Zarządzanie tożsamościami i dostępem na platformie Azure w usłudze HPC

W tym artykule omówiono zagadnienia i zalecenia zdefiniowane w artykule Strefa docelowa platformy Azure obszar projektowania strefy docelowej platformy Azure na potrzeby zarządzania tożsamościami i dostępem. Postępując zgodnie ze wskazówkami w tym artykule, możesz użyć zagadnień i zaleceń dotyczących projektowania zarządzania tożsamościami i dostępem, aby wdrożyć aplikację obliczeń o wysokiej wydajności (HPC) na platformie Microsoft Azure dla branży finansowej.

Uwagi dotyczące projektowania

Podczas wdrażania aplikacji HPC należy pamiętać o następujących zagadnieniach projektowych:

• Określ administrację zasobów platformy Azure wymaganą przez różnych członków zespołu. Rozważ udostępnienie tym członkom zespołu z podwyższonym poziomem uprawnień dostępu do administrowania zasobami platformy Azure w środowisku nieprodukcyjnym.

  • Na przykład nadaj im rolę Współautor maszyny wirtualnej.
  • Możesz również przyznać członkom zespołu częściowo podwyższony poziom dostępu administracyjnego, taki jak częściowa rola Współautor maszyny wirtualnej w środowisku produkcyjnym. Obie opcje osiągną dobrą równowagę między rozdzieleniem obowiązków i wydajnością operacyjną.

• Przejrzyj działania związane z administracją i zarządzaniem platformą Azure, które wymagają wykonania przez zespoły. Rozważ swoje obliczenia HPC na platformie Azure w poziomie. Określ najlepszą możliwą dystrybucję obowiązków w organizacji.

  Poniżej przedstawiono typowe działania platformy Azure związane z administracją i zarządzaniem.

  Zasób platformy Azure	Dostawca zasobów platformy Azure	Działania
  Maszyna wirtualna	Microsoft.Compute/virtualMachines	Uruchamianie, zatrzymywanie, ponowne uruchamianie, cofanie przydziału, wdrażanie, ponowne wdrażanie, zmienianie i zmienianie rozmiaru maszyn wirtualnych. Zarządzanie rozszerzeniami, zestawami dostępności i grupami umieszczania w pobliżu.
  Maszyny wirtualne	Microsoft.Compute/disks	Odczyt i zapis na dysku.
  Storage	Microsoft.Storage	Odczytywanie i wprowadzanie zmian na kontach magazynu, na przykład konto magazynu diagnostyki rozruchu.
  Storage	Microsoft.NetApp	Odczytywanie i wprowadzanie zmian w pulach pojemności i woluminach usługi NetApp.
  Storage	Microsoft.NetApp	Tworzenie migawek usługi Azure NetApp Files.
  Storage	Microsoft.NetApp	Użyj replikacji między regionami usługi Azure NetApp Files.
  Sieć	Microsoft.Network/networkInterfaces	Odczytywanie, tworzenie i zmienianie interfejsów sieciowych.
  Sieć	Microsoft.Network/loadBalancers	Odczytywanie, tworzenie i zmienianie modułów równoważenia obciążenia.
  Sieć	Microsoft.Network/networkSecurityGroups	Odczytywanie sieciowych grup zabezpieczeń.
  Sieć	Microsoft.Network/azureFirewalls	Odczytywanie zapór.
  Sieć	Microsoft.Network/virtualNetworks	Odczytywanie, tworzenie i zmienianie interfejsów sieciowych. Rozważ odpowiedni dostęp wymagany dla grupy zasobów sieci wirtualnej i powiązany dostęp, jeśli różni się on od grupy zasobów maszyn wirtualnych.

• Rozważ użycie usługi firmy Microsoft — Azure CycleCloud, Azure Batch lub środowiska hybrydowego z maszynami wirtualnymi HPC w chmurze.

Zalecenia

• Jeśli używasz usługi Azure CycleCloud, istnieją trzy metody uwierzytelniania: wbudowana baza danych z szyfrowaniem, Identyfikator entra firmy Microsoft lub protokół LDAP (Lightweight Directory Access Protocol). Aby uzyskać więcej informacji, zobacz Uwierzytelnianie użytkowników. Aby uzyskać więcej informacji na temat jednostek usługi w usłudze Azure CycleCloud, zobacz Using service principals (Korzystanie z jednostek usługi).
• Jeśli używasz usługi Batch, możesz uwierzytelnić się za pomocą identyfikatora Entra firmy Microsoft za pomocą dwóch różnych metod: zintegrowanego uwierzytelniania lub jednostki usługi. Aby uzyskać więcej informacji na temat używania tych różnych podejść, zobacz Uwierzytelnianie w usłudze Azure Batch. Jeśli używasz trybu subskrypcji użytkownika, a nie trybu usługi Batch, przyznaj dostęp do usługi Batch, aby mógł uzyskać dostęp do subskrypcji. Aby uzyskać więcej informacji, zobacz Zezwalaj usłudze Batch na dostęp do subskrypcji.
• Jeśli chcesz rozszerzyć możliwości lokalne na środowisko hybrydowe, możesz uwierzytelnić się za pomocą usługi Active Directory przy użyciu kontrolera domeny tylko do odczytu hostowanego na platformie Azure. Takie podejście minimalizuje ruch przez łącze. Ta integracja umożliwia użytkownikom używanie istniejących poświadczeń do logowania się do usług i aplikacji połączonych z domeną zarządzaną. Możesz również użyć istniejących grup i kont użytkowników, aby ułatwić zabezpieczanie dostępu do zasobów. Te funkcje zapewniają płynniejszą migrację zasobów lokalnych na platformę Azure.

Aby uzyskać więcej informacji, zobacz Projektowanie zaleceń dotyczących dostępu do platformy i tożsamości platformy Azure i dostępu do stref docelowych.

Następne kroki

Poniższe artykuły zawierają wskazówki dotyczące różnych etapów procesu wdrażania chmury. Te zasoby mogą pomóc w pomyślnym wdrożeniu środowisk HPC sektora finansowego dla chmury.

• Oferty rozliczeniowe platformy Azure i dzierżawy usługi Active Directory
• Zarządzanie tożsamościami i dostępem
• Zarządzanie
• Automatyzacja platformy i metodyka DevOps
• Organizacja zasobów
• Nadzór
• Bezpieczeństwo
• Storage
• Akcelerator strefy docelowej HPC