金融分野における HPC のネットワーク トポロジと接続性

この記事は、ネットワーク トポロジと接続性に関する Azure ランディング ゾーンの記事で説明されている考慮事項と推奨事項に基づいています。 この記事のガイダンスは、Azure と HPC デプロイの間や、その内部でのネットワークと接続性に関する主要な設計上の考慮事項とベスト プラクティスについて検証するのに役立ちます。

IP アドレス指定を計画する

次のことを確認するために、Azure で IP アドレス指定を計画することが重要です。

• IP アドレス空間は、オンプレミスの場所と Azure リージョン間で重複しません。
• 仮想ネットワークには、正しいアドレス空間が含まれています。
• サブネット構成の適切な計画が事前に行われています。

設計上の考慮事項と推奨事項

• 共有ファイル システムを使用する HPC デプロイで頻繁に使用される Azure NetApp Files を実装する場合は、委任されたサブネットが必要です。 サブネットを特定のサービスに専用 に委任してから、それらのサービスのインスタンスをサブネット内に作成することができます。 Azure では、仮想ネットワークに複数の委任されたサブネットを作成することができますが、Azure NetApp Files の仮想ネットワーク内に存在できる委任されたサブネットは 1 つだけです。 Azure NetApp Files 用に委任されたサブネットを複数使用している場合、新しいボリュームを作成しようとすると失敗します。
• ストレージに Azure HPC Cache を使用する場合は、専用サブネットを作成する必要があります。 このサブネットの前提条件の詳細については、「キャッシュ サブネット」を参照してください。 サブネットを作成する方法の詳細については、「仮想ネットワーク サブネットを追加する」を参照してください。

オンプレミスと Azure のリソースに対して DNS と名前解決を構成する

ドメイン ネーム システム (DNS) は、Azure ランディング ゾーンのアーキテクチャにおける重要な設計要素です。 一部の組織は DNS への既存の投資を使用することを希望します。 または、クラウドの導入を、内部 DNS インフラストラクチャを最新化し、Azure のネイティブ機能を使用する機会と考える組織もあります。

設計の推奨事項

次の推奨事項は、移行中に仮想マシンの DNS または仮想名が変更されない場合にシナリオに適用されます。

• バックグラウンド DNS と仮想名は、HPC 環境の多くのシステム インターフェイスを接続します。 開発者が時間の経過とともに定義するすべてのインターフェイスを認識していない場合があります。 移行後に仮想マシンまたは DNS 名が変更された場合にさまざまなシステム間で接続の問題が発生します。 これらの問題を防ぐために、DNS エイリアスを保持することをお勧めします。
• さまざまな DNS ゾーンを使用して、環境 (サンドボックス、開発、運用前、および運用) を相互に区別します。 例外は、独自の仮想ネットワークを持つ HPC デプロイの場合です。 これらのデプロイでは、プライベート DNS ゾーンは必要ない場合があります。
• HPC Cache を使用する場合は、DNS のサポートが必要です。 DNS を使用すると、ストレージやその他のリソースにアクセスできます。
• リソースの場所と SRV レコードを使用する場合、金融分野において DNS と名前解決は重要です。 Microsoft Entra Domain Services ドメイン コントローラーによって提供される DNS の解決を使用することをお勧めします。 詳細については、Azure 仮想ネットワークへの Microsoft Entra Domain Services のデプロイに関する記事を参照してください。

ハイパフォーマンス ネットワーク サービス

InfiniBand

• マシン間の待機時間が短い金融サービス向けアプリケーションを実行し、結果を得るためにノード間で情報を転送する必要がある場合は、低待機時間と高スループットの相互接続が必要です。 RDMA 対応の H シリーズおよび N シリーズ VM の通信は、低待機時間で高帯域幅の InfiniBand ネットワークを介して行われます。 そのような接続を介した RDMA ネットワーク機能は、分散ノードの HPC および AI ワークロードのスケーラビリティとパフォーマンスを向上させるために重要です。 このネットワークは、Microsoft MPI または Intel MPI で実行されるアプリケーションのパフォーマンスを高めることができます。 詳細については、「InfiniBand の有効化」を参照してください。 MPI を設定する方法については、「HPC のメッセージ パッシング インターフェイスを設定する」を参照してください。

Azure ExpressRoute

• オンプレミスの取引システムと分析が機能し、Azure が拡張機能になるリスク グリッド コンピューティング ソリューションなどのハイブリッド アプリケーションの場合は、ExpressRoute を使用して、接続プロバイダーの助けを借り、プライベート接続経由でオンプレミス環境を Azure に接続できます。 ExpressRoute は、エンタープライズ レベルの回復性と可用性と、グローバルな ExpressRoute パートナー エコシステムの利点を提供します。 ExpressRoute を使用してネットワークを Azure に接続する方法については、「ExpressRoute 接続モデル」を参照してください。
• ExpressRoute 接続はパブリック インターネットを利用しないので、一般的なインターネット接続と比べて信頼性が高く、高速で、待ち時間も短くなります。 ポイント対サイト VPN とサイト間 VPN では、これらの VPN オプションと ExpressRoute の任意の組み合わせを使用して、オンプレミスのデバイスやネットワークを仮想ネットワークに接続できます。

Azure のネットワーク トポロジを定義する

エンタープライズ規模のランディング ゾーンでは、2 つのネットワーク トポロジがサポートされています。1 つは、Azure Virtual WAN に基づくトポロジで、もう 1 つはハブとスポークのアーキテクチャに基づく従来のネットワーク トポロジです。 このセクションでは、両方のデプロイ モデルに推奨される HPC の構成とプラクティスを提供します。

組織で次のことを計画している場合は、Virtual WAN に基づくネットワーク トポロジを使用します。

• 複数の Azure リージョンにリソースをデプロイし、グローバルな場所から Azure とオンプレミスの両方に接続します。
• ソフトウェアで定義された WAN デプロイを Azure と完全に統合します。
• 1 つの Virtual WAN ハブに接続されたすべての仮想ネットワークで最大 2,000 の仮想マシン ワークロードをデプロイします。

大規模な相互接続の要件を満たすために Virtual WAN を使用します。 Microsoft はこのサービスを管理しており、全体的なネットワークの複雑さを軽減し、組織のネットワークを最新化するのに役立ちます。

ハブとスポークのアーキテクチャに基づいた従来の Azure ネットワーク トポロジは、次のような組織で使用します。

• 選択した Azure リージョンでのみリソースをデプロイする計画をしています。
• グローバルに相互接続されたネットワークは不要です。
• リージョンごとにいくつかのリモートまたはブランチの場所があり、30 未満の IP セキュリティ (IPsec) トンネルが必要です。
• Azure ネットワークを手動で構成するには、完全な制御と粒度が必要です。

ネットワーク トポロジとファイアウォール規則を文書化します。 ネットワーク セキュリティ グループ (NSG) は、多くの場合かなり複雑に実装されます。 仮想ネットワークが提供できるよりも細かい粒度でトラフィックにラベルを付けるのが理にかなっている場合に、アプリケーション セキュリティ グループを使用します。 NSG の優先順位付け規則と、他のルールよりも優先されるルールについて理解します。

受信と送信のインターネット接続を計画する

このセクションでは、パブリック インターネットに対する受信接続と送信接続に対して推奨される接続モデルについて説明します。 Azure Firewall、Azure Application Gateway 上の Azure Web Application Firewall、Azure Front Door などの Azure ネイティブのネットワーク セキュリティ サービスはフル マネージド サービスであるため、大規模で複雑になる可能性があるインフラストラクチャのデプロイに関連する運用コストと管理コストが発生することはありません。

設計上の考慮事項と推奨事項

• 組織がグローバル展開をする場合は、HPC デプロイで Azure Front Door が役立ちます。 複数の Azure リージョンにまたがるグローバル HTTP(S) アプリケーションを配信して保護するには、Azure Front Door は Azure Web Application Firewall ポリシーを使用します。
• Azure Front Door と Application Gateway を使用して HTTP(S) アプリケーションを保護している場合は、Azure Front Door の Web Application Firewall ポリシーを活用してください。 Application Gateway をロックダウンして、Azure Front Door からのトラフィックのみを受信するようにします。 詳細については、「アクセスをロックダウンする方法」を参照してください。
• ローカルおよびグローバル仮想ネットワーク ピアリングの接続性を使用します。 これらは、複数の Azure リージョンにまたがる HPC デプロイのランディング ゾーン間の接続を確保するための推奨される方法です。

ネットワーク暗号化の要件を定義する

このセクションでは、オンプレミス環境と Azure の間、および Azure リージョン間でネットワークを暗号化するための主な推奨事項について説明します。

設計上の考慮事項と推奨事項

• 暗号化を有効にする場合、トラフィックのパフォーマンスは重要な考慮事項です。 IPsec トンネルは、既定でインターネット トラフィックを暗号化します。 追加の暗号化または暗号化解除は、パフォーマンスに悪影響を及ぼす可能性があります。 ExpressRoute を使用する場合、トラフィックは既定では暗号化されません。 HPC トラフィックを暗号化する必要があるかどうかを判断する必要があります。 ネットワークトポロジと接続を探索して、エンタープライズ規模のランディング ゾーンでのネットワーク暗号化オプションを理解します。

次の手順

次の記事では、クラウド導入プロセスのさまざまな段階で役立つガイダンスを提供します。 これらは、金融分野で HPC 環境のクラウド導入シナリオを成功させるのに役立ちます。

• 金融業向け HPC の Azure 課金プランと Active Directory テナント
• 金融業向け HPC Azure の ID およびアクセス管理
• 金融セクターにおける HPC の運用管理
• 金融セクターにおける HPC のプラットフォーム自動化と DevOps
• 金融セクターにおける Azure HPC のリソース編成
• 金融業向け HPC のガバナンス
• 金融セクターにおける HPC のセキュリティ
• 金融セクターにおける HPC のストレージ
• Azure ハイ パフォーマンス コンピューティング (HPC) ランディング ゾーン アクセラレータ