Avviso: Molti dei nostri clienti hanno stipulato accordi di riservatezza che tutelano i loro marchi da scopi commerciali. Pertanto potresti incontrare diciture come “Nome Cliente Riservato” oppure vedrai riportato il settore del cliente invece del suo nome.

---

Il cliente

Recentemente, abbiamo collaborato a un importante progetto di evoluzione infrastrutturale con un player di riferimento nel settore energetico.

Con un modello di business diversificato, che spazia dalla vendita di commodity alla gestione di reti di teleriscaldamento e servizi di Smart City, l'organizzazione opera su un territorio vasto attraverso molteplici poli strategici. Gestire servizi di pubblica utilità per centinaia di migliaia di cittadini richiede un'architettura digitale che non ammette compromessi: la resilienza dei collegamenti non è solo un obiettivo tecnico, ma un requisito fondamentale per garantire la continuità del servizio e la fiducia del mercato.

Progettare la crescita

Quando un’azienda muove i primi passi nel Cloud, la VPN rappresenta spesso una scelta tattica per la sua rapidità di implementazione.

Tuttavia, la crescita dei carichi di lavoro porta inevitabilmente a un punto di rottura: quando la stabilità della connessione e la latenza diventano variabili critiche per l'operatività, la natura best-effort della rete pubblica smette di essere un compromesso accettabile, rendendo necessaria una transizione verso infrastrutture dedicate e governate.

Analisi preliminare

Un progetto di migrazione così complesso nasce ben prima della configurazione tecnica: è il risultato di una visione capace di mappare rischi e opportunità attraverso la governance.

Il primo passo è stato un Assessment approfondito che ha toccato tre punti cardine:

• Design: Più che una semplice analisi dei costi, abbiamo operato una selezione ponderata tra le diverse configurazioni di ExpressRoute. L'obiettivo era individuare il modello (Local, Standard o Premium) che garantisse equilibrio tra affidabilità e investimento, assicurando una larghezza di banda coerente;

• Technical Readiness: Verificare la compatibilità dell'infrastruttura on-premises esistente e la predisposizione dei partner di connettività;

La principale sfida è stata la pianificazione dello switch-over, garantendo che il passaggio avvenisse in modo trasparente (impatto zero) per utenti e servizi già attivi.

ExpressRoute

Implementare ExpressRoute significa creare un ponte privato e diretto tra il data center del cliente e l’ecosistema Azure. Mentre la VPN è soggetta alle fluttuazioni della rete pubblica, ExpressRoute offre una corsia preferenziale con SLA di classe enterprise. È il pilastro necessario per chi vede nel Cloud l'estensione naturale dei propri sistemi core.

Il sistema si basa su due pilastri interconnessi:

1. Collegamento Fisico: È costituito dalla fibra ottica che connette fisicamente i router del cliente (o del data center ospitante) ai dispositivi MSEE (Microsoft Enterprise Edge) presso una peering location;
2. Collegamento Logico: Sopra la connessione fisica viene instaurato un Circuito ExpressRoute, un'entità logica che definisce la banda passante, la SKU di servizio e i domini di routing necessari per lo scambio dei dati.

I peering di connettività consentono al traffico di viaggiare tra l'infrastruttura on-premises e Azure attraverso il circuito ExpressRoute.

ExpressRoute Direct

La scelta è ricaduta su ExpressRoute Direct, la modalità che permette al cliente di "acquistare" direttamente le porte fisiche sui router Microsoft. Questa configurazione è ideale poiché offre una governance totale sul mezzo trasmissivo.

Nel dettaglio, l'implementazione ha previsto:

• Porte e Banda: Utilizzo di una coppia di porte da 10 Gbps presso la location di IRIDEOS-Milan;
• Resiliency Model: È stata adottata la Standard Resiliency, che assicura la ridondanza dei link fisici all'interno della singola location edge. Questo modello protegge da guasti alle porte o ai cavi singoli, mantenendo il traffico attivo in modalità Active/Active tramite sessioni BGP doppie;

• Scelta della SKU: Per ottimizzare l'investimento in base alle esigenze geografiche del cliente, è stata selezionata la SKU Local. Questa opzione è specificamente disegnata per offrire performance massime verso le risorse Azure situate nella stessa region della peering location (Italy North), riducendo i costi di egress traffic tipici delle SKU standard o premium.

Ruolo del Gateway

Un componente fondamentale dell'architettura è l'ExpressRoute Virtual Network Gateway. Per supportare la scalabilità richiesta, abbiamo implementato la SKU ErGwScale.

I vantaggi di questa scelta sono:

• Scalabilità Dinamica: A differenza delle SKU statiche permette di allocare "unità di scala" in base alle reali necessità di traffico;
• Alta Disponibilità: Gestisce nativamente la ridondanza, garantendo che il punto di ingresso verso le Virtual Network (VNet) di Azure non diventi mai un collo di bottiglia o un single point of failure.

Routing BGP

La logica di instradamento del traffico è affidata al protocollo BGP, configurato direttamente sui core router on-premises. Attraverso l'uso di un ASN dedicato, l'infrastruttura locale e il Cloud Azure si scambiano le rotte in modo dinamico e deterministico.

Per elevare ulteriormente l'affidabilità è stato abilitato il protocollo BFD (Bidirectional Forwarding Detection). In caso di anomalia il BFD segnala il guasto al processo BGP in meno di un secondo, innescando un failover istantaneo sulla connessione secondaria.

Configurazione peer e processo

Il punto di partenza è stato l'attivazione del processo con il comando router bgp associato all'ASN locale del cliente.

A ogni istanza è stato assegnato un bgp router-id univoco, garantendo un'identificazione precisa del processo all'interno della rete. Ogni peer è stato configurato utilizzando subnet dedicate /30

Per una gestione moderna e flessibile, abbiamo adottato la configurazione per Address-Family (pv4 unicast), che rappresenta lo standard per il BGP multi-protocollo.

Prefix-List e Route-Map

Per gestire con precisione quali reti annunciare verso il Cloud e quali accettare in ingresso, abbiamo utilizzato una combinazione di Prefix-List e Route-Map sui core router on-premises:

• Prefix-List: Ci hanno permesso di creare filtri estremamente specifici. Ad esempio, abbiamo definito maschere variabili (usando gli operatori ge e le);
• Route-Map: Utilizzate come veri e propri script logici "If/Then". Questo ci ha consentito non solo di filtrare il traffico, ma anche la possibilità di poter manipolare gli attributi BGP nel caso volessimo forzare percorsi specifici o gestire scenari di failover.

Validazione

Abbiamo eseguito controlli non solo sui log del router ma anche dall'ambiente Azure.

• Verifica delle Rotte Apprese: Abbiamo utilizzato il comando Get-AzVirtualNetworkGatewayLearnedRoute per visualizzare in tempo reale quali prefissi il gateway Azure stava ricevendo correttamente dall'on-premises;
• Controllo delle Rotte Annunciate: Tramite Get-AzVirtualNetworkGatewayAdvertisedRoute, abbiamo verificato che Azure stesse propagando verso i router locali solo le rotte necessarie;
• Statistiche del Circuito: Si è monitorato il passaggio dei byte in tempo reale con Get-AzExpressRouteCircuitStats, validando che il traffico fluisse correttamente su entrambi i link (Primary e Secondary).

Azure Firewall

Scalare l'infrastruttura senza elevare i sistemi di protezione è un rischio che nessuna azienda può permettersi. Parallelamente alla connettività, abbiamo implementato Azure Firewall. Se ExpressRoute rappresenta l’autostrada privata per i dati, Azure Firewall ne costituisce il casello di controllo e sicurezza avanzata.

Grazie a una struttura Hub & Spoke, ogni pacchetto dati che transita tra l’on-premises e il Cloud (e viceversa) viene filtrato, monitorato e protetto da un unico punto di controllo intelligente, garantendo:

• Visibilità totale, ogni flusso di traffico, sia esso diretto verso internet o tra le diverse reti virtuali, viene filtrato e monitorato;
• Protezione contro minacce esterne e movimenti laterali;
• Semplicità nella gestione delle policy di sicurezza man mano che l'infrastruttura cresce.

La SKU Premium abilita funzionalità avanzate:

• Deep Packet Inspection e TLS Inspection: Abbiamo configurato il firewall per ispezionare non solo le intestazioni, ma anche il contenuto del traffico crittografato;
• IDPS (Intrusion Detection and Prevention System): Grazie all'ispezione basata su firme, Azure Firewall monitora costantemente il traffico in tempo reale per rilevare e bloccare automaticamente attività sospette o exploit noti.

Il risultato invisibile

La cifra distintiva di questo progetto è stata la meticolosità metodologica applicata in ogni fase. Una migrazione di questa portata viene spesso percepita come un’operazione ad alto rischio; nel nostro caso, la complessità è stata gestita attraverso una transizione programmata in ogni singola variabile.

Questo approccio riflette la nostra filosofia: l’eccellenza tecnica si misura quando il business non si accorge nemmeno che è in corso un cambiamento importante sotto il cofano, se non per l'aumento di stabilità e performance.