مشاركة عبر

إنشاء تجمع Azure Batch في شبكة اتصال ظاهرية

  • مقالة

عند إنشاء تجمع Azure Batch، يمكنك توفير التجمع في شبكة فرعية لشبكة Azure الظاهرية التي تحددها. تشرح هذه المقالة كيفية إعداد تجمع Batch في شبكة ظاهرية.

لماذا تستخدم شبكة ظاهرية؟

يمكن للعقد الحسابية في التجمع الاتصال ببعضها البعض، مثل تشغيل مهام متعددة المثيلات، دون الحاجة إلى شبكة ظاهرية منفصلة. ومع ذلك، بشكل افتراضي، لا يمكن للعقد في التجمع الاتصال بأي جهاز ظاهري (VM) خارج التجمع، مثل الترخيص أو خوادم الملفات.

للسماح لعقد الحوسبة بالاتصال بأمان مع الأجهزة الظاهرية الأخرى، أو مع شبكة محلية، يمكنك توفير التجمع في شبكة فرعية من شبكة ظاهرية.

المتطلبات الأساسية

  • المصادقة. لاستخدام شبكة Azure الظاهرية، يجب أن تستخدم واجهة برمجة تطبيقات عميل Batch مصادقة Microsoft Entra. لمعرفة المزيد، راجع مصادقة حلول خدمة الدفعات باستخدام Active Directory.

  • شبكة Azure الظاهرية. لإعداد شبكة ظاهرية مع شبكة فرعية واحدة أو أكثر مسبقا، يمكنك استخدام مدخل Azure أو Azure PowerShell أو Microsoft Azure CLI (CLI) أو أساليب أخرى.

    • لإنشاء شبكة ظاهرية مستندة إلى Azure Resource Manager، راجع إنشاء شبكة ظاهرية. يوصى بالشبكة الظاهرية المستندة إلى Resource Manager للتوزيعات الجديدة، ويتم دعمها فقط على التجمعات التي تستخدم تكوين الجهاز الظاهري.

    • لإنشاء شبكة ظاهرية كلاسيكية، راجع إنشاء شبكة ظاهرية (كلاسيكية) مع شبكات فرعية متعددة. يتم دعم الشبكة الظاهرية الكلاسيكية فقط على التجمعات التي تستخدم تكوين الخدمات السحابية.

      هام

      تجنب استخدام 172.17.0.0/16 ل Azure Batch pool VNet. وهو الإعداد الافتراضي لشبكة جسر Docker وقد يتعارض مع الشبكات الأخرى التي تريد توصيلها بالشبكة الظاهرية. يتطلب إنشاء شبكة ظاهرية لتجمع Azure Batch تخطيطا دقيقا للبنية الأساسية للشبكة.

متطلبات الشبكة الظاهرية العامة

  • يجب أن تكون الشبكة الظاهرية في نفس الاشتراك والمنطقة مثل حساب Batch الذي تستخدمه لإنشاء التجمع الخاص بك.

  • يجب أن تحتوي الشبكة الفرعية المحددة للتجمع على عناوين IP غير معينة كافية لاستيعاب عدد الأجهزة الظاهرية المستهدفة للتجمع، بما يكفي لاستيعاب targetDedicatedNodes خصائص و targetLowPriorityNodes للتجمع. إذا لم تكن لدى الشبكة الفرعية عناوين IP غير معينة كافية، فإن التجمع يخصص عقد الحساب جزئيًا، ويحدث خطأ في تغيير الحجم.

  • إذا كنت لا تستخدم اتصال عقدة حساب مبسط، فأنت بحاجة إلى حل نقاط نهاية Azure Storage باستخدام أي خوادم DNS مخصصة تخدم شبكتك الظاهرية. يجب أن تكون عناوين URL على وجه التحديد للنموذج<account>.table.core.windows.net، و <account>.queue.core.windows.net، و <account>.blob.core.windows.net قابلة للحل.

  • يمكن إنشاء تجمعات متعددة في نفس الشبكة الظاهرية أو في نفس الشبكة الفرعية (طالما أن لديها مساحة عنوان كافية). لا يمكن أن يوجد تجمع واحد عبر شبكات ظاهرية أو شبكات فرعية متعددة.

هام

يمكن تكوين تجمعات الدفعات في أحد وضعي اتصال العقدة. وضع اتصال العقدة الكلاسيكي هو المكان الذي تبدأ فيه خدمة Batch الاتصال بعقد الحوسبة. وضع اتصال العقدة المبسط هو المكان الذي تبدأ فيه عقد الحوسبة الاتصال بخدمة الدفعات.

  • يجب ألا تحتوي أي شبكة ظاهرية أو شبكة ظاهرية نظيرة سيتم استخدامها لتجمعات الدفعات على نطاقات عناوين IP متداخلة مع الشبكات المعرفة بالبرامج أو التوجيه على عقد الحوسبة. المصدر الشائع للتعارضات هو استخدام وقت تشغيل الحاوية، مثل docker. سيقوم Docker بإنشاء جسر شبكة افتراضي مع نطاق شبكة فرعية محدد من 172.17.0.0/16. ستتعارض أي خدمات تعمل داخل شبكة ظاهرية في مساحة عنوان IP الافتراضية هذه مع الخدمات الموجودة على عقدة الحساب، مثل الوصول عن بعد عبر SSH.

التجمعات في تكوين الجهاز الظاهري

المتطلبات:

  • الشبكات الظاهرية المدعومة: الشبكات الظاهرية المستندة إلى Azure Resource Manager فقط.
  • معرف الشبكة الفرعية: عند تحديد الشبكة الفرعية باستخدام واجهات برمجة تطبيقات Batch، استخدم معرف المورد للشبكة الفرعية. يكون مُعرّف الشبكة الفرعية بالشكل:

/subscriptions/{subscription}/resourceGroups/{group}/providers/Microsoft.Network/virtualNetworks/{network}/subnets/{subnet}

  • الأذونات: تحقق مما إذا كانت نهج الأمان أو التأمينات على اشتراك الشبكة الظاهرية أو مجموعة الموارد تقيد أذونات المستخدم لإدارة الشبكة الظاهرية.
  • موارد الشبكات: تقوم Batch تلقائيا بإنشاء المزيد من موارد الشبكة في مجموعة الموارد التي تحتوي على الشبكة الظاهرية.

هام

لكل 100 عقدة مخصصة أو منخفضة الأولوية، تقوم Batch بإنشاء مجموعة أمان شبكة واحدة (NSG)، وعنوان IP عام واحد، وموازن تحميل واحد. تعد هذه الموارد مقيدة بـ الحصص النسبية للموارد للاشتراك. بالنسبة إلى التجمعات الكبيرة، ربما تحتاج إلىطلب زيادة الحصة النسبية لواحد أو أكثر من هذه الموارد.

مجموعات أمان الشبكة لتجمعات تكوين الجهاز الظاهري: الدفعة الافتراضية

تقوم Batch بإنشاء مجموعة أمان شبكة (NSG) على مستوى واجهة الشبكة لكل نشر مجموعة مقياس الجهاز الظاهري داخل تجمع Batch. بالنسبة إلى التجمعات التي لا تحتوي على عناوين IP عامة ضمن simplified اتصال عقدة الحساب، لا يتم إنشاء مجموعات أمان الشبكة.

لتوفير الاتصال الضروري بين عقد الحوسبة وخدمة Batch، يتم تكوين مجموعات أمان الشبكة هذه بحيث:

  • حركة مرور TCP الواردة على المنفذين 29876 و29877 من عناوين IP لخدمة Batch التي تتوافق مع BatchNodeManagement.علامة خدمة المنطقة . يتم إنشاء هذه القاعدة فقط في classic وضع اتصال التجمع.
  • حركة مرور TCP الواردة على المنفذ 22 (عقد Linux) أو المنفذ 3389 (عقد Windows) للسماح بالوصول عن بعد ل SSH أو RDP على المنافذ الافتراضية، على التوالي. بالنسبة لأنواع معينة من المهام متعددة المثيلات على Linux، مثل MPI، قد تحتاج إلى السماح بنسبة استخدام الشبكة SSH لعناوين IP في الشبكة الفرعية التي تحتوي على عقد حساب Batch. قد تتطلب أوقات تشغيل MPI معينة التشغيل عبر SSH، والذي يتم توجيهه عادة على مساحة عنوان IP الخاصة. قد يتم حظر حركة المرور هذه لكل قواعد NSG على مستوى الشبكة الفرعية.
  • صادر أي حركة مرور على المنفذ 443 إلى عناوين IP لخدمة Batch التي تتوافق مع BatchNodeManagement.علامة خدمة المنطقة .
  • نسبة استخدام الشبكة الصادرة على أي منفذ للشبكة الافتراضية. يمكن تعديل هذه القاعدة لكل قواعد NSG على مستوى الشبكة الفرعية.
  • نسبة استخدام الشبكة الصادرة على أي منفذ للإنترنت. يمكن تعديل هذه القاعدة لكل قواعد NSG على مستوى الشبكة الفرعية.

هام

توخ الحذر إذا قمت بتعديل أو إضافة قواعد واردة أو صادرة في مجموعات موردي المواد النووية المكونة بشكل مجمّع. إذا رُفِض الاتصال بعقد الحوسبة في الشبكة الفرعية المحددة من قِبل NSG، ستقوم خدمة Batch بتعيين حالة عقد الحوسبة إلىغير قابلة للاستخدام. بالإضافة إلى ذلك، يجب عدم تطبيق أي تأمين للموارد على أي مورد تم إنشاؤه بواسطة Batch، لأن هذا يمكن أن يمنع تنظيف الموارد نتيجة للإجراءات التي بدأها المستخدم مثل حذف تجمع.

مجموعات أمان الشبكة لتجمعات تكوين الجهاز الظاهري: تحديد قواعد على مستوى الشبكة الفرعية

إذا كان لديك NSG مقترن بالشبكة الفرعية لعقد الحوسبة الدفعية، يجب تكوين NSG هذا مع قواعد الأمان الواردة والصادرة التي تظهر في الجداول التالية على الأقل.

تحذير

يمكن أن تتغير عناوين IP للخدمة الدفعية بمرور الوقت. لذلك، يجب استخدام BatchNodeManagement.علامة خدمة المنطقة لقواعد NSG المشار إليها في الجداول التالية. تجنب ملء قواعد NSG بعناوين IP المحددة لخدمة الدُفعات.

قواعد الأمان الواردة

علامة الخدمة المصدر أو عناوين IP منافذ الوجهة البروتوكول وضع اتصال التجمع المطلوب
BatchNodeManagement.علامة خدمة المنطقة 29876-29877 TCP كلاسيكي ‏‏نعم‬
عناوين IP المصدر للوصول عن بعد إلى عقد الحساب 3389 (Windows) و 22 (Linux) TCP كلاسيكي أو مبسط لا

تكوين حركة المرور الواردة على المنفذ 3389 (Windows) أو 22 (Linux) فقط إذا كنت بحاجة إلى السماح بالوصول عن بعد إلى عقد الحساب من مصادر خارجية على منافذ RDP أو SSH الافتراضية، على التوالي. قد تحتاج إلى السماح بنسبة استخدام الشبكة SSH على Linux إذا كنت تحتاج إلى دعم للمهام متعددة المثيلات مع أوقات تشغيل معينة لواجهة تمرير الرسائل (MPI) في الشبكة الفرعية التي تحتوي على عقد حساب الدفعات حيث قد يتم حظر نسبة استخدام الشبكة لكل قواعد NSG على مستوى الشبكة الفرعية. عادة ما تكون حركة مرور MPI عبر مساحة عنوان IP الخاصة، ولكن يمكن أن تختلف بين أوقات تشغيل MPI وتكوين وقت التشغيل. لا يلزم السماح بنسبة استخدام الشبكة على هذه المنافذ بشكل صارم حتى تكون عقد حساب التجمع قابلة للاستخدام. يمكنك أيضا تعطيل الوصول عن بعد الافتراضي على هذه المنافذ من خلال تكوين نقاط نهاية التجمع.

قواعد الأمان الصادرة

علامة خدمة الوجهة منافذ الوجهة البروتوكول وضع اتصال التجمع المطلوب
BatchNodeManagement.علامة خدمة المنطقة 443 * مبسط ‏‏نعم‬
خزن.علامة خدمة المنطقة 443 TCP كلاسيكي ‏‏نعم‬

الصادر إلى BatchNodeManagement.علامة خدمة المنطقة مطلوبة في classic وضع اتصال التجمع إذا كنت تستخدم مهام Job Manager أو إذا كان يجب أن تتصل مهامك مرة أخرى بخدمة Batch. للصادرة إلى BatchNodeManagement.المنطقة في simplified وضع اتصال التجمع، تستخدم خدمة Batch حاليا بروتوكول TCP فقط، ولكن قد يكون UDP مطلوبا للتوافق المستقبلي. بالنسبة للتجمعات التي لا تحتوي على عناوين IP عامة باستخدام simplified وضع الاتصال ونقطة نهاية خاصة لإدارة العقدة، لا يلزم وجود مجموعة أمان شبكة. لمزيد من المعلومات حول قواعد الأمان الصادرة ل BatchNodeManagement.علامة خدمة المنطقة ، راجع استخدام اتصال عقدة الحساب المبسط.

إنشاء تجمع مع شبكة ظاهرية في مدخل Microsoft Azure

بعد إنشاء الشبكة الظاهرية وتعيين شبكة فرعية إليها، يمكنك إنشاء تجمع Batch باستخدام تلك الشبكة الظاهرية. اتبع هذه الخطوات لإنشاء تجمع من مدخل Microsoft Azure:

  1. ابحث عن حسابات Batch وحددها في شريط البحث في أعلى مدخل Microsoft Azure. حدد حساب Batch الخاص بك. يجب أن يكون هذا الحساب في نفس الاشتراك والمنطقة مثل مجموعة الموارد التي تحتوي على الشبكة الظاهرية التي تنوي استخدامها.

  2. حدد Pools من شريط التنقل الأيمن.

  3. في نافذة Pools ، حدد Add.

    لقطة شاشة لصفحة Pools في حساب Batch الذي يسلط الضوء على خيار Pools في التنقل على الجانب الأيسر وإضافة زر في صفحة Pools.

  4. في صفحة إضافة تجمع ، حدد الخيارات وأدخل المعلومات الخاصة بتجمعك. لمزيد من المعلومات حول إنشاء تجمعات لحساب Batch الخاص بك، راجع إنشاء تجمع من عقد الحوسبة. حجم العقدة، والعقد المخصصة المستهدفة، والعقد الموضعية المستهدفة/ذات الأولوية المنخفضة، وأي إعدادات اختيارية مطلوبة.

  5. في Virtual Network؛ حدد الشبكة الظاهرية والشبكة الفرعية التي ترغب في استخدامها.

  6. حدد OK لإنشاء حمام السباحة الخاص بك.

هام

إذا حاولت حذف شبكة فرعية يتم استخدامها بواسطة مجموعة؛ فستتلقى رسالة خطأ. يجب حذف كل التجمعات التي تستخدم شبكة فرعية قبل حذف تلك الشبكة الفرعية.

المسارات المحددة من قِبل المُستخدِم للنفق القسري

قد تكون لديك متطلبات في مؤسستك لإعادة توجيه (إجبار) نسبة استخدام الشبكة المرتبطة بالإنترنت من الشبكة الفرعية إلى الموقع المحلي الخاص بك للفحص والتسجيل. بالإضافة إلى ذلك، ربما قمت بتمكين الاتصال النفقي القسري للشبكات الفرعية في الشبكة الظاهرية.

للتأكد من أن العقد في التجمع الخاص بك تعمل في شبكة ظاهرية تم تمكين الاتصال النفقي المفروض عليها، يجب إضافة المسارات التالية المعرفة من قبل المستخدم (UDR) لتلك الشبكة الفرعية.

لتجمعات وضع الاتصال الكلاسيكية:

  • تحتاج خدمة Batch إلى التواصل مع العُقد لجدولة المهام. لتمكين هذا الاتصال، أضف UDR المطابق ل BatchNodeManagement.علامة خدمة المنطقة في المنطقة التي يوجد بها حساب Batch الخاص بك. قم بتعيين نوع الوثب التالي إلى الإنترنت.

  • تأكد من أن شبكتك المحلية لا تمنع حركة مرور TCP الصادرة إلى Azure Storage على المنفذ الوجهة 443 (على وجه التحديد، عناوين URL للنموذج *.table.core.windows.netو *.queue.core.windows.netو).*.blob.core.windows.net

لتجمعات وضع الاتصال المبسطة دون استخدام نقطة النهاية الخاصة بإدارة العقدة:

  • تأكد من أن شبكتك المحلية لا تمنع حركة مرور TCP/UDP الصادرة إلى Azure Batch BatchNodeManagement.علامة خدمة المنطقة على منفذ الوجهة 443. حاليا يتم استخدام بروتوكول TCP فقط، ولكن قد يكون UDP مطلوبا للتوافق المستقبلي.

لجميع التجمعات:

  • إذا كنت تستخدم تحميلات الملفات الظاهرية، فراجع متطلبات الشبكة، وتأكد من عدم حظر أي حركة مرور مطلوبة.

تحذير

يمكن أن تتغير عناوين IP للخدمة الدفعية بمرور الوقت. لمنع الانقطاعات بسبب تغييرات عنوان IP لخدمة Batch، لا تحدد عناوين IP مباشرة. بدلا من ذلك، استخدم BatchNodeManagement.علامة خدمة المنطقة.

الخطوات التالية