Quantyca Cloud Data Platform image
Scopri

Contesto

Nel contesto digitale in continua evoluzione nel quale ci troviamo, il concetto di integrazione tra ambienti on-premises e piattaforme cloud è diventato cruciale per le aziende orientate all’innovazione.   

Le sfide principali da affrontare, quali la scalabilità dinamica dell’infrastruttura, l’esposizione dei dati, lo sviluppo e l’accesso a servizi sempre più avanzati, ha reso necessario cercare soluzioni che consentano di connettere nel modo più semplice ed immediato possibile ambienti on-premise e piattaforme cloud 

Uno degli aspetti principali che motivano questa necessità è la flessibilità operativa. Sfruttando le piattaforme cloud un’impresa può ottimizzare le proprie risorse, aumentando anche dinamicamente la capacità di elaborazione in base alle esigenze, riducendo e mantenendo monitorati i costi di infrastruttura. L’adozione di una strategia ibrida consente alle aziende di sfruttare gli aspetti positivi di entrambi i mondi, mantenendo il controllo sui dati sensibili e sui carichi di lavoro critici ma sfruttando a pieno le funzionalità cloud.  

La necessità di integrazione tra ambienti on-premises e piattaforme cloud è altrettanto guidata dal numero sempre maggiore di servizi e competenze offerti dai principali cloud providers. Connettendo ambienti on-premises a piattaforme cloud come AWS, Azure o Google Cloud, è possibile collegare i propri dati a un numero sempre crescente di servizi gestiti che possono riguardare ad esempio gli ambiti di data trasformation, advanced analytics e artificial intelligence. Questa sinergia tra gli ambienti facilità e velocizza l’innovazione, riduce i tempi di sviluppo e consente agli sviluppatori di dare priorità alla creazione di valore, delegando in gran parte la necessità di gestire l’infrastruttura sottostante. 

Punti critici

Quando si rende necessario effettuare un’ integrazione tra ambienti on-premises e piattaforme cloud, e sempre bene considerare i seguenti aspetti: 

La protezione dei dati assume un ruolo fondamentale, sia durante il transito verso il cloud che nella fase “at-rest; durante l’accesso ai servizi cloud si rende dunque necessaria la pianificazione e l’implementazione delle migliori policy di sicurezza. Altro aspetto fondamentale riguarda la gestione delle identità e degli accessi in modo da garantire anche sul cloud quanto già definito in conformità con le normative e le policy aziendali nell’ambiente on-premises, dunque impostando correttamente la federazione delle utenze. In questo modo è possibile stabilire meccanismi di monitoraggio e reportistica unificati per garantire la visibilità e la tracciabilità delle attività attraverso l’intero ecosistema ibrido. 

La latenza e le prestazioni possono diventare un punto critico nell’integrazione tra ambienti on-premises e piattaforme cloud. Il trasferimento di dati tra le due infrastrutture potrebbe comportare ritardi indesiderati, cosa di cui è necessario tenere conto soprattutto in contesti nei quali si hanno stringenti requisiti di latenza (gestione transazioni finanziarie, analisi in tempo reale, …). Risulta dunque necessario ottimizzare il traffico tra le reti, gestendo eventualmente anche il bilanciamento dinamico su più endpoint per mitigare possibili problemi di raggiungibilità e latenza. L’adozione di tecnologie come il caching e la distribuzione geografica delle risorse può contribuire a migliorare l’esperienza dell’utente finale. 

L’ integrazione tra ambienti on-premises e piattaforme cloud può portare a un aumento della complessità dell’architettura complessiva. Gestire un ecosistema ibrido richiede competenze e strumenti specifici: la progettazione di un’architettura scalabile, resiliente ed in alta affidabilità è fondamentale, ma può risultare sfidante. In alcuni casi è necessario adattarsi alle risorse già presenti in locale, bilanciando l’uso del cloud in modo ottimale coerentemente con quanto già disponibile. In questi scenari è spesso consigliata l‘adozione di strumenti di automazione ed orchestrazione. 

Soluzione

Nella nostra proposta di Data Strategy l’adozione di tecnologie cloud ha assunto sempre più un ruolo predominante nelle soluzioni fornite ai clienti. Come spiegato in dettaglio nello Use Case Migrate To Cloud, tale proposta si articola in quattro fasi distinte: 

  • Assessment 
  • Foundation 
  • Mobilization
  • Execution 

È proprio durante la fase di Foundation che vengono esplorate ed implementate le migliori strategie di networking per i casi d’uso specifici dei nostri clienti. In particolare, viene implementata quella che viene chiamata Landing Zone sul cloud provider scelto 

La Landing Zone funge da centro nevralgico di gestione del cloud e permette di definire al suo interno diversi aspetti: 

Landing-Zone-Steps-migrate-to-cloud

 

Ciascuno degli step evidenziati nell’immagine viene implementato sfruttando i principi dell’Infrastucture as Code, ovvero generando degli script nei quali i diversi componenti infrastrutturali e le loro configurazioni di vario genere vengono esplicitati in modo dichiarativo. 

Una volta scelto lo strumento di IaC (ad esempio Terraform, soprattutto in contesti multi-cloud), gli script realizzati permettono una gestione puntuale di tutte le componenti infrastrutturali, compresi i servizi di gestione in ambito Network. 

Organizzazione VPC 

Le VPC (Virtual Private Cloud) rappresentano uno dei componenti principali all’interno di un’infrastruttura cloud. Consentono di isolare le risorse all’interno di un ambiente virtualizzato, garantendo una maggiore sicurezza e flessibilità. Disegnare ed organizzare in modo corretto una o più VPC è molto importante per massimizzarne i benefici. 

Quando si progetta una VPC risulta essenziale pianificare correttamente l’assegnazione degli spazi di indirizzi IP utilizzando i blocchi CIDR (Classless Inter-Domain Routing). Questo implica la suddivisione degli indirizzi IP in blocchi che riflettono le esigenze di scalabilità e la suddivisione logica delle risorse. 

Una delle caratteristiche principali delle VPC è la possibilità di creare una o più sottoreti al loro interno, specificando il blocco CIDR all’interno di quello definito per la VPC stessa. In questo modo è possibile avere un ulteriore livello gerarchico nell’organizzazione delle risorse e nell’applicazione di policy di sicurezza e generale gestione del networking. 

VPC Singola 

La topologia più semplice che si può utilizzare è quella a singola VPC, dove tutte le risorse cloud create risiedono all’interno di essa. Ovviamente questo scenario è adatto a studi di fattibilità sui servizi del cloud provider, ad ambienti di sviluppo o comunque per piccole applicazioni con requisiti di sicurezza minimi.  

Anche nel caso di studio di fattibilità è però consigliato avere risorse in almeno due VPC, in modo da testare anche le configurazioni necessarie ad integrare e a far comunicare le due VPC tra loro. In questo modo si possono anticipare già in una fase iniziale tutte le possibili problematiche che si potrebbero verificare in seguito in ambienti di produzione.  

 

VPC Multiple 

Questa topologia consiste nella creazione di più VPC separate all’interno dello stesso account cloud. Ogni VPC svolge la funzione di entità isolata, con la possibilità di configurare le connessioni tra di esse. Tale topologia risulta ideale per separare ambienti di produzione e di sviluppo, o per ospitare applicazioni con requisiti di sicurezza differenti. 

Nel caso di VPC multiple è possibile, sfruttando i servizi messi a disposizione dai diversi cloud providers, avere diverse architetture. Si possono ad esempio definire delle VPC centrali, definite “Hub”, che svolgono la funzione di gestore del network per altre VPC satelliti, definite “Spoke”, oppure ancora avere delle Transit VPC a cui altre VPC possono connettersi per comunicare tra loro.  

Nel seguente paragrafo i concetti di Point-to-Point e Hub & Spoke verranno ripresi più in dettaglio includendo la gestione delle reti on-premise, dunque andando a definire il modello di gestione del cloud ibrido.  

Gestione Hybrid Cloud 

Nella fase successiva si vanno a creare i collegamenti con le infrastrutture esterne al Cloud, come ad esempio un cloud provider differente oppure l’infrastruttura on-premises. I due principali modelli di connessione ibrida esistenti sono quello Point-to-Point e quello Hub & Spoke. Entrambi i modelli hanno le loro particolari peculiarità. 

Il modello point-to-point si basa su connessioni dirette e dedicate, dove non sono presenti intermediari nel collegamento tra l’ambiente on-premises e una specifica piattaforma cloud. Questo approccio fornisce generalmente una latenza ridotta, consentendo un trasferimento di dati rapido e affidabile. Risulta inoltre molto semplice ed immediato da implementare, riducendo il numero di componenti architetturali e dunque i costi.  

Le connessioni dirette tra l’ambiente on-premise ed il cloud provider vengono realizzate sfruttando le VPN o i diversi servizi di Direct Connect, mentre le connessioni tra le reti del cloud provider stesso utilizzano la funzionalità di peering: 

L’evidente svantaggio nel modello point-to-point è dovuto alla difficile scalabilità e flessibilità. All’aumentare del numero di reti da mettere in comunicazione, il numero di connessioni cresce esponenzialmente. In questi contesti inoltre è spesso assente la funzionalità di transitive routing: se una rete A è connessa ad una rete B, e la rete B è connessa ad una rete C, A e C non possono comunicare tra loro, è necessario aprire un’ulteriore comunicazione diretta tra A e C.  

Altro aspetto negativo di questa soluzione è dato da una minore governabilità nella gestione delle reti. Non avendo un punto centrale di gestione delle rotte e di costruzione di reti e sottoreti è inoltre più facile incorrere in problemi di overlapping degli indirizzi IP. 

Il modello hub & spoke si base invece su un approccio centralizzato e distribuito. Il componente di “hub” funge da punto centrale di aggregazione e gestione delle connessioni, i componenti di “spoke” rappresentano invece i diversi ambienti, siano essi on-premises o cloud.  

In questo scenario il traffico di rete fluisce attraverso l’hub, consentendo una gestione più efficiente e scalabile delle connessioni e semplificando la gestione della sicurezza e la manutenibilità generale dell’architettura. 

Uno dei principali vantaggi del modello hub & spoke è la sua estensibilità. Aggiungere nuovi ambienti, sia on-premises che cloud, richiede solo la configurazione di una connessione nell’hub centrale. Questo approccio semplifica notevolmente la gestione e la manutenzione, rendendo il modello hub & spoke particolarmente adatto per aziende in rapida crescita o con una presenza diversificata su più piattaforme cloud. 

Il modello hub & spoke può introdurre una leggera latenza aggiuntiva rispetto alla connessione point-to-point, ed è necessario predisporre un componente architetturale in più, l’hub centrale, con i relativi costi. 

Network Security 

A questo punto si sono definite le VPC necessarie, così come le modalità di connessione con ‘ambiente on-premise. Vanno dunque determinati tutti gli aspetti aggiuntivi legati ai temi di sicurezza descritti più in dettaglio di seguito. 

In generale, gestendo tali aspetti con uno strumento di IaC (Infrastructure as Code), è possibile riutilizzare all’interno di più VPC delle configurazioni standard prestabilite, definite dal gruppo responsabile della sicurezza del networking.  

I Security Groups agiscono come un firewall virtuale, regolando il traffico in ingresso e in uscita verso le risorse all’interno della VPC. Ogni Security Group contiene un elenco di regole di sicurezza che determinano quali tipi di connessioni sono consentite oppure negate, e possono essere configurate in base a protocolli specifici, porte e range di indirizzi IP. Tali regole permettono di garantire un controllo degli accessi ad elevata granularità, imponendo che solo le comunicazioni autorizzate possano raggiungere le risorse all’interno della VPC.  

I Security Groups costituiscono dunque uno strumento fondamentale per garantire la sicurezza delle risorse all’interno di una VPC, contribuendo a prevenire accessi non autorizzati e a proteggere l’ambiente cloud dagli attacchi esterni. 

Anche le NACLs, come i Security Groups, sono costituite da una serie di regole di sicurezza che determinano quali tipi di traffico sono consentiti e quali negati. Rispetto ai Security Groups però, ad esempio su AWS, sono applicabili a livello di subnet all’interno di una VPC. Ciò significa che le stesse regole si applicano a tutte le risorse all’interno di una specifica subnet. I security Groups invece sono applicati per tutte le risorse (es: istanze VM) contenute all’interno del Security Group stesso. Un altro aspetto differenziante è dato dal fatto che le NACL di rete sono stateless: viene valutato ogni pacchetto che passa attraverso la subnet a cui è applicata la NACL.  

Ciascuna VPC nasce con almeno una tabella di routing predefinita, è poi possibile e consigliabile crearne di aggiuntive per adattare il comportamento del traffico in base alle esigenze specifiche all’interno della VPC stessa.  

Le Route Tables contengono una serie di regole che indicano dove inviare i pacchetti in base al loro indirizzo di destinazione. Dal punto di vista della sicurezza, possono essere configurate per forzare determinate comunicazioni attraverso dispositivi o servizi di sicurezza, come firewall o sistemi di monitoraggio. Inoltre, consentono di creare un ulteriore livello di segmentazione all’interno delle Subnet, isolando tra loro diversi gruppi di risorse logicamente collegate. Questo permette una maggiore protezione, poiché limita l’accesso tra le sole risorse che devono comunicare tra loro. 

Il Gateway Internet è un punto d’accesso che permette alle risorse all’interno della VPC di comunicare direttamente con Internet. Svolge la funzione di ponte tra le risorse nella VPC ed il mondo esterno. Solitamente il Gateway Internet viene configurato utilizzando anche le Route Tables, per garantire che solo il traffico autorizzato abbia accesso a Internet. Eventuali altri livelli di controllo possono essere definiti utilizzando i Security Groups e le NACLs. 

Il Gateway NAT (Network Address Translation), d’altra parte, consente alle risorse all’interno della VPC di accedere a risorse esterne, anche su Internet, senza rivelare i loro indirizzi IP privati. Questo fornisce un ulteriore layer di sicurezza, poiché le risorse rimangono nascoste dietro l’indirizzo IP del Gateway NAT. 

Network Enabling

Una volta stabiliti i punti precedenti ed aver dunque disegnato e configurato gli aspetti principali delle reti, l’ultimo step consiste nell’abilitare le connessioni, sfruttando una o più delle diverse possibilità offerte dai cloud providers. 

La prima possibilità che si ha per costruire un ponte tra ambienti on-premises e cloud è quella dell’utilizzo di una Virtual Private Network (VPN). Le VPN sono strumenti che permettono di stabilire connessioni sicure e private verso reti pubbliche, proteggendo la comunicazione tra siti remoti e risorse cloud. Esistono diverse tipologie di VPN, ciascuna con caratteristiche specifiche che si adattano alle esigenze di connettività e sicurezza delle organizzazioni.  

Un esempio è dato dalle VPN site-to-site, ampiamente utilizzate per collegare reti on-premises a reti virtuali all’interno dei principali cloud provider. Questa configurazione sfrutta la creazione di un “tunnel sicuro” attraverso Internet, consentendo il trasferimento di dati e il traffico di rete tra i due ambienti. Questo tipo di VPN è ideale per la connessione tra data center aziendali e risorse cloud, poiché la rete cloud viene vista come un’estensione della rete aziendale. Il principale problema di questa soluzione è dato dal fatto che le prestazioni possono essere influenzate dalla latenza e dalla congestione dell’Internet pubblico.

Per superare le limitazioni di latenza e sicurezza delle VPN è possibile utilizzare delle connessioni private e dedicate tra l’infrastruttura on-premises e le risorse cloud. Ciascun cloud provider offre il proprio servizio di connessione diretta, che può essere sia fisico che virtuale: Direct Connect (AWS), ExpressRoute (Azure), Dedicated Interconnect (GCP). Il vantaggio di questa soluzione consiste nell’eliminare la dipendenza dall’Internet pubblico, garantendo una connessione affidabile, a bassa latenza e di maggiore sicurezza. Queste soluzioni richiedono però l’implementazione di circuiti dedicati tra i data center e il cloud provider; dunque, potrebbe essere necessario affrontare i costi per i collegamenti fisici necessari o per l’utilizzo del servizio di partner commerciali che forniscono degli endpoint geograficamente più “vicini” alla propria rete locale. 

Il peering tra due reti è utilizzato per consentire la comunicazione diretta tra due reti separate. Queste reti possono appartenere a organizzazioni diverse o possono essere reti interne separate all’interno di una stessa organizzazione. Quando si stabilisce un peering tra due reti, è importante assicurarsi che gli indirizzi IP delle due reti siano distinti e non sovrapponibili. Questo è cruciale per garantire un corretto instradamento del traffico. Oltre che per le connessioni on-premises / cloud, il network peering viene spesso utilizzato per connettere reti locali o cloud a servizi gestiti da fornitori esterni (es: applicazioni SaaS). 

Vantaggi

Accesso a Servizi Avanzati
I principali cloud providers offrono una vasta gamma di servizi avanzati. Collegando un ambiente on-premises al cloud, le aziende possono collegare i propri servizi ed applicativi locali a queste nuove funzionalità, senza doverle sviluppare o gestire internamente.
Disaster Recovery e Business Continuity
Utilizzando le risorse cloud per il backup ed il disaster recovery, le aziende possono migliorare la propria capacità di ripristinare rapidamente i dati e le applicazioni in caso di interruzioni, minimizzando i tempi di inattività e garantendo continuità di servizio.
Distribuzione Globale
I servizi cloud offrono la possibilità di distribuire risorse in diverse regioni geografiche. Questo ne consente un accesso rapido per gli utenti in tutto il mondo, migliorando le prestazioni e l'esperienza dell'utente finale.

Use Cases

Contattaci!

Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Entra a far parte del team Quantyca, facciamo squadra!

Siamo sempre alla ricerca di persone di talento da inserire nel team, scopri tutte le nostre posizioni aperte.

VEDI TUTTE LE POSIZIONI APERTE