Финансы управления удостоверениями и доступом в Azure HPC
В этой статье рассматриваются рекомендации и рекомендации, определенные в статье о целевой зоне Azure для управления удостоверениями и доступом. Следуя инструкциям в этой статье, вы можете использовать рекомендации по проектированию удостоверений и управления доступом для развертывания высокопроизводительного приложения вычислений (HPC) в Microsoft Azure для финансовой отрасли.
Рекомендации по проектированию
При развертывании приложения HPC следует учитывать следующие рекомендации по проектированию.
Определите администрирование ресурсов Azure, которое требуется различным членам команды. Рассмотрите возможность предоставления этим участникам группы доступа к ресурсам Azure с повышенными привилегиями в нерабокой среде.
- Например, предоставьте им роль участника виртуальной машины.
- Вы также можете предоставить участникам команды частично повышенный доступ к администрированию, например частичной роли участника виртуальной машины в рабочей среде. Оба варианта обеспечивают хороший баланс между разделением обязанностей и эксплуатационной эффективностью.
Просмотрите действия администрирования и управления Azure, которые требуют от ваших команд. Рассмотрим hpC в ландшафте Azure. Определите наилучшее возможное распределение обязанностей в вашей организации.
Ниже приведены распространенные действия Azure для администрирования и управления.
Ресурс Azure Поставщик ресурсов Azure Процедуры Виртуальная машина (виртуальная машина) Microsoft.Compute/virtualMachines Запуск, остановка, перезапуск, освобождение, развертывание, повторное развертывание, изменение и изменение размера виртуальных машин. Управление расширениями, группами доступности и группами размещения близкого взаимодействия. Виртуальные машины Microsoft.Compute/disks Чтение и запись на диск. Хранилище Microsoft.Storage; Чтение и внесение изменений в учетные записи хранения, например загрузочный диагностика учетной записи хранения. Хранилище Microsoft.NetApp Чтение и внесение изменений в пулы емкости и тома NetApp. Хранилище Microsoft.NetApp Создание моментальных снимков Azure NetApp Files. Хранилище Microsoft.NetApp Используйте реплика реплика файлов Azure NetApp Files. Сеть Microsoft.Network/networkInterfaces Чтение, создание и изменение сетевых интерфейсов. Сеть Microsoft.Network/loadBalancers; Чтение, создание и изменение подсистем балансировки нагрузки. Сеть Microsoft.Network/networkSecurityGroups; Чтение групп безопасности сети. Сеть Microsoft.Network/azureFirewalls Чтение брандмауэров. Сеть Microsoft.Network/virtualNetworks; Чтение, создание и изменение сетевых интерфейсов.
Рассмотрим соответствующий доступ, необходимый для группы ресурсов виртуальной сети и связанного доступа, если он отличается от группы ресурсов виртуальных машин.Рассмотрим используемую службу Майкрософт— Azure CycleCloud, пакетная служба Azure или гибридную среду с виртуальными машинами HPC в облаке.
Рекомендации
- При использовании Azure CycleCloud существует три метода проверки подлинности: встроенная база данных с шифрованием, идентификатором Записи Майкрософт или протоколом LDAP. Дополнительные сведения см. в разделе "Проверка подлинности пользователей". Дополнительные сведения о субъектах-службах в Azure CycleCloud см. в разделе "Использование субъектов-служб".
- При использовании пакетной службы можно пройти проверку подлинности с помощью идентификатора Microsoft Entra с помощью двух различных методов: интегрированной проверки подлинности или принципа службы. Дополнительные сведения об использовании этих различных подходов см. в разделе пакетная служба Azure аутентификации. Если вы используете режим подписки пользователя, а не режим пакетной службы, предоставьте доступ к пакетной службе, чтобы он смог получить доступ к подписке. Дополнительные сведения см. в разделе "Разрешить пакетную службу" доступ к подписке.
- Если вы хотите расширить локальные возможности в гибридной среде, вы можете пройти проверку подлинности через Active Directory с помощью контроллера домена только для чтения, размещенного в Azure. Этот подход сводит к минимуму трафик по ссылке. Эта интеграция позволяет пользователям использовать имеющиеся учетные данные для входа в службы и приложения, подключенные к управляемому домену. Вы также можете использовать существующие группы и учетные записи пользователей, чтобы обеспечить безопасный доступ к ресурсам. Эти функции обеспечивают более плавное перемещение локальных ресурсов в Azure.
Дополнительные сведения см. в рекомендациях по проектированию доступа к платформе и удостоверениям Azure и доступу к целевым зонам.
Следующие шаги
В следующих статьях приведены рекомендации по различным этапам процесса внедрения облака. Эти ресурсы помогут вам добиться успеха в внедрении сред hpC финансового сектора для облака.