Archivi categoria: Microsoft Azure

Hotpatching di Windows Server: una rivoluzione nella gestione delle macchine virtuali

Nell’era digitale, assicurare una continuità operativa è essenziale, non più solo un valore aggiunto. Per molte aziende, interruzioni frequenti, anche di breve durata, sono inaccettabili per i loro workload critici. Tuttavia, garantire tale continuità può risultare complesso, considerando che la gestione delle macchine virtuali (VM) con sistema operativo Windows Server è per certi aspetti complessa, soprattutto in relazione all’applicazione di patch di sicurezza e aggiornamenti. Con l’avvento della funzionalità di hotpatching da parte di Microsoft, si è aperto un nuovo capitolo nella gestione delle VM: un approccio più efficiente che minimizza le interruzioni, garantendo server sempre aggiornati e protetti. Questo articolo esamina le caratteristiche e i vantaggi di questa innovativa soluzione.

Cos’è l’Hotpatching?

L’hotpatching, introdotto da Microsoft, è una tecnica avanzata che consente di aggiornare sistemi operativi Windows Server senza la necessità di effettuare un riavvio. Immagina di poter “cambiare le gomme” della tua auto in movimento senza doverla fermare. Questa è la “magia” dell’hotpatching.

Dove è possibile utilizzare l’Hotpatching

La funzionalità Hotpatch è supportata sul sistema operativo “Windows Server 2022 Datacenter: Azure Edition”, che è possibile utilizzarlo per le VM che girano in ambiente Azure ed Azure Stack HCI.

Le immagini Azure disponibili per questa funzionalità sono:

  • Windows Server 2022 Datacenter: Azure Edition Hotpatch (Desktop Experience)
  • Windows Server 2022 Datacenter: Azure Edition Core

Da notare che Hotpatch è attivato di default sulle immagini Server Core e che Microsoft ha recentemente esteso il supporto all’hotpatching per includere Windows Server con Desktop Experience, ampliando ulteriormente il campo di applicazione di questa funzionalità.

Aggiornamenti supportati

Hotpatch copre gli aggiornamenti di sicurezza di Windows e mantiene un allineamento con il contenuto degli aggiornamenti di sicurezza emessi nel canale di aggiornamento Windows regolare (non hotpatch).

Ci sono alcune considerazioni importanti per l’esecuzione di una VM Windows Server Azure Edition con hotpatch abilitato:

  • i riavvii sono ancora necessari per installare gli aggiornamenti che non sono inclusi nel programma hotpatch;
  • i riavvii sono anche richiesti periodicamente dopo che è stata installata una nuova baseline;
  • i riavvii mantengono la VM sincronizzata con le patch non di sicurezza incluse nell’ultimo aggiornamento cumulativo.

Le patch attualmente non incluse nel programma hotpatch includono aggiornamenti non di sicurezza rilasciati per Windows, aggiornamenti .NET e aggiornamenti non-Windows (come driver, aggiornamenti firmware, ecc.). Questi tipi di patch potrebbero richiedere un riavvio durante i mesi di Hotpatch.

Benefici dell’Hotpatching

I benefici di questa tecnologia sono molteplici:

  • Migliore sicurezza: con l’hotpatching, le patch di sicurezza vengono applicate in modo rapido ed efficiente. Questo riduce la finestra di vulnerabilità tra il rilascio di una patch e la sua applicazione, offrendo una protezione rapida contro le minacce.
  • Minimizzazione del downtime: uno dei principali vantaggi dell’hotpatching è la capacità di applicare aggiornamenti senza la necessità di riavviare il server. Ciò significa meno interruzioni e una maggiore disponibilità per le applicazioni e per i servizi.
  • Gestione più flessibile: gli amministratori di sistema hanno la libertà di decidere quando applicare le patch, senza la preoccupazione di dover effettuare una attenta pianificazione per garantire che i processi in esecuzione non vengano interrotti durante l’applicazione degli aggiornamenti.

Come funziona l’Hotpatching

Durante un processo di hotpatching, la patch di sicurezza viene iniettata nel codice in esecuzione del sistema operativo in memoria, aggiornando il sistema mentre è ancora in funzione.

Hotpatch funziona stabilendo prima una baseline con l’attuale Aggiornamento Cumulativo per Windows Server. Periodicamente (con cadenza trimestrale), la baseline viene aggiornata con l’ultimo Aggiornamento Cumulativo, dopodiché vengono rilasciati hotpatch per i due mesi successivi. Ad esempio, se a gennaio viene rilasciato un Aggiornamento Cumulativo, febbraio e marzo vedrebbero il rilascio di hotpatch. Per il calendario di rilascio degli hotpatch, è possibile consulta le note di rilascio per Hotpatch in Azure Automanage per Windows Server 2022.

Gli hotpatch contengono aggiornamenti che non richiedono un riavvio. Poiché Hotpatch corregge il codice in memoria dei processi in esecuzione senza la necessità di riavviare il processo, le applicazioni ospitate sul sistema operativo non sono influenzate dal processo di patching. Questa azione è separata da eventuali implicazioni sulle prestazioni e sulle funzionalità della patch stessa.

L’immagine seguente riporta un esempio di un programma annuale di rilascio degli aggiornamenti (inclusi esempi di baseline non pianificate a causa di correzioni zero-day).

Figura 1 – Schema di una programmazione annuale di esempio per il rilascio degli aggiornamenti Hotpatch

Ci sono due tipi di baseline:

  • Baseline Pianificate: vengono rilasciate con una cadenza regolare, con rilasci di hotpatch nel mezzo. Le Baseline Pianificate includono tutti gli aggiornamenti in un Aggiornamento Cumulativo più recente e richiedono un riavvio.
  • Baseline Non Pianificate: vengono rilasciate quando viene rilasciato un aggiornamento importante (come una correzione zero-day) e quel particolare aggiornamento non può essere rilasciato come hotpatch. Quando vengono rilasciate le baseline non pianificate, un rilascio di hotpatch viene sostituito con una baseline non pianificata in quel mese. Anche le Baseline Non Pianificate includono tutti gli aggiornamenti in un Aggiornamento Cumulativo più recente e richiedono un riavvio.

La programmazione riportata nell’immagine di esempio illustra:

  • quattro rilasci di baseline pianificate in un anno solare (cinque in totale nel diagramma) e otto rilasci di hotpatch;
  • due baseline non pianificate che sostituirebbero i rilasci di hotpatch per quei mesi.

Processo di orchestrazione delle patch

Hotpatch è da considerate come un’estensione di Windows Update e gli strumenti di orchestrazione delle patch variano a seconda della piattaforma in uso.

Orchestrazione di Hotpatch in Azure

Le macchine virtuali create in Azure sono abilitate di default per il patching automatico se utilizzata un’immagine supportata di “Windows Server Datacenter: Azure Edition”:

  • le patch classificate come Critiche o di Sicurezza vengono automaticamente scaricate e applicate sulla VM;
  • le patch vengono applicate durante le ore di minore attività considerando il fuso orario della VM;
  • Azure gestisce l’orchestrazione delle patch e le patch vengono applicate seguendo i principi di disponibilità;
  • lo stato di salute della macchina virtuale, determinato attraverso i segnali di salute della piattaforma Azure, viene monitorato per rilevare fallimenti nel patching.

Orchestrazione di Hotpatch in Azure Stack HCI

Gli aggiornamenti Hotpatch per le macchine virtuali attive in ambiente Azure Stack HCI possono essere orchestrati utilizzando:

  • Group Policy per configurare le impostazioni del client Windows Update;
  • le impostazioni del client Windows Update oppure SCONFIG per Server Core;
  • una soluzione di gestione delle patch di terze parti.

Considerazioni e limitazioni

Tuttavia, come ogni tecnologia, anche l’hotpatching ha le sue sfumature. Non tutte le patch sono adatte per l’hotpatching; alcune potrebbero ancora richiedere un riavvio tradizionale. Inoltre, prima di applicare qualsiasi patch, rimane fondamentale testarla in un ambiente controllato per evitare potenziali problemi.

L’installazione di aggiornamenti Hotpatch non supporta il rollback automatico. Infatti, se una VM riscontra un problema durante o dopo un aggiornamento, risulta necessario disinstallare l’aggiornamento e installare l’ultimo aggiornamento baseline noto come valido. In seguito al rollback sarà necessario riavviare la VM.

Conclusione

L’introduzione dell’hotpatching da parte di Microsoft rappresenta un passo avanti significativo nella gestione delle VM con sistema operativo Windows Server. Con la capacità di applicare patch di sicurezza e aggiornamenti senza interruzioni, gli amministratori possono garantire che i loro server siano protetti e aggiornati in un modo più rapido ed efficace. In un mondo in cui la sicurezza è di primaria importanza e in cui ogni secondo conta, l’hotpatching si posiziona come una soluzione di valore per ogni azienda che utilizza Windows Server in ambiente Azure oppure in ambiente Azure Stack HCI.

Azure IaaS and Azure Stack: announcements and updates (August 2023 – Weeks: 31 and 32)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Networking

Cloud Next-Generation Firewall (NGFW) by Palo Alto Networks – an Azure Native ISV Service

Cloud NGFW by Palo Alto Networks is the first ISV next-generation firewall service natively integrated in Azure. Developed through a collaboration between Microsoft and Palo Alto Networks, this service delivers the cutting-edge security features of Palo Alto Network’s NGFW technology while also offering the simplicity and convenience of cloud-native scaling and management.
NGFWs provide superior network security by offering enhanced capabilities compared to traditional firewalls. These include deep packet inspection, advanced visibility and control features, and the use of AI to improve threat detection and response. The service is now more broadly available in the following 12 regions: US (Central, East, East 2, West, West 3), Australia (East, Southeast), UK (South, West), Canada Central, East Asia and West Europe.

Route Server hub routing preference (preview)

Azure Route Server now supports hub routing preference in public preview. When branch-to-branch is enabled and Route Server learns multiple routes across site-to-site (S2S) VPN, ExpressRoute, and SD-WAN NVAs, for the same on-premises destination route prefix, users can now configure connection preferences to influence Route Server route selection.

Support for new custom error pages in Application Gateway (preview)

In addition to the response codes 403 and 502, the Azure Application Gateway now lets you configure company-branded error pages for more response codes: 400, 405, 408, 500, 503, and 504. You can configure these error pages at a global level to apply to all the listeners on your gateway or individually for each listener. The custom error pages you set are displayed to the clients when the Application Gateway generates these response codes. You can host these error page files at any publicly accessible URLs.

Storage

Azure NetApp Files: SMB Continuous Availability (CA) shares

To enhance resiliency during storage service maintenance operations, SMB volumes used by Citrix App Layering, FSLogix user profile containers and Microsoft SQL Server on Microsoft Windows Server can be enabled with Continuous Availability. Continuous Availability enables SMB Transparent Failover to eliminate disruptions as a result of service maintenance events and improves reliability and user experience. This feature is now Generally Available. It can be enabled on new or existing SMB volumes.

Zone Redundant Storage for Azure Disks is now available in East Asia

Zone Redundant Storage (ZRS) for Azure Disk Storage is now generally available on Azure Premium SSDs and Standard SSDs in East Asia region.

Azure Blob Storage Cold Tier

Azure Blob Storage Cold Tier is now generally available. It is a new online access tier that is the most cost-effective Azure Blob offering for storing infrequently accessed data with long-term retention requirements, while providing instant access. Azure Blob Storage is optimized for storing massive amounts of unstructured data. With blob access tiers, you can store your data most cost-effectively based on how frequently it will be accessed and how long it will be retained. The pricing of the cold tier storage option lies between the cool and archive tiers, and it follows a 90-day early deletion policy. You can seamlessly utilize the cold tier in the same way as the hot and cool tiers, through REST API, SDKs, tools, and lifecycle management policies.

Azure Premium SSD v2 Disk Storage is available in more regions

Azure Premium SSD v2 Disk Storage is now available in Brazil South, East Asia and Central India regions. This next-generation storage solution offers advanced general-purpose block storage with the best price performance, delivering sub-millisecond disk latencies for demanding IO-intensive workloads at a low cost. It is well-suited for a wide range of enterprise production workloads, including SQL Server, Oracle, MariaDB, SAP, Cassandra, MongoDB, big data analytics, gaming on virtual machines, and stateful containers.

Azure Storage Mover support for SMB and Azure Files (preview)

Azure Storage Mover can now migrate your SMB shares to Azure file shares. Storage Mover is a fully managed migration service that enables you to migrate on-premises files and folders to Azure Storage while minimizing downtime for your workload. Besides the existing general available capability to migrate from an on-premises NFS share to an Azure blob container, Storage Mover will support many additional source and target combinations in the near future.

Azure Management services: le novità di luglio 2023

Microsoft annuncia in modo costante novità riguardanti gli Azure management services e come di consueto viene rilasciato questo riepilogo mensile. L’obiettivo è di fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli:

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Azure Monitor Agent Health experience (peview)

L’Agente di Azure Monitor (AMA) è responsabile della raccolta dei dati di monitoraggio dal sistema operativo guest delle macchine virtuali, sia in ambiente Azure sia in ambienti ibridi, i quali vengono poi trasmessi ad Azure Monitor. Grazie all’esperienza Azure Monitor Agent Health, è adesso possibile monitorare agevolmente lo stato di salute degli agenti su vasta scala, sia su Azure, sia in locale (on-premise) o su altre infrastrutture cloud.

Migliorato il controllo RBAC a livello di tabella in Azure Monitor Logs

Azure Monitor Logs offre funzionalità avanzate di gestione degli accessi basati sul ruolo (RBAC) per consentire una gestione sicura dei log sensibili in ambienti complessi. L’accesso a livello di tabella permette di consentire la lettura dei dati solo a un gruppo specifico di persone, limitando l’accesso solo a un insieme selezionato di tabelle. Questo nuovo metodo opera assegnando permessi alla sotto-risorsa della tabella, consentendo un RBAC granulare persino per le tabelle di log personalizzate e garantendo l’utilizzo dei noti strumenti standard di Azure RBAC.

Eventi da Azure Event Hubs a Azure Monitor Logs

Azure Event Hubs offre un modo semplice e potente per far confluire dati nell’ambiente di monitoraggio di Azure. Grazie alla nuova funzionalità, puoi ora inviare direttamente gli eventi provenienti da un Event Hub nel workspace di Log Analytics. Azure Event Hubs è una piattaforma di streaming di big data che permette di raccogliere eventi da diverse fonti, pronti per essere processati da vari servizi Azure e da altre piattaforme esterne. Questa capacità di ingerire dati è particolarmente vantaggiosa per chi già utilizza meccanismi di messaggistica in coda e ha interesse a trasferire i dati in un workspace di Log Analytics, in Sentinel, oppure a instradarli verso più destinazioni.

Supporto per il Pod Sandboxing di Azure Monitor in Container insights

Container Insights ora supporta il monitoraggio dei container “Pod Sandboxing”. Il concetto di Pod Sandboxing rappresenta un’efficace strategia per proteggersi da situazioni di “Container Breakout”, in cui un utente, sia malintenzionato sia legittimo, riesce a superare l’isolamento del container per accedere al filesystem, ai processi, alle interfacce di rete e ad altre risorse sulla macchina host. In passato, l’isolamento poteva essere ottenuto tramite l’uso di pool di nodi, ma questo approccio generava un notevole sovraccarico operativo e richiedeva risorse aggiuntive, aumentando i costi complessivi. Grazie all’adozione del Pod Sandboxing, questo problema viene affrontato mediante un’isolamento dei carichi di lavoro a livello di kernel, fornendo una soluzione più efficiente e sicura.

L’agente di Azure Monitor supporta VM Insights nel Cloud Governativo (preview)

Nell’ambito dell’anteprima pubblica, l’Agente di Azure Monitor ora supporta VM Insights all’interno del Cloud Governativo Azure.

Configure

Update management

Hotpatch disponibile sulle VM Windows Server su Azure con la modalità di installazione Desktop Experience

Hotpatch è ora disponibile per le VM Windows Server Azure Edition con la modalità di installazione Desktop Experience, utilizzando l’immagine appena rilasciata. Hotpatch è una funzionalità che consente di applicare patch e installare aggiornamenti di sicurezza del sistema operativo sulle macchine virtuali Windows Server Azure Edition su Azure senza la necessità di effettuare un riavvio.
Era precedentemente disponibile per la modalità di installazione Server Core, ma ora, le VM Windows Server Azure Edition installate con la modalità di installazione Desktop Experience non dovranno più riavviarsi ogni mese per gli aggiornamenti di sicurezza, fornendo:

  • minore impatto sul carico di lavoro con meno riavvii;
  • distribuzione più rapida degli aggiornamenti poiché i pacchetti sono più piccoli, si installano più velocemente e hanno una più semplice orchestrazione delle patch con Azure Update Manager;
  • maggiore protezione, poiché i pacchetti di aggiornamento Hotpatch sono limitati agli aggiornamenti di sicurezza di Windows che si installano più velocemente senza riavvii.

Govern

Azure Cost Management

Aggiornamenti relativi a Microsoft Cost Management

Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Microsoft Cost Management, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.

Azure Arc

Distribuzione degli aggiornamenti derivanti dall’ESU sui server abilitati ad Azure Arc

In occasione di Inspire, Microsoft ha annunciato gli Extended Security Updates (ESU) abilitati da Azure Arc. Con Azure Arc, le organizzazioni saranno in grado di acquistare e distribuire senza problemi gli Extended Security Updates (ESU) in ambienti on-premise o multicloud, direttamente dal portale Azure. Oltre a fornire una gestione centralizzata delle patch di sicurezza, le ESU abilitate da Azure Arc offrono una maggiore flessibilità grazie a un modello di abbonamento pay-as-you-go, rispetto alle classiche ESU offerte attraverso il Volume Licensing Center che vengono acquistate annualmente. Per saperne di più vi invito a fare riferimento all’articolo dedicato.

Secure

Microsoft Defender for Cloud

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud

Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

  • gestione degli aggiornamenti automatici di Defender for Endpoint per Linux;
  • scansione agentless dei secret delle macchine virtuali in Defender per server P2 e DCSPM;
  • nuovo avviso di sicurezza in Defender for Servers plan 2: rilevamento di potenziali attacchi che sfruttano le estensioni del driver GPU di Azure VM;
  • supporto per la disabilitazione dei rilevamenti di vulnerabilità specifiche;
  • disponibilità della Data Aware Security Posture.

Protect

Azure Backup

Punti di ripristino delle macchine virtuali consistenti ai crash (preview)

Microsoft ha annunciato il supporto, in anteprima pubblica, della modalità crash consistent (su più dischi) per i punti di ripristino delle macchine virtuali. Si tratta di una soluzione (senza agent) per memorizzare la configurazione della macchina virtuale e delle snapshot, coerenti in ordine di scrittura, ad un momento specifico per tutti i dischi managed collegati alla macchina virtuale.

Migrate

Azure Migrate

Aggiornamento dei server Windows in fase di fine supporto (EOS)

Azure Migrate offre un’anteprima della funzionalità che consente di effettuare l’upgrade senza interruzioni dei sistemi Windows Server legacy. Durante il processo di migrazione verso Azure, viene introdotta la possibilità di eseguire un’upgrade dei server legacy, riducendo al minimo gli sforzi, i tempi di inattività e i rischi associati. Questo viene realizzato creando una copia del server nell’ambiente Azure e successivamente eseguendo l’upgrade lì. Grazie a questo approccio, l’impatto sul server originale viene ridotto al minimo, garantendo una transizione sicura ed efficiente. Per ulteriori dettagli e informazioni approfondite, vi invito a fare riferimento all’articolo dedicato.

Nuovi rilasci e funzionalità di Azure Migrate

Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (July 2023 – Weeks: 29 and 30)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure Boost (preview)

Azure Boost is one of Microsoft Azure’s latest infrastructure innovations. Azure Boost is a new system that offloads virtualization processes traditionally performed by the hypervisor and host OS onto purpose-built hardware and software, such as networking, storage, and host management. By separating hypervisor and host OS functions from the host infrastructure, Azure Boost enables greater network and storage performance at scale, improves security by adding another layer of logical isolation, and reduces the maintenance impact for future Azure software and hardware upgrades.
This innovation enables Azure customers participating in the preview to achieve a 200 Gbps networking throughput and a leading remote storage throughput up to 10 GBps and 400K IOPS, enabling the fastest storage workloads available today.
Azure Boost allows preview users to achieve this performance through access to experimental SKUs. This preview will be important for many customers and partners to integrate critical components of Azure Boost into their current VM solutions, ensuring smooth operation on this new system in the future.
Azure Boost has been providing benefits to millions of existing Azure VMs in production today, such as enabling the exceptional remote storage performance of the Ebsv5 VM series and networking throughput and latency improvements for the entire Ev5 and Dv5 VM series. Azure Boost will continue to innovate and provide benefits for Azure infrastructure users going forward.

The Classic VMs retirement deadline is now September 6, 2023

The deadline to migrate your Iaas VMs from Azure Service Manager to Azure Resource Manager is now September 6, 2023. To avoid service disruption, we recommend that you complete your migration as soon as possible. Microsoft will not provides any additional extenstions after September 6, 2023.

Networking

Updated default TLS policy for Azure Application Gateway

Microsoft has updated the default TLS configuration for new deployments of the Application Gateway to Predefined AppGwSslPolicy20220101 policy to improve the default security. This recently introduced, generally available, predefined policy ensures better security with minimum TLS version 1.2 (up to TLS v1.3) and stronger cipher suites.

Always Serve for Azure Traffic Manager

Always Serve for Azure Traffic Manager (ATM) is now generally available. You can disable endpoint health checks from an ATM profile and always serve traffic to that given endpoint. You can also now choose to use 3rd party health check tools to determine endpoint health, and ATM native health checks can be disabled, allowing flexible health check setups.

Azure Application Gateway for Containers (preview)

Azure Application Gateway for Containers is a new SKU to the Application Gateway family. Application Gateway for Containers is the next evolution of Application Gateway + Application Gateway Ingress Controller (AGIC), providing application (layer 7) load balancing and dynamic traffic management capabilities for workloads running in a Kubernetes cluster.

Application Gateway for Containers introduces the following improvements over AGIC:

  • Performance: Achieve near-to-real-time convergence times to reflect add/remove of pods, routes, probes, and other load balancing configuration within Kubernetes yaml configuration.
  • Scale: push boundaries past current AGIC limits, exceeding 1400 backend pods and 100 listeners with Application Gateway for Containers.
  • Deployment: enable a familiar deployment of ARM resources via ARM, PowerShell, CLI, Bicep, and Terraform or define all configuration within Kubernetes and have Application Gateway for Containers manage the rest in Azure.
  • Gateway API support: the next evolution in defining Kubernetes service networking through expressive, extensible, and role-oriented interfaces.
  • Weighted / Split traffic distribution: enable blue-green deployment strategies and active / active or active / passive routing.

Network observability add-on for AKS (preview)

The new network observability add-on for AKS, now in public preview, provides complete observability into the network health and connectivity of your AKS cluster.

Key benefits:

  • Get access to cluster level network metrics like packet drops, connections stats and more.
  • (GA) Access to pod-level metrics and network debuggability features.
  • Support for all Azure CNIs – AzureCNI and AzureCNI (Powered by Cilium).
  • Support for all AKS node types – Linux and Windows.
  • Easy deployment using native Azure tools – AKS CLI, ARM templates, PowerShell, etc.
  • Seamless integration with the Azure managed Prometheus and Azure-managed Grafana offerings.

Azure Stack

General Availability of Remote Support for Azure Stack systems

Support requests for Azure Stack systems have always been managed through the Azure Portal and covered under your Azure support plan. The next big step is the remote support for all Azure Stack systems.

With remote support, you can temporarily grant Microsoft Support engineers constrained access to your on-premises edge devices to gather logs and fix issues. By default, remote support is off. It’s easy to turn on and off, when needed. After creating an Azure support request, it’s recommended to grant remote support access to enable Microsoft Support to resolve the issue as soon as possible. This takes just a few minutes in only a few steps. Once the support request is closed, you can just as easily turn off remote support access

Remote support for Azure Stack systems provides benefits to both customers and Microsoft Support:

  • Improved time to resolution: eliminate the back-and-forth hassle of scheduling a call and gathering logs yourself.
  • Safe and secure: you can grant just-in-time (JIT) authenticated access and define the access level and duration for each incident. You can revoke access anytime.
  • Audited troubleshooting: Microsoft Support can only run Just Enough Administration (JEA) approved commands and everything they do is recorded for you to audit.
  • Free: Remote support is included in your Azure subscription at no additional cost. You can get remote support for both unregistered and registered Azure Stack HCI systems.

Version availability:

  • For Azure Stack Hub, remote support is available for version 2108 and later.
  • For Azure Stack Edge, remote support is available for version 2110 and later.
  • For Azure Stack HCI, remote support is available for version 22H2 and later.

Azure al tuo fianco: nuove soluzioni per la fine del supporto di Windows Server 2012/R2

Nell’era dell’Intelligenza Artificiale e dei servizi nativi per il cloud, le organizzazioni continuano a fare affidamento su Windows Server come piattaforma sicura e affidabile per i loro workload mission-critical. Tuttavia, è importante ricordare che il supporto per Windows Server 2012/R2 terminerà il 10 ottobre 2023. Dopo tale data, i sistemi Windows Server 2012/R2 diventeranno vulnerabili se non si intraprenderanno dei provvedimenti, poiché non riceveranno più regolarmente gli aggiornamenti di sicurezza. Recentemente, Microsoft ha annunciato che Azure offre nuove soluzioni per gestire al meglio la fine del supporto di Windows Server 2012/R2. Queste soluzioni saranno esaminate nel dettaglio in questo articolo, dopo un breve riepilogo per definire il contesto.

L’impatto del termine del supporto per Windows Server 2012 R2: cosa significa per le aziende?

Microsoft ha annunciato la fine del supporto per Windows Server 2012 e 2012 R2, fissata per il 10 ottobre 2023. Questo evento rappresenta un punto cruciale per molte organizzazioni che si affidano a questi server per accedere alle applicazioni e ai dati. Ma cosa significa esattamente la fine del supporto (EOL) e quali sono le implicazioni per le aziende?

Comprendere la fine del supporto

Microsoft ha una politica di ciclo di vita che fornisce supporto per i suoi prodotti, tra cui Windows Server 2012 e 2012 R2. La fine del supporto si riferisce al momento in cui un prodotto non è più supportato da Microsoft, il che significa che non verranno più forniti aggiornamenti di sicurezza, patch o supporto tecnico.

Perché le aziende dovrebbero preoccuparsi

Senza aggiornamenti e patch regolari, le aziende che utilizzano Windows Server 2012 e 2012 R2 sono esposte a vulnerabilità di sicurezza, come attacchi ransomware e violazioni dei dati. Inoltre, l’utilizzo di un prodotto non supportato come Windows Server 2012 o 2012 R2 può portare a problemi di non conformità. Infine, il software obsoleto può causare problemi di compatibilità con applicazioni e hardware più recenti, ostacolando l’efficienza e la produttività.

Un’opportunità per rivedere la strategia IT

Le aziende dovrebbero utilizzare l’evento di EOL come un’opportunità per rivedere la loro strategia IT e determinare gli obiettivi aziendali desiderati dalla loro tecnologia. In questo modo, possono allineare la tecnologia con i loro obiettivi a lungo termine, sfruttando le ultime soluzioni cloud e migliorando l’efficienza operativa.

Le strategie che è possibile adottare per affrontare questa situazione, evitando così di esporre la propria infrastruttura IT a problematiche di security, sono già state affrontate nell’articolo: Come la fine del supporto di Windows Server 2012 può essere una grande opportunità per i CTO.

A questo proposito, Microsoft ha introdotto due nuove opzioni, fornite tramite Azure, per agevolare la gestione di questa situazione:

  • aggiornamento dei server con Azure Migrate;
  • distribuzione sui server abilitati ad Azure Arc degli aggiornamenti derivanti dall’ESU (Extended Security Updates).

Nei paragrafi seguenti vengono descritte le caratteristiche di queste nuove opzioni.

Aggiornamento dei server Windows in fase di fine supporto (EOS) con Azure Migrate

Azure Migrate è un servizio offerto da Microsoft Azure che consente di valutare e migrare le risorse locali, come macchine virtuali, applicazioni e database, verso l’infrastruttura cloud di Azure. Recentemente, Azure Migrate ha introdotto il supporto per gli aggiornamenti in-place di Windows Server 2012 e versioni successive, durante il passaggio ad Azure. Questo permette alle organizzazioni di spostare le loro applicazioni e i loro database legacy su un sistema operativo completamente supportato, compatibile e conforme come Windows Server 2016, 2019 oppure 2022.

Vantaggi chiave della funzionalità di aggiornamento del sistema operativo di Azure Migrate

Mitigazione del rischio: Azure Migrate crea una replica del server originale in Azure, permettendo l’aggiornamento del sistema operativo sulla replica mentre il server di origine rimane intatto. In caso di problemi, i clienti possono facilmente tornare al sistema operativo originale.

Test di compatibilità: Azure Migrate offre la possibilità di eseguire una migrazione di prova in un ambiente isolato in Azure. Questo è particolarmente utile per gli aggiornamenti del sistema operativo, permettendo ai clienti di valutare la compatibilità del loro sistema operativo e delle applicazioni aggiornate senza impattare la produzione. In questo modo è possibile identificare e risolvere eventuali problemi in anticipo.

Riduzione dello sforzo e del downtime: integrando gli aggiornamenti del sistema operativo con la migrazione al cloud, i clienti possono risparmiare significativamente tempo e sforzo. Con un solo dato aggiuntivo, la versione del sistema operativo di destinazione, Azure Migrate si occupa del resto, semplificando il processo. Questa integrazione riduce ulteriormente il downtime del server e delle applicazioni su di esso ospitate, aumentando l’efficienza.

Nessuna licenza Windows separata: con l’aggiornamento del sistema operativo di Azure Migrate, non è necessario acquistare separatamente una licenza del sistema operativo per effettuare l’aggiornamento. Che il cliente utilizzi Azure Hybrid Benefits (AHB) o PAYG, risulta coperto quando migrerà a un VM Azure utilizzando Azure Migrate.

Aggiornamento dei server su larga scala: Azure Migrate supporta aggiornamenti del sistema operativo dei server su larga scala, permettendo ai clienti di aggiornare fino a 500 server in parallelo durante la migrazione ad Azure. Utilizzando il portale Azure, sarà possibile selezionare fino a 10 VMs alla volta per configurare le repliche. Per replicare più VMs è possibile utilizzare il portale e aggiungere le VMs da replicare in più lotti di 10 VMs, oppure utilizzare l’interfaccia PowerShell di Azure Migrate per configurare la replica.

Versioni del sistema operativo supportate

Azure Migrate è in grado di gestire:

  • Windows Server 2012: supporta l’aggiornamento a Windows Server 2016;
  • Windows Server 2012 R2: supporta l’aggiornamento a Windows Server 2016, Windows Server 2019;
  • Windows Server 2016: supporta l’aggiornamento a Windows Server 2019, Windows Server 2022;
  • Windows Server 2019: supporta l’aggiornamento a Windows Server 2022.

Distribuzione degli aggiornamenti derivanti dall’ESU sui server abilitati ad Azure Arc

Azure Arc è un insieme di soluzioni Microsoft che consentono alle aziende di gestire, governare e proteggere le risorse in vari ambienti, tra cui on-premise, edge e multi-cloud, estendendo le capacità di gestione di Azure a qualsiasi infrastruttura.

Per le organizzazioni che non sono in grado di modernizzare oppure migrare prima della data di fine del supporto di Windows Server 2012/R2, Microsoft ha annunciato gli Extended Security Updates (ESU) abilitati da Azure Arc. Con Azure Arc, le organizzazioni saranno in grado di acquistare e distribuire senza problemi gli Extended Security Updates (ESU) in ambienti on-premise o multicloud, direttamente dal portale Azure.

Per ottenere gli Extended Security Updates (ESU) per Windows Server 2012/R2 e SQL Server 2012 abilitati da Azure Arc, è necessario seguire i passaggi seguenti:

  • Preparazione dell’ambiente Azure Arc: innanzitutto, è necessario un ambiente Azure e un’infrastruttura Azure Arc funzionante. Azure Arc può essere installato su qualsiasi server che esegue Windows Server 2012/R2 oppure SQL Server 2012, a condizione che vengano rispettati i requisiti di connettività.
  • Registrazione del server in Azure Arc: una volta predisposto l’ambiente Azure Arc, è necessario registrare i server Windows o i sistemi SQL Server in Azure Arc. Questo processo consente ai sistemi di diventare risorse gestite in Azure, rendendoli idonei per gli ESU.
  • Acquisto degli ESU: una volta che i server sono registrati in Azure Arc, è possibile acquistare gli ESU, per ogni server che desideri proteggere, attraverso Azure.
  • Attivazione degli ESU: dopo l’acquisto degli ESU, è necessario attivarli sui server. Questo processo comporta l’installazione di una chiave di licenza e il download degli aggiornamenti di sicurezza da Windows Update o dall’infrastruttura locale di distribuzione degli aggiornamenti.
  • Installazione degli aggiornamenti: infine, una volta attivati gli ESU, è possibile effettuare l’installazione degli aggiornamenti di sicurezza sui server. Questo processo può essere gestito manualmente o automatizzandolo attraverso strumenti di gestione degli aggiornamenti.

NOTA: gli ESU forniscono solo aggiornamenti di sicurezza critici e importanti, non includono nuove funzionalità o miglioramenti delle prestazioni. Inoltre, gli ESU sono disponibili solo per un periodo limitato dopo la fine del supporto di Microsoft. Pertanto, si consiglia di prendere in considerazione la migrazione a versioni più recenti dei server per avere accesso a tutte le funzionalità, oltre agli aggiornamenti di sicurezza.

Conclusioni

Quest’anno, Microsoft celebra il 30° anniversario di Windows Server, un traguardo raggiunto grazie all’incessante innovazione e al sostegno dei clienti. Tuttavia, i clienti si devono impegnare a mantenere aggiornati i loro sistemi Windows Server prossimi alla fine del supporto. In particolare, la fine del supporto per Windows Server 2012 e 2012 R2 rappresenta un rischio significativo per le aziende, ma presenta anche un’opportunità per rivedere e migliorare la loro strategia IT. Identificando gli obiettivi aziendali desiderati, impegnandosi nella pianificazione strategica e, se necessario, utilizzando queste nuove soluzioni offerte da Azure, le aziende possono garantire una transizione fluida e di successo, ottimizzando la loro infrastruttura IT per raggiungere i loro obiettivi a lungo termine.

Azure IaaS and Azure Stack: announcements and updates (July 2023 – Weeks: 27 and 28)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Latest generation burstable VMs – Bsv2, Basv2, and Bpsv2 (preview)

The Bsv2, Basv2, and Bpsv2 series virtual machines are the latest generation of Azure burstable general purpose VMs, providing a baseline level of CPU utilization and capable of expanding to higher CPU utilization as workload volume increases. This is ideal for many applications such as development and test servers, low traffic web servers, small databases, micro services, servers for proof-of-concepts, build servers, and code repositories. These new B series v2 virtual machines, compared to B series v1, offer up to >15% better price-performance, up to 5X higher network bandwidth with accelerated networking and 10X higher remote storage throughput.

Azure Dedicated Host – Resize (preview)

With Azure Dedicated Host’s new ‘resize’ feature, you can easily move your existing dedicated host to a new Azure Dedicated Host SKU (e.g., from Dsv3-Type1 to Dsv3-Type4). This new ‘resize’ feature minimizes the impact and effort involved in configuring VMs when you want to upgrade your underlying dedicated host system.

Networking

Azure’s cross-region Load Balancer is now generally available

Azure Load Balancer’s Global tier is a cloud-native global network load balancing solution. With cross-region Load Balancer, you can distribute traffic across multiple Azure regions with ultra-low latency and high performance. Azure cross-region Load Balancer provides customers a static globally anycast IP address. Through this global IP address, you can easily add or remove regional deployments without interruption.

ExpressRoute private peering support for BGP communities

ExpressRoute private peering now supports the use of custom Border Gateway Protocol (BGP) communities with virtual networks connected to your ExpressRoute circuits. Once you configure a custom BGP community for your virtual network, you can view the regional and custom community values on outbound traffic sent over ExpressRoute when originating from that virtual network. These values can be used when applying filters or specifying routing preferences for traffic sent to your on-premises from your Azure environment.

Azure Virtual Network encryption

With Virtual Network encryption, customers can enable encryption of traffic between Virtual Machines and Virtual Machines Scale Sets within the same virtual network and between regionally and globally peered virtual networks. This new feature enhances the existing encryption in transit capabilities in Azure.

Sensitive Data Protection for Application Gateway Web Application Firewall logs (preview)

Azure’s regional Web Application Firewall (WAF) running on Application Gateway now supports sensitive data protection through log scrubbing. When a request matches the criteria of a rule, and triggers a WAF action, that event is captured within the WAF logs. WAF logs are stored as plain text for debuggability, and any matching patterns with sensitive customer data like IP address, passwords, and other personally identifiable information could potentially end up in logs as plain text. To help safeguard this sensitive data, you can now create log scrubbing rules that replace the sensitive data with “******”.

Storage

Azure Managed Lustre now generally available

Azure Managed Lustre is a managed file system, designed specifically for HPC and AI workloads on a pay-as-you-go model. It delivers high-performance distributed parallel file system with hundreds of GBps storage bandwidth and solid-state disk latency. The system fully integrates with Azure services such as Azure HPC Compute, Azure Kubernetes Service, and Azure Machine Learning.

Key benefits include:

  • a customizable Lustre file system that can be deployed on demand in minutes;
  • the high throughput needed for computationally intensive workloads;
  • easy integration with other Azure services;
  • managed pay-as-you-go model that allows organizations to save costs on maintenance and infrastructure setup.

Azure Premium SSD v2 Disk Storage is now available in more regions

Azure Premium SSD v2 Disk Storage is now available in Switzerland North, Japan East, Korea Central, South Africa North, Sweden Central, Canada Central and Central US regions. This next-generation storage solution offers advanced general-purpose block storage with the best price performance, delivering sub-millisecond disk latencies for demanding IO-intensive workloads at a low cost. It is well-suited for a wide range of enterprise production workloads, including SQL Server, Oracle, MariaDB, SAP, Cassandra, MongoDB, big data analytics, gaming on virtual machines, and stateful containers.

Microsoft Azure e Nutanix: una partnership strategica per il cloud ibrido

Negli ultimi anni, l’adozione del cloud computing ha registrato una crescita esponenziale, rivoluzionando il modo in cui le organizzazioni gestiscono le proprie risorse IT. Uno dei concetti chiave che ha guadagnato popolarità è il “cloud ibrido”, un modello operativo che combina il meglio dei servizi del cloud pubblico e privato in un’unica soluzione flessibile. Per offrire nuove soluzioni di cloud ibrido che combinano l’agilità delle applicazioni con una gestione unificata tra il cloud privato ed Azure, Microsoft ha stretto una partnership strategica con Nutanix, leader per le infrastrutture iperconvergenti. Questo articolo esplorerà i dettagli chiave di questa partnership strategica, illustrando come le soluzioni di cloud ibrido offerte da Azure e Nutanix possano supportare le aziende nel raggiungimento dei propri obiettivi di trasformazione digitale, garantendo al contempo sicurezza, affidabilità ed efficienza, indispensabili per il successo nell’era del cloud.

Riconoscendo la necessità di offrire soluzioni che si adattino alle esigenze specifiche dei clienti, Microsoft Azure è stato progettato fin dall’inizio con l’obiettivo di ridurre i costi e la complessità, migliorando al contempo l’affidabilità e l’efficienza. Questa visione si è concretizzata in una piattaforma completa che offre scelta e flessibilità per il proprio ambiente IT.

Figura 1 – Panoramica delle possibilità offerte da Microsoft Azure in termini di infrastruttura

Il passaggio al cloud non è sempre un processo lineare ed esistono situazioni in cui le piattaforme on-premise esistenti continuano a svolgere un ruolo vitale. Azure permette ai clienti di adottare il cloud secondo il proprio ritmo, assicurando la continuità nell’utilizzo delle piattaforme locali già conosciute. Questa opportunità è da tempo disponibile per VMware ed ora è disponibile anche per Nutanix.

Cosa sono i Nutanix Cloud Clusters (NC2)?

I Nutanix Cloud Cluster (NC2) sono istanze bare metal che si trovano fisicamente all’interno di cloud pubblici, tra cui Microsoft Azure ed AWS. NC2 esegue il core dello stack Nutanix HCI, che include i seguenti componenti principali:

  • Nutanix Acropolis Hypervisor (AHV): l’hypervisor basato su Kernel-based Virtual Machine (KVM) open source;
  • Nutanix Acropolis Operating System (AOS): il sistema operativo che astrae all’utente finale i componenti Nutanix, come KVM, virsh, qemu, libvirt e iSCSI, e che gestisce l’intera configurazione di backend;
  • Prism: la soluzione che fornisce agli amministratori un accesso centralizzato per configurare, monitorare e gestire in modo semplice gli ambienti Nutanix.

Figura 2 – Panoramica di Nutanix Cloud Cluster su Azure

Il cluster Nutanix su Azure sarà composto da almeno tre nodi. Le SKU disponibili per NC2 su Azure, con i dettagli di core, RAM, storage e rete sono disponibili a questo indirizzo.

La connessione dell’ambiente on-premise verso Azure è supportata sia tramite Express Route, sia tramite VPN Gateway.

Si riporta un esempio di implementazione di NC2, dal punto di vista network, in Azure:

Figura 3 – Esempio di implementazione di NC2 in Azure

Principali scenari di adozione

L’adozione della soluzione Nutanix in Azure può avvenire per far fronte ai seguenti scenari:

  • disaster recovery e business continuity;
  • necessità di una espansione del proprio datacenter;
  • necessità di migrare in modo semplice e veloce i prori workload Nutanix in Azure

Benefici di questa soluzione

Si riportano i principali benefici che si possono ottenere nell’adottare questa soluzione.

  • Adozione di una strategia di distribuzione ibrida coerente: è possibile stabilire una strategia di distribuzione ibrida coerente, combinando le risorse on-premises con i cluster Nutanix in Azure. Questo consente di operare in modo omogeneo e senza diversità tra i due ambienti.
  • Facile attivazione e scalabilità: con Azure, si ha la possibilità di attivare e scalare facilmente le applicazioni e i servizi senza incontrare particolari limitazioni. L’infrastruttura globale di Azure fornisce infatti la scalabilità e la flessibilità necessarie per soddisfare le mutevoli esigenze aziendali.
  • Ottimizzazione degli investimenti fatti: risulta possibile continuare a sfruttare gli investimenti fatti in termini di competenze e di utilizzo degli strumenti Nutanix.
  • Modernizzazione attraverso le potenzialità di Azure: con Azure, è possibile modernizzare l’architettura attraverso l’integrazione con servizi innovativi e all’avanguardia. Infatti, una volta che i clienti attivano il loro ambiente Nutanix, possono beneficiare di un’ulteriore integrazione con Azure, consentendo agli sviluppatori di applicazioni di accedere all’ecosistema completo dei servizi offerti da Azure.

Modello di costo

I clienti devono sostenere i costi per l’acquisto del software Nutanix e devono riconoscere a Microsoft il costo per l’utilizzo delle risorse cloud. Il software Nutanix sui cluster può essere licenziato in diversi modi:

  • Licenze BYO (Bring Your Own): questo tipo di licenza consente ai clienti di utilizzare le proprie licenze Nutanix già in loro possesso o che stanno acquistando. In questo modo, i clienti possono trasferire le loro licenze on-premises su NC2. È importante notare che la licenza Nutanix AOS deve essere di tipo Pro o Ultimate, poiché la licenza AOS Starter non può essere utilizzata con NC2.
  • PAYG (Pay-As-You-Go): questo modello di licenza prevede pagamenti orari in base al numero di core utilizzati o all’utilizzo di SSD. I clienti pagano solo per le risorse effettivamente utilizzate durante il tempo in cui il cluster è attivo.
  • Cloud Commit: questo modello richiede un impegno minimo da parte del cliente per un determinato periodo di tempo. I clienti si impegnano a utilizzare le risorse Nutanix su NC2 per un periodo specifico e beneficiano di tariffe preferenziali in base a tale impegno.

Opzioni di supporto

Microsoft offre il supporto per l’infrastruttura bare metal dei NC2 su Azure. Per richiedere assistenza è sufficiente aprire una richiesta specifica direttamente dal portale Azure. Nutanix, invece, fornisce il supporto per il software Nutanix di NC2 su Azure. Tale livello di supporto è denominato Production Support per NC2.

Conclusioni

Grazie alla collaborazione tra Microsoft e Nutanix, questa soluzione offre ai clienti che già dispongono di un ambiente Nutanix on-premises la possibilità di sfruttare le stesse funzionalità anche nel cloud pubblico di Microsoft, consentendo inoltre di accedere alla vasta gamma di servizi offerti da Azure. Questa soluzione permette di adottare un modello operativo coerente, che può aumentare l’agilità, la velocità di distribuzione e la resilienza dei workload critici.

Azure IaaS and Azure Stack: announcements and updates (July 2023 – Weeks: 25 and 26)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure HBv4 and HX Series VMs for HPC

Azure HBv4 and HX-series Virtual Machines (VMs) are now generally available. With the general availability, Microsoft is offering customers the first VMs featuring the latest 4th Gen AMD EPYC™ processors with AMD 3D V-Cache™ technology (codename ‘Genoa-X’), paired with 400 Gigabit NVIDIA Quantum-2 InfiniBand. Azure HBv4 and HX-series VMs offer leadership levels of performance, scaling efficiency, and cost-effectiveness for a variety of HPC workloads such as computational fluid dynamics (CFD), financial services calculations, finite element analysis (FEA), geoscience simulations, weather simulation, rendering, quantum chemistry, and silicon design.

Networking

Azure Application Gateway: using a common port for public and private listeners (preview)

Azure Application Gateway now supports configuring the same port number for public and private listeners in preview. You no longer need to use non-standard ports or customize the backend application. This provision enables you to use a single Application Gateway deployment and easily configure it to serve traffic for both internet-facing and internal clients.

Default Rule Set 2.1 for Regional WAF with Application Gateway (preview)

Announcing the preview of the Default Rule Set 2.1 (DRS 2.1) for regional WAF on Azure Application Gateway. The default rule set is now available on the Azure Application Gateway WAF V2 SKU. DRS 2.1 is baselined off the Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 and extended to include additional proprietary protections rules developed by Microsoft Threat Intelligence team. The Microsoft Threat Intel team analyzes Common Vulnerabilities and Exposures (CVEs) and adapts the CRS ruleset to address CVE and reduce false positives.

Storage

Azure Premium SSD v2 Disk Storage in Southeast Asia, UK South, South Central US and West US 3

Azure Premium SSD v2 Disk Storage is now available in Southeast Asia, UK South, South Central US and West US 3 regions. This next-generation storage solution offers advanced general-purpose block storage with the best price performance, delivering sub-millisecond disk latencies for demanding IO-intensive workloads at a low cost. It is well-suited for a wide range of enterprise production workloads, including SQL Server, Oracle, MariaDB, SAP, Cassandra, MongoDB, big data analytics, gaming on virtual machines, and stateful containers.

Azure NetApp Files double encryption at-rest (preview)

Azure NetApp Files double encryption at-rest feature now provides multiple independent encryption layers, protecting against attacks to any single encryption layer. Threats are diminished to the encrypted data, for example:
– Single encryption key being compromised
– Encryption algorithms with implementation errors
– Data encryption configuration errors

This feature is currently available in West Europe, East US 2, East Asia regions and will roll out to other regions as the preview progresses.

Azure Elastic SAN Public Preview improvements

Azure Elastic SAN is currently in preview and several improvements have been made to the service. These include expanded regional availability, simplified multi-session connectivity for optimized volume performance, and native integration with Azure Container Storage (in preview). Azure Container Storage leverages Azure Elastic SAN as the backing storage resource to optimize price versus performance through dynamic resource sharing. Microsoft has also made it easier to migrate to Azure Elastic SAN and other block storage offerings like Premium SSD V2 and Ultra Disk, by including them in the Storage Migration Program.

Azure Management services: le novità di giugno 2023

Nel mese di giugno sono state annunciate da parte di Microsoft un numero considerevole di novità riguardanti gli Azure management services. Tramite questi articoli rilasciati mensilmente si vuole fornire una panoramica complessiva delle principali novità, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per effettuare maggiori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli:

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Componente aggiuntivo AKS Network Observability (preview)

Il nuovo componente aggiuntivo AKS Network Observability fornisce la possibilità di monitorare lo stato di salute della network e della connettività del cluster AKS. Integrandosi perfettamente con Azure-managed Prometheus ed Azure-managed Grafana, tale add-on fornisce una migliore capacità di monitor in un’esperienza unificata.

Queste le principali caratteristiche:

  • accesso alle metriche di rete a livello di cluster, come le perdite di pacchetti, le statistiche sulle connessioni e altro ancora;
  • accesso alle metriche a livello di pod e alle funzioni di debug della rete;
  • supporto per tutti i CNI Azure;
  • supporto per tutti i tipi di nodi AKS: Linux e Windows;
  • semplicità di distribuzione tramite gli strumenti nativi di Azure: AKS CLI, modelli ARM, PowerShell, ecc.;
  • integrazione con le offerte Prometheus e Grafana gestite da Azure.

Le risorse Azure Monitor Alert sono ora visibili nel portale Azure

Storicamente, le risorse relative agli alert (regole di alert, regole di elaborazione degli alert e action group) sono sempre state risorse nascoste nel portale Azure. Ciò impediva che venissero visualizzate durante la ricerca o nell’elenco delle risorse e la loro esperienza di visualizzazione era limitata. Ora Microsoft sta rendendo queste risorse “cittadini di prima classe” nel portale Azure, in modo che diventino visibili in tutti i luoghi in cui le risorse possono essere visualizzate nel portale, e più precisamente le risorse di alerting:

  • appaiono nei risultati della ricerca nella barra di ricerca superiore del portale Azure;
  • appaiono quando si elencano le risorse all’interno di un sottoscrizione o di un gruppo di risorse;
  • possono ora essere visualizzate in un riquadro delle risorse standard e presto potranno anche essere modificate (nello stesso modo in cui si modifica qualsiasi altra risorsa Azure).

Azure Monitor container insights per cluster AKS con nodi ARM64

Container insights è una funzione progettata per monitorare le prestazioni dei workload dei container distribuiti nel cloud. Offre visibilità delle prestazioni raccogliendo metriche della memoria e del processore da controller, nodi e container disponibili in Kubernetes attraverso l’API Metrics. Azure Monitor container insights è ora disponibile per i cluster AKS con nodi ARM64.

Autenticazione Managed Identity in Container Insights di Azure Monitor

Managed Identity è un modello di autenticazione sicuro e semplificato in cui l’agente di monitoring di Azure Monitor utilizza l’identità gestita del cluster per inviare i dati al backend di Azure Monitor. Tale meccanismo sostituisce l’attuale autenticazione locale basata su certificati ed elimina la necessità di aggiungere un ruolo di publisher delle metriche di monitoring al cluster. Managed Identity sarà ora il meccanismo di autenticazione predefinito per Container Insights.

Azure Virtual Desktop Insights potenziato dall’agente di Azure Monitor (preview)

Gli amministratori che lavorano con Azure Virtual Desktop Insights possono ora utilizzare Azure Monitor Agent (AMA) per raccogliere dati dai session host. Questa anteprima introduce la possibilità di utilizzare un workbook aggiornato per aiutare a orchestrare la configurazione e la gestione di tutti i componenti necessari.

Govern

Azure Cost Management

Aggiornamenti relativi a Microsoft Cost Management

Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Microsoft Cost Management, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.

Secure

Microsoft Defender for Cloud

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud

Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

  • onboarding semplificato degli account multicloud;
  • supporto per gli endpoint privati nella scansione malware in Defender for Storage;
  • aggiornamenti agli standard NIST 800-53 in conformità alle normative;
  • la pianificazione della migrazione al cloud con un business case di Azure Migrate ora include Defender for Cloud;
  • la configurazione Express per le valutazioni delle vulnerabilità in Defender for SQL è disponibile;
  • aggiunti altri ambiti ai connettori DevOps di Azure;
  • sostituzione del rilevamento basato su agenti con il rilevamento agentless per le funzionalità dei container in Defender CSPM.

Protect

Azure Backup

Backup multipli al giorno per le macchine virtuali di Azure

Azure Virtual Machine Backup consente di creare policy avanzate per eseguire più snapshot al giorno. Ciò consente di proteggere le macchine virtuali con RPO di appena quattro ore.

Migrate

Azure Migrate

Nuovi rilasci e funzionalità di Azure Migrate

Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità. In particolare, questo mese le principali novità riguardano:

  • risparmi sui costi riguardanti la sicurezza con Microsoft Defender for Cloud (MDC), utilizzando il business case di Azure Migrate;
  • risoluzione dei problemi che influiscono sulla raccolta dei dati riguardanti le prestazioni e l’accuratezza delle raccomandazioni di valutazione di Azure VM e Azure VMware Solution.

Azure Database Migration

Migrazioni online per istanze di Azure Database for MySQL

La migrazione online di Azure Database Migration Service per Azure Database for MySQL consente ora di migrare un’istanza di Azure Database for MySQL – Single Server, un’istanza MySQL on-premises o server MySQL in altri cloud verso Azure Database for MySQL – Flexible Server. Questa nuova funzione consente di ridurre al minimo i tempi di inattività delle applicazioni critiche e di limitare l’impatto sulla disponibilità dei livelli di servizio.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (June 2023 – Weeks: 23 and 24)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure VMware Solution Stretched Clusters with Customer-Managed Keys

Stretched clusters for Azure VMware Solution (AVS) is now Generally Available, providing 99.99% uptime for mission critical applications that require the highest availability. With this release, customers can use Customer-Managed Keys to encrypt the stretched vSAN. By default, virtual machines within vSAN datastore are protected with data-at-rest encryption using FIPS 140-2 compliant Data Encryption Key (DEK) generated for each local disk on ESXi hosts. These DEKs are encrypted by VMware vSAN Key Encryption Key (service-managed key) provided by Microsoft.

Stretched Cluster Benefits:

  • improved application availability;
  • provide a zero-recovery point objective (RPO) capability for enterprise applications without needing to redesign them or deploy expensive disaster recovery solutions;
  • A private cloud with stretched clusters is designed to provide 99.99% availability due to its resilience to AZ failures.

Azure VMware Solution customer-managed encryption is supported through integration with Azure Key Vault. You can create your own encryption keys and store them in a Key Vault, or you can use Azure Key Vault API to generate encryption keys.

Mv2 Virtual Machine: 8TB memory

Mv2 High Memory virtual machines serve largest in-memory workloads providing infrastructure for 6 and 12TB memory needs. Based on customer demand, an 8TB memory virtual machine (VM) Standard_M416ms_8_v2 is now available, that offers an intermediate size to scale between 6TB and 12TB.

NGads V620-series VMs optimized for cloud gaming

NGads V620-series virtual machines (VMs), powered by AMD RadeonTM PRO V620 GPUs and AMD EPYCTM 7763 CPUs, are purpose-built for generating and streaming high quality graphics for an interactive gaming experience hosted on Azure. Featuring GPU partitioning with options for ¼, ½, or 1 full GPU, they allow customers to right-size their choice for the performance and cost of the business need. These VMs also feature the AMD Adrenaline Gaming Driver Cloud Edition that targets the same optimizations available in the consumer gaming version of the Adrenaline driver but is further optimized for the cloud environment.In addition, the NGads V620-series VMs also support graphics-accelerated virtual desktop infrastructure (VDI) and visualization rendering, using the AMD Pro Workstation Driver, Cloud Edition.

Azure VMware Solution now available in North Switzerland

With the introduction of AV36 in North Switzerland, customers will receive access to 36 cores, 2.3 GHz clock speed, 576GB of RAM, and 15.36TB of SSD storage.

Confidential Virtual Machines (VM) support in Azure Virtual Desktop (preview)

Azure Confidential Virtual Machines (VMs) support in Azure Virtual Desktop is in public preview. Confidential Virtual Machines increase data privacy and security by protecting data in use. The Azure DCasv5 and ECasv5 confidential VM series provide a hardware-based Trusted Execution Environment (TEE) that features AMD SEV-SNP security capabilities, which harden guest protections to deny the hypervisor and other host management code access to VM memory and state, and that is designed to protect against operator access and encrypts data in use. With this preview, support for Windows 11 22H2 has been added to Confidential Virtual Machines.

Networking

Private Link support for Application Gateway

Private link configuration for Application Gateway enables incoming traffic to an Azure Application Gateway frontend and can be secured to clients running in another Azure Virtual Network, Azure subscription, or Azure subscription linked to a different Azure Active Directory tenant through Azure Private Link.

Azure Load Balancer per VM limit removal

The “Load balancer per VM” limit is now removed for customers using Standard Load Balancer. Previously this limit was 2 load balancers per VM (1 public and 1 internal). Now with this limit removed, you can associate as many load balancers per VM with either types (public or internal) up to the Azure Load Balancer’s limits.

Azure Load Balancer: inbound ICMPv6 pings and traceroute are now supported

Standard Public Load Balancer now supports inbound ICMP pings on IPv6 frontends as well as inbound tracerouting support to both IPv4 and IPv6 frontends. This is an addition to previous announcement of ICMPv4 pings support on Azure Load Balancer. Now, you can ping and traceroute to both IPv4 and IPv6 frontend of a Standard Public Load Balancer like you natively would on an on-premises device without any external software needed. This enables you to troubleshoot network issues, identify network bottlenecks, verify network paths, and monitor network performance between Azure Load Balancer and your client device. This functionality is generally available in all public regions, Azure China cloud regions, and Azure Government cloud regions.

Azure Front Door integration with managed identities

Azure Front Door now supports managed identities generated by Azure Active Directory to allow Front Door to easily and securely access other Azure AD-protected resources such as Azure Key Vault. This feature is in addition to the AAD Application access to Key Vault that is currently supported.

Azure Front Door upgrade from standard to premium

Azure Front Door supports upgrading from Standard to Premium tier without downtime. Azure Front Door Premium supports advanced security capabilities and has increased quota limits, such as managed Web Application Firewall rules and private connectivity to your origin using Private Link.

Azure Front Door Migration from classic to standard/premium

In March 2022, Microsoft announced the general availability of two new Azure Front Door tiers. Azure Front Door Standard and Premium are native, modern cloud content delivery network (CDN) catering to both dynamic and static content delivery acceleration with built-in turnkey security and a simple and predictable pricing model. The migration capability enables you to perform a zero-downtime migration from Azure Front Door (classic) to Azure Front Door Standard or Premium in just three simple steps or five simple steps if your Azure Front Door (classic) instance has custom domains with your own certificates. The migration will take a few minutes to complete depending on the complexity of your Azure Front Door (classic) instance, such as number of domains, backend pools, routes, and other configurations.

Azure Front Door Standard/Premium in Azure Government (preview)

Azure Front Door (AFD) Standard and Premium tier is now available in Azure Government in public preview, in the regions of Arizona and Texas. After this release, Local Government (US) customers and their partners can benefit from the new and enhanced capabilities on standard and premium. The new and enhanced capabilities include, but are not limited to, better reporting and diagnostic capabilities, expanded rules engine with server variables, enhanced Web Application Firewall (latest DRS rule set, Bot protection, Web Application Firewall Notebook using Sentinel for security investigation and monitoring, Microsoft Sentinel Analytics) and security capabilities (Private Link connectivity to your origin, subdomain takeover prevention) and many upcoming new features.

Storage

Zone Redundant Storage for Azure Disks is now available in more regions

Zone Redundant Storage (ZRS) for Azure Disk Storage is now generally available on Azure Premium SSDs and Standard SSDs in Brazil South, UK South, East US, East US 2, and South-Central US regions. Disks with ZRS provide synchronous replication of data across three availability zones in a region, enabling disks to tolerate zonal failures without causing disruptions to your application. This feature enables disks to tolerate zonal failures without causing disruptions to your application. Additionally, it allows you to maximize virtual machine availability without the need for application-level replication of data across zones. You can also use ZRS with shared disks to provide higher availability for clustered or distributed applications like SQL FCI, SAP ASCS/SCS, or GFS2.

Azure Files scalability improvement for Azure Virtual Desktop and other workloads that open root directory handles

Azure Files has increased the root directory handle limit per share from 2,000 to 10,000 for standard and premium file shares. This improvement benefits applications that keep an open handle on the root directory. For example, Azure Virtual Desktop with FSLogix profile containers now supports 10,000 active users per share.

Zone Redundant Storage for Azure Disks is now available in Japan East and Korea Central

Zone Redundant Storage (ZRS) for Azure Disk Storage is now generally available on Azure Premium SSDs and Standard SSDs in Japan East and Korea Central regions.

Azure NetApp Files Availability zone volume placement enhancement: populate existing volume (preview)

Azure NetApp Files availability zone volume placement feature lets you deploy new volumes in the availability zone of your choice, in alignment with Azure compute and other services in the same zone. With this ‘Populate existing volume’ enhancement you can now obtain and, if desired, populate previously deployed, existing volumes with the logical availability zone information. It will automatically map the physical zone the volumes were deployed in and map it to the logical zone for your subscription. This feature will not move any volumes between zones. With this capability you can enhance workloads that were previously deployed regionally and align them with VMs in the same failure domain, for example to enable HA architectures across availability zones.

Azure AD Support for Azure Files SMB shares REST API (preview)

The public preview of Azure Active Directory (Azure AD) for Azure SMB Shares enables share-level read and write access for users, groups, and managed identities (MI) when accessing through the REST API. With Azure AD support, applications can now access Azure file shares securely, without storing or managing any credentials. Applications can leverage managed identities to securely access the customer-owned file shares. Azure Portal also now supports using Azure AD to authenticate requests to Azure Files. Users can choose Azure AD identity-based authentication method for the actions they take through portal such as browsing their file share contents.