Uw Azure-abonnement configureren
Als u Azure CycleCloud wilt uitvoeren, hebt u een geldig Azure-abonnement en Virtual Network nodig.
Over het algemeen zijn het maken en configureren van Azure-tenants en -abonnementen zakelijke beslissingen buiten het bereik van de Azure CycleCloud-documentatie. Omdat HPC- en big compute-toepassingen in het algemeen echter resource-intensief zijn, is het de moeite waard om een speciaal abonnement te maken om facturering bij te houden, gebruikslimieten toe te passen en resource- en API-gebruik te isoleren. Zie Azure-abonnementsbeheer voor meer informatie over het ontwerpen van uw Azure-tenant en -abonnementen.
Een virtueel netwerk configureren
U moet een bestaande Azure-Virtual Network en subnetten selecteren of een nieuwe Virtual Network maken waarin de CycleCloud-VM en de rekenclusters worden uitgevoerd die worden beheerd door CycleCloud.
Als de Virtual Network nog niet is gemaakt, kunt u overwegen om te beginnen met de opgegeven CycleCloud ARM-sjabloonimplementatie. De CycleCloud ARM-sjabloon maakt een nieuw virtueel netwerk voor CycleCloud en de rekenclusters tijdens de implementatie. U kunt ook deze instructies volgen om een nieuwe Virtual Network te maken.
Als Express Route of VPN nog niet is geconfigureerd voor uw Virtual Network, is het mogelijk om verbinding te maken met uw Virtual Network via het openbare internet, maar het wordt sterk aanbevolen om een VPN Gateway te configureren.
Een subnet en netwerkbeveiligingsgroep configureren
Aangezien CycleCloud over het algemeen verschillende netwerkbeveiligingsvereisten en toegangsbeleid heeft dan de rekenclusters, is het vaak raadzaam om Azure CycleCloud uit te voeren in een ander Azure-subnet dan de clusters.
De aanbevolen procedure is om ten minste twee subnetten te gebruiken: één voor de CycleCloud-VM en andere VM's met hetzelfde toegangsbeleid en aanvullende subnetten voor de rekenclusters. Houd er echter rekening mee dat voor grote clusters het IP-bereik van het subnet een beperkingsfactor kan worden. In het algemeen moet het CycleCloud-subnet dus een klein CIDR-bereik gebruiken en moeten subnetten groot zijn.
Volg de instructies hier om een of meer subnetten in uw Virtual Network te maken.
Meerdere subnetten gebruiken voor berekening
CycleCloud-clusters kunnen worden geconfigureerd voor het uitvoeren van knooppunten en knooppuntarrays in meerdere subnetten, zolang alle VM's binnen het cluster en met CycleCloud kunnen communiceren (mogelijk via Return Proxy). Het is bijvoorbeeld vaak handig om het scheduler-knooppunt of de submitter-knooppunten in een subnet te starten met verschillende beveiligingsregels van de uitvoerknooppunten. Bij de standaardclustertypen in CycleCloud wordt uitgegaan van één subnet voor het hele cluster, maar het subnet kan per knooppunt of nodearray worden geconfigureerd met behulp van het SubnetId kenmerk in de knooppuntsjabloon.
De standaard hostnaamomzetting op basis van hosts die is toegepast op CycleCloud-clusters genereert echter standaard alleen een hosts-bestand voor het subnet van het knooppunt. Dus bij het maken van een cluster dat meerdere subnetten omvat, moet hostnaamomzetting ook worden aangepast voor het cluster.
Er zijn twee basisclustersjabloonwijzigingen vereist om meerdere rekensubnetten te ondersteunen:
- Stel het
SubnetIdkenmerk in op elk knooppunt of knooppuntmaarray dat zich niet in het standaardsubnet voor het cluster bevindt. - Configureer hostnaamomzetting voor alle subnetten door:
- Een Azure DNS-zone gebruiken en de standaardoplossing voor hosts op basis van bestanden uitschakelen
- Of stel het
CycleCloud.hosts.standalone_dns.subnetskenmerk in op CIDR-bereik van het VNet of op een door komma's gescheiden lijst met CIDR-bereiken voor elk subnet. Zie de naslaginformatie voor knooppuntconfiguratie voor meer informatie.
Instellingen voor netwerkbeveiligingsgroepen voor het CycleCloud-subnet
Het configureren van uw Azure Virtual Network voor beveiliging is een breed onderwerp, dat veel verder gaat dan het bereik van dit document.
CycleCloud- en CycleCloud-clusters werken mogelijk in zeer vergrendelde omgevingen. Zie Uitvoeren in vergrendelde netwerken en uitvoeren achter een proxy voor configuratiedetails.
Voor minder beperkende netwerken zijn er echter enkele algemene richtlijnen. Ten eerste vereisen Gebruikers van cycleCloud GUI toegang tot de CycleCloud-VM via HTTPS en beheerders hebben mogelijk SSH-toegang nodig. Clustergebruikers hebben over het algemeen SSH-toegang nodig tot ten minste de inzendingsknooppunten in de rekenclusters en mogelijk andere toegang, zoals RDP voor Windows-clusters. De laatste algemene regel is om de toegang tot het vereiste minimum te beperken.
Als u een nieuwe netwerkbeveiligingsgroep wilt maken voor elk van de hierboven gemaakte subnetten, volgt u de handleiding voor het maken van een netwerkbeveiligingsgroep.
Inkomende beveiligingsregels
Belangrijk
Bij de volgende regels wordt ervan uitgegaan dat uw virtuele netwerk is geconfigureerd met Express Route of VPN voor toegang tot privénetwerken. Als de bron wordt uitgevoerd via het openbare internet, moet de bron worden gewijzigd in uw openbare IP-adres of bedrijfs-IP-bereik.
CycleCloud VM-subnet
| Naam | Prioriteit | Bron | Service | Protocol | Poortbereik |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | Aangepast telefoonnummer | TCP | 22 |
| HTTPS | 110 | VirtualNetwork | Aangepast telefoonnummer | TCP | 443 |
| HTTPS | 110 | VirtualNetwork | Aangepast telefoonnummer | TCP | 9443 |
Subnetten berekenen
| Naam | Prioriteit | Bron | Service | Protocol | Poortbereik |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | Aangepast telefoonnummer | TCP | 22 |
| RDP | 110 | VirtualNetwork | Aangepast telefoonnummer | TCP | 3389 |
| Ganglia | 120 | VirtualNetwork | Aangepast telefoonnummer | TCP | 8652 |
Uitgaande beveiligingsregels
Over het algemeen verwachten de CycleCloud-VM en de rekenclusters toegang te hebben tot internet voor pakketinstallatie en Azure REST API-aanroepen.
Als uitgaande internettoegang wordt geblokkeerd door beveiligingsbeleid, volgt u de instructies voor uitvoeren in vergrendelde netwerken en achter een proxy voor configuratiedetails.