Buat kumpulan komunikasi node sederhana tanpa alamat IP publik

Catatan

Ini menggantikan versi pratinjau kumpulan Azure Batch sebelumnya tanpa alamat IP publik. Versi baru ini memerlukan penggunaan komunikasi simpul komputasi yang disederhanakan.

Penting

Dukungan untuk kumpulan tanpa alamat IP publik di Azure Batch saat ini tersedia untuk wilayah tertentu.

Saat membuat kumpulan Azure Batch, Anda dapat menyediakan kumpulan konfigurasi komputer virtual tanpa alamat IP publik. Artikel ini menjelaskan cara menyiapkan kumpulan Batch tanpa alamat IP publik.

Mengapa menggunakan kumpulan tanpa Alamat IP publik?

Secara default, semua simpul komputasi dalam kumpulan konfigurasi mesin virtual Azure Batch ditetapkan satu alamat IP publik. Alamat ini digunakan oleh layanan Batch untuk mendukung akses keluar ke internet, serta akses masuk ke simpul komputasi dari internet.

Untuk membatasi akses ke node ini dan mengurangi tingkat penemuan node ini dari internet, Anda dapat menyediakan kumpulan tanpa alamat IP publik.

Prasyarat

Penting

Prasyarat telah berubah dari versi pratinjau sebelumnya dari fitur ini. Pastikan untuk meninjau setiap item untuk perubahan sebelum melanjutkan.

• Menggunakan komunikasi simpul komputasi yang disederhanakan. Untuk informasi selengkapnya, lihat Menggunakan komunikasi simpul komputasi yang disederhanakan.

• API klien Batch harus menggunakan autentikasi Microsoft Entra. Dukungan Azure Batch untuk ID Microsoft Entra didokumenkan dalam Mengautentikasi solusi layanan Batch dengan Direktori Aktif.

• Buat kumpulan Anda di jaringan virtual Azure (VNet), ikuti persyaratan dan konfigurasi ini. Untuk menyiapkan VNet dengan satu atau beberapa subnet terlebih dahulu, Anda dapat menggunakan portal Azure, Azure PowerShell, Azure Command-Line Interface (CLI), atau metode lainnya.

  • VNet harus berada di langganan dan wilayah yang sama dengan akun Batch yang Anda gunakan untuk membuat kumpulan.

  • Subnet yang ditentukan untuk kumpulan harus memiliki cukup alamat IP yang belum ditetapkan untuk mengakomodasi jumlah VM yang ditargetkan untuk kumpulan; yaitu, jumlah dari targetDedicatedNodes dan targetLowPriorityNodes properti dari kumpulan. Jika subnet tidak memiliki alamat IP yang cukup belum ditetapkan, kumpulan mengalokasikan sebagian simpul komputasi, dan terjadi kesalahan ukuran.

  • Jika Anda berencana menggunakan titik akhir privat, dan jaringan virtual Anda mengaktifkan kebijakan jaringan titik akhir privat, pastikan koneksi masuk dengan TCP/443 ke subnet yang menghosting titik akhir privat harus diizinkan dari subnet kumpulan Batch.

• Aktifkan akses keluar untuk manajemen simpul Batch. Kumpulan tanpa alamat IP publik tidak memiliki akses keluar internet yang diaktifkan secara default. Pilih salah satu opsi berikut untuk mengizinkan simpul komputasi mengakses layanan manajemen simpul Batch (lihat Menggunakan komunikasi simpul komputasi yang disederhanakan):

  • Gunakan titik akhir privat nodeManagement dengan akun Batch, yang menyediakan akses privat ke layanan manajemen node Batch dari jaringan virtual. Solusi ini adalah metode yang disukai.

  • Atau, berikan dukungan akses keluar internet Anda sendiri (lihat Akses keluar ke internet).

Penting

Terdapat dua sub-sumber daya untuk titik akhir privat dengan akun Batch. Silakan gunakan titik akhir privat nodeManagement untuk kumpulan Batch tanpa alamat IP publik. Untuk detail selengkapnya, silakan periksa Menggunakan titik akhir privat dengan akun Azure Batch.

Batasan saat ini

1. Kumpulan tanpa alamat IP publik harus menggunakan Konfigurasi Komputer Virtual dan bukan Konfigurasi Azure Cloud Services.
2. Konfigurasi titik akhir kustom untuk simpul komputasi Batch tidak berfungsi dengan kumpulan tanpa alamat IP publik.
3. Karena tidak ada alamat IP publik, Anda tidak dapat menggunakan alamat IP publik anda sendiri yang ditentukan dengan jenis kumpulan ini.
4. Token autentikasi tugas untuk tugas Batch tidak didukung. Solusinya adalah menggunakan kumpulan Batch dengan identitas terkelola.

Membuat kumpulan tanpa alamat IP publik di portal Azure

1. Apabila diperlukan, buat titik akhir privat nodeManagement untuk akun Batch Anda di jaringan virtual (lihat persyaratan akses keluar dalam prasyarat).
2. Navigasikan ke akun Batch Anda di portal Azure.
3. Di jendela Pengaturan di sebelah kiri, pilih Kumpulan.
4. Di jendela Kumpulan, pilih Tambahkan.
5. Pada jendela Tambahkan Kumpulan, pilih opsi yang ingin Anda gunakan dari menu turun bawah Jenis Gambar.
6. Pilih Penerbit/Penawaran/Sku citra Anda yang benar.
7. Tentukan pengaturan yang diperlukan yang tersisa, termasuk ukuran Node, Node khusus target, dan node Target Spot/berprioritas rendah.
8. Untuk Mode komunikasi simpul, pilih Disederhanakan di bawah Pengaturan Opsional.
9. Pilih jaringan virtual dan subnet yang ingin Anda gunakan. Jaringan virtual ini harus berada dalam lokasi yang sama dengan kumpulan yang Anda buat.
10. Dalam jenis penyediaan alamat IP, pilih NoPublicIPAddresses.

Cuplikan layar berikut menunjukkan elemen yang harus dimodifikasi untuk membuat kumpulan tanpa alamat IP publik.

Gunakan API REST Batch untuk membuat kumpulan tanpa alamat IP publik

Contoh berikut menunjukkan cara menggunakan REST API Layanan Batch untuk membuat kumpulan yang menggunakan alamat IP publik.

REST API URI

POST {batchURL}/pools?api-version=2022-10-01.16.0
client-request-id: 00000000-0000-0000-0000-000000000000

Isi permintaan

"pool": {
     "id": "pool-npip",
     "vmSize": "standard_d2s_v3",
     "virtualMachineConfiguration": {
          "imageReference": {
               "publisher": "Canonical",
               "offer": "0001-com-ubuntu-server-jammy",
               "sku": "22_04-lts"
          },
          "nodeAgentSKUId": "batch.node.ubuntu 22.04"
     },
     "networkConfiguration": {
          "subnetId": "/subscriptions/<your_subscription_id>/resourceGroups/<your_resource_group>/providers/Microsoft.Network/virtualNetworks/<your_vnet_name>/subnets/<your_subnet_name>",
          "publicIPAddressConfiguration": {
               "provision": "NoPublicIPAddresses"
          }
     },
     "resizeTimeout": "PT15M",
     "targetDedicatedNodes": 2,
     "targetLowPriorityNodes": 0,
     "taskSlotsPerNode": 1,
     "taskSchedulingPolicy": {
          "nodeFillType": "spread"
     },
     "enableAutoScale": false,
     "enableInterNodeCommunication": false,
     "targetNodeCommunicationMode": "simplified"
}

Membuat kumpulan tanpa alamat IP publik dengan menggunakan templat ARM

Anda dapat menggunakan Templat Mulai Cepat Azure ini untuk membuat kumpulan tanpa alamat IP publik dengan menggunakan templat Azure Resource Manager (ARM).

Sumber daya berikut akan disebarkan oleh templat:

• Akun Azure Batch dengan firewall IP yang sudah dikonfigurasi agar memblokir akses jaringan publik ke titik akhir manajemen node Batch
• Jaringan virtual dengan kelompok keamanan jaringan agar memblokir akses keluar internet
• Titik akhir privat untuk mengakses titik akhir manajemen simpul Batch akun
• Integrasi DNS untuk titik akhir privat dengan menggunakan zona DNS privat yang ditautkan ke jaringan virtual
• Kumpulan batch yang disebarkan di jaringan virtual dan tanpa alamat IP publik

Jika Anda sudah memahami cara menggunakan templat ARM, pilih tombol Sebarkan ke Azure. Templat akan terbuka di portal Microsoft Azure.

Catatan

Jika penyebaran titik akhir privat gagal karena "nodeManagement" groupId tidak valid, silakan periksa apakah wilayah berada dalam daftar yang didukung untuk komunikasi simpul komputasi yang disederhanakan. Pilih wilayah yang tepat, lalu coba lagi penyebaran.

Akses keluar ke internet untuk kumpulan host

Dalam kumpulan tanpa alamat IP publik, komputer virtual Anda tidak akan dapat mengakses internet publik kecuali Anda mengonfigurasi pengaturan jaringan Anda dengan tepat, seperti dengan menggunakan jaringan virtual NAT. NAT hanya mengizinkan akses keluar ke internet dari komputer virtual di jaringan virtual. Simpul komputasi yang dibuat batch tidak akan dapat diakses secara publik, karena mereka tidak memiliki alamat IP publik yang terkait.

Cara lain untuk menyediakan konektivitas keluar adalah dengan menggunakan rute yang ditentukan pengguna (UDR). Metode ini memungkinkan Anda merutekan lalu lintas ke komputer proksi yang memiliki akses internet publik, misalnya Azure Firewall.

Penting

Tidak ada sumber daya jaringan tambahan (penyeimbang beban, kelompok keamanan jaringan) yang dibuat untuk kumpulan komunikasi simpul yang disederhanakan tanpa alamat IP publik. Karena simpul komputasi di kumpulan tidak terikat ke penyeimbang beban apa pun, Azure dapat menyediakan Akses Keluar Default. Namun, Akses Keluar Default tidak cocok untuk beban kerja produksi, dan akan dihentikan pada 30 September 2025 (lihat pengumuman resmi). Jadi, jika beban kerja Anda memerlukan akses keluar internet, atau kumpulan Anda tidak menggunakan titik akhir privat untuk mengakses titik akhir manajemen simpul Batch, Anda harus menyediakan solusi Anda sendiri untuk mengaktifkan akses keluar internet.

Pemecahan Masalah

Node komputasi yang tidak dapat digunakan dalam kumpulan Batch

Jika node komputasi mengalami status tidak dapat digunakan dalam kumpulan Batch tanpa alamat IP publik, pemeriksaan pertama dan yang paling utama adalah memverifikasi akses keluar ke layanan manajemen node Batch. Hal ini harus dikonfigurasi dengan benar sehingga node komputasi bisa terhubung ke layanan dari jaringan virtual Anda.

Menggunakan titik akhir privat nodeManagement

Jika Anda membuat titik akhir privat manajemen simpul di jaringan virtual untuk akun Batch Anda:

• Periksa apakah titik akhir privat dibuat di jaringan virtual yang tepat, dalam status Berhasil provisi, dan juga dalam status Disetujui.
• Periksa apakah konfigurasi DNS disiapkan dengan benar untuk titik akhir manajemen simpul akun Batch Anda:
  • Jika titik akhir privat Anda dibuat dengan integrasi zona DNS privat otomatis, periksa catatan DNS A dikonfigurasi dengan benar di zona privatelink.batch.azure.comDNS privat , dan zona ditautkan ke jaringan virtual Anda.
  • Jika Anda menggunakan solusi DNS Anda sendiri, pastikan catatan DNS untuk titik akhir manajemen simpul Batch Anda dikonfigurasi dengan benar dan arahkan ke alamat IP titik akhir privat.
• Periksa resolusi DNS untuk titik akhir manajemen simpul Batch akun Anda. Anda bisa mengonfirmasinya dengan menjalankan nslookup <nodeManagementEndpoint> dari dalam jaringan virtual Anda, dan nama DNS harus diselesaikan ke alamat IP titik akhir privat.
• Jika jaringan virtual Anda mengaktifkan kebijakan jaringan titik akhir privat, periksa NSG dan UDR untuk subnet kumpulan Batch dan titik akhir privat. Koneksi masuk dengan TCP/443 ke subnet yang menghosting titik akhir privat harus diizinkan dari subnet kumpulan Batch.
• Dari subnet kumpulan Batch, jalankan ping TCP ke titik akhir manajemen simpul menggunakan port HTTPS default (443). Pemeriksaan ini bisa mengetahui apakah koneksi tautan privat berfungsi seperti yang diharapkan.

# Windows
Test-TcpConnection -ComputeName <nodeManagementEndpoint> -Port 443
# Linux
nc -v <nodeManagementEndpoint> 443

Jika ping TCP gagal (misalnya, waktu habis), biasanya karena masalah dengan koneksi tautan privat, dan Anda dapat menaikkan tiket dukungan Azure dengan sumber daya titik akhir privat ini. Jika tidak, masalah node yang tidak dapat digunakan ini dapat dipecahkan sebagai kumpulan Batch normal, dan Anda dapat menaikkan tiket dukungan dengan akun Batch Anda.

Menggunakan solusi keluar internet Anda sendiri

Jika Anda menggunakan solusi keluar internet Anda sendiri alih-alih titik akhir privat, jalankan ping TCP ke titik akhir manajemen simpul. Jika tidak berfungsi, periksa apakah akses keluar Anda dikonfigurasi dengan benar dengan mengikuti persyaratan terperinci untuk komunikasi node komputasi yang disederhanakan.

Menyambungkan ke simpul komputasi

Tidak ada akses masuk internet ke node komputasi di kumpulan Batch tanpa alamat IP publik. Untuk mengakses node komputasi terkait penelusuran kesalahan, Anda harus terhubung dari dalam jaringan virtual:

• Gunakan mesin jumpbox di dalam jaringan virtual, kemudian buatlah sambungan ke node komputasi Anda dari sana.
• Atau, coba gunakan solusi koneksi jarak jauh lainnya seperti Azure Bastion:
  • Buat Bastion di jaringan virtual dengan koneksi berbasis IP yang diaktifkan.
  • Gunakan Bastion untuk membuat sambungan ke node komputasi menggunakan alamat IP-nya.

Anda bisa mengikuti panduan Sambungkan ke node komputasi untuk mendapatkan informasi masuk pengguna dan alamat IP untuk node komputasi target di kumpulan Batch Anda.

Migrasi dari versi pratinjau sebelumnya dari Tidak ada kumpulan IP Publik

Untuk kumpulan yang ada yang menggunakan versi pratinjau sebelumnya dari Azure Batch Tanpa kumpulan IP Publik, Anda hanya dapat memigrasikan kumpulan yang dibuat di jaringan virtual.

1. Buat titik akhir privat untuk manajemen simpul Batch di jaringan virtual.
2. Perbarui mode komunikasi simpul kumpulan ke disederhanakan.
3. Turunkan skala kumpulan menjadi nol simpul.
4. Perluas skala kumpulan lagi. Kumpulan kemudian secara otomatis dimigrasikan ke versi baru.

Langkah berikutnya

• Pelajari cara menggunakan komunikasi node komputasi yang disederhanakan.
• Pelajari selengkapnya tentang membuat kumpulan di jaringan virtual.
• Pelajari cara menggunakan titik akhir privat dengan akun Azure Batch.