Konfigurace předplatného Azure
Abyste mohli spustit Azure CycleCloud, budete potřebovat platné předplatné Azure a Virtual Network.
Obecně platí, že rozhodnutí o vytváření a konfiguraci tenanta Azure a předplatného jsou obchodní rozhodnutí mimo rozsah dokumentace ke službě Azure CycleCloud. Vzhledem k tomu, že obecně platí, že aplikace HPC a velké výpočetní prostředky jsou náročné na prostředky, je vhodné zvážit vytvoření vyhrazeného předplatného pro sledování fakturace, použít limity využití a izolovat využití prostředků a rozhraní API. Další informace o návrhu tenanta a předplatných Azure najdete v tématu Správa předplatného Azure.
Konfigurace služby Virtual Network
Budete muset vybrat existující Virtual Network Azure a podsítě nebo vytvořit nový Virtual Network, ve kterém se má spustit virtuální počítač CycleCloud a výpočetní clustery, které bude spravovat CycleCloud.
Pokud Virtual Network ještě není vytvořený, můžete zvážit spuštění poskytnutého nasazení šablony ARM v CycleCloudu. Šablona ARM CycleCloud vytvoří novou virtuální síť pro CycleCloud a výpočetní clustery v době nasazení. Případně můžete podle těchto pokynů vytvořit nový Virtual Network.
Pokud pro Virtual Network ještě nejsou nakonfigurované ExpressRoute nebo VPN, je možné se připojit k Virtual Network přes veřejný internet, ale důrazně doporučujeme nakonfigurovat VPN Gateway.
Konfigurace podsítě a skupiny zabezpečení sítě
Vzhledem k tomu, že CycleCloud má obecně různé požadavky na zabezpečení sítě a zásady přístupu než výpočetní clustery, je často vhodné spustit Azure CycleCloud v jiné podsíti Azure než clustery.
Doporučeným postupem je použít alespoň dvě podsítě – jednu pro virtuální počítač CycleCloud a všechny ostatní virtuální počítače se stejnými zásadami přístupu a další podsítě pro výpočetní clustery. Mějte ale na paměti, že u velkých clusterů se rozsah IP adres podsítě může stát limitovacím faktorem. Obecně platí, že podsíť CycleCloud by měla používat malý rozsah CIDR a výpočetní podsítě by měly být velké.
Postupujte podle zde uvedených pokynů a vytvořte jednu nebo více podsítí ve vašem Virtual Network.
Použití více podsítí pro výpočetní prostředky
Clustery CycleCloud se můžou nakonfigurovat tak, aby spouštěly uzly a uzly napříč několika podsítěmi, pokud všechny virtuální počítače můžou komunikovat v rámci clusteru a s CycleCloudem (třeba prostřednictvím return proxy). Často je například užitečné spustit uzel plánovače nebo odesílací uzly v podsíti s různými pravidly zabezpečení od spuštěných uzlů. Výchozí typy clusterů v CycleCloudu předpokládají jednu podsíť pro celý cluster, ale podsíť může být nakonfigurována na uzel nebo nodearray pomocí SubnetId atributu v šabloně uzlu.
Výchozí překlad názvů hostitelů založený na souborech hostitelů použitý u clusterů CycleCloud ale ve výchozím nastavení generuje soubor hosts-file pro podsíť uzlu. Proto při vytváření clusteru, který zahrnuje více podsítí, musí být překlad názvů hostitelů také přizpůsoben pro cluster.
Pro podporu více výpočetních podsítí se vyžaduje 2 základní změny šablony clusteru:
-
SubnetIdNastavte atribut na každém uzlu nebo uzlu, který není ve výchozí podsíti clusteru. - Nakonfigurujte překlad názvů hostitelů pro všechny podsítě:
- Použití zóny Azure DNS a zakázání výchozího překladu souborů na základě hostitelů
- Nebo nastavte
CycleCloud.hosts.standalone_dns.subnetsatribut na rozsah CIDR virtuální sítě nebo seznam rozsahů CIDR oddělených čárkami pro každou podsíť. Podrobnosti najdete v referenčních informacích ke konfiguraci uzlu .
Nastavení skupiny zabezpečení sítě pro podsíť CycleCloud
Konfigurace azure Virtual Network pro zabezpečení je široké téma, které přesahuje rozsah tohoto dokumentu.
Clustery CycleCloud a CycleCloud můžou fungovat ve velmi uzamčených prostředích. Podrobnosti o konfiguraci najdete v tématu Spuštění v uzamčených sítích a spouštění za proxy serverem .
Pro méně omezující sítě však existuje několik obecných pokynů. Nejprve uživatelé grafického uživatelského rozhraní CycleCloud vyžadují přístup k virtuálnímu počítači CycleCloud přes HTTPS a správci můžou vyžadovat přístup SSH. Uživatelé clusteru obecně vyžadují přístup SSH k alespoň uzlům odeslání ve výpočetních clusterech a potenciálně dalšímu přístupu, jako je RDP pro clustery s Windows. Posledním obecným pravidlem je omezení přístupu na minimum požadované.
Pokud chcete vytvořit novou skupinu zabezpečení sítě pro každou z výše vytvořených podsítí, postupujte podle pokynů k vytvoření skupiny zabezpečení sítě.
Příchozí pravidla zabezpečení
Důležité
Následující pravidla předpokládají, že je vaše virtuální síť nakonfigurovaná s ExpressRoute nebo VPN pro přístup k privátní síti. Pokud běží přes veřejný internet, měl by se zdroj změnit na vaši veřejnou IP adresu nebo rozsah podnikových IP adres.
Podsíť virtuálního počítače CycleCloud
| Název | Priorita | Zdroj | Služba | Protokol | Rozsah portů |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | Vlastní | TCP | 22 |
| HTTPS | 110 | VirtualNetwork | Vlastní | TCP | 443 |
| HTTPS | 110 | VirtualNetwork | Vlastní | TCP | 9443 |
Výpočetní podsítě
| Název | Priorita | Zdroj | Služba | Protokol | Rozsah portů |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | Vlastní | TCP | 22 |
| Protokol RDP | 110 | VirtualNetwork | Vlastní | TCP | 3389 |
| Uzlin | 120 | VirtualNetwork | Vlastní | TCP | 8652 |
Odchozí pravidla zabezpečení
Obecně platí, že virtuální počítač CycleCloud a výpočetní clustery očekávají, že budou mít přístup k internetu pro instalaci balíčků a volání rozhraní Azure REST API.
Pokud zásady zabezpečení blokují odchozí přístup k internetu, postupujte podle pokynů pro spuštění v uzamčených sítích a spuštění za proxy serverem , kde najdete podrobnosti o konfiguraci.