编辑

通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

SWIFT Alliance Messaging Hub (AMH) 和 Alliance Connect Virtual

Azure 虚拟机
Azure 虚拟网络
Azure 托管磁盘
Azure 负载均衡器
Azure 防火墙

注意

有关云中 SWIFT 产品可用性的更新,请参阅 SWIFT 网站

本文介绍了在 Azure 上部署 SWIFT Alliance Messaging Hub (AMH) 的推荐解决方案。 可以在单个 Azure 订阅中部署解决方案。 但是,为了更好地管理和治理解决方案,我们建议使用两个 Azure 订阅:

  • 一个订阅包含 AMH 组件。
  • 另一个订阅包含要通过 Alliance Connect Virtual 连接 SWIFT 网络的资源。

体系结构

显示如何在 Azure 上托管 SWIFT Alliance Messaging Hub 的体系结构示意图。

下载此体系结构的 Visio 文件。 请参阅 AMH (All-GoldSilverBronze) 选项卡。

此 Azure 解决方案使用与本地环境相同的拓扑。 本地环境分为两类:

  • 业务用户。 供业务用户和业务应用程序用来访问 AMH 的位置。
  • 硬件安全模块。 托管 SWIFT 提供的硬件安全模块 (HSM) 设备的位置。

工作流

  • 位于组织本地站点(业务用户)的业务用户或应用程序通过网络连接到 AMH。
  • AMH 通过与 SWIFT Alliance Gateway (SAG) 以及 SWIFTNet Link (SNL) 协调来处理用户请求。
  • SAG 和 SNL 组件连接到组织的本地站点 (HSM),以便对消息进行签名。
  • Alliance Connect Virtual 订阅包含启用 SWIFTNet 连接所需的其他组件。
  • 之所以启用高可用性,是因为体系结构中的 vSRX 组件以冗余的方式部署到两个 Azure 可用性区域中。
  • HA-VM 1 和 HA-VM 2 监视和维护路由表,以提供更高的复原能力并提高解决方案的可用性。
  • Alliance Connect Virtual 网络解决方案将消息转发到 SWIFTNet。
  • SWIFTNet 和特定于客户的网络组件之间的连接可以使用专用的 Azure ExpressRoute 线路或 Internet。 SWIFT 提供三种连接选项:青铜、白银和黄金。 可以选择最适合你的消息流量和所需复原能力级别的选项。 有关这些选项的详细信息,请参阅 Alliance Connect:青铜、白银和黄金包
  • 在你的可选共享 Azure 服务订阅中运行的 Azure 服务提供其他管理和操作服务。

AMH 需要与 SAG 和 SNL 建立网络连接。

  • SAG 在 SWIFT 模块和 SWIFTNet 之间提供多个集成点和消息集中。
  • SNL 在 SWIFT 模块和 SWIFTNet 之间提供 API 接口。

建议在同一 Azure 虚拟网络中放置 SWIFT 模块、SAG 和 SNL 组件。 可以将它们部署在虚拟网络或资源组中的单独子网中。

AMH 的关键组件是 AMH 节点,它运行用户界面、数据库和消息传递系统。 AMH 节点提供了用于运行用户界面和信号传输点 (STP) 消息处理的 Web 前端。

以下 Azure 基础结构服务也是此解决方案的一部分:

  • 需要 Azure 订阅才能部署 AMH。 建议使用新的 Azure 订阅来管理和缩放 AMH。
  • 该解决方案使用 Azure 资源组在 Azure 区域中部署 AMH。 建议为 AMH、SAG 和 SNL 设置单独的资源组。
  • Azure 虚拟网络围绕 AMH 部署形成一个专用网络边界。 该解决方案使用与本地业务用户站点、本地 HSM 站点和 Alliance Connect Virtual 网络解决方案不冲突的网络地址空间。
  • 该解决方案将 AMH 核心组件(前端、数据库和消息传递系统)部署在单独的虚拟网络子网中。 如果使用此配置,可以使用网络安全组控制它们之间的流量。
  • Azure 路由表提供了一种方法,用于:
    • 控制 AMH 与本地站点 (HSM) 之间的网络连接。
    • 配置与 SWIFTNet 的连接。
  • Azure 负载均衡器充当 AMH 的网关。 来自本地站点的业务用户和应用程序连接到负载均衡器,该负载均衡器会将请求路由到运行 AMH 前端的后端虚拟机 (VM) 池。
  • 从 AMH VM 到 Internet 的出站连接是通过 Azure 防火墙路由的。 此类连接的典型示例包括时间同步和防病毒定义更新。
  • ExpressRoute 或 Azure VPN 网关将 AMH 组件与业务用户本地站点和 HSM 本地站点连接起来。 ExpressRoute 提供专用网络连接。 VPN 网关使用基于 Internet 的连接。
  • Azure 虚拟机提供用于运行 AMH 的计算服务:
    • 已针对计算进行了优化的 SKU 运行 AMH 节点。
    • 已针对内存进行了优化且带有充足存储的 SKU 运行数据库。
    • 已针对计算进行了优化的 SKU 运行消息传送组件。
  • 高级 SSD 托管磁盘可确保 AMH 组件实现高吞吐量和低延迟磁盘性能。 Azure 磁盘存储为附加到 VM 的磁盘提供备份和还原功能。
  • 为了减少 AMH 组件之间的网络延迟,该解决方案使用 Azure 邻近放置组,从而使 AMH VM 尽可能彼此接近。

组件

  • 虚拟网络是 Azure 中专用网络的基本构建块。 虚拟网络允许 Azure 资源(例如 VM)以更安全的连接与彼此、Internet 以及本地网络通信。
  • 负载均衡器将入站流量分配到后端池实例。 负载均衡器会根据所配置的负载均衡规则和运行状况探测结果来定向流量。
  • Azure 防火墙强制实施应用程序和网络连接策略。 此网络安全服务集中管理多个虚拟网络和订阅中的策略。
  • ExpressRoute 将本地网络扩展到 Microsoft 云。 通过使用连接服务提供程序,ExpressRoute 与云组件(如 Azure 服务和 Microsoft 365)建立专用连接。
  • 虚拟机是一种基础结构即服务 (IaaS) 产品。 可以使用虚拟机来部署可按需缩放的计算资源。 利用虚拟机可以灵活地实现虚拟化,但消除了物理硬件的维护需求。
  • Azure 磁盘存储提供具有高性能和高持久性的块存储。 可以将这些托管存储卷用于虚拟机。

方案详细信息

AMH 是 SWIFT 产品组合中的关键消息传送解决方案之一。 AMH 是可自定义的,并且满足金融机构的消息传送需求。 AMH 可帮助金融机构向市场快速高效地推出新的服务和产品。 AMH 还可以帮助组织满足财务消息传递所需的安全性和合规性标准。

可能的用例

此解决方案针对金融业进行了优化。

它可以为现有和新的 SWIFT 客户提供好处。 可将其用于以下方案:

  • 将 AMH 从本地系统迁移到 Azure
  • 在 Azure 中建立新的 AMH 环境

注意事项

这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改进工作负载质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架

如果需要有关以下注意事项的详细信息,请联系 Microsoft 客户团队,他们会帮助指导 SWIFT 的 Azure 实现。

可靠性

可靠性可确保应用程序符合你对客户的承诺。 有关详细信息,请参阅可靠性支柱概述

  • 跨 Azure 配对区域部署 AMH,使区域性服务中断不会影响工作负载可用性。
  • 使用一个 Azure 地区中的 Azure 可用性区域。 Azure 虚拟机规模集和负载均衡器等解决方案组件支持可用性区域。 使用可用性区域时,即使该地区中的 Azure 数据中心遇到服务中断,你的解决方案也可供使用。
  • 使用 Azure 警报监视关键组件(如 Web 组件、数据库和消息传递组件)的指标和活动日志。
  • 将 Azure 托管磁盘与高级 SSD 配合使用以实现高达 20000 IOPS 和 900 Mbps 的吞吐量。
  • 如果你有单个 Azure 可用性区域,请使用 Oracle Active Data Guard 在区域故障期间提供数据库可靠性。
  • 识别AMH 中的单一故障点,例如影响组件的区域性服务中断。 计划修正。

安全性

安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅安全性支柱概述

  • 在 Azure 中使用 SWIFT 客户安全计划 (CSP) 控制措施的最新实现。 但是,你应首先咨询你的 Microsoft 团队。
  • 使用 Defender for Cloud 帮助防范利用服务器和应用程序漏洞的威胁。 Defender for Cloud 可助你快速识别威胁、简化威胁调查和自动执行修正。
  • 使用 Microsoft Entra ID 和基于角色的访问控制 (RBAC) 来限制对应用程序组件的访问。
  • 使用 Microsoft Sentinel 分析解决方案组件报告的安全事件和其他事件。 此服务可帮助你快速响应异常和潜在威胁。

成本优化

成本优化就是减少不必要的费用和提高运营效率。 有关详细信息,请参阅成本优化支柱概述

若要估算运行 AMH 所需的 Azure 资源的成本,请参阅 Azure 定价计算器中的这项估算

卓越运营

卓越运营涵盖了部署应用程序并使其在生产环境中保持运行的运营流程。 有关详细信息,请参阅卓越运营支柱概述

  • 使用 Azure Monitor 监视解决方案基础结构。 使用 Log Analytics 配置警报和仪表板,以检测和响应关键事件。
  • 使用 Application Insights 进行应用程序级监视。
  • 在 Azure Policy 中使用声明性定义来强制实施治理和合规性要求。
  • 对于零接触部署,请使用 Azure DevOps 提供的持续集成和持续交付 (CI/CD) 工作流。
  • 使用 Azure 资源管理器模板(ARM 模板)预配 Azure 基础结构组件。
  • 使用虚拟机扩展在 Azure 基础结构中配置任何其他解决方案组件。

性能效率

性能效率是指工作负荷能够以高效的方式扩展以满足用户对它的需求。 有关详细信息,请参阅性能效率要素概述

  • 部署一个 Azure 虚拟机规模集,以运行一个邻近放置组中的 Web 服务器 VM 实例。 此方法将 VM 实例共置在一起,并减少 VM 之间的延迟。
  • 将 Azure VM 与加速网络配合使用以实现高达 30 Gbps 的网络吞吐量。
  • 将 Azure 磁盘主机缓存配置为只读,以提高磁盘吞吐量。
  • 配置 Azure 自动缩放,以根据 CPU 或内存使用情况等指标纵向扩展 VM 实例。
  • 在区域冗余配置中使用负载均衡器。 如果使用此配置,则可以路由用户请求,使其不受 Azure 地区中区域故障的影响。

作者

本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。

主要作者:

若要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。

后续步骤