplice e flessibile, per le seguenti ragioni:

  • Il concetto di ereditarietà consente con un’unica associazione di applicare i controlli voluti e l’assegnazione dei ruoli su differenti subscriptions.
  • Si ha una gestione centralizzata.
  • Si possono includere ulteriori subscription nella gerarchia, con la consapevolezza che dovranno aderire alle politiche stabilite e che avranno l’assegnazione dei ruoli desiderata.

Conclusioni

I processi di goverance attraverso i quali è possibile garantire a un’organizzazione un utilizzo efficace ed efficiente delle risorse IT, al fine di poter raggiungere i propri obiettivi, non possono esimersi dall’adozione di un modello che consenta di organizzare in modo efficace le risorse Azure. L’utilizzo dei Management Groups, in ambienti con un numero considerevole di subscriptions, diventa quindi fondamentale per far fronte all’esigenza comune di standardizzare, e in alcuni casi imporre, come vengono configurate le differenti risorse nel cloud.

Azure management services e System Center: novità di Giugno 2019

Nel mese di giugno sono state annunciate, da parte di Microsoft, un numero considerevole di novità riguardanti gli Azure management services e System Center. La nostra community, tramite questi articoli rilasciati mensilmente, vuole fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

Azure Log Analytics

Azure Monitor VMBoundPort

In Azure Monitor è stata annunciata la disponibilità, in tutte le region supportate da Log Analytics, di consultare i VMBoundPort data setVMBoundPort contiene le informazioni relative a tutte le porte che accettano traffico in ingresso e che potenzialmente possono accettarlo. Si tratta di una funzionalità molto utile, per analizzare quali porte sono aperte e quali sono attive, per effettuare analisi di security oppure a fini di troubleshooting.

Nuova region supportata per Azure Monitor per VMs

Azure Monitor per VMs, il servizio che consente di analizzare le performance e lo stato di salute dei sistemi Windows e di VMs Linux, monitorando i loro processi e le ralative dipendenze con altre risorse, è ora disponibile anche nella region di West US 2. Diventano così sette le regions Azure che attualmente supportano Azure Monitor per VMs.

Disponibilità in nuove regions
Azure Log Analytics è ora possibile attivarlo anche in queste nuove regions: South Africa North, Brazil South, UK West e North Central US.

Advanced Data Security disponibile per SQL Server in VMs Azure

Advanced data security è diponibile in preview per SQL Server su VMs Azure. Questa funzionalità consente di proteggere le installazioni di SQL Server fatte a bordo di macchine virtuali in ambiente Azure. Tale servizio attualmente include le funzionalità necessarie per individuare e mitigare potenziali vulnerabilità sui database e consente di rilevare attività anomale che possono indicare la presenza di una minaccia di security sul server.

Aggionamenti nella User Interface di Azure Monitor Log Analytics 

Nel corso del mese alcuni elementi dell’interfaccia di Azure Monitor Log Analytics hanno subito un cambiamento, per meggiori dettagli è possibile consultare questo documento.

Nuova versione dell’agente per sistemi Linux

Questo mese la nuova versione dell’agente di Log Analytics per sistemi Linux introduce miglioramenti riguardanti in particolare il processo di installazione e le performance. Per ottenere maggiori informazioni a riguardo è possibile accedere alla pagina ufficiale GitHub.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 37 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica 4508614.

Replica di nuovi data disk aggiunti

Azure Site Recovery ha introdotto la possibilità di abilitare la replica di data disk, solo se di tipologia managed, che vengono aggiunti a una VM in Azure, per la quale è già abilitata la possibilità di effetture il disaster recovery.

Nuovi limiti di supporto del Mobility service per scenari di DR di VMs VMware e server fisici

Azure Site Recovery ora è in grado di supportare fino a cinque partizioni GPT su UEFI, quando si utilizza il Mobility service per scenari di disaster recovery di VMs VMware e di server fisici.

Utilizzo di un automation account esistente per gli aggiornamenti automatici del Mobility service

In fase di configurazione degli updates automatici dell’extension Azure Site Recovery Mobility service in esecuzione sulle VMs Azure abilitate per scenari di disaster recovery, è stata introdotta la possibilità di selezionare un automation account esistente da utilizzare, invece di utilizzare quello di default creato da Site Recovery. 

Azure Backup

Supporto per SQL Server 2008 e 2008 R2 in VMs in Azure

Il 9 Luglio 2019 termina ufficialmente il supporto per SQL Server 2008 e 2008 R2 e grazie all’approccio di Microsoft, che garantisce altri 3 anni di update di security se migrati in ambiente Azure, molti clienti stanno procedendo con la relativa migrazione. Nel caso si scelga di spostare il SQL Server presente on-premises in una macchina in ambiente Azure è opportuno gestirne i backup e per questa ragione Microsoft ha deciso di introdurre in Azure Backup il supporto (al momento in public preview) di SQL Server 2008 e SQL Server 2008 R2 a partire da Windows 2008 R2 SP1.

System Center Configuration Manager

Nuovo rilascio per il Technical Preview Branch

Per Configuration Manager è stato rilasciato l’update 1906 che tra le principali novità prevede la possibilità di specificare una user category come filtro nelle applications presenti nella pagina del Software Center.

Per verificare i dettagli riguardanti le novità incluse in questo aggiornamento è possibile consultare questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

System Center Updates Publisher

Annunciata la disponibilità in preview di System Center Updates Publisher (SCUP) giugno 2019.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure IaaS and Azure Stack: announcements and updates (June 2019 – Weeks: 25 and 26)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

General availability of Azure Premium Files

Premium Files is a new performance tier for Azure Files and is designed for IO intensive workloads with low latency and higher throughput requirements. Premium tier provides 20x capacity, 100x IOPS, and 170x throughput as compared to the existing standard tier. Premium Files stores data on the latest Solid-State Drives (SSDs), which makes it suitable for wide variety of workloads like file services, databases, persistent storage for containers, content and collaboration repositories, analytics, home directories, high variable and batch workloads, among many others. 

Azure Bastion Public Preview

Azure Bastion enables more secure and seamless RDP and SSH access to Azure Virtual machines directly in the portal (over port 443) without the need of any public IP on the virtual machine. Additional details are available on the Azure Bastion product page, and Azure Bastion product documentation page.

Azure Firewall: public preview for multiple public IPs and Availability Zones

Azure Firewall now supports multiple public IPs and availability zones in public preview using PowerShell and templates:

Just-in-time access supports Azure Firewall

When a user requests access to a VM with a JIT policy, Security Center first checks that the user has Role-Based Access Control (RBAC) permissions to request access to a VM with a JIT policy. If the user has permissions and the request is approved, Security Center automatically configures the NSG and the Azure Firewall rules to allow inbound traffic.

ExpressRoute supports up to 4 circuits from the same peering location into the VNet

ExpressRoute now supports up to 4 circuits from a single peering location connected to an ExpressRoute virtual network gateway, which was previously limited to a single circuit in a peering location. This is generally available in Azure Public.

Preview Refresh for Azure DNS Private Zones

Announced the Refresh release for Azure DNS private zones (preview). The Preview Refresh introduces new functionality and lifts several restrictions that public preview had.

Availability of Microsoft cloud datacenter regions in the Middle East

Microsoft Azure and Office 365 are now generally available from datacenter regions in the United Arab Emirates (UAE), with plans for Dynamics 365 and Power Platform to be available by the end of 2019.

VM Health feature now supports new OS’ and is available in new regions

VM Health feature now supports new OS’ and is available in new regions

VM Health feature included in Azure monitor for VMs is now available for VMs that are running on Windows 2012 R2 and 2019. Additionally, VM Health feature is also available in cases where the associated workspace is in SEA (South East Asia), UKS (UK South), and CCAN (Canada Central) regions.

Public preview of monitoring VM scale sets

Public preview of monitoring Windows and Linux VM scale sets from within the scale set resource blade.

Update rollup for Azure File Sync Agent

An update rollup for the Azure File Sync agent was released.

Improvements and issues that are fixed:

  • Accessing or browsing a server endpoint location over SMB is slow on Windows Server 2012 R2.
  • Increased CPU utilization after installing the Azure File Sync v6 agent.
  • Cloud tiering telemetry improvements.

More information about this update rollup:

  • This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
  • The agent version of this update rollup is 6.3.0.0.
  • A restart may be required if files are in use during the update rollup installation.
  • Installation instructions are documented in KB4489739.

M-series VMs are available in the South Africa North region

Azure M-series VMs are now available in the US South Central region. M-series VMs offer configurations with memory from 192 GB to 3.8TiB (4TB) RAM and are certified for SAP HANA.

GPU Optimized Visualization VMs now available in new regions

NVv3-Series VMs are now available in South Central US, West US, West Europe and North Europe Azure regions.

Azure Stack

Azure Stack update

This update includes new improvements, and fixes for Azure Stack. This article describes the contents of the 1906 update package.

Azure Networking: tutto ciò che è opportuno sapere sul nuovo Application Gateway

L’Application Gateway è l’offerta di Application Delivery Controller as-a-service presente in Azure che consente ai clienti di effettuare la ripubblicazione applicativa, con funzionalità integrate di bilanciamento del carico layer-7, sicurezza e Web Application Firewall (WAF). Microsoft ha recentemente annunciato la disponibilità di una versione totalmente rivisitata dell’Azure Application Gateway e del relativo modulo Web Application Firewall (WAF). In questo articolo vengono riportati i miglioramenti e le funzionalità aggiuntive che sono presenti nelle nuove SKUs, chiamate rispettivamente Standard_v2 e WAF_v2.

Miglioramenti e nuove funzionalità

Si riportano gli ambiti dove la nuova versione dell’Azure Application Gateway ha apportato migliorie e funzionalità aggiuntive.

Figura 1 – Schema con le nuove funzionalità della SKU V2

Scalabilità

La nuova versione dell’Azure Application Gateway consente di effettuare in modo automatico uno scale-up oppure uno scale-down del numero delle istanze da utilizzare, in base al traffico rilevato verso gli applicativi ripubblicati. In questo modo il dimensionamento dell’Application Gateway sarà sempre idoneo per sostenere il traffico necessario e non sarà più opportuno dimensionare questo componente alla massima capacità per sostenere i momenti con picchi di traffico. Ne consegue che grazie a questa funzionalità è possibile ottenere un risparmio significativo sui costi in scenari dove sono presenti workload che non hanno un afflusso omogeneo, ma soggetto a variazioni.

Zone redundancy

Nella nuova SKU è possibile prevedere il deployment dell’application Gateway in diverse zone di disponibilità (availability zone) in modo da non essere soggetti a disservizi in caso di problematiche legate alla singola zona di Azure. Questa metodologia di deployment permette di aumentare la resilienza delle applicazioni pubblicate.

Assegnazione IP Pubblico Statico

Il Virtual IP Address assegnato all’Application Gateway potrà essere statico, garantendo così una assegnazione dell’indirizzo IP costante per tutto il ciclo di vita del componente. Tale funzionalità risulta particolarmente utile per gestire regole su sistemi firewall esterni ad Azure e per scenari di pubblicazione di Azure Web App.

Header Rewrite

La funzionalità di Header Rewrite consente di gestire più facilmente le pubblicazioni degli applicativi in quanto è consentito aggiungere, rimuovere o modificare gli header delle richieste e delle risposte HTTP, direttamente dall’Application Gateway e senza la necessità di modificare il codice dell’applicativo.

Performance

L’adozione della nuova SKU dell’Application Gateway consente di avere un notevole miglioramento nelle performance sia durante le attività di provisioning che durante le attività di aggiornamento della configurazione. Inoltre, si evidenzia un miglioramento delle performance, fino a 5 volte superiore rispetto alla precedente SKU, in scenari di SSL offloading.

La raccomandazione

Per tutte le nuove implementazioni si consiglia di valutare l’adozione della nuova SKU dell’Azure Application Gateway, mentre per chi sta effettuando pubblicazioni applicative tramite Application Gateway V1, si consiglia di migrare alla SKU V2 in tempi brevi, per le seguenti ragioni:

  • Nuove funzionalità e miglioramenti: migrando alla nuova SKU è possibile beneficiare dei miglioramenti e delle nuove funzionalità sopra menzionate.
  • Costo: vista la nuova politica di pricing adottata per la SKU V2, basata sui consumi e non più sul dimensionamento e sul numero di istanze, questa potrebbe risultare complessivamente più conveniente rispetto alla SKU V1. Per maggiori informazioni sui costi della nuova versione dell’Azure Application Gateway è possibile consultare la relativa pagina dei costi.
  • Supporto della piattaforma: a breve Microsoft disabiliterà la possibilità di creare nuovi Application Gateway V1. Inoltre, in futuro Microsoft rilascerà ulteriori nuove funzionalità, ma la maggior parte di queste saranno rilasciate esclusivamente per la SKU V2.

Come avviene la migrazione alla SKU V2

Attualmente la piattaforma Azure non fornisce una procedura automatica di migrazione dalla SKU V1 alla SKU V2, ma è necessario procedere con una migrazione in side-by-side. Per procedere con questa attività è necessaria una opportuna attività di analisi preliminare per verificare la presenza di tutti i requisiti necessari. La migrazione della configurazione esistente può avvenire tramite appositi script di supporto, ma potrebbero comunque essere richieste attività manuali. Conclusa la configurazione di tutte le impostazioni verso il nuovo Azure Application Gateway V2 è necessario ridirigere il flusso di traffico proveniente dai client verso il nuovo servizio di Application Delivery.

Conclusioni

L’introduzione delle nuove funzionalità descritte rende l’offerta di Application Delivery Controller as-a-service disponibile nella piattaforma Azure ancora più completa e funzionale, al punto da essere altamente competitiva con soluzioni di altri vendor, da tempo consolidate sul mercato. Per rimanere costantemente aggiornati con la rapida evoluzione del cloud è consigliato effettuare quanto prima il passaggio alla nuova versione dell’Application Gateway per poter usufruire dei vantaggi sopra citati.

Azure IaaS and Azure Stack: announcements and updates (June 2019 – Weeks: 23 and 24)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Web Application Firewall (WAF) for Azure Front Door service is generally available

Customers can use WAF to define security policies that allow, block, forward or rate limit access to their web applications delivered through Azure Front Door.

  • A WAF security policy may consist of an ordered list of custom rules and Azure managed pre-configured rulesets.
  • Custom rules are based on a combination of client IP addresses, geolocation, http parameters, request methods and size constraints.
  • The pre-configured default rule set can be enabled to protect your applications from OWASP top 10 threats.
  • New or updated WAF configurations are deployed globally within minutes, letting you respond quickly to changing attack patterns.
  • WAF for Azure Front Door is integrated with Azure Monitor and the logs can be accessed through an Azure storage account, Azure Event Hub or Azure Log Analytics.

DevTest Labs supports the Shared Image Gallery feature

It enables lab users to access images from a shared location while creating lab resources. It also helps you build structure and organization around your custom-managed VM images.

High-Performance Computing Virtual Machines are available in West US 2, East US

HC-series Virtual Machines, designed to provide supercomputer-grade performance and scalability with the best price-performance on the public cloud, are generally available in West US 2 and East US.

Azure File Sync is GA for Azure Government cloud

Azure File Sync is generally available for Azure Government cloud. Azure File Sync in Government Cloud can be used with the same v6 agent that a customer would use in public cloud. It is at feature parity with what’s available publicly.

Azure Shared Image Gallery are generally available

Shared Image Gallery provides a simple way to share your applications with others in your organization, within or across Azure Active Directory (AD) tenants and regions. This enables you to expedite regional expansion or DevOps processes and simplify your cross-region HA/DR setup.

Azure DevTest Labs: PowerShell module to simplify management of labs

You can now make use of Az.DevTestLabs, a PowerShell module to simplify the management of Azure DevTest Labs. It provides composable functions to create, query, update and delete labs, virtual machines, custom images and environments. 

Advanced data security for SQL servers on IaaS

Advanced data security is now available for SQL Server on Azure Virtual Machines. Advanced data security for SQL Server on Azure Virtual Machines currently includes functionality for surfacing and mitigating potential database vulnerabilities and detecting anomalous activities that could indicate a threat to your server.

Adaptive Network Hardening in Security Center id generally available

Security Center learns the network traffic and connectivity patterns of Azure workloads and provides NSG rule recommendations, for Internet facing virtual machines. This helps our customer better configure their network access policies and limit their exposure to attacks. 

Azure Application Gateway Web Application Firewall custom rules are Generally Available

Custom rules for WAF_v2 allow customers to create their own rules with IP/IP range or String based matching conditions. For example, customers will be able to create rules which block requests from a specific IP range, or those matching a specific regular expression in the request’s header/cookie/URI/queryString/form elements. Users can also join multiple matching conditions into a single custom rule. More details can be found here

Update rollup for Azure File Sync Agent

Improvements and issues that are fixed
  • After creating a server endpoint, High CPU usage may occur when background recall is downloading files to the server.
  • Sync and cloud tiering operations may fail with error ECS_E_SERVER_CREDENTIAL_NEEDED due to token expiration.
  • Recalling a file may fail if the URL to download the file contains reserved characters.

More information about this update rollup:

  • This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
  • The agent version of this update rollup is 6.2.0.0.
  • A restart may be required if files are in use during the update rollup installation.
  • Installation instructions are documented in KB4489738.

Azure Stack HCI: introduzione alla soluzione

L’utilizzo di infrastrutture hyper-converged negli ultimi anni ha subito un forte incremento e le stime provenienti da fonti autorevoli riportano che nei prossimi 12-18 mesi l’investimento in soluzioni di questo tipo saranno tra gli quelli più significativi per la modernizzazione dei datacenter, per circa il 54% delle organizzazioni. Con l’arrivo di Windows Server 2019, Microsoft ha introdotto la soluzione Azure Stack HCI, che consente l’esecuzione di macchine virtuali ed una facile connessione ad Azure con una infrastruttura hyper-converged (HCI). In questo articolo vengono riportate le principali caratteristiche della soluzione e le relative potenzialità.

La tendenza che si sta affermando è il passaggio da una tradizionale infrastruttura “three tier”, composta da switch di rete, appliance, sistemi fisici con a bordo hypervisor, storage fabric e SAN, verso infrastrutture hyper-converged (HCI), dove vengono rimossi diversi componenti hardware, sostituti dalla “magia” del software, in grado di unire i layer di elaborazione, storage e rete in un’unica soluzione.

Figura 1 – “Three Tier” Infrastructure vs Hyper-Converged Infrastructure (HCI)

Tutto ciò è reso possibile dal nuovo sistema operativo Windows Server 2019, che consente di utilizzare Hyper-V, un ormai solido e affidabile hypervisor, insieme alle soluzioni di Software Defined Storage e Software Defined Networking. A questo viene aggiunto Windows Admin Center, che consente di gestire totalmente e da interfaccia grafica l’ambiente hyper-converged. Il tutto viene implementato su hardware appositamente validato dai vari vendor.

Figura 2 – Azure Stack HCI Solution overview

Il posizionamento della soluzione Azure Stack HCI è il seguente, affiancato ad Azure ed Azure Stack, ma con scopi ben precisi e distinti.

Figura 3 – Azure Family

Azure Stack HCI è una evoluzione della soluzione Windows Server Software-Defined (WSSD) disponibile in passato con Windows Server 2016. Azure Stack HCI è stato inserito nella famiglia di Azure in quanto condivide le stesse tecnologie software-defined utilizzate anche da Azure Stack.

Azure Stack HCI consente l’esecuzione di applicazioni virtualizzate nell’ambiente on-premises, su hardware testato e validato in modo specifico. Per poter ottenere la certificazione l’hardware è sottoposto a rigorosi test di validazione, che garantiscono l’affidabilità e la stabilità della soluzione. Per consultare le differenti soluzioni Azure Stack HCI dei vari vendor hardware è possibile accedere a questa pagina.

Figura 4 – Azure Stack HCI solutions hardware partners

Un corretto dimensionamento dell’hardware è fondamentale per ottenere i risultati attesi in termini di performance e stabilità, pertanto è opportuno utilizzare sempre soluzioni hardware validate in modo specifico e non utilizzare componenti hardware assemblati a piacimento. Tale condizione è indispensabile anche per ottenere una soluzione Azure Stack HCI totalmente supportata.

Grazie all’utilizzo e al supporto delle più moderne innovazioni introdotte nei dispositivi hardware, Azure Stack HCI consente di raggiungere performance molto elevate, tanto da raggiungere un importante record di IOPS (ben 13.798.674) tra le piattaforme hyper-converged, raddoppiando le performance massime che erano state raggiunte con Windows Server 2016.

Figura 5 – Innovazioni hardware supportate da Azure Stack HCI

La soluzione hyper-converged con Windows Server 2016 vedeva un grosso limite dato dal fatto che la configurazione e la gestione dell’ambiente doveva essere fatta prevalentemente da riga di comando.

Grazie all’introduzione di Windows Admin Center si ha la possibilità di gestire e controllare totalmente l’ambiente hyper-converged da interfaccia web. Inoltre, molti vendor delle soluzioni hardware mettono a disposizione delle estensioni di Windows Admin Center per arricchire le funzionalità di management.

Nel seguente video viene mostrata la gestione di un ambiente hyper-converged da Windows Admin Center:

In ambito software-defined storage, la tecnologia Storage Space Direct consente di usufruire di molte funzionalità, che la rendono una soluzione completa, affidabile e sicura.

Figura 6 – Funzionalità in ambito software-defined storage

In Windows Server 2019 sono stati fatti importanti miglioramenti in ambito deduplica e compressione del dato che consentono di avere un quantitativo superiore di spazio storage utilizzabile.

Figura 7 – Possibili risparmi di spazio disco utilizzando deduplica e compressione

L’abilitazione avviene in modo molto semplice direttamente da Windows Admin Center.

Figura 8 – Abilitazione deduplica e compressione da Windows Admin Center

Azure Stack HCI può essere utilizzato per ambienti più piccoli con due nodi e può scalare fino ad un massimo di 16 nodi.

Figura 9 – Scalabilità della soluzione

In presenza di cluster composti esattamente da due nodi Windows Server 2019 è possibile utilizzare la Nested resiliency, una nuova funzionalità di Storage Spaces Direct, introdotta in Windows Server 2019, che consente di sostenere più fault hardware allo stesso momento senza perdere l’accesso allo storage.

Figura 10 – Fault hardware sostenuti

Utilizzando questa funzionalità si avrà a disposizione una capacità inferiore rispetto a un classico two-way mirror, ma si ottiene una maggiore affidabilità, fondamentale per infrastrutture hyper-converged, superando il limite presente nelle precedenti versioni di Windows Server in presenza di ambienti cluster composti da soli due nodi. La nested resiliency mette insieme due nuove opzioni in ambito resiliency, implementate in software e senza la necessità di hardware specifico:

  • Nested two-way mirror: in ogni server viene utilizzato localmente un two-way mirror, e una ulteriore resiliency viene garantita da un two-way mirror tra i due server. Di fatto si tratta di un four-way mirror, dove sono presenti due copie per del dato per ogni server.
  • Nested mirror-accelerated parity: viene combinato il two-way mirror, precedentemente descritto, con la nested parity.

Figura 11 – Nested two-way mirror + Nested mirror-accelerated parity

Azure Stack HCI consente di collegare le risorse on-premises al public cloud Azure per estendere il set di funzionalità, approccio totalmente differente da Azure Stack, che permette di adottare i servizi Azure on-premises, ottenendo una experience totalmente consistente al cloud pubblico, ma con risorse che risiedono nel proprio datacenter.

Figura 12 – Approccio ibrido: Azure Stack vs Azure Stack HCI

La possibilità di connettere Azure Stack HCI con i servizi Azure per ottenere una soluzione hyper-converged ibrida è un importante valore aggiunto che la differenzia fortemente da altri competitor. Anche in questo caso l’integrazione può essere fatta direttamente da Windows Admin Center per usufruire dei seguenti servizi Azure:

  • Azure Site Recovery per implementare scenari di disaster recovery.
  • Azure Monitor per tenere sotto controllo, in modo centralizzato, quello che avviene a livello applicativo, sulla rete e nella propria infrastruttura hyper-converged, con l’esecuzione di analisi avanzate tramite l’intelligenza artificiale.
  • Cloud Witness per utilizzare lo storage account di Azure come quorum del cluster.
  • Azure Backup per una protezione offsite della propria infrastruttura.
  • Azure Update Management per fare un assessment degli aggiornamenti mancanti e procedere con la relativa distribuzione, sia per macchine Windows che per sistemi Linux, indipendentemente dalla loro location, Azure oppure on-premises.
  • Azure Network Adapter per collegare facilmente le risorse on-premises con le VMs in Azure tramite una VPN point-to-site.
  • Azure Security Center per il monitoraggio e il rilevamento sulle macchine virtuali delle minacce di security.

Figura 13 – Integrazione Azure hybrid services da Windows Admin Center

Conclusioni

Microsoft ha effettuato importanti investimenti per evolvere, migliorare e rendere maggiormente affidabile e performante la propria proposizione per scenari hyper-converged. Azure Stack HCI risulta ora una soluzione matura, che supera i limiti della precedente soluzione Windows Server Software-Defined (WSSD) ed ingloba tutto il necessario per realizzare una ambiente hyper-converged in un unico prodotto ed in un’unica licenza: Windows Server 2019. La possibilità di collegare remotamente Azure Stack HCI ai vari servizi Azure la rendono inoltre una soluzione ancora più completa e funzionale.

Azure management services e System Center: novità di Maggio 2019

Per rimanere costantemente aggiornati sulle novità riguardanti gli Azure management services e System Center, la nostra community rilascia mensilmente questo riepilogo, che consente di avere una panoramica delle principali novità del mese. In questo articolo troverete le novità, riportate in modo sintetico e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

Azure Log Analytics

Nuova version dell’agente per sistemi Linux

Questo mese la nuova versione dell’agente di Log Analytics per sistemi Linux introduce miglioramenti riguardanti la stabilità e l’affidabilità. Per ottenere maggiori informazioni a riguardo è possibile accedere alla pagina ufficiale GitHub.

Disponibilità in nuove region

La disponibilità di Azure Log Analytics è stata estesa in altre cinque nuove regions: Central US, East US 2, East Asia, West US e South Central US.

Azure Site Recovery

Miglioramenti nel monitor dei sistemi VMware e delle macchine fisici

Nello scenario di replica di sistemi VMware e di macchine fisiche, il ruolo Process Server agisce come replication gateway, quindi riceve i dati di replica, ne effettua un’ottimizzazione tramite meccanismi di cache e compressione, provvede all’encryption e li invia verso lo storage in ambiente Azure. Questo ruolo ha inoltre il compito di effettuare il discovery delle macchine virtuali sui sistemi VMware. Diversi sono i fattori che possono impattare sul corretto funzionamento di questo componente: elevato data change rate (churn), connettività di rete, disponibilità di banda, sottodimensionamento delle capacità elaborative necessarie. In ASR sono stati aggiunti diversi stati di health che facilitano le operazioni di troubleshooting per questo componente. Per ogni avviso viene anche proposta l’azione correttiva ritenuta necessaria, in modo da riuscire a gestire al meglio questo ruolo, fondamentale per il corretto funzionamento del processo di replica dei sistemi.

Azure Backup

Network Security Group service tag per Azure Backup

Microsoft ha annunciato la possibilità di utilizzare all’interno dei ​Network Security Groups (NSGs) il service tag per Azure Backup. Utilizzando il tag AzureBackup è possibile consentire nei NSG  l’accesso in uscita verso il servizio Azure Backup, in modo da poter proteggere i workload (SQL Server) a bordo delle macchine virtuali, anziché dover gestire una whithelist contenente gli indirizzi IP del servizio. Tale funzionalità è utile, oltre in presenza di workload SQL Server da proteggere, anche per effettuare il backup delle VM tramite agente MARS.

System Center Configuration Manager

Nuovo rilascio per il Technical Preview Branch

Per Configuration Manager è stato rilasciato l’update 1905 che tra le principali novità prevede la possibilità di creare gruppi di applicazioni da inviare a collection di utenti o di dispositivi in un singolo deployment. Le applicazioni incluse nel gruppo possono essere installate con un ordine specifico e il gruppo sarà visualizzato in Software Center come un’unica entità (suite di prodotti).

Per verificare i dettagli riguardanti le novità incluse in questo aggiornamento è possibile consultare questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure IaaS and Azure Stack: announcements and updates (June 2019 – Weeks: 21 and 22)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Generation 2 virtual machines in Azure in Public Preview

Generation 2 virtual machines use the new UEFI-based boot architecture vs. the BIOS-based architecture used by Generation 1 VMs. The new architecture enables customers to:

  • Build large virtual machines (up to 12TB)
  • Provision OS disks sizes that exceed 2TB, and
  • Leverage advanced security capabilities like SecureBoot and Virtual Trusted Platform Module (vTPM) to secure their Virtual Machines.

If you want to take advantage of these features, you can now create Generation 2 virtual machines in Azure. For a complete list of capabilities, limitations and details associated with the deployment of Generation 2 virtual machines on Azure, please refer to this documentation.

Azure DDoS Protection Standard introduces DDoS Alert integration with Azure Security Center

DDoS Protection Standard customers can view DDoS Alerts in Azure Security Center (ASC) and this capability is generally available for all ASC and DDoS Standard customers. These DDoS alerts will be available for review in the Security Center in near real-time without any setup or manual integrations required and will provide details on DDoS attacks detected and automatically mitigated by the service.

General availability of Azure NetApp Files

Azure NetApp Files, the industry’s first bare-metal cloud file storage and data management service, is general availability (GA). Azure NetApp Files is an Azure first-party service for migrating and running the most demanding enterprise file-workloads in the cloud including databases, SAP, and high-performance computing applications with no code changes. Azure NetApp Files is a fully managed cloud service with full Azure portal integration. It’s sold and supported exclusively by Microsoft. Customers can seamlessly migrate and run applications in the cloud without worrying about procuring or managing storage infrastructure. Additionally, customers can purchase Azure NetApp Files and get support through existing Azure agreements, with no up-front or separate term agreement.

OpenVPN support in Azure VPN gateways

Microsoft announced the General Availability (GA) of OpenVPN protocol in Azure VPN gateways for P2S connectivity. Form more details you can read this article.

Azure Mv2 Virtual Machines are generally available

Azure Mv2-series virtual machines are hyper-threaded and feature Intel® Xeon® Platinum 8180M 2.5GHz (Skylake) processor, offering up to 208 vCPU in 3TB and 6 TB memory configurations. Mv2 virtual machines provide unparalleled computational performance to support large in-memory databases and workloads such as SAP HANA and SQL Hekaton. Mv2-series VMs are certified by SAP for SAP HANA OLTP and OLAP production workloads. Mv2 VMs are available in US East and US East 2 regions. Mv2 VMs in U.S. West 2, Europe West, Europe North and Southeast Asia regions will become available in the coming months. 

Azure Stack

Azure App Service on Azure Stack 1.6 (Update 6) Released

This release updates the resource provider and brings the following key capabilities and fixes:

  • Updates to App Service Tenant, Admin, Functions portals and Kudu tools. Consistent with Azure Stack Portal SDK version.
  • Updates to Kudu tools to resolve issues with styling and functionality for customers operating disconnected Azure Stack.
  • Updates to core service to improve reliability and error messaging enabling easier diagnosis of common issues.

All other fixes and updates are detailed in the App Service on Azure Stack Update Six Release Notes. The App Service on Azure Stack Update 6 build number is 82.0.1.50.

Azure Networking: l’accesso VPN Point-to-Site e le novità introdotte

Tra le differenti possibilità per stabilire una connettività ibrida con il cloud Azure esistono le VPN di tipologia Point-to-Site (P2S). Tramite le VPN P2S è possibile attivare la connettività da una singola postazione verso l’ambiente Azure, in modo semplice e sicuro. Si tratta di una soluzione utile per consentire la comunicazione da postazioni remote verso le Virtual Network di Azure, prevalentemente utilizzata per fini di test e sviluppo. Può essere anche attivata in alternativa alle VPN Site-to-Site se si deve garantire la connettività verso Azure per un numero molto limitato di sistemi. In questo articolo vengono approfondite le caratteristiche di questa connettività e vengono riportate le ultime novità a riguardo.

Per stabilire connettività ibride con Azure si possono utilizzare differenti metodologie, ciascuna delle quali ha caratteristiche differenti e può risultare idonea per specifici scenari, garantendo livelli differenti di performance e affidabilità.

Figura 1 – Opzioni per attivare connettività ibride con Azure

Le VPN Point-to-Site forniscono sicuramente un set più ristretto di funzionalità rispetto alle altre opzioni di connettività ibrida e sono idonee in casi specifici, dove solo un numero limitato di postazioni devono collegarsi all’ambiente Azure. La connessione P2S viene stabilita avviandola direttamente dal sistema remoto e nella soluzione non sono previsti sistemi nativi per attivarla in modo automatico.

Figura 2 – Confronto tra le opzioni di connettività ibrida

Protocolli utilizzati dalla VPN P2S

Le VPN Point-to-site possono essere configurate per utilizzare i seguenti protocolli:

  • OpenVPN®: è un protocollo recentemente aggiunto in ambito Azure, ma già ampiamente utilizzato da differenti soluzioni, che arricchisce questa tipologia di connettività. Si tratta di un protocollo VPN basato su SSL/TLS, che per le sue caratteristiche consente di attraversare con maggiore facilità i firewall. Inoltre, è garantita la compatibilità con differenti piattaforme: Android, iOS (versione 11.0 e superiori), Windows, Linux e dispositivi Mac (OSX versione 10.13 e successive).
  • Secure Socket Tunneling Protocol (SSTP): si tratta di un protocollo VPN proprietario Microsoft basato su SSL e quindi anch’esso può facilmente attraversare sistemi firewall, ma ha la limitazione che può essere utilizzato esclusivamente da sistemi Windows. In particolare, Azure supporta tutte le versioni di Windows che contemplano il protocollo SSTP (Windows 7 e successivi).
  • IKEv2: si tratta di una soluzione VPN IPsec che può essere utilizzata da differenti piattaforme client, ma per poter funzionare richiede che sul firewall vengano consentite comunicazioni specifiche. IKEv2 è supportato su Windows 10 e Windows Server 2016, ma per poterlo utilizzare è necessario installare update specifici e impostare determinate chiavi di registry. Le precedenti versioni del SO non sono supportate e possono utilizzare solamente il protocollo SSTP oppure OpenVPN®.

Figura 3 – Protocolli OpenVPN® e IKEv2 a confronto

Le VPN Point-to-Site richiedono la presenza di un VPN Gateway attivo sulla virtual network di Azure e a seconda della SKU variano il numero massimo delle connessioni possibili. Occorre inoltre tener in considerazione che i VPN Gateway di tipologia Basic non supportano i protocolli IKEv2 e OpenVPN.

Figura 4 – Gateway SKU a confronte per le VPN P2S

La coesistenza tra le VPN P2S e le VPN S2S per la stessa virtual network è possibile solamente in presenza di VPN gateway di tipologia RouteBased.

Autenticazioni client supportate

L’accesso VPN Point-to-Site prevede la possibilità di utilizzare le seguenti metodologie di autenticazione:

  • Autenticazione nativa di Azure tramite certificati. Con questa modalità l’autenticazione avviene tramite un certificato client presente sul dispositivo che deve connettersi. I certificati client vengono generati da un certificato trusted root e devono essere installati su ogni sistema che deve connettersi. Il certificato root può essere emesso tramite una soluzione Enterprise, oppure è possibile generare un certificato self-signed. Il processo di validazione del certificato client viene svolto dal VPN Gateway durante il tentativo di stabilire la connessione della VPN P2S. Il certificato root deve essere quindi caricato nell’ambiente Azure ed è necessario per il processo di validazione.
  • Autenticazione tramite Active Directory (AD) Domain Server. Grazie a questa tipologia di autenticazione gli utenti possono autenticarsi utilizzando le credenziali di dominio. Questa metodologia richiede la presenza di un server RADIUS integrato con AD. Tale sistema RADIUS può essere implementato on-premises oppure nella VNet di Azure. Utilizzando questo meccanismo, durante il processo di autenticazione, l’Azure VPN Gateway comunica con il sistema RADIUS, pertanto è indispensabile prevedere questo flusso di comunicazione. Qualora il server RADIUS sia dislocato on-premises, deve quindi essere prevista anche una connettività tramite VPN S2S con i sistemi on-premises. Il server RADIUS può utilizzare i certificati rilasciati da una Certification Authority interna in alternativa ai certificati rilasciati da Azure, con il vantaggio che non è necessario gestire in Azure l’upload dei certificati root e la revoca dei certificati. Un altro aspetto importante è che il server RADIUS può integrarsi con meccanismi di autenticazione di terze parti, aprendo così la possibilità di utilizzare anche sistemi di autenticazione a più fattori per l’accesso VPN P2S. Al momento il protocollo OpenVPN® non è supportato con l’autenticazione RADIUS.

Conclusioni

Le VPN Point-to-Site (P2S) possono essere molto utili per fornire connettività verso le Virtual Network di Azure in scenari ben specifici. Grazie all’introduzione del supporto al protocollo OpenVPN® è possibile attivarle più facilmente e da differenti dispositivi (Windows, Mac e Linux), senza tralasciare gli aspetti legati alla sicurezza.

Azure IaaS and Azure Stack: announcements and updates (May 2019 – Weeks: 19 and 20)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Public IP Prefix

A Public IP prefix is a reserved range of static IP addresses that can be assigned to your subscription. You can use a prefix to simplify IP address management in Azure. Knowledge of the range ahead of time eliminates the need to change firewall rules as you assign IP addresses to new resources. This predictability significantly reduces management overhead when scaling in Azure. Public IP Prefix is available in all Azure public regions, Government cloud regions and China cloud regions.

Azure Premium Files preview

Azure Premium Files preview is available. Premium Files is a new performance tier for Azure Files, which is designed for IO intensive workloads with low latency and higher throughput requirements. Premium files storage provides consistent low latency and offers high throughput and IOPS that scales with your storage. Premium tier provides 20x capacity, 100x IOPS and 170x throughput as compared to the existing standard tier. For more details, see the Premium Files redefines limits for Azure Files blog.

Update rollup for Azure File Sync Agent: May 2019

An update rollup for the Azure File Sync agent was released today.

Improvements and issues that are fixed:

  • Windows Admin Center fails to display the agent version and server endpoint configuration on servers which have Azure File Sync agent version 6.0 installed.

More information about this update rollup:

  • This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
  • The agent version of this update rollup is 6.1.0.0.
  • A restart may be required if files are in use during the update rollup installation.
  • Installation instructions are documented in KB4489737.

Azure File Sync is supported in West US 2 and West Central US

Azure File Sync is now supported in West US 2 and West Central US

Azure Cost Management multi-cloud for AWS is in preview

Azure Cost Management for AWS is now in public preview and you can manage your AWS spend along your Azure spend in Azure Cost Management. Features like cost analysis and budgets are availble as part of this feature as well, helping simplify your cost management practice on multi-cloud scenarios.

Advanced Threat Protection for Azure Storage is generally available

Advanced Threat Protection (ATP) for Azure Storage provides an additional layer of security intelligence that detects unusual and potentially harmful attempts to access or exploit storage accounts. This layer of protection allows you to protect and address concerns about potential threats to your storage accounts as they occur, without needing to be an expert in security. To learn more, see Advanced Threat Protection for Azure Storage  or read about the ATP for Storage price in Azure Security Center pricing page.

Ephemeral OS Disk in Public Preview

Ephemeral OS disks work well for stateless workloads, where applications are tolerant of individual VM failures and are more concerned about the time it takes to deploy at scale or to reimage the individual VMs. In addition, Ephemeral OS disk is free i.e., you incur no storage cost for the Ephemeral OS disk.

Azure Serial Console updated

The Azure Serial Console is an invaluable tool in troubleshooting scenarios where you may be unable to connect to your VM. In addition to VMs, you may now use the Serial Console to troubleshoot and diagnose connectivity issues with your Virtual Machine Scale Set (VMSS) instances. To use Serial Console on a VMSS instance, enable boot diagnostics on the VMSS model and ensure that your instances have been upgraded to the latest model. Use Serial Console just as you would with a VM to troubleshoot and diagnose connectivity issues. In addition, improved language support means that you can now troubleshoot your VMs and VMSS instances in a variety of languages.

Adaptive network hardening in public preview

One of the biggest attack surfaces for workloads running in the public cloud are connections to and from the public Internet. Our customers find it hard to know which Network Security Group (NSG) rules should be in place to make sure that Azure workloads are only available to required source ranges. With this feature, Security Center learns the network traffic and connectivity patterns of Azure workloads and provides NSG rule recommendations, for Internet facing virtual machines. This helps our customer better configure their network access policies and limit their exposure to attacks. 

Azure ExpressRoute is generally available in additional locations

Azure ExpressRoute lets you extend your on-premises networks into the Microsoft cloud over a private connection facilitated by a connectivity provider. The ExpressRoute footprint is expanding to eight new locations:

  • Amsterdam2
  • Frankfurt
  • London2
  • Perth
  • Silicon Valley2
  • Taipei
  • Washington DC2
  • Zurich

Red Hat Enterprise Linux BYOS images now available

Red Hat Enterprise Linux images are now available as both BYOS and PAYG offers.

Azure Lab Services update: Address range feature available

In Azure Lab Services was added the ability to provide address range of virtual machines for the labs. This is useful for scenarios where licensing servers for an application on the lab virtual machines only accept a specific range of IP addresses.

Azure Virtual Machine PowerOff available with fast shutdown

The Azure Compute Virtual Machines API has now been updated to allow users to forcefully skip the graceful shutdown period when executing a power off command. This may be useful in situations where a VM may need to be quickly powered off and the risk for data loss or corruption can be ignored. To use this feature, ensure the skipShutdown flag is added to your API or SDK calls.

High-Performance Computing Virtual Machines in new regions

HB-series, designed to provide supercomputer-grade performance and scalability with the best price-performance on the public cloud, are Generally Available in South Central US and Western Europe.

Reserved instance pricing in the Dev/Test Offer

Reserved instances discounts are available for VMs and Azure SQL Database instances created in Dev/Test offer subscriptions. Dev/Test offer provides you a cost-effective way to run your development and testing workloads and with the support of Reserved instances, you can enjoy additional savings and have more purchase controls for your development and test workloads.