Azure Networking - Hub Vnet Migration

Il cliente

Di recente, ci siamo impegnati in un progetto stimolante con uno dei nostri clienti. Il cliente, con una solida presenza nel cloud Azure, è un prestigioso ateneo di dimensione nazionale che offre cinque campus distribuiti strategicamente in tutto il paese.

Progetto ed esigenze

Inizialmente, nel cloud Azure, era stata implementata una topologia di rete hub & spoke che prevedeva un collegamento con la rete on-premises attraverso un tunnel VPN IPsec. Successivamente, con l'implementazione di un nuovo hub collegato tramite ExpressRoute, è emersa la necessità di razionalizzare la configurazione di rete.

L’obiettivo era quindi dismettere la connessione VPN esistente e indirizzare tutto il traffico attraverso il nuovo hub. Di conseguenza, il vecchio hub, pur rimanendo presente, avrebbe dovuto essere trattato come una spoke all'interno della topologia.Il vecchio hub aveva a sua volta dei peering con delle spoke, ma che erano già state collegate al nuovo hub.

ExpressRoute offre vantaggi significativi rispetto alla VPN:

• Le connessioni ExpressRoute non passano attraverso Internet pubblico, ciò garantisce maggiore sicurezza e riduce il rischio di attacchi esterni.
• ExpressRoute offre latenze più basse, tempi di risposta più prevedibili e velocità più elevate.

Sorint.Lab è stata incaricata come partner per la consulenza e le attività di migrazione, affidando il progetto al Sircle Microsoft e Azure.

Networking Hub & Spoke e Cloud Adoption Framework

Un architettura di rete hub & spoke organizza le reti in modo strategico. Il modello hub & spoke prevede la creazione di una zona centrale (hub) e diverse zone periferiche (spoke). L’hub funge da punto di aggregazione per la connessione con le reti di spoke controllando il traffico tra le diverse zone. Gli spoke rappresentano le reti virtuali dei carichi di lavoro, isolandoli e semplificando la gestione.

Nel contesto del Cloud Adoption Framework (CAF) di Microsoft, il modello di rete hub & spoke viene trattato come un'architettura raccomandata per l'implementazione delle reti aziendali nel cloud Azure.

ExpressRoute

ExpressRoute è un servizio di connettività di rete offerto da Microsoft Azure che consente alle organizzazioni di stabilire connessioni private, affidabili e ad alta velocità tra l'infrastruttura on-premises e le risorse nel cloud.

Il funzionamento di ExpressRoute si basa su due componenti principali: il circuito ExpressRoute e i peerings di connettività. Il circuito ExpressRoute è l'infrastruttura fisica che collega la rete del cliente all'infrastruttura di rete globale di Azure. I peerings di connettività consentono al traffico di viaggiare tra l'infrastruttura on-premises e Azure attraverso il circuito ExpressRoute. Quando un cliente stabilisce una connessione ExpressRoute, il traffico viene instradato attraverso il circuito dedicato.

Servizio svolto

Il nostro processo di lavoro si è svolto in modo strutturato attraverso diverse fasi.

Il primo passo fondamentale in ogni progetto è la completa comprensione delle esigenze del cliente. Successivamente, abbiamo avviato una fase di progettazione dettagliata, identificando i potenziali rischi e valutando l'impatto di ogni decisione sulla continuità operativa, con l'obiettivo di fornire una soluzione ottimale per la migrazione.

In collaborazione con il team IT del cliente si è quindi preparata una pianificazione delle attività che includeva un piano di rollback con le procedure per tornare rapidamente alla configurazione precedente in caso di necessità.

Revisione delle regole Firewall

Il primo passo critico che garantisse il successo dell'attività era la replica delle regole di firewall, assicurandosi che il traffico proveniente dalla vecchia hub fosse consentito dal firewall presente nella nuova.

Backup delle Risorse

E' stato eseguito il backup delle risorse destinate all'eliminazione, attraverso l'esportazione del template che contiene il codice e i parametri necessari per ricostruirle in caso di necessità.

Eliminazione della connettività IPsec e del Gateway VPN

Una volta completati i prerequisiti iniziali, è stato possibile procedere con l'eliminazione della connettività IPsec e del gateway VPN non più necessario. La subnet "GatewaySubnet" è stata eliminata, altrimenti non sarebbe stato possibile creare un peering con la futura rete di hub che ne conteneva una analoga.

Peering delle Vnet

Per consentire la comunicazione tra le due reti e trasformare la vecchia hub in una spoke, è stato effettuato il peering.

Propagazione delle rotte

Sono state effettuate verifiche di propagazione delle rotte, che avveniva tramite protocollo BGP, sugli apparati on-premises e cloud.

Tabelle di Routing (UDR)

Alle subnet presenti nella vecchia hub vnet sono state assegnate le tabelle di routing per garantire che anche il traffico di ritorno fosse simmestrico. Le UDR sono state preparate precedentemente.

Test di raggiungibilità

Infine, sono stati eseguiti test di connettività per verificare che la comunicazione tra le reti fosse stabilita e correttamente funzionante. Questi test hanno confermato il successo dell'attività di migrazione e garantito che tutte le risorse fossero accessibili e operative.

Reference

• https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/
• https://learn.microsoft.com/en-us/azure/architecture/reference-architectures/hybrid-networking/hub-spoke
• https://learn.microsoft.com/en-us/azure/expressroute/expressroute-introduction
• https://learn.microsoft.com/en-us/azure/virtual-network/virtual-networks-udr-overview