Dela via


Krav för Azure HPC Cache

Innan du skapar en ny Azure HPC Cache kontrollerar du att din miljö uppfyller dessa krav.

Azure-prenumeration

En betald prenumeration rekommenderas.

Nätverksinfrastruktur

Dessa nätverksrelaterade krav måste konfigureras innan du kan använda din cache:

  • Ett dedikerat undernät för Azure HPC Cache-instansen
  • DNS-stöd så att cachen kan komma åt lagring och andra resurser
  • Åtkomst från undernätet till ytterligare Microsoft Azure-infrastrukturtjänster, inklusive NTP-servrar och Azure Queue Storage-tjänsten.

Cacheundernät

Azure HPC Cache behöver ett dedikerat undernät med följande egenskaper:

  • Undernätet måste ha minst 64 TILLGÄNGLIGA IP-adresser.
  • Kommunikationen i undernätet måste vara obegränsad. Om du använder en nätverkssäkerhetsgrupp för cacheundernätet kontrollerar du att den tillåter alla tjänster mellan interna IP-adresser.
  • Undernätet kan inte vara värd för andra virtuella datorer, inte ens för relaterade tjänster som klientdatorer.
  • Om du använder flera Azure HPC Cache-instanser behöver var och en ett ett eget undernät.

Det bästa sättet är att skapa ett nytt undernät för varje cacheminne. Du kan skapa ett nytt virtuellt nätverk och undernät som en del av att skapa cacheminnet.

När du skapar det här undernätet bör du vara försiktig så att dess säkerhetsinställningar tillåter åtkomst till nödvändiga infrastrukturtjänster som nämns senare i det här avsnittet. Du kan begränsa utgående Internetanslutning, men se till att det finns undantag för de objekt som dokumenteras här.

DNS-åtkomst

Cachen behöver DNS för att komma åt resurser utanför det virtuella nätverket. Beroende på vilka resurser du använder kan du behöva konfigurera en anpassad DNS-server och konfigurera vidarebefordran mellan den servern och Azure DNS-servrar:

  • För att få åtkomst till Azure Blob Storage-slutpunkter och andra interna resurser behöver du den Azure-baserade DNS-servern.
  • För att få åtkomst till lokal lagring måste du konfigurera en anpassad DNS-server som kan matcha lagringens värdnamn. Du måste göra detta innan du skapar cacheminnet.

Om du bara använder Blob Storage kan du använda standard-DNS-servern som tillhandahålls av Azure för din cache. Men om du behöver åtkomst till lagring eller andra resurser utanför Azure bör du skapa en anpassad DNS-server och konfigurera den för att vidarebefordra eventuella Azure-specifika matchningsbegäranden till Azure DNS-servern.

Om du vill använda en anpassad DNS-server måste du utföra de här installationsstegen innan du skapar din cache:

  • Skapa det virtuella nätverk som ska vara värd för Azure HPC Cache.

  • Skapa DNS-servern.

  • Lägg till DNS-servern i cachens virtuella nätverk.

    Följ de här stegen för att lägga till DNS-servern i det virtuella nätverket i Azure-portalen:

    1. Öppna det virtuella nätverket i Azure-portalen.
    2. Välj DNS-servrar på menyn Inställningar i sidofältet.
    3. Välj Anpassad
    4. Ange DNS-serverns IP-adress i fältet .

En enkel DNS-server kan också användas för att belastningsbalansera klientanslutningar mellan alla tillgängliga cachemonteringspunkter.

Läs mer om virtuella Azure-nätverk och DNS-serverkonfigurationer i Namnmatchning för resurser i virtuella Azure-nätverk.

NTP-åtkomst

HPC Cache behöver åtkomst till en NTP-server för regelbunden drift. Om du begränsar utgående trafik från dina virtuella nätverk måste du tillåta trafik till minst en NTP-server. Standardservern är time.windows.com och cachen kontaktar den här servern på UDP-port 123.

Skapa en regel i cachenätverkets nätverkssäkerhetsgrupp som tillåter utgående trafik till NTP-servern. Regeln kan helt enkelt tillåta all utgående trafik på UDP-port 123 eller ha fler begränsningar.

Det här exemplet öppnar uttryckligen utgående trafik till IP-adressen 168.61.215.74, vilket är adressen som används av time.windows.com.

Prioritet Namn Port Protokoll Källa Mål Åtgärd
200 NTP Alla UDP Alla 168.61.215.74 Tillåt

Kontrollera att NTP-regeln har högre prioritet än regler som i stort sett nekar utgående åtkomst.

Fler tips för NTP-åtkomst:

Åtkomst till Azure Queue Storage

Cacheminnet måste kunna komma åt Azure Queue Storage-tjänsten på ett säkert sätt inifrån det dedikerade undernätet. Azure HPC Cache använder kötjänsten när du kommunicerar konfigurations- och tillståndsinformation.

Om cacheminnet inte kan komma åt kötjänsten kan du se meddelandet Cache Anslut ivityError när du skapar cacheminnet.

Det finns två sätt att ge åtkomst:

  • Skapa en Azure Storage-tjänstslutpunkt i cacheundernätet. Läs Lägg till ett virtuellt nätverksundernät för instruktioner för att lägga till tjänstslutpunkten Microsoft.Storage .

  • Konfigurera åtkomsten till Azure Storage-kötjänstdomänen individuellt i nätverkssäkerhetsgruppen eller andra brandväggar.

    Lägg till regler för att tillåta åtkomst på dessa portar:

    • TCP-port 443 för säker trafik till alla värdar i domänen queue.core.windows.net (*.queue.core.windows.net).

    • TCP-port 80 – används för verifiering av certifikatet på serversidan. Detta kallas ibland för kontroll av certifikatåterkallelselista (CRL) och ocsp-kommunikation (Online Certificate Status Protocol). Alla *.queue.core.windows.net använder samma certifikat och därmed samma CRL/OCSP-servrar. Värdnamnet lagras i SSL-certifikatet på serversidan.

    Mer information finns i säkerhetsregeltipsen i NTP-åtkomst .

    Det här kommandot visar de CRL- och OSCP-servrar som måste tillåtas åtkomst. Dessa servrar måste kunna matchas av DNS och kunna nås på port 80 från cacheundernätet.

    
    openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
    
    

    Utdata ser ut ungefär så här och kan ändras om SSL-certifikatet uppdateras:

    OCSP - URI:http://ocsp.msocsp.com
    CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
    CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
    

Du kan kontrollera undernätets anslutning med hjälp av det här kommandot från en virtuell testdator i undernätet:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

En lyckad anslutning ger det här svaret:

OCSP Response Status: successful (0x0)

Åtkomst till händelseserver

Azure HPC Cache använder Azure-händelseserverslutpunkter för att övervaka cachehälsa och skicka diagnostikinformation.

Kontrollera att cacheminnet kan komma åt värdar på ett säkert sätt i domänen events.data.microsoft.com – det vill: öppna TCP-port 443 för trafik till *.events.data.microsoft.com.

Behörigheter

Kontrollera de här behörighetsrelaterade förutsättningarna innan du börjar skapa cacheminnet.

  • Cacheinstansen måste kunna skapa virtuella nätverksgränssnitt (NIC). Den användare som skapar cachen måste ha tillräcklig behörighet i prenumerationen för att kunna skapa nätverkskort.

  • Om du använder Blob Storage behöver Azure HPC Cache auktorisering för att få åtkomst till ditt lagringskonto. Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att ge cachen åtkomst till bloblagringen. Två roller krävs: Lagringskontodeltagare och Storage Blob Data-deltagare.

    Följ anvisningarna i Lägg till lagringsmål för att lägga till rollerna.

Lagringsinfrastruktur

Cachen stöder Azure Blob-containrar, exporter av NFS-maskinvarulagring och NFS-monterade ADLS-blobcontainrar. Lägg till lagringsmål när du har skapat cacheminnet.

Varje lagringstyp har specifika förutsättningar.

Krav för bloblagring

Om du vill använda Azure Blob Storage med din cache behöver du ett kompatibelt lagringskonto och antingen en tom Blob-container eller en container som är ifylld med Azure HPC Cache-formaterade data enligt beskrivningen i Flytta data till Azure Blob Storage.

Kommentar

Olika krav gäller för NFS-monterad bloblagring. Mer information finns i ADLS-NFS-lagringskrav .

Skapa kontot innan du försöker lägga till ett lagringsmål. Du kan skapa en ny container när du lägger till målet.

Om du vill skapa ett kompatibelt lagringskonto använder du någon av följande kombinationer:

Prestanda Type Replikering Åtkomstnivå
Standard StorageV2 (generell användning v2) Lokalt redundant lagring (LRS) eller zonredundant lagring (ZRS) Het
Premium Blockblobar Lokalt redundant lagring (LRS) Het

Lagringskontot måste vara tillgängligt från cachens privata undernät. Om ditt konto använder en privat slutpunkt eller en offentlig slutpunkt som är begränsad till specifika virtuella nätverk måste du aktivera åtkomst från cachens undernät. (En öppen offentlig slutpunkt rekommenderas inte .)

Läs Arbeta med privata slutpunkter för tips om hur du använder privata slutpunkter med HPC Cache Storage-mål.

Det är en bra idé att använda ett lagringskonto i samma Azure-region som din cache.

Du måste också ge cacheprogrammet åtkomst till ditt Azure Storage-konto enligt beskrivningen i Behörigheter ovan. Följ proceduren i Lägg till lagringsmål för att ge cachen de åtkomstroller som krävs. Om du inte är ägare till lagringskontot måste ägaren göra det här steget.

Krav för NFS-lagring

Om du använder ett NFS-lagringssystem (till exempel ett lokalt NAS-maskinvarusystem) kontrollerar du att det uppfyller dessa krav. Du kan behöva arbeta med nätverksadministratörer eller brandväggshanterare för ditt lagringssystem (eller datacenter) för att verifiera de här inställningarna.

Kommentar

Det går inte att skapa lagringsmålet om cachen inte har tillräcklig åtkomst till NFS-lagringssystemet.

Mer information finns i Felsöka problem med NAS-konfiguration och NFS-lagringsmål.

  • Nätverksanslutning: Azure HPC Cache behöver nätverksåtkomst med hög bandbredd mellan cacheundernätet och NFS-systemets datacenter. ExpressRoute eller liknande åtkomst rekommenderas. Om du använder ett VPN kan du behöva konfigurera det för att klämma in TCP MSS på 1350 för att se till att stora paket inte blockeras. Läs storleksbegränsningar för VPN-paket för mer hjälp med att felsöka VPN-inställningar.

  • Portåtkomst: Cachen behöver åtkomst till specifika TCP/UDP-portar i lagringssystemet. Olika typer av lagring har olika portkrav.

    Följ den här proceduren om du vill kontrollera lagringssystemets inställningar.

    • Utfärda ett rpcinfo kommando till lagringssystemet för att kontrollera de portar som behövs. Kommandot nedan visar portarna och formaterar relevanta resultat i en tabell. (Använd systemets IP-adress i stället för <> storage_IP term.)

      Du kan utfärda det här kommandot från alla Linux-klienter som har NFS-infrastruktur installerad. Om du använder en klient i klustrets undernät kan det även hjälpa dig att verifiera anslutningen mellan undernätet och lagringssystemet.

      rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
      

    Kontrollera att alla portar som returneras av rpcinfo frågan tillåter obegränsad trafik från Azure HPC Caches undernät.

    • Om du inte kan använda rpcinfo kommandot kontrollerar du att dessa vanliga portar tillåter inkommande och utgående trafik:

      Protokoll Port Tjänst
      TCP/UDP 111 rpcbind
      TCP/UDP 2049 NFS
      TCP/UDP 4045 nlockmgr
      TCP/UDP 4046 monterad
      TCP/UDP 4047 status

      Vissa system använder olika portnummer för dessa tjänster – läs dokumentationen för lagringssystemet för att vara säker.

    • Kontrollera brandväggsinställningarna för att se till att de tillåter trafik på alla dessa nödvändiga portar. Kontrollera brandväggar som används i Azure samt lokala brandväggar i ditt datacenter.

  • NFS-serverdelslagring måste vara en kompatibel maskinvaru-/programvaruplattform. Lagringen måste ha stöd för NFS Version 3 (NFSv3). Kontakta Azure HPC Cache-teamet för mer information.

Lagringskrav för NFS-monterad blob (ADLS-NFS)

Azure HPC Cache kan också använda en blobcontainer monterad med NFS-protokollet som lagringsmål.

Läs mer om den här funktionen i NFS 3.0-protokollstöd i Azure Blob Storage.

Kraven för lagringskontot skiljer sig åt för ett ADLS-NFS-bloblagringsmål och för ett standardmål för bloblagring. Följ anvisningarna i Mount Blob Storage med hjälp av NFS(Network File System) 3.0-protokollet noggrant för att skapa och konfigurera det NFS-aktiverade lagringskontot.

Det här är en allmän översikt över stegen. De här stegen kan ändras, så se alltid ADLS-NFS-anvisningarna för aktuell information.

  1. Kontrollera att de funktioner du behöver är tillgängliga i de regioner där du planerar att arbeta.

  2. Aktivera NFS-protokollfunktionen för din prenumeration. Gör detta innan du skapar lagringskontot.

  3. Skapa ett säkert virtuellt nätverk (VNet) för lagringskontot. Du bör använda samma virtuella nätverk för ditt NFS-aktiverade lagringskonto och för Azure HPC Cache. (Använd inte samma undernät som cachen.)

  4. Skapa lagringskontot.

    • I stället för att använda lagringskontoinställningarna för ett standardbloblagringskonto följer du anvisningarna i instruktionsdokumentet. Vilken typ av lagringskonto som stöds kan variera beroende på Azure-region.

    • I avsnittet Nätverk väljer du en privat slutpunkt i det säkra virtuella nätverk som du skapade (rekommenderas) eller väljer en offentlig slutpunkt med begränsad åtkomst från det säkra virtuella nätverket.

      Läs Arbeta med privata slutpunkter för tips om hur du använder privata slutpunkter med HPC Cache Storage-mål.

    • Glöm inte att slutföra avsnittet Avancerat, där du aktiverar NFS-åtkomst.

    • Ge cacheprogrammet åtkomst till ditt Azure Storage-konto enligt beskrivningen i Behörigheter ovan. Du kan göra det första gången du skapar ett lagringsmål. Följ proceduren i Lägg till lagringsmål för att ge cachen de åtkomstroller som krävs.

      Om du inte är ägare till lagringskontot måste ägaren göra det här steget.

Läs mer om hur du använder ADLS-NFS-lagringsmål med Azure HPC Cache i Använda NFS-monterad bloblagring med Azure HPC Cache.

Arbeta med privata slutpunkter

Azure Storage har stöd för privata slutpunkter för säker dataåtkomst. Du kan använda privata slutpunkter med Azure Blob- eller NFS-monterade bloblagringsmål.

Läs mer om privata slutpunkter

En privat slutpunkt tillhandahåller en specifik IP-adress som HPC Cache använder för att kommunicera med serverdelslagringssystemet. Om IP-adressen ändras kan cacheminnet inte automatiskt återupprätta en anslutning till lagringen.

Om du behöver ändra konfigurationen för en privat slutpunkt följer du den här proceduren för att undvika kommunikationsproblem mellan lagringen och HPC Cache:

  1. Pausa lagringsmålet (eller alla lagringsmål som använder den här privata slutpunkten).
  2. Gör ändringar i den privata slutpunkten och spara ändringarna.
  3. Sätt tillbaka lagringsmålet i tjänst med kommandot "återuppta".
  4. Uppdatera lagringsmålets DNS-inställning.

Läs Visa och hantera lagringsmål för att lära dig hur du pausar, återupptar och uppdaterar DNS för lagringsmål.

Konfigurera Azure CLI-åtkomst (valfritt)

Om du vill skapa eller hantera Azure HPC Cache från Azure CLI måste du installera Azure CLI och tillägget hpc-cache. Följ anvisningarna i Konfigurera Azure CLI för Azure HPC Cache.

Nästa steg