Az Azure HPC Cache előfeltételei

Cikk
10/26/2023

Az új Azure HPC Cache létrehozása előtt győződjön meg arról, hogy a környezet megfelel ezeknek a követelményeknek.

Azure subscription

Fizetős előfizetés használata ajánlott.

Hálózati infrastruktúra

A gyorsítótár használata előtt be kell állítani ezeket a hálózattal kapcsolatos előfeltételeket:

Dedikált alhálózat az Azure HPC Cache-példányhoz
DNS-támogatás, hogy a gyorsítótár hozzáférhessen a tárolóhoz és más erőforrásokhoz
Hozzáférés az alhálózatról további Microsoft Azure-infrastruktúra-szolgáltatásokhoz, beleértve az NTP-kiszolgálókat és az Azure Queue Storage szolgáltatást.

Gyorsítótár-alhálózat

Az Azure HPC Cache-nek dedikált alhálózatra van szüksége az alábbi tulajdonságokkal:

Az alhálózatnak legalább 64 ELÉRHETŐ IP-címmel kell rendelkeznie.
Az alhálózaton belüli kommunikációnak korlátlannak kell lennie. Ha hálózati biztonsági csoportot használ a gyorsítótár-alhálózathoz, győződjön meg arról, hogy engedélyezi a belső IP-címek közötti összes szolgáltatást.
Az alhálózat nem tud más virtuális gépeket üzemeltetni, még a kapcsolódó szolgáltatásokhoz, például az ügyfélgépekhez sem.
Ha több Azure HPC Cache-példányt használ, mindegyiknek saját alhálózatra van szüksége.

Az ajánlott eljárás egy új alhálózat létrehozása minden gyorsítótárhoz. A gyorsítótár létrehozása során létrehozhat egy új virtuális hálózatot és alhálózatot.

Az alhálózat létrehozásakor ügyeljen arra, hogy a biztonsági beállítások lehetővé tegyék a jelen szakasz későbbi részében említett szükséges infrastruktúra-szolgáltatások elérését. Korlátozhatja a kimenő internetkapcsolatot, de győződjön meg arról, hogy vannak kivételek az itt dokumentált elemekre vonatkozóan.

DNS-hozzáférés

A gyorsítótárnak DNS-sel kell hozzáférnie a virtuális hálózaton kívüli erőforrásokhoz. A használt erőforrásoktól függően előfordulhat, hogy testre szabott DNS-kiszolgálót kell beállítania, és konfigurálnia kell a továbbítást a kiszolgáló és az Azure DNS-kiszolgálók között:

Az Azure Blob Storage-végpontokhoz és más belső erőforrásokhoz való hozzáféréshez szüksége van az Azure-alapú DNS-kiszolgálóra.
A helyszíni tároló eléréséhez konfigurálnia kell egy egyéni DNS-kiszolgálót, amely képes feloldani a tároló gazdagépneveit. Ezt a gyorsítótár létrehozása előtt kell elvégeznie.

Ha csak Blob Storage-t használ, használhatja az alapértelmezett Azure-beli DNS-kiszolgálót a gyorsítótárhoz. Ha azonban hozzáférésre van szüksége a tárolóhoz vagy az Azure-on kívüli egyéb erőforrásokhoz, létre kell hoznia egy egyéni DNS-kiszolgálót, és konfigurálnia kell, hogy az Azure-specifikus feloldási kéréseket továbbíthassa az Azure DNS-kiszolgálónak.

Egyéni DNS-kiszolgáló használatához a gyorsítótár létrehozása előtt el kell végeznie az alábbi telepítési lépéseket:

Hozza létre az Azure HPC Cache-t futtató virtuális hálózatot.
Hozza létre a DNS-kiszolgálót.
Adja hozzá a DNS-kiszolgálót a gyorsítótár virtuális hálózatához.

Az alábbi lépéseket követve adja hozzá a DNS-kiszolgálót a virtuális hálózathoz az Azure Portalon:
1. Nyissa meg a virtuális hálózatot az Azure Portalon.
2. Válassza ki a DNS-kiszolgálókat az oldalsáv Gépház menüjéből.
3. Egyéni kiválasztása
4. Írja be a DNS-kiszolgáló IP-címét a mezőbe.

Egy egyszerű DNS-kiszolgáló is használható az ügyfélkapcsolatok terheléselosztására az összes elérhető gyorsítótár-csatlakoztatási pont között.

További információ az Azure-beli virtuális hálózatok és a DNS-kiszolgáló konfigurációiról az Azure-beli virtuális hálózatokban található erőforrások névfeloldásában.

NTP-hozzáférés

A HPC Cache-nek hozzá kell férnie egy NTP-kiszolgálóhoz a rendszeres működéshez. Ha korlátozza a virtuális hálózatok kimenő forgalmát, győződjön meg arról, hogy legalább egy NTP-kiszolgáló felé engedélyezi a forgalmat. Az alapértelmezett kiszolgáló time.windows.com, és a gyorsítótár a 123-at futtató UDP-porton lép kapcsolatba a kiszolgálóval.

Hozzon létre egy szabályt a gyorsítótár-hálózat hálózati biztonsági csoportjában , amely engedélyezi az NTP-kiszolgáló felé irányuló kimenő forgalmat. A szabály egyszerűen engedélyezheti az összes kimenő forgalmat a 123-os UDP-porton, vagy további korlátozásokkal is rendelkezhet.

Ez a példa kifejezetten megnyitja a kimenő forgalmat a 168.61.215.74 IP-címre, amely a time.windows.com által használt cím.

Prioritás	Name	Port	Protokoll	Forrás	Cél	Művelet
200	NTP	Bármelyik	UDP	Bármelyik	168.61.215.74	Engedélyezve

Győződjön meg arról, hogy az NTP-szabály magasabb prioritással rendelkezik, mint bármely olyan szabály, amely széles körben megtagadja a kimenő hozzáférést.

További tippek az NTP-hozzáféréshez:

Ha tűzfalak vannak a HPC Cache és az NTP-kiszolgáló között, győződjön meg arról, hogy ezek a tűzfalak is engedélyezik az NTP-hozzáférést.
A Hálózatkezelés lapon konfigurálhatja, hogy a HPC Cache melyik NTP-kiszolgálót használja. További információkért olvassa el a További beállítások konfigurálása című témakört.

Azure Queue Storage-hozzáférés

A gyorsítótárnak képesnek kell lennie biztonságosan hozzáférni az Azure Queue Storage szolgáltatáshoz a dedikált alhálózatán belülről. Az Azure HPC Cache a queues szolgáltatást használja a konfigurációs és állapotinformációk kommunikálásakor.

Ha a gyorsítótár nem fér hozzá az üzenetsor-szolgáltatáshoz, a gyorsítótár létrehozásakor a Gyorsítótár Csatlakozás ivityError üzenet jelenhet meg.

A hozzáférés kétféleképpen biztosítható:

Hozzon létre egy Azure Storage-szolgáltatásvégpontot a gyorsítótár-alhálózatban. A Microsoft.Storage szolgáltatásvégpont hozzáadására vonatkozó utasításokért olvassa el a Virtuális hálózat hozzáadása alhálózat hozzáadása című cikket.
Egyénileg konfigurálhatja az Azure Storage üzenetsor-szolgáltatás tartományához való hozzáférést a hálózati biztonsági csoportban vagy más tűzfalakban.

Adjon hozzá szabályokat a következő portokon való hozzáférés engedélyezéséhez:
- A 443-as TCP-port a tartomány bármely gazdagépére irányuló adatforgalom biztonságossá tételéhez queue.core.windows.net (*.queue.core.windows.net).
- 80-ás TCP-port – a kiszolgálóoldali tanúsítvány ellenőrzésére szolgál. Ezt néha tanúsítvány-visszavonási listának (CRL) és online tanúsítványállapot-protokoll (OCSP) kommunikációnak is nevezik. A *.queue.core.windows.net mindegyike ugyanazt a tanúsítványt használja, így ugyanazt a CRL/OCSP-kiszolgálót. A gazdagépnevet a kiszolgálóoldali SSL-tanúsítvány tárolja.
További információt az NTP-hozzáférés biztonságiszabály-tippjeiben talál.

Ez a parancs felsorolja azokat a CRL- és OSCP-kiszolgálókat, amelyeknek engedélyezni kell a hozzáférést. Ezeknek a kiszolgálóknak DNS-sel feloldhatóknak kell lenniük, és elérhetőnek kell lenniük a 80-as porton a gyorsítótár-alhálózatról.
```
openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
```
A kimenet így néz ki, és megváltozhat, ha az SSL-tanúsítvány frissül:
```
OCSP - URI:http://ocsp.msocsp.com
CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
```

Az alhálózat kapcsolatát a következő paranccsal ellenőrizheti egy teszt virtuális gépről az alhálózaton belül:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

A sikeres kapcsolat a következő választ adja:

OCSP Response Status: successful (0x0)

Eseménykiszolgáló-hozzáférés

Az Azure HPC Cache azure-eseménykiszolgálói végpontokat használ a gyorsítótár állapotának monitorozásához és diagnosztikai információk küldéséhez.

Győződjön meg arról, hogy a gyorsítótár biztonságosan hozzáfér a tartomány gazdagépeihez events.data.microsoft.com - vagyis nyissa meg a 443-at a 443-as TCP-portot a felé irányuló forgalomhoz *.events.data.microsoft.com.

Permissions

A gyorsítótár létrehozása előtt ellenőrizze ezeket az engedélyekkel kapcsolatos előfeltételeket.

A gyorsítótárpéldánynak képesnek kell lennie virtuális hálózati adapterek (NIC-k) létrehozására. A gyorsítótárat létrehozó felhasználónak elegendő jogosultsággal kell rendelkeznie az előfizetésben a hálózati adapterek létrehozásához.
Blob Storage használata esetén az Azure HPC Cache-nek engedélyre van szüksége a tárfiók eléréséhez. Az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) hozzáférést adhat a gyorsítótárnak a Blob Storage-hoz. Két szerepkörre van szükség: a tárfiók közreműködője és a storage blobadatok közreműködője.

A szerepkörök hozzáadásához kövesse a Tárolási célok hozzáadása című témakör utasításait.

Tárolási infrastruktúra

A gyorsítótár támogatja az Azure Blob-tárolókat, az NFS hardveres tárolóexportokat és az NFS-hez csatlakoztatott ADLS-blobtárolókat. A gyorsítótár létrehozása után adjon hozzá tárolási célokat.

Minden tárolási típusnak megvannak az előfeltételei.

A Blob Storage követelményei

Ha az Azure Blob Storage-t a gyorsítótárral szeretné használni, egy kompatibilis tárfiókra és egy üres Blob-tárolóra vagy egy Olyan tárolóra van szüksége, amely az Adatok áthelyezése az Azure Blob Storage-ba című cikkben leírtak szerint az Azure HPC Cache formázott adataival van feltöltve.

Megjegyzés:

Az NFS-hez csatlakoztatott blobtárolókra különböző követelmények vonatkoznak. A részletekért olvassa el az ADLS-NFS tárolási követelményeit .

Hozza létre a fiókot, mielőtt megkísérli hozzáadni a tárterületet. A cél hozzáadásakor létrehozhat egy új tárolót.

Kompatibilis tárfiók létrehozásához használja az alábbi kombinációk egyikét:

Teljesítmény	Type	Replikáció	Hozzáférési szint
Standard	StorageV2 (általános célú v2)	Helyileg redundáns tárolás (LRS) vagy zónaredundáns tárolás (ZRS)	Gyakori
Prémium	Blokkblobok	Helyileg redundáns tárolás (LRS)	Gyakori

A tárfióknak elérhetőnek kell lennie a gyorsítótár privát alhálózatáról. Ha a fiókja privát végpontot vagy nyilvános végpontot használ, amely meghatározott virtuális hálózatokra korlátozódik, győződjön meg arról, hogy engedélyezi a hozzáférést a gyorsítótár alhálózatáról. (Nyitott nyilvános végpont használata nem ajánlott.)

A privát végpontok használata a HPC Cache tárolási céljaival kapcsolatos tippekért olvassa el a Privát végpontok használata című cikket.

Ajánlott egy tárfiókot ugyanabban az Azure-régióban használni, mint a gyorsítótárat.

Emellett hozzáférést kell adnia a gyorsítótáralkalmazásnak az Azure Storage-fiókjához a fenti Engedélyek szakaszban leírtak szerint. A tárolási célok hozzáadása című témakörben ismertetett eljárást követve adja meg a gyorsítótárnak a szükséges hozzáférési szerepköröket. Ha nem Ön a tárfiók tulajdonosa, tegye meg a tulajdonossal ezt a lépést.

Az NFS tárolási követelményei

Ha NFS-tárolórendszert (például helyszíni hardveres NAS-rendszert) használ, győződjön meg arról, hogy megfelel ezeknek a követelményeknek. Előfordulhat, hogy a beállítások ellenőrzéséhez a tárolórendszer (vagy az adatközpont) hálózati rendszergazdáival vagy tűzfalkezelőivel kell együttműködnie.

Megjegyzés:

A tárolócél létrehozása sikertelen lesz, ha a gyorsítótár nem fér hozzá az NFS-tárolórendszerhez.

További információt a NAS-konfigurációval és az NFS-tárolóval kapcsolatos célproblémák elhárítása című témakörben talál.

Hálózati kapcsolat: Az Azure HPC Cache-nek nagy sávszélességű hálózati hozzáférésre van szüksége a gyorsítótár-alhálózat és az NFS-rendszer adatközpontja között. ExpressRoute vagy hasonló hozzáférés használata ajánlott. VPN használata esetén előfordulhat, hogy konfigurálnia kell a TCP MSS 1350-nél való rögzítéséhez, hogy a nagy csomagok ne legyenek blokkolva. A VPN-csomagok méretkorlátozásait elolvasva további segítséget kaphat a VPN-beállítások hibaelhárításához.
Porthozzáférés: A gyorsítótárnak hozzá kell férnie a tárolórendszer adott TCP/UDP-portjához. A különböző típusú tárolók eltérő portkövetelményeket támasztanak.

A tárolórendszer beállításainak ellenőrzéséhez kövesse ezt az eljárást.
- A szükséges portok ellenőrzéséhez kiadjon egy rpcinfo parancsot a tárolórendszernek. Az alábbi parancs felsorolja a portokat, és formázza a releváns eredményeket egy táblában. (Használja a rendszer IP-címét a <> storage_IP kifejezés.)
  
  Ezt a parancsot bármely olyan Linux-ügyfélről kiadhatja, amely NFS-infrastruktúrával rendelkezik. Ha a fürt alhálózatán belül használ ügyfelet, az is segíthet ellenőrizni az alhálózat és a tárolórendszer közötti kapcsolatot.
```
rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
```
Győződjön meg arról, hogy a lekérdezés által visszaadott összes port engedélyezi a rpcinfo korlátlan forgalmat az Azure HPC Cache alhálózatáról.
- Ha nem tudja használni a rpcinfo parancsot, győződjön meg arról, hogy ezek a gyakran használt portok engedélyezik a bejövő és kimenő forgalmat:
  
  Protokoll Port Szolgáltatás
  
  TCP/UDP 111 rpcbind
  
  TCP/UDP 2049 NFS
  
  TCP/UDP 4045 nlockmgr
  
  TCP/UDP 4046 csatlakoztatva
  
  TCP/UDP 4047 status
  
  Egyes rendszerek különböző portszámokat használnak ezekhez a szolgáltatásokhoz – a tárolórendszer dokumentációjában biztos lehet.
- Ellenőrizze a tűzfalbeállításokat, hogy engedélyezik-e a forgalmat az összes szükséges porton. Ellenőrizze az Azure-ban és a helyszíni tűzfalakban használt tűzfalakat az adatközpontban.
Az NFS háttértárolójának kompatibilis hardver-/szoftverplatformnak kell lennie. A tárolónak támogatnia kell az NFS 3-at (NFSv3). Részletekért forduljon az Azure HPC Cache csapatához.

Protokoll	Port	Szolgáltatás
TCP/UDP	111	rpcbind
TCP/UDP	2049	NFS
TCP/UDP	4045	nlockmgr
TCP/UDP	4046	csatlakoztatva
TCP/UDP	4047	status

Az NFS-hez csatlakoztatott blobokra (ADLS-NFS) vonatkozó tárolási követelmények

Az Azure HPC Cache az NFS protokollal csatlakoztatott blobtárolót is használhat tárolási célként.

Erről a funkcióról az Azure Blob Storage NFS 3.0 protokolltámogatásában olvashat bővebben.

A tárfiókra vonatkozó követelmények eltérnek az ADLS-NFS blobtároló cél és a standard blobtároló-cél esetében. Az NFS-kompatibilis tárfiók létrehozásához és konfigurálásához kövesse a Blob Storage csatlakoztatásához szükséges utasításokat a Hálózati fájlrendszer (NFS) 3.0 protokoll használatával.

Ez a lépések általános áttekintése. Ezek a lépések változhatnak, ezért az aktuális részletekért mindig tekintse meg az ADLS-NFS utasításait .

Győződjön meg arról, hogy a szükséges funkciók elérhetők azokban a régiókban, ahol dolgozni szeretne.
Engedélyezze az NFS protokoll funkciót az előfizetéséhez. Ezt a tárfiók létrehozása előtt végezze el.
Hozzon létre egy biztonságos virtuális hálózatot (VNet) a tárfiókhoz. Ugyanazt a virtuális hálózatot kell használnia az NFS-kompatibilis tárfiókhoz és az Azure HPC Cache-hez. (Ne használja ugyanazt az alhálózatot, mint a gyorsítótár.)
Hozza létre a tárfiókot.
- A szokásos Blob Storage-fiók tárfiók-beállításainak használata helyett kövesse az útmutató dokumentumban található utasításokat. A támogatott tárfiók típusa azure-régiónként eltérő lehet.
- A Hálózatkezelés szakaszban válasszon egy privát végpontot a létrehozott biztonságos virtuális hálózaton (ajánlott), vagy válasszon egy nyilvános végpontot, amely korlátozott hozzáféréssel rendelkezik a biztonságos virtuális hálózatról.
  
  A privát végpontok használata a HPC Cache tárolási céljaival kapcsolatos tippekért olvassa el a Privát végpontok használata című cikket.
- Ne felejtse el befejezni a Speciális szakaszt, ahol engedélyezi az NFS-hozzáférést.
- Adjon hozzáférést a gyorsítótáralkalmazásnak az Azure Storage-fiókjához a fenti Engedélyek szakaszban leírtak szerint. Ezt akkor teheti meg, amikor először hoz létre tárolócélt. A tárolási célok hozzáadása című témakörben ismertetett eljárást követve adja meg a gyorsítótárnak a szükséges hozzáférési szerepköröket.
  
  Ha nem Ön a tárfiók tulajdonosa, végezze el ezt a lépést.

További információ az ADLS-NFS-tárolócélok azure HPC Cache-beli , NFS-hez csatlakoztatott blobtárolóval való használatáról az Azure HPC Cache használatával.

Privát végpontok használata

Az Azure Storage támogatja a privát végpontokat a biztonságos adathozzáférés érdekében. Privát végpontokat használhat Azure Blob- vagy NFS-hez csatlakoztatott blobtároló-célokkal.

További információ a privát végpontokról

A privát végpontok egy adott IP-címet biztosítanak, amelyet a HPC Cache használ a háttértárrendszerrel való kommunikációhoz. Ha az IP-cím megváltozik, a gyorsítótár nem tud automatikusan újra kapcsolatot létesíteni a tárhellyel.

Ha módosítania kell egy privát végpont konfigurációját, kövesse ezt az eljárást, hogy elkerülje a tároló és a HPC-gyorsítótár közötti kommunikációs problémákat:

Függessze fel a tárolási célt (vagy az összes olyan tárolócélt, amely ezt a privát végpontot használja).
Módosítsa a privát végpontot, és mentse a módosításokat.
Helyezze vissza a tárolási célt az "önéletrajz" paranccsal.
Frissítse a tárolóhely DNS-beállítását.

A tárolási célok megtekintését és kezelését ismertető cikkből megtudhatja, hogyan függesztheti fel, folytathatja és frissítheti a DNS-t a tárolási célokhoz.

Azure CLI-hozzáférés beállítása (nem kötelező)

Ha azure HPC Cache-t szeretne létrehozni vagy kezelni az Azure CLI-ből, telepítenie kell az Azure CLI-t és a hpc-cache bővítményt. Kövesse az Azure HPC Cache-hez készült Azure CLI beállítása című témakör utasításait.

Következő lépések

Azure HPC Cache-példány létrehozása az Azure Portalról