Archivi categoria: Microsoft Azure

Azure Governance: introduzione ad Azure Resource Graph

L’Azure Governance è possibile grazie ad una serie di servizi appositamente progettati per consentire una gestione ed un costante controllo delle varie risorse Azure su vasta scala. Tra questi servizi troviamo Resource Graph, un potente strumento che da command-line consente rapidamente di ottenere dettagli riguardanti i differenti artifacts di Azure. Utilizzando Resource Graph è possibile recuperare informazioni che in precedenza richiedevano necessariamente la creazione di script complessi ed iterativi. In questo articolo vengono riportate le caratteristiche della soluzione e come è possibile utilizzarla per scoprire i dettagli delle risorse Azure su larga scala.

Caratteristiche del servizio

In presenza di ambienti Azure complessi che vedono la presenza di molte subscription, mantenere una visibilità complessiva di tutte le risorse Azure può risultare complesso senza l’adozione di strumenti appositamente sviluppati. Queste le esigenze che tipicamente si devono affrontare:

Possibilità di visualizzare le risorse Azure e le rispettive proprietà in modo trasversale tra differenti subscription.
Poter eseguire in modo efficiente delle query sulle risorse impostando dei filtri, dei raggruppamenti e imponendo un preciso ordinamento sulle rispettive proprietà.
Esplorare iterativamente le differenti risorse.
Valutare l’impatto dato dall’applicazione di policy su un numero elevato di risorse cloud.

Il servizio Azure Resource Graph consente, grazie all’utilizzo di un linguaggio efficiente e performante di effettuare le seguenti azioni:

Eseguire query sulle risorse applicando filtri, raggruppamenti e ordinamenti complessi.
Esplorare iterativamente le risorse in base ai requisiti di governance.
Valutare l’impatto dato dall’applicazione delle policy in un vasto ambiente cloud.
Dettagliare le modifiche che vengono apportate alle proprietà delle risorse Azure. Recentemente è stata infatti introdotta la possibilità di visualizzare gli ultimi 14 giorni di cronologia relativa alle modifiche apportate alle risorse, per individuare quali proprietà sono state modificate e quando. Questa funzionalità risulta particolarmente utile in fase di troubleshooting, per individuare eventuali eventi di modifica in una specifica fascia oraria. Inoltre, risulta funzionale per comprendere le proprietà che sono state modificate quando una risorsa ha cambiato lo stato di compliance, in modo da valutare l’adozione di Azure Policy per gestire opportunamente tali proprietà. Per maggiori informazioni a riguardo è possibile consultare la documentazione ufficiale Microsoft.

Tutte queste azioni garantiscono aspetti importanti per poter governare al meglio il proprio ambiente Azure.

Quando una risorsa di Azure viene aggiornata, Resource Graph viene notificato da Resource Manager della relativa modifica ed aggiorna di conseguenza il suo database. Resource Graph esegue inoltre regolarmente una scansione completa delle risorse per garantire che i suoi dati siano aggiornati nel caso di mancate notifiche oppure di aggiornamenti che avvengono al di fuori di Resource Manager.

Come utilizzare Resource Graph

Le query di Azure Resource Graph sono basate sul linguaggio Kusto, utilizzato anche da Azure Data Explorer, Application Insights ed Azure Log Analytics. Per maggiori dettagli sull’utilizzo del linguaggio di query di Azure Resource Graph è possibile consultare la documentazione ufficiale Microsoft, che riporta come è strutturato e quali sono gli operatori e le funzionalità supportate.

Resource Graph supporta l’Azure CLI, Azure PowerShell e Azure SDK per .NET. L’esecuzione di query Resource Graph richiede nell’Azure CLI environment l’aggiunta della relativa extension, mentre in Azure PowerShell è necessaria l’installazione del modulo Resource Graph. Le query sono comunque sempre strutturate in modo identico, indipendentemente da dove vengono eseguite.

L’utilizzo di Resource Graph richiede che l’utente con il quale vengono eseguite le query disponga di permessi almeno in lettura, tramite Role-based access control (RBAC), sulle risorse che si intende interrogare. Nel caso non siano presenti almeno i permessi di lettura su determinate risorse, le interrogazioni non restituiranno i risultati relativi ad esse.

Il servizio Azure Resource Graph viene utilizzato anche quando si effettuano delle ricerche nella search bar del portale Azure, nel nuovo elenco delle risorse (‘All resources’) e nella change history delle Azure Policy.

Figura 1 – Experience di ‘All resources’ che utilizza Azure Resource Graph

Query di esempio

Si riportano alcuni esempi di query Resource Graph ed il relativo risultato.

Figura 2 – Query per contare le risorse per tipologia (Resource Type)

Figura 3 – Query per contare le risorse in base alla location geografica

Le query Azure Resource Graph hanno il grosso vantaggio che oltre a poter ottenere il risultato desiderato in modo semplice, sono anche molto performanti:

Figura 4 – Tempo di esecuzione della query per contare le risorse in base alla location

Se si volesse ottenere questo risultato utilizzando il classico metodo PowerShell in ambienti Azure complessi, bisognerebbe collegarsi alla singola subscription Azure, ricercare le informazioni necessarie e passare alla subscription successiva. Questo approccio era l’unico possibile fino all’arrivo di Resource Graph, ma risultava essere più laborioso e molto meno performante.

Figura 5 – Elenco delle VMs con l’OS disk non Managed

Conclusioni

Azure Resource Graph permette di esplorare e analizzare in modo rapido ed efficace le risorse Azure, consentendo di mantenere una visibilità totale anche sugli ambienti Azure particolarmente complessi, costituiti da diverse subscription, ciascuna delle quali con un numero elevato di elementi. Particolarmente utile la funzionalità che consente di consultare la cronologia delle modifiche apportate alle risorse Azure. Azure Resource Graph è uno strumento che consente di apportare un contributo significativo per la governance del proprio ambiente Azure.

Azure IaaS and Azure Stack: announcements and updates (July 2019 – Weeks: 27 and 28)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Pubic preview for large file shares (100 TiB) on standard tier

Announced the public preview of large file shares for Azure Files standard tier. Azure File Sync, until now, scaling cloud file shares beyond 5 TiB required changing the paradigm for accessing data. The preview of a larger and higher scale standard tier for Azure Files, is available to all Azure customers. This preview significantly improves your experience by increasing standard file shares’ capacity and performance limits. In select regions, standard file shares in general purpose accounts can support the following larger limits:

Azure Files	Before (standard tier)	New (standard tier)
Capacity per share	5 TiB	100 TiB (20x increase)
Max IOPS per share	1,000 IOPS	10,000 IOPS (10x increase)
Max throughput per share	Up to 60 MiB/s	Up to 300 MiB/s (5x increase)

Performance limits for a single file remain the same at 1 TiB, 1000 IOPS, and 60 MiB/s. Standard file shares are backed by hard disk drives. If the workload is latency sensitive, you should consider Azure Files premium tier, that is backed by solid-state drives.

New larger B-series VM sizes with flexible CPU usage

Microsoft has released three new B-series sizes: B12ms, B16ms and B20ms. These are lower cost VMs with flexible CPU usage.

Azure Data Box Heavy is generally available

Azure Data Box Heavy has reached general availability in the US and EU. Data Box Heavy is designed for a much larger scale than the original Data Box. Data Box Heavy’s one petabyte of raw capacity and multiple 40 Gbps connectors mean that a datacenter’s worth of data can be moved into Azure in just a few weeks.

Network Watcher is Generally Available in South Africa

Network Watcher is a cloud based solution for troubleshooting and monitoring networks in Azure. Azure Network Watcher is generally available in South Africa North region.

Azure Ephemeral OS Disk is Generally Available

Ephemeral OS disks are created on the local virtual machine (VM) storage and not saved to the remote Azure Storage. Ephemeral OS disks work well for stateless workloads, where applications are tolerant of individual VM failures, but are more affected by VM deployment time or reimaging the individual VM instances. With Ephemeral OS disk, you get lower read/write latency to the OS disk and faster VM reimage. Ephemeral OS disk is free i.e., you incur no storage cost for the OS disk. You can still be charged for any data disks attached to the VM. You can use either the Marketplace or Custom or Gallery Images to deploy VM/VM Scale Set (VMSS) with Ephemeral OS Disk. This functionality is available in all Azure regions.

Azure Monitor for VMs is available in East and South East Australia regions

Azure Monitor for VMs is now available in East Australia and South East Australia. Azure Monitor for VMs monitors your Azure virtual machines and virtual machine scale sets. The service analyzes the performance and health of your Windows and Linux VMs, monitoring their processes and their dependencies on other resources and external processes.

Azure Migrate is enhanced

Azure Migrate is now enhanced and can help you discover, assess, and migrate applications, infrastructure, and data from your on-premises environments to Azure. You can centrally track progress of your migration journey across multiple Microsoft and Independent Software Vendor (ISV) tools in Azure Migrate.

This release includes the following functionality:

Extensible approach with choice across Microsoft and popular ISV assessment and migration tools
Integrated experience for discovery, assessment, and migration with end-to-end progress tracking for servers and databases
Server Assessment and Server Migration for large-scale VMware, Hyper-V, and physical server migrations
Database Assessment and Database Migration across various database targets including Azure SQL Database and Managed Instance

Azure Governance: come organizzare le risorse utilizzando gli Azure Management Groups

In presenza di ambienti con un numero elevato di subscription Azure è necessario avere un livello di astrazione differente per poter gestire in modo efficace gli accessi, le policy e la compliance. A questo scopo sono stati introdotti gli Azure Management Groups, che consentono di organizzare differenti subscriptions in contenitori logici, sui quali definire, porre in essere e verificare le politiche di governo necessarie. In questo articolo vengono esaminati nel dettaglio i relativi concetti e vengono riportate delle indicazioni per organizzare al meglio le risorse Azure al fine di facilitare il processo di governance.

Per organizzare in modo efficace le risorse Azure è fondamentale definire una gerarchia di management groups e di subscriptions sulla quale è possibile applicare le Azure Policy, il servizio che consente di creare, assegnare e gestire dei criteri di controllo. L’utilizzo dei Management Group è inoltre utile per gestire in modo efficace l’assegnazione dei permessi tramite role-based access control (RBAC), a fini di delega amministrativa.

Figura 1 – Esempio di gerarchia di Management Groups

Ogni risorsa Azure è contenuta all’interno di una specifica Azure Subscription, la quale è associata ad un solo tenant Azure Active Directory, ed eredita i permessi impostati a tale livello.

Al momento, un vincolo da tenere in considerazione, è che un Management Group può contenere più subscriptions purché le stesse facciano parte dello stesso tenant Azure Active Directory. Detto in altri termini, i Management Groups risiedono all’interno di un tenant e non possono contenere subscriptions di tenant diversi. I security principal utilizzabili sui management group possono provenire solo dal tenant di riferimento per il management group.

Figura 2 – Relazione tra Azure AD e la struttura organizzativa

Le risorse Azure appartenenti a una subscription sono contenute a loro volta in Resource Groups. I resource groups sono contenitori di risorse che, a fini amministrativi, consentono di ottenere i seguenti vantaggi:

Facilitano la delega amministrativa in quanto le risorse contenute ereditano i permessi a livello di resource group.
Sui resorce group si possono assegnare dei tag, anche se questi non vengono in automatico ereditati dalle risorse, ma è opportuno prevedere dei meccanismi specifici se lo si ritiene necessario.

Figura 3 – Relazione tra i livelli della struttura organizzativa

Le Azure Policy possono essere assegnate a livello di Subscription oppure di Management Group e possono essere definite eccezioni per Resource Group. A questo proposito si consiglia quando possibile, di organizzare le policy in “initiative” e assegnarle a livello di Management Group.

Il Management Group root è al livello top e contiene tutti Management Groups configurati e le varie subscriptions Azure. Il root Management Group non può essere rimosso o spostato. La struttura può essere creata con al massimo sei livelli di profondità, senza considerare il Root level e il livello della subscription. Ogni Management Group può avere più figli, ma è supportato un solo parent per ogni Management Group e per ogni subscription.

In assenza di specifici requisiti, Microsoft consiglia di dividere gli ambienti di produzione da quelli di “DevTest”, creando due livelli di management groups. Al management group root di default saranno associate le policy fondamentali, come ad esempio quelle relative alla security. Sui restanti Management Groups saranno invece associate policy specifiche. La gerarchia dei Management Groups permette di avere un modello per il quale le policy che vengono definite a livelli più alti della gerarchia non possono essere sovrascritte dai livelli inferiori.

Figura 4 – Management Group & Subscription Modeling Strategy

Questo approccio consente di gestire ambienti Azure complessi, che vedono la presenza di più subscription. in modo più semplice e flessibile, per le seguenti ragioni:

Il concetto di ereditarietà consente con un’unica associazione di applicare i controlli voluti e l’assegnazione dei ruoli su differenti subscriptions.
Si ha una gestione centralizzata.
Si possono includere ulteriori subscription nella gerarchia, con la consapevolezza che dovranno aderire alle politiche stabilite e che avranno l’assegnazione dei ruoli desiderata.

Conclusioni

I processi di goverance attraverso i quali è possibile garantire a un’organizzazione un utilizzo efficace ed efficiente delle risorse IT, al fine di poter raggiungere i propri obiettivi, non possono esimersi dall’adozione di un modello che consenta di organizzare in modo efficace le risorse Azure. L’utilizzo dei Management Groups, in ambienti con un numero considerevole di subscriptions, diventa quindi fondamentale per far fronte all’esigenza comune di standardizzare, e in alcuni casi imporre, come vengono configurate le differenti risorse nel cloud.

Azure management services e System Center: novità di Giugno 2019

Nel mese di giugno sono state annunciate, da parte di Microsoft, un numero considerevole di novità riguardanti gli Azure management services e System Center. La nostra community, tramite questi articoli rilasciati mensilmente, vuole fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

Azure Log Analytics

Azure Monitor VMBoundPort

In Azure Monitor è stata annunciata la disponibilità, in tutte le region supportate da Log Analytics, di consultare i VMBoundPort data set. VMBoundPort contiene le informazioni relative a tutte le porte che accettano traffico in ingresso e che potenzialmente possono accettarlo. Si tratta di una funzionalità molto utile, per analizzare quali porte sono aperte e quali sono attive, per effettuare analisi di security oppure a fini di troubleshooting.

Nuova region supportata per Azure Monitor per VMs

Azure Monitor per VMs, il servizio che consente di analizzare le performance e lo stato di salute dei sistemi Windows e di VMs Linux, monitorando i loro processi e le ralative dipendenze con altre risorse, è ora disponibile anche nella region di West US 2. Diventano così sette le regions Azure che attualmente supportano Azure Monitor per VMs.

Disponibilità in nuove regions
Azure Log Analytics è ora possibile attivarlo anche in queste nuove regions: South Africa North, Brazil South, UK West e North Central US.

Advanced Data Security disponibile per SQL Server in VMs Azure

Advanced data security è diponibile in preview per SQL Server su VMs Azure. Questa funzionalità consente di proteggere le installazioni di SQL Server fatte a bordo di macchine virtuali in ambiente Azure. Tale servizio attualmente include le funzionalità necessarie per individuare e mitigare potenziali vulnerabilità sui database e consente di rilevare attività anomale che possono indicare la presenza di una minaccia di security sul server.

Aggionamenti nella User Interface di Azure Monitor Log Analytics

Nel corso del mese alcuni elementi dell’interfaccia di Azure Monitor Log Analytics hanno subito un cambiamento, per meggiori dettagli è possibile consultare questo documento.

Nuova versione dell’agente per sistemi Linux

Questo mese la nuova versione dell’agente di Log Analytics per sistemi Linux introduce miglioramenti riguardanti in particolare il processo di installazione e le performance. Per ottenere maggiori informazioni a riguardo è possibile accedere alla pagina ufficiale GitHub.

Azure Site Recovery

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 37 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica 4508614.

Replica di nuovi data disk aggiunti

Azure Site Recovery ha introdotto la possibilità di abilitare la replica di data disk, solo se di tipologia managed, che vengono aggiunti a una VM in Azure, per la quale è già abilitata la possibilità di effetture il disaster recovery.

Nuovi limiti di supporto del Mobility service per scenari di DR di VMs VMware e server fisici

Azure Site Recovery ora è in grado di supportare fino a cinque partizioni GPT su UEFI, quando si utilizza il Mobility service per scenari di disaster recovery di VMs VMware e di server fisici.

Utilizzo di un automation account esistente per gli aggiornamenti automatici del Mobility service

In fase di configurazione degli updates automatici dell’extension Azure Site Recovery Mobility service in esecuzione sulle VMs Azure abilitate per scenari di disaster recovery, è stata introdotta la possibilità di selezionare un automation account esistente da utilizzare, invece di utilizzare quello di default creato da Site Recovery.

Azure Backup

Supporto per SQL Server 2008 e 2008 R2 in VMs in Azure

Il 9 Luglio 2019 termina ufficialmente il supporto per SQL Server 2008 e 2008 R2 e grazie all’approccio di Microsoft, che garantisce altri 3 anni di update di security se migrati in ambiente Azure, molti clienti stanno procedendo con la relativa migrazione. Nel caso si scelga di spostare il SQL Server presente on-premises in una macchina in ambiente Azure è opportuno gestirne i backup e per questa ragione Microsoft ha deciso di introdurre in Azure Backup il supporto (al momento in public preview) di SQL Server 2008 e SQL Server 2008 R2 a partire da Windows 2008 R2 SP1.

System Center Configuration Manager

Nuovo rilascio per il Technical Preview Branch

Per Configuration Manager è stato rilasciato l’update 1906 che tra le principali novità prevede la possibilità di specificare una user category come filtro nelle applications presenti nella pagina del Software Center.

Per verificare i dettagli riguardanti le novità incluse in questo aggiornamento è possibile consultare questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

System Center Updates Publisher

Annunciata la disponibilità in preview di System Center Updates Publisher (SCUP) giugno 2019.

Valutazione di Azure e System Center

Per testare e valutare in modo gratuito i servizio offerti da Azure è possibile accedere a questa pagina, mentre per provare i vari componenti di System Center è necessario accedere all’Evaluation Center e, dopo essersi registrati, è possibile avviare il periodo di trial.

Azure IaaS and Azure Stack: announcements and updates (June 2019 – Weeks: 25 and 26)

Azure

General availability of Azure Premium Files

Premium Files is a new performance tier for Azure Files and is designed for IO intensive workloads with low latency and higher throughput requirements. Premium tier provides 20x capacity, 100x IOPS, and 170x throughput as compared to the existing standard tier. Premium Files stores data on the latest Solid-State Drives (SSDs), which makes it suitable for wide variety of workloads like file services, databases, persistent storage for containers, content and collaboration repositories, analytics, home directories, high variable and batch workloads, among many others.

Azure Bastion Public Preview

Azure Bastion enables more secure and seamless RDP and SSH access to Azure Virtual machines directly in the portal (over port 443) without the need of any public IP on the virtual machine. Additional details are available on the Azure Bastion product page, and Azure Bastion product documentation page.

Azure Firewall: public preview for multiple public IPs and Availability Zones

Azure Firewall now supports multiple public IPs and availability zones in public preview using PowerShell and templates:

Just-in-time access supports Azure Firewall

When a user requests access to a VM with a JIT policy, Security Center first checks that the user has Role-Based Access Control (RBAC) permissions to request access to a VM with a JIT policy. If the user has permissions and the request is approved, Security Center automatically configures the NSG and the Azure Firewall rules to allow inbound traffic.

ExpressRoute supports up to 4 circuits from the same peering location into the VNet

ExpressRoute now supports up to 4 circuits from a single peering location connected to an ExpressRoute virtual network gateway, which was previously limited to a single circuit in a peering location. This is generally available in Azure Public.

Preview Refresh for Azure DNS Private Zones

Announced the Refresh release for Azure DNS private zones (preview). The Preview Refresh introduces new functionality and lifts several restrictions that public preview had.

Availability of Microsoft cloud datacenter regions in the Middle East

Microsoft Azure and Office 365 are now generally available from datacenter regions in the United Arab Emirates (UAE), with plans for Dynamics 365 and Power Platform to be available by the end of 2019.

VM Health feature now supports new OS’ and is available in new regions

VM Health feature now supports new OS’ and is available in new regions

VM Health feature included in Azure monitor for VMs is now available for VMs that are running on Windows 2012 R2 and 2019. Additionally, VM Health feature is also available in cases where the associated workspace is in SEA (South East Asia), UKS (UK South), and CCAN (Canada Central) regions.

Public preview of monitoring VM scale sets

Public preview of monitoring Windows and Linux VM scale sets from within the scale set resource blade.

Update rollup for Azure File Sync Agent

An update rollup for the Azure File Sync agent was released.

Improvements and issues that are fixed:

Accessing or browsing a server endpoint location over SMB is slow on Windows Server 2012 R2.
Increased CPU utilization after installing the Azure File Sync v6 agent.
Cloud tiering telemetry improvements.

More information about this update rollup:

This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
The agent version of this update rollup is 6.3.0.0.
A restart may be required if files are in use during the update rollup installation.
Installation instructions are documented in KB4489739.

M-series VMs are available in the South Africa North region

Azure M-series VMs are now available in the US South Central region. M-series VMs offer configurations with memory from 192 GB to 3.8TiB (4TB) RAM and are certified for SAP HANA.

GPU Optimized Visualization VMs now available in new regions

NVv3-Series VMs are now available in South Central US, West US, West Europe and North Europe Azure regions.

Azure Stack

Azure Stack update

This update includes new improvements, and fixes for Azure Stack. This article describes the contents of the 1906 update package.

Azure Networking: tutto ciò che è opportuno sapere sul nuovo Application Gateway

L’Application Gateway è l’offerta di Application Delivery Controller as-a-service presente in Azure che consente ai clienti di effettuare la ripubblicazione applicativa, con funzionalità integrate di bilanciamento del carico layer-7, sicurezza e Web Application Firewall (WAF). Microsoft ha recentemente annunciato la disponibilità di una versione totalmente rivisitata dell’Azure Application Gateway e del relativo modulo Web Application Firewall (WAF). In questo articolo vengono riportati i miglioramenti e le funzionalità aggiuntive che sono presenti nelle nuove SKUs, chiamate rispettivamente Standard_v2 e WAF_v2.

Miglioramenti e nuove funzionalità

Si riportano gli ambiti dove la nuova versione dell’Azure Application Gateway ha apportato migliorie e funzionalità aggiuntive.

Figura 1 – Schema con le nuove funzionalità della SKU V2

Scalabilità

La nuova versione dell’Azure Application Gateway consente di effettuare in modo automatico uno scale-up oppure uno scale-down del numero delle istanze da utilizzare, in base al traffico rilevato verso gli applicativi ripubblicati. In questo modo il dimensionamento dell’Application Gateway sarà sempre idoneo per sostenere il traffico necessario e non sarà più opportuno dimensionare questo componente alla massima capacità per sostenere i momenti con picchi di traffico. Ne consegue che grazie a questa funzionalità è possibile ottenere un risparmio significativo sui costi in scenari dove sono presenti workload che non hanno un afflusso omogeneo, ma soggetto a variazioni.

Zone redundancy

Nella nuova SKU è possibile prevedere il deployment dell’application Gateway in diverse zone di disponibilità (availability zone) in modo da non essere soggetti a disservizi in caso di problematiche legate alla singola zona di Azure. Questa metodologia di deployment permette di aumentare la resilienza delle applicazioni pubblicate.

Assegnazione IP Pubblico Statico

Il Virtual IP Address assegnato all’Application Gateway potrà essere statico, garantendo così una assegnazione dell’indirizzo IP costante per tutto il ciclo di vita del componente. Tale funzionalità risulta particolarmente utile per gestire regole su sistemi firewall esterni ad Azure e per scenari di pubblicazione di Azure Web App.

Header Rewrite

La funzionalità di Header Rewrite consente di gestire più facilmente le pubblicazioni degli applicativi in quanto è consentito aggiungere, rimuovere o modificare gli header delle richieste e delle risposte HTTP, direttamente dall’Application Gateway e senza la necessità di modificare il codice dell’applicativo.

Performance

L’adozione della nuova SKU dell’Application Gateway consente di avere un notevole miglioramento nelle performance sia durante le attività di provisioning che durante le attività di aggiornamento della configurazione. Inoltre, si evidenzia un miglioramento delle performance, fino a 5 volte superiore rispetto alla precedente SKU, in scenari di SSL offloading.

La raccomandazione

Per tutte le nuove implementazioni si consiglia di valutare l’adozione della nuova SKU dell’Azure Application Gateway, mentre per chi sta effettuando pubblicazioni applicative tramite Application Gateway V1, si consiglia di migrare alla SKU V2 in tempi brevi, per le seguenti ragioni:

Nuove funzionalità e miglioramenti: migrando alla nuova SKU è possibile beneficiare dei miglioramenti e delle nuove funzionalità sopra menzionate.
Costo: vista la nuova politica di pricing adottata per la SKU V2, basata sui consumi e non più sul dimensionamento e sul numero di istanze, questa potrebbe risultare complessivamente più conveniente rispetto alla SKU V1. Per maggiori informazioni sui costi della nuova versione dell’Azure Application Gateway è possibile consultare la relativa pagina dei costi.
Supporto della piattaforma: a breve Microsoft disabiliterà la possibilità di creare nuovi Application Gateway V1. Inoltre, in futuro Microsoft rilascerà ulteriori nuove funzionalità, ma la maggior parte di queste saranno rilasciate esclusivamente per la SKU V2.

Come avviene la migrazione alla SKU V2

Attualmente la piattaforma Azure non fornisce una procedura automatica di migrazione dalla SKU V1 alla SKU V2, ma è necessario procedere con una migrazione in side-by-side. Per procedere con questa attività è necessaria una opportuna attività di analisi preliminare per verificare la presenza di tutti i requisiti necessari. La migrazione della configurazione esistente può avvenire tramite appositi script di supporto, ma potrebbero comunque essere richieste attività manuali. Conclusa la configurazione di tutte le impostazioni verso il nuovo Azure Application Gateway V2 è necessario ridirigere il flusso di traffico proveniente dai client verso il nuovo servizio di Application Delivery.

Conclusioni

L’introduzione delle nuove funzionalità descritte rende l’offerta di Application Delivery Controller as-a-service disponibile nella piattaforma Azure ancora più completa e funzionale, al punto da essere altamente competitiva con soluzioni di altri vendor, da tempo consolidate sul mercato. Per rimanere costantemente aggiornati con la rapida evoluzione del cloud è consigliato effettuare quanto prima il passaggio alla nuova versione dell’Application Gateway per poter usufruire dei vantaggi sopra citati.

Azure IaaS and Azure Stack: announcements and updates (June 2019 – Weeks: 23 and 24)

Azure

Web Application Firewall (WAF) for Azure Front Door service is generally available

Customers can use WAF to define security policies that allow, block, forward or rate limit access to their web applications delivered through Azure Front Door.

A WAF security policy may consist of an ordered list of custom rules and Azure managed pre-configured rulesets.
Custom rules are based on a combination of client IP addresses, geolocation, http parameters, request methods and size constraints.
The pre-configured default rule set can be enabled to protect your applications from OWASP top 10 threats.
New or updated WAF configurations are deployed globally within minutes, letting you respond quickly to changing attack patterns.
WAF for Azure Front Door is integrated with Azure Monitor and the logs can be accessed through an Azure storage account, Azure Event Hub or Azure Log Analytics.

DevTest Labs supports the Shared Image Gallery feature

It enables lab users to access images from a shared location while creating lab resources. It also helps you build structure and organization around your custom-managed VM images.

High-Performance Computing Virtual Machines are available in West US 2, East US

HC-series Virtual Machines, designed to provide supercomputer-grade performance and scalability with the best price-performance on the public cloud, are generally available in West US 2 and East US.

Azure File Sync is GA for Azure Government cloud

Azure File Sync is generally available for Azure Government cloud. Azure File Sync in Government Cloud can be used with the same v6 agent that a customer would use in public cloud. It is at feature parity with what’s available publicly.

Azure Shared Image Gallery are generally available

Shared Image Gallery provides a simple way to share your applications with others in your organization, within or across Azure Active Directory (AD) tenants and regions. This enables you to expedite regional expansion or DevOps processes and simplify your cross-region HA/DR setup.

Azure DevTest Labs: PowerShell module to simplify management of labs

You can now make use of Az.DevTestLabs, a PowerShell module to simplify the management of Azure DevTest Labs. It provides composable functions to create, query, update and delete labs, virtual machines, custom images and environments.

Advanced data security for SQL servers on IaaS

Advanced data security is now available for SQL Server on Azure Virtual Machines. Advanced data security for SQL Server on Azure Virtual Machines currently includes functionality for surfacing and mitigating potential database vulnerabilities and detecting anomalous activities that could indicate a threat to your server.

Adaptive Network Hardening in Security Center id generally available

Security Center learns the network traffic and connectivity patterns of Azure workloads and provides NSG rule recommendations, for Internet facing virtual machines. This helps our customer better configure their network access policies and limit their exposure to attacks.

Azure Application Gateway Web Application Firewall custom rules are Generally Available

Custom rules for WAF_v2 allow customers to create their own rules with IP/IP range or String based matching conditions. For example, customers will be able to create rules which block requests from a specific IP range, or those matching a specific regular expression in the request’s header/cookie/URI/queryString/form elements. Users can also join multiple matching conditions into a single custom rule. More details can be found here.

Update rollup for Azure File Sync Agent

Improvements and issues that are fixed

After creating a server endpoint, High CPU usage may occur when background recall is downloading files to the server.
Sync and cloud tiering operations may fail with error ECS_E_SERVER_CREDENTIAL_NEEDED due to token expiration.
Recalling a file may fail if the URL to download the file contains reserved characters.

More information about this update rollup:

This update is available for Windows Server 2012 R2, Windows Server 2016 and Windows Server 2019 installations that have Azure File Sync agent version 4.0.1.0 or later installed.
The agent version of this update rollup is 6.2.0.0.
A restart may be required if files are in use during the update rollup installation.
Installation instructions are documented in KB4489738.

Azure Stack HCI: introduzione alla soluzione

L’utilizzo di infrastrutture hyper-converged negli ultimi anni ha subito un forte incremento e le stime provenienti da fonti autorevoli riportano che nei prossimi 12-18 mesi l’investimento in soluzioni di questo tipo saranno tra gli quelli più significativi per la modernizzazione dei datacenter, per circa il 54% delle organizzazioni. Con l’arrivo di Windows Server 2019, Microsoft ha introdotto la soluzione Azure Stack HCI, che consente l’esecuzione di macchine virtuali ed una facile connessione ad Azure con una infrastruttura hyper-converged (HCI). In questo articolo vengono riportate le principali caratteristiche della soluzione e le relative potenzialità.

La tendenza che si sta affermando è il passaggio da una tradizionale infrastruttura “three tier”, composta da switch di rete, appliance, sistemi fisici con a bordo hypervisor, storage fabric e SAN, verso infrastrutture hyper-converged (HCI), dove vengono rimossi diversi componenti hardware, sostituti dalla “magia” del software, in grado di unire i layer di elaborazione, storage e rete in un’unica soluzione.

Figura 1 – “Three Tier” Infrastructure vs Hyper-Converged Infrastructure (HCI)

Tutto ciò è reso possibile dal nuovo sistema operativo Windows Server 2019, che consente di utilizzare Hyper-V, un ormai solido e affidabile hypervisor, insieme alle soluzioni di Software Defined Storage e Software Defined Networking. A questo viene aggiunto Windows Admin Center, che consente di gestire totalmente e da interfaccia grafica l’ambiente hyper-converged. Il tutto viene implementato su hardware appositamente validato dai vari vendor.

Figura 2 – Azure Stack HCI Solution overview

Il posizionamento della soluzione Azure Stack HCI è il seguente, affiancato ad Azure ed Azure Stack, ma con scopi ben precisi e distinti.

Figura 3 – Azure Family

Azure Stack HCI è una evoluzione della soluzione Windows Server Software-Defined (WSSD) disponibile in passato con Windows Server 2016. Azure Stack HCI è stato inserito nella famiglia di Azure in quanto condivide le stesse tecnologie software-defined utilizzate anche da Azure Stack.

Azure Stack HCI consente l’esecuzione di applicazioni virtualizzate nell’ambiente on-premises, su hardware testato e validato in modo specifico. Per poter ottenere la certificazione l’hardware è sottoposto a rigorosi test di validazione, che garantiscono l’affidabilità e la stabilità della soluzione. Per consultare le differenti soluzioni Azure Stack HCI dei vari vendor hardware è possibile accedere a questa pagina.

Figura 4 – Azure Stack HCI solutions hardware partners

Un corretto dimensionamento dell’hardware è fondamentale per ottenere i risultati attesi in termini di performance e stabilità, pertanto è opportuno utilizzare sempre soluzioni hardware validate in modo specifico e non utilizzare componenti hardware assemblati a piacimento. Tale condizione è indispensabile anche per ottenere una soluzione Azure Stack HCI totalmente supportata.

Grazie all’utilizzo e al supporto delle più moderne innovazioni introdotte nei dispositivi hardware, Azure Stack HCI consente di raggiungere performance molto elevate, tanto da raggiungere un importante record di IOPS (ben 13.798.674) tra le piattaforme hyper-converged, raddoppiando le performance massime che erano state raggiunte con Windows Server 2016.

Figura 5 – Innovazioni hardware supportate da Azure Stack HCI

La soluzione hyper-converged con Windows Server 2016 vedeva un grosso limite dato dal fatto che la configurazione e la gestione dell’ambiente doveva essere fatta prevalentemente da riga di comando.

Grazie all’introduzione di Windows Admin Center si ha la possibilità di gestire e controllare totalmente l’ambiente hyper-converged da interfaccia web. Inoltre, molti vendor delle soluzioni hardware mettono a disposizione delle estensioni di Windows Admin Center per arricchire le funzionalità di management.

Nel seguente video viene mostrata la gestione di un ambiente hyper-converged da Windows Admin Center:

In ambito software-defined storage, la tecnologia Storage Space Direct consente di usufruire di molte funzionalità, che la rendono una soluzione completa, affidabile e sicura.

Figura 6 – Funzionalità in ambito software-defined storage

In Windows Server 2019 sono stati fatti importanti miglioramenti in ambito deduplica e compressione del dato che consentono di avere un quantitativo superiore di spazio storage utilizzabile.

Figura 7 – Possibili risparmi di spazio disco utilizzando deduplica e compressione

L’abilitazione avviene in modo molto semplice direttamente da Windows Admin Center.

Figura 8 – Abilitazione deduplica e compressione da Windows Admin Center

Azure Stack HCI può essere utilizzato per ambienti più piccoli con due nodi e può scalare fino ad un massimo di 16 nodi.

Figura 9 – Scalabilità della soluzione

In presenza di cluster composti esattamente da due nodi Windows Server 2019 è possibile utilizzare la Nested resiliency, una nuova funzionalità di Storage Spaces Direct, introdotta in Windows Server 2019, che consente di sostenere più fault hardware allo stesso momento senza perdere l’accesso allo storage.

Figura 10 – Fault hardware sostenuti

Utilizzando questa funzionalità si avrà a disposizione una capacità inferiore rispetto a un classico two-way mirror, ma si ottiene una maggiore affidabilità, fondamentale per infrastrutture hyper-converged, superando il limite presente nelle precedenti versioni di Windows Server in presenza di ambienti cluster composti da soli due nodi. La nested resiliency mette insieme due nuove opzioni in ambito resiliency, implementate in software e senza la necessità di hardware specifico:

Nested two-way mirror: in ogni server viene utilizzato localmente un two-way mirror, e una ulteriore resiliency viene garantita da un two-way mirror tra i due server. Di fatto si tratta di un four-way mirror, dove sono presenti due copie per del dato per ogni server.
Nested mirror-accelerated parity: viene combinato il two-way mirror, precedentemente descritto, con la nested parity.

Figura 11 – Nested two-way mirror + Nested mirror-accelerated parity

Azure Stack HCI consente di collegare le risorse on-premises al public cloud Azure per estendere il set di funzionalità, approccio totalmente differente da Azure Stack, che permette di adottare i servizi Azure on-premises, ottenendo una experience totalmente consistente al cloud pubblico, ma con risorse che risiedono nel proprio datacenter.

Figura 12 – Approccio ibrido: Azure Stack vs Azure Stack HCI

La possibilità di connettere Azure Stack HCI con i servizi Azure per ottenere una soluzione hyper-converged ibrida è un importante valore aggiunto che la differenzia fortemente da altri competitor. Anche in questo caso l’integrazione può essere fatta direttamente da Windows Admin Center per usufruire dei seguenti servizi Azure:

Azure Site Recovery per implementare scenari di disaster recovery.
Azure Monitor per tenere sotto controllo, in modo centralizzato, quello che avviene a livello applicativo, sulla rete e nella propria infrastruttura hyper-converged, con l’esecuzione di analisi avanzate tramite l’intelligenza artificiale.
Cloud Witness per utilizzare lo storage account di Azure come quorum del cluster.
Azure Backup per una protezione offsite della propria infrastruttura.
Azure Update Management per fare un assessment degli aggiornamenti mancanti e procedere con la relativa distribuzione, sia per macchine Windows che per sistemi Linux, indipendentemente dalla loro location, Azure oppure on-premises.
Azure Network Adapter per collegare facilmente le risorse on-premises con le VMs in Azure tramite una VPN point-to-site.
Azure Security Center per il monitoraggio e il rilevamento sulle macchine virtuali delle minacce di security.

Figura 13 – Integrazione Azure hybrid services da Windows Admin Center

Conclusioni

Microsoft ha effettuato importanti investimenti per evolvere, migliorare e rendere maggiormente affidabile e performante la propria proposizione per scenari hyper-converged. Azure Stack HCI risulta ora una soluzione matura, che supera i limiti della precedente soluzione Windows Server Software-Defined (WSSD) ed ingloba tutto il necessario per realizzare una ambiente hyper-converged in un unico prodotto ed in un’unica licenza: Windows Server 2019. La possibilità di collegare remotamente Azure Stack HCI ai vari servizi Azure la rendono inoltre una soluzione ancora più completa e funzionale.

Azure management services e System Center: novità di Maggio 2019

Per rimanere costantemente aggiornati sulle novità riguardanti gli Azure management services e System Center, la nostra community rilascia mensilmente questo riepilogo, che consente di avere una panoramica delle principali novità del mese. In questo articolo troverete le novità, riportate in modo sintetico e accompagnate dai riferimenti necessari per poter effettuare ulteriori approfondimenti.

Azure Log Analytics

Nuova version dell’agente per sistemi Linux

Questo mese la nuova versione dell’agente di Log Analytics per sistemi Linux introduce miglioramenti riguardanti la stabilità e l’affidabilità. Per ottenere maggiori informazioni a riguardo è possibile accedere alla pagina ufficiale GitHub.

Disponibilità in nuove region

La disponibilità di Azure Log Analytics è stata estesa in altre cinque nuove regions: Central US, East US 2, East Asia, West US e South Central US.

Azure Site Recovery

Miglioramenti nel monitor dei sistemi VMware e delle macchine fisici

Nello scenario di replica di sistemi VMware e di macchine fisiche, il ruolo Process Server agisce come replication gateway, quindi riceve i dati di replica, ne effettua un’ottimizzazione tramite meccanismi di cache e compressione, provvede all’encryption e li invia verso lo storage in ambiente Azure. Questo ruolo ha inoltre il compito di effettuare il discovery delle macchine virtuali sui sistemi VMware. Diversi sono i fattori che possono impattare sul corretto funzionamento di questo componente: elevato data change rate (churn), connettività di rete, disponibilità di banda, sottodimensionamento delle capacità elaborative necessarie. In ASR sono stati aggiunti diversi stati di health che facilitano le operazioni di troubleshooting per questo componente. Per ogni avviso viene anche proposta l’azione correttiva ritenuta necessaria, in modo da riuscire a gestire al meglio questo ruolo, fondamentale per il corretto funzionamento del processo di replica dei sistemi.

Azure Backup

Network Security Group service tag per Azure Backup

Microsoft ha annunciato la possibilità di utilizzare all’interno dei Network Security Groups (NSGs) il service tag per Azure Backup. Utilizzando il tag AzureBackup è possibile consentire nei NSG l’accesso in uscita verso il servizio Azure Backup, in modo da poter proteggere i workload (SQL Server) a bordo delle macchine virtuali, anziché dover gestire una whithelist contenente gli indirizzi IP del servizio. Tale funzionalità è utile, oltre in presenza di workload SQL Server da proteggere, anche per effettuare il backup delle VM tramite agente MARS.

System Center Configuration Manager

Nuovo rilascio per il Technical Preview Branch

Per Configuration Manager è stato rilasciato l’update 1905 che tra le principali novità prevede la possibilità di creare gruppi di applicazioni da inviare a collection di utenti o di dispositivi in un singolo deployment. Le applicazioni incluse nel gruppo possono essere installate con un ordine specifico e il gruppo sarà visualizzato in Software Center come un’unica entità (suite di prodotti).

Per verificare i dettagli riguardanti le novità incluse in questo aggiornamento è possibile consultare questo documento.

Si ricorda che i rilasci nel Technical Preview Branch consentono di valutare in anteprima le nuove funzionalità di SCCM ed è consigliato applicare questi aggiornamenti solo in ambienti di test.

Valutazione di Azure e System Center

Azure IaaS and Azure Stack: announcements and updates (June 2019 – Weeks: 21 and 22)

Azure

Generation 2 virtual machines in Azure in Public Preview

Generation 2 virtual machines use the new UEFI-based boot architecture vs. the BIOS-based architecture used by Generation 1 VMs. The new architecture enables customers to:

Build large virtual machines (up to 12TB)
Provision OS disks sizes that exceed 2TB, and
Leverage advanced security capabilities like SecureBoot and Virtual Trusted Platform Module (vTPM) to secure their Virtual Machines.

If you want to take advantage of these features, you can now create Generation 2 virtual machines in Azure. For a complete list of capabilities, limitations and details associated with the deployment of Generation 2 virtual machines on Azure, please refer to this documentation.

Azure DDoS Protection Standard introduces DDoS Alert integration with Azure Security Center

DDoS Protection Standard customers can view DDoS Alerts in Azure Security Center (ASC) and this capability is generally available for all ASC and DDoS Standard customers. These DDoS alerts will be available for review in the Security Center in near real-time without any setup or manual integrations required and will provide details on DDoS attacks detected and automatically mitigated by the service.

General availability of Azure NetApp Files

Azure NetApp Files, the industry’s first bare-metal cloud file storage and data management service, is general availability (GA). Azure NetApp Files is an Azure first-party service for migrating and running the most demanding enterprise file-workloads in the cloud including databases, SAP, and high-performance computing applications with no code changes. Azure NetApp Files is a fully managed cloud service with full Azure portal integration. It’s sold and supported exclusively by Microsoft. Customers can seamlessly migrate and run applications in the cloud without worrying about procuring or managing storage infrastructure. Additionally, customers can purchase Azure NetApp Files and get support through existing Azure agreements, with no up-front or separate term agreement.

OpenVPN support in Azure VPN gateways

Microsoft announced the General Availability (GA) of OpenVPN protocol in Azure VPN gateways for P2S connectivity. Form more details you can read this article.

Azure Mv2 Virtual Machines are generally available

Azure Mv2-series virtual machines are hyper-threaded and feature Intel® Xeon® Platinum 8180M 2.5GHz (Skylake) processor, offering up to 208 vCPU in 3TB and 6 TB memory configurations. Mv2 virtual machines provide unparalleled computational performance to support large in-memory databases and workloads such as SAP HANA and SQL Hekaton. Mv2-series VMs are certified by SAP for SAP HANA OLTP and OLAP production workloads. Mv2 VMs are available in US East and US East 2 regions. Mv2 VMs in U.S. West 2, Europe West, Europe North and Southeast Asia regions will become available in the coming months.

Azure Stack

Azure App Service on Azure Stack 1.6 (Update 6) Released

This release updates the resource provider and brings the following key capabilities and fixes:

Updates to App Service Tenant, Admin, Functions portals and Kudu tools. Consistent with Azure Stack Portal SDK version.
Updates to Kudu tools to resolve issues with styling and functionality for customers operating disconnected Azure Stack.
Updates to core service to improve reliability and error messaging enabling easier diagnosis of common issues.

All other fixes and updates are detailed in the App Service on Azure Stack Update Six Release Notes. The App Service on Azure Stack Update 6 build number is 82.0.1.50.