Создание пула пакетной службы без общедоступных IP-адресов (предварительная версия)

Предупреждение

Эта предварительная версия будет прекращена 31 марта 2023 года и будет заменена упрощенным пулом обмена данными с узлами без общедоступных IP-адресов. Дополнительные сведения см. в руководстве по миграции на пенсию.

Важно!

• Поддержка пулов без общедоступных IP-адресов в пакетной службе Azure в настоящее время доступна в общедоступной предварительной версии для следующих регионов: Центральная Франция, Восточная Азия, центрально-западная часть США, центрально-южная часть США, западная часть США 2, восточная часть США, восточная часть США 2, центральная часть США, Западная Европа, центрально-северная часть США, западная часть США, Восточная Австралия, Восточная Япония, Западная Япония.
• Эта предварительная версия предоставляется без соглашения об уровне обслуживания и не рекомендована для использования рабочей среде. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены.
• Дополнительные сведения см. в статье Дополнительные условия использования предварительных выпусков Microsoft Azure.

При создании пула пакетной службы Azure вы можете подготовить пул конфигурации виртуальных машин без общедоступного IP-адреса. В этой статье объясняется, как настроить пул пакетной службы без общедоступных IP-адресов.

Зачем создавать пул без общедоступных IP-адресов?

По умолчанию всем вычислительным узлам в пуле конфигурации виртуальной машины пакетной службы Azure назначается общедоступный IP-адрес. Этот адрес используется пакетной службой для планирования задач и для связи с вычислительными узлами, включая исходящий доступ в Интернет.

Чтобы ограничить доступ к этим узлам и уменьшить возможность обнаружения этих узлов из Интернета, вы можете подготовить пул без общедоступных IP-адресов.

Предварительные требования

• Проверка подлинности. Чтобы использовать пул без общедоступных IP-адресов в виртуальной сети, API клиента пакетной службы должен использовать Microsoft Entra проверку подлинности. пакетная служба Azure поддержка Microsoft Entra ID описана в статье Проверка подлинности служб пакетная служба Azure с помощью Microsoft Entra ID. Если вы не создаете пул в виртуальной сети, можно использовать Microsoft Entra проверку подлинности или проверку подлинности на основе ключа.

• Виртуальная сеть Azure. Если вы создаете пул в виртуальной сети, следуйте этим требованиям и конфигурациям. Чтобы заранее подготовить виртуальную сеть с одной или несколькими подсетями, вы можете использовать портал Azure, Azure PowerShell, Azure CLI или другие методы.

  • Виртуальная сеть должна находиться в тех же подписке и регионе, что и учетная запись пакетной службы, которую вы используете для создания пула.

  • Указанная для пула подсеть должна иметь достаточное количество свободных IP-адресов для всех виртуальных машин, предназначенных для пула, то есть сумму свойств targetDedicatedNodes и targetLowPriorityNodes этого пула. Если в подсети недостаточно свободных IP-адресов, пакетная служба ограничивает выделение вычислительных узлов для пула и генерирует ошибку изменения размера.

  • Необходимо отключить политики службы приватных каналов и сети конечных точек. Это действие можно выполнить с помощью Azure CLI:

    az network vnet subnet update --vnet-name <vnetname> -n <subnetname> --resource-group <resourcegroup> --disable-private-endpoint-network-policies --disable-private-link-service-network-policies

Важно!

Для каждого из 100 выделенных или точечных узлов пакетная служба выделяет по одной службе приватных каналов и одной подсистеме балансировки нагрузки. Эти ресурсы ограничены квотами ресурсов в подписке. Для больших пулов, возможно, вам потребуется запросить увеличение квоты на один или несколько ресурсов. Кроме того, не следует применять блокировки к ресурсам, созданным пакетной службой. Это может препятствовать очистке ресурсов в результате действий, инициированных пользователем, таких как удаление пула или изменение размера на 0.

Текущие ограничения

1. Пулы без общедоступных IP-адресов должны использовать конфигурацию виртуальной машины, а не конфигурацию облачных служб.
2. Конфигурация пользовательской конечной точки для вычислительных узлов пакетов не работает с пулами без общедоступных IP-адресов.
3. Так как нет общедоступных IP-адресов, вы не можете использовать собственные заданные общедоступные IP-адреса с этим типом пула.
4. Виртуальные машины базового размера не работают с пулами без общедоступных IP-адресов.

Создание пула без общедоступных IP-адресов на портале Azure

1. Войдите в свою учетную запись пакетной службы на портале Azure.
2. В окне Параметры слева выберите пункт Пулы.
3. В окне Пулы выберите Добавить.
4. В окне Добавить пул из раскрывающегося списка Тип образа выберите нужный вариант.
5. Укажите верный вариант издателя, предложения или номера SKU вашего образа.
6. Укажите остальные обязательные параметры, включая размер узла, целевые выделенные узлы, целевые точечные или низкоприоритетные узлы, а также любые необходимые необязательные параметры.
7. Вы также можете выбрать виртуальную сеть и подсеть, которые вы хотите использовать. Эта виртуальная сеть должна находиться в той же группе ресурсов, что и пул, который вы создаете.
8. В пункте Тип подготовки IP-адреса выберите NoPublicIPAddresses.

Использование REST API пакетной службы для создания пула без общедоступных IP-адресов

В приведенном ниже примере показано, как использовать REST API пакетной службы для создания пула, использующего общедоступные IP-адреса.

Универсальный код ресурса (URI) REST API

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

Текст запроса

"pool": {
     "id": "pool2",
     "vmSize": "standard_a1",
     "virtualMachineConfiguration": {
          "imageReference": {
               "publisher": "Canonical",
               "offer": "UbuntuServer",
               "sku": "20.04-lts"
          },
          "nodeAgentSKUId": "batch.node.ubuntu 20.04"
     }
     "networkConfiguration": {
          "subnetId": "/subscriptions/<your_subscription_id>/resourceGroups/<your_resource_group>/providers/Microsoft.Network/virtualNetworks/<your_vnet_name>/subnets/<your_subnet_name>",
          "publicIPAddressConfiguration": {
               "provision": "NoPublicIPAddresses"
          }
     },
     "resizeTimeout": "PT15M",
     "targetDedicatedNodes": 5,
     "targetLowPriorityNodes": 0,
     "taskSlotsPerNode": 3,
     "taskSchedulingPolicy": {
          "nodeFillType": "spread"
     },
     "enableAutoScale": false,
     "enableInterNodeCommunication": true,
     "metadata": [
          {
               "name": "myproperty",
               "value": "myvalue"
          }
     ]
}

Важно!

Этот документ ссылается на версию выпуска Linux, которая приближается или находится в конце жизненного срока (EOL). Рассмотрите возможность обновления до более актуальной версии.

Исходящий доступ в Интернет

В пуле без общедоступных IP-адресов виртуальные машины не смогут получить доступ к общедоступному подключению к Интернету, если вы не настроили параметры сети соответствующим образом, например с помощью преобразования сетевых адресов (NAT) виртуальной сети. NAT разрешает исходящий доступ к Интернету только из виртуальных машин в виртуальной сети. Созданные пакетом кластерные узлы не будут общедоступными, так как они не связаны с общедоступными IP-адресами.

Другим способом обеспечения исходящего подключения является использование маршрута, определяемого пользователем (UDR). Этот метод позволяет маршрутизировать трафик на прокси-компьютер с общедоступным доступом к Интернету.

Дальнейшие действия

• Узнайте больше о создании пулов в виртуальной сети.
• Узнайте, как использовать частные конечные точки с учетными записями пакетной службы.