Egyszerűsített csomópont-kommunikációs készlet létrehozása nyilvános IP-címek nélkül

Feljegyzés

Ez az Azure Batch-készlet korábbi előzetes verzióját váltja fel nyilvános IP-címek nélkül. Ehhez az új verzióhoz egyszerűsített számításicsomópont-kommunikációt kell használni.

Fontos

A nyilvános IP-címek nélküli készletek támogatása az Azure Batchben jelenleg egyes régiókban érhető el.

Azure Batch-készlet létrehozásakor nyilvános IP-cím nélkül építheti ki a virtuális gép konfigurációs készletét. Ez a cikk azt ismerteti, hogyan állíthat be Batch-készletet nyilvános IP-címek nélkül.

Miért érdemes nyilvános IP-címek nélküli készletet használni?

Alapértelmezés szerint az Azure Batch virtuális gépek konfigurációs készleteiben lévő számítási csomópontok nyilvános IP-címet használnak. Ezt a címet a Batch szolgáltatás használja az internethez való kimenő hozzáférés, valamint a számítási csomópontok internetes bejövő elérésének támogatására.

A csomópontokhoz való hozzáférés korlátozásához és a csomópontok internetről való felderíthetőségének csökkentéséhez nyilvános IP-címek nélkül is kiépítheti a készletet.

Előfeltételek

Fontos

Az előfeltételek megváltoztak a funkció korábbi előzetes verziójától. A folytatás előtt mindenképpen ellenőrizze az egyes elemek módosításait.

• Egyszerűsített számítási csomópont-kommunikáció használata. További információ: Egyszerűsített számítási csomópont-kommunikáció használata.

• A Batch-ügyfél API-nak Microsoft Entra-hitelesítést kell használnia. A Microsoft Entra ID Azure Batch-támogatása dokumentálva van a Batch-szolgáltatásmegoldások Active Directoryval való hitelesítésében.

• Hozza létre a készletet egy Azure-beli virtuális hálózaton (VNet), kövesse ezeket a követelményeket és konfigurációkat. Ha előre szeretne előkészíteni egy vagy több alhálózattal rendelkező virtuális hálózatot, használhatja az Azure Portalt, az Azure PowerShellt, az Azure Parancssori felületet (Azure CLI) vagy más módszereket.

  • A virtuális hálózatnak a Batch-fiókkal megegyező előfizetésben és régióban kell lennie.

  • A készlethez meghatározott alhálózatnak elegendő hozzá nem rendelt IP-címmel kell rendelkeznie ahhoz, hogy helyet tudjon adni a készlethez kijelölt számú virtuális gépnek. Ez a szám a készlet targetDedicatedNodes és targetLowPriorityNodes tulajdonságának összege. Ha az alhálózaton nincs elegendő hozzá nem rendelt IP-cím, akkor a készlet részlegesen lefoglalja a számítási csomópontokat, és átméretezési hiba következik be.

  • Ha magánvégpontot szeretne használni, és a virtuális hálózatban engedélyezve van a privát végpont hálózati házirendje , győződjön meg arról, hogy a TCP/443-tal a privát végpontot üzemeltető alhálózat felé irányuló bejövő kapcsolatot engedélyezni kell a Batch-készlet alhálózatáról.

• Kimenő hozzáférés engedélyezése a Batch-csomópontok kezeléséhez. A nyilvános IP-címekkel nem rendelkező készletekben alapértelmezés szerint nincs engedélyezve az internetes kimenő hozzáférés. Az alábbi lehetőségek közül választva engedélyezheti a számítási csomópontok számára a Batch csomópontkezelési szolgáltatás elérését (lásd: Egyszerűsített számítási csomópont-kommunikáció használata):

  • Használja a nodeManagement privát végpontot Batch-fiókokkal, amely privát hozzáférést biztosít a Batch csomópontkezelési szolgáltatáshoz a virtuális hálózatról. Ez a megoldás az előnyben részesített módszer.

  • Másik lehetőségként biztosítson saját internetes kimenő hozzáférés-támogatást (lásd : Kimenő internet-hozzáférés).

Fontos

A Batch-fiókokkal rendelkező privát végpontokhoz két alerőforrás áll rendelkezésre. Használja a nodeManagement privát végpontot a Batch-készlethez nyilvános IP-címek nélkül. További részletekért tekintse meg a Privát végpontok használata Azure Batch-fiókokkal című témakört.

Jelenlegi korlátozások

1. A nyilvános IP-címekkel nem rendelkező készleteknek nem a Cloud Services konfigurációját, hanem a virtuális gép konfigurációját kell használniuk.
2. A Batch számítási csomópontok egyéni végpontkonfigurációja nem működik nyilvános IP-címek nélküli készletekkel.
3. Mivel nincsenek nyilvános IP-címek, nem használhatja a saját megadott nyilvános IP-címeit ilyen típusú készlettel.
4. A Batch-tevékenység feladathitelesítési jogkivonata nem támogatott. A megkerülő megoldás a Batch-készlet felügyelt identitásokkal való használata.

Nyilvános IP-címek nélküli készlet létrehozása az Azure Portalon

1. Szükség esetén hozzon létre nodeManagement privát végpontot a virtuális hálózaton lévő Batch-fiókjához (az előfeltételekben tekintse meg a kimenő hozzáférési követelményt).
2. Az Azure portálon lépjen Batch-fiókjára.
3. A bal oldali Gépház ablakban válassza a Készletek lehetőséget.
4. A Készletek ablakban válassza a Hozzáadás lehetőséget.
5. A Készlet hozzáadása ablakban válassza ki a használni kívánt beállítást a Képtípus legördülő listában.
6. Válassza ki a kép megfelelő közzétevőjét/ajánlatát/termékváltozatát .
7. Adja meg a fennmaradó szükséges beállításokat, beleértve a csomópont méretét, a dedikált célcsomópontokat és a célhelyi/alacsony prioritású csomópontokat.
8. Csomópontkommunikációs mód esetén válassza az Egyszerűsített lehetőséget az Opcionális Gépház területen.
9. Válasszon ki egy használni kívánt virtuális hálózatot és alhálózatot. Ennek a virtuális hálózatnak ugyanabban a helyen kell lennie, mint a létrehozott készletnek.
10. Az IP-cím kiépítési típusában válassza a NoPublicIPAddresses lehetőséget.

Az alábbi képernyőkép azokat az elemeket mutatja be, amelyeket módosítani kell a nyilvános IP-címek nélküli készlet létrehozásához.

Nyilvános IP-címek nélküli készlet létrehozása a Batch REST API használatával

Az alábbi példa bemutatja, hogyan hozhat létre nyilvános IP-címeket használó készletet a Batch Service REST API használatával.

REST API URI

POST {batchURL}/pools?api-version=2022-10-01.16.0
client-request-id: 00000000-0000-0000-0000-000000000000

Kérés törzse

"pool": {
     "id": "pool-npip",
     "vmSize": "standard_d2s_v3",
     "virtualMachineConfiguration": {
          "imageReference": {
               "publisher": "Canonical",
               "offer": "0001-com-ubuntu-server-jammy",
               "sku": "22_04-lts"
          },
          "nodeAgentSKUId": "batch.node.ubuntu 22.04"
     },
     "networkConfiguration": {
          "subnetId": "/subscriptions/<your_subscription_id>/resourceGroups/<your_resource_group>/providers/Microsoft.Network/virtualNetworks/<your_vnet_name>/subnets/<your_subnet_name>",
          "publicIPAddressConfiguration": {
               "provision": "NoPublicIPAddresses"
          }
     },
     "resizeTimeout": "PT15M",
     "targetDedicatedNodes": 2,
     "targetLowPriorityNodes": 0,
     "taskSlotsPerNode": 1,
     "taskSchedulingPolicy": {
          "nodeFillType": "spread"
     },
     "enableAutoScale": false,
     "enableInterNodeCommunication": false,
     "targetNodeCommunicationMode": "simplified"
}

Nyilvános IP-címek nélküli készlet létrehozása ARM-sablonnal

Ezzel az Azure gyorsútmutató-sablonnal nyilvános IP-címek nélküli készletet hozhat létre az Azure Resource Manager (ARM) sablon használatával.

A sablon a következő erőforrásokat helyezi üzembe:

• Azure Batch-fiók IP-tűzfallal, amely a Batch csomópontkezelési végpont nyilvános hálózati hozzáférésének letiltására van konfigurálva
• Virtuális hálózat hálózati biztonsági csoporttal az internetes kimenő hozzáférés letiltásához
• Privát végpont a fiók Batch-csomópontkezelési végpontjának eléréséhez
• A privát végpont DNS-integrációja a virtuális hálózathoz társított privát DNS-zónával
• A virtuális hálózaton üzembe helyezett Batch-készlet nyilvános IP-címek nélkül

Ha ismeri az ARM-sablonok használatát, válassza az Üzembe helyezés az Azure-ban gombot. A sablon az Azure Portalon fog megnyílni.

Feljegyzés

Ha a privát végpont üzembe helyezése érvénytelen groupId "nodeManagement" miatt meghiúsult, ellenőrizze, hogy a régió szerepel-e az egyszerűsített számítási csomópontok kommunikációjának támogatott listájában. Válassza ki a megfelelő régiót, majd próbálkozzon újra az üzembe helyezéssel.

Kimenő internet-hozzáférés

Nyilvános IP-címekkel nem rendelkező készletben a virtuális gépek csak akkor férhetnek hozzá a nyilvános internethez, ha megfelelően konfigurálja a hálózati beállításokat, például a virtuális hálózati NAT használatával. A NAT csak a virtuális hálózat virtuális gépeiről engedélyezi az internethez való kimenő hozzáférést. A Batch által létrehozott számítási csomópontok nem lesznek nyilvánosan hozzáférhetők, mivel nincsenek hozzárendelve nyilvános IP-címek.

A kimenő kapcsolat biztosításának másik módja a felhasználó által megadott útvonal (UDR) használata. Ezzel a módszerrel a forgalmat egy nyilvános internet-hozzáféréssel rendelkező proxygépre irányíthatja, például az Azure Firewallra.

Fontos

Nincs külön hálózati erőforrás (terheléselosztó, hálózati biztonsági csoport) az egyszerűsített csomópontkommunikációs készletekhez nyilvános IP-címek nélkül. Mivel a készlet számítási csomópontjai nincsenek terheléselosztóhoz kötve, az Azure alapértelmezett kimenő hozzáférést biztosíthat. Az alapértelmezett kimenő hozzáférés azonban nem alkalmas éles számítási feladatokhoz, és 2025. szeptember 30-án megszűnik (lásd a hivatalos közleményt). Így ha a számítási feladatokhoz nem szükséges az internet kimenő elérése, vagy a készlet nem használ privát végpontot a Batch csomópontkezelési végpontjának eléréséhez, saját megoldást kell biztosítania az internetkapcsolat kimenő elérésének engedélyezéséhez.

Hibaelhárítás

Használhatatlan számítási csomópontok a Batch-készletben

Ha a számítási csomópontok használhatatlan állapotba kerülnek egy Nyilvános IP-cím nélküli Batch-készletben, az első és legfontosabb ellenőrzés a Batch csomópontkezelési szolgáltatáshoz való kimenő hozzáférés ellenőrzése. Megfelelően kell konfigurálni, hogy a számítási csomópontok kapcsolódhassanak a szolgáltatáshoz a virtuális hálózatról.

A nodeManagement privát végpontjának használata

Ha a Batch-fiókhoz létrehozott csomópontkezelési privát végpontot a virtuális hálózaton:

• Ellenőrizze, hogy a privát végpont a megfelelő virtuális hálózaton, sikeres üzembe helyezési állapotban és Jóváhagyott állapotban van-e létrehozva.
• Ellenőrizze, hogy a DNS-konfiguráció megfelelően van-e beállítva a Batch-fiók csomópontkezelési végpontjához:
  • Ha a privát végpont automatikus privát DNS-zónaintegrációval jön létre, ellenőrizze, hogy az A DNS-rekord megfelelően van-e konfigurálva a privát DNS-zónában privatelink.batch.azure.com, és a zóna a virtuális hálózathoz van csatolva.
  • Ha saját DNS-megoldást használ, győződjön meg arról, hogy a Batch-csomópont felügyeleti végpontjának DNS-rekordja megfelelően van konfigurálva, és a privát végpont IP-címére mutat.
• Ellenőrizze a fiók Batch-csomópontkezelési végpontjának DNS-feloldását. Ezt a virtuális hálózaton belüli futtatással nslookup <nodeManagementEndpoint> ellenőrizheti, és a DNS-nevet a privát végpont IP-címére kell feloldani.
• Ha a virtuális hálózatban engedélyezve van a privát végpont hálózati házirendje , ellenőrizze az NSG-t és az UDR-t a Batch-készlet és a privát végpont alhálózatainál. A TCP/443-tal a privát végpontot üzemeltető alhálózat felé irányuló bejövő kapcsolatot engedélyezni kell a Batch-készlet alhálózatából.
• A Batch-készlet alhálózatán futtassa a TCP-pinget a csomópontkezelési végponthoz az alapértelmezett HTTPS-port (443) használatával. Ez a mintavétel képes megállapítani, hogy a privát kapcsolat kapcsolat a várt módon működik-e.

# Windows
Test-TcpConnection -ComputeName <nodeManagementEndpoint> -Port 443
# Linux
nc -v <nodeManagementEndpoint> 443

Ha a TCP-ping meghiúsul (például időtúllépés), az általában a privát kapcsolat kapcsolatával kapcsolatos probléma, és ezzel a privát végponterőforrással Azure-támogatás jegyet is létrehozhat. Ellenkező esetben ez a csomópont használhatatlan hibája normál Batch-készletként okozhat problémát, és támogatási jegyet is létrehozhat a Batch-fiókjával.

Saját kimenő internetes megoldás használata

Ha privát végpont helyett saját kimenő internetes megoldást használ, futtassa a TCP-pinget a csomópontkezelési végponton. Ha nem működik, ellenőrizze, hogy a kimenő hozzáférés megfelelően van-e konfigurálva az egyszerűsített számítási csomópont-kommunikáció részletes követelményeinek követésével.

Csatlakozás számítási csomópontokhoz

A Batch-készletben nyilvános IP-címek nélkül nincs internetkapcsolat a számítási csomópontokhoz. A számítási csomópontok hibakereséshez való eléréséhez csatlakoznia kell a virtuális hálózaton belülről:

• Használjon jumpbox gépet a virtuális hálózaton belül, majd onnan csatlakozzon a számítási csomópontokhoz.
• Vagy próbálkozzon más távoli kapcsolati megoldásokkal, például az Azure Bastion használatával:
  • Hozzon létre Bastiont a virtuális hálózaton, amelyen engedélyezve van az IP-alapú kapcsolat .
  • A Bastion használatával csatlakozzon a számítási csomóponthoz az IP-címével.

A batch-készletben lévő cél számítási csomópont felhasználói hitelesítő adatainak és IP-címének lekéréséhez kövesse a számítási csomópontokra vonatkozó Csatlakozás útmutatót.

Migrálás a Nem nyilvános IP-készletek korábbi előzetes verziójából

Olyan meglévő készletek esetében, amelyek az Azure Batch No Public IP-készlet korábbi előzetes verzióját használják, csak virtuális hálózaton létrehozott készletek migrálhatóak.

1. Hozzon létre egy privát végpontot a Batch-csomópontok kezeléséhez a virtuális hálózaton.
2. Frissítse a készlet csomópontkommunikációs módját egyszerűbbé.
3. Skálázza le a készletet nulla csomópontra.
4. Skálázza fel újra a készletet. A készlet ezután automatikusan át lesz migrálva az új verzióra.

Következő lépések

• Megtudhatja, hogyan használhatja az egyszerűsített számítási csomópont-kommunikációt.
• További információ a készletek virtuális hálózaton való létrehozásáról.
• Megtudhatja, hogyan használhat privát végpontokat Batch-fiókokkal.