Megosztás a következőn keresztül:

Hálózati topológia és kapcsolat a HPC-hez a pénzügyi szektorban

  • Cikk

Ez a cikk az Azure-beli kezdőzóna hálózati topológiáról és kapcsolatról szóló cikkében ismertetett szempontokra és javaslatokra épül. Az ebben a cikkben található útmutató segítséget nyújt az Azure-beli és HPC-környezetek hálózatkezelésének és csatlakoztatásának főbb tervezési szempontjainak és ajánlott eljárásainak vizsgálatában.

AZ IP-címzés megtervezése

Fontos, hogy az Ip-címzést az Azure-ban tervezze meg, hogy a következőt biztosítsa:

  • Az IP-címtér nem fedi egymást a helyszíni helyek és az Azure-régiók között.
  • A virtuális hálózat a megfelelő címteret tartalmazza.
  • Az alhálózat konfigurálásának megfelelő tervezése előre történik.

Tervezési szempontok és javaslatok

  • Delegált alhálózatokra van szükség, ha az Azure NetApp Filest szeretné implementálni, amelyet gyakran használnak a megosztott fájlrendszerekkel rendelkező HPC-környezetekben. Alhálózatokat delegálhat és delegálhat bizonyos szolgáltatásoknak, majd létrehozhat példányokat ezekből a szolgáltatásokból az alhálózatokon belül. Bár az Azure segít több delegált alhálózat létrehozásában egy virtuális hálózaton, az Azure NetApp Files virtuális hálózatában csak egy delegált alhálózat létezhet. Ha egynél több delegált alhálózatot használ az Azure NetApp Fileshoz, az új kötet létrehozására tett kísérletek sikertelenek lesznek.
  • Dedikált alhálózatot kell létrehoznia, ha az Azure HPC Cache-t használja a tároláshoz. Erről az alhálózati előfeltételről további információt a Gyorsítótár alhálózat című témakörben talál. Ha többet szeretne megtudni az alhálózat létrehozásáról, olvassa el a virtuális hálózati alhálózat hozzáadása című témakört.

DNS- és névfeloldás konfigurálása helyszíni és Azure-erőforrásokhoz

A tartománynévrendszer (DNS) az Azure célzóna architektúrájának kritikus tervezési eleme. Egyes szervezetek szívesebben használják meglévő befektetéseiket a DNS-ben. Mások úgy látják, hogy a felhőbevezetés lehetőséget kínál belső DNS-infrastruktúrájuk modernizálására és natív Azure-képességek használatára.

Tervezési javaslatok

Az alábbi javaslatok olyan forgatókönyvekre vonatkoznak, amelyekben a virtuális gép DNS-e vagy virtuális neve nem változik a migrálás során.

  • A háttér DNS és a virtuális nevek számos rendszerillesztőt kötnek össze a HPC-környezetekben. Előfordulhat, hogy nem ismeri a fejlesztők által az idő során definiált összes felületet. Csatlakozás különböző rendszerek között problémák merülnek fel, amikor a virtuális gép vagy a DNS-nevek a migrálás után megváltoznak. Javasoljuk, hogy a nehézségek elkerülése érdekében tartsa meg a DNS-aliasokat.
  • Különböző DNS-zónák használatával megkülönböztethetők egymástól a környezetek (tesztkörnyezet, fejlesztés, gyártás előtti és éles környezet). Kivételt képeznek azok a HPC-üzemelő példányok, amelyek saját virtuális hálózatokkal rendelkeznek. Ezekben az üzemelő példányokban előfordulhat, hogy nincs szükség privát DNS-zónákra.
  • A HPC Cache használatakor DNS-támogatás szükséges. A DNS lehetővé teszi, hogy hozzáférjen a tárolóhoz és más erőforrásokhoz.
  • A DNS és a névfeloldás kritikus fontosságú a pénzügyi szektorban, amikor erőforrás-hely- és SRV-rekordokat használ. Javasoljuk, hogy a Microsoft Entra Domain Services (Microsoft Entra Domain Services) tartományvezérlő által biztosított DNS-felbontást használja. További információ: Microsoft Entra Domain Services üzembe helyezése Azure-beli virtuális hálózaton.

Nagy teljesítményű hálózati szolgáltatások

InfiniBand

  • Ha olyan pénzügyi alkalmazásokat futtat, amelyek esetében kis késésre van szüksége a gépek között, és az eredmények eléréséhez az adatokat át kell vinni a csomópontok között, kis késésű és nagy átviteli sebességű összekapcsolásra van szükség. Az RDMA-kompatibilis H sorozatú és N sorozatú virtuális gépek alacsony késleltetésű és nagy sávszélességű InfiniBand hálózaton keresztül kommunikálnak. Az RDMA hálózati képessége egy ilyen kapcsolaton kritikus fontosságú az elosztott csomópontú HPC- és AI-számítási feladatok méretezhetőségének és teljesítményének növelése érdekében. Ez a hálózat javíthatja a Microsoft MPI vagy Az Intel MPI alatt futó alkalmazások teljesítményét. További információ: InfiniBand engedélyezése. Az MPI beállításáról a HPC üzenetátadási felületének beállítása című témakörben olvashat.

Azure ExpressRoute

  • Olyan hibrid alkalmazások esetében, mint a risk grid-alapú számítási megoldások, ahol a helyszíni kereskedési rendszerek és az elemzések működnek, és az Azure kiterjesztéssé válik, az ExpressRoute használatával privát kapcsolaton keresztül csatlakoztathatja helyszíni környezetét az Azure-hoz egy kapcsolatszolgáltató segítségével. Az ExpressRoute nagyvállalati szintű rugalmasságot és rendelkezésre állást biztosít, valamint a globális ExpressRoute-partneri ökoszisztéma előnyeit. Ha tudni szeretné, hogyan csatlakoztathatja a hálózatot az Azure-hoz az ExpressRoute használatával, tekintse meg az ExpressRoute kapcsolati modelljeit.
  • Az ExpressRoute-kapcsolatok nem használják a nyilvános internetet, és nagyobb megbízhatóságot, gyorsabb sebességet és alacsonyabb késést biztosítanak, mint a tipikus internetkapcsolatok. Pont–hely VPN és helyek közötti VPN esetén a helyszíni eszközöket vagy hálózatokat csatlakoztathatja egy virtuális hálózathoz ezen VPN-lehetőségek és az ExpressRoute bármely kombinációjával.

Azure-hálózati topológia definiálása

A nagyvállalati szintű kezdőzónák két hálózati topológiát támogatnak: az egyik az Azure Virtual WAN-on alapul, a másik egy hagyományos, küllős architektúrán alapuló hálózati topológiát. Ez a szakasz mindkét üzemi modellhez ajánlott HPC-konfigurációkat és eljárásokat tartalmaz.

Használjon egy Virtual WAN-alapú hálózati topológiát, ha a szervezet a következőket tervezi:

  • Több Azure-régióban is üzembe helyezhet erőforrásokat, és a globális helyeket az Azure-hoz és a helyszínen is csatlakoztathatja.
  • Szoftveralapú WAN-üzemelő példányok teljes integrálása az Azure-ral.
  • Akár 2000 virtuálisgép-számítási feladatot is üzembe helyezhet egy virtuális WAN-központhoz csatlakoztatott összes virtuális hálózaton.

A szervezetek a Virtual WAN használatával teljesítik a nagy léptékű összekapcsolhatósági követelményeket. A Microsoft kezeli ezt a szolgáltatást, amely segít csökkenteni a hálózat általános összetettségét és modernizálni a szervezet hálózatát.

Használjon hagyományos, küllős architektúrán alapuló Azure-hálózati topológiát, ha a szervezete:

  • Azt tervezi, hogy csak bizonyos Azure-régiókban helyezi üzembe az erőforrásokat.
  • Nincs szükség globális, összekapcsolt hálózatra.
  • Régiónként kevés távoli vagy ághely van, és kevesebb mint 30 IP-biztonsági (IPsec-) alagutat igényel.
  • Az Azure-hálózat manuális konfigurálásához teljes körű vezérlésre és részletességre van szükség.

Dokumentálja a hálózati topológiát és a tűzfalszabályokat. A hálózati biztonsági csoportokat (NSG-k) gyakran jelentős összetettséggel implementálják. Alkalmazásbiztonsági csoportokat akkor használjon, ha érdemes a forgalmat a virtuális hálózatok által biztosítottnál részletesebben címkézni. Megismerheti az NSG rangsorolási szabályait, és hogy mely szabályok élveznek elsőbbséget másoknál.

Bejövő és kimenő internetkapcsolat tervezése

Ez a szakasz a nyilvános internet felé és onnan érkező bejövő és kimenő kapcsolatokhoz ajánlott kapcsolati modelleket ismerteti. Mivel az Azure-natív hálózati biztonsági szolgáltatások, például az Azure Firewall, a Azure-alkalmazás Gatewayen futó Azure Web Application Firewall és az Azure Front Door teljes mértékben felügyelt szolgáltatások, nem merülnek fel az infrastruktúra üzembe helyezésével kapcsolatos üzemeltetési és felügyeleti költségek, amelyek nagy léptékben bonyolulttá válhatnak.

Tervezési szempontok és javaslatok

  • Ha a szervezet globális lábnyomtal rendelkezik, az Azure Front Door hasznos lehet a HPC üzembe helyezésében. Az Azure Front Door Azure Web Application Firewall-szabályzatokat használ a globális HTTP-alkalmazások Azure-régiók közötti védelméhez és védelméhez.
  • Használja ki az Azure Front Door webalkalmazási tűzfalszabályzatait, amikor az Azure Front Doort és az Application Gatewayt használja a HTTP-alkalmazások védelméhez. Zárolja az Application Gatewayt, hogy csak az Azure Front Doorból fogadhassa a forgalmat. További információ: Hogyan hozzáférés zárolása?.
  • Használjon helyi és globális virtuális hálózati társviszony-létesítési kapcsolatot. Ezek az előnyben részesített módszerek a több Azure-régióban üzemelő HPC-üzemelő példányok célzónái közötti kapcsolat biztosításához.

Hálózati titkosítási követelmények meghatározása

Ez a szakasz a helyszíni környezetek és az Azure és az Azure-régiók közötti hálózatok titkosítására vonatkozó legfontosabb javaslatokat tartalmazza.

Tervezési szempontok és javaslatok

  • A forgalom teljesítménye fontos szempont a titkosítás engedélyezésekor. Az IPsec-alagutak alapértelmezés szerint titkosítják az internetes forgalmat. Bármely további titkosítás vagy visszafejtés negatívan befolyásolhatja a teljesítményt. Az ExpressRoute használatakor a forgalom alapértelmezés szerint nincs titkosítva. Meg kell határoznia, hogy a HPC-forgalmat titkosítani kell-e. A nagyvállalati szintű kezdőzónák hálózati titkosítási lehetőségeinek megismeréséhez vizsgálja meg a hálózati topológiát és a kapcsolatot .

Következő lépések

Az alábbi cikkek a felhőbevezetési folyamat különböző szakaszaiban hasznosnak bizonyuló útmutatást nyújtanak. Segíthetnek a felhőbevezetési forgatókönyvben a pénzügyi szektorban használt HPC-környezetek esetében.