متطلبات Azure HPC Cache الأساسية

مقالة
03/25/2023

قبل إنشاء Azure HPC Cache جديد، تأكد من أن بيئتك تفي بهذه المتطلبات.

اشتراك Azure

يوصى بالاشتراك المدفوع.

البنية الأساسية للشبكة

يجب إعداد هذه المتطلبات الأساسية المتعلقة بالشبكة قبل أن تتمكن من استخدام ذاكرة التخزين المؤقت:

شبكة فرعية مخصصة لمثيل Azure HPC Cache
دعم DNS بحيث يمكن لذاكرة التخزين المؤقت الوصول إلى التخزين والموارد الأخرى
الوصول من الشبكة الفرعية إلى خدمات البنية الأساسية الإضافية ل Microsoft Azure، بما في ذلك خوادم NTP وخدمة Azure Queue Storage.

الشبكة الفرعية لذاكرة التخزين المؤقت

تحتاج Azure HPC Cache إلى شبكة فرعية مخصصة بهذه الصفات:

يجب أن تحتوي الشبكة الفرعية على ما لا يقل عن 64 عنوان IP متوفرا.
يجب أن يكون الاتصال داخل الشبكة الفرعية غير مقيد. إذا كنت تستخدم مجموعة أمان شبكة للشبكة الفرعية لذاكرة التخزين المؤقت، فتأكد من أنها تسمح بجميع الخدمات بين عناوين IP الداخلية.
لا يمكن للشبكة الفرعية استضافة أي أجهزة ظاهرية أخرى، حتى للخدمات ذات الصلة مثل أجهزة العميل.
إذا كنت تستخدم مثيلات Azure HPC Cache متعددة، فإن كل مثيل يحتاج إلى شبكته الفرعية الخاصة.

أفضل ممارسة هي إنشاء شبكة فرعية جديدة لكل ذاكرة تخزين مؤقت. يمكنك إنشاء شبكة ظاهرية جديدة وشبكة فرعية كجزء من إنشاء ذاكرة التخزين المؤقت.

عند إنشاء هذه الشبكة الفرعية، كن حذرا من أن إعدادات الأمان الخاصة بها تسمح بالوصول إلى خدمات البنية الأساسية الضرورية المذكورة لاحقا في هذا القسم. يمكنك تقييد الاتصال بالإنترنت الصادر، ولكن تأكد من وجود استثناءات للعناصر الموثقة هنا.

الوصول إلى نظام أسماء المجالات

تحتاج ذاكرة التخزين المؤقت إلى DNS للوصول إلى الموارد خارج شبكتها الظاهرية. اعتمادا على الموارد التي تستخدمها، قد تحتاج إلى إعداد خادم DNS مخصص وتكوين إعادة التوجيه بين هذا الخادم وخوادم Azure DNS:

للوصول إلى نقاط نهاية تخزين Azure Blob والموارد الداخلية الأخرى، تحتاج إلى خادم DNS المستند إلى Azure.
للوصول إلى التخزين المحلي، تحتاج إلى تكوين خادم DNS مخصص يمكنه حل أسماء مضيفي التخزين. يجب القيام بذلك قبل إنشاء ذاكرة التخزين المؤقت.

إذا كنت تستخدم تخزين Blob فقط، يمكنك استخدام خادم DNS الافتراضي الذي يوفره Azure لذاكرة التخزين المؤقت. ومع ذلك، إذا كنت بحاجة إلى الوصول إلى التخزين أو الموارد الأخرى خارج Azure، يجب إنشاء خادم DNS مخصص وتكوينه لإعادة توجيه أي طلبات دقة خاصة ب Azure إلى خادم Azure DNS.

لاستخدام خادم DNS مخصص، تحتاج إلى القيام بخطوات الإعداد هذه قبل إنشاء ذاكرة التخزين المؤقت:

أنشئ الشبكة الظاهرية التي ستستضيف Azure HPC Cache.
أنشئ خادم DNS.
أضِف خادم DNS إلى الشبكة الظاهرية لذاكرة التخزين المؤقت.

اتبع هذه الخطوات لإضافة خادم DNS إلى الشبكة الظاهرية في مدخل Azure:
1. افتح الشبكة الظاهرية في مدخل Azure.
2. اختر خوادم DNS من القائمة Settings في الشريط الجانبي.
3. حدد "Custom"
4. أدخل عنوان IP لخادم DNS في الحقل.

يمكن أيضا استخدام خادم DNS بسيط لتحميل اتصالات العميل لموازنة التحميل بين جميع نقاط تحميل ذاكرة التخزين المؤقت المتوفرة.

تعرف على المزيد حول شبكات Azure الظاهرية وتكوينات خادم DNS في تحليل الاسم للموارد في شبكات Azure الظاهرية.

الوصول إلى NTP

تحتاج HPC Cache إلى الوصول إلى خادم NTP للعملية العادية. إذا قمت بتقييد نسبة استخدام الشبكة الصادرة من الشبكات الظاهرية، فتأكد من السماح بنسبة استخدام الشبكة إلى خادم NTP واحد على الأقل. الخادم الافتراضي time.windows.com، وتتصل ذاكرة التخزين المؤقت بهذا الخادم على منفذ UDP 123.

إنشاء قاعدة في مجموعة أمان شبكة شبكة ذاكرة التخزين المؤقت التي تسمح بنسبة استخدام الشبكة الصادرة إلى خادم NTP. يمكن أن تسمح القاعدة ببساطة بجميع حركة المرور الصادرة على منفذ UDP 123، أو لديها المزيد من القيود.

يفتح هذا المثال بشكل صريح حركة المرور الصادرة إلى عنوان IP 168.61.215.74، وهو العنوان المستخدم من قبل time.windows.com.

الأولوية	الاسم	المنفذ	بروتوكول	Source	الوجهة	الإجراء
200	NTP	Any	بروتوكول مخطط بيانات المستخدم	Any	168.61.215.74	السماح

تأكد من أن قاعدة NTP لها أولوية أعلى من أي قواعد ترفض الوصول الصادر على نطاق واسع.

مزيد من التلميحات للوصول إلى NTP:

إذا كانت لديك جدران حماية بين HPC Cache وخادم NTP، فتأكد من أن جدران الحماية هذه تسمح أيضا بالوصول إلى NTP.
يمكنك تكوين خادم NTP الذي تستخدمه HPC Cache على صفحة Networking . اقرأ تكوين إعدادات إضافية لمزيد من المعلومات.

الوصول إلى Azure Queue Storage

يجب أن تكون ذاكرة التخزين المؤقت قادرة على الوصول بأمان إلى خدمة Azure Queue Storage من داخل شبكتها الفرعية المخصصة. يستخدم Azure HPC Cache خدمة قوائم الانتظار عند توصيل معلومات التكوين والحالة.

إذا تعذر على ذاكرة التخزين المؤقت الوصول إلى خدمة قائمة الانتظار، فقد ترى رسالة Cache الاتصال ivityError عند إنشاء ذاكرة التخزين المؤقت.

هناك طريقتان لتوفير الوصول:

إنشاء نقطة نهاية خدمة Azure Storage في الشبكة الفرعية لذاكرة التخزين المؤقت. اقرأ إضافة شبكة فرعية للشبكة الظاهرية للحصول على إرشادات لإضافة نقطة نهاية خدمة Microsoft.Storage .
تكوين الوصول بشكل فردي إلى مجال خدمة قائمة انتظار تخزين Azure في مجموعة أمان الشبكة أو جدران الحماية الأخرى.

أضف قواعد للسماح بالوصول على هذه المنافذ:
- منفذ TCP 443 لحركة المرور الآمنة إلى أي مضيف في المجال queue.core.windows.net (*.queue.core.windows.net).
- منفذ TCP 80 - يستخدم للتحقق من الشهادة من جانب الخادم. يشار إلى ذلك أحيانا باسم التحقق من قائمة إبطال الشهادات (CRL) واتصالات بروتوكول حالة الشهادة عبر الإنترنت (OCSP). تستخدم جميع *.queue.core.windows.net نفس الشهادة، وبالتالي نفس خوادم CRL/OCSP. يتم تخزين اسم المضيف في شهادة SSL من جانب الخادم.
راجع تلميحات قاعدة الأمان في وصول NTP للحصول على مزيد من المعلومات.

يسرد هذا الأمر خوادم CRL وOSCP التي تحتاج إلى السماح بالوصول. يجب أن تكون هذه الخوادم قابلة للحل بواسطة DNS ويمكن الوصول إليها على المنفذ 80 من الشبكة الفرعية لذاكرة التخزين المؤقت.
```
openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
```
يبدو الإخراج مثل هذا، ويمكن أن يتغير إذا تم تحديث شهادة SSL:
```
OCSP - URI:http://ocsp.msocsp.com
CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
```

يمكنك التحقق من اتصال الشبكة الفرعية باستخدام هذا الأمر من جهاز ظاهري تجريبي داخل الشبكة الفرعية:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

يعطي الاتصال الناجح هذه الاستجابة:

OCSP Response Status: successful (0x0)

الوصول إلى خادم الحدث

تستخدم Azure HPC Cache نقاط نهاية خادم أحداث Azure لمراقبة صحة ذاكرة التخزين المؤقت وإرسال معلومات التشخيص.

تأكد من أن ذاكرة التخزين المؤقت يمكنها الوصول بأمان إلى المضيفين في المجال events.data.microsoft.com - أي فتح منفذ TCP 443 لنسبة استخدام الشبكة إلى *.events.data.microsoft.com.

الأذونات

تحقق من هذه المتطلبات الأساسية المتعلقة بالأذونات قبل البدء في إنشاء ذاكرة التخزين المؤقت.

يجب أن يكون مثيل ذاكرة التخزين المؤقت قادرًا على إنشاء واجهات شبكة ظاهرية (NICs). يجب أن يكون لدى المستخدم الذي يقوم بإنشاء ذاكرة التخزين المؤقت امتيازات كافية في الاشتراك لإنشاء بطاقات واجهة الشبكة.
إذا كنت تستخدم تخزين Blob، فإن Azure HPC Cache تحتاج إلى تخويل للوصول إلى حساب التخزين الخاص بك. استخدم التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) لمنح ذاكرة التخزين المؤقت حق الوصول إلى تخزين Blob الخاص بك. هناك دوران مطلوبان: Storage Account Contributor وStorage Blob Data Contributor.

اتبع الإرشادات الواردة في إضافة أهداف التخزين لإضافة الأدوار.

البنية الأساسية للتخزين

تدعم ذاكرة التخزين المؤقت حاويات Azure Blob وتصديرات تخزين أجهزة NFS وحاويات ADLS blob المثبتة على NFS. أضف أهداف التخزين بعد إنشاء ذاكرة التخزين المؤقت.

يحتوي كل نوع تخزين على متطلبات أساسية محددة.

متطلبات تخزين Blob

إذا كنت ترغب في استخدام تخزين Azure Blob مع ذاكرة التخزين المؤقت الخاصة بك، فأنت بحاجة إلى حساب تخزين متوافق وإما حاوية Blob فارغة أو حاوية يتم ملؤها بالبيانات المنسقة ل Azure HPC Cache كما هو موضح في نقل البيانات إلى تخزين Azure Blob.

إشعار

تنطبق متطلبات مختلفة على تخزين الكائن الثنائي كبير الحجم المثبت على NFS. اقرأ متطلبات تخزين ADLS-NFS للحصول على التفاصيل.

إنشاء الحساب قبل محاولة إضافة هدف تخزين. يمكنك إنشاء حاوية جديدة عند إضافة الهدف.

لإنشاء حساب تخزين متوافق، استخدم إحدى هذه المجموعات:

الأداء	النوع	النسخ المتماثل	مستوى الدخول
قياسي	التخزين V2 (للأغراض العامة v2)	التخزين المتكرر محليا (LRS) أو التخزين المتكرر في المنطقة (ZRS)	ساخن
متميز	كائنات ثنائية كبيرة الحجم خاصة بالكُتل	التخزين المتكرر محليًا (LRS)	ساخن

يجب أن يكون حساب التخزين قابلا للوصول من الشبكة الفرعية الخاصة لذاكرة التخزين المؤقت. إذا كان حسابك يستخدم نقطة نهاية خاصة أو نقطة نهاية عامة تقتصر على شبكات ظاهرية معينة، فتأكد من تمكين الوصول من الشبكة الفرعية لذاكرة التخزين المؤقت. (لا يوصى بنقطة نهاية عامة مفتوحة.)

اقرأ العمل مع نقاط النهاية الخاصة للحصول على تلميحات حول استخدام نقاط النهاية الخاصة مع أهداف تخزين HPC Cache.

من الممارسات الجيدة استخدام حساب تخزين في نفس منطقة Azure مثل ذاكرة التخزين المؤقت.

يجب أيضا منح تطبيق ذاكرة التخزين المؤقت حق الوصول إلى حساب تخزين Azure الخاص بك كما هو مذكور في الأذونات، أعلاه. اتبع الإجراء في إضافة أهداف التخزين لمنح ذاكرة التخزين المؤقت أدوار الوصول المطلوبة. إذا لم تكن مالك حساب التخزين، فافعل هذه الخطوة من قبل المالك.

متطلبات تخزين NFS

إذا كنت تستخدم نظام تخزين NFS (على سبيل المثال، نظام NAS للأجهزة المحلية)، فتأكد من أنه يلبي هذه المتطلبات. قد تحتاج إلى العمل مع مسؤولي الشبكة أو مديري جدار الحماية لنظام التخزين (أو مركز البيانات) للتحقق من هذه الإعدادات.

إشعار

سيفشل إنشاء هدف التخزين إذا لم يكن لذاكرة التخزين المؤقت حق وصول كاف إلى نظام تخزين NFS.

يتم تضمين مزيد من المعلومات في استكشاف أخطاء تكوين NAS وإصلاحها ومشكلات هدف تخزين NFS.

اتصال الشبكة: تحتاج Azure HPC Cache إلى الوصول إلى شبكة عرض النطاق الترددي العالي بين الشبكة الفرعية لذاكرة التخزين المؤقت ومركز بيانات نظام NFS. يوصى باستخدام ExpressRoute أو وصول مماثل. إذا كنت تستخدم VPN، فقد تحتاج إلى تكوينه لضبط TCP MSS على 1350 للتأكد من عدم حظر الحزم الكبيرة. اقرأ قيود حجم حزمة VPN لمزيد من المساعدة في استكشاف أخطاء إعدادات VPN وإصلاحها.
الوصول إلى المنفذ: تحتاج ذاكرة التخزين المؤقت إلى الوصول إلى منافذ TCP/UDP معينة على نظام التخزين الخاص بك. أنواع مختلفة من التخزين لها متطلبات منفذ مختلفة.

للتحقق من إعدادات نظام التخزين، اتبع هذا الإجراء.
- rpcinfo إصدار أمر إلى نظام التخزين للتحقق من المنافذ المطلوبة. يسرد الأمر أدناه المنافذ وينسق النتائج ذات الصلة في جدول. (استخدم عنوان IP لنظامك بدلا من <> مصطلح storage_IP.)
  
  يمكنك إصدار هذا الأمر من أي عميل Linux مثبت عليه بنية NFS الأساسية. إذا كنت تستخدم عميلا داخل الشبكة الفرعية لنظام المجموعة، فإنه يمكن أن يساعد أيضا في التحقق من الاتصال بين الشبكة الفرعية ونظام التخزين.
```
rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
```
تأكد من أن جميع المنافذ التي تم إرجاعها بواسطة rpcinfo الاستعلام تسمح بنسبة استخدام الشبكة غير المقيدة من الشبكة الفرعية ل Azure HPC Cache.
- إذا لم تتمكن من استخدام الأمر ، فتأكد من أن هذه المنافذ rpcinfo شائعة الاستخدام تسمح بنسبة استخدام الشبكة الواردة والصادرة:
  
  بروتوكول المنفذ الخدمة
  
  TCP/UDP 111 rpcbind
  
  TCP/UDP 2049 NFS
  
  TCP/UDP 4045 nlockmgr
  
  TCP/UDP 4046 مثبتة
  
  TCP/UDP 4047 الحالة
  
  تستخدم بعض الأنظمة أرقام منافذ مختلفة لهذه الخدمات - راجع وثائق نظام التخزين للتأكد.
- تحقق من إعدادات جدار الحماية للتأكد من أنها تسمح بنسبة استخدام الشبكة على جميع هذه المنافذ المطلوبة. تأكد من التحقق من جدران الحماية المستخدمة في Azure بالإضافة إلى جدران الحماية المحلية في مركز البيانات الخاص بك.
يجب أن يكون التخزين الخلفي ل NFS نظاما أساسيا متوافقا للأجهزة/البرامج. يجب أن يدعم التخزين الإصدار 3 من NFS (NFSv3). اتصل بفريق Azure HPC Cache للحصول على التفاصيل.

بروتوكول	المنفذ	الخدمة
TCP/UDP	111	rpcbind
TCP/UDP	2049	NFS
TCP/UDP	4045	nlockmgr
TCP/UDP	4046	مثبتة
TCP/UDP	4047	الحالة

متطلبات تخزين الكائن الثنائي كبير الحجم (ADLS-NFS) المثبتة على NFS

يمكن ل Azure HPC Cache أيضا استخدام حاوية كائن ثنائي كبير الحجم مثبتة مع بروتوكول NFS كهدف تخزين.

اقرأ المزيد حول هذه الميزة في دعم بروتوكول NFS 3.0 في تخزين Azure Blob.

تختلف متطلبات حساب التخزين عن هدف تخزين كائن ثنائي كبير الحجم ADLS-NFS وهدف تخزين كائن ثنائي كبير الحجم قياسي. اتبع الإرشادات الواردة في تخزين Mount Blob باستخدام بروتوكول نظام ملفات الشبكة (NFS) 3.0 بعناية لإنشاء حساب التخزين الذي يدعم NFS وتكوينه.

هذه نظرة عامة على الخطوات. قد تتغير هذه الخطوات، لذا راجع دائما إرشادات ADLS-NFS للحصول على التفاصيل الحالية.

تأكد من توفر الميزات التي تحتاجها في المناطق التي تخطط للعمل فيها.
تمكين ميزة بروتوكول NFS لاشتراكك. قم بذلك قبل إنشاء حساب التخزين.
إنشاء شبكة ظاهرية آمنة (VNet) لحساب التخزين. يجب استخدام نفس الشبكة الظاهرية لحساب التخزين الذي يدعم NFS وذاكرة التخزين المؤقت Azure HPC. (لا تستخدم نفس الشبكة الفرعية مثل ذاكرة التخزين المؤقت.)
أنشئ حساب التخزين.
- بدلا من استخدام إعدادات حساب التخزين لحساب تخزين كائن ثنائي كبير الحجم قياسي، اتبع الإرشادات الموجودة في مستند الكيفية. قد يختلف نوع حساب التخزين المدعوم حسب منطقة Azure.
- في قسم Networking، اختر نقطة نهاية خاصة في الشبكة الظاهرية الآمنة التي أنشأتها (مستحسن)، أو اختر نقطة نهاية عامة مع وصول مقيد من الشبكة الظاهرية الآمنة.
  
  اقرأ العمل مع نقاط النهاية الخاصة للحصول على تلميحات حول استخدام نقاط النهاية الخاصة مع أهداف تخزين HPC Cache.
- لا تنس إكمال قسم Advanced، حيث تقوم بتمكين الوصول إلى NFS.
- امنح تطبيق ذاكرة التخزين المؤقت حق الوصول إلى حساب تخزين Azure الخاص بك كما هو مذكور في الأذونات، أعلاه. يمكنك القيام بذلك في المرة الأولى التي تقوم فيها بإنشاء هدف تخزين. اتبع الإجراء في إضافة أهداف التخزين لمنح ذاكرة التخزين المؤقت أدوار الوصول المطلوبة.
  
  إذا لم تكن مالك حساب التخزين، فافعل هذه الخطوة من قبل المالك.

تعرف على المزيد حول استخدام أهداف تخزين ADLS-NFS مع Azure HPC Cache في استخدام تخزين blob المثبت على NFS مع Azure HPC Cache.

العمل مع نقاط النهاية الخاصة

يدعم Azure Storage نقاط النهاية الخاصة للسماح بالوصول الآمن إلى البيانات. يمكنك استخدام نقاط النهاية الخاصة مع أهداف تخزين الكائنات الثنائية كبيرة الحجم المثبتة على Azure أو NFS.

تعرف على المزيد حول نقاط النهاية الخاصة

توفر نقطة النهاية الخاصة عنوان IP محددا تستخدمه HPC Cache للاتصال بنظام التخزين الخلفي. إذا تغير عنوان IP هذا، فلن تتمكن ذاكرة التخزين المؤقت من إعادة إنشاء اتصال بالتخزين تلقائيا.

إذا كنت بحاجة إلى تغيير تكوين نقطة نهاية خاصة، فاتبع هذا الإجراء لتجنب مشكلات الاتصال بين التخزين و HPC Cache:

إيقاف هدف التخزين مؤقتا (أو جميع أهداف التخزين التي تستخدم نقطة النهاية الخاصة هذه).
قم بإجراء تغييرات على نقطة النهاية الخاصة، واحفظ هذه التغييرات.
ضع هدف التخزين مرة أخرى في الخدمة باستخدام الأمر "استئناف".
تحديث إعداد DNS الخاص بهدف التخزين.

اقرأ عرض أهداف التخزين وإدارتها لمعرفة كيفية إيقاف DNS مؤقتا واستئنافه وتحديثه لأهداف التخزين.

إعداد الوصول إلى Azure CLI (اختياري)

إذا كنت ترغب في إنشاء أو إدارة Azure HPC Cache من Azure CLI، تحتاج إلى تثبيت Azure CLI وملحق hpc-cache. اتبع الإرشادات الواردة في إعداد Azure CLI ل Azure HPC Cache.

الخطوات التالية

إنشاء مثيل Azure HPC Cache من مدخل Microsoft Azure

مشاركة عبر