Delen via


HpC Azure-identiteits- en toegangsbeheer financieren

Dit artikel bouwt voort op overwegingen en aanbevelingen die zijn gedefinieerd in het Azure-landingszone-ontwerpgebied voor identiteits- en toegangsbeheer. Aan de hand van de richtlijnen in dit artikel kunt u de ontwerpoverwegingen en aanbevelingen voor identiteits- en toegangsbeheer gebruiken om een HPC-toepassing (High Performance Computing) te implementeren in Microsoft Azure voor de financiële sector.

Ontwerpoverwegingen

Houd rekening met de volgende ontwerpoverwegingen bij het implementeren van uw HPC-toepassing:

  • Bepaal het Azure-resourcebeheer dat vereist is voor verschillende leden van het team. Overweeg deze teamleden verhoogde toegang tot Azure-resourcebeheer te bieden in een niet-productieomgeving.

    • Geef ze bijvoorbeeld de rol Inzender voor virtuele machines.
    • U kunt teamleden ook gedeeltelijk verhoogde beheerderstoegang geven, zoals een gedeeltelijke rol Inzender voor virtuele machines in een productieomgeving. Beide opties zorgen voor een goed evenwicht tussen scheiding van taken en operationele efficiëntie.
  • Bekijk de Azure-beheer- en beheeractiviteiten die u nodig hebt om uw teams uit te voeren. Houd rekening met uw HPC in Azure-landschap. Bepaal de best mogelijke verdeling van verantwoordelijkheden binnen uw organisatie.

    Hier volgen de algemene Azure-activiteiten voor beheer en beheer.

    Azure-resource Azure-resourceprovider Activiteiten
    Virtuele machine (VM) Microsoft.Compute/virtualMachines Starten, stoppen, opnieuw opstarten, toewijzing ongedaan maken, implementeren, opnieuw implementeren, wijzigen en het formaat van VM's wijzigen. Extensies, beschikbaarheidssets en nabijheidsplaatsingsgroepen beheren.
    VM's Microsoft.Compute/disks Lezen en schrijven naar schijf.
    Storage Microsoft.Storage Lees en breng wijzigingen aan in opslagaccounts, bijvoorbeeld een opslagaccount voor diagnostische gegevens over opstarten.
    Storage Microsoft.NetApp Lees en breng wijzigingen aan in NetApp-capaciteitspools en -volumes.
    Storage Microsoft.NetApp Maak momentopnamen van Azure NetApp Files.
    Storage Microsoft.NetApp Azure NetApp Files-replicatie tussen regio's gebruiken.
    Netwerken Microsoft.Network/networkInterfaces Netwerkinterfaces lezen, maken en wijzigen.
    Netwerken Microsoft.Network/loadBalancers Load balancers lezen, maken en wijzigen.
    Netwerken Microsoft.Network/networkSecurityGroups Netwerkbeveiligingsgroepen lezen.
    Netwerken Microsoft.Network/azureFirewalls Lees firewalls.
    Netwerken Microsoft.Network/virtualNetworks Netwerkinterfaces lezen, maken en wijzigen.

    Houd rekening met de relevante toegang die nodig is voor de resourcegroep van het virtuele netwerk en gerelateerde toegang als deze verschilt van de resourcegroep van de VM's.
  • Overweeg de Microsoft-service die u gebruikt: Azure CycleCloud, Azure Batch of een hybride omgeving met HPC-VM's in de cloud.

Aanbevelingen

  • Als u Azure CycleCloud gebruikt, zijn er drie verificatiemethoden: een ingebouwde database met versleuteling, Microsoft Entra ID of Lightweight Directory Access Protocol (LDAP). Zie Gebruikersverificatie voor meer informatie. Zie Service-principals gebruiken in Azure CycleCloud voor meer informatie over service-principals.
  • Als u Batch gebruikt, kunt u zich verifiëren met Microsoft Entra ID via twee verschillende methoden: geïntegreerde verificatie of een service-principe. Zie Azure Batch-verificatie voor meer informatie over het gebruik van deze verschillende benaderingen. Als u de modus gebruikersabonnement gebruikt en niet de Batch-servicemodus, verleent u toegang tot Batch zodat deze toegang heeft tot het abonnement. Zie Batch toegang geven tot het abonnement voor meer informatie.
  • Als u uw on-premises mogelijkheden wilt uitbreiden naar een hybride omgeving, kunt u zich verifiëren via Active Directory met een alleen-lezen domeincontroller die wordt gehost in Azure. Deze benadering minimaliseert het verkeer via de koppeling. Deze integratie biedt gebruikers een manier om hun bestaande referenties te gebruiken om zich aan te melden bij services en toepassingen die zijn verbonden met het beheerde domein. U kunt ook bestaande groepen en gebruikersaccounts gebruiken om de toegang tot resources te beveiligen. Deze functies bieden een soepelere lift- en shift van on-premises resources naar Azure.

Zie Ontwerpaan aanbevelingen voor platformtoegang en Azure-identiteit en -toegang voor landingszones voor meer informatie.

Volgende stappen

De volgende artikelen bevatten richtlijnen voor verschillende fasen van het cloudimplementatieproces. Deze resources kunnen u helpen bij de overstap naar HPC-omgevingen in de financiële sector voor de cloud.