Zarządzanie tożsamościami i dostępem na platformie Azure w usłudze HPC
W tym artykule omówiono zagadnienia i zalecenia zdefiniowane w artykule Strefa docelowa platformy Azure obszar projektowania strefy docelowej platformy Azure na potrzeby zarządzania tożsamościami i dostępem. Postępując zgodnie ze wskazówkami w tym artykule, możesz użyć zagadnień i zaleceń dotyczących projektowania zarządzania tożsamościami i dostępem, aby wdrożyć aplikację obliczeń o wysokiej wydajności (HPC) na platformie Microsoft Azure dla branży finansowej.
Uwagi dotyczące projektowania
Podczas wdrażania aplikacji HPC należy pamiętać o następujących zagadnieniach projektowych:
Określ administrację zasobów platformy Azure wymaganą przez różnych członków zespołu. Rozważ udostępnienie tym członkom zespołu z podwyższonym poziomem uprawnień dostępu do administrowania zasobami platformy Azure w środowisku nieprodukcyjnym.
- Na przykład nadaj im rolę Współautor maszyny wirtualnej.
- Możesz również przyznać członkom zespołu częściowo podwyższony poziom dostępu administracyjnego, taki jak częściowa rola Współautor maszyny wirtualnej w środowisku produkcyjnym. Obie opcje osiągną dobrą równowagę między rozdzieleniem obowiązków i wydajnością operacyjną.
Przejrzyj działania związane z administracją i zarządzaniem platformą Azure, które wymagają wykonania przez zespoły. Rozważ swoje obliczenia HPC na platformie Azure w poziomie. Określ najlepszą możliwą dystrybucję obowiązków w organizacji.
Poniżej przedstawiono typowe działania platformy Azure związane z administracją i zarządzaniem.
Zasób platformy Azure Dostawca zasobów platformy Azure Działania Maszyna wirtualna Microsoft.Compute/virtualMachines Uruchamianie, zatrzymywanie, ponowne uruchamianie, cofanie przydziału, wdrażanie, ponowne wdrażanie, zmienianie i zmienianie rozmiaru maszyn wirtualnych. Zarządzanie rozszerzeniami, zestawami dostępności i grupami umieszczania w pobliżu. Maszyny wirtualne Microsoft.Compute/disks Odczyt i zapis na dysku. Storage Microsoft.Storage Odczytywanie i wprowadzanie zmian na kontach magazynu, na przykład konto magazynu diagnostyki rozruchu. Storage Microsoft.NetApp Odczytywanie i wprowadzanie zmian w pulach pojemności i woluminach usługi NetApp. Storage Microsoft.NetApp Tworzenie migawek usługi Azure NetApp Files. Storage Microsoft.NetApp Użyj replikacji między regionami usługi Azure NetApp Files. Sieć Microsoft.Network/networkInterfaces Odczytywanie, tworzenie i zmienianie interfejsów sieciowych. Sieć Microsoft.Network/loadBalancers Odczytywanie, tworzenie i zmienianie modułów równoważenia obciążenia. Sieć Microsoft.Network/networkSecurityGroups Odczytywanie sieciowych grup zabezpieczeń. Sieć Microsoft.Network/azureFirewalls Odczytywanie zapór. Sieć Microsoft.Network/virtualNetworks Odczytywanie, tworzenie i zmienianie interfejsów sieciowych.
Rozważ odpowiedni dostęp wymagany dla grupy zasobów sieci wirtualnej i powiązany dostęp, jeśli różni się on od grupy zasobów maszyn wirtualnych.Rozważ użycie usługi firmy Microsoft — Azure CycleCloud, Azure Batch lub środowiska hybrydowego z maszynami wirtualnymi HPC w chmurze.
Zalecenia
- Jeśli używasz usługi Azure CycleCloud, istnieją trzy metody uwierzytelniania: wbudowana baza danych z szyfrowaniem, Identyfikator entra firmy Microsoft lub protokół LDAP (Lightweight Directory Access Protocol). Aby uzyskać więcej informacji, zobacz Uwierzytelnianie użytkowników. Aby uzyskać więcej informacji na temat jednostek usługi w usłudze Azure CycleCloud, zobacz Using service principals (Korzystanie z jednostek usługi).
- Jeśli używasz usługi Batch, możesz uwierzytelnić się za pomocą identyfikatora Entra firmy Microsoft za pomocą dwóch różnych metod: zintegrowanego uwierzytelniania lub jednostki usługi. Aby uzyskać więcej informacji na temat używania tych różnych podejść, zobacz Uwierzytelnianie w usłudze Azure Batch. Jeśli używasz trybu subskrypcji użytkownika, a nie trybu usługi Batch, przyznaj dostęp do usługi Batch, aby mógł uzyskać dostęp do subskrypcji. Aby uzyskać więcej informacji, zobacz Zezwalaj usłudze Batch na dostęp do subskrypcji.
- Jeśli chcesz rozszerzyć możliwości lokalne na środowisko hybrydowe, możesz uwierzytelnić się za pomocą usługi Active Directory przy użyciu kontrolera domeny tylko do odczytu hostowanego na platformie Azure. Takie podejście minimalizuje ruch przez łącze. Ta integracja umożliwia użytkownikom używanie istniejących poświadczeń do logowania się do usług i aplikacji połączonych z domeną zarządzaną. Możesz również użyć istniejących grup i kont użytkowników, aby ułatwić zabezpieczanie dostępu do zasobów. Te funkcje zapewniają płynniejszą migrację zasobów lokalnych na platformę Azure.
Aby uzyskać więcej informacji, zobacz Projektowanie zaleceń dotyczących dostępu do platformy i tożsamości platformy Azure i dostępu do stref docelowych.
Następne kroki
Poniższe artykuły zawierają wskazówki dotyczące różnych etapów procesu wdrażania chmury. Te zasoby mogą pomóc w pomyślnym wdrożeniu środowisk HPC sektora finansowego dla chmury.