Krav för Azure HPC Cache

Innan du skapar en ny Azure-HPC Cache kontrollerar du att din miljö uppfyller dessa krav.

Azure-prenumeration

En betald prenumeration rekommenderas.

Nätverksinfrastruktur

Dessa nätverksrelaterade krav måste konfigureras innan du kan använda din cache:

  • Ett dedikerat undernät för Azure HPC Cache-instansen
  • DNS-stöd så att cacheminnet kan komma åt lagring och andra resurser
  • Åtkomst från undernätet till ytterligare Microsoft Azure infrastrukturtjänster, inklusive NTP-servrar och Tjänsten Azure Queue Storage.

Cacheundernät

Azure HPC Cache behöver ett dedikerat undernät med följande egenskaper:

  • Undernätet måste ha minst 64 tillgängliga IP-adresser.
  • Kommunikationen i undernätet måste vara obegränsad. Om du använder en nätverkssäkerhetsgrupp för cacheundernätet kontrollerar du att den tillåter alla tjänster mellan interna IP-adresser.
  • Undernätet kan inte vara värd för några andra virtuella datorer, inte ens för relaterade tjänster som klientdatorer.
  • Om du använder flera Azure HPC Cache-instanser behöver var och en ett ett eget undernät.

Det bästa sättet är att skapa ett nytt undernät för varje cache. Du kan skapa ett nytt virtuellt nätverk och undernät som en del av att skapa cachen.

När du skapar det här undernätet bör du vara noga med att dess säkerhetsinställningar tillåter åtkomst till de nödvändiga infrastrukturtjänster som anges senare i det här avsnittet. Du kan begränsa utgående Internetanslutning, men se till att det finns undantag för objekten som dokumenteras här.

DNS-åtkomst

Cacheminnet behöver DNS för att få åtkomst till resurser utanför det virtuella nätverket. Beroende på vilka resurser du använder kan du behöva konfigurera en anpassad DNS-server och konfigurera vidarebefordran mellan den servern och Azure DNS-servrarna:

  • För att få åtkomst till Azure Blob Storage-slutpunkter och andra interna resurser behöver du den Azure-baserade DNS-servern.
  • För att få åtkomst till lokal lagring måste du konfigurera en anpassad DNS-server som kan matcha lagringens värdnamn. Du måste göra detta innan du skapar cacheminnet.

Om du bara använder Blob Storage kan du använda standard-DNS-servern som tillhandahålls av Azure för din cache. Men om du behöver åtkomst till lagring eller andra resurser utanför Azure bör du skapa en anpassad DNS-server och konfigurera den så att den vidarebefordrar azure-specifika matchningsförfrågningar till Azure DNS-servern.

Om du vill använda en anpassad DNS-server måste du utföra de här konfigurationsstegen innan du skapar din cache:

  • Skapa det virtuella nätverk som ska vara värd för Azure-HPC Cache.

  • Skapa DNS-servern.

  • Lägg till DNS-servern i cachens virtuella nätverk.

    Följ dessa steg för att lägga till DNS-servern i det virtuella nätverket i Azure Portal:

    1. Öppna det virtuella nätverket i Azure Portal.
    2. Välj DNS-servrar på Inställningar-menyn i sidofältet.
    3. Välj Anpassad
    4. Ange DNS-serverns IP-adress i fältet .

En enkel DNS-server kan också användas för att belastningsbalansera klientanslutningar mellan alla tillgängliga cachemonteringspunkter.

Läs mer om virtuella Azure-nätverk och DNS-serverkonfigurationer i Namnmatchning för resurser i virtuella Azure-nätverk.

NTP-åtkomst

HPC Cache behöver åtkomst till en NTP-server för regelbunden drift. Om du begränsar utgående trafik från dina virtuella nätverk ser du till att tillåta trafik till minst en NTP-server. Standardservern är time.windows.com och cachen kontaktar den här servern på UDP-port 123.

Skapa en regel i cachenätverkets nätverkssäkerhetsgrupp som tillåter utgående trafik till NTP-servern. Regeln kan helt enkelt tillåta all utgående trafik på UDP-port 123 eller ha fler begränsningar.

Det här exemplet öppnar uttryckligen utgående trafik till IP-adressen 168.61.215.74, som är den adress som används av time.windows.com.

Prioritet Namn Port Protokoll Källa Mål Action
200 NTP Valfri UDP Valfri 168.61.215.74 Tillåt

Kontrollera att NTP-regeln har högre prioritet än alla regler som allmänt nekar utgående åtkomst.

Fler tips för NTP-åtkomst:

  • Om du har brandväggar mellan din HPC Cache och NTP-servern kontrollerar du att dessa brandväggar också tillåter NTP-åtkomst.

  • Du kan konfigurera vilken NTP-server som din HPC Cache använder på sidan Nätverk. Mer information finns i Konfigurera ytterligare inställningar .

Åtkomst till Azure Queue Storage

Cachen måste kunna komma åt Azure Queue Storage-tjänsten på ett säkert sätt inifrån det dedikerade undernätet. Azure HPC Cache använder kötjänsten vid kommunikation av konfigurations- och tillståndsinformation.

Om cachen inte kan komma åt kötjänsten kan du se meddelandet CacheConnectivityError när du skapar cachen.

Det finns två sätt att ge åtkomst:

  • Skapa en Azure Storage tjänstslutpunkt i cacheundernätet. Läs Lägg till ett virtuellt nätverksundernät för instruktioner för att lägga till tjänstslutpunkten Microsoft.Storage.

  • Konfigurera åtkomst individuellt till Azure Storage Queue Service-domänen i din nätverkssäkerhetsgrupp eller andra brandväggar.

    Lägg till regler för att tillåta åtkomst på dessa portar:

    • TCP-port 443 för säker trafik till alla värdar i domänen queue.core.windows.net (*.queue.core.windows.net).

    • TCP-port 80 – används för verifiering av certifikatet på serversidan. Detta kallas ibland för kontroll av listan över återkallade certifikat (CRL) och OCSP-kommunikation (Online Certificate Status Protocol). Alla *.queue.core.windows.net använder samma certifikat och därmed samma CRL/OCSP-servrar. Värdnamnet lagras i SSL-certifikatet på serversidan.

    Mer information finns i säkerhetsregeltipsen i NTP-åtkomst .

    Det här kommandot visar de CRL- och OSCP-servrar som måste tillåtas åtkomst. Dessa servrar måste kunna matchas av DNS och kunna nås på port 80 från cacheundernätet.

    
    openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
    
    

    Utdata ser ut ungefär så här och kan ändras om SSL-certifikatet uppdateras:

    OCSP - URI:http://ocsp.msocsp.com
    CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
    CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
    

Du kan kontrollera undernätets anslutning med hjälp av det här kommandot från en virtuell testdator i undernätet:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

En lyckad anslutning ger det här svaret:

OCSP Response Status: successful (0x0)

Behörigheter

Kontrollera de här behörighetsrelaterade förutsättningarna innan du börjar skapa din cache.

  • Cacheinstansen måste kunna skapa virtuella nätverksgränssnitt (NIC). Den användare som skapar cachen måste ha tillräcklig behörighet i prenumerationen för att kunna skapa nätverkskort.

  • Om du använder Blob Storage behöver Azure HPC Cache auktorisering för att få åtkomst till ditt lagringskonto. Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att ge cachen åtkomst till bloblagringen. Två roller krävs: Storage kontodeltagare och Storage Blob Data-deltagare.

    Följ anvisningarna i Lägg till lagringsmål för att lägga till rollerna.

Storage infrastruktur

Cachen stöder Azure Blob-containrar, export av NFS-maskinvarulagring och NFS-monterade ADLS-blobcontainrar. Lägg till lagringsmål när du har skapat cachen.

Storleken på din cache avgör hur många lagringsmål den kan stödja – upp till 10 lagringsmål för de flesta cacheminnen, eller upp till 20 för de största storlekarna. Läs Storlek på cachen korrekt för att stödja dina lagringsmål för mer information.

Varje lagringstyp har specifika förutsättningar.

Krav för bloblagring

Om du vill använda Azure Blob Storage med din cache behöver du ett kompatibelt lagringskonto och antingen en tom blobcontainer eller en container som är ifylld med Azure HPC Cache formaterade data enligt beskrivningen i Flytta data till Azure Blob Storage.

Anteckning

Olika krav gäller för NFS-monterad bloblagring. Mer information finns i ADLS-NFS-lagringskrav .

Skapa kontot innan du försöker lägga till ett lagringsmål. Du kan skapa en ny container när du lägger till målet.

Om du vill skapa ett kompatibelt lagringskonto använder du någon av följande kombinationer:

Prestanda Typ Replikering Åtkomstnivå
Standard StorageV2 (generell användning v2) Lokalt redundant lagring (LRS) eller zonredundant lagring (ZRS) Frekvent
Premium Blockblobar Lokalt redundant lagring (LRS) Frekvent

Lagringskontot måste vara tillgängligt från cachens privata undernät. Om ditt konto använder en privat slutpunkt eller en offentlig slutpunkt som är begränsad till specifika virtuella nätverk måste du aktivera åtkomst från cachens undernät. (En öppen offentlig slutpunkt rekommenderas inte .)

Läs Arbeta med privata slutpunkter för tips om hur du använder privata slutpunkter med HPC Cache lagringsmål.

Det är en bra idé att använda ett lagringskonto i samma Azure-region som din cache.

Du måste också ge cacheprogrammet åtkomst till ditt Azure Storage-konto enligt vad som anges i Behörigheter ovan. Följ proceduren i Lägg till lagringsmål för att ge cachen de åtkomstroller som krävs. Om du inte är ägare till lagringskontot måste ägaren göra det här steget.

Krav för NFS-lagring

Om du använder ett NFS-lagringssystem (till exempel ett lokalt NAS-maskinvarusystem) kontrollerar du att det uppfyller dessa krav. Du kan behöva arbeta med nätverksadministratörer eller brandväggshanterare för ditt lagringssystem (eller datacenter) för att verifiera de här inställningarna.

Anteckning

Storage målskapande misslyckas om cachen inte har tillräcklig åtkomst till NFS-lagringssystemet.

Mer information finns i Felsöka problem med NAS-konfiguration och NFS-lagringsmål.

  • Nätverksanslutning: Azure HPC Cache behöver nätverksåtkomst med hög bandbredd mellan cacheundernätet och NFS-systemets datacenter. ExpressRoute eller liknande åtkomst rekommenderas. Om du använder ett VPN kan du behöva konfigurera det för att fästa TCP MSS på 1350 för att se till att stora paket inte blockeras. Läs begränsningar för VPN-paketstorlek för mer hjälp med att felsöka VPN-inställningar.

  • Portåtkomst: Cachen behöver åtkomst till specifika TCP/UDP-portar i ditt lagringssystem. Olika typer av lagring har olika portkrav.

    Följ den här proceduren om du vill kontrollera inställningarna för lagringssystemet.

    • Utfärda ett rpcinfo kommando till ditt lagringssystem för att kontrollera de portar som behövs. Kommandot nedan visar portarna och formaterar relevanta resultat i en tabell. (Använd systemets IP-adress i stället för storage_IP-termen<>.)

      Du kan utfärda det här kommandot från alla Linux-klienter som har NFS-infrastruktur installerad. Om du använder en klient i klustrets undernät kan det också hjälpa dig att verifiera anslutningen mellan undernätet och lagringssystemet.

      rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
      

    Kontrollera att alla portar som returneras av rpcinfo frågan tillåter obegränsad trafik från Azure HPC Cache undernät.

    • Om du inte kan använda rpcinfo kommandot kontrollerar du att dessa vanliga portar tillåter inkommande och utgående trafik:

      Protokoll Port Tjänst
      TCP/UDP 111 rpcbind
      TCP/UDP 2049 NFS
      TCP/UDP 4045 nlockmgr
      TCP/UDP 4046 monterad
      TCP/UDP 4047 status

      Vissa system använder olika portnummer för dessa tjänster – läs dokumentationen för ditt lagringssystem för att vara säker.

    • Kontrollera brandväggsinställningarna för att se till att de tillåter trafik på alla dessa portar som krävs. Se till att kontrollera brandväggar som används i Azure samt lokala brandväggar i ditt datacenter.

  • NFS-serverdelslagring måste vara en kompatibel maskinvaru-/programvaruplattform. Lagringen måste ha stöd för NFS Version 3 (NFSv3). Kontakta Azure HPC Cache-teamet för mer information.

Lagringskrav för NFS-monterad blob (ADLS-NFS)

Azure HPC Cache kan också använda en blobcontainer monterad med NFS-protokollet som lagringsmål.

Läs mer om den här funktionen i NFS 3.0-protokollstöd i Azure Blob Storage.

Kraven för lagringskontot skiljer sig åt för ett ADLS-NFS-bloblagringsmål och för ett standardmål för bloblagring. Följ anvisningarna i Mount Blob Storage med hjälp av NFS-protokollet (Network File System) 3.0 noggrant för att skapa och konfigurera det NFS-aktiverade lagringskontot.

Det här är en allmän översikt över stegen. De här stegen kan ändras, så se alltid ADLS-NFS-anvisningarna för aktuell information.

  1. Kontrollera att de funktioner du behöver är tillgängliga i de regioner där du planerar att arbeta.

  2. Aktivera NFS-protokollfunktionen för din prenumeration. Gör detta innan du skapar lagringskontot.

  3. Skapa ett säkert virtuellt nätverk (VNet) för lagringskontot. Du bör använda samma virtuella nätverk för ditt NFS-aktiverade lagringskonto och för din Azure-HPC Cache. (Använd inte samma undernät som cachen.)

  4. Skapa lagringskontot.

    • I stället för att använda lagringskontoinställningarna för ett standardbloblagringskonto följer du anvisningarna i instruktionsdokumentet. Vilken typ av lagringskonto som stöds kan variera beroende på Azure-region.

    • I avsnittet Nätverk väljer du en privat slutpunkt i det säkra virtuella nätverk som du skapade (rekommenderas) eller väljer en offentlig slutpunkt med begränsad åtkomst från det säkra virtuella nätverket.

      Läs Arbeta med privata slutpunkter för tips om hur du använder privata slutpunkter med HPC Cache lagringsmål.

    • Glöm inte att slutföra avsnittet Avancerat, där du aktiverar NFS-åtkomst.

    • Ge cacheprogrammet åtkomst till ditt Azure Storage-konto enligt beskrivningen i Behörigheter ovan. Du kan göra detta första gången du skapar ett lagringsmål. Följ proceduren i Lägg till lagringsmål för att ge cachen de åtkomstroller som krävs.

      Om du inte är ägare till lagringskontot måste ägaren göra det här steget.

Läs mer om hur du använder ADLS-NFS-lagringsmål med Azure HPC Cache i Använda NFS-monterad bloblagring med Azure HPC Cache.

Arbeta med privata slutpunkter

Azure Storage stöder privata slutpunkter för att tillåta säker dataåtkomst. Du kan använda privata slutpunkter med Azure Blob- eller NFS-monterade bloblagringsmål.

Läs mer om privata slutpunkter

En privat slutpunkt tillhandahåller en specifik IP-adress som HPC Cache använder för att kommunicera med serverdelslagringssystemet. Om IP-adressen ändras kan cachen inte automatiskt återupprätta en anslutning till lagringen.

Om du behöver ändra konfigurationen för en privat slutpunkt följer du den här proceduren för att undvika kommunikationsproblem mellan lagringen och HPC Cache:

  1. Pausa lagringsmålet (eller alla lagringsmål som använder den här privata slutpunkten).
  2. Gör ändringar i den privata slutpunkten och spara ändringarna.
  3. Sätt lagringsmålet i tjänst igen med kommandot "resume".
  4. Uppdatera lagringsmålets DNS-inställning.

Läs Visa och hantera lagringsmål för att lära dig hur du pausar, återupptar och uppdaterar DNS för lagringsmål.

Konfigurera Azure CLI-åtkomst (valfritt)

Om du vill skapa eller hantera Azure-HPC Cache från Azure CLI måste du installera Azure CLI och tillägget hpc-cache. Följ anvisningarna i Konfigurera Azure CLI för Azure HPC Cache.

Nästa steg