Zarządzanie tożsamościami i dostępem dla usługi Azure HPC
W tym artykule omówiono zagadnienia i zalecenia opisane w artykule projektowania zarządzania tożsamościami i dostępem na platformie Azure. Może to pomóc w zbadania zagadnień projektowych dotyczących zarządzania tożsamościami i dostępem, które są specyficzne dla wdrożenia na platformie Azure aplikacji HPC.
Microsoft Entra Domain Services zapewnia zarządzane usługi domenowe, takie jak przyłączanie do domeny i zasady Grupy. Zapewnia również dostęp do starszych protokołów uwierzytelniania, takich jak uproszczony protokół dostępu do katalogów (LDAP) i uwierzytelnianie Kerberos/NTLM. Usługi Microsoft Entra Domain Services integrują się z istniejącą dzierżawą firmy Microsoft Entra. Ta integracja umożliwia użytkownikom logowanie się do usług i aplikacji połączonych z domeną zarządzaną przy użyciu istniejących poświadczeń w usłudze Microsoft Entra ID. Możesz również użyć istniejących grup i kont użytkowników, aby ułatwić zabezpieczanie dostępu do zasobów. Te funkcje zapewniają bezproblemowe przenoszenie zasobów lokalnych na platformę Azure, szczególnie w środowiskach hybrydowych.
Aby uzyskać więcej informacji, zobacz zalecenia dotyczące projektowania dotyczące dostępu do platformy i tożsamości platformy Azure i dostępu do stref docelowych.
Zagadnienia dotyczące projektowania
Implementacja HPC korzysta z infrastruktury strefy lądowania platformy Azure dla zapewnienia zarządzania bezpieczeństwem, tożsamością i dostępem. Podczas wdrażania aplikacji HPC należy pamiętać o następujących zagadnieniach projektowych:
Określ administrację zasobów platformy Azure wymaganą przez różnych członków zespołu. Rozważ udostępnienie tym członkom zespołu z podwyższonym poziomem uprawnień dostępu do administrowania zasobami platformy Azure w środowisku nieprodukcyjnym.
- Na przykład nadaj im rolę współautora maszyny wirtualnej.
- Możesz również przyznać członkom zespołu częściowy poziom podwyższonego dostępu administracyjnego, na przykład częściową rolę Współtwórcy maszyny wirtualnej w środowisku produkcyjnym.
Obie opcje osiągną dobrą równowagę między rozdzieleniem obowiązków i wydajnością operacyjną.
Przejrzyj działania związane z administracją i zarządzaniem platformą Azure, które wymagają wykonania przez zespoły. Rozważ swoje środowisko HPC na platformie Azure. Określ najlepszą możliwą dystrybucję obowiązków w organizacji.
Poniżej przedstawiono typowe działania platformy Azure dotyczące administrowania i zarządzania:
Zasób platformy Azure Dostawca zasobów platformy Azure Działania Maszyny wirtualne Microsoft.Compute/virtualMachines Uruchamianie, zatrzymywanie, ponowne uruchamianie, cofanie przydziału, wdrażanie, ponowne wdrażanie, zmienianie i zmienianie rozmiaru maszyn wirtualnych. Zarządzaj rozszerzeniami, zestawami dostępności i grupami umieszczania w pobliżu. VMs Microsoft.Compute/disks Odczyt i zapis na dysku. Przechowywanie Microsoft.Storage Odczytywanie i wprowadzanie zmian na rachunkach magazynowych, na przykład na koncie magazynowym diagnostyki rozruchu. Składowanie Microsoft.NetApp Odczytywanie i wprowadzanie zmian w pulach pojemności i woluminach usługi NetApp. Składowanie Microsoft.NetApp Tworzenie migawek usługi Azure NetApp Files. Magazynowanie Microsoft.NetApp Użyj międzyregionalnej replikacji usługi Azure NetApp Files. Sieci Microsoft.Network/networkInterfaces Odczytywanie, tworzenie i zmienianie interfejsów sieciowych. Sieci Microsoft.Network/loadBalancers Odczytywanie, tworzenie i zmienianie modułów równoważenia obciążenia. Sieci Microsoft.Network/networkSecurityGroups Przeczytaj grupy zabezpieczeń sieciowych. Nawiązywanie kontaktów Microsoft.Network/azureFirewalls Odczytywanie zapór. Sieci Microsoft.Network/virtualNetworks Odczytywanie, tworzenie i zmienianie interfejsów sieciowych.
Rozważ odpowiedni dostęp wymagany dla grupy zasobów sieci wirtualnej i powiązany dostęp, jeśli różni się on od grupy zasobów maszyn wirtualnych.Typowa konfiguracja HPC obejmuje interfejs frontowy do przesyłania zadań, harmonizator zadań lub orkiestratora, klaster obliczeniowy i przechowywanie współdzielone. Zadania można przesyłać ze środowiska lokalnego i/lub w chmurze. Zagadnienia dotyczące zarządzania tożsamościami i dostępem dla użytkowników i urządzeń wizualizacji mogą się różnić w zależności od standardów przedsiębiorstwa.
Rozważ usługę uwierzytelniania firmy Microsoft, której używasz. W zależności od używanego koordynatora zasobów obliczeniowych HPC obsługiwane są różne metody uwierzytelniania, zgodnie z opisem w tym miejscu.
- azure CycleCloud udostępnia trzy metody uwierzytelniania: wbudowaną bazę danych z szyfrowaniem, usługą Active Directory i protokołem LDAP.
- usługa Azure Batch obsługuje dwie metody uwierzytelniania: klucz współużytkowany i identyfikator Entra firmy Microsoft.
- Jeśli chcesz rozszerzyć możliwości lokalne na środowisko hybrydowe, możesz uwierzytelnić się za pomocą usługi Active Directory przy użyciu kontrolera domeny tylko do odczytu hostowanego na platformie Azure. Takie podejście minimalizuje ruch przez łącze. Ta integracja umożliwia użytkownikom używanie istniejących poświadczeń do logowania się do usług i aplikacji połączonych z domeną zarządzaną. Możesz również użyć istniejących grup i kont użytkowników, aby ułatwić zabezpieczanie dostępu do zasobów. Te funkcje zapewniają bezproblemowe przenoszenie zasobów lokalnych na platformę Azure.
- Obecnie węzły pakietu HPC Pack
muszą być przyłączone do domeny usługi Active Directory. Jeśli wdrażasz klaster HPC Pack w sieci wirtualnej, która ma sieć VPN typu lokacja-lokacja lub połączenie Azure ExpressRoute z siecią firmową i zasady zapory zezwalają na dostęp do kontrolerów domeny Active Directory, zazwyczaj istnieje już domena Active Directory. Jeśli nie masz domeny usługi Active Directory w sieci wirtualnej, możesz go utworzyć, promując węzeł główny jako kontroler domeny. Inną opcją jest użycie usługi Microsoft Entra Domain Services, aby umożliwić dołączenie węzłów pakietu HPC do tej usługi zamiast lokalnych kontrolerów domeny Active Directory. Jeśli węzły główne zostaną wdrożone na platformie Azure, ważne jest, aby określić, czy użytkownicy lokalni będą przesyłać zadania. Jeśli użytkownicy zdalni przesyłają zadania, należy użyć usługi Active Directory, ponieważ zapewnia lepsze środowisko pracy i umożliwia prawidłowe używanie certyfikatów do uwierzytelniania. W przeciwnym razie, jeśli używasz usług Microsoft Entra Domain Services zamiast usługi Active Directory, klienci zdalni będą musieli używać usługi interfejsu API REST do przesyłania zadań.
Aby uzyskać więcej informacji, zobacz Zalecenia projektowe dotyczące dostępu do platformy i Tożsamość i dostęp platformy Azure dla stref docelowych.
Zagadnienia dotyczące projektowania dla przemysłu energetycznego
Oprócz powyższych zagadnień należy wziąć pod uwagę te kwestie.
Dwa typowe typy wdrożeń w obciążeniach przemysłu naftowego i gazowego to
Zarówno modele chmury, jak i chmury hybrydowej mogą mieć własną unikatową tożsamość i potrzeby dostępu, które mają wpływ na typ rozwiązania usługi Active Directory do wdrożenia.
Obciążenia w modelu wdrażania tylko w chmurze wykorzystują Microsoft Entra ID do uwierzytelniania usługi Azure Service Fabric, podczas gdy model chmury hybrydowej HPC używa rozwiązania tożsamości hybrydowej Microsoft Entra do uwierzytelniania. Niezależnie od typu wdrożenia klienci systemu Linux i rozwiązania magazynu zgodne ze standardem POSIX wymagają starszej obsługi usługi Active Directory za pośrednictwem usług Microsoft Entra Domain Services.
Zagadnienia dotyczące projektowania dla przemysłu produkcyjnego
Na poniższym diagramie przedstawiono architekturę referencyjną produkcji, która używa usługi CycleCloud do uwierzytelniania:
Na tym diagramie przedstawiono architekturę produkcyjną, która używa usługi Batch do uwierzytelniania:
Następne kroki
Poniższe artykuły zawierają wskazówki dotyczące różnych etapów procesu wdrażania chmury. Te zasoby mogą pomóc w pomyślnym wdrożeniu środowisk HPC dla chmury.