Grundlegendes zur Firewallkonfiguration für HPC-Netzwerke
Die Firewallkonfiguration in Microsoft HPC Pack erfolgt während der Installation von HPC Pack auf einem Knoten und beim Konfigurieren des Netzwerks während des Konfigurationsprozesses des Kopfknotens.
Während der Installation von HPC Pack auf einem Knoten werden die Windows-Firewallregeln, die vom Typ des knotens benötigt werden, der erstellt wird (Kopfknoten, Computeknoten, Brokerknoten oder Arbeitsstationsknoten) hinzugefügt und auf dem Knoten aktiviert. Diese Regeln ermöglichen die eingehende und ausgehende Kommunikation zwischen Knoten im Cluster, und abhängig von der von Ihnen ausgewählten Netzwerktopologie ermöglichen diese Regeln auch die Kommunikation mit dem Unternehmensnetzwerk. Die hinzugefügten Windows-Firewallregeln wirken sich auf alle Netzwerkadapter aus, die auf jedem Knoten installiert sind.
Um Firewalleinstellungen weiter zu verwalten, kann HPC Pack einzelne Netzwerkadapter aus der Windows-Firewall einschließen und ausschließen. Diese Einstellungen wirken sich auf die Netzwerkadapter auf allen Knoten aus. Nachdem ein Netzwerkadapter von der Windows-Firewall ausgeschlossen wurde, wird die Kommunikation mit und vom Knoten vollständig über diesen Adapter geöffnet, unabhängig von den Windows-Firewallregeln, die auf dem Knoten aktiviert oder deaktiviert sind.
Auf der Seite Firewallsetup des Netzwerkkonfigurations-Assistenten können Sie angeben, welche Netzwerkadapter basierend auf dem HPC-Netzwerk, mit dem diese Netzwerkadapter verbunden sind, enthalten oder von der Windows-Firewall ausgeschlossen werden sollen. Sie können auch angeben, dass HPC Pack überhaupt keine Netzwerkadapterausschlüsse verwalten soll.
Anmerkung
Wenn Sie es HPC Pack ermöglichen, Netzwerkadapterausschlüsse für Sie zu verwalten, überwacht HPC Pack ständig die Netzwerkadapterausschlüsse auf den Knoten und versucht, sie in den von Ihnen ausgewählten Einstellungen wiederherzustellen.
In der folgenden Tabelle werden die Auswahlen erläutert, die Ihnen auf der Seite Firewallsetup des Netzwerkkonfigurations-Assistentenzur Verfügung stehen. Weitere Informationen zur Firewallkonfiguration auf Ihrem HPC-Cluster finden Sie in Anhang 1: HPC Cluster Networking im Leitfaden für erste Schritte.
| Auswahl | Beschreibung |
|---|---|
| Automatisches Anwenden von Firewalleinstellungen auf die Netzwerke und die Knoten im Cluster | – Erstellen Sie Netzwerkadapterausschlüsse basierend auf Ihrer Auswahl für jedes aufgelistete HPC-Netzwerk. – Überwachen Sie Netzwerkadapterausschlüsse aktiv, und korrigieren Sie Änderungen, die ihrer Auswahl für jedes HPC-Netzwerk nicht folgen. - ON- für ein HPC-Netzwerk: Schließen Sie nicht von der Windows-Firewall den Netzwerkadapter aus, der mit diesem HPC-Netzwerk verbunden ist. - OFF für ein HPC-Netzwerk: Schließen Sie den Netzwerkadapter, der mit diesem HPC-Netzwerk verbunden ist, von der Windows-Firewall aus. |
| Firewalleinstellungen nicht verwalten | - Nehmen Sie keine Änderungen an den aktuellen Netzwerkadapterausschlüssen vor (falls vorhanden). – Überwachen Sie die Netzwerkadapterausschlüsse nicht, oder versuchen Sie, Änderungen an den Netzwerkadapterausschlüssen zu korrigieren. |
Vorsicht
Sie müssen eine Windows-Firewallkonfiguration verwenden, die den Sicherheitsrichtlinien Ihrer Organisation entspricht.
Wichtig
Wenn Sie den Netzwerkkonfigurations-Assistenten verwenden, um Änderungen an den Firewalleinstellungen vorzunehmen, werden diese Änderungen an alle vorhandenen Knoten im Cluster verteilt, es kann jedoch bis zu 5 Minuten dauern, bis die Änderungen auf den Knoten wirksam werden.
Weitere Überlegungen
Wenn ein HPC-Cluster ein privates oder ein Anwendungsnetzwerk enthält, besteht die Standardauswahl darin, Netzwerkadapterausschlüsse in diesen Netzwerken zu erstellen (d. h. die Standardeinstellung für diese HPC-Netzwerke ist OFF). Dies bietet die beste Leistung und Verwaltbarkeit. Wenn Sie private und Anwendungsnetzwerke verwenden und die Sicherheit innerhalb von Knoten für Sie wichtig ist, isolieren Sie die privaten und Anwendungsnetzwerke hinter dem Kopfknoten.
Wenn Für Ihre Clientanwendungen bestimmte Windows-Firewallregeln erforderlich sind und Sie den Netzwerkadapter, den die Anwendung für die Kommunikation verwendet, nicht ausschließen möchten, müssen Sie diese Regeln in der Windows-Firewall konfigurieren. Sie können eine Aufgabe in die Knotenvorlagen einschließen, um einen Befehl auszuführen, der die Windows-Firewallregeln konfiguriert.