Disponibili Windows Server 2022: Azure Edition (general availability), hotpatch (preview), automanage (preview) e configuration management (preview) in Microsoft Azure

Abbiamo già visto nell’articolo Windows Server 2022: tutte le novità – ICT Power quali sono le principali novità del nuovo sistema operativo Windows Server 2022.

Windows Server 2022 è stato infatti rilasciato in 3 versioni: StandardDatacenter e Azure Edition e tutte le versioni avranno sia la modalità di installazione Core che quella Desktop Experience, come per le precedenti versioni di Windows Server. Trovate un confronto tra le diverse versioni alla pagina Confronto tra le edizioni Standard, Datacenter e Datacenter: Azure Edition di Windows Server 2022 – ICT Power

La versione Azure Edition è disponibile però solo online in Azure e on-premises in Azure Stack HCI ed è stata rilasciata in General Availability (GA) qualche giorno fa, come riportato dall’articolo Windows Server 2022 Datacenter: Azure Edition Available on Azure – Microsoft Tech Community

Per creare direttamente dal portale di Azure maccine virtuali con la versione Windows Server 2022: Azure Edition potete utilizzare il collegamento diretto Windows Server 2022 Datacenter: Azure Edition.

Tra le novità più interessanti di Windows Server 2022: Azure Edition c’è sicuramente Azure Automanage – Hotpatch, parte di Gestione automatica di Azure. L’hotpatching è un nuovo modo per installare gli aggiornamenti nelle nuove macchine virtuali di Azure Edition di Windows Server che non richiedono un riavvio dopo l’installazione. Altre informazioni sono disponibili nella documentazione Gestione automatica di Azure.

I vantaggi sono:

  • Riduzione dell’impatto del carico di lavoro con un minor numero di riavvii
  • Distribuzione più rapida degli aggiornamenti poiché i pacchetti sono più piccoli, l’installazione più veloce e l’orchestrazione delle patch con Gestione aggiornamenti di Azure è più semplice
  • Protezione migliore, poiché l’ambito dei pacchetti di aggiornamento di Hotpatch è Windows aggiornamenti della sicurezza che vengono installati più velocemente senza riavviare

La funzionalità di Hotpatch è attualmente in Preview e deve essere preventivamente abilitata. Potete abilitarla sia dal portale di Azure che tramite PowerShell, deve essere fatta una sola volta ed è necessaria per ogni sottoscrizione.

Dal portale di Azure cercate Preview features e filtrate la voce Patch. Come si può vedere dalla figura sotto, sono disponibili 3 voci:

  • On-demand VM guest patching preview
  • Hotpatch preview
  • Automatic VM guest patching preview

Selezionatele e abilitatele tutte.

Figura 1: Abilitazione delle funzionalità in preview

Figura 2: Le funzionalità di patching in preview sono state registrate

In alternativa è possibile eseguire i seguenti comandi di PowerShell, utilizzando la Azure Cloud Shell.

 

Creazione della VM e abilitazione di Automatic VM guest patching e Hotpatch

Per poter abilitare l’Automatic VM guest patching e hotpatch è necessario che il sistema operativo abbia i prerequisiti indicati alla pagina Automatic VM Guest Patching for Azure VMs – Azure Virtual Machines | Microsoft Docs

Durante l’anteprima, l’applicazione automatica delle patch alle macchine virtuali viene abilitata automaticamente per tutte le macchine virtuali create con un’immagine Windows Server Azure Edition supportata.

  • Le patch classificate come Critiche o di Sicurezza vengono scaricate e applicate automaticamente nella macchina virtuale.
  • Le patch vengono applicate durante le ore di minore attività nel fuso orario della macchina virtuale.
  • L’orchestrazione delle patch viene gestita da Azure e le patch vengono applicate in base ai principi di prima disponibilità
  • L’integrità della macchina virtuale, come determinato tramite i segnali di integrità della piattaforma, viene monitorata per rilevare gli errori di applicazione di patch.

Figura 3: Funzionamento di Hotpatch

Al momento, durante questa fase di preview pubblica, l’unica immagine disponibile per il test di autopatch è Windows Server 2022 Datacenter: Azure Edition
Core, disponibile direttamente al link https://aka.ms/ws2022ae-portal-preview

Figura 4: Immagine di Windows Server 2022 Datacenter: Azure Edition Core

Figura 5: Creazione di una nuova VM con l’immagine di Windows Server 2022 Datacenter: Azure Edition Core

Nella scheda Management durante il wizard di creazione della VM abilitate la funzionalità di Hotpatch (preview). Con l’opzione Hotpatch abilitata nelle macchine virtuali Windows Server Azure Edition supportate, la maggior parte degli aggiornamenti di sicurezza mensili viene distribuita come aggiornamenti a caldo che non richiedono riavvii. Gli aggiornamenti cumulativi più recenti pianificati o non pianificati richiederanno il riavvio della macchina virtuale. È anche possibile che siano disponibili periodicamente patch di sicurezza o critiche aggiuntive che potrebbero richiedere il riavvio della macchina virtuale.

Figura 6: Abilitazione della funzionalità di Hotpatch

Figura 7: Riepilogo delle configurazioni scelte per la VM

Abilitazione della funzionalità di Azure Automanage for Virtual Machines

L’immagine che abbiamo scelto supporta anche la funzionalità Azure Automanage for Windows Server | Microsoft Docs. Questa funzionalità permette di gestire le configurazioni delle macchine virtuali senza la necessità che un utente lo faccia manualmente e nel caso la configurazione si discosti da quella impostata viene applicata automaticamente la correzione opportuna. Si tratta fondamentalmente di applicare le best practices per la gestione delle macchine virtuali.

In particolare, vengono monitorati ed attivati i seguenti servizi:

Figura 8: Servizi gestiti da Azure Automanage

La funzionalità di Azure Automanage può essere abilitata sia al momento della creazione della VM, direttamente nella scheda Management del wizard di creazione, sia successivamente, per tutte le versioni di Windows Server e distribuzioni di Linux supportate.

Figura 9: Abilitazione della funzionalità di Azure Automanage durante la creazione della VM

In questo esempio ho scelto di utilizzare le Azure Best Practices come preferenze di configurazione e di indicare come ambiente quello di Produzione, in modo da abilitare sia il Backup che gli Insights. Maggiori informazioni sui profili sono disponibili alla pagina Azure Automanage for virtual machines | Microsoft Docs

Figura 10: Abilitazione della funzionalità di Azure Automanage per una VM già esistente (supportata)

Figura 11: Abilitazione della funzionalità di Azure Automanage in corso

Figura 12: Abilitazione della funzionalità di Azure Automanage in corso

Dopo qualche minuto, sarà possibile verificare la corretta attivazione della funzionalità sulle Azure VM cliccando su Go to Automanage.

Figura 13: Funzionalità di Automanage attivata

Figura 14: La funzionalità di Azure Automanage è attivata ed è ora possibile configurarla

A titolo di esempio sotto sono mostrate alcune delle funzionalità di cui è stato effettuato l’onboarding da Azure Automanage e che soddisfano le best practices consigliate da Microsoft.

Figura 15: Funzionalità abilitate da Azure Automanage

Figura 16: Abilitazione del backup della VM

Figura 17: Abilitazione di Azure VM Insights

Abilitare Configuration management (Preview)

Desired State Configuration Management è un servizio di gestione della configurazione di Azure che consente di scrivere, gestire e compilare le configurazioni di PowerShell DSC (Desired State Configuration) per le macchine virtuali. Il servizio importa anche le risorse DSC e assegna le configurazioni ai nodi di destinazione, tutto nel cloud. È possibile abilitare facilmente le macchine, assegnare alle stesse configurazioni dichiarative e visualizzare report che mostrano la conformità di ogni macchina con lo stato desiderato specificato.

Per configurare il servizio è sufficiente utilizzare il nodo Configuration management (preview) delle VM supportate. Scegliete quale workspace di Log Analytics e quale Automation
Account utilizzare, come richiesto. È possibile configurare la frequenza con cui verranno effettuati i controlli di compliance (il minimo è ogni 15 minuti) e come configurare il Configuration mode, scegliendo tra ApplyAndMonitor, Apply e ApplyAndAutoCorrect. Dopo aver effettuato le scelte cliccate su Enable.

Figura 18: Abilitazione di Configuration Management (preview)

Figura 19: Per l’abilitazione è necessario attendere alcuni minuti

L’estensione DSC di Azure usa il framework dell’agente VM di Azure per recapitare, applicare e generare report sulle configurazioni DSC in esecuzione nelle VM di Azure. L’estensione DSC accetta un documento di configurazione e un set di parametri. Se non viene fornito alcun file, uno script di configurazione predefinito viene incorporato con l’estensione e viene utilizzato per l’onboarding della macchina virtuale nel servizio Automation DSC per Azure.

Da Set desired configuration potete creare una nuova configurazione scegliendo il comando Compose
configuration oppure ne potete importare alcune già pronte. Alla pagina Panoramica di DSC (Desired State Configuration) per Azure – Azure Virtual Machines | Microsoft Docs trovate maggiori informazioni.

Figura 20: Creazione di una nuova configurazione DSC

A titolo di esempio ho creato una nuova configurazione che si occuperà di rinominare il computer. Nelle figure sotto sono mostrati i semplici passaggi necessari:

Figura 21: Creazione di una configurazione che si occupa di rinominare il computer

Figura 22: Codice generato da PowerShell Desired State configuration

Figura 23: Parametri richiesti dalla configurazione ed eventuali credenziali necessarie all’esecuzione della stessa

Figura 24: Salvataggio ed assegnazione della configurazione

Figura 25: Job di esecuzione di PowerShell Desired State configuration

Per verificare l’esecuzione dei job vi rimando alle informazioni contenute alla pagina Get started with Azure Automation State Configuration | Microsoft Docs

Una volta assegnato lo script potrete verificare dalla pagina di Configuration management (preview) se l’attuale stato della Azure VM risulta Compliant o meno. Di default il configuration mode è configurato nella modalità ApplyAndMonitor; quindi, si limiterà solo a indicarvi se la configurazione è corretta o meno, senza apportare alcun tipo di modifica.

NOTA: lo stato di compliance viene monitorato ogni 15 minuti

Figura 26: Stato di compliance della Azure VM

Per creare configurazioni personalizzate potete seguire le indicazioni presenti nella guida Comporre configurazioni DSC | Microsoft Docs

Tutte le configurazioni create sono anche visibili nel nodo State Configuration (DSC) dell’Automation
Account che state utilizzando e che avete indicato al momento dell’abilitazione di Configuration management (preview).

Figura 27: Configurazioni applicate tramite Desired State Configuration

Cliccando sul nome della configurazione potrete verificare anche lo storico dei controlli che sono stati effettuati e monitorare sempre lo stato di compliance della Azure VM rispetto alle configurazioni che avete deciso di distribuire.

Figura 28: Controlli effettuati da PowerShell DSC

Se volete applicare le configurazioni richieste invece che limitarvi al solo monitoraggio della compliance, vi basterà modificare la modalità di esecuzione del configuration mode da ApplyAndMonitor ad ApplyAndAutoCorrect aprendo Azure Cloud Shell e utilizzando il comando:

 

Ulteriori informazioni sono contenute alla pagina Configurare i computer a uno stato desiderato in Automazione di Azure | Microsoft Docs

Conclusioni

Diverse sono le novità introdotte in Azure per la gestione automatizzata delle Azure VM. Le funzionalità introdotte semplificano di molto le configurazioni e permettono di applicare, senza errori da parte dell’IT, le best practices e le configurazioni più idonee ma soprattutto più sicure per i nostri workloads.