Azure-identitets- och åtkomsthantering för HPC vid tillverkning

Den här artikeln bygger på överväganden och rekommendationer som beskrivs i artikeln azure identitets- och åtkomsthanteringsdesign. Det kan hjälpa dig att undersöka designöverväganden för identitets- och åtkomsthantering som är specifika för distributionen i Azure av HPC-program som är utformade för tillverkningsindustrin.

Microsoft Entra Domain Services (Microsoft Entra Domain Services) tillhandahåller hanterade domäntjänster som domänanslutning och grupprincip. Det ger också åtkomst till äldre autentiseringsprotokoll som LDAP (Lightweight Directory Access Protocol) och Kerberos/NTLM-autentisering. Microsoft Entra Domain Services integreras med din befintliga Microsoft Entra-klientorganisation. Med den här integreringen kan användare logga in på tjänster och program som är anslutna till den hanterade domänen med hjälp av sina befintliga autentiseringsuppgifter i Microsoft Entra-ID. Du kan också använda befintliga grupper och användarkonton för att skydda åtkomsten till resurser. De här funktionerna ger en smidigare lift-and-shift av lokala resurser till Azure, särskilt för hybridmiljöer.

Mer information finns i designrekommendationer för plattformsåtkomst och Azure-identitet och åtkomst för landningszoner.

Designöverväganden för HPC

Beroende på vilken HPC-beräkningsresursorkestrerare du använder stöds olika autentiseringsmetoder enligt beskrivningen här.

• Azure CycleCloud. CycleCloud innehåller tre autentiseringsmetoder: en inbyggd databas med kryptering, Active Directory och LDAP.
• Azure Batch. Batch-kontoåtkomst stöder två autentiseringsmetoder: Delad nyckel och Microsoft Entra-ID.
• HPC Pack. För närvarande måste alla HPC Pack-noder vara anslutna till en Active Directory-domän. Om du distribuerar HPC Pack-klustret i ett virtuellt nätverk som har en plats-till-plats-VPN- eller Azure ExpressRoute-anslutning till företagets nätverk (och brandväggsregler tillåter åtkomst till Active Directory-domänkontrollanter) finns det vanligtvis redan en Active Directory-domän. Om du inte har någon Active Directory-domän i det virtuella nätverket kan du välja att skapa en genom att befordra huvudnoden som domänkontrollant. Ett annat alternativ är att använda Microsoft Entra Domain Services för att tillåta att HPC Pack-noderna är domänanslutna till den här tjänsten jämfört med lokal Active Directory domänkontrollanter. Om huvudnoderna kommer att distribueras i Azure är det viktigt att avgöra om fjärranvändare lokalt skickar jobb. Om fjärranvändare skickar jobb rekommenderar vi att du använder Active Directory eftersom det ger en bättre upplevelse och tillåter att certifikat används korrekt för autentisering. Om Active Directory inte används och Microsoft Entra Domain Services används i stället måste fjärrklienterna använda REST API-tjänsten för att skicka jobb.

Följande diagram visar en tillverkningsreferensarkitektur som använder CycleCloud:

Det här diagrammet visar en tillverkningsarkitektur som använder Batch:

Nästa steg

Följande artiklar innehåller vägledning som du kan ha nytta av vid olika tidpunkter under molnimplementeringsprocessen. De kan hjälpa dig att lyckas med ditt molnimplementeringsscenario för tillverkning av HPC-miljöer.

• Tillverkning av HPC Azure-fakturering och Active Directory-klientorganisationer
• Hantering av HPC inom tillverkningsindustrin
• Tillverkning av HPC-nätverkstopologi och anslutning
• Plattformsautomatisering och DevOps för Azure HPC i tillverkningsindustrin
• Tillverkning av HPC-resursorganisation
• Azure-styrning för tillverkning av HPC
• Säkerhet för HPC inom tillverkningsindustrin
• Tillverkning av HPC-lagring
• Azure-accelerator för databehandling med höga prestanda (HPC) i landningszonen