Share via

Topologie de réseau et connectivité pour HPC dans le secteur financier

  • Article

Cet article s’appuie sur les considérations et recommandations décrites dans l'article sur la zone d’atterrissage Azure concernant la topologie et la connectivité du réseau. Les conseils donnés dans cet article peuvent vous aider à examiner les principales considérations de conception et les meilleures pratiques en matière de mise en réseau et de connectivité vers, depuis et dans les déploiements Azure et HPC.

Planifier l’adressage IP

Il est important de planifier l’adressage IP dans Azure pour s’assurer que :

  • Il n’existe pas de chevauchement des espaces d’adressage IP des emplacements locaux et des régions Azure concernés.
  • Le réseau virtuel contient l’espace d’adressage correct.
  • Une bonne planification de la configuration du sous-réseau se fait à l’avance.

Considérations et recommandations relatives à la conception

  • Des sous-réseaux délégués sont requis si vous souhaitez implémenter Azure NetApp Files, qui est fréquemment utilisé dans les déploiements HPC avec des systèmes de fichiers partagés. Vous pouvez dédier et déléguer des sous-réseaux à certains services, puis créer des instances de ces services dans des sous-réseaux. Bien qu’Azure vous aide à créer plusieurs sous-réseaux délégués dans un réseau virtuel, un seul sous-réseau délégué peut exister dans un réseau virtuel pour Azure NetApp Files. Les tentatives de création d’un nouveau volume échouent si vous utilisez plusieurs sous-réseaux délégués pour Azure NetApp Files.
  • Vous devez créer un sous-réseau dédié si vous utilisez Azure HPC Cache pour le stockage. Pour plus d’informations sur ce prérequis de sous-réseau, consultez Sous-réseau de cache. Pour en savoir plus sur la création d’un sous-réseau, consultez Ajouter un sous-réseau de réseau virtuel.

Configurer le DNS et la résolution de noms pour les ressources locales et Azure

Le DNS (Domain Name System) est un élément de conception critique dans l’architecture de la zone d’atterrissage Azure. Certaines organisations préfèrent utiliser leurs investissements en DNS existants. D’autres considèrent l’adoption du cloud comme une opportunité de moderniser leur infrastructure DNS interne et d’utiliser des fonctionnalités Azure natives.

Recommandations de conception

Les recommandations suivantes s’appliquent aux scénarios dans lesquels le nom DNS ou virtuel d’un ordinateur virtuel ne change pas au cours de la migration.

  • Les noms DNS d’arrière-plan et virtuels connectent de nombreuses interfaces système dans les environnements HPC. Vous ne connaissez peut-être pas toutes les interfaces que les développeurs définissent au fil du temps. Des problèmes de connexion surviennent entre différents systèmes lorsque des noms de machine virtuelle ou DNS changent après des migrations. Nous vous recommandons de conserver les alias DNS pour éviter ces difficultés.
  • Utilisez des zones DNS différentes pour distinguer les environnements (bac à sable, développement, préproduction et production) entre eux. L’exception concerne les déploiements HPC qui ont leurs propres réseaux virtuels. Dans ces déploiements, les zones DNS privées peuvent ne pas être nécessaires.
  • La prise en charge DNS est requise lorsque vous utilisez HPC Cache. DNS lui permet d’accéder au stockage et à d’autres ressources.
  • Le DNS et la résolution de noms sont essentiels dans le secteur financier lorsque vous utilisez l’emplacement des ressources et les enregistrements SRV. Nous vous recommandons d’utiliser la résolution DNS fournie par le contrôleur de domaine Microsoft Entra Domain Services (Microsoft Entra Domain Services). Pour plus d’informations, consultez Déployer Microsoft Entra Domain Services dans un réseau virtuel Azure.

Services réseau hautes performances

InfiniBand

  • Si vous exécutez des applications financières pour lesquelles vous avez besoin d’une faible latence entre les machines et que les informations doivent être transférées entre les nœuds pour obtenir des résultats, vous avez besoin d’interconnexions à faible latence et à haut débit. Les machines virtuellesdes séries H et N compatibles RDMA communiquent sur le réseau InfiniBand à faible latence et à bande passante élevée. La fonctionnalité réseau RDMA sur une telle connexion est critique pour améliorer la scalabilité et les performances des charges de travail HPC et IA sur les nœuds distribués. Ce réseau peut améliorer les performances des applications qui s’exécutent sous Microsoft MPI ou Intel MPI. Pour plus d’informations, consultez Activer InfiniBand. Pour savoir comment configurer MPI, consultez Configurer l’interface de passage de messages pour HPC.

Azure ExpressRoute

  • Pour les applications hybrides telles que les solutions de Grid Computing à risque, où vos systèmes commerciaux et vos analyses locaux sont fonctionnels et où Azure devient une extension, vous pouvez utiliser ExpressRoute pour connecter votre environnement local à Azure via une connexion privée, avec l’aide d’un fournisseur de connectivité. ExpressRoute offre une résilience et une disponibilité de niveau entreprise, ainsi que l’avantage d’un écosystème de partenaires ExpressRoute global. Pour plus d’informations sur la connexion de votre réseau à Azure à l’aide d’ExpressRoute, consultez Modèles de connectivité ExpressRoute.
  • Les connexions ExpressRoute n’utilisent pas Internet public et elles fournissent une plus grande fiabilité, des débits plus importants et des latences moindres par rapport aux connexions Internet classiques. Pour un VPN point à site et un VPN site à site, vous pouvez connecter des appareils ou des réseaux locaux à un réseau virtuel à l’aide de n’importe quelle combinaison de ces options VPN et ExpressRoute.

Définir une topologie de réseau Azure

Les zones d’atterrissage à l’échelle de l’entreprise prennent en charge deux topologies de réseau : l’une basée sur Azure Virtual WAN et l’autre sur une topologie de réseau traditionnelle qui est basée sur l’architecture hub-and-spoke. Cette section fournit des configurations et des pratiques HPC pour les deux modèles de déploiement.

Utilisez une topologie de réseau qui est basée sur Virtual WAN si votre organisation prévoit d’effectuer les opérations suivantes :

  • Votre organisation envisage de déployer des ressources dans plusieurs régions Azure et doit connecter vos emplacements mondiaux à Azure et localement.
  • Intégrez entièrement les déploiements de réseaux étendus à définition logicielle avec Azure.
  • Déployez jusqu'à 2 000 charges de travail de machines virtuelles sur tous les réseaux virtuels connectés à un hub Virtual WAN.

Les organisations utilisent Virtual WAN pour répondre aux besoins d’interconnexion à grande échelle. Microsoft gère ce service, ce qui vous permet de réduire la complexité globale du réseau et de moderniser le réseau de votre organisation.

Utilisez une topologie de réseau Azure traditionnelle basée sur une architecture hub-and-spoke si votre organisation :

  • Prévoit de déployer des ressources dans les régions Azure sélectionnées uniquement.
  • N’a pas besoin d’un réseau interconnecté global.
  • Dispose de quelques sites distants ou succursales par région et a besoin de moins de 30 tunnels de sécurité IP (IPsec).
  • Nécessite un contrôle total et une granularité pour configurer manuellement votre réseau Azure.

Documentez la topologie de votre réseau et les règles de pare-feu. Les groupes de sécurité réseau (NSG) sont souvent implémentés avec une complexité considérable. Utilisez des groupes de sécurité d’application lorsqu’il est judicieux d’étiqueter le trafic à une granularité supérieure à celle que les réseaux virtuels peuvent fournir. Comprendre les règles de hiérarchisation des groupes de sécurité réseau et quelles règles sont prioritaires sur les autres.

Planifier la connectivité Internet entrante et sortante

Cette section décrit des modèles de connectivité recommandés pour la connectivité entrante et sortante à partir et en direction de l’Internet public. Comme les services de sécurité réseau Azure natifs, tels que le Pare-feu Azure, Azure Web Application Firewall sur Azure Application Gateway et Azure Front Door sont des services entièrement gérés, vous n’êtes donc pas exposé aux coûts opérationnels et de gestion associés à des déploiements d’infrastructure qui peuvent devenir complexes à grande échelle.

Considérations et recommandations relatives à la conception

  • Si votre organisation a une empreinte mondiale, Azure Front Door peut être utile dans votre déploiement HPC. Azure Front Door utilise les politiques Azure Web Application Firewall pour fournir et aider à protéger les applications HTTP(S) globales à travers les régions Azure.
  • Tirez parti des stratégies Web Application Firewall dans Azure Front Door lorsque vous utilisez Azure Front Door et Application Gateway pour protéger les applications HTTP/S. Verrouillez Application Gateway pour recevoir le trafic uniquement d’Azure Front Door. Pour plus d’informations, consultez Comment faire verrouiller l’accès ?.
  • Utiliser la connectivité de peering local ou mondial des réseaux virtuels. Il s’agit des méthodes recommandées pour garantir la connectivité entre les zones d’atterrissage pour les déploiements HPC dans plusieurs régions Azure.

Définir des exigences de chiffrement de réseau

Cette section fournit les principales recommandations relatives au chiffrement des réseaux entre les environnements locaux et Azure, et entre les régions Azure.

Considérations et recommandations relatives à la conception

  • Les performances du trafic sont un point important à prendre en compte lorsque vous activez le chiffrement. Les tunnels IPsec chiffrent le trafic Internet par défaut. Tout chiffrement ou déchiffrement supplémentaire peut affecter négativement les performances. Lorsque vous utilisez ExpressRoute, le trafic n’est pas chiffré par défaut. Vous devez déterminer si le trafic HPC doit être chiffré. Explorez la topologie et la connectivité du réseau pour comprendre les options de chiffrement réseau dans les zones d’atterrissage à l’échelle de l’entreprise.

Étapes suivantes

Les articles suivants fournissent des conseils qui peuvent vous être utiles à différentes étapes du processus d’adoption du cloud. Ils peuvent vous aider à réussir dans votre scénario d’adoption du cloud pour les environnements HPC dans le secteur financier.