Dela via

Nätverkstopologi och anslutning för HPC inom finanssektorn

  • Artikel

Den här artikeln bygger på överväganden och rekommendationer som beskrivs i artikeln azure-landningszon för nätverkstopologi och anslutning. Vägledningen i den här artikeln kan hjälpa dig att undersöka viktiga designöverväganden och metodtips för nätverk och anslutning till, från och inom Azure- och HPC-distributioner.

Planera för IP-adressering

Det är viktigt att planera för IP-adressering i Azure för att säkerställa att:

  • IP-adressutrymmet överlappar inte lokala platser och Azure-regioner.
  • Det virtuella nätverket innehåller rätt adressutrymme.
  • Korrekt planering för konfiguration av undernät sker i förväg.

Designöverväganden och rekommendationer

  • Delegerade undernät krävs om du vill implementera Azure NetApp Files, som används ofta i HPC-distributioner med delade filsystem. Du kan dedikera och delegera undernät till vissa tjänster och sedan skapa instanser av dessa tjänster i undernät. Även om Azure hjälper dig att skapa flera delegerade undernät i ett virtuellt nätverk kan endast ett delegerat undernät finnas i ett virtuellt nätverk för Azure NetApp Files. Försök att skapa en ny volym misslyckas om du använder mer än ett delegerat undernät för Azure NetApp Files.
  • Du måste skapa ett dedikerat undernät om du använder Azure HPC Cache för lagring. Mer information om det här undernätet finns i Cacheundernät. Mer information om hur du skapar ett undernät finns i Lägga till ett virtuellt nätverksundernät.

Konfigurera DNS och namnmatchning för lokala resurser och Azure-resurser

Domain Name System (DNS) är ett kritiskt designelement i Azure-landningszonens arkitektur. Vissa organisationer föredrar att använda sina befintliga investeringar i DNS. Andra ser molnimplementering som en möjlighet att modernisera sin interna DNS-infrastruktur och använda inbyggda Azure-funktioner.

Designrekommendationer

Följande rekommendationer gäller för scenarier där en virtuell dators DNS- eller virtuella namn inte ändras under migreringen.

  • Dns-bakgrundsnamn och virtuella namn ansluter många systemgränssnitt i HPC-miljöer. Du kanske inte känner till alla gränssnitt som utvecklare definierar över tid. Anslut ionsutmaningar uppstår mellan olika system när virtuella datorer eller DNS-namn ändras efter migreringar. Vi rekommenderar att du behåller DNS-alias för att förhindra dessa problem.
  • Använd olika DNS-zoner för att skilja miljöer (sandbox-miljö, utveckling, förproduktion och produktion) från varandra. Undantaget gäller för HPC-distributioner som har egna virtuella nätverk. I dessa distributioner kanske privata DNS-zoner inte är nödvändiga.
  • DNS-stöd krävs när du använder HPC Cache. DNS gör det möjligt att komma åt lagring och andra resurser.
  • DNS- och namnmatchning är viktiga inom finanssektorn när du använder resursplats och SRV-poster. Vi rekommenderar att du använder DNS-matchningen som tillhandahålls av domänkontrollanten Microsoft Entra Domain Services (Microsoft Entra Domain Services). Mer information finns i Distribuera Microsoft Entra Domain Services i ett virtuellt Azure-nätverk.

Nätverkstjänster med höga prestanda

InfiniBand

  • Om du kör finansiella program för vilka du behöver låg svarstid mellan datorer, och information måste överföras mellan noder för att få resultat, behöver du anslutningar med låg svarstid och högt dataflöde. RDMA-kompatibla virtuella datorer i H-serien och N-serien kommunicerar via infiniBand-nätverket med låg latens och hög bandbredd. RDMA-nätverksfunktionen över en sådan anslutning är viktig för att öka skalbarheten och prestandan för distribuerade HPC- och AI-arbetsbelastningar. Det här nätverket kan förbättra prestandan för program som körs under Microsoft MPI eller Intel MPI. Mer information finns i Aktivera InfiniBand. Information om hur du konfigurerar MPI finns i Konfigurera gränssnittet för meddelandeöverföring för HPC.

Azure ExpressRoute

  • För hybridprogram som lösningar för risknätsberäkning, där dina lokala handelssystem och analyser fungerar och Azure blir ett tillägg, kan du använda ExpressRoute för att ansluta din lokala miljö till Azure via en privat anslutning med hjälp av en anslutningsleverantör. ExpressRoute ger återhämtning och tillgänglighet i företagsklass och fördelen med ett globalt ExpressRoute-partnerekosystem. Information om hur du ansluter ditt nätverk till Azure med hjälp av ExpressRoute finns i ExpressRoute-anslutningsmodeller.
  • ExpressRoute-anslutningar använder inte det offentliga Internet, och de ger mer tillförlitlighet, snabbare hastigheter och lägre svarstider än vanliga Internetanslutningar. För punkt-till-plats-VPN och plats-till-plats-VPN kan du ansluta lokala enheter eller nätverk till ett virtuellt nätverk genom att använda valfri kombination av dessa VPN-alternativ och ExpressRoute.

Definiera en Azure-nätverkstopologi

Landningszoner i företagsskala stöder två nätverkstopologier: en baserad på Azure Virtual WAN och den andra en traditionell nätverkstopologi som baseras på hub-and-spoke-arkitektur. Det här avsnittet innehåller rekommenderade HPC-konfigurationer och metoder för båda distributionsmodellerna.

Använd en nätverkstopologi som baseras på Virtual WAN om din organisation planerar att:

  • Distribuera resurser i flera Azure-regioner och anslut dina globala platser till både Azure och lokalt.
  • Integrera programvarudefinierade WAN-distributioner fullständigt med Azure.
  • Distribuera så många som 2 000 arbetsbelastningar för virtuella datorer i alla virtuella nätverk som är anslutna till en Virtuell WAN-hubb.

Organisationer använder Virtual WAN för att uppfylla storskaliga krav på sammankoppling. Microsoft hanterar den här tjänsten, vilket hjälper dig att minska den övergripande nätverkskomplexiteten och modernisera organisationens nätverk.

Använd en traditionell Azure-nätverkstopologi baserad på hub-and-spoke-arkitektur om din organisation:

  • Planer på att distribuera resurser i endast azure-regioner.
  • Behöver inte ett globalt, sammankopplat nätverk.
  • Har få fjärr- eller grenplatser per region och behöver färre än 30 IP-säkerhetstunnlar (IPsec).
  • Kräver fullständig kontroll och kornighet för att konfigurera ditt Azure-nätverk manuellt.

Dokumentera nätverkstopologin och brandväggsreglerna. Nätverkssäkerhetsgrupper implementeras ofta med stor komplexitet. Använd programsäkerhetsgrupper när det är klokt att märka trafik med större kornighet än vad virtuella nätverk kan ge. Förstå NSG-prioriteringsregler och vilka regler som har företräde framför andra.

Planera för inkommande och utgående Internetanslutning

I det här avsnittet beskrivs rekommenderade anslutningsmodeller för inkommande och utgående anslutning till och från det offentliga Internet. Eftersom Azure-interna nätverkssäkerhetstjänster som Azure Firewall, Azure Web Application Firewall på Azure Application Gateway och Azure Front Door är fullständigt hanterade tjänster medför du inte driftskostnader och hanteringskostnader som är associerade med infrastrukturdistributioner, vilket kan bli komplext i stor skala.

Designöverväganden och rekommendationer

  • Om din organisation har ett globalt fotavtryck kan Azure Front Door vara till hjälp i din HPC-distribution. Azure Front Door använder Azure Web Application Firewall-principer för att leverera och skydda globala HTTP(S)-program i Azure-regioner.
  • Dra nytta av brandväggsprinciper för webbaserade program i Azure Front Door när du använder Azure Front Door och Application Gateway för att skydda HTTP(S)-program. Lås Application Gateway för att endast ta emot trafik från Azure Front Door. Mer information finns i Hur gör jag för att låsa åtkomst?.
  • Använd lokala och globala peeringanslutningar för virtuella nätverk. Det här är de bästa metoderna för att säkerställa anslutningen mellan landningszoner för HPC-distributioner i flera Azure-regioner.

Definiera krav för nätverkskryptering

Det här avsnittet innehåller viktiga rekommendationer för att kryptera nätverk mellan lokala miljöer och Azure och mellan Olika Azure-regioner.

Designöverväganden och rekommendationer

  • Trafikprestanda är en viktig faktor när du aktiverar kryptering. IPsec-tunnlar krypterar internettrafik som standard. Eventuell ytterligare kryptering eller dekryptering kan påverka prestanda negativt. När du använder ExpressRoute krypteras inte trafiken som standard. Du måste avgöra om HPC-trafik ska krypteras. Utforska nätverkstopologi och anslutning för att förstå alternativ för nätverkskryptering i landningszoner i företagsskala.

Nästa steg

Följande artiklar innehåller vägledning som du kan ha nytta av under olika faser i molnimplementeringsprocessen. De kan hjälpa dig att lyckas med ditt molnimplementeringsscenario för HPC-miljöer inom finanssektorn.