编辑

通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Oracle 在 Azure 上托管 Murex MX.3 工作负载

Azure 防火墙
Azure ExpressRoute
Azure Key Vault
Azure 存储
Azure Monitor

本文旨在提供在 Azure 中实现 Murex 工作负载的技术细节。

体系结构

Murex MX.3 工作负载可以在 Oracle、Sybase 或 SQL Server 等数据库上运行。 此体系结构侧重于使用 Oracle 作为数据库来实现 MX.3 应用程序的详细信息。

显示 Murex MX.3 应用程序的 Azure 体系结构的图表。

下载此体系结构的 Visio 文件

工作流

  • 使用 Azure 与本地环境之间的 Azure ExpressRoute 或 VPN 连接访问 Azure 中托管的应用程序层的 MX.3 表示层组件。 使用 Azure 防火墙保护连接。
  • 使用 Citrix 等虚拟桌面基础结构 (VDI) 解决方案访问表示层。 你还可以通过桌面应用程序或使用 MX.3 应用程序提供的 Web 界面直接访问该层。
  • 应用层包含表示层、业务层、编排层和网格层。 它访问 Oracle 数据库以存储和检索数据。
  • 表示层接入业务层、编排层、网格层组件,以完成业务流程。
  • Oracle 数据库使用 Azure 高级 SSD 或 Azure NetApp 文件作为存储机制,以实现更快速的访问。
  • 应用层接入 Azure Key Vault 服务,以安全地存储加密密钥和机密。
  • 管理员用户使用 Azure Bastion 服务安全地访问 Murex MX.3 服务器。

组件

  • Azure Bastion:Azure Bastion 是一项完全托管服务,可针对虚拟机 (VM) 提供更安全且无缝的远程桌面协议 (RDP) 和安全外壳协议 (SSH) 访问权限,且完全不会通过公共 IP 地址曝光。
  • Azure Monitor:借助 Azure Monitor,可以从 Azure 和本地环境收集、分析和处理遥测数据。
  • Azure 防火墙:Azure 防火墙是一种云原生的智能网络防火墙安全服务,用于为 Azure 中运行的云工作负载提供最高水平的威胁防护。
  • Azure ExpressRoute:使用 Azure ExpressRoute 在 Azure 数据中心和位于本地或场地租用环境中的基础结构之间创建专用连接。
  • Azure 文件存储:完全托管于云的文件共享,可通过行业标准 SMB 和 NFS 协议进行访问。
  • Azure 磁盘存储:Azure 磁盘存储为任务关键型和业务关键型应用程序提供高性能、持久的块存储。
  • Azure Site Recovery:通过 Site Recovery 部署复制、故障转移和恢复过程,帮助在计划内和计划外中断期间使应用程序保持运行状态。
  • Azure NetApp 文件:Azure NetApp 文件是一种企业级高性能计量式文件存储服务。
  • Azure Key Vault:使用 Azure Key Vault 安全地存储和访问机密。
  • Azure VPN 网关:VPN 网关通过公共 Internet 在 Azure 虚拟网络与本地位置之间发送加密流量。
  • Azure Policy:使用 Azure Policy 在 Azure 环境中创建、分配和管理策略定义。
  • Azure 备份:Azure 备份是一种经济高效、安全的一键式备份解决方案,可根据备份存储需求进行缩放。

方案详细信息

Murex 是一家全球领先的软件供应商,可为资本市场提供交易、风险管理、处理操作和交易后解决方案。 许多银行都部署 Murex 的第三代平台 MX.3 来管理风险、加速转型和简化合规性,这三项都能推动收入增长。 客户使用 Murex 平台能够更好地控制运营、提高效率并降低运营成本。

MX.3 是基于三层体系结构结构的客户端/服务器应用程序。 银行使用 MX.3 来满足其业务需求,例如销售和交易、企业风险管理,以及抵押和投资。

借助 Microsoft Azure,Murex 客户可以快速简便地创建和缩放 MX.3 基础结构。 Azure 为生产、开发和测试系统提供了一个安全、可靠和高效的环境。 它可显著降低运行 MX.3 环境所需的基础结构成本。

若要详细了解 Murex MX.3 应用程序的各个层级和层、计算和存储要求,请联系 Murex 技术团队。

Linux 是其对应公司的商标。 使用此标志并不意味着认可。

可能的用例

此解决方案非常适合金融业。 以下是一些潜在用例。

  • 更好地控制运营、提高效率并降低基础结构成本。
  • 为生产和开发创建安全、可靠和高效的环境。

注意事项

这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负载质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架

Murex MX.3 是一种复杂的工作负载,具有高内存、低延迟和高可用性要求。 本部分概述在 Azure 中实现 Murex MX.3 工作负载时需分析的一些技术注意事项。

  • MX.3 使用客户端/服务器体系结构。 在 Azure 中实现它时,必须遵循基础结构即服务 (IaaS) 体系结构。 仔细分析所有本机 Azure 服务,确保其满足 Murex 的技术需求。
  • 可以在 Azure 上完全部署 MX.3 解决方案,也可以使用混合模型部署部分 Azure 组件集。 本文不涉及混合模型。 使用混合部署模型之前,应仔细分析体系结构和技术需求。 MX.3 的混合部署模型接受 Murex 团队的技术审查。
  • 可以直接从用户桌面或通过 Citrix 等 VDI 解决方案访问 MX.3 客户端层。
  • 跨不同层的 Murex MX.3 工作负载需要特定类型的计算资源来满足功能和技术需求。 请参阅 Murex MX.3 体系结构,了解 MX.3 工作负载的计算、内存和存储要求。
  • MX.3 应用程序需要外部 (Internet) 和内部(本地)连接来执行任务。 MX.3 应用程序的 Azure 体系结构必须支持安全连接模型才能与内部和外部服务集成。 使用 Azure 站点到站点 VPN 或 ExpressRoute(推荐)连接本地服务。
  • 对于备份,可以将 Azure 本机备份服务与 Azure 存储结合使用。 使用这些服务来实现应用程序 VM 的每日、每周或每月备份,或满足任何其他特定于应用层的备份/存档要求。 对于数据库要求,请使用数据库本机复制或备份工具。
  • 若要在 Azure 上获得 Murex 解决方案的高可用性和复原能力,应在至少两个 VM 中运行应用层的每一个层。 可以使用 Azure 可用性集配置来实现跨多个 VM 的高可用性。 还可以使用 Azure 虚拟机规模集来实现冗余并提高分布在多个实例中的应用程序的性能。 可以通过将编排层托管在多个实例中并使用自定义脚本调用这些实例来实现编排层的高可用性。 可以使用 Oracle Data Guard 或 SQL Server Always On 等数据库高可用性功能来实现高可用性要求。
  • 若要实现 Murex 工作负载所需的性能指标,请考虑将 MX.3 应用程序目录和数据库存储在具有高级 SSD 的 Azure 托管磁盘上。 对于每秒高输入/输出操作和低延迟要求,可以使用 Azure NetApp 文件作为存储选项。 可以在 Azure 中使用邻近放置组和网络加速来实现跨层的高网络吞吐量。
  • 可以使用 Azure Monitor 监视 Azure 基础结构组件。 可以使用其警报机制来采取任意预防措施,例如自动缩放或通知。
  • 使用 Azure Key Vault 等服务通过存储密钥和证书来满足 MX.3 应用程序在 Azure 中的安全要求。 可以使用 Azure 虚拟网络、网络安全组 (NSG) 和应用程序安全组来控制各个层和层级之间的访问权限。 可以根据安全要求使用 Azure 防火墙、DDoS 防护和 Azure 应用程序网关或 Web 应用程序防火墙服务来保护前端层。
  • 可以使用 Azure 资源管理器模板或 Terraform 脚本等基础结构即代码 (IaC) 服务来实现基础结构自动化。 可以使用 Murex DevOps 工具来满足应用程序级别的 DevOps 要求。

可靠性

可靠性可确保应用程序符合你对客户的承诺。 有关详细信息,请参阅可靠性支柱概述

  • 应用层的所有层都托管在每个可用性区域内的至少两个 VM 或虚拟机规模集中,以支持高复原能力。
  • 应用层的业务层和网格层托管在虚拟机规模集上。 这些规模集支持基于预配置条件自动缩放 VM。
  • 对于编排层,如果需要,服务器可以分布在不同的虚拟机上。 如果其中一个 VM 存在问题,可以配置自动化脚本(资源管理器模板或 Terraform)和警报通知,以自动预配更多 VM。
  • 对于持久层,可以通过 Oracle Data Guard 解决方案实现 Oracle 数据库的高可用性。 在此解决方案中,多个 VM 跨可用性区域运行,并且它们之间配置了主动复制。
  • 对于应用层,为每一个层托管冗余虚拟机。 即使任一虚拟机出现灾难,Azure 也会确保自动预配另一个 VM 实例以支持所需级别的灾难恢复。
  • 对于灾难恢复,应在另一个 Azure 区域中运行灾难恢复站点。 可以根据恢复点目标和恢复时间目标要求使用主动/主动或主动/被动灾难恢复配置。 可以使用 Site Recovery 自动执行灾难恢复过程和本机数据库复制。 还可以使用备份工具来实现所需级别的 RPO 指标。
  • 对于持久层,应将 Oracle Data Guard 设置为最高性能(同步提交),以避免对 MX.3 产生任何影响。 可用性区域之间的 Oracle 数据库实例可确保应用程序在数据丢失最少的情况下恢复。
  • 如果出现区域故障,可以使用自动化脚本(资源管理器或 Terraform)或 Site Recovery 服务在配对的 Azure 区域中快速预配环境。
  • 根据恢复点目标要求,可以使用恢复管理器 (RMAN) 等本机 Oracle 备份解决方案来定期备份和还原数据库。

安全性

安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅安全性支柱概述

  • 可以使用 Azure 防火墙来保护 MX.3 虚拟网络。 它对威胁情报有所帮助,并且有助于对流入到表示层的流量和从应用层流出到 Internet 的流量进行控制。
  • 在 MX.3 应用程序中的应用程序子网和数据库子网中使用 NSG 可以对流入和流出数据库、业务层和编排层的网络流量进行控制。
  • 可以使用 Azure Key Vault 服务安全地存储任意敏感信息和证书。

成本优化

成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 有关详细信息,请参阅成本优化支柱概述

  • 可以在 Azure 中托管 Citrix 等 VDI 解决方案的基础结构资源。 客户端层使用 VDI 解决方案访问应用层并优化解决方案的整体成本和性能。
  • 对于计算,使用 Azure 预留适用于计算的 Azure 节省计划,与即用即付价格相比,这可实现显著节省。

可以使用 Azure 定价计算器估算成本。

卓越运营

卓越运营涵盖了部署应用程序并使其在生产环境中保持运行的运营流程。 有关详细信息,请参阅卓越运营支柱概述

  • 可以使用 Azure Monitor 来监视平台并使用 Azure Monitor 日志来监视应用程序。 但如果需要,也可以配置自己的自定义工具来监视平台和应用程序。
  • 可以通过有效集成 IT 服务管理系统来使用资源标记标记资源并扩展对警报和通知的监视。
  • 可以使用 IaC 工具(如资源管理器模板或 Terraform 脚本)来自动执行基础结构预配过程。 可以使用 Azure DevOps 工具将 IaC 工具与 Murex DevOps 工具链集成。
  • 可以使用 Azure 策略来编写安全性或合规性要求,并验证 Azure 环境是否满足审核和合规性要求。

可以使用自定义脚本在应用层的编排层中预配 VM。

性能效率

性能效率是指工作负载能够以高效的方式扩展以满足用户对它的需求。 有关详细信息,请参阅性能效率要素概述

  • 通过使用 Azure NetApp 文件超高性能存储来托管 Oracle 数据库,可以实现数据库服务器的高存储吞吐量。 另一方面,也可以将 Azure VM 与托管磁盘结合使用,降低存储吞吐量,例如高级 SSD 存储。
  • 对于低延迟方案,请在应用程序和持久层之间使用 Azure 邻近放置组。
  • 为了获得更好的性能和可靠性,请使用 ExpressRoute 连接到本地系统。
  • 可以使用 Azure 文件存储存储 MX.3 应用层使用的文件,例如配置文件、日志文件和二进制文件。

网络中心辐射型模型

在 Azure 中实现 MX.3 工作负载的一个关键注意事项是定义登陆区域体系结构。 该体系结构包含订阅、资源组、虚拟网络隔离,以及解决方案各个组件之间的连接。 本部分介绍基于 Microsoft 云采用框架在 Azure 上实现 MX.3 工作负载的登陆区域体系结构

下图显示使用 Azure 中的中心辐射型网络拓扑的登陆区域的概括视图。

显示具有 Azure 服务的中心辐射型模型示例的图表。

  • 使用此模型可对用于运行各种环境的分支网络进行强隔离。 该模型还可维护中心网络中的安全控制访问和共享服务层。
  • 可以在其他区域使用同一中心辐射型模型,因为它是一个多区域解决方案。 可以为每个区域构建一个中心,然后为非生产环境和生产环境构建各种分支。
  • 可以将此登陆区域用于单个订阅或多个订阅,具体取决于组织对应用程序的分类。

下方介绍登陆区域中的每个组件。

中心:中心是一个充当中心位置的虚拟网络,用于管理与 MX.3 客户端本地网络之间的外部连接,以及多个工作负载所用的托管服务。

分支:分支是托管 MX.3 的 Azure 工作负荷并通过虚拟网络对等互连连接到中央中心的虚拟网络。

虚拟网络对等互连:中心辐射型虚拟网络使用虚拟网络对等互连进行连接,可实现虚拟网络之间低延迟连接。

网关:网关用于将流量从 MX.3 客户端本地网络发送到 Azure 虚拟网络。 可以在发送流量之前对其进行加密。

网关子网:将流量从本地发送到 Azure 的网关使用称为网关子网的特定子网。 网关子网是虚拟网络 IP 地址范围的一部分,该范围是在配置虚拟网络时指定的。 网关子网包含虚拟网络网关资源和服务使用的 IP 地址。

Azure Jumpbox VM:Jumpbox 使用动态 IP 连接应用程序和持久层的 Azure VM。 Jumpbox 可防止所有应用程序和数据库 VM 公开。 此连接是通过 RDP 从本地网络进行连接的入口点。

Azure 防火墙:应通过 Azure 防火墙路由 MX.3 VM 和 Internet 之间的所有入站和出站连接。 此类连接的典型示例是时间同步和防病毒定义更新。

Azure Bastion:通过使用 Azure Bastion,可以在 Azure 门户中安全地连接应用程序和数据库 VM。 在中心虚拟网络中部署 Azure Bastion 主机,然后访问对等互连的分支虚拟网络中的 VM。 该组件是可选的,可以根据需要使用。

Azure Bastion 子网:Azure Bastion 需要一个专用子网:AzureBastionSubnet。 必须在中心中创建此子网,并且必须将堡垒主机部署到此子网中。

Azure 管理子网:Azure Jumpbox 必须位于管理子网中。 Jumpbox 包含的 VM 为分支虚拟网络中的应用程序和数据库 VM 实现管理和监视功能。

应用程序子网:可以将所有组件放置在应用层下。 使用专用的应用程序子网还有助于通过 NSG 控制业务层、编排层和技术服务层的流量。

数据库子网:可以将数据库子网中的组件放置在专用子网中,以管理数据库的流量。

专用链接:恢复服务保管库、Azure Cache for Redis 和 Azure 文件存储等 Azure 服务都通过专用链接连接到虚拟网络。 在这些服务和虚拟网络之间建立专用链接,可避免向 Internet 公开数据,从而保护 Azure 中的终结点之间的连接。

作者

本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。

主要作者:

其他参与者:

若要查看非公开领英个人资料,请登录领英。

后续步骤