Azure Container Services: le novità di febbraio 2023

Nel mese di febbraio sono state annunciate da parte di Microsoft diverse novità riguardanti gli Azure Container Services. Il rilascio di questo riepilogo, che avviene con frequenza mensile, vuole fornire una panoramica complessiva delle principali novità del mese, in modo da rimanere aggiornati su questi argomenti ed avere i riferimenti necessari per condurre ulteriori approfondimenti.  Le applicazioni moderne sono sempre più frequentemente basate su microservizi ed i container costituiscono un elemento importante per la creazione di architetture applicative agili, scalabili ed efficienti. Microsoft è uno dei principali provider che consente l’esecuzione di container a livello enterprise nel cloud pubblico. A partire da quest’anno rilasceremo una nuova serie di articoli, con cadenza mensile, per riportare le principali novità riguardanti il mondo dei container in ambiente Microsoft Azure. In questo articolo sono riportate le novità degli Azure Container Services rilasciate durante lo scorso mese.  La seguente tabella mostra le diverse tecnologie container, che sono contemplate in questa serie di articoli ed i loro principali casi d’uso: 
Container Service  Principali casi d’uso 
Azure Kubernetes Service (AKS)  Distribuisce e ridimensiona i container su un cluster Kubernetes gestito 
Azure Red Hat OpenShift (ARO)  Distribuisce e ridimensiona i container su un cluster Red Hat OpenShift gestito 
Azure Container Apps  Crea e distribuisce app e microservizi utilizzando container serverless 
Azure Functions  Esegui codice serverless basato su eventi con un’esperienza di sviluppo end-to-end 
Web App for Containers  Esegui app Web containerizzate su Windows e Linux 
Azure Container Instances  Avvia container con isolamento dell’hypervisor 
Azure Service Fabric  Distribuisce e gestisce app sempre attive, scalabili e distribuite 
Azure Container Registry  Crea, archivia, protegge e replica immagini e artefatti dei container 

Azure Kubernetes Service (AKS) 

Il driver In-tree per azure disk e files non sarà più supportato a partire dalla versione di Kubernetes v1.26  A causa della deprecazione degli in-tree storage drivers da parte della community di Kubernetes, Azure Storage ora utilizza i driver Azure Disk CSI e i driver Azure File CSI.  A partire da Kubernetes 1.26, Microsoft interromperà il supporto per i driver in-tree per Azure e File di Azure.  Anche se non è previsto che i deployment esistenti che utilizzano i driver in-tree si interrompano, queste non verranno più testate e gli utenti devono aggiornarle per utilizzare i driver CSI il prima possibile.  Microsoft suggerisce di eseguire la migrazione dei dischi da in-tree storage driver esistenti, consultando le seguenti indicazioni: https://aka.ms/MigrateInTreeToCSI  I dischi “in-tree” sono ad esempio quelli con provisioner == “kubernetes.io/azure-file” o provisioner == “kubernetes.io/azure-disk”  A tale scopo Microsoft ha creato una Azure Policy per bloccare la creazione di nuovi PV basati su questo driver deprecato disponibile al seguente link  AKS introduce due pricing tier: Free e Standard  Microsoft ha introdotto due pricing tier per AKS per migliorare la consapevolezza dei clienti sugli SLA del servizio.  
  • Free Tier: consente di ottimizzare i costi, pagando solo per gli artefatti utilizzati, non è presente alcun tipo di SLA 
  • Standard Tier: anche in questo caso si paga per gli artefatti utilizzati a cui va aggiunto un costo ulteriore orario (in west europe il costo è di 0.095€ orari) garantendo un uptime SLA di 99,95% 
Raccolta dei Syslog dei nodi tramite Azure Monitor Container Insights (Public preview)  Introdotta la funzionalità di raccolta dei Syslog dai nodi worker nei cluster AKS tramite la soluzione di Azure Monitor Container Insights.  La funzionalità è stata introdotta in ottica di continuo miglioramento della security posture. Il sistema infatti è pensato per integrarsi con tool SIEM, come Microsoft Sentinel, e tool di monitor come Azure Monitor per monitorare eventi di security e di salute dei workload containerizzati.  Ridimensionamento online dei PV (persistent volumes) La funzionalità di ridimensionamento in tempo reale consente di aumentare dinamicamente i persistent volumes senza disservizi delle applicazioni. 
  • In precedenza, per ridimensionare il disco, era necessario ridimensionare il deployment, attendere diversi minuti per il detach del disco, aggiornare la richiesta di persistent volume e quindi ridimensionare i deployment. 
  • Con il ridimensionamento in tempo reale dei persistent volumes  da ora si può  semplicemente modificare direttamente il persistent volume claim, evitando tempi di inattività delle applicazioni 
Pod sandboxing in AKS (Public preview)  Introdotta la funzionalità che permette di creare Container sanbox all’interno dei POD.  Questa funzionalità è pensata per isolare i workload dei container a livello di Kernel ed evitare exploit di sicurezza, attraverso l’utilizzo dei “kata” container  Introduzione del canale per aggiornamento del sistema operativo dei Nodi AKS (Public preview)  Introdotto il nuovo canale di aggiornamenti specifico per il sistema operativo dei nodi dei cluster AKS.  Il nuovo canale di aggiornamento andrà in parallelo a quello di aggiornamento di Kubernetes già presente all’interno del servizio.  Tramite questa nuova funzionalità si potrà scegliere come patchare automaticamente il sistema operativo dei nodi utilizzando 4 opzioni: 
  • None: nessuna patch di sicurezza, aggiornamenti automatici disattivati. 
  • Unmanaged: “Aggiornamenti non presidiati”, ovvero patch di sicurezza canoniche notturne senza finestra di manutenzione. 
  • SecurityPatch: consente ad AKS di implementare gli aggiornamenti di sicurezza canonici con una cadenza settimanale (impostazione predefinita) o migliore nel programma di manutenzione configurato dal cliente. Non è necessario mantenere Kured poiché AKS deciderà di ricreare l’immagine dei nodi quando è necessario un “kernel reboot” per le patch all’interno della finestra di manutenzione. 
  • NodeImage: fornisce una nuova immagine del nodo (VHD) settimanale (predefinita) alla VM con tutte le patch di sicurezza aggiornate o con una pianificazione e una cadenza configurabile.

Valutazione di Azure

Per testare e valutare in modo gratuito i servizi offerti da Azure è possibile accedere a questa pagina.