Uno dei tanti vantaggi del creare macchine virtuali all’interno di Microsoft Azure, è quella di poter collegarle all’infrastruttura locale andando così ad usare il cloud come un’estensione della nostra azienda….andando però ad evitare quelli che sono i costi di acquisto e manutenzione dei server.
Il metodo di collegamento tra Azure e la nostra infrastruttura può avvenire in due modi: VPN oppure Express Route. In questo articolo ci concentremo sulla prima, ma della Express Route si può dire che si tratta di un tunnel diretto utilizzato per avere alte performance; sì perchè se la VPN è labile alle performance della connettività, l’Express Route è un canale diretto tra due punti con una velocità stabilità in fase di contratto che rimane sempre stabile.
Microsoft Azure così come Office365 consentono di collegare l’infrastruttura del cliente tramite Express Route. Rispetto alla classica VPN i prezzi sono molto diversi e soprattutto non tutte le region lo supportano ed i carrier che offrono questa soluzione sono pochi.
Tornando al mondo delle VPN, l’introduzione dell’Azure Resource Manager ha cambiato il modo di creare un tunnel, che nella modalità classic richiedeva pochi passaggi.
Creazione Network
Il primo passaggio, il più semplice, è la creazione di una nuova virtual network che ovviamente dovrà avere una classe di IP diversa da quella a cui poi ci andremo a collegare. Altro aspetto importante è la scelta dell’Address Space che dovrà essere capace di ospitare le varie Subnet, oltre a quella del Gateway.
Facendo un esempio, se volete creare una rete di tipo 192.168.0.1/24, il vostro Address Space dovrà essere 192.168.0.0/20. Nel mio caso ho una rete 10.9.0.0/20, come si può vedere dalla figura 1.
Figura 1 – Azure Network
Il primo passo consiste nella creazione di una nuova Gateway Subnet, figura 2, che sarà quella che ci consentirà di avere la gestione del traffico con il Gateway VPN. È consigliabile assicurarsi che la subnet contenga una quantità di indirizzi IP sufficiente per supportare la crescita futura e per possibili nuove configurazioni aggiuntive per la connessione. E’ caldamente consigliato tenere una classe che parta dal /29 (il /27 è il miglior valore per molti scenari).
Figura 2 – Creazione Nuova Gateway Subnet
Figura 3 – Gateway Subnet
E’ il momento di creare una Virtual Network Gateway, figura 4, disponibile all’interno del Marketplace, che ci aiuterà a definire la tipologia di connettività che vogliamo creare; come detto la scelta è tra VPN ed Express Route e nel caso nella VPN, possiamo scegliere da diverse tipologie di SKU che offrono prestazioni e funzionalità diverse tra di loro: la Gw3 supporta fino a 1,25 Gbps mentre la basic arriva a 100 Mbps.
Figura 4 – Virtual Network Gateway
La VNG dovrà contenere la virtual network precedentemente creata ed un IP pubblico che possiamo creare al momento, oppure aver già creato, l’importante è che non sia stato precedentemente assegnato ad un’altra risorsa.
La creazione del gateway richiede più o meno 30/40 minuti ma nel frattempo è possibile andare a creare la Local Network Gateway, figura 5, che dovrà contenere l’IP pubblico della vostra infrastruttura e la classe di IP locale a cui abilitare il traffico.
Figura 5 – Local Network Gateway
Non resta che aggiungere una nuova connessione all’interno del nostro gateway VPN, figura 6, che dovrà contenere i dati precedentemente creati e con l’aggiunta della Shared Key che servirà da chiave di validazione per la connessione VPN tra le due sedi – figura 7.
Figura 6 – Creazione Connessione
Figura 7 – Configurazione Connessione
Una volta configurato il nostro router per eseguire la connessione VPN Site-to-Site, potremmo testare il tunnel e se tutto andrà per il verso corretto, avremo un risultato come quello della figura 8.
Figura 8 – VPN Stabilita
Conclusioni
La connessione S2S, oltre ad estendere la propria infrastruttura sul cloud, consente di spostare diversi workload al di fuori della propria infrastruttura in modo facile, senza andare a creare un impatto pesante sugli utenti finali, magari grazie all’utilizzo di Azure Site Recovery. A livello di sicurezza, un tunnel VPN permette di non esporre più verso l’esterno il Remote Desktop Protocol per le macchine virtuali create su cloud.