Vereisten voor Azure HPC Cache

Voordat u een nieuwe Azure HPC Cache maakt, moet u ervoor zorgen dat uw omgeving aan deze vereisten voldoet.

Azure-abonnement

Een betaald abonnement wordt aanbevolen.

Netwerkinfrastructuur

Deze netwerkgerelateerde vereisten moeten worden ingesteld voordat u uw cache kunt gebruiken:

• Een toegewezen subnet voor het Azure HPC Cache-exemplaar
• DNS-ondersteuning zodat de cache toegang heeft tot opslag en andere resources
• Toegang vanaf het subnet tot aanvullende Microsoft Azure-infrastructuurservices, waaronder NTP-servers en de Azure Queue Storage-service.

Cachesubnet

De Azure HPC Cache heeft een toegewezen subnet nodig met deze kwaliteiten:

• Het subnet moet ten minste 64 IP-adressen beschikbaar hebben.
• Communicatie binnen het subnet moet onbeperkt zijn. Als u een netwerkbeveiligingsgroep gebruikt voor het cachesubnet, moet u ervoor zorgen dat alle services tussen interne IP-adressen zijn toegeslagen.
• Het subnet kan geen andere VM's hosten, zelfs voor gerelateerde services zoals clientcomputers.
• Als u meerdere Exemplaren van Azure HPC Cache gebruikt, heeft elke instantie een eigen subnet nodig.

De aanbevolen procedure is om voor elke cache een nieuw subnet te maken. U kunt een nieuw virtueel netwerk en subnet maken als onderdeel van het maken van de cache.

Wanneer u dit subnet maakt, moet u ervoor zorgen dat de beveiligingsinstellingen toegang bieden tot de benodigde infrastructuurservices die verderop in deze sectie worden genoemd. U kunt de uitgaande internetverbinding beperken, maar zorg ervoor dat er uitzonderingen zijn voor de items die hier worden beschreven.

DNS-toegang

De cache heeft DNS nodig voor toegang tot resources buiten het virtuele netwerk. Afhankelijk van de resources die u gebruikt, moet u mogelijk een aangepaste DNS-server instellen en doorsturen tussen die server en Azure DNS-servers configureren:

• Voor toegang tot Azure Blob Storage-eindpunten en andere interne resources hebt u de OP Azure gebaseerde DNS-server nodig.
• Voor toegang tot on-premises opslag moet u een aangepaste DNS-server configureren waarmee uw opslaghostnamen kunnen worden omgezet. U moet dit doen voordat u de cache maakt.

Als u alleen Blob Storage gebruikt, kunt u de standaard door Azure geleverde DNS-server voor uw cache gebruiken. Als u echter toegang nodig hebt tot opslag of andere resources buiten Azure, moet u een aangepaste DNS-server maken en deze configureren om aanvragen voor azure-specifieke omzetting door te sturen naar de Azure DNS-server.

Als u een aangepaste DNS-server wilt gebruiken, moet u deze installatiestappen uitvoeren voordat u uw cache maakt:

• Maak het virtuele netwerk dat als host fungeert voor de Azure HPC Cache.

• Maak de DNS-server.

• Voeg de DNS-server toe aan het virtuele netwerk van de cache.

  Volg deze stappen om de DNS-server toe te voegen aan het virtuele netwerk in Azure Portal:

  1. Open het virtuele netwerk in Azure Portal.
  2. Kies DNS-servers in het menu Instellingen in de zijbalk.
  3. Aangepast selecteren
  4. Voer het IP-adres van de DNS-server in het veld in.

Een eenvoudige DNS-server kan ook worden gebruikt om clientverbindingen te verdelen over alle beschikbare cachekoppelingspunten.

Meer informatie over virtuele Azure-netwerken en DNS-serverconfiguraties in naamomzetting voor resources in virtuele Azure-netwerken.

NTP-toegang

De HPC Cache heeft toegang nodig tot een NTP-server voor regelmatige bewerking. Als u uitgaand verkeer van uw virtuele netwerken beperkt, moet u verkeer naar ten minste één NTP-server toestaan. De standaardserver is time.windows.com en de cache neemt contact op met deze server op UDP-poort 123.

Maak een regel in de netwerkbeveiligingsgroep van uw cachenetwerk die uitgaand verkeer naar uw NTP-server toestaat. De regel kan gewoon al het uitgaande verkeer op UDP-poort 123 toestaan of meer beperkingen hebben.

In dit voorbeeld wordt uitgaand verkeer expliciet naar het IP-adres 168.61.215.74 geopend. Dit is het adres dat wordt gebruikt door time.windows.com.

Prioriteit	Name	Poort	Protocol	Bron	Doel	Actie
200	NTP	Alle	UDP	Alle	168.61.215.74	Toestaan

Zorg ervoor dat de NTP-regel een hogere prioriteit heeft dan regels die uitgaande toegang breed weigeren.

Meer tips voor NTP-toegang:

• Als u firewalls hebt tussen uw HPC Cache en de NTP-server, moet u ervoor zorgen dat deze firewalls ook NTP-toegang toestaan.

• U kunt configureren welke NTP-server uw HPC-cache gebruikt op de pagina Netwerken . Lees Aanvullende instellingen configureren voor meer informatie.

Toegang tot Azure Queue Storage

De cache moet veilig toegang hebben tot de Azure Queue Storage-service vanuit het toegewezen subnet. Azure HPC Cache maakt gebruik van de wachtrijservice bij het communiceren van configuratie- en statusgegevens.

Als de cache geen toegang heeft tot de wachtrijservice, ziet u mogelijk het bericht Cache Verbinding maken ivityError bij het maken van de cache.

Er zijn twee manieren om toegang te bieden:

• Maak een Azure Storage-service-eindpunt in uw cachesubnet. Lees Een subnet van een virtueel netwerk toevoegen voor instructies voor het toevoegen van het Microsoft.Storage-service-eindpunt .

• Configureer de toegang tot het Azure Storage Queue Service-domein in uw netwerkbeveiligingsgroep of andere firewalls afzonderlijk.

  Regels toevoegen om toegang op deze poorten toe te staan:

  • TCP-poort 443 voor veilig verkeer naar een host in het domein queue.core.windows.net (*.queue.core.windows.net).

  • TCP-poort 80- wordt gebruikt voor verificatie van het certificaat aan de serverzijde. Dit wordt ook wel CRL-controle (Certificaatintrekkingslijst) en OCSP-communicatie (Online Certificate Status Protocol) genoemd. Alle *.queue.core.windows.net gebruikt hetzelfde certificaat en dus dezelfde CRL/OCSP-servers. De hostnaam wordt opgeslagen in het SSL-certificaat aan de serverzijde.

  Raadpleeg de tips voor beveiligingsregels in NTP-toegang voor meer informatie.

  Met deze opdracht worden de CRL- en OSCP-servers vermeld die toegang moeten hebben. Deze servers moeten worden omgezet door DNS en bereikbaar zijn op poort 80 vanuit het cachesubnet.

  
  openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
  
  

  De uitvoer ziet er ongeveer als volgt uit en kan worden gewijzigd als het SSL-certificaat wordt bijgewerkt:

  OCSP - URI:http://ocsp.msocsp.com
  CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
  CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
  

U kunt de connectiviteit van het subnet controleren met behulp van deze opdracht vanaf een test-VM in het subnet:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

Een geslaagde verbinding geeft dit antwoord:

OCSP Response Status: successful (0x0)

Toegang tot gebeurtenisserver

Azure HPC Cache maakt gebruik van Azure Event Server-eindpunten om de cachestatus te bewaken en diagnostische gegevens te verzenden.

Zorg ervoor dat de cache veilig toegang heeft tot hosts in het domein events.data.microsoft.com: open TCP-poort 443 voor verkeer naar *.events.data.microsoft.com.

Bevoegdheden

Controleer deze machtigingsvereisten voordat u begint met het maken van uw cache.

• Het cache-exemplaar moet virtuele netwerkinterfaces (NIC's) kunnen maken. De gebruiker die de cache maakt, moet voldoende bevoegdheden hebben in het abonnement om NIC's te maken.

• Als u Blob Storage gebruikt, heeft Azure HPC Cache autorisatie nodig voor toegang tot uw opslagaccount. Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om de cache toegang te geven tot uw Blob-opslag. Er zijn twee rollen vereist: Inzender voor opslagaccounts en Inzender voor opslagblobgegevens.

  Volg de instructies in Opslagdoelen toevoegen om de rollen toe te voegen.

Opslaginfrastructuur

De cache ondersteunt Azure Blob-containers, NFS-hardwareopslagexports en NFS-gekoppelde ADLS-blobcontainers. Voeg opslagdoelen toe nadat u de cache hebt gemaakt.

Elk opslagtype heeft specifieke vereisten.

Vereisten voor Blob Storage

Als u Azure Blob Storage wilt gebruiken met uw cache, hebt u een compatibel opslagaccount nodig en een lege Blob-container of een container die is gevuld met gegevens in Azure HPC Cache-indeling, zoals beschreven in Gegevens verplaatsen naar Azure Blob-opslag.

Notitie

Er zijn verschillende vereisten van toepassing op NFS-gekoppelde blobopslag. Lees ADLS-NFS-opslagvereisten voor meer informatie.

Maak het account voordat u een opslagdoel probeert toe te voegen. U kunt een nieuwe container maken wanneer u het doel toevoegt.

Als u een compatibel opslagaccount wilt maken, gebruikt u een van deze combinaties:

Prestaties	Type	Replicatie	Toegangslaag
Standaard	StorageV2 (algemeen gebruik v2)	Lokaal redundante opslag (LRS) of zone-redundante opslag (ZRS)	Heet
Premium	Blok-blobs	Lokaal redundante opslag (LRS)	Heet

Het opslagaccount moet toegankelijk zijn vanuit het privésubnet van uw cache. Als uw account gebruikmaakt van een privé-eindpunt of een openbaar eindpunt dat is beperkt tot specifieke virtuele netwerken, moet u toegang inschakelen vanuit het subnet van de cache. (Een openbaar open eindpunt wordt niet aanbevolen.)

Lees Werk met privé-eindpunten voor tips over het gebruik van privé-eindpunten met HPC Cache-opslagdoelen.

Het is raadzaam om een opslagaccount te gebruiken in dezelfde Azure-regio als uw cache.

U moet de cachetoepassing ook toegang geven tot uw Azure-opslagaccount, zoals vermeld in machtigingen hierboven. Volg de procedure in Opslagdoelen toevoegen om de cache de vereiste toegangsrollen te geven. Als u niet de eigenaar van het opslagaccount bent, moet u deze stap uitvoeren.

NFS-opslagvereisten

Als u een NFS-opslagsysteem gebruikt (bijvoorbeeld een on-premises hardware NAS-systeem), moet u ervoor zorgen dat het voldoet aan deze vereisten. Mogelijk moet u samenwerken met de netwerkbeheerders of firewallbeheerders voor uw opslagsysteem (of datacenter) om deze instellingen te controleren.

Notitie

Het maken van het opslagdoel mislukt als de cache onvoldoende toegang heeft tot het NFS-opslagsysteem.

Meer informatie vindt u in problemen met de NAS-configuratie en NFS-opslagdoel oplossen.

• Netwerkconnectiviteit: De Azure HPC Cache heeft netwerktoegang met hoge bandbreedte nodig tussen het cachesubnet en het datacenter van het NFS-systeem. ExpressRoute of vergelijkbare toegang wordt aanbevolen. Als u een VPN gebruikt, moet u deze mogelijk configureren om TCP MSS te klemen op 1350 om ervoor te zorgen dat grote pakketten niet worden geblokkeerd. Lees beperkingen voor DE GROOTTE van VPN-pakketten voor meer hulp bij het oplossen van problemen met VPN-instellingen.

• Poorttoegang: De cache heeft toegang nodig tot specifieke TCP/UDP-poorten op uw opslagsysteem. Verschillende typen opslag hebben verschillende poortvereisten.

  Volg deze procedure om de instellingen van uw opslagsysteem te controleren.

  • Geef een rpcinfo opdracht uit aan uw opslagsysteem om de benodigde poorten te controleren. Met de onderstaande opdracht worden de poorten weergegeven en worden de relevante resultaten in een tabel opgemaakt. (Gebruik het IP-adres van uw systeem in plaats van de <> storage_IP term.)

    U kunt deze opdracht uitvoeren vanaf elke Linux-client waarop de NFS-infrastructuur is geïnstalleerd. Als u een client in het clustersubnet gebruikt, kan dit ook helpen bij het controleren van de connectiviteit tussen het subnet en het opslagsysteem.

    rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
    

  Zorg ervoor dat alle poorten die door de rpcinfo query worden geretourneerd onbeperkt verkeer van het subnet van de Azure HPC Cache toestaan.

  • Als u de rpcinfo opdracht niet kunt gebruiken, moet u ervoor zorgen dat deze veelgebruikte poorten binnenkomend en uitgaand verkeer toestaan:

    Protocol	Port	Onderhoud
    TCP/UDP	111	rpcbind
    TCP/UDP	2049	NFS
    TCP/UDP	4045	nlockmgr
    TCP/UDP	4046	koppeld
    TCP/UDP	4047	status

    Sommige systemen gebruiken verschillende poortnummers voor deze services. Raadpleeg de documentatie van uw opslagsysteem om er zeker van te zijn.

  • Controleer de firewallinstellingen om ervoor te zorgen dat verkeer op al deze vereiste poorten is toegestaan. Zorg ervoor dat u firewalls controleert die worden gebruikt in Azure en on-premises firewalls in uw datacenter.

• NFS-back-endopslag moet een compatibel hardware-/softwareplatform zijn. De opslag moet NFS versie 3 (NFSv3) ondersteunen. Neem contact op met het Azure HPC Cache-team voor meer informatie.

Opslagvereisten voor NFS-gekoppelde blob (ADLS-NFS)

Azure HPC Cache kan ook een blobcontainer gebruiken die is gekoppeld aan het NFS-protocol als opslagdoel.

Lees meer over deze functie in NFS 3.0-protocolondersteuning in Azure Blob Storage.

De vereisten voor het opslagaccount verschillen voor een ADLS-NFS-blobopslagdoel en voor een standaard blobopslagdoel. Volg de instructies in Blob-opslag koppelen met behulp van het NFS 3.0-protocol (Network File System) 3.0 om het NFS-opslagaccount te maken en te configureren.

Dit is een algemeen overzicht van de stappen. Deze stappen kunnen veranderen, dus raadpleeg altijd de ADLS-NFS-instructies voor de huidige details.

1. Zorg ervoor dat de functies die u nodig hebt, beschikbaar zijn in de regio's waar u wilt werken.

2. Schakel de NFS-protocolfunctie in voor uw abonnement. Doe dit voordat u het opslagaccount maakt.

3. Maak een beveiligd virtueel netwerk (VNet) voor het opslagaccount. U moet hetzelfde virtuele netwerk gebruiken voor uw opslagaccount met NFS-functionaliteit en voor uw Azure HPC Cache. (Gebruik niet hetzelfde subnet als de cache.)

4. Maak het opslagaccount.

   • Volg in plaats van de opslagaccountinstellingen voor een standaard blob-opslagaccount de instructies in het instructiedocument. Het type opslagaccount dat wordt ondersteund, kan per Azure-regio verschillen.

   • Kies in de sectie Netwerken een privé-eindpunt in het beveiligde virtuele netwerk dat u hebt gemaakt (aanbevolen) of kies een openbaar eindpunt met beperkte toegang vanuit het beveiligde VNet.

     Lees Werk met privé-eindpunten voor tips over het gebruik van privé-eindpunten met HPC Cache-opslagdoelen.

   • Vergeet niet om de sectie Geavanceerd te voltooien, waar u NFS-toegang inschakelt.

   • Geef de cachetoepassing toegang tot uw Azure-opslagaccount, zoals vermeld in machtigingen hierboven. U kunt dit doen wanneer u voor het eerst een opslagdoel maakt. Volg de procedure in Opslagdoelen toevoegen om de cache de vereiste toegangsrollen te geven.

     Als u niet de eigenaar van het opslagaccount bent, moet u deze stap uitvoeren.

Meer informatie over het gebruik van ADLS-NFS-opslagdoelen met Azure HPC Cache in NFS-gekoppelde blobopslag gebruiken met Azure HPC Cache.

Werken met privé-eindpunten

Azure Storage ondersteunt privé-eindpunten om beveiligde gegevenstoegang mogelijk te maken. U kunt privé-eindpunten gebruiken met Azure Blob- of NFS-gekoppelde blobopslagdoelen.

Meer informatie over privé-eindpunten

Een privé-eindpunt biedt een specifiek IP-adres dat de HPC-cache gebruikt om te communiceren met uw back-endopslagsysteem. Als dat IP-adres wordt gewijzigd, kan de cache niet automatisch een verbinding met de opslag tot stand brengen.

Als u de configuratie van een privé-eindpunt wilt wijzigen, volgt u deze procedure om communicatieproblemen tussen de opslag en de HPC-cache te voorkomen:

1. Het opslagdoel onderbreken (of alle opslagdoelen die gebruikmaken van dit privé-eindpunt).
2. Breng wijzigingen aan in het privé-eindpunt en sla deze wijzigingen op.
3. Plaats het opslagdoel weer in gebruik met de opdracht 'hervatten'.
4. Vernieuw de DNS-instelling van het opslagdoel.

Lees Opslagdoelen weergeven en beheren voor meer informatie over het onderbreken, hervatten en vernieuwen van DNS voor opslagdoelen.

Azure CLI-toegang instellen (optioneel)

Als u Azure HPC Cache wilt maken of beheren vanuit de Azure CLI, moet u Azure CLI en de hpc-cache-extensie installeren. Volg de instructies in Azure CLI instellen voor Azure HPC Cache.

Volgende stappen

• Een Azure HPC Cache-exemplaar maken vanuit Azure Portal