Az Azure-előfizetés konfigurálása
Az Azure CycleCloud futtatásához érvényes Azure-előfizetésre és Virtual Network lesz szüksége.
Az Azure-bérlők és -előfizetések létrehozásával és konfigurálásával kapcsolatos döntések általában olyan üzleti döntések, amelyek kívül esik az Azure CycleCloud dokumentációjának hatókörén. Mivel azonban a HPC és a nagy számítási alkalmazások általában erőforrás-igényesek, érdemes megfontolni egy dedikált előfizetés létrehozását a számlázás nyomon követéséhez, a használati korlátok alkalmazásához, valamint az erőforrás- és API-használat elkülönítéséhez. Az Azure-bérlők és -előfizetések tervezésével kapcsolatos további információkért lásd az Azure-előfizetések kezelését.
Virtuális hálózat konfigurálása
Ki kell választania egy meglévő Azure-Virtual Network és alhálózatot, vagy létre kell hoznia egy új Virtual Network, amelyben futtathatja a CycleCloud virtuális gépet és a CycleCloud által felügyelt számítási fürtöket.
Ha a Virtual Network még nem hozta létre, érdemes megfontolnia a CycleCloud ARM-sablon megadott üzembe helyezésének megkezdését. A CycleCloud ARM-sablon egy új virtuális hálózatot hoz létre a CycleCloud és a számítási fürtök számára az üzembe helyezéskor. Másik lehetőségként ezeket az utasításokat követve létrehozhat egy új Virtual Network.
Ezután, ha az Express Route vagy a VPN még nincs konfigurálva a Virtual Network, a nyilvános interneten keresztül is csatlakozhat a Virtual Network, de erősen ajánlott VPN Gateway konfigurálni.
Alhálózat és hálózati biztonsági csoport konfigurálása
Mivel a CycleCloud általában eltérő hálózati biztonsági követelményekkel és hozzáférési szabályzatokkal rendelkezik, mint a számítási fürtök, gyakran ajánlott az Azure CycleCloudot a fürtöktől eltérő Azure-alhálózaton futtatni.
Az ajánlott eljárás legalább két alhálózat használata – az egyik a CycleCloud virtuális géphez, a másik pedig az azonos hozzáférési szabályzatokkal rendelkező többi virtuális géphez, valamint további alhálózatok a számítási fürtökhöz. Ne feledje azonban, hogy nagy fürtök esetén az alhálózat IP-tartománya korlátozó tényezővé válhat. Tehát általában a CycleCloud alhálózatnak egy kis CIDR-tartományt kell használnia, és a számítási alhálózatoknak nagynak kell lenniük.
Az itt található utasításokat követve hozzon létre egy vagy több alhálózatot a Virtual Network.
Több alhálózat használata a számításhoz
A CycleCloud-fürtök úgy konfigurálhatók, hogy több alhálózaton futtassanak csomópontokat és csomópontokat mindaddig, amíg az összes virtuális gép képes kommunikálni a fürtön belül és a CycleClouddal (esetleg return proxyn keresztül). Gyakran hasznos például az ütemező csomópont vagy a küldő csomópontok indítása egy alhálózaton, amely a végrehajtási csomópontoktól eltérő biztonsági szabályokkal rendelkezik. A CycleCloud alapértelmezett fürttípusai egyetlen alhálózatot feltételeznek a teljes fürt számára, de az alhálózat csomópontonként vagy csomópontonként konfigurálható a SubnetId
csomópontsablon attribútumával.
A CycleCloud-fürtökre alkalmazott alapértelmezett gazdagépfájl-alapú gazdagépnévfeloldás azonban alapértelmezés szerint csak egy gazdagépfájlt hoz létre a csomópont alhálózatához. Így több alhálózatra kiterjedő fürt létrehozásakor a gazdagépnév felbontását is testre kell szabni a fürthöz.
Több számítási alhálózat támogatásához két alapvető fürtsablon-módosítás szükséges:
- Állítsa be az
SubnetId
attribútumot minden olyan csomóponton vagy csomóponton, amely nem a fürt alapértelmezett alhálózatán található. - Konfigurálja a gazdagépnév feloldását az összes alhálózathoz a következők egyikével:
- Azure DNS-zóna használata és az alapértelmezett gazdagépfájl-alapú feloldás letiltása
- Vagy állítsa be az
CycleCloud.hosts.standalone_dns.subnets
attribútumot a virtuális hálózat CIDR-tartományára, vagy az egyes alhálózatok CIDR-tartományainak vesszővel tagolt listájára. A részletekért tekintse meg a csomópont konfigurációs referenciáját .
A CycleCloud alhálózat hálózati biztonságicsoport-beállításai
Az Azure-Virtual Network konfigurálása a biztonság érdekében egy átfogó témakör, amely jóval túlmutat a jelen dokumentum hatókörén.
A CycleCloud- és CycleCloud-fürtök nagyon zárolt környezetekben működhetnek. A konfiguráció részleteiért lásd : Futtatás zárolt hálózatokban és Futtatás proxy mögött .
A kevésbé korlátozó hálózatok esetében azonban van néhány általános irányelv. Először is, a CycleCloud grafikus felhasználóinak HTTPS-kapcsolaton keresztül kell hozzáférnie a CycleCloud virtuális géphez, és a rendszergazdáknak SSH-hozzáférésre lehet szükségük. A fürt felhasználóinak általában SSH-hozzáférésre van szükségük legalább a számítási fürtök beküldési csomópontjaihoz, és potenciálisan más hozzáféréshez, például a Windows-fürtök RDP-hez. Az utolsó általános szabály a minimálisan szükséges hozzáférés korlátozása.
Ha új hálózati biztonsági csoportot szeretne létrehozni a fent létrehozott alhálózatokhoz, kövesse az útmutatót egy hálózati biztonsági csoport létrehozásához.
Bejövő biztonsági szabályok
Fontos
Az alábbi szabályok feltételezik, hogy a virtuális hálózat expressz útvonallal vagy VPN-nel van konfigurálva a magánhálózati hozzáféréshez. Ha a nyilvános interneten keresztül fut, a forrást a nyilvános IP-címre vagy a vállalati IP-címtartományra kell módosítani.
CycleCloud virtuális gép alhálózata
Név | Prioritás | Forrás | Szolgáltatás | Protokoll | Porttartomány |
---|---|---|---|---|---|
SSH | 100 | VirtualNetwork | Egyéni | TCP | 22 |
HTTPS | 110 | VirtualNetwork | Egyéni | TCP | 443 |
HTTPS | 110 | VirtualNetwork | Egyéni | TCP | 9443 |
Számítási alhálózatok
Név | Prioritás | Forrás | Szolgáltatás | Protokoll | Porttartomány |
---|---|---|---|---|---|
SSH | 100 | VirtualNetwork | Egyéni | TCP | 22 |
RDP | 110 | VirtualNetwork | Egyéni | TCP | 3389 |
Ganglionok | 120 | VirtualNetwork | Egyéni | TCP | 8652 |
Kimenő biztonsági szabályok
Általánosságban elmondható, hogy a CycleCloud virtuális gép és a számítási fürtök várhatóan hozzáférhetnek az internethez a csomagtelepítéshez és az Azure REST API-hívásokhoz.
Ha a biztonsági szabályzat blokkolja a kimenő internet-hozzáférést, a konfigurációs részletekért kövesse a Zárolt hálózatokban való futtatás és a Proxy mögött futtatás című útmutatót.