Compartir vía

Topología de red y conectividad de HPC en el sector financiero

  • Artículo

Este artículo se basa en las consideraciones y recomendaciones que se describen en el artículo sobre la topología de red y la conectividad de la zona de aterrizaje de Azure. La guía de este artículo puede ayudarlo a examinar las principales consideraciones de diseño y los procedimientos recomendados en relación con las redes y la conectividad hacia, desde y dentro de Azure y las implementaciones de HPC.

Planeamiento del direccionamiento IP

Para planear el direccionamiento IP en Azure, es fundamental asegurarse de que:

  • El espacio de direcciones IP no se superpone entre las ubicaciones locales y las regiones de Azure.
  • La red virtual contiene el espacio de direcciones adecuado.
  • El planeamiento adecuado de la configuración de la subred tiene lugar de antemano.

Consideraciones y recomendaciones de diseño

  • Se requieren subredes delegadas si quiere implementar Azure NetApp Files, que se usa con frecuencia en implementaciones de HPC con sistemas de archivos compartidos. Puede dedicar y delegar subredes para determinados servicios y, luego, crear instancias de esos servicios dentro de las subredes. Aunque Azure le ayuda a crear varias subredes delegadas en una red virtual, solo puede existir una subred delegada en una red virtual para Azure NetApp Files. Si usa más de una subred delegada para Azure NetApp Files, los intentos de crear un nuevo volumen producirán un error.
  • Debe crear una subred dedicada si usa Azure HPC Cache para el almacenamiento. Para más información sobre este requisito previo de subred, consulte Subred de caché. Para más información sobre cómo crear una subred, consulte Adición de una subred de red virtual.

Configuración de DNS y la resolución de nombres para los recursos locales y de Azure

El sistema de nombres de dominio (DNS) es un elemento de diseño fundamental en la arquitectura de la zona de aterrizaje de Azure. Es posible que algunas organizaciones prefieran usar sus inversiones existentes en DNS. Otros usuarios ven la adopción de la nube como una oportunidad para modernizar su infraestructura DNS interna y usar las funcionalidades nativas de Azure.

Recomendaciones de diseño

Las recomendaciones siguientes se aplican a escenarios en los que el nombre DNS o el nombre virtual de una máquina virtual no cambia durante la migración.

  • Los nombres DNS y virtuales en segundo plano conectan muchas interfaces del sistema en entornos de HPC. Es posible que no tenga en cuenta todas las interfaces que los desarrolladores definen con el tiempo. Los desafíos de conexión surgen entre varios sistemas cuando los nombres de máquina virtual o DNS cambian después de las migraciones. Se recomienda conservar los alias DNS para evitar estas dificultades.
  • Use diferentes zonas DNS para distinguir cada entorno (espacio aislado, desarrollo, preproducción y producción) de los demás. La excepción son las implementaciones de HPC que tienen sus propias redes virtuales. En estas implementaciones, es posible que no sean necesarias zonas DNS privadas.
  • La compatibilidad con DNS es necesaria cuando se usa HPC Cache. DNS le permite acceder al almacenamiento y a otros recursos.
  • La resolución de nombres y el sistema de nombres de dominio (DNS) son fundamentales en el sector financiero cuando se usan la ubicación de los recursos y los registros SRV. Se recomienda usar la resolución DNS proporcionada por el controlador de dominio de Microsoft Entra Domain Services (Microsoft Entra Domain Services). Para más información, consulte Implementación de Microsoft Entra Domain Services en una red virtual de Azure.

Servicios de red de alto rendimiento

Infiniband

  • Si ejecuta aplicaciones financieras para las que necesita una latencia baja entre las máquinas y la información debe transferirse entre nodos para obtener resultados, necesita interconexiones de baja latencia y alto rendimiento. Las máquinas virtuales de la serie H y de la serie N compatibles con RDMA se comunican a través de la red InfiniBand de baja latencia y alto ancho de banda. La funcionalidad de red RDMA sobre dicha interconexión es crítica para potenciar la escalabilidad y el rendimiento de las cargas de trabajo de IA y HPC de nodos distribuidos. Esta red puede mejorar el rendimiento de las aplicaciones que se ejecutan en la interfaz de paso de mensajes de Microsoft o de Intel. Para más información, consulte Habilitación de InfiniBand. Para aprender a configurar la interfaz de paso de mensajes, consulte Configuración de la interfaz de paso de mensajes para HPC.

Azure ExpressRoute

  • En el caso de aplicaciones híbridas, como las soluciones de computación en malla de riesgos, donde los sistemas comerciales locales y el análisis son funcionales y Azure se convierte en una extensión, puede usar ExpressRoute para conectar el entorno local a Azure a través de una conexión privada, con la ayuda de un proveedor de conectividad. ExpressRoute proporciona resistencia y disponibilidad de nivel empresarial y la ventaja de un ecosistema global de asociados de ExpressRoute. Para información sobre cómo conectar la red a Microsoft mediante ExpressRoute, consulte Modelos de conectividad de ExpressRoute.
  • Las conexiones de ExpressRoute no usan Internet y ofrecen más confiabilidad, velocidad, seguridad y una menor latencia que las conexiones a Internet habituales. Para las conexiones VPN de punto a sitio y de sitio a sitio, puede conectar dispositivos o redes locales a una red virtual mediante cualquier combinación de estas opciones de VPN y ExpressRoute.

Definición de una topología de red de Azure

Las zonas de aterrizaje de escala empresarial admiten dos topologías de red: una basada en Azure Virtual WAN y la otra es una topología de red tradicional basada en la arquitectura en estrella tipo hub-and-spoke. En esta sección se proporcionan configuraciones y procedimientos de HPC recomendados para ambos modelos de implementación.

Use una topología de red basada en Virtual WAN si la organización planea:

  • Implementar recursos en varias regiones de Azure y conectar las ubicaciones globales a Azure y al entorno local.
  • Integrar totalmente implementaciones de WAN definidas por software con Azure.
  • Implementar hasta 2000 cargas de trabajo de máquinas virtuales en todas las redes virtuales conectadas a un centro de conectividad de Virtual WAN.

Las organizaciones usan Virtual WAN para cumplir los requisitos de interconectividad a gran escala. Microsoft administra este servicio, lo que ayuda a reducir la complejidad general de la red y a modernizar la red de la organización.

Use una topología de red de Azure tradicional basada en la arquitectura en estrella tipo hub-and-spoke si la organización:

  • Planea implementar recursos solo en regiones de Azure seleccionadas.
  • No necesita una red interconectada global.
  • Tiene pocas ubicaciones remotas o sucursales por cada región y necesita menos de 30 túneles de seguridad IP (IPsec).
  • Requiere control total y granularidad para configurar manualmente la red de Azure.

Documenta la topología de red y las reglas de firewall. Los grupos de seguridad de red (NSG) a menudo se implementan con una complejidad considerable. Use grupos de seguridad de aplicaciones cuando tenga sentido etiquetar el tráfico con una granularidad mayor que la que pueden proporcionar las redes virtuales. Comprende las reglas de priorización de grupos de seguridad de red y qué reglas tienen prioridad sobre otras.

Planeamiento de la conectividad de Internet entrante y saliente

En esta sección se describen los modelos de conectividad recomendados para las conexiones entrantes y salientes con la red pública de Internet como origen y destino. Como los servicios de seguridad de red nativos de Azure, como Azure Firewall, Azure Web Application Firewall en Azure Application Gateway y Azure Front Door, son servicios totalmente administrados, no incurre en los costos operativos y de administración asociados con las implementaciones de infraestructura, lo que puede resultar complejo a gran escala.

Consideraciones y recomendaciones de diseño

  • Si su organización tiene una superficie global, Azure Front Door puede ser útil en la implementación de HPC. Azure Front Door usa directivas de Azure Web Application Firewall para proporcionar y proteger aplicaciones HTTP(S) globales en regiones de Azure.
  • Aproveche las ventajas de las directivas de Web Application Firewall en Azure Front Door cuando use este servicio y Application Gateway para proteger las aplicaciones HTTP(S). Bloquee Application Gateway para recibir tráfico únicamente desde Azure Front Door. Para más información, consulte Cómo bloquear el acceso.
  • Use la conectividad de emparejamiento de red virtual local y global. Estos son los métodos preferidos para garantizar la conectividad entre zonas de aterrizaje para implementaciones de HPC en varias regiones de Azure.

Definición de los requisitos de cifrado de red

En esta sección se proporcionan recomendaciones clave para cifrar las redes entre el entorno local y Azure, y entre regiones de Azure.

Consideraciones y recomendaciones de diseño

  • El rendimiento del tráfico es una consideración importante al habilitar el cifrado. Los túneles IPsec cifran el tráfico de Internet de forma predeterminada. Cualquier cifrado o descifrado adicional puede afectar negativamente al rendimiento. Cuando se usa ExpressRoute, el tráfico no se cifra de forma predeterminada. Debe determinar si se debe cifrar el tráfico de HPC. Explore la topología de red y la conectividad para comprender las opciones de cifrado de red en zonas de aterrizaje de escala empresarial.

Pasos siguientes

En los artículos siguientes se proporciona una guía que puede resultar útil durante varias fases del proceso de adopción de la nube. Pueden ayudarle a tener éxito en su escenario de adopción de la nube para entornos de HPC en el sector financiero.