Administración de acceso e identidades de Azure para HPC en el sector financiero

Este artículo se basa en las consideraciones y recomendaciones que se definen en el artículo sobre la zona de aterrizaje de Azure Área de diseño de la zona de aterrizaje de Azure para la administración de identidades y de acceso. Seguir las instrucciones de este artículo le ayuda a aplicar las consideraciones y recomendaciones de diseño de la administración de identidades y acceso para implementar una aplicación informática de alto rendimiento (HPC) en Microsoft Azure para el sector financiero.

Consideraciones de diseño

Tenga en cuenta las siguientes consideraciones de diseño al implementar la aplicación HPC:

• Determine la administración de recursos de Azure que requieren varios miembros del equipo. Considere la posibilidad de proporcionar a esos miembros del equipo acceso de administración de recursos de Azure con privilegios elevados en un entorno que no sea de producción.

  • Por ejemplo, asigne a sus miembros un rol de colaborador de la máquina virtual.
  • También puede conceder a los miembros del equipo privilegios parcialmente elevados de acceso a la administración con el rol de colaborador de la máquina virtual parcial en un entorno de producción. Ambas opciones ofrecen un buen equilibrio entre la separación de las obligaciones y la eficacia operativa.

• Revisar las actividades de administración y supervisión de Azure que deben llevar a cabo los equipos. Considere la infraestructura de HPC en Azure. Determine el mejor reparto posible de responsabilidades dentro de la organización.

  Estas son las actividades comunes de Azure para la administración y supervisión.

  Recurso de Azure	Proveedor de recursos de Azure	Actividades
  Máquina virtual (VM)	Microsoft.Compute/virtualMachines	Iniciar, detener, reiniciar, desasignar, implementar, volver a implementar, cambiar y cambiar el tamaño de las máquinas virtuales. Administrar extensiones, conjuntos de disponibilidad y grupo con ubicación por proximidad.
  Máquinas virtuales	Microsoft.Compute/disks	Leer y escribir en disco.
  Storage	Microsoft.Storage	Leer y realizar cambios en las cuentas de almacenamiento, por ejemplo, una cuenta de almacenamiento de diagnóstico de arranque.
  Storage	Microsoft.NetApp	Leer y realizar cambios en los volúmenes y grupos de capacidad de NetApp.
  Storage	Microsoft.NetApp	Tomar instantáneas de Azure NetApp Files.
  Storage	Microsoft.NetApp	Usar la replicación entre regiones de Azure NetApp Files.
  Redes	Microsoft.Network/networkInterfaces	Leer, crear y cambiar interfaces de red.
  Redes	Microsoft.Network/loadBalancers	Leer, crear y cambiar equilibradores de carga.
  Redes	Microsoft.Network/networkSecurityGroups	Leer grupos de seguridad de red.
  Redes	Microsoft.Network/azureFirewalls	Leer firewalls.
  Redes	Microsoft.Network/virtualNetworks	Leer, crear y cambiar interfaces de red. Tenga en cuenta el acceso pertinente necesario para el grupo de recursos de la red virtual y el acceso relacionado si es diferente del grupo de recursos de las máquinas virtuales.

• Tenga en cuenta el servicio de Microsoft que usa Azure CycleCloud, Azure Batch o un entorno híbrido con máquinas virtuales de HPC en la nube.

Recomendaciones

• Si usa Azure CycleCloud, hay tres métodos de autenticación: una base de datos integrada con cifrado, Microsoft Entra ID o Protocolo ligero de acceso a directorios (LDAP). Para más información, consulte Autenticación de usuario. Para más información sobre las entidades de servicio de Azure CycleCloud, consulte Uso de entidades de servicio.
• Si usa Azure Batch, puede autenticarse con Microsoft Entra ID mediante dos métodos diferentes: autenticación integrada o entidad de servicio. Para más información sobre cómo usar estos enfoques diferentes, vea Autenticación de Azure Batch. Si usa el modo de suscripción de usuario y no el modo de servicio de Batch, conceda acceso a Batch para que pueda acceder a la suscripción. Para más información, consulte Permitir que Batch acceda a la suscripción.
• Si desea ampliar las funcionalidades locales a un entorno híbrido, puede autenticarse a través de Active Directory con un controlador de dominio de solo lectura hospedado en Azure. Este enfoque minimiza el tráfico a través del vínculo. Esta integración proporciona una manera para que los usuarios usen sus credenciales existentes para iniciar sesión en servicios y aplicaciones que están conectados al dominio administrado. También puede usar grupos y cuentas de usuario existentes para ayudar a proteger el acceso a los recursos. Estas características proporcionan una migración mediante lift-and-shift más fluida de los recursos locales a Azure.

Para más información, consulte Recomendaciones de diseño para el acceso a la plataforma e Identidad y acceso de Azure para zonas de aterrizaje.

Pasos siguientes

En los artículos siguientes se proporciona una guía para varias fases del proceso de adopción de la nube. Estos recursos pueden ayudarle a adoptar correctamente los entornos de HPC del sector financiero para la nube.

• Ofertas de facturación de los inquilinos de Azure Active Directory
• Administración de identidades y acceso
• Administración
• Automatización de la plataforma y DevOps
• Organización de recursos
• Gobernanza
• Seguridad
• Storage
• Acelerador de zona de aterrizaje de HPC