你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure HPC 在能源方面的标识和访问管理
本文中的指南可帮助你检查与高性能计算(HPC)标识和访问管理相关的设计注意事项和建议。 此方案特定于为能源行业部署 HPC 应用程序。 有关设计注意事项和建议的详细信息,请参阅 用于标识和访问管理的 Azure 登陆区域设计区域。
Microsoft Entra 域服务(Microsoft Entra 域服务)可以使用托管域服务 ,例如域加入、组策略和对旧式身份验证协议(例如轻型目录访问协议(LDAP)和 Kerberos/NTLM 身份验证的访问。 Microsoft Entra 域服务与现有的 Microsoft Entra 租户集成,以便用户可以使用其 Microsoft Entra 凭据登录到连接到托管域的服务和应用程序。 还可以使用现有组和用户帐户来保护对资源的访问。 这些功能为 Azure 提供更流畅的本地资源直接迁移,尤其是对于混合环境。
有关详细信息,请参阅 平台访问 和 Azure 标识和登陆区域访问的设计建议。
设计注意事项
HPC 部署使用 Azure 登陆区域基础结构设置来满足安全标识和访问管理需求。
石油和天然气行业工作负荷中的两种常见部署类型仅限云和混合云模型。 虽然在云中拥有所有计算、存储和可视化资源不太复杂,但客户有时会使用混合模型,因为地震和水库模拟 HPC 工作负荷存在多个业务约束。
仅限云的模型和混合云模型可能都有自己的唯一标识和访问需求,这些需求会影响要采用哪种类型的 Active Directory 解决方案。
仅限云部署模型中的工作负荷使用 Microsoft Entra ID 进行 Azure Service Fabric 身份验证,而 HPC 混合云模型使用 Microsoft Entra 混合标识解决方案 进行身份验证。 无论部署类型如何,Linux 客户端和符合 POSIX 的存储解决方案都需要通过 Microsoft Entra 域服务提供旧版 Active Directory 支持。
典型的 HPC 设置包括用于提交作业、作业计划程序或业务流程协调程序、计算群集和共享存储的前端。 可以从本地和/或云中提交作业。 用户和可视化设备的标识和访问管理注意事项可能因企业标准而异。
查看团队所需的 Azure 管理和活动。 考虑 Azure 资源上的 HPC 需求。 确定组织中可能的最佳责任分配。
设计建议
根据所选的 HPC 计算资源业务流程协调程序,支持不同类型的身份验证方法:
- Azure CycleCloud 提供三种身份验证方法:具有加密、Active Directory 或 LDAP 的内置数据库。
- Azure Batch 支持两种身份验证方法:共享密钥和 Microsoft Entra ID。
- Microsoft HPC Pack:当前必须将所有 HPC Pack 节点加入 Active Directory 域。 如果在虚拟网络中部署 HPC Pack 群集,该虚拟网络具有与企业网络的站点到站点 VPN 或 ExpressRoute 连接,则通常存在现有的 Active Directory 域。 如果虚拟网络中还没有 Active Directory 域,可以选择通过将头节点提升为域控制器来创建一个。
后续步骤
以下文章提供了有关能源 HPC 环境云采用旅程中特定步骤的指导。