Finance HPC Azure identity and access management

Questo articolo si basa su considerazioni e raccomandazioni definite nell'articolo Area di destinazione di Azure area di progettazione della zona di destinazione di Azure per la gestione delle identità e degli accessi. Seguendo le indicazioni contenute in questo articolo, è possibile usare le considerazioni e le raccomandazioni sulla progettazione della gestione delle identità e degli accessi per distribuire un'applicazione HPC (High Performance Computing) in Microsoft Azure per il settore finanziario.

Considerazioni relative alla progettazione

Quando si distribuisce l'applicazione HPC, tenere presenti le considerazioni di progettazione seguenti:

• Determinare l'amministrazione delle risorse di Azure richiesta da vari membri del team. Valutare la possibilità di fornire ai membri del team l'accesso con privilegi elevati di amministrazione delle risorse di Azure in un ambiente non di produzione.

  • Ad esempio, assegnare loro un ruolo di Collaboratore Macchina virtuale.
  • È anche possibile concedere ai membri del team l'accesso parzialmente con privilegi elevati di amministrazione, ad esempio un ruolo di Collaboratore macchina virtuale parziale in un ambiente di produzione. Entrambe le opzioni creano un buon equilibrio tra separazione dei compiti ed efficienza operativa.

• Esaminare le attività di amministrazione e gestione di Azure necessarie per eseguire i team. Prendere in considerazione l'ambiente HPC in Azure. Determinare la migliore distribuzione possibile delle responsabilità all'interno dell'organizzazione.

  Ecco le attività comuni di Azure per l'amministrazione e la gestione.

  Risorsa di Azure	Provider di risorse di Azure	Attività
  Macchina virtuale (VM)	Microsoft.Compute/virtualMachines	Avviare, arrestare, riavviare, deallocare, distribuire, ridistribuire, modificare e ridimensionare le macchine virtuali. Gestire estensioni, set di disponibilità e gruppi di posizionamento di prossimità.
  Macchine virtuali	Microsoft.Compute/disks	Leggere e scrivere su disco.
  Storage	Microsoft.Storage	Leggere e apportare modifiche agli account di archiviazione, ad esempio un account di archiviazione di diagnostica di avvio.
  Storage	Microsoft.NetApp	Leggere e apportare modifiche ai pool di capacità e ai volumi netApp.
  Storage	Microsoft.NetApp	Creare snapshot di Azure NetApp Files.
  Storage	Microsoft.NetApp	Usare la replica tra aree di Azure NetApp Files.
  Rete	Microsoft.Network/networkInterfaces	Leggere, creare e modificare le interfacce di rete.
  Rete	Microsoft.Network/loadBalancers	Leggere, creare e modificare i servizi di bilanciamento del carico.
  Rete	Microsoft.Network/networkSecurityGroups	Leggere i gruppi di sicurezza di rete.
  Rete	Microsoft.Network/azureFirewalls	Leggere i firewall.
  Rete	Microsoft.Network/virtualNetworks	Leggere, creare e modificare le interfacce di rete. Prendere in considerazione l'accesso pertinente necessario per il gruppo di risorse della rete virtuale e l'accesso correlato, se è diverso dal gruppo di risorse delle macchine virtuali.

• Prendere in considerazione il servizio Microsoft usato: Azure CycleCloud, Azure Batch o un ambiente ibrido con macchine virtuali HPC nel cloud.

Consigli

• Se si usa Azure CycleCloud, esistono tre metodi di autenticazione: un database predefinito con crittografia, Microsoft Entra ID o Ldap (Lightweight Directory Access Protocol). Per altre informazioni, vedere Autenticazione utente. Per altre informazioni sulle entità servizio in Azure CycleCloud, vedere Uso delle entità servizio.
• Se si usa Batch, è possibile eseguire l'autenticazione con Microsoft Entra ID tramite due metodi diversi: l'autenticazione integrata o un'entità servizio. Per altre informazioni su come usare questi approcci diversi, vedere Autenticazione di Azure Batch. Se si usa la modalità di sottoscrizione utente e non la modalità del servizio Batch, concedere l'accesso a Batch in modo che possa accedere alla sottoscrizione. Per altre informazioni, vedere Consentire a Batch di accedere alla sottoscrizione.
• Se si vogliono estendere le funzionalità locali a un ambiente ibrido, è possibile eseguire l'autenticazione tramite Active Directory con un controller di dominio di sola lettura ospitato in Azure. Questo approccio riduce al minimo il traffico attraverso il collegamento. Questa integrazione consente agli utenti di usare le credenziali esistenti per accedere a servizi e applicazioni connessi al dominio gestito. È anche possibile usare gruppi e account utente esistenti per proteggere l'accesso alle risorse. Queste funzionalità offrono una modalità lift-and-shift più fluida delle risorse locali in Azure.

Per altre informazioni, vedere Indicazioni sulla progettazione per l'accesso alla piattaforma e l'identità e l'accesso di Azure per le zone di destinazione.

Passaggi successivi

Gli articoli seguenti forniscono indicazioni per varie fasi del processo di adozione del cloud. Queste risorse consentono di adottare ambienti HPC del settore finanziario per il cloud.

• Offerte di fatturazione di Azure e tenant di Active Directory
• Gestione delle identità e degli accessi
• Gestione
• Automazione della piattaforma e DevOps
• Organizzazione delle risorse
• Governance
• Sicurezza
• Storage
• Acceleratore di zona di destinazione HPC