Gestion des identités et des accès Azure HPC Finance
Cet article s’appuie sur les considérations et les suggestions définies dans l’article Zone d’atterrissage Azure Zone de conception de la zone d’atterrissage Azure pour la gestion des identités et des accès. Suivre les conseils de cet article vous aide à utiliser les considérations et suggestions de conception de gestion des identités et des accès pour déployer une application de calcul haute performance (HPC) sur Microsoft Azure pour le secteur financier.
Remarques relatives à la conception
Gardez les considérations de conception suivantes à l'esprit lorsque vous déployez votre application HPC :
Déterminez l’administration des ressources Azure requise par les différents membres de l’équipe. Envisagez de fournir à ces membres de l’équipe un accès élevé à l’administration des ressources Azure dans un environnement hors production.
- Par exemple, donnez-lui un rôle de contributeur de machine virtuelle.
- Vous pouvez également accorder aux membres de l’équipe un accès administratif partiellement élevé, comme un rôle partiel de contributeur de machine virtuelle dans un environnement de production. Les deux options permettent d’atteindre le juste équilibre entre la séparation des tâches et l’efficacité opérationnelle.
Passez en revue les activités d’administration et de gestion Azure que vous demandez à vos équipes d’effectuer. Pensez à votre HPC dans l’environnement Azure. Déterminez la meilleure distribution possible des responsabilités au sein de votre organisation.
Voici les activités Azure courantes pour l’administration et la gestion.
Ressource Azure Fournisseur de ressources Azure Activités Machine virtuelle Microsoft.Compute/virtualMachines Démarrez, arrêtez, redémarrez, désallouez, déployez, redéployez, modifiez et redimensionnez les machines virtuelles. Gérez les extensions, les groupes à haute disponibilité et les groupes de placement de proximité. Machines virtuelles Ordinateur/disques Microsoft Lire et écrire sur le disque. Stockage Microsoft.Storage Lisez et apportez des modifications aux comptes de stockage, par exemple un compte de stockage de diagnostics de démarrage. Stockage Microsoft.NetApp Lisez et apportez des modifications aux pools de capacité et aux volumes NetApp. Stockage Microsoft.NetApp Prenez des instantanés Azure NetApp Files. Stockage Microsoft.NetApp Utilisez la réplication interrégionale Azure NetApp Files. Mise en réseau Microsoft.Network/networkInterfaces Lisez, créez et modifiez les interfaces réseau. Mise en réseau Microsoft.Network/loadBalancers Lisez, créez et modifiez les équilibreurs de charge. Mise en réseau Microsoft.Network/networkSecurityGroups Lisez les groupes de sécurité réseau. Mise en réseau Microsoft.Network/azureFirewalls Lisez les pare-feu. Mise en réseau Microsoft.Network/virtualNetworks Lisez, créez et modifiez les interfaces réseau.
Tenez compte de l'accès pertinent requis pour le groupe de ressources du réseau virtuel et de l'accès associé s'il est différent du groupe de ressources des machines virtuelles.Pensez au service Microsoft que vous utilisez—Azure CycleCloud, Azure Batch ou un environnement hybride avec des machines virtuelles HPC dans le cloud.
Recommandations
- Si vous utilisez Azure CycleCloud, il existe trois méthodes d'authentification : une base de données intégrée avec cryptage, Microsoft Entra ID ou Lightweight Directory Access Protocol (LDAP). Pour plus d'informations, consultez Authentification de l'utilisateur. Pour plus d’informations sur les principaux de service dans Azure CycleCloud, consultez Utilisation des principaux de service.
- Si vous utilisez Batch, vous pouvez vous authentifier avec Microsoft Entra ID via deux méthodes différentes : l'authentification intégrée ou un principe de service. Pour plus d’informations sur l’utilisation de ces différentes approches, consultez Authentification Azure Batch. Si vous utilisez le mode d'abonnement utilisateur et non le mode de service Batch, accordez l'accès à Batch afin qu'il puisse accéder à l'abonnement. Pour plus d’informations, consultez Autoriser Batch à accéder à l’abonnement.
- Si vous souhaitez étendre vos fonctionnalités sur site à un environnement hybride, vous pouvez vous authentifier via Active Directory avec un contrôleur de domaine en lecture seule hébergé dans Azure. Cette approche réduit le trafic sur la liaison. Cette intégration permet aux utilisateurs d'utiliser leurs informations d'identification existantes pour se connecter aux services et applications connectés au domaine géré. Vous pouvez également utiliser des comptes d’utilisateurs et des groupes existants pour aider à sécuriser l’accès aux ressources. Ces fonctionnalités permettent une migration et un déplacement plus fluides des ressources locales vers Azure.
Pour plus d’informations, consultez Suggestions de conception pour l’accès à la plateforme et Identité et accès Azure pour les zones d’atterrissage.
Étapes suivantes
Les articles suivants fournissent des conseils pour les différentes étapes du processus d'adoption du cloud. Ces ressources peuvent vous aider à réussir l’adoption des environnements HPC du secteur financier pour le cloud.