Gestiamo molte Azure Virtual Machines e vogliamo semplificare l’adozione delle best practice? Un nuovo servizio Azure è disponibile per aiutarci.
Gestire la conformità delle VM nel proprio ambiente Azure alle best practice di sicurezza, compliance e disaster recovery, grazie alla gamma in continuo ampliamento di servizi offerti da Azure diventa un task sempre più strutturato ma contemporaneamente anche più gravoso come effort amministrativo.
Presentiamo quindi un nuovo servizio Azure in preview pensato per gestire l’onboarding intelligente delle best practices di MS per le VM Azure e la loro configurazione automatica.
Azure Automanage consente di ottimizzare le operazioni di deploy delle VM Azure automatizzando la configurazione di Azure Backup, Update Management e Security Center con un approccio che favorisce la scalabilità.
Anche il monitoraggio viene reso più agevole da questo servizio, che può rilevare eventuali deviazioni dalla configurazione desiderata.
Un’ulteriore valore aggiunto è dato dalla possibilità di implementare best practices di sicurezza (cloud adoption framework) e adattarle ai requisiti della propria organizzazione, distribuendo di default il Windows Defender.
N.B Il servizio è attualmente in preview senza alcun costo, il prezzo verrà annunciato in futuro e verrà inviata una comunicazione prima che termini il periodo di preview.
Onboarding
Il servizio Automanage si può attivare con pochi e semplici passaggi, ne mostriamo i principali.
Dalla gallery del portale Azure cerchiamo la risorsa di tipo: “Automanage”.
Scegliamo quindi “Enable on existing VM”.
Scegliendo poi “Select Machines….” visualizziamo un elenco delle VM in uno stato idoneo per attivare la feature. Vediamo subito come l’esperienza d’uso sia stata orientata alla massima semplicità, consentendo di effettuare il deploy del servizio con un semplice click sulle VM, e alla scalabilità, in quanto è possibile selezionare contemporaneamente un numero qualsiasi di VM
Attivando l’apposita flag è anche possibile evidenziare le VM in stato “Ineligible” con la relativa motivazione, per es. in questo caso troviamo delle VM spente o che hanno la feature già abilitata, quindi non disponibili:
Dopo aver selezionato la VM che intendiamo gestire, da Select configuration profile possiamo scegliere tra due template già presenti, ognuno contenente un determinato set di servizi abilitabili: Dev/Test e Production (all’interno di ogni profilo è poi possibile personalizzare le preferenze per i singoli servizi). Scegliamo per il momento il primo che presenta un elenco più minimale di servizi da gestire
Mentre il template Production contiene una serie più completa di servizi, aggiungendo anche “Backup” e “Virtual Machine Insights Monitoring”:
Infine nelle opzioni Avanzate possiamo creare l’account di tipo Azure Managed Identity, che rappresenta i il contesto di sicurezza di Azure Active Directory in cui verranno eseguite le azioni sulle VM: questo viene generato in automatico con possibilità di crearne uno nuovo:
La possibilità di creare un Automanage Account addizionale può essere utile nei contesti con grandi volumi di servizi, in cui operano diversi amministratori di sistema suddividendosi la gestione delle VM. Avendo account separati è possibile avere visibilità nei log di chi sta gestendo con Automanage un determinato gruppo di macchine.
A questo punto scegliendo “Enable” attiviamo il servizio: viene creato l’Automanage Account, il Configuration Profile e la sua assegnazione alla VM selezionata, il cui stato appare inizialmente come “In Progress” mentre i vari servizi vengono configurati.
Terminato il deploy, vengono evidenziate le VM su cui l’Automanaged è stato abilitato con successo, in stato “Configured”.
Possiamo andare a verificare come in Automanage abbia effettuato diverse configurazioni “dietro le quinte”, nonostante la rapidità del processo di onboarding.
Ad esempio, all’interno dei singoli blade nelle VM su cui è stato attivato, prima dell’aggiunta di Automanage alcune feature erano senza configurazione, per esempio “Insights”
Mentre dopo il deploy vediamo che è stata effettuata una configurazione e Insights ci mette a disposizione diversi dettagli sulla configurazione Azure della VM e del suo sistema operativo, con tanto di mappa interattiva:
Anche il servizio Azure Backup è stato configurato, con un’apposita vault per la VM e la Default Policy associata (mostreremo alla fine come personalizzare la policy e impostare una configurazione diversa da quella di default).
Allo stesso modo anche il Change Tracking, che ci consente di esaminare file del sistema operativo e degli applicativi per tenere traccia di modifiche al software e ai servizi, e così via per numerosi altri servizi.
Ad esempio Azure Security Center e Update Management, che ci consente di automatizzare e schedulare i Windows Update gestendone l’esecuzione da una dashboard centralizzata. Per questa feature Automanage si occupa anche di configurare tutti i prerequisiti, creando anche un apposito Automation Account collegato a un Log Analytics Workspace per
Personalizzazione e automatizzazione
E’ possibile effettuare un “tuning” delle configurazioni dei vari servizi per adattarle alle esigenze specifiche del proprio scenario. Durante il deploy, all’interno di un Configuration Profile (es. Production) basta seguire il link “Create new preferences” e si entrerà in una sezione che consente di modificare le policy dei vari servizi.
Vediamo qui ad esempio come per abbiamo integrato le impostazioni di default aggiungendo anche uno scan schedulato, impostandolo come tipologia Full anziché Quick e abbiamo modificato il giorno di esecuzione
Per ottenere un’ulteriore livello di automatizzazione, è possibile riutilizzare la Preference così creata salvandola con un nome.
E’ anche possibile configurare in automatico Automanage tramite Azure Policy: all’interno del servizio è sufficiente aprire il blade “Definitions” e filtrare andando alla ricerca della Policy di tipo “Automanage”.
E scegliendo “Assign” nella schermata successiva, è possibile specificare l’ambito in cui distribuire la policy (sottoscrizione e Resource Group contenente le VM per cui vogliamo abilitare Automanage):
Nella sezione “Parameters” possiamo specificare l’Automanage Account e il Configuration Profile, e la Policy viene creata.
Verificando negli Assignements, abbiamo conferma che l’Automanage verrà abilitato di default a tutte le VM nei Resource Group elencati.
Conclusioni
Automanage sembra un servizio dalle interessanti potenzialità, per quanto sarebbe apprezzabile il miglioramento di alcuni aspetti, come la possibilità di avere una maggiore granularità e precisione nella personalizzazione di opzioni e policies delle singole feature configurate. Teniamo comunque conto che è un servizio in Preview e non resta che attendere il rilascio di nuove feature: ad esempio al momento è disponibile solo per VM Windows ma è previsto un futuro supporto anche per Linux.
Il prodotto potrebbe rivelarsi particolarmente utile nel contesto di un cliente che deve gestire un elevato volume di ambienti “Infrastructure as a Service”, oppure di un provider che deve gestire VM appartenenti a clienti diversi con un’elevato turnover di deployment e la necessità di mantenere dei requirement e livelli di best practice omogenei (ad esempio un partner Cloud Solution Provider).
Azure Engineer
