Finance správy identit a přístupu v Prostředí HPC v Azure
Tento článek vychází z aspektů a doporučení definovaných v článku o cílové zóně Azure v oblasti návrhu cílové zóny Azure pro správu identit a přístupu. Následující doprovodné materiály v tomto článku vám pomůžou použít aspekty návrhu správy identit a přístupu a doporučení k nasazení aplikace vysokovýkonných výpočetních prostředí (HPC) v Microsoft Azure pro finanční odvětví.
Aspekty návrhu
Při nasazování aplikace PROSTŘEDÍ HPC mějte na paměti následující aspekty návrhu:
Určete správu prostředků Azure, kterou vyžadují různí členové týmu. Zvažte možnost poskytnout členům týmu přístup ke správě prostředků Azure se zvýšenými oprávněními v neprodukčním prostředí.
- Můžete jim například udělit roli Přispěvatel virtuálních počítačů.
- Členům týmu můžete také udělit částečně zvýšený přístup pro správu, jako je částečná role Přispěvatel virtuálních počítačů v produkčním prostředí. Obě možnosti mají dobrou rovnováhu mezi oddělením povinností a provozní efektivitou.
Projděte si aktivity správy a správy Azure, které vyžadují, aby vaše týmy dělaly. Zvažte prostředí HPC v Azure na šířku. Určete nejlepší možnou distribuci zodpovědností v rámci vaší organizace.
Tady jsou běžné aktivity Azure pro správu a správu.
Prostředek Azure Poskytovatel prostředků Azure Aktivity Virtuální počítač Microsoft.Compute/virtualMachines Spuštění, zastavení, restartování, uvolnění, nasazení, opětovné nasazení, změna a změna velikosti virtuálních počítačů Správa rozšíření, skupin dostupnosti a umístění bezkontaktní komunikace Virtuální počítače Microsoft.Compute/disky Čtení a zápis na disk Úložiště Microsoft.Storage Čtení a provádění změn v účtech úložiště, například účet úložiště diagnostiky spouštění. Úložiště Microsoft.NetApp Čtení a provádění změn ve fondech a svazcích kapacity NetApp Úložiště Microsoft.NetApp Pořiďte snímky služby Azure NetApp Files. Úložiště Microsoft.NetApp Použijte replikaci Azure NetApp Files mezi oblastmi. Sítě Microsoft.Network/networkInterfaces Čtení, vytváření a změna síťových rozhraní Sítě Microsoft.Network/loadBalancers Čtení, vytváření a změna nástrojů pro vyrovnávání zatížení Sítě Microsoft.Network/networkSecurityGroups Čtení skupin zabezpečení sítě Sítě Microsoft.Network/azureFirewalls Čtení bran firewall Sítě Microsoft.Network/virtualNetworks Čtení, vytváření a změna síťových rozhraní
Zvažte relevantní přístup potřebný pro skupinu prostředků virtuální sítě a související přístup, pokud se liší od skupiny prostředků virtuálních počítačů.Vezměte v úvahu službu Microsoftu, kterou používáte – Azure CycleCloud, Azure Batch nebo hybridní prostředí s virtuálními počítači HPC v cloudu.
Doporučení
- Pokud používáte Azure CycleCloud, existují tři metody ověřování: integrovaná databáze s šifrováním, Microsoft Entra ID nebo LDAP (Lightweight Directory Access Protocol). Další informace najdete v tématu Ověřování uživatelů. Další informace o instančních objektech v Azure CycleCloudu najdete v tématu Použití instančních objektů.
- Pokud používáte Službu Batch, můžete se ověřit pomocí ID Microsoft Entra pomocí dvou různých metod: integrovaného ověřování nebo instančních objektů. Další informace o tom, jak tyto různé přístupy používat, najdete v tématu Ověřování azure Batch. Pokud používáte režim předplatného uživatele a ne režim služby Batch, udělte službě Batch přístup ke službě Batch, aby mohl přistupovat k předplatnému. Další informace najdete v tématu Povolení přístupu k předplatnému službou Batch.
- Pokud chcete rozšířit své místní možnosti do hybridního prostředí, můžete se ověřit prostřednictvím služby Active Directory pomocí řadiče domény jen pro čtení hostovaného v Azure. Tento přístup minimalizuje provoz přes propojení. Tato integrace poskytuje uživatelům způsob, jak pomocí svých stávajících přihlašovacích údajů přihlásit se ke službám a aplikacím připojeným ke spravované doméně. K zabezpečení přístupu k prostředkům můžete použít také existující skupiny a uživatelské účty. Tyto funkce poskytují plynulejší metodu "lift and shift" místních prostředků do Azure.
Další informace najdete v tématu Doporučení pro návrh přístupu k platformě a identitě Azure a přístupu pro cílové zóny.
Další kroky
Následující články obsahují pokyny pro různé fáze procesu přechodu na cloud. Tyto prostředky vám můžou pomoct s přijetím prostředí HPC finančního sektoru pro cloud.