本文討論使用 Azure CycleCloud 更安全且更有效率的最佳做法和實用秘訣。 您可以使用此處所列的最佳做法作為使用 Azure CycleCloud 時的快速參考。
安裝
CycleCloud 的預設安裝會使用埠 8080 上執行的無隔離 HTTP。 我們強烈建議為所有安裝設定 SSL,以防止對 CycleCloud 安裝進行未加密的存取。 CycleCloud 不應該從因特網存取,但如有需要,只公開埠 443。 如果您想要限制直接因特網存取,請為所有因特網系結的 HTTP 和 HTTPS 流量設定 Proxy。 如需停用未加密通訊和 CycleCloud HTTP 存取的詳細資訊,請參閱 SSL 設定。
如果您也想要限制輸出因特網存取,請將 CycleCloud 設定為對所有因特網系結 HTTP 和 HTTPS 流量使用 Proxy。 如需詳細資訊,請參閱 在鎖定環境中運營。
驗證和授權
Azure CycleCloud 提供四種驗證方法:具有加密、Active Directory、LDAP 或 Entra 標識符的內建資料庫。 如果帳戶在 60 秒內發生五個授權失敗,就會自動鎖定五分鐘。 系統管理員可以手動解除鎖定帳戶,而系統會在五分鐘后自動解除鎖定帳戶。
在只有系統管理員群組存取權的磁碟驅動器上安裝 CycleCloud。 此組態防止非管理員使用者存取未加密數據。 請勿在此群組中包含非系統管理員使用者。 在理想情況下,將 CycleCloud 安裝的存取限制為僅限系統管理員。
請勿跨信任界限共用 CycleCloud 安裝。 單一 CycleCloud 安裝中的 RBAC 控制在真正的多租戶環境中可能不夠。 針對每個擁有關鍵數據的租戶,使用個別且隔離的 CycleCloud 安裝。
網路和秘密管理
使用網路安全性群組 (NSG) 鎖定您用於啟動叢集的虛擬網路。 NSG 會控管特定埠的存取權。 您可以設定和控制 Azure 虛擬網路內 Azure 資源的輸入和輸出網路流量。 網路安全組包含安全性規則,可允許或拒絕來自數種 Azure 資源的輸入網路流量或輸出網路流量。
我們建議使用至少兩個子網。 針對 CycleCloud 安裝 VM 和具有相同存取原則的任何其他 VM 使用一個子網。 針對計算叢集使用其他子網。 對於大型叢集,子網的IP範圍可能會成為限制因素。 一般而言,CycleCloud 子網應使用較小的 CIDR(無類別 Inter-Domain 路由)範圍,而計算子網則應使用較大的範圍。
CycleCloud 使用 Azure Resource Manager 來管理叢集。 若要呼叫 Azure Resource Manager,請在 CycleCloud VM 上設定 受控識別 。 CycleCloud 需要特定許可權。 使用系統指派或使用者指派的受控識別。 系統指派的受控識別會在 Azure AD 中建立與該服務實例生命週期系結的身分識別。 當您刪除該資源時,會自動刪除受控識別。 使用者指派的受控識別可以指派給一或多個 Azure 服務的實例。 您可以個別管理受控識別。
受保護的鎖定環境
某些安全生產環境會鎖定環境,並具有有限的因特網存取。 由於 Azure CycleCloud 需要存取 Azure 記憶體帳戶和其他支援的 Azure 服務,因此提供私人存取的建議方式是透過 虛擬網路服務端點 或 Private Link。 啟用服務端點或私人連結可保護您的 Azure 服務資源至虛擬網路。 服務端點藉由在虛擬網路中啟用私人IP位址來連線到 Azure 服務的端點,以增加安全性。
CycleCloud 應用程式和叢集節點可以在具有有限因特網存取的環境中運作,不過最少的 TCP 連接埠數目必須保持開啟狀態。 若要在不設定 Azure 防火牆或 HTTPS Proxy 的情況下限制 CycleCloud VM 的輸出因特網存取,請為 CycleCloud 虛擬機的子網設定嚴格的 Azure 網路安全組。 執行此設定最簡單的方式是使用子網或 VM 層級網路安全組中 的服務卷標 ,以允許所需的輸出 Azure 存取。 當您建立安全性規則時,請使用服務標籤取代特定IP位址。 您可以允許或拒絕對應服務的流量。