Požadavky pro Azure HPC Cache

Článek
10/26/2023

Před vytvořením nové služby Azure HPC Cache se ujistěte, že vaše prostředí splňuje tyto požadavky.

Předplatné Azure

Doporučuje se placené předplatné.

Síťová infrastruktura

Před použitím mezipaměti je potřeba nastavit tyto požadavky související se sítí:

Vyhrazená podsíť pro instanci služby Azure HPC Cache
Podpora DNS, aby mezipaměť přistupovala k úložišti a dalším prostředkům
Přístup z podsítě k dalším službám infrastruktury Microsoft Azure, včetně serverů NTP a služby Azure Queue Storage.

Podsíť mezipaměti

Azure HPC Cache potřebuje vyhrazenou podsíť s těmito vlastnostmi:

Podsíť musí mít k dispozici alespoň 64 IP adres.
Komunikace uvnitř podsítě musí být neomezená. Pokud pro podsíť mezipaměti používáte skupinu zabezpečení sítě, ujistěte se, že povoluje všechny služby mezi interními IP adresami.
Podsíť nemůže hostovat žádné jiné virtuální počítače ani pro související služby, jako jsou klientské počítače.
Pokud používáte více instancí služby Azure HPC Cache, každá z nich potřebuje vlastní podsíť.

Osvědčeným postupem je vytvořit novou podsíť pro každou mezipaměť. V rámci vytváření mezipaměti můžete vytvořit novou virtuální síť a podsíť.

Při vytváření této podsítě dávejte pozor, aby jeho nastavení zabezpečení umožňovalo přístup k nezbytným službám infrastruktury uvedeným dále v této části. Můžete omezit odchozí připojení k internetu, ale ujistěte se, že existují výjimky pro položky popsané tady.

Přístup k DNS

Mezipaměť potřebuje, aby služba DNS přistupovala k prostředkům mimo svou virtuální síť. V závislosti na tom, které prostředky používáte, možná budete muset nastavit přizpůsobený server DNS a nakonfigurovat předávání mezi tímto serverem a servery Azure DNS:

Pokud chcete získat přístup ke koncovým bodům služby Azure Blob Storage a dalším interním prostředkům, potřebujete server DNS založený na Azure.
Pokud chcete získat přístup k místnímu úložišti, musíte nakonfigurovat vlastní server DNS, který dokáže přeložit názvy hostitelů úložiště. Než vytvoříte mezipaměť, musíte to udělat.

Pokud používáte jenom úložiště objektů blob, můžete pro mezipaměť použít výchozí server DNS poskytovaný službou Azure. Pokud ale potřebujete přístup k úložišti nebo jiným prostředkům mimo Azure, měli byste vytvořit vlastní server DNS a nakonfigurovat ho tak, aby předával všechny požadavky na překlad specifické pro Azure na server Azure DNS.

Pokud chcete použít vlastní server DNS, musíte před vytvořením mezipaměti provést tyto kroky nastavení:

Vytvořte virtuální síť, která bude hostovat Azure HPC Cache.
Vytvořte server DNS.
Přidejte server DNS do virtuální sítě mezipaměti.

Pomocí následujícího postupu přidejte server DNS do virtuální sítě na webu Azure Portal:
1. Otevřete virtuální síť na webu Azure Portal.
2. V nabídce Nastavení na bočním panelu zvolte servery DNS.
3. Vybrat vlastní
4. Do pole zadejte IP adresu serveru DNS.

Jednoduchý server DNS lze také použít k vyrovnávání zatížení připojení klientů mezi všemi dostupnými přípojným body mezipaměti.

Přečtěte si další informace o virtuálních sítích Azure a konfiguracích serverů DNS v překladu názvů pro prostředky ve virtuálních sítích Azure.

Přístup k protokolu NTP

Pro pravidelnou operaci potřebuje služba HPC Cache přístup k serveru NTP. Pokud omezíte odchozí provoz z virtuálních sítí, nezapomeňte povolit provoz alespoň na jeden server NTP. Výchozí server je time.windows.com a mezipaměť kontaktuje tento server na portu UDP 123.

Ve skupině zabezpečení sítě v mezipaměti vytvořte pravidlo, které umožňuje odchozí provoz na server NTP. Pravidlo může jednoduše povolit veškerý odchozí provoz na portu UDP 123 nebo mít další omezení.

Tento příklad explicitně otevře odchozí provoz na IP adresu 168.61.215.74, což je adresa používaná time.windows.com.

Priorita	Název	Port	Protokol	Zdroj	Cíl	Akce
200	NTP	Všechny	UDP	Všechny	168.61.215.74	Povolit

Ujistěte se, že pravidlo NTP má vyšší prioritu než jakákoli pravidla, která široce zakazují odchozí přístup.

Další tipy pro přístup k protokolu NTP:

Pokud máte mezi službou HPC Cache a serverem NTP brány firewall, ujistěte se, že tyto brány firewall také povolují přístup k protokolu NTP.
Server NTP, který vaše služba HPC Cache používá, můžete nakonfigurovat na stránce Sítě . Další informace najdete v tématu Konfigurace dalších nastavení .

Přístup ke službě Azure Queue Storage

Mezipaměť musí být schopná bezpečně přistupovat ke službě Azure Queue Storage z její vyhrazené podsítě. Azure HPC Cache používá službu front při komunikaci informací o konfiguraci a stavu.

Pokud mezipaměť nemá přístup ke službě fronty, může se při vytváření mezipaměti zobrazit zpráva Cache Připojení ivityError.

Přístup můžete poskytnout dvěma způsoby:

Vytvořte koncový bod služby Azure Storage v podsíti mezipaměti. Přečtěte si článek Přidání podsítě virtuální sítě s pokyny pro přidání koncového bodu služby Microsoft.Storage .
Individuálně nakonfigurujte přístup k doméně služby Fronta úložiště Azure ve vaší skupině zabezpečení sítě nebo jiných branách firewall.

Přidejte pravidla pro povolení přístupu na těchto portech:
- Port TCP 443 pro zabezpečený provoz na libovolného hostitele v doméně queue.core.windows.net (*.queue.core.windows.net).
- Port TCP 80 – slouží k ověření certifikátu na straně serveru. Někdy se to označuje jako kontrola seznamu odvolaných certifikátů (CRL) a komunikace protokolu OCSP (Online Certificate Status Protocol). Všechny *.queue.core.windows.net používají stejný certifikát, a proto stejné servery CRL/OCSP. Název hostitele je uložený v certifikátu SSL na straně serveru.
Další informace najdete v tipech k pravidlům zabezpečení v přístupu k protokolu NTP.

Tento příkaz zobrazí seznam serverů CRL a OSCP, ke kterým musí být povolený přístup. Tyto servery musí být přeložitelné pomocí DNS a dosažitelné na portu 80 z podsítě mezipaměti.
```
openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
```
Výstup vypadá nějak takto a může se změnit, pokud se certifikát SSL aktualizuje:
```
OCSP - URI:http://ocsp.msocsp.com
CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
```

Připojení podsítě můžete zkontrolovat pomocí tohoto příkazu z testovacího virtuálního počítače uvnitř podsítě:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

Úspěšné připojení vrátí tuto odpověď:

OCSP Response Status: successful (0x0)

Přístup k serveru událostí

Azure HPC Cache používá koncové body serveru událostí Azure k monitorování stavu mezipaměti a odesílání diagnostických informací.

Ujistěte se, že mezipaměť může bezpečně přistupovat k hostitelům v doméně events.data.microsoft.com – to znamená otevření portu TCP 443 pro provoz do *.events.data.microsoft.com.

Oprávnění

Než začnete vytvářet mezipaměť, zkontrolujte tyto požadavky související s oprávněními.

Instance mezipaměti musí být schopná vytvářet virtuální síťová rozhraní. Uživatel, který vytváří mezipaměť, musí mít dostatečná oprávnění k vytvoření síťových karet v předplatném.
Pokud používáte službu Blob Storage, azure HPC Cache potřebuje pro přístup k vašemu účtu úložiště autorizaci. Pomocí řízení přístupu na základě role v Azure (Azure RBAC) udělte mezipaměti přístup k úložišti objektů blob. Vyžadují se dvě role: Přispěvatel účtů úložiště a Přispěvatel dat objektů blob úložiště.

Podle pokynů v části Přidání cílů úložiště přidejte role.

Infrastruktura úložiště

Mezipaměť podporuje kontejnery objektů blob Azure, exporty hardwarového úložiště NFS a kontejnery objektů blob ADLS připojené systémem souborů NFS. Po vytvoření mezipaměti přidejte cíle úložiště.

Každý typ úložiště má specifické požadavky.

Požadavky na úložiště objektů blob

Pokud chcete s mezipamětí používat Úložiště objektů blob v Azure, potřebujete kompatibilní účet úložiště a prázdný kontejner objektů blob nebo kontejner, který je naplněný daty formátovanými službou Azure HPC Cache, jak je popsáno v části Přesun dat do úložiště objektů blob v Azure.

Poznámka:

Různé požadavky platí pro úložiště objektů blob připojených systémem souborů NFS. Podrobnosti najdete v požadavcích na úložiště ADLS-NFS.

Před pokusem o přidání cíle úložiště vytvořte účet. Když přidáte cíl, můžete vytvořit nový kontejner.

Pokud chcete vytvořit kompatibilní účet úložiště, použijte jednu z těchto kombinací:

Výkon	Type	Replikace	Úroveň přístupu
Standard	StorageV2 (obecné účely v2)	Místně redundantní úložiště (LRS) nebo zónově redundantní úložiště (ZRS)	Značný zájem
Premium	Objekty blob bloku	Místně redundantní úložiště (LRS)	Značný zájem

Účet úložiště musí být přístupný z privátní podsítě vaší mezipaměti. Pokud váš účet používá privátní koncový bod nebo veřejný koncový bod, který je omezený na konkrétní virtuální sítě, nezapomeňte povolit přístup z podsítě mezipaměti. (Nedoporučuje se otevřený veřejný koncový bod.)

Přečtěte si článek Práce s privátními koncovými body a tipy k používání privátních koncových bodů s cíli úložiště HPC Cache.

Doporučujeme použít účet úložiště ve stejné oblasti Azure jako mezipaměť.

Aplikaci mezipaměti musíte také udělit přístup k vašemu účtu úložiště Azure, jak je uvedeno výše v části Oprávnění. Postupujte podle pokynů v části Přidání cílů úložiště a udělte mezipaměti požadované přístupové role. Pokud nejste vlastníkem účtu úložiště, požádejte vlastníka, aby tento krok udělal.

Požadavky na úložiště NFS

Pokud používáte systém úložiště NFS (například místní hardwarový systém NAS), ujistěte se, že splňuje tyto požadavky. K ověření těchto nastavení možná budete muset spolupracovat se správci sítě nebo správci brány firewall pro váš systém úložiště (nebo datové centrum).

Poznámka:

Vytvoření cíle úložiště selže, pokud mezipaměť nemá dostatečný přístup k systému úložiště NFS.

Další informace najdete v části Řešení potíží s konfigurací NAS a cílovým úložištěm NFS.

Síťové připojení: Azure HPC Cache potřebuje přístup k síti s velkou šířkou pásma mezi podsítí mezipaměti a datovým centrem systému NFS. Doporučuje se ExpressRoute nebo podobný přístup. Pokud používáte síť VPN, možná ji budete muset nakonfigurovat tak, aby upnula TCP MSS na 1350, aby se zajistilo, že velké pakety nejsou blokované. Další pomoc s řešením potíží s nastavením sítě VPN najdete v omezení velikosti paketů VPN.
Přístup k portu: Mezipaměť potřebuje přístup ke konkrétním portům TCP/UDP ve vašem systému úložiště. Různé typy úložiště mají různé požadavky na porty.

Pokud chcete zkontrolovat nastavení systému úložiště, postupujte podle tohoto postupu.
- rpcinfo Vyžádejte svému systému úložiště příkaz, který zkontroluje potřebné porty. Následující příkaz zobrazí seznam portů a naformátuje relevantní výsledky v tabulce. (Místo ip adresy vašeho systému použijte IP adresu < vašeho systému.> storage_IP termín.)
  
  Tento příkaz můžete vydat z libovolného klienta s Linuxem, který má nainstalovanou infrastrukturu NFS. Pokud používáte klienta v podsíti clusteru, může také pomoct ověřit připojení mezi podsítí a systémem úložiště.
```
rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
```
Ujistěte se, že všechny porty vrácené dotazem rpcinfo umožňují neomezený provoz z podsítě služby Azure HPC Cache.
- Pokud příkaz nemůžete použít rpcinfo , ujistěte se, že tyto běžně používané porty umožňují příchozí a odchozí provoz:
  
  Protokol Port Service
  
  TCP/UDP 111 rpcbind
  
  TCP/UDP 2049 NFS
  
  TCP/UDP 4045 nlockmgr
  
  TCP/UDP 4046 připojeno
  
  TCP/UDP 4047 status
  
  Některé systémy používají pro tyto služby různá čísla portů – ujistěte se, že je v dokumentaci k vašemu systému úložiště.
- Zkontrolujte nastavení brány firewall a ujistěte se, že povolují provoz na všech těchto požadovaných portech. Nezapomeňte zkontrolovat brány firewall používané v Azure i místní brány firewall ve vašem datacentru.
Back-endové úložiště NFS musí být kompatibilní hardwarová/softwarová platforma. Úložiště musí podporovat systém souborů NFS verze 3 (NFSv3). Podrobnosti získáte od týmu azure HPC Cache.

Protokol	Port	Service
TCP/UDP	111	rpcbind
TCP/UDP	2049	NFS
TCP/UDP	4045	nlockmgr
TCP/UDP	4046	připojeno
TCP/UDP	4047	status

Požadavky na úložiště připojené k systému souborů NFS (ADLS-NFS)

Azure HPC Cache může také použít kontejner objektů blob připojený k protokolu NFS jako cíl úložiště.

Přečtěte si další informace o této funkci v podpoře protokolu NFS 3.0 ve službě Azure Blob Storage.

Požadavky na účet úložiště se liší pro cíl úložiště objektů blob ADLS-NFS a pro standardní cíl úložiště objektů blob. Postupujte podle pokynů v připojení úložiště objektů blob pomocí protokolu NFS (Network File System) 3.0 pečlivě a vytvořte a nakonfigurujte účet úložiště s podporou systému souborů NFS.

Toto je obecný přehled kroků. Tyto kroky se můžou změnit, takže aktuální podrobnosti najdete vždy v pokynech pro ADLS-NFS.

Ujistěte se, že jsou funkce, které potřebujete, dostupné v oblastech, ve kterých plánujete pracovat.
Povolte funkci protokolu NFS pro vaše předplatné. Udělejte to před vytvořením účtu úložiště.
Vytvořte pro účet úložiště zabezpečenou virtuální síť. Pro účet úložiště s podporou systému souborů NFS a pro službu Azure HPC Cache byste měli použít stejnou virtuální síť. (Nepoužívejte stejnou podsíť jako mezipaměť.)
Vytvořte účet úložiště.
- Místo použití nastavení účtu úložiště pro standardní účet úložiště objektů blob postupujte podle pokynů v dokumentu s postupy. Typ podporovaného účtu úložiště se může lišit podle oblasti Azure.
- V části Sítě zvolte privátní koncový bod v zabezpečené virtuální síti, kterou jste vytvořili (doporučeno), nebo zvolte veřejný koncový bod s omezeným přístupem ze zabezpečené virtuální sítě.
  
  Přečtěte si článek Práce s privátními koncovými body a tipy k používání privátních koncových bodů s cíli úložiště HPC Cache.
- Nezapomeňte dokončit část Upřesnit, kde povolíte přístup k systému souborů NFS.
- Udělte aplikaci mezipaměti přístup k vašemu účtu úložiště Azure, jak je uvedeno v části Oprávnění výše. Můžete to udělat při prvním vytvoření cíle úložiště. Postupujte podle pokynů v části Přidání cílů úložiště a udělte mezipaměti požadované přístupové role.
  
  Pokud nejste vlastníkem účtu úložiště, požádejte vlastníka, aby tento krok udělal.

Přečtěte si další informace o používání cílů úložiště ADLS-NFS se službou Azure HPC Cache při použití úložiště objektů blob připojeného k systému souborů NFS se službou Azure HPC Cache.

Práce s privátními koncovými body

Azure Storage podporuje privátní koncové body, které umožňují zabezpečený přístup k datům. Privátní koncové body můžete použít s cíli úložiště objektů blob připojených k Azure blob nebo NFS.

Další informace o privátních koncových bodech

Privátní koncový bod poskytuje konkrétní IP adresu, kterou služba HPC Cache používá ke komunikaci s back-endovým systémem úložiště. Pokud se tato IP adresa změní, mezipaměť nemůže automaticky znovu navázat připojení k úložišti.

Pokud potřebujete změnit konfiguraci privátního koncového bodu, postupujte podle tohoto postupu, abyste se vyhnuli problémům s komunikací mezi úložištěm a službou HPC Cache:

Pozastavte cíl úložiště (nebo všechny cíle úložiště, které používají tento privátní koncový bod).
Proveďte změny privátního koncového bodu a uložte tyto změny.
Cíl úložiště vložte zpět do služby pomocí příkazu "resume".
Aktualizujte nastavení DNS cíle úložiště.

Přečtěte si článek Zobrazení a správa cílů úložiště a zjistěte, jak pozastavit, obnovit a aktualizovat DNS pro cíle úložiště.

Nastavení přístupu k Azure CLI (volitelné)

Pokud chcete vytvořit nebo spravovat Azure HPC Cache z Azure CLI, musíte nainstalovat Azure CLI a rozšíření hpc-cache. Postupujte podle pokynů v tématu Nastavení Azure CLI pro Azure HPC Cache.

Další kroky

Vytvoření instance služby Azure HPC Cache z webu Azure Portal