Azure 受控 Lustre 文件系統必要條件
本文說明建立 Azure 受控 Lustre 文件系統之前,您必須先設定的必要條件。
- 網路必要條件
- Blob 整合必要條件 (選擇性)
網路必要條件
Azure Managed Lustre 檔案系統存在於虛擬網路子網路中。 子網路包含 Lustre 管理服務 (MGS),並處理與虛擬 Lustre 叢集的所有用戶端互動。
建立文件系統之後,您無法將文件系統從一個網路或子網移至另一個網路或子網。
Azure Managed Lustre 只接受 IPv4 位址。 不支援 IPv6。
網路大小需求
您需要的子網路大小取決於您建立的檔案系統之大小。 下表給出了不同大小的 Azure Managed Lustre 檔案系統之最小子網路大小的粗略估計。
| 儲存容量 | 建議的 CIDR 首碼值 |
|---|---|
| 4 TiB 至 16 TiB | /27 或更大 |
| 20 TiB 至 40 TiB | /26 或更大 |
| 44 TiB 至 92 TiB | /25 或更大 |
| 96 TiB 至 196 TiB | /24 或更大 |
| 200 TiB 至 400 TiB | /23 或更大 |
其他網路大小考慮
當您規劃虛擬網路和子網時,請考慮到您想要在 Azure 受控 Lustre 子網或虛擬網路內找到的任何其他服務的需求。
如果您使用 Azure Kubernetes Service (AKS) 叢集搭配 Azure 受控 Lustre 檔案系統,您可以在與文件系統相同的子網中找到 AKS 叢集。 在這種情況下,除了 Lustre 檔案系統的位址空間外,您還必須為 AKS 節點和 Pod 提供足够的 IP 位址。 如果在虛擬網路中使用多個 AKS 叢集,請確保虛擬網路有足够的容量容納所有叢集中的所有資源。 若要深入了解 Azure Managed Lustre 和 AKS 的網路策略,請參閱 AKS 子網路存取。
如果您打算使用另一個資源在相同的虛擬網路中裝載計算 VM,請先檢查該程式的需求,再為您的 Azure 受控 Lustre 系統建立虛擬網路和子網。 在相同子網內規劃多個叢集時,必須使用足夠大的位址空間來容納所有叢集的總需求。
子網路存取和權限
根據預設,無需進行任何特定變更即可啟用 Azure Managed Lustre。 如果您的環境包含限制的網路或安全性原則,則應考慮以下指導:
| 存取類型 | 必要的網路設定 |
|---|---|
| DNS 存取 | 使用預設 Azure 型 DNS 伺服器。 |
| 在 Azure 受控 Lustre 子網上的主機之間進行存取 | 允許 Azure Managed Lustre 子網路內主機之間的輸入和輸出存取。 例如,叢集部署需要存取 TCP 通訊埠 22 (SSH)。 |
| Azure 雲端服務存取 | 設定網路安全組,以允許 Azure 受控 Lustre 文件系統從 Azure 受控 Lustre 子網存取 Azure 雲端服務。 新增具有以下屬性的輸出安全性規則: - 連接埠:任何 - 通訊協定:任何 - 來源:虛擬網路 - 目的地:「AzureCloud」服務標籤 - 動作:允許 注意:設定 Azure 雲端服務還可以啟用 Azure 佇列服務的必要設定。 如需詳細資訊,請參閱虛擬網路服務標籤。 |
| Lustre 檔案系統存取 (TCP 連接埠 988, 1019-1023) |
您的網路安全組必須允許 TCP 連接埠 988 和 TCP 連接埠範圍 1019-1023 的輸入和輸出流量。 這些規則需要在 Azure 受控 Lustre 子網上的主機之間的通訊,以及任何用戶端子網與 Azure 受控 Lustre 子網之間的通訊中被允許。 沒有其他服務可以在您的 Lustre 用戶端上保留或使用這些連接埠。 預設規則 65000 AllowVnetInBound 且 65000 AllowVnetOutBound 滿足此需求。 |
如需為 Azure Managed Lustre 檔案系統設定網路安全性群組的詳細指導,請參閱建立和設定網路安全性群組。
已知的限制
下列已知限制適用於 Azure 受控 Lustre 檔案系統的虛擬網路設定:
- Azure 受控 Lustre 和 Azure NetApp Files 資源無法共享子網。 如果使用 Azure NetApp Files 服務,則必須在單獨的子網路中建立 Azure Managed Lustre 檔案系統。 如果您嘗試在包含或包含 Azure NetApp Files 資源的子網中建立 Azure 受控 Lustre 檔案系統,部署就會失敗。
- 如果您在用戶端上使用
ypbind精靈來維護網路資訊服務 (NIS) 系結資訊,您必須確定ypbind不會保留埠 988。 您可以手動調整ypbind保留的連接埠,也可以確保您的系統啟動基礎結構在啟動ypbind之前啟動 Lustre 用戶端掛接。
注意
建立 Azure Managed Lustre 檔案系統後,檔案系統的資源群組中會出現幾個新的網路介面。 其名稱以 amlfs- 開頭,以 -snic 結尾。 請勿變更這些介面上的任何設定。 具體來說,保留加速網路設定的預設值 (enabled)。 停用這些網路介面上的加速網路會降低檔案系統的效能。
Blob 整合必要條件 (選擇性)
如果您計劃將 Azure Managed Lustre 檔案系統與 Azure Blob 儲存體整合,請在建立檔案系統之前完成以下必要條件。
若要深入了解 blob 整合,請參閱將 Azure Blob 儲存體與 Azure Managed Lustre 檔案系統一起使用。
Azure 受控 Lustre 適用於已啟用階層命名空間的儲存帳戶,以及具有非階層式或平面命名空間的儲存帳戶。 適用下列次要差異:
- 針對已啟用階層命名空間的記憶體帳戶,Azure 受控 Lustre 會從 Blob 標頭讀取 POSIX 屬性。
- 對於未啟用階層命名空間的記憶體帳戶,Azure 受控 Lustre 會從 Blob 元數據讀取 POSIX 屬性。 系統會建立與 Blob 容器內容同名的個別空白檔案,以保存元數據。 此檔案是 Azure 受控 Lustre 檔案系統中實際數據目錄的同層級。
若要將 Azure Blob 儲存體與 Azure Managed Lustre 檔案系統整合,您必須在建立檔案系統之前建立或設定以下資源:
儲存體帳戶
您必須建立記憶體帳戶或使用現有的記憶體帳戶。 儲存體帳戶必須具有以下設定:
- 帳戶類型 - 相容的儲存體帳戶類型。 若要深入瞭解,請參閱 支援的記憶體帳戶類型。
- 存取角色 - 允許 Azure Managed Lustre 系統修改資料的角色指派。 若要深入瞭解,請參閱 必要的存取角色。
- 存取金鑰 - 儲存體帳戶的儲存體帳戶金鑰存取設定必須設定為 [已啟用]。
支援的儲存體帳戶類型
以下儲存體帳戶類型可用於 Azure Managed Lustre 檔案系統:
| Storage account type | 備援 |
|---|---|
| 標準 | 本地備援儲存體 (LRS),異地備援儲存體 (GRS) 區域備援儲存體 (ZRS), 讀取權限異地備援儲存體 (RAGRS), 異地區域備援儲存體 (GZRS), 讀取權限異地區域備援儲存體 (RA-GZRS) |
| 進階 - 區塊 Blob | LRS、ZRS |
如需儲存體帳戶類型的詳細資訊,請參閱儲存體帳戶的類型。
blob 整合的存取角色
blob 整合的存取角色。 使用 Azure 角色型存取控制 (Azure RBAC) 授與檔案系統對 blob 儲存體的存取。
儲存體帳戶擁有者必須在建立檔案系統之前新增以下角色:
重要
您必須先新增這些角色,才能建立 Azure 受控 Lustre 文件系統。 如果文件系統無法存取 Blob 容器,檔案系統建立會失敗。 在建立文件系統之前執行的驗證無法偵測容器訪問許可權問題。 角色設定最多可能需要五分鐘的時間,才能透過 Azure 環境傳播。
若要為服務主體 HPC Cache 資源提供者新增角色,請執行這些步驟:
- 瀏覽您的儲存體帳戶,然後在左側瀏覽窗格中選取存取控制 (IAM)。
- 選取 [新增]> [新增角色指派],開啟 [新增角色指派] 頁面。
- 指派角色。
- 將 HPC Cache 資源提供者新增至該角色。
提示
如果找不到 HPC Cache 資源提供者,請搜尋 storagecache。 storagecache 資源提供者 是產品正式發行前的服務主體名稱。
- 重複步驟 3 和 4 以新增每個角色。
如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色。
Blob 容器
同一儲存體帳戶中必須有兩個單獨的 blob 容器,用於以下目的:
- 資料容器:儲存體帳戶中的 blob 容器,其中包含要在 Azure Managed Lustre 檔案系統中使用的檔案。
- 記錄容器:用於在儲存體帳戶中匯入/匯出記錄的第二個容器。 您必須將記錄儲存在與資料容器不同的容器中。
注意
稍後,您可以從用戶端向檔案系統新增檔案。 但是,除非建立匯入工作,否則在建立檔案系統後新增至原始 blob 容器中的檔案將不會匯入至 Azure Managed Lustre 檔案系統。
私人端點 (選擇性)
如果您使用私人端點搭配 Blob 設定,為了確保 Azure 受控 Lustre 可以解析 SA 名稱,您必須在建立新端點期間啟用私人端點設定 與私人 DNS 區域 整合。
- 與 私用 DNS 區域整合:必須設定為 [是]。
![顯示 [端點設定程式] 之 [DNS] 索引標籤的螢幕快照。](media/prerequisites/blob-endpoints-dns-settings.png)