Condividi tramite


Prerequisiti per la Cache HPC di Azure

Prima di creare un nuovo Cache HPC di Azure, assicurarsi che l'ambiente soddisfi questi requisiti.

Sottoscrizione di Azure

È consigliabile un abbonamento a pagamento.

Infrastruttura di rete

Questi prerequisiti correlati alla rete devono essere configurati prima di poter usare la cache:

  • Una subnet dedicata per l'istanza di Azure Cache HPC
  • Supporto DNS per consentire alla cache di accedere all'archiviazione e ad altre risorse
  • Accesso dalla subnet a servizi di infrastruttura di Microsoft Azure aggiuntivi, inclusi i server NTP e il servizio di Archiviazione coda di Azure.

Subnet della cache

Azure Cache HPC necessita di una subnet dedicata con queste qualità:

  • La subnet deve avere almeno 64 indirizzi IP disponibili.
  • Le comunicazioni all'interno della subnet devono essere senza restrizioni. Se si usa un gruppo di sicurezza di rete per la subnet della cache, assicurarsi che consenta tutti i servizi tra indirizzi IP interni.
  • La subnet non può ospitare altre macchine virtuali, anche per i servizi correlati, ad esempio i computer client.
  • Se si usano più istanze di Azure Cache HPC, ognuna deve avere la propria subnet.

La procedura consigliata consiste nel creare una nuova subnet per ogni cache. È possibile creare una nuova rete virtuale e una nuova subnet durante la creazione della cache.

Quando si crea questa subnet, prestare attenzione che le impostazioni di sicurezza consentano l'accesso ai servizi di infrastruttura necessari indicati più avanti in questa sezione. È possibile limitare la connettività Internet in uscita, ma assicurarsi che siano presenti eccezioni per gli elementi documentati qui.

Accesso DNS

La cache richiede dns per accedere alle risorse all'esterno della rete virtuale. A seconda delle risorse in uso, potrebbe essere necessario configurare un server DNS personalizzato e configurare l'inoltro tra il server e i server DNS di Azure:

  • Per accedere agli endpoint di archiviazione BLOB di Azure e ad altre risorse interne, è necessario il server DNS basato su Azure.
  • Per accedere all'archiviazione locale, è necessario configurare un server DNS personalizzato in grado di risolvere i nomi host di archiviazione. È necessario eseguire questa operazione prima di creare la cache.

Se si usa solo l'archiviazione BLOB, è possibile usare il server DNS predefinito fornito da Azure per la cache. Tuttavia, se è necessario accedere all'archiviazione o ad altre risorse esterne ad Azure, è necessario creare un server DNS personalizzato e configurarlo per inoltrare le richieste di risoluzione specifiche di Azure al server DNS di Azure.

Per usare un server DNS personalizzato, è necessario eseguire questi passaggi di configurazione prima di creare la cache:

  • Creare la rete virtuale che ospiterà la Cache HPC di Azure.

  • Creare il server DNS.

  • Aggiungere il server DNS alla rete virtuale della cache.

    Per aggiungere il server DNS alla rete virtuale nel portale di Azure, eseguire i passaggi successivi.

    1. Aprire la rete virtuale nel portale di Azure.
    2. Nel menu Impostazioni della barra laterale scegliere Server DNS.
    3. Selezionare Personalizzato
    4. Immettere nel campo l'indirizzo IP del server DNS.

È anche possibile usare un server DNS semplice per bilanciare il carico delle connessioni client tra tutti i punti di montaggio della cache disponibili.

Altre informazioni sulle reti virtuali di Azure e sulle configurazioni del server DNS in Risoluzione dei nomi per le risorse nelle reti virtuali di Azure.

Accesso NTP

Il Cache HPC deve accedere a un server NTP per un'operazione regolare. Se si limita il traffico in uscita dalle reti virtuali, assicurarsi di consentire il traffico verso almeno un server NTP. Il server predefinito è time.windows.com e la cache contatta questo server sulla porta UDP 123.

Creare una regola nel gruppo di sicurezza di rete della rete della cache che consente il traffico in uscita verso il server NTP. La regola può semplicemente consentire tutto il traffico in uscita sulla porta UDP 123 o avere più restrizioni.

Questo esempio apre in modo esplicito il traffico in uscita all'indirizzo IP 168.61.215.74, ovvero l'indirizzo usato da time.windows.com.

Priorità Nome Porta Protocollo Source (Sorgente) Destination Azione
200 NTP Qualsiasi UDP Qualsiasi 168.61.215.74 Consenti

Assicurarsi che la regola NTP abbia una priorità più alta rispetto alle regole che negano in generale l'accesso in uscita.

Altri suggerimenti per l'accesso NTP:

  • Se sono presenti firewall tra il Cache HPC e il server NTP, assicurarsi che questi firewall consentano anche l'accesso NTP.

  • È possibile configurare il server NTP usato dal Cache HPC nella pagina Rete. Per altre informazioni, vedere Configurare impostazioni aggiuntive.

Accesso alla coda di Azure Archiviazione

La cache deve essere in grado di accedere in modo sicuro al servizio di Archiviazione coda di Azure dall'interno della subnet dedicata. Azure Cache HPC usa il servizio code durante la comunicazione delle informazioni di configurazione e stato.

Se la cache non riesce ad accedere al servizio di accodamento, potrebbe essere visualizzato un messaggio Cache Connessione ivityError durante la creazione della cache.

Esistono due modi per fornire l'accesso:

  • Creare un endpoint di servizio Archiviazione di Azure nella subnet della cache. Per istruzioni su come aggiungere l'endpoint di servizio Microsoft.Archiviazione, vedere Aggiungere una subnet di rete virtuale.

  • Configurare singolarmente l'accesso al dominio del servizio di accodamento di archiviazione di Azure nel gruppo di sicurezza di rete o in altri firewall.

    Aggiungere regole per consentire l'accesso su queste porte:

    • Porta TCP 443 per proteggere il traffico verso qualsiasi host nel dominio queue.core.windows.net (*.queue.core.windows.net).

    • Porta TCP 80: usata per la verifica del certificato lato server. Questa operazione viene talvolta definita controllo dell'elenco di revoche di certificati (CRL) e comunicazioni OCSP (Online Certificate Status Protocol). Tutti i file *.queue.core.windows.net usano lo stesso certificato e quindi gli stessi server CRL/OCSP. Il nome host viene archiviato nel certificato SSL lato server.

    Per altre informazioni, vedere i suggerimenti per le regole di sicurezza nell'accesso NTP.

    Questo comando elenca i server CRL e OSCP che devono essere autorizzati ad accedere. Questi server devono essere risolvibili da DNS e raggiungibili sulla porta 80 dalla subnet della cache.

    
    openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
    
    

    L'output è simile al seguente e può cambiare se il certificato SSL viene aggiornato:

    OCSP - URI:http://ocsp.msocsp.com
    CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
    CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
    

È possibile controllare la connettività della subnet usando questo comando da una macchina virtuale di test all'interno della subnet:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

Una connessione con esito positivo restituisce questa risposta:

OCSP Response Status: successful (0x0)

Accesso al server eventi

Azure Cache HPC usa gli endpoint del server eventi di Azure per monitorare l'integrità della cache e inviare informazioni di diagnostica.

Assicurarsi che la cache possa accedere in modo sicuro agli host nel dominio events.data.microsoft.com, ovvero aprire la porta TCP 443 per il traffico verso *.events.data.microsoft.com.

Autorizzazioni

Controllare questi prerequisiti relativi alle autorizzazioni prima di iniziare a creare la cache.

  • L'istanza della cache deve poter creare le interfacce di rete virtuale (NIC). L'utente che crea la cache deve disporre di privilegi sufficienti nella sottoscrizione per creare schede di interfaccia di rete.

  • Se si usa l'archiviazione BLOB, Azure Cache HPC necessita dell'autorizzazione per accedere all'account di archiviazione. Usare il controllo degli accessi in base al ruolo di Azure per concedere alla cache l'accesso all'archiviazione BLOB. Sono necessari due ruoli: Archiviazione Collaboratore account e Collaboratore dati BLOB Archiviazione.

    Seguire le istruzioni in Aggiungere destinazioni di archiviazione per aggiungere i ruoli.

infrastruttura Archiviazione

La cache supporta contenitori BLOB di Azure, esportazioni di archiviazione hardware NFS e contenitori BLOB ADLS montati su NFS. Aggiungere destinazioni di archiviazione dopo aver creato la cache.

Ogni tipo di archiviazione ha prerequisiti specifici.

Requisiti di archiviazione BLOB

Se si vuole usare l'archiviazione BLOB di Azure con la cache, è necessario un account di archiviazione compatibile e un contenitore BLOB vuoto o un contenitore popolato con Azure Cache HPC dati formattati come descritto in Spostare i dati nell'archivio BLOB di Azure.

Nota

Requisiti diversi si applicano all'archiviazione BLOB montata su NFS. Per informazioni dettagliate, leggere i requisiti di archiviazione ADLS-NFS.

Creare l'account prima di tentare di aggiungere una destinazione di archiviazione. È possibile creare un nuovo contenitore quando si aggiunge la destinazione.

Per creare un account di archiviazione compatibile, usare una di queste combinazioni:

Prestazioni Tipo Replica Livello di accesso
Standard Archiviazione v2 (utilizzo generico v2) Archiviazione con ridondanza locale o archiviazione con ridondanza della zona Alto
Premium BLOB in blocchi Archiviazione con ridondanza locale Alto

L'account di archiviazione deve essere accessibile dalla subnet privata della cache. Se l'account usa un endpoint privato o un endpoint pubblico limitato a reti virtuali specifiche, assicurarsi di abilitare l'accesso dalla subnet della cache. Non è consigliabile un endpoint pubblico aperto.

Per suggerimenti sull'uso di endpoint privati con Cache HPC destinazioni di archiviazione, vedere Usare endpoint privati.

È consigliabile usare un account di archiviazione nella stessa area di Azure della cache.

È anche necessario concedere all'applicazione cache l'accesso all'account di archiviazione di Azure, come indicato in Autorizzazioni precedenti. Seguire la procedura descritta in Aggiungere destinazioni di archiviazione per assegnare alla cache i ruoli di accesso necessari. Se non si è il proprietario dell'account di archiviazione, chiedere al proprietario di eseguire questo passaggio.

Requisiti di archiviazione NFS

Se si usa un sistema di archiviazione NFS (ad esempio, un sistema NAS hardware locale), assicurarsi che soddisfi questi requisiti. Potrebbe essere necessario collaborare con gli amministratori di rete o i gestori firewall per il sistema di archiviazione (o il data center) per verificare queste impostazioni.

Nota

Archiviazione la creazione della destinazione avrà esito negativo se la cache non ha accesso sufficiente al sistema di archiviazione NFS.

Per altre informazioni, vedere Risolvere i problemi di configurazione nas e destinazione di archiviazione NFS.

  • Connettività di rete: Azure Cache HPC richiede l'accesso alla rete a larghezza di banda elevata tra la subnet della cache e il data center del sistema NFS. È consigliabile usare ExpressRoute o un accesso simile. Se si usa una VPN, potrebbe essere necessario configurarlo per bloccare TCP MSS a 1350 per assicurarsi che i pacchetti di grandi dimensioni non siano bloccati. Per altre informazioni sulla risoluzione dei problemi relativi alle impostazioni VPN, vedere Restrizioni relative alle dimensioni dei pacchetti VPN.

  • Accesso alle porte: la cache deve accedere a porte TCP/UDP specifiche nel sistema di archiviazione. Diversi tipi di archiviazione hanno requisiti di porta diversi.

    Per controllare le impostazioni del sistema di archiviazione, seguire questa procedura.

    • Eseguire un rpcinfo comando al sistema di archiviazione per controllare le porte necessarie. Il comando seguente elenca le porte e formatta i risultati pertinenti in una tabella. (Usare l'indirizzo IP del sistema al posto di <> storage_IP termine.

      È possibile eseguire questo comando da qualsiasi client Linux in cui è installata l'infrastruttura NFS. Se si usa un client all'interno della subnet del cluster, può anche essere utile per verificare la connettività tra la subnet e il sistema di archiviazione.

      rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
      

    Assicurarsi che tutte le porte restituite dalla rpcinfo query consentano il traffico senza restrizioni dalla subnet di Azure Cache HPC.

    • Se non è possibile usare il rpcinfo comando , assicurarsi che queste porte usate comunemente consentano il traffico in ingresso e in uscita:

      Protocollo Port Servizioo
      TCP/UDP 111 rpcbind
      TCP/UDP 2049 NFS
      TCP/UDP 4045 nlockmgr
      TCP/UDP 4046 montaggio
      TCP/UDP 4047 stato

      Alcuni sistemi usano numeri di porta diversi per questi servizi: consultare la documentazione del sistema di archiviazione per assicurarsi.

    • Controllare le impostazioni del firewall per assicurarsi che consentano il traffico su tutte queste porte necessarie. Assicurarsi di controllare i firewall usati in Azure e i firewall locali nel data center.

  • L'archiviazione back-end NFS deve essere una piattaforma hardware/software compatibile. L'archiviazione deve supportare NFS versione 3 (NFSv3). Per informazioni dettagliate, contattare il team di Azure Cache HPC.

Requisiti di archiviazione dei BLOB montati su NFS (ADLS-NFS)

Azure Cache HPC può anche usare un contenitore BLOB montato con il protocollo NFS come destinazione di archiviazione.

Altre informazioni su questa funzionalità sono disponibili nel supporto del protocollo NFS 3.0 nell'archiviazione BLOB di Azure.

I requisiti dell'account di archiviazione sono diversi per una destinazione di archiviazione BLOB ADLS-NFS e per una destinazione di archiviazione BLOB standard. Seguire le istruzioni riportate in Montare l'archiviazione BLOB usando il protocollo NFS (Network File System) 3.0 con attenzione per creare e configurare l'account di archiviazione abilitato per NFS.

Questa è una panoramica generale dei passaggi. Questi passaggi possono cambiare, quindi fare sempre riferimento alle istruzioni ADLS-NFS per i dettagli correnti.

  1. Assicurarsi che le funzionalità necessarie siano disponibili nelle aree in cui si prevede di lavorare.

  2. Abilitare la funzionalità del protocollo NFS per la sottoscrizione. Eseguire questa operazione prima di creare l'account di archiviazione.

  3. Creare una rete virtuale sicura per l'account di archiviazione. È consigliabile usare la stessa rete virtuale per l'account di archiviazione abilitato per NFS e per l'Cache HPC di Azure. Non usare la stessa subnet della cache.

  4. Creare l'account di archiviazione.

    • Anziché usare le impostazioni dell'account di archiviazione per un account di archiviazione BLOB standard, seguire le istruzioni riportate nel documento sulle procedure. Il tipo di account di archiviazione supportato può variare in base all'area di Azure.

    • Nella sezione Rete scegliere un endpoint privato nella rete virtuale sicura creata (scelta consigliata) o scegliere un endpoint pubblico con accesso limitato dalla rete virtuale sicura.

      Per suggerimenti sull'uso di endpoint privati con Cache HPC destinazioni di archiviazione, vedere Usare endpoint privati.

    • Non dimenticare di completare la sezione Avanzate, in cui si abilita l'accesso NFS.

    • Concedere all'applicazione cache l'accesso all'account di archiviazione di Azure, come indicato in Autorizzazioni precedenti. È possibile eseguire questa operazione la prima volta che si crea una destinazione di archiviazione. Seguire la procedura descritta in Aggiungere destinazioni di archiviazione per assegnare alla cache i ruoli di accesso necessari.

      Se non si è il proprietario dell'account di archiviazione, chiedere al proprietario di eseguire questo passaggio.

Altre informazioni sull'uso delle destinazioni di archiviazione ADLS-NFS con Azure Cache HPC in Usare l'archiviazione BLOB montata su NFS con Azure Cache HPC.

Usare endpoint privati

Archiviazione di Azure supporta endpoint privati per consentire l'accesso sicuro ai dati. È possibile usare endpoint privati con blob di Azure o destinazioni di archiviazione BLOB montate su NFS.

Altre informazioni sugli endpoint privati

Un endpoint privato fornisce un indirizzo IP specifico usato dal Cache HPC per comunicare con il sistema di archiviazione back-end. Se l'indirizzo IP cambia, la cache non può ristabilire automaticamente una connessione con l'archiviazione.

Se è necessario modificare la configurazione di un endpoint privato, seguire questa procedura per evitare problemi di comunicazione tra l'archiviazione e il Cache HPC:

  1. Sospendere la destinazione di archiviazione (o tutte le destinazioni di archiviazione che usano questo endpoint privato).
  2. Apportare modifiche all'endpoint privato e salvare tali modifiche.
  3. Ripristinare la destinazione di archiviazione nel servizio con il comando "resume".
  4. Aggiornare l'impostazione DNS della destinazione di archiviazione.

Leggere Visualizzare e gestire le destinazioni di archiviazione per informazioni su come sospendere, riprendere e aggiornare IL DNS per le destinazioni di archiviazione.

Configurare l'accesso all'interfaccia della riga di comando di Azure (facoltativo)

Se si vuole creare o gestire Cache HPC di Azure dall'interfaccia della riga di comando di Azure, è necessario installare l'interfaccia della riga di comando di Azure e l'estensione hpc-cache. Seguire le istruzioni in Configurare l'interfaccia della riga di comando di Azure per Azure Cache HPC.

Passaggi successivi