Prasyarat untuk Azure HPC Cache
Sebelum membuat Azure HPC Cache baru, pastikan lingkungan Anda memenuhi persyaratan ini.
Langganan Azure
Langganan berbayar disarankan.
Infrastruktur Jaringan
Prasyarat terkait jaringan ini perlu disiapkan sebelum Anda dapat menggunakan cache Anda:
- Subnet khusus untuk instans Azure HPC Cache
- Dukungan DNS sehingga cache dapat mengakses penyimpanan dan sumber daya lainnya
- Akses dari subnet ke layanan infrastruktur Microsoft Azure tambahan, termasuk server NTP dan layanan Azure Queue Storage.
Subnet cache
Azure HPC Cache memerlukan subnet khusus dengan kualitas berikut:
- Subnet harus memiliki setidaknya 64 alamat IP yang tersedia.
- Komunikasi di dalam subnet harus tidak dibatasi. Jika Anda menggunakan grup keamanan jaringan untuk subnet cache, pastikan grup keamanan tersebut mengizinkan semua layanan antar alamat IP internal.
- Subnet tidak dapat menghosting VM lain, bahkan untuk layanan terkait seperti komputer klien.
- Jika Anda menggunakan beberapa instans Azure HPC Cache, masing-masing instans memerlukan subnetnya sendiri.
Praktik terbaik adalah membuat subnet baru untuk setiap cache. Anda dapat membuat jaringan virtual dan subnet baru sebagai bagian dari pembuatan cache.
Saat membuat subnet ini, berhati-hatilah bahwa pengaturan keamanannya memungkinkan akses ke layanan infrastruktur yang diperlukan yang disebutkan nanti di bagian ini. Anda dapat membatasi konektivitas internet keluar, tetapi pastikan ada pengecualian untuk item yang didokumenkan di sini.
Akses DNS
Cache ini memerlukan DNS untuk mengakses sumber daya di luar jaringan virtualnya. Bergantung pada sumber daya mana yang Anda gunakan, Anda mungkin perlu menyiapkan server DNS yang dikustomisasi dan mengonfigurasi penerusan antara server tersebut dan server Azure DNS:
- Untuk mengakses titik akhir penyimpanan Azure Blob dan sumber daya internal lainnya, Anda memerlukan server DNS berbasis Azure.
- Untuk mengakses penyimpanan lokal, Anda perlu mengonfigurasi server DNS kustom yang dapat menyelesaikan nama host penyimpanan Anda. Anda harus melakukan ini sebelum membuat cache.
Jika Anda hanya menggunakan penyimpanan Blob, Anda dapat menggunakan server DNS default yang disediakan Azure untuk cache Anda. Namun, jika Anda memerlukan akses ke penyimpanan atau sumber daya lain di luar Azure, Anda harus membuat server DNS kustom dan mengonfigurasinya untuk meneruskan permintaan resolusi khusus Azure ke server Azure DNS.
Untuk menggunakan server DNS kustom, Anda perlu melakukan langkah-langkah pengaturan ini sebelum membuat cache Anda:
Buat jaringan virtual yang akan menghosting Azure HPC Cache.
Buat server DNS.
Tambahkan server DNS ke jaringan virtual cache.
Ikuti langkah-langkah ini untuk menambahkan server DNS ke jaringan virtual di portal Microsoft Azure:
- Buka jaringan virtual di portal Microsoft Azure.
- Pilih server DNS dari menu Pengaturan di bilah sisi.
- Pilih Kustom
- Masukkan alamat IP server DNS dalam kolom.
Server DNS sederhana juga dapat digunakan untuk memuat koneksi klien saldo di antara semua titik pemasangan cache yang tersedia.
Pelajari selengkapnya tentang jaringan virtual Azure dan konfigurasi server DNS dalam Resolusi nama untuk sumber daya di jaringan virtual Azure.
Akses NTP
Cache HPC membutuhkan akses ke server NTP untuk operasi reguler. Jika Anda membatasi lalu lintas keluar dari jaringan virtual Anda, pastikan untuk mengizinkan lalu lintas ke setidaknya satu server NTP. Server default time.windows.com, dan cache menghubungi server ini di port UDP 123.
Buat aturan di grup keamanan jaringan milik jaringan cache Anda yang memungkinkan lalu lintas keluar ke server NTP Anda. Aturan ini hanya dapat memungkinkan semua lalu lintas keluar di port UDP 123, atau memiliki lebih banyak pembatasan.
Contoh ini secara eksplisit membuka lalu lintas keluar ke alamat IP 168.61.215.74, yang merupakan alamat yang digunakan oleh time.windows.com.
Prioritas | Nama | Port | Protokol | Sumber | Tujuan | Tindakan |
---|---|---|---|---|---|---|
200 | NTP | Mana pun | UDP | Mana pun | 168.61.215.74 | Bolehkan |
Pastikan bahwa aturan NTP memiliki prioritas yang lebih tinggi daripada aturan apa pun yang secara luas menolak akses keluar.
Tips lainnya untuk akses NTP:
Jika Anda memiliki firewall antara HPC Cache dan server NTP Anda, pastikan firewall ini juga memungkinkan akses NTP.
Anda dapat mengonfigurasikan server NTP mana yang digunakan HPC Cache Anda di halaman Jaringan. Baca Mengonfigurasikan pengaturan tambahan untuk mengetahui informasi selengkapnya.
Akses Azure Queue Storage
Cache harus dapat mengakses layanan Azure Queue Storage dengan aman dari dalam subnet khususnya. Azure HPC Cache menggunakan layanan antrean saat mengkomunikasikan konfigurasi dan informasi status.
Jika cache tidak dapat mengakses layanan antrean, Anda mungkin melihat pesan Cache Koneksi ivityError saat membuat cache.
Ada dua cara untuk menyediakan akses:
Buat titik akhir layanan Azure Storage di subnet cache Anda. Baca Menambahkan subnet jaringan virtual untuk petunjuk menambahkan titik akhir layanan Microsoft.Storage .
Konfigurasikan akses secara individual ke domain layanan antrean penyimpanan Azure di grup keamanan jaringan Anda atau firewall lainnya.
Tambahkan aturan untuk mengizinkan akses pada port ini:
Port TCP 443 untuk mengamankan lalu lintas ke host mana pun di queue.core.windows.net domain (
*.queue.core.windows.net
).Port TCP 80 - digunakan untuk verifikasi sertifikat sisi server. Hal ini terkadang disebut sebagai pemeriksaan daftar pencabutan sertifikat (CRL) dan komunikasi protokol status sertifikat online (OCSP). Semua *.queue.core.windows.net menggunakan sertifikat yang sama, dan dengan demikian server CRL/OCSP yang sama. Nama host disimpan di sertifikat SSL sisi server.
Lihat tips aturan keamanan dalam akses NTP untuk informasi selengkapnya.
Perintah ini mencantumkan server CRL dan OSCP yang perlu diizinkan aksesnya. Server ini harus dapat diselesaikan oleh DNS dan dapat dijangkau pada port 80 dari subnet cache.
openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
Output terlihat seperti ini, dan dapat berubah jika sertifikat SSL diperbarui:
OCSP - URI:http://ocsp.msocsp.com CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
Anda dapat memeriksa konektivitas subnet dengan menggunakan perintah ini dari VM pengujian di dalam subnet:
openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"
Koneksi yang berhasil memberikan respons ini:
OCSP Response Status: successful (0x0)
Akses server peristiwa
Azure HPC Cache menggunakan titik akhir server peristiwa Azure untuk memantau kesehatan cache dan mengirim informasi diagnostik.
Pastikan bahwa cache dapat mengakses host dengan aman di domain events.data.microsoft.com - yaitu, buka port TCP 443 untuk lalu lintas ke *.events.data.microsoft.com
.
Izin
Periksa prasyarat terkait izin ini sebelum mulai membuat cache Anda.
Instans cache harus dapat membuat antarmuka jaringan virtual (NIC). Pengguna yang membuat cache harus memiliki hak istimewa yang memadai dalam langganan untuk membuat NIC.
Jika menggunakan penyimpanan Blob, Azure HPC Cache memerlukan otorisasi untuk mengakses akun penyimpanan Anda. Gunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memberikan akses cache ke penyimpanan Blob Anda. Dua peran diperlukan: Kontributor Akun Penyimpanan dan Kontributor Data Blob Penyimpanan.
Ikuti instruksi di Tambahkan target penyimpanan untuk menambahkan peran.
Infrastruktur penyimpanan
Cache ini mendukung kontainer Azure Blob, ekspor penyimpanan perangkat keras NFS, dan kontainer blob ADLS yang dipasang di NFS. Tambahkan target penyimpanan setelah Anda membuat cache.
Setiap jenis penyimpanan memiliki prasyarat khusus.
Persyaratan penyimpanan blob
Jika Anda ingin menggunakan penyimpanan Azure Blob dengan cache, Anda memerlukan akun penyimpanan yang kompatibel dan kontainer Blob kosong atau kontainer yang diisi dengan data berformat Azure HPC Cache seperti yang dijelaskan dalam Pindahkan data ke penyimpanan Azure Blob.
Catatan
Persyaratan yang berbeda berlaku untuk penyimpanan blob yang dipasang di NFS. Baca Persyaratan penyimpanan ADLS-NFS untuk mengetahui detailnya.
Buat akun sebelum mencoba menambahkan target penyimpanan. Anda dapat membuat kontainer baru saat menambahkan target.
Untuk membuat akun penyimpanan yang kompatibel, gunakan salah satu kombinasi berikut:
Performa | Jenis | Replikasi | Tingkat penyimpanan |
---|---|---|---|
Standard | StorageV2 (tujuan umum V2) | Penyimpanan redundan secara lokal (LRS) atau penyimpanan redundan zona (ZRS) | Populer |
Premium | Blob blok | Penyimpanan yang berlebihan secara lokal (LRS) | Populer |
Akun penyimpanan harus dapat diakses dari subnet privat cache Anda. Jika akun Anda menggunakan titik akhir privat atau titik akhir publik yang dibatasi untuk jaringan virtual tertentu, pastikan untuk mengaktifkan akses dari subnet cache. (Titik akhir publik terbuka tidak disarankan.)
Baca Bekerja dengan titik akhir privat untuk tips tentang menggunakan titik akhir privat dengan target penyimpanan HPC Cache.
Ini adalah praktik yang baik untuk menggunakan akun penyimpanan di wilayah Azure yang sama dengan cache Anda.
Anda juga harus memberikan akses aplikasi cache ke akun penyimpanan Azure Anda seperti yang disebutkan dalam Izin, di atas. Ikuti prosedur di Tambahkan target penyimpanan untuk memberikan cache peran akses yang diperlukan. Jika Anda bukan pemilik akun penyimpanan, minta pemilik melakukan langkah ini.
Persyaratan penyimpanan NFS
Jika menggunakan sistem penyimpanan NFS (misalnya, sistem NAS perangkat keras lokal), pastikan sistem memenuhi persyaratan ini. Anda mungkin perlu bekerja dengan administrator jaringan atau manajer firewall untuk sistem penyimpanan Anda (atau pusat data) untuk memverifikasi pengaturan ini.
Catatan
Pembuatan target penyimpanan akan gagal jika cache memiliki akses yang tidak memadai ke sistem penyimpanan NFS.
Informasi selengkapnya disertakan dalam Pemecahan masalah konfigurasi NAS dan masalah target penyimpanan NFS.
Konektivitas jaringan: Azure HPC Cache memerlukan akses jaringan bandwidth tinggi antara subnet cache dan pusat data sistem NFS. ExpressRoute atau akses serupa disarankan. Jika menggunakan VPN, Anda mungkin perlu mengonfigurasinya untuk mengapit TCP MSS di 1350 guna memastikan paket besar tidak diblokir. Baca Pembatasan ukuran paket VPN untuk bantuan lebih lanjut dalam memecahkan masalah pengaturan VPN.
Akses port: Cache memerlukan akses ke port TCP/UDP tertentu pada sistem penyimpanan Anda. Berbagai jenis penyimpanan memiliki persyaratan port yang berbeda.
Untuk memeriksa pengaturan sistem penyimpanan Anda, ikuti prosedur ini.
Keluarkan
rpcinfo
perintah ke sistem penyimpanan Anda untuk memeriksa port yang diperlukan. Perintah di bawah ini mencantumkan port dan memformat hasil yang relevan dalam tabel. (Gunakan alamat IP sistem Anda sebagai pengganti <> istilah storage_IP.)Anda dapat mengeluarkan perintah ini dari klien Linux mana pun yang telah memasang infrastruktur NFS. Jika Anda menggunakan klien di dalam subnet kluster, itu juga dapat membantu memverifikasi konektivitas antara subnet dan sistem penyimpanan.
rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
Pastikan semua port yang dikembalikan oleh kueri
rpcinfo
mengizinkan lalu lintas tidak terbatas dari subnet Azure HPC Cache.Jika Anda tidak dapat menggunakan
rpcinfo
perintah, pastikan bahwa port yang umum digunakan ini memungkinkan lalu lintas masuk dan keluar:Protokol Port Layanan TCP/UDP 111 rpcbind TCP/UDP 2049 NFS TCP/UDP 4045 nlockmgr TCP/UDP 4046 mountd TCP/UDP 4047 status Beberapa sistem menggunakan nomor port yang berbeda untuk layanan ini - lihat dokumentasi sistem penyimpanan Anda untuk memastikannya.
Periksa setelan firewall untuk memastikan bahwa lalu lintas pada semua port yang diperlukan ini diizinkan. Pastikan untuk memeriksa firewall yang digunakan di Azure serta firewall lokal di pusat data Anda.
Penyimpanan back-end NFS harus menjadi platform perangkat keras / perangkat lunak yang kompatibel. Penyimpanan harus mendukung NFS Versi 3 (NFSv3). Hubungi tim Azure HPC Cache untuk mengetahui detailnya.
Persyaratan penyimpanan blob (ADLS-NFS) yang dipasang di NFS
Azure HPC Cache juga dapat menggunakan kontainer blob yang dipasang dengan protokol NFS sebagai target penyimpanan.
Baca selengkapnya tentang fitur ini di Dukungan protokol NFS 3.0 di penyimpanan Azure Blob.
Persyaratan akun penyimpanan berbeda untuk target penyimpanan blob ADLS-NFS dan untuk target penyimpanan blob standar. Ikuti petunjuk dalam Penyimpanan Mount Blob dengan menggunakan protokol Network File System (NFS) 3.0 secara saksama untuk membuat dan mengonfigurasi akun penyimpanan yang diaktfikan NFS.
Ini adalah gambaran umum dari langkah-langkah. Langkah-langkah ini dapat berubah, jadi selalu lihat instruksi ADLS-NFS untuk mengetahui detail saat ini.
Pastikan bahwa fitur yang Anda butuhkan tersedia di wilayah tempat Anda berencana untuk bekerja.
Aktifkan fitur protokol NFS untuk langganan Anda. Lakukan ini sebelum Anda membuat akun penyimpanan.
Buat jaringan virtual aman (VNet) untuk akun penyimpanan. Anda harus menggunakan jaringan virtual yang sama untuk akun penyimpanan yang diaktifkan NFS dan untuk Azure HPC Cache Anda. (Jangan gunakan subnet yang sama dengan cache.)
Buat akun penyimpanan.
Alih-alih menggunakan pengaturan akun penyimpanan untuk akun penyimpanan blob standar, ikuti instruksi dalam dokumen cara penggunaan. Jenis akun penyimpanan yang didukung mungkin berbeda menurut wilayah Azure.
Di bagian Jaringan, pilih titik akhir privat di jaringan virtual aman yang Anda buat (direkomendasikan), atau pilih titik akhir publik dengan akses terbatas dari VNet aman.
Baca Bekerja dengan titik akhir privat untuk tips tentang menggunakan titik akhir privat dengan target penyimpanan HPC Cache.
Jangan lupa untuk menyelesaikan bagian Tingkat Lanjut, tempat Anda mengaktifkan akses NFS.
Anda juga harus memberikan akses aplikasi cache ke akun penyimpanan Azure Anda seperti yang disebutkan dalam Izin, di atas. Anda dapat melakukan langkah ini saat pertama kali membuat target penyimpanan. Ikuti prosedur di Tambahkan target penyimpanan untuk memberikan cache peran akses yang diperlukan.
Jika Anda bukan pemilik akun penyimpanan, minta pemilik melakukan langkah ini.
Pelajari selengkapnya tentang menggunakan target penyimpanan ADLS-NFS dengan Azure HPC Cache dalam Gunakan penyimpanan blob yang dipasang di NFS dengan Azure HPCCache.
Bekerja dengan titik akhir privat
Azure Storage mendukung titik akhir privat untuk memungkinkan akses data yang aman. Anda dapat menggunakan titik akhir privat dengan target penyimpanan blob yang dipasang Azure Blob atau NFS.
Pelajari selengkapnya tentang titik akhir privat
Titik akhir privat menyediakan alamat IP tertentu yang digunakan HPC Cache untuk berkomunikasi dengan sistem penyimpanan back-end Anda. Jika alamat IP tersebut berubah, cache tidak dapat secara otomatis membuat ulang koneksi dengan penyimpanan.
Jika Anda perlu mengubah konfigurasi titik akhir privat, ikuti prosedur ini untuk menghindari masalah komunikasi antara penyimpanan dan HPC Cache:
- Tangguhkan target penyimpanan (atau semua target penyimpanan yang menggunakan titik akhir privat ini).
- Buat perubahan pada titik akhir privat, dan simpan perubahan tersebut.
- Letakkan kembali target penyimpanan ke dalam layanan dengan perintah "lanjutkan".
- Refresh pengaturan DNS target penyimpanan.
Baca Menampilkan dan mengelola target penyimpanan untuk mempelajari cara menangguhkan, melanjutkan, dan merefresh DNS untuk target penyimpanan.
Siapkan akses Azure CLI (opsional)
Jika Anda ingin membuat atau mengelola Azure HPC Cache dari Azure CLI, Anda perlu menginstal Azure CLI dan ekstensi hpc-cache. Ikuti instruksi dalam Siapkan Azure CLI untuk Azure HPC Cache.
Langkah berikutnya
- Buat intans Azure HPC Cache dari portal Microsoft Azure