Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Antes de crear una instancia de Azure HPC Cache, asegúrese de que el entorno cumple estos requisitos.
Suscripción a Azure
Se recomienda una suscripción de pago.
Infraestructura de red
Estos requisitos previos relacionados con la red deben configurarse para poder usar la memoria caché:
- Una subred dedicada para la instancia de Azure HPC Cache
- Compatibilidad con DNS para que la memoria caché pueda acceder al almacenamiento y a otros recursos
- Acceso desde la subred a servicios de infraestructura de Microsoft Azure adicionales, incluidos los servidores NTP y el servicio Azure Queue Storage.
Subred de caché
Azure HPC Cache necesita una subred dedicada con estas cualidades:
- La subred debe tener al menos 64 direcciones IP disponibles.
- La comunicación dentro de la subred debe estar sin restricciones. Si usa un grupo de seguridad de red para la subred de caché, asegúrese de que permite todos los servicios entre direcciones IP internas.
- La subred no puede hospedar ninguna otra máquina virtual, incluso para servicios relacionados como máquinas cliente.
- Si usa varias instancias de Azure HPC Cache, cada una necesita su propia subred.
El procedimiento recomendado es crear una nueva subred para cada caché. Puede crear una nueva red virtual y una subred como parte de la creación de la memoria caché.
Al crear esta subred, tenga cuidado de que su configuración de seguridad permita el acceso a los servicios de infraestructura necesarios mencionados más adelante en esta sección. Puede restringir la conectividad saliente a Internet, pero asegúrese de que hay excepciones para los elementos documentados aquí.
Acceso DNS
La memoria caché necesita DNS para acceder a los recursos fuera de su red virtual. En función de los recursos que use, es posible que tenga que configurar un servidor DNS personalizado y configurar el reenvío entre ese servidor y los servidores DNS de Azure:
- Para acceder a los puntos de conexión de Azure Blob Storage y otros recursos internos, necesita el servidor DNS basado en Azure.
- Para acceder al almacenamiento local, debe configurar un servidor DNS personalizado que pueda resolver los nombres de host de almacenamiento. Debe hacerlo antes de crear la memoria caché.
Si solo usa Blob Storage, puede usar el servidor DNS proporcionado por Azure predeterminado para la memoria caché. Sin embargo, si necesita acceso al almacenamiento u otros recursos fuera de Azure, debe crear un servidor DNS personalizado y configurarlo para reenviar las solicitudes de resolución específicas de Azure al servidor DNS de Azure.
Para usar un servidor DNS personalizado, debe realizar estos pasos de configuración antes de crear la memoria caché:
Cree la red virtual que hospedará Azure HPC Cache.
Cree el servidor DNS.
Agregue el servidor DNS a la red virtual de la memoria caché.
Siga estos pasos para agregar el servidor DNS a la red virtual en Azure Portal:
- Abra la red virtual en Azure Portal.
- Elija Servidores DNS en el menú Configuración de la barra lateral.
- Seleccionar Personalizado
- Escriba la dirección IP del servidor DNS en el campo .
También se puede usar un servidor DNS simple para equilibrar la carga de las conexiones de cliente entre todos los puntos de montaje de caché disponibles.
Obtenga más información sobre las redes virtuales de Azure y las configuraciones del servidor DNS en Resolución de nombres para recursos en redes virtuales de Azure.
Acceso NTP
HPC Cache necesita acceso a un servidor NTP para un funcionamiento normal. Si restringe el tráfico saliente de las redes virtuales, asegúrese de permitir el tráfico a al menos un servidor NTP. El servidor predeterminado es time.windows.com y la memoria caché se pone en contacto con este servidor en el puerto UDP 123.
Cree una regla en su grupo de seguridad de red de la red de caché que permita el tráfico saliente al servidor NTP. La regla simplemente puede permitir todo el tráfico saliente en el puerto UDP 123 o tener más restricciones.
En este ejemplo se abre explícitamente el tráfico saliente a la dirección IP 168.61.215.74, que es la dirección que usa time.windows.com.
| Priority | Nombre | Port | Protocolo | Source | Destination | Acción |
|---|---|---|---|---|---|---|
| 200 | NTP | Any | UDP | Any | 168.61.215.74 | Permitir |
Asegúrese de que la regla NTP tenga una prioridad más alta que cualquier regla que deniegue ampliamente el acceso saliente.
Más sugerencias para el acceso NTP:
Si tiene firewalls entre HPC Cache y el servidor NTP, asegúrese de que estos firewalls también permiten el acceso NTP.
Puede configurar el servidor NTP que usa HPC Cache en la página Redes . Lea Configuración de opciones adicionales para obtener más información.
Acceso a Azure Queue Storage
La memoria caché debe poder acceder de forma segura al servicio Azure Queue Storage desde su subred dedicada. Azure HPC Cache usa el servicio queues al comunicar información de configuración y estado.
Si la memoria caché no puede acceder al servicio de cola, es posible que vea un mensaje CacheConnectivityError al crear la memoria caché.
Hay dos maneras de proporcionar acceso:
Cree un punto de conexión de servicio de Azure Storage en la subred de caché. Lea Agregar una subred de red virtual para obtener instrucciones para agregar el punto de conexión del servicio Microsoft.Storage.
Configura de manera individual el acceso al dominio del servicio de colas de almacenamiento de Azure en tu grupo de seguridad de red u otros cortafuegos.
Agregue reglas para permitir el acceso en estos puertos:
Puerto TCP 443 para proteger el tráfico a cualquier host del dominio queue.core.windows.net (
*.queue.core.windows.net).Puerto TCP 80: se usa para la comprobación del certificado del lado servidor. Esto se conoce a veces como comunicaciones de comprobación de lista de revocación de certificados (CRL) y protocolo de estado de certificado en línea (OCSP). Todos los *.queue.core.windows.net usan el mismo certificado y, por tanto, los mismos servidores CRL/OCSP. El nombre de host se almacena en el certificado SSL del lado servidor.
Consulte los consejos sobre reglas de seguridad en acceso NTP para obtener más información.
Este comando enumera los servidores CRL y OCSP a los que se debe permitir el acceso. Estos servidores deben ser resueltos por DNS y accesibles en el puerto 80 desde la subred de caché.
openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URILa salida tiene un aspecto similar al siguiente y puede cambiar si el certificado SSL se actualiza:
OCSP - URI:http://ocsp.msocsp.com CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
Puede comprobar la conectividad de la subred mediante este comando desde una máquina virtual de prueba dentro de la subred:
openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"
Una conexión correcta proporciona esta respuesta:
OCSP Response Status: successful (0x0)
Acceso al servidor de eventos
Azure HPC Cache usa puntos de conexión de servidor de eventos de Azure para supervisar el estado de la memoria caché y enviar información de diagnóstico.
Asegúrese de que la memoria caché pueda acceder de forma segura a los hosts del dominio events.data.microsoft.com, es decir, abra el puerto TCP 443 para el tráfico a *.events.data.microsoft.com.
Permisos
Compruebe estos requisitos previos relacionados con los permisos antes de empezar a crear la memoria caché.
La instancia de caché debe poder crear interfaces de red virtual (NIC). El usuario que crea la memoria caché debe tener suficientes privilegios en la suscripción para crear NIC.
Si usa Blob Storage, Azure HPC Cache necesita autorización para acceder a la cuenta de almacenamiento. Use el control de acceso basado en rol de Azure (Azure RBAC) para conceder a la memoria caché acceso a Blob Storage. Se requieren dos roles: Colaborador de la cuenta de almacenamiento y Colaborador de datos de Storage Blob.
Siga las instrucciones de Adición de destinos de almacenamiento para agregar los roles.
Infraestructura de almacenamiento
La caché admite contenedores de blobs de Azure, exportaciones de almacenamiento de hardware NFS y contenedores de blobs de ADLS montados en NFS. Agregue destinos de almacenamiento después de crear la memoria caché.
Cada tipo de almacenamiento tiene requisitos previos específicos.
Requisitos de Almacenamiento de Blobs
Si desea usar Azure Blob Storage con la memoria caché, necesita una cuenta de almacenamiento compatible y un contenedor de blobs vacío o un contenedor que se rellena con datos con formato de Azure HPC Cache, tal como se describe en Traslado de datos a Azure Blob Storage.
Note
Se aplican distintos requisitos al almacenamiento de blobs montado en NFS. Lea ADLS-NFS requisitos de almacenamiento para obtener más información.
Cree la cuenta antes de intentar agregar un destino de almacenamiento. Puede crear un nuevo contenedor al agregar el destino.
Para crear una cuenta de almacenamiento compatible, use una de estas combinaciones:
| Rendimiento | Tipo | Replication | Nivel de acceso |
|---|---|---|---|
| Standard | StorageV2 (uso general v2) | Almacenamiento con redundancia local (LRS) o almacenamiento con redundancia de zona (ZRS) | Caliente |
| Premium | Blobs en bloques | Almacenamiento con redundancia local (LRS) | Caliente |
La cuenta de almacenamiento debe ser accesible desde la subred privada de la memoria caché. Si la cuenta usa un punto de conexión privado o un punto de conexión público restringido a redes virtuales específicas, asegúrese de habilitar el acceso desde la subred de la memoria caché. (No se recomienda tener un punto de acceso público abierto).
Lea Trabajar con puntos de conexión privados para obtener sugerencias sobre el uso de puntos de conexión privados con destinos de almacenamiento de HPC Cache.
Se recomienda usar una cuenta de almacenamiento en la misma región de Azure que la memoria caché.
También debe conceder a la aplicación de caché acceso a la cuenta de Almacenamiento de Azure, como se mencionó en Permisos, anteriormente. Siga el procedimiento descrito en Adición de destinos de almacenamiento para proporcionar a la memoria caché los roles de acceso necesarios. Si no es el propietario de la cuenta de almacenamiento, pida al propietario que realice este paso.
Requisitos de almacenamiento NFS
Si usa un sistema de almacenamiento NFS (por ejemplo, un sistema NAS de hardware local), asegúrese de que cumple estos requisitos. Es posible que tenga que trabajar con los administradores de red o los administradores de firewall para el sistema de almacenamiento (o centro de datos) para comprobar esta configuración.
Note
Se producirá un error en la creación del destino de almacenamiento si la memoria caché no tiene acceso suficiente al sistema de almacenamiento NFS.
Se incluye más información en Solución de problemas de configuración de NAS y de destino de almacenamiento NFS.
Conectividad de red: Azure HPC Cache necesita acceso de red de alto ancho de banda entre la subred de caché y el centro de datos del sistema NFS. Se recomienda ExpressRoute o acceso similar. Si usa una VPN, es posible que tenga que configurarlo para fijar TCP MSS en 1350 para asegurarse de que los paquetes grandes no estén bloqueados. Lea Restricciones de tamaño de paquete VPN para obtener más ayuda para solucionar problemas de configuración de VPN.
Acceso de puerto: la memoria caché necesita acceso a puertos TCP/UDP específicos en el sistema de almacenamiento. Los distintos tipos de almacenamiento tienen requisitos de puerto diferentes.
Para comprobar la configuración del sistema de almacenamiento, siga este procedimiento.
Emita un
rpcinfocomando al sistema de almacenamiento para comprobar los puertos necesarios. El comando siguiente enumera los puertos y da formato a los resultados pertinentes en una tabla. (Use la dirección IP del sistema en lugar del <término storage_IP> ).Puede emitir este comando desde cualquier cliente linux que tenga instalada la infraestructura NFS. Si usa un cliente dentro de la subred del clúster, también puede ayudar a comprobar la conectividad entre la subred y el sistema de almacenamiento.
rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
Asegúrese de que todos los puertos devueltos por la
rpcinfoconsulta permiten el tráfico sin restricciones de la subred de Azure HPC Cache.Si no puede usar el
rpcinfocomando , asegúrese de que estos puertos usados habitualmente permiten el tráfico entrante y saliente:Protocolo Port Service TCP/UDP 111 rpcbind TCP/UDP 2049 NFS TCP/UDP 4045 nlockmgr TCP/UDP 4046 montado TCP/UDP 4047 estado Algunos sistemas usan números de puerto diferentes para estos servicios: consulte la documentación del sistema de almacenamiento para asegurarse.
Compruebe la configuración del firewall para asegurarse de que permiten el tráfico en todos estos puertos necesarios. Asegúrese de comprobar los firewalls usados en Azure, así como los firewalls locales del centro de datos.
El almacenamiento back-end NFS debe ser una plataforma de hardware o software compatible. El almacenamiento debe admitir NFS versión 3 (NFSv3). Póngase en contacto con el equipo de Azure HPC Cache para más información.
Requisitos de almacenamiento de blobs montados en NFS (ADLS-NFS)
Azure HPC Cache también puede usar un contenedor de blobs montado con el protocolo NFS como destino de almacenamiento.
Obtenga más información sobre esta característica en la compatibilidad con el protocolo NFS 3.0 en Azure Blob Storage.
Los requisitos de la cuenta de almacenamiento son diferentes para un destino de almacenamiento de blobs ADLS-NFS y para un destino de almacenamiento de blobs estándar. Siga las instrucciones de Montaje de Blob Storage mediante el protocolo Network File System (NFS) 3.0 cuidadosamente para crear y configurar la cuenta de almacenamiento habilitada para NFS.
Esta es una introducción general de los pasos. Estos pasos pueden cambiar, por lo que siempre consulte las instrucciones deADLS-NFS para obtener los detalles actuales.
Asegúrese de que las características que necesita están disponibles en las regiones en las que planea trabajar.
Habilite la característica de protocolo NFS para la suscripción. Haga esto antes de crear la cuenta de almacenamiento.
Cree una red virtual segura (VNet) para la cuenta de almacenamiento. Debe usar la misma red virtual para la cuenta de almacenamiento habilitada para NFS y para Azure HPC Cache. (No use la misma subred que la caché).
Cree la cuenta de almacenamiento.
En lugar de usar la configuración de la cuenta de almacenamiento para una cuenta de almacenamiento de blobs estándar, siga las instrucciones de la guía de procedimientos. El tipo de cuenta de almacenamiento admitido puede variar según la región de Azure.
En la sección Redes, elija un punto de conexión privado en la red virtual segura que creó (recomendado) o elija un punto de conexión público con acceso restringido desde la red virtual segura.
Lea Trabajar con puntos de conexión privados para obtener sugerencias sobre el uso de puntos de conexión privados con destinos de almacenamiento de HPC Cache.
No olvide completar la sección Avanzadas, donde habilite el acceso NFS.
Conceda a la aplicación de caché acceso a la cuenta de Almacenamiento de Azure, como se mencionó en Permisos, anteriormente. Puede hacerlo la primera vez que cree un destino de almacenamiento. Siga el procedimiento descrito en Adición de destinos de almacenamiento para proporcionar a la memoria caché los roles de acceso necesarios.
Si no es el propietario de la cuenta de almacenamiento, pídale al propietario que realice este paso.
Obtenga más información sobre el uso de destinos de almacenamiento de ADLS-NFS con Azure HPC Cache en Uso del almacenamiento de blobs montado en NFS con Azure HPC Cache.
Trabajar con puntos de conexión privados
Azure Storage admite puntos de conexión privados para permitir el acceso seguro a los datos. Puede usar puntos de conexión privados con Azure Blob o destinos de almacenamiento de blobs montados en NFS.
Más información sobre los puntos de conexión privados
Un punto de conexión privado proporciona una dirección IP específica que HPC Cache usa para comunicarse con el sistema de almacenamiento back-end. Si esa dirección IP cambia, la memoria caché no puede volver a establecer automáticamente una conexión con el almacenamiento.
Si necesita cambiar la configuración de un punto de conexión privado, siga este procedimiento para evitar problemas de comunicación entre el almacenamiento y HPC Cache:
- Suspenda el destino de almacenamiento (o todos los destinos de almacenamiento que usan este punto de conexión privado).
- Realice cambios en el punto de conexión privado y guarde esos cambios.
- Vuelva a poner en servicio el objetivo de almacenamiento con el comando "resume".
- Actualice la configuración dns del destino de almacenamiento.
Lea Visualización y administración de destinos de almacenamiento para obtener información sobre cómo suspender, reanudar y actualizar DNS para destinos de almacenamiento.
Configuración del acceso a la CLI de Azure (opcional)
Si quiere crear o administrar Azure HPC Cache desde la CLI de Azure, debe instalar la CLI de Azure y la extensión hpc-cache. Siga las instrucciones de Configuración de la CLI de Azure para Azure HPC Cache.
Pasos siguientes
- Creación de una instancia de Azure HPC Cache desde Azure Portal