다음을 통해 공유

금융 부문의 HPC에 대한 네트워크 토폴로지 및 연결

  • 아티클

이 문서는 Azure 랜딩 존 문서에 설명된 네트워크 토폴로지 및 연결에 대한 고려 사항과 권장 사항을 기반으로 합니다. 이 문서의 지침은 Azure 및 HPC 배포와 관련된 네트워킹 및 연결에 대한 주요 디자인 고려 사항과 모범 사례를 검토하는 데 도움이 될 수 있습니다.

IP 주소 지정 계획

다음을 보장하기 위해 Azure에서 IP 주소 지정을 계획하는 것이 중요합니다.

  • IP 주소 공간이 온-프레미스 위치와 Azure 지역에서 겹치지 않습니다.
  • 가상 네트워크에는 올바른 주소 공간이 포함되어 있습니다.
  • 서브넷 구성에 대한 적절한 계획이 미리 진행됩니다.

디자인 고려 사항 및 권장 사항

  • 공유 파일 시스템을 사용하는 HPC 배포에서 자주 사용되는 Azure NetApp Files를 구현하려면 위임된 서브넷이 필요합니다. 서브넷이 특정 서비스를 전담하도록 하고 위임한 다음, 서브넷 내에서 해당 서비스의 인스턴스를 만들 수 있습니다. Azure는 가상 네트워크에서 여러 위임된 서브넷을 만드는 데 도움이 되지만, Azure NetApp Files용 가상 네트워크에는 위임된 서브넷이 하나만 존재할 수 있습니다. Azure NetApp Files에 2개 이상의 위임된 서브넷을 사용하는 경우 새 볼륨을 만들려고 하면 실패합니다.
  • 스토리지에 Azure HPC Cache를 사용하는 경우 전용 서브넷을 만들어야 합니다. 이 서브넷 필수 구성 요소에 대한 자세한 내용은 캐시 서브넷을 참조하세요. 서브넷을 만드는 방법에 대한 자세한 내용은 가상 네트워크 서브넷 추가를 참조하세요.

온-프레미스 및 Azure 리소스에 대한 DNS 및 이름 확인 구성

DNS(Domain Name System)는 Azure 랜딩 존 아키텍처에서 중요한 디자인 요소입니다. 일부 조직은 기존에 투자한 DNS 자산을 사용하는 것을 선호합니다. 클라우드 채택을 내부 DNS 인프라를 현대화하고 네이티브 Azure 기능을 사용할 수 있는 기회로 간주하는 조직도 있습니다.

디자인 권장 사항

다음 권장 사항은 마이그레이션 중에 가상 머신의 DNS 또는 가상 이름이 변경되지 않는 시나리오에 적용됩니다.

  • 백그라운드 DNS 및 가상 이름은 HPC 환경에서 많은 시스템 인터페이스를 연결합니다. 개발자가 시간이 지남에 따라 정의하는 모든 인터페이스를 인식하지 못할 수도 있습니다. 마이그레이션 후 가상 머신 또는 DNS 이름이 변경될 때 다양한 시스템 간에 연결 문제가 발생합니다. 이러한 어려움을 방지하려면 DNS 별칭을 유지하는 것이 좋습니다.
  • 서로 다른 DNS 영역을 사용하여 환경(샌드박스, 개발, 사전 프로덕션 및 프로덕션)을 서로 구분합니다. 예외는 자체 가상 네트워크가 있는 HPC 배포에 대한 것입니다. 이러한 배포에서는 프라이빗 DNS 영역이 필요하지 않을 수 있습니다.
  • HPC Cache를 사용하는 경우 DNS 지원이 필요합니다. DNS를 사용하면 스토리지 및 기타 리소스에 액세스할 수 있습니다.
  • 리소스 위치 및 SRV 레코드를 사용하는 경우 금융 부문에서 DNS 및 이름 확인이 중요합니다. Microsoft Entra Do기본 Services(Microsoft Entra Do기본 Services) do기본 컨트롤러에서 제공하는 DNS 확인을 사용하는 것이 좋습니다. 자세한 내용은 Azure 가상 네트워크에 Microsoft Entra Do기본 Services 배포를 참조하세요.

고성능 네트워크 서비스

InfiniBand

  • 머신 간 대기 시간이 짧은 금융 애플리케이션을 실행하고 결과를 얻기 위해 노드 간에 정보를 전송해야 하는 경우 대기 시간이 짧고 처리량이 높은 상호 연결이 필요합니다. RDMA 지원 H 시리즈N 시리즈 VM은 낮은 대기 시간과 높은 대역폭 InfiniBand 네트워크를 통해 통신합니다. 이러한 연결을 통한 RDMA 네트워크 기능은 분산 노드 HPC 및 AI 워크로드의 확장성과 성능을 향상하는 데 중요합니다. 이 네트워크는 Microsoft MPI 또는 Intel MPI에서 실행되는 애플리케이션의 성능을 개선할 수 있습니다. 자세한 내용은 InfiniBand 사용을 참조하세요. MPI를 설정하는 방법을 알아보려면 HPC에 대한 메시지 전달 인터페이스 설정을 참조하세요.

Azure ExpressRoute

  • 온-프레미스 거래 시스템 및 분석이 작동하고 Azure가 확장이 되는 위험 그리드 컴퓨팅 솔루션과 같은 하이브리드 애플리케이션의 경우 ExpressRoute를 사용하여 연결 공급자의 도움을 받아 프라이빗 연결을 통해 온-프레미스 환경을 Azure에 연결할 수 있습니다. ExpressRoute는 엔터프라이즈급 복원력 및 가용성과 글로벌 ExpressRoute 파트너 에코시스템의 이점을 제공합니다. ExpressRoute를 사용하여 네트워크를 Azure에 연결하는 방법에 대한 내용은 ExpressRoute 연결 모델을 참조하세요.
  • ExpressRoute 연결은 공용 인터넷을 사용하지 않으며 일반적인 인터넷 연결보다 더 높은 안정성, 더 빠른 속도 및 짧은 대기 시간을 제공합니다. 지점과 사이트 간 VPN 및 사이트 간 VPN의 경우 해당 VPN 옵션과 ExpressRoute의 조합을 사용하여 온-프레미스 디바이스 또는 네트워크를 가상 네트워크에 연결할 수 있습니다.

Azure 네트워크 토폴로지 정의

엔터프라이즈 규모 랜딩 존은 두 가지 네트워크 토폴로지(하나는 Azure Virtual WAN 기반, 다른 하나는 허브 스포크 아키텍처 기반의 기존 네트워크 토폴로지)를 지원합니다. 이 섹션에서는 두 배포 모델 모두에 대해 권장되는 HPC 구성 및 모범 사례를 제공합니다.

조직에서 다음을 계획하는 경우 Virtual WAN을 기반으로 하는 네트워크 토폴로지를 사용합니다.

  • 여러 Azure 지역에 리소스를 배포하고, 전역 위치를 Azure 및 온-프레미스 모두에 연결합니다.
  • 소프트웨어 정의 WAN 배포를 Azure와 완전히 통합합니다.
  • 하나의 Virtual WAN 허브에 연결된 모든 가상 네트워크에 최대 2,000개의 가상 머신 워크로드를 배포합니다.

조직에서 Virtual WAN을 사용하여 대규모 상호 연결 요구 사항을 충족합니다. 전체 네트워크 복잡성을 줄이고 조직의 네트워크를 현대화하는 데 도움이 되는 이 서비스는 Microsoft에서 관리합니다.

조직에서 다음 사항에 해당하는 경우 허브 및 스포크 아키텍처 기반의 기존 Azure 네트워크 토폴로지를 사용합니다.

  • 선택한 Azure 지역에만 리소스를 배포할 계획입니다.
  • 상호 연결된 글로벌 네트워크가 필요 없습니다.
  • 지역별 원격 또는 분기 위치가 거의 없으며 30개 미만의 IP 보안(IPsec) 터널이 필요합니다.
  • Azure 네트워크를 수동으로 구성할 수 있도록 모든 권한 및 세분성이 필요합니다.

네트워크 토폴로지 및 방화벽 규칙을 문서화합니다. NSG(네트워크 보안 그룹)는 상당히 복잡하게 구현되는 경우가 많습니다. 가상 네트워크가 제공할 수 있는 것보다 더 세분화하여 트래픽에 레이블을 지정하는 것이 합리적일 때 애플리케이션 보안 그룹을 사용합니다. NSG 우선 순위 지정 규칙 및 다른 규칙보다 우선하는 규칙을 이해합니다.

인바운드 및 아웃바운드 인터넷 연결 계획

이 섹션에서는 공용 인터넷으로의 인바운드 및 아웃바운드 연결에 권장되는 연결 모델에 대해 설명합니다. Azure Firewall, Azure Application Gateway의 Azure Web Application Firewall 및 Azure Front Door와 같은 Azure 네이티브 네트워크 보안 서비스는 완전 관리형 서비스이므로 대규모에서는 복잡해질 수 있는 인프라 배포와 관련된 운영 및 관리 비용이 발생하지 않습니다.

디자인 고려 사항 및 권장 사항

  • 조직에 글로벌 공간이 있는 경우 Azure Front Door는 HPC 배포에 도움이 될 수 있습니다. Azure Front Door는 Azure Web Application Firewall 정책을 사용하여 Azure 지역 전체에 글로벌 HTTP(S) 애플리케이션을 제공하고 보호합니다.
  • Azure Front Door 및 Application Gateway를 사용하여 HTTP(S) 애플리케이션을 보호할 때 Azure Front Door의 Web Application Firewall 정책을 활용합니다. Azure Front Door의 트래픽만 수신하도록 Application Gateway를 잠급니다. 자세한 내용은 액세스를 어떻게 잠그나요?를 참조하세요.
  • 로컬 및 전역 가상 네트워크 피어링 연결을 사용합니다. 이러한 방법은 여러 Azure 지역에서 HPC 배포를 위한 랜딩 존 간의 연결을 보장하기 위한 기본 방법입니다.

네트워크 암호화 요구 사항 정의

이 섹션에서는 온-프레미스 환경과 Azure 간 및 Azure 지역 간에 네트워크를 암호화하기 위한 주요 권장 사항을 제공합니다.

디자인 고려 사항 및 권장 사항

  • 트래픽 성능은 암호화를 사용하도록 설정할 때 중요한 고려 사항입니다. IPsec 터널은 기본적으로 인터넷 트래픽을 암호화합니다. 추가 암호화 또는 암호 해독은 성능에 부정적인 영향을 줄 수 있습니다. ExpressRoute를 사용하는 경우 트래픽은 기본적으로 암호화되지 않습니다. HPC 트래픽을 암호화해야 하는지 여부를 결정해야 합니다. 네트워크 토폴로지연결을 살펴보고 엔터프라이즈 규모 랜딩 존의 네트워크 암호화 옵션을 알아보세요.

다음 단계

다음 문서에서는 클라우드 채택 프로세스의 다양한 단계에서 유용할 수 있는 참고 자료를 제공합니다. 금융 부문의 HPC 환경에 대한 클라우드 채택 시나리오에서 성공하는 데 도움이 될 수 있습니다.