你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
用于制造中的 HPC 的 Azure 标识和访问管理
本文基于 Azure 标识和访问管理设计一文中所述的注意事项和建议。 它可以帮助你检查特定于针对制造业设计的 HPC 应用程序的部署的标识和访问管理的设计注意事项。
Microsoft Entra 域服务(Microsoft Entra 域服务)提供托管域服务 ,如域加入和组策略。 它还提供对旧式身份验证协议(例如轻型目录访问协议(LDAP)和 Kerberos/NTLM 身份验证的访问权限。 Microsoft Entra 域服务与现有的 Microsoft Entra 租户集成。 通过此集成,用户可以使用其 Microsoft Entra ID 中的现有凭据登录到连接到托管域的服务和应用程序。 还可以使用现有组和用户帐户来帮助保护对资源的访问。 这些功能提供更流畅的本地资源迁移到 Azure,尤其是混合环境。
有关详细信息,请参阅 平台访问 和 Azure 标识和登陆区域访问的设计建议。
HPC 设计注意事项
根据所使用的 HPC 计算资源业务流程协调程序,支持各种身份验证方法,如下所示。
- Azure CycleCloud。 CycleCloud 提供 三种身份验证方法:具有加密、Active Directory 和 LDAP 的内置数据库。
- Azure 批处理。 Batch 帐户访问支持 两种身份验证方法:共享密钥和 Microsoft Entra ID。
- HPC Pack。 目前,必须将所有 HPC Pack 节点加入 Active Directory 域。 如果要在虚拟网络中部署 HPC Pack 群集,该虚拟网络具有站点到站点 VPN 或 Azure ExpressRoute 连接到企业网络(防火墙规则允许访问 Active Directory 域控制器),则通常已有一个 Active Directory 域。 如果虚拟网络中没有 Active Directory 域,可以选择通过将头节点提升为域控制器来创建一个。 另一种选择是利用 Microsoft Entra 域服务允许 HPC Pack 节点加入此服务与本地 Active Directory域控制器。 如果将头节点部署在 Azure 中,请务必确定本地远程用户是否会提交作业。 如果远程用户正在提交作业,建议使用 Active Directory,因为这将提供更好的体验,并允许证书正确用于身份验证。 否则,如果未使用 Active Directory 并且改用 Microsoft Entra 域服务,远程客户端将需要使用 REST API 服务来提交作业。
下图显示了使用 CycleCloud 的制造参考体系结构:
此图显示了使用 Batch 的制造体系结构:
后续步骤
以下文章提供了指导,你可以在云采用过程中发现在各种点有所帮助。 它们可以帮助你在云采用方案中成功实现生产 HPC 环境。