你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

财务 HPC Azure 标识和访问管理

本文基于 Azure 登陆区域文章 Azure 登陆区域设计区域（用于标识和访问管理）中定义的注意事项和建议。按照本文中的指南，可帮助你使用标识和访问管理设计注意事项和建议在 Microsoft Azure 上为金融行业部署高性能计算（HPC）应用程序。

设计注意事项

部署 HPC 应用程序时，请记住以下设计注意事项：

确定团队的各个成员所需的 Azure 资源管理。请考虑在非生产环境中为这些团队成员提供提升的 Azure 资源管理访问权限。
- 例如，为他们提供虚拟机参与者角色。
- 还可以为团队成员提供部分提升的管理访问权限，例如生产环境中的部分虚拟机参与者角色。这两个选项可在职责分离和运营效率之间实现良好的平衡。

查看需要团队执行的 Azure 管理和活动。考虑 Azure 上的 HPC。确定组织中可能的最佳责任分配。

下面是用于管理和管理的常见 Azure 活动。

Azure 资源	REST 资源提供程序	活动
虚拟机 (VM)	Microsoft.Compute/virtualMachines	启动、停止、重启、解除分配、部署、重新部署、更改和调整 VM 大小。管理扩展、可用性集和邻近放置组。
VM	Microsoft.Compute/disks	读取和写入磁盘。
存储	Microsoft.Storage	读取和更改存储帐户，例如启动诊断存储帐户。
存储	Microsoft.NetApp	读取和更改 NetApp 容量池和卷。
存储	Microsoft.NetApp	采取Azure NetApp 文档快照。
存储	Microsoft.NetApp	使用Azure NetApp 文档跨区域副本 (replica)。
网络	Microsoft.Network/networkInterfaces	读取、创建和更改网络接口。
网络	Microsoft.Network/loadBalancers	读取、创建和更改负载均衡器。
网络	Microsoft.Network/networkSecurityGroups	读取网络安全组。
网络	Microsoft.Network/azureFirewalls	读取防火墙。
网络	Microsoft.Network/virtualNetworks	读取、创建和更改网络接口。如果与 VM 的资源组不同，请考虑虚拟网络资源组和相关访问所需的相关访问权限。

如果使用 Azure CycleCloud，可通过三种方法进行身份验证：具有加密的内置数据库、Microsoft Entra ID 或轻型目录访问协议（LDAP）。有关详细信息，请参阅用户身份验证。有关 Azure CycleCloud 中的服务主体的详细信息，请参阅使用服务主体。
如果使用 Batch，可以通过两种不同的方法使用 Microsoft Entra ID 进行身份验证：集成身份验证或服务原则。有关如何使用这些不同方法的详细信息，请参阅 Azure Batch 身份验证。如果使用用户订阅模式而不是 Batch 服务模式，请授予对 Batch 的访问权限，以便它可以访问订阅。有关详细信息，请参阅允许 Batch 访问订阅。
如果要将本地功能扩展到混合环境，可以使用 Azure 中托管的只读域控制器通过 Active Directory 进行身份验证。此方法将跨链接的流量降到最低。此集成为用户使用其现有凭据登录到连接到托管域的服务和应用程序提供了一种方法。还可以使用现有组和用户帐户来帮助保护对资源的访问。这些功能提供更流畅的本地资源迁移到 Azure。

以下文章为云采用过程的各个阶段提供了指导。这些资源可帮助你成功地为云采用财务部门 HPC 环境。