編集

次の方法で共有


Oracleを使用してAzure上でMurex MX.3ワークロードをホストする

Azure Firewall
Azure ExpressRoute
Azure Key Vault
Azure Storage
Azure Monitor

この記事の目的は、Azure で Murex ワークロードを実装するための詳細な技術情報を提供することです。

アーキテクチャ

Murex MX.3 ワークロードは、Oracle、Sybase、SQL Server などのデータベースで実行できます。 このアーキテクチャでは、Oracle をデータベースとして使用して MX.3 アプリケーションを実装する方法について詳しく説明します。

Murex MX.3 アプリケーション用の Azure アーキテクチャを示す図。

このアーキテクチャの Visio ファイルをダウンロードします。

ワークフロー

  • Azure とオンプレミス環境の間で Azure ExpressRoute または VPN 接続を使用して、Azure でホストされているアプリケーション層の MX.3 プレゼンテーション レイヤー コンポーネントにアクセスします。 この接続は、Azure Firewall を使用して保護されます。
  • Citrix などの仮想デスクトップ インフラストラクチャ (VDI) ソリューションを使用して、プレゼンテーション レイヤーにアクセスします。 このレイヤーには、デスクトップ アプリケーションを通じて、または MX.3 アプリケーションによって提供される Web インターフェイスを使用して、直接アクセスすることもできます。
  • アプリケーション層には、プレゼンテーション レイヤー、ビジネス レイヤー、オーケストレーション レイヤー、およびグリッド レイヤーが含まれています。 これはデータを格納および取得するために Oracle データベースにアクセスします。
  • プレゼンテーション レイヤーでは、ビジネス レイヤー、オーケストレーション レイヤー、およびグリッド レイヤーのコンポーネントにアクセスして、ビジネス プロセスを完了します。
  • Oracle データベースでは、アクセスを高速化するためのストレージ メカニズムとして Azure Premium SSD または Azure NetApp Files を使用します。
  • アプリケーション レイヤーでは、Azure Key Vault サービスにアクセスして、暗号化キーとシークレットを安全に格納します。
  • 管理者ユーザーは、Azure Bastion サービスを使用して、Murex MX.3 サーバーに安全にアクセスできます。

コンポーネント

  • Azure Bastion: Azure Bastion は、パブリック IP アドレスを介して公開されることなく、仮想マシン (VM) へのより安全でシームレスなリモート デスクトップ プロトコル (RDP) および Secure Shell プロトコル (SSH) アクセスを提供するフル マネージド サービスです。
  • Azure Monitor: Azure Monitor は、Azure およびオンプレミス環境からテレメトリ データを収集、分析、処理するのに役立ちます。
  • Azure Firewall: Azure Firewall は、Azure で実行されているクラウド ワークロードに最高レベルの脅威保護を提供する、クラウドネイティブでインテリジェントなネットワーク ファイアウォールのセキュリティ サービスです。
  • Azure ExpressRoute: Azure ExpressRoute を使用して、Azure のデータセンターとオンプレミスやコロケーション環境にあるインフラストラクチャの間でプライベート接続を作成します。
  • Azure Files: 業界標準の SMB および NFS プロトコルを介してアクセスできる、クラウドのフル マネージド ファイル共有。
  • Azure Disk Storage: Azure Disk Storage では、ミッションクリティカルおよびビジネスクリティカルなアプリケーション向けのハイパフォーマンスで耐久性の高いブロック ストレージが提供されています。
  • Azure Site Recovery: 計画的な停止や予期しない停止中にアプリケーションの実行を継続できるように、Site Recovery を介してレプリケーション、フェールオーバー、復旧のプロセスがデプロイされます。
  • Azure NetApp Files: Azure NetApp Files は、エンタープライズクラスでハイパフォーマンスの従量制課金ファイル ストレージ サービスです。
  • Azure Key Vault: Azure Key Vault を使用して、シークレットの安全な保存とアクセスを行います。
  • Azure VPN Gateway: VPN Gateway は、Azure 仮想ネットワークとオンプレミスの場所の間で、パブリック インターネットを介して暗号化されたトラフィックを送信します。
  • Azure Policy: Azure Policy を使用して、Azure 環境でポリシー定義の作成、割り当て、管理を行います。
  • Azure Backup: Azure Backup は、ご使用のバックアップ ストレージのニーズに基づいてスケーラブルな、コスト効率に優れた安全なワンクリック バックアップ ソリューションです。

シナリオの詳細

Murex は、資本市場向けの取引、リスク管理、処理業務、および取引後ソリューションにおける主要なグローバル ソフトウェア プロバイダーです。 多くの銀行では、Murex の第 3 世代プラットフォームである MX.3 を導入して、リスクを管理し、変革を加速し、コンプライアンスを簡素化しながら、収益の成長を促進しています。 Murex プラットフォームを使用すると、お客様は自らの運用をより細かく管理し、効率を向上させ、運用コストを削減できます。

MX.3 は、3 層アーキテクチャ構造に基づくクライアント/サーバー アプリケーションです。 銀行では、販売や取引、企業のリスク管理、担保と投資などのビジネス要件に MX.3 を使用します。

Microsoft Azure を使用すると、Murex のお客様は、MX.3 インフラストラクチャを迅速かつ簡単に作成してスケーリングできます。 Azure によって、運用システム、開発システム、テスト システムのための安全で信頼性の高い効率的な環境を実現できます。 これにより、MX.3 環境の運用に必要なインフラストラクチャ コストが大幅に削減されます。

Murex MX.3 アプリケーションのさまざまな階層とレイヤー、コンピューティング、ストレージの要件の詳細については、Murex 技術チームにお問い合わせください。

Linux は、各社の商標です。 このマークを使用することは、保証を意味するものではありません。

考えられるユース ケース

このソリューションは、金融業界での使用に最適です。 以下は、いくつかの考えられるユース ケースです。

  • 運用をより適切に管理し、効率を向上させ、インフラストラクチャ コストを削減します。
  • 運用と開発のための安全で信頼性の高い効率的な環境を創出します。

考慮事項

以降の考慮事項には、ワークロードの品質向上に使用できる一連の基本原則である Azure "Well-Architected Framework" の要素が組み込まれています。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

Murex MX.3 は、高メモリ消費量、低待機時間、高可用性の要件を備えた複雑なワークロードです。 このセクションでは、Azure で Murex MX.3 ワークロードを実装するときに分析する必要がある技術的な考慮事項について説明します。

  • MX.3 では、クライアント/サーバー アーキテクチャが使用されます。 Azure で実装する場合は、サービスとしてのインフラストラクチャ (IaaS) アーキテクチャに従う必要があります。 ネイティブの Azure サービスを慎重に分析して、Murex の技術的な要件を満たしていることを確認します。
  • MX.3 ソリューションを Azure に完全にデプロイすることも、ハイブリッド モデルを使用して Azure コンポーネントの部分的なセットをデプロイすることもできます。 この記事では、ハイブリッド モデルについては説明しません。 デプロイのハイブリッド モデルを使用する前に、アーキテクチャと技術要件を慎重に分析する必要があります。 MX.3 のデプロイのハイブリッド モデルは、Murex チームによる技術レビューの対象となります。
  • MX.3 クライアント層には、ユーザー デスクトップまたは Citrix などの VDI ソリューションから直接アクセスできます。
  • さまざまな層の Murex MX.3 ワークロードでは、機能要件と技術要件を満たすために特定の種類のコンピューティング リソースが必要です。 MX.3 ワークロードのコンピューティング、メモリ、ストレージの要件については、Murex MX.3 アーキテクチャを参照してください。
  • MX.3 アプリケーションでは、タスクを実行するために外部 (インターネット) と内部 (オンプレミス) の接続が必要です。 MX.3 アプリケーションの Azure アーキテクチャでは、内部および外部のサービスと統合するために、セキュリティで保護された接続モデルをサポートする必要があります。 オンプレミス サービスに接続するには、Azure サイト間 VPN または ExpressRoute (推奨) を使用します。
  • バックアップには、Azure ネイティブ バックアップ サービスと Azure ストレージを組み合わせて使用できます。 これらのサービスは、アプリケーション VM またはその他のアプリケーション層固有のバックアップ/アーカイブ要件の、日次、週次、または月次バックアップに使用します。 データベース要件については、データベース ネイティブのレプリケーションまたはバックアップ ツールを使用します。
  • Azure 上で Murex ソリューションの高い可用性と回復性を得るには、アプリケーション層の各レイヤーを少なくとも 2 つの VM で実行する必要があります。 Azure 可用性セット構成を使用して、複数の VM 間で高可用性を実現できます。 また、Azure Virtual Machine Scale Sets を使用して、複数のインスタンスに分散されるアプリケーションの冗長性とパフォーマンスの改善を得ることもできます。 オーケストレーション レイヤーを複数のインスタンスでホストし、カスタム スクリプトを使用してインスタンスを呼び出すことで、オーケストレーション レイヤーの高可用性を実現できます。 Oracle Data Guard や SQL Server Always On などのデータベース高可用性機能を使用して、高可用性要件を実現できます。
  • Murex ワークロードに必要なパフォーマンス メトリックを実現するには、Premium SSD を使用する Azure Managed Disks に MX.3 アプリケーション ディレクトリとデータベースを格納することを検討してください。 1 秒あたりの入出力操作数が多く、待機時間が短い要件の場合は、ストレージ オプションとして Azure NetApp Files を使用できます。 Azure で近接通信配置グループとネットワーク アクセラレーションを使用して、レイヤー間で高いネットワーク スループットを実現できます。
  • Azure Monitor を使用して、Azure インフラストラクチャ コンポーネントを監視できます。 そのアラート メカニズムを使用して、自動スケーリングや通知などのあらゆる予防措置を実行できます。
  • Azure Key Vault などのサービスを使用して、キーと証明書を格納することで、Azure の MX.3 アプリケーションのセキュリティ要件に対処します。 Azure 仮想ネットワーク、ネットワーク セキュリティ グループ (NSG)、アプリケーション セキュリティ グループを使用して、さまざまなレイヤーと層間のアクセスを制御できます。 Azure Firewall、DDoS 保護、Azure Application Gateway または Web Application Firewall サービスを使用して、セキュリティ要件に応じてフロントエンド レイヤーを保護できます。
  • Azure Resource Manager テンプレートや Terraform スクリプトなどのコードとしてのインフラストラクチャ (IaC) サービスを使用して、インフラストラクチャの自動化を実現できます。 Murex DevOps ツールを使用して、アプリケーション レベルの DevOps 要件に対処できます。

[信頼性]

信頼性により、顧客に確約したことをアプリケーションで確実に満たせるようにします。 詳細については、「信頼性の重要な要素の概要」を参照してください。

  • アプリケーション層のすべてのレイヤーは、高い回復性をサポートするために、各可用性ゾーン内の少なくとも 2 つの VM または仮想マシン スケール セットでホストされます。
  • アプリケーション層のビジネス レイヤーとグリッド レイヤーは、仮想マシン スケール セットでホストされます。 これらのスケール セットでは、事前に構成された条件に基づく VM の自動スケーリングがサポートされます。
  • オーケストレーション レイヤーの場合、必要に応じてサーバーを異なる VM に分散できます。 いずれかの VM に問題がある場合は、自動化スクリプト (Resource Manager テンプレートまたは Terraform) とアラート通知を構成して、より多くの VM を自動的にプロビジョニングできます。
  • 永続化層では、Oracle Data Guard ソリューションを使用して Oracle データベースの高可用性を実現できます。 このソリューションでは、複数の可用性ゾーンをまたいで複数の VM が実行され、それらの間にアクティブなレプリケーションが構成されます。
  • アプリケーション層の場合、冗長仮想マシンは各レイヤーでホストされます。 いずれかの仮想マシンで障害が発生した場合、Azure では、必要なレベルのディザスター リカバリーをサポートするために、VM の別のインスタンスが自動的にプロビジョニングされるようにします。
  • ディザスター リカバリーの場合は、ディザスター リカバリー サイトを別の Azure リージョンで実行する必要があります。 目標復旧ポイントと目標復旧時間の要件に基づいて、アクティブ/アクティブまたはアクティブ/パッシブのディザスター リカバリー構成を使用できます。 Site Recovery を使用して、ディザスター リカバリー プロセスとネイティブ データベース レプリケーションを自動化できます。 バックアップ ツールを使用して、必要なレベルの RPO メトリックを実現することもできます。
  • 永続化層では、MX.3 への影響を回避するために、Oracle DataGuard を最大パフォーマンス (同期コミット) で設定する必要があります。 複数の可用性ゾーンに Oracle データベース インスタンスがあることにより、データ損失を最小限に抑えながらアプリケーションが確実に復旧されます。
  • リージョンに障害が発生した場合は、自動化スクリプト (Resource Manager または Terraform) または Site Recovery サービスを使用して、ペアになっている Azure リージョンで環境をすばやくプロビジョニングできます。
  • 目標復旧ポイントの要件に応じて、Recovery Manager (RMAN) などのネイティブ Oracle バックアップ ソリューションを使用して、データベースを定期的にバックアップして復元できます。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。

  • Azure Firewall を使用して MX.3 仮想ネットワークを保護できます。 これは、脅威インテリジェンスに役立ち、プレゼンテーション層への受信トラフィックと、アプリケーション層からインターネットへの送信トラフィックを制御するのに役立ちます。
  • MX.3 アプリケーション内のアプリケーション サブネットとデータベース サブネットに NSG を配置すると、データベース レイヤー、ビジネス レイヤー、オーケストレーション レイヤーから送受信するネットワーク トラフィックを制御できます。
  • Azure Key Vault サービスを使用して、機密情報と証明書を安全に格納できます。

コストの最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させる方法を検討することです。 詳しくは、コスト最適化の柱の概要に関する記事をご覧ください。

  • Azure で Citrix などの VDI ソリューションのインフラストラクチャ リソースをホストできます。 クライアント層では、VDI ソリューションを使用してアプリケーション層にアクセスし、ソリューションの全体的なコストとパフォーマンスを最適化します。
  • コンピューティングの場合は、Azure の予約コンピューティング用 Azure の節約プランを使用して、従量課金制の料金を大幅に節約できます。

コストを見積もるには、Azure 料金計算ツールを使用できます。

オペレーショナル エクセレンス

オペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「オペレーショナル エクセレンスの重要な要素の概要」を参照してください。

  • Azure Monitor を使用してプラットフォームを監視し、Azure Monitor ログを使用してアプリケーションを監視できます。 ただし、必要に応じて独自のカスタム ツールを構成して、プラットフォームとアプリケーションを監視することもできます。
  • リソースのタグ付けを使用すると、IT サービス管理システムの効果的な統合を使用して、リソースにラベルを付け、アラートと通知の監視を拡張できます。
  • Resource Manager テンプレートや Terraform スクリプトなどの IaC ツールを使用して、インフラストラクチャのプロビジョニング プロセスを自動化できます。 Azure DevOps ツールを使用して、IaC ツールを Murex DevOps ツール チェーンと統合できます。
  • Azure ポリシーを使用して、セキュリティまたはコンプライアンスの要件を体系化し、監査とコンプライアンスの要件に対して Azure 環境を検証できます。

カスタム スクリプトを使用して、アプリケーション層のオーケストレーション レイヤーに VM をプロビジョニングできます。

パフォーマンス効率

パフォーマンス効率とは、ユーザーによって行われた要求に合わせて効率的な方法でワークロードをスケーリングできることです。 詳細については、「パフォーマンス効率の柱の概要」を参照してください。

  • Azure NetApp Files Ultra ストレージを使用して Oracle データベースをホストすることで、データベース サーバー用の高いストレージ スループットを実現できます。 ただし、Premium SSD ストレージなどの低いストレージ スループットのためのマネージド ディスクを備えた Azure VM を使用することもできます。
  • 待機時間の短いシナリオでは、アプリケーション層と永続化層の間で Azure 近接配置グループを使用します。
  • パフォーマンスと信頼性を向上させるには、ExpressRoute を使用してオンプレミス システムに接続します。
  • Azure Files を使用して、MX.3 アプリケーション層で使用されるファイル (構成ファイル、ログ ファイル、バイナリ ファイルなど) を格納できます。

ネットワーク ハブ アンド スポーク モデル

Azure で MX.3 ワークロードを実装する際の重要な考慮事項は、ランディング ゾーン アーキテクチャを定義することです。 このアーキテクチャには、サブスクリプション、リソース グループ、仮想ネットワークの分離、ソリューションのさまざまなコンポーネント間の接続が含まれています。 このセクションでは、Microsoft クラウド導入フレームワークに基づいて、Azure に MX.3 ワークロードを実装するためのランディング ゾーン アーキテクチャについて説明します。

次の図は、Azure のハブスポーク ネットワーク トポロジを使用するランディング ゾーンの概要を示しています。

Azure サービスでのハブ アンド スポーク モデルの例を示す図。

  • このモデルを使用すると、異なる環境を実行するために使用されるスポーク ネットワークを厳密に分離できます。 このモデルでは、ハブ ネットワーク内のセキュリティで保護された制御アクセスと共有サービス レイヤーも維持されます。
  • これはマルチリージョン ソリューションであるため、同じハブスポーク モデルを別のリージョンで使用できます。 リージョンごとにハブを構築した後、非運用と運用のために異なるスポークを作成できます。
  • このランディング ゾーンは、組織によるアプリケーションの分類方法に応じて、1 つのサブスクリプションまたは複数のサブスクリプションに使用できます。

ランディング ゾーン内の各コンポーネントについて、以下で説明します。

ハブ: ハブは、MX.3 クライアントのオンプレミス ネットワークと、複数のワークロードで使用されるホスティング サービスへの外部接続を管理するための中心的な場所として機能する仮想ネットワークです。

スポーク: スポークは、MX.3 の Azure ワークロードをホストし、仮想ネットワーク ピアリングを介して中央のハブに接続する仮想ネットワークです。

仮想ネットワークピアリング:ハブアンドスポーク仮想ネットワークは、仮想ネットワーク間の低遅延接続をサポートする仮想ネットワークピアリングを使用して接続されます。

ゲートウェイ: ゲートウェイは、MX.3 クライアントのオンプレミス ネットワークから Azure 仮想ネットワークにトラフィックを送信するために使用されます。 送信前にトラフィックを暗号化できます。

ゲートウェイサブネット:オンプレミスからAzureにトラフィックを送信するゲートウェイは、ゲートウェイサブネットと呼ばれる特定のサブネットを使用します。 ゲートウェイ サブネットは、仮想ネットワークの構成時に指定した仮想ネットワーク IP アドレス範囲に含まれます。 そこには、仮想ネットワーク ゲートウェイのリソースやサービスによって使用される IP アドレスが含まれます。

Azure Jumpbox VM: Jumpbox では、動的 IP を使用して、アプリケーション層と永続化層の Azure VM を接続します。 Jumpbox を使用すると、すべてのアプリケーションとデータベースの VM がパブリックに公開されなくなります。 この接続は、オンプレミス ネットワークから RDP 経由で接続するためのエントリ ポイントです。

Azure Firewall: MX.3 VM とインターネットの間のすべての受信接続と送信接続を、Azure Firewall 経由でルーティングする必要があります。 このような接続の一般的な例としては、時刻同期およびアンチウイルス定義の更新があります。

Azure Bastion: Azure Bastion を使用すると、Azure portal を介してアプリケーションとデータベースの VM を安全に接続できます。 ハブ仮想ネットワーク内に Azure Bastion ホストをデプロイした後、ピアリングされたスポーク仮想ネットワーク内の VM にアクセスします。 このコンポーネントは省略可能で、必要に応じて使用できます。

Azure Bastion サブネット: Azure Bastion では、専用サブネット AzureBastionSubnet が必要です。 このサブネットをハブに作成し、Bastion ホストをこのサブネットにデプロイする必要があります。

Azure 管理サブネット: Azure Jumpbox が管理サブネットに存在する必要があります。 Jumpbox には、スポーク仮想ネットワーク内のアプリケーション VM とデータベース VM の管理機能と監視機能を実装する VM が含まれています。

アプリケーション サブネット: アプリケーション層の下のすべてのコンポーネントをここに配置できます。 専用のアプリケーション サブネットを使用することは、ビジネス レイヤー、オーケストレーション レイヤー、およびテクニカル サービス レイヤーへのトラフィックを NSG を介して制御することにも役立ちます。

データベースサブネット:データベースサブネット内のコンポーネントを専用サブネットに配置して、データベース周辺のトラフィックを管理できます。

プライベートリンク:Recovery Services vaults、Azure Cache for Redis、Azure FilesなどのAzureサービスは、すべて仮想ネットワークへのプライベートリンクを通じて接続されています。 これらのサービスと仮想ネットワークの間にプライベート リンクを設定すると、インターネットへのデータ公開がなくなることで、Azure 内のエンドポイント間の接続がセキュリティで保護されます。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパルの作成者:

  • Gansu Adhinarayanan | ディレクター - パートナー テクノロジ ストラテジスト
  • Vandana Bagalkot | プリンシパル クラウド ソリューション アーキテクト
  • Marc van Houten | シニア クラウド ソリューション アーキテクト

その他の共同作成者:

パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次のステップ