Sanal ağda Azure Batch havuzu oluşturun
Azure Batch havuzu oluşturduğunuzda, havuzu belirttiğiniz bir Azure Sanal Ağ alt akında sağlayabilirsiniz. Bu makalede, bir Sanal Ağ Batch havuzunun nasıl ayarlanacağı açıklanmaktadır.
Neden Sanal Ağ kullanmalısınız?
Bir havuzdaki işlem düğümleri, ayrı bir Sanal Ağ gerekmeden çok örnekli görevleri çalıştırmak gibi birbiriyle iletişim kurabilir. Ancak, varsayılan olarak, bir havuzdaki düğümler lisans veya dosya sunucuları gibi havuzun dışında olan herhangi bir sanal makineyle (VM) iletişim kuramaz.
İşlem düğümlerinin diğer sanal makinelerle veya şirket içi ağ ile güvenli bir şekilde iletişim kurmasına izin vermek için havuzu bir Sanal Ağ alt ağında sağlayabilirsiniz.
Önkoşullar
Kimlik Doğrulaması. Azure Sanal Ağ kullanmak için Batch istemci API'sinin Microsoft Entra kimlik doğrulamasını kullanması gerekir. Daha fazla bilgi için bkz . Active Directory ile Batch hizmeti çözümlerinin kimliğini doğrulama.
Azure Sanal Ağ. Bir veya daha fazla alt ağa sahip bir Sanal Ağ önceden hazırlamak için Azure portalını, Azure PowerShell'i, Microsoft Azure CLI'yı (CLI) veya diğer yöntemleri kullanabilirsiniz.
Azure Resource Manager tabanlı Sanal Ağ oluşturmak için bkz. Sanal ağ oluşturma. Yeni dağıtımlar için Resource Manager tabanlı bir Sanal Ağ önerilir ve yalnızca Sanal Makine Yapılandırması kullanan havuzlarda desteklenir.
Klasik Sanal Ağ oluşturmak için bkz. Birden çok alt ağ ile sanal ağ (klasik) oluşturma. Klasik Sanal Ağ yalnızca Cloud Services Yapılandırması kullanan havuzlarda desteklenir.
Önemli
Azure Batch havuzu sanal ağı için 172.17.0.0/16 kullanmaktan kaçının. Docker köprü ağı için varsayılandır ve sanal ağa bağlanmak istediğiniz diğer ağlarla çakışabilir. Azure Batch havuzu için sanal ağ oluşturmak için ağ altyapınızın dikkatli bir şekilde planlanması gerekir.
Sanal ağ gereksinimleri
Sanal Ağ, havuzunuzu oluşturmak için kullandığınız Batch hesabıyla aynı abonelikte ve bölgede olmalıdır.
Havuz için belirtilen alt ağ, havuz için hedeflenen VM sayısını karşılamak için yeterli sayıda atanmamış IP adresine sahip olmalıdır ve havuzun
targetDedicatedNodes
vetargetLowPriorityNodes
özelliklerini barındırmak için yeterlidir. Alt ağda yeterli sayıda atanmamış IP adresi yoksa havuz işlem düğümlerini kısmen ayırır ve bir yeniden boyutlandırma hatası oluşur.Basitleştirilmiş İşlem Düğümü İletişimi kullanmıyorsanız, sanal ağınıza hizmet veren özel DNS sunucularını kullanarak Azure Depolama uç noktalarınızı çözümlemeniz gerekir. Özellikle
<account>.table.core.windows.net
,<account>.queue.core.windows.net
ve<account>.blob.core.windows.net
biçimindeki URL'ler çözümlenebilir.Aynı sanal ağda veya aynı alt ağda (yeterli adres alanına sahip olduğu sürece) birden çok havuz oluşturulabilir. Tek bir havuz birden çok sanal ağ veya alt ağ arasında bulunamaz.
Önemli
Toplu iş havuzları iki düğüm iletişim modundan birinde yapılandırılabilir. Klasik düğüm iletişim modu, Batch hizmetinin işlem düğümleriyle iletişimi başlattığı moddur. Basitleştirilmiş düğüm iletişim modu, işlem düğümlerinin Batch Hizmeti ile iletişimi başlattığı yerdir.
- Batch havuzları için kullanılacak herhangi bir sanal ağ veya eşlenmiş sanal ağ, yazılım tanımlı ağ veya işlem düğümlerinde yönlendirme ile çakışan IP adresi aralıklarına sahip olmamalıdır. Çakışmalar için yaygın bir kaynak, docker gibi bir kapsayıcı çalışma zamanı kullanılmasıdır. Docker, tanımlı alt ağ aralığına
172.17.0.0/16
sahip bir varsayılan ağ köprüsü oluşturur. Bu varsayılan IP adresi alanında bir sanal ağ içinde çalışan tüm hizmetler, SSH aracılığıyla uzaktan erişim gibi işlem düğümündeki hizmetlerle çakışacaktır.
Sanal Makine Yapılandırmasındaki Havuzlar
Gereksinimler:
- Desteklenen Sanal Ağ: Yalnızca Azure Resource Manager tabanlı sanal ağlar.
- Alt ağ kimliği: Batch API'lerini kullanarak alt ağı belirtirken alt ağın kaynak tanımlayıcısını kullanın. Alt ağ tanımlayıcısı şu biçimdedir:
/subscriptions/{subscription}/resourceGroups/{group}/providers/Microsoft.Network/virtualNetworks/{network}/subnets/{subnet}
- İzinler: Güvenlik ilkelerinizin veya Sanal Ağ aboneliğinde veya kaynak grubunda kilitlenip kilitlenmediğini, kullanıcının Sanal Ağ yönetme izinlerini kısıtlayıp kısıtlamadığını denetleyin.
- Ağ kaynakları: Batch, Sanal Ağ içeren kaynak grubunda otomatik olarak daha fazla ağ kaynağı oluşturur.
Önemli
Batch, her 100 ayrılmış veya düşük öncelikli düğüm için bir ağ güvenlik grubu (NSG), bir genel IP adresi ve bir yük dengeleyici oluşturur. Bu kaynaklar, aboneliğin kaynak kotalarıyla sınırlıdır. Büyük havuzlar için bu kaynaklardan birinde veya daha fazlasında kota artışı istemeniz gerekebilir.
Sanal Makine Yapılandırma havuzları için ağ güvenlik grupları: Batch varsayılanı
Batch, bir Batch havuzu içindeki her Sanal Makine Ölçek Kümesi dağıtımının ağ arabirimi düzeyinde bir ağ güvenlik grubu (NSG) oluşturur. İşlem düğümü iletişimi altında simplified
genel IP adresleri olmayan havuzlar için NSG'ler oluşturulmaz.
İşlem düğümleri ile Batch hizmeti arasında gerekli iletişimi sağlamak için bu NSG'ler şu şekilde yapılandırılır:
- BatchNodeManagement'a karşılık gelen Batch hizmeti IP adreslerinden 29876 ve 29877 numaralı bağlantı noktalarında gelen TCP trafiği.bölge hizmet etiketi. Bu kural yalnızca havuz iletişim modunda
classic
oluşturulur. - BatchNodeManagement'a karşılık gelen Batch hizmeti IP adreslerine 443 numaralı bağlantı noktası üzerinden giden trafik.bölge hizmet etiketi.
- Sanal ağa giden herhangi bir bağlantı noktasında giden trafik. Bu kural alt ağ düzeyinde NSG kuralları başına değiştirilebilir.
- İnternete giden herhangi bir bağlantı noktasında giden trafik. Bu kural alt ağ düzeyinde NSG kuralları başına değiştirilebilir.
Not
'den 2024-07-01
önceki bir API sürümü kullanılarak oluşturulan havuzlar için, 22 numaralı bağlantı noktasında (Linux düğümleri) veya 3389 numaralı bağlantı noktasında (Windows düğümleri) gelen TCP trafiği, varsayılan bağlantı noktalarında SSH veya RDP aracılığıyla uzaktan erişime izin verecek şekilde yapılandırılır.
Önemli
Batch tarafından yapılandırılmış NSG'lerde gelen veya giden kuralları değiştirir veya eklerseniz dikkatli olun. Belirtilen alt ağdaki işlem düğümleriyle iletişim bir NSG tarafından reddedilirse Batch hizmeti işlem düğümlerinin durumunu kullanılamaz olarak ayarlar. Ayrıca, batch tarafından oluşturulan hiçbir kaynağa kaynak kilidi uygulanmamalıdır, çünkü bu, havuzu silme gibi kullanıcı tarafından başlatılan eylemlerin bir sonucu olarak kaynakların temizlenmesini engelleyebilir.
Sanal Makine Yapılandırma havuzları için ağ güvenlik grupları: Alt ağ düzeyinde kuralları belirtme
Batch işlem düğümleri için alt ağ ile ilişkilendirilmiş bir NSG'niz varsa, bu NSG'yi aşağıdaki tablolarda gösterilen en az gelen ve giden güvenlik kurallarıyla yapılandırmanız gerekir.
Uyarı
Batch hizmeti IP adresleri zamanla değişebilir. Bu nedenle BatchNodeManagement kullanmanız gerekir.aşağıdaki tablolarda belirtilen NSG kuralları için bölge hizmet etiketi. NSG kurallarını belirli Batch hizmeti IP adresleriyle doldurmaktan kaçının.
Gelen güvenlik kuralları
Kaynak Hizmet Etiketi veya IP Adresleri | Hedef Bağlantı Noktaları | Protokol | Havuz İletişim Modu | Zorunlu |
---|---|---|---|---|
BatchNodeManagement.bölge hizmet etiketi | 29876-29877 | TCP | Klasik | Yes |
İşlem düğümlerine uzaktan erişmek için kaynak IP adresleri | 3389 (Windows), 22 (Linux) | TCP | Klasik veya Basitleştirilmiş | Hayır |
3389 (Windows) veya 22 (Linux) numaralı bağlantı noktasında gelen trafiği, yalnızca sırasıyla varsayılan RDP veya SSH bağlantı noktalarında dış kaynaklardan işlem düğümlerine uzaktan erişime izin vermeniz gerekiyorsa yapılandırın. Trafiğin alt ağ düzeyinde NSG kuralları başına engellenebileceği için Batch işlem düğümlerini içeren alt ağda belirli İleti Geçirme Arabirimi (MPI) çalışma zamanlarına sahip çok örnekli görevler için destek gerekiyorsa Linux'ta SSH trafiğine izin vermeniz gerekebilir. MPI trafiği genellikle özel IP adresi alanı üzerinden gerçekleştirilir, ancak MPI çalışma zamanları ile çalışma zamanı yapılandırması arasında farklılık gösterebilir. Havuz işlem düğümlerinin kullanılabilir olması için bu bağlantı noktalarında trafiğe izin vermek kesinlikle gerekli değildir. Ayrıca havuz uç noktalarını yapılandırarak bu bağlantı noktalarında varsayılan uzaktan erişimi devre dışı bırakabilirsiniz.
Giden güvenlik kuralları
Hedef Hizmet Etiketi | Hedef Bağlantı Noktaları | Protokol | Havuz İletişim Modu | Zorunlu |
---|---|---|---|---|
BatchNodeManagement.bölge hizmet etiketi | 443 | * | Basitleştirilmiş | Yes |
Depolama.bölge hizmet etiketi | 443 | TCP | Klasik | Yes |
BatchNodeManagement'a giden.İş Yöneticisi görevlerini kullanıyorsanız veya görevlerinizin Batch hizmetine geri iletişim kurması gerekiyorsa, havuz iletişim modunda bölge hizmet etiketi gereklidir classic
. BatchNodeManagement'a gidenler için.simplified
bölge havuzu iletişim modunda, Batch hizmeti şu anda yalnızca TCP protokolü kullanıyor, ancak gelecekte uyumluluk için UDP gerekebilir. İletişim modunu kullanan simplified
ve düğüm yönetimi özel uç noktası olan genel IP adresleri olmayan havuzlar için NSG gerekmez. BatchNodeManagement için giden güvenlik kuralları hakkında daha fazla bilgi için.bölge hizmet etiketi, bkz . Basitleştirilmiş işlem düğümü iletişimi kullanma.
Azure portalında Sanal Ağ ile havuz oluşturma
Sanal Ağ oluşturduktan ve buna bir alt ağ atadıktan sonra, bu Sanal Ağ ile bir Batch havuzu oluşturabilirsiniz. Azure portalından havuz oluşturmak için şu adımları izleyin:
Azure portalının üst kısmındaki arama çubuğunda Batch hesapları'nı arayın ve seçin. Batch hesabınızı seçin. Bu hesap, kullanmak istediğiniz Sanal Ağ içeren kaynak grubuyla aynı abonelikte ve bölgede olmalıdır.
Sol gezinti bölmesinden Havuzlar'ı seçin.
Havuzlar penceresinde Ekle'yi seçin.
Havuz Ekle sayfasında seçenekleri belirleyin ve havuzunuzun bilgilerini girin. Batch hesabınız için havuz oluşturma hakkında daha fazla bilgi için bkz . İşlem düğümleri havuzu oluşturma. Düğüm boyutu, Hedef ayrılmış düğümler, Hedef Nokta/düşük öncelikli düğümler ve istenen isteğe bağlı ayarlar.
Sanal Ağ'da kullanmak istediğiniz sanal ağı ve alt ağı seçin.
Havuzunuzu oluşturmak için Tamam'ı seçin.
Önemli
Havuz tarafından kullanılan bir alt ağı silmeye çalışırsanız bir hata iletisi alırsınız. Alt ağı kullanan tüm havuzların, bu alt ağı silmeden önce silinmesi gerekir.
Zorlamalı tünel oluşturma için kullanıcı tarafından belirlenmiş yollar
Kuruluşunuzda, alt ağdan İnternet'e bağlı trafiği denetleme ve günlüğe kaydetme için şirket içi konumunuza yeniden yönlendirme (zorlama) gereksinimleriniz olabilir. Ayrıca, Sanal Ağ alt ağlar için zorlamalı tünel özelliğini etkinleştirmiş olabilirsiniz.
Havuzunuzdaki düğümlerin zorlamalı tünel etkinleştirilmiş bir Sanal Ağ çalıştığından emin olmak için, bu alt ağ için aşağıdaki kullanıcı tanımlı yolları (UDR) eklemeniz gerekir.
Klasik iletişim modu havuzları için:
Batch hizmetinin görevleri zamanlamak için düğümlerle iletişim kurması gerekir. Bu iletişimi etkinleştirmek için BatchNodeManagement öğesine karşılık gelen bir UDR ekleyin.batch hesabınızın bulunduğu bölgede bölge hizmet etiketi . Sonraki atlama türünü İnternet olarak ayarlayın.
Şirket içi ağınızın hedef bağlantı noktası 443'te (özellikle ,
*.queue.core.windows.net
ve*.blob.core.windows.net
biçimindeki*.table.core.windows.net
URL'ler) Azure Depolama'ya giden TCP trafiğini engellemediğinden emin olun.
Düğüm yönetimi özel uç noktası kullanmadan basitleştirilmiş iletişim modu havuzları için:
- Şirket içi ağınızın Azure Batch BatchNodeManagement'a giden TCP/UDP trafiğini engellemediğinden emin olun.hedef bağlantı noktası 443'te bölge hizmet etiketi. Şu anda yalnızca TCP protokolü kullanılmaktadır, ancak gelecekteki uyumluluk için UDP gerekebilir.
Tüm havuzlar için:
- Sanal dosya bağlamaları kullanıyorsanız ağ gereksinimlerini gözden geçirin ve gerekli trafiğin engellenmediğinden emin olun.
Uyarı
Batch hizmeti IP adresleri zamanla değişebilir. Batch hizmeti IP adresi değişiklikleri nedeniyle kesintileri önlemek için IP adreslerini doğrudan belirtmeyin. Bunun yerine BatchNodeManagement kullanın.bölge hizmet etiketi.