Come abbiamo visto nell’articolo “Il Default outbound access in Azure verrà ritirato“, a partire dal 30 settembre 2025 le nuove VM che necessitano di accesso a Internet dovranno utilizzare metodi di connettività in uscita espliciti, come Azure NAT Gateway, Azure Load Balancer con outbound rules, avere un IP pubblico associato, oppure utilizzare un NVA (Network Virtual Appliance).
Nel Marketplace di Azure ci sono già diverse appliance fornite da vendor di terze parti, ma queste possono avere dei costi rilevanti, soprattutto se lavoriamo in ambienti di laboratorio oppure non ci sono esigenze particolari. In giro si trovano molte guide su come configurare una macchina Linux per fare forward del traffico ed essere utilizzata come una sorta di Router con anche funzionalità Firewall.
Potremmo, però, volere qualcosa di più flessibile ma al contempo economico, magari commerciale e con supporto; una soluzione valida è Mikrotik Cloud Hosted Router, una versione virtualizzata del sistema operativo RouterOS di MikroTik, progettata per essere eseguita su macchine virtuali in ambienti cloud o on-premises. Offre le stesse funzionalità di routing, firewall, VPN, QoS e gestione del traffico della versione hardware, ma è ottimizzata per infrastrutture virtuali come VMware, Hyper-V, KVM, VirtualBox o servizi cloud come Azure.
Oltre ad avere dei requisiti hardware irrisori (cosa importante quando si lavora in ambienti di cloud pubbico) ha dei costi di licensing estremamente competitivi e, soprattutto, le licenze sono perpetue e differiscono solo per la capacità di throughput:
Oltre alla navigazione CHR offre i servizi menzionati in precedenza (routing, firewall, vpn, ecc.), proviamo, quindi, a immaginare quali potrebbero essere i costi di un Azure VPN Gateway con una SKU col supporto a 10Gbit; con una licenza P10 ($95) sarà possibile creare, ad esempio, un tunnel VPN Ipsec con performance simili al servizio Microsoft.
Restano, chiaramente, invariati i costi per il traffico egress.
Potremo, inoltre, usufruire di una Trial di 60 giorni per testare la bontà della soluzione.
Sfortunatamente al momento CHR non è presente nel Marketplace, dovremo, quindi, procedere creando una Custom Image. Nessuna paura perché è una operazione semplicissima e Mikrotik fornisce i file VHD necessari, sarà sufficiente convertire il disco da Dynamic a Fixed e fare upload in cloud.
Attraverso la pagina di download selezioniamo il file VHDX relativo alla release che ci interessa, in questo caso l’ultima Stable (7.18.2):
Una volta scaricata convertiremo il disco in formato VHD di tipo Fixed:
Convert-VHD -Path ".\chr-7.18.2.vhdx" -DestinationPath "mikrotik.vhd" -VHDType Fixed
Dovremo caricare il file ottenuto in uno Storage Account e successivamente potremo creare l’immagine con cui fare il deploy dell’istanza Mikrotik.
Adesso potremo creare una Custom Image per il nostro Mikrotik CHR:
Partendo dall’immagine personalizzata faremo il deploy della virtual machine:
Non entrerò in dettaglio sulla creazione della VM perché da qui in avanti la procedura è standard:
Al termine del processo di creazione avremo una istanza con una situazione del genere:
Come anticipato questa soluzione è consigliabile per utilizzi di laboratorio o infrastrutture non critiche.
In ambienti di produzione, con carichi o criticità particolari, resta preferibile appoggiarsi a servizi solidi come Azure Firewall e Azure VPN Gateway.
Nella prossima puntata vedremo come configurare il sistema e creare un network con la classica topologia Hub-Spoke.
Risorse utili: https://www.ictpower.it/cloud/creare-una-rete-hub-spoke-in-microsoft-azure-con-virtual-network-manager.htm
