Voraussetzungen für Azure HPC Cache
Stellen Sie vor dem Erstellen eines neuen Azure HPC Cache sicher, dass Ihre Umgebung diese Anforderungen erfüllt.
Azure-Abonnement
Ein kostenpflichtiges Abonnement wird empfohlen.
Netzwerkinfrastruktur
Bevor Sie den Cache verwenden können, müssen Sie diese netzwerkbezogenen Voraussetzungen einrichten:
- Ein dediziertes Subnetz für die Azure HPC Cache-Instanz
- DNS-Unterstützung, sodass der Cache auf Speicher und andere Ressourcen zugreifen kann
- Zugriff aus dem Subnetz auf zusätzliche Microsoft Azure-Infrastrukturdienste, einschließlich NTP-Servern und des Azure Queue Storage-Diensts.
Cache-Subnetz
Der Azure HPC Cache benötigt ein dediziertes Subnetz mit diesen Eigenschaften:
- Im Subnetz müssen mindestens 64 IP-Adressen verfügbar sein.
- Die Kommunikation innerhalb des Subnetzes darf nicht eingeschränkt sein. Wenn Sie eine Netzwerksicherheitsgruppe für das Cachesubnetz verwenden, stellen Sie sicher, dass alle Dienste zwischen internen IP-Adressen zugelassen sind.
- Das Subnetz darf keine weiteren VMs hosten, nicht einmal für verwandte Dienste wie Clientcomputer.
- Wenn Sie mehrere Azure HPC Cache-Instanzen verwenden, benötigt jede ein eigenes Subnetz.
Die bewährte Methode besteht im Erstellen eines neuen Subnetzes für die einzelnen Caches. Sie können im Rahmen der Cache-Erstellung ein neues virtuelles Netzwerk und Subnetz erstellen.
Achten Sie beim Erstellen dieses Subnetzes darauf, dass seine Sicherheitseinstellungen den Zugriff auf die notwendigen Infrastrukturdienste zulassen, die weiter unten in diesem Abschnitt erwähnt werden. Sie können die ausgehende Internetkonnektivität einschränken, aber stellen Sie sicher, dass Ausnahmen für die hier dokumentierten Elemente gelten.
DNS-Zugriff
Der Cache benötigt DNS für den Zugriff auf Ressourcen außerhalb seines virtuellen Netzwerks. Je nachdem, welche Ressourcen Sie verwenden, müssen Sie möglicherweise einen angepassten DNS-Server einrichten und die Weiterleitung zwischen diesem Server und Azure DNS-Servern konfigurieren.
- Um auf Azure Blob Storage-Endpunkte und andere interne Ressourcen zuzugreifen, benötigen Sie den Azure-basierten DNS-Server.
- Um auf lokalen Speicher zuzugreifen, müssen Sie einen benutzerdefinierten DNS-Server konfigurieren, der Ihre Speicherhostnamen auflösen kann. Diese Aktion müssen Sie ausführen, bevor Sie den Cache erstellen.
Wenn Sie nur Blobspeicher verwenden, können Sie den von Azure bereitgestellten DNS-Standardserver für Ihren Cache verwenden. Wenn Sie jedoch auf Speicherressourcen und andere Ressourcen außerhalb von Azure zugreifen müssen, sollten Sie einen benutzerdefinierten DNS-Server erstellen und diesen zum Weiterleiten jeglicher Azure-spezifischen Auflösungsanforderungen an den Azure DNS-Server konfigurieren.
Um einen benutzerdefinierten DNS-Server verwenden zu können, müssen Sie die folgenden Einrichtungsschritte ausführen, bevor Sie den Cache erstellen:
Erstellen Sie das virtuelle Netzwerk, das den Azure HPC Cache hosten soll.
Erstellen Sie den DNS-Server.
Fügen Sie den DNS-Server zum virtuellen Netzwerk hinzu.
Führen Sie die folgenden Schritte im Azure-Portal aus, um den DNS-Server zum virtuellen Netzwerk hinzuzufügen:
- Öffnen Sie das virtuelle Netzwerk im Azure-Portal.
- Wählen Sie in der Randleiste im Menü Einstellungen die Option DNS-Server aus.
- Wählen Sie Benutzerdefiniert aus.
- Geben Sie die IP-Adresse des DNS-Server in das Feld ein.
Ein einfacher DNS-Server kann außerdem für den Lastenausgleich für Clientverbindungen zwischen allen verfügbaren Cache-Einbindungspunkten verwendet werden.
Weitere Informationen zu virtuellen Azure-Netzwerken und DNS-Serverkonfigurationen finden Sie unter Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken.
NTP-Zugang
Der HPC-Cache benötigt für den regulären Betrieb Zugang zu einem NTP-Server. Wenn Sie den ausgehenden Datenverkehr aus Ihren virtuellen Netzwerken einschränken, sollten Sie den Datenverkehr zu mindestens einem NTP-Server zulassen. Der Standardserver ist time.windows.com, und der Cache kontaktiert diesen Server über UDP-Port 123.
Erstellen Sie eine Regel in der Netzwerksicherheitsgruppe Ihres Cache-Netzwerks, die ausgehenden Datenverkehr zu Ihrem NTP-Server erlaubt. Die Regel kann einfach allen ausgehenden Datenverkehr über UDP-Port 123 zulassen oder weitere Einschränkungen enthalten.
Dieses Beispiel öffnet explizit den ausgehenden Datenverkehr zur IP-Adresse 168.61.215.74, die von time.windows.com verwendet wird.
Priority | Name | Port | Protokoll | Quelle | Ziel | Aktion |
---|---|---|---|---|---|---|
200 | NTP | Beliebig | UDP | Beliebig | 168.61.215.74 | Zulassen |
Stellen Sie sicher, dass die NTP-Regel eine höhere Priorität hat als alle Regeln, die den ausgehenden Zugriff weitgehend verweigern.
Weitere Tipps für den NTP-Zugriff:
Wenn sich zwischen Ihrem HPC-Cache und dem NTP-Server Firewalls befinden, stellen Sie sicher, dass diese Firewalls auch den NTP-Zugriff erlauben.
Welchen NTP-Server Ihr HPC-Cache verwendet, können Sie auf der Seite Netzwerke konfigurieren. Lesen Sie Zusätzliche Einstellungen konfigurieren für weitere Informationen.
Zugriff auf Azure Queue Storage
Der Cache muss innerhalb seines dedizierten Subnetzes sicher auf den Azure Queue Storage-Dienst zugreifen können. Azure HPC Cache verwendet den Warteschlangendienst bei der Kommunikation von Konfigurations- und Statusinformationen.
Wenn der Cache nicht auf den Warteschlangendienst zugreifen kann, wird beim Erstellen des Caches möglicherweise eine CacheConnectivityError-Meldung angezeigt.
Es gibt zwei Möglichkeiten, den Zugriff zu ermöglichen:
Erstellen Sie einen Azure Storage-Dienstendpunkt in Ihrem Cachesubnetz. Anweisungen zum Hinzufügen des Microsoft.Storage-Dienstendpunkts finden Sie unter Hinzufügen, Ändern oder Löschen von Subnetzen virtueller Netzwerke.
Konfigurieren Sie den Zugriff auf die Azure Storage-Warteschlangendienstdomäne in Ihrer Netzwerksicherheitsgruppe oder anderen Firewalls einzeln.
Fügen Sie Regeln hinzu, um den Zugriff auf diese Ports zuzulassen:
TCP-Port 443 für sicheren Datenverkehr zu jedem Host in der Domäne queue.core.windows.net (
*.queue.core.windows.net
).TCP-Port 80: wird zur Überprüfung des serverseitigen Zertifikats verwendet. Dies wird manchmal als Überprüfung der Zertifikatssperrliste (Certificate Revocation List, CRL) und OCSP-Kommunikation (Online Certificate Status Protocol) bezeichnet. Die gesamte Domäne „.queue.core.windows.net“ verwendet das gleiche Zertifikat und somit die gleichen CRL/OCSP-Server. Der Hostname wird im serverseitigen SSL-Zertifikat gespeichert.
Weitere Informationen finden Sie in den Tipps zu Sicherheitsregeln in NTP-Zugriff.
Dieser Befehl listet die CRL- und OSCP-Server auf, denen Zugriff gewährt werden muss. Diese Server müssen über DNS aufgelöst werden können und an Port 80 über das Cachesubnetz erreichbar sein.
openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
Die Ausgabe sieht in etwa wie folgt aus und kann sich ändern, wenn das SSL-Zertifikat aktualisiert wird:
OCSP - URI:http://ocsp.msocsp.com CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
Sie können die Konnektivität des Subnetzes überprüfen, indem Sie diesen Befehl auf einer Test-VM innerhalb des Subnetzes verwenden:
openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"
Bei einer erfolgreichen Verbindung wird diese Antwort ausgegeben:
OCSP Response Status: successful (0x0)
Ereignisserverzugriff
Azure HPC Cache verwendet Azure-Ereignisserverendpunkte, um die Cacheintegrität zu überwachen und Diagnoseinformationen zu senden.
Stellen Sie sicher, dass der Cache sicher auf Hosts in der Domäne „events.data.microsoft.com“ zugreifen kann, d. h. öffnen Sie TCP-Port 443 für Datenverkehr an *.events.data.microsoft.com
.
Berechtigungen
Überprüfen Sie diese Voraussetzungen im Hinblick auf Berechtigungen, bevor Sie mit dem Erstellen des Caches beginnen.
Die Cache-Instanz muss in der Lage sein, virtuelle Netzwerkschnittstellen (NICs) zu erstellen. Der Benutzer, der den Cache erstellt, muss über ausreichende Berechtigungen für das Abonnement verfügen, um NICs zu erstellen.
Bei der Verwendung von Blobspeicher benötigt Azure HPC Cache die Autorisierung zum Zugriff auf Ihr Speicherkonto. Verwenden Sie rollenbasierte Zugriffssteuerung von Azure (Azure RBAC), um dem Cache Zugriff auf Ihren Blobspeicher zu erteilen. Zwei Rollen sind erforderlich: Storage Account Contributor und Storage Blob Data Contributor.
Befolgen Sie die Anweisungen unter Hinzufügen von Speicherzielen, um die Rollen hinzuzufügen.
Speicherinfrastruktur
Der Cache unterstützt Azure-Blobcontainer, NFS-Hardwarespeicherexporte und in NFS eingebundene ADLS-Blobcontainer. Fügen Sie nach dem Erstellen des Caches Speicherziele hinzu.
Für jeden Speichertyp gelten bestimmte Voraussetzungen.
Blobspeicheranforderungen
Wenn Sie Azure-Blobspeicher in Kombination mit Ihrem Cache verwenden möchten, benötigen Sie ein kompatibles Speicherkonto und entweder einen leeren Blobcontainer oder einen Container, der mit Daten im Format von Azure HPC Cache aufgefüllt ist, wie unter Verschieben von Daten in Azure Blob Storage beschrieben.
Hinweis
Für in NFS eingebundenen Blobspeicher gelten andere Anforderungen. Weitere Informationen finden Sie unter ADLS-NFS-Speicheranforderungen.
Erstellen Sie das Konto, bevor Sie versuchen, ein Speicherziel hinzufügen. Beim Hinzufügen des Ziels können Sie einen neuen Container erstellen.
Verwenden Sie eine der folgenden Kombinationen, um ein kompatibles Speicherkonto zu erstellen:
Leistung | Typ | Replikation | Zugriffsebene |
---|---|---|---|
Standard | StorageV2 (allgemein, Version 2) | Lokal redundanter Speicher (LRS) oder zonenredundanten Speicher (ZRS) | Heiß |
Premium | Blockblobs | Lokal redundanter Speicher (LRS) | Heiß |
Auf das Speicherkonto muss über das private Subnetz Ihres Caches zugegriffen werden können. Wenn Ihr Konto einen privaten Endpunkt oder einen öffentlichen Endpunkt verwendet, der auf bestimmte virtuelle Netzwerke beschränkt ist, stellen Sie sicher, dass Sie den Zugriff über das Subnetz des Caches aktivieren. (Ein offener öffentlicher Endpunkt wird nicht empfohlen.)
Unter Arbeiten mit privaten Endpunkten finden Sie Tipps zur Verwendung privater Endpunkte mit HPC Cache-Speicherzielen.
Es wird empfohlen, ein Speicherkonto in derselben Azure-Region Ihres Caches zu verwenden.
Außerdem müssen Sie der Cacheanwendung Zugriff auf Ihr Azure-Speicherkonto erteilt haben (wie weiter oben unter Berechtigungen beschrieben). Befolgen Sie das Verfahren unter Hinzufügen von Speicherzielen, um dem Cache die erforderlichen Zugriffsrollen zuzuweisen. Wenn Sie nicht der Besitzer des Speicherkontos sind, lassen Sie den Besitzer diesen Schritt ausführen.
NFS-Speicheranforderungen
Vergewissern Sie sich bei Verwendung eines NFS-Speichersystems (beispielsweise eines lokalen hardwarebasierten NAS-Systems), dass es die folgenden Anforderungen erfüllt. Arbeiten Sie bei der Überprüfung dieser Einstellungen ggf. mit den Netzwerkadministratoren oder den Firewall-Managern Ihres Speichersystems (oder Rechenzentrums) zusammen.
Hinweis
Wenn der Cache nicht im erforderlichen Umfang auf das NFS-Speichersystem zugreifen kann, ist die Speicherzielerstellung nicht erfolgreich.
Weitere Informationen finden Sie unter Behandeln von Problemen mit der NAS-Konfiguration und dem NFS-Speicherziel.
Netzwerkkonnektivität: Der Azure HPC-Cache benötigt Netzwerkzugriff mit hoher Bandbreite zwischen dem Cachesubnetz und dem Rechenzentrum des NFS-Systems. ExpressRoute oder ein ähnliches Zugriffsverfahren wird empfohlen. Bei Verwendung eines VPN muss TCP MSS ggf. mit 1350 verknüpft werden, um die Blockierung großer Pakete zu vermeiden. Weitere Informationen zur Problembehandlung bei VPN-Einstellungen finden Sie unter Einschränkungen der VPN-Paketgröße.
Portzugriff: Der Cache benötigt Zugriff auf bestimmte TCP/UDP-Ports auf Ihrem Speichersystem. Verschiedene Speichertypen haben unterschiedliche Portanforderungen.
Gehen Sie wie folgt vor, um die Einstellungen Ihres Speichersystems zu überprüfen:
Führen Sie den Befehl
rpcinfo
für Ihr Speichersystem aus, um die erforderlichen Ports zu überprüfen. Der folgende Befehl führt die Ports auf und formatiert die relevanten Ergebnisse in einer Tabelle. (Ersetzen Sie den Platzhalter <storage_IP> durch die IP-Adresse Ihres Systems.)Dieser Befehl kann über einen beliebigen Linux-Client mit installierter NFS-Infrastruktur ausgeführt werden. Wenn Sie einen Client innerhalb des Clustersubnetzes verwenden, können Sie damit auch die Konnektivität zwischen dem Subnetz und dem Speichersystem überprüfen.
rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
Stellen Sie sicher, dass alle von der
rpcinfo
-Abfrage zurückgegebenen Ports uneingeschränkten Datenverkehr aus dem Azure HPC Cache-Subnetz zulassen.Wenn Sie den Befehl
rpcinfo
nicht verwenden können, vergewissern Sie sich, dass an den folgenden häufig verwendeten Ports ein- und ausgehender Datenverkehr zugelassen wird:Protokoll Port Service TCP/UDP 111 rpcbind TCP/UDP 2049 NFS TCP/UDP 4045 nlockmgr TCP/UDP 4046 mountd TCP/UDP 4047 status Bei einigen Systemen werden für diese Dienste verschiedene Portnummern verwendet. Schlagen Sie in der Dokumentation zu Ihrem Speichersystem nach, ob dies für Ihr System zutrifft.
Vergewissern Sie sich, dass die Firewalleinstellungen Datenverkehr an allen diesen erforderlichen Ports zulassen. Überprüfen Sie sowohl in Azure verwendete Firewalls als auch lokale Firewalls in Ihrem Rechenzentrum.
Der NFS-Back-End-Speicher muss eine kompatible Hardware-/Softwareplattform aufweisen. Der Speicher muss NFS Version 3 (NFSv3) unterstützen. Ausführliche Informationen erhalten Sie vom Azure HPC Cache-Team.
Anforderungen für in NFS eingebundenen Blobspeicher (ADLS-NFS)
Azure HPC Cache kann auch einen Blobcontainer verwenden, der mit dem NFS-Protokoll als Speicherziel eingebunden ist.
Weitere Informationen zu dieser Funktion finden Sie unter Unterstützung des NFS 3.0-Protokolls in Azure Blob Storage.
Die Speicherkontoanforderungen für ein ADLS-NFS-Blobspeicherziel unterscheidet sich von den Anforderungen für ein Standard-Blobspeicherziel. Führen Sie die Anweisungen unter Einbinden von Azure Blob Storage mithilfe des NFS 3.0-Protokolls (Vorschau) sorgfältig aus, um das NFS-fähige Speicherkonto zu erstellen und zu konfigurieren.
Im Folgenden finden Sie eine allgemeine Übersicht über die Schritte. Diese Schritte werden möglicherweise geändert. Referenzieren Sie daher stets die ADLS-NFS-Anweisungen, um die aktuellen Informationen zu erhalten.
Stellen Sie sicher, dass die Features, die Sie benötigen, in den Regionen verfügbar sind, in denen Sie arbeiten möchten.
Aktivieren Sie das NFS-Protokollfeature für Ihr Abonnement. Führen Sie diesen Schritt aus, bevor Sie das Speicherkonto erstellen.
Erstellen Sie ein sicheres VNet (virtuelles Netzwerk) für das Speicherkonto. Sie sollten dasselbe VNet für Ihr NFS-fähiges Speicherkonto verwenden, das Sie für Azure HPC Cache verwenden. (Verwenden Sie nicht dasselbe Subnetz, das Sie für den Cache verwenden.)
Erstellen Sie das Speicherkonto.
Befolgen Sie die Anweisungen der exemplarischen Vorgehensweise, anstatt die Speicherkontoeinstellungen für ein Standard-Blobspeicherkonto zu verwenden. Die unterstützten Speicherkontotypen können je nach Azure-Region variieren.
Wählen Sie im Abschnitt Netzwerk einen privaten Endpunkt im sicheren VNet aus, das Sie erstellt haben (empfohlen), oder wählen Sie einen öffentlichen Endpunkt mit eingeschränktem Zugriff des sicheren VNets aus.
Unter Arbeiten mit privaten Endpunkten finden Sie Tipps zur Verwendung privater Endpunkte mit HPC Cache-Speicherzielen.
Denken Sie daran, den Abschnitt „Erweitert“ auszufüllen, in dem Sie den NFS-Zugriff aktivieren.
Erteilen Sie der Cacheanwendung Zugriff auf Ihr Azure-Speicherkonto (wie oben unter Berechtigungen beschrieben). Dies ist bei der ersten Erstellung eines Speicherziels möglich. Befolgen Sie das Verfahren unter Hinzufügen von Speicherzielen, um dem Cache die erforderlichen Zugriffsrollen zuzuweisen.
Wenn Sie nicht der Besitzer des Speicherkontos sind, lassen Sie den Besitzer diesen Schritt ausführen.
Weitere Informationen zum Verwenden von ADLS-NFS-Speicherzielen mit Azure HPC Cache finden Sie unter Verwenden von über NFS bereitgestelltem Blobspeicher mit Azure HPC Cache.
Arbeiten mit privaten Endpunkten
Azure Storage unterstützt private Endpunkte, um sicheren Datenzugriff zu ermöglichen. Sie können private Endpunkte mit Azure Blob- oder NFS-eingebundenen Blobspeicherzielen verwenden.
Weitere Informationen zu privaten Endpunkten
Ein privater Endpunkt stellt eine bestimmte IP-Adresse bereit, die der HPC Cache für die Kommunikation mit Ihrem Back-End-Speichersystem verwendet. Wenn sich diese IP-Adresse ändert, kann der Cache nicht automatisch erneut eine Verbindung mit dem Speicher herstellen.
Wenn Sie die Konfiguration eines privaten Endpunkts ändern müssen, gehen Sie wie folgt vor, um Kommunikationsprobleme zwischen dem Speicher und dem HPC Cache zu vermeiden:
- Halten Sie das Speicherziel an (oder alle Speicherziele, die diesen privaten Endpunkt verwenden).
- Nehmen Sie Änderungen am privaten Endpunkt vor, und speichern Sie diese Änderungen.
- Setzen Sie das Speicherziel mit dem Befehl „Fortsetzen“ wieder in den Dienst zurück.
- Aktualisieren Sie die DNS-Einstellung des Speicherziels.
Lesen Sie Anzeigen und Verwalten von Speicherzielen, um zu erfahren, wie Sie DNS für Speicherziele anhalten, fortsetzen und aktualisieren.
Einrichten des Azure CLI-Zugriffs (optional)
Wenn Sie Azure HPC Cache über die Azure CLI erstellen oder verwalten möchten, müssen Sie die Azure CLI und die Erweiterung „hpc-cache“ installieren. Befolgen Sie die Anweisungen unter Einrichten der Azure CLI für Azure HPC Cache.
Nächste Schritte
- Erstellen einer Azure HPC Cache-Instanz im Azure-Portal