Voraussetzungen für Azure HPC-Cache

Bevor Sie einen neuen Azure HPC-Cache erstellen, stellen Sie sicher, dass Ihre Umgebung diese Anforderungen erfüllt.

Azure-Abonnement

Ein kostenpflichtiges Abonnement wird empfohlen.

Netzwerkinfrastruktur

Diese netzwerkbezogenen Voraussetzungen müssen eingerichtet werden, bevor Sie Ihren Cache verwenden können:

  • Ein dediziertes Subnetz für die Azure HPC-Cacheinstanz
  • DNS-Unterstützung, damit der Cache auf Speicher und andere Ressourcen zugreifen kann
  • Zugriff vom Subnetz zu zusätzlichen Microsoft Azure-Infrastrukturdiensten, einschließlich NTP-Servern und dem Azure Queue Storage-Dienst.

Cache-Subnetz

Der Azure HPC-Cache benötigt ein dediziertes Subnetz mit diesen Qualitäten:

  • Das Subnetz muss mindestens 64 IP-Adressen zur Verfügung haben.
  • Die Kommunikation innerhalb des Subnetzes muss uneingeschränkt sein. Wenn Sie eine Netzwerksicherheitsgruppe für das Cachesubnetz verwenden, stellen Sie sicher, dass sie alle Dienste zwischen internen IP-Adressen zulässt.
  • Das Subnetz kann keine anderen virtuellen Computer hosten, auch für verwandte Dienste wie Clientcomputer.
  • Wenn Sie mehrere Azure HPC-Cacheinstanzen verwenden, benötigt jeder ein eigenes Subnetz.

Die bewährte Methode besteht darin, für jeden Cache ein neues Subnetz zu erstellen. Sie können ein neues virtuelles Netzwerk und subnetz als Teil der Erstellung des Caches erstellen.

Achten Sie beim Erstellen dieses Subnetzes darauf, dass ihre Sicherheitseinstellungen den Zugriff auf die erforderlichen Infrastrukturdienste ermöglichen, die weiter unten in diesem Abschnitt erwähnt werden. Sie können die ausgehende Internetverbindung einschränken, aber stellen Sie sicher, dass es Ausnahmen für die hier dokumentierten Elemente gibt.

DNS-Zugriff

Der Cache benötigt DNS für den Zugriff auf Ressourcen außerhalb des virtuellen Netzwerks. Je nachdem, welche Ressourcen Sie verwenden, müssen Sie möglicherweise einen angepassten DNS-Server einrichten und die Weiterleitung zwischen diesem Server und Azure DNS-Servern konfigurieren:

  • Um auf Azure Blob Storage-Endpunkte und andere interne Ressourcen zuzugreifen, benötigen Sie den Azure-basierten DNS-Server.
  • Um auf den lokalen Speicher zuzugreifen, müssen Sie einen benutzerdefinierten DNS-Server konfigurieren, der Ihre Speicher-Hostnamen auflösen kann. Sie müssen dies tun, bevor Sie den Cache erstellen.

Wenn Sie nur Blob Storage verwenden, können Sie den von Azure bereitgestellten Standard-DNS-Server für Ihren Cache verwenden. Wenn Sie jedoch Zugriff auf Speicher oder andere Ressourcen außerhalb von Azure benötigen, sollten Sie einen benutzerdefinierten DNS-Server erstellen und konfigurieren, um alle Azure-spezifischen Auflösungsanforderungen an den Azure DNS-Server weiterzuleiten.

Um einen benutzerdefinierten DNS-Server zu verwenden, müssen Sie diese Einrichtungsschritte ausführen, bevor Sie Ihren Cache erstellen:

  • Erstellen Sie das virtuelle Netzwerk, das den Azure HPC-Cache hosten soll.

  • Erstellen Sie den DNS-Server.

  • Fügen Sie den DNS-Server zum virtuellen Netzwerk des Caches hinzu.

    Führen Sie die folgenden Schritte aus, um den DNS-Server zum virtuellen Netzwerk im Azure-Portal hinzuzufügen:

    1. Öffnen Sie das virtuelle Netzwerk im Azure-Portal.
    2. Wählen Sie DNS-Server im Menü "Einstellungen" in der Randleiste aus.
    3. Benutzerdefiniert auswählen
    4. Geben Sie die IP-Adresse des DNS-Servers in das Feld ein.

Ein einfacher DNS-Server kann auch zum Lastenausgleich von Clientverbindungen zwischen allen verfügbaren Cache-Bereitstellungspunkten verwendet werden.

Erfahren Sie mehr über virtuelle Azure-Netzwerke und DNS-Serverkonfigurationen in der Namensauflösung für Ressourcen in virtuellen Azure-Netzwerken.

NTP-Zugriff

Der HPC-Cache benötigt Zugriff auf einen NTP-Server für den regulären Betrieb. Wenn Sie den ausgehenden Datenverkehr aus Ihren virtuellen Netzwerken einschränken, stellen Sie sicher, dass der Datenverkehr zu mindestens einem NTP-Server erlaubt ist. Der Standardserver ist time.windows.com, und der Cache kontaktiert diesen Server auf UDP-Port 123.

Erstellen Sie eine Regel in der Netzwerksicherheitsgruppe Ihres Cachenetzwerks, die ausgehenden Datenverkehr zu Ihrem NTP-Server zulässt. Die Regel kann einfach den gesamten ausgehenden Datenverkehr auf UDP-Port 123 zulassen oder mehr Einschränkungen haben.

In diesem Beispiel wird explizit ausgehender Datenverkehr für die IP-Adresse 168.61.215.74 geöffnet, die von time.windows.com verwendet wird.

Priorität Name Hafen Protokoll Source Bestimmungsort Action
200 NTP Beliebig UDP Beliebig 168.61.215.74 Erlauben

Stellen Sie sicher, dass die NTP-Regel eine höhere Priorität hat als alle Regeln, die den ausgehenden Zugriff allgemein verweigern.

Weitere Tipps für den NTP-Zugriff:

  • Wenn Sie über Firewalls zwischen Ihrem HPC-Cache und dem NTP-Server verfügen, stellen Sie sicher, dass diese Firewalls auch NTP-Zugriff zulassen.

  • Sie können konfigurieren, welchen NTP-Server Ihr HPC-Cache auf der Netzwerkseite verwendet. Weitere Informationen finden Sie unter "Konfigurieren zusätzlicher Einstellungen" .

Azure Queue Storage-Zugriff

Der Cache muss sicher in der Lage sein, von seinem dedizierten Subnetz aus auf den Azure Queue Storage-Dienst zuzugreifen. Azure HPC Cache verwendet den Warteschlangendienst bei der Kommunikation von Konfigurations- und Statusinformationen.

Wenn der Cache nicht auf den Warteschlangendienst zugreifen kann, wird beim Erstellen des Caches möglicherweise eine CacheConnectivityError-Meldung angezeigt.

Es gibt zwei Möglichkeiten zum Bereitstellen des Zugriffs:

  • Erstellen Sie einen Azure Storage-Dienstendpunkt in Ihrem Cache-Subnetz. Lesen Sie "Hinzufügen eines virtuellen Netzwerk-Subnetzes, um Anleitungen zum Hinzufügen des Microsoft.Storage-Diensteendpunkts zu erhalten".

  • Konfigurieren Sie den Zugriff auf die Azure-Speicherwarteschlangendienstdomäne in Ihrer Netzwerksicherheitsgruppe oder anderen Firewalls einzeln.

    Fügen Sie Regeln hinzu, um den Zugriff auf diese Ports zu ermöglichen:

    • TCP-Port 443 für sicheren Datenverkehr zu einem beliebigen Host in der Domäne queue.core.windows.net (*.queue.core.windows.net).

    • TCP-Port 80 – wird zur Überprüfung des serverseitigen Zertifikats verwendet. Dies wird manchmal als Zertifikatsperrliste (Certificate Revocation List, CRL)-Überprüfung und OcSP-Kommunikation (Online Certificate Status Protocol) bezeichnet. Alle *.queue.core.windows.net verwenden dasselbe Zertifikat und somit dieselben CRL/OCSP-Server. Der Hostname wird im serverseitigen SSL-Zertifikat gespeichert.

    Weitere Informationen finden Sie in den Sicherheitsregeltipps im NTP-Zugriff .

    Dieser Befehl listet die CRL- und OCSP-Server auf, denen der Zugriff gestattet werden muss. Diese Server müssen über DNS auflösbar sein und auf Port 80 aus dem Cache-Subnetz erreichbar sein.

    
openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI

    Die Ausgabe sieht ungefähr so aus und kann sich ändern, wenn das SSL-Zertifikat aktualisiert wird:

    OCSP - URI:http://ocsp.msocsp.com
CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl

Sie können die Konnektivität des Subnetzes überprüfen, indem Sie diesen Befehl über einen virtuellen Testcomputer im Subnetz verwenden:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

Eine erfolgreiche Verbindung gibt diese Antwort:

OCSP Response Status: successful (0x0)

Ereignisserverzugriff

Azure HPC Cache verwendet Azure-Ereignisserverendpunkte, um die Cacheintegrität zu überwachen und Diagnoseinformationen zu senden.

Stellen Sie sicher, dass der Cache sicher auf Hosts in der Domäne zugreifen kann events.data.microsoft.com – d. h. öffnen Sie TCP-Port 443 für datenverkehr zu *.events.data.microsoft.com.

Berechtigungen

Überprüfen Sie diese berechtigungsbezogenen Voraussetzungen, bevor Sie mit dem Erstellen des Caches beginnen.

  • Die Cacheinstanz muss in der Lage sein, virtuelle Netzwerkschnittstellen (VIRTUAL Network Interfaces, NICs) zu erstellen. Der Benutzer, der den Cache erstellt, muss über ausreichende Berechtigungen im Abonnement verfügen, um NICs zu erstellen.

  • Wenn Sie Blob-Speicher verwenden, benötigt Azure HPC-Cache eine Autorisierung für den Zugriff auf Ihr Speicherkonto. Verwenden Sie die rollenbasierte Azure-Zugriffssteuerung (Azure RBAC), um dem Cache Zugriff auf Ihren Blob-Speicher zu gewähren. Zwei Rollen sind erforderlich: Storage Account Contributor und Storage Blob Data Contributor.

    Folgen Sie den Anweisungen unter Hinzufügen von Speicherzielen , um die Rollen hinzuzufügen.

Speicherinfrastruktur

Der Cache unterstützt Azure Blob-Container, NFS-Hardwarespeicherexporte und NFS-bereitgestellte ADLS-Blobcontainer. Fügen Sie Speicherziele hinzu, nachdem Sie den Cache erstellt haben.

Jeder Speichertyp hat bestimmte Voraussetzungen.

Blob-Speicheranforderungen

Wenn Sie Azure Blob Storage mit Ihrem Cache verwenden möchten, benötigen Sie ein kompatibles Speicherkonto und entweder einen leeren Blob-Container oder einen Container, der mit formatierten Azure HPC-Cache-Daten aufgefüllt wird, wie unter Verschieben von Daten in Azure Blob Storage beschrieben.

Note

Für NFS-bereitgestellten BLOB-Speicher gelten unterschiedliche Anforderungen. Weitere Informationen finden Sie unterADLS-NFS Speicheranforderungen .

Erstellen Sie das Konto, bevor Sie versuchen, ein Speicherziel hinzuzufügen. Sie können einen neuen Container erstellen, wenn Sie das Ziel hinzufügen.

Verwenden Sie eine der folgenden Kombinationen, um ein kompatibles Speicherkonto zu erstellen:

Leistung Typ Replikation Zugriffsebene
Standard StorageV2 (allgemeiner Zweck v2) Lokal redundanter Speicher (LRS) oder zonenredundanter Speicher (ZRS) Heiß
Premium Blockieren von Blobs Lokal redundanter Speicher (LRS) Heiß

Auf das Speicherkonto muss über das private Subnetz Ihres Caches zugegriffen werden kann. Wenn Ihr Konto einen privaten Endpunkt oder einen öffentlichen Endpunkt verwendet, der auf bestimmte virtuelle Netzwerke beschränkt ist, müssen Sie den Zugriff über das Subnetz des Caches aktivieren. (Ein offener öffentlicher Endpunkt wird nicht empfohlen.)

Lesen Sie " Arbeiten mit privaten Endpunkten ", um Tipps zur Verwendung privater Endpunkte mit HPC-Cachespeicherzielen zu erhalten.

Es empfiehlt sich, ein Speicherkonto in derselben Azure-Region wie Ihren Cache zu verwenden.

Außerdem müssen Sie der Cacheanwendung Zugriff auf Ihr Azure-Speicherkonto gewähren, wie oben in "Berechtigungen" erwähnt. Befolgen Sie das Verfahren in "Speicherziele hinzufügen ", um dem Cache die erforderlichen Zugriffsrollen zu gewähren. Wenn Sie nicht der Besitzer des Speicherkontos sind, lassen Sie den Besitzer diesen Schritt ausführen.

NFS-Speicheranforderungen

Wenn Sie ein NFS-Speichersystem (z. B. ein lokales Hardware-NAS-System) verwenden, stellen Sie sicher, dass es diese Anforderungen erfüllt. Möglicherweise müssen Sie mit den Netzwerkadministratoren oder Firewallmanagern für Ihr Speichersystem (oder Rechenzentrum) zusammenarbeiten, um diese Einstellungen zu überprüfen.

Note

Fehlschlagen der Erstellung von Speicherzielen, wenn der Cache keinen ausreichenden Zugriff auf das NFS-Speichersystem hat.

Weitere Informationen finden Sie bei der Problembehandlung bei der NAS-Konfiguration und bei NFS-Speicherzielproblemen.

  • Netzwerkkonnektivität: Der Azure HPC-Cache benötigt Netzwerkzugriff mit hoher Bandbreite zwischen dem Cachesubnetz und dem Rechenzentrum des NFS-Systems. ExpressRoute oder ähnlicher Zugriff wird empfohlen. Wenn Sie ein VPN verwenden, müssen Sie es möglicherweise so konfigurieren, dass die TCP-MSS auf 1350 begrenzt wird, um sicherzustellen, dass große Pakete nicht blockiert werden. Lesen Sie EINSCHRÄNKUNGEN für die VPN-Paketgröße , um weitere Hilfe bei der Problembehandlung bei VPN-Einstellungen zu erhalten.

  • Portzugriff: Der Cache benötigt Zugriff auf bestimmte TCP/UDP-Ports auf Ihrem Speichersystem. Verschiedene Speichertypen weisen unterschiedliche Portanforderungen auf.

    Führen Sie dieses Verfahren aus, um die Einstellungen Ihres Speichersystems zu überprüfen.

    • Geben Sie ihrem Speichersystem einen rpcinfo Befehl aus, um die erforderlichen Ports zu überprüfen. Der folgende Befehl listet die Ports auf und formatiert die relevanten Ergebnisse in einer Tabelle. (Verwenden Sie die IP-Adresse Ihres Systems anstelle des <storage_IP> Begriffs.)

      Sie können diesen Befehl von jedem Linux-Client aus ausgeben, auf dem DIE NFS-Infrastruktur installiert ist. Wenn Sie einen Client innerhalb des Clustersubnetz verwenden, kann er auch die Konnektivität zwischen dem Subnetz und dem Speichersystem überprüfen.

      rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t

    Stellen Sie sicher, dass alle von der rpcinfo Abfrage zurückgegebenen Ports uneingeschränkten Datenverkehr aus dem Subnetz des Azure HPC-Caches zulassen.

    • Wenn Sie den rpcinfo Befehl nicht verwenden können, stellen Sie sicher, dass diese häufig verwendeten Ports eingehenden und ausgehenden Datenverkehr zulassen:

      Protokoll Hafen Dienstleistung
      TCP/UDP 111 rpcbind
      TCP/UDP 2049 NFS
      TCP/UDP 4045 nlockmgr
      TCP/UDP 4046 montiert
      TCP/UDP 4047 status

      Einige Systeme verwenden unterschiedliche Portnummern für diese Dienste – lesen Sie die Dokumentation Ihres Speichersystems, um sicher zu sein.

    • Überprüfen Sie die Firewalleinstellungen, um sicherzustellen, dass sie Datenverkehr für alle diese erforderlichen Ports zulassen. Überprüfen Sie unbedingt Firewalls, die in Azure sowie lokale Firewalls in Ihrem Rechenzentrum verwendet werden.

  • NFS-Back-End-Speicher muss eine kompatible Hardware-/Softwareplattform sein. Der Speicher muss NFS Version 3 (NFSv3) unterstützen. Wenden Sie sich an das Azure HPC-Cacheteam, um Weitere Informationen zu erhalten.

NFS-mounted Blob (ADLS-NFS) Speicheranforderungen

Azure HPC-Cache kann auch einen BLOB-Container verwenden, der mit dem NFS-Protokoll als Speicherziel bereitgestellt wird.

Weitere Informationen zu dieser Funktion in der NFS 3.0-Protokollunterstützung in Azure Blob Storage.

Die Speicherkontoanforderungen unterscheiden sich für ein ADLS-NFS BLOB-Speicherziel und für ein Standard-BLOB-Speicherziel. Befolgen Sie die Anweisungen im Mount Blob Storage mithilfe des Network File System (NFS) 3.0-Protokolls sorgfältig, um das NFS-fähige Speicherkonto zu erstellen und zu konfigurieren.

Dies ist eine allgemeine Übersicht über die Schritte. Diese Schritte können sich ändern, sodass Sie sich immer auf die ADLS-NFS Anweisungen für aktuelle Details beziehen.

  1. Stellen Sie sicher, dass die benötigten Features in den Regionen verfügbar sind, in denen Sie arbeiten möchten.

  2. Aktivieren Sie das NFS-Protokollfeature für Ihr Abonnement. Gehen Sie dazu vor dem Erstellen des Speicherkontos vor.

  3. Erstellen Sie ein sicheres virtuelles Netzwerk (VNet) für das Speicherkonto. Sie sollten dasselbe virtuelle Netzwerk für Ihr NFS-fähiges Speicherkonto und für Ihren Azure HPC-Cache verwenden. (Verwenden Sie nicht dasselbe Subnetz wie der Cache.)

  4. Erstellen Sie das Speicherkonto.

    • Statt die Speicherkontoeinstellungen eines Standard-BLOB-Speicherkontos zu verwenden, befolgen Sie die Anweisungen im Anleitungsdokument. Der unterstützte Speicherkontotyp kann je nach Azure-Region variieren.

    • Wählen Sie im Abschnitt "Netzwerk" einen privaten Endpunkt im sicheren virtuellen Netzwerk aus, das Sie erstellt haben (empfohlen), oder wählen Sie einen öffentlichen Endpunkt mit eingeschränktem Zugriff über das sichere VNet aus.

      Lesen Sie " Arbeiten mit privaten Endpunkten ", um Tipps zur Verwendung privater Endpunkte mit HPC-Cachespeicherzielen zu erhalten.

    • Vergessen Sie nicht, den Abschnitt "Erweitert" abzuschließen, in dem Sie DEN NFS-Zugriff aktivieren.

    • Gewähren Sie der Cacheanwendung Zugriff auf Ihr Azure-Speicherkonto, wie oben in "Berechtigungen" erwähnt. Sie können dies beim ersten Erstellen eines Speicherziels tun. Befolgen Sie das Verfahren in "Speicherziele hinzufügen ", um dem Cache die erforderlichen Zugriffsrollen zu gewähren.

      Wenn Sie nicht der Besitzer des Speicherkontos sind, lassen Sie den Besitzer diesen Schritt ausführen.

Erfahren Sie mehr über die Verwendung von ADLS-NFS Speicherzielen mit Azure HPC-Cache in Verwendung von NFS-bereitgestelltem BLOB-Speicher mit Azure HPC-Cache.

Arbeiten mit privaten Endpunkten

Azure Storage unterstützt private Endpunkte, um sicheren Datenzugriff zu ermöglichen. Sie können private Endpunkte mit Azure Blob- oder NFS-eingebundenen Blob-Speicherzielen verwenden.

Weitere Informationen zu privaten Endpunkten

Ein privater Endpunkt stellt eine bestimmte IP-Adresse bereit, die der HPC-Cache für die Kommunikation mit Ihrem Back-End-Speichersystem verwendet. Wenn sich diese IP-Adresse ändert, kann der Cache keine Verbindung mit dem Speicher automatisch herstellen.

Wenn Sie die Konfiguration eines privaten Endpunkts ändern müssen, führen Sie dieses Verfahren aus, um Kommunikationsprobleme zwischen dem Speicher und dem HPC-Cache zu vermeiden:

  1. Das Speicherziel (oder alle Speicherziele, die diesen privaten Endpunkt verwenden) anhalten.
  2. Nehmen Sie Änderungen am privaten Endpunkt vor, und speichern Sie diese Änderungen.
  3. Setzen Sie das Speicherziel mit dem Befehl "resume" wieder in Betrieb.
  4. Aktualisieren Sie die DNS-Einstellung des Speicherziels.

Lesen Sie "Anzeigen und Verwalten von Speicherzielen", um zu erfahren, wie man DNS für Speicherziele suspendiert, fortsetzt und aktualisiert.

Einrichten des Azure CLI-Zugriffs (optional)

Wenn Sie Azure HPC-Cache über die Azure CLI erstellen oder verwalten möchten, müssen Sie Azure CLI und die HPC-Cacheerweiterung installieren. Befolgen Sie die Anweisungen unter Einrichten der Azure CLI für Azure HPC-Cache.

Nächste Schritte

  • Last updated on