Disponibili Windows Server 2022: Azure Edition (general availability), hotpatch (preview), automanage (preview) e configuration management (preview) in Microsoft Azure
Abbiamo già visto nell’articolo Windows Server 2022: tutte le novità – ICT Power quali sono le principali novità del nuovo sistema operativo Windows Server 2022.
Windows Server 2022 è stato infatti rilasciato in 3 versioni: Standard, Datacenter e Azure Edition e tutte le versioni avranno sia la modalità di installazione Core che quella Desktop Experience, come per le precedenti versioni di Windows Server. Trovate un confronto tra le diverse versioni alla pagina Confronto tra le edizioni Standard, Datacenter e Datacenter: Azure Edition di Windows Server 2022 – ICT Power
La versione Azure Edition è disponibile però solo online in Azure e on-premises in Azure Stack HCI ed è stata rilasciata in General Availability (GA) qualche giorno fa, come riportato dall’articolo Windows Server 2022 Datacenter: Azure Edition Available on Azure – Microsoft Tech Community
Per creare direttamente dal portale di Azure maccine virtuali con la versione Windows Server 2022: Azure Edition potete utilizzare il collegamento diretto Windows Server 2022 Datacenter: Azure Edition.
Tra le novità più interessanti di Windows Server 2022: Azure Edition c’è sicuramente Azure Automanage – Hotpatch, parte di Gestione automatica di Azure. L’hotpatching è un nuovo modo per installare gli aggiornamenti nelle nuove macchine virtuali di Azure Edition di Windows Server che non richiedono un riavvio dopo l’installazione. Altre informazioni sono disponibili nella documentazione Gestione automatica di Azure.
I vantaggi sono:
- Riduzione dell’impatto del carico di lavoro con un minor numero di riavvii
- Distribuzione più rapida degli aggiornamenti poiché i pacchetti sono più piccoli, l’installazione più veloce e l’orchestrazione delle patch con Gestione aggiornamenti di Azure è più semplice
- Protezione migliore, poiché l’ambito dei pacchetti di aggiornamento di Hotpatch è Windows aggiornamenti della sicurezza che vengono installati più velocemente senza riavviare
La funzionalità di Hotpatch è attualmente in Preview e deve essere preventivamente abilitata. Potete abilitarla sia dal portale di Azure che tramite PowerShell, deve essere fatta una sola volta ed è necessaria per ogni sottoscrizione.
Dal portale di Azure cercate Preview features e filtrate la voce Patch. Come si può vedere dalla figura sotto, sono disponibili 3 voci:
- On-demand VM guest patching preview
- Hotpatch preview
- Automatic VM guest patching preview
Selezionatele e abilitatele tutte.
Figura 1: Abilitazione delle funzionalità in preview
Figura 2: Le funzionalità di patching in preview sono state registrate
In alternativa è possibile eseguire i seguenti comandi di PowerShell, utilizzando la Azure Cloud Shell.
1 2 3 4 5 |
Register-AzProviderFeature -FeatureName InGuestHotPatchVMPreview -ProviderNamespace Microsoft.Compute Register-AzProviderFeature -FeatureName InGuestAutoPatchVMPreview -ProviderNamespace Microsoft.Compute Register-AzProviderFeature -FeatureName InGuestPatchVMPreview -ProviderNamespace Microsoft.Compute |
Creazione della VM e abilitazione di Automatic VM guest patching e Hotpatch
Per poter abilitare l’Automatic VM guest patching e hotpatch è necessario che il sistema operativo abbia i prerequisiti indicati alla pagina Automatic VM Guest Patching for Azure VMs – Azure Virtual Machines | Microsoft Docs
Durante l’anteprima, l’applicazione automatica delle patch alle macchine virtuali viene abilitata automaticamente per tutte le macchine virtuali create con un’immagine Windows Server Azure Edition supportata.
- Le patch classificate come Critiche o di Sicurezza vengono scaricate e applicate automaticamente nella macchina virtuale.
- Le patch vengono applicate durante le ore di minore attività nel fuso orario della macchina virtuale.
- L’orchestrazione delle patch viene gestita da Azure e le patch vengono applicate in base ai principi di prima disponibilità
- L’integrità della macchina virtuale, come determinato tramite i segnali di integrità della piattaforma, viene monitorata per rilevare gli errori di applicazione di patch.
Figura 3: Funzionamento di Hotpatch
Al momento, durante questa fase di preview pubblica, l’unica immagine disponibile per il test di autopatch è Windows Server 2022 Datacenter: Azure Edition
Core, disponibile direttamente al link https://aka.ms/ws2022ae-portal-preview
Figura 4: Immagine di Windows Server 2022 Datacenter: Azure Edition Core
Figura 5: Creazione di una nuova VM con l’immagine di Windows Server 2022 Datacenter: Azure Edition Core
Nella scheda Management durante il wizard di creazione della VM abilitate la funzionalità di Hotpatch (preview). Con l’opzione Hotpatch abilitata nelle macchine virtuali Windows Server Azure Edition supportate, la maggior parte degli aggiornamenti di sicurezza mensili viene distribuita come aggiornamenti a caldo che non richiedono riavvii. Gli aggiornamenti cumulativi più recenti pianificati o non pianificati richiederanno il riavvio della macchina virtuale. È anche possibile che siano disponibili periodicamente patch di sicurezza o critiche aggiuntive che potrebbero richiedere il riavvio della macchina virtuale.
Figura 6: Abilitazione della funzionalità di Hotpatch
Figura 7: Riepilogo delle configurazioni scelte per la VM
Abilitazione della funzionalità di Azure Automanage for Virtual Machines
L’immagine che abbiamo scelto supporta anche la funzionalità Azure Automanage for Windows Server | Microsoft Docs. Questa funzionalità permette di gestire le configurazioni delle macchine virtuali senza la necessità che un utente lo faccia manualmente e nel caso la configurazione si discosti da quella impostata viene applicata automaticamente la correzione opportuna. Si tratta fondamentalmente di applicare le best practices per la gestione delle macchine virtuali.
In particolare, vengono monitorati ed attivati i seguenti servizi:
- Monitoraggio Insights computer
- Backup
- Microsoft Defender per cloud
- Microsoft Antimalware
- Gestione degli aggiornamenti
- Rilevamento modifiche & inventario
- Configurazione guest
- Diagnostica di avvio
- Windows Admin Center
- Automazione di Azure account
- Area di lavoro Log Analytics
Figura 8: Servizi gestiti da Azure Automanage
La funzionalità di Azure Automanage può essere abilitata sia al momento della creazione della VM, direttamente nella scheda Management del wizard di creazione, sia successivamente, per tutte le versioni di Windows Server e distribuzioni di Linux supportate.
Figura 9: Abilitazione della funzionalità di Azure Automanage durante la creazione della VM
In questo esempio ho scelto di utilizzare le Azure Best Practices come preferenze di configurazione e di indicare come ambiente quello di Produzione, in modo da abilitare sia il Backup che gli Insights. Maggiori informazioni sui profili sono disponibili alla pagina Azure Automanage for virtual machines | Microsoft Docs
Figura 10: Abilitazione della funzionalità di Azure Automanage per una VM già esistente (supportata)
Figura 11: Abilitazione della funzionalità di Azure Automanage in corso
Figura 12: Abilitazione della funzionalità di Azure Automanage in corso
Dopo qualche minuto, sarà possibile verificare la corretta attivazione della funzionalità sulle Azure VM cliccando su Go to Automanage.
Figura 13: Funzionalità di Automanage attivata
Figura 14: La funzionalità di Azure Automanage è attivata ed è ora possibile configurarla
A titolo di esempio sotto sono mostrate alcune delle funzionalità di cui è stato effettuato l’onboarding da Azure Automanage e che soddisfano le best practices consigliate da Microsoft.
Figura 15: Funzionalità abilitate da Azure Automanage
Figura 16: Abilitazione del backup della VM
Figura 17: Abilitazione di Azure VM Insights
Abilitare Configuration management (Preview)
Desired State Configuration Management è un servizio di gestione della configurazione di Azure che consente di scrivere, gestire e compilare le configurazioni di PowerShell DSC (Desired State Configuration) per le macchine virtuali. Il servizio importa anche le risorse DSC e assegna le configurazioni ai nodi di destinazione, tutto nel cloud. È possibile abilitare facilmente le macchine, assegnare alle stesse configurazioni dichiarative e visualizzare report che mostrano la conformità di ogni macchina con lo stato desiderato specificato.
Per configurare il servizio è sufficiente utilizzare il nodo Configuration management (preview) delle VM supportate. Scegliete quale workspace di Log Analytics e quale Automation
Account utilizzare, come richiesto. È possibile configurare la frequenza con cui verranno effettuati i controlli di compliance (il minimo è ogni 15 minuti) e come configurare il Configuration mode, scegliendo tra ApplyAndMonitor, Apply e ApplyAndAutoCorrect. Dopo aver effettuato le scelte cliccate su Enable.
Figura 18: Abilitazione di Configuration Management (preview)
Figura 19: Per l’abilitazione è necessario attendere alcuni minuti
L’estensione DSC di Azure usa il framework dell’agente VM di Azure per recapitare, applicare e generare report sulle configurazioni DSC in esecuzione nelle VM di Azure. L’estensione DSC accetta un documento di configurazione e un set di parametri. Se non viene fornito alcun file, uno script di configurazione predefinito viene incorporato con l’estensione e viene utilizzato per l’onboarding della macchina virtuale nel servizio Automation DSC per Azure.
Da Set desired configuration potete creare una nuova configurazione scegliendo il comando Compose
configuration oppure ne potete importare alcune già pronte. Alla pagina Panoramica di DSC (Desired State Configuration) per Azure – Azure Virtual Machines | Microsoft Docs trovate maggiori informazioni.
Figura 20: Creazione di una nuova configurazione DSC
A titolo di esempio ho creato una nuova configurazione che si occuperà di rinominare il computer. Nelle figure sotto sono mostrati i semplici passaggi necessari:
Figura 21: Creazione di una configurazione che si occupa di rinominare il computer
Figura 22: Codice generato da PowerShell Desired State configuration
Figura 23: Parametri richiesti dalla configurazione ed eventuali credenziali necessarie all’esecuzione della stessa
Figura 24: Salvataggio ed assegnazione della configurazione
Figura 25: Job di esecuzione di PowerShell Desired State configuration
Per verificare l’esecuzione dei job vi rimando alle informazioni contenute alla pagina Get started with Azure Automation State Configuration | Microsoft Docs
Una volta assegnato lo script potrete verificare dalla pagina di Configuration management (preview) se l’attuale stato della Azure VM risulta Compliant o meno. Di default il configuration mode è configurato nella modalità ApplyAndMonitor; quindi, si limiterà solo a indicarvi se la configurazione è corretta o meno, senza apportare alcun tipo di modifica.
NOTA: lo stato di compliance viene monitorato ogni 15 minuti
Figura 26: Stato di compliance della Azure VM
Per creare configurazioni personalizzate potete seguire le indicazioni presenti nella guida Comporre configurazioni DSC | Microsoft Docs
Tutte le configurazioni create sono anche visibili nel nodo State Configuration (DSC) dell’Automation
Account che state utilizzando e che avete indicato al momento dell’abilitazione di Configuration management (preview).
Figura 27: Configurazioni applicate tramite Desired State Configuration
Cliccando sul nome della configurazione potrete verificare anche lo storico dei controlli che sono stati effettuati e monitorare sempre lo stato di compliance della Azure VM rispetto alle configurazioni che avete deciso di distribuire.
Figura 28: Controlli effettuati da PowerShell DSC
Se volete applicare le configurazioni richieste invece che limitarvi al solo monitoraggio della compliance, vi basterà modificare la modalità di esecuzione del configuration mode da ApplyAndMonitor ad ApplyAndAutoCorrect aprendo Azure Cloud Shell e utilizzando il comando:
1 |
Register-AzAutomationDscNode -ResourceGroupName 'MyResourceGroup' -AutomationAccountName 'myAutomationAccount' -AzureVMName 'MyVM' -ConfigurationMode 'ApplyAndAutoCorrect' |
Ulteriori informazioni sono contenute alla pagina Configurare i computer a uno stato desiderato in Automazione di Azure | Microsoft Docs
Conclusioni
Diverse sono le novità introdotte in Azure per la gestione automatizzata delle Azure VM. Le funzionalità introdotte semplificano di molto le configurazioni e permettono di applicare, senza errori da parte dell’IT, le best practices e le configurazioni più idonee ma soprattutto più sicure per i nostri workloads.