Использование упрощенного взаимодействия с вычислительным узлом

Пул пакетной службы Azure содержит один или несколько вычислительных узлов, которые выполняют пользовательские рабочие нагрузки в виде задач пакетной службы. Чтобы включить функцию пакетной службы и управление инфраструктурой пула пакетной службы, вычислительные узлы должны взаимодействовать со службой пакетной службы Azure.

Пакет поддерживает два типа способов связи:

• Классическая: пакетная служба инициирует взаимодействие с вычислительными узлами.
• Упрощено: вычислительные узлы инициируют взаимодействие с пакетной службой.

В этой статье описываются упрощенный режим связи и соответствующие требования к конфигурации сети.

Предупреждение

Классическийрежим взаимодействия с вычислительным узлом будет прекращен 31 марта 2026 г. и заменен упрощенным режимом связи, описанным в этом документе.

Important

Ознакомьтесь с двумя независимыми параметрами перед настройкой упрощенного режима:

• Общедоступные IP-адреса пула управляют сетью вычислительных узлов (имеют ли виртуальные машины общедоступные IP-адреса для исходящего доступа к Интернету).
• Доступ к общедоступной сети учетной записи определяетpublicNetworkAccess, принимают ли конечные точки пакетной службы (включая конечную точку управления узлами) из общедоступного Интернета.

Эти параметры независимы. В пуле могут быть общедоступные IP-адреса на вычислительных узлах, в то время как у учетной записи службы Batch отключен доступ к общедоступной сети. В упрощенном режиме вычислительные узлы инициируют исходящие подключения к конечной точке управления узлами пакетной службы. Если учётная запись Batch имеет значение publicNetworkAccess, конечная точка администрирования узлов отклоняет публичные подключения — даже если пул имеет общедоступные IP-адреса, а группа безопасности сети разрешает исходящий трафик. В этом случае необходимо создать частную конечную точку nodeManagement, чтобы вычислительные узлы могли связаться со службой управления узлами через частное подключение.

Подсказка

Если пул не использует общедоступные IP-адреса с частной конечной точкой nodeManagement и не имеет исходящего доступа к Интернету, правила NSG и брандмауэра, описанные в этом документе, не применяются к конфигурации.

Поддерживаемые регионы

Упрощенное взаимодействие с вычислительными узлами в пакетной службе Azure в настоящее время доступно для следующих регионов:

• Общедоступная: все общедоступные регионы, в которых присутствует Batch, за исключением Западной Индии.
• Правительство: USGov Аризона, USGov Вирджиния, USGov Техас.
• Китай: все регионы Китая, где присутствует Batch, за исключением Северного Китая 1 и Восточного Китая 1.

Различия между классическими и упрощенными режимами

Упрощенный режим коммуникации вычислительных узлов оптимизирует управление вычислительной инфраструктурой пула Batch в интересах пользователей. Этот режим связи снижает сложность и область входящих и исходящих сетевых подключений, необходимых в базовых операциях.

Для пулов пакетной службы с классическим режимом связи требуются следующие сетевые правила в группах безопасности сети (NSG), определяемых пользователем маршрутах (UDR) и брандмауэрах при создании пула в виртуальной сети:

• Inbound:

  • Целевые порты 29876, 29877 по протоколу TCP из BatchNodeManagement.<region>

• Outbound:

  • Конечный порт 443 по TCP-протоколу на Storage.<region>
  • 443 Порт назначения через TCP BatchNodeManagement.<region> для определенных рабочих нагрузок, для которых требуется обратная связь с пакетной службой, например задачи Диспетчера заданий

Пулы Batch с упрощенным режимом связи требуют только доступа к управляющей конечной точке узлов учетной записи Batch (см. общедоступные конечные точки учетной записи Batch). Если для "Batch account" задано значение Включено (по умолчанию), для их работы требуются следующие сетевые правила в NSG, UDR и брандмауэрах:

• Inbound:

  • Отсутствует

• Outbound:

  • Конечный порт 443 через ANY BatchNodeManagement.<region>

Если для учетной записи пакетной службы задано publicNetworkAccessзначение "Отключено", предыдущее правило BatchNodeManagement.<region> исходящего трафика недостаточно — конечная точка управления узлами отклоняет общедоступные подключения. В этом случае необходимо:

1. Создайте частную конечную точку nodeManagement в виртуальной сети пула.
2. Настройте DNS, чтобы конечная точка управления узлами разрешала IP-адрес частной конечной точки.
3. Убедитесь, что сетевой путь (NSG, UDR) разрешает соединения по TCP/443 из подсети пула в подсеть приватного конечного узла.

Дополнительные сведения см. в разделе "Использование частных конечных точек с учетными записями пакетной службы".

Important

Если доступ к общедоступной сети учетной записи отключен и частная конечная точка nodeManagement не настроена, вычислительные узлы в упрощенном режиме связи не могут подключаться к службе управления узлами, даже если пул имеет общедоступные IP-адреса и NSG разрешает исходящий трафик BatchNodeManagement.<region>. Это приводит к тому, что узлы будут работать в неиспользуемом состоянии. Чтобы устранить проблему, создайте частную конечную точку nodeManagement и проверьте разрешение DNS. Дополнительные сведения см. в разделе об устранении неполадок.

Требования к исходящему трафику для учетной записи Batch можно обнаружить с помощью API конечных точек зависимостей исходящей сети списка. Этот API сообщает о базовом наборе зависимостей, которые зависят от режима связи пула учетных записей пакетной обработки. Для рабочих нагрузок для конкретных пользователей могут потребоваться дополнительные правила, такие как открытие трафика к другим ресурсам Azure (например, службе хранилища Azure для пакетов приложений, реестра контейнеров Azure) или конечным точкам, таким как репозиторий пакетов Майкрософт для функциональных возможностей подключения виртуальной файловой системы.

Преимущества упрощенного режима

Пользователи пакетной службы Azure, использующие упрощенный режим, используют упрощение сетевых подключений и правил. Упрощенное взаимодействие с вычислительным узлом помогает снизить риски безопасности, удалив требование открыть порты для входящего обмена данными из Интернета. Для базового функционирования требуется только одно исходящее правило для известного тега службы.

Упрощенный режим также обеспечивает более точное управление кражей данных в классическом режиме связи, так как исходящий обмен данными Storage.<region> больше не требуется. При необходимости вы можете явно заблокировать исходящее подключение к службе хранилища Azure. Например, вы можете ограничить правила исходящего обмена данными в службе хранилища Azure, чтобы включить учетные записи хранения AppPackage или другие учетные записи хранения для файлов ресурсов или выходных файлов.

Даже если рабочие нагрузки в настоящее время не влияют на изменения (как описано в следующем разделе), рекомендуется перейти в упрощенный режим. Будущие улучшения в пакетной службе могут работать только с упрощенным взаимодействием с вычислительным узлом.

Потенциальное влияние между классическими и упрощенными режимами взаимодействия

Во многих случаях упрощенный режим коммуникации напрямую не влияет на ваши пакетные рабочие нагрузки. Однако упрощенное взаимодействие с вычислительным узлом влияет на следующие случаи:

• Пользователи, которые указывают виртуальную сеть при создании пула Batch и выполняют одно или оба из следующих действий:
  • Явным образом отключите правила исходящего сетевого трафика, несовместимые с упрощенным взаимодействием с вычислительным узлом.
  • Используйте UDR и правила брандмауэра, которые несовместимы с упрощенной связью с вычислительным узлом.
• Пользователи, которые активируют программные брандмауэры на вычислительных узлах и явно отключают исходящий трафик в правилах брандмауэра, несовместимых с упрощенной связью вычислительных узлов.

Если к вам относится один из этих случаев, выполните шаги, описанные в следующем разделе, чтобы убедиться, что пакетные рабочие нагрузки по-прежнему могут функционировать в упрощенном режиме. Настоятельно рекомендуется протестировать и проверить все изменения в среде разработки и тестирования, прежде чем отправлять изменения в рабочую среду.

Необходимые изменения конфигурации сети для упрощенного режима

Для перехода в новый режим обмена данными необходимо выполнить следующие действия.

1. Проверьте настройку доступа к общедоступной сети для учетной записи Batch. Если publicNetworkAccess задано значение "Отключено", необходимо создать частную конечную точку nodeManagement в виртуальной сети пула и настроить DNS, прежде чем продолжить. Без этого вычислительные узлы в упрощенном режиме не могут подключаться к пакетной службе независимо от правил NSG. Дополнительные сведения см. в статье "Использование частных конечных точек с учетными записями пакетной службы Azure".
2. Убедитесь, что ваша сетевая конфигурация, применимая к пулам Batch (NSG, UDR, брандмауэры и т. д.), включает объединение режимов, то есть совокупные сетевые правила как классических, так и упрощенных режимов. Как минимум, эти правила будут:
   • Inbound:
     • Целевые порты 29876, 29877 по протоколу TCP из BatchNodeManagement.<region>
   • Outbound:
     • Конечный порт 443 по TCP-протоколу на Storage.<region>
     • Конечный порт 443 через ANY BatchNodeManagement.<region>
3. Если у вас есть другие сценарии входящего или исходящего трафика, необходимые рабочему процессу, необходимо убедиться, что правила соответствуют этим требованиям.
4. Используйте один из следующих вариантов, чтобы обновить рабочие нагрузки для использования нового режима обмена данными.
   • Создайте новые пулы, установив targetNodeCommunicationMode в упрощённый, и убедитесь, что новые пулы работают правильно. Перенесите рабочую нагрузку в новые пулы и удалите все предыдущие пулы.
   • Обновите свойство существующих пулов targetNodeCommunicationMode, чтобы оно было упрощенным, затем измените размер всех существующих пулов до нуля узлов и увеличьте масштаб.
5. Используйте API Get Pool, API List Pool или портал Azure, чтобы убедиться, что currentNodeCommunicationMode установлен в нужный режим связи упрощённый.
6. Измените все применимые сетевые конфигурации к упрощенным правилам связи по крайней мере (обратите внимание на все дополнительные правила, необходимые при обсуждении выше):
   • Inbound:
     • Отсутствует
   • Outbound:
     • Конечный порт 443 через ANY BatchNodeManagement.<region>

Если вы выполните следующие действия, но позже хотите вернуться к классическому обмену данными вычислительных узлов, вам потребуется выполнить следующие действия:

1. Восстановление любой конфигурации сети, работающей исключительно в упрощенном режиме связи вычислительных узлов.
2. Создайте новые пулы или обновите свойство существующих пулов targetNodeCommunicationMode , заданное для классической версии.
3. Перенесите рабочую нагрузку в эти пулы или измените размер существующих пулов и уменьшите масштаб (см. шаг 3 выше).
4. См. шаг 4 выше, чтобы убедиться, что пулы работают в классическом режиме связи.
5. При необходимости восстановите конфигурацию сети.

Задайте режим обмена данными для Batch-пула

Свойство targetNodeCommunicationMode в пулах Batch позволяет указать, какой режим связи предпочитает служба Batch для использования между службой Batch и вычислительными узлами. Ниже приведены допустимые параметры для этого свойства:

• Классическая модель: создает пул с помощью классического взаимодействия с вычислительными узлами.
• Упрощено: создает пул с помощью упрощенного взаимодействия с вычислительным узлом.
• Значение по умолчанию: позволяет пакетной службе выбрать соответствующий режим связи вычислительных узлов. Для пулов без виртуальной сети пул может быть создан в классическом или упрощенном режиме. Для пулов с виртуальной сетью до 30 сентября 2024 года пул всегда по умолчанию будет классическим. Дополнительные сведения см. в руководстве по миграции в режиме взаимодействия с классическим вычислительным узлом.

Подсказка

Указание режима связи с целевым узлом указывает на предпочтение использования пакетной службы, но не гарантирует, что это предпочтение будет соблюдено. Некоторые конфигурации в пуле могут препятствовать пакетной службе соблюдать указанный режим связи с целевым узлом, например взаимодействие без общедоступного IP-адреса, виртуальных сетей и типа конфигурации пула.

Ниже приведены примеры создания пула Batch с упрощенной связью с вычислительными узлами.

Портал Azure

Сначала войдите на портал Azure. Затем перейдите в панель Пулы учетной записи Batch и нажмите кнопку Добавить. В разделе "НЕОБЯЗАТЕЛЬНЫЕ ПАРАМЕТРЫ" можно выбрать "Упрощено " в раскрывающемся списке режима связи узла , как показано ниже.

Чтобы обновить существующий пул до упрощенного режима обмена, перейдите в раздел Пулы учетной записи пакетной службы и выберите пул для обновления. На панели навигации слева выберите режим связи node. Там можно выбрать новый режим связи с целевым узлом, как показано ниже. Выбрав соответствующий режим связи, нажмите кнопку "Сохранить ", чтобы обновить. Сначала необходимо выполнить масштабирование пула до нуля узлов, а затем вернуться обратно, чтобы изменения вступили в силу, если условия позволяют.

Чтобы отобразить текущий режим связи узлов для пула, перейдите на вкладку Пулы вашей учетной записи Batch и выберите пул для просмотра. Выберите "Свойства " в левой части навигации и режим обмена данными с узлом пула отображается в разделе "Общие ".

REST API

В этом примере показано, как использовать REST API пакетной службы для создания пула с упрощенным взаимодействием с вычислительным узлом.

POST {batchURL}/pools?api-version=2022-10-01.16.0
client-request-id: 00000000-0000-0000-0000-000000000000

Основное содержание запроса

"pool": {
     "id": "pool-simplified",
     "vmSize": "standard_d2s_v3",
     "virtualMachineConfiguration": {
          "imageReference": {
               "publisher": "Canonical",
               "offer": "0001-com-ubuntu-server-jammy",
               "sku": "22_04-lts"
          },
          "nodeAgentSKUId": "batch.node.ubuntu 22.04"
     },
     "resizeTimeout": "PT15M",
     "targetDedicatedNodes": 2,
     "targetLowPriorityNodes": 0,
     "taskSlotsPerNode": 1,
     "taskSchedulingPolicy": {
          "nodeFillType": "spread"
     },
     "enableAutoScale": false,
     "enableInterNodeCommunication": false,
     "targetNodeCommunicationMode": "simplified"
}

Ограничения

Ниже приведены известные ограничения упрощенного режима обмена данными:

• Ограниченная поддержка миграции для ранее созданных пулов без общедоступных IP-адресов. Эти пулы можно перенести только при создании в виртуальной сети, в противном случае они не будут использовать упрощенное взаимодействие с вычислительными узлами, даже если они указаны в пуле.
• Пулы конфигурации облачных служб не поддерживаются для упрощенного взаимодействия с вычислительными узлами и не рекомендуется. Указание режима связи для этих типов пулов не учитывается и всегда приводит к классическому режиму обмена данными. Мы рекомендуем использовать конфигурацию виртуальной машины для пулов Batch.

Дальнейшие действия

• Узнайте, как использовать частные конечные точки с учётными записями Batch.
• Дополнительные сведения о пулах в виртуальных сетях.
• Узнайте, как создать пул с указанными общедоступными IP-адресами.
• Узнайте, как создать пул без общедоступных IP-адресов.
• Узнайте, как настроить публичный сетевой доступ для учетных записей Batch.