財務部門 HPC 的網路拓撲和連線能力
本文是以 Azure 登陸區域一文 中針對網路拓撲和連線 能力所描述的考慮和建議為基礎。 本文中的指引可協助您檢查 Azure 和 HPC 部署內網路和連線能力的重要設計考慮和最佳做法。
規劃 IP 定址
請務必規劃 Azure 上的 IP 定址,以確保:
- IP 位址空間不會在內部部署位置和 Azure 區域之間重迭。
- 虛擬網路包含正確的位址空間。
- 預先規劃子網組態。
設計考慮和建議
- 如果您想要實作 Azure NetApp Files,則需要委派的子網,這在 HPC 部署中經常與共享檔案系統搭配使用。 您可以將 子網奉獻 給特定服務,然後在子網內建立這些服務的實例。 雖然 Azure 可協助您在虛擬網路中建立多個委派子網,但 Azure NetApp Files 的虛擬網路中只能有一個委派的子網。 如果您針對 Azure NetApp Files 使用多個委派的子網,嘗試建立新的磁片區將會失敗。
- 如果您使用 Azure HPC Cache 進行儲存體,則必須建立專用子網。 如需此子網必要條件的詳細資訊,請參閱 快取子網 。 若要深入瞭解如何建立子網,請參閱 新增虛擬網路子網 。
設定內部部署和 Azure 資源的 DNS 和名稱解析
網域名稱系統 (DNS) 是 Azure 登陸區域架構中的重要設計項目。 某些組織偏好使用其在 DNS 中的現有投資。 其他人則認為雲端採用是將其內部 DNS 基礎結構現代化並使用原生 Azure 功能的機會。
設計建議
下列建議適用于虛擬機器 DNS 或虛擬名稱在移轉期間不會變更的案例。
- 背景 DNS 和虛擬名稱會連接 HPC 環境中的許多系統介面。 您可能不知道開發人員經過一段時間定義的所有介面。 當虛擬機器或 DNS 名稱在移轉後變更時,各種系統之間會發生連線挑戰。 建議您保留 DNS 別名,以避免發生這些困難。
- 使用不同的 DNS 區域來區分環境(沙箱、開發、生產前和生產環境)彼此。 例外狀況是 HPC 部署有自己的虛擬網路。 在這些部署中,可能不需要私人 DNS 區域。
- 當您使用 HPC Cache 時,需要 DNS 支援。 DNS 可讓其存取儲存體和其他資源。
- 當您使用資源位置和 SRV 記錄時,DNS 和名稱解析對於財務部門至關重要。 建議您使用 Microsoft Entra Domain Services (Microsoft Entra Domain Services) 網域控制站所提供的 DNS 解析。 如需詳細資訊,請參閱 在 Azure 虛擬網路 中部署 Microsoft Entra Domain Services。
高效能網路服務
Infiniband
- 如果您執行在電腦之間需要低延遲的財務應用程式,而且必須在節點之間傳輸資訊以取得結果,則需要低延遲和高輸送量相互連線。 支援 RDMA 的 H 系列 和 N 系列 VM 會透過低延遲和高頻寬的 InfiniBand 網路進行通訊。 透過這類連線的 RDMA 網路功能對於提升分散式節點 HPC 和 AI 工作負載的延展性和效能至關重要。 此網路可以改善在 Microsoft MPI 或 Intel MPI 下執行之應用程式的效能。 如需詳細資訊,請參閱 啟用 InfiniBand 。 若要瞭解如何設定 MPI,請參閱 設定 HPC 的訊息傳遞介面。
Azure ExpressRoute
- 針對風險方格運算解決方案等混合式應用程式,您的內部部署交易系統和分析運作正常,而 Azure 會變成延伸模組,您可以使用 ExpressRoute 透過私人連線將內部部署環境連線至 Azure,並透過連線提供者的協助。 ExpressRoute 提供企業級的復原和可用性,以及全球 ExpressRoute 合作夥伴生態系統的優點。 如需如何使用 ExpressRoute 將網路連線到 Azure 的資訊,請參閱 ExpressRoute 連線模型 。
- ExpressRoute 連線不會使用公用網際網路,而且比一般網際網路連線更可靠、更快、延遲更低。 針對點對站 VPN 和站對站 VPN,您可以使用這些 VPN 選項和 ExpressRoute 的任何組合,將內部部署裝置或網路連線到虛擬網路。
定義 Azure 網路拓撲
企業級登陸區域支援兩個網路拓撲:一個以 Azure 虛擬 WAN 為基礎,另一個是以中樞和輪輻架構為基礎的傳統網路拓撲。 本節針對這兩個部署模型提供建議的 HPC 組態和作法。
如果您的組織計畫:使用以虛擬 WAN 為基礎的網路拓撲:
- 跨數個 Azure 區域部署資源,並將全域位置連線到 Azure 和內部部署。
- 完全整合軟體定義的 WAN 部署與 Azure。
- 在所有連線到一個虛擬 WAN 中樞的虛擬網路上部署多達 2,000 個虛擬機器工作負載。
組織會使用虛擬 WAN 來滿足大規模的互連需求。 Microsoft 會管理這項服務,協助您降低整體網路複雜性,並將組織網路現代化。
如果您的組織,請使用以中樞和輪輻架構 為基礎的 傳統 Azure 網路拓撲:
- 計畫只在選取 [Azure 區域] 中部署資源。
- 不需要全域互連的網路。
- 每個區域的遠端或分支位置很少,且需要少於 30 個 IP 安全性 (IPsec) 通道。
- 需要完整控制和細微性,才能手動設定您的 Azure 網路。
記錄您的網路拓撲和防火牆規則。 網路安全性群組 (NSG) 通常會以相當複雜度實作。 使用應用程式安全性群組,以比虛擬網路所能提供的更細微度來為流量加上標籤。 瞭解 NSG 優先順序規則,以及哪些規則優先于其他規則。
規劃輸入和輸出網際網路連線能力
本節說明對公用網際網路的輸入和輸出連線的建議連線模型。 因為 azure 原生網路安全性服務,例如Azure 防火牆、azure Web 應用程式防火牆Azure 應用程式閘道,而 Azure Front Door 是完全受控的服務,因此您不會產生與基礎結構部署相關聯的作業和管理成本,這可能會大規模變得很複雜。
設計考慮和建議
- 如果您的組織具有全球使用量, Azure Front Door 在 HPC 部署中很有説明。 Azure Front Door 會使用 Azure Web 應用程式防火牆 原則 來傳遞及協助保護跨 Azure 區域的全域 HTTP(S) 應用程式。
- 當您使用 Azure Front Door 和 應用程式閘道 來協助保護 HTTP(S) 應用程式時,請利用 Azure Front Door 中的Web 應用程式防火牆 原則。 鎖定應用程式閘道,只接收來自 Azure Front Door 的流量。 如需詳細資訊,請參閱 如何?鎖定存取權? 。
- 使用本機和全域虛擬網路對等互連連線。 這些是確保跨多個 Azure 區域之 HPC 部署登陸區域之間連線的慣用方法。
定義網路加密需求
本節提供在內部部署環境與 Azure 之間,以及跨 Azure 區域加密網路的重要建議。
設計考慮和建議
- 當您啟用加密時,流量效能是重要的考慮。 根據預設,IPsec 通道會加密網際網路流量。 任何其他加密或解密可能會對效能造成負面影響。 當您使用 ExpressRoute 時,流量預設不會加密。 您必須判斷是否應該加密 HPC 流量。 探索 網路拓撲 和 連線能力 ,以瞭解企業級登陸區域中的網路加密選項。
下一步
下列文章提供指引,您可以在雲端採用程式的各個階段中找到有用的指引。 它們可協助您在雲端採用案例中成功,以在財務部門使用 HPC 環境。