Konfigurera din Azure-prenumeration
För att kunna köra Azure CycleCloud behöver du en giltig Azure-prenumeration och Virtual Network.
I allmänhet är beslut om att skapa och konfigurera Azure-klientorganisationer och prenumerationer affärsbeslut utanför omfånget för Azure CycleCloud-dokumentationen. Eftersom HPC och stora beräkningsprogram i allmänhet är resursintensiva är det dock värt att överväga att skapa en dedikerad prenumeration för att spåra fakturering, tillämpa användningsgränser och isolera resurs- och API-användning. Mer information om hur du utformar din Azure-klientorganisation och dina prenumerationer finns i Azure-prenumerationshantering.
Konfigurera ett virtuellt nätverk
Du måste välja en befintlig Azure-Virtual Network och undernät eller skapa en ny Virtual Network där du kan köra den virtuella CycleCloud-datorn och de beräkningskluster som ska hanteras av CycleCloud.
Om Virtual Network inte redan har skapats kan du överväga att börja från den angivna distributionen av CycleCloud ARM-mallen. Arm-mallen CycleCloud skapar ett nytt virtuellt nätverk för CycleCloud och beräkningskluster vid distributionstillfället. Du kan också följa dessa instruktioner för att skapa en ny Virtual Network.
Om Express Route eller VPN inte redan har konfigurerats för din Virtual Network är det möjligt att ansluta till din Virtual Network via det offentliga Internet, men vi rekommenderar starkt att du konfigurerar en VPN Gateway.
Konfigurera ett undernät och en nätverkssäkerhetsgrupp
Eftersom CycleCloud vanligtvis har olika nätverkssäkerhetskrav och åtkomstprinciper än beräkningskluster är det ofta bra att köra Azure CycleCloud i ett annat Azure-undernät än klustren.
Vi rekommenderar att du använder minst två undernät – ett för den virtuella CycleCloud-datorn och andra virtuella datorer med samma åtkomstprinciper och ytterligare undernät för beräkningskluster. Tänk dock på att ip-intervallet för undernätet kan bli en begränsande faktor för stora kluster. Så i allmänhet bör CycleCloud-undernätet använda ett litet CIDR-intervall och beräkningsundernäten bör vara stora.
Följ anvisningarna här för att skapa ett eller flera undernät i Virtual Network.
Använda flera undernät för beräkning
CycleCloud-kluster kan konfigureras för att köra noder och noder i flera undernät så länge alla virtuella datorer kan kommunicera i klustret och med CycleCloud (kanske via returproxy). Det är till exempel ofta användbart att starta scheduler-noden eller skicka noderna i ett undernät med olika säkerhetsregler från körningsnoderna. Standardklustertyperna i CycleCloud förutsätter ett enda undernät för hela klustret, men undernätet kan konfigureras per nod eller nodearray med hjälp av SubnetId attributet i nodmallen.
Standardlösningen för värdfilsbaserad värdnamn som tillämpas på CycleCloud-kluster genererar dock bara en värdfil för nodens undernät som standard. När du skapar ett kluster som omfattar flera undernät måste värdnamnsmatchningen därför också anpassas för klustret.
Det krävs två grundläggande ändringar av klustermallen för att stödja flera beräkningsundernät:
-
SubnetIdAnge attributet för varje nod eller nodearray som inte finns i standardundernätet för klustret. - Konfigurera värdnamnsmatchning för alla undernät genom att antingen:
- Använda en Azure DNS-zon och inaktivera standardlösningen för värdfiler
- Eller ange
CycleCloud.hosts.standalone_dns.subnetsattributet till antingen CIDR-intervallet för det virtuella nätverket eller en kommaavgränsad lista över CIDR-intervall för varje undernät. Mer information finns i nodens konfigurationsreferens .
Inställningar för nätverkssäkerhetsgrupp för CycleCloud-undernätet
Att konfigurera azure-Virtual Network för säkerhet är ett brett ämne som ligger långt utanför omfånget för det här dokumentet.
CycleCloud- och CycleCloud-kluster kan fungera i mycket låsta miljöer. Se Köra i låsta nätverk och köra bakom en proxy för konfigurationsinformation.
För mindre restriktiva nätverk finns det dock några allmänna riktlinjer. Först behöver CycleCloud GUI-användare åtkomst till den virtuella CycleCloud-datorn via HTTPS och administratörer kan kräva SSH-åtkomst. Klusteranvändare kräver vanligtvis SSH-åtkomst till minst de inskickade noderna i beräkningsklustret och potentiellt annan åtkomst, till exempel RDP för Windows-kluster. Den sista allmänna regeln är att begränsa åtkomsten till det minsta som krävs.
Om du vill skapa en ny nätverkssäkerhetsgrupp för vart och ett av de undernät som skapades ovan följer du guiden för att skapa en nätverkssäkerhetsgrupp.
Regler för inkommande säkerhet
Viktigt
Följande regler förutsätter att ditt virtuella nätverk har konfigurerats med Express Route eller VPN för privat nätverksåtkomst. Om du kör via det offentliga Internet bör källan ändras till din offentliga IP-adress eller företagets IP-intervall.
CycleCloud VM-undernät
| Namn | Prioritet | Källa | Tjänst | Protokoll | Portintervall |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | Anpassat | TCP | 22 |
| HTTPS | 110 | VirtualNetwork | Anpassat | TCP | 443 |
| HTTPS | 110 | VirtualNetwork | Anpassat | TCP | 9443 |
Beräkningsundernät
| Namn | Prioritet | Källa | Tjänst | Protokoll | Portintervall |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | Anpassat | TCP | 22 |
| RDP | 110 | VirtualNetwork | Anpassat | TCP | 3389 |
| Ganglia | 120 | VirtualNetwork | Anpassat | TCP | 8652 |
Utgående säkerhetsregler
I allmänhet förväntar sig den virtuella CycleCloud-datorn och beräkningskluster att kunna komma åt Internet för paketinstallation och Azure REST API-anrop.
Om utgående Internetåtkomst blockeras av en säkerhetsprincip följer du anvisningarna för Att köra i låsta nätverk och köra bakom en proxy för konfigurationsinformation.