Požadavky pro Azure HPC Cache

Před vytvořením nové služby Azure HPC Cache se ujistěte, že vaše prostředí splňuje tyto požadavky.

Předplatné Azure

Doporučuje se placené předplatné.

Síťová infrastruktura

Před použitím mezipaměti je potřeba nastavit tyto požadavky související se sítí:

• Vyhrazená podsíť pro instanci služby Azure HPC Cache
• Podpora DNS, aby mezipaměť přistupovala k úložišti a dalším prostředkům
• Přístup z podsítě k dalším službám infrastruktury Microsoft Azure, včetně serverů NTP a služby Azure Queue Storage.

Podsíť mezipaměti

Azure HPC Cache potřebuje vyhrazenou podsíť s těmito vlastnostmi:

• Podsíť musí mít k dispozici alespoň 64 IP adres.
• Komunikace uvnitř podsítě musí být neomezená. Pokud pro podsíť mezipaměti používáte skupinu zabezpečení sítě, ujistěte se, že povoluje všechny služby mezi interními IP adresami.
• Podsíť nemůže hostovat žádné jiné virtuální počítače ani pro související služby, jako jsou klientské počítače.
• Pokud používáte více instancí služby Azure HPC Cache, každá z nich potřebuje vlastní podsíť.

Osvědčeným postupem je vytvořit novou podsíť pro každou mezipaměť. V rámci vytváření mezipaměti můžete vytvořit novou virtuální síť a podsíť.

Při vytváření této podsítě dávejte pozor, aby jeho nastavení zabezpečení umožňovalo přístup k nezbytným službám infrastruktury uvedeným dále v této části. Můžete omezit odchozí připojení k internetu, ale ujistěte se, že existují výjimky pro položky popsané tady.

Přístup k DNS

Mezipaměť potřebuje, aby služba DNS přistupovala k prostředkům mimo svou virtuální síť. V závislosti na tom, které prostředky používáte, možná budete muset nastavit přizpůsobený server DNS a nakonfigurovat předávání mezi tímto serverem a servery Azure DNS:

• Pokud chcete získat přístup ke koncovým bodům služby Azure Blob Storage a dalším interním prostředkům, potřebujete server DNS založený na Azure.
• Pokud chcete získat přístup k místnímu úložišti, musíte nakonfigurovat DNS server přizpůsobený podle vašich potřeb, který dokáže rozpoznávat názvy hostitelů úložiště. Než vytvoříte mezipaměť, musíte to udělat.

Pokud používáte jenom úložiště objektů blob, můžete pro mezipaměť použít výchozí server DNS poskytovaný službou Azure. Pokud ale potřebujete přístup k úložišti nebo jiným prostředkům mimo Azure, měli byste vytvořit vlastní server DNS a nakonfigurovat ho tak, aby předával všechny požadavky na překlad specifické pro Azure na server Azure DNS.

Pokud chcete použít vlastní server DNS, musíte před vytvořením mezipaměti provést tyto kroky nastavení:

• Vytvořte virtuální síť, která bude hostovat Azure HPC Cache.

• Vytvořte server DNS.

• Přidejte server DNS do virtuální sítě mezipaměti.

  Pomocí následujícího postupu přidejte server DNS do virtuální sítě na webu Azure Portal:

  1. Otevřete virtuální síť na webu Azure Portal.
  2. V nabídce Nastavení na bočním panelu zvolte servery DNS.
  3. Vybrat vlastní
  4. Do pole zadejte IP adresu serveru DNS.

Jednoduchý server DNS lze také použít k vyvážení zátěže na připojení klientů mezi všemi dostupnými mezipaměťovými přípojnými body.

Přečtěte si více o virtuálních sítích Azure a konfiguracích serverů DNS v řešení názvů pro prostředky ve virtuálních sítích Azure.

Přístup k protokolu NTP

Pro pravidelnou operaci potřebuje služba HPC Cache přístup k serveru NTP. Pokud omezíte odchozí provoz z virtuálních sítí, nezapomeňte povolit provoz alespoň na jeden server NTP. Výchozí server je time.windows.com a mezipaměť kontaktuje tento server na portu UDP 123.

Ve skupině zabezpečení sítě v mezipaměti vytvořte pravidlo, které umožňuje odchozí provoz na server NTP. Pravidlo může jednoduše povolit veškerý odchozí provoz na portu UDP 123 nebo mít další omezení.

Tento příklad explicitně otevře odchozí provoz na IP adresu 168.61.215.74, což je adresa používaná time.windows.com.

Priorita	Název	Přístav	Protokol	Zdroj	Cíl	Akce
200	Síťový časový protokol (NTP)	Jakýkoliv	UDP (Protokol uživatelských datagramů)	Jakýkoliv	168.61.215.74	Povolit

Ujistěte se, že pravidlo NTP má vyšší prioritu než jakákoli pravidla, která široce zakazují odchozí přístup.

Další tipy pro přístup k protokolu NTP:

• Pokud máte mezi službou HPC Cache a serverem NTP brány firewall, ujistěte se, že tyto brány firewall také povolují přístup k protokolu NTP.

• Server NTP, který vaše služba HPC Cache používá, můžete nakonfigurovat na stránce Sítě . Další informace najdete v tématu Konfigurace dalších nastavení .

Přístup ke službě Azure Queue Storage

Mezipaměť musí být schopná bezpečně přistupovat ke službě Azure Queue Storage z její vyhrazené podsítě. Azure HPC Cache používá službu front při komunikaci informací o konfiguraci a stavu.

Pokud mezipaměť nemá přístup ke službě fronty, může se při vytváření mezipaměti zobrazit chybová zpráva CacheConnectivityError.

Přístup můžete poskytnout dvěma způsoby:

• Vytvořte koncový bod služby Azure Storage v podsíti mezipaměti. Přečtěte si článek Přidání podsítě virtuální sítě s pokyny pro přidání koncového bodu služby Microsoft.Storage .

• Individuálně nakonfigurujte přístup k doméně služby fronty úložiště Azure v rámci vaší skupiny zabezpečení sítě nebo jiných firewallů.

  Přidejte pravidla pro povolení přístupu na těchto portech:

  • Port TCP 443 pro zabezpečený provoz k libovolnému hostiteli v doméně queue.core.windows.net (*.queue.core.windows.net).

  • Port TCP 80 – slouží k ověření certifikátu na straně serveru. Někdy se to označuje jako kontrola seznamu odvolaných certifikátů (CRL) a komunikace protokolu OCSP (Online Certificate Status Protocol). Všechny *.queue.core.windows.net používají stejný certifikát, a proto stejné servery CRL/OCSP. Název hostitele je uložený v certifikátu SSL na straně serveru.

  Další informace najdete v tipech k pravidlům zabezpečení v přístupu k protokolu NTP.

  Tento příkaz zobrazí seznam serverů CRL a OCSP, ke kterým je potřeba povolit přístup. Tyto servery musí být rozpoznatelné pomocí DNS a dosažitelné na portu 80 protokolu HTTP z podsítě mezipaměti.

  
  openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
  
  

  Výstup vypadá nějak takto a může se změnit, pokud se certifikát SSL aktualizuje:

  OCSP - URI:http://ocsp.msocsp.com
  CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
  CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
  

Připojení podsítě můžete zkontrolovat pomocí tohoto příkazu z testovacího virtuálního počítače uvnitř podsítě:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

Úspěšné připojení vrátí tuto odpověď:

OCSP Response Status: successful (0x0)

Přístup k serveru událostí

Azure HPC Cache používá koncové body serveru událostí Azure k monitorování stavu mezipaměti a odesílání diagnostických informací.

Ujistěte se, že mezipaměť může bezpečně přistupovat k hostitelům v doméně events.data.microsoft.com – to znamená otevření portu TCP 443 pro provoz do *.events.data.microsoft.com.

Oprávnění

Než začnete vytvářet mezipaměť, zkontrolujte tyto požadavky související s oprávněními.

• Instance mezipaměti musí být schopná vytvářet virtuální síťová rozhraní. Uživatel, který vytváří mezipaměť, musí mít v rámci předplatného dostatečná oprávnění k vytváření síťových karet.

• Pokud používáte službu Blob Storage, azure HPC Cache potřebuje pro přístup k vašemu účtu úložiště autorizaci. Pomocí řízení přístupu založeného na rolích v Azure (Azure RBAC) udělte vaší mezipaměti přístup k úložišti objektů blob. Vyžadují se dvě role: Přispěvatel účtů úložiště a Přispěvatel data blobů úložiště.

  Řiďte se pokyny v sekci Přidání úložných cílů a přidejte role.

Infrastruktura úložiště

Mezipaměť podporuje kontejnery objektů blob Azure, exporty úložišť pomocí NFS hardwaru a kontejnery objektů blob ADLS připojené systémem souborů NFS. Po vytvoření mezipaměti přidejte úložné cíle.

Každý typ úložiště má specifické požadavky.

Požadavky pro blob úložiště

Pokud chcete s mezipamětí používat Azure Blob Storage, potřebujete kompatibilní účet úložiště a buď prázdný kontejner objektů Blob, nebo kontejner naplněný daty v formátu Azure HPC Cache, jak je popsáno v části Přesun dat do Azure Blob Storage.

Poznámka:

Na blob úložiště, která jsou připojena přes NFS, se vztahují různé požadavky. Podrobnosti najdete v požadavcích na úložiště ADLS-NFS.

Před pokusem o přidání cíle úložiště vytvořte účet. Když přidáte cíl, můžete vytvořit nový kontejner.

Pokud chcete vytvořit kompatibilní účet úložiště, použijte jednu z těchto kombinací:

Výkon	Typ	Replikace	Úroveň přístupu
Standardní	StorageV2 (všeobecné účely v2)	Místně redundantní úložiště (LRS) nebo zónově redundantní úložiště (ZRS)	Horký
Prémiový	Blokové objekty	Místně redundantní úložiště (LRS)	Horký

Účet úložiště musí být přístupný z privátní podsítě vaší mezipaměti. Pokud váš účet používá privátní koncový bod nebo veřejný koncový bod, který je omezený na konkrétní virtuální sítě, nezapomeňte povolit přístup z podsítě mezipaměti. (Otevřený veřejný koncový bod se nedoporučuje.)

Přečtěte si článek Práce s privátními koncovými body a tipy k používání privátních koncových bodů s cíli úložiště HPC Cache.

Je dobrou praxí používat úložišťový účet ve stejné oblasti Azure jako vaši mezipaměť.

Také musíte aplikaci mezipaměti udělit přístup k vašemu účtu úložiště Azure, jak je uvedeno výše v části Oprávnění. Postupujte podle postupu v Přidat cíle úložiště a udělte mezipaměti požadované přístupové role. Pokud nejste vlastníkem účtu úložiště, požádejte vlastníka, aby tento krok udělal.

Požadavky na úložiště NFS

Pokud používáte systém úložiště NFS (například místní hardwarový systém NAS), ujistěte se, že splňuje tyto požadavky. K ověření těchto nastavení možná budete muset spolupracovat se správci sítě nebo správci brány firewall pro váš systém úložiště (nebo datové centrum).

Poznámka:

Vytvoření cíle úložiště selže, pokud mezipaměť nemá dostatečný přístup k systému úložiště NFS.

Další informace najdete v části Řešení potíží s konfigurací NAS a cílovým úložištěm NFS.

• Síťové připojení: Azure HPC Cache potřebuje přístup k síti s velkou šířkou pásma mezi podsítí mezipaměti a datovým centrem systému NFS. Doporučuje se ExpressRoute nebo podobný přístup. Pokud používáte síť VPN, možná ji budete muset nakonfigurovat tak, aby upnula TCP MSS na 1350, aby se zajistilo, že velké pakety nejsou blokované. Přečtěte si omezení velikosti paketů VPN pro další pomoc s řešením potíží s nastavením sítě VPN.

• Přístup k portu: Mezipaměť potřebuje přístup ke konkrétním portům TCP/UDP ve vašem systému úložiště. Různé typy úložiště mají různé požadavky na porty.

  Pokud chcete zkontrolovat nastavení systému úložiště, postupujte podle tohoto postupu.

  • rpcinfo Vyžádejte svému systému úložiště příkaz, který zkontroluje potřebné porty. Následující příkaz zobrazí seznam portů a naformátuje relevantní výsledky v tabulce. (Použijte IP adresu vašeho systému namísto termínu <storage_IP>.)

    Tento příkaz můžete vydat z libovolného klienta s Linuxem, který má nainstalovanou infrastrukturu NFS. Pokud používáte klienta v podsíti clusteru, může také pomoct ověřit připojení mezi podsítí a systémem úložiště.

    rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
    

  Ujistěte se, že všechny porty vrácené dotazem rpcinfo umožňují neomezený provoz z podsítě služby Azure HPC Cache.

  • Pokud příkaz nemůžete použít rpcinfo , ujistěte se, že tyto běžně používané porty umožňují příchozí a odchozí provoz:

    Protokol	Přístav	Služba
    TCP/UDP	111	rpcbind
    TCP/UDP	2049	Síťový souborový systém (NFS)
    TCP/UDP	4045	nlockmgr
    TCP/UDP	4046	připojeno
    TCP/UDP	4047	stav

    Určité systémy používají pro tyto služby různá čísla portů – pro jistotu konzultujte dokumentaci k vašemu systému ukládání dat.

  • Zkontrolujte nastavení brány firewall a ujistěte se, že povolují provoz na všech těchto požadovaných portech. Nezapomeňte zkontrolovat brány firewall používané v Azure i lokální brány firewall ve vašem datacentru.

• Back-endové úložiště NFS musí být kompatibilní hardwarová/softwarová platforma. Úložiště musí podporovat systém souborů NFS verze 3 (NFSv3). Podrobnosti získáte od týmu azure HPC Cache.

Požadavky na úložiště připojené k systému souborů NFS (ADLS-NFS)

Azure HPC Cache může také použít kontejner objektů blob připojený k protokolu NFS jako cíl úložiště.

Přečtěte si další informace o této funkci v podpoře protokolu NFS 3.0 ve službě Azure Blob Storage.

Požadavky na účet úložiště se liší pro cíl úložiště objektů blob ADLS-NFS a pro standardní cíl úložiště objektů blob. Pečlivě postupujte podle pokynů v Připojení úložiště objektů blob pomocí protokolu NFS (Network File System) 3.0, abyste vytvořili a nakonfigurovali účet úložiště s podporou NFS.

Toto je obecný přehled kroků. Tyto kroky se můžou změnit, takže aktuální podrobnosti najdete vždy v pokynech pro ADLS-NFS.

1. Ujistěte se, že jsou funkce, které potřebujete, dostupné v oblastech, ve kterých plánujete pracovat.

2. Povolte funkci protokolu NFS pro vaše předplatné. Udělejte to před vytvořením účtu úložiště.

3. Vytvořte pro účet úložiště zabezpečenou virtuální síť. Pro účet úložiště s podporou systému souborů NFS a pro službu Azure HPC Cache byste měli použít stejnou virtuální síť. (Nepoužívejte stejnou podsíť jako mezipaměť.)

4. Vytvořte účet úložiště.

   • Místo použití nastavení účtu úložiště pro standardní účet úložiště objektů blob postupujte podle pokynů v dokumentu s postupy. Typ podporovaného účtu úložiště se může lišit podle oblasti Azure.

   • V části Sítě zvolte privátní koncový bod v zabezpečené virtuální síti, kterou jste vytvořili (doporučeno), nebo zvolte veřejný koncový bod s omezeným přístupem ze zabezpečené virtuální sítě.

     Přečtěte si článek Práce s privátními koncovými body a tipy k používání privátních koncových bodů s cíli úložiště HPC Cache.

   • Nezapomeňte dokončit část Upřesnit, kde povolíte přístup k systému souborů NFS.

   • Udělte aplikaci mezipaměti přístup k vašemu účtu úložiště Azure, jak je uvedeno v oprávněních výše. Toto můžete udělat poprvé, když vytváříte cíl úložiště. Postupujte podle postupu v Přidat cíle úložiště a udělte mezipaměti požadované přístupové role.

     Pokud nejste vlastníkem účtu úložiště, požádejte vlastníka, aby tento krok udělal.

Zjistěte více o používání úložných cílů ADLS-NFS se službou Azure HPC Cache v části Použití úložiště objektů blob připojeného k systému souborů NFS se službou Azure HPC Cache.

Práce s privátními koncovými body

Azure Storage podporuje privátní koncové body, které umožňují zabezpečený přístup k datům. Privátní koncové body můžete použít s cíly úložiště objektů blob, které jsou buď v Azure Blob, nebo připojené k NFS.

Další informace o privátních koncových bodech

Privátní koncový bod poskytuje konkrétní IP adresu, kterou služba HPC Cache používá ke komunikaci s back-endovým systémem úložiště. Pokud se tato IP adresa změní, mezipaměť nemůže automaticky znovu navázat připojení k úložišti.

Pokud potřebujete změnit konfiguraci privátního koncového bodu, postupujte podle tohoto postupu, abyste se vyhnuli problémům s komunikací mezi úložištěm a službou HPC Cache:

1. Pozastavte cíl úložiště (nebo všechny cíle úložiště, které používají tento privátní koncový bod).
2. Proveďte změny privátního koncového bodu a uložte tyto změny.
3. Cíl úložiště vložte zpět do služby pomocí příkazu "resume".
4. Aktualizujte nastavení DNS cíle úložiště.

Přečtěte si článek Zobrazení a správa cílů úložiště a zjistěte, jak pozastavit, obnovit a aktualizovat DNS pro cíle úložiště.

Nastavení přístupu k Azure CLI (volitelné)

Pokud chcete vytvořit nebo spravovat Azure HPC Cache z Azure CLI, musíte nainstalovat Azure CLI a rozšíření hpc-cache. Postupujte podle pokynů v tématu Nastavení Azure CLI pro Azure HPC Cache.

Další kroky

• Vytvoření instance služby Azure HPC Cache z webu Azure Portal