Azure & .Net Digest #25 Підтримка OpenTelemetry в Azure Monitor для AKS, Azure Front Door та захист від DDoS

💡 Усі статті, обговорення, новини про DevOps — в одному місці. Приєднуйтесь до DevOps спільноти!

Ласкаво просимо до чергового випуску про новини Azure! Цього разу багато цікавих оновлень для різних сервісів.

Якщо у вас є новини, які ви хотіли б запропонувати чи обговорити, будь ласка, приєднуйтеся до нашого Telegram-каналу за посиланням.

Обчислення (Compute)

• Azure Bastion та керовані ідентичності (Managed Identity): Тепер Azure Bastion підтримує керовані ідентичності для зберігання записів графічних сесій (RDP та SSH). Раніше для доступу до облікового запису зберігання потрібно було використовувати токени SAS (Shared Access Signature), але тепер можна застосовувати системні або користувацькі керовані ідентичності.
• Azure Site Recovery (ASR): Додано підтримку віртуальних машин покоління 2 (Gen2) з контролером NVMe.
• Вихід з експлуатації SKUs HBv2, HC та NP: Azure Batch оголосив про зняття з експлуатації цих типів віртуальних машин. До кінця травня 2027 року вам необхідно перейти на новіші версії цих SKU, інакше вони перестануть працювати в пулах Azure Batch.
• Azure Functions: Java 25 тепер підтримується (GA) для Windows, Linux та тарифного плану Flex Consumption.

Нові можливості AKS та контейнеризації

• Standard V2 NAT Gateway для AKS: Тепер він доступний як засіб вихідного зв’язку (outbound) для робочих навантажень Azure Kubernetes Service (AKS). Основна перевага NAT Gateway V2 полягає в підтримці надмірності зон (zone redundancy), протоколу IPv6 та пропускної здатності до 100 Гбіт/с. Тепер це можна використовувати для AKS як у керованих мережах, так і в сценаріях «bring your own VNet».
• Підтримка OpenTelemetry в Azure Monitor для AKS: OpenTelemetry — це чудовий стандарт, який дозволяє робочим навантаженням передавати трасування, логи та метрики через протокол OTLP. Тепер Azure Monitor Application Insights може приймати ці дані безпосередньо з AKS. Для цього можна використовувати дистрибутив Azure Monitor OpenTelemetry або скористатися функцією автоконфігурації.

  

• Azure Kubernetes Service (AKS): Образ Ubuntu 22.04 виводиться з експлуатації для використання з AKS наприкінці червня 2027 року. Вам потрібно перейти на новіші образи, наприклад, Azure Linux.
• Резервне копіювання AKS: Тепер можна налаштувати бекап через Azure CLI однією командою. Система сама встановить розширення та налаштує ресурси для копіювання ресурсів кластера та постійних томів (PV).
• Azure Functions: Версія V3 на Linux Consumption припиняє роботу наприкінці вересня. Runtime вже давно застарів, тому переходьте на V4. Також пам’ятайте, що сам план Linux Consumption буде виведений з експлуатації у вересні 2028 року, тому варто звернути увагу на Azure Functions Flex Consumption.

Для кластерів Azure Kubernetes Service (AKS), що використовують Azure CNI на базі Cilium із розширеними сервісами мережі контейнерів (Advanced Container Networking Services), тепер доступна підтримка шифрування під час передачі даних за допомогою WireGuard.

• Функціонал: Шифрування всього трафіку між подами на рівні вузлів.
• Переваги: Не потребує змін у додатках чи робочих навантаженнях, відсутні додаткові sidecar-контейнери.
• Впровадження: Можна активувати на існуючих кластерах, проте це вимагає перезапуску агента Cilium на всіх вузлах. На великих кластерах це може зайняти час і тимчасово вплинути на роботу, тому рекомендується виконувати операцію у вікно обслуговування.

Також для мереж контейнерів AKS у режимі попереднього перегляду (preview) з’явився Insights Agent. Це інструмент для взаємодії природною мовою: ви описуєте проблему, а агент знаходить необхідну телеметрію, логи, метрики та потоки даних, щоб допомогти виявити першопричину (root cause) і надає поради щодо наступних кроків.

Мережеві технології (Networking)

Azure Front Door та захист від DDoS. Azure Front Door (глобальний сервіс рівня 7 з Anycast, Split TCP та кешуванням) отримав оновлення для Web Application Firewall (WAF). З’явився набір правил для захисту від розподілених атак типу «відмова в обслуговуванні» — HTTP Distributed Denial of Service (DDoS) rule set.

• Рівень: Доступно для версії Premium.
• Механізм: Це адаптивний захист рівня 7, що використовує машинне навчання для вивчення базового рівня трафіку (baseline). Він виявляє сплески атак і вибірково блокує їхні джерела.

Azure Virtual Network Manager (AVNM). Сервіс для централізованого управління віртуальними мережами тепер підтримує асоціацію пулів між регіонами. Тепер ви можете створити пул у системі управління IP-адресами (IPAM) і асоціювати його з VNet у зовсім іншому регіоні.

Зберігання даних (Storage)

• Azure Files — шифрування під час передачі: Тепер можна встановлювати гранулярні вимоги до шифрування окремо для протоколів SMB та NFS. Наприклад, з’явилося налаштування «вимагати шифрування під час передачі» саме для NFS.
• Azure Storage Mover у Gov Cloud: Сервіс для великомасштабного перенесення файлових ресурсів в Azure Files тепер доступний у хмарі для державних установ.

  

• Smart Tiering: Функція стала загальнодоступною (GA) для Blob та Data Lake. Вона автоматично переміщує дані між рівнями Hot, Cool та Cold залежно від використання:
  • З Hot у Cool після 30 днів без доступу.
  • З Cool у Cold після 90 днів.
  • Дані не переміщуються в Archive автоматично (оскільки це офлайн-рівень). При зверненні до даних вони повертаються на рівень Hot.

• Мінімальний розмір об’єкта для тарифікації сховища: Для рівнів Cool, Cold та Archive вводиться мінімальний обсяг 128 КіБ. Якщо файл менший, він все одно тарифікуватиметься як 128 КіБ. Це набуде чинності з 1 липня 2026 року для нових акаунтів і з 1 липня 2027 року для існуючих. Рівень Hot немає таких обмежень.
• Cross-tenant CMK для дисків: Тепер можна шифрувати Premium SSD V2 та Ultra Disk за допомогою ключів клієнта (Customer-Managed Key), що знаходяться в іншому тенанті. Це ідеально для SaaS-сценаріїв, де клієнт хоче зберігати контроль над ключами у власному Key Vault.
• Azure NetApp Files:
  • Звіти про квоти користувачів та груп тепер у загальному доступі (GA). Можна відстежувати використання лімітів для NFS, SMB та протоколів подвійного призначення безпосередньо в порталі або завантажувати звіти.
  • Захист від програм-вимагачів (Ransomware protection) тепер у GA. Система використовує машинне навчання для аналізу ентропії та патернів IOPS. При виявленні підозрілої активності створюється миттєвий знімок (snapshot) для відновлення.

    

• Azure Elastic SAN: З’явилася функція автоматичного масштабування ємності (GA). SAN буде розширюватися самостійно на основі заданих кроків масштабування, що позбавляє необхідності вручну керувати обсягом сховища.

Azure Elastic SAN

Elastic SAN — це нативна ціль iSCSI, що працює через IP. Сервіс отримав кілька важливих оновлень:

1. Контрольні суми CRC-32C: Тепер можна увімкнути перевірку цілісності даних для підтвердження того, що при копіюванні не виникло помилок. Це працює як для нових, так і для існуючих SAN. Можна не просто увімкнути, а й примусово встановити використання CRC на рівні тому (Volume), відхиляючи з’єднання без відповідних заголовків.
2. Розширення для Windows VM: З’явилося розширення (extension), яке автоматично налаштовує компоненти гостьової ОС (native iSCSI та Multipath IO) для підключення до Elastic SAN. Це значно спрощує автоматизацію через шаблони ARM, Bicep або Terraform.
3. Підтримка Azure Backup: Тепер можна створювати незалежні бекапи Elastic SAN. Вони базуються на знімках керованих дисків (managed disk snapshots), що забезпечує захист від випадкового видалення або атак шифрувальників. Бекапи створюються кожні 24 години, підтримується до 450 точок відновлення.

Безпека Blobs

Стала загальнодоступною (GA) підтримка префіксів для підписаних SAS-ключів, делегованих користувачем (User Delegated SAS). На відміну від звичайних SAS, що підписуються ключами облікового запису, User Delegated SAS підписуються ключем Entra ID користувача або керованої ідентичності (Managed Identity). Тепер ви можете обмежити доступ лише тими об’єктами (blobs), імена яких починаються з певного префікса. Оскільки в Blob-сховищах віртуальні директорії є частиною імені файлу, це дозволяє надавати доступ лише до конкретних «папок» у межах одного сховища.

Бази даних та моніторинг

Azure Monitor:

• Агент Azure Monitor тепер підтримує нативну передачу даних OLTP (OpenTelemetry) у прев’ю.

• Моніторинг для Arc-enabled Kubernetes, OpenShift та Azure Red Hat OpenShift перейшов у статус GA. Це дає доступ до Container Insights, керованого Prometheus та Grafana.
• App Insights: Перехід на інтегровану автентифікацію Entra обов’язковий до кінця вересня 2026 року, якщо ви хочете продовжувати запити до ресурсів.

• Azure Monitor Pipelines (GA): Це шлюзове рішення, яке дозволяє буферувати, фільтрувати, трансформувати та агрегувати дані поблизу джерела (наприклад, у крайових локаціях або інших хмарах) перед відправкою в Azure. Це допомагає зменшити витрати та навантаження на мережу.
• Azure Cosmos DB: Додано динамічне маскування даних (Dynamic Data Masking). Це дозволяє приховувати конфіденційну інформацію (PII) від неавторизованих користувачів на рівні сервісу, не змінюючи дані в самій базі. Працює лише з автентифікацією Entra.

  

• PostgreSQL Flexible Server:
  • Підтримка дисків Premium SSD v2 (GA). Це дає в 4 рази більше IOPS та затримку менше мілісекунди.
  • Можливість міграції з VNet Integration на Private Endpoints (прев’ю).
  • Додано метрику статусу логічної реплікації.
• Microsoft Fabric: Покращено дзеркалювання (mirroring) для PostgreSQL Flexible Server (GA). Тепер підтримуються типи JSON та JSONB, що дозволяє краще інтегрувати складні схеми додатків у One Lake.
• Azure Arc: Тепер підтримується міграція екземплярів SQL під управлінням Arc на SQL Server, що запущений у віртуальній машині Azure.

  

• Azure Database for PostgreSQL. Функція каскадних реплік для читання (Cascading Read Replicas) перейшла в стадію GA.

• Як це працює: Раніше ви могли мати до 5 реплік основного сервера. Тепер ви можете створювати репліки від самих реплік.
• Масштабованість: Підтримується до двох рівнів каскадування, що дозволяє мати до 30 реплік загалом.
• Переваги: Це знімає навантаження з основного сервера, оскільки він продовжує обслуговувати лише 5 прямих реплік, а подальше розповсюдження даних відбувається каскадно.

Різне та ШІ

• Event Grid та інтеграція зі Stripe: Тепер Event Grid підтримує отримання подій безпосередньо від Stripe (платежі, диспути, повернення коштів). Це дозволяє не «опитувати» сервіс постійно, а автоматично запускати Azure Functions, Logic Apps або вебхуки за фактом події.

  

• Azure Managed Grafana: Базовий SKU (Basic) буде виведений з експлуатації наприкінці березня 2027 року. Рекомендується перейти на Standard SKU, який пропонує кращу надійність та функціонал. Якщо не зробити перехід вчасно, ресурси будуть видалені.

• Випуск моделі MIA Image to Efficient: Слідом за нещодавнім релізом другої версії моделі генерації зображень, випущено її «ефективну» версію. Це модель «текст-у-зображення», яка в чотири рази ефективніша та на 41% дешевша, що забезпечує більшу гнучкість у використанні.

Цей вупуск багатий на оновлення моделей у Foundry та інших сервісах:

• Claude Opus 4.7: Доступна модель для глибоких міркувань та тривалої роботи.
• GPT-5.5 та 5.5 Pro: Нові моделі від OpenAI з покращеним контекстом, надійним виконанням агентських завдань та вищою ефективністю токенів. Версія Pro розширює глибину складних завдань.

  

• GPT Image 2: Величезний стрибок у якості генерації зображень. Модель підтримує роботу з дрібним щільним текстом на різних мовах, роздільну здатність до 2K та різні співвідношення сторін.

Для підприємств GPT Image 2 — це не просто «красиві картинки». Це можливість візуалізувати інтерфейси користувача, які потім можна передати моделям GPT-5.5 або Codex для перетворення візуального макета на реальний програмний код.

Новинки Azure AI Foundry

1. Foundary Hosted Agents (Preview): Можливість запускати будь-якого агента в ізольованому середовищі виконання (VM kernel mode isolation). Кожна сесія агента ізольована. Ви надаєте образ контейнера, публікуєте його в ACR, а сервіс розгортає його з власною ідентичністю.
2. Bring Your Own AI Gateway (GA): Тепер у Foundry Agent Service ви можете використовувати власний шлюз для ШІ-моделей (наприклад, Azure API Management або сторонні рішення), що дає велику гнучкість у виборі моделей.

   

3. Managed Memory (Preview): Це сервіс «довготривалої пам’яті» для агентів. Він дозволяє зберігати історію взаємодій, уподобання користувача та персоналізацію. Пам’ять інтегрується з Microsoft Agent Framework та LangGraph, автоматично консолідуючи дані для ефективного зберігання та виклику через інструмент пошуку (memory search tool).

Оновлення .NET

Microsoft Agent Framework 1.0

Фреймворк став загальнодоступний (GA) для .NET та Python. Це результат злиття Semantic Kernel та AutoGen. Він підтримує як окремих агентів, так і складні графічні робочі процеси (graph-based workflows) для багатоетапних завдань.

Важливе оголошення: Prompt Flow

У зв’язку з виходом Microsoft Agent Framework, сервіс Prompt Flow буде виведений з експлуатації у квітні 2027 року. Це дає розробникам достатньо часу для переходу на нові інструменти розробки додатків на базі LLM.

На цьому все! Сподіваюся, цей огляд був корисним. До зустрічі в наступному огляді, бережіть себе!