在 Windows HPC 群集中使用 Azure 节点的安全注意事项
本主题介绍在已添加到 Windows HPC 群集(Azure“突发”方案)的 Azure 辅助角色实例上部署和运行作业的安全注意事项。
有关 Azure 平台安全性的背景信息,请参阅 Azure 安全概述。
用户帐户
用于将作业和任务提交到本地 HPC 群集的已加入域的用户帐户不用于在 Azure 节点上运行作业和任务。 在 Azure 节点上运行的每个作业都会创建本地用户帐户和密码。 这有助于确保 Azure 中的作业进程分离。
注意
群集用户的域凭据更改或过期不会使该用户在该用户排队的任何作业在 Azure 节点上失败,即使排队作业在本地节点上会失败。
防火墙端口和协议
用于部署 Azure 节点和运行作业的防火墙端口和协议汇总在用于与 Azure 节点通信的防火墙端口
注意
从 HPC Pack 2008 R2 SP3 开始,端口 443 用于所有 Azure 节点部署和作业计划操作。 与早期版本的 HPC Pack 相比,这简化了使用 Azure 节点所需的端口集。
证书
X.509 v3 证书用于帮助保护本地群集节点与 Azure 节点之间的通信。 它们可以由另一个受信任的证书签名,也可以是自签名的。 若要将 Azure 节点部署到 Azure 托管服务并对其运行作业,必须配置管理证书和服务证书。 管理证书通常需要手动配置。 服务证书由 HPC Pack 自动配置。
管理证书
必须在 Azure 订阅、头节点上以及用于连接到 Azure 云服务的任何客户端计算机上配置 Azure 管理证书。 连接到 Azure 订阅的客户端具有私钥。 有关配置管理证书的过程,请参阅 选项来配置 Azure 突发部署的 Azure 管理证书。
管理证书用于帮助保护操作,包括以下内容:
创建可用于部署 Azure 节点的 Azure 节点模板
预配 Azure 节点
将文件上传到 Azure 存储(例如,使用 hpcpack 命令)
谨慎
自签名管理证书可用于测试目的或概念证明部署。 但是,不建议用于生产部署。
服务证书
预配 Azure 节点时,以下两个公钥服务证书会自动从 HPC Pack 上传到 Azure 云服务。 它们用于允许在本地头节点与在每个部署中自动预配的 Azure 代理节点之间进行相互身份验证。
Microsoft HPC Azure 服务
Microsoft HPC Azure 客户端
这些证书由 HPC Pack 配置,如下所示:
本地头节点使用 Microsoft HPC Azure 客户端证书(具有私钥)和 Microsoft HPC Azure 服务证书进行配置
Azure 中的代理节点使用 Microsoft HPC Azure 服务证书(具有私钥)和 Microsoft HPC Azure 客户端证书进行配置
存储
Azure 存储帐户上的操作需要帐户密钥,该密钥是在创建帐户时自动配置的。 HPC Pack 会自动检索此密钥,以在预配 Azure 节点期间执行存储操作。
用于在本地和 Azure 组件交互的安全模型
下图详细介绍了本地 HPC Pack 组件的交互以及用于运行群集作业的 Azure 中的组件。 这些数字指示用于 HPC Pack(从 HPC Pack 2008 R2 和 SP3 开始)以及 HPC Pack 2008 R2 和 SP1 或 SP2 中的通信的端口、协议和终结点。 存在的本地组件取决于 HPC 群集的配置。
使用至少 SP3 或更高版本的 HPC Pack 2008 R2 HPC Pack
使用 HPC Server 2008 R2 SP3 
使用 SP1 或 SP2 HPC Pack 2008 R2
使用 HPC Server 2008 R2 SP2
其他参考
使用 Microsoft HPC Pack
突发到 Azure 辅助角色实例