通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure HPC 的标识和访问管理

本文基于 Azure 标识和访问管理设计一文中所述的注意事项和建议。 它可以帮助你检查特定于 AZURE 上的 HPC 应用程序的部署的标识和访问管理的设计注意事项。

Microsoft Entra 域服务 提供域加入和组策略等托管域服务。 它还提供对旧式身份验证协议(例如轻型目录访问协议(LDAP)和 Kerberos/NTLM 身份验证的访问权限。 Microsoft Entra 域服务与现有的 Microsoft Entra 租户集成。 通过此集成,用户可以使用其在 Microsoft Entra ID 中的现有凭据,登录到连接到托管域的服务和应用程序。 还可以使用现有组和用户帐户来帮助保护对资源的访问。 这些功能能够更流畅地将本地资源直接迁移到 Azure,特别是在混合环境中。

有关详细信息,请参阅 平台访问和Azure 标识和登陆区域访问的设计建议。

设计注意事项

HPC 部署使用 Azure 登陆区域基础结构设置实现安全标识和访问管理。 部署 HPC 应用程序时,请记住以下设计注意事项:

  • 确定团队的各个成员所需的 Azure 资源管理。 请考虑在非生产环境中为这些团队成员提供提升的 Azure 资源管理访问权限。

    • 例如,为他们提供虚拟机参与者角色。
    • 还可以为团队成员提供部分提升的管理访问权限,例如生产环境中的部分“虚拟机参与者”角色。

    这两个选项在职责分离和运营效率之间实现了良好的平衡。

  • 审查团队需要执行的 Azure 管理活动。 请审视你在 Azure 上的 HPC 整体蓝图。 确定组织中可能的最佳职责分配。

    下面是用于管理和管理的常见 Azure 活动:

    Azure 资源 Azure 资源提供程序 活动
    虚拟机 (VM) Microsoft.Compute/virtualMachines 启动、停止、重启、解除分配、部署、重新部署、更改和调整 VM 大小。 管理扩展、可用性集和邻近放置组。
    虚拟机 Microsoft.Compute/disks 读取和写入磁盘。
    存储 Microsoft.Storage 读取和更改存储帐户,例如启动诊断存储帐户。
    存储 Microsoft.NetApp 读取和更改 NetApp 容量池和卷。
    存储 Microsoft.NetApp 拍摄 Azure NetApp 文件快照。
    存储 Microsoft.NetApp 使用 Azure NetApp 文件跨区域复制。
    网络 Microsoft.Network/networkInterfaces 读取、创建和更改网络接口。
    网络 Microsoft.Network/负载均衡器 读取、创建和更改负载均衡器。
    网络 Microsoft.Network/networkSecurityGroups 读取网络安全组。
    网络 Microsoft.Network/azureFirewalls 读取防火墙。
    网络 Microsoft.Network/虚拟网络 读取、创建和更改网络接口。

    请考虑虚拟网络资源组所需的相应访问权限。如果该资源组与 VM 的资源组不同,则还需考虑后者的相关访问权限。

  • 典型的 HPC 设置包括用于提交作业的前端、作业计划程序或业务流程协调程序、计算群集和共享存储。 可以从本地和/或云中提交作业。 用户和可视化设备的标识和访问管理注意事项可能因企业标准而异。

  • 请考虑您使用的Microsoft身份验证服务。 根据所使用的 HPC 计算资源业务流程协调程序,支持各种身份验证方法,如下所示。

    • Azure CycleCloud 提供 三种身份验证方法:具有加密、Active Directory 和 LDAP 的内置数据库。
    • Azure Batch 支持 两种身份验证方法:共享密钥和Microsoft Entra ID。
    • 如果要将本地功能扩展到混合环境,可以使用 Azure 上托管的只读域控制器通过 Active Directory 进行身份验证。 此方法将跨链接的流量降到最低。 通过此项集成,用户可以使用其现有凭据,无缝登录到所有已接入托管域的服务与应用程序。 还可以使用现有组和用户帐户来帮助保护对资源的访问。 这些功能可更顺畅地将本地资源直接迁移到 Azure。
    • 目前, HPC Pack 节点必须加入 Active Directory 域。 如果要在虚拟网络中部署 HPC Pack 群集,该虚拟网络具有站点到站点 VPN 或 Azure ExpressRoute 连接到企业网络(防火墙规则允许访问 Active Directory 域控制器),则通常已有一个 Active Directory 域。 如果虚拟网络中没有 Active Directory 域,可以选择通过将头节点提升为域控制器来创建一个。 另一种选择是使用 Microsoft Entra 域服务,将 HPC Pack 节点直接加入其管理的域,以替代传统的本地 Active Directory 域控制器方案。 如果将头节点部署在 Azure 上,请务必确定本地远程用户是否将提交作业。 如果远程用户正在提交作业,则应使用 Active Directory,因为它提供了更好的体验,并允许证书正确用于身份验证。 否则,如果使用 Microsoft Entra 域服务而不是 Active Directory,远程客户端将需要使用 REST API 服务提交作业。

有关详细信息,请参阅 平台访问Azure 标识的设计建议以及登陆区域的访问

能源行业的设计注意事项

除了上述注意事项外,还要考虑这些因素。

石油和天然气行业工作负荷中的两种常见部署类型 仅限云混合云 模型。 尽管在云中拥有所有计算、存储和可视化资源不太复杂,但企业有时会使用混合模型,因为地震和水库模拟 HPC 工作负荷存在多个业务约束。

仅限云的模型和混合云模型可能都有自己的唯一标识和访问需求,这些需求会影响要采用的 Active Directory 解决方案的类型。

仅限云部署模型中的工作负荷使用 Microsoft Entra ID 进行 Azure Service Fabric 身份验证,而 HPC 混合云模型使用 Microsoft Entra 混合标识解决方案 进行身份验证。 无论部署类型如何,Linux 客户端和符合 POSIX 的存储解决方案都需要通过 Microsoft Entra 域服务提供旧版 Active Directory 支持。

制造业的设计注意事项

下图显示了使用 CycleCloud 进行身份验证的制造参考体系结构:

显示使用 Azure CycleCloud 的制造参考架构的架构图。

此图显示了使用 Batch 进行身份验证的制造体系结构:

示意图显示了使用 Azure Batch 的制造参考架构。

后续步骤

以下文章为云采用过程的各个阶段提供了指导。 这些资源可帮助你成功地为云采用 HPC 环境。