Azure Batch-készlet létrehozása virtuális hálózaton

  • Cikk
  • 8 perc alatt elolvasható

Amikor létrehoz egy Azure Batch készletet, kiépítheti a készletet egy Ön által megadott Azure-beli virtuális hálózat (VNet) alhálózatán. Ez a cikk bemutatja, hogyan állíthat be Batch-készletet egy virtuális hálózaton.

Miért érdemes virtuális hálózatot használni?

A készletben lévő számítási csomópontok kommunikálhatnak egymással, például többpéldányos feladatok futtatásához anélkül, hogy külön virtuális hálózatra volna szükség. A készlet csomópontjai azonban alapértelmezés szerint nem tudnak kommunikálni a készleten kívüli virtuális gépekkel, például licenckiszolgálókkal vagy fájlkiszolgálókkal.

Ahhoz, hogy a számítási csomópontok biztonságosan kommunikálhassanak más virtuális gépekkel vagy egy helyszíni hálózattal, kiépítheti a készletet egy Azure-beli virtuális hálózat alhálózatán.

Előfeltételek

  • Hitelesítés. Egy Azure-beli virtuális hálózat használatához a Batch-ügyfél API-jának Azure Active Directory- (AD-) hitelesítést kell használnia. Az Azure AD Azure Batch-támogatásának dokumentációjáért lásd a Batch szolgáltatás Active Directoryval történő hitelesítésével foglalkozó témakört.

  • Egy Azure-beli virtuális hálózat. A virtuális hálózatokra vonatkozó követelményekről és konfigurációról a következő szakaszban olvashat. Ha előre szeretne előkészíteni egy vagy több alhálózattal rendelkező virtuális hálózatot, használhatja a Azure Portal, a Azure PowerShell, az Azure Command-Line Interface (CLI) vagy más módszereket.

A virtuális hálózat követelményei

Általános követelmények

  • A virtuális hálózatnak a Batch-fiókkal megegyező előfizetésben és régióban kell lennie.

  • A készlethez meghatározott alhálózatnak elegendő hozzá nem rendelt IP-címmel kell rendelkeznie ahhoz, hogy helyet tudjon adni a készlethez kijelölt számú virtuális gépnek. Ez a szám a készlet targetDedicatedNodes és targetLowPriorityNodes tulajdonságának összege. Ha az alhálózaton nincs elegendő hozzá nem rendelt IP-cím, akkor a készlet részlegesen lefoglalja a számítási csomópontokat, és átméretezési hiba következik be.

  • Az Azure Storage-végpontot bármely, a virtuális hálózatot kiszolgáló egyéni DNS-kiszolgálónak kell feloldania. Az <account>.table.core.windows.net, <account>.queue.core.windows.net és <account>.blob.core.windows.net űrlap URL-címeinek feloldhatónak kell lenniük.

  • Több készlet hozható létre ugyanabban a virtuális hálózatban vagy ugyanabban az alhálózatban (feltéve, hogy elegendő címtérrel rendelkezik). Egyetlen készlet nem létezhet több virtuális hálózaton vagy alhálózaton.

A virtuális hálózat további követelményei eltérhetnek attól függően, hogy a Batch-készlet a virtuálisgép- vagy a Cloud Services-konfigurációban van-e. Új készlet virtuális hálózatba történő üzembe helyezéséhez a virtuálisgép-konfiguráció javasolt.

A virtuálisgép-konfigurációban lévő készletek

Támogatott virtuális hálózatok – Csak az Azure Resource Manager-alapú virtuális hálózatok

Alhálózati azonosító – Az alhálózat Batch API-kkal történő megadásakor használja az alhálózat erőforrás-azonosítóját. Az alhálózat azonosítója a következő formátumot követi:

/subscriptions/{subscription}/resourceGroups/{group}/providers/Microsoft.Network/virtualNetworks/{network}/subnets/{subnet}

Engedélyek – Ellenőrizze, hogy a virtuális hálózat előfizetésén vagy erőforráscsoportján lévő biztonsági szabályzatok vagy zárolások korlátozzák-e egy felhasználó virtuális hálózat kezelésére vonatkozó engedélyét.

További hálózati erőforrások – A Batch automatikusan további hálózati erőforrásokat hoz létre a virtuális hálózatot tartalmazó erőforráscsoportban.

Fontos

A Batch minden 100 dedikált vagy alacsony prioritású csomóponthoz létrehoz egy hálózati biztonsági csoportot (NSG), egy nyilvános IP-címet és egy terheléselosztót. Ezekre az erőforrásokra az előfizetésben meghatározott erőforráskvóták vonatkoznak. Nagy készletekhez szükség lehet a kvóta egy vagy több erőforrásra való megemelésének igénylésére.

Hálózati biztonsági csoportok: Batch-alapértelmezés

Az alhálózatnak engedélyeznie kell a Batch szolgáltatástól kiinduló bejövő kommunikációt, hogy képes legyen feladatok ütemezésére a számítási csomópontokon, illetve a kimenő kommunikációt, hogy kommunikálhasson az Azure Storage szolgáltatással vagy más erőforrásokkal, a számítási feladat igényeinek megfelelően. A virtuálisgép-konfigurációban lévő készletekhez a Batch az NSG-ket a számítási csomópontokhoz kapcsolt hálózati adapterek (NIC-k) szintjén adja hozzá. Ezek az NSG-k a következő kiegészítő szabályokkal vannak konfigurálva:

  • A Batch szolgáltatás a BatchNodeManagement szolgáltatáscímkének megfelelő IP-címeiről érkező bejövő TCP-forgalom a 29876-os és a 29877-es portokon keresztül.
  • A bejövő TCP-forgalom a 22-es porton (Linux-csomópontok) vagy a 3389-es porton (Windows-csomópontok) keresztül a távoli hozzáférés engedélyezéséhez. A Linuxon futó többpéldányos feladatok bizonyos típusai (például MPI) esetében is engedélyezni kell a 22-es SSH-port forgalmát a Batch számítási csomópontokat tartalmazó alhálózat IP-címei számára. Ez az alhálózati szintű NSG-szabályok (lásd alább) alapján blokkolható.
  • Kimenő forgalom bármilyen porton keresztül a virtuális hálózathoz. Ez az alhálózati szintű NSG-szabályok (lásd alább) alapján módosítható.
  • Kimenő forgalom bármilyen porton keresztül az internetre. Ez az alhálózati szintű NSG-szabályok (lásd alább) alapján módosítható.

Fontos

Körültekintően járjon el, ha bejövő vagy kimenő szabályokat módosít vagy ad hozzá a Batch által konfigurált NSG-kben. Ha egy NSG megtagadja a megadott alhálózat számítási csomópontjaival való kommunikációt, a Batch szolgáltatás használhatatlanná állítja a számítási csomópontok állapotát. Emellett nem szabad erőforrás-zárolásokat alkalmazni a Batch által létrehozott erőforrásokra, mivel ez megakadályozhatja az erőforrások törlését a felhasználó által kezdeményezett műveletek, például a készlet törlése miatt.

Hálózati biztonsági csoportok: Alhálózati szintű szabályok meghatározása

Ha egy NSG van társítva ahhoz az alhálózathoz, ahol a Batch számítási csomópontok üzembe vannak helyezve, vagy ha egyéni NSG-szabályokat szeretne alkalmazni az alapértelmezett értékek felülbírálásához, ezt az NSG-t legalább az alábbi táblázatokban látható bejövő és kimenő biztonsági szabályokkal kell konfigurálnia.

Csak akkor konfigurálja a bejövő forgalmat a 3389-es porton (Windows) vagy a 22-es porton (Linux) keresztül, ha engedélyeznie kell a számítási csomópontok külső forrásból való távoli elérését. Linux rendszeren előfordulhat, hogy engedélyezni kell a 22-es portra vonatkozó szabályokat, ha többpéldányos, bizonyos MPI-futtatókörnyezetekkel rendelkező feladatok támogatására van szüksége. E portok forgalmának engedélyezése nem feltétlenül szükséges a készletezett számítási csomópontok használhatóságához.

Figyelmeztetés

A Batch szolgáltatás IP-címei idővel módosulhatnak. Ezért javasoljuk, hogy az alábbi táblázatokban jelzett NSG-szabályokhoz használja a BatchNodeManagement szolgáltatáscímkét (vagy egy regionális változatot). Kerülje az NSG-szabályok feltöltését adott Batch-szolgáltatás IP-címeivel.

Bejövő biztonsági szabályok

Forrás IP-címek Forrás szolgáltatáscímke Forrásportok Cél Célportok Protokoll Műveletek
N/A BatchNodeManagementszolgáltatáscímke (ha regionális változatot használ, ugyanabban a régióban, mint a Batch-fiók) * Bármelyik 29876-29877 TCP Engedélyezés
Felhasználók forrás IP-címei a számítási csomópontok és/vagy egy számítási csomópont alhálózatának távoli eléréséhez a Linux többpéldányos feladatai esetében, amennyiben szükséges. N/A * Bármelyik 3389 (Windows), 22 (Linux) TCP Engedélyezés

Kimenő biztonsági szabályok

Forrás Forrásportok Cél Cél szolgáltatáscímkéje Célportok Protokoll Műveletek
Bármelyik * Szolgáltatáscímke Storage (regionális változat használata esetén, a Batch-fiókkal megegyező régióban) 443 TCP Engedélyezés
Bármelyik * Szolgáltatáscímke BatchNodeManagement (regionális változat használata esetén, a Batch-fiókkal megegyező régióban) 443 TCP Engedélyezés

Kimenő kapcsolatra BatchNodeManagement van szükség a Batch szolgáltatáshoz a számítási csomópontokról, például a Feladatkezelő-tevékenységekhez.

Készletek a Cloud Services konfigurációjában

Figyelmeztetés

Cloud Services konfigurációs készletek elavultak. Ehelyett használjon virtuálisgép-konfigurációs készleteket.

Támogatott virtuális hálózatok – Csak a klasszikus virtuális hálózatok

Alhálózati azonosító – Az alhálózat Batch API-kkal történő megadásakor használja az alhálózat erőforrás-azonosítóját. Az alhálózat azonosítója a következő formátumot követi:

/subscriptions/{subscription}/resourceGroups/{group}/providers/Microsoft.ClassicNetwork /virtualNetworks/{network}/subnets/{subnet}

Engedélyek – A Microsoft Azure Batch szolgáltatásnévnek rendelkeznie kell a Classic Virtual Machine Contributor megadott virtuális hálózat Azure-szerepkörével.

Network security groups (Hálózati biztonsági csoportok)

Az alhálózatnak engedélyeznie kell a Batch szolgáltatástól kiinduló bejövő kommunikációt, hogy képes legyen feladatok ütemezésére a számítási csomópontokon, illetve a kimenő kommunikációt, hogy kommunikálhasson az Azure Storage szolgáltatással vagy más erőforrásokkal.

Nem kell megadnia NSG-t, mert a Batch szolgáltatás csak a Batch IP-címeiről a készletezett csomópontokra érkező bejövő kommunikációt konfigurálja. Ugyanakkor ha a megadott alhálózathoz hálózati biztonsági csoportok (NSG-k) és/vagy egy tűzfal van társítva, a következő táblázatokban látható módon konfigurálja a bejövő és kimenő biztonsági szabályokat. Ha a megadott alhálózat számítási csomópontjaival való kommunikációt egy NSG megtagadja, a Batch szolgáltatás használhatatlanra állítja a számítási csomópontok állapotát.

Windows rendszer esetében csak akkor konfigurálja a bejövő forgalmat a 3389-es porton keresztül, ha engedélyeznie kell az RDP-hozzáférést a készletezett csomópontokhoz. Ez nem szükséges ahhoz, hogy a készletcsomópontok használhatóak legyenek.

Bejövő biztonsági szabályok

Forrás IP-címek Forrásportok Cél Célportok Protokoll Műveletek
Bármelyik

Bár ehhez tulajdonképpen „az összes engedélyezése” engedély szükséges, a Batch szolgáltatás minden egyes csomópont szintjén alkalmaz egy ACL-szabályt, amely kiszűri az összes olyan IP-címet, amely nem a Batch szolgáltatáshoz tartozik.		 * Bármelyik 10100, 20100, 30100 TCP Engedélyezés
Nem kötelező, a számítási csomópontokhoz való RDP-hozzáférés engedélyezésére szolgál. * Bármelyik 3389 TCP Engedélyezés

Kimenő biztonsági szabályok

Forrás Forrásportok Cél Célportok Protokoll Műveletek
Bármelyik * Bármelyik 443 Bármelyik Engedélyezés

Készlet létrehozása virtuális hálózattal a Azure Portal

Miután létrehozta a virtuális hálózatot, és hozzárendelt hozzá egy alhálózatot, ezzel a virtuális hálózattal létrehozhat egy Batch-készletet. Készlet létrehozásához kövesse az alábbi lépéseket a Azure Portal:

  1. Az Azure portálon lépjen Batch-fiókjára. Ennek a fióknak ugyanabban az előfizetésben és régióban kell lennie, mint a használni kívánt virtuális hálózatot tartalmazó erőforráscsoportnak.
  2. A bal oldali Gépház ablakban válassza a Készletek menüelemet.
  3. A Készletek ablakban válassza a Hozzáadás lehetőséget.
  4. A Készlet hozzáadása ablakban válassza ki a használni kívánt beállítást a Kép típusa legördülő listából.
  5. Válassza ki az egyéni rendszerkép megfelelő Publisher/ajánlatát/termékváltozatát.
  6. Adja meg a fennmaradó szükséges beállításokat, beleértve a csomópontméretet, a dedikált célcsomópontokat és a cél kihasználatlan/alacsony prioritású csomópontokat, valamint a kívánt választható beállításokat.
  7. A Virtual Network válassza ki a használni kívánt virtuális hálózatot és alhálózatot.
  8. A készlet létrehozásához kattintson az OK gombra .

Fontos

Ha egy készlet által használt alhálózatot próbál törölni, hibaüzenet jelenik meg. Az alhálózat törlése előtt az alhálózatot használó összes készletet törölni kell.

Felhasználó által megadott útvonalak kényszerített bújtatáshoz

Előfordulhat, hogy a szervezetében arra vonatkozó követelmények vonatkoznak, hogy az alhálózatról az internetre irányuló forgalmat visszairányítsa a helyszíni helyre ellenőrzés és naplózás céljából. Emellett lehetséges, hogy engedélyezte a kényszerített bújtatást a virtuális hálózat alhálózatai számára.

Ahhoz, hogy a készlet csomópontjai olyan virtuális hálózaton működjenek, amelyben engedélyezve van a kényszerített bújtatás, hozzá kell adnia a következő felhasználó által megadott útvonalakat (UDR) az alhálózathoz:

  • A Batch szolgáltatásnak kommunikálnia kell a csomópontokkal a tevékenységek ütemezéséhez. A kommunikáció engedélyezéséhez adjon hozzá egy UDR-t a Batch szolgáltatás által használt minden IP-címhez abban a régióban, ahol a Batch-fiók létezik. A Batch szolgáltatás IP-címei a BatchNodeManagement.<region> szolgáltatáscímkében találhatók. Az IP-címek listájának lekéréséhez tekintse meg a helyszíni szolgáltatáscímkéket.

  • Győződjön meg arról, hogy a helyszíni hálózat nem blokkolja a Azure Batch szolgáltatás felé irányuló kimenő TCP-forgalmat a 443-as célporton. Ezek a Azure Batch szolgáltatás cél IP-címei megegyeznek a BatchNodeManagement.<region> fenti útvonalakhoz használt szolgáltatáscímkével.

  • Győződjön meg arról, hogy az Azure Storage felé irányuló kimenő TCP-forgalmat a 443-as célporton (pontosabban az űrlap *.table.core.windows.net*.queue.core.windows.netURL-címei és *.blob.core.windows.net) a helyszíni hálózat nem blokkolja.

  • Ha virtuális fájlcsatlakoztatásokat használ, tekintse át a hálózati követelményeket , és győződjön meg arról, hogy nincs letiltva a szükséges forgalom.

UDR hozzáadásakor határozza meg az egyes kapcsolódó Batch IP-címelőtagok útvonalát, és állítsa a Következő ugrás típusátinternetre.

Figyelmeztetés

A Batch szolgáltatás IP-címei idővel módosulhatnak. Ha meg szeretné akadályozni az IP-címek módosítása miatti kimaradást, hozzon létre egy folyamatot, amellyel automatikusan frissítheti a Batch szolgáltatás IP-címeit, és naprakészen tarthatja őket az útvonaltáblában.

Következő lépések