Топология сети и подключение для HPC в финансовом секторе
В этой статье рассматриваются рекомендации и рекомендации, описанные в статье целевой зоны Azure для топологии сети и подключения. Рекомендации, приведенные в этой статье, помогут вам ознакомиться с ключевыми рекомендациями по проектированию и работе с сетями и подключением к сети, а также в развертываниях Azure и HPC.
Планирование IP-адресации
Важно планировать IP-адресацию в Azure, чтобы убедиться в том, что:
- Диапазоны IP-адресов в локальных расположениях и регионах Azure не перекрываются.
- Виртуальная сеть содержит правильное адресное пространство.
- Правильное планирование конфигурации подсети выполняется заранее.
Рекомендации и рекомендации по проектированию
- Делегированные подсети необходимы, если вы хотите реализовать Azure NetApp Files, которая часто используется в развертываниях HPC с общими файловыми системами. Вы можете выделить и делегировать подсети определенным службам, а затем создавать экземпляры этих служб в подсетях. Хотя Azure помогает создавать несколько делегированных подсетей в виртуальной сети, в виртуальной сети может существовать только одна делегированная подсеть в виртуальной сети для Azure NetApp Files. Если используется несколько делегированных подсетей для Azure NetApp Files, попытки создания нового тома завершатся ошибкой.
- Если для хранения используется Azure HPC Cache, необходимо создать выделенную подсеть. Дополнительные сведения о необходимых условиях для этой подсети см. в разделе "Подсеть кэша". Дополнительные сведения о создании подсети см. в статье "Добавление подсети виртуальной сети".
Настройка DNS и разрешения имен для локальных ресурсов и ресурсов Azure
Система доменных имен (DNS) — это критически важный элемент проектирования в архитектуре целевой зоны Azure. Некоторые организации предпочитают использовать существующие инвестиции в DNS. Другие пользователи видят возможность внедрения облака как возможность модернизировать внутреннюю инфраструктуру DNS и использовать собственные возможности Azure.
Рекомендации по проектированию
Следующие рекомендации применяются к сценариям, в которых DNS-имя виртуальной машины или виртуальное имя виртуальной машины не изменяется во время миграции.
- Фоновые DNS и виртуальные имена подключают множество системных интерфейсов в средах HPC. Возможно, вы не знаете обо всех интерфейсах, которые разработчики определяют с течением времени. Подключение проблемы возникают между различными системами при изменении имен виртуальных машин или DNS после миграции. Рекомендуется сохранить псевдонимы DNS, чтобы предотвратить эти трудности.
- Используйте разные зоны DNS, чтобы различать среды (песочницу, разработку, предварительное производство и рабочую среду) друг от друга. Исключением является развертывание HPC с собственными виртуальными сетями. В этих развертываниях частные зоны DNS могут не потребоваться.
- Поддержка DNS требуется при использовании HPC Cache. DNS позволяет ему получать доступ к хранилищу и другим ресурсам.
- Разрешение DNS и имен имеет решающее значение в финансовом секторе при использовании расположения ресурсов и записей SRV. Рекомендуется использовать разрешение DNS, предоставленное контроллером домена доменных служб Microsoft Entra (доменные службы Microsoft Entra). Дополнительные сведения см. в статье "Развертывание доменных служб Microsoft Entra" в виртуальной сети Azure.
Высокопроизводительные сетевые службы
InfiniBand
- Если вы запускаете финансовые приложения, для которых требуется низкая задержка между компьютерами, а сведения должны передаваться между узлами, чтобы получить результаты, вам потребуется низкая задержка и взаимодействие с высокой пропускной способностью. Виртуальные машины серии H и N серии RDMA взаимодействуют по сети InfiniBand с низкой задержкой и высокой пропускной способностью. Сетевые возможности RDMA по такому подключению критически важны для повышения масштабируемости и производительности рабочих нагрузок HPC и ИИ распределенного узла. Эта сеть может повысить производительность приложений, работающих в Microsoft MPI или Intel MPI. Дополнительные сведения см. в разделе "Включить InfiniBand". Сведения о настройке MPI см. в статье Настройка интерфейса передачи сообщений для HPC.
Azure ExpressRoute
- Для гибридных приложений, таких как решения вычислений сетки рисков, где локальные торговые системы и аналитика работают, и Azure становится расширением, вы можете использовать ExpressRoute для подключения локальной среды к Azure через частное подключение с помощью поставщика подключений. ExpressRoute обеспечивает устойчивость и доступность корпоративного уровня и преимущество глобальной партнерской экосистемы ExpressRoute. Сведения о подключении сети к Azure с помощью ExpressRoute см . в моделях подключения ExpressRoute.
- Подключения ExpressRoute не используют общедоступный Интернет, и они обеспечивают более надежную, быструю скорость и более низкую задержку, чем типичные подключения к Интернету. Для VPN типа "точка — сеть" и VPN типа "сеть — сеть" можно подключать локальные устройства или сети к виртуальной сети с помощью любого сочетания этих параметров VPN и ExpressRoute.
Определение топологии сети Azure
Целевые зоны корпоративного масштаба поддерживают две топологии сети: одну на основе azure Виртуальная глобальная сеть и другой традиционной топологии сети, основанной на архитектуре концентратора и периферийных серверов. В этом разделе приведены рекомендуемые конфигурации и методики HPC для обеих моделей развертывания.
Используйте топологию сети, основанную на Виртуальная глобальная сеть, если ваша организация планирует:
- Разверните ресурсы в нескольких регионах Azure и подключите глобальные расположения как к Azure, так и к локальной среде.
- полная интеграция программно-определяемых развертываний глобальной сети с помощью Azure;
- Разверните 2000 рабочих нагрузок виртуальных машин во всех виртуальных сетях, подключенных к одному Виртуальная глобальная сеть концентратору.
Организации используют виртуальную глобальную сеть для удовлетворения потребности в крупномасштабном взаимодействии. Корпорация Майкрософт управляет этой службой, что помогает снизить общую сложность сети и модернизировать сеть организации.
Используйте традиционную топологию сети Azure на основе архитектуры концентратора и периферийной сети, если ваша организация:
- Планируется развернуть ресурсы только в выбранном регионе Azure.
- Не требуется глобальная, межсоединяемая сеть.
- Имеет несколько удаленных расположений или расположений филиалов в каждом регионе и требует менее 30 туннелей безопасности IP (IPsec).
- Требуется полный контроль и степень детализации для настройки сети Azure вручную.
Задокументируйте топологию сети и правила брандмауэра. Группы безопасности сети (NSG) часто реализуются со значительной сложностью. Используйте группы безопасности приложений, если имеет смысл пометить трафик на более подробную степень, чем виртуальные сети. Общие сведения о правилах приоритета NSG и о том, какие правила имеют приоритет над другими пользователями.
Планирование входящего и исходящего подключения к Интернету
В этом разделе описываются рекомендуемые модели подключения для входящего и исходящего подключения к общедоступному Интернету. Так как службы безопасности сети Azure, такие как Брандмауэр Azure, Azure Брандмауэр веб-приложений в Шлюз приложений Azure и Azure Front Door являются полностью управляемыми службами, вы не несете затраты на эксплуатацию и управление, связанные с развертываниями инфраструктуры, которые могут стать сложными в масштабе.
Рекомендации и рекомендации по проектированию
- Если у вашей организации есть глобальный объем, Azure Front Door может оказаться полезным в развертывании HPC. Azure Front Door использует политики Azure Брандмауэр веб-приложений для доставки и защиты глобальных приложений HTTP(S) в регионах Azure.
- Воспользуйтесь преимуществами политик Брандмауэр веб-приложений в Azure Front Door при использовании Azure Front Door и Шлюз приложений для защиты приложений HTTP(S). Заблокируйте шлюз приложений, чтобы принимать трафик только из Azure Front Door. Дополнительные сведения см. в разделе Разделы справки доступ к блокировке?.
- Используйте подключение к локальному и глобальному пирингу виртуальной сети. Это предпочтительный способ обеспечения подключения между целевыми зонами для развертываний HPC в нескольких регионах Azure.
Определение требований к шифрованию сети
В этом разделе содержатся основные рекомендации по шифрованию сетей между локальными средами и Azure и между регионами Azure.
Рекомендации и рекомендации по проектированию
- Производительность трафика является важным фактором при включении шифрования. По умолчанию туннели IPsec шифруют интернет-трафик. Любое дополнительное шифрование или расшифровка может отрицательно повлиять на производительность. При использовании ExpressRoute трафик по умолчанию не шифруется. Необходимо определить, следует ли шифровать трафик HPC. Ознакомьтесь с топологией сети и подключением, чтобы понять параметры шифрования сети в целевых зонах корпоративного масштаба.
Следующие шаги
В следующих статьях приведены рекомендации, которые могут оказаться полезными на различных этапах процесса внедрения облака. Они помогут вам добиться успеха в сценарии внедрения облака для сред HPC в финансовом секторе.
- Предложения по выставлению счетов Azure и клиенты Active Directory для финансирования HPC
- Финансы управления удостоверениями и доступом в Azure HPC
- Управление HPC в финансовом секторе
- Автоматизация платформы и DevOps для HPC в финансовом секторе
- Организация ресурсов для Azure HPC в финансовом секторе
- Управление финансами HPC
- Безопасность HPC в финансовом секторе
- служба хранилища для HPC в финансовом секторе
- Акселератор целевой зоны azure с высокой производительностью (HPC)