Configuración de la suscripción de Azure
Para ejecutar Azure CycleCloud, necesitará una suscripción de Azure válida y Virtual Network.
Por lo general, las decisiones de creación y configuración de inquilinos y suscripciones de Azure son decisiones empresariales fuera del ámbito de la documentación de Azure CycleCloud. Sin embargo, dado que HPC y las aplicaciones de proceso grandes en general consumen muchos recursos, vale la pena considerar la posibilidad de crear una suscripción dedicada para realizar un seguimiento de la facturación, aplicar límites de uso y aislar el uso de recursos y API. Para más información sobre cómo diseñar el inquilino y las suscripciones de Azure, consulte Administración de suscripciones de Azure.
Configuración de una red virtual
Deberá seleccionar una Virtual Network y subredes de Azure existentes o crear una nueva Virtual Network en la que ejecutar la máquina virtual CycleCloud y los clústeres de proceso administrados por CycleCloud.
Si el Virtual Network aún no se ha creado, es posible que quiera considerar la posibilidad de comenzar desde la implementación de plantillas de ARM de CycleCloud proporcionada. La plantilla arm de CycleCloud crea una nueva red virtual para CycleCloud y los clústeres de proceso en tiempo de implementación. Como alternativa, puede seguir estas instrucciones para crear una nueva Virtual Network.
A continuación, si ExpressRoute o VPN aún no están configurados para la Virtual Network, es posible conectarse a la Virtual Network a través de la red pública de Internet, pero se recomienda encarecidamente configurar un VPN Gateway.
Configurar una subred y un grupo de seguridad de red
Dado que CycleCloud generalmente tiene diferentes requisitos de seguridad de red y directivas de acceso que los clústeres de proceso, a menudo se recomienda ejecutar Azure CycleCloud en una subred de Azure diferente de los clústeres.
El procedimiento recomendado es usar al menos dos subredes: una para la máquina virtual CycleCloud y cualquier otra máquina virtual con las mismas directivas de acceso y subredes adicionales para los clústeres de proceso. Sin embargo, tenga en cuenta que para clústeres grandes, el intervalo IP de la subred puede convertirse en un factor de limitación. Por lo tanto, en general, la subred CycleCloud debe usar un pequeño intervalo CIDR y las subredes de proceso deben ser grandes.
Siga las instrucciones que se indican aquí para crear una o varias subredes en la Virtual Network.
Uso de varias subredes para el proceso
Los clústeres de CycleCloud se pueden configurar para ejecutar nodos y nodosarrays en varias subredes, siempre y cuando todas las máquinas virtuales puedan comunicarse dentro del clúster y con CycleCloud (quizás a través de Return Proxy). Por ejemplo, a menudo resulta útil iniciar el nodo del programador o los nodos remitentes en una subred con diferentes reglas de seguridad de los nodos de ejecución. Los tipos de clúster predeterminados de CycleCloud asumen una sola subred para todo el clúster, pero la subred se puede configurar por nodo o nodoarray mediante el SubnetId atributo de la plantilla de nodo.
Sin embargo, la resolución de nombres de host basada en hosts predeterminada aplicada a los clústeres de CycleCloud solo genera un archivo de hosts para la subred del nodo de forma predeterminada. Por lo tanto, al crear un clúster que abarque varias subredes, la resolución de nombres de host también debe personalizarse para el clúster.
Hay dos cambios básicos en la plantilla de clúster necesarios para admitir varias subredes de proceso:
- Establezca el
SubnetIdatributo en cada nodo o nodoarray que no esté en la subred predeterminada del clúster. - Configure la resolución de nombres de host para todas las subredes, ya sea:
- Uso de una zona DNS de Azure y deshabilitación de la resolución predeterminada basada en archivos de hosts
- O bien, establezca el
CycleCloud.hosts.standalone_dns.subnetsatributo en un intervalo CIDR de la red virtual o en una lista separada por comas de intervalos CIDR para cada subred. Consulte la referencia de configuración del nodo para obtener más información.
Configuración del grupo de seguridad de red para la subred CycleCloud
La configuración de la Virtual Network de Azure para la seguridad es un tema amplio, más allá del ámbito de este documento.
Los clústeres cycleCloud y CycleCloud pueden funcionar en entornos muy bloqueados. Consulte Running in Locked Down Networks and Running behind a Proxy (Ejecución en redes bloqueadas y en ejecución detrás de un proxy ) para obtener más información sobre la configuración.
Sin embargo, para redes menos restrictivas, hay algunas directrices generales. En primer lugar, los usuarios de la GUI de CycleCloud requieren acceso a la máquina virtual de CycleCloud a través de HTTPS y los administradores pueden requerir acceso SSH. Por lo general, los usuarios del clúster requerirán acceso SSH a al menos los nodos de envío de los clústeres de proceso y potencialmente otros accesos, como RDP para clústeres de Windows. La última regla general es restringir el acceso al mínimo necesario.
Para crear un nuevo grupo de seguridad de red para cada una de las subredes creadas anteriormente, siga la guía para crear un grupo de seguridad de red.
Reglas de seguridad de entrada
Importante
En las reglas siguientes se supone que la red virtual está configurada con ExpressRoute o VPN para el acceso a la red privada. Si se ejecuta a través de la red pública de Internet, el origen debe cambiarse a la dirección IP pública o al intervalo IP corporativo.
Subred de máquina virtual cycleCloud
| Nombre | Prioridad | Source | Servicio | Protocolo | Intervalo de puertos |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | Personalizado | TCP | 22 |
| HTTPS | 110 | VirtualNetwork | Personalizado | TCP | 443 |
| HTTPS | 110 | VirtualNetwork | Personalizado | TCP | 9443 |
Subredes de proceso
| Nombre | Prioridad | Source | Servicio | Protocolo | Intervalo de puertos |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | Personalizado | TCP | 22 |
| RDP | 110 | VirtualNetwork | Personalizado | TCP | 3389 |
| Ganglios | 120 | VirtualNetwork | Personalizado | TCP | 8652 |
Reglas de seguridad de salida
En general, la máquina virtual CycleCloud y los clústeres de proceso esperan poder acceder a Internet para la instalación de paquetes y las llamadas a la API REST de Azure.
Si la directiva de seguridad bloquea el acceso saliente a Internet, siga las instrucciones para Ejecutar en redes bloqueadas y En ejecución detrás de un proxy para obtener detalles de configuración.