Azure サブスクリプションを構成する
Azure CycleCloud を実行するには、有効な Azure サブスクリプションとVirtual Networkが必要です。
一般に、Azure テナントとサブスクリプションの作成と構成の決定は、Azure CycleCloud ドキュメントの範囲外のビジネス上の決定です。 ただし、一般に HPC と大規模なコンピューティング アプリケーションはリソースを大量に消費するため、課金を追跡し、使用量制限を適用し、リソースと API の使用状況を分離するための専用サブスクリプションを作成することを検討する価値があります。 Azure テナントとサブスクリプションの設計の詳細については、 Azure サブスクリプションの管理に関するページを参照してください。
仮想ネットワークを構成する
既存の Azure Virtual Networkとサブネットを選択するか、CycleCloud VM と CycleCloud によって管理されるコンピューティング クラスターを実行する新しいVirtual Networkを作成する必要があります。
Virtual Networkがまだ作成されていない場合は、提供されている CycleCloud ARM テンプレートのデプロイから開始することを検討してください。 CycleCloud ARM テンプレートは、デプロイ時に CycleCloud とコンピューティング クラスター用の新しい仮想ネットワークを作成します。 または、次の手順に従って新しいVirtual Networkを作成することもできます。
次に、Express Route または VPN がVirtual Network用にまだ構成されていない場合は、パブリック インターネット経由でVirtual Networkに接続できますが、VPN Gatewayを構成することを強くお勧めします。
サブネットとネットワーク セキュリティ グループを構成する
CycleCloud には通常、コンピューティング クラスターとは異なるネットワーク セキュリティ要件とアクセス ポリシーがあるため、多くの場合、クラスターとは異なる Azure サブネットで Azure CycleCloud を実行することをお勧めします。
推奨されるベスト プラクティスは、少なくとも 2 つのサブネット (CycleCloud VM 用と、同じアクセス ポリシーを持つ他の VM 用とコンピューティング クラスター用の追加サブネット) を使用することです。 ただし、大規模なクラスターの場合、サブネットの IP 範囲が制限要因になる可能性があることに注意してください。 そのため、一般に、CycleCloud サブネットは小さな CIDR 範囲を使用し、コンピューティング サブネットは大きくする必要があります。
ここでの手順に従って、Virtual Networkに 1 つ以上のサブネットを作成します。
コンピューティングに複数のサブネットを使用する
すべての VM がクラスター内および CycleCloud と通信できる限り 、複数のサブネット間でノードと nodearray を実行するように CycleCloud クラスターを構成できます (場合によっては 、Return Proxy を介して)。 たとえば、多くの場合、実行ノードとは異なるセキュリティ規則を持つサブネット内でスケジューラ ノードまたは送信者ノードを起動すると便利です。 CycleCloud の既定のクラスターの種類では、クラスター全体に対して 1 つのサブネットが想定されていますが、ノード テンプレートの属性を使用して SubnetId 、ノードまたは nodearray ごとにサブネットを構成できます。
ただし、CycleCloud クラスターに適用される既定の hosts ファイル ベースのホスト名解決では、ノードのサブネットの hosts ファイルのみが既定で生成されます。 そのため、複数のサブネットにまたがるクラスターを作成する場合は、クラスターのホスト名解決もカスタマイズする必要があります。
複数のコンピューティング サブネットをサポートするには、次の 2 つの基本的なクラスター テンプレートの変更が必要です。
- クラスターの既定の
SubnetIdサブネットにない各ノードまたは nodearray に属性を設定します。 - すべてのサブネットのホスト名解決を次のいずれかの方法で構成します。
- Azure DNS ゾーンを使用し、既定の hosts-file ベースの解決を無効にする
- または、属性を
CycleCloud.hosts.standalone_dns.subnetsVNet の CIDR 範囲に設定するか、サブネットごとに CIDR 範囲のコンマ区切りのリストを設定します。 詳細については、 ノード構成リファレンス を参照してください。
CycleCloud サブネットのネットワーク セキュリティ グループの設定
セキュリティのために Azure Virtual Networkを構成することは、このドキュメントの範囲をはるかに超えた広範なトピックです。
CycleCloud クラスターと CycleCloud クラスターは、非常にロックダウンされた環境で動作する可能性があります。 構成の詳細については、「 ロックダウンされたネットワークでの実行 と プロキシの背後での実行 」を参照してください。
ただし、制限の厳しいネットワークには、いくつかの一般的なガイドラインがあります。 まず、CycleCloud GUI ユーザーは HTTPS 経由で CycleCloud VM にアクセスする必要があり、管理者は SSH アクセスを必要とする場合があります。 クラスター ユーザーは通常、コンピューティング クラスター内の少なくとも送信ノードへの SSH アクセスと、Windows クラスターの RDP などの他のアクセス権を必要とします。 最後の一般的なルールは、アクセスを必要最小限に制限します。
上記で作成したサブネットごとに新しいネットワーク セキュリティ グループを作成するには、ガイドに従って ネットワーク セキュリティ グループを作成します。
受信セキュリティ規則
重要
次の規則では、仮想ネットワークがプライベート ネットワーク アクセス用に Express Route または VPN で構成されていることを前提としています。 パブリック インターネット経由で実行している場合は、ソースをパブリック IP アドレスまたは企業 IP 範囲に変更する必要があります。
CycleCloud VM サブネット
| 名前 | 優先度 | source | サービス | Protocol | ポート範囲 |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | Custom | TCP | 22 |
| HTTPS | 110 | VirtualNetwork | Custom | TCP | 443 |
| HTTPS | 110 | VirtualNetwork | Custom | TCP | 9443 |
コンピューティング サブネット
| 名前 | 優先度 | source | サービス | Protocol | ポート範囲 |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | Custom | TCP | 22 |
| RDP | 110 | VirtualNetwork | Custom | TCP | 3389 |
| 神経 節 | 120 | VirtualNetwork | Custom | TCP | 8652 |
送信セキュリティ規則
一般に、CycleCloud VM とコンピューティング クラスターは、パッケージのインストールと Azure REST API 呼び出しのためにインターネットにアクセスできることが想定されています。
送信インターネット アクセスがセキュリティ ポリシーによってブロックされている場合は、「 ロックダウン ネットワークで実行する 」と「 プロキシの背後で実行する 」の手順に従って構成の詳細を確認してください。