Konfigurowanie subskrypcji platformy Azure
Aby uruchomić usługę Azure CycleCloud, musisz mieć prawidłową subskrypcję platformy Azure i Virtual Network.
Ogólnie rzecz biorąc, decyzje dotyczące tworzenia dzierżawy i subskrypcji platformy Azure i konfiguracji są decyzjami biznesowymi poza zakresem dokumentacji usługi Azure CycleCloud. Jednak ponieważ aplikacje HPC i duże aplikacje obliczeniowe są ogólnie intensywnie obciążające zasoby, warto rozważyć utworzenie dedykowanej subskrypcji do śledzenia rozliczeń, zastosowanie limitów użycia i izolowanie użycia zasobów i interfejsu API. Aby uzyskać więcej informacji na temat projektowania dzierżawy i subskrypcji platformy Azure, zobacz Zarządzanie subskrypcjami platformy Azure.
Konfigurowanie sieci wirtualnej
Musisz wybrać istniejącą usługę Azure Virtual Network i podsieci lub utworzyć nową Virtual Network, w której należy uruchomić maszynę wirtualną CycleCloud i klastry obliczeniowe, które będą zarządzane przez usługę CycleCloud.
Jeśli Virtual Network nie została jeszcze utworzona, warto rozważyć rozpoczęcie od podanego wdrożenia szablonu usługi ARM usługi CycleCloud. Szablon Usługi ARM CycleCloud tworzy nową sieć wirtualną dla usługi CycleCloud i klastrów obliczeniowych w czasie wdrażania. Alternatywnie możesz wykonać te instrukcje, aby utworzyć nowy Virtual Network.
Następnie, jeśli usługa Express Route lub sieć VPN nie została jeszcze skonfigurowana dla Virtual Network, można nawiązać połączenie z Virtual Network za pośrednictwem publicznego Internetu, ale zdecydowanie zaleca się skonfigurowanie VPN Gateway.
Konfigurowanie podsieci i sieciowej grupy zabezpieczeń
Ponieważ usługa CycleCloud zwykle ma inne wymagania dotyczące zabezpieczeń sieci i zasady dostępu niż klastry obliczeniowe, często dobrym rozwiązaniem jest uruchomienie usługi Azure CycleCloud w innej podsieci platformy Azure z klastrów.
Zalecanym najlepszym rozwiązaniem jest użycie co najmniej dwóch podsieci — jednej dla maszyny wirtualnej CycleCloud i innych maszyn wirtualnych z tymi samymi zasadami dostępu oraz dodatkowych podsieci dla klastrów obliczeniowych. Należy jednak pamiętać, że w przypadku dużych klastrów zakres adresów IP podsieci może stać się czynnikiem ograniczającym. Ogólnie rzecz biorąc, podsieć CycleCloud powinna używać małego zakresu CIDR, a podsieci obliczeniowe powinny być duże.
Postępuj zgodnie z instrukcjami w tym miejscu, aby utworzyć co najmniej jedną podsieć w Virtual Network.
Używanie wielu podsieci do obliczeń
Klastry CycleCloud można skonfigurować pod kątem uruchamiania węzłów i węzłów w wielu podsieciach, o ile wszystkie maszyny wirtualne mogą komunikować się w klastrze i z usługą CycleCloud (na przykład za pośrednictwem zwrotnego serwera proxy). Na przykład często przydaje się uruchamianie węzła harmonogramu lub węzłów przesyłania w podsieci z różnymi regułami zabezpieczeń z węzłów wykonywania. Domyślne typy klastrów w usłudze CycleCloud zakładają pojedynczą podsieć dla całego klastra, ale podsieć może być skonfigurowana na węzeł lub węzełarray przy użyciu SubnetId atrybutu w szablonie węzła.
Jednak domyślne rozpoznawanie nazwy hosta opartej na plikach hostów stosowane do klastrów CycleCloud generuje tylko plik-hosty dla podsieci węzła domyślnie. Dlatego podczas tworzenia klastra obejmującego wiele podsieci należy również dostosować rozpoznawanie nazw hostów dla klastra.
Istnieją 2 podstawowe zmiany szablonu klastra wymagane do obsługi wielu podsieci obliczeniowych:
SubnetIdUstaw atrybut dla każdego węzła lub węzłaarray, który nie znajduje się w domyślnej podsieci klastra.- Skonfiguruj rozpoznawanie nazw hostów dla wszystkich podsieci według następujących elementów:
- Używanie strefy DNS platformy Azure i wyłączanie domyślnej rozpoznawania plików opartych na hostach
- Możesz też ustawić
CycleCloud.hosts.standalone_dns.subnetsatrybut na zakres CIDR sieci wirtualnej lub rozdzielaną przecinkami listę zakresów CIDR dla każdej podsieci. Aby uzyskać szczegółowe informacje, zobacz dokumentację konfiguracji węzła .
Ustawienia sieciowej grupy zabezpieczeń dla podsieci CycleCloud
Konfigurowanie usługi Azure Virtual Network pod kątem zabezpieczeń jest szerokim tematem wykraczającym poza zakres tego dokumentu.
Klastry CycleCloud i CycleCloud mogą działać w bardzo zablokowanych środowiskach. Aby uzyskać szczegółowe informacje o konfiguracji, zobacz Uruchamianie w zablokowanych sieciach i Uruchamianie za serwerem proxy .
Jednak w przypadku mniej restrykcyjnych sieci istnieje kilka ogólnych wytycznych. Najpierw użytkownicy graficznego interfejsu użytkownika usługi CycleCloud wymagają dostępu do maszyny wirtualnej CycleCloud za pośrednictwem protokołu HTTPS, a administratorzy mogą wymagać dostępu za pomocą protokołu SSH. Użytkownicy klastra zazwyczaj będą wymagać dostępu SSH do co najmniej węzłów przesyłania w klastrach obliczeniowych i potencjalnie innego dostępu, takiego jak RDP dla klastrów systemu Windows. Ostatnia ogólna reguła polega na ograniczeniu dostępu do minimum wymaganego.
Aby utworzyć nową sieciową grupę zabezpieczeń dla każdej z utworzonych powyżej podsieci, postępuj zgodnie z przewodnikiem tworzenia sieciowej grupy zabezpieczeń.
Reguły zabezpieczeń dla ruchu przychodzącego
Ważne
W poniższych regułach założono, że sieć wirtualna jest skonfigurowana z usługą Express Route lub siecią VPN na potrzeby dostępu do sieci prywatnej. Jeśli działa przez publiczny Internet, źródło powinno zostać zmienione na publiczny adres IP lub zakres firmowych adresów IP.
Podsieć maszyny wirtualnej CycleCloud
| Nazwa | Priorytet | Element źródłowy | Usługa | Protokół | Zakres portów |
|---|---|---|---|---|---|
| Protokół SSH | 100 | VirtualNetwork | Niestandardowy | TCP | 22 |
| HTTPS | 110 | VirtualNetwork | Niestandardowy | TCP | 443 |
| HTTPS | 110 | VirtualNetwork | Niestandardowy | TCP | 9443 |
Podsieci obliczeniowe
| Nazwa | Priorytet | Element źródłowy | Usługa | Protokół | Zakres portów |
|---|---|---|---|---|---|
| Protokół SSH | 100 | VirtualNetwork | Niestandardowy | TCP | 22 |
| RDP | 110 | VirtualNetwork | Niestandardowy | TCP | 3389 |
| Zwoje | 120 | VirtualNetwork | Niestandardowy | TCP | 8652 |
Reguły zabezpieczeń ruchu wychodzącego
Ogólnie rzecz biorąc, maszyna wirtualna CycleCloud i klastry obliczeniowe oczekują, że będzie można uzyskać dostęp do Internetu na potrzeby instalacji pakietu i wywołań interfejsu API REST platformy Azure.
Jeśli wychodzący dostęp do Internetu jest blokowany przez zasady zabezpieczeń, postępuj zgodnie z instrukcjami dotyczącymi uruchamiania w zablokowanych sieciach i uruchamiania za serwerem proxy , aby uzyskać szczegółowe informacje o konfiguracji.