Archivi categoria: Microsoft Azure

Azure Management services: le novità di agosto 2023

Microsoft rilascia costantemente novità riguardanti gli Azure management services. Pubblicando questo riepilogo si vuole una visione d’insieme delle innovazioni più significative introdotte nell’ultimo mese. Questo consente di rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli:

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Azure Monitor container insights offre nuove impostazioni di ottimizzazione dei costi

Container insights amplia l’anteprima pubblica delle impostazioni di ottimizzazione dei costi, consentendo ora una terza dimensione per l’adeguamento delle impostazioni di raccolta dei dati di container insights, con una configurazione per tabella. I clienti possono ora selezionare individualmente quali tabelle di dati inglobare nel loro workspace di Log Analytics.
Le configurazioni per tabella possono essere abilitate tramite ARM, CLI ed Azure Portal.

Configure

Azure Advisor

Migliora la resilienza delle VM con le raccomandazione relative alle zone di disponibilità

Una delle pratiche consigliate per ottenere una elevata resilienza, secondo le linee guida del Well Architected Framework (WAF), è la distribuzione in zone differenti dei workload. Adottando questa raccomandazione, ora disponibile in Azure Advisor, è possibile progettare le soluzioni per utilizzare VM “zonali”, garantendo così l’isolamento delle macchine virtuali da potenziali guasti in altre zone.

Govern

Azure Cost Management

Nuove opportunità di ottimizzazione dei costi utilizzando il nuovo modello di workbook in Azure Advisor
Il workbook di ottimizzazione dei costi di Azure funge da hub centralizzato per alcuni degli strumenti più utilizzati che possono aiutare il cliente a raggiungere gli obiettivi di utilizzo ed efficienza. Offre una serie di raccomandazioni, tra cui le raccomandazioni sui costi di Azure Advisor, l’identificazione delle risorse inattive e la gestione delle macchine virtuali non deallocate correttamente. Inoltre, fornisce intuizioni sull’utilizzo delle opzioni Azure Hybrid benefit per Windows, Linux e database SQL.

Esportazione dei dati in un account di archiviazione protetto con firewall

Azure Cost Management ora supporta l’esportazione dei dati in un account di archiviazione protetto dal firewall, garantendo un elevato livello di sicurezza. L’esportazione può essere programmata su base giornaliera, settimanale o mensile e i dati esportati possono essere utilizzati per la creazione di dashboard o per l’integrazione con i sistemi finanziari.

Secure

Microsoft Defender for Cloud

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud

Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

  • Defender for Container: discovery senza agenti per Kubernetes;
  • rilascio in anteprima del supporto GCP in Defender CSPM;
  • nuovi alert di sicurezza in Defender for Servers Plan 2: rilevamento di potenziali attacchi che abusano delle estensioni delle macchine virtuali Azure;
  • aggiornamenti del modello di business e dei prezzi per i piani Defender for Cloud.

Protect

Azure Backup

Cross Subscription Restore for Azure Virtual Machines

Microsoft ha introdotto la possibilità di ripristinare le VM Azure in un’altra sottoscrizione all’interno dello stesso tenant della sottoscrizione in cui è presente la VM sorgente, a condizione di avere le autorizzazioni necessarie. Di default, il ripristino avviene nella stessa sottoscrizione in cui è presente la macchina virtuale sorgente. Questa funzione è consentita solo se si ha la proprietà Cross Subscription Restore abilitata per il Recovery Services vault. Cross Subscription Restore consente di ripristinare creando una VM oppure ripristinando i dischi. È possibile utilizzare Cross Zonal Restore e/o Cross Region Restore insieme a questa opzione di ripristino.

Azure Backup introduce il ripristino Cross Region per PostgreSQL (preview)

Azure Backup ha lanciato una nuova funzionalità in anteprima: il ripristino Cross Region per i backup di PostgreSQL. Questa funzione sfrutta lo storage Geo-Redundant con accesso in Lettura, permettendo di conservare i dati in due regioni diverse. L’innovazione sta nel fatto che ora non solo si può accedere ai backup quando si verifica un problema in una region di Azure, ma è possibile farlo in qualsiasi momento, garantendo una maggiore flessibilità e sicurezza. Questa opzione è particolarmente utile per chi desidera testare la prontezza dei propri backup oppure per chi cerca una maggiore resilienza dei dati. Attualmente, questa funzionalità è disponibile per PostgreSQL in alcune regioni selezionate, arricchendo l’offerta di Azure Backup in termini di accessibilità dei dati.

Azure Site Recovery

DR per dischi condivisi (preview)

Microsoft ha rilasciato l’anteprima privata del DR per i dischi condivisi di Azure per i carichi di lavoro che eseguono Windows Server Failover Clusters (WSFC) su macchine virtuali Azure. Risulta pertanto possibile proteggere, monitorare e ripristinare i cluster WSFC come un’unica unità durante tutto il suo ciclo di vita, generando allo stesso tempo punti di ripristino coerenti con il cluster.

Caratteristiche salienti:

  • l’anteprima privata supporterà la protezione dei Windows Server failover cluster. Alcune applicazioni che utilizzano questa architettura sono SQL FCI, SAP ASCS, Scale-out File Servers, ecc.
    • SO supportati: Windows Server 2016 e versioni successive;
    • numero di nodi: fino a 4 nodi per cluster;
    • dischi condivisi: qualsiasi numero di dischi condivisi può essere collegato al cluster;
  • l’operazione di failover supporta il failover dell’intero cluster contemporaneamente;
  • una volta eseguito un failover, sarà necessario riabilitare la replica per la protezione in direzione inversa.

Nuovo Update Rollup

Per Azure Site Recovery è stato rilasciato l’Update Rollup 68 che risolve diverse problematiche e introduce alcuni miglioramenti. I relativi dettagli e la procedura da seguire per l’installazione è consultabile nella KB specifica.

Supporto in presenza di un maggiore livello di “churn” sui dati

Azure Site Recovery ora supporta scenari con una maggiore rotazione dei dati. Questo miglioramento offre ai clienti la capacità di gestire scenari con un alto volume di cambiamenti di dati, garantendo una maggiore resilienza e affidabilità per le loro applicazioni critiche.

Migrate

Azure Migrate

Nuovi rilasci e funzionalità di Azure Migrate

Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità.

Azure Database Migration

Esperienza del portale Azure per Azure Database Migration Service (preview)

Ora è possibile utilizzare DMS per eseguire migrazioni sia dal portale Azure sia dall’estensione ADS. L’esperienza del portale Azure consente di eseguire attività come la creazione di un nuovo servizio di migrazione dei database da Azure Portal, avviando la migrazione da SQL Server on-premises verso vari target Azure e accedendo a una pagina di configurazione dell’integration runtime. L’esperienza del portale Azure offre anche un elenco di prerequisiti, documentazione e collegamenti ai tutorial, personalizzati in base al target selezionato.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (August 2023 – Weeks: 33 and 34)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure Mv3 Medium Memory (MM) Virtual Machines (preview)

Microsoft announced the public preview of the next generation Mv3 Medium Memory (MM) virtual machine series. These virtual machines are designed to offer improved performance and higher reliability compared to their predecessors. Some of the key features of the new Mv3 MM VMs include:

  • Powered by the 4th Generation Intel® Xeon® Scalable Processor and DDR5 DRAM technology.
  • Capability to scale for SAP workloads ranging from 250GB to 4TB, ensuring faster performance and a lower total cost of ownership (TCO).
  • With Azure Boost, the Mv3 MM VMs deliver approximately a 25% improvement in network throughput and up to a 1.5X boost in remote storage throughput compared to the previous M-series families.
  • Azure Boost’s isolated architecture enhances security for the Mv3 MM virtual machines by processing storage and networking separately on dedicated hardware, rather than on the host server.
  • Enhanced resilience against failures in memory, disks, and networking, leveraging insights from previous generations.
  • Availability in both disk and diskless configurations, providing customers with the flexibility to select the option that best suits their workload requirements.

For a more detailed exploration of this release, you can read their blog.

Networking

New Monitoring and Logging Updates in Azure Firewall

New Monitoring and Logging Updates in Azure Firewall are available:

  • Structured Logs: new logging format that provides a more detailed view of firewall events. Structured Logs provide the following benefits: they are easier to work with data in log queries and help discover schemas; they improves performance and reduce latency; they allow ability to grant Azure RBAC rights on specific tables.
  • Latency Probe: The Latency Probe metric is designed to measure the overall latency of Azure Firewall and provide insight into the health of the service.
  • Resource Health (preview): monitor that provides visibility into Azure Firewall health status and allows you to address service problems that may affect your Azure Firewall resource.
  • Embedded Firewall Workbooks (preview): Integrated workbooks into the Azure Firewall Portal that provide valuable insights and statistics regarding your firewall activities and events.

Illumio for Microsoft Azure Firewall

Illumio has joined forces with Microsoft to introduce microsegmentation support for Microsoft Azure Firewall, which is now generally available. This collaboration allows Azure customers to enforce Zero Trust Segmentation, going beyond mere network and application filtering. The integration aids firewall operations teams in understanding rules with a richer context of the resources they are safeguarding. With this enriched context, administrators can effortlessly identify which resource is secured by a particular rule, determine its owner, and confidently manage the rule’s lifecycle.

For a more detailed exploration of this integration and its benefits, you can learn more here.

Quick create Azure Front Door endpoints for Azure Storage accounts

You can now create Azure Front Door Standard and Azure Front Door Premium endpoints directly from the Azure portal, similar to any other Azure CDN endpoint. This integration facilitates the management of all Azure Front Door and/or Azure CDN profiles linked to a storage account from a unified interface. Setting up a new Azure Front Door Service and endpoint for a storage account is straightforward. Users can simply browse to their storage account in the Azure portal and navigate to the Front Door and CDN profiles section. From this location, it’s possible to establish new endpoints, swiftly access the endpoint profiles, manage custom domains for the endpoints, and activate security features such as the Web Application Firewall and/or Private Link. For a more detailed understanding, you can read the documentation.

Azure Front Door Standard/Premium in Azure Government

Azure Front Door (AFD) Standard and Premium tier is now generally available in Azure Government, specifically in the regions of Arizona and Texas. With this release, Local Government (US) customers and their partners can leverage the new and enhanced capabilities offered in the standard and premium tiers. Some of these capabilities include improved reporting and diagnostic tools, an expanded rules engine with server variables, an enhanced Web Application Firewall with features like the latest DRS rule set, Bot protection, and more. The integration with Microsoft Sentinel Analytics and other security features such as Private Link connectivity and subdomain takeover prevention further enhance the offering. However, it’s important to note that the managed certificate for enabling HTTPS is currently not supported in Azure Government, and users are advised to utilize their own certificates.

Rate-limit rules for Application Gateway Web Application Firewall (preview)

Azure’s regional Web Application Firewall (WAF) running on Application Gateway has introduced support for rate-limit custom rules. These rules are designed to detect and block unusually high traffic levels aimed at your application. By implementing rate limiting, users can counteract various denial-of-service attacks, safeguard against clients that might have been mistakenly set up to send a large number of requests in a brief period, and manage traffic rates to their site from specific regions.

For more details, you can learn more here.

Storage

Incremental Snapshots for Premium SSD v2 Disk and Ultra Disk Storage

Azure has announced the general availability of incremental snapshots support for Premium SSD v2 and Ultra Disk. This feature comes with an instant restore capability and is available in all regions where Premium SSD v2 and Ultra Disk are supported. With this update, users can instantly restore Premium SSD v2 and Ultra Disks from snapshots and attach them to a running VM without waiting for any background data copy. This new capability allows immediate read and write access to disks after their creation from snapshots. This ensures a quick recovery of data from accidental deletions or disasters.

For more information and a deeper understanding of this feature, you can refer to the documentation.

Custom NFSv4.1 ID domain in Azure NetApp Files (preview)

Azure NetApp Files now supports custom NFSv4.1 ID domains in public preview. This feature allows users to customize the NFSv4.1 ID domain for their volume, ensuring a seamless migration of NFSv4.1 workloads to Azure NetApp Files. This enhancement provides flexibility and aids in the migration of workloads without the need to modify the client configuration.

Azure NetApp Files Cloud Backup for Virtual Machines (preview)

Azure NetApp Files introduces Cloud Backup for Virtual Machines in public preview. This feature provides an integrated, native backup solution for Azure Virtual Machines, ensuring data protection and business continuity. With Cloud Backup for Virtual Machines, you can now create VM consistent snapshot backups of VMs on Azure NetApp Files datastores. The associated virtual appliance installs in the Azure VMware Solution cluster and provides policy based automated and consistent backup of VMs integrated with Azure NetApp Files snapshot technology for fast backups and restores of VMs, groups of VMs (organized in resource groups) or complete datastores lowering RTO, RPO, and improving total cost of ownership.

Azure Elastic SAN Updates: Private Endpoints & Shared Volumes (preview)

As Azure approaches the general availability of Azure Elastic SAN, they have been continuously enhancing the service and introducing new features based on feedback from Azure customers. Recently, they have released support for private endpoints and volume sharing via SCSI (Small Computer System Interface) Persistent Reservation.

With the introduction of private endpoint support, users can now access Elastic SAN volumes either through private endpoints or via public endpoints that are restricted to specific virtual network subnets. This update is crucial for those who need the added layer of security that private endpoints provide. Additionally, the shared volume support allows users to connect and utilize an Elastic SAN volume from multiple compute clients, such as virtual machines. This is done while using SCSI reservation commands to select from various supported access modes to read or write to the volume. Furthermore, persistent reservations are supported, ensuring uninterrupted access to data even across reboots.

For a deeper understanding and more details on these features, you can read the blog and refer to the documentation about Azure Elastic SAN.

Hotpatching di Windows Server: una rivoluzione nella gestione delle macchine virtuali

Nell’era digitale, assicurare una continuità operativa è essenziale, non più solo un valore aggiunto. Per molte aziende, interruzioni frequenti, anche di breve durata, sono inaccettabili per i loro workload critici. Tuttavia, garantire tale continuità può risultare complesso, considerando che la gestione delle macchine virtuali (VM) con sistema operativo Windows Server è per certi aspetti complessa, soprattutto in relazione all’applicazione di patch di sicurezza e aggiornamenti. Con l’avvento della funzionalità di hotpatching da parte di Microsoft, si è aperto un nuovo capitolo nella gestione delle VM: un approccio più efficiente che minimizza le interruzioni, garantendo server sempre aggiornati e protetti. Questo articolo esamina le caratteristiche e i vantaggi di questa innovativa soluzione.

Cos’è l’Hotpatching?

L’hotpatching, introdotto da Microsoft, è una tecnica avanzata che consente di aggiornare sistemi operativi Windows Server senza la necessità di effettuare un riavvio. Immagina di poter “cambiare le gomme” della tua auto in movimento senza doverla fermare. Questa è la “magia” dell’hotpatching.

Dove è possibile utilizzare l’Hotpatching

La funzionalità Hotpatch è supportata sul sistema operativo “Windows Server 2022 Datacenter: Azure Edition”, che è possibile utilizzarlo per le VM che girano in ambiente Azure ed Azure Stack HCI.

Le immagini Azure disponibili per questa funzionalità sono:

  • Windows Server 2022 Datacenter: Azure Edition Hotpatch (Desktop Experience)
  • Windows Server 2022 Datacenter: Azure Edition Core

Da notare che Hotpatch è attivato di default sulle immagini Server Core e che Microsoft ha recentemente esteso il supporto all’hotpatching per includere Windows Server con Desktop Experience, ampliando ulteriormente il campo di applicazione di questa funzionalità.

Aggiornamenti supportati

Hotpatch copre gli aggiornamenti di sicurezza di Windows e mantiene un allineamento con il contenuto degli aggiornamenti di sicurezza emessi nel canale di aggiornamento Windows regolare (non hotpatch).

Ci sono alcune considerazioni importanti per l’esecuzione di una VM Windows Server Azure Edition con hotpatch abilitato:

  • i riavvii sono ancora necessari per installare gli aggiornamenti che non sono inclusi nel programma hotpatch;
  • i riavvii sono anche richiesti periodicamente dopo che è stata installata una nuova baseline;
  • i riavvii mantengono la VM sincronizzata con le patch non di sicurezza incluse nell’ultimo aggiornamento cumulativo.

Le patch attualmente non incluse nel programma hotpatch includono aggiornamenti non di sicurezza rilasciati per Windows, aggiornamenti .NET e aggiornamenti non-Windows (come driver, aggiornamenti firmware, ecc.). Questi tipi di patch potrebbero richiedere un riavvio durante i mesi di Hotpatch.

Benefici dell’Hotpatching

I benefici di questa tecnologia sono molteplici:

  • Migliore sicurezza: con l’hotpatching, le patch di sicurezza vengono applicate in modo rapido ed efficiente. Questo riduce la finestra di vulnerabilità tra il rilascio di una patch e la sua applicazione, offrendo una protezione rapida contro le minacce.
  • Minimizzazione del downtime: uno dei principali vantaggi dell’hotpatching è la capacità di applicare aggiornamenti senza la necessità di riavviare il server. Ciò significa meno interruzioni e una maggiore disponibilità per le applicazioni e per i servizi.
  • Gestione più flessibile: gli amministratori di sistema hanno la libertà di decidere quando applicare le patch, senza la preoccupazione di dover effettuare una attenta pianificazione per garantire che i processi in esecuzione non vengano interrotti durante l’applicazione degli aggiornamenti.

Come funziona l’Hotpatching

Durante un processo di hotpatching, la patch di sicurezza viene iniettata nel codice in esecuzione del sistema operativo in memoria, aggiornando il sistema mentre è ancora in funzione.

Hotpatch funziona stabilendo prima una baseline con l’attuale Aggiornamento Cumulativo per Windows Server. Periodicamente (con cadenza trimestrale), la baseline viene aggiornata con l’ultimo Aggiornamento Cumulativo, dopodiché vengono rilasciati hotpatch per i due mesi successivi. Ad esempio, se a gennaio viene rilasciato un Aggiornamento Cumulativo, febbraio e marzo vedrebbero il rilascio di hotpatch. Per il calendario di rilascio degli hotpatch, è possibile consulta le note di rilascio per Hotpatch in Azure Automanage per Windows Server 2022.

Gli hotpatch contengono aggiornamenti che non richiedono un riavvio. Poiché Hotpatch corregge il codice in memoria dei processi in esecuzione senza la necessità di riavviare il processo, le applicazioni ospitate sul sistema operativo non sono influenzate dal processo di patching. Questa azione è separata da eventuali implicazioni sulle prestazioni e sulle funzionalità della patch stessa.

L’immagine seguente riporta un esempio di un programma annuale di rilascio degli aggiornamenti (inclusi esempi di baseline non pianificate a causa di correzioni zero-day).

Figura 1 – Schema di una programmazione annuale di esempio per il rilascio degli aggiornamenti Hotpatch

Ci sono due tipi di baseline:

  • Baseline Pianificate: vengono rilasciate con una cadenza regolare, con rilasci di hotpatch nel mezzo. Le Baseline Pianificate includono tutti gli aggiornamenti in un Aggiornamento Cumulativo più recente e richiedono un riavvio.
  • Baseline Non Pianificate: vengono rilasciate quando viene rilasciato un aggiornamento importante (come una correzione zero-day) e quel particolare aggiornamento non può essere rilasciato come hotpatch. Quando vengono rilasciate le baseline non pianificate, un rilascio di hotpatch viene sostituito con una baseline non pianificata in quel mese. Anche le Baseline Non Pianificate includono tutti gli aggiornamenti in un Aggiornamento Cumulativo più recente e richiedono un riavvio.

La programmazione riportata nell’immagine di esempio illustra:

  • quattro rilasci di baseline pianificate in un anno solare (cinque in totale nel diagramma) e otto rilasci di hotpatch;
  • due baseline non pianificate che sostituirebbero i rilasci di hotpatch per quei mesi.

Processo di orchestrazione delle patch

Hotpatch è da considerate come un’estensione di Windows Update e gli strumenti di orchestrazione delle patch variano a seconda della piattaforma in uso.

Orchestrazione di Hotpatch in Azure

Le macchine virtuali create in Azure sono abilitate di default per il patching automatico se utilizzata un’immagine supportata di “Windows Server Datacenter: Azure Edition”:

  • le patch classificate come Critiche o di Sicurezza vengono automaticamente scaricate e applicate sulla VM;
  • le patch vengono applicate durante le ore di minore attività considerando il fuso orario della VM;
  • Azure gestisce l’orchestrazione delle patch e le patch vengono applicate seguendo i principi di disponibilità;
  • lo stato di salute della macchina virtuale, determinato attraverso i segnali di salute della piattaforma Azure, viene monitorato per rilevare fallimenti nel patching.

Orchestrazione di Hotpatch in Azure Stack HCI

Gli aggiornamenti Hotpatch per le macchine virtuali attive in ambiente Azure Stack HCI possono essere orchestrati utilizzando:

  • Group Policy per configurare le impostazioni del client Windows Update;
  • le impostazioni del client Windows Update oppure SCONFIG per Server Core;
  • una soluzione di gestione delle patch di terze parti.

Considerazioni e limitazioni

Tuttavia, come ogni tecnologia, anche l’hotpatching ha le sue sfumature. Non tutte le patch sono adatte per l’hotpatching; alcune potrebbero ancora richiedere un riavvio tradizionale. Inoltre, prima di applicare qualsiasi patch, rimane fondamentale testarla in un ambiente controllato per evitare potenziali problemi.

L’installazione di aggiornamenti Hotpatch non supporta il rollback automatico. Infatti, se una VM riscontra un problema durante o dopo un aggiornamento, risulta necessario disinstallare l’aggiornamento e installare l’ultimo aggiornamento baseline noto come valido. In seguito al rollback sarà necessario riavviare la VM.

Conclusione

L’introduzione dell’hotpatching da parte di Microsoft rappresenta un passo avanti significativo nella gestione delle VM con sistema operativo Windows Server. Con la capacità di applicare patch di sicurezza e aggiornamenti senza interruzioni, gli amministratori possono garantire che i loro server siano protetti e aggiornati in un modo più rapido ed efficace. In un mondo in cui la sicurezza è di primaria importanza e in cui ogni secondo conta, l’hotpatching si posiziona come una soluzione di valore per ogni azienda che utilizza Windows Server in ambiente Azure oppure in ambiente Azure Stack HCI.

Azure IaaS and Azure Stack: announcements and updates (August 2023 – Weeks: 31 and 32)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Networking

Cloud Next-Generation Firewall (NGFW) by Palo Alto Networks – an Azure Native ISV Service

Cloud NGFW by Palo Alto Networks is the first ISV next-generation firewall service natively integrated in Azure. Developed through a collaboration between Microsoft and Palo Alto Networks, this service delivers the cutting-edge security features of Palo Alto Network’s NGFW technology while also offering the simplicity and convenience of cloud-native scaling and management.
NGFWs provide superior network security by offering enhanced capabilities compared to traditional firewalls. These include deep packet inspection, advanced visibility and control features, and the use of AI to improve threat detection and response. The service is now more broadly available in the following 12 regions: US (Central, East, East 2, West, West 3), Australia (East, Southeast), UK (South, West), Canada Central, East Asia and West Europe.

Route Server hub routing preference (preview)

Azure Route Server now supports hub routing preference in public preview. When branch-to-branch is enabled and Route Server learns multiple routes across site-to-site (S2S) VPN, ExpressRoute, and SD-WAN NVAs, for the same on-premises destination route prefix, users can now configure connection preferences to influence Route Server route selection.

Support for new custom error pages in Application Gateway (preview)

In addition to the response codes 403 and 502, the Azure Application Gateway now lets you configure company-branded error pages for more response codes: 400, 405, 408, 500, 503, and 504. You can configure these error pages at a global level to apply to all the listeners on your gateway or individually for each listener. The custom error pages you set are displayed to the clients when the Application Gateway generates these response codes. You can host these error page files at any publicly accessible URLs.

Storage

Azure NetApp Files: SMB Continuous Availability (CA) shares

To enhance resiliency during storage service maintenance operations, SMB volumes used by Citrix App Layering, FSLogix user profile containers and Microsoft SQL Server on Microsoft Windows Server can be enabled with Continuous Availability. Continuous Availability enables SMB Transparent Failover to eliminate disruptions as a result of service maintenance events and improves reliability and user experience. This feature is now Generally Available. It can be enabled on new or existing SMB volumes.

Zone Redundant Storage for Azure Disks is now available in East Asia

Zone Redundant Storage (ZRS) for Azure Disk Storage is now generally available on Azure Premium SSDs and Standard SSDs in East Asia region.

Azure Blob Storage Cold Tier

Azure Blob Storage Cold Tier is now generally available. It is a new online access tier that is the most cost-effective Azure Blob offering for storing infrequently accessed data with long-term retention requirements, while providing instant access. Azure Blob Storage is optimized for storing massive amounts of unstructured data. With blob access tiers, you can store your data most cost-effectively based on how frequently it will be accessed and how long it will be retained. The pricing of the cold tier storage option lies between the cool and archive tiers, and it follows a 90-day early deletion policy. You can seamlessly utilize the cold tier in the same way as the hot and cool tiers, through REST API, SDKs, tools, and lifecycle management policies.

Azure Premium SSD v2 Disk Storage is available in more regions

Azure Premium SSD v2 Disk Storage is now available in Brazil South, East Asia and Central India regions. This next-generation storage solution offers advanced general-purpose block storage with the best price performance, delivering sub-millisecond disk latencies for demanding IO-intensive workloads at a low cost. It is well-suited for a wide range of enterprise production workloads, including SQL Server, Oracle, MariaDB, SAP, Cassandra, MongoDB, big data analytics, gaming on virtual machines, and stateful containers.

Azure Storage Mover support for SMB and Azure Files (preview)

Azure Storage Mover can now migrate your SMB shares to Azure file shares. Storage Mover is a fully managed migration service that enables you to migrate on-premises files and folders to Azure Storage while minimizing downtime for your workload. Besides the existing general available capability to migrate from an on-premises NFS share to an Azure blob container, Storage Mover will support many additional source and target combinations in the near future.

Azure Management services: le novità di luglio 2023

Microsoft annuncia in modo costante novità riguardanti gli Azure management services e come di consueto viene rilasciato questo riepilogo mensile. L’obiettivo è di fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere sempre aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.

Il diagramma seguente mostra le diverse aree relative al management, che sono contemplate in questa serie di articoli:

Figura 1 – Overview dei Management services in Azure

Monitor

Azure Monitor

Azure Monitor Agent Health experience (peview)

L’Agente di Azure Monitor (AMA) è responsabile della raccolta dei dati di monitoraggio dal sistema operativo guest delle macchine virtuali, sia in ambiente Azure sia in ambienti ibridi, i quali vengono poi trasmessi ad Azure Monitor. Grazie all’esperienza Azure Monitor Agent Health, è adesso possibile monitorare agevolmente lo stato di salute degli agenti su vasta scala, sia su Azure, sia in locale (on-premise) o su altre infrastrutture cloud.

Migliorato il controllo RBAC a livello di tabella in Azure Monitor Logs

Azure Monitor Logs offre funzionalità avanzate di gestione degli accessi basati sul ruolo (RBAC) per consentire una gestione sicura dei log sensibili in ambienti complessi. L’accesso a livello di tabella permette di consentire la lettura dei dati solo a un gruppo specifico di persone, limitando l’accesso solo a un insieme selezionato di tabelle. Questo nuovo metodo opera assegnando permessi alla sotto-risorsa della tabella, consentendo un RBAC granulare persino per le tabelle di log personalizzate e garantendo l’utilizzo dei noti strumenti standard di Azure RBAC.

Eventi da Azure Event Hubs a Azure Monitor Logs

Azure Event Hubs offre un modo semplice e potente per far confluire dati nell’ambiente di monitoraggio di Azure. Grazie alla nuova funzionalità, puoi ora inviare direttamente gli eventi provenienti da un Event Hub nel workspace di Log Analytics. Azure Event Hubs è una piattaforma di streaming di big data che permette di raccogliere eventi da diverse fonti, pronti per essere processati da vari servizi Azure e da altre piattaforme esterne. Questa capacità di ingerire dati è particolarmente vantaggiosa per chi già utilizza meccanismi di messaggistica in coda e ha interesse a trasferire i dati in un workspace di Log Analytics, in Sentinel, oppure a instradarli verso più destinazioni.

Supporto per il Pod Sandboxing di Azure Monitor in Container insights

Container Insights ora supporta il monitoraggio dei container “Pod Sandboxing”. Il concetto di Pod Sandboxing rappresenta un’efficace strategia per proteggersi da situazioni di “Container Breakout”, in cui un utente, sia malintenzionato sia legittimo, riesce a superare l’isolamento del container per accedere al filesystem, ai processi, alle interfacce di rete e ad altre risorse sulla macchina host. In passato, l’isolamento poteva essere ottenuto tramite l’uso di pool di nodi, ma questo approccio generava un notevole sovraccarico operativo e richiedeva risorse aggiuntive, aumentando i costi complessivi. Grazie all’adozione del Pod Sandboxing, questo problema viene affrontato mediante un’isolamento dei carichi di lavoro a livello di kernel, fornendo una soluzione più efficiente e sicura.

L’agente di Azure Monitor supporta VM Insights nel Cloud Governativo (preview)

Nell’ambito dell’anteprima pubblica, l’Agente di Azure Monitor ora supporta VM Insights all’interno del Cloud Governativo Azure.

Configure

Update management

Hotpatch disponibile sulle VM Windows Server su Azure con la modalità di installazione Desktop Experience

Hotpatch è ora disponibile per le VM Windows Server Azure Edition con la modalità di installazione Desktop Experience, utilizzando l’immagine appena rilasciata. Hotpatch è una funzionalità che consente di applicare patch e installare aggiornamenti di sicurezza del sistema operativo sulle macchine virtuali Windows Server Azure Edition su Azure senza la necessità di effettuare un riavvio.
Era precedentemente disponibile per la modalità di installazione Server Core, ma ora, le VM Windows Server Azure Edition installate con la modalità di installazione Desktop Experience non dovranno più riavviarsi ogni mese per gli aggiornamenti di sicurezza, fornendo:

  • minore impatto sul carico di lavoro con meno riavvii;
  • distribuzione più rapida degli aggiornamenti poiché i pacchetti sono più piccoli, si installano più velocemente e hanno una più semplice orchestrazione delle patch con Azure Update Manager;
  • maggiore protezione, poiché i pacchetti di aggiornamento Hotpatch sono limitati agli aggiornamenti di sicurezza di Windows che si installano più velocemente senza riavvii.

Govern

Azure Cost Management

Aggiornamenti relativi a Microsoft Cost Management

Microsoft è costantemente alla ricerca di nuove metodologie per migliorare Microsoft Cost Management, la soluzione per fornire una maggiore visibilità su dove si stanno accumulando costi nel cloud, identificare e prevenire modelli di spesa errati ed ottimizzare i costi . In questo articolo sono riportati alcuni degli ultimi miglioramenti ed aggiornamenti riguardanti questa soluzione.

Azure Arc

Distribuzione degli aggiornamenti derivanti dall’ESU sui server abilitati ad Azure Arc

In occasione di Inspire, Microsoft ha annunciato gli Extended Security Updates (ESU) abilitati da Azure Arc. Con Azure Arc, le organizzazioni saranno in grado di acquistare e distribuire senza problemi gli Extended Security Updates (ESU) in ambienti on-premise o multicloud, direttamente dal portale Azure. Oltre a fornire una gestione centralizzata delle patch di sicurezza, le ESU abilitate da Azure Arc offrono una maggiore flessibilità grazie a un modello di abbonamento pay-as-you-go, rispetto alle classiche ESU offerte attraverso il Volume Licensing Center che vengono acquistate annualmente. Per saperne di più vi invito a fare riferimento all’articolo dedicato.

Secure

Microsoft Defender for Cloud

Nuove funzionalità, correzioni di bug e funzionalità deprecate di Microsoft Defender for Cloud

Lo sviluppo di Microsoft Defender for Cloud è in costante evoluzione e vengono introdotti miglioramenti su base continua. Per rimanere aggiornati sugli sviluppi più recenti, Microsoft aggiorna questa pagina, che fornisce informazioni su nuove funzionalità, correzioni di bug e funzionalità deprecate. In particolare, questo mese le principali novità riguardano:

  • gestione degli aggiornamenti automatici di Defender for Endpoint per Linux;
  • scansione agentless dei secret delle macchine virtuali in Defender per server P2 e DCSPM;
  • nuovo avviso di sicurezza in Defender for Servers plan 2: rilevamento di potenziali attacchi che sfruttano le estensioni del driver GPU di Azure VM;
  • supporto per la disabilitazione dei rilevamenti di vulnerabilità specifiche;
  • disponibilità della Data Aware Security Posture.

Protect

Azure Backup

Punti di ripristino delle macchine virtuali consistenti ai crash (preview)

Microsoft ha annunciato il supporto, in anteprima pubblica, della modalità crash consistent (su più dischi) per i punti di ripristino delle macchine virtuali. Si tratta di una soluzione (senza agent) per memorizzare la configurazione della macchina virtuale e delle snapshot, coerenti in ordine di scrittura, ad un momento specifico per tutti i dischi managed collegati alla macchina virtuale.

Migrate

Azure Migrate

Aggiornamento dei server Windows in fase di fine supporto (EOS)

Azure Migrate offre un’anteprima della funzionalità che consente di effettuare l’upgrade senza interruzioni dei sistemi Windows Server legacy. Durante il processo di migrazione verso Azure, viene introdotta la possibilità di eseguire un’upgrade dei server legacy, riducendo al minimo gli sforzi, i tempi di inattività e i rischi associati. Questo viene realizzato creando una copia del server nell’ambiente Azure e successivamente eseguendo l’upgrade lì. Grazie a questo approccio, l’impatto sul server originale viene ridotto al minimo, garantendo una transizione sicura ed efficiente. Per ulteriori dettagli e informazioni approfondite, vi invito a fare riferimento all’articolo dedicato.

Nuovi rilasci e funzionalità di Azure Migrate

Azure Migrate è il servizio presente in Azure che comprende un ampio portafoglio di strumenti che è possibile utilizzare, tramite una esperienza di utilizzo guidata, per affrontare in modo efficace i più comuni scenari di migrazione. Per rimanere aggiornati sugli sviluppi più recenti della soluzione è possibile consultare questa pagina, che fornisce informazioni su nuovi rilasci e nuove funzionalità.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.

Azure IaaS and Azure Stack: announcements and updates (July 2023 – Weeks: 29 and 30)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure Boost (preview)

Azure Boost is one of Microsoft Azure’s latest infrastructure innovations. Azure Boost is a new system that offloads virtualization processes traditionally performed by the hypervisor and host OS onto purpose-built hardware and software, such as networking, storage, and host management. By separating hypervisor and host OS functions from the host infrastructure, Azure Boost enables greater network and storage performance at scale, improves security by adding another layer of logical isolation, and reduces the maintenance impact for future Azure software and hardware upgrades.
This innovation enables Azure customers participating in the preview to achieve a 200 Gbps networking throughput and a leading remote storage throughput up to 10 GBps and 400K IOPS, enabling the fastest storage workloads available today.
Azure Boost allows preview users to achieve this performance through access to experimental SKUs. This preview will be important for many customers and partners to integrate critical components of Azure Boost into their current VM solutions, ensuring smooth operation on this new system in the future.
Azure Boost has been providing benefits to millions of existing Azure VMs in production today, such as enabling the exceptional remote storage performance of the Ebsv5 VM series and networking throughput and latency improvements for the entire Ev5 and Dv5 VM series. Azure Boost will continue to innovate and provide benefits for Azure infrastructure users going forward.

The Classic VMs retirement deadline is now September 6, 2023

The deadline to migrate your Iaas VMs from Azure Service Manager to Azure Resource Manager is now September 6, 2023. To avoid service disruption, we recommend that you complete your migration as soon as possible. Microsoft will not provides any additional extenstions after September 6, 2023.

Networking

Updated default TLS policy for Azure Application Gateway

Microsoft has updated the default TLS configuration for new deployments of the Application Gateway to Predefined AppGwSslPolicy20220101 policy to improve the default security. This recently introduced, generally available, predefined policy ensures better security with minimum TLS version 1.2 (up to TLS v1.3) and stronger cipher suites.

Always Serve for Azure Traffic Manager

Always Serve for Azure Traffic Manager (ATM) is now generally available. You can disable endpoint health checks from an ATM profile and always serve traffic to that given endpoint. You can also now choose to use 3rd party health check tools to determine endpoint health, and ATM native health checks can be disabled, allowing flexible health check setups.

Azure Application Gateway for Containers (preview)

Azure Application Gateway for Containers is a new SKU to the Application Gateway family. Application Gateway for Containers is the next evolution of Application Gateway + Application Gateway Ingress Controller (AGIC), providing application (layer 7) load balancing and dynamic traffic management capabilities for workloads running in a Kubernetes cluster.

Application Gateway for Containers introduces the following improvements over AGIC:

  • Performance: Achieve near-to-real-time convergence times to reflect add/remove of pods, routes, probes, and other load balancing configuration within Kubernetes yaml configuration.
  • Scale: push boundaries past current AGIC limits, exceeding 1400 backend pods and 100 listeners with Application Gateway for Containers.
  • Deployment: enable a familiar deployment of ARM resources via ARM, PowerShell, CLI, Bicep, and Terraform or define all configuration within Kubernetes and have Application Gateway for Containers manage the rest in Azure.
  • Gateway API support: the next evolution in defining Kubernetes service networking through expressive, extensible, and role-oriented interfaces.
  • Weighted / Split traffic distribution: enable blue-green deployment strategies and active / active or active / passive routing.

Network observability add-on for AKS (preview)

The new network observability add-on for AKS, now in public preview, provides complete observability into the network health and connectivity of your AKS cluster.

Key benefits:

  • Get access to cluster level network metrics like packet drops, connections stats and more.
  • (GA) Access to pod-level metrics and network debuggability features.
  • Support for all Azure CNIs – AzureCNI and AzureCNI (Powered by Cilium).
  • Support for all AKS node types – Linux and Windows.
  • Easy deployment using native Azure tools – AKS CLI, ARM templates, PowerShell, etc.
  • Seamless integration with the Azure managed Prometheus and Azure-managed Grafana offerings.

Azure Stack

General Availability of Remote Support for Azure Stack systems

Support requests for Azure Stack systems have always been managed through the Azure Portal and covered under your Azure support plan. The next big step is the remote support for all Azure Stack systems.

With remote support, you can temporarily grant Microsoft Support engineers constrained access to your on-premises edge devices to gather logs and fix issues. By default, remote support is off. It’s easy to turn on and off, when needed. After creating an Azure support request, it’s recommended to grant remote support access to enable Microsoft Support to resolve the issue as soon as possible. This takes just a few minutes in only a few steps. Once the support request is closed, you can just as easily turn off remote support access

Remote support for Azure Stack systems provides benefits to both customers and Microsoft Support:

  • Improved time to resolution: eliminate the back-and-forth hassle of scheduling a call and gathering logs yourself.
  • Safe and secure: you can grant just-in-time (JIT) authenticated access and define the access level and duration for each incident. You can revoke access anytime.
  • Audited troubleshooting: Microsoft Support can only run Just Enough Administration (JEA) approved commands and everything they do is recorded for you to audit.
  • Free: Remote support is included in your Azure subscription at no additional cost. You can get remote support for both unregistered and registered Azure Stack HCI systems.

Version availability:

  • For Azure Stack Hub, remote support is available for version 2108 and later.
  • For Azure Stack Edge, remote support is available for version 2110 and later.
  • For Azure Stack HCI, remote support is available for version 22H2 and later.

Azure al tuo fianco: nuove soluzioni per la fine del supporto di Windows Server 2012/R2

Nell’era dell’Intelligenza Artificiale e dei servizi nativi per il cloud, le organizzazioni continuano a fare affidamento su Windows Server come piattaforma sicura e affidabile per i loro workload mission-critical. Tuttavia, è importante ricordare che il supporto per Windows Server 2012/R2 terminerà il 10 ottobre 2023. Dopo tale data, i sistemi Windows Server 2012/R2 diventeranno vulnerabili se non si intraprenderanno dei provvedimenti, poiché non riceveranno più regolarmente gli aggiornamenti di sicurezza. Recentemente, Microsoft ha annunciato che Azure offre nuove soluzioni per gestire al meglio la fine del supporto di Windows Server 2012/R2. Queste soluzioni saranno esaminate nel dettaglio in questo articolo, dopo un breve riepilogo per definire il contesto.

L’impatto del termine del supporto per Windows Server 2012 R2: cosa significa per le aziende?

Microsoft ha annunciato la fine del supporto per Windows Server 2012 e 2012 R2, fissata per il 10 ottobre 2023. Questo evento rappresenta un punto cruciale per molte organizzazioni che si affidano a questi server per accedere alle applicazioni e ai dati. Ma cosa significa esattamente la fine del supporto (EOL) e quali sono le implicazioni per le aziende?

Comprendere la fine del supporto

Microsoft ha una politica di ciclo di vita che fornisce supporto per i suoi prodotti, tra cui Windows Server 2012 e 2012 R2. La fine del supporto si riferisce al momento in cui un prodotto non è più supportato da Microsoft, il che significa che non verranno più forniti aggiornamenti di sicurezza, patch o supporto tecnico.

Perché le aziende dovrebbero preoccuparsi

Senza aggiornamenti e patch regolari, le aziende che utilizzano Windows Server 2012 e 2012 R2 sono esposte a vulnerabilità di sicurezza, come attacchi ransomware e violazioni dei dati. Inoltre, l’utilizzo di un prodotto non supportato come Windows Server 2012 o 2012 R2 può portare a problemi di non conformità. Infine, il software obsoleto può causare problemi di compatibilità con applicazioni e hardware più recenti, ostacolando l’efficienza e la produttività.

Un’opportunità per rivedere la strategia IT

Le aziende dovrebbero utilizzare l’evento di EOL come un’opportunità per rivedere la loro strategia IT e determinare gli obiettivi aziendali desiderati dalla loro tecnologia. In questo modo, possono allineare la tecnologia con i loro obiettivi a lungo termine, sfruttando le ultime soluzioni cloud e migliorando l’efficienza operativa.

Le strategie che è possibile adottare per affrontare questa situazione, evitando così di esporre la propria infrastruttura IT a problematiche di security, sono già state affrontate nell’articolo: Come la fine del supporto di Windows Server 2012 può essere una grande opportunità per i CTO.

A questo proposito, Microsoft ha introdotto due nuove opzioni, fornite tramite Azure, per agevolare la gestione di questa situazione:

  • aggiornamento dei server con Azure Migrate;
  • distribuzione sui server abilitati ad Azure Arc degli aggiornamenti derivanti dall’ESU (Extended Security Updates).

Nei paragrafi seguenti vengono descritte le caratteristiche di queste nuove opzioni.

Aggiornamento dei server Windows in fase di fine supporto (EOS) con Azure Migrate

Azure Migrate è un servizio offerto da Microsoft Azure che consente di valutare e migrare le risorse locali, come macchine virtuali, applicazioni e database, verso l’infrastruttura cloud di Azure. Recentemente, Azure Migrate ha introdotto il supporto per gli aggiornamenti in-place di Windows Server 2012 e versioni successive, durante il passaggio ad Azure. Questo permette alle organizzazioni di spostare le loro applicazioni e i loro database legacy su un sistema operativo completamente supportato, compatibile e conforme come Windows Server 2016, 2019 oppure 2022.

Vantaggi chiave della funzionalità di aggiornamento del sistema operativo di Azure Migrate

Mitigazione del rischio: Azure Migrate crea una replica del server originale in Azure, permettendo l’aggiornamento del sistema operativo sulla replica mentre il server di origine rimane intatto. In caso di problemi, i clienti possono facilmente tornare al sistema operativo originale.

Test di compatibilità: Azure Migrate offre la possibilità di eseguire una migrazione di prova in un ambiente isolato in Azure. Questo è particolarmente utile per gli aggiornamenti del sistema operativo, permettendo ai clienti di valutare la compatibilità del loro sistema operativo e delle applicazioni aggiornate senza impattare la produzione. In questo modo è possibile identificare e risolvere eventuali problemi in anticipo.

Riduzione dello sforzo e del downtime: integrando gli aggiornamenti del sistema operativo con la migrazione al cloud, i clienti possono risparmiare significativamente tempo e sforzo. Con un solo dato aggiuntivo, la versione del sistema operativo di destinazione, Azure Migrate si occupa del resto, semplificando il processo. Questa integrazione riduce ulteriormente il downtime del server e delle applicazioni su di esso ospitate, aumentando l’efficienza.

Nessuna licenza Windows separata: con l’aggiornamento del sistema operativo di Azure Migrate, non è necessario acquistare separatamente una licenza del sistema operativo per effettuare l’aggiornamento. Che il cliente utilizzi Azure Hybrid Benefits (AHB) o PAYG, risulta coperto quando migrerà a un VM Azure utilizzando Azure Migrate.

Aggiornamento dei server su larga scala: Azure Migrate supporta aggiornamenti del sistema operativo dei server su larga scala, permettendo ai clienti di aggiornare fino a 500 server in parallelo durante la migrazione ad Azure. Utilizzando il portale Azure, sarà possibile selezionare fino a 10 VMs alla volta per configurare le repliche. Per replicare più VMs è possibile utilizzare il portale e aggiungere le VMs da replicare in più lotti di 10 VMs, oppure utilizzare l’interfaccia PowerShell di Azure Migrate per configurare la replica.

Versioni del sistema operativo supportate

Azure Migrate è in grado di gestire:

  • Windows Server 2012: supporta l’aggiornamento a Windows Server 2016;
  • Windows Server 2012 R2: supporta l’aggiornamento a Windows Server 2016, Windows Server 2019;
  • Windows Server 2016: supporta l’aggiornamento a Windows Server 2019, Windows Server 2022;
  • Windows Server 2019: supporta l’aggiornamento a Windows Server 2022.

Distribuzione degli aggiornamenti derivanti dall’ESU sui server abilitati ad Azure Arc

Azure Arc è un insieme di soluzioni Microsoft che consentono alle aziende di gestire, governare e proteggere le risorse in vari ambienti, tra cui on-premise, edge e multi-cloud, estendendo le capacità di gestione di Azure a qualsiasi infrastruttura.

Per le organizzazioni che non sono in grado di modernizzare oppure migrare prima della data di fine del supporto di Windows Server 2012/R2, Microsoft ha annunciato gli Extended Security Updates (ESU) abilitati da Azure Arc. Con Azure Arc, le organizzazioni saranno in grado di acquistare e distribuire senza problemi gli Extended Security Updates (ESU) in ambienti on-premise o multicloud, direttamente dal portale Azure.

Per ottenere gli Extended Security Updates (ESU) per Windows Server 2012/R2 e SQL Server 2012 abilitati da Azure Arc, è necessario seguire i passaggi seguenti:

  • Preparazione dell’ambiente Azure Arc: innanzitutto, è necessario un ambiente Azure e un’infrastruttura Azure Arc funzionante. Azure Arc può essere installato su qualsiasi server che esegue Windows Server 2012/R2 oppure SQL Server 2012, a condizione che vengano rispettati i requisiti di connettività.
  • Registrazione del server in Azure Arc: una volta predisposto l’ambiente Azure Arc, è necessario registrare i server Windows o i sistemi SQL Server in Azure Arc. Questo processo consente ai sistemi di diventare risorse gestite in Azure, rendendoli idonei per gli ESU.
  • Acquisto degli ESU: una volta che i server sono registrati in Azure Arc, è possibile acquistare gli ESU, per ogni server che desideri proteggere, attraverso Azure.
  • Attivazione degli ESU: dopo l’acquisto degli ESU, è necessario attivarli sui server. Questo processo comporta l’installazione di una chiave di licenza e il download degli aggiornamenti di sicurezza da Windows Update o dall’infrastruttura locale di distribuzione degli aggiornamenti.
  • Installazione degli aggiornamenti: infine, una volta attivati gli ESU, è possibile effettuare l’installazione degli aggiornamenti di sicurezza sui server. Questo processo può essere gestito manualmente o automatizzandolo attraverso strumenti di gestione degli aggiornamenti.

NOTA: gli ESU forniscono solo aggiornamenti di sicurezza critici e importanti, non includono nuove funzionalità o miglioramenti delle prestazioni. Inoltre, gli ESU sono disponibili solo per un periodo limitato dopo la fine del supporto di Microsoft. Pertanto, si consiglia di prendere in considerazione la migrazione a versioni più recenti dei server per avere accesso a tutte le funzionalità, oltre agli aggiornamenti di sicurezza.

Conclusioni

Quest’anno, Microsoft celebra il 30° anniversario di Windows Server, un traguardo raggiunto grazie all’incessante innovazione e al sostegno dei clienti. Tuttavia, i clienti si devono impegnare a mantenere aggiornati i loro sistemi Windows Server prossimi alla fine del supporto. In particolare, la fine del supporto per Windows Server 2012 e 2012 R2 rappresenta un rischio significativo per le aziende, ma presenta anche un’opportunità per rivedere e migliorare la loro strategia IT. Identificando gli obiettivi aziendali desiderati, impegnandosi nella pianificazione strategica e, se necessario, utilizzando queste nuove soluzioni offerte da Azure, le aziende possono garantire una transizione fluida e di successo, ottimizzando la loro infrastruttura IT per raggiungere i loro obiettivi a lungo termine.

Azure IaaS and Azure Stack: announcements and updates (July 2023 – Weeks: 27 and 28)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Latest generation burstable VMs – Bsv2, Basv2, and Bpsv2 (preview)

The Bsv2, Basv2, and Bpsv2 series virtual machines are the latest generation of Azure burstable general purpose VMs, providing a baseline level of CPU utilization and capable of expanding to higher CPU utilization as workload volume increases. This is ideal for many applications such as development and test servers, low traffic web servers, small databases, micro services, servers for proof-of-concepts, build servers, and code repositories. These new B series v2 virtual machines, compared to B series v1, offer up to >15% better price-performance, up to 5X higher network bandwidth with accelerated networking and 10X higher remote storage throughput.

Azure Dedicated Host – Resize (preview)

With Azure Dedicated Host’s new ‘resize’ feature, you can easily move your existing dedicated host to a new Azure Dedicated Host SKU (e.g., from Dsv3-Type1 to Dsv3-Type4). This new ‘resize’ feature minimizes the impact and effort involved in configuring VMs when you want to upgrade your underlying dedicated host system.

Networking

Azure’s cross-region Load Balancer is now generally available

Azure Load Balancer’s Global tier is a cloud-native global network load balancing solution. With cross-region Load Balancer, you can distribute traffic across multiple Azure regions with ultra-low latency and high performance. Azure cross-region Load Balancer provides customers a static globally anycast IP address. Through this global IP address, you can easily add or remove regional deployments without interruption.

ExpressRoute private peering support for BGP communities

ExpressRoute private peering now supports the use of custom Border Gateway Protocol (BGP) communities with virtual networks connected to your ExpressRoute circuits. Once you configure a custom BGP community for your virtual network, you can view the regional and custom community values on outbound traffic sent over ExpressRoute when originating from that virtual network. These values can be used when applying filters or specifying routing preferences for traffic sent to your on-premises from your Azure environment.

Azure Virtual Network encryption

With Virtual Network encryption, customers can enable encryption of traffic between Virtual Machines and Virtual Machines Scale Sets within the same virtual network and between regionally and globally peered virtual networks. This new feature enhances the existing encryption in transit capabilities in Azure.

Sensitive Data Protection for Application Gateway Web Application Firewall logs (preview)

Azure’s regional Web Application Firewall (WAF) running on Application Gateway now supports sensitive data protection through log scrubbing. When a request matches the criteria of a rule, and triggers a WAF action, that event is captured within the WAF logs. WAF logs are stored as plain text for debuggability, and any matching patterns with sensitive customer data like IP address, passwords, and other personally identifiable information could potentially end up in logs as plain text. To help safeguard this sensitive data, you can now create log scrubbing rules that replace the sensitive data with “******”.

Storage

Azure Managed Lustre now generally available

Azure Managed Lustre is a managed file system, designed specifically for HPC and AI workloads on a pay-as-you-go model. It delivers high-performance distributed parallel file system with hundreds of GBps storage bandwidth and solid-state disk latency. The system fully integrates with Azure services such as Azure HPC Compute, Azure Kubernetes Service, and Azure Machine Learning.

Key benefits include:

  • a customizable Lustre file system that can be deployed on demand in minutes;
  • the high throughput needed for computationally intensive workloads;
  • easy integration with other Azure services;
  • managed pay-as-you-go model that allows organizations to save costs on maintenance and infrastructure setup.

Azure Premium SSD v2 Disk Storage is now available in more regions

Azure Premium SSD v2 Disk Storage is now available in Switzerland North, Japan East, Korea Central, South Africa North, Sweden Central, Canada Central and Central US regions. This next-generation storage solution offers advanced general-purpose block storage with the best price performance, delivering sub-millisecond disk latencies for demanding IO-intensive workloads at a low cost. It is well-suited for a wide range of enterprise production workloads, including SQL Server, Oracle, MariaDB, SAP, Cassandra, MongoDB, big data analytics, gaming on virtual machines, and stateful containers.

Microsoft Azure e Nutanix: una partnership strategica per il cloud ibrido

Negli ultimi anni, l’adozione del cloud computing ha registrato una crescita esponenziale, rivoluzionando il modo in cui le organizzazioni gestiscono le proprie risorse IT. Uno dei concetti chiave che ha guadagnato popolarità è il “cloud ibrido”, un modello operativo che combina il meglio dei servizi del cloud pubblico e privato in un’unica soluzione flessibile. Per offrire nuove soluzioni di cloud ibrido che combinano l’agilità delle applicazioni con una gestione unificata tra il cloud privato ed Azure, Microsoft ha stretto una partnership strategica con Nutanix, leader per le infrastrutture iperconvergenti. Questo articolo esplorerà i dettagli chiave di questa partnership strategica, illustrando come le soluzioni di cloud ibrido offerte da Azure e Nutanix possano supportare le aziende nel raggiungimento dei propri obiettivi di trasformazione digitale, garantendo al contempo sicurezza, affidabilità ed efficienza, indispensabili per il successo nell’era del cloud.

Riconoscendo la necessità di offrire soluzioni che si adattino alle esigenze specifiche dei clienti, Microsoft Azure è stato progettato fin dall’inizio con l’obiettivo di ridurre i costi e la complessità, migliorando al contempo l’affidabilità e l’efficienza. Questa visione si è concretizzata in una piattaforma completa che offre scelta e flessibilità per il proprio ambiente IT.

Figura 1 – Panoramica delle possibilità offerte da Microsoft Azure in termini di infrastruttura

Il passaggio al cloud non è sempre un processo lineare ed esistono situazioni in cui le piattaforme on-premise esistenti continuano a svolgere un ruolo vitale. Azure permette ai clienti di adottare il cloud secondo il proprio ritmo, assicurando la continuità nell’utilizzo delle piattaforme locali già conosciute. Questa opportunità è da tempo disponibile per VMware ed ora è disponibile anche per Nutanix.

Cosa sono i Nutanix Cloud Clusters (NC2)?

I Nutanix Cloud Cluster (NC2) sono istanze bare metal che si trovano fisicamente all’interno di cloud pubblici, tra cui Microsoft Azure ed AWS. NC2 esegue il core dello stack Nutanix HCI, che include i seguenti componenti principali:

  • Nutanix Acropolis Hypervisor (AHV): l’hypervisor basato su Kernel-based Virtual Machine (KVM) open source;
  • Nutanix Acropolis Operating System (AOS): il sistema operativo che astrae all’utente finale i componenti Nutanix, come KVM, virsh, qemu, libvirt e iSCSI, e che gestisce l’intera configurazione di backend;
  • Prism: la soluzione che fornisce agli amministratori un accesso centralizzato per configurare, monitorare e gestire in modo semplice gli ambienti Nutanix.

Figura 2 – Panoramica di Nutanix Cloud Cluster su Azure

Il cluster Nutanix su Azure sarà composto da almeno tre nodi. Le SKU disponibili per NC2 su Azure, con i dettagli di core, RAM, storage e rete sono disponibili a questo indirizzo.

La connessione dell’ambiente on-premise verso Azure è supportata sia tramite Express Route, sia tramite VPN Gateway.

Si riporta un esempio di implementazione di NC2, dal punto di vista network, in Azure:

Figura 3 – Esempio di implementazione di NC2 in Azure

Principali scenari di adozione

L’adozione della soluzione Nutanix in Azure può avvenire per far fronte ai seguenti scenari:

  • disaster recovery e business continuity;
  • necessità di una espansione del proprio datacenter;
  • necessità di migrare in modo semplice e veloce i prori workload Nutanix in Azure

Benefici di questa soluzione

Si riportano i principali benefici che si possono ottenere nell’adottare questa soluzione.

  • Adozione di una strategia di distribuzione ibrida coerente: è possibile stabilire una strategia di distribuzione ibrida coerente, combinando le risorse on-premises con i cluster Nutanix in Azure. Questo consente di operare in modo omogeneo e senza diversità tra i due ambienti.
  • Facile attivazione e scalabilità: con Azure, si ha la possibilità di attivare e scalare facilmente le applicazioni e i servizi senza incontrare particolari limitazioni. L’infrastruttura globale di Azure fornisce infatti la scalabilità e la flessibilità necessarie per soddisfare le mutevoli esigenze aziendali.
  • Ottimizzazione degli investimenti fatti: risulta possibile continuare a sfruttare gli investimenti fatti in termini di competenze e di utilizzo degli strumenti Nutanix.
  • Modernizzazione attraverso le potenzialità di Azure: con Azure, è possibile modernizzare l’architettura attraverso l’integrazione con servizi innovativi e all’avanguardia. Infatti, una volta che i clienti attivano il loro ambiente Nutanix, possono beneficiare di un’ulteriore integrazione con Azure, consentendo agli sviluppatori di applicazioni di accedere all’ecosistema completo dei servizi offerti da Azure.

Modello di costo

I clienti devono sostenere i costi per l’acquisto del software Nutanix e devono riconoscere a Microsoft il costo per l’utilizzo delle risorse cloud. Il software Nutanix sui cluster può essere licenziato in diversi modi:

  • Licenze BYO (Bring Your Own): questo tipo di licenza consente ai clienti di utilizzare le proprie licenze Nutanix già in loro possesso o che stanno acquistando. In questo modo, i clienti possono trasferire le loro licenze on-premises su NC2. È importante notare che la licenza Nutanix AOS deve essere di tipo Pro o Ultimate, poiché la licenza AOS Starter non può essere utilizzata con NC2.
  • PAYG (Pay-As-You-Go): questo modello di licenza prevede pagamenti orari in base al numero di core utilizzati o all’utilizzo di SSD. I clienti pagano solo per le risorse effettivamente utilizzate durante il tempo in cui il cluster è attivo.
  • Cloud Commit: questo modello richiede un impegno minimo da parte del cliente per un determinato periodo di tempo. I clienti si impegnano a utilizzare le risorse Nutanix su NC2 per un periodo specifico e beneficiano di tariffe preferenziali in base a tale impegno.

Opzioni di supporto

Microsoft offre il supporto per l’infrastruttura bare metal dei NC2 su Azure. Per richiedere assistenza è sufficiente aprire una richiesta specifica direttamente dal portale Azure. Nutanix, invece, fornisce il supporto per il software Nutanix di NC2 su Azure. Tale livello di supporto è denominato Production Support per NC2.

Conclusioni

Grazie alla collaborazione tra Microsoft e Nutanix, questa soluzione offre ai clienti che già dispongono di un ambiente Nutanix on-premises la possibilità di sfruttare le stesse funzionalità anche nel cloud pubblico di Microsoft, consentendo inoltre di accedere alla vasta gamma di servizi offerti da Azure. Questa soluzione permette di adottare un modello operativo coerente, che può aumentare l’agilità, la velocità di distribuzione e la resilienza dei workload critici.

Azure IaaS and Azure Stack: announcements and updates (July 2023 – Weeks: 25 and 26)

This series of blog posts includes the most important announcements and major updates regarding Azure infrastructure as a service (IaaS) and Azure Stack, officialized by Microsoft in the last two weeks.

Azure

Compute

Azure HBv4 and HX Series VMs for HPC

Azure HBv4 and HX-series Virtual Machines (VMs) are now generally available. With the general availability, Microsoft is offering customers the first VMs featuring the latest 4th Gen AMD EPYC™ processors with AMD 3D V-Cache™ technology (codename ‘Genoa-X’), paired with 400 Gigabit NVIDIA Quantum-2 InfiniBand. Azure HBv4 and HX-series VMs offer leadership levels of performance, scaling efficiency, and cost-effectiveness for a variety of HPC workloads such as computational fluid dynamics (CFD), financial services calculations, finite element analysis (FEA), geoscience simulations, weather simulation, rendering, quantum chemistry, and silicon design.

Networking

Azure Application Gateway: using a common port for public and private listeners (preview)

Azure Application Gateway now supports configuring the same port number for public and private listeners in preview. You no longer need to use non-standard ports or customize the backend application. This provision enables you to use a single Application Gateway deployment and easily configure it to serve traffic for both internet-facing and internal clients.

Default Rule Set 2.1 for Regional WAF with Application Gateway (preview)

Announcing the preview of the Default Rule Set 2.1 (DRS 2.1) for regional WAF on Azure Application Gateway. The default rule set is now available on the Azure Application Gateway WAF V2 SKU. DRS 2.1 is baselined off the Open Web Application Security Project (OWASP) Core Rule Set (CRS) 3.3.2 and extended to include additional proprietary protections rules developed by Microsoft Threat Intelligence team. The Microsoft Threat Intel team analyzes Common Vulnerabilities and Exposures (CVEs) and adapts the CRS ruleset to address CVE and reduce false positives.

Storage

Azure Premium SSD v2 Disk Storage in Southeast Asia, UK South, South Central US and West US 3

Azure Premium SSD v2 Disk Storage is now available in Southeast Asia, UK South, South Central US and West US 3 regions. This next-generation storage solution offers advanced general-purpose block storage with the best price performance, delivering sub-millisecond disk latencies for demanding IO-intensive workloads at a low cost. It is well-suited for a wide range of enterprise production workloads, including SQL Server, Oracle, MariaDB, SAP, Cassandra, MongoDB, big data analytics, gaming on virtual machines, and stateful containers.

Azure NetApp Files double encryption at-rest (preview)

Azure NetApp Files double encryption at-rest feature now provides multiple independent encryption layers, protecting against attacks to any single encryption layer. Threats are diminished to the encrypted data, for example:
– Single encryption key being compromised
– Encryption algorithms with implementation errors
– Data encryption configuration errors

This feature is currently available in West Europe, East US 2, East Asia regions and will roll out to other regions as the preview progresses.

Azure Elastic SAN Public Preview improvements

Azure Elastic SAN is currently in preview and several improvements have been made to the service. These include expanded regional availability, simplified multi-session connectivity for optimized volume performance, and native integration with Azure Container Storage (in preview). Azure Container Storage leverages Azure Elastic SAN as the backing storage resource to optimize price versus performance through dynamic resource sharing. Microsoft has also made it easier to migrate to Azure Elastic SAN and other block storage offerings like Premium SSD V2 and Ultra Disk, by including them in the Storage Migration Program.