Azure 구독 구성
Azure CycleCloud를 실행하려면 유효한 Azure 구독 및 Virtual Network 필요합니다.
일반적으로 Azure 테넌트 및 구독 만들기 및 구성 결정은 Azure CycleCloud 설명서의 범위를 벗어난 비즈니스 의사 결정입니다. 그러나 일반적으로 HPC 및 대형 컴퓨팅 애플리케이션은 리소스를 많이 사용하므로 청구를 추적하고, 사용 제한을 적용하고, 리소스 및 API 사용을 격리하는 전용 구독을 만드는 것이 좋습니다. Azure 테넌트 및 구독 디자인에 대한 자세한 내용은 Azure 구독 관리를 참조하세요.
Virtual Network 구성
기존 Azure Virtual Network 및 서브넷을 선택하거나 CycleCloud VM 및 CycleCloud에서 관리할 컴퓨팅 클러스터를 실행할 새 Virtual Network 만들어야 합니다.
Virtual Network 아직 만들어지지 않은 경우 제공된 CycleCloud ARM 템플릿 배포부터 시작하는 것이 좋습니다. CycleCloud ARM 템플릿은 배포 시 CycleCloud 및 컴퓨팅 클러스터에 대한 새 가상 네트워크를 만듭니다. 또는 다음 지침에 따라 새 Virtual Network 만들 수 있습니다.
다음으로, Express Route 또는 VPN이 Virtual Network 대해 아직 구성되지 않은 경우 공용 인터넷을 통해 Virtual Network 연결할 수 있지만 VPN Gateway 구성하는 것이 좋습니다.
서브넷 및 네트워크 보안 그룹 구성
CycleCloud에는 일반적으로 컴퓨팅 클러스터와는 다른 네트워크 보안 요구 사항 및 액세스 정책이 있으므로 클러스터와 다른 Azure 서브넷에서 Azure CycleCloud를 실행하는 것이 좋습니다.
권장되는 모범 사례는 두 개 이상의 서브넷을 사용하는 것입니다. 하나는 CycleCloud VM에 대해, 다른 VM은 동일한 액세스 정책을 사용하며 컴퓨팅 클러스터에는 추가 서브넷을 사용하는 것입니다. 그러나 대규모 클러스터의 경우 서브넷의 IP 범위가 제한 요인이 될 수 있습니다. 따라서 일반적으로 CycleCloud 서브넷은 작은 CIDR 범위를 사용해야 하며 컴퓨팅 서브넷은 커야 합니다.
여기의 지침에 따라 Virtual Network 하나 이상의 서브넷을 만듭니다.
컴퓨팅에 여러 서브넷 사용
모든 VM이 클러스터 내에서 그리고 CycleCloud( 반환 프록시를 통해)와 통신할 수 있는 한 CycleCloud 클러스터는 여러 서브넷에서 노드 및 nodearray를 실행하도록 구성할 수 있습니다. 예를 들어 실행 노드와 다른 보안 규칙을 사용하여 서브넷에서 스케줄러 노드 또는 제출자 노드를 시작하는 것이 유용한 경우가 많습니다. CycleCloud의 기본 클러스터 유형은 전체 클러스터에 대해 단일 서브넷을 가정하지만 노드 템플릿의 특성을 사용하여 SubnetId 노드 또는 nodearray별로 서브넷을 구성할 수 있습니다.
그러나 CycleCloud 클러스터에 적용되는 기본 호스트 파일 기반 호스트 이름 확인은 기본적으로 노드의 서브넷에 대한 호스트 파일만 생성합니다. 따라서 여러 서브넷에 걸쳐 있는 클러스터를 만들 때 클러스터에 대한 호스트 이름 확인도 사용자 지정해야 합니다.
여러 컴퓨팅 서브넷을 지원하는 데 필요한 두 가지 기본 클러스터 템플릿 변경 내용이 있습니다.
- 클러스터의
SubnetId기본 서브넷에 없는 각 노드 또는 nodearray에 특성을 설정합니다. - 다음 중 하나를 통해 모든 서브넷에 대한 호스트 이름 확인을 구성합니다.
- Azure DNS 영역 사용 및 기본 호스트 파일 기반 확인 비활성화
- 또는 특성을 VNet의 CIDR 범위 또는 각 서브넷에 대해 쉼표로 구분된 CIDR 범위 목록으로 설정합니다
CycleCloud.hosts.standalone_dns.subnets. 자세한 내용은 노드 구성 참조 를 참조하세요.
CycleCloud 서브넷에 대한 네트워크 보안 그룹 설정
보안을 위해 Azure Virtual Network 구성하는 것은 이 문서의 범위를 벗어나는 광범위한 항목입니다.
CycleCloud 및 CycleCloud 클러스터는 매우 잠긴 환경에서 작동할 수 있습니다. 구성 세부 정보는 잠긴 네트워크에서 실행 및 프록시 뒤에서 실행을 참조하세요.
그러나 덜 제한적인 네트워크의 경우 몇 가지 일반적인 지침이 있습니다. 먼저 CycleCloud GUI 사용자는 HTTPS를 통해 CycleCloud VM에 액세스해야 하며 관리자는 SSH 액세스가 필요할 수 있습니다. 클러스터 사용자는 일반적으로 컴퓨팅 클러스터의 제출 노드 및 Windows 클러스터용 RDP와 같은 잠재적으로 다른 액세스에 대한 SSH 액세스가 필요합니다. 마지막 일반적인 규칙은 필요한 최소값으로 액세스를 제한하는 것입니다.
위에서 만든 각 서브넷에 대해 새 네트워크 보안 그룹을 만들려면 가이드에 따라 네트워크 보안 그룹을 만듭니다.
인바운드 보안 규칙
중요
다음 규칙은 가상 네트워크가 프라이빗 네트워크 액세스를 위해 Express Route 또는 VPN으로 구성되어 있다고 가정합니다. 공용 인터넷을 통해 실행하는 경우 원본을 공용 IP 주소 또는 회사 IP 범위로 변경해야 합니다.
CycleCloud VM 서브넷
| 이름 | 우선 순위 | 원본 | 서비스 | 프로토콜 | 포트 범위 |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | 사용자 지정 | TCP | 22 |
| HTTPS | 110 | VirtualNetwork | 사용자 지정 | TCP | 443 |
| HTTPS | 110 | VirtualNetwork | 사용자 지정 | TCP | 9443 |
컴퓨팅 서브넷
| 이름 | 우선 순위 | 원본 | 서비스 | 프로토콜 | 포트 범위 |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | 사용자 지정 | TCP | 22 |
| RDP | 110 | VirtualNetwork | 사용자 지정 | TCP | 3389 |
| 중추 | 120 | VirtualNetwork | 사용자 지정 | TCP | 8652 |
아웃바운드 보안 규칙
일반적으로 CycleCloud VM 및 컴퓨팅 클러스터는 패키지 설치 및 Azure REST API 호출을 위해 인터넷에 액세스할 수 있을 것으로 예상합니다.
보안 정책에 의해 아웃바운드 인터넷 액세스가 차단된 경우 잠긴 네트워크에서 실행하고프록시 뒤에서 실행 하기 위한 지침에 따라 구성 세부 정보를 확인합니다.