Sdílet prostřednictvím

Vytvoření fondu pro zjednodušenou komunikaci uzlů bez veřejných IP adres

  • Článek

Poznámka:

Tím se nahradí předchozí verze Preview fondu Azure Batch bez veřejných IP adres. Tato nová verze vyžaduje zjednodušenou komunikaci výpočetních uzlů.

Důležité

Podpora fondů bez veřejných IP adres v Azure Batch je aktuálně dostupná pro vybrané oblasti.

Když vytváříte fond Azure Batch, můžete fond konfigurace virtuálních počítačů zřídit bez veřejné IP adresy. Tento článek vysvětluje, jak nastavit fond služby Batch bez veřejných IP adres.

Proč používat fond bez veřejných IP adres?

Ve výchozím nastavení se všem výpočetním uzlům ve fondu konfigurace virtuálních počítačů Azure Batch přiřadí veřejná IP adresa. Tuto adresu používá služba Batch k podpoře odchozího přístupu k internetu a příchozí přístup k výpočetním uzlům z internetu.

Pokud chcete omezit přístup k těmto uzlům a omezit zjistitelnost těchto uzlů z internetu, můžete fond zřídit bez veřejných IP adres.

Požadavky

Důležité

Požadavky se změnily z předchozí verze Preview této funkce. Než budete pokračovat, nezapomeňte všechny položky zkontrolovat.

  • Používejte zjednodušenou komunikaci výpočetních uzlů. Další informace najdete v tématu Použití zjednodušené komunikace výpočetního uzlu.

  • Klientské rozhraní API služby Batch musí používat ověřování Microsoft Entra. Podpora služby Azure Batch pro Microsoft Entra ID je zdokumentovaná v řešeních pro ověřování služby Batch pomocí služby Active Directory.

  • Vytvořte fond ve virtuální síti Azure, postupujte podle těchto požadavků a konfigurací. Pokud chcete předem připravit virtuální síť s jednou nebo více podsítěmi, můžete použít Azure Portal, Azure PowerShell, rozhraní příkazového řádku Azure (Azure CLI) nebo jiné metody.

    • Virtuální síť musí být ve stejném předplatném a stejné oblasti jako účet Batch, který použijete k vytvoření fondu.

    • Podsíť zadaná pro fond musí obsahovat dostatek nepřiřazených IP adres pro všechny virtuální počítače, na které fond cílí, jejichž počet je součtem vlastností targetDedicatedNodes a targetLowPriorityNodes fondu. Pokud podsíť nemá dostatek nepřiřazených IP adres, fond částečně přidělí výpočetní uzly a dojde k chybě změny velikosti.

    • Pokud plánujete používat privátní koncový bod a vaše virtuální síť má povolené zásady sítě privátních koncových bodů, ujistěte se, že příchozí připojení k podsíti TCP/443 hostující privátní koncový bod musí být povolené z podsítě fondu Batch.

  • Povolení odchozího přístupu pro správu uzlů služby Batch Fond bez veřejných IP adres nemá ve výchozím nastavení povolený odchozí přístup k internetu. Zvolte jednu z následujících možností, abyste umožnili výpočetním uzlům přístup ke službě pro správu uzlů Batch (viz Použití zjednodušené komunikace výpočetních uzlů):

    • Použijte privátní koncový bod nodeManagement s účty Batch, které poskytují privátní přístup ke službě pro správu uzlů Batch z virtuální sítě. Toto řešení je upřednostňovanou metodou.

    • Případně můžete poskytnout vlastní podporu odchozího přístupu k internetu (viz Odchozí přístup k internetu).

Důležité

Pro privátní koncové body s účty Batch existují dva dílčí prostředky. Použijte privátní koncový bod nodeManagement pro fond Batch bez veřejných IP adres. Další podrobnosti najdete v části Použití privátních koncových bodů s účty Azure Batch.

Aktuální omezení

  1. Fondy bez veřejnýchIPch
  2. Vlastní konfigurace koncového bodu pro výpočetní uzly Batch nefunguje s fondy bez veřejných IP adres.
  3. Vzhledem k tomu, že neexistují žádné veřejné IP adresy, nemůžete s tímto typem fondu používat vlastní zadané veřejné IP adresy .
  4. Ověřovací token úkolu pro úlohu Batch se nepodporuje. Alternativním řešením je použít fond Batch se spravovanými identitami.

Vytvoření fondu bez veřejných IP adres na webu Azure Portal

  1. V případě potřeby vytvořte privátní koncový bod nodeManagement pro váš účet Batch ve virtuální síti (viz požadavek na odchozí přístup v požadavcích).
  2. Na webu Azure Portal přejděte ke svému účtu Batch.
  3. V okně Nastavení vlevo vyberte Fondy.
  4. V okně Fondy vyberte Přidat.
  5. V okně Přidat fond vyberte v rozevíracím seznamu Typ obrázku možnost, kterou chcete použít.
  6. Vyberte správnou image vydavatele, nabídky nebo skladové položky .
  7. Zadejte zbývající požadovaná nastavení, včetně velikosti uzlu, vyhrazených uzlů cíle a uzlů s nízkou prioritou.
  8. V režimu komunikace uzlu vyberte v části Volitelné Nastavení zjednodušené.
  9. Vyberte virtuální síť a podsíť, kterou chcete použít. Tato virtuální síť musí být ve stejném umístění jako fond, který vytváříte.
  10. V typu zřizování IP adres vyberte NoPublicIPAddresses.

Následující snímek obrazovky ukazuje prvky, které je potřeba upravit pro vytvoření fondu bez veřejných IP adres.

Screenshot of the Add pool screen with NoPublicIPAddresses selected.

Vytvoření fondu bez veřejných IP adres pomocí rozhraní REST API služby Batch

Následující příklad ukazuje, jak pomocí rozhraní REST API služby Batch vytvořit fond, který používá veřejné IP adresy.

Identifikátor URI v REST API

POST {batchURL}/pools?api-version=2022-10-01.16.0
client-request-id: 00000000-0000-0000-0000-000000000000

Text požadavku

"pool": {
     "id": "pool-npip",
     "vmSize": "standard_d2s_v3",
     "virtualMachineConfiguration": {
          "imageReference": {
               "publisher": "Canonical",
               "offer": "0001-com-ubuntu-server-jammy",
               "sku": "22_04-lts"
          },
          "nodeAgentSKUId": "batch.node.ubuntu 22.04"
     },
     "networkConfiguration": {
          "subnetId": "/subscriptions/<your_subscription_id>/resourceGroups/<your_resource_group>/providers/Microsoft.Network/virtualNetworks/<your_vnet_name>/subnets/<your_subnet_name>",
          "publicIPAddressConfiguration": {
               "provision": "NoPublicIPAddresses"
          }
     },
     "resizeTimeout": "PT15M",
     "targetDedicatedNodes": 2,
     "targetLowPriorityNodes": 0,
     "taskSlotsPerNode": 1,
     "taskSchedulingPolicy": {
          "nodeFillType": "spread"
     },
     "enableAutoScale": false,
     "enableInterNodeCommunication": false,
     "targetNodeCommunicationMode": "simplified"
}

Vytvoření fondu bez veřejných IP adres pomocí šablony ARM

Pomocí této šablony Azure Pro rychlý start můžete vytvořit fond bez veřejných IP adres pomocí šablony Azure Resource Manageru (ARM).

Šablona nasadí následující prostředky:

  • Účet Azure Batch s bránou firewall protokolu IP nakonfigurovanou tak, aby blokoval přístup k veřejné síti ke koncovému bodu správy uzlů Batch
  • Virtuální síť se skupinou zabezpečení sítě za účelem blokování odchozího přístupu k internetu
  • Privátní koncový bod pro přístup ke koncovému bodu správy uzlů služby Batch účtu
  • Integrace DNS pro privátní koncový bod s využitím privátní zóny DNS propojené s virtuální sítí
  • Fond Batch nasazený ve virtuální síti a bez veřejných IP adres

Pokud jste obeznámeni s používáním šablon ARM, vyberte tlačítko Nasadit do Azure . Šablona se otevře v prostředí Azure Portal.

Button to deploy the Resource Manager template to Azure.

Poznámka:

Pokud nasazení privátního koncového bodu selhalo kvůli neplatnému id skupiny nodeManagement, zkontrolujte, jestli je oblast v seznamu podporovaných pro zjednodušenou komunikaci výpočetních uzlů. Zvolte správnou oblast a pak zkuste nasazení zopakovat.

Odchozí přístup k internetu

Ve fondu bez veřejných IP adres nebudou vaše virtuální počítače mít přístup k veřejnému internetu, pokud nenakonfigurujete nastavení sítě odpovídajícím způsobem, například pomocí překladu adres (NAT) virtuální sítě. Překlad adres (NAT) umožňuje pouze odchozí přístup k internetu z virtuálních počítačů ve virtuální síti. Výpočetní uzly vytvořené službou Batch nebudou veřejně přístupné, protože nemají přidružené veřejné IP adresy.

Dalším způsobem, jak zajistit odchozí připojení, je použít trasu definovanou uživatelem. Tato metoda umožňuje směrovat provoz na proxy počítač s veřejným přístupem k internetu, například do služby Azure Firewall.

Důležité

Pro zjednodušené fondy komunikace uzlů bez veřejných IP adres neexistuje žádný další síťový prostředek (nástroj pro vyrovnávání zatížení, skupina zabezpečení sítě). Vzhledem k tomu, že výpočetní uzly ve fondu nejsou vázané na žádný nástroj pro vyrovnávání zatížení, azure může poskytovat výchozí odchozí přístup. Výchozí odchozí přístup ale není vhodný pro produkční úlohy a bude vyřazen 30. září 2025 (viz oficiální oznámení). Pokud tedy vaše úlohy vyžadují odchozí přístup k internetu nebo váš fond pro přístup ke koncovému bodu správy uzlů Batch nepoužívá privátní koncový bod, musíte poskytnout vlastní řešení pro povolení internetového odchozího přístupu.

Řešení problému

Nepoužitelné výpočetní uzly ve fondu Batch

Pokud výpočetní uzly narazí na nepoužitelný stav ve fondu Batch bez veřejných IP adres, první a nejdůležitější kontrolou je ověření odchozího přístupu ke službě pro správu uzlů Batch. Musí být správně nakonfigurovaný, aby se výpočetní uzly mohly připojit ke službě z vaší virtuální sítě.

Použití privátního koncového bodu nodeManagement

Pokud jste pro svůj účet Batch vytvořili privátní koncový bod správy uzlů ve virtuální síti:

  • Zkontrolujte, jestli je privátní koncový bod vytvořený ve správné virtuální síti, ve stavu Úspěšné zřizování a také ve stavu Schváleno.
  • Zkontrolujte, jestli je správně nastavená konfigurace DNS pro koncový bod správy uzlů vašeho účtu Batch:
    • Pokud se váš privátní koncový bod vytvoří s automatickou integrací privátní zóny DNS, zkontrolujte, jestli je záznam DNS A správně nakonfigurovaný v privátní zóně privatelink.batch.azure.comDNS a zóna je propojená s vaší virtuální sítí.
    • Pokud používáte vlastní řešení DNS, ujistěte se, že je záznam DNS pro koncový bod správy uzlů Batch správně nakonfigurovaný, a přejděte na IP adresu privátního koncového bodu.
  • Zkontrolujte koncový bod správy uzlů služby Batch vašeho účtu v překladu DNS. Můžete to ověřit spuštěním nslookup <nodeManagementEndpoint> z vaší virtuální sítě a název DNS by se měl přeložit na IP adresu privátního koncového bodu.
  • Pokud má vaše virtuální síť povolené zásady sítě privátních koncových bodů, zkontrolujte skupiny zabezpečení sítě a trasu definovanou uživatelem pro podsítě fondu Batch i privátního koncového bodu. Příchozí připojení s protokolem TCP/443 k podsíti, která je hostitelem privátního koncového bodu, musí být povolená z podsítě fondu Batch.
  • Z podsítě fondu Batch spusťte příkaz ping tcp do koncového bodu správy uzlů pomocí výchozího portu HTTPS (443). Tato sonda může zjistit, jestli připojení privátního propojení funguje podle očekávání.
# Windows
Test-TcpConnection -ComputeName <nodeManagementEndpoint> -Port 443
# Linux
nc -v <nodeManagementEndpoint> 443

Pokud příkaz PING protokolu TCP selže (například vypršel časový limit), obvykle se jedná o problém s připojením privátního propojení a u tohoto prostředku privátního koncového bodu můžete vytvořit lístek podpora Azure. V opačném případě může být problém s nepoužitelným uzlem jako normální fondy batch a můžete u svého účtu Batch zvýšit lístek podpory.

Použití vlastního internetového odchozího řešení

Pokud místo privátního koncového bodu používáte vlastní řešení odchozích přenosů z internetu, spusťte příkaz ping tcp do koncového bodu správy uzlu. Pokud to nefunguje, zkontrolujte, jestli je odchozí přístup správně nakonfigurovaný podle podrobných požadavků na zjednodušenou komunikaci výpočetních uzlů.

Připojení výpočetním uzlům

Neexistuje žádný internetový příchozí přístup k výpočetním uzlům ve fondu Batch bez veřejných IP adres. Pokud chcete získat přístup k výpočetním uzlům pro ladění, budete se muset připojit z virtuální sítě:

  • Použijte jumpbox machine uvnitř virtuální sítě a pak se připojte k výpočetním uzlům odtud.
  • Nebo zkuste použít jiná řešení vzdáleného připojení, jako je Azure Bastion:
    • Vytvořte Bastion ve virtuální síti s povoleným připojením založeným na PROTOKOLU IP.
    • Pomocí Bastionu se připojte k výpočetnímu uzlu pomocí jeho IP adresy.

Podle pokynů Připojení můžete výpočetní uzly získat přihlašovací údaje uživatele a IP adresu cílového výpočetního uzlu ve fondu Batch.

Migrace z předchozí verze Preview bez fondů veřejných IP adres

Pro existující fondy, které používají předchozí verzi Preview služby Azure Batch, není fond veřejných IP adres možný, je možné migrovat pouze fondy vytvořené ve virtuální síti.

  1. Vytvořte privátní koncový bod pro správu uzlů služby Batch ve virtuální síti.
  2. Aktualizujte režim komunikace uzlů fondu tak, aby se zjednodušil.
  3. Vertikálně navyšte kapacitu fondu na nula uzlů.
  4. Znovu navyšte kapacitu fondu. Fond se pak automaticky migruje na novou verzi.

Další kroky