Použití zjednodušené komunikace výpočetních uzlů
Fond Služby Azure Batch obsahuje jeden nebo více výpočetních uzlů, které provádějí úlohy určené uživatelem ve formě úkolů služby Batch. Aby bylo možné povolit funkce služby Batch a správu infrastruktury fondu Batch, musí výpočetní uzly komunikovat se službou Azure Batch.
Batch podporuje dva typy komunikačních režimů:
- Classic: Služba Batch zahájí komunikaci s výpočetními uzly.
- Zjednodušené: Výpočetní uzly inicializuje komunikaci se službou Batch.
Tento článek popisuje zjednodušený komunikační režim a související požadavky na konfiguraci sítě.
Tip
Informace v tomto dokumentu týkající se síťových prostředků a pravidel, jako jsou skupiny zabezpečení sítě, se nevztahují na fondy služby Batch bez veřejných IP adres , které používají privátní koncový bod správy uzlů bez odchozího přístupu k internetu.
Upozorňující
Klasický komunikační režim výpočetního uzlu bude vyřazen 31. března 2026 a nahrazen zjednodušeným komunikačním režimem popsaným v tomto dokumentu. Další informace najdete v průvodci migrací do režimu komunikace.
Podporované oblasti
Zjednodušená komunikace výpočetních uzlů ve službě Azure Batch je aktuálně dostupná pro následující oblasti:
- Veřejné: všechny veřejné oblasti, ve kterých je služba Batch k dispozici s výjimkou oblasti Indie – západ.
- Vláda: USGov Arizona, USGov Virginia, USGov Texas.
- Čína: všechny oblasti Číny, kde je služba Batch přítomna s výjimkou Číny – sever 1 a Čína – východ 1.
Rozdíly mezi klasickými a zjednodušenými režimy
Zjednodušený komunikační režim výpočetního uzlu zjednodušuje způsob, jakým se infrastruktura fondu Batch spravuje jménem uživatelů. Tento komunikační režim snižuje složitost a rozsah příchozích a odchozích síťových připojení vyžadovaných v operacích směrného plánu.
Fondy Batch s klasickým komunikačním režimem vyžadují následující síťová pravidla ve skupinách zabezpečení sítě (NSG), trasách definovaných uživatelem a branách firewall při vytváření fondu ve virtuální síti:
Příchozí:
- Cílové porty
29876
,29877
přes TCP zBatchNodeManagement.<region>
- Cílové porty
Odchozí:
- Cílový port přes TCP
443
doStorage.<region>
- Cílový port přes tcp
443
proBatchNodeManagement.<region>
určité úlohy, které vyžadují komunikaci zpět do služby Batch, jako jsou úlohy Správce úloh
- Cílový port přes TCP
Fondy Batch se zjednodušeným komunikačním režimem potřebují jenom odchozí přístup ke koncovému bodu správy uzlů účtu Batch (viz veřejné koncové body účtu Batch). Vyžadují následující síťová pravidla ve skupině zabezpečení sítě, trasy definované uživatelem a branách firewall:
Příchozí:
- Nic
Odchozí:
- Cílový port
443
přes ANY doBatchNodeManagement.<region>
- Cílový port
Odchozí požadavky na účet Batch je možné zjistit pomocí rozhraní API koncových bodů závislostí sítě pro výpis odchozích síťových závislostí. Toto rozhraní API hlásí základní sadu závislostí v závislosti na režimu komunikace fondu účtů Batch. Úlohy specifické pro uživatele můžou potřebovat další pravidla, jako je otevření provozu do jiných prostředků Azure (například Azure Storage pro balíčky aplikací, Azure Container Registry) nebo koncové body, jako je úložiště balíčků Microsoftu pro funkce připojení virtuálního systému souborů.
Výhody zjednodušeného režimu
Uživatelé služby Azure Batch využívající zjednodušený režim využívají zjednodušení síťových připojení a pravidel. Zjednodušená komunikace výpočetních uzlů pomáhá snižovat rizika zabezpečení tím, že odstraňuje požadavek na otevření portů pro příchozí komunikaci z internetu. Pro základní operaci se vyžaduje pouze jedno odchozí pravidlo pro dobře známou značku služby.
Zjednodušený režim také poskytuje jemněji odstupňovanou kontrolu exfiltrace dat nad klasickým komunikačním režimem, protože odchozí komunikace Storage.<region>
už není nutná. V případě potřeby můžete explicitně uzamknout odchozí komunikaci se službou Azure Storage. Můžete například nastavit rozsah odchozích komunikačních pravidel na Azure Storage, abyste povolili účty úložiště AppPackage nebo jiné účty úložiště pro soubory prostředků nebo výstupní soubory.
I když vaše úlohy nejsou aktuálně ovlivněné změnami (jak je popsáno v následující části), doporučujeme přejít do zjednodušeného režimu. Budoucí vylepšení služby Batch můžou být funkční pouze se zjednodušenou komunikací výpočetních uzlů.
Potenciální dopad klasického a zjednodušeného režimu komunikace
V mnoha případech zjednodušený komunikační režim nemá přímý vliv na úlohy batch. Zjednodušená komunikace výpočetního uzlu má ale vliv na následující případy:
- Uživatelé, kteří zadávají virtuální síť jako součást vytváření fondu služby Batch, provádějí jednu nebo obě následující akce:
- Explicitně zakažte pravidla odchozího síťového provozu, která nejsou kompatibilní se zjednodušenou komunikací výpočetního uzlu.
- Používejte trasy definované uživatelem a pravidla brány firewall, která nejsou kompatibilní se zjednodušenou komunikací výpočetních uzlů.
- Uživatelé, kteří povolují softwarové brány firewall na výpočetních uzlech a explicitně zakazují odchozí provoz v pravidlech brány firewall softwaru, která nejsou kompatibilní se zjednodušenou komunikací výpočetních uzlů.
Pokud se na vás některý z těchto případů vztahuje, postupujte podle kroků uvedených v další části, abyste zajistili, že vaše úlohy Batch budou fungovat i ve zjednodušeném režimu. Důrazně doporučujeme nejprve otestovat a ověřit všechny změny ve vývojovém a testovacím prostředí, než změny nasdílíte do produkčního prostředí.
Požadované změny konfigurace sítě pro zjednodušený režim
K migraci do nového komunikačního režimu se vyžadují následující kroky:
- Zajistěte, aby konfigurace sítě byla použitelná pro fondy služby Batch (skupiny zabezpečení sítě, trasy definované uživatelem, brány firewall atd.), včetně sjednocení režimů, tj. kombinovaných síťových pravidel klasických i zjednodušených režimů. Minimálně by tato pravidla byla:
- Příchozí:
- Cílové porty
29876
,29877
přes TCP zBatchNodeManagement.<region>
- Cílové porty
- Odchozí:
- Cílový port přes TCP
443
doStorage.<region>
- Cílový port
443
přes ANY doBatchNodeManagement.<region>
- Cílový port přes TCP
- Příchozí:
- Pokud máte v pracovním postupu nějaké jiné scénáře příchozích nebo odchozích přenosů, musíte zajistit, aby vaše pravidla odrážela tyto požadavky.
- Pomocí jedné z následujících možností aktualizujte úlohy tak, aby používaly nový komunikační režim.
- Vytvořte nové fondy se
targetNodeCommunicationMode
sadou pro zjednodušení a ověřte, že nové fondy fungují správně. Migrujte úlohu do nových fondů a odstraňte všechny dřívější fondy. - Aktualizujte existující vlastnost fondů
targetNodeCommunicationMode
tak, aby se zjednodušila a pak změnila velikost všech existujících fondů na nula uzlů a škáluje se zpět.
- Vytvořte nové fondy se
- Pomocí rozhraní API pro získání fondu, rozhraní API seznamu fondů nebo webu Azure Portal ověřte
currentNodeCommunicationMode
, že je nastavený na požadovaný komunikační režim zjednodušeného režimu. - Upravte veškerou platnou konfiguraci sítě na zjednodušená komunikační pravidla minimálně (mějte na paměti všechna další pravidla potřebná výše):
- Příchozí:
- Nic
- Odchozí:
- Cílový port
443
přes ANY doBatchNodeManagement.<region>
- Cílový port
- Příchozí:
Pokud budete postupovat podle těchto kroků, ale později chcete přepnout zpět na klasickou komunikaci výpočetních uzlů, musíte provést následující akce:
- Vraťte všechny konfigurace sítě provozované výhradně ve zjednodušeném komunikačním režimu výpočetního uzlu.
- Vytvořte nové fondy nebo aktualizujte vlastnost existující fondy
targetNodeCommunicationMode
nastavenou na klasický. - Migrujte úlohu do těchto fondů nebo změňte velikost existujících fondů a proveďte horizontální navýšení kapacity (viz krok 3 výše).
- V kroku 4 výše ověřte, že vaše fondy fungují v klasickém komunikačním režimu.
- Volitelně můžete obnovit konfiguraci sítě.
Určení komunikačního režimu ve fondu služby Batch
Vlastnost targetNodeCommunicationMode ve fondech Batch umožňuje označit předvolbu služby Batch, pro kterou má být režim komunikace použit mezi službou Batch a výpočetními uzly. V této vlastnosti jsou k dispozici následující možnosti:
- Classic: Vytvoří fond pomocí klasické komunikace výpočetního uzlu.
- Zjednodušené: Vytvoří fond pomocí zjednodušené komunikace výpočetního uzlu.
- Výchozí nastavení: Umožňuje službě Batch vybrat odpovídající komunikační režim výpočetního uzlu. U fondů bez virtuální sítě může být fond vytvořen v klasickém nebo zjednodušeném režimu. U fondů s virtuální sítí se fond vždy nastaví jako klasický až do 30. září 2024. Další informace najdete v průvodci migrací do režimu komunikace s klasickým výpočetním uzlem.
Tip
Určení komunikačního režimu cílového uzlu označuje předvolbu služby Batch, ale nezaručuje, že bude dodržena. Určité konfigurace ve fondu můžou službě Batch bránit v dodržování zadaného komunikačního režimu cílového uzlu, například interakce bez veřejné IP adresy, virtuálních sítí a typu konfigurace fondu.
Tady jsou příklady, jak vytvořit fond Batch se zjednodušenou komunikací výpočetních uzlů.
portál Azure
Nejdřív se přihlaste se k webu Azure Portal. Pak přejděte do okna Fondy vašeho účtu Batch a vyberte tlačítko Přidat . V části VOLITELNÉ NASTAVENÍ můžete vybrat možnost Zjednodušená jako možnost z režimu komunikace uzlu, jak je znázorněno na obrázku:
Pokud chcete aktualizovat existující fond na zjednodušený komunikační režim, přejděte do okna Fondy vašeho účtu Batch a vyberte fond, který chcete aktualizovat. V levém navigačním panelu vyberte režim komunikace uzlu. Tam můžete vybrat nový komunikační režim cílového uzlu, jak je znázorněno níže. Po výběru příslušného komunikačního režimu vyberte tlačítko Uložit , které chcete aktualizovat. Nejprve je potřeba vertikálně snížit kapacitu fondu na nula uzlů a pak se vrátit zpět, aby se změna projevila, pokud jsou podmínky povolené.
Pokud chcete zobrazit aktuální komunikační režim uzlu pro fond, přejděte do okna Fondy vašeho účtu Batch a vyberte fond, který chcete zobrazit. V levém navigačním panelu vyberte Vlastnosti a v části Obecné se zobrazí komunikační režim uzlu fondu.
REST API
Tento příklad ukazuje, jak pomocí rozhraní REST API služby Batch vytvořit fond se zjednodušenou komunikací výpočetních uzlů.
POST {batchURL}/pools?api-version=2022-10-01.16.0
client-request-id: 00000000-0000-0000-0000-000000000000
Text požadavku
"pool": {
"id": "pool-simplified",
"vmSize": "standard_d2s_v3",
"virtualMachineConfiguration": {
"imageReference": {
"publisher": "Canonical",
"offer": "0001-com-ubuntu-server-jammy",
"sku": "22_04-lts"
},
"nodeAgentSKUId": "batch.node.ubuntu 22.04"
},
"resizeTimeout": "PT15M",
"targetDedicatedNodes": 2,
"targetLowPriorityNodes": 0,
"taskSlotsPerNode": 1,
"taskSchedulingPolicy": {
"nodeFillType": "spread"
},
"enableAutoScale": false,
"enableInterNodeCommunication": false,
"targetNodeCommunicationMode": "simplified"
}
Omezení
Níže jsou známá omezení zjednodušeného komunikačního režimu:
- Omezená podpora migrace pro dříve vytvořené fondy bez veřejných IP adres Tyto fondy je možné migrovat pouze v případě, že jsou vytvořené ve virtuální síti, jinak nebudou používat zjednodušenou komunikaci výpočetních uzlů, i když jsou ve fondu zadané. Další informace najdete v průvodci migrací.
- Fondy konfigurace cloudových služeb se v současné době nepodporují pro zjednodušenou komunikaci výpočetních uzlů a jsou zastaralé. Určení komunikačního režimu pro tyto typy fondů není dodrženo a vždy vede ke klasickému komunikačnímu režimu. Pro fondy batch doporučujeme použít konfiguraci virtuálního počítače. Další informace najdete v tématu Migrace konfigurace fondu Batch z Cloud Services na virtuální počítač.
Další kroky
- Naučte se používat privátní koncové body s účty Batch.
- Přečtěte si další informace o fondech ve virtuálních sítích.
- Zjistěte, jak vytvořit fond s určenými veřejnými IP adresami.
- Zjistěte, jak vytvořit fond bez veřejných IP adres.
- Zjistěte, jak nakonfigurovat přístup k veřejné síti pro účty Batch.