Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel is gebaseerd op overwegingen en aanbevelingen die worden beschreven in het artikel Azure-ontwerp voor identiteits- en toegangsbeheer. Het kan u helpen bij het onderzoeken van ontwerpoverwegingen voor identiteits- en toegangsbeheer die specifiek zijn voor de implementatie, in Azure, van HPC-toepassingen.
Microsoft Entra Domain Services biedt beheerde domeinservices, zoals domeindeelname en groepsbeleid. Het biedt ook toegang tot verouderde verificatieprotocollen, zoals LDAP (Lightweight Directory Access Protocol) en Kerberos/NTLM-verificatie. Microsoft Entra Domain Services kan worden geïntegreerd met uw bestaande Microsoft Entra-tenant. Met deze integratie kunnen gebruikers zich aanmelden bij services en toepassingen die zijn verbonden met het beheerde domein met behulp van hun bestaande referenties in Microsoft Entra ID. U kunt ook bestaande groepen en gebruikersaccounts gebruiken om de toegang tot resources te beveiligen. Deze functies bieden een soepelere lift-and-shift van on-premises resources naar Azure, met name voor hybride omgevingen.
Zie ontwerpaanaanvelingen voor platformtoegang en Azure-identiteit en -toegang voor landingszones voor meer informatie.
Ontwerpoverwegingen
HPC-implementatie maakt gebruik van de infrastructuur voor de Azure-landingszone voor beveiligingsidentiteit en toegangsbeheer. Houd rekening met de volgende ontwerpoverwegingen bij het implementeren van uw HPC-toepassing:
Bepaal het Azure-resourcebeheer dat vereist is voor verschillende leden van het team. Overweeg deze teamleden verhoogde toegang tot Azure-resourcebeheer te bieden in een niet-productieomgeving.
- Geef ze bijvoorbeeld een Virtual Machine Contributor-rol.
- U kunt teamleden ook gedeeltelijk verhoogde toegang tot beheer geven, zoals een gedeeltelijke rol van Inzender voor Virtuele Machines in een productieomgeving.
Beide opties zorgen voor een goed evenwicht tussen scheiding van taken en operationele efficiëntie.
Bekijk de Azure-administratie- en beheeractiviteiten die uw teams moeten uitvoeren. Houd rekening met uw HPC in Azure-landschap. Bepaal de best mogelijke verdeling van verantwoordelijkheden binnen uw organisatie.
Hier volgen de algemene Azure-activiteiten voor administratie en beheer:
Azure-resource Azure-resourceprovider Activiteiten Virtuele machines (VM's) Microsoft.Compute/virtualMachines Starten, stoppen, opnieuw opstarten, dealloceren, implementeren, opnieuw implementeren, wijzigen en VM's formaat wijzigen. Extensies, beschikbaarheidssets en nabijheidsplaatsingsgroepen beheren. Vms Microsoft.Compute/schijven Lezen en schrijven naar schijf. Opslag Microsoft.Opslag Lees en breng wijzigingen aan in opslagaccounts, bijvoorbeeld een opslagaccount voor opstartdiagnostiek. Opslag Microsoft.NetApp Lees en breng wijzigingen aan in NetApp-capaciteitspools en -volumes. Opslag Microsoft.NetApp Maak momentopnamen van Azure NetApp Files. Opslag Microsoft.NetApp Azure NetApp Files-replicatie tussen regio's gebruiken. Netwerken Microsoft.Network/networkInterfaces Netwerkinterfaces lezen, maken en wijzigen. Netwerken Microsoft.Network/loadBalancers Load balancers lezen, maken en wijzigen. Netwerken Microsoft.Network/networkSecurityGroups Netwerkbeveiligingsgroepen lezen. Netwerken Microsoft.Network/azureFirewalls Lees firewalls. Netwerken Microsoft.Network/virtualNetworks Netwerkinterfaces lezen, maken en wijzigen.
Houd rekening met de relevante toegang die nodig is voor de resourcegroep van het virtuele netwerk en gerelateerde toegang als deze verschilt van de resourcegroep van de VM's.Een typische HPC-installatie omvat een front-end voor het verzenden van taken, een jobplanner of orchestrator, een rekencluster en gedeelde opslag. De opdrachten kunnen worden verzonden vanuit lokaal en/of in de cloud. Overwegingen voor identiteits- en toegangsbeheer voor gebruikers en visualisatieapparaten kunnen variëren, afhankelijk van de bedrijfsstandaarden.
Overweeg de Microsoft-verificatieservice die u gebruikt. Afhankelijk van de HPC-rekenresource-orchestrator die u gebruikt, worden verschillende verificatiemethoden ondersteund, zoals hier wordt beschreven.
- Azure CycleCloud biedt drie verificatiemethoden: een ingebouwde database met versleuteling, Active Directory en LDAP.
- Azure Batch ondersteunt twee verificatiemethoden: Gedeelde sleutel en Microsoft Entra-id.
- Als u uw on-premises mogelijkheden wilt uitbreiden naar een hybride omgeving, kunt u zich verifiëren via Active Directory met een alleen-lezen domeincontroller die wordt gehost in Azure. Deze benadering minimaliseert het verkeer via de koppeling. Deze integratie biedt gebruikers een manier om hun bestaande referenties te gebruiken om zich aan te melden bij services en toepassingen die zijn verbonden met het beheerde domein. U kunt ook bestaande groepen en gebruikersaccounts gebruiken om de toegang tot resources te beveiligen. Deze functies bieden een soepelere overdracht van lokale resources naar Azure.
- Momenteel moeten HPC Pack-knooppunten worden toegevoegd aan een Active Directory-domein. Als u het HPC Pack-cluster implementeert in een virtueel netwerk met een site-naar-site-VPN- of Azure ExpressRoute-verbinding met uw bedrijfsnetwerk (en firewallregels toegang bieden tot Active Directory-domeincontrollers), is er meestal al een Active Directory-domein. Als u geen Active Directory-domein in uw virtuele netwerk hebt, kunt u er een maken door het hoofdknooppunt als domeincontroller te promoveren. Een andere optie is om Microsoft Entra Domain Services te gebruiken om de HPC Pack-knooppunten toe te voegen aan deze service in plaats van aan on-premises Active Directory-domeincontrollers. Als de hoofdknooppunten worden geïmplementeerd in Azure, is het belangrijk om te bepalen of gebruikers op afstand taken op locatie indienen. Als externe gebruikers taken verzenden, moet u Active Directory gebruiken omdat het een betere ervaring biedt en certificaten op de juiste manier kunnen worden gebruikt voor verificatie. Als u Microsoft Entra Domain Services gebruikt in plaats van Active Directory, moeten de externe clients de REST API-service gebruiken om taken in te dienen.
Zie Ontwerpaan aanbevelingen voor platformtoegang en Azure-identiteit en -toegang voor landingszones voor meer informatie.
Ontwerpoverwegingen voor de energiesector
Naast de voorgaande overwegingen moet u rekening houden met deze overwegingen.
Twee veelvoorkomende implementatietypen in workloads in de olie- en gasindustrie zijn alleen cloud en hybride cloud modellen. Hoewel het minder complex is om al uw reken-, opslag- en visualisatieresources in de cloud te hebben, gebruiken ondernemingen soms een hybride model vanwege meerdere zakelijke beperkingen voor seismische en reservoirsimulatie HPC-workloads.
Zowel de cloud- als hybride cloudmodellen hebben mogelijk hun eigen unieke identiteit en toegangsbehoeften die van invloed zijn op het type Active Directory-oplossing dat moet worden gebruikt.
Workloads in het cloudimplementatiemodel maken alleen gebruik van Microsoft Entra ID voor Azure Service Fabric-verificatie, terwijl het HYBRIDE HPC-cloudmodel gebruikmaakt van de hybride identiteitsoplossing van Microsoft Entra voor verificatie. Ongeacht het implementatietype vereisen Linux-clients en POSIX-compatibele opslagoplossingen verouderde Active Directory-ondersteuning via Microsoft Entra Domain Services.
Ontwerpoverwegingen voor de productie-industrie
In het volgende diagram ziet u een productiereferentiearchitectuur die CycleCloud gebruikt voor verificatie:
In dit diagram ziet u een productiearchitectuur die Gebruikmaakt van Batch voor verificatie:
Volgende stappen
De volgende artikelen bevatten richtlijnen voor verschillende fasen van het cloudimplementatieproces. Deze resources kunnen u helpen bij het implementeren van HPC-omgevingen voor de cloud.