Создание учетной записи пакетной службы в портал Azure
В этой статье показано, как использовать портал Azure для создания учетной записи пакетная служба Azure с свойствами учетной записи для соответствия сценария вычислений. Вы узнаете, как просматривать свойства учетной записи, такие как ключи доступа и URL-адреса учетной записи. Вы также узнаете, как настроить и создать учетные записи пакетной службы в режиме подписки пользователя.
Дополнительные сведения о учетных записях и сценариях пакетной службы см. в разделе рабочий процесс и ресурсы пакетной службы.
Создание учетной записи пакетной службы
При создании учетной записи пакетной службы можно выбрать режимы распределения пула пакетной службы между подпиской пользователя и пакетной службой . В большинстве случаев следует использовать режим выделения пула пакетной службы по умолчанию. В режиме пакетной службы ресурсы, связанные с виртуальными машинами, и вычислительные ресурсы для пулов выделяются в управляемых службами пакетной службы подписках Azure.
В режиме выделения пула подписок вычислительные ресурсы и ресурсы, связанные с виртуальной машиной, создаются непосредственно в подписке учетной записи пакетной службы при создании пула. В сценариях создания пула пакетной службы в указанной виртуальной сети определенные сетевые ресурсы создаются в подписке виртуальной сети.
Чтобы создать учетную запись пакетной службы в режиме выделения пула подписок пользователей, необходимо также зарегистрировать подписку в пакетная служба Azure и связать ее с Azure Key Vault. Дополнительные сведения о требованиях к режиму выделения пула подписок пользователей см. в разделе "Настройка режима подписки пользователя".
Чтобы создать учетную запись пакетной службы в режиме пакетной службы по умолчанию:
Войдите на портал Azure.
В поле поиска Azure введите и выберите учетные записи пакетной службы.
На странице учетных записей пакетной службы нажмите кнопку "Создать".
На странице "Новая учетная запись пакетной службы" введите или выберите следующие сведения.
Подписка: выберите подписку, используемую, если она еще не выбрана.
Группа ресурсов: выберите группу ресурсов для учетной записи пакетной службы или создайте новую.
Имя учетной записи: введите имя учетной записи пакетной службы. Имя должно быть уникальным в регионе Azure, может содержать только строчные символы или цифры, и должно быть длиной 3–24 символов.
Примечание.
Имя учетной записи пакетной службы является частью его идентификатора и не может быть изменено после создания.
Расположение. Выберите регион Azure для учетной записи пакетной службы, если она еще не выбрана.
Учетная запись хранения. При необходимости выберите учетную запись хранения, чтобы связать учетную запись служба хранилища Azure с учетной записью пакетной службы.
На экране выбора учетной записи хранения выберите существующую учетную запись хранения или нажмите кнопку "Создать", чтобы создать новую. Для наилучшей производительности рекомендуется использовать учетную запись хранения общего назначения версии 2.
При необходимости нажмите кнопку "Далее" или " Дополнительно ", чтобы указать тип удостоверения, режим выделения пула и режим проверки подлинности. Параметры по умолчанию работают для большинства сценариев. Сведения о создании учетной записи в режиме подписки пользователя см. в разделе "Настройка режима подписки пользователя".
При необходимости нажмите кнопку "Далее: сеть" или вкладка "Сеть" для настройки доступа к общедоступной сети для учетной записи пакетной службы.
Выберите "Проверка и создание" и при прохождении проверки нажмите кнопку "Создать ", чтобы создать учетную запись пакетной службы.
Просмотр свойств учетной записи пакетной службы
После создания учетной записи выберите "Перейти к ресурсу ", чтобы получить доступ к его параметрам и свойствам. Или найдите и выберите учетные записи пакетной службы в поле поиска на портале и выберите свою учетную запись в списке на странице учетных записей пакетной службы.
На странице учетной записи пакетной службы вы можете получить доступ ко всем параметрам и свойствам учетной записи в меню навигации слева.
При разработке приложения с помощью API пакетной службы вы используете URL-адрес учетной записи и ключ для доступа к ресурсам пакетной службы. Чтобы просмотреть сведения о доступе к учетной записи пакетной службы, выберите Ключи.
Пакет также поддерживает проверку подлинности Microsoft Entra. Учетные записи пакетной службы режима подписки пользователей должны быть доступны с помощью идентификатора Microsoft Entra. Дополнительные сведения см. в разделе "Проверка подлинности пакетная служба Azure служб с помощью идентификатора Microsoft Entra".
Чтобы просмотреть имя и ключи учетной записи хранения, связанной с учетной записью пакетной службы, выберите Учетная запись хранения.
Чтобы просмотреть квоты ресурсов, которые применяются для учетной записи пакетной службы, выберите Квоты.
Настройка режима подписки пользователя
Перед созданием учетной записи пакетной службы в пользовательском режиме подписки необходимо выполнить несколько действий.
Внимание
Чтобы создать учетную запись пакетной службы в режиме подписки пользователя, в подписке должна быть роль участника или владельца .
Принятие юридических условий
Перед использованием подписки с учетной записью пакетной службы в режиме подписки необходимо принять юридические условия для образа. Если это действие не выполнено, при попытке выделить узлы пакетной службы может произойти сбой выделения ошибки из-за сбоя при покупке в Marketplace.
Чтобы принять юридические условия, выполните команды Get-AzMarketplaceTerms и Set-AzMarketplaceTerms в PowerShell. Задайте следующие параметры на основе конфигурации пула пакетной службы:
Publisher
: издатель образаProduct
: предложение изображенияName
: номер SKU предложения
Например:
Get-AzMarketplaceTerms -Publisher 'microsoft-azure-batch' -Product 'ubuntu-server-container' -Name '20-04-lts' | Set-AzMarketplaceTerms -Accept
Внимание
Если вы включили частный Azure Marketplace, выполните действия, описанные в разделе "Добавление новой коллекции", чтобы добавить новую коллекцию , чтобы разрешить выбранный образ.
Разрешить пакету доступ к подписке
При создании первой учетной записи пакетной службы в режиме пользовательской подписки в подписке Azure необходимо зарегистрировать подписку в пакетной службе. Эту регистрацию необходимо выполнить только один раз для каждой подписки.
Внимание
Чтобы выполнить это действие, вам нужны разрешения владельца в подписке.
В портал Azure найдите и выберите подписки.
На странице "Подписки" выберите подписку, которую вы хотите использовать для учетной записи пакетной службы.
На странице "Подписка" выберите поставщики ресурсов в области навигации слева.
На странице "Поставщики ресурсов" найдите Microsoft.Batch. Если поставщик ресурсов Microsoft.Batch отображается как NotRegistered, выберите его и нажмите кнопку "Зарегистрировать " в верхней части экрана.
Вернитесь на страницу "Подписка" и выберите элемент управления доступом (IAM) в области навигации слева.
В верхней части страницы управления доступом (IAM) выберите добавить>назначение ролей.
На экране "Добавление назначения ролей" в разделе "Назначение" выберите роль "Привилегированный администратор" и нажмите кнопку "Далее".
На вкладке "Роль" выберите роль участника или владельца для учетной записи пакетной службы и нажмите кнопку "Далее".
На вкладке Члены нажмите Выбор членов. На экране "Выбор участников" найдите и выберите Microsoft пакетная служба Azure, а затем нажмите кнопку "Выбрать".
Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Создание хранилища ключей
Для режима подписки пользователя требуется Azure Key Vault. Хранилище ключей должно находиться в той же подписке и регионе, что и учетная запись пакетной службы.
Чтобы создать новое хранилище ключей, выполните приведенные далее действия.
- Найдите и выберите хранилища ключей в поле поиска Azure, а затем выберите "Создать " на странице "Хранилища ключей ".
- На странице "Создание хранилища ключей" введите имя хранилища ключей и выберите существующую группу ресурсов или создайте новую в том же регионе, что и учетная запись пакетной службы.
- На вкладке "Конфигурация доступа" выберите управление доступом на основе ролей Azure или политику доступа Хранилища в разделе "Модель разрешений" и в разделе "Доступ к ресурсам" установите все 3 флажка для виртуальной машины Azure для развертывания, Azure Resource Manager для развертывания шаблона и Шифрование дисков Azure для шифрования томов.
- Оставьте остальные параметры значениями по умолчанию, выберите "Просмотр и создание", а затем нажмите кнопку "Создать".
Создание учетной записи пакетной службы в режиме подписки пользователя
Чтобы создать учетную запись пакетной службы в режиме подписки пользователя, выполните следующее:
- Следуйте приведенным выше инструкциям, чтобы создать учетную запись пакетной службы, но выберите подписку пользователя для режима выделения пула на вкладке "Дополнительно" на странице "Новая учетная запись пакетной службы".
- Затем необходимо выбрать хранилище ключей, чтобы выбрать существующее хранилище ключей или создать его.
- После выбора хранилища ключей установите флажок рядом с пунктом "Я согласен предоставить пакетная служба Azure доступ к этому хранилищу ключей".
- Выберите "Просмотр и создание", а затем нажмите кнопку "Создать ", чтобы создать учетную запись пакетной службы.
Создание учетной записи пакетной службы с указанным режимом проверки подлинности
Чтобы создать учетную запись пакетной службы с параметрами режима проверки подлинности, выполните следующие действия.
Следуйте приведенным выше инструкциям, чтобы создать учетную запись пакетной службы, но выберите режим пакетной службы для проверки подлинности на вкладке "Дополнительно" на странице "Новая учетная запись пакетной службы".
Затем необходимо выбрать режим проверки подлинности, чтобы определить, какой режим проверки подлинности может использоваться учетной записью пакетной службы с помощью ключа свойства режима проверки подлинности.
Вы можете выбрать один из 3 "Идентификатор Microsoft Entra, Общий ключ, режим проверки подлинности маркера проверки подлинности задачи для поддержки учетной записи пакетной службы или оставить параметры по умолчанию.
Оставьте остальные параметры значениями по умолчанию, выберите "Просмотр и создание", а затем нажмите кнопку "Создать".
Совет
Для повышения безопасности рекомендуется ограничить режим проверки подлинности учетной записи пакетной службы исключительно идентификатором Microsoft Entra. Эта мера снижает риск воздействия общего ключа и вводит дополнительные элементы управления RBAC. Дополнительные сведения см. в рекомендациях по обеспечению безопасности пакетной службы.
Предупреждение
Маркер проверки подлинности задач будет прекращен 30 сентября 2024 г. Если требуется эта функция, рекомендуется использовать управляемое удостоверение , назначенное пользователем, в пуле пакетной службы в качестве альтернативы.
Предоставление доступа к хранилищу ключей вручную
Вы также можете предоставить доступ к хранилищу ключей вручную в портал Azure.
Если модель разрешений Key Vault — это управление доступом на основе ролей Azure:
- Выберите элемент управления доступом (IAM) в левой области навигации страницы хранилища ключей.
- В верхней части страницы управления доступом (IAM) выберите добавить>назначение ролей.
- На экране "Добавление назначения ролей" на вкладке "Роль" в разделе "Роли задания" под вкладкой "Роли" выберите "Офицер секретов Key Vault" или роль администратора Key Vault для учетной записи пакетной службы, а затем нажмите кнопку "Далее".
- На вкладке Члены нажмите Выбор членов. На экране "Выбор участников" найдите и выберите Microsoft пакетная служба Azure, а затем нажмите кнопку "Выбрать".
- Нажмите кнопку "Просмотр и создание" внизу, чтобы перейти на вкладку "Рецензирование и назначение" и нажмите кнопку "Рецензирование" и "Создать" в нижней части экрана.
Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Если модель разрешений Key Vault — политика доступа к Хранилищу:
Выберите политики доступа в левой области навигации страницы хранилища ключей.
На странице "Политики доступа" нажмите кнопку "Создать".
На экране "Создание политики доступа" выберите минимум разрешений Get, List, Set и Delete в разделе "Секретные разрешения". Для хранилищ ключей с поддержкой обратимого удаления также выберите "Восстановить".
Выберите Далее.
На вкладке "Субъект" найдите и выберите Microsoft пакетная служба Azure.
Выберите вкладку "Просмотр и создание ", а затем нажмите кнопку "Создать".
Примечание.
В настоящее время имя учетной записи пакетной службы поддерживает только политики доступа. При создании учетной записи пакетной службы убедитесь, что хранилище ключей использует связанную политику доступа вместо разрешений RBAC EntraID. Дополнительные сведения о добавлении политики доступа к экземпляру хранилища ключей Azure см. в статье "Настройка экземпляра Azure Key Vault".
Настройка квот для подписки
Для учетных записей пакетной службы с пользовательской подпиской необходимо задать квоты на ядра вручную. Квоты ядра пакетной службы "Стандартный" не применяются к учетным записям в пользовательском режиме подписки. Квоты в подписке для региональных вычислительных ядер, вычислительных ядер на серии и других ресурсов используются и применяются.
Чтобы просмотреть и настроить основные квоты, связанные с учетной записью пакетной службы, выполните следующие действия.
- В портал Azure выберите учетную запись пакетной службы в режиме подписки пользователя.
- В меню слева выберите "Квоты".
Другие параметры управления учетной записью пакетной службы
Вы также можете создавать учетные записи пакетной службы и управлять ими с помощью следующих средств:
- командлеты PowerShell для пакетной службы;
- Azure CLI
- Библиотека .NET для управления пакетной службой
Следующие шаги
- Узнайте подробнее о рабочем процессе и основных ресурсах пакетной службы, таких как пулы, узлы, задания и задачи.
- Ознакомьтесь с основами разработки приложения с поддержкой пакетной службы с помощью клиентской библиотеки .NET пакетной службы или Python. В этом кратком руководстве рассматривается пример приложения, которое использует пакетную службу для выполнения рабочей нагрузки на нескольких вычислительных узлах с применением службы хранилища Azure для помещения файла рабочей нагрузки на промежуточное хранение и обработку и его извлечения.