你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
金融行业 HPC 的网络拓扑和连接
本文基于有关网络拓扑和连接的 Azure 登陆区域文章中所述的注意事项和建议。 本文中的指南可帮助你了解在 Azure 和 HPC 部署中与网络和连接相关的关键设计注意事项和最佳做法。
IP 寻址计划
请务必在 Azure 上规划 IP 寻址,以确保:
- IP 地址空间在本地位置和 Azure 区域中不重叠。
- 虚拟网络包含正确的地址空间。
- 提前对子网配置进行适当规划。
设计注意事项和建议
- 如果要实现 Azure NetApp 文档,则需要委派子网,该Azure NetApp 文档经常在 HPC 部署中使用共享文件系统。 可以将 子网专用 化并将子网委托给某些服务,然后在子网中创建这些服务的实例。 尽管 Azure 可帮助在虚拟网络中创建多个委派子网,但虚拟网络中只能存在一个委托的子网进行Azure NetApp 文档。 对于 Azure NetApp 文件,如果使用多个委托子网,则创建新卷的尝试将失败。
- 如果使用 Azure HPC 缓存进行存储,则需要创建专用子网。 有关此子网先决条件的详细信息,请参阅 缓存子网。 若要详细了解如何创建子网,请参阅 “添加虚拟网络子网”。
为本地和 Azure 资源配置 DNS 和名称解析
域名系统(DNS)是 Azure 登陆区域体系结构中的关键设计元素。 某些组织更喜欢在 DNS 中使用其现有投资。 另一些人则认为云采用是实现内部 DNS 基础结构现代化和使用本机 Azure 功能的机会。
设计建议
以下建议适用于在迁移过程中虚拟机的 DNS 或虚拟名称不会更改的方案。
- 后台 DNS 和虚拟名称连接 HPC 环境中的许多系统接口。 你可能不知道开发人员随时间推移定义的所有接口。 当虚拟机或 DNS 名称在迁移后发生更改时,各种系统之间会出现连接挑战。 建议保留 DNS 别名以防止这些困难。
- 使用不同的 DNS 区域来区分环境(沙盒、开发、预生产和生产)彼此。 例外情况是具有自己的虚拟网络的 HPC 部署。 在这些部署中,可能不需要专用 DNS 区域。
- 使用HPC 缓存时,需要 DNS 支持。 DNS 允许它访问存储和其他资源。
- 使用资源位置和 SRV 记录时,DNS 和名称解析在财务部门至关重要。 建议使用 Microsoft Entra 域服务(Microsoft Entra 域服务)域控制器提供的 DNS 解析。 有关详细信息,请参阅 在 Azure 虚拟网络中部署 Microsoft Entra 域服务。
高性能网络服务
InfiniBand
- 如果运行需要计算机之间的低延迟的财务应用程序,并且必须在节点之间传输信息才能获得结果,则需要低延迟和高吞吐量互连。 支持 RDMA 的 H 系列 和 N 系列 VM 通过低延迟和高带宽 InfiniBand 网络进行通信。 通过此类连接的 RDMA 网络功能对于提高分布式节点 HPC 和 AI 工作负载的可伸缩性和性能至关重要。 此网络可以提高在 Microsoft MPI 或 Intel MPI 下运行的应用程序的性能。 有关详细信息,请参阅 “启用 InfiniBand”。 若要了解如何设置 MPI,请参阅 为 HPC 设置消息传递接口。
Azure ExpressRoute
- 对于混合应用程序(例如风险网格计算解决方案),本地交易系统和分析功能正常,Azure 将成为扩展,可以使用 ExpressRoute 通过专用连接将本地环境连接到 Azure,并借助连接提供商。 ExpressRoute 提供企业级复原能力和可用性,以及全球 ExpressRoute 合作伙伴生态系统的优势。 有关如何使用 ExpressRoute 将网络连接到 Azure 的信息,请参阅 ExpressRoute 连接模型。
- ExpressRoute 连接不使用公共 Internet,它们比典型的 Internet 连接更可靠、更快的速度和更低的延迟。 对于点到站点 VPN 和站点到站点 VPN,可以使用这些 VPN 选项和 ExpressRoute 的任意组合将本地设备或网络连接到虚拟网络。
定义 Azure 网络拓扑
企业规模登陆区域支持两个网络拓扑:一个基于 Azure 虚拟 WAN,另一个是基于中心辐射体系结构的传统网络拓扑。 本部分为这两种部署模型提供了推荐的 HPC 配置和做法。
虚拟 WAN 如果组织计划:
- 跨多个 Azure 区域部署资源,并将全局位置连接到 Azure 和本地。
- 将软件定义的 WAN 部署与 Azure 完全集成。
- 在所有连接到一个虚拟 WAN中心的虚拟网络中部署多达 2,000 个虚拟机工作负荷。
组织使用虚拟 WAN 来满足大规模的互连需求。 Microsoft 管理此服务,有助于降低整体网络复杂性并实现组织网络现代化。
如果组织有以下条件,请使用基于 中心辐射型体系结构 的传统 Azure 网络拓扑:
- 计划仅在选择 Azure 区域中部署资源。
- 不需要全局互连的网络。
- 每个区域的远程或分支位置很少,需要少于 30 个 IP 安全性(IPsec)隧道。
- 需要完全控制和粒度才能手动配置 Azure 网络。
记录网络拓扑和防火墙规则。 网络安全组(NSG)通常以相当大的复杂性实现。 在对流量进行比虚拟网络可以提供的更精细的粒度标记流量时,请使用应用程序安全组。 了解 NSG 优先顺序规则以及哪些规则优先于其他规则。
计划入站和出站 Internet 连接
此部分介绍进出公共 Internet 的入站和出站连接的推荐连接模型。 由于 Azure 原生网络安全服务(如 Azure 防火墙、azure Azure 应用程序网关 上的 Azure Web 应用程序防火墙)是完全托管的服务,因此不会产生与基础结构部署相关的操作和管理成本,这可能会大规模变得复杂。
设计注意事项和建议
- 如果组织具有全球足迹, Azure Front Door 在 HPC 部署中非常有用。 Azure Front Door 使用 Azure Web 应用程序防火墙 策略跨 Azure 区域交付并帮助保护全球 HTTP(S) 应用程序。
- 使用 Azure Front Door 和 应用程序网关 来帮助保护 HTTP(S) 应用程序时,利用 Azure Front Door 中的Web 应用程序防火墙策略。 锁定应用程序网关以仅接收来自 Azure Front Door 的流量。 有关详细信息,请参阅如何实现锁定访问权限?。
- 使用本地和全局虚拟网络对等互连连接。 这些是确保跨多个 Azure 区域进行 HPC 部署的登陆区域之间的连接的首选方法。
定义网络加密要求
本部分提供有关在本地环境和 Azure 之间以及跨 Azure 区域加密网络的关键建议。
设计注意事项和建议
- 启用加密时,流量性能是一个重要考虑因素。 默认情况下,IPsec 隧道会加密 Internet 流量。 任何其他加密或解密都会对性能产生负面影响。 使用 ExpressRoute 时,默认情况下不会加密流量。 需要确定是否应加密 HPC 流量。 探索 网络拓扑 和 连接 ,了解企业规模登陆区域中的网络加密选项。
后续步骤
以下文章提供了在云采用过程的各个阶段可能会发现有用的指南。 它们可帮助你在云采用方案中成功实现金融部门 HPC 环境的云采用方案。