你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure CycleCloud - 安全最佳做法

本文讨论更安全、更有效地使用 Azure CycleCloud 的最佳做法和有用提示。 使用 Azure CycleCloud 时，可以使用此处列出的最佳做法作为快速参考。

安装

CycleCloud 的默认安装使用在端口 8080 上运行的非加密 HTTP。 强烈建议为所有安装配置 SSL，以防止对 CycleCloud 安装的未加密访问。 不应从 Internet 访问 CycleCloud，但如果需要，应仅公开端口 443。 如果要限制直接 Internet 访问，请将 配置为对所有 Internet 绑定的 HTTP 和/或 HTTPS 流量使用代理。 若要禁用 CycleCloud 的未加密通信和 HTTP 访问，请参阅 SSL 配置。

如果还要限制出站 Internet 访问，则可以将 CycleCloud 配置为对所有 Internet 绑定的 HTTP 和/或 HTTPS 流量使用代理。 有关详细信息 ，请参阅在锁定的环境中操作 。

身份验证和授权

Azure CycleCloud 提供四种身份验证方法：具有加密、Active Directory、LDAP 或 Entra ID 的内置数据库。 在 60 秒内出现 5 次授权失败的任何帐户将自动锁定 5 分钟。 管理员可手动解锁帐户，并在五分钟后自动解锁。

CycleCloud 应安装在仅具有管理员组访问权限的驱动器上。 这将阻止非管理员用户访问非加密数据。 不应将此组包含非管理员用户。 理想情况下，对 CycleCloud 安装的访问权限应仅限于管理员。

不要跨信任边界共享 CycleCloud 安装。 在真正的多租户环境中，单个 CycleCloud 安装中的 RBAC 控件可能是不够的。 对具有关键数据的每个租户使用单独的独立 CycleCloud 安装。

网络和机密管理

应使用网络安全组 (NSG) 锁定启动群集的虚拟网络。 对特定端口的访问由 NSG 控制，可以选择配置和控制 Azure 虚拟网络中 Azure 资源的入站/出站网络流量。 网络安全组包含允许或拒绝来自多种类型的 Azure 资源的入站网络流量或出站网络流量的安全规则。

强烈建议至少使用两个子网。 一个用于 CycleCloud 安装 VM 和具有相同访问策略的任何其他 VM，以及计算群集的其他子网。 但请记住，对于大型群集，子网的 IP 范围可能会成为限制因素。 因此，通常，CycleCloud 子网应使用小型 CIDR (无类 Inter-Domain 路由) 范围，计算子网应较大。

CycleCloud 使用 Azure 资源管理器来管理群集。 若要调用 Azure 资源管理器可以通过配置 CycleCloud VM 的托管标识来向 CycleCloud 授予某些权限。 建议使用系统分配或用户分配的托管标识。系统分配的托管标识在 Azure AD 中创建与该服务实例的生命周期关联的标识。 删除该资源时，会自动删除托管标识。 可将用户分配的托管标识分配给 Azure 服务的一个或多个实例。 在这种情况下，托管标识由使用的资源单独管理。

安全锁定环境

某些安全生产环境会锁定环境，并且 Internet 访问受限。 由于 Azure CycleCloud 需要访问 Azure 存储帐户和其他受支持的 Azure 服务，因此提供专用访问的建议方法是虚拟网络服务终结点或专用链接。 通过启用服务终结点或专用链接，可以在虚拟网络中保护 Azure 服务资源。 服务终结点通过启用虚拟网络中的专用 IP 地址来访问 Azure 服务的终结点，从而提高安全性。

CycleCloud 应用程序和群集节点可以在 Internet 访问受限的环境中运行，但必须保持打开状态的 TCP 端口数量最少。 限制来自 CycleCloud VM 的出站 Internet 访问而不配置Azure 防火墙或 HTTPS 代理的一种方法是为 CycleCloud 虚拟机的子网配置严格的 Azure 网络安全组。 最简单的方法是使用子网或 VM 级别网络安全组中 的服务标记 来允许所需的出站 Azure 访问。 创建安全规则时，可以使用服务标记代替特定 IP 地址，可以允许或拒绝相应服务的流量。