Editar

Hospedar uma carga de trabalho Murex MX.3 no Azure usando SQL

Azure Firewall
Azure ExpressRoute
Azure Key Vault
Azure Storage
Azure Monitor

O objetivo deste artigo é fornecer detalhes técnicos para implementar cargas de trabalho Murex no Microsoft Azure.

A Murex é uma fornecedora líder global de software de negociação, gestão de risco, operações de processamento e soluções pós-negociação para mercados de capitais. Muitos bancos implantam a plataforma MX.3 de terceira geração da Murex para gerenciar riscos, acelerar a transformação e simplificar a conformidade, ao mesmo tempo em que impulsionam o crescimento da receita. A plataforma Murex permite que os clientes obtenham maior controle de suas operações, melhorem a eficiência e reduzam os custos operacionais.

Arquitetura

As cargas de trabalho do Murex MX.3 podem ser executadas em bancos de dados como Oracle, Sybase ou SQL Server. Com a versão V3.1.48, o SQL Server 2019 Standard tem suporte para MX.3, o que permite que você se beneficie do desempenho, escalabilidade, resiliência e economia de custos facilitados pelo SQL Server. O MX.3 está disponível apenas em máquinas virtuais (VMs) do Azure que executam o sistema operacional Windows.

Diagrama que mostra uma arquitetura do Azure para um aplicativo Murex MX.3.

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de Trabalho

  • A camada de apresentação MX.3 é hospedada no Azure e pode ser acessada a partir de um ambiente local por meio da Rota Expressa ou de uma VPN site a site.
  • A camada de aplicativo contém a camada de apresentação, a camada de negócios, a camada de orquestração e a camada de grade. Ele acessa o SQL Server na VM do Windows para armazenar e recuperar dados. Para maior segurança, recomendamos que você use a Área de Trabalho Virtual do Azure ou o Windows 365 Cloud PC executando um aplicativo de área de trabalho para acessar a camada de apresentação. No entanto, você também pode acessá-lo através de uma interface web.
  • A camada de apresentação acessa a camada de negócios, a camada de orquestração e os componentes da camada de grade para concluir o processo de negócios.
  • A camada de aplicativo acessa os serviços do Azure Key Vault para armazenar chaves e segredos de criptografia com segurança.
  • Os usuários administradores acessam com segurança os servidores Murex MX.3 usando o serviço Azure Bastion.

Componentes

  • Azure Bastion: O Azure Bastion é um serviço totalmente gerenciado que fornece acesso mais seguro e contínuo ao protocolo RDP (Remote Desktop Protocol) e ao protocolo SSH (Secure Shell Protocol) a VMs sem qualquer exposição por meio de endereços IP públicos.
  • Azure Monitor: o Azure Monitor ajuda você a coletar, analisar e agir em dados de telemetria de seus ambientes do Azure e locais.
  • Firewall do Azure: o Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo da nuvem que fornece a melhor proteção contra ameaças para suas cargas de trabalho de nuvem em execução no Azure.
  • Azure ExpressRoute: use o Azure ExpressRoute para criar conexões privadas entre datacenters do Azure e infraestrutura no local ou em um ambiente de colocation.
  • Arquivos do Azure: compartilhamentos de arquivos totalmente gerenciados na nuvem que podem ser acessados por meio dos protocolos SMB e NFS padrão do setor.
  • Armazenamento em Disco do Azure: o Armazenamento em Disco do Azure oferece armazenamento em bloco durável e de alto desempenho para seus aplicativos críticos de missão e negócios.
  • Azure Site Recovery: para ajudar a manter seus aplicativos em execução durante interrupções planejadas e não planejadas, implante processos de replicação, failover e recuperação por meio do Site Recovery.
  • SQL Server na VM do Windows: o SQL Server nas Máquinas Virtuais do Azure permite que você use versões completas do SQL Server na nuvem sem precisar gerenciar nenhum hardware local. As VMs do SQL Server também simplificam os custos de licenciamento quando paga em pay as you go.
  • Azure Key Vault: use o Azure Key Vault para armazenar e acessar segredos com segurança.
  • Gateway de VPN do Azure: o Gateway de VPN envia tráfego criptografado entre uma rede virtual do Azure e um local local pela Internet pública.
  • Política do Azure: use a Política do Azure para criar, atribuir e gerenciar definições de política em seu ambiente do Azure.
  • Backup do Azure: o Backup do Azure é uma solução de backup econômica, segura e com um clique que é escalável, com base em suas necessidades de armazenamento de backup.

Alternativas

Como uma solução alternativa, você pode usar o Murex MX.3 com Oracle como um banco de dados em vez de SQL. Para obter mais informações, consulte Hospedar uma carga de trabalho do Murex MX.3 no Azure.

Detalhes do cenário

MX.3 é um aplicativo cliente/servidor baseado em uma estrutura de arquitetura de três camadas. Os bancos usam o MX.3 para seus requisitos de negócios, como vendas e negociação, gerenciamento de risco empresarial e garantias e investimentos.

O Azure fornece uma maneira rápida e fácil de criar e dimensionar uma infraestrutura MX.3. Ele oferece um ambiente seguro, confiável e eficiente para sistemas de produção, desenvolvimento e teste, e reduz significativamente o custo de infraestrutura necessário para operar o ambiente MX.3.

Para obter informações detalhadas sobre os vários níveis e camadas do aplicativo, computação e requisitos de armazenamento do Murex MX.3, entre em contato com a equipe técnica do Murex.

Potenciais casos de utilização

Esta solução é ideal para uso no setor financeiro, incluindo estes casos de uso potenciais:

  • Obtenha um melhor controle das operações, melhore a eficiência e reduza os custos de infraestrutura.
  • Crie um ambiente seguro, confiável e eficiente para produção e desenvolvimento.

Requisitos e limitações

O Murex MX.3 é uma carga de trabalho complexa com alta memória, baixa latência e requisitos de alta disponibilidade. A seguir estão algumas das limitações técnicas e requisitos que você deve analisar ao implementar uma carga de trabalho Murex MX.3 no Azure.

  • MX.3 usa uma arquitetura cliente/servidor. Quando implementado no Azure, ele pode ser executado em VMs e nenhum serviço PaaS é suportado para o aplicativo. Analise cuidadosamente todos os serviços nativos do Azure para garantir que eles atendam aos requisitos técnicos do Murex.
  • O aplicativo MX.3 requer conectividade externa (internet) e interna (local) para executar tarefas. A arquitetura do Azure para o aplicativo MX.3 deve dar suporte a um modelo de conectividade seguro para integração com serviços internos e externos. Use uma VPN site a site do Azure ou ExpressRoute (recomendado) para se conectar a serviços locais.
  • Você pode implantar a solução MX.3 no Azure completamente ou pode implantar um conjunto parcial de componentes do Azure usando um modelo híbrido (não abordado neste artigo). Você deve analisar cuidadosamente a arquitetura e os requisitos técnicos antes de usar um modelo híbrido de implantação. Os modelos híbridos de implantação para MX.3 estão sujeitos a revisão técnica pela equipe Murex.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

Fiabilidade

A confiabilidade garante que seu aplicativo possa atender aos compromissos que você assume com seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.

Para backup, você pode usar os serviços de backup nativos do Azure combinados com o armazenamento do Azure. Use esses serviços para backups diários, semanais ou mensais das VMs de aplicativos ou de quaisquer outros requisitos de backup específicos da camada de aplicativos. Para requisitos de banco de dados, você pode usar a Recuperação de Site para automatizar o processo de recuperação de desastres e a replicação nativa de banco de dados. Você também pode usar ferramentas de backup para atingir o nível necessário de métricas de RPO.

Para obter alta disponibilidade e resiliência da solução Murex no Azure, execute cada camada da camada de aplicativo em pelo menos duas VMs. Você pode usar uma configuração de conjunto de disponibilidade do Azure para obter alta disponibilidade em várias VMs. Você também pode usar os Conjuntos de Escala de Máquina Virtual do Azure para redundância e desempenho aprimorado de aplicativos distribuídos em várias instâncias. Você pode obter alta disponibilidade para a camada de orquestração hospedando-as em várias instâncias e invocando as instâncias usando scripts personalizados. Para atingir os requisitos de alta disponibilidade, use recursos de alta disponibilidade do banco de dados, como o grupo de disponibilidade Always On do SQL Server.

O grupo de disponibilidade Always On do SQL Server pode ser usado para automatizar o failover de DR configurando uma instância primária do SQL Server e uma ou mais instâncias secundárias. Configure o recurso de grupo de disponibilidade Always On em cada instância do servidor.

O MX.3 requer que o DTC esteja ativado no SQL Server. Recomendamos que você hospede o SQL Server em VMs do Windows Server para dar suporte a transações DTC, pois o suporte a DTC ainda não está disponível no SQL Server no grupo de disponibilidade RedHat Linux OS for SQL Server Always On.

Para recuperação de desastres, você deve executar o site de recuperação de desastres em uma região diferente do Azure. Para o SQL Server, você pode usar configurações de recuperação de desastres ativo-passivo com base no objetivo do ponto de recuperação e nos requisitos do objetivo do tempo de recuperação. Ativo-ativo não é uma opção com o SQL Server, pois as gravações em várias regiões não são possíveis. A perda de dados devido à latência e ao tempo dos backups deve ser considerada. Você pode usar o Site Recovery para automatizar o processo de recuperação de desastres e a replicação nativa do banco de dados. Você também pode usar ferramentas de backup para atingir o nível necessário de métricas de RPO.

Linux é uma marca comercial de sua respetiva empresa. O uso desta marca não implica qualquer endosso.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

Aceda ao escalão de cliente MX.3 diretamente a partir do ambiente de trabalho do utilizador ou através de soluções de ambiente de trabalho virtual como o Ambiente de Trabalho Virtual do Azure, Windows 365 Cloud PCs ou outras soluções que não sejam da Microsoft.

Use serviços como o Azure Key Vault para atender aos requisitos de segurança do aplicativo MX.3 no Azure armazenando chaves e certificados. Você pode usar redes virtuais, NSGs (grupos de segurança de rede) e grupos de segurança de aplicativos para controlar o acesso entre várias camadas e camadas. Use o Firewall do Azure, a proteção contra DDoS e os serviços do Gateway de Aplicativo do Azure ou do Firewall de Aplicativo Web para proteger a camada front-end, dependendo dos requisitos de segurança.

Confira os recursos do SQL Server que fornecem um método de segurança no nível de dados. Além disso, com as medidas de segurança do Azure, é possível criptografar seus dados confidenciais, proteger VMs contra vírus e malware, proteger o tráfego de rede, identificar e detetar ameaças, atender aos requisitos de conformidade e fornecer um único método de administração e relatórios para qualquer necessidade de segurança na nuvem híbrida. Para obter mais informações sobre essas considerações de segurança, consulte Considerações de segurança para o SQL Server em Máquinas Virtuais do Azure.

Para obter mais informações sobre as práticas recomendadas de VM do SQL Server, consulte os outros artigos desta série:

Otimização de custos

A otimização de custos consiste em procurar formas de reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, consulte Visão geral do pilar de otimização de custos.

O Benefício Híbrido do Azure permite trocar suas licenças existentes por taxas com desconto no banco de dados SQL do Azure e na Instância Gerenciada SQL do Azure. Você pode economizar até 30% ou mais no banco de dados SQL e na Instância Gerenciada SQL usando suas licenças do SQL Server habilitadas para Software Assurance no Azure. A página Benefício Híbrido do Azure fornece uma calculadora para ajudar a determinar as economias.

Várias opções podem afetar o custo, e é importante escolher o SKU de VM certo que equilibre os custos com os requisitos de negócios.

Os Conjuntos de Dimensionamento de Máquina Virtual podem aumentar automaticamente o número de instâncias de VM à medida que a demanda de aplicativos aumenta e, em seguida, reduzir o número de instâncias de VM à medida que a demanda diminui.

O dimensionamento automático também minimiza o número de instâncias de VM desnecessárias que executam seu aplicativo quando a demanda é baixa. Os clientes continuam a receber um nível aceitável de desempenho à medida que a demanda cresce e instâncias de VM extras são adicionadas automaticamente. Esta capacidade ajuda a reduzir custos e, de forma eficiente, criar recursos do Azure conforme necessário.

Para obter mais informações sobre preços, consulte Diretrizes de preços para o SQL Server em VMs do Azure. Você também pode usar a calculadora de preços do Azure para estimar seus custos.

Excelência operacional

A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

Use o Azure Monitor para monitorar os componentes de infraestrutura do Azure. Seu mecanismo de alerta permite que você tome ações preventivas, como dimensionamento automático ou notificação.

Você pode obter automação de infraestrutura usando Infraestrutura como serviços de código, como modelos do Azure Resource Manager ou scripts Terraform.

O Azure DevOps permite implantar o SQL Server do Azure com qualquer IaC com suporte, como o Terraform. Você pode usar as ferramentas Murex DevOps para atender aos requisitos de DevOps no nível do aplicativo. Envolva-se diretamente com a Murex para obter orientação sobre essa abordagem.

Eficiência de desempenho

Eficiência de desempenho é a capacidade da sua carga de trabalho para dimensionar para satisfazer as exigências que os utilizadores lhe colocam de forma eficiente. Para obter mais informações, consulte Visão geral do pilar de eficiência de desempenho.

Ter cargas de trabalho Murex MX.3 em vários níveis requer tipos específicos de recursos de computação para atender aos requisitos funcionais e técnicos. Consulte a arquitetura Murex MX.3 para entender os requisitos de computação, memória e armazenamento para uma carga de trabalho MX.3.

Para obter as métricas de desempenho necessárias para cargas de trabalho Murex, considere armazenar o diretório de aplicativos MX.3 e os bancos de dados no Azure Managed Disks com SSD Premium. Você pode usar um grupo de posicionamento de proximidade e aceleração de rede no Azure para obter alta taxa de transferência de rede entre camadas.

Use o armazenamento Premium ou Ultra SSD para SQL na VM do Azure. Para obter mais informações sobre SSD Premium, consulte Diretrizes de configuração de armazenamento para SQL Server na VM do Azure.

O SSD Ultra, por outro lado, é outra oferta de armazenamento disponível no Azure para cargas de trabalho de missão crítica com latências de submilissegundos em alta taxa de transferência. Com o Ultra SSD, precisamos de apenas um disco Ultra SSD de 1 TB, que pode escalar até 50.000 IOPS. Ultra SSD pode ser configurado de forma flexível, e tamanho e IOPS podem ser dimensionados de forma independente. Para obter mais informações sobre Ultra SSD, consulte Desempenho de missão crítica com Ultra SSD para SQL Server na VM do Azure | Azure Blog | Microsoft Azure.

O artigo Lista de verificação: Práticas recomendadas para o SQL Server em VMs do Azure fornece uma lista de verificação rápida de práticas recomendadas e diretrizes para otimizar o desempenho do seu SQL Server em VMs do Azure. Para saber mais sobre as práticas recomendadas de VM do SQL Server, consulte os outros artigos desta série:

Habilite a Avaliação SQL para SQL Server em VMs do Azure para avaliar seu SQL Server em relação às práticas recomendadas conhecidas, com resultados fornecidos na página de gerenciamento de VM SQL do portal do Azure.

Se você estiver usando Conjuntos de Dimensionamento de Máquina Virtual, é possível dimensionar e criar VMs extras para atender à demanda de computação para a camada de negócios. No entanto, para o Murex MX.3, isso deve ser feito sem encerrar sessões ativas. Os clientes do Murex MX.3 podem se envolver com seus engenheiros de suporte ao produto para estratégias para realizar o dimensionamento seguro de VMs.

Modelo hub-and-spoke de rede

Uma consideração importante ao implementar cargas de trabalho MX.3 no Azure é definir a arquitetura da zona de aterrissagem. Essa arquitetura contém a assinatura, o grupo de recursos, o isolamento de rede virtual e a conectividade entre vários componentes da solução. Esta seção aborda a arquitetura da zona de aterrissagem para implementar uma carga de trabalho MX.3 no Azure, com base no Microsoft Cloud Adoption Framework.

Este diagrama mostra uma exibição de alto nível de uma zona de aterrissagem que usa a topologia de rede hub-spoke no Azure.

Diagrama que mostra um exemplo de um modelo hub-and-spoke com serviços do Azure.

  • Este modelo fornece um forte isolamento das redes spoke usadas para executar diferentes ambientes. O modelo também mantém o acesso de controle seguro e uma camada de serviço compartilhado na rede do hub.
  • Você pode usar o mesmo modelo hub-spoke em outra região, pois é uma solução multirregião. Você pode construir um hub para cada região, seguido por diferentes raios para não produção e produção.
  • Use essa zona de destino para uma única assinatura ou várias assinaturas, dependendo de como sua organização categoriza seus aplicativos.

Cada componente na zona de aterragem é discutido aqui:

Hub: O hub é uma rede virtual que atua como um local central para gerenciar a conectividade externa com a rede local de um cliente MX.3 e os serviços de hospedagem usados por várias cargas de trabalho.

Spoke: Os raios são redes virtuais que hospedam cargas de trabalho do Azure do MX.3 e se conectam ao hub central por meio de emparelhamento de rede virtual.

Emparelhamento de rede virtual: as redes virtuais hub e spoke são conectadas usando emparelhamento de rede virtual, que suporta conexões de baixa latência entre as redes virtuais.

Gateway: um gateway é usado para enviar tráfego da rede local de um cliente MX.3 para a rede virtual do Azure. Você pode criptografar o tráfego antes de enviá-lo.

Sub-rede de gateway: o gateway que envia tráfego do local para o Azure usa uma sub-rede específica chamada sub-rede de gateway. A sub-rede do gateway faz parte do intervalo de endereços IP da rede virtual que especificou quando configurar a rede virtual. Contém os endereços IP que utilizam os serviços e recursos de gateway de rede virtual.

Azure Jumpbox VM: Jumpbox conecta VMs do Azure do aplicativo e camadas de persistência usando IP dinâmico. O Jumpbox impede que todas as VMs de aplicativos e bancos de dados sejam expostas ao público. Esta ligação é o seu ponto de entrada para ligar através de um RDP a partir da rede local.

Firewall do Azure: você deve rotear qualquer conectividade de entrada e saída entre VMs MX.3 e a Internet por meio do Firewall do Azure. Exemplos típicos dessa conectividade são sincronização de tempo e atualização de definição de antivírus.

Azure Bastion: Usando o Azure Bastion, você pode conectar com segurança as VMs de aplicativo e banco de dados por meio do portal do Azure. Implante o host do Azure Bastion dentro da rede virtual do hub e, em seguida, acesse as VMs nas redes virtuais de spoken emparelhado. Este componente é opcional e você pode usá-lo conforme necessário.

Sub-rede do Azure Bastion: o Azure Bastion requer uma sub-rede dedicada: AzureBastionSubnet. Você deve criar essa sub-rede no hub e implantar o host Bastion nessa sub-rede.

Sub-rede de gerenciamento do Azure: o Azure Jumpbox deve estar na sub-rede de gerenciamento. O Jumpbox contém VMs que implementam recursos de gerenciamento e monitoramento para as VMs de aplicativo e banco de dados na rede virtual spoke.

Sub-rede do aplicativo: você pode colocar todos os componentes na camada de aplicativo aqui. Ter uma sub-rede de aplicativos dedicada também ajuda no controle do tráfego para as camadas de negócios, orquestração e serviços técnicos por meio de NSGs.

Sub-rede do banco de dados: você pode colocar os componentes na sub-rede do banco de dados em uma sub-rede dedicada para gerenciar o tráfego ao redor do banco de dados.

Link Privado: os serviços do Azure, como os cofres dos Serviços de Recuperação, o Cache do Azure para Redis e os Arquivos do Azure, são todos conectados por meio de um link privado à rede virtual. Ter um link privado entre esses serviços e a rede virtual protege a conexão entre pontos de extremidade no Azure, eliminando a exposição de dados à Internet.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Principais autores:

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos