Настройка подписки Azure
Чтобы запустить Azure CycleCloud, вам потребуется действительная подписка Azure и виртуальная сеть.
Как правило, решения по созданию клиента и подписки Azure и настройке являются бизнес-решениями за пределами документации по Azure CycleCloud. Однако поскольку HPC и большие вычислительные приложения в целом являются ресурсоемкими, стоит рассмотреть возможность создания выделенной подписки для отслеживания выставления счетов, применения ограничений использования и изоляции ресурсов и использования API. Дополнительные сведения о проектировании клиента и подписок Azure см. в статье "Управление подписками Azure".
Настройка виртуальной сети
Вам потребуется выбрать существующие виртуальная сеть и подсети Azure или создать новую виртуальная сеть, в которой будет выполняться виртуальная машина CycleCloud и вычислительные кластеры, которыми будет управлять CycleCloud.
Если виртуальная сеть еще не создан, может потребоваться начать с предоставленного развертывания шаблона ARM CycleCloud. Шаблон Arm CycleCloud создает виртуальную сеть для CycleCloud и вычислительных кластеров во время развертывания. Кроме того, можно выполнить следующие инструкции, чтобы создать новый виртуальная сеть.
Затем, если express Route или VPN еще не настроены для виртуальная сеть, можно подключиться к виртуальная сеть через общедоступный Интернет, но настоятельно рекомендуется настроить VPN-шлюз.
Настройка подсети и группы безопасности сети
Так как CycleCloud обычно имеет разные требования к безопасности сети и политики доступа, чем вычислительные кластеры, часто рекомендуется запускать Azure CycleCloud в другой подсети Azure из кластеров.
Рекомендуется использовать по крайней мере две подсети: одну для виртуальной машины CycleCloud и всех других виртуальных машин с теми же политиками доступа, а также дополнительные подсети для вычислительных кластеров. Однако помните, что для больших кластеров диапазон IP-адресов подсети может стать ограничивающим фактором. Таким образом, как правило, подсеть CycleCloud должна использовать небольшой диапазон CIDR, а вычислительные подсети должны быть большими.
Следуйте инструкциям, чтобы создать одну или несколько подсетей в виртуальная сеть.
Использование нескольких подсетей для вычислений
Кластеры CycleCloud могут быть настроены для запуска узлов и узлов в нескольких подсетях, если все виртуальные машины могут взаимодействовать в кластере и с помощью CycleCloud (возможно, через обратный прокси-сервер). Например, часто бывает полезно запустить узел планировщика или узлы отправителя в подсети с разными правилами безопасности из узлов выполнения. Типы кластеров по умолчанию в CycleCloud предполагают одну подсеть для всего кластера, но подсеть может быть настроена на узел или nodearray с помощью SubnetId атрибута в шаблоне узла.
Однако разрешение имен узлов на основе файлов узлов по умолчанию, применяемое к кластерам CycleCloud, по умолчанию создает файл hosts-file для подсети узла. Таким образом, при создании кластера, охватывающего несколько подсетей, разрешение имен узлов также должно быть настроено для кластера.
Для поддержки нескольких подсетей вычислений требуются 2 основных изменения шаблона кластера:
-
SubnetIdЗадайте атрибут на каждом узле или nodearray, который не находится в подсети по умолчанию для кластера. - Настройте разрешение имен узлов для всех подсетей, выполнив одно из следующих действий:
- Использование зоны Azure DNS и отключение разрешения на основе файлов на основе узлов по умолчанию
- Либо задайте для атрибута
CycleCloud.hosts.standalone_dns.subnetsдиапазон CIDR виртуальной сети или разделенный запятыми список диапазонов CIDR для каждой подсети. Дополнительные сведения см. в справочнике по конфигурации узла .
Параметры группы безопасности сети для подсети CycleCloud
Настройка виртуальная сеть Azure для обеспечения безопасности является широкой темой, далеко за пределами этого документа.
Кластеры CycleCloud и CycleCloud могут работать в очень заблокированных средах. Дополнительные сведения о конфигурации см. в разделе "Выполняется в заблокированных сетях " и "Выполняется за прокси-сервером ".
Однако для менее строгих сетей существует несколько общих рекомендаций. Во-первых, пользователям графического интерфейса CycleCloud требуется доступ к виртуальной машине CycleCloud через HTTPS, а администраторам может потребоваться доступ по протоколу SSH. Пользователям кластера обычно требуется доступ по протоколу SSH по крайней мере к узлам отправки в вычислительных кластерах и, возможно, другим доступом, таким как RDP для кластеров Windows. Последнее общее правило заключается в ограничении доступа к минимально необходимому значению.
Чтобы создать группу безопасности сети для каждой из созданных выше подсетей, следуйте указаниям по созданию группы безопасности сети.
Правила безопасности для входящего трафика
Важно!
В следующих правилах предполагается, что виртуальная сеть настроена с помощью Express Route или VPN для доступа к частной сети. При работе через общедоступный Интернет источник должен быть изменен на общедоступный IP-адрес или диапазон корпоративных IP-адресов.
Подсеть виртуальной машины CycleCloud
| Имя | Приоритет | Источник | Служба | Протокол | Диапазон портов |
|---|---|---|---|---|---|
| SSH | 100 | Виртуальная сеть | Особые настройки | TCP | 22 |
| HTTPS | 110 | Виртуальная сеть | Особые настройки | TCP | 443 |
| HTTPS | 110 | Виртуальная сеть | Особые настройки | TCP | 9443 |
Подсети вычислений
| Имя | Приоритет | Источник | Служба | Протокол | Диапазон портов |
|---|---|---|---|---|---|
| SSH | 100 | Виртуальная сеть | Особые настройки | TCP | 22 |
| RDP | 110 | Виртуальная сеть | Особые настройки | TCP | 3389 |
| Ganglia | 120 | Виртуальная сеть | Особые настройки | TCP | 8652 |
Правила безопасности для исходящего трафика
Как правило, виртуальная машина CycleCloud и вычислительные кластеры должны иметь доступ к Интернету для установки пакетов и вызовов REST API Azure.
Если исходящий доступ к Интернету заблокирован политикой безопасности, следуйте инструкциям по запуску в заблокированных сетях и работе за прокси-сервером для получения сведений о конфигурации.