Utiliser la communication simplifiée des nœuds de calcul

Un pool Azure Batch contient un ou plusieurs nœuds de calcul qui exécutent des charges de travail spécifiées par l’utilisateur sous la forme de tâches Batch. Pour activer la fonctionnalité Batch et la gestion de l’infrastructure de pool Batch, les nœuds de calcul doivent communiquer avec le service Azure Batch.

Batch prend en charge deux types de modes de communication :

• Classique : le service Batch lance la communication avec les nœuds de calcul.
• Simplifié : les nœuds de calcul lancent la communication avec le service Batch.

Cet article décrit le mode de communication simplifié et les exigences de configuration réseau associées.

Régions prises en charge

La communication simplifiée des nœuds de calcul dans Azure Batch est actuellement disponible pour les régions suivantes :

• Public : toutes les régions publiques où Batch est présent à l’exception de l’Inde Ouest.
• Gouvernement : USGov Arizona, USGov Virginie, USGov Texas.
• Chine : toutes les régions de Chine où Batch est présent, à l’exception de la Chine Nord 1 et de la Chine Est 1.

Différences entre les modes classiques et simplifiés

Le mode de communication de nœud de calcul simplifié simplifie la gestion de l’infrastructure du pool Batch pour le compte des utilisateurs. Ce mode de communication réduit la complexité et l’étendue des connexions réseau entrantes et sortantes requises dans les opérations de base.

Les pools Batch avec le mode de communication classique nécessitent les règles de mise en réseau suivantes dans les groupes de sécurité réseau (NSG), les itinéraires définis par l’utilisateur (UDR) et les pare-feu lors de la création d’un pool dans un réseau virtuel :

• Communications entrantes :

  • Ports de destination 29876, 29877 par TCP à partir de BatchNodeManagement.<region>

• Sortant:

  • Port de destination 443 par TCP jusqu'à Storage.<region>
  • 443 Port de destination par TCP vers BatchNodeManagement.<region> pour certaines charges de travail nécessitant une communication retour vers le service Batch, comme les tâches du Gestionnaire de tâches.

Les pools Batch avec le mode de communication simplifié ont uniquement besoin d’un accès sortant au point de terminaison de gestion des nœuds du compte Batch (consultez points de terminaison publics du compte Batch). Lorsque le compte Batch a publicNetworkAccess défini sur Activé (par défaut), ils nécessitent les règles réseau suivantes dans les NSG, UDR et pare-feu :

• Communications entrantes :

  • Aucun

• Sortant:

  • Port de destination 443 sur TOUT protocole vers BatchNodeManagement.<region>

Lorsque le compte Batch est publicNetworkAccess défini comme Désactivé, la règle précédemment établie pour le trafic sortant BatchNodeManagement.<region> n’est pas suffisante : le point de gestion des nœuds rejette les connexions publiques. Dans ce cas, vous devez :

1. Créez un point de terminaison privé nodeManagement dans le réseau virtuel du pool.
2. Configurez le DNS afin que le point de terminaison de gestion des nœuds se résolve vers l’adresse IP du point de terminaison privé.
3. Vérifiez que le chemin d’accès réseau (NSG, UDR) autorise TCP/443 à partir du sous-réseau du pool vers le sous-réseau de point de terminaison privé.

Pour plus d’informations, consultez Utiliser des points de terminaison privés avec des comptes Batch.

Les exigences de trafic sortant pour un compte Batch sont découvrables à l'aide de l'API List Outbound Network Dependencies Endpoints. Cette API signale l’ensemble de dépendances de base, en fonction du mode de communication du pool de comptes Batch. Les charges de travail spécifiques à l’utilisateur peuvent nécessiter des règles supplémentaires, telles que l’ouverture du trafic vers d’autres ressources Azure (telles que stockage Azure pour les packages d’applications, Azure Container Registry) ou des points de terminaison tels que le référentiel de packages Microsoft pour la fonctionnalité de montage du système de fichiers virtuel.

Avantages du mode simplifié

Les utilisateurs Azure Batch utilisant le mode simplifié bénéficient de la simplification des connexions réseau et des règles. La communication simplifiée des nœuds de calcul permet de réduire les risques de sécurité en supprimant la nécessité d’ouvrir des ports pour la communication entrante à partir d’Internet. Une seule règle de trafic sortant vers une étiquette de service connue est requise pour l’opération de base de référence.

Le mode simplifié fournit également un contrôle d’exfiltration de données plus précis sur le mode de communication classique , car la communication sortante vers Storage.<region> n’est plus nécessaire. Vous pouvez verrouiller explicitement la communication sortante vers stockage Azure si nécessaire pour votre flux de travail. Par exemple, vous pouvez étendre vos règles de communication sortante au stockage Azure pour activer vos comptes de stockage AppPackage ou d’autres comptes de stockage pour les fichiers de ressources ou les fichiers de sortie.

Même si vos charges de travail ne sont actuellement pas affectées par les modifications (comme décrit dans la section suivante), il est recommandé de passer au mode simplifié. Les améliorations futures apportées au service Batch peuvent être fonctionnelles uniquement avec la communication simplifiée des nœuds de calcul.

Impact potentiel entre les modes de communication classiques et simplifiés

Dans de nombreux cas, le mode de communication simplifié n’affecte pas directement vos charges de travail Batch. Toutefois, la communication simplifiée des nœuds de calcul a un impact sur les cas suivants :

• Les utilisateurs qui spécifient un réseau virtuel dans le cadre de la création d’un pool Batch et effectuent une ou les deux actions suivantes :
  • Désactivez explicitement les règles de trafic réseau sortant incompatibles avec la communication simplifiée des nœuds de calcul.
  • Utilisez des UDR et des règles de pare-feu incompatibles avec la communication simplifiée des nœuds de calcul.
• Utilisateurs qui activent des pare-feu logiciels sur des nœuds de calcul et désactivent explicitement le trafic sortant dans les règles de pare-feu logiciel incompatibles avec la communication simplifiée des nœuds de calcul.

Si l’un de ces cas s’applique à vous, suivez les étapes décrites dans la section suivante pour vous assurer que vos charges de travail Batch peuvent toujours fonctionner en mode simplifié. Il est fortement recommandé de tester et de vérifier toutes vos modifications dans un environnement de développement et de test avant d’envoyer vos modifications en production.

Modifications de configuration réseau requises pour le mode simplifié

Les étapes suivantes sont nécessaires pour migrer vers le nouveau mode de communication :

1. Vérifiez le paramètre d’accès au réseau public de votre compte Batch. Si publicNetworkAccess est réglé sur Désactivée, vous devez créer un point de terminaison privé nodeManagement dans le réseau virtuel du pool et configurer le DNS avant de poursuivre. Sans cela, les nœuds de calcul en mode simplifié ne peuvent pas se connecter au service Batch, quelles que soient les règles de groupe de sécurité réseau. Pour plus d’informations, consultez Utiliser des points de terminaison privés avec des comptes Azure Batch.
2. Assurez-vous que votre configuration réseau applicable aux pools Batch (NSG, UDR, pare-feu, etc.) comprend une union des modes, c’est-à-dire les règles de réseau combinées des modes classique et simplifié. Au minimum, ces règles seraient les suivantes :
   • Communications entrantes :
     • Ports de destination 29876, 29877 par TCP à partir de BatchNodeManagement.<region>
   • Communications sortantes :
     • Port de destination 443 par TCP jusqu'à Storage.<region>
     • Port de destination 443 sur TOUT protocole vers BatchNodeManagement.<region>
3. Si vous avez d’autres scénarios entrants ou sortants requis par votre flux de travail, vous devez vous assurer que vos règles reflètent ces exigences.
4. Utilisez l’une des options suivantes pour mettre à jour vos charges de travail afin d’utiliser le nouveau mode de communication.
   • Créez de nouveaux pools avec targetNodeCommunicationMode défini sur simplifié et validez que les nouveaux pools fonctionnent correctement. Migrez votre charge de travail vers les nouveaux pools et supprimez les pools antérieurs.
   • Mettez à jour la propriété targetNodeCommunicationModedes pools existants en la définissant sur simplifié, puis redimensionnez tous les pools existants à zéro nœud et effectuez de nouveau un scale-out.
5. Utilisez l’API Get Pool , l’API List Pool ou le portail Azure pour confirmer que le currentNodeCommunicationMode mode de communication souhaité est simplifié.
6. Modifiez au minimum toutes les configurations réseau applicables aux règles de communication simplifiées (notez les règles supplémentaires nécessaires comme indiqué ci-dessus) :
   • Communications entrantes :
     • Aucun
   • Communications sortantes :
     • Port de destination 443 sur TOUT protocole vers BatchNodeManagement.<region>

Si vous suivez ces étapes, mais que vous souhaitez ultérieurement revenir à la communication de nœud de calcul classique , vous devez effectuer les actions suivantes :

1. Rétablissez toute configuration réseau fonctionnant exclusivement en mode de communication de nœud de calcul simplifié .
2. Créez des pools ou mettez à jour la propriété pools targetNodeCommunicationMode existante définie sur classique.
3. Migrez votre charge de travail vers ces pools ou redimensionnez les pools existants et effectuez un scale-out (voir l’étape 3 ci-dessus).
4. Consultez l’étape 4 ci-dessus pour vérifier que vos pools fonctionnent en mode de communication classique .
5. Restaurez éventuellement votre configuration réseau.

Spécifier le mode de communication sur un pool Batch

La propriété targetNodeCommunicationMode sur les pools Batch vous permet d’indiquer une préférence pour le service Batch pour lequel le mode de communication à utiliser entre le service Batch et les nœuds de calcul. Voici les options autorisées sur cette propriété :

• Classique : crée le pool à l’aide de la communication de nœud de calcul classique.
• Simplifié : crée le pool à l’aide de la communication simplifiée des nœuds de calcul.
• Valeur par défaut : permet au service Batch de sélectionner le mode de communication du nœud de calcul approprié. Pour les pools sans réseau virtuel, le pool peut être créé en mode classique ou simplifié. Pour les pools avec un réseau virtuel, le pool est toujours défini par défaut sur classique jusqu’au 30 septembre 2024. Pour plus d’informations, consultez le guide de migration du mode de communication de nœud de calcul classique.

Voici des exemples de création d’un pool Batch avec une communication simplifiée de nœud de calcul.

Portail Azure

Tout d’abord, connectez-vous au portail Azure. Ensuite, accédez au panneau Pools de votre compte Batch et sélectionnez le bouton Ajouter . Sous PARAMÈTRES FACULTATIFS, vous pouvez sélectionner Simplifié en tant qu’option à partir du menu déroulant du mode de communication du nœud, comme indiqué.

Pour mettre à jour un pool existant en mode de communication simplifié, accédez au panneau Pools de votre compte Batch et sélectionnez le pool à mettre à jour. Dans le volet de navigation de gauche, sélectionnez Le mode de communication Node. Vous pouvez sélectionner un nouveau mode de communication de nœud cible, comme indiqué ci-dessous. Cliquez sur le bouton Enregistrer après avoir sélectionné le mode de communication approprié pour mettre à jour. Vous devez d’abord effectuer un scale-down du pool sur zéro nœud, puis un scale-out pour que la modification s’applique, si les conditions le permettent.

Pour afficher le mode de communication de nœud actuel pour un pool, accédez au panneau Pools de votre compte Batch, puis sélectionnez le pool à afficher. Sélectionnez Propriétés dans la navigation de gauche et le mode de communication du nœud de pool s’affiche sous la section Général .

REST API

Cet exemple montre comment utiliser l’API REST du service Batch pour créer un pool avec une communication simplifiée de nœud de calcul.

POST {batchURL}/pools?api-version=2022-10-01.16.0
client-request-id: 00000000-0000-0000-0000-000000000000

Corps de la demande

"pool": {
     "id": "pool-simplified",
     "vmSize": "standard_d2s_v3",
     "virtualMachineConfiguration": {
          "imageReference": {
               "publisher": "Canonical",
               "offer": "0001-com-ubuntu-server-jammy",
               "sku": "22_04-lts"
          },
          "nodeAgentSKUId": "batch.node.ubuntu 22.04"
     },
     "resizeTimeout": "PT15M",
     "targetDedicatedNodes": 2,
     "targetLowPriorityNodes": 0,
     "taskSlotsPerNode": 1,
     "taskSchedulingPolicy": {
          "nodeFillType": "spread"
     },
     "enableAutoScale": false,
     "enableInterNodeCommunication": false,
     "targetNodeCommunicationMode": "simplified"
}

Limites

Voici les limitations connues du mode de communication simplifié :

• Prise en charge limitée de la migration pour les pools créés précédemment sans adresses IP publiques. Ces pools ne peuvent être migrés que s’ils sont créés dans un réseau virtuel, sinon ils n’utilisent pas de communication simplifiée de nœud de calcul, même s’ils sont spécifiés sur le pool.
• Les pools de configuration de service cloud ne sont pas pris en charge pour la communication simplifiée des nœuds de calcul et sont déconseillés. Pour ces types de pools, la définition d’un mode de communication n’est pas respectée. Le mode de communication classique s’applique toujours. Nous vous recommandons d’utiliser la configuration de machine virtuelle pour vos pools Batch.

Étapes suivantes

• Découvrez comment utiliser des points de terminaison privés avec des comptes Batch.
• En savoir plus sur les pools dans les réseaux virtuels.
• Découvrez comment créer un pool avec des adresses IP publiques spécifiées.
• Découvrez comment créer un pool sans adresses IP publiques.
• Découvrez comment configurer l’accès réseau public pour les comptes Batch.