你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
配置 Azure 订阅
若要运行 Azure CycleCloud,需要有效的 Azure 订阅和虚拟网络。
通常,Azure 租户和订阅创建和配置决策是在 Azure CycleCloud 文档范围之外的业务决策。 但是,由于 HPC 和大型计算应用程序通常占用大量资源,因此有必要创建专用订阅来跟踪计费、应用使用限制并隔离资源和 API 使用情况。 有关设计 Azure 租户和订阅的详细信息,请参阅 Azure 订阅管理。
配置虚拟网络
需要选择现有的 Azure 虚拟网络和子网,或创建一个新的虚拟网络,在其中运行 CycleCloud VM 和将由 CycleCloud 管理的计算群集。
如果尚未创建虚拟网络,则可能需要考虑从提供的 CycleCloud ARM 模板部署开始。 CycleCloud ARM 模板在部署时为 CycleCloud 和计算群集创建新的虚拟网络。 或者,可以按照这些说明创建新的虚拟网络。
接下来,如果尚未为虚拟网络配置 Express Route 或 VPN,则可以通过公共 Internet 连接到虚拟网络,但强烈建议你配置VPN 网关。
配置子网和网络安全组
由于 CycleCloud 通常具有与计算群集不同的网络安全要求和访问策略,因此最好在与群集不同的 Azure 子网中运行 Azure CycleCloud。
建议的最佳做法是至少使用两个子网-一个子网用于 CycleCloud VM 和具有相同访问策略的任何其他 VM,以及计算群集的其他子网。 但是,请记住,对于大型群集,子网的 IP 范围可能成为限制因素。 因此,一般情况下,CycleCloud 子网应使用较小的 CIDR 范围,计算子网应很大。
按照此处的说明在虚拟网络中创建一个或多个子网。
使用多个子网进行计算
CycleCloud 群集可配置为跨多个子网运行节点和节点数组,前提是所有 VM 都可以在群集中通信,并且 CycleCloud (可能通过 返回代理) 。 例如,启动子网中的计划程序节点或提交者节点通常很有用,其安全规则不同于执行节点。 CycleCloud 中的默认群集类型假定整个群集的单个子网,但可以使用节点模板中的属性为每个节点或节点数组 SubnetId 配置子网。
但是,应用于 CycleCloud 群集的默认基于主机文件的主机名解析默认只会为节点的子网生成主机文件。 因此,在创建跨多个子网的群集时,还必须为群集自定义主机名解析。
支持多个计算子网需要 2 个基本群集模板更改:
- 在
SubnetId群集的默认子网中设置每个节点或节点数组的属性。 - 通过以下任一方式为所有子网配置主机名解析:
- 使用 Azure DNS 区域并禁用基于主机文件的默认解析
- 或者,将
CycleCloud.hosts.standalone_dns.subnets属性设置为 VNet 的 CIDR 范围,或每个子网的 CIDR 范围的逗号分隔列表。 有关详细信息,请参阅 节点配置参考 。
CycleCloud 子网的网络安全组设置
为安全配置 Azure 虚拟网络是一个广泛的主题,远远超出了本文档的范围。
CycleCloud 和 CycleCloud 群集可能在非常锁定的环境中运行。 有关配置详细信息,请参阅“在锁定网络中运行”和“在代理后面运行”。
但是,对于限制较少的网络,有一些一般准则。 首先,CycleCloud GUI 用户需要通过 HTTPS 访问 CycleCloud VM,管理员可能需要 SSH 访问权限。 群集用户通常要求 SSH 访问计算群集中的提交节点,以及可能具有其他访问权限(例如适用于 Windows 群集的 RDP)。 最后一个常规规则是限制对最低要求的访问权限。
若要为上面创建的每个子网创建新的网络安全组,请按照指南 创建网络安全组。
入站安全规则
重要
以下规则假定虚拟网络配置为使用 Express Route 或 VPN 进行专用网络访问。 如果通过公共 Internet 运行,则源应更改为公共 IP 地址或公司 IP 范围。
CycleCloud VM 子网
| 名称 | 优先级 | 源 | 服务 | 协议 | 端口范围 |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | 自定义 | TCP | 22 |
| HTTPS | 110 | VirtualNetwork | 自定义 | TCP | 443 |
| HTTPS | 110 | VirtualNetwork | 自定义 | TCP | 9443 |
计算子网
| 名称 | 优先级 | 源 | 服务 | 协议 | 端口范围 |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | 自定义 | TCP | 22 |
| RDP | 110 | VirtualNetwork | 自定义 | TCP | 3389 |
| 节 | 120 | VirtualNetwork | 自定义 | TCP | 8652 |
出站安全规则
通常,CycleCloud VM 和计算群集希望能够访问 Internet 进行包安装和 Azure REST API 调用。
如果出站 Internet 访问被安全策略阻止,请按照“ 锁定网络中运行 ”和 “在代理后面运行” 的说明进行操作以获取配置详细信息。