Топология сети и подключение для HPC в финансовом секторе

В этой статье рассматриваются рекомендации и рекомендации, описанные в статье целевой зоны Azure для топологии сети и подключения. Рекомендации, приведенные в этой статье, помогут вам ознакомиться с ключевыми рекомендациями по проектированию и работе с сетями и подключением к сети, а также в развертываниях Azure и HPC.

Планирование IP-адресации

Важно планировать IP-адресацию в Azure, чтобы убедиться в том, что:

• Диапазоны IP-адресов в локальных расположениях и регионах Azure не перекрываются.
• Виртуальная сеть содержит правильное адресное пространство.
• Правильное планирование конфигурации подсети выполняется заранее.

Рекомендации и рекомендации по проектированию

• Делегированные подсети необходимы, если вы хотите реализовать Azure NetApp Files, которая часто используется в развертываниях HPC с общими файловыми системами. Вы можете выделить и делегировать подсети определенным службам, а затем создавать экземпляры этих служб в подсетях. Хотя Azure помогает создавать несколько делегированных подсетей в виртуальной сети, в виртуальной сети может существовать только одна делегированная подсеть в виртуальной сети для Azure NetApp Files. Если используется несколько делегированных подсетей для Azure NetApp Files, попытки создания нового тома завершатся ошибкой.
• Если для хранения используется Azure HPC Cache, необходимо создать выделенную подсеть. Дополнительные сведения о необходимых условиях для этой подсети см. в разделе "Подсеть кэша". Дополнительные сведения о создании подсети см. в статье "Добавление подсети виртуальной сети".

Настройка DNS и разрешения имен для локальных ресурсов и ресурсов Azure

Система доменных имен (DNS) — это критически важный элемент проектирования в архитектуре целевой зоны Azure. Некоторые организации предпочитают использовать существующие инвестиции в DNS. Другие пользователи видят возможность внедрения облака как возможность модернизировать внутреннюю инфраструктуру DNS и использовать собственные возможности Azure.

Рекомендации по проектированию

Следующие рекомендации применяются к сценариям, в которых DNS-имя виртуальной машины или виртуальное имя виртуальной машины не изменяется во время миграции.

• Фоновые DNS и виртуальные имена подключают множество системных интерфейсов в средах HPC. Возможно, вы не знаете обо всех интерфейсах, которые разработчики определяют с течением времени. Подключение проблемы возникают между различными системами при изменении имен виртуальных машин или DNS после миграции. Рекомендуется сохранить псевдонимы DNS, чтобы предотвратить эти трудности.
• Используйте разные зоны DNS, чтобы различать среды (песочницу, разработку, предварительное производство и рабочую среду) друг от друга. Исключением является развертывание HPC с собственными виртуальными сетями. В этих развертываниях частные зоны DNS могут не потребоваться.
• Поддержка DNS требуется при использовании HPC Cache. DNS позволяет ему получать доступ к хранилищу и другим ресурсам.
• Разрешение DNS и имен имеет решающее значение в финансовом секторе при использовании расположения ресурсов и записей SRV. Рекомендуется использовать разрешение DNS, предоставленное контроллером домена доменных служб Microsoft Entra (доменные службы Microsoft Entra). Дополнительные сведения см. в статье "Развертывание доменных служб Microsoft Entra" в виртуальной сети Azure.

Высокопроизводительные сетевые службы

InfiniBand

• Если вы запускаете финансовые приложения, для которых требуется низкая задержка между компьютерами, а сведения должны передаваться между узлами, чтобы получить результаты, вам потребуется низкая задержка и взаимодействие с высокой пропускной способностью. Виртуальные машины серии H и N серии RDMA взаимодействуют по сети InfiniBand с низкой задержкой и высокой пропускной способностью. Сетевые возможности RDMA по такому подключению критически важны для повышения масштабируемости и производительности рабочих нагрузок HPC и ИИ распределенного узла. Эта сеть может повысить производительность приложений, работающих в Microsoft MPI или Intel MPI. Дополнительные сведения см. в разделе "Включить InfiniBand". Сведения о настройке MPI см. в статье Настройка интерфейса передачи сообщений для HPC.

Azure ExpressRoute

• Для гибридных приложений, таких как решения вычислений сетки рисков, где локальные торговые системы и аналитика работают, и Azure становится расширением, вы можете использовать ExpressRoute для подключения локальной среды к Azure через частное подключение с помощью поставщика подключений. ExpressRoute обеспечивает устойчивость и доступность корпоративного уровня и преимущество глобальной партнерской экосистемы ExpressRoute. Сведения о подключении сети к Azure с помощью ExpressRoute см . в моделях подключения ExpressRoute.
• Подключения ExpressRoute не используют общедоступный Интернет, и они обеспечивают более надежную, быструю скорость и более низкую задержку, чем типичные подключения к Интернету. Для VPN типа "точка — сеть" и VPN типа "сеть — сеть" можно подключать локальные устройства или сети к виртуальной сети с помощью любого сочетания этих параметров VPN и ExpressRoute.

Определение топологии сети Azure

Целевые зоны корпоративного масштаба поддерживают две топологии сети: одну на основе azure Виртуальная глобальная сеть и другой традиционной топологии сети, основанной на архитектуре концентратора и периферийных серверов. В этом разделе приведены рекомендуемые конфигурации и методики HPC для обеих моделей развертывания.

Используйте топологию сети, основанную на Виртуальная глобальная сеть, если ваша организация планирует:

• Разверните ресурсы в нескольких регионах Azure и подключите глобальные расположения как к Azure, так и к локальной среде.
• полная интеграция программно-определяемых развертываний глобальной сети с помощью Azure;
• Разверните 2000 рабочих нагрузок виртуальных машин во всех виртуальных сетях, подключенных к одному Виртуальная глобальная сеть концентратору.

Организации используют виртуальную глобальную сеть для удовлетворения потребности в крупномасштабном взаимодействии. Корпорация Майкрософт управляет этой службой, что помогает снизить общую сложность сети и модернизировать сеть организации.

Используйте традиционную топологию сети Azure на основе архитектуры концентратора и периферийной сети, если ваша организация:

• Планируется развернуть ресурсы только в выбранном регионе Azure.
• Не требуется глобальная, межсоединяемая сеть.
• Имеет несколько удаленных расположений или расположений филиалов в каждом регионе и требует менее 30 туннелей безопасности IP (IPsec).
• Требуется полный контроль и степень детализации для настройки сети Azure вручную.

Задокументируйте топологию сети и правила брандмауэра. Группы безопасности сети (NSG) часто реализуются со значительной сложностью. Используйте группы безопасности приложений, если имеет смысл пометить трафик на более подробную степень, чем виртуальные сети. Общие сведения о правилах приоритета NSG и о том, какие правила имеют приоритет над другими пользователями.

Планирование входящего и исходящего подключения к Интернету

В этом разделе описываются рекомендуемые модели подключения для входящего и исходящего подключения к общедоступному Интернету. Так как службы безопасности сети Azure, такие как Брандмауэр Azure, Azure Брандмауэр веб-приложений в Шлюз приложений Azure и Azure Front Door являются полностью управляемыми службами, вы не несете затраты на эксплуатацию и управление, связанные с развертываниями инфраструктуры, которые могут стать сложными в масштабе.

Рекомендации и рекомендации по проектированию

• Если у вашей организации есть глобальный объем, Azure Front Door может оказаться полезным в развертывании HPC. Azure Front Door использует политики Azure Брандмауэр веб-приложений для доставки и защиты глобальных приложений HTTP(S) в регионах Azure.
• Воспользуйтесь преимуществами политик Брандмауэр веб-приложений в Azure Front Door при использовании Azure Front Door и Шлюз приложений для защиты приложений HTTP(S). Заблокируйте шлюз приложений, чтобы принимать трафик только из Azure Front Door. Дополнительные сведения см. в разделе Разделы справки доступ к блокировке?.
• Используйте подключение к локальному и глобальному пирингу виртуальной сети. Это предпочтительный способ обеспечения подключения между целевыми зонами для развертываний HPC в нескольких регионах Azure.

Определение требований к шифрованию сети

В этом разделе содержатся основные рекомендации по шифрованию сетей между локальными средами и Azure и между регионами Azure.

Рекомендации и рекомендации по проектированию

• Производительность трафика является важным фактором при включении шифрования. По умолчанию туннели IPsec шифруют интернет-трафик. Любое дополнительное шифрование или расшифровка может отрицательно повлиять на производительность. При использовании ExpressRoute трафик по умолчанию не шифруется. Необходимо определить, следует ли шифровать трафик HPC. Ознакомьтесь с топологией сети и подключением, чтобы понять параметры шифрования сети в целевых зонах корпоративного масштаба.

Следующие шаги

В следующих статьях приведены рекомендации, которые могут оказаться полезными на различных этапах процесса внедрения облака. Они помогут вам добиться успеха в сценарии внедрения облака для сред HPC в финансовом секторе.

• Предложения по выставлению счетов Azure и клиенты Active Directory для финансирования HPC
• Финансы управления удостоверениями и доступом в Azure HPC
• Управление HPC в финансовом секторе
• Автоматизация платформы и DevOps для HPC в финансовом секторе
• Организация ресурсов для Azure HPC в финансовом секторе
• Управление финансами HPC
• Безопасность HPC в финансовом секторе
• служба хранилища для HPC в финансовом секторе
• Акселератор целевой зоны azure с высокой производительностью (HPC)