Share via

Síťová topologie a možnosti připojení hpc v finančním sektoru

  • Článek

Tento článek vychází z aspektů a doporučení popsaných v článku cílové zóny Azure pro topologii sítě a připojení. Pokyny v tomto článku vám můžou pomoct prozkoumat klíčové aspekty návrhu a osvědčené postupy pro sítě a možnosti připojení k nasazením Azure a prostředí HPC.

Plánování přidělování IP adres

Je důležité naplánovat přidělování IP adres v Azure, aby se zajistilo, že:

  • Adresní prostor IP adres se nepřekrývá mezi místními umístěními a oblastmi Azure.
  • Virtuální síť obsahuje správný adresní prostor.
  • Správné plánování konfigurace podsítě probíhá předem.

Aspekty návrhu a doporučení

  • Delegovaná podsítě se vyžadují, pokud chcete implementovat Službu Azure NetApp Files, která se často používá v nasazeních HPC se sdílenými systémy souborů. Podsítě můžete vyhradit a delegovat na určité služby a pak vytvářet instance těchto služeb v rámci podsítí. I když Azure pomáhá vytvářet více delegovaných podsítí ve virtuální síti, ve virtuální síti pro Azure NetApp Files může existovat jenom jedna delegovaná podsíť. Pokusy o vytvoření nového svazku selžou, pokud pro Azure NetApp Files použijete více než jednu delegovanou podsíť.
  • Pokud pro úložiště používáte Azure HPC Cache, musíte vytvořit vyhrazenou podsíť. Další informace o této podsíti najdete v tématu Podsíť mezipaměti. Další informace o tom, jak vytvořit podsíť, najdete v tématu Přidání podsítě virtuální sítě.

Konfigurace DNS a překladu názvů pro místní prostředky a prostředky Azure

Dns (Domain Name System) je důležitým prvkem návrhu v architektuře cílové zóny Azure. Některé organizace raději používají své stávající investice do DNS. Ostatní vidí přechod na cloud jako příležitost modernizovat svou interní infrastrukturu DNS a využívat nativní funkce Azure.

Doporučení k návrhu

Následující doporučení platí pro scénáře, ve kterých se během migrace nezmění DNS nebo virtuální název virtuálního počítače.

  • Dns a virtuální názvy na pozadí propojují mnoho systémových rozhraní v prostředích PROSTŘEDÍ HPC. Možná si nejste vědomi všech rozhraní, která vývojáři definují v průběhu času. Připojení problémy mezi různými systémy vznikají, když se po migraci změní názvy virtuálních počítačů nebo DNS. Doporučujeme zachovat aliasy DNS, abyste těmto potížím zabránili.
  • K rozlišení prostředí (sandbox, vývoj, předprodukce a produkce) mezi sebou použijte různé zóny DNS. Výjimkou jsou nasazení prostředí HPC, která mají vlastní virtuální sítě. V těchto nasazeních nemusí být potřeba privátní zóny DNS.
  • Podpora DNS se vyžaduje při použití služby HPC Cache. DNS umožňuje přístup k úložišti a dalším prostředkům.
  • Dns a překlad názvů jsou důležité v finančním sektoru, když používáte umístění prostředků a záznamy SRV. Doporučujeme použít překlad DNS poskytovaný řadičem domény Microsoft Entra Domain Services (Microsoft Entra Domain Services). Další informace naleznete v tématu Nasazení služby Microsoft Entra Domain Services ve virtuální síti Azure.

Vysoce výkonné síťové služby

InfiniBand

  • Pokud spouštíte finanční aplikace, pro které potřebujete nízkou latenci mezi počítači, a informace se musí přenášet mezi uzly, abyste získali výsledky, potřebujete propojení s nízkou latencí a vysokou propustností. Virtuální počítače řady H-series a N-series podporující RDMA komunikují přes síť InfiniBand s nízkou latencí a velkou šířkou pásma. Schopnost sítě RDMA přes takové připojení je důležitá pro zvýšení škálovatelnosti a výkonu úloh PROSTŘEDÍ HPC a AI distribuovaných uzlů. Tato síť může zlepšit výkon aplikací, které běží v rámci programu Microsoft MPI nebo Intel MPI. Další informace naleznete v tématu Povolení InfiniBand. Informace o nastavení MPI najdete v tématu Nastavení rozhraní předávání zpráv pro prostředí HPC.

Azure ExpressRoute

  • V případě hybridních aplikací, jako jsou řešení pro výpočet rizik, kde jsou vaše místní obchodní systémy a analýzy funkční a Azure se stává rozšířením, můžete pomocí ExpressRoute propojit místní prostředí s Azure přes privátní připojení pomocí poskytovatele připojení. ExpressRoute poskytuje odolnost a dostupnost na podnikové úrovni a výhodu globálního partnerského ekosystému ExpressRoute. Informace o tom, jak připojit síť k Azure pomocí ExpressRoute, najdete v tématu Modely připojení ExpressRoute.
  • Připojení ExpressRoute nepoužívají veřejný internet a poskytují větší spolehlivost, vyšší rychlost a nižší latenci než typická připojení k internetu. Pro vpn typu point-to-site a vpn typu site-to-site můžete připojit místní zařízení nebo sítě k virtuální síti pomocí jakékoli kombinace těchto možností sítě VPN a ExpressRoute.

Definování síťové topologie Azure

Cílové zóny na podnikové úrovni podporují dvě síťové topologie: jednu založenou na službě Azure Virtual WAN a druhou tradiční síťovou topologii založenou na hvězdicové architektuře. Tato část obsahuje doporučené konfigurace a postupy prostředí HPC pro oba modely nasazení.

Pokud vaše organizace plánuje: Použijte síťovou topologii založenou na službě Virtual WAN:

  • Nasaďte prostředky napříč několika oblastmi Azure a připojte globální umístění k Azure i k místnímu prostředí.
  • Plně integrujte softwarově definovaná nasazení WAN s Azure.
  • Nasaďte do všech virtuálních sítí připojených k jednomu centru Virtual WAN až 2 000 úloh virtuálních počítačů.

Organizace používají Virtual WAN ke splnění rozsáhlých požadavků na propojení. Microsoft tuto službu spravuje, což vám pomůže snížit celkovou složitost sítě a modernizovat síť vaší organizace.

Pokud vaše organizace používá tradiční síťovou topologii Azure založenou na hvězdicové architektuře :

  • Plánuje nasadit prostředky pouze ve vybraných oblastech Azure.
  • Nepotřebuje globální propojenou síť.
  • Má několik vzdálených umístění nebo umístění větví pro každou oblast a potřebuje méně než 30 tunelů zabezpečení IP (IPsec).
  • Vyžaduje úplnou kontrolu a členitost pro ruční konfiguraci sítě Azure.

Zdokumentujte topologii sítě a pravidla brány firewall. Skupiny zabezpečení sítě (NSG) se často implementují se značnou složitostí. Skupiny zabezpečení aplikací používejte, když dává smysl označit provoz s větší členitostí než virtuální sítě. Seznamte se s pravidly stanovení priorit NSG a pravidly, která mají přednost před ostatními.

Plánování příchozího a odchozího připojení k internetu

Tato část popisuje doporučené modely připojení pro příchozí a odchozí připojení k veřejnému internetu a z veřejného internetu. Vzhledem k tomu, že služby zabezpečení sítě nativní pro Azure, jako je Azure Firewall, Azure Web Application Firewall ve službě Aplikace Azure Gateway a Azure Front Door jsou plně spravované služby, neúčtují se provozní náklady a náklady na správu spojené s nasazeními infrastruktury, které se můžou stát složitým ve velkém měřítku.

Aspekty návrhu a doporučení

  • Pokud má vaše organizace globální nároky, může být služba Azure Front Door užitečná při nasazení prostředí HPC. Azure Front Door používá zásady firewallu webových aplikací Azure k doručování a ochraně globálních aplikací HTTP(S) napříč oblastmi Azure.
  • Využijte zásady firewallu webových aplikací ve službě Azure Front Door, když používáte Azure Front Door a Application Gateway k ochraně aplikací HTTP. Uzamkněte službu Application Gateway, aby přijímala provoz jenom ze služby Azure Front Door. Další informace najdete v tématu Návody uzamčení přístupu?.
  • Použijte připojení k místnímu a globálnímu partnerskému vztahu virtuálních sítí. Jedná se o upřednostňované metody pro zajištění připojení mezi cílovými zónami pro nasazení prostředí HPC napříč několika oblastmi Azure.

Definování požadavků na šifrování sítě

Tato část obsahuje klíčová doporučení pro šifrování sítí mezi místními prostředími a Azure a napříč oblastmi Azure.

Aspekty návrhu a doporučení

  • Při povolování šifrování je důležitým aspektem výkonu provozu. Tunely IPsec ve výchozím nastavení šifrují internetový provoz. Jakékoli další šifrování nebo dešifrování může negativně ovlivnit výkon. Pokud používáte ExpressRoute, provoz se ve výchozím nastavení nešifruje. Musíte určit, jestli se má provoz PROSTŘEDÍ HPC šifrovat. Prozkoumejte topologii sítě a možnosti připojení, abyste porozuměli možnostem šifrování sítě v cílových zónách na podnikové úrovni.

Další kroky

Následující články obsahují pokyny, které můžou být užitečné v různých fázích procesu přechodu na cloud. Můžou vám pomoct uspět ve scénáři přechodu na cloud pro prostředí PROSTŘEDÍ HPC v finančním sektoru.