Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Saat membuat kumpulan Azure Batch, Anda dapat memprovisikan kumpulan dalam subnet Azure Virtual Network yang Anda tentukan. Artikel ini menjelaskan cara menyiapkan kumpulan Batch di Virtual Network.
Mengapa menggunakan Virtual Network?
Simpul komputasi dalam kumpulan dapat berkomunikasi satu sama lain, seperti menjalankan tugas multi-instans, tanpa memerlukan Virtual Network terpisah. Namun, secara default, simpul dalam kumpulan tidak dapat berkomunikasi dengan komputer virtual (VM) apa pun yang berada di luar kumpulan, seperti lisensi atau server file.
Untuk memungkinkan simpul komputasi berkomunikasi dengan aman dengan komputer virtual lain, atau dengan jaringan lokal, Anda dapat memprovisikan kumpulan di subnet Virtual Network.
Prasyarat
Autentikasi. Untuk menggunakan Azure Virtual Network, API klien Batch harus menggunakan autentikasi Microsoft Entra. Untuk mempelajari selengkapnya, lihat Mengautentikasi solusi layanan Batch dengan Direktori Aktif.
Azure Virtual Network. Untuk menyiapkan Virtual Network dengan satu atau beberapa subnet terlebih dahulu, Anda dapat menggunakan portal Azure, Azure PowerShell, Microsoft Azure CLI (CLI), atau metode lainnya.
Untuk membuat Virtual Network berbasis Azure Resource Manager, lihat Membuat jaringan virtual. Virtual Network berbasis Resource Manager direkomendasikan untuk penyebaran baru, dan hanya didukung pada kumpulan yang menggunakan Konfigurasi Komputer Virtual.
Untuk membuat Virtual Network klasik, lihat Membuat jaringan virtual (klasik) dengan beberapa subnet. Virtual Network klasik hanya didukung pada kumpulan yang menggunakan Konfigurasi Cloud Services.
Penting
Hindari menggunakan 172.17.0.0/16 untuk VNet kumpulan Azure Batch. Ini adalah default untuk jaringan penghubung Docker dan mungkin bertentangan dengan jaringan lain yang ingin Anda sambungkan ke VNet. Membuat jaringan virtual untuk kumpulan Azure Batch memerlukan perencanaan infrastruktur jaringan Anda yang cermat.
Persyaratan jaringan virtual umum
Virtual Network harus berada dalam langganan dan wilayah yang sama dengan akun Batch yang Anda gunakan untuk membuat kumpulan.
Subnet yang ditentukan untuk kumpulan harus memiliki cukup alamat IP yang tidak diberikan untuk mengakomodasi jumlah VM yang ditargetkan untuk kumpulan, cukup untuk mengakomodasi properti
targetDedicatedNodesdantargetLowPriorityNodesdari kumpulan. Jika subnet tidak memiliki alamat IP yang belum ditetapkan dengan cukup, kumpulan hanya mengalokasikan sebagian simpul komputasi, dan terjadi kesalahan pengubahan ukuran.Jika Anda tidak menggunakan Komunikasi Node Komputasi yang Disederhanakan, Anda perlu mengonfigurasi titik akhir Azure Storage Anda dengan menggunakan server DNS kustom apa pun yang mengelola jaringan virtual Anda. Secara khusus, URL formulir
<account>.table.core.windows.net,<account>.queue.core.windows.net, dan<account>.blob.core.windows.netharus dapat dipecahkan.Beberapa kumpulan dapat dibuat di jaringan virtual yang sama atau di subnet yang sama (selama memiliki ruang alamat yang memadai). Satu kumpulan tidak dapat ada di beberapa jaringan virtual atau subnet.
Penting
Kumpulan batch dapat dikonfigurasi dalam salah satu dari dua mode komunikasi simpul. Mode komunikasi node klasik adalah tempat layanan Batch memulai komunikasi ke simpul komputasi. Mode komunikasi simpul yang disederhanakan adalah tempat simpul komputasi memulai komunikasi ke Layanan Batch.
- Jaringan virtual atau jaringan virtual yang saling terhubung apa pun yang akan digunakan untuk kumpulan Batch seharusnya tidak memiliki rentang alamat IP yang tumpang tindih dengan jaringan yang ditentukan perangkat lunak atau perutean pada simpul komputasi. Salah satu sumber konflik yang umum adalah dari penggunaan container runtime, seperti docker. Docker akan membuat jembatan jaringan default dengan rentang subnet yang ditentukan dari
172.17.0.0/16. Setiap layanan yang berjalan dalam jaringan virtual di ruang alamat IP default tersebut akan bertentangan dengan layanan pada simpul komputasi, seperti akses jarak jauh melalui SSH.
Kumpulan dalam Konfigurasi Komputer Virtual
Persyaratan:
- Virtual Network yang Didukung: Hanya jaringan virtual berbasis Azure Resource Manager.
- ID subnet: saat menentukan subnet menggunakan API Batch, gunakan pengidentifikasi sumber daya subnet. Pengidentifikasi subnet berbentuk:
/subscriptions/{subscription}/resourceGroups/{group}/providers/Microsoft.Network/virtualNetworks/{network}/subnets/{subnet}
- Izin: periksa apakah kebijakan keamanan atau kunci pada langganan Virtual Network atau grup sumber daya membatasi izin pengguna untuk mengelola Virtual Network.
- Sumber daya jaringan: Batch secara otomatis membuat lebih banyak sumber daya jaringan dalam grup sumber daya yang berisi Virtual Network.
Penting
Untuk setiap 100 simpul khusus atau berprioritas rendah, Batch membuat satu kelompok keamanan jaringan (NSG), satu alamat IP publik, dan satu penyeimbang beban. Sumber daya ini dibatasi oleh kuota sumber daya langganan. Untuk kumpulan besar, Anda mungkin perlu meminta peningkatan kuota untuk satu atau beberapa sumber daya ini.
Grup keamanan jaringan untuk kumpulan Konfigurasi Mesin Virtual: batch bawaan
Batch membuat kelompok keamanan jaringan (NSG) pada level antarmuka jaringan dari setiap penyebaran Satuan Skala Mesin Virtual dalam kumpulan Batch. Untuk kumpulan yang tidak memiliki alamat IP publik dalam komunikasi simpul komputasi simplified, NSG tidak dibuat.
Untuk menyediakan komunikasi yang diperlukan antara simpul komputasi dan layanan Batch, NSG ini dikonfigurasi singgah sehingga:
- Lalu lintas TCP masuk pada port 29876 dan 29877 dari alamat IP layanan Batch yang sesuai dengan BatchNodeManagement.region service tag. Aturan ini hanya dibuat dalam
classicmode komunikasi kumpulan. - Izinkan semua lalu lintas keluar pada port 443 ke alamat IP layanan Batch yang berhubungan dengan BatchNodeManagement.tag layanan wilayah.
- Lalu lintas keluar pada port mana pun ke jaringan virtual. Aturan ini mungkin diubah berdasarkan aturan NSG di tingkat subnet.
- Lalu lintas keluar pada port mana pun ke Internet. Aturan ini mungkin diubah menurut aturan NSG tingkat subnet.
Catatan
Untuk kumpulan yang dibuat menggunakan versi API yang lebih lama dari 2024-07-01lalu lintas TCP masuk pada port 22 (node Linux) atau port 3389 (node Windows) dikonfigurasi untuk memungkinkan akses jarak jauh melalui SSH atau RDP pada port default.
Penting
Berhati-hatilah jika Anda mengubah atau menambahkan aturan masuk atau keluar di NSG yang dikonfigurasi Batch. Jika komunikasi ke node komputasi dalam subnet yang ditentukan ditolak oleh NSG, layanan Batch akan menyetel status node komputasi ke tidak dapat digunakan. Selain itu, tidak boleh ada kunci sumber daya yang diterapkan pada sumber daya apa pun yang dibuat oleh Batch, karena hal ini dapat mencegah pembersihan sumber daya sebagai akibat dari tindakan yang dimulai oleh pengguna seperti menghapus pool.
Grup keamanan jaringan untuk kumpulan Konfigurasi Komputer Virtual: Menentukan aturan tingkat subnet
Jika Anda memiliki NSG yang terkait dengan subnet untuk simpul komputasi Batch, Anda harus mengonfigurasi NSG ini dengan setidaknya aturan keamanan masuk dan keluar yang ditampilkan dalam tabel berikut.
Peringatan
Alamat IP layanan Batch dapat berubah seiring waktu. Oleh karena itu, Anda harus menggunakan BatchNodeManagement.tag layanan wilayah untuk aturan NSG yang ditunjukkan dalam tabel berikut. Hindari mengisi aturan NSG dengan alamat IP layanan Batch tertentu.
Aturan keamanan masuk jaringan
| Tag Layanan Sumber atau Alamat IP | Port Tujuan | Protokol | Mode Komunikasi Kumpulan | Wajib |
|---|---|---|---|---|
| BatchNodeManagement.tag wilayahtag layanan | 29876-29877 | TCP | Klasik | Ya |
| Alamat IP sumber untuk mengakses simpul komputasi dari jarak jauh | 3389 (Windows), 22 (Linux) | TCP | Klasik atau Disederhanakan | Tidak |
Konfigurasikan lalu lintas masuk pada port 3389 (Windows) atau 22 (Linux) hanya jika Anda perlu mengizinkan akses jarak jauh ke simpul komputasi dari sumber luar pada port RDP atau SSH default. Anda mungkin perlu mengizinkan lalu lintas SSH di Linux jika Anda memerlukan dukungan untuk tugas multi-instans dengan runtime Antarmuka Passing Pesan (MPI) tertentu di subnet yang berisi simpul komputasi Batch karena lalu lintas dapat diblokir per aturan NSG tingkat subnet. Trafik MPI biasanya menggunakan ruang alamat IP privat, tetapi dapat bervariasi antara runtime MPI dan konfigurasi runtime. Mengizinkan lalu lintas pada port ini tidak benar-benar diperlukan agar simpul komputasi kumpulan dapat digunakan. Anda juga dapat menonaktifkan akses jarak jauh default pada port ini dengan mengonfigurasi endpoint himpunan.
Aturan keamanan untuk keluaran
| Tag Layanan Tujuan | Port Tujuan | Protokol | Mode Komunikasi Kumpulan | Wajib |
|---|---|---|---|---|
| BatchNodeManagement.tag layanan wilayah | 443 | * | Disederhanakan | Ya |
| Penyimpanan.wilayahtag layanan | 443 | TCP | Klasik | Ya |
Keluar ke BatchNodeManagement.tag layanan wilayah diperlukan dalam classic mode komunikasi kumpulan jika Anda menggunakan tugas Job Manager atau jika tugas Anda harus berkomunikasi kembali ke layanan Batch. Untuk keluar ke BatchNodeManagement.wilayah dalam simplified mode komunikasi kumpulan, layanan Batch saat ini hanya menggunakan protokol TCP, tetapi UDP mungkin diperlukan untuk kompatibilitas di masa mendatang. Untuk kumpulan yang tidak memiliki alamat IP publik yang menggunakan simplified mode komunikasi dan memiliki titik akhir privat untuk pengelolaan node, NSG tidak diperlukan. Untuk informasi lebih lanjut tentang aturan keamanan keluar untuk BatchNodeManagement.service tag wilayah, lihat Gunakan komunikasi simpul komputasi yang disederhanakan.
Membuat kumpulan dengan Virtual Network di portal Azure
Setelah membuat Virtual Network dan menetapkan subnet ke dalamnya, Anda dapat membuat kumpulan Batch dengan Virtual Network tersebut. Ikuti langkah-langkah berikut untuk membuat kumpulan dari portal Azure:
Cari dan pilih Akun batch di bilah pencarian di bagian atas portal Azure. Pilih akun Batch Anda. Akun ini harus berada di langganan dan wilayah yang sama dengan grup sumber daya yang berisi Virtual Network yang ingin Anda gunakan.
Pilih Pool dari navigasi sebelah kiri.
Pada jendela Kumpulan , pilih Tambahkan.
Pada halaman Tambahkan Kumpulan , pilih opsi dan masukkan informasi untuk kumpulan Anda. Untuk informasi selengkapnya tentang membuat kumpulan untuk akun Batch Anda, lihat Membuat kumpulan simpul komputasi. Ukuran node, Node khusus target, dan Node Target Spot/berprioritas rendah, serta pengaturan opsional yang diinginkan.
Di Virtual Network, pilih jaringan virtual dan subnet yang ingin Anda gunakan.
Pilih Oke untuk membuat kumpulan Anda.
Penting
Jika Anda mencoba menghapus subnet yang sedang digunakan oleh kumpulan, Anda akan mendapatkan pesan kesalahan. Semua kumpulan yang menggunakan subnet harus dihapus sebelum Anda menghapus subnet itu.
Rute yang ditentukan pengguna untuk penerowongan paksa
Anda mungkin memiliki persyaratan di organisasi Anda untuk mengalihkan (memaksa) lalu lintas yang menuju internet dari subnet kembali ke lokasi on-premises Anda untuk pemeriksaan dan pencatatan. Selain itu, Anda mungkin telah mengaktifkan penerowongan paksa untuk subnet di Virtual Network Anda.
Untuk memastikan bahwa simpul di kumpulan Anda berfungsi di Virtual Network yang mengaktifkan penerowongan paksa, Anda harus menambahkan rute yang ditentukan pengguna (UDR) berikut untuk subnet tersebut.
Untuk kumpulan mode komunikasi klasik:
Layanan Batch perlu berkomunikasi dengan simpul untuk menjadwalkan tugas. Untuk mengaktifkan komunikasi ini, tambahkan UDR yang sesuai dengan BatchNodeManagement.tag layanan wilayahdi wilayah tempat akun Batch Anda berada. Tetapkan Jenis hop berikutnya ke Internet.
Pastikan jaringan lokal Anda tidak memblokir lalu lintas TCP keluar ke Azure Storage pada port tujuan 443 (khususnya, URL formulir
*.table.core.windows.net, ,*.queue.core.windows.netdan*.blob.core.windows.net).
Untuk kumpulan mode komunikasi yang disederhanakan tanpa menggunakan titik akhir privat manajemen simpul:
- Pastikan jaringan lokal Anda tidak memblokir lalu lintas TCP/UDP keluar ke Azure Batch BatchNodeManagement.tag layanan wilayah pada port tujuan 443. Saat ini hanya protokol TCP yang digunakan, tetapi UDP mungkin diperlukan untuk kompatibilitas di masa mendatang.
Untuk semua kumpulan:
- Jika Anda menggunakan pemasangan berkas virtual, tinjau persyaratan jaringan, dan pastikan bahwa tidak ada lalu lintas penting yang diblokir.
Peringatan
Alamat IP layanan Batch dapat berubah seiring waktu. Untuk mencegah pemadaman karena perubahan alamat IP layanan Batch, jangan langsung menentukan alamat IP. Sebagai gantinya, gunakan BatchNodeManagement.regiontag layanan.