Gerenciamento de identidade e acesso para o Azure HPC

Este artigo baseia-se em considerações e recomendações descritas no artigo design de gerenciamento de identidade e acesso do Azure. Ele pode ajudá-lo a examinar considerações de design para gerenciamento de identidade e acesso que são específicas para a implantação, no Azure, de aplicativos HPC.

Microsoft Entra Domain Services fornece serviços de domínio geridos, como associação ao domínio e Diretiva de Grupo. Ele também fornece acesso a protocolos de autenticação herdados, como LDAP (lightweight directory access protocol) e autenticação Kerberos/NTLM. Os Serviços de Domínio do Microsoft Entra integram-se com o seu inquilino existente do Microsoft Entra. Essa integração permite que os usuários entrem em serviços e aplicativos conectados ao domínio gerenciado usando suas credenciais existentes no Microsoft Entra ID. Você também pode usar grupos e contas de usuário existentes para ajudar a proteger o acesso aos recursos. Esses recursos fornecem um levantamento e deslocamento mais suave de recursos locais para o Azure, especialmente para ambientes híbridos.

Para obter mais informações, consulte as recomendações de design para acesso à plataforma e a identidade e o acesso do Azure para zonas de aterrissagem.

Considerações de design

A implementação de HPC utiliza a configuração da infraestrutura da zona de aterragem do Azure para gestão de identidade e acesso de segurança. Tenha em mente as seguintes considerações de design ao implantar seu aplicativo HPC:

• Determine a administração de recursos do Azure exigida por vários membros da equipe. Considere fornecer a esses membros da equipe acesso elevado à administração de recursos do Azure em um ambiente que não seja de produção.

  • Por exemplo, dê-lhes uma função de Colaborador de Máquina Virtual .
  • Você também pode conceder aos membros da equipe acesso de administração parcialmente elevado, como uma função parcial de Colaborador de Máquina Virtual em um ambiente de produção.

  Ambas as opções alcançam um bom equilíbrio entre separação de funções e eficiência operacional.

• Analise as atividades de administração e gerenciamento do Azure que você precisa que suas equipes façam. Considere o seu HPC no ecossistema Azure. Determine a melhor distribuição possível de responsabilidades dentro da sua organização.

  Aqui estão as atividades comuns do Azure para administração e gerenciamento:

  Recurso do Azure	Provedor de recursos do Azure	Atividades
  Máquinas virtuais (VMs)	Microsoft.Compute/virtualMachines	Iniciar, parar, reiniciar, deslocalizar, implantar, reimplantar, alterar e redimensionar VMs. Gerencie extensões, conjuntos de disponibilidade e grupos de posicionamento de proximidade.
  VMs (Máquinas Virtuais)	Microsoft.Compute/discos	Ler e gravar em disco.
  Armazenamento	Microsoft.Armazenamento	Leia e faça alterações nas contas de armazenamento, tais como uma conta de armazenamento de diagnóstico de inicialização.
  Armazenamento	Microsoft.NetApp	Leia e faça alterações nos pools de capacidade e volumes da NetApp.
  Armazenamento	Microsoft.NetApp	Capture instantâneos dos Arquivos Azure NetApp.
  Armazenamento	Microsoft.NetApp	Utilizar a replicação entre regiões do Azure NetApp Files.
  Ligação em rede	Microsoft.Network/networkInterfaces	Leia, crie e altere interfaces de rede.
  Ligação em rede	Microsoft.Network/loadBalancers	Leia, crie e altere balanceadores de carga.
  Ligação em rede	Microsoft.Network/networkSecurityGroups	Leia os grupos de segurança de rede.
  Ligação em rede	Microsoft.Network/azureFirewalls	Leia firewalls.
  Ligação em rede	Microsoft.Network/virtualNetworks	Leia, crie e altere interfaces de rede. Considere o acesso relevante necessário para o grupo de recursos da rede virtual e o acesso relacionado, se for diferente do grupo de recursos das VMs.

• Uma configuração HPC típica inclui um front-end para enviar trabalhos, um agendador ou orquestrador de tarefas, um cluster de computação e armazenamento compartilhado. Os trabalhos podem ser enviados no local e/ou na nuvem. As considerações de gerenciamento de identidade e acesso para usuários e dispositivos de visualização podem variar dependendo dos padrões corporativos.

• Considere o serviço de autenticação da Microsoft que você usa. Dependendo do orquestrador de recursos de computação HPC que você usa, vários métodos de autenticação são suportados, conforme descrito aqui.

  • Azure CycleCloud fornece três métodos de autenticação: um banco de dados interno com criptografia, Ative Directory e LDAP.
  • Azure Batch suporta dois métodos de autenticação: Chave Partilhada e ID do Microsoft Entra.
  • Se quiser estender seus recursos locais para um ambiente híbrido, você pode autenticar por meio do Ative Directory com um controlador de domínio somente leitura hospedado no Azure. Essa abordagem minimiza o tráfego no link. Essa integração fornece uma maneira para os usuários usarem suas credenciais existentes para entrar em serviços e aplicativos conectados ao domínio gerenciado. Você também pode usar grupos e contas de usuário existentes para ajudar a proteger o acesso aos recursos. Esses recursos fornecem um levantamento e deslocamento mais suave de recursos locais para o Azure.
  • Atualmente, nós de do HPC Pack devem ser associados a um domínio do Ative Directory. Se você estiver implantando o cluster HPC Pack em uma rede virtual que tenha uma conexão VPN site a site ou Rota Expressa do Azure à sua rede corporativa (e as regras de firewall permitem acesso aos Controladores de domínio do Ative Directory), normalmente já há um domínio do Ative Directory. Se você não tiver um domínio do Ative Directory em sua rede virtual, poderá optar por criar um promovendo o nó principal como controlador de domínio. Outra opção é usar os Serviços de Domínio do Microsoft Entra para permitir que os nós do Pacote HPC sejam associados a esse serviço em comparação com os controladores de domínio do Ative Directory locais. Se os nós principais forem implantados no Azure, é importante determinar se os usuários remotos locais enviarão trabalhos. Se os usuários remotos estiverem enviando trabalhos, você deve usar o Ative Directory porque ele fornece uma experiência melhor e permite que os certificados sejam usados corretamente para autenticação. Caso contrário, se você estiver usando os Serviços de Domínio Microsoft Entra em vez do Ative Directory, os clientes remotos precisarão usar o serviço de API REST para enviar trabalhos.

Para obter mais informações, consulte Recomendações de design para acesso à plataforma e identidade e acesso do Azure para Zonas de Destino.

Considerações de design para a indústria de energia

Para além das considerações precedentes, tenha em conta estas considerações.

Dois tipos comuns de implantação em cargas de trabalho do setor de petróleo e gás são apenas na nuvem e modelos de de nuvem híbrida. Embora seja menos complexo ter todos os seus recursos de computação, armazenamento e visualização na nuvem, as empresas às vezes usam um modelo híbrido devido a várias restrições de negócios para cargas de trabalho HPC sísmicas e de simulação de reservatório.

Tanto os modelos somente nuvem quanto os modelos de nuvem híbrida podem ter suas próprias necessidades exclusivas de identidade e acesso que afetam o tipo de solução do Ative Directory a ser adotada.

As cargas de trabalho no modelo de implantação somente na nuvem usam a ID do Microsoft Entra para autenticação de malha de serviço do Azure, enquanto o modelo de nuvem híbrida HPC usa a solução de identidade híbrida Microsoft Entra para autenticação. Independentemente do tipo de implantação, os clientes Linux e as soluções de armazenamento compatíveis com POSIX exigem suporte herdado ao Ative Directory por meio dos Serviços de Domínio Microsoft Entra.

Considerações de design para a indústria de manufatura

O diagrama a seguir mostra uma arquitetura de referência de fabricação que usa o CycleCloud para autenticação:

Este diagrama mostra uma arquitetura de fabricação que usa Batch para autenticação:

Próximos passos

Os artigos a seguir fornecem orientação para vários estágios do processo de adoção da nuvem. Esses recursos podem ajudá-lo a adotar ambientes HPC para a nuvem.

• Ofertas de faturação do Azure e locatários da Microsoft Entra
• Gestão
• Organização de recursos
• Seguro
• Armazenamento
• acelerador de zona de aterragem HPC
• topologia e conectividade de rede HPC
• Compute cargas de trabalho de aplicativos HPC em grande escala em VMs do Azure