Delen via

Vereisten voor Azure HPC Cache

Voordat u een nieuwe Azure HPC-cache maakt, moet u ervoor zorgen dat uw omgeving aan deze vereisten voldoet.

Azure-abonnement

Een betaald abonnement wordt aanbevolen.

Netwerkinfrastructuur

Deze netwerkgerelateerde vereisten moeten worden ingesteld voordat je je cache kunt gebruiken:

  • Een toegewijd subnet voor de Azure HPC Cache-instantie
  • DNS-ondersteuning zodat de cache toegang heeft tot opslag en andere middelen
  • Toegang vanaf het subnet tot aanvullende infrastructuurservices van Microsoft Azure, inclusief NTP-servers en de Azure Queue Storage-service.

Cache subnetwerk

De Azure HPC Cache heeft een dedicated subnet nodig met deze eigenschappen:

  • Het subnet moet ten minste 64 IP-adressen beschikbaar hebben.
  • Communicatie binnen het subnet moet onbeperkt zijn. Als u een netwerkbeveiligingsgroep gebruikt voor de cache-subnet, zorg er dan voor dat deze alle diensten tussen interne IP-adressen toestaat.
  • Het subnet kan geen andere virtuele machines hosten, zelfs niet voor gerelateerde services zoals clientmachines.
  • Als je meerdere Azure HPC Cache-instanties gebruikt, heeft elke instantie zijn eigen subnet nodig.

De beste werkwijze is om voor elke cache een nieuw subnet te maken. U kunt een nieuw virtueel netwerk en subnet maken als onderdeel van het maken van de cache.

Bij het aanmaken van dit subnet, zorg ervoor dat de beveiligingsinstellingen toegang verlenen tot de noodzakelijke infrastructuurdiensten die later in deze sectie worden genoemd. U kunt de uitgaande internetverbinding beperken, maar zorg ervoor dat er uitzonderingen zijn voor de items die hier zijn gedocumenteerd.

DNS-toegang

De cache heeft DNS nodig om toegang te krijgen tot bronnen buiten zijn virtuele netwerk. Afhankelijk van de bronnen die je gebruikt, moet je mogelijk een aangepaste DNS-server instellen en forwarding configureren tussen die server en Azure DNS-servers.

  • Om toegang te krijgen tot Azure Blob storage-eindpunten en andere interne bronnen, hebt u de op Azure gebaseerde DNS-server nodig.
  • Om toegang te krijgen tot de lokale opslag, moet u een aangepaste DNS-server configureren die uw opslaghostnamen kan oplossen. U moet dit doen voordat u de cache maakt.

Als je alleen Blob-opslag gebruikt, kun je de standaard DNS-server van Azure voor je cache gebruiken. Als u echter toegang nodig heeft tot opslag of andere bronnen buiten Azure, moet u een aangepaste DNS-server maken en deze configureren om alle Azure-specifieke resolutieverzoeken door te sturen naar de Azure DNS-server.

nl-NL: Om een aangepaste DNS-server te gebruiken, moet u deze stappen uitvoeren voordat u uw cache aanmaakt:

  • Maak het virtuele netwerk dat de Azure HPC Cache zal host.

  • Maak de DNS-server aan.

  • Voeg de DNS-server toe aan het virtuele netwerk van de cache.

    Volg deze stappen om de DNS-server toe te voegen aan het virtuele netwerk in het Azure-portaal:

    1. Open de virtuele netwerk in het Azure-portaal.
    2. Kies DNS-servers in het instellingenmenu in de zijbalk.
    3. Selecteer Aangepast
    4. Voer het IP-adres van de DNS-server in het veld in.

Een eenvoudige DNS-server kan ook worden gebruikt om clientverbindingen te verdelen over alle beschikbare cache-aanluitpunten.

Meer informatie over Azure virtuele netwerken en DNS-serverconfiguraties vindt u in Namensoplossing voor resources in Azure virtuele netwerken.

NTP-toegang

De HPC-cache heeft toegang nodig tot een NTP-server voor reguliere werking. Als je het uitgaande verkeer van je virtuele netwerken beperkt, zorg er dan voor dat verkeer naar ten minste één NTP-server is toegestaan. De standaardserver is time.windows.com, en de cache neemt contact op met deze server via UDP-poort 123.

Maak een regel in de netwerkbeveiligingsgroep van je cache-netwerk die uitgaand verkeer naar je NTP-server toestaat. De regel kan gewoonweg al het uitgaande verkeer op UDP-poort 123 toestaan, of strengere beperkingen opleggen.

Dit voorbeeld opent expliciet uitgaand verkeer naar het IP-adres 168.61.215.74, wat het adres is dat door time.windows.com wordt gebruikt.

Prioriteit Naam Porto protocol Bron Bestemming Actie
200 NTP Elke UDP (User Datagram Protocol) Elke 168.61.215.74 Toestaan

Zorg ervoor dat de NTP-regel een hogere prioriteit heeft dan alle regels die de uitgaande toegang breed ontzeggen.

Meer tips voor NTP-toegang:

  • Als je firewalls hebt tussen je HPC Cache en de NTP-server, zorg er dan voor dat deze firewalls ook NTP-toegang toestaan.

  • Je kunt configureren welke NTP-server je HPC-cache gebruikt op de Netwerken-pagina. Lees Configure additional settings voor meer informatie.

Azure Queue Storage toegang

De cache moet in staat zijn om Azure Queue Storage service veilig te benaderen vanuit zijn toegewijde subnet. Azure HPC Cache gebruikt de wachtrijendienst bij het communiceren van configuratie- en statusinformatie.

Als de cache geen toegang heeft tot de wachtrijservice, kan er een CacheConnectivityError-bericht verschijnen bij het aanmaken van de cache.

Er zijn twee manieren om toegang te verlenen:

  • Creëer een Azure Storage-service-eindpunt in je cache-subnet. Lees Een virtueel netwerk-subreeks toevoegen voor instructies om het Microsoft.Storage service-eindpunt toe te voegen.

  • Configureer afzonderlijk de toegang tot het Azure storage queue servicedomein in je netwerkbeveiligingsgroep of andere firewalls.

    Voeg regels toe om toegang tot deze poorten toe te staan:

    • TCP-poort 443 voor veilig verkeer naar elke host in het domein queue.core.windows.net (*.queue.core.windows.net).

    • TCP-poort 80 - gebruikt voor de verificatie van het server-side certificaat. Dit wordt soms aangeduid als het controleren van de intrekkingslijst van certificaten (CRL) en communicatie via het online certificaatstatusprotocol (OCSP). Alles van *.queue.core.windows.net gebruikt hetzelfde certificaat en dus dezelfde CRL/OCSP-servers. De hostnaam wordt in het SSL-certificaat aan de serverzijde opgeslagen.

    Verwijs naar de beveiligingsregel tips in NTP toegang voor meer informatie.

    Dit commando geeft een lijst van de CRL- en OCSP-servers die toegang moeten worden verleend. Deze servers moeten via DNS oplosbaar zijn en bereikbaar op poort 80 vanaf het cache-subnet.

    
openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI

    De uitvoer ziet er ongeveer zo uit en kan veranderen als het SSL-certificaat wordt bijgewerkt.

    OCSP - URI:http://ocsp.msocsp.com
CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl

U kunt de connectiviteit van het subnet controleren door dit commando te gebruiken vanuit een test-VM binnen het subnet:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

Een succesvolle verbinding geeft deze reactie:

OCSP Response Status: successful (0x0)

Toegang tot de evenementserver

Azure HPC Cache gebruikt Azure eventserver-eindpunten om de cachegezondheid te monitoren en diagnostische informatie te verzenden.

Zorg ervoor dat de cache veilig toegang kan krijgen tot hosts in het domein events.data.microsoft.com - dat wil zeggen, open TCP-poort 443 voor verkeer naar *.events.data.microsoft.com.

Toestemmingen

Controleer deze machtigingsgerelateerde vereisten voordat je begint met het maken van je cache.

  • De cache-instantie moet in staat zijn om virtuele netwerkinterfaces (NIC's) te maken. De gebruiker die de cache aanmaakt, moet voldoende rechten in het abonnement hebben om NIC's aan te maken.

  • Als u gebruikmaakt van Blob-opslag, heeft Azure HPC Cache toestemming nodig om toegang te krijgen tot uw opslagaccount. Gebruik Azure role-based access control (Azure RBAC) om de cache toegang tot uw Blob-opslag te geven. Twee rollen zijn vereist: Storage Account Contributor en Storage Blob Data Contributor.

    Volg de instructies in Add storage targets om de rollen toe te voegen.

Opslaginfrastructuur

De cache ondersteunt Azure Blob-containers, NFS-hardwareopslagexporten en NFS-gemonteerde ADLS-blobcontainers. Voeg opslagdoelen toe nadat je de cache hebt gemaakt.

Elk opslagtype heeft specifieke vereisten.

Blob-opslagvereisten

Als u Azure Blob-opslag met uw cache wilt gebruiken, heeft u een compatibel opslagaccount nodig en een lege Blob-container of een container die is ingevuld met gegevens in Azure HPC Cache-formaat, zoals beschreven in Gegevens verplaatsen naar Azure Blob-opslag.

Notitie

Verschillende vereisten gelden voor NFS-gebaseerde blobopslag. Lees ADLS-NFS opslagvereisten voor details.

Maak het account aan voordat u probeert een opslagdoel toe te voegen. Je kunt een nieuwe container maken wanneer je het doel toevoegt.

Om een compatibele opslagaccount te maken, gebruik een van deze combinaties:

Prestaties Typologie Replicatie toegangsniveau
Standaard StorageV2 (algemeen gebruik v2) Lokaal redundante opslag (LRS) of Zone-redundante opslag (ZRS) Heet
Premiumkwaliteit Blokblobs Lokaal redundante opslag (LRS) Heet

Het opslagaccount moet toegankelijk zijn vanaf het privésubnet van uw cache. Als uw account een privé-eindpunt gebruikt of een openbaar eindpunt dat is beperkt tot specifieke virtuele netwerken, zorg er dan voor dat toegang vanuit het subnetwerk van de cache is ingeschakeld. (Een open openbare eindpunt wordt niet aanbevolen.)

Lees Werken met privé-eindpunten voor tips over het gebruik van privé-eindpunten met HPC Cache opslagdoelen.

Het is een goede gewoonte om een opslagaccount te gebruiken in dezelfde Azure-regio als uw cache.

U moet de cachetoepassing ook toegang geven tot uw Azure-opslagaccount zoals vermeld in Machtigingen, hierboven. Volg de procedure in Add storage targets om de cache de vereiste toegangsrollen te geven. Als je niet de eigenaar van het opslagaccount bent, laat dan de eigenaar deze stap uitvoeren.

Vereisten voor NFS-opslag

Als u een NFS-opslagsysteem gebruikt (bijvoorbeeld een lokale hardware NAS-systeem), zorg er dan voor dat het aan deze vereisten voldoet. Het kan nodig zijn om samen te werken met de netwerkbeheerders of firewallmanagers van uw opslagsysteem (of datacenter) om deze instellingen te verifiëren.

Notitie

Het aanmaken van een opslagdoel zal mislukken als de cache onvoldoende toegang heeft tot het NFS-opslagsysteem.

Meer informatie is te vinden in Problemen met NAS-configuratie en NFS-opslagdoel oplossen.

  • Netwerkverbinding: De Azure HPC Cache heeft netwerktoegang met hoge bandbreedte nodig tussen het cache-subnet en het datacentrum van het NFS-systeem. ExpressRoute of vergelijkbare toegang wordt aanbevolen. Als je een VPN gebruikt, moet je deze misschien configureren om TCP MSS te beperken tot 1350 om ervoor te zorgen dat grote pakketten niet worden geblokkeerd. Lees VPN-pakketgroottelimieten voor meer hulp bij het oplossen van problemen met VPN-instellingen.

  • Toegang tot poorten: De cache heeft toegang nodig tot specifieke TCP/UDP-poorten op uw opslagsysteem. Verschillende soorten opslag hebben verschillende poortvereisten.

    Om de instellingen van uw opslagsysteem te controleren, volgt u deze procedure.

    • Geef een rpcinfo commando aan uw opslagsysteem om de benodigde poorten te controleren. Het onderstaande commando geeft de poorten weer en formatteert de relevante resultaten in een tabel. (Gebruik het IP-adres van uw systeem in plaats van de <storage_IP> term.)

      U kunt dit commando uitvoeren vanaf elke Linux-client waarop de NFS-infrastructuur is geïnstalleerd. Als u een client binnen het clustersubnet gebruikt, kan dit ook helpen de connectiviteit tussen het subnet en het opslagsysteem te verifiëren.

      rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t

    Zorg ervoor dat alle poorten die door de rpcinfo query worden geretourneerd, onbeperkt verkeer van het subnet van Azure HPC Cache toestaan.

    • Als je de rpcinfo-opdracht niet kunt gebruiken, zorg er dan voor dat deze veelgebruikte poorten inkomend en uitgaand verkeer toestaan.

      protocol Porto Dienst
      TCP/UDP 111 rpcbind
      TCP/UDP 2049 Netwerkbestandssysteem (NFS)
      TCP/UDP 4045 Slot
      TCP/UDP 4046 gemonteerd
      TCP/UDP 4047 toestand

      Sommige systemen gebruiken verschillende poortnummers voor deze diensten - raadpleeg de documentatie van uw opslagsysteem om zeker te zijn.

    • Controleer de firewallinstellingen om zeker te zijn dat zij verkeer op al deze vereiste poorten toestaan. Zorg ervoor dat u de firewalls controleert die worden gebruikt in Azure evenals de firewalls op locatie in uw datacenter.

  • NFS back-end opslag moet een compatibel hardware/softwareplatform zijn. De opslag moet ondersteuning bieden voor NFS-versie 3 (NFSv3). Neem contact op met het Azure HPC Cache-team voor meer informatie.

NFS-gemonteerde blob (ADLS-NFS) opslagvereisten

Azure HPC Cache kan ook een blobcontainer gebruiken die met het NFS-protocol is gekoppeld als opslagdoel.

Lees meer over deze functie in NFS 3.0-protocolondersteuning in Azure Blob-opslag.

De vereisten voor het opslagaccount zijn verschillend voor een ADLS-NFS blobopslagtarget en voor een standaard blobopslagtarget. Volg de instructies in Mount Blob storage door gebruik te maken van het Network File System (NFS) 3.0-protocol zorgvuldig om een opslagaccount met NFS-functionaliteit te maken en configureren.

Dit is een algemeen overzicht van de stappen. Deze stappen kunnen veranderen, verwijs daarom altijd naar de ADLS-NFS instructies voor de huidige details.

  1. Zorg ervoor dat de functies die u nodig hebt, beschikbaar zijn in de regio's waar u van plan bent te werken.

  2. Schakel de NFS-protocolfunctie in voor je abonnement. Doe dit voordat je het opslagaccount maakt.

  3. Maak een veilig virtueel netwerk (VNet) aan voor het opslagaccount. Je moet hetzelfde virtuele netwerk gebruiken voor je door NFS geactiveerde opslagaccount en voor je Azure HPC Cache. (Gebruik niet hetzelfde subnet als de cache.)

  4. Maak het opslagaccount aan.

    • In plaats van de instellingen van een standaard opslagaccount te gebruiken, volg dan de instructies in het hoe-to document. Het type opslagaccount dat wordt ondersteund, kan per Azure-regio verschillen.

    • In de Netwerksectie, kies een private endpoint in het veilige virtuele netwerk dat je hebt gemaakt (aanbevolen), of kies een openbaar endpoint met beperkte toegang vanuit het veilige VNet.

      Lees Werken met privé-eindpunten voor tips over het gebruik van privé-eindpunten met HPC Cache opslagdoelen.

    • Vergeet niet om het gedeelte Geavanceerd te voltooien, waar u NFS-toegang inschakelt.

    • Geef de cachetoepassing toegang tot je Azure-opslagaccount zoals hierboven vermeld in Rechten. U kunt dit doen de eerste keer dat u een opslagdoel aanmaakt. Volg de procedure in Add storage targets om de cache de vereiste toegangsrollen te geven.

      Als je niet de eigenaar van de opslagaccount bent, laat dan de eigenaar deze stap uitvoeren.

Leer meer over het gebruik van ADLS-NFS opslagdoelen met Azure HPC Cache in Gebruik NFS-gemonteerde blobopslag met Azure HPC Cache.

Werken met private eindpunten

Azure Storage ondersteunt private endpoints om veilige gegevens toegang mogelijk te maken. U kunt privé-eindpunten gebruiken met Azure Blob of NFS-gemonteerde blobopslagdoelen.

Meer informatie over privéadressen

Een privé-eindpunt biedt een specifiek IP-adres dat de HPC Cache gebruikt om te communiceren met uw back-end opslagsysteem. Als dat IP-adres verandert, kan de cache niet automatisch opnieuw een verbinding met de opslag tot stand brengen.

Als u de configuratie van een privé-eindpunt moet wijzigen, volg dan deze procedure om communicatieproblemen tussen de opslag en de HPC-cache te voorkomen:

  1. Suspend de opslagdoel (of alle opslagdoelen die dit privé-eindpunt gebruiken).
  2. Breng wijzigingen aan in het private endpoint en sla deze wijzigingen op.
  3. Breng het opslagsysteem weer in gebruik met het commando "resume".
  4. Vernieuw de DNS-instellingen van het opslagdoel.

Lees Opslagdoelen bekijken en beheren om te leren hoe u DNS voor opslagdoelen kunt onderbreken, hervatten en vernieuwen.

Instellen van toegang tot Azure CLI (optioneel)

Als je Azure HPC Cache wilt maken of beheren vanuit de Azure CLI, moet je Azure CLI en de hpc-cache-extensie installeren. Volg de instructies in Azure CLI instellen voor Azure HPC Cache.

Volgende stappen