Topologia di rete e connettività per HPC nel settore finanziario

Questo articolo si basa sulle considerazioni e sulle raccomandazioni descritte nell'articolo zona di destinazione di Azure per la topologia e la connettività di rete. Le indicazioni contenute in questo articolo consentono di esaminare le principali considerazioni sulla progettazione e le procedure consigliate per la rete e la connettività da e verso le distribuzioni di Azure e HPC.

Pianificare l'indirizzamento IP

È importante pianificare l'indirizzamento IP in Azure per assicurarsi che:

  • Lo spazio di indirizzi IP non si sovrapponga tra i percorsi locali e le aree di Azure.
  • La rete virtuale contiene lo spazio indirizzi corretto.
  • La pianificazione appropriata per la configurazione della subnet venga eseguita in anticipo.

Considerazioni e raccomandazioni sulla progettazione

  • Le subnet delegate sono necessarie se si vuole implementare Azure NetApp Files, che viene usato di frequente nelle distribuzioni HPC con file system condivisi. È possibile dedicare e delegare subnet a determinati servizi e quindi creare istanze di tali servizi all'interno di subnet. Sebbene Azure consenta di creare più subnet delegate in una rete virtuale, in una rete virtuale può esistere una sola subnet delegata in una rete virtuale per Azure NetApp Files. Se si usano più subnet delegate per Azure NetApp Files, i tentativi di creare un nuovo volume avranno esito negativo.
  • È necessario creare una subnet dedicata se si usa Azure Cache HPC per l'archiviazione. Per altre informazioni su questo prerequisito della subnet, vedere Subnet della cache. Per altre informazioni su come creare una subnet, vedere Aggiungere una subnet di rete virtuale.

Configurare il DNS e la risoluzione dei nomi per le risorse in locale e di Azure

Domain Name System (DNS) è un elemento di progettazione fondamentale nell'architettura della zona di destinazione di Azure. Alcune organizzazioni preferiscono usare gli investimenti esistenti in DNS. Altri utenti vedono l'adozione del cloud come opportunità per modernizzare l'infrastruttura DNS interna e usare le funzionalità native di Azure.

Suggerimenti per la progettazione

Le raccomandazioni seguenti si applicano agli scenari in cui il nome DNS o virtuale di una macchina virtuale non cambia durante la migrazione.

  • I nomi DNS e virtuali in background connettono molte interfacce di sistema negli ambienti HPC. È possibile che non si conosci di tutte le interfacce definite dagli sviluppatori nel tempo. Connessione problemi si verificano tra vari sistemi quando i nomi dns o delle macchine virtuali cambiano dopo le migrazioni. È consigliabile conservare gli alias DNS per evitare queste difficoltà.
  • Usare zone DNS diverse per distinguere gli ambienti (sandbox, sviluppo, preproduzione e produzione) l'uno dall'altro. L'eccezione riguarda le distribuzioni HPC con reti virtuali personalizzate. In queste distribuzioni, le zone DNS private potrebbero non essere necessarie.
  • Il supporto DNS è necessario quando si usa Cache HPC. DNS consente di accedere all'archiviazione e ad altre risorse.
  • La risoluzione dei nomi e DNS è fondamentale nel settore finanziario quando si usano la posizione delle risorse e i record SRV. È consigliabile usare la risoluzione DNS fornita dal controller di dominio Microsoft Entra Domain Services (Microsoft Entra Domain Services). Per altre informazioni, vedere Distribuire Microsoft Entra Domain Services in una rete virtuale di Azure.

Servizi di rete ad alte prestazioni

InfiniBand

  • Se si eseguono applicazioni finanziarie per le quali è necessaria una bassa latenza tra i computer e le informazioni devono essere trasferite tra i nodi per ottenere risultati, sono necessarie interconnessioni a bassa latenza e velocità effettiva elevata. Le macchine virtuali serie H e serie N con supporto per RDMA comunicano tramite la rete InfiniBand a bassa latenza e larghezza di banda elevata. La funzionalità di rete RDMA su tale connessione è fondamentale per aumentare la scalabilità e le prestazioni dei carichi di lavoro HPC e intelligenza artificiale a nodo distribuito. Questa rete può migliorare le prestazioni delle applicazioni eseguite in Microsoft MPI o Intel MPI. Per altre informazioni, vedere Abilitare InfiniBand. Per informazioni su come configurare MPI, vedere Configurare l'interfaccia message passing per HPC.

Azure ExpressRoute

  • Per le applicazioni ibride come le soluzioni di grid computing a rischio, in cui i sistemi commerciali e l'analisi locali sono funzionali e Azure diventa un'estensione, è possibile usare ExpressRoute per connettere l'ambiente locale ad Azure tramite una connessione privata, con l'aiuto di un provider di connettività. ExpressRoute offre resilienza e disponibilità di livello aziendale e il vantaggio di un ecosistema di partner ExpressRoute globale. Per informazioni su come connettere la rete ad Azure tramite ExpressRoute, vedere Modelli di connettività ExpressRoute.
  • Le connessioni ExpressRoute non usano la rete Internet pubblica e offrono maggiore affidabilità, velocità più veloci e latenze inferiori rispetto alle connessioni Internet tipiche. Per vpn da punto a sito e VPN da sito a sito, è possibile connettere dispositivi o reti locali a una rete virtuale usando qualsiasi combinazione di queste opzioni VPN e ExpressRoute.

Definire una topologia di rete di Azure

Le zone di destinazione su scala aziendale supportano due topologie di rete: una basata su Azure rete WAN virtuale e l'altra una topologia di rete tradizionale basata sull'architettura hub-spoke. In questa sezione vengono fornite le configurazioni e le procedure HPC consigliate per entrambi i modelli di distribuzione.

Usare una topologia di rete basata su rete WAN virtuale se l'organizzazione prevede di:

  • Distribuire le risorse in diverse aree di Azure e connettere le località globali ad Azure e in locale.
  • Integrare completamente le distribuzioni WAN software-defined con Azure.
  • Distribuire fino a 2.000 carichi di lavoro di macchine virtuali in tutte le reti virtuali connesse a un unico hub rete WAN virtuale.

Le organizzazioni usano la rete WAN virtuale per soddisfare i requisiti di interconnettività su larga scala. Microsoft gestisce questo servizio, che consente di ridurre la complessità complessiva della rete e modernizzare la rete dell'organizzazione.

Usare una topologia di rete di Azure tradizionale basata sull'architettura hub-spoke se l'organizzazione:

  • Prevede di distribuire le risorse solo in aree di Azure selezionate.
  • Non è necessaria una rete globale e interconnessa.
  • Include poche posizioni remote o di succursali per area e richiede meno di 30 tunnel di sicurezza IP (IPsec).
  • Richiede controllo completo e granularità per configurare manualmente la rete di Azure.

Documentare la topologia di rete e le regole del firewall. I gruppi di sicurezza di rete (NSG) vengono spesso implementati con notevole complessità. Usare i gruppi di sicurezza delle applicazioni quando è opportuno etichettare il traffico con una maggiore granularità rispetto alle reti virtuali. Comprendere le regole di priorità del gruppo di sicurezza di rete e quali regole hanno la precedenza su altre.

Pianificare la connettività Internet in ingresso e in uscita

Questa sezione descrive i modelli di connettività consigliati per la connettività in ingresso e in uscita da e verso la rete Internet pubblica. Poiché i servizi di sicurezza di rete nativi di Azure come Firewall di Azure, Web application firewall di Azure nel gateway di app Azure lication e Frontdoor di Azure sono servizi completamente gestiti, non si comportano costi operativi e di gestione associati alle distribuzioni dell'infrastruttura, che possono diventare complessi su larga scala.

Considerazioni e raccomandazioni sulla progettazione

  • Se l'organizzazione ha un footprint globale, Frontdoor di Azure può essere utile nella distribuzione HPC. Frontdoor di Azure usa i criteri di Web application firewall di Azure per distribuire e proteggere le applicazioni HTTP globali tra aree di Azure.
  • Sfruttare i vantaggi dei criteri di Web Application Firewall in Frontdoor di Azure quando si usa Frontdoor di Azure e gateway applicazione per proteggere le applicazioni HTTP(S). Bloccare il gateway applicazione per la ricezione del traffico solo dal servizio Frontdoor di Azure. Per altre informazioni, vedere Ricerca per categorie bloccare l'accesso?.
  • Usare la connettività di peering di rete virtuale locale e globale. Questi sono i metodi preferiti per garantire la connettività tra le zone di destinazione per le distribuzioni HPC in più aree di Azure.

Definire i requisiti di crittografia di rete

Questa sezione fornisce raccomandazioni chiave per crittografare le reti tra ambienti locali e Azure e tra aree di Azure.

Considerazioni e raccomandazioni sulla progettazione

  • Le prestazioni del traffico sono una considerazione importante quando si abilita la crittografia. I tunnel IPsec crittografano il traffico Internet per impostazione predefinita. Qualsiasi crittografia o decrittografia aggiuntiva può influire negativamente sulle prestazioni. Quando si usa ExpressRoute, il traffico non viene crittografato per impostazione predefinita. È necessario determinare se il traffico HPC deve essere crittografato. Esplorare la topologia di rete e la connettività per comprendere le opzioni di crittografia di rete nelle zone di destinazione su scala aziendale.

Passaggi successivi

Gli articoli seguenti forniscono indicazioni utili durante varie fasi del processo di adozione del cloud. Possono essere utili per avere successo nello scenario di adozione del cloud per gli ambienti HPC nel settore finanziario.