Vereisten voor Azure HPC Cache

  • Artikel
  • 11 minuten om te lezen

Voordat u een nieuwe Azure HPC Cache maakt, moet u ervoor zorgen dat uw omgeving aan deze vereisten voldoet.

Azure-abonnement

Een betaald abonnement wordt aanbevolen.

Netwerkinfrastructuur

Deze netwerkgerelateerde vereisten moeten worden ingesteld voordat u uw cache kunt gebruiken:

  • Een toegewezen subnet voor het Azure HPC Cache-exemplaar
  • DNS-ondersteuning zodat de cache toegang heeft tot opslag en andere resources
  • Toegang vanuit het subnet tot aanvullende Microsoft Azure-infrastructuurservices, waaronder NTP-servers en de Azure Queue Storage-service.

Cachesubnet

De Azure HPC Cache heeft een toegewezen subnet nodig met de volgende kwaliteiten:

  • Het subnet moet ten minste 64 IP-adressen beschikbaar hebben.
  • Communicatie binnen het subnet moet onbeperkt zijn. Als u een netwerkbeveiligingsgroep gebruikt voor het cachesubnet, moet u ervoor zorgen dat alle services tussen interne IP-adressen worden toegeslagen.
  • Het subnet kan geen andere VM's hosten, zelfs niet voor gerelateerde services, zoals clientcomputers.
  • Als u meerdere Azure HPC Cache-exemplaren gebruikt, heeft elk exemplaar een eigen subnet nodig.

De best practice is om voor elke cache een nieuw subnet te maken. U kunt een nieuw virtueel netwerk en subnet maken als onderdeel van het maken van de cache.

Wanneer u dit subnet maakt, moet u ervoor zorgen dat de beveiligingsinstellingen toegang bieden tot de benodigde infrastructuurservices die verderop in deze sectie worden vermeld. U kunt de uitgaande internetverbinding beperken, maar zorg ervoor dat er uitzonderingen zijn voor de items die hier worden beschreven.

DNS-toegang

De cache heeft DNS nodig voor toegang tot resources buiten het virtuele netwerk. Afhankelijk van de resources die u gebruikt, moet u mogelijk een aangepaste DNS-server instellen en doorsturen tussen die server en Azure DNS-servers configureren:

  • Voor toegang tot Azure Blob Storage-eindpunten en andere interne resources hebt u de op Azure gebaseerde DNS-server nodig.
  • Voor toegang tot on-premises opslag moet u een aangepaste DNS-server configureren die de hostnamen van uw opslag kan oplossen. U moet dit doen voordat u de cache maakt.

Als u alleen Blob Storage gebruikt, kunt u de standaard door Azure geleverde DNS-server voor uw cache gebruiken. Als u echter toegang nodig hebt tot opslag of andere resources buiten Azure, moet u een aangepaste DNS-server maken en deze configureren om azure-specifieke omzettingsaanvragen door te sturen naar de Azure DNS-server.

Als u een aangepaste DNS-server wilt gebruiken, moet u deze installatiestappen uitvoeren voordat u uw cache maakt:

  • Maak het virtuele netwerk waarop de Azure HPC Cache wordt gehost.

  • Maak de DNS-server.

  • Voeg de DNS-server toe aan het virtuele netwerk van de cache.

    Volg deze stappen om de DNS-server toe te voegen aan het virtuele netwerk in de Azure Portal:

    1. Open het virtuele netwerk in de Azure Portal.
    2. Kies DNS-servers in het menu Instellingen in de zijbalk.
    3. Selecteer Aangepast
    4. Voer het IP-adres van de DNS-server in het veld in.

Een eenvoudige DNS-server kan ook worden gebruikt om clientverbindingen te verdelen over alle beschikbare cachekoppelingspunten.

Meer informatie over virtuele Azure-netwerken en DNS-serverconfiguraties vindt u in Naamomzetting voor resources in virtuele Azure-netwerken.

NTP-toegang

De HPC Cache moet toegang hebben tot een NTP-server voor normale werking. Als u uitgaand verkeer van uw virtuele netwerken beperkt, moet u verkeer naar ten minste één NTP-server toestaan. De standaardserver is time.windows.com en de cache neemt contact op met deze server op UDP-poort 123.

Maak een regel in de netwerkbeveiligingsgroep van uw cachenetwerk die uitgaand verkeer naar uw NTP-server toestaat. De regel kan eenvoudig al het uitgaande verkeer op UDP-poort 123 toestaan of meer beperkingen hebben.

In dit voorbeeld wordt uitgaand verkeer expliciet geopend naar het IP-adres 168.61.215.74, het adres dat door time.windows.com wordt gebruikt.

Prioriteit Name Poort Protocol Bron Doel Bewerking
200 NTP Alle UDP Alle 168.61.215.74 Toestaan

Zorg ervoor dat de NTP-regel een hogere prioriteit heeft dan alle regels die uitgaande toegang in grote lijnen weigeren.

Meer tips voor NTP-toegang:

  • Als u firewalls hebt tussen uw HPC Cache en de NTP-server, moet u ervoor zorgen dat deze firewalls ook NTP-toegang toestaan.

  • U kunt op de pagina Netwerken configureren welke NTP-server uw HPC Cache gebruikt. Lees Aanvullende instellingen configureren voor meer informatie.

Toegang tot Azure Queue Storage

De cache moet veilig toegang hebben tot de Azure Queue Storage-service vanuit het toegewezen subnet. Azure HPC Cache maakt gebruik van de wachtrijenservice bij het communiceren van configuratie- en statusgegevens.

Als de cache geen toegang heeft tot de wachtrijservice, ziet u mogelijk het bericht CacheConnectivityError bij het maken van de cache.

Er zijn twee manieren om toegang te bieden:

  • Maak een Azure Storage-service-eindpunt in uw cachesubnet. Lees Een subnet van een virtueel netwerk toevoegen voor instructies voor het toevoegen van het service-eindpunt Microsoft.Storage .

  • Configureer de toegang tot het servicedomein van de Azure-opslagwachtrij afzonderlijk in uw netwerkbeveiligingsgroep of andere firewalls.

    Voeg regels toe om toegang toe te staan op deze poorten:

    • TCP-poort 443 voor beveiligd verkeer naar elke host in het domein queue.core.windows.net (*.queue.core.windows.net).

    • TCP-poort 80: gebruikt voor verificatie van het certificaat aan de serverzijde. Dit wordt ook wel CRL-controle (Certificate Revocation List) en OCSP-communicatie (Online Certificate Status Protocol) genoemd. *.queue.core.windows.net maakt gebruik van hetzelfde certificaat en dus dezelfde CRL/OCSP-servers. De hostnaam wordt opgeslagen in het SSL-certificaat aan de serverzijde.

    Raadpleeg de tips voor beveiligingsregels in NTP-toegang voor meer informatie.

    Met deze opdracht worden de CRL- en OSCP-servers weergegeven die toegang moeten hebben. Deze servers moeten kunnen worden omgezet via DNS en bereikbaar zijn op poort 80 vanaf het subnet van de cache.

    
openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI

    De uitvoer ziet er ongeveer als volgt uit en kan worden gewijzigd als het SSL-certificaat wordt bijgewerkt:

    OCSP - URI:http://ocsp.msocsp.com
CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl

U kunt de connectiviteit van het subnet controleren met behulp van deze opdracht vanaf een test-VM in het subnet:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

Een geslaagde verbinding geeft dit antwoord:

OCSP Response Status: successful (0x0)

Toegang tot gebeurtenisserver

Azure HPC Cache maakt gebruik van Azure-gebeurtenisservereindpunten om de cachestatus te bewaken en diagnostische gegevens te verzenden.

Zorg ervoor dat de cache veilig toegang heeft tot hosts in het domein events.data.microsoft.com. Open TCP-poort 443 voor verkeer naar *.events.data.microsoft.com.

Machtigingen

Controleer deze machtigingsgerelateerde vereisten voordat u begint met het maken van uw cache.

  • Het cache-exemplaar moet virtuele netwerkinterfaces (NIC's) kunnen maken. De gebruiker die de cache maakt, moet voldoende bevoegdheden in het abonnement hebben om NIC's te maken.

  • Als u Blob Storage gebruikt, heeft Azure HPC Cache autorisatie nodig om toegang te krijgen tot uw opslagaccount. Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om de cache toegang te geven tot uw Blob-opslag. Er zijn twee rollen vereist: Inzender opslagaccount en Inzender voor opslagblobgegevens.

    Volg de instructies in Opslagdoelen toevoegen om de rollen toe te voegen.

Opslaginfrastructuur

De cache ondersteunt Azure Blob-containers, NFS-hardwareopslagexports en NFS-gekoppelde ADLS-blobcontainers. Voeg opslagdoelen toe nadat u de cache hebt gemaakt.

Elk opslagtype heeft specifieke vereisten.

Vereisten voor Blob Storage

Als u Azure Blob Storage wilt gebruiken met uw cache, hebt u een compatibel opslagaccount nodig en een lege Blob-container of een container die is gevuld met Gegevens in Azure HPC Cache opgemaakte gegevens, zoals beschreven in Gegevens verplaatsen naar Azure Blob-opslag.

Notitie

Er gelden verschillende vereisten voor aan NFS gekoppelde blobopslag. Lees ADLS-NFS-opslagvereisten voor meer informatie.

Maak het account voordat u een opslagdoel probeert toe te voegen. U kunt een nieuwe container maken wanneer u het doel toevoegt.

Gebruik een van deze combinaties om een compatibel opslagaccount te maken:

Prestaties Type Replicatie Toegangslaag
Standard StorageV2 (algemeen v2) Lokaal redundante opslag (LRS) of zone-redundante opslag (ZRS) Dynamisch
Premium Blok-blobs Lokaal redundante opslag (LRS) Dynamisch

Het opslagaccount moet toegankelijk zijn vanuit het privésubnet van uw cache. Als uw account gebruikmaakt van een privé-eindpunt of een openbaar eindpunt dat is beperkt tot specifieke virtuele netwerken, moet u de toegang vanuit het subnet van de cache inschakelen. (Een open openbaar eindpunt wordt niet aanbevolen.)

Lees Werken met privé-eindpunten voor tips over het gebruik van privé-eindpunten met HPC Cache opslagdoelen.

Het is een goede gewoonte om een opslagaccount te gebruiken in dezelfde Azure-regio als uw cache.

U moet de cachetoepassing ook toegang geven tot uw Azure-opslagaccount, zoals vermeld in Machtigingen hierboven. Volg de procedure in Opslagdoelen toevoegen om de cache de vereiste toegangsrollen te geven. Als u niet de eigenaar van het opslagaccount bent, laat u de eigenaar deze stap uitvoeren.

NFS-opslagvereisten

Als u een NFS-opslagsysteem (bijvoorbeeld een on-premises NAS-systeem met hardware) gebruikt, moet u ervoor zorgen dat het aan deze vereisten voldoet. Mogelijk moet u samenwerken met de netwerkbeheerders of firewallmanagers voor uw opslagsysteem (of datacentrum) om deze instellingen te controleren.

Notitie

Het maken van het opslagdoel mislukt als de cache onvoldoende toegang heeft tot het NFS-opslagsysteem.

Meer informatie vindt u in Problemen met NAS-configuratie en NFS-opslagdoel oplossen.

  • Netwerkconnectiviteit: De Azure HPC Cache heeft netwerktoegang met hoge bandbreedte nodig tussen het cachesubnet en het datacenter van het NFS-systeem. ExpressRoute of vergelijkbare toegang wordt aanbevolen. Als u een VPN gebruikt, moet u deze mogelijk configureren om TCP MSS vast te zetten op 1350 om ervoor te zorgen dat grote pakketten niet worden geblokkeerd. Lees Beperkingen voor VPN-pakketgrootte voor meer hulp bij het oplossen van problemen met VPN-instellingen.

  • Poorttoegang: De cache heeft toegang nodig tot specifieke TCP/UDP-poorten op uw opslagsysteem. Verschillende typen opslag hebben verschillende poortvereisten.

    Volg deze procedure om de instellingen van uw opslagsysteem te controleren.

    • Geef een rpcinfo opdracht aan uw opslagsysteem om de benodigde poorten te controleren. Met de onderstaande opdracht worden de poorten weergegeven en worden de relevante resultaten in een tabel opgemaakt. (Gebruik het IP-adres van uw systeem in plaats van de <storage_IP> term.)

      U kunt deze opdracht uitvoeren vanaf elke Linux-client waarop de NFS-infrastructuur is geïnstalleerd. Als u een client in het clustersubnet gebruikt, kan dit ook helpen bij het controleren van de connectiviteit tussen het subnet en het opslagsysteem.

      rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t

    Zorg ervoor dat alle poorten die door de rpcinfo query worden geretourneerd onbeperkt verkeer toestaan vanaf het subnet van de Azure HPC Cache.

    • Als u de rpcinfo opdracht niet kunt gebruiken, moet u ervoor zorgen dat deze veelgebruikte poorten binnenkomend en uitgaand verkeer toestaan:

      Protocol Poort Service
      TCP/UDP 111 rpcbind
      TCP/UDP 2049 NFS
      TCP/UDP 4045 nlockmgr
      TCP/UDP 4046 gekoppeld
      TCP/UDP 4047 status

      Sommige systemen gebruiken verschillende poortnummers voor deze services. Raadpleeg de documentatie van uw opslagsysteem voor de zekerheid.

    • Controleer de firewallinstellingen om er zeker van te zijn dat verkeer op al deze vereiste poorten is toegestaan. Controleer de firewalls die worden gebruikt in Azure en on-premises firewalls in uw datacentrum.

  • NFS-back-endopslag moet een compatibel hardware-/softwareplatform zijn. De opslag moet NFS versie 3 (NFSv3) ondersteunen. Neem contact op met het Azure HPC Cache-team voor meer informatie.

Opslagvereisten voor NFS-gekoppelde blob (ADLS-NFS)

Azure HPC Cache kan ook een blobcontainer gebruiken die is gekoppeld aan het NFS-protocol als opslagdoel.

Lees meer over deze functie in NFS 3.0-protocolondersteuning in Azure Blob Storage.

De vereisten voor het opslagaccount verschillen voor een ADLS-NFS-blob-opslagdoel en voor een standaard blob-opslagdoel. Volg de instructies in Blob-opslag koppelen met behulp van het NFS 3.0-protocol (Network File System) 3.0 zorgvuldig om het NFS-opslagaccount te maken en te configureren.

Dit is een algemeen overzicht van de stappen. Deze stappen kunnen veranderen. Raadpleeg daarom altijd de ADLS-NFS-instructies voor de huidige details.

  1. Zorg ervoor dat de functies die u nodig hebt, beschikbaar zijn in de regio's waar u wilt werken.

  2. Schakel de NFS-protocolfunctie in voor uw abonnement. Doe dit voordat u het opslagaccount maakt.

  3. Maak een beveiligd virtueel netwerk (VNet) voor het opslagaccount. U moet hetzelfde virtuele netwerk gebruiken voor uw NFS-opslagaccount en voor uw Azure HPC Cache. (Gebruik niet hetzelfde subnet als de cache.)

  4. Maak het opslagaccount.

    • In plaats van de de opslagaccountinstellingen voor een standaard blob-opslagaccount te gebruiken, volgt u de instructies in het instructiedocument. Het type opslagaccount dat wordt ondersteund, kan per Azure-regio verschillen.

    • Kies in de sectie Netwerken een privé-eindpunt in het beveiligde virtuele netwerk dat u hebt gemaakt (aanbevolen), of kies een openbaar eindpunt met beperkte toegang vanaf het beveiligde VNet.

      Lees Werken met privé-eindpunten voor tips over het gebruik van privé-eindpunten met HPC Cache opslagdoelen.

    • Vergeet niet de sectie Geavanceerd in te vullen, waarin u NFS-toegang inschakelt.

    • Geef de cachetoepassing toegang tot uw Azure-opslagaccount, zoals hierboven vermeld in Machtigingen. U kunt dit doen wanneer u voor het eerst een opslagdoel maakt. Volg de procedure in Opslagdoelen toevoegen om de cache de vereiste toegangsrollen te geven.

      Als u niet de eigenaar van het opslagaccount bent, laat u de eigenaar deze stap uitvoeren.

Meer informatie over het gebruik van ADLS-NFS-opslagdoelen met Azure HPC Cache vindt u in Aan NFS gekoppelde blobopslag gebruiken met Azure HPC Cache.

Werken met privé-eindpunten

Azure Storage ondersteunt privé-eindpunten om beveiligde toegang tot gegevens mogelijk te maken. U kunt privé-eindpunten gebruiken met aan Azure Blob of NFS gekoppelde blobopslagdoelen.

Meer informatie over privé-eindpunten

Een privé-eindpunt biedt een specifiek IP-adres dat de HPC Cache gebruikt om te communiceren met uw back-endopslagsysteem. Als dat IP-adres wordt gewijzigd, kan de cache niet automatisch opnieuw verbinding maken met de opslag.

Als u de configuratie van een privé-eindpunt wilt wijzigen, volgt u deze procedure om communicatieproblemen tussen de opslag en de HPC Cache te voorkomen:

  1. Het opslagdoel (of alle opslagdoelen die gebruikmaken van dit privé-eindpunt) onderbreken.
  2. Breng wijzigingen aan in het privé-eindpunt en sla deze wijzigingen op.
  3. Zet het opslagdoel weer in gebruik met de opdracht 'hervatten'.
  4. Vernieuw de DNS-instelling van het opslagdoel.

Lees Opslagdoelen weergeven en beheren voor meer informatie over het onderbreken, hervatten en vernieuwen van DNS voor opslagdoelen.

Azure CLI-toegang instellen (optioneel)

Als u Azure HPC Cache wilt maken of beheren vanuit de Azure CLI, moet u Azure CLI en de extensie hpc-cache installeren. Volg de instructies in Azure CLI instellen voor Azure HPC Cache.

Volgende stappen