Azure CycleCloud – 安全最佳做法

本文讨论了更安全、更高效地使用 Azure CycleCloud 的最佳做法和有用提示。 使用 Azure CycleCloud 时，可以使用此处列出的最佳做法作为快速参考。

安装

CycleCloud 的默认安装使用端口 8080 上运行的无加密 HTTP。 强烈建议为所有安装配置 SSL，以防止对 CycleCloud 安装进行未加密的访问。 不能从 Internet 访问 CycleCloud，但如果需要，只公开端口 443。 如果要限制直接 Internet 访问，请为所有 Internet 绑定的 HTTP 和 HTTPS 流量配置代理。 有关禁用对 CycleCloud 的未加密通信和 HTTP 访问的详细信息，请参阅 SSL 配置。

如果还想要限制出站 Internet 访问，请将 CycleCloud 配置为对所有 Internet 绑定的 HTTP 和 HTTPS 流量使用代理。 有关详细信息，请参阅 “在锁定的环境中操作”。

身份验证和授权

Azure CycleCloud 提供了四种身份验证方法：采用加密、Active Directory、LDAP 或 Entra ID 的内置数据库。 如果帐户在 60 秒内出现 5 次授权失败，则会自动锁定 5 分钟。 管理员可以手动解锁帐户，系统会在五分钟后自动解锁帐户。

在仅具有管理员组访问权限的驱动器上安装 CycleCloud。 此配置可防止非管理员用户访问无密码数据。 不要在此组中包括非admin 用户。 理想情况下，仅将 CycleCloud 安装的访问权限限制为管理员。

不要跨信任边界共享 CycleCloud 安装。 单个 CycleCloud 安装中的 RBAC 控件在真正的多租户环境中可能不够。 对具有关键数据的每个租户使用单独的独立 CycleCloud 安装。

网络和机密管理

使用网络安全组 (NSG) 锁定在其中启动群集的虚拟网络。 NSG 控制对特定端口的访问。 可以配置和控制 Azure 虚拟网络中进出 Azure 资源的入站和出站网络流量。 网络安全组包含允许或拒绝来自多种 Azure 资源的入站网络流量或出站网络流量的安全规则。

建议至少使用两个子网。 对 CycleCloud 安装 VM 和具有相同访问策略的任何其他 VM 使用一个子网。 对计算群集使用其他子网。 对于大型群集，子网的 IP 范围可能会成为限制因素。 一般情况下，将对 CycleCloud 子网使用较小的 CIDR（无类域间路由）范围，而对计算子网使用较大的范围。

CycleCloud 使用 Azure 资源管理器来管理群集。 若要调用 Azure 资源管理器，请在 CycleCloud VM 上配置 托管标识 。 CycleCloud 需要某些权限。 使用系统分配的或用户分配的托管标识。 系统分配的托管标识在 Azure AD 中创建一个标识，该标识绑定到该服务实例的生命周期。 删除该资源时，会自动删除托管标识。 可以将用户分配的托管标识分配给 Azure 服务的一个或多个实例。 可以单独管理托管标识。

受保护的锁定环境

某些安全生产环境会锁定环境，并且 Internet 访问有限。 由于 Azure CycleCloud 需要访问 Azure 存储帐户和其他受支持的 Azure 服务，因此提供专用访问的建议方法是通过 虚拟网络服务终结点 或专用链接。 启用服务终结点或专用链接可以在虚拟网络中保护 Azure 服务资源。 服务终结点通过在虚拟网络中启用专用 IP 地址，以便安全地连接到 Azure 服务的终结点，从而增加安全性。

CycleCloud 应用程序和群集节点可以在具有有限 Internet 访问的环境中运行，但最少的 TCP 端口必须保持打开状态。 若要在不配置 Azure 防火墙或 HTTPS 代理的情况下限制 CycleCloud VM 的出站 Internet 访问，请为 CycleCloud 虚拟机的子网配置严格的 Azure 网络安全组。 执行此配置的最简单方法是使用子网或 VM 级别网络安全组中 的服务标记 来允许所需的出站 Azure 访问。 创建安全规则时，请使用服务标记代替特定 IP 地址。 可以允许或拒绝相应服务的流量。