Финансы управления удостоверениями и доступом в Azure HPC

  • Статья

В этой статье рассматриваются рекомендации и рекомендации, определенные в статье о целевой зоне Azure для управления удостоверениями и доступом. Следуя инструкциям в этой статье, вы можете использовать рекомендации по проектированию удостоверений и управления доступом для развертывания высокопроизводительного приложения вычислений (HPC) в Microsoft Azure для финансовой отрасли.

Рекомендации по проектированию

При развертывании приложения HPC следует учитывать следующие рекомендации по проектированию.

  • Определите администрирование ресурсов Azure, которое требуется различным членам команды. Рассмотрите возможность предоставления этим участникам группы доступа к ресурсам Azure с повышенными привилегиями в нерабокой среде.

    • Например, предоставьте им роль участника виртуальной машины.
    • Вы также можете предоставить участникам команды частично повышенный доступ к администрированию, например частичной роли участника виртуальной машины в рабочей среде. Оба варианта обеспечивают хороший баланс между разделением обязанностей и эксплуатационной эффективностью.

  • Просмотрите действия администрирования и управления Azure, которые требуют от ваших команд. Рассмотрим hpC в ландшафте Azure. Определите наилучшее возможное распределение обязанностей в вашей организации.

    Ниже приведены распространенные действия Azure для администрирования и управления.

    Ресурс Azure Поставщик ресурсов Azure Процедуры
    Виртуальная машина (виртуальная машина) Microsoft.Compute/virtualMachines Запуск, остановка, перезапуск, освобождение, развертывание, повторное развертывание, изменение и изменение размера виртуальных машин. Управление расширениями, группами доступности и группами размещения близкого взаимодействия.
    Виртуальные машины Microsoft.Compute/disks Чтение и запись на диск.
    Хранилище Microsoft.Storage; Чтение и внесение изменений в учетные записи хранения, например загрузочный диагностика учетной записи хранения.
    Хранилище Microsoft.NetApp Чтение и внесение изменений в пулы емкости и тома NetApp.
    Хранилище Microsoft.NetApp Создание моментальных снимков Azure NetApp Files.
    Хранилище Microsoft.NetApp Используйте реплика реплика файлов Azure NetApp Files.
    Сеть Microsoft.Network/networkInterfaces Чтение, создание и изменение сетевых интерфейсов.
    Сеть Microsoft.Network/loadBalancers; Чтение, создание и изменение подсистем балансировки нагрузки.
    Сеть Microsoft.Network/networkSecurityGroups; Чтение групп безопасности сети.
    Сеть Microsoft.Network/azureFirewalls Чтение брандмауэров.
    Сеть Microsoft.Network/virtualNetworks; Чтение, создание и изменение сетевых интерфейсов.

    Рассмотрим соответствующий доступ, необходимый для группы ресурсов виртуальной сети и связанного доступа, если он отличается от группы ресурсов виртуальных машин.

  • Рассмотрим используемую службу Майкрософт— Azure CycleCloud, пакетная служба Azure или гибридную среду с виртуальными машинами HPC в облаке.

Рекомендации

  • При использовании Azure CycleCloud существует три метода проверки подлинности: встроенная база данных с шифрованием, идентификатором Записи Майкрософт или протоколом LDAP. Дополнительные сведения см. в разделе "Проверка подлинности пользователей". Дополнительные сведения о субъектах-службах в Azure CycleCloud см. в разделе "Использование субъектов-служб".
  • При использовании пакетной службы можно пройти проверку подлинности с помощью идентификатора Microsoft Entra с помощью двух различных методов: интегрированной проверки подлинности или принципа службы. Дополнительные сведения об использовании этих различных подходов см. в разделе пакетная служба Azure аутентификации. Если вы используете режим подписки пользователя, а не режим пакетной службы, предоставьте доступ к пакетной службе, чтобы он смог получить доступ к подписке. Дополнительные сведения см. в разделе "Разрешить пакетную службу" доступ к подписке.
  • Если вы хотите расширить локальные возможности в гибридной среде, вы можете пройти проверку подлинности через Active Directory с помощью контроллера домена только для чтения, размещенного в Azure. Этот подход сводит к минимуму трафик по ссылке. Эта интеграция позволяет пользователям использовать имеющиеся учетные данные для входа в службы и приложения, подключенные к управляемому домену. Вы также можете использовать существующие группы и учетные записи пользователей, чтобы обеспечить безопасный доступ к ресурсам. Эти функции обеспечивают более плавное перемещение локальных ресурсов в Azure.

Дополнительные сведения см. в рекомендациях по проектированию доступа к платформе и удостоверениям Azure и доступу к целевым зонам.

Следующие шаги

В следующих статьях приведены рекомендации по различным этапам процесса внедрения облака. Эти ресурсы помогут вам добиться успеха в внедрении сред hpC финансового сектора для облака.