Azure CycleCloud – 安全性最佳做法

本文討論使用 Azure CycleCloud 更安全且更有效率的最佳做法和實用秘訣。 您可以使用此處所列的最佳做法，作為使用 Azure CycleCloud 時的快速參考。

安裝

CycleCloud 的預設安裝會使用在埠 8080 上執行的非加密 HTTP。 強烈建議為所有安裝設定 SSL，以防止未加密存取 CycleCloud 安裝。 CycleCloud 不應該從因特網存取，但如有需要，應該只公開埠 443。 如果您想要限制直接因特網存取，請設定為所有因特網系結 HTTP 和/或 HTTPS 流量使用 Proxy。 若要停用 CycleCloud 的未加密通訊和 HTTP 存取，請參閱 SSL 設定。

如果您想要同時限制輸出因特網存取，則可以將 CycleCloud 設定為對所有因特網系結 HTTP 和/或 HTTPS 流量使用 Proxy。 如需詳細資訊 ，請參閱在鎖定的環境中操作 。

驗證和授權

Azure CycleCloud 提供四種驗證方法：具有加密、Active Directory、LDAP 或 Entra 標識符的內建資料庫。 任何在 60 秒內發生五個授權失敗的帳戶，都會自動鎖定五分鐘。 系統管理員可以手動解除鎖定帳戶，並在五分鐘后自動解除鎖定。

CycleCloud 應該安裝在只有系統管理員群組存取權的磁碟驅動器上。 這可防止非系統管理員使用者存取非加密的數據。 非系統管理員使用者不應包含在此群組中。 在理想情況下，CycleCloud 安裝的存取權應僅限於系統管理員。

請勿跨信任界限共用 CycleCloud 安裝。 單一 CycleCloud 安裝內的 RBAC 控制件可能不足以在真正的多租用戶環境中。 針對具有重要數據的每個租使用者使用個別且隔離的 CycleCloud 安裝。

網路和秘密管理

叢集在 中啟動的 虛擬網路 應鎖定 網路安全組 ， (NSG) 。 存取特定埠是由 NSG 所控管，您可以選擇設定和控制 Azure 虛擬網路內 Azure 資源的輸入/輸出網路流量。 網路安全組包含安全性規則，可允許或拒絕來自數種 Azure 資源類型的輸入網路流量或輸出網路流量。

強烈建議至少使用兩個子網。 一個用於 CycleCloud 安裝 VM，以及具有相同存取原則的任何其他 VM，以及計算叢集的其他子網。 不過，請記住，針對大型叢集，子網的IP範圍可能會成為限制因素。 因此，一般而言，CycleCloud 子網應該使用小型 CIDR (無類別 Inter-Domain 路由) 範圍，而計算子網應該很大。

CycleCloud 會使用 Azure Resource Manager 來管理叢集。 若要呼叫 Azure Resource Manager 將受控識別設定為 CycleCloud VM，將特定許可權授與 CycleCloud。 建議您使用系統指派或使用者指派的受控識別。系統指派的受控識別會在 Azure AD 中建立與該服務實例生命週期系結的身分識別。 刪除該資源時，系統會自動刪除受控識別。 使用者指派的受控識別可以指派給一或多個 Azure 服務的實例。 在此情況下，受控識別會個別由所使用的資源管理。

受保護的鎖定環境

某些安全的生產環境會鎖定環境，並具有有限的因特網存取。 由於 Azure CycleCloud 需要存取 Azure 記憶體帳戶和其他支援的 Azure 服務，因此提供私人存取的建議方式是透過 虛擬網路 服務端點或 Private Link。 啟用服務端點或 Private Link 可讓您保護 Azure 服務資源至虛擬網路。 服務端點藉由啟用 虛擬網路 中的私人IP位址來連線到 Azure 服務的端點，以增加更多安全性。

CycleCloud 應用程式和叢集節點可以在具有有限因特網存取的環境中運作，不過必須保持開啟的 TCP 連接埠數目最少。 限制 CycleCloud VM 的輸出因特網存取，而不需設定 Azure 防火牆 或 HTTPS Proxy 的其中一種方式，就是為 CycleCloud 虛擬機的子網設定嚴格的 Azure 網路安全組。 最簡單的做法是在子網或 VM 層級網路安全組中使用 服務標籤 ，以允許所需的輸出 Azure 存取。 當您建立安全性規則時，可以使用服務標籤取代特定IP位址，您可以允許或拒絕對應服務的流量。