Requisitos previos para Azure HPC Cache

Antes de crear una nueva instancia de Azure HPC Cache, asegúrese de que el entorno cumple estos requisitos.

Suscripción de Azure

Se recomienda una suscripción de pago.

Infraestructura de red

Para poder usar la caché, primero es necesario configurar estas opciones relacionadas con la red:

  • Una subred dedicada para la instancia de Azure HPC Cache
  • Compatibilidad con DNS para que la caché pueda acceder al almacenamiento y otros recursos
  • Acceso desde la subred a servicios adicionales de infraestructura de Microsoft Azure, incluidos los servidores NTP y el servicio Azure Queue Storage.

Subred de caché

Azure HPC Cache necesita una subred dedicada con estas cualidades:

  • La subred debe tener al menos 64 direcciones IP disponibles.
  • La comunicación dentro de la subred no debe tener restricciones. Si usa un grupo de seguridad de red para la subred de caché, asegúrese de que este permite todos los servicios entre direcciones IP internas.
  • La subred no puede hospedar ninguna otra máquina virtual, ni siquiera para servicios relacionados, como máquinas cliente.
  • Si usa varias instancias de Azure HPC Cache, cada una necesita su propia subred.

El procedimiento recomendado es crear una subred para cada caché. Puede crear una red virtual y una subred como parte de la creación de la caché.

Al crear esta subred, tenga cuidado de que su configuración de seguridad permita el acceso a los servicios de infraestructura necesarios que se mencionan más adelante en esta sección. Puede restringir la conectividad saliente a Internet, pero asegúrese de que haya excepciones para los elementos que se documentan aquí.

Acceso DNS

La caché necesita DNS para acceder a los recursos que están fuera de su red virtual. En función de los recursos que use, puede que tenga que configurar un servidor DNS personalizado y el reenvío entre ese servidor y los servidores de Azure DNS:

  • Para acceder a los puntos de conexión de Azure Blob Storage y otros recursos internos, necesita el servidor DNS basado en Azure.
  • Para acceder al almacenamiento local, debe configurar un servidor DNS personalizado que pueda resolver los nombres de host de almacenamiento. Debe hacer esto antes de crear la memoria caché.

Si solo usa Blob Storage, puede emplear el servidor DNS predeterminado proporcionado por Azure para la caché. Sin embargo, si necesita acceder al almacenamiento u otros recursos fuera de Azure, debe crear un servidor DNS personalizado y configurarlo para reenviar cualquier solicitud de resolución específica de Azure al servidor de Azure DNS.

Debe realizar estos pasos de configuración antes de crear la memoria caché para usar un servidor DNS personalizado:

  • Cree la red virtual que hospedará a la instancia de Azure HPC Cache.

  • Cree el servidor DNS.

  • Agregue el servidor DNS a la red virtual de la memoria caché.

    Siga estos pasos para agregar el servidor DNS a la red virtual en Azure Portal:

    1. Abra la red virtual en Azure Portal.
    2. Elija Servidores DNS en el menú Configuración de la barra lateral.
    3. Seleccionar Personalizado
    4. Escriba la dirección IP del servidor DNS en el campo.

También se puede usar un servidor DNS sencillo para equilibrar la carga de las conexiones de cliente entre todos los puntos de montaje de caché disponibles.

Más información sobre las configuraciones de servidor DNS y redes virtuales de Azure en Resolución de nombres de recursos en redes virtuales de Azure.

Acceso NTP

El HPC Cache necesita acceso a un servidor NTP para un funcionamiento normal. Si restringe el tráfico saliente desde las redes virtuales, asegúrese de permitir el tráfico a al menos un servidor NTP. El servidor predeterminado es time.windows.com y la caché se pone en contacto con este servidor en el puerto UDP 123.

Cree una regla en el grupo de seguridad de red de la red caché que permita el tráfico saliente al servidor NTP. La regla puede simplemente permitir todo el tráfico saliente en el puerto UDP 123 o tener más restricciones.

Este ejemplo abre explícitamente el tráfico saliente a la dirección IP 168.61.215.74, que es la dirección que usa time.windows.com.

Priority Nombre Puerto Protocolo Origen Destino Acción
200 NTP Cualquiera UDP Cualquiera 168.61.215.74 Permitir

Asegúrese de que la regla NTP tiene una prioridad más alta que cualquier regla que deniegue ampliamente el acceso saliente.

Más sugerencias para el acceso NTP:

  • Si tiene firewalls entre la HPC Cache y el servidor NTP, asegúrese de que estos firewalls también permiten el acceso NTP.

  • Puede configurar qué servidor NTP usa la HPC Cache en la página Redes. Para obtener más información, lea Configuración adicional.

Acceso a Azure Queue Storage

La memoria caché debe poder acceder de forma segura al servicio Azure Queue Storage desde dentro de su subred dedicada. Azure HPC Cache usa Queue service al comunicar la información sobre la configuración y el estado.

Si la memoria caché no puede acceder a Queue service, es posible que vea un mensaje CacheConnectivityError al crear la memoria caché.

Hay dos maneras de proporcionar acceso:

  • Cree un punto de conexión de servicio de Azure Storage en la subred de caché. Lea Adición de una subred de red virtual para obtener instrucciones sobre cómo agregar el punto de conexión de servicio Microsoft.Storage.

  • Configure individualmente el acceso al dominio de Queue service de Azure Storage en el grupo de seguridad de red u otros firewalls.

    Agregue reglas para permitir el acceso en estos puertos:

    • Puerto TCP 443 para proteger el tráfico a cualquier host del dominio queue.core.windows.net (*.queue.core.windows.net).

    • Puerto TCP 80: se usa para la comprobación del certificado del lado servidor. Esto se conoce a veces como comprobación de listas de revocación de certificados (CRL) y comunicaciones del Protocolo de estado de certificados en línea (OCSP). Todos los dominios *.queue.core.windows.net usan el mismo certificado y, por tanto, los mismos servidores de CRL/OCSP. El nombre de host se almacena en el certificado SSL del lado servidor.

    Consulte las sugerencias de reglas de seguridad en Acceso NTP para obtener más información.

    Este comando enumera los servidores de CRL y OSCP a los que se debe permitir el acceso. El DNS debe resolver estos servidores, que deben ser accesibles en el puerto 80 desde la subred de caché.

    
    openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
    
    

    La salida tiene un aspecto similar al siguiente y puede cambiar si se actualiza el certificado SSL:

    OCSP - URI:http://ocsp.msocsp.com
    CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
    CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
    

Puede comprobar la conectividad de la subred mediante este comando desde una VM de prueba dentro de la subred:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

Una conexión correcta da esta respuesta:

OCSP Response Status: successful (0x0)

Acceso al servidor de eventos

Azure HPC Cache usa puntos de conexión de servidor de eventos de Azure para supervisar el estado de la memoria caché y enviar información de diagnóstico.

Asegúrese de que la memoria caché pueda acceder de forma segura a los hosts del dominio events.data.microsoft.com, es decir, abra el puerto TCP 443 para el tráfico que va a *.events.data.microsoft.com.

Permisos

Antes de empezar a crear la caché, compruebe estos requisitos previos relacionados con los permisos.

  • La instancia de caché necesita poder crear interfaces de red virtual (NIC). El usuario que crea la caché debe tener privilegios suficientes en la suscripción para crear las NIC.

  • Si usa Blob Storage, Azure HPC Cache necesita autorización para acceder a la cuenta de almacenamiento. Use el control de acceso basado en roles de Azure (Azure RBAC) para conceder a la caché acceso a la instancia de Blob Storage. Se requieren dos roles: Colaborador de la cuenta de almacenamiento y Colaborador de datos de Storage Blob.

    Siga las instrucciones que se indican en Incorporación de destinos de almacenamiento para agregar los roles.

Administración del almacenamiento

La caché admite contenedores de blobs de Azure, exportaciones de almacenamiento de hardware NFS y contenedores de blobs ADLS montados en NFS. Agregar destino de almacenamiento después de crear la memoria caché.

Cada tipo de almacenamiento tiene unos requisitos previos específicos.

Requisitos de Blob Storage

Si quiere usar Azure Blob Storage con su instancia de caché, necesita una cuenta de almacenamiento compatible y un contenedor de blobs vacío o un contenedor rellenado con datos con formato de Azure HPC Cache, como se describe en Traslado de datos a Azure Blob Storage.

Nota:

Hay diferentes requisitos aplicables a Blob Storage montado en NFS. Lea los requisitos de almacenamiento de ADLS-NFS para obtener más información.

Cree la cuenta antes de intentar agregar un destino de almacenamiento. Puede crear un contenedor al agregar el destino.

Para crear una cuenta de almacenamiento compatible, use una de estas combinaciones:

Rendimiento Tipo Replicación Nivel de acceso
Estándar StorageV2 (uso general v2) Almacenamiento con redundancia local (LRS) o almacenamiento con redundancia de zona (ZRS) Acceso frecuente
Premium Blobs en bloques Almacenamiento con redundancia local (LRS) Acceso frecuente

La cuenta de almacenamiento debe ser accesible desde la subred privada de la caché. Si su cuenta usa un punto de conexión privado o un punto de conexión público restringido a redes virtuales específicas, asegúrese de habilitar el acceso desde la subred de la caché. (No se recomienda un punto de conexión público abierto).

Lea Trabajar con puntos de conexión privados para obtener sugerencias sobre el uso de puntos de conexión privados con destinos de almacenamiento de HPC Cache.

Se recomienda usar una cuenta de almacenamiento que esté en la misma región de Azure que la caché.

También debe proporcionar a la aplicación de caché acceso a su cuenta de almacenamiento de Azure, como se mencionó en Permisos anteriormente. Siga el procedimiento descrito en Incorporación de destinos de almacenamiento para proporcionar a la caché los roles de acceso necesarios. Si no es el propietario de la cuenta de almacenamiento, pida a este que realice este paso.

Requisitos de almacenamiento de NFS

Si usa un sistema de almacenamiento NFS (por ejemplo, un sistema NAS de hardware local), asegúrese de que cumpla estos requisitos. Es posible que deba trabajar con los administradores de red o los administradores de firewall para su sistema de almacenamiento (o centro de datos) para verificar esta configuración.

Nota:

Se producirá un error en la creación del destino de almacenamiento si la memoria caché no tiene acceso suficiente al sistema de almacenamiento NFS.

Se puede encontrar más información en Solución de problemas de configuración de NAS y destinos de almacenamiento de NFS.

  • Conectividad de red: Azure HPC Cache necesita acceso de red de alto ancho de banda entre la subred de caché y el centro de datos del sistema NFS. Se recomienda el acceso ExpressRoute o similar. Si usa una VPN, es posible que deba configurarla para fijar TCP MSS en 1350 para asegurarse de que no se bloqueen los paquetes grandes. Consulte Restricciones de tamaño de paquetes de VPN como ayuda adicional para solucionar problemas de configuración de VPN.

  • Acceso de puerto: la memoria caché necesita acceso a puertos TCP/UDP específicos en el sistema de almacenamiento. Los distintos tipos de almacenamiento tienen distintos requisitos de puertos.

    Para comprobar la configuración del sistema de almacenamiento, siga este procedimiento.

    • Emita un comando rpcinfo al sistema de almacenamiento para comprobar los puertos necesarios. El comando siguiente muestra los puertos y presenta los resultados pertinentes en una tabla. (Use la dirección IP del sistema en lugar del término <storage_IP>).

      Puede emitir este comando desde cualquier cliente Linux que tenga instalada infraestructura de NFS. Si usa un cliente dentro de la subred del clúster, también puede ayudar a verificar la conectividad entre la subred y el sistema de almacenamiento.

      rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
      

    Asegúrese de que todos los puertos devueltos por la consulta rpcinfo permitan tráfico sin restricciones desde la subred de Azure HPC Cache.

    • Si no puede usar el comando rpcinfo, asegúrese de que estos puertos usados comúnmente permiten el tráfico entrante y saliente:

      Protocolo Puerto Servicio
      TCP/UDP 111 rpcbind
      TCP/UDP 2049 NFS
      TCP/UDP 4045 nlockmgr
      TCP/UDP 4046 mountd
      TCP/UDP 4047 status

      Algunos sistemas utilizan números de puerto diferentes para estos servicios. Consulte la documentación del sistema de almacenamiento para asegurarse.

    • Compruebe la configuración del firewall para asegurarse de que permite el tráfico en todos estos puertos necesarios. Asegúrese de comprobar los firewalls que se usan en Azure, así como los firewalls locales de su centro de datos.

  • El almacenamiento de back-end de NFS debe ser una plataforma de hardware o software compatible. El almacenamiento debe admitir NFS versión 3 (NFSv3). Póngase en contacto con el equipo de Azure HPC Cache para más información.

Requisitos de almacenamiento de blobs montados en NFS (ADLS-NFS)

Azure HPC Cache también puede usar un contenedor de blobs montado, con el protocolo NFS como destino de almacenamiento.

Puede encontrar más información sobre esta característica en Compatibilidad con el protocolo NFS 3.0 en Azure Blob Storage.

Los requisitos de la cuenta de almacenamiento son diferentes para un destino de almacenamiento de blobs ADLS-NFS y un destino de almacenamiento de blobs estándar. Siga cuidadosamente las instrucciones que se indican en Montaje de Blob Storage con el protocolo Network File System (NFS) 3.0 (versión preliminar) para crear y configurar la cuenta de almacenamiento habilitada para NFS.

A continuación, se ofrece una introducción general de los pasos. Estos pasos pueden cambiar. Consulte siempre las instrucciones de ADLS-NFS para obtener información actualizada.

  1. Asegúrese de que las características que necesita están disponibles en las regiones en las que va a trabajar.

  2. Habilite la característica protocolo NFS para su suscripción. Debe hacerlo antes de crear la cuenta de almacenamiento.

  3. Cree una red virtual (VNet) segura para la cuenta de almacenamiento. Deberá usar la misma red virtual para Azure HPC Cache y la cuenta de almacenamiento habilitada para NFS. (No use la misma subred que la caché).

  4. Cree la cuenta de almacenamiento.

    • En lugar de usar la configuración de la cuenta de almacenamiento para una cuenta estándar de Blob Storage, siga las instrucciones del documento de procedimientos. El tipo de cuenta de almacenamiento admitido puede variar según la región de Azure.

    • En la sección Redes, elija un punto de conexión privado en la red virtual segura que creó (recomendado) o un punto de conexión público con acceso restringido de la red virtual segura.

      Lea Trabajar con puntos de conexión privados para obtener sugerencias sobre el uso de puntos de conexión privados con destinos de almacenamiento de HPC Cache.

    • No olvide completar la sección Avanzado cuando habilite el acceso a NFS.

    • Proporcione a la aplicación de caché acceso a su cuenta de almacenamiento de Azure, como se indicó anteriormente en Permisos. Puede hacerlo la primera vez que cree un destino de almacenamiento. Siga el procedimiento descrito en Incorporación de destinos de almacenamiento para proporcionar a la caché los roles de acceso necesarios.

      Si no es el propietario de la cuenta de almacenamiento, pida a este que realice este paso.

Más información sobre los destinos de almacenamiento de ADLS-NFS con Azure HPC Cache en Uso del almacenamiento de blobs montado en NFS con Azure HPC Cache.

Trabajo con puntos de conexión privados

Azure Storage admite puntos de conexión privados para permitir el acceso seguro a los datos. Puede usar puntos de conexión privados con blobs de Azure o destinos de almacenamiento de blobs montados en NFS.

Más información sobre los puntos de conexión privados

Un punto de conexión privado proporciona una dirección IP específica que HPC Cache usa para comunicarse con el sistema de almacenamiento back-end. Si esa dirección IP cambia, la caché no puede restablecer automáticamente una conexión con el almacenamiento.

Si necesita cambiar la configuración de un punto de conexión privado, siga este procedimiento para evitar problemas de comunicación entre el almacenamiento y HPC Cache:

  1. Suspenda el destino de almacenamiento (o todos los destinos de almacenamiento que usan este punto de conexión privado).
  2. Realice cambios en el punto de conexión privado y guárdelos.
  3. Vuelva a poner el destino de almacenamiento en servicio con el comando "reanudar".
  4. Actualice la configuración de DNS del destino de almacenamiento.

Lea Visualización y administración de destinos de almacenamiento para saber cómo suspender, reanudar y actualizar DNS para los destinos de almacenamiento.

Configuración del acceso mediante la CLI de Azure (opcional)

Si quiere crear o administrar Azure HPC Cache desde la CLI de Azure, debe instalar la CLI de Azure y la extensión hpc-cache. Siga las instrucciones que se indican en Configuración de la CLI de Azure para Azure HPC Cache.

Pasos siguientes