Azure Batch-készletek létrehozása virtuális hálózatban
Azure Batch-készlet létrehozásakor kiépítheti a készletet egy Ön által megadott Azure-beli virtuális hálózat alhálózatán. Ez a cikk bemutatja, hogyan állíthat be Batch-készletet egy virtuális hálózaton.
Miért érdemes virtuális hálózatot használni?
A készlet számítási csomópontjai kommunikálhatnak egymással, például többpéldányos feladatokat futtathatnak külön virtuális hálózat nélkül. A készlet csomópontjai azonban alapértelmezés szerint nem tudnak kommunikálni a készleten kívüli virtuális géppel (például licenc- vagy fájlkiszolgálókkal).
Annak érdekében, hogy a számítási csomópontok biztonságosan kommunikálhassanak más virtuális gépekkel vagy helyszíni hálózattal, kiépítheti a készletet egy virtuális hálózat alhálózatán.
Előfeltételek
Hitelesítés. Azure-beli virtuális hálózat használatához a Batch-ügyfél API-nak Microsoft Entra-hitelesítést kell használnia. További információ: Batch-szolgáltatásmegoldások hitelesítése az Active Directoryval.
Egy Azure-beli virtuális hálózat. Ha előre szeretne előkészíteni egy virtuális hálózatot egy vagy több alhálózattal, használhatja az Azure Portalt, az Azure PowerShellt, a Microsoft Azure CLI-t (CLI) vagy más módszereket.
Azure Resource Manager-alapú virtuális hálózat létrehozásához lásd : Virtuális hálózat létrehozása. A Resource Manager-alapú virtuális hálózat használata ajánlott az új üzemelő példányokhoz, és csak a virtuálisgép-konfigurációt használó készletek esetében támogatott.
Klasszikus virtuális hálózat létrehozásához lásd : Virtuális hálózat létrehozása (klasszikus) több alhálózattal. A klasszikus virtuális hálózat csak a Cloud Services-konfigurációt használó készletekben támogatott.
Fontos
Ne használja a 172.17.0.0/16-os verziót az Azure Batch-készlet virtuális hálózatához. Ez a Docker-híd alapértelmezett hálózata, és ütközhet más hálózatokkal, amelyekhez csatlakozni szeretne a virtuális hálózathoz. Az Azure Batch-készlet virtuális hálózatának létrehozásához körültekintően kell megtervezni a hálózati infrastruktúrát.
A virtuális hálózatra vonatkozó általános követelmények
A virtuális hálózatnak ugyanabban az előfizetésben és régióban kell lennie, mint a készlet létrehozásához használt Batch-fiók.
A készlethez megadott alhálózatnak elegendő hozzárendeletlen IP-címmel kell rendelkeznie ahhoz, hogy a készlet számára megcélzott virtuális gépek száma elegendő legyen a készlet és
targetLowPriorityNodesatargetDedicatedNodeskészlet tulajdonságainak elhelyezéséhez. Ha az alhálózaton nincs elegendő hozzá nem rendelt IP-cím, akkor a készlet részlegesen lefoglalja a számítási csomópontokat, és átméretezési hiba következik be.Ha nem egyszerűsített számítási csomópont-kommunikációt használ, az Azure Storage-végpontokat a virtuális hálózatot kiszolgáló egyéni DNS-kiszolgálók használatával kell feloldania. Az
<account>.table.core.windows.net,<account>.queue.core.windows.netés<account>.blob.core.windows.netűrlap URL-címeinek feloldhatónak kell lenniük.Több készlet hozható létre ugyanabban a virtuális hálózaton vagy ugyanabban az alhálózatban (feltéve, hogy elegendő címtérrel rendelkezik). Egyetlen készlet nem létezhet több virtuális hálózaton vagy alhálózaton.
Más virtuális hálózati követelmények eltérnek attól függően, hogy a Batch-készlet a vagy a VirtualMachineConfigurationCloudServiceConfiguration. VirtualMachineConfigurationa Batch-készletek használata ajánlott, mert CloudServiceConfiguration a készletek elavultak.
Fontos
A Batch-készletek két csomópontkommunikációs mód egyikében konfigurálhatók. A klasszikus csomópontkommunikációs mód az, ahol a Batch szolgáltatás kezdeményezi a kommunikációt a számítási csomópontokkal. Az egyszerűsített csomópontkommunikációs mód az, ahol a számítási csomópontok kommunikációt kezdeményeznek a Batch szolgáltatással.
- A Batch-készletekhez használt virtuális hálózatok vagy társhálózatok nem lehetnek átfedésben a szoftveralapú hálózatkezeléssel vagy a számítási csomópontokon futó útválasztással rendelkező IP-címtartományokkal. Az ütközések gyakori forrása egy tároló-futtatókörnyezet, például a Docker használata. A Docker létrehoz egy alapértelmezett hálózati hidat a megadott alhálózati
172.17.0.0/16tartománylal. A virtuális hálózaton belül az alapértelmezett IP-címtérben futó szolgáltatások ütköznek a számítási csomópont szolgáltatásaival, például az SSH-n keresztüli táveléréssel.
Készletek a virtuális gép konfigurációjában
Requirements:
- Támogatott virtuális hálózatok: csak Azure Resource Manager-alapú virtuális hálózatok.
- Alhálózat azonosítója: ha az alhálózatot a Batch API-k használatával adja meg, használja az alhálózat erőforrás-azonosítóját . Az alhálózat azonosítója a következő formátumot követi:
/subscriptions/{subscription}/resourceGroups/{group}/providers/Microsoft.Network/virtualNetworks/{network}/subnets/{subnet}
- Engedélyek: ellenőrizze, hogy a virtuális hálózat előfizetésének vagy erőforráscsoportjának biztonsági szabályzatai vagy zárolásai korlátozzák-e a felhasználó virtuális hálózat kezelésére vonatkozó engedélyeit.
- Hálózati erőforrások: A Batch automatikusan több hálózati erőforrást hoz létre a virtuális hálózatot tartalmazó erőforráscsoportban.
Fontos
Minden 100 dedikált vagy alacsony prioritású csomóponthoz a Batch létrehoz egy hálózati biztonsági csoportot (NSG), egy nyilvános IP-címet és egy terheléselosztót. Ezekre az erőforrásokra az előfizetésben meghatározott erőforráskvóták vonatkoznak. Nagy készletekhez szükség lehet a kvóta egy vagy több erőforrásra való megemelésének igénylésére.
Hálózati biztonsági csoportok virtuálisgép-konfigurációs készletekhez: Batch alapértelmezett
A Batch létrehoz egy hálózati biztonsági csoportot (NSG) a Batch-készleten belüli egyes virtuálisgép-méretezési csoportok üzembe helyezésének hálózati adapter szintjén. Azon készletek esetében, amelyek nem rendelkeznek nyilvános IP-címekkel a számítási csomópontok kommunikációja során simplified , a rendszer nem hoz létre NSG-ket.
A számítási csomópontok és a Batch szolgáltatás közötti szükséges kommunikáció biztosítása érdekében ezek az NSG-k úgy vannak konfigurálva, hogy:
- Bejövő TCP-forgalom a 29876-os és a 29877-ös porton a Batch szolgáltatás IP-címéről, amelyek megfelelnek a BatchNodeManagementnek.régió szolgáltatáscímkéje. Ez a szabály csak készletkommunikációs módban jön létre
classic. - Bejövő TCP-forgalom a 22-s porton (Linux-csomópontok) vagy a 3389-s porton (Windows-csomópontok) az SSH vagy RDP távoli hozzáférésének engedélyezéséhez az alapértelmezett portokon. Bizonyos linuxos többpéldányos feladatok, például az MPI esetében előfordulhat, hogy engedélyeznie kell az IP-címek SSH-forgalmát a Batch számítási csomópontokat tartalmazó alhálózaton. Egyes MPI-futtatókörnyezetekhez SSH-n keresztüli indításra lehet szükség, amelyet általában privát IP-címtéren irányítunk. Ez a forgalom alhálózati szintű NSG-szabályok szerint blokkolható.
- Kimenő forgalom a 443-as porton a Batch szolgáltatás IP-címeinek, amelyek megfelelnek a BatchNodeManagementnek.régió szolgáltatáscímkéje.
- Kimenő forgalom bármilyen porton keresztül a virtuális hálózathoz. Ez a szabály alhálózati szintű NSG-szabályok szerint módosítható.
- Kimenő forgalom bármilyen porton keresztül az internetre. Ez a szabály alhálózati szintű NSG-szabályok szerint módosítható.
Fontos
Körültekintően járjon el, ha a Batch által konfigurált NSG-kben módosít vagy ad hozzá bejövő vagy kimenő szabályokat. Ha a megadott alhálózat számítási csomópontjaival való kommunikációt egy NSG megtagadja, a Batch szolgáltatás használhatatlanná állítja a számítási csomópontok állapotát. Emellett nem szabad erőforrás-zárolásokat alkalmazni a Batch által létrehozott erőforrásokra, mivel ez megakadályozhatja az erőforrások törlését a felhasználó által kezdeményezett műveletek, például a készlet törlése miatt.
Hálózati biztonsági csoportok virtuálisgép-konfigurációs készletekhez: Alhálózati szintű szabályok megadása
Ha a Batch számítási csomópontok alhálózatához NSG van társítva, ezt az NSG-t legalább az alábbi táblákban látható bejövő és kimenő biztonsági szabályokkal kell konfigurálnia.
Figyelmeztetés
A Batch szolgáltatás IP-címei idővel módosulhatnak. Ezért a BatchNodeManagementet kell használnia.régiószolgáltatás-címke az alábbi táblázatokban szereplő NSG-szabályokhoz. Kerülje az NSG-szabályok feltöltését adott Batch-szolgáltatás IP-címeivel.
Bejövő biztonsági szabályok
| Forrásszolgáltatás címkéje vagy IP-címei | Célportok | Protokoll | Készletkommunikációs mód | Szükséges |
|---|---|---|---|---|
| BatchNodeManagement.régiószolgáltatáscímkéje | 29876-29877 | TCP | Classic | Igen |
| Forrás IP-címek a számítási csomópontok távoli eléréséhez | 3389 (Windows), 22 (Linux) | TCP | Klasszikus vagy egyszerűsített | Nem |
Csak akkor konfigurálja a bejövő forgalmat a 3389-s (Windows) vagy a 22-s (Linux) porton, ha engedélyeznie kell a távoli hozzáférést a számítási csomópontokhoz külső forrásokból az alapértelmezett RDP- vagy SSH-portokon. Előfordulhat, hogy engedélyeznie kell az SSH-forgalmat Linux rendszeren, ha a Batch számítási csomópontokat tartalmazó alhálózat bizonyos Message Passing Interface (MPI) futtatókörnyezeteivel rendelkező többpéldányos feladatok támogatását igényli, mivel a forgalom alhálózati szintű NSG-szabályok szerint blokkolható. Az MPI-forgalom általában a magánhálózati IP-címtartományon keresztül történik, de az MPI-futtatókörnyezetek és a futtatókörnyezet konfigurációja között eltérő lehet. Ezen portokon a forgalom engedélyezése nem feltétlenül szükséges ahhoz, hogy a készlet számítási csomópontjai használhatóak legyenek. Ezeken a portokon az alapértelmezett távelérést a készletvégpontok konfigurálásával is letilthatja.
Kimenő biztonsági szabályok
| Célszolgáltatás címkéje | Célportok | Protokoll | Készletkommunikációs mód | Szükséges |
|---|---|---|---|---|
| BatchNodeManagement.régiószolgáltatáscímkéje | 443 | * | egyszerűsített | Igen |
| Tároló.régiószolgáltatáscímkéje | 443 | TCP | Classic | Igen |
Kimenő forgalom a BatchNodeManagementbe.A régió szolgáltatáscímkéje készletkommunikációs módban szükséges classic , ha Feladatkezelői feladatokat használ, vagy ha a tevékenységeknek vissza kell kommunikálniuk a Batch szolgáltatással. A BatchNodeManagement felé irányuló kimenő forgalom esetén.régió készletkommunikációs simplified módban, a Batch szolgáltatás jelenleg csak TCP protokollt használ, de lehetséges, hogy az UDP szükséges a jövőbeli kompatibilitáshoz. Nyilvános IP-címekkel nem rendelkező készletek esetén, kommunikációs simplified móddal és csomópontkezelési privát végponttal, nincs szükség NSG-re.
További információ a BatchNodeManagement kimenő biztonsági szabályairól.régió szolgáltatáscímkéje, lásd : Egyszerűsített számítási csomópont-kommunikáció használata.
Készletek a Cloud Services konfigurációjában
Figyelmeztetés
A Cloud Services konfigurációs készletei elavultak. Ehelyett használjon virtuálisgép-konfigurációs készleteket.
Requirements:
Támogatott virtuális hálózatok: csak klasszikus virtuális hálózatok.
Alhálózat azonosítója: ha az alhálózatot a Batch API-k használatával adja meg, használja az alhálózat erőforrás-azonosítóját . Az alhálózat azonosítója a következő formátumot követi:
/subscriptions/{subscription}/resourceGroups/{group}/providers/Microsoft.ClassicNetwork/virtualNetworks/{network}/subnets/{subnet}Engedélyek: a
Microsoft Azure Batchszolgáltatásnévnek rendelkeznie kell aClassic Virtual Machine Contributormegadott virtuális hálózat Azure-szerepkörével.
Hálózati biztonsági csoportok a Cloud Services konfigurációs készletéhez
Az alhálózatnak lehetővé kell tennie, hogy a Batch szolgáltatás bejövő kommunikációja képes legyen feladatokat ütemezni a számítási csomópontokon, és engedélyeznie kell a kimenő kommunikációt az Azure Storage-ral vagy más erőforrásokkal való kommunikációhoz.
Nem kell NSG-t megadnia, mert a Batch csak a Batch IP-címéről a készletcsomópontokra irányuló bejövő kommunikációt konfigurálja. Ugyanakkor ha a megadott alhálózathoz hálózati biztonsági csoportok (NSG-k) és/vagy egy tűzfal van társítva, a következő táblázatokban látható módon konfigurálja a bejövő és kimenő biztonsági szabályokat. Ha egy NSG megtagadja a megadott alhálózat számítási csomópontjaival való kommunikációt, a Batch szolgáltatás használhatatlanná állítja a számítási csomópontok állapotát.
Windows rendszer esetében csak akkor konfigurálja a bejövő forgalmat a 3389-es porton keresztül, ha engedélyeznie kell az RDP-hozzáférést a készletezett csomópontokhoz. Ez a szabály nem szükséges ahhoz, hogy a készletcsomópontok használhatóak legyenek.
Bejövő biztonsági szabályok
| Forrás IP-címek | Forrásportok | Destination | Célportok | Protokoll | Action |
|---|---|---|---|---|---|
| Bármely Bár ez a szabály hatékonyan megköveteli az összes engedélyezését, a Batch szolgáltatás minden csomópont szintjén alkalmaz egy ACL-szabályt, amely kiszűri az összes nem Batch-szolgáltatás IP-címét. |
* | Any | 10100, 20100, 30100 | TCP | Engedélyezve |
| Nem kötelező, a számítási csomópontokhoz való RDP-hozzáférés engedélyezésére szolgál. | * | Any | 3389 | TCP | Engedélyezve |
Kimenő biztonsági szabályok
| Source | Forrásportok | Destination | Célportok | Protokoll | Action |
|---|---|---|---|---|---|
| Bármelyik | * | Bármelyik | 443 | Bármelyik | Engedélyezve |
Készlet létrehozása virtuális hálózattal az Azure Portalon
Miután létrehozta a virtuális hálózatot, és hozzárendelt hozzá egy alhálózatot, létrehozhat egy Batch-készletet ezzel a virtuális hálózattal. Az alábbi lépéseket követve hozzon létre egy készletet az Azure Portalról:
A Batch-fiókok keresése és kiválasztása az Azure Portal tetején található keresősávon. Válassza ki a Batch-fiókot. Ennek a fióknak ugyanabban az előfizetésben és régióban kell lennie, mint a használni kívánt virtuális hálózatot tartalmazó erőforráscsoportnak.
A bal oldali navigációs sávon válassza a Készletek lehetőséget .
A Készletek ablakban válassza a Hozzáadás lehetőséget.
A Készlet hozzáadása lapon válassza ki a beállításokat, és adja meg a készlet adatait. A Batch-fiók készleteinek létrehozásáról további információt a számítási csomópontok készletének létrehozása című témakörben talál. Csomópontméret, dedikált célcsomópontok és célhelyi/alacsony prioritású csomópontok, valamint a kívánt opcionális beállítások.
A Virtuális hálózatban válassza ki a használni kívánt virtuális hálózatot és alhálózatot.
A készlet létrehozásához válassza az OK gombot.
Fontos
Ha egy készlet által használt alhálózatot próbál törölni, hibaüzenet jelenik meg. Az alhálózat törlése előtt minden alhálózatot használó készletet törölni kell.
A felhasználó által a kényszerített bújtatáshoz megadott útvonalak
Előfordulhat, hogy a szervezeten belül követelmény, hogy az alhálózatról visszairányítsa (kényszerítse) az internethez kötött forgalmat a helyszíni helyére ellenőrzés és naplózás céljából. Emellett lehetséges, hogy engedélyezte a kényszerített bújtatást a virtuális hálózat alhálózatai számára.
Annak biztosításához, hogy a készlet csomópontjai olyan virtuális hálózaton működjenek, amelyben engedélyezve van a kényszerített bújtatás, hozzá kell adnia a következő felhasználó által megadott útvonalakat (UDR) az adott alhálózathoz.
Klasszikus kommunikációs módú készletek esetén:
A Batch szolgáltatásnak kommunikálnia kell a csomópontokkal a tevékenységek ütemezéséhez. A kommunikáció engedélyezéséhez adjon hozzá egy, a BatchNodeManagementnek megfelelő UDR-t.régiószolgáltatás-címke abban a régióban, ahol a Batch-fiók létezik. Állítsa be a Következő ugrás típust internetre.
Győződjön meg arról, hogy a helyszíni hálózat nem blokkolja az Azure Storage felé irányuló kimenő TCP-forgalmat a 443-as célporton (pontosabban az űrlap
*.table.core.windows.net*.queue.core.windows.netURL-címei, és*.blob.core.windows.net).
Egyszerűsített kommunikációs módú készletek esetén csomópontkezelési privát végpont használata nélkül:
- Győződjön meg arról, hogy a helyszíni hálózat nem blokkolja az Azure BatchNodeManagement felé irányuló kimenő TCP/UDP-forgalmat.region service tag on destination port 443. Jelenleg csak TCP protokollt használ, de lehetséges, hogy az UDP szükséges a jövőbeli kompatibilitáshoz.
Az összes készlet esetében:
- Ha virtuális fájlcsatlakoztatásokat használ, tekintse át a hálózati követelményeket, és győződjön meg arról, hogy a szükséges forgalom nincs blokkolva.
Figyelmeztetés
A Batch szolgáltatás IP-címei idővel módosulhatnak. A Batch szolgáltatás IP-címének módosítása miatti kimaradások elkerülése érdekében ne adjon meg közvetlenül IP-címeket. Ehelyett használja a BatchNodeManagement parancsot.régiószolgáltatáscímkéje.