Изменить

Размещение рабочей нагрузки Murex MX.3 в Azure с помощью Oracle

Брандмауэр Azure
Azure ExpressRoute
Azure Key Vault
Хранилище Azure
Azure Monitor

Цель этой статьи — предоставить технические сведения о реализации рабочих нагрузок Murex в Azure.

Архитектура

Рабочие нагрузки Murex MX.3 могут выполняться в таких базах данных, как Oracle, Sybase или SQL Server. Эта архитектура посвящена подробной реализации приложения MX.3 с помощью Oracle в качестве базы данных.

Схема, демонстрирующая архитектуру Azure для приложения Murex MX.3.

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

  • Доступ к компоненту уровня презентации MX.3 уровня приложений, размещенного в Azure, с помощью подключения Azure ExpressRoute или VPN между Azure и локальной средой. Подключение защищено с помощью Брандмауэр Azure.
  • Доступ к уровню презентации с помощью решений инфраструктуры виртуальных рабочих столов (VDI), таких как Citrix. Вы также можете напрямую получить доступ к уровню через классическое приложение или с помощью веб-интерфейса, предоставленного приложением MX.3.
  • Уровень приложения содержит уровень презентации, бизнес-слой, уровень оркестрации и уровень сетки. Он обращается к базе данных Oracle для хранения и получения данных.
  • Уровень презентации обращается к бизнес-уровню, уровню оркестрации и компонентам уровня сетки для завершения бизнес-процесса.
  • База данных Oracle использует SSD Azure Premium или Azure NetApp Files в качестве механизма хранения для быстрого доступа.
  • Уровень приложений обращается к службам Azure Key Vault для безопасного хранения ключей и секретов шифрования.
  • Администратор пользователи безопасно получают доступ к серверам Murex MX.3 с помощью службы Бастиона Azure.

Компоненты

  • Бастион Azure: Бастион Azure — это полностью управляемая служба, которая обеспечивает более безопасный и простой протокол удаленного рабочего стола (RDP) и протокол Secure Shell (SSH) для виртуальных машин без каких-либо атак через общедоступные IP-адреса.
  • Azure Monitor: Azure Monitor помогает собирать, анализировать и действовать с данными телеметрии из azure и локальных сред.
  • Брандмауэр Azure. Брандмауэр Azure — это облачная и интеллектуальная служба безопасности брандмауэра сети, которая обеспечивает лучшую защиту от угроз для облачных рабочих нагрузок, работающих в Azure.
  • Azure ExpressRoute: используйте Azure ExpressRoute для создания частных подключений между центрами обработки данных Azure и инфраструктурой в локальной среде или в среде совместного размещения.
  • Файлы Azure: полностью управляемые файловые ресурсы в облаке, доступные через стандартные протоколы S МБ и NFS.
  • Служба хранилища дисков Azure: служба хранилища дисков Azure предлагает высокопроизводительное, устойчивое хранилище блоков для критически важных приложений.
  • Azure Site Recovery: развертывание процессов реплика, отработки отказа и восстановления с помощью Site Recovery для поддержания работы приложений во время запланированных и незапланированных сбоев.
  • Azure NetApp Files: Azure NetApp Files — это корпоративная, высокопроизводительная служба хранилища файлов с учетом использования.
  • Azure Key Vault. Используйте Azure Key Vault для безопасного хранения и доступа к секретам.
  • Azure VPN-шлюз: VPN-шлюз отправляет зашифрованный трафик между виртуальной сетью Azure и локальным расположением через общедоступный Интернет.
  • Политика Azure. Используйте Политика Azure для создания, назначения и управления определениями политик в среде Azure.
  • Azure Backup: Azure Backup — это экономичное, безопасное и безопасное решение для резервного копирования, которое можно масштабировать в зависимости от потребностей хранилища резервных копий.

Подробности сценария

Murex является ведущим глобальным поставщиком программного обеспечения для торговли, управления рисками, операций обработки и постторговых решений для рынков капитала. Многие банки развертывают платформу третьего поколения Murex MX.3 для управления рисками, ускорения преобразования и упрощения соответствия требованиям, а также для ускорения роста доходов. Платформа Murex позволяет клиентам получать более широкий контроль над своими операциями, повысить эффективность работы и снизить операционные затраты.

MX.3 — это клиентское или серверное приложение на основе трехуровневой архитектуры. Банки используют MX.3 для своих бизнес-требований, таких как продажи и торговля, управление рисками предприятия, а также обеспечение и инвестиции.

Microsoft Azure предоставляет клиентам Murex быстрый и простой способ создания и масштабирования инфраструктуры MX.3. Azure обеспечивает безопасную, надежную и эффективную среду для рабочих, разработки и тестовых систем. Это значительно снижает затраты на инфраструктуру, необходимые для работы среды MX.3.

Подробные сведения о различных уровнях и уровнях приложения Murex MX.3, вычислительных ресурсов и хранилища см. в технической группе Murex.

Linux является товарным знаком соответствующей компании. Никакое подтверждение не подразумевается использованием этого знака.

Потенциальные варианты использования

Это решение идеально подходит для использования в финансовой отрасли. Ниже приведены некоторые возможные варианты использования.

  • Повышение контроля над операциями, повышение эффективности и снижение затрат на инфраструктуру.
  • Создайте безопасную, надежную и эффективную среду для рабочей среды и разработки.

Рекомендации

Эти рекомендации реализуют основные принципы платформы Azure Well-Architected Framework, которая является набором руководящих принципов, которые можно использовать для улучшения качества рабочей нагрузки. Дополнительные сведения см. в статье Microsoft Azure Well-Architected Framework.

Murex MX.3 — это сложная рабочая нагрузка с высокой памятью, низкой задержкой и высоким уровнем доступности. В этом разделе описаны некоторые технические аспекты, которые необходимо проанализировать при реализации рабочей нагрузки Murex MX.3 в Azure.

  • MX.3 использует архитектуру клиента или сервера. При реализации в Azure необходимо следовать архитектуре инфраструктуры как службы (IaaS). Тщательно проанализируйте все собственные службы Azure, чтобы убедиться, что они соответствуют техническим требованиям для Murex.
  • Вы можете полностью развернуть решение MX.3 в Azure или развернуть частичный набор компонентов Azure с помощью гибридной модели. В этой статье не рассматриваются гибридные модели. Перед использованием гибридной модели развертывания необходимо тщательно проанализировать архитектуру и технические требования. Гибридные модели развертывания для MX.3 подлежат техническому просмотру командой Murex.
  • Вы можете получить доступ к уровню клиента MX.3 непосредственно с рабочего стола пользователя или с помощью решений VDI, таких как Citrix.
  • Для рабочих нагрузок Murex MX.3 на различных уровнях требуются определенные типы вычислительных ресурсов для удовлетворения функциональных и технических требований. См. архитектуру Murex MX.3, чтобы понять требования к вычислительным ресурсам, памяти и хранилищу для рабочей нагрузки MX.3.
  • Приложению MX.3 требуются внешние (интернет) и внутренние (локальные) подключения для выполнения задач. Архитектура Azure для приложения MX.3 должна поддерживать модель безопасного подключения для интеграции с внутренними и внешними службами. Используйте VPN типа "сеть — сеть" Azure или ExpressRoute (рекомендуется) для подключения к локальным службам.
  • Для резервного копирования можно использовать собственные службы резервного копирования Azure в сочетании с хранилищем Azure. Используйте эти службы для ежедневных, еженедельных или ежемесячных резервных копий виртуальных машин приложения или любых других требований к резервному копированию и архивации уровня приложений. Для требований к базе данных используйте собственные средства реплика базы данных или средства резервного копирования.
  • Чтобы получить высокую доступность и устойчивость решений Murex в Azure, необходимо запустить каждый слой уровня приложений по крайней мере на двух виртуальных машинах. Конфигурацию группы доступности Azure можно использовать для обеспечения высокой доступности на нескольких виртуальных машинах. Вы также можете использовать Azure Масштабируемые наборы виртуальных машин для избыточности и повышения производительности приложений, распределенных по нескольким экземплярам. Вы можете обеспечить высокую доступность для уровня оркестрации, размещая их в нескольких экземплярах и вызывая экземпляры с помощью пользовательских скриптов. Для достижения высоких требований к доступности можно использовать такие функции базы данных, как Oracle Data Guard или SQL Server AlwaysOn.
  • Чтобы обеспечить необходимые метрики производительности для рабочих нагрузок Murex, рассмотрите возможность хранения каталога приложений MX.3 и баз данных в Azure Управляемые диски с SSD уровня "Премиум". Для операций с высокими входными и выходными операциями в секунду и низкими задержками можно использовать Azure NetApp Files в качестве параметра хранилища. Вы можете использовать группу размещения близкого взаимодействия и сетевое ускорение в Azure для достижения высокой пропускной способности сети на разных уровнях.
  • С помощью Azure Monitor можно отслеживать компоненты инфраструктуры Azure. Вы можете использовать его механизм генерации оповещений для выполнения любых профилактических действий, таких как автоматическое масштабирование или уведомление.
  • Используйте службы, такие как Azure Key Vault, для решения требований безопасности приложения MX.3 в Azure путем хранения ключей и сертификатов. Виртуальные сети Azure, группы безопасности сети (NSG) и группы безопасности приложений можно использовать для управления доступом между различными уровнями и уровнями. Вы можете использовать Брандмауэр Azure, защиту от атак DDoS и Шлюз приложений Azure или Брандмауэр веб-приложений службы для защиты внешнего уровня в зависимости от требований к безопасности.
  • Вы можете обеспечить автоматизацию инфраструктуры с помощью служб "Инфраструктура как код" (IaC), таких как шаблоны Azure Resource Manager или скрипты Terraform. Средства Murex DevOps можно использовать для решения требований DevOps на уровне приложения.

Надежность

Надежность гарантирует, что ваше приложение позволит вам выполнить ваши обязательства перед клиентами. Дополнительные сведения см. в разделе "Обзор основы надежности".

  • Все слои уровня приложений размещаются по крайней мере в двух виртуальных машинах или масштабируемых наборах виртуальных машин в каждой зоне доступности для обеспечения высокой устойчивости.
  • Бизнес-уровни и уровни сетки уровня приложений размещаются в масштабируемых наборах виртуальных машин. Эти масштабируемые наборы поддерживают автоматическое масштабирование виртуальных машин на основе предварительно настроенных условий.
  • Для уровней оркестрации серверы могут быть распределены по разным виртуальным машинам при необходимости. Если возникли проблемы с одной из виртуальных машин, можно настроить сценарии автоматизации (шаблон Resource Manager или Terraform) и уведомления об оповещениях для автоматической подготовки дополнительных виртуальных машин.
  • Для уровня сохраняемости можно обеспечить высокий уровень доступности базы данных Oracle с помощью решения Oracle Data Guard. В этом решении несколько виртуальных машин выполняются между зонами доступности с активным реплика tion, настроенным между ними.
  • Для уровня приложений избыточные виртуальные машины размещаются для каждого уровня. При возникновении аварии на любой из виртуальных машин Azure гарантирует, что другой экземпляр виртуальной машины автоматически подготавливается для поддержки требуемого уровня аварийного восстановления.
  • Для аварийного восстановления необходимо запустить сайт аварийного восстановления в другом регионе Azure. Конфигурации аварийного восстановления active/Active/Active или Active/Passive можно использовать в зависимости от целевой точки восстановления и целевых требований к времени восстановления. Вы можете использовать Site Recovery для автоматизации процесса аварийного восстановления и реплика собственной базы данных. Вы также можете использовать средства резервного копирования для достижения требуемого уровня метрик RPO.
  • Для уровня сохраняемости необходимо настроить Oracle DataGuard с максимальной производительностью (синхронной фиксацией), чтобы избежать влияния на MX.3. Экземпляры базы данных Oracle между зонами доступности гарантируют, что приложение восстанавливается с минимальными потерями данных.
  • Если произошел сбой региона, можно использовать сценарии автоматизации (Resource Manager или Terraform) или службы Site Recovery для быстрой подготовки среды в парном регионе Azure.
  • В зависимости от требований к целевой точке восстановления можно использовать собственные решения резервного копирования Oracle, такие как диспетчер восстановления (RMAN), для периодического резервного копирования базы данных и его восстановления.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в разделе "Общие сведения о компоненте безопасности".

  • Вы можете использовать Брандмауэр Azure для защиты виртуальной сети MX.3. Он помогает в аналитике угроз и управлении входящим трафиком на уровень презентации и исходящий трафик из уровня приложения в Интернет.
  • Наличие групп безопасности сети в подсети приложения и подсети базы данных в приложении MX.3 может обеспечить контроль сетевого трафика в базе данных, бизнесе и уровне оркестрации.
  • Службу Azure Key Vault можно использовать для безопасного хранения конфиденциальной информации и сертификатов.

Оптимизация затрат

Оптимизация затрат заключается в поиске способов уменьшения ненужных расходов и повышения эффективности работы. Дополнительные сведения см. в разделе Обзор критерия "Оптимизация затрат".

  • Вы можете размещать ресурсы инфраструктуры для решений VDI, таких как Citrix в Azure. На уровне клиента используются решения VDI для доступа к уровню приложений и оптимизации общей стоимости и производительности решения.
  • Для вычислений используйте план экономии Azure и резервирования Azure для вычислений и получите значительную экономию по мере использования цен.

Вы можете использовать калькулятор цен Azure для оценки затрат.

Эффективность работы

Оперативное превосходство охватывает процессы операций, которые развертывают приложение и продолжают работать в рабочей среде. Дополнительные сведения см. в разделе "Общие сведения о принципах эффективности работы".

  • Azure Monitor можно использовать для мониторинга платформы и использования журналов Azure Monitor для мониторинга приложения. Однако при необходимости можно настроить собственный пользовательский инструмент для мониторинга платформы и приложения.
  • Вы можете использовать теги ресурсов для маркировки ресурсов и расширить мониторинг оповещений и уведомлений с помощью эффективной интеграции системы управления ИТ-службами.
  • Для автоматизации процесса подготовки инфраструктуры можно использовать такие средства IaC, как шаблоны Resource Manager или скрипты Terraform. Средства Azure DevOps можно использовать для интеграции средств IaC с цепочкой инструментов Murex DevOps.
  • Политики Azure можно использовать для кодификации требований к безопасности или соответствию требованиям, а также для проверки среды Azure для требований аудита и соответствия требованиям.

Виртуальные машины можно подготовить на уровне оркестрации уровня приложений с помощью пользовательских скриптов.

Оптимизация производительности

Уровень производительности — это способность вашей рабочей нагрузки эффективно масштабироваться в соответствии с требованиями, предъявляемыми к ней пользователями. Дополнительные сведения см. в разделе "Общие сведения о эффективности производительности".

  • Вы можете достичь высокой пропускной способности хранилища для сервера базы данных с помощью хранилища Azure NetApp Files Ultra для размещения базы данных Oracle. Однако вы также можете использовать виртуальную машину Azure с управляемым диском для снижения пропускной способности хранилища, например хранилища SSD уровня "Премиум".
  • Для сценариев с низкой задержкой используйте группы размещения близкого взаимодействия Azure между приложением и уровнем сохраняемости.
  • Для повышения производительности и надежности используйте ExpressRoute для подключения к локальной системе.
  • Вы можете использовать Файлы Azure для хранения файлов, используемых уровнем приложений MX.3, например файлов конфигурации, файлов журналов и двоичных файлов.

Модель сетевого концентратора и периферийной сети

Ключевое внимание при реализации рабочих нагрузок MX.3 в Azure определяет архитектуру целевой зоны. Эта архитектура содержит подписку, группу ресурсов, изоляцию виртуальной сети и подключение между различными компонентами решения. В этом разделе рассматривается архитектура целевой зоны для реализации рабочей нагрузки MX.3 в Azure на основе Microsoft Cloud Adoption Framework.

На приведенной ниже схеме показано высокоуровневое представление целевой зоны, которая использует топологию центральной сети в Azure.

Схема, демонстрирующая пример модели концентратора и периферийной с помощью служб Azure.

  • Использование этой модели позволяет обеспечить сильную изоляцию периферийных сетей, используемых для выполнения различных сред. Модель также поддерживает безопасный контроль доступа и общий уровень служб в центральной сети.
  • Вы можете использовать ту же звездообразную модель в другом регионе, что и решение с несколькими регионами. Вы можете создать концентратор для каждого региона, за которым следует разные периферийные устройства для непроизводственных и рабочих сред.
  • Эту целевую зону можно использовать для одной подписки или нескольких подписок в зависимости от того, как ваша организация классифицирует приложения.

Каждый компонент в целевой зоне рассматривается ниже.

Концентратор: концентратор — это виртуальная сеть, которая выступает в качестве центрального расположения для управления внешним подключением к локальной сети и службам размещения, используемым несколькими рабочими нагрузками клиента MX.3.

Периферийные устройства— это виртуальные сети, в которых размещаются рабочие нагрузки Azure MX.3 и подключаются к центральному концентратору через пиринг между виртуальными сетями.

Пиринг между виртуальными сетями. Виртуальные сети концентратора и периферийные виртуальные сети подключены с помощью пиринга виртуальной сети, которая поддерживает подключения с низкой задержкой между виртуальными сетями.

Шлюз. Шлюз используется для отправки трафика из локальной сети клиента MX.3 в виртуальную сеть Azure. Вы можете зашифровать трафик перед отправкой.

Подсеть шлюза: шлюз, который отправляет трафик из локальной среды в Azure, использует определенную подсеть, называемую подсетью шлюза. Подсеть шлюза входит в диапазон IP-адресов виртуальной сети, который вы указываете при ее настройке. Подсеть шлюза содержит IP-адреса, которые используют ресурсы и службы шлюза виртуальной сети.

Виртуальная машина Azure Jumpbox: Jumpbox подключает виртуальные машины Azure приложений и уровней сохраняемости с помощью динамического IP-адреса. Jumpbox запрещает доступ ко всем виртуальным машинам приложения и базы данных для общественности. Это подключение является точкой входа для подключения через RDP из локальной сети.

Брандмауэр Azure. Вы должны маршрутизировать любое входящее и исходящее подключение между виртуальными машинами MX.3 и Интернетом через Брандмауэр Azure. Типичными примерами такого подключения являются синхронизация времени и обновление определения антивирусной программы.

Бастион Azure. С помощью Бастиона Azure можно безопасно подключить виртуальные машины приложения и базы данных через портал Azure. Разверните узел Бастиона Azure в виртуальной сети концентратора и перейдите к виртуальным машинам в пиринговых виртуальных сетях. Этот компонент является необязательным, и его можно использовать по мере необходимости.

Подсеть Бастиона Azure: Для Бастиона Azure требуется выделенная подсеть: AzureBastionSubnet. Необходимо создать эту подсеть в концентраторе и развернуть узел Бастиона в этой подсети.

Подсеть управления Azure: Azure Jumpbox должна находиться в подсети управления. Jumpbox содержит виртуальные машины, реализующие возможности управления и мониторинга для виртуальных машин приложений и баз данных в периферийной виртуальной сети.

Подсеть приложения. Вы можете разместить все компоненты на уровне приложения здесь. Наличие выделенной подсети приложения также помогает управлять трафиком в бизнес, оркестрацию и технические службы через группы безопасности сети.

Подсеть базы данных. Вы можете разместить компоненты в подсети базы данных в выделенной подсети для управления трафиком по всей базе данных.

Приватный канал: службы Azure, такие как хранилища служб восстановления, Кэш Azure для Redis и Файлы Azure, подключены через приватный канал к виртуальной сети. Приватный канал между этими службами и виртуальной сетью защищает подключение между конечными точками в Azure, устраняя уязвимость данных к Интернету.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующими участник.

Основные авторы:

Другие участник:

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги