Azure in novosti v letu 2023

18.04.2024

Tako kot je ob zaključku leta dobro narediti pregled poslovnih aktivnosti za tekoče leto in načrt za prihodnje leto, je dobro narediti tudi pregled infrastrukture… Ker se zadnje čase večinoma ukvarjam z oblačno infrastrukturo, bom za zaključek leta 2023 naredil pregled večjih novosti, ki jih je Microsoft letos vpeljal na Azure platformi. Omenil bom tudi nekaj pomembnih sprememb, ki še prihajajo a so že bile objavljene.

Razno

-          Azure Active Directory (Azure AD oz. AAD) je bil preimenovan v Microsoft Entra ID (ME-ID). S tem so se preimenovali tudi vsi povezani produkti:

A blue rectangular sign with white text Description automatically generated

Razlog za preimenovanje je nova družina produktov Microsoft Entra (skupina produktov za upravljanje identitet in mrežnega dostopa), del katere je sedaj tudi ME-ID.

-          Windows Server 2012/R2 se bliža koncu uradne podpore. Za stranke, ki imajo nameščene strežnike s tem operacijskim sistemom na svojem okolju, od začetka oktobra ni več brezplačnega rednega mesečnega posodabljanja. Če se stranka odloči migrirati te strežnike na Azure platformo, dobi s tem vključeno brezplačno podaljšano podporo do oktobra 2026 (na voljo so tako kritični kot pomembni mesečni popravki). Enako velja tudi za SQL Server 2012 (do julija 2025). Namesto migracije v oblak se lahko stranka odloči za migracijo strežnikov na Azure Stack HCI platformo ali pa za Azure Arc s plačljivim Extended Security Updates (ESU) dodatkom.

-          Azure Migrate po novem omogoča poleg migracije še nadgradnjo operacijskega sistema (OS). Ko se v celoti naredi nova kopija strežnika na Azure platformo, lahko izvedemo na kopiji testno migracijo. Če želimo, lahko tekom testne migracije poskusimo tudi nadgradnjo operacijskega sistema. Ko je test zaključen, pobrišemo testne kopije in naredimo produkcijsko migracijo. Trenutno so podprte nadgradnje operacijskih sistemov:

Trenuten OS Možna nadgradnja na
Windows Server 2012 Windows Server 2016
Windows Server 2012 R2 Windows Server 2016/2019
Windows Server 2016 Windows Server 2019/2022
Windows Server 2019 Windows Server 2022

-          Azure SQL Database ima na voljo novo, brezplačno, velikost: free. Brezplačna velikost ima mesečno na voljo do 32 GB prostora na General Purpose serverless (100.000 vCore sekund/mesec) infrastrukturi. Če/ko je dosežen limit, se lahko plačuje razlika po porabi oz. začasno (do začetka naslednjega meseca) ustavi bazo.

-          Azure Storage Mover omogoča migracijo obstoječih datotečnih strežnikov (lift-and-shift migracija datotek in mape v skupni rabi) na Azure Storage. Poleg podpore za NFS je po novem na voljo tudi podpora za SMB.

Podatkovni centri

-          Aprila smo dobili v Evropi novo regijo (Azure podatkovni center) na Poljskem (Varšava).

-          Oktobra smo dobili v Evropi novo regijo še v severni Italiji (Milan).

-          Vse nove regije imajo že ob postavitvi podporo za »Azure Availability Zones«, kar nam omogoča razpršitev storitev/podatkov preko treh fizičnih lokacij (neodvisno napajanje, mreža in hlajenje) v isti regiji. Round-trip latency je med lokacijami znotraj ene regije manj kot 2ms.

-          Najavljene regije za Evropo: Avstrija (Dunaj), Belgija (Bruselj), Danska (Kopenhagen), Finska (Helsinki), Grčija (Atene) in Španija (Madrid).

Mrežna infrastruktura

-          Azure Firewall je od marca letos na voljo tudi v cenovno ugodnejši Basic velikosti, namenjeni malim in srednje-velikim podjetjem. Funkcionalno je zelo podoben Standard verziji a z manjšo skupno propustnostjo (do 250 Mbps).

-          Azure Firewall po novem omogoča hiter in enostaven preklop med Standard in Premium velikostjo. Sprememba se lahko naredi v obe smeri in ne povzroči nedosegljivosti servisa.

-          Azure Firewall privzeto deluje kot transparenten proxy strežnik, za kar moramo pripraviti ustrezno preusmeritev mrežnega prometa. Po novem lahko aktiviramo tudi podporo za ekspliciten proxy (klasična konfiguracija, kjer moramo nato ustrezno nastaviti še aplikacijo, ki potrebuje dostop do interneta - z naslovom proxy strežnika preko HTTP, HTTPS ali PAC povezave).

-          Za dostop do interneta imajo trenutno vsi virtualni strežniki na voljo t.i. privzeto odhodno konfiguracijo (default outbound access), ki se ukinja septembra 2025. Razlog je postopna migracija v »secure-by-default« model. Sprememba bo po datumu vpeljave vplivala samo na nove postavitve strežnikov, lastniki obstoječih strežnikov pa bodo o tem predhodno obveščeni. Če bo nov strežnik potreboval dostop do interneta, mu bo le-tega potrebno eksplicitno omogočiti z ustrezno postavitvijo/konfiguracijo (npr. namenski javni IP, NAT gateway, basic/standard public load balancer,…). Diagram of explicit outbound options.

-          Azure stranke lahko po novem generirajo (testirajo) prenos podatkov med Azure virtualnimi strežniki do hitrosti 200 Gbps, za dostop do diskovja pa imajo na voljo do 10GBps in 400K IOPS.

-          Ščitenje javnih IP-jev (IPv4 in IPv6) z napredno DDoS zaščito je po novem cenovno dosegljivo tudi manjšim strankam z IP Protection SKU (plačuje se po porabi, glede na število ščitenih javnih IP-jev). Pred tem smo imeli na voljo brezplačen Azure DDoS infrastructure protection in plačljiv DDoS Network Protection (DDoS Network Protection se kupuje v paketih po 100 in dodatno omogoča še nekaj funkcionalnosti, ki niso na voljo z IP Protection: DDoS rapid response support, Cost protection ter WAF popusti).

Varovanje podatkov

-          Za varovanje podatkov se klasično uporablja izdelava varnostnih kopij (backup). Na Azure infrastrukturi lahko varnostne kopije hranimo v dveh različnih storitvah: Recovery Services vault in Backup vault. Katero bomo izbrali, je odvisno od lokacije in tipa podatka, ki ga želimo varovati. Po novem imata obe storitvi podporo za Multi-user authorization (MUA), ki od administratorja zahteva, da pri večjih spremembah (brisanje podatkov, sprememba/izklop varovanja,…) varnostnega okolja/politik predhodno dobi dodatno odobritev (začasen privilegij) od tretje osebe.

-          Stranke, ki hranijo varnostne kopije strežnikov v Recovery Services vault-u, lahko po novem naredijo obnovo strežnika ali posameznega diska v drugo Azure naročnino, vključno z obnovo isto ali drugo Azure cono in regijo.

-          Za varno oddaljeno upravljanje (RDP in SSH) strežnikov (Windows in Linux) smo tradicionalno administratorji uporabljali VPN. Namesto tega lahko na Azure platformi postavimo Azure Bastion, ki je nekaj podobnega kot bolj tradicionalni RD Gateway servis. Azure Bastion je po novem na voljo v treh cenovnih/funkcionalnih velikostih: developer, basic in standard. Nova developer velikost bo omogočila administratorju dostop do ene virtualke naenkrat preko privzetih portov (RDP – 3389, SSH - 22). Funkcionalno bo velikost developer omogočala manj kot basic in bo tudi dosti cenejša. Zaenkrat je Azure Bastion developer še povsem brezplačen.

Virtualni strežniki

-          V začetku septembra je Microsoft trajno ugasnil vse virtualne strežnike, ki so bili postavljeni z Azure Service Manager-jem (ASM) – novih virtualnih strežnikov se ni dalo več postaviti z ASM že od februarja 2020, starejši pa so do sedaj delali nemoteno. Od 2014 imamo za postavitev novih strežnikov na voljo Azure Resource Manager (ARM), ki sedaj že nekaj časa omogoča vse, kar smo lahko prej naredili z ASM-jem. Če je kje še kak star, sedaj ugasnjen, strežnik in ga ne potrebujemo več, ga lahko izbrišemo, drugače pa moramo za nadaljnjo uporabo narediti migracijo iz ASM na ARM.

-          Novi Azure virtualni strežniki generacije 2 (UEFI, SCSI krmilnik, OS disk 2TB+,…) imajo privzeto vklopljen trusted launch (Secure Boot, vTPM,…).

-          Obstoječe Azure virtualne strežnike generacije 2 se lahko hitro in enostavno nadgradi s podporo za trusted launch.

-          Azure Compute Gallery ima nov dodatek - community gallery, kjer lahko vse stranke po želji objavijo svoje prilagojene slike (VM image) in jih tako dajo brezplačno na voljo ostalim Azure uporabnikom.

-          Azure Update Manager (AUM; SaaS rešitev; bivši Update Management Center) je uradno na voljo za samodejno (kontrolirano) nameščanje posodobitev tako za Windows kot tudi Linux strežnike. Nameščanje SQL Server posodobitev je trenutno v fazi testiranja. V AUM se lahko doda poljuben strežnik, ki ima dostop do interneta (strežnik potrebuje Azure Connected Machine agenta – Azure Arc…). Na strežnikih povezanih z Azure Arc lahko AUM upravlja tudi ESU posodobitve. Za Azure strežnike je AUM storitev brezplačna, za Azure Arc (brezplačen servis) strežnike pa je to plačljiv dodatek. Na vseh strežnikih lahko pred začetkom posodabljanja in/ali po zaključku avtomatiziramo tudi zagon poljubnih skript.

-          Hotpatching je novost pri posodabljanju Windows strežnikov, ki ob rednem mesečnem posodabljanju omogoča posodabljanje brez ponovnega zagona. Trenutno je hotpatch na voljo za virtualne strežnike na Azure in Azure Stack HCI platformi, ki so bili kreirani z Windows Server 2022 Datacenter Azure Edition operacijskim sistemom (core in desktop experience).

-          Stranke, ki želijo postaviti zelo velike strežnike na Azure infrastrukturi, imajo po novem na voljo strežniške konfiguracije s 6TB, 8TB in 12TB pomnilnika ter do 416 vCPU jeder. Vse te konfiguracije imajo tudi SAP certifikacijo.

-          Za vse AKS stranke je po novem na voljo Kubernetes marketplace (first-party in third-party rešitve) in Azure Linux za gostiteljski (host) OS. Azure Linux je Microsoftova distribucija CBL-Mariner za Linux, ki je podprta kot gostiteljski OS za AKS.

-          Azure Image Builder nam omogoča avtomatizirano izdelavo prilagojenih slik (VM image-ov) za postavitev novih strežnikov (Windows, Linux, Gen1, Gen2). Po novem se ga da v celoti upravljati tudi preko spletnega grafičnega vmesnika (Azure Portal).

Poleg vseh naštetih novosti, s katerimi sem se srečal pri svojem delu, je še veliko sprememb na drugih produktih, ki pa jih malo ali celo nič ne uporabljam. V kolikor vas zanima več o spremembah na Azure platformi, vam svetujem spremljanje Azure updates in Azure blog portalov (oba portala imata na voljo tudi RSS vir).

 

Avtor: Jože Markič


Potrebuješ pomoč?
Potrebuješ pomoč?