Megosztás a következőn keresztül:

Azure Batch-készletek létrehozása virtuális hálózatban

  • Cikk

Azure Batch-készlet létrehozásakor kiépítheti a készletet egy Ön által megadott Azure-beli virtuális hálózat alhálózatán. Ez a cikk bemutatja, hogyan állíthat be Batch-készletet egy virtuális hálózaton.

Miért érdemes virtuális hálózatot használni?

A készlet számítási csomópontjai kommunikálhatnak egymással, például többpéldányos feladatokat futtathatnak külön virtuális hálózat nélkül. A készlet csomópontjai azonban alapértelmezés szerint nem tudnak kommunikálni a készleten kívüli virtuális géppel (például licenc- vagy fájlkiszolgálókkal).

Annak érdekében, hogy a számítási csomópontok biztonságosan kommunikálhassanak más virtuális gépekkel vagy helyszíni hálózattal, kiépítheti a készletet egy virtuális hálózat alhálózatán.

Előfeltételek

  • Hitelesítés. Azure-beli virtuális hálózat használatához a Batch-ügyfél API-nak Microsoft Entra-hitelesítést kell használnia. További információ: Batch-szolgáltatásmegoldások hitelesítése az Active Directoryval.

  • Egy Azure-beli virtuális hálózat. Ha előre szeretne előkészíteni egy virtuális hálózatot egy vagy több alhálózattal, használhatja az Azure Portalt, az Azure PowerShellt, a Microsoft Azure CLI-t (CLI) vagy más módszereket.

    • Azure Resource Manager-alapú virtuális hálózat létrehozásához lásd : Virtuális hálózat létrehozása. A Resource Manager-alapú virtuális hálózat használata ajánlott az új üzemelő példányokhoz, és csak a virtuálisgép-konfigurációt használó készletek esetében támogatott.

    • Klasszikus virtuális hálózat létrehozásához lásd : Virtuális hálózat létrehozása (klasszikus) több alhálózattal. A klasszikus virtuális hálózat csak a Cloud Services-konfigurációt használó készletekben támogatott.

      Fontos

      Ne használja a 172.17.0.0/16-os verziót az Azure Batch-készlet virtuális hálózatához. Ez a Docker-híd alapértelmezett hálózata, és ütközhet más hálózatokkal, amelyekhez csatlakozni szeretne a virtuális hálózathoz. Az Azure Batch-készlet virtuális hálózatának létrehozásához körültekintően kell megtervezni a hálózati infrastruktúrát.

A virtuális hálózatra vonatkozó általános követelmények

  • A virtuális hálózatnak ugyanabban az előfizetésben és régióban kell lennie, mint a készlet létrehozásához használt Batch-fiók.

  • A készlethez megadott alhálózatnak elegendő hozzárendeletlen IP-címmel kell rendelkeznie ahhoz, hogy a készlet számára megcélzott virtuális gépek száma elegendő legyen a készlet és targetLowPriorityNodes a targetDedicatedNodes készlet tulajdonságainak elhelyezéséhez. Ha az alhálózaton nincs elegendő hozzá nem rendelt IP-cím, akkor a készlet részlegesen lefoglalja a számítási csomópontokat, és átméretezési hiba következik be.

  • Ha nem egyszerűsített számítási csomópont-kommunikációt használ, az Azure Storage-végpontokat a virtuális hálózatot kiszolgáló egyéni DNS-kiszolgálók használatával kell feloldania. Az <account>.table.core.windows.net, <account>.queue.core.windows.net és <account>.blob.core.windows.net űrlap URL-címeinek feloldhatónak kell lenniük.

  • Több készlet hozható létre ugyanabban a virtuális hálózaton vagy ugyanabban az alhálózatban (feltéve, hogy elegendő címtérrel rendelkezik). Egyetlen készlet nem létezhet több virtuális hálózaton vagy alhálózaton.

Fontos

A Batch-készletek két csomópontkommunikációs mód egyikében konfigurálhatók. A klasszikus csomópontkommunikációs mód az, ahol a Batch szolgáltatás kezdeményezi a kommunikációt a számítási csomópontokkal. Az egyszerűsített csomópontkommunikációs mód az, ahol a számítási csomópontok kommunikációt kezdeményeznek a Batch szolgáltatással.

  • A Batch-készletekhez használt virtuális hálózatok vagy társhálózatok nem lehetnek átfedésben a szoftveralapú hálózatkezeléssel vagy a számítási csomópontokon futó útválasztással rendelkező IP-címtartományokkal. Az ütközések gyakori forrása egy tároló-futtatókörnyezet, például a Docker használata. A Docker létrehoz egy alapértelmezett hálózati hidat a megadott alhálózati 172.17.0.0/16tartománylal. A virtuális hálózaton belül az alapértelmezett IP-címtérben futó szolgáltatások ütköznek a számítási csomópont szolgáltatásaival, például az SSH-n keresztüli táveléréssel.

Készletek a virtuális gép konfigurációjában

Követelmények:

  • Támogatott virtuális hálózatok: csak Azure Resource Manager-alapú virtuális hálózatok.
  • Alhálózat azonosítója: ha az alhálózatot a Batch API-k használatával adja meg, használja az alhálózat erőforrás-azonosítóját . Az alhálózat azonosítója a következő formátumot követi:

/subscriptions/{subscription}/resourceGroups/{group}/providers/Microsoft.Network/virtualNetworks/{network}/subnets/{subnet}

  • Engedélyek: ellenőrizze, hogy a virtuális hálózat előfizetésének vagy erőforráscsoportjának biztonsági szabályzatai vagy zárolásai korlátozzák-e a felhasználó virtuális hálózat kezelésére vonatkozó engedélyeit.
  • Hálózati erőforrások: A Batch automatikusan több hálózati erőforrást hoz létre a virtuális hálózatot tartalmazó erőforráscsoportban.

Fontos

Minden 100 dedikált vagy alacsony prioritású csomóponthoz a Batch létrehoz egy hálózati biztonsági csoportot (NSG), egy nyilvános IP-címet és egy terheléselosztót. Ezekre az erőforrásokra az előfizetésben meghatározott erőforráskvóták vonatkoznak. Nagy készletekhez szükség lehet a kvóta egy vagy több erőforrásra való megemelésének igénylésére.

Hálózati biztonsági csoportok virtuálisgép-konfigurációs készletekhez: Batch alapértelmezett

A Batch létrehoz egy hálózati biztonsági csoportot (NSG) a Batch-készleten belüli egyes virtuálisgép-méretezési csoportok üzembe helyezésének hálózati adapter szintjén. Azon készletek esetében, amelyek nem rendelkeznek nyilvános IP-címekkel a számítási csomópontok kommunikációja során simplified , a rendszer nem hoz létre NSG-ket.

A számítási csomópontok és a Batch szolgáltatás közötti szükséges kommunikáció biztosítása érdekében ezek az NSG-k úgy vannak konfigurálva, hogy:

  • Bejövő TCP-forgalom a 29876-os és a 29877-ös porton a Batch szolgáltatás IP-címéről, amelyek megfelelnek a BatchNodeManagementnek.régió szolgáltatáscímkéje. Ez a szabály csak készletkommunikációs módban jön létre classic .
  • Kimenő forgalom a 443-as porton a Batch szolgáltatás IP-címeinek, amelyek megfelelnek a BatchNodeManagementnek.régió szolgáltatáscímkéje.
  • Kimenő forgalom bármilyen porton keresztül a virtuális hálózathoz. Ez a szabály alhálózati szintű NSG-szabályok szerint módosítható.
  • Kimenő forgalom bármilyen porton keresztül az internetre. Ez a szabály alhálózati szintű NSG-szabályok szerint módosítható.

Feljegyzés

A 22-es porton (Linux-csomópontokon) vagy a 3389-es porton (Windows-csomópontokon) a 22-es porton vagy a 3389-es porton (Windows-csomópontokon) létrehozott, api-verziónál 2024-07-01korábbi verziójú készletek esetében a rendszer úgy van konfigurálva, hogy az alapértelmezett portokon SSH-n vagy RDP-n keresztül engedélyezze a távelérést.

Fontos

Körültekintően járjon el, ha a Batch által konfigurált NSG-kben módosít vagy ad hozzá bejövő vagy kimenő szabályokat. Ha a megadott alhálózat számítási csomópontjaival való kommunikációt egy NSG megtagadja, a Batch szolgáltatás használhatatlanná állítja a számítási csomópontok állapotát. Emellett nem szabad erőforrás-zárolásokat alkalmazni a Batch által létrehozott erőforrásokra, mivel ez megakadályozhatja az erőforrások törlését a felhasználó által kezdeményezett műveletek, például a készlet törlése miatt.

Hálózati biztonsági csoportok virtuálisgép-konfigurációs készletekhez: Alhálózati szintű szabályok megadása

Ha a Batch számítási csomópontok alhálózatához NSG van társítva, ezt az NSG-t legalább az alábbi táblákban látható bejövő és kimenő biztonsági szabályokkal kell konfigurálnia.

Figyelmeztetés

A Batch szolgáltatás IP-címei idővel módosulhatnak. Ezért a BatchNodeManagementet kell használnia.régiószolgáltatás-címke az alábbi táblázatokban szereplő NSG-szabályokhoz. Kerülje az NSG-szabályok feltöltését adott Batch-szolgáltatás IP-címeivel.

Bejövő biztonsági szabályok

Forrásszolgáltatás címkéje vagy IP-címei Célportok Protokoll Készletkommunikációs mód Kötelező
BatchNodeManagement.régió szolgáltatáscímkéje 29876-29877 TCP Klasszikus Igen
Forrás IP-címek a számítási csomópontok távoli eléréséhez 3389 (Windows), 22 (Linux) TCP Klasszikus vagy egyszerűsített Nem

Csak akkor konfigurálja a bejövő forgalmat a 3389-s (Windows) vagy a 22-s (Linux) porton, ha engedélyeznie kell a távoli hozzáférést a számítási csomópontokhoz külső forrásokból az alapértelmezett RDP- vagy SSH-portokon. Előfordulhat, hogy engedélyeznie kell az SSH-forgalmat Linux rendszeren, ha a Batch számítási csomópontokat tartalmazó alhálózat bizonyos Message Passing Interface (MPI) futtatókörnyezeteivel rendelkező többpéldányos feladatok támogatását igényli, mivel a forgalom alhálózati szintű NSG-szabályok szerint blokkolható. Az MPI-forgalom általában a magánhálózati IP-címtartományon keresztül történik, de az MPI-futtatókörnyezetek és a futtatókörnyezet konfigurációja között eltérő lehet. Ezen portokon a forgalom engedélyezése nem feltétlenül szükséges ahhoz, hogy a készlet számítási csomópontjai használhatóak legyenek. Ezeken a portokon az alapértelmezett távelérést a készletvégpontok konfigurálásával is letilthatja.

Kimenő biztonsági szabályok

Célszolgáltatás címkéje Célportok Protokoll Készletkommunikációs mód Kötelező
BatchNodeManagement.régió szolgáltatáscímkéje 443 * egyszerűsített Igen
Raktározás.régió szolgáltatáscímkéje 443 TCP Klasszikus Igen

Kimenő forgalom a BatchNodeManagementbe.A régió szolgáltatáscímkéje készletkommunikációs módban szükséges classic , ha Feladatkezelői feladatokat használ, vagy ha a tevékenységeknek vissza kell kommunikálniuk a Batch szolgáltatással. A BatchNodeManagement felé irányuló kimenő forgalom esetén.régió készletkommunikációs simplified módban, a Batch szolgáltatás jelenleg csak TCP protokollt használ, de lehetséges, hogy az UDP szükséges a jövőbeli kompatibilitáshoz. Nyilvános IP-címekkel nem rendelkező készletek esetén, kommunikációs simplified móddal és csomópontkezelési privát végponttal, nincs szükség NSG-re. További információ a BatchNodeManagement kimenő biztonsági szabályairól.régió szolgáltatáscímkéje, lásd : Egyszerűsített számítási csomópont-kommunikáció használata.

Készlet létrehozása virtuális hálózattal az Azure Portalon

Miután létrehozta a virtuális hálózatot, és hozzárendelt hozzá egy alhálózatot, létrehozhat egy Batch-készletet ezzel a virtuális hálózattal. Az alábbi lépéseket követve hozzon létre egy készletet az Azure Portalról:

  1. A Batch-fiókok keresése és kiválasztása az Azure Portal tetején található keresősávon. Válassza ki a Batch-fiókot. Ennek a fióknak ugyanabban az előfizetésben és régióban kell lennie, mint a használni kívánt virtuális hálózatot tartalmazó erőforráscsoportnak.

  2. A bal oldali navigációs sávon válassza a Készletek lehetőséget .

  3. A Készletek ablakban válassza a Hozzáadás lehetőséget.

    Képernyőkép a Batch-fiók Készletek lapjáról, amely kiemeli a Készletek lehetőséget a bal oldali navigációs sávon, és a Készletek lapon a Hozzáadás gombot.

  4. A Készlet hozzáadása lapon válassza ki a beállításokat, és adja meg a készlet adatait. A Batch-fiók készleteinek létrehozásáról további információt a számítási csomópontok készletének létrehozása című témakörben talál. Csomópontméret, dedikált célcsomópontok és célhelyi/alacsony prioritású csomópontok, valamint a kívánt opcionális beállítások.

  5. A Virtuális hálózatban válassza ki a használni kívánt virtuális hálózatot és alhálózatot.

  6. A készlet létrehozásához válassza az OK gombot.

Fontos

Ha egy készlet által használt alhálózatot próbál törölni, hibaüzenet jelenik meg. Az alhálózat törlése előtt minden alhálózatot használó készletet törölni kell.

A felhasználó által a kényszerített bújtatáshoz megadott útvonalak

Előfordulhat, hogy a szervezeten belül követelmény, hogy az alhálózatról visszairányítsa (kényszerítse) az internethez kötött forgalmat a helyszíni helyére ellenőrzés és naplózás céljából. Emellett lehetséges, hogy engedélyezte a kényszerített bújtatást a virtuális hálózat alhálózatai számára.

Annak biztosításához, hogy a készlet csomópontjai olyan virtuális hálózaton működjenek, amelyben engedélyezve van a kényszerített bújtatás, hozzá kell adnia a következő felhasználó által megadott útvonalakat (UDR) az adott alhálózathoz.

Klasszikus kommunikációs módú készletek esetén:

  • A Batch szolgáltatásnak kommunikálnia kell a csomópontokkal a tevékenységek ütemezéséhez. A kommunikáció engedélyezéséhez adjon hozzá egy, a BatchNodeManagementnek megfelelő UDR-t.régiószolgáltatás-címke abban a régióban, ahol a Batch-fiók létezik. Állítsa be a Következő ugrás típust internetre.

  • Győződjön meg arról, hogy a helyszíni hálózat nem blokkolja az Azure Storage felé irányuló kimenő TCP-forgalmat a 443-as célporton (pontosabban az űrlap *.table.core.windows.net*.queue.core.windows.netURL-címei, és *.blob.core.windows.net).

Egyszerűsített kommunikációs módú készletek esetén csomópontkezelési privát végpont használata nélkül:

  • Győződjön meg arról, hogy a helyszíni hálózat nem blokkolja az Azure BatchNodeManagement felé irányuló kimenő TCP/UDP-forgalmat.region service tag on destination port 443. Jelenleg csak TCP protokollt használ, de lehetséges, hogy az UDP szükséges a jövőbeli kompatibilitáshoz.

Az összes készlet esetében:

  • Ha virtuális fájlcsatlakoztatásokat használ, tekintse át a hálózati követelményeket, és győződjön meg arról, hogy a szükséges forgalom nincs blokkolva.

Figyelmeztetés

A Batch szolgáltatás IP-címei idővel módosulhatnak. A Batch szolgáltatás IP-címének módosítása miatti kimaradások elkerülése érdekében ne adjon meg közvetlenül IP-címeket. Ehelyett használja a BatchNodeManagement parancsot.régió szolgáltatáscímkéje.

Következő lépések