Požadavky pro Azure HPC Cache

Před vytvořením nového HPC Cache Azure se ujistěte, že vaše prostředí splňuje tyto požadavky.

Předplatné Azure

Doporučuje se placené předplatné.

Síťová infrastruktura

Před použitím mezipaměti je potřeba nastavit tyto požadavky související se sítí:

  • Vyhrazená podsíť pro instanci Azure HPC Cache
  • Podpora DNS, aby mezipaměť byla přístup k úložišti a dalším prostředkům
  • Přístup z podsítě k dalším službám infrastruktury Microsoft Azure, včetně serverů NTP a služby Azure Queue Storage.

Podsíť mezipaměti

Azure HPC Cache potřebuje vyhrazenou podsíť s těmito vlastnostmi:

  • Podsíť musí mít k dispozici alespoň 64 IP adres.
  • Komunikace uvnitř podsítě musí být neomezená. Pokud pro podsíť mezipaměti používáte skupinu zabezpečení sítě, ujistěte se, že povoluje všechny služby mezi interními IP adresami.
  • Podsíť nemůže hostovat žádné jiné virtuální počítače ani pro související služby, jako jsou klientské počítače.
  • Pokud používáte více instancí Azure HPC Cache, každá z nich potřebuje vlastní podsíť.

Osvědčeným postupem je vytvořit novou podsíť pro každou mezipaměť. V rámci vytváření mezipaměti můžete vytvořit novou virtuální síť a podsíť.

Při vytváření této podsítě dávejte pozor, aby nastavení zabezpečení umožňovalo přístup k potřebným službám infrastruktury uvedeným dále v této části. Můžete omezit odchozí připojení k internetu, ale ujistěte se, že jsou zde uvedené výjimky.

Přístup k DNS

Mezipaměť potřebuje, aby služba DNS přistupovala k prostředkům mimo svou virtuální síť. V závislosti na tom, které prostředky používáte, možná budete muset nastavit přizpůsobený server DNS a nakonfigurovat předávání mezi tímto serverem a servery Azure DNS:

  • Abyste měli přístup ke koncovým bodům azure Blob Storage a dalším interním prostředkům, potřebujete server DNS založený na Azure.
  • Pokud chcete získat přístup k místnímu úložišti, musíte nakonfigurovat vlastní server DNS, který dokáže přeložit názvy hostitelů úložiště. Před vytvořením mezipaměti to musíte udělat.

Pokud používáte jenom službu Blob Storage, můžete pro mezipaměť použít výchozí server DNS poskytovaný v Azure. Pokud ale potřebujete přístup k úložišti nebo jiným prostředkům mimo Azure, měli byste vytvořit vlastní server DNS a nakonfigurovat ho tak, aby předával všechny požadavky na překlad specifické pro Azure na server Azure DNS.

Pokud chcete použít vlastní server DNS, musíte před vytvořením mezipaměti provést tyto kroky nastavení:

  • Vytvořte virtuální síť, která bude hostovat azure HPC Cache.

  • Vytvořte server DNS.

  • Přidejte server DNS do virtuální sítě mezipaměti.

    Pomocí následujícího postupu přidejte server DNS do virtuální sítě v Azure Portal:

    1. Otevřete virtuální síť v Azure Portal.
    2. V nabídce Nastavení na bočním panelu zvolte servery DNS.
    3. Vybrat vlastní
    4. Do pole zadejte IP adresu serveru DNS.

Jednoduchý server DNS je také možné použít k vyrovnávání zatížení připojení klientů mezi všemi dostupnými přípojným body mezipaměti.

Přečtěte si další informace o virtuálních sítích Azure a konfiguracích serverů DNS v překladu názvů prostředků ve virtuálních sítích Azure.

Přístup NTP

HPC Cache potřebuje k běžnému provozu přístup k serveru NTP. Pokud omezíte odchozí provoz z virtuálních sítí, nezapomeňte povolit provoz alespoň na jeden server NTP. Výchozí server je time.windows.com a mezipaměť kontaktuje tento server na portu UDP 123.

Vytvořte pravidlo ve skupině zabezpečení sítě mezipaměti, které umožňuje odchozí provoz na server NTP. Pravidlo může jednoduše povolit veškerý odchozí provoz na portu UDP 123 nebo mít více omezení.

Tento příklad explicitně otevře odchozí provoz na IP adresu 168.61.215.74, což je adresa používaná time.windows.com.

Priorita Název Port Protokol Zdroj Cíl Akce
200 NTP Všechny UDP Všechny 168.61.215.74 Povolit

Ujistěte se, že pravidlo NTP má vyšší prioritu než jakákoli pravidla, která široce zamítnou odchozí přístup.

Další tipy pro přístup k NTP:

  • Pokud máte brány firewall mezi HPC Cache a serverem NTP, ujistěte se, že tyto brány firewall také povolují přístup ntP.

  • Na stránce Sítě můžete nakonfigurovat server NTP, který HPC Cache používá. Další informace najdete v článku Konfigurace dalších nastavení .

Přístup ke službě Azure Queue Storage

Mezipaměť musí být schopná bezpečně přistupovat ke službě Azure Queue Storage z jeho vyhrazené podsítě. Azure HPC Cache používá službu front při komunikaci informací o konfiguraci a stavu.

Pokud mezipaměť nemá přístup ke službě queue, může se při vytváření mezipaměti zobrazit zpráva CacheConnectivityError.

Přístup můžete poskytnout dvěma způsoby:

  • Ve vaší podsíti mezipaměti vytvořte koncový bod služby Azure Storage. Přečtěte si článek Přidání podsítě virtuální sítě a pokyny pro přidání koncového bodu služby Microsoft.Storage.

  • Individuálně nakonfigurujte přístup k doméně služby Fronta úložiště Azure ve vaší skupině zabezpečení sítě nebo jiných bran firewall.

    Přidejte pravidla pro povolení přístupu na těchto portech:

    • Port TCP 443 pro zabezpečený provoz na libovolného hostitele v doméně queue.core.windows.net (*.queue.core.windows.net).

    • Port TCP 80 – slouží k ověření certifikátu na straně serveru. Tato komunikace se někdy označuje jako seznam odvolaných certifikátů (CRL) a komunikace protokolu OCSP (Online Certificate Status Protocol). Všechny *.queue.core.windows.net používají stejný certifikát, a proto stejné servery CRL/OCSP. Název hostitele je uložený v certifikátu SSL na straně serveru.

    Další informace najdete v tipech k pravidlům zabezpečení v přístupu NTP .

    Tento příkaz vypíše seznam serverů CRL a OSCP, které musí mít povolený přístup. Tyto servery musí být přeložit pomocí DNS a dosažitelné na portu 80 z podsítě mezipaměti.

    
    openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
    
    

    Výstup vypadá nějak takto a může se změnit, pokud se certifikát SSL aktualizuje:

    OCSP - URI:http://ocsp.msocsp.com
    CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
    CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
    

Připojení podsítě můžete zkontrolovat pomocí tohoto příkazu z testovacího virtuálního počítače uvnitř podsítě:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

Úspěšné připojení poskytuje tuto odpověď:

OCSP Response Status: successful (0x0)

Oprávnění

Než začnete vytvářet mezipaměť, zkontrolujte tyto požadavky související s oprávněními.

  • Instance mezipaměti musí být schopná vytvořit virtuální síťová rozhraní.. Uživatel, který vytváří mezipaměť, musí mít dostatečná oprávnění v předplatném, aby mohl vytvářet síťové karty.

  • Pokud používáte Blob Storage, Azure HPC Cache potřebuje autorizaci pro přístup k vašemu účtu úložiště. K udělení přístupu k úložišti objektů blob použijte řízení přístupu na základě role Azure (Azure RBAC). Vyžadují se dvě role: přispěvatel Storage účtu a přispěvatel dat objektů blob Storage.

    Podle pokynů v části Přidání cílů úložiště přidejte role.

infrastruktura Storage

Mezipaměť podporuje kontejnery objektů blob Azure, exporty hardwarového úložiště NFS a kontejnery objektů blob ADLS připojené k systému souborů NFS. Po vytvoření mezipaměti přidejte cíle úložiště.

Velikost mezipaměti určuje počet cílů úložiště, které může podporovat – až 10 cílů úložiště pro většinu mezipamětí nebo až 20 pro největší velikosti. Velikost čtení mezipaměti správně pro podporu cílů úložiště najdete v podrobnostech.

Každý typ úložiště má specifické požadavky.

Požadavky na úložiště objektů blob

Pokud chcete použít azure Blob Storage s mezipamětí, potřebujete kompatibilní účet úložiště a prázdný kontejner objektů blob nebo kontejner, který je naplněný azure HPC Cache formátovaná data, jak je popsáno v části Přesun dat do služby Azure Blob Storage.

Poznámka

Různé požadavky platí pro úložiště objektů blob připojeného systémem souborů NFS. Podrobnosti najdete v požadavcích na úložiště ADLS-NFS .

Vytvořte účet před pokusem o přidání cíle úložiště. Po přidání cíle můžete vytvořit nový kontejner.

Pokud chcete vytvořit kompatibilní účet úložiště, použijte jednu z těchto kombinací:

Výkon Typ Replikace Úroveň přístupu
Standard StorageV2 (obecné účely v2) Místně redundantní úložiště (LRS) nebo zónově redundantní úložiště (ZRS) Horká
Premium Objekty blob bloku Místně redundantní úložiště (LRS) Horká

Účet úložiště musí být přístupný z privátní podsítě vaší mezipaměti. Pokud váš účet používá privátní koncový bod nebo veřejný koncový bod, který je omezený na konkrétní virtuální sítě, nezapomeňte povolit přístup z podsítě mezipaměti. ( Nedoporučuje se otevřený veřejný koncový bod.)

Tipy k používání privátních koncových bodů s cíli úložiště HPC Cache najdete v tématu Práce s privátními koncovými body.

Doporučujeme použít účet úložiště ve stejné oblasti Azure jako mezipaměť.

Aplikaci mezipaměti také musíte udělit přístup k vašemu účtu úložiště Azure, jak je uvedeno v části Oprávnění výše. Postupujte podle postupu v části Přidání cílů úložiště a udělte mezipaměti požadované role přístupu. Pokud nejste vlastníkem účtu úložiště, požádejte vlastníka o tento krok.

Požadavky na úložiště NFS

Pokud používáte systém úložiště NFS (například místní hardwarový systém NAS), ujistěte se, že splňuje tyto požadavky. Abyste mohli tato nastavení ověřit, budete možná muset spolupracovat se správci sítě nebo správci brány firewall pro váš systém úložiště (nebo datové centrum).

Poznámka

Storage vytvoření cíle selže, pokud mezipaměť nemá dostatečný přístup k systému úložiště NFS.

Další informace najdete v části Řešení potíží s konfigurací NAS a cílovým úložištěm NFS.

  • Síťové připojení: Azure HPC Cache potřebuje přístup k síti s velkou šířkou pásma mezi podsítí mezipaměti a datovým centrem systému NFS. Doporučuje se expressRoute nebo podobný přístup. Pokud používáte vpn, možná ho budete muset nakonfigurovat tak, aby upnul TCP MSS na 1350, aby se zajistilo, že nejsou blokované velké pakety. Přečtěte si omezení velikosti paketů VPN pro další pomoc s řešením potíží s nastavením sítě VPN.

  • Přístup k portům: Mezipaměť potřebuje přístup ke konkrétním portům TCP/UDP v systému úložiště. Různé typy úložiště mají různé požadavky na port.

    Pokud chcete zkontrolovat nastavení systému úložiště, postupujte podle tohoto postupu.

    • rpcinfo Zadejte příkaz pro systém úložiště a zkontrolujte potřebné porty. Následující příkaz vypíše porty a naformátuje relevantní výsledky v tabulce. (Místo termínu storage_IP> použijte IP adresu< vašeho systému.)

      Tento příkaz můžete vydat z libovolného klienta s Linuxem, který má nainstalovanou infrastrukturu NFS. Pokud používáte klienta v podsíti clusteru, může vám také pomoct ověřit připojení mezi podsítí a systémem úložiště.

      rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
      

    Ujistěte se, že všechny porty vrácené dotazem rpcinfo umožňují neomezený provoz z podsítě Azure HPC Cache.

    • Pokud příkaz nemůžete použít rpcinfo , ujistěte se, že tyto běžně používané porty umožňují příchozí a odchozí provoz:

      Protokol Port Služba
      TCP/UDP 111 rpcbind
      TCP/UDP 2049 NFS
      TCP/UDP 4045 nlockmgr
      TCP/UDP 4046 připojeno
      TCP/UDP 4047 status

      Některé systémy používají pro tyto služby různá čísla portů – s jistotou si projděte dokumentaci k systému úložiště.

    • Zkontrolujte nastavení brány firewall a ujistěte se, že povolují provoz na všech těchto požadovaných portech. Nezapomeňte zkontrolovat brány firewall používané v Azure i místní brány firewall ve vašem datacentru.

  • Back-endové úložiště NFS musí být kompatibilní hardwarová/softwarová platforma. Úložiště musí podporovat systém souborů NFS verze 3 (NFSv3). Podrobnosti získáte od týmu Azure HPC Cache.

Požadavky na úložiště připojeného k systému souborů NFS (ADLS-NFS)

Azure HPC Cache také může jako cíl úložiště použít kontejner objektů blob připojený k protokolu NFS.

Přečtěte si další informace o této funkci v podpoře protokolu NFS 3.0 ve službě Azure Blob Storage.

Požadavky na účet úložiště se liší pro cíl úložiště objektů blob ADLS-NFS a pro standardní cíl úložiště objektů blob. Postupujte podle pokynů v úložišti objektů blob připojením pomocí protokolu NFS (Network File System) 3.0 pečlivě a vytvořte a nakonfigurujte účet úložiště s podporou systému souborů NFS.

Toto je obecný přehled kroků. Tyto kroky se můžou změnit, takže aktuální podrobnosti najdete vždy v pokynech ADLS-NFS .

  1. Ujistěte se, že funkce, které potřebujete, jsou dostupné v oblastech, ve kterých plánujete pracovat.

  2. Povolte funkci protokolu NFS pro vaše předplatné. Udělejte to před vytvořením účtu úložiště.

  3. Vytvořte pro účet úložiště zabezpečenou virtuální síť. Pro účet úložiště s podporou systému souborů NFS a pro HPC Cache Azure byste měli použít stejnou virtuální síť. (Nepoužívejte stejnou podsíť jako mezipaměť.)

  4. Vytvořte účet úložiště.

    • Místo použití nastavení účtu úložiště pro účet úložiště blob úrovně Standard postupujte podle pokynů v dokumentu s postupy. Typ podporovaného účtu úložiště se může lišit podle oblasti Azure.

    • V části Sítě zvolte privátní koncový bod v zabezpečené virtuální síti, kterou jste vytvořili (doporučeno), nebo zvolte veřejný koncový bod s omezeným přístupem ze zabezpečené virtuální sítě.

      Tipy k používání privátních koncových bodů s cíli úložiště HPC Cache najdete v tématu Práce s privátními koncovými body.

    • Nezapomeňte dokončit část Upřesnit, kde povolíte přístup k systému souborů NFS.

    • Udělte aplikaci mezipaměti přístup k vašemu účtu úložiště Azure, jak je uvedeno v části Oprávnění výše. Můžete to udělat při prvním vytvoření cíle úložiště. Postupujte podle postupu v části Přidání cílů úložiště a udělte mezipaměti požadované role přístupu.

      Pokud nejste vlastníkem účtu úložiště, požádejte vlastníka o tento krok.

Přečtěte si další informace o používání cílů úložiště ADLS-NFS s Azure HPC Cache v tématu Použití úložiště objektů blob připojeného systémem souborů NFS s Azure HPC Cache.

Práce s privátními koncovými body

Azure Storage podporuje privátní koncové body, které umožňují zabezpečený přístup k datům. Privátní koncové body můžete použít s cíli úložiště objektů blob připojených k systému souborů NFS nebo Azure Blob Storage.

Další informace o privátních koncových bodech

Privátní koncový bod poskytuje konkrétní IP adresu, kterou HPC Cache používá ke komunikaci s back-endovým systémem úložiště. Pokud se tato IP adresa změní, mezipaměť nemůže automaticky znovu navázat připojení k úložišti.

Pokud potřebujete změnit konfiguraci privátního koncového bodu, postupujte podle tohoto postupu, abyste zabránili problémům s komunikací mezi úložištěm a HPC Cache:

  1. Pozastavte cíl úložiště (nebo všechny cíle úložiště, které používají tento privátní koncový bod).
  2. Proveďte změny privátního koncového bodu a uložte tyto změny.
  3. Cílový cíl úložiště umístěte zpět do služby pomocí příkazu "resume".
  4. Aktualizujte nastavení DNS cíle úložiště.

Přečtěte si článek Zobrazení a správa cílů úložiště a zjistěte, jak pozastavit, obnovit a aktualizovat DNS pro cíle úložiště.

Nastavení přístupu k Azure CLI (volitelné)

Pokud chcete vytvořit nebo spravovat azure HPC Cache z Azure CLI, musíte nainstalovat Azure CLI a rozšíření hpc-cache. Postupujte podle pokynů v tématu Nastavení Azure CLI pro Azure HPC Cache.

Další kroky