Bewerken

Delen via

Een Murex MX.3-workload hosten in Azure met behulp van SQL

Azure Firewall
Azure ExpressRoute
Azure Key Vault
Azure Storage
Azure Monitor

Het doel van dit artikel is om technische details te bieden voor het implementeren van Murex-workloads in Microsoft Azure.

Murex is een toonaangevende wereldwijde softwareleverancier van handel, risicobeheer, verwerkingsactiviteiten en post-trade oplossingen voor kapitaalmarkten. Veel banken implementeren het platform van de derde generatie MX.3 van Murex om risico's te beheren, transformatie te versnellen en naleving te vereenvoudigen, allemaal terwijl de omzetgroei wordt stimuleren. Met het Murex-platform kunnen klanten meer controle krijgen over hun activiteiten, de efficiëntie verbeteren en operationele kosten verlagen.

Architectuur

Murex MX.3-workloads kunnen worden uitgevoerd op databases zoals Oracle, Sybase of SQL Server. Met versie V3.1.48 wordt SQL Server 2019 Standard ondersteund voor MX.3, waarmee u kunt profiteren van de prestaties, schaalbaarheid, tolerantie en kostenbesparingen die worden gefaciliteerd door SQL Server. MX.3 is alleen beschikbaar op virtuele Azure-machines (VM's) waarop het Windows-besturingssysteem wordt uitgevoerd.

Diagram met een Azure-architectuur voor een Murex MX.3-toepassing.

Een Visio-bestand van deze architectuur downloaden.

Workflow

  • De MX.3-presentatielaag wordt gehost in Azure en is toegankelijk vanuit een on-premises omgeving via ExpressRoute of een site-naar-site-VPN.
  • De toepassingslaag bevat de presentatielaag, de bedrijfslaag, de indelingslaag en de rasterlaag. Het opent SQL Server op windows-VM voor het opslaan en ophalen van gegevens. Voor extra beveiliging raden we u aan Azure Virtual Desktop te gebruiken of Windows 365 Cloud-pc een bureaubladtoepassing uit te voeren voor toegang tot de presentatielaag. U kunt deze echter ook openen via een webinterface.
  • De presentatielaag heeft toegang tot de onderdelen van de bedrijfslaag, indelingslaag en rasterlaag om het bedrijfsproces te voltooien.
  • De toepassingslaag heeft toegang tot Azure Key Vault-services om versleutelingssleutels en geheimen veilig op te slaan.
  • Beheer gebruikers veilig toegang hebben tot de Murex MX.3-servers met behulp van de Azure Bastion-service.

Onderdelen

  • Azure Bastion: Azure Bastion is een volledig beheerde service die veilige en naadloze RDP-toegang (Remote Desktop Protocol) en Secure Shell-protocol (SSH) tot VM's biedt zonder blootstelling via openbare IP-adressen.
  • Azure Monitor: Azure Monitor helpt u bij het verzamelen, analyseren en handelen van telemetriegegevens uit uw Azure- en on-premises omgevingen.
  • Azure Firewall: Azure Firewall is een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die de beste bedreigingsbeveiliging biedt voor uw cloudworkloads die worden uitgevoerd in Azure.
  • Azure ExpressRoute: Gebruik Azure ExpressRoute om privéverbindingen te maken tussen Azure-datacenters en infrastructuur on-premises of in een colocatieomgeving.
  • Azure Files: Volledig beheerde bestandsshares in de cloud die toegankelijk zijn via de industriestandaard SMB- en NFS-protocollen.
  • Azure Disk Storage: Azure Disk Storage biedt krachtige, duurzame blokopslag voor uw bedrijfskritieke toepassingen.
  • Azure Site Recovery: om uw toepassingen tijdens geplande en ongeplande storingen actief te houden, replicatie, failover en herstelprocessen te implementeren via Site Recovery.
  • SQL Server op Windows-VM: MET SQL Server op virtuele Azure-machines kunt u volledige versies van SQL Server in de cloud gebruiken zonder dat u on-premises hardware hoeft te beheren. SQL Server-VM's vereenvoudigen ook de licentiekosten als u betaalt naar gebruik.
  • Azure Key Vault: Gebruik Azure Key Vault om geheimen veilig op te slaan en te openen.
  • Azure VPN Gateway: VPN Gateway verzendt versleuteld verkeer tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet.
  • Azure Policy: Gebruik Azure Policy om beleidsdefinities in uw Azure-omgeving te maken, toe te wijzen en te beheren.
  • Azure Backup: Azure Backup is een rendabele, veilige back-upoplossing met één klik die schaalbaar is, op basis van uw back-upopslagbehoeften.

Alternatieven

Als alternatieve oplossing kunt u Murex MX.3 gebruiken met Oracle als een database in plaats van SQL. Zie Een Murex MX.3-workload hosten in Azure voor meer informatie.

Scenariodetails

MX.3 is een client-/servertoepassing op basis van een architectuurstructuur met drie lagen. Banken gebruiken MX.3 voor hun bedrijfsvereisten, zoals verkoop en handel, ondernemingsrisicobeheer en onderpand en investeringen.

Azure biedt een snelle en eenvoudige manier om een MX.3-infrastructuur te maken en te schalen. Het biedt een veilige, betrouwbare en efficiënte omgeving voor productie-, ontwikkelings- en testsystemen, en vermindert aanzienlijk de infrastructuurkosten die nodig zijn om de MX.3-omgeving te bedienen.

Neem voor gedetailleerde informatie over de verschillende lagen en lagen van de Murex MX.3-toepassing, reken- en opslagvereisten contact op met het technische team van Murex.

Potentiële gebruikscases

Deze oplossing is ideaal voor gebruik in de financiële sector, met inbegrip van deze mogelijke gebruiksvoorbeelden:

  • Krijg betere controle over bewerkingen, verbeter de efficiëntie en verlaag de infrastructuurkosten.
  • Maak een veilige, betrouwbare en efficiënte omgeving voor productie en ontwikkeling.

Vereisten en beperkingen

Murex MX.3 is een complexe workload met hoge geheugen-, lage latentie- en hoge beschikbaarheidsvereisten. Hieronder volgen enkele technische beperkingen en vereisten die u moet analyseren bij het implementeren van een Murex MX.3-workload in Azure.

  • MX.3 maakt gebruik van een client-/serverarchitectuur. Wanneer deze wordt geïmplementeerd in Azure, kan deze worden uitgevoerd op VM's en worden er geen PaaS-services ondersteund voor de toepassing. Analyseer zorgvuldig alle systeemeigen Azure-services om ervoor te zorgen dat ze voldoen aan de technische vereisten voor Murex.
  • Voor de MX.3-toepassing is externe connectiviteit (internet) en interne (on-premises) connectiviteit vereist om taken uit te voeren. De Azure-architectuur voor de MX.3-toepassing moet een beveiligd connectiviteitsmodel ondersteunen voor integratie met interne en externe services. Gebruik een site-naar-site-VPN of ExpressRoute van Azure (aanbevolen) om verbinding te maken met on-premises services.
  • U kunt de MX.3-oplossing volledig implementeren in Azure of u kunt een gedeeltelijke set Azure-onderdelen implementeren met behulp van een hybride model (niet behandeld in dit artikel). U moet de architectuur en technische vereisten zorgvuldig analyseren voordat u een hybride implementatiemodel gebruikt. Hybride implementatiemodellen voor MX.3 zijn onderhevig aan technische beoordeling door het Murex-team.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

Voor back-ups kunt u systeemeigen Azure-back-upservices gebruiken in combinatie met Azure Storage. Gebruik deze services voor dagelijkse, wekelijkse of maandelijkse back-ups van de toepassings-VM's of andere toepassingslaagspecifieke back-upvereisten. Voor databasevereisten kunt u Site Recovery gebruiken om het proces voor herstel na noodgevallen en systeemeigen databasereplicatie te automatiseren. U kunt ook back-uphulpprogramma's gebruiken om het vereiste niveau van metrische RPO-gegevens te bereiken.

Als u hoge beschikbaarheid en tolerantie van de Murex-oplossing in Azure wilt krijgen, voert u elke laag van de toepassingslaag uit op ten minste twee VM's. U kunt een configuratie van een Azure-beschikbaarheidsset gebruiken om hoge beschikbaarheid te bereiken op meerdere VM's. U kunt ook Virtuele-machineschaalsets van Azure gebruiken voor redundantie en verbeterde prestaties van toepassingen die over meerdere exemplaren worden gedistribueerd. U kunt hoge beschikbaarheid voor de indelingslaag bereiken door ze in meerdere exemplaren te hosten en de exemplaren aan te roepen met behulp van aangepaste scripts. Als u de vereisten voor hoge beschikbaarheid wilt bereiken, gebruikt u functies voor hoge beschikbaarheid van databases, zoals sql Server AlwaysOn-beschikbaarheidsgroep.

Sql Server AlwaysOn-beschikbaarheidsgroep kan worden gebruikt om dr-failover te automatiseren door een primair SQL Server-exemplaar en een of meer secundaire exemplaren in te stellen. Configureer de functie AlwaysOn-beschikbaarheidsgroep op elk serverexemplaren.

MX.3 vereist dat DTC is ingeschakeld in SQL Server. We raden u aan SQL Server op Windows Server-VM's te hosten ter ondersteuning van DTC-transacties, omdat DTC-ondersteuning nog niet beschikbaar is in SQL Server op RedHat Linux OS voor SQL Server AlwaysOn-beschikbaarheidsgroep.

Voor herstel na noodgevallen moet u de site voor herstel na noodgevallen uitvoeren in een andere Azure-regio. Voor SQL Server kunt u configuraties voor actief-passief herstel na noodgevallen gebruiken op basis van de vereisten voor herstelpunten en de beoogde hersteltijd. Actief-actief is geen optie met SQL Server omdat schrijfbewerkingen in meerdere regio's niet mogelijk zijn. Gegevensverlies als gevolg van latentie en de timing van back-ups moet worden overwogen. U kunt Site Recovery gebruiken om het proces voor herstel na noodgevallen en systeemeigen databasereplicatie te automatiseren. U kunt ook back-uphulpprogramma's gebruiken om het vereiste niveau van metrische RPO-gegevens te bereiken.

Linux is een handelsmerk van zijn respectieve bedrijf. Er wordt geen goedkeuring geïmpliceerd door het gebruik van dit merk.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

Open de MX.3-clientlaag rechtstreeks vanaf het bureaublad van de gebruiker of via virtuele bureaubladoplossingen zoals Azure Virtual Desktop, Windows 365 Cloud-pc s of andere niet-Microsoft-oplossingen.

Gebruik services zoals Azure Key Vault om te voldoen aan de beveiligingsvereisten van de MX.3-toepassing in Azure door sleutels en certificaten op te slaan. U kunt virtuele netwerken, netwerkbeveiligingsgroepen (NSG's) en toepassingsbeveiligingsgroepen gebruiken om de toegang tussen verschillende lagen en lagen te beheren. Gebruik Azure Firewall-, DDoS-beveiliging en Azure-toepassing Gateway- of Web Application Firewall-services om de front-endlaag te beveiligen, afhankelijk van de beveiligingsvereisten.

Bekijk de SQL Server-functies en -mogelijkheden die een beveiligingsmethode bieden op gegevensniveau. Daarnaast is het met Azure-beveiligingsmaatregelen mogelijk om uw gevoelige gegevens te versleutelen, VM's te beschermen tegen virussen en malware, netwerkverkeer te beveiligen, bedreigingen te identificeren en te detecteren, te voldoen aan nalevingsvereisten en één methode te bieden voor beheer en rapportage voor elke beveiligingsbehoefte in de hybride cloud. Zie Beveiligingsoverwegingen voor SQL Server op virtuele Azure-machines voor meer informatie over deze beveiligingsoverwegingen.

Zie de andere artikelen in deze reeks voor meer informatie over aanbevolen procedures voor SQL Server-VM's:

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Met Azure Hybrid Benefit kunt u uw bestaande licenties inwisselen voor kortingstarieven in Azure SQL Database en Azure SQL Managed Instance. U kunt maximaal 30 procent of meer besparen op SQL Database en SQL Managed Instance met behulp van uw SQL Server-licenties met Software Assurance in Azure. De pagina Azure Hybrid Benefit biedt een rekenmachine om te helpen bij het bepalen van de besparingen.

Verschillende opties kunnen van invloed zijn op de kosten en het is belangrijk om de juiste VM-SKU te kiezen die de kosten in balans brengt met bedrijfsvereisten.

Virtuele-machineschaalsets kunnen het aantal VM-exemplaren automatisch verhogen naarmate de vraag naar toepassingen toeneemt en vervolgens het aantal VM-exemplaren verminderen naarmate de vraag afneemt.

Automatisch schalen minimaliseert ook het aantal onnodige VM-exemplaren die uw toepassing uitvoeren wanneer de vraag laag is. Klanten blijven een acceptabel prestatieniveau ontvangen naarmate de vraag toeneemt en extra VM-exemplaren automatisch worden toegevoegd. Hierdoor is het mogelijk om de kosten te verlagen en op een efficiënte manier Azure-resources te maken zodra deze nodig zijn.

Zie de prijsrichtlijnen voor SQL Server op Virtuele Azure-machines voor meer informatie over prijzen. U kunt ook de Azure-prijscalculator gebruiken om uw kosten te schatten.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

Gebruik Azure Monitor om de onderdelen van de Azure-infrastructuur te bewaken. Met het waarschuwingsmechanisme kunt u preventieve acties uitvoeren, zoals automatisch schalen of meldingen.

U kunt infrastructuurautomatisering bereiken met infrastructuur als codeservices, zoals Azure Resource Manager-sjablonen of Terraform-scripts.

Met Azure DevOps kunt u Azure SQL Server implementeren met elke IaC die wordt ondersteund, zoals Terraform. U kunt Murex DevOps-hulpprogramma's gebruiken om te voldoen aan de DevOps-vereisten op toepassingsniveau. Neem rechtstreeks contact op met Murex voor hulp bij deze aanpak.

Prestatie-efficiëntie

Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. Zie overzicht van de pijler Prestatie-efficiëntie voor meer informatie.

Voor het gebruik van Murex MX.3-workloads in verschillende lagen zijn specifieke typen rekenresources vereist om te voldoen aan functionele en technische vereisten. Zie de Murex MX.3-architectuur om inzicht te hebben in de reken-, geheugen- en opslagvereisten voor een MX.3-workload.

Als u de vereiste prestatiemetrieken voor Murex-workloads wilt bereiken, kunt u overwegen om de MX.3-toepassingsmap en -databases op Azure Managed Disks op te slaan met Premium SSD. U kunt een nabijheidsplaatsingsgroep en netwerkversnelling in Azure gebruiken om een hoge netwerkdoorvoer tussen lagen te bereiken.

Gebruik Premium- of Ultra SSD-opslag voor SQL op Azure VM. Zie De richtlijnen voor opslagconfiguratie voor SQL Server op Azure VM voor meer informatie over Premium SSD.

Ultra SSD is daarentegen een ander opslagaanbod dat beschikbaar is in Azure voor bedrijfskritieke workloads met latenties van submilliseconden bij hoge doorvoer. Met Ultra SSD hebben we slechts één Ultra SSD-schijf van 1 TB nodig, die kan worden geschaald tot 50.000 IOPS. Ultra SSD kan flexibel worden geconfigureerd en grootte en IOPS kunnen onafhankelijk worden geschaald. Zie Bedrijfskritieke prestaties met Ultra SSD voor SQL Server op Azure VM voor meer informatie over Ultra SSD | Azure-blog | Microsoft Azure.

Het artikel Controlelijst: Aanbevolen procedures voor SQL Server op Azure-VM's biedt een snelle controlelijst met aanbevolen procedures en richtlijnen voor het optimaliseren van de prestaties van uw SQL Server op Azure-VM's. Zie de andere artikelen in deze reeks voor meer informatie over aanbevolen procedures voor SQL Server-VM's:

Schakel SQL Assessment in voor SQL Server op Azure-VM's om uw SQL Server te evalueren op basis van bekende aanbevolen procedures, met resultaten op de beheerpagina van de SQL-VM van Azure Portal.

Als u virtuele-machineschaalsets gebruikt, is het mogelijk om uit te schalen en extra VM's te maken om te voldoen aan de rekenvraag voor bedrijfslaag. Voor Murex MX.3 moet het echter worden gedaan zonder actieve sessies te beëindigen. Murex MX.3-klanten kunnen contact opnemen met hun productondersteuningstechnici voor strategieën om veilig schalen van VM's mogelijk te maken.

Netwerkhub-and-spoke-model

Een belangrijke overweging bij het implementeren van MX.3-workloads in Azure is het definiëren van de architectuur van de landingszone. Deze architectuur bevat het abonnement, de resourcegroep, de isolatie van virtuele netwerken en de connectiviteit tussen verschillende onderdelen van de oplossing. In deze sectie wordt de architectuur van de landingszone beschreven voor het implementeren van een MX.3-workload in Azure, op basis van het Microsoft Cloud Adoption Framework.

In dit diagram ziet u een algemeen overzicht van een landingszone die gebruikmaakt van de sternetwerktopologie in Azure.

Diagram met een voorbeeld van een hub-and-spoke-model met Azure-services.

  • Dit model biedt een sterke isolatie van de spoke-netwerken die worden gebruikt om verschillende omgevingen uit te voeren. Het model onderhoudt ook beveiligde beheertoegang en een gedeelde servicelaag in het hubnetwerk.
  • U kunt hetzelfde hub-spoke-model in een andere regio gebruiken als een oplossing voor meerdere regio's. U kunt een hub bouwen voor elke regio, gevolgd door verschillende spokes voor niet-productie en productie.
  • Gebruik deze landingszone voor één abonnement of meerdere abonnementen, afhankelijk van hoe uw organisatie uw toepassingen categoriseert.

Elk onderdeel in de landingszone wordt hier besproken:

Hub: De hub is een virtueel netwerk dat fungeert als een centrale locatie voor het beheren van externe connectiviteit met het on-premises netwerk van een MX.3-client en hostingservices die door meerdere workloads worden gebruikt.

Spoke: De spokes zijn virtuele netwerken die de Azure-workloads van MX.3 hosten en verbinding maken met de centrale hub via peering van virtuele netwerken.

Peering van virtuele netwerken: virtuele hub- en spoke-netwerken zijn verbonden met peering van virtuele netwerken, die ondersteuning bieden voor verbindingen met lage latentie tussen de virtuele netwerken.

Gateway: Een gateway wordt gebruikt om verkeer te verzenden van het on-premises netwerk van een MX.3-client naar het virtuele Azure-netwerk. U kunt het verkeer versleutelen voordat u het verzendt.

Gatewaysubnet: de gateway die verkeer van on-premises naar Azure verzendt, maakt gebruik van een specifiek subnet dat het gatewaysubnet wordt genoemd. Het gatewaysubnet maakt deel uit van het IP-adresbereik van het virtuele netwerk dat u opgeeft bij het configureren ervan. Het bevat de IP-adressen waarvan de resources en services van de virtuele netwerkgateway gebruikmaken.

Azure Jumpbox-VM: Jumpbox verbindt Azure-VM's van de toepassings- en persistentielagen met behulp van dynamisch IP-adres. Jumpbox voorkomt dat alle toepassings- en database-VM's worden blootgesteld aan het publiek. Deze verbinding is uw toegangspunt om verbinding te maken via een RDP vanuit het on-premises netwerk.

Azure Firewall: u moet alle binnenkomende en uitgaande connectiviteit tussen MX.3-VM's en internet routeren via Azure Firewall. Typische voorbeelden van dergelijke connectiviteit zijn tijdsynchronisatie en antivirusdefinitie-update.

Azure Bastion: Met behulp van Azure Bastion kunt u de toepassings- en database-VM's veilig verbinden via Azure Portal. Implementeer de Azure Bastion-host in het virtuele hubnetwerk en open vervolgens de VM's in de gekoppelde virtuele spoke-netwerken. Dit onderdeel is optioneel en u kunt dit indien nodig gebruiken.

Azure Bastion-subnet: Azure Bastion vereist een toegewezen subnet: AzureBastionSubnet. U moet dit subnet maken in de hub en u moet de Bastion-host implementeren in dit subnet.

Azure-beheersubnet: Azure Jumpbox moet zich in het beheersubnet bevinden. Jumpbox bevat VM's die beheer- en bewakingsmogelijkheden implementeren voor de toepassings- en database-VM's in het virtuele spoke-netwerk.

Toepassingssubnet: u kunt hier alle onderdelen onder de toepassingslaag plaatsen. Het gebruik van een speciaal toepassingssubnet helpt ook bij het beheren van verkeer naar de lagen bedrijfs-, indelings- en technische services via NSG's.

Databasesubnet: u kunt de onderdelen in het databasesubnet in een toegewezen subnet plaatsen om verkeer rond de database te beheren.

Private Link: Azure-services zoals Recovery Services-kluizen, Azure Cache voor Redis en Azure Files zijn allemaal verbonden via een privékoppeling naar het virtuele netwerk. Als u een privékoppeling hebt tussen deze services en het virtuele netwerk, wordt de verbinding tussen eindpunten in Azure beveiligd door gegevensblootstelling op internet te elimineren.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Belangrijkste auteurs:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen