Freigeben über

Netzwerktopologie und -konnektivität für HPC im Finanzsektor

  • Artikel

Dieser Artikel baut auf den im Artikel über die Azure-Zielzonen für Netzwerktopologie und -konnektivität beschriebenen Überlegungen und Empfehlungen auf. Die Anleitungen in diesem Artikel helfen Ihnen bei der Untersuchung der wichtigsten Entwurfsüberlegungen und bewährten Methoden für Netzwerke und die Konnektivität zu, aus und innerhalb von Azure- und HPC-Bereitstellungen.

Planen der IP-Adressierung

Es ist wichtig, die IP-Adressierung in Azure zu planen, um Folgendes sicherzustellen:

  • Der IP-Adressraum weist keine Überlappungen in Bezug auf lokale Standorte und Azure-Regionen auf.
  • Das virtuelle Netzwerk enthält den richtigen Adressraum.
  • Die richtige Planung für die Subnetzkonfiguration erfolgt bereits im Voraus.

Entwurfsüberlegungen und -empfehlungen

  • Delegierte Subnetze sind erforderlich, wenn Sie Azure NetApp Files implementieren möchten, das häufig in HPC-Bereitstellungen mit freigegebenen Dateisystemen verwendet wird. Sie können Subnetze für bestimmte Dienste dediziert festlegen und delegieren und in den Subnetzen dann Instanzen dieser Dienste erstellen. Mit Azure können Sie zwar mehrere delegierte Subnetze in einem virtuellen Netzwerk erstellen, aber in einem virtuellen Netzwerk für Azure NetApp Files kann nur ein delegiertes Subnetz vorhanden sein. Versuche, ein neues Volume zu erstellen, schlagen fehl, wenn Sie für Azure NetApp Files mehr als ein delegiertes Subnetz verwenden.
  • Wenn Sie Azure HPC Cache als Speicher verwenden, müssen Sie ein dediziertes Subnetz erstellen. Weitere Informationen zu dieser Subnetzvoraussetzungen finden Sie unter Cachesubnetz. Weitere Informationen zum Erstellen eines Subnetzes finden Sie unter Hinzufügen eines Subnetzes für virtuelle Netzwerke.

Konfigurieren von DNS und der Namensauflösung für lokale Ressourcen und Azure-Ressourcen

Domain Name System (DNS) ist ein wichtiges Entwurfselement in der Architektur von Azure-Zielzonen. Einige Unternehmen möchten möglicherweise Ihre vorhandenen Investitionen in DNS nutzen. Andere möchten vielleicht die Gelegenheit nutzen, eine Cloudlösung einzuführen, um Ihre interne DNS-Infrastruktur zu modernisieren und native Azure-Funktionen zu verwenden.

Entwurfsempfehlungen

Die folgenden Empfehlungen gelten für Szenarien, in denen sich das DNS oder der virtuelle Name eines virtuellen Computers während der Migration nicht ändern.

  • Hintergrund-DNS und virtuelle Namen verbinden viele Systemschnittstellen in HPC-Umgebungen. Möglicherweise sind Ihnen nicht alle Schnittstellen bekannt, die Entwickler im Laufe der Zeit definiert haben. Verbindungsprobleme treten zwischen verschiedenen Systemen auf, wenn sich die Namen von virtuellen Maschinen oder DNS-Namen nach Migrationen ändern. Es wird empfohlen, DNS-Aliase beizubehalten, um diese Probleme zu vermeiden.
  • Verwenden Sie unterschiedliche DNS-Zonen, um die Umgebungen (Sandbox, Entwicklung, Präproduktion und Produktion) voneinander zu unterscheiden. Die Ausnahme gilt für HPC-Bereitstellungen, die über eigene virtuelle Netzwerke verfügen. In diesen Bereitstellungen sind möglicherweise keine privaten DNS-Zonen erforderlich.
  • DNS-Unterstützung ist erforderlich, wenn Sie HPC Cache verwenden. DNS ermöglicht den Zugriff auf Speicher und andere Ressourcen.
  • DNS- und Namensauflösung sind im Finanzsektor von entscheidender Bedeutung, wenn Sie Ressourcenspeicherort- und SRV-Einträge verwenden. Es wird empfohlen, die vom Microsoft Entra Domain Services-Domänencontroller bereitgestellte DNS-Auflösung zu verwenden. Weitere Informationen finden Sie unter Bereitstellen von Microsoft Entra Domain Services in einem virtuellen Azure-Netzwerk.

Hochleistungsnetzwerkdienste

InfiniBand

  • Wenn Sie Finanzanwendungen ausführen, die eine geringe Latenz zwischen Computern voraussetzen, und Informationen zwischen Knoten übertragen werden müssen, um Ergebnisse abzurufen, benötigen Sie Verbindungen mit geringer Wartezeit und hohem Durchsatz. RDMA-fähige virtuelle Computer der H-Serie und der N-Serie kommunizieren über das InfiniBand-Netzwerk, das sich durch seine geringe Wartezeit und seine hohe Bandbreite auszeichnet. Die RDMA-Netzwerkfunktion über eine solche Verbindung ist entscheidend, um die Skalierbarkeit und Leistung von HPC- und KI-Workloads mit verteilten Knoten zu steigern. Dieses Netzwerk kann die Leistung von Anwendungen unter Microsoft MPI oder Intel MPI verbessern. Weitere Informationen finden Sie unter Aktivieren von InfiniBand. Informationen zum Einrichten von MPI finden Sie unter Einrichten der Message Passing Interface für HPC.

Azure ExpressRoute

  • Für Hybridanwendungen wie Risk Grid Computing-Lösungen, bei denen Ihre lokalen Handelssysteme und Analysen funktionsfähig sind und Azure zu einer Erweiterung wird, können Sie Ihre lokale Umgebung mittels ExpressRoute und unter Verwendung eines Konnektivitätsanbieters über eine private Verbindung mit Azure verbinden. ExpressRoute bietet Resilienz und Verfügbarkeit auf Unternehmensniveau sowie den Vorteil eines globalen ExpressRoute-Partnerökosystems. Informationen zum Verbinden Ihres Netzwerks mit Azure mithilfe von ExpressRoute finden Sie unter ExpressRoute-Konnektivitätsmodelle.
  • ExpressRoute-Verbindungen werden nicht über das öffentliche Internet hergestellt und bieten im Vergleich zu herkömmlichen Internetverbindungen eine höhere Zuverlässigkeit und schnellere Geschwindigkeiten sowie kürzere Wartezeiten. Für Point-to-Site-VPN und Site-to-Site-VPN können Sie lokale Geräte oder Netzwerke mit einem virtuellen Netzwerk verbinden, indem Sie eine beliebige Kombination dieser VPN-Optionen und ExpressRoute verwenden.

Definieren einer Azure-Netzwerktopologie

Für Zielzonen auf Unternehmensebene werden zwei Netzwerktopologien unterstützt: eine basiert auf Azure Virtual WAN, und die andere (herkömmliche) Netzwerktopologie basiert auf der Hub-and-Spoke-Architektur. Dieser Abschnitt enthält empfohlene HPC-Konfigurationen und Methoden für beide Bereitstellungsmodelle.

Verwenden Sie eine auf Virtual WAN basierende Netzwerktopologie, wenn Sie in Ihrer Organisation Folgendes planen:

  • Bereitstellen von Ressourcen in mehreren Azure-Regionen und Verbinden der globalen Standorte sowohl mit Azure als auch mit der lokalen Umgebung.
  • Vollständiges Integrieren von softwaredefinierten WAN-Bereitstellungen mit Azure
  • Bereitstellen von bis zu 2.000 VM-Workloads in allen virtuellen Netzwerken, die mit einem Virtual WAN-Hub verbunden sind.

Organisationen nutzen Virtual WAN, um die hohen Anforderungen in Bezug auf die Interkonnektivität zu erfüllen. Microsoft verwaltet diesen Dienst, um die allgemeine Komplexität des Netzwerks zu verringern und eine Modernisierung des Netzwerks Ihrer Organisation zu erzielen.

Verwenden Sie eine herkömmliche Azure-Netzwerktopologie, die auf der Hub-and-Spoke-Architektur basiert, wenn für Ihre Organisation Folgendes zutrifft:

  • Bereitstellung von Ressourcen nur in ausgewählten Azure-Regionen.
  • Kein globales verbundenes Netzwerk erforderlich.
  • Wenige Remote- oder Zweigstandorte pro Region und weniger als 30 benötigte IP-Sicherheitstunnel (IPsec).
  • Vollständige Kontrolle und Granularität für die manuelle Konfiguration des Azure-Netzwerks.

Dokumentieren Sie Ihre Netzwerktopologie und Firewallregeln. Netzwerksicherheitsgruppen (NSGs) werden häufig mit erheblicher Komplexität implementiert. Verwenden Sie Anwendungssicherheitsgruppen, wenn es sinnvoll ist, Datenverkehr mit einer höheren Granularität zu bezeichnen, als virtuelle Netzwerke bieten können. Machen Sie sich mit NSG-Priorisierungsregeln vertraut, und lernen Sie, welche Regeln Vorrang vor anderen haben.

Planen der eingehenden und ausgehenden Internetkonnektivität

In diesem Abschnitt werden empfohlene Konnektivitätsmodelle für die eingehende und ausgehende Konnektivität zum und aus dem öffentlichen Internet beschrieben. Da es sich bei nativen Azure-Netzwerksicherheitsdiensten, z. B. Azure Firewall, Azure Web Application Firewall in Azure Application Gateway und Azure Front Door, um vollständig verwaltete Dienste handelt, fällt für Sie nicht der operative und verwaltungsbezogene Aufwand an, der mit Infrastrukturbereitstellungen verbunden ist und bei einem großen Umfang sehr komplex werden kann.

Entwurfsüberlegungen und -empfehlungen

  • Wenn Ihre Organisation über einen globalen Fußabdruck verfügt, kann Azure Front Door bei Ihrer HPC-Bereitstellung hilfreich sein. Azure Front Door verwendet Azure Web Application Firewall-Richtlinien, um globale HTTP/S-Anwendungen über Azure-Regionen hinweg bereitzustellen und zu schützen.
  • Nutzen Sie Web Application Firewall-Richtlinien in Azure Front Door bei Verwendung von Azure Front Door und Application Gateway, um HTTP/S-Anwendungen zu schützen. Sperren Sie Application Gateway so, dass nur Datenverkehr von Azure Front Door empfangen werden kann. Weitere Informationen finden Sie unter Wie kann ich Zugriff sperren?.
  • Verwenden von Peeringverbindungen lokaler und globaler virtueller Netzwerke. Dies sind die bevorzugten Methoden, um die Konnektivität zwischen Zielzonen für HPC-Bereitstellungen in mehreren Azure-Regionen sicherzustellen.

Definieren von Netzwerkverschlüsselungsanforderungen

In diesem Abschnitt werden wichtige Empfehlungen zur Verschlüsselung von Netzwerken zwischen lokalen Umgebungen und Azure sowie über Azure-Regionen hinweg bereitgestellt.

Entwurfsüberlegungen und -empfehlungen

  • Die Datenverkehrsleistung ist ein wichtiger Aspekt bei der Aktivierung der Verschlüsselung. IPsec-Tunnel verschlüsseln den Internetdatenverkehr standardmäßig. Jede zusätzliche Verschlüsselung oder Entschlüsselung kann sich negativ auf die Leistung auswirken. Wenn Sie ExpressRoute verwenden, wird der Datenverkehr nicht standardmäßig verschlüsselt. Sie müssen festlegen, ob HPC-Datenverkehr verschlüsselt werden soll. Untersuchen Sie Netzwerktopologie und -konnektivität, um die Optionen für die Netzwerkverschlüsselung in Zielzonen auf Unternehmensebene zu verstehen.

Nächste Schritte

Die folgenden Artikel enthalten Anleitungen, die Sie in verschiedenen Phasen des Cloudeinführungsprozesses möglicherweise hilfreich finden. Sie können Ihnen helfen, in Ihrem Cloudeinführungsszenario für HPC-Umgebungen im Finanzsektor erfolgreich zu sein.