Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo se basa en consideraciones y recomendaciones que se describen en el artículo Diseño de administración de identidades y acceso de Azure. Puede ayudarle a examinar las consideraciones de diseño para la administración de identidades y acceso específicas de la implementación, en Azure, de aplicaciones de HPC.
Microsoft Entra Domain Services proporciona servicios de dominio administrados, como la unión a un dominio y la directiva de grupo. También proporciona acceso a protocolos de autenticación heredados, como el protocolo ligero de acceso a directorios (LDAP) y la autenticación Kerberos/NTLM. Microsoft Entra Domain Services se integra con el inquilino de Microsoft Entra existente. Esta integración permite a los usuarios iniciar sesión en servicios y aplicaciones conectados al dominio administrado mediante sus credenciales existentes en microsoft Entra ID. También puede usar grupos existentes y cuentas de usuario para ayudar a proteger el acceso a los recursos. Estas características proporcionan una migración directa más sencilla de los recursos locales a Azure, especialmente para entornos híbridos.
Para más información, consulte recomendaciones de diseño para el acceso a la plataforma y la identidad de Azure y el acceso a las zonas de aterrizaje.
Consideraciones de diseño
La implementación de HPC utiliza la configuración de infraestructura de la zona de aterrizaje de Azure para gestionar la seguridad, las identidades y el acceso. Tenga en cuenta las siguientes consideraciones de diseño al implementar la aplicación HPC:
Determine la administración de recursos de Azure que requieren varios miembros del equipo. Considere la posibilidad de proporcionar a esos miembros del equipo acceso de administración de recursos de Azure con privilegios elevados en un entorno que no sea de producción.
- Por ejemplo, asígneles un rol Colaborador de máquina virtual .
- También puede conceder a los miembros del equipo acceso parcialmente elevado de administración, como un rol parcial de colaborador de máquina virtual en un entorno de producción.
Ambas opciones logran un buen equilibrio entre la separación de tareas y la eficacia operativa.
Revise las actividades de administración y administración de Azure que necesita que realicen los equipos. Considere la posibilidad de usar HPC en el entorno de Azure. Determine la mejor distribución posible de responsabilidades dentro de su organización.
Estas son las actividades comunes de Azure para la administración y gestión:
Recurso de Azure Proveedor de recursos de Azure Actividades Máquinas virtuales (VM) Microsoft.Compute/virtualMachines Iniciar, detener, reiniciar, desasignar, implementar, reimplementar, cambiar y cambiar el tamaño de las máquinas virtuales. Administrar extensiones, conjuntos de disponibilidad y grupos de ubicación por proximidad. Máquinas virtuales Microsoft.Compute/disks Leer y escribir en el disco. Almacenamiento Microsoft.Storage Lea y realice cambios en las cuentas de almacenamiento, por ejemplo, una cuenta de almacenamiento de diagnóstico de arranque. Almacenamiento Microsoft.NetApp Lea y realice cambios en los volúmenes y grupos de capacidad de NetApp. Almacenamiento Microsoft.NetApp Tome instantáneas de Azure NetApp Files. Almacenamiento Microsoft.NetApp Use la replicación entre regiones de Azure NetApp Files. Redes Microsoft.Network/networkInterfaces Lea, cree y cambie las interfaces de red. Redes Microsoft.Network/loadBalancers Lea, cree y cambie los equilibradores de carga. Redes Microsoft.Network/networkSecurityGroups Lee los grupos de seguridad de red. Redes Microsoft.Network/azureFirewalls Leer cortafuegos. Redes Microsoft.Network/virtualNetworks Lea, cree y cambie las interfaces de red.
Tenga en cuenta el acceso pertinente necesario para el grupo de recursos de la red virtual y el acceso relacionado si es diferente del grupo de recursos de las máquinas virtuales.Una configuración típica de HPC incluye un front-end para enviar trabajos, un programador de trabajos o orquestador, un clúster de proceso y un almacenamiento compartido. Los trabajos se pueden enviar desde el entorno local o en la nube. Las consideraciones de administración de identidades y acceso para usuarios y dispositivos de visualización pueden variar en función de los estándares empresariales.
Tenga en cuenta el servicio de autenticación de Microsoft que usa. Según el orquestador de recursos de proceso de HPC que use, se admiten varios métodos de autenticación, como se describe aquí.
- Azure CycleCloud proporciona tres métodos de autenticación: una base de datos integrada con cifrado, Active Directory y LDAP.
- Azure Batch admite dos métodos de autenticación: clave compartida e id. de Microsoft Entra.
- Si desea ampliar las funcionalidades locales a un entorno híbrido, puede autenticarse a través de Active Directory con un controlador de dominio de solo lectura hospedado en Azure. Este enfoque minimiza el tráfico a través del vínculo. Esta integración proporciona una manera de que los usuarios usen sus credenciales existentes para iniciar sesión en servicios y aplicaciones que están conectados al dominio administrado. También puede usar grupos existentes y cuentas de usuario para ayudar a proteger el acceso a los recursos. Estas características proporcionan una migración y traslado más eficiente de los recursos locales en Azure.
- Actualmente, los nodos de HPC Pack deben estar unidos a un dominio de Active Directory. Si va a implementar el clúster de HPC Pack en una red virtual que tiene una conexión VPN de sitio a sitio o Azure ExpressRoute a la red corporativa (y las reglas de firewall permiten el acceso a controladores de dominio de Active Directory), normalmente ya existe un dominio de Active Directory. Si no tiene un dominio de Active Directory en la red virtual, puede optar por crear uno mediante la promoción del nodo principal como controlador de dominio. Otra opción es usar Microsoft Entra Domain Services para permitir que los nodos de HPC Pack se unan a este servicio frente a controladores de dominio de Active Directory locales. Si los nodos principales se implementarán en Azure, es importante determinar si los usuarios remotos locales enviarán trabajos. Si los usuarios remotos envían trabajos, debe usar Active Directory porque proporciona una mejor experiencia y permite que los certificados se usen correctamente para la autenticación. De lo contrario, si usa Microsoft Entra Domain Services en lugar de Active Directory, los clientes remotos deberán usar el servicio de API REST para enviar trabajos.
Para más información, consulte Recomendaciones de diseño para el acceso a la plataforma y la identidad de Azure y el acceso a las zonas de aterrizaje.
Consideraciones de diseño para la industria energética
Además de las consideraciones anteriores, tenga en cuenta estas consideraciones.
Dos tipos de implementación comunes en las cargas de trabajo del sector de petróleo y gas son solo nube y nube híbrida. Aunque es menos complejo tener todos los recursos de proceso, almacenamiento y visualización en la nube, las empresas a veces usan un modelo híbrido debido a varias restricciones empresariales para cargas de trabajo de HPC de simulación de depósitos y sísmicos.
Tanto los modelos de nube solo como de nube híbrida pueden tener su propia identidad y necesidades de acceso únicas que afecten al tipo de solución de Active Directory que se va a adoptar.
Las cargas de trabajo del modelo de implementación solo en la nube usan el identificador de Entra de Microsoft para la autenticación de Azure Service Fabric, mientras que el modelo de nube híbrida de HPC usa la solución de identidad híbrida de Microsoft Entra para la autenticación. Independientemente del tipo de implementación, los clientes de Linux y las soluciones de almacenamiento compatibles con POSIX requieren compatibilidad heredada con Active Directory a través de Microsoft Entra Domain Services.
Consideraciones de diseño para la industria manufacturera
En el diagrama siguiente se muestra una arquitectura de referencia de fabricación que usa CycleCloud para la autenticación:
En este diagrama se muestra una arquitectura de fabricación que usa Batch para la autenticación:
Pasos siguientes
En los artículos siguientes se proporcionan instrucciones para varias fases del proceso de adopción de la nube. Estos recursos pueden ayudarle a adoptar correctamente entornos de HPC para la nube.
- Ofertas de facturación de Azure y los inquilinos de Microsoft Entra
- Administración
- organización de recursos
- Seguro
- Almacenamiento
- Acelerador de zonas de aterrizaje de HPC
- Topología de red y conectividad de HPC
- Calcule cargas de trabajo de aplicaciones HPC a gran escala en máquinas virtuales de Azure