Az Azure HPC Cache előfeltételei

Új Azure-HPC Cache létrehozása előtt győződjön meg arról, hogy a környezet megfelel ezeknek a követelményeknek.

Azure-előfizetés

Fizetős előfizetés használata ajánlott.

Hálózati infrastruktúra

A gyorsítótár használata előtt be kell állítani ezeket a hálózattal kapcsolatos előfeltételeket:

  • Dedikált alhálózat az Azure HPC Cache-példányhoz
  • DNS-támogatás, hogy a gyorsítótár hozzáférhessen a tárolóhoz és más erőforrásokhoz
  • Hozzáférés az alhálózatról további Microsoft Azure infrastruktúra-szolgáltatásokhoz, beleértve az NTP-kiszolgálókat és az Azure Queue Storage szolgáltatást.

Gyorsítótár-alhálózat

Az Azure HPC Cache dedikált alhálózatra van szüksége az alábbi jellemzőkkel:

  • Az alhálózatnak legalább 64 ELÉRHETŐ IP-címmel kell rendelkeznie.
  • Az alhálózaton belüli kommunikációnak korlátlannak kell lennie. Ha hálózati biztonsági csoportot használ a gyorsítótár alhálózatához, győződjön meg arról, hogy az engedélyezi a belső IP-címek közötti összes szolgáltatást.
  • Az alhálózat nem tud más virtuális gépeket üzemeltetni, még az olyan kapcsolódó szolgáltatások esetében sem, mint az ügyfélszámítógépek.
  • Ha több Azure-HPC Cache-példányt használ, mindegyiknek saját alhálózatra van szüksége.

Az ajánlott eljárás egy új alhálózat létrehozása az egyes gyorsítótárakhoz. A gyorsítótár létrehozása során létrehozhat egy új virtuális hálózatot és alhálózatot.

Az alhálózat létrehozásakor ügyeljen arra, hogy biztonsági beállításai lehetővé tegyék a szakasz későbbi részében említett szükséges infrastruktúra-szolgáltatások elérését. Korlátozhatja a kimenő internetkapcsolatot, de győződjön meg arról, hogy vannak kivételek az itt dokumentált elemek esetében.

DNS-hozzáférés

A gyorsítótárnak DNS-sel kell hozzáférnie a virtuális hálózaton kívüli erőforrásokhoz. A használt erőforrásoktól függően előfordulhat, hogy egyéni DNS-kiszolgálót kell beállítania, és konfigurálnia kell a továbbítást a kiszolgáló és az Azure DNS-kiszolgálók között:

  • Az Azure Blob Storage-végpontok és más belső erőforrások eléréséhez az Azure-alapú DNS-kiszolgálóra van szükség.
  • A helyszíni tároló eléréséhez konfigurálnia kell egy egyéni DNS-kiszolgálót, amely képes feloldani a tároló gazdagépneveit. Ezt a gyorsítótár létrehozása előtt kell elvégeznie.

Ha csak a Blob Storage-ot használja, használhatja az alapértelmezett Azure által biztosított DNS-kiszolgálót a gyorsítótárhoz. Ha azonban hozzáférésre van szüksége a tárolóhoz vagy az Azure-on kívüli egyéb erőforrásokhoz, hozzon létre egy egyéni DNS-kiszolgálót, és konfigurálja úgy, hogy az Azure-ra vonatkozó feloldási kéréseket továbbítsa az Azure DNS-kiszolgálónak.

Egyéni DNS-kiszolgáló használatához a gyorsítótár létrehozása előtt el kell végeznie az alábbi telepítési lépéseket:

  • Hozza létre az Azure HPC Cache üzemeltető virtuális hálózatot.

  • Hozza létre a DNS-kiszolgálót.

  • Adja hozzá a DNS-kiszolgálót a gyorsítótár virtuális hálózatához.

    Az alábbi lépéseket követve adja hozzá a DNS-kiszolgálót a virtuális hálózathoz a Azure Portal:

    1. Nyissa meg a virtuális hálózatot a Azure Portal.
    2. Válassza ki a DNS-kiszolgálókat az oldalsáv Gépház menüjéből.
    3. Egyéni kiválasztása
    4. Írja be a DNS-kiszolgáló IP-címét a mezőbe.

Egy egyszerű DNS-kiszolgáló is használható az ügyfélkapcsolatok terheléselosztására az összes elérhető gyorsítótár-csatlakoztatási pont között.

További információ az Azure-beli virtuális hálózatokban lévő erőforrások névfeloldási szolgáltatásában található Azure-beli virtuális hálózatokról és DNS-kiszolgálókonfigurációkról.

NTP-hozzáférés

A HPC Cache a rendszeres működéshez hozzá kell férnie egy NTP-kiszolgálóhoz. Ha korlátozza a virtuális hálózatok kimenő forgalmát, győződjön meg arról, hogy engedélyezi a forgalmat legalább egy NTP-kiszolgálóra. Az alapértelmezett kiszolgáló time.windows.com, és a gyorsítótár a 123-os UDP-porton lép kapcsolatba a kiszolgálóval.

Hozzon létre egy szabályt a gyorsítótárhálózat hálózati biztonsági csoportjában , amely engedélyezi az NTP-kiszolgáló felé irányuló kimenő forgalmat. A szabály egyszerűen engedélyezheti az összes kimenő forgalmat a 123-os UDP-porton, vagy további korlátozásokkal is rendelkezhet.

Ez a példa explicit módon megnyitja a kimenő forgalmat a 168.61.215.74 IP-címre, amely a time.windows.com által használt cím.

Prioritás Name Port Protokoll Forrás Cél Művelet
200 NTP Bármelyik UDP Bármelyik 168.61.215.74 Engedélyezés

Győződjön meg arról, hogy az NTP-szabály magasabb prioritással rendelkezik, mint bármely olyan szabály, amely széles körben megtagadja a kimenő hozzáférést.

További tippek az NTP-hozzáféréshez:

  • Ha tűzfalak vannak a HPC Cache és az NTP-kiszolgáló között, győződjön meg arról, hogy ezek a tűzfalak is engedélyezik az NTP-hozzáférést.

  • A Hálózat lapon konfigurálhatja, hogy a HPC Cache melyik NTP-kiszolgálót használja. További információkért olvassa el a további beállítások konfigurálását ismertető cikket.

Azure Queue Storage hozzáférés

A gyorsítótárnak képesnek kell lennie biztonságosan elérni az Azure Queue Storage szolgáltatást a dedikált alhálózatán belülről. Az Azure HPC Cache a queues szolgáltatást használja a konfigurációs és állapotinformációk kommunikálásakor.

Ha a gyorsítótár nem tud hozzáférni az üzenetsor-szolgáltatáshoz, a gyorsítótár létrehozásakor egy CacheConnectivityError üzenet jelenhet meg.

A hozzáférés kétféleképpen biztosítható:

  • Hozzon létre egy Azure Storage szolgáltatásvégpontot a gyorsítótár-alhálózatban. A Microsoft.Storage szolgáltatásvégpont hozzáadására vonatkozó utasításokért olvassa el a Virtuális hálózati alhálózat hozzáadása című cikket.

  • Egyénileg konfigurálhatja az Azure Storage-üzenetsor szolgáltatás tartományához való hozzáférést a hálózati biztonsági csoportban vagy más tűzfalakban.

    Adjon hozzá szabályokat a következő portokon való hozzáférés engedélyezéséhez:

    • A 443-as TCP-port a tartomány bármely gazdagépére irányuló biztonságos adatforgalomhoz queue.core.windows.net (*.queue.core.windows.net).

    • 80-os TCP-port – a kiszolgálóoldali tanúsítvány ellenőrzésére szolgál. Ezt néha visszavont tanúsítványok listájának (CRL) ellenőrzésének és az online tanúsítványállapot-protokoll (OCSP) kommunikációnak is nevezik. Minden *.queue.core.windows.net ugyanazt a tanúsítványt használja, és így ugyanazokat a CRL/OCSP-kiszolgálókat. Az állomásnevet a kiszolgálóoldali SSL-tanúsítvány tárolja.

    További információt az NTP-hozzáférés biztonságiszabály-tippjeiben talál.

    Ez a parancs felsorolja azokat a CRL- és OSCP-kiszolgálókat, amelyeknek engedélyezni kell a hozzáférést. Ezeknek a kiszolgálóknak DNS-sel feloldhatónak kell lenniük, és elérhetőnek kell lenniük a gyorsítótár alhálózatának 80-os portján.

    
    openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
    
    

    A kimenet így néz ki, és az SSL-tanúsítvány frissítések esetén megváltozhat:

    OCSP - URI:http://ocsp.msocsp.com
    CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
    CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
    

Az alhálózat kapcsolatát a következő paranccsal ellenőrizheti egy teszt virtuális gépről az alhálózaton belül:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

A sikeres kapcsolat a következő választ adja:

OCSP Response Status: successful (0x0)

Engedélyek

A gyorsítótár létrehozása előtt ellenőrizze ezeket az engedélyekkel kapcsolatos előfeltételeket.

  • A gyorsítótárpéldánynak képesnek kell lennie virtuális hálózati adapterek (NIC-k) létrehozására. A gyorsítótárat létrehozó felhasználónak elegendő jogosultsággal kell rendelkeznie az előfizetésben a hálózati adapterek létrehozásához.

  • Blob Storage használata esetén az Azure HPC Cache engedélyre van szüksége a tárfiók eléréséhez. Az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) hozzáférést biztosíthat a gyorsítótárnak a Blob Storage-hoz. Két szerepkörre van szükség: Storage fiók közreműködője és Storage blobadatok közreműködője.

    A szerepkörök hozzáadásához kövesse a Tárolási célok hozzáadása című témakör utasításait.

Storage infrastruktúra

A gyorsítótár támogatja az Azure Blob-tárolókat, az NFS hardveres tárolóexportálásokat és az NFS-hez csatlakoztatott ADLS-blobtárolókat. A gyorsítótár létrehozása után adjon hozzá tárolási célokat.

A gyorsítótár mérete határozza meg a támogatott tárolási célok számát – a legtöbb gyorsítótár esetében legfeljebb 10, a legnagyobb méreteknél pedig legfeljebb 20 tárolóhelyet. A gyorsítótár megfelelő méretének olvasása a tárolási célok részletes támogatásához .

Minden tárolótípusnak megvannak az előfeltételei.

A Blob Storage követelményei

Ha az Azure Blob Storage-ot a gyorsítótárral szeretné használni, egy kompatibilis tárfiókra és egy üres Blob-tárolóra vagy egy Olyan tárolóra van szüksége, amely az Azure HPC Cache formázott adatokkal van feltöltve az Adatok áthelyezése az Azure Blob Storage-ba című szakaszban leírtak szerint.

Megjegyzés

Az NFS-hez csatlakoztatott blobtárolókra különböző követelmények vonatkoznak. A részletekért olvassa el az ADLS-NFS tárolási követelményeit .

Hozza létre a fiókot, mielőtt megkísérli hozzáadni a tárolási célt. A cél hozzáadásakor létrehozhat egy új tárolót.

Kompatibilis tárfiók létrehozásához használja az alábbi kombinációk egyikét:

Teljesítmény Típus Replikáció Hozzáférési szint
Standard StorageV2 (általános célú v2) Helyileg redundáns tárolás (LRS) vagy zónaredundáns tárolás (ZRS) Gyakori
Prémium Blokkblobok Helyileg redundáns tárolás (LRS) Gyakori

A tárfióknak elérhetőnek kell lennie a gyorsítótár privát alhálózatáról. Ha a fiók privát végpontot vagy nyilvános végpontot használ, amely meghatározott virtuális hálózatokra van korlátozva, győződjön meg arról, hogy engedélyezi a hozzáférést a gyorsítótár alhálózatáról. (Nyílt nyilvános végpont használata nem ajánlott.)

Olvassa el a Privát végpontok használata című cikket, amely tippeket ad a privát végpontok HPC Cache tárolási célokkal való használatával kapcsolatban.

Célszerű a tárfiókot ugyanabban az Azure-régióban használni, mint a gyorsítótárat.

Emellett hozzáférést kell adnia a gyorsítótáralkalmazásnak az Azure Storage-fiókjához a fenti Engedélyek szakaszban leírtak szerint. A tárterület-célok hozzáadása című témakörben ismertetett eljárást követve adja meg a gyorsítótárnak a szükséges hozzáférési szerepköröket. Ha nem Ön a tárfiók tulajdonosa, tegye meg ezt a lépést a tulajdonossal.

Az NFS tárolási követelményei

Ha NFS-tárolórendszert (például helyszíni hardveres NAS-rendszert) használ, győződjön meg arról, hogy az megfelel ezeknek a követelményeknek. Előfordulhat, hogy a beállítások ellenőrzéséhez a tárolórendszer (vagy az adatközpont) hálózati rendszergazdáival vagy tűzfalkezelőivel kell együttműködnie.

Megjegyzés

Storage cél létrehozása sikertelen lesz, ha a gyorsítótár nem rendelkezik elegendő hozzáféréssel az NFS-tárolórendszerhez.

További információt a NAS konfigurációs és NFS-tárolási célproblémáinak elhárításában talál.

  • Hálózati kapcsolat: Az Azure HPC Cache nagy sávszélességű hálózati hozzáférésre van szüksége a gyorsítótár-alhálózat és az NFS-rendszer adatközpontja között. ExpressRoute - vagy hasonló hozzáférés használata javasolt. VPN használata esetén előfordulhat, hogy a TCP MSS 1350-nél való rögzítésére kell konfigurálnia, hogy a nagy csomagok ne legyenek blokkolva. A VPN-csomagok méretkorlátozásainak elolvasásával további segítséget kaphat a VPN-beállítások hibaelhárításához.

  • Porthozzáférés: A gyorsítótárnak hozzá kell férnie a tárolórendszer adott TCP/UDP-portjához. A különböző típusú tárolók különböző portkövetelményekkel rendelkeznek.

    A tárolórendszer beállításainak ellenőrzéséhez kövesse ezt az eljárást.

    • A szükséges portok ellenőrzéséhez kiadhat egy rpcinfo parancsot a tárolórendszernek. Az alábbi parancs felsorolja a portokat, és formázza a megfelelő eredményeket egy táblában. (Használja a rendszer IP-címét a <storage_IP> kifejezés helyett.)

      Ezt a parancsot bármely olyan Linux-ügyfélről kiadhatja, amely NFS-infrastruktúrával rendelkezik. Ha a fürt alhálózatán belül használ ügyfelet, az is segíthet ellenőrizni az alhálózat és a tárolórendszer közötti kapcsolatot.

      rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
      

    Győződjön meg arról, hogy a rpcinfo lekérdezés által visszaadott összes port korlátlan forgalmat engedélyez az Azure HPC Cache alhálózatáról.

    • Ha nem tudja használni a parancsot, győződjön meg arról, hogy ezek a rpcinfo gyakran használt portok engedélyezik a bejövő és kimenő forgalmat:

      Protokoll Port Szolgáltatás
      TCP/UDP 111 rpcbind
      TCP/UDP 2049 NFS
      TCP/UDP 4045 nlockmgr
      TCP/UDP 4046 csatlakoztatva
      TCP/UDP 4047 status

      Egyes rendszerek különböző portszámokat használnak ezekhez a szolgáltatásokhoz – ellenőrizze a tárolórendszer dokumentációját.

    • Ellenőrizze, hogy a tűzfalbeállítások engedélyezik-e a forgalmat az összes szükséges porton. Ellenőrizze az Azure-ban használt tűzfalakat, valamint az adatközpont helyszíni tűzfalait.

  • Az NFS háttértárhelyének kompatibilis hardver-/szoftverplatformnak kell lennie. A tárolónak támogatnia kell az NFS 3-at (NFSv3). Részletekért forduljon az Azure HPC Cache csapatához.

Az NFS-hez csatlakoztatott blobokra (ADLS-NFS) vonatkozó tárolási követelmények

Az Azure HPC Cache az NFS protokollal csatlakoztatott blobtárolót is használhat tárolási célként.

További információ erről a funkcióról az NFS 3.0 protokoll támogatásában az Azure Blob Storage-ban.

A tárfiókra vonatkozó követelmények eltérnek az ADLS-NFS-blobtárolók és a standard blobtárolók esetében. Az NFS-kompatibilis tárfiók létrehozásához és konfigurálásához kövesse a Blob-csatlakoztatási tároló utasításait a Hálózati fájlrendszer (NFS) 3.0 protokoll használatával .

Ez a lépések általános áttekintése. Ezek a lépések változhatnak, ezért az aktuális részletekért mindig tekintse meg az ADLS-NFS utasításait .

  1. Győződjön meg arról, hogy a szükséges funkciók elérhetők azokban a régiókban, ahol dolgozni szeretne.

  2. Engedélyezze az NFS protokoll funkciót az előfizetéséhez. Ezt a tárfiók létrehozása előtt végezze el.

  3. Hozzon létre egy biztonságos virtuális hálózatot (VNet) a tárfiókhoz. Ugyanazt a virtuális hálózatot kell használnia az NFS-kompatibilis tárfiókhoz és az Azure HPC Cache. (Ne használja ugyanazt az alhálózatot, mint a gyorsítótár.)

  4. Hozza létre a tárfiókot.

    • Ahelyett, hogy a standard blobtároló-fiók tárfiókbeállításait használjuk, kövesse az útmutató dokumentumban található utasításokat. A támogatott tárfiók típusa Azure-régiónként eltérő lehet.

    • A Hálózatkezelés szakaszban válasszon egy privát végpontot a létrehozott biztonságos virtuális hálózatban (ajánlott), vagy válasszon egy nyilvános végpontot, amely korlátozott hozzáféréssel rendelkezik a biztonságos virtuális hálózatról.

      Olvassa el a Privát végpontok használata című cikket, amely tippeket ad a privát végpontok HPC Cache tárolási célokkal való használatával kapcsolatban.

    • Ne felejtse el befejezni a Speciális szakaszt, ahol engedélyezi az NFS-hozzáférést.

    • Adjon hozzáférést a gyorsítótáralkalmazásnak az Azure Storage-fiókjához a fenti Engedélyek szakaszban leírtak szerint. Ezt a tárolási cél első létrehozásakor teheti meg. A tárterület-célok hozzáadása című témakörben ismertetett eljárást követve adja meg a gyorsítótárnak a szükséges hozzáférési szerepköröket.

      Ha nem Ön a tárfiók tulajdonosa, végezze el ezt a lépést.

További információ az ADLS-NFS-tárolócélok Azure HPC Cache az NFS-hez csatlakoztatott blobtárolók Azure HPC Cache való használatáról.

Privát végpontok használata

Az Azure Storage támogatja a privát végpontokat a biztonságos adathozzáférés engedélyezéséhez. Privát végpontokat használhat Azure Blob- vagy NFS-hez csatlakoztatott blobtároló-célokkal.

További információ a privát végpontokról

A privát végpont egy adott IP-címet biztosít, amelyet a HPC Cache a háttérbeli tárolórendszerrel való kommunikációhoz használ. Ha ez az IP-cím megváltozik, a gyorsítótár nem tud automatikusan újra kapcsolatot létesíteni a tárhellyel.

Ha módosítania kell egy privát végpont konfigurációját, kövesse ezt az eljárást, hogy elkerülje a tároló és a HPC Cache közötti kommunikációs problémákat:

  1. Függessze fel a tárolási célt (vagy az összes olyan tárolópéldányt, amely ezt a privát végpontot használja).
  2. Módosítsa a privát végpontot, és mentse a módosításokat.
  3. Helyezze vissza a tárolási célt a "resume" paranccsal.
  4. Frissítse a tároló cél DNS-beállítását.

A tárolási célok megtekintését és kezelését ismertető cikkből megtudhatja, hogyan függesztheti fel, folytathatja és frissítheti a tárolópéldányok DNS-ét.

Azure CLI-hozzáférés beállítása (nem kötelező)

Ha azure-HPC Cache szeretne létrehozni vagy kezelni az Azure CLI-ből, telepítenie kell az Azure CLI-t és a hpc-cache bővítményt. Kövesse az Azure CLI beállítása az Azure HPC Cache-hez című témakör utasításait.

Következő lépések