Condividi tramite


Gestione delle identità e degli accessi per Azure HPC in energia

Le linee guida contenute in questo articolo consentono di esaminare le considerazioni di progettazione e le raccomandazioni correlate alla gestione delle identità e degli accessi per HPC (High Performance Computing). Questo scenario è specifico per la distribuzione di un'applicazione HPC per il settore energetico. Per altre informazioni sulle considerazioni e le raccomandazioni sulla progettazione, vedere l'area di progettazione della zona di destinazione di Azure per la gestione delle identità e degli accessi.

Microsoft Entra Domain Services (Microsoft Entra Domain Services ) può usare servizi di dominio gestiti come l'aggiunta a un dominio, criteri di gruppo e l'accesso a protocolli di autenticazione legacy come LDAP (Lightweight Directory Access Protocol) e l'autenticazione Kerberos/NTLM. Microsoft Entra Domain Services si integra con il tenant Microsoft Entra esistente, in modo che gli utenti possano accedere a servizi e applicazioni connessi al dominio gestito usando le credenziali di Microsoft Entra. Per proteggere l'accesso alle risorse, è anche possibile usare gruppi e account utente esistenti. Queste funzionalità offrono un trasferimento in modalità lift-and-shift più semplice delle risorse locali in Azure, soprattutto per un ambiente ibrido.

Per altre informazioni, vedere Consigli di progettazione per l'accesso alla piattaforma e l'identità e l'accesso di Azure per le zone di destinazione.

Considerazioni relative alla progettazione

La distribuzione HPC usa la configurazione dell'infrastruttura della zona di destinazione di Azure per le esigenze di gestione delle identità e degli accessi di sicurezza.

Due tipi di distribuzione comuni nei carichi di lavoro del settore petrolifero e del gas sono modelli cloud ecloud ibridi. Sebbene sia meno complesso disporre di tutte le risorse di calcolo, archiviazione e visualizzazione nel cloud, i clienti usano talvolta un modello ibrido a causa di più vincoli aziendali per carichi di lavoro HPC sismici e di simulazione del serbatoio.

Sia i modelli cloud che i modelli cloud ibridi possono avere la propria identità univoca e le esigenze di accesso che influiscono sul tipo di soluzione active directory da adottare.

I carichi di lavoro nel modello di distribuzione solo cloud usano Microsoft Entra ID per l'autenticazione di Azure service fabric, mentre il modello di cloud ibrido HPC usa la soluzione di identità ibrida Microsoft Entra per l'autenticazione. Indipendentemente dal tipo di distribuzione, i client Linux e le soluzioni di archiviazione conformi a POSIX richiedono il supporto di Active Directory legacy tramite Microsoft Entra Domain Services.

Una configurazione HPC tipica include un front-end per l'invio di processi, un'utilità di pianificazione dei processi o un agente di orchestrazione, un cluster di calcolo e un'archiviazione condivisa. I processi possono essere inviati da locale e/o nel cloud. Le considerazioni sulla gestione delle identità e degli accessi per gli utenti e i dispositivi di visualizzazione possono variare a seconda degli standard aziendali.

Esaminare le attività di amministrazione e gestione di Azure necessarie dai team. Prendere in considerazione le esigenze HPC nelle risorse di Azure. Determinare la migliore distribuzione possibile delle responsabilità all'interno dell'organizzazione.

Suggerimenti per la progettazione

A seconda dell'agente di orchestrazione delle risorse di calcolo HPC scelto, sono supportati diversi tipi di metodi di autenticazione:

  • Azure CycleCloud offre tre metodi di autenticazione: un database predefinito con crittografia, Active Directory o LDAP.
  • Azure Batch supporta due metodi di autenticazione: chiave condivisa e ID Microsoft Entra.
  • Microsoft HPC Pack: attualmente tutti i nodi HPC Pack devono essere aggiunti a un dominio di Active Directory. Se si distribuisce il cluster HPC Pack in una rete virtuale con una connessione VPN da sito a sito o ExpressRoute con la rete aziendale, in genere esiste un dominio di Active Directory esistente. Se non si ha ancora un dominio di Active Directory nella rete virtuale, è possibile sceglierne uno promuovendo il nodo head come controller di dominio.

Passaggi successivi

Gli articoli seguenti forniscono indicazioni per passaggi specifici del percorso di adozione del cloud per gli ambienti HPC per l'energia.