この記事では、Azure CycleCloud をより安全かつ効果的に使用するためのベスト プラクティスと便利なヒントについて説明します。 Azure CycleCloud を使用する場合は、ここに記載されているベスト プラクティスをクイック リファレンスとして使用できます。
取り付け
CycleCloud の既定のインストールでは、ポート 8080 で実行されている暗号化されていない HTTP が使用されます。 CycleCloud インストールへの暗号化されていないアクセスを防ぐために、すべてのインストールに SSL を構成することを強くお勧めします。 CycleCloud にインターネットからアクセスすることはできませんが、必要に応じてポート 443 のみを公開します。 直接インターネット アクセスを制限する場合は、インターネットにバインドされたすべての HTTP および HTTPS トラフィックのプロキシを構成します。 暗号化されていない通信の無効化と CycleCloud への HTTP アクセスの詳細については、 SSL 構成を参照してください。
送信インターネット アクセスも制限する場合は、インターネットにバインドされたすべての HTTP および HTTPS トラフィックにプロキシを使用するように CycleCloud を構成します。 詳細については、「 ロックダウンされた環境での動作」を参照してください。
認証と承認
Azure CycleCloud には、暗号化、Active Directory、LDAP、Entra ID を使用した組み込みデータベースの 4 つの認証方法が用意されています。 60 秒以内に 5 つの承認エラーが発生した場合、アカウントは 5 分間自動的にロックされます。 管理者は手動でアカウントのロックを解除でき、システムは 5 分後に自動的にアカウントのロックを解除します。
管理者グループアクセス権のみを持つドライブに CycleCloud をインストールします。 この構成により、管理者以外のユーザーが暗号化されていないデータにアクセスできなくなります。 このグループには、管理者以外のユーザーを含めないでください。 理想的には、CycleCloud インストールへのアクセスを管理者のみに制限します。
信頼の境界を越えて CycleCloud インストールを共有しないでください。 単一の CycleCloud インストール内の RBAC 制御は、真のマルチテナント環境では不十分な場合があります。 重要なデータを含むテナントごとに、個別の CycleCloud インストールと分離された CycleCloud インストールを使用します。
ネットワークとシークレットの管理
ネットワーク セキュリティ グループ (NSG) を使用してクラスターを起動する仮想ネットワークをロックダウンします。 NSG は、特定のポートへのアクセスを制御します。 Azure 仮想ネットワーク内の Azure リソースとの間で送受信されるネットワーク トラフィックを構成および制御できます。 ネットワーク セキュリティ グループには、受信ネットワーク トラフィックまたは複数の種類の Azure リソースからの送信ネットワーク トラフィックを許可または拒否するセキュリティ規則が含まれています。
少なくとも 2 つのサブネットを使用することをお勧めします。 CycleCloud インストール VM に 1 つのサブネットを使用し、同じアクセス ポリシーを持つ他の VM を使用します。 コンピューティング クラスターに追加のサブネットを使用します。 大規模なクラスターの場合、サブネットの IP 範囲が制限要因になる可能性があります。 一般に、CycleCloud サブネットには小さな CIDR (クラスレス Inter-Domain ルーティング) 範囲を使用し、コンピューティング サブネットには大きな範囲を使用します。
CycleCloud は、クラスターの管理に Azure Resource Manager を使用します。 Azure Resource Manager を呼び出すには、CycleCloud VM で マネージド ID を 構成します。 CycleCloud には特定のアクセス許可が必要です。 システム割り当てマネージド ID またはユーザー割り当てマネージド ID を使用します。 システム割り当てマネージド ID は、そのサービス インスタンスのライフサイクルに関連付けられた ID を Azure AD に作成します。 そのリソースを削除すると、マネージド ID が自動的に削除されます。 ユーザー割り当てマネージド ID は、Azure サービスの 1 つ以上のインスタンスに割り当てることができます。 マネージド ID は個別に管理します。
セキュリティで保護されたロックダウン環境
一部のセキュリティで保護された運用環境では、環境がロックダウンされ、インターネット アクセスが制限されています。 Azure CycleCloud には Azure Storage アカウントやその他のサポートされている Azure サービスへのアクセスが必要であるため、プライベート アクセスを提供する推奨される方法は 、Virtual Network サービス エンドポイント または Private Link を介することです。 サービス エンドポイントまたはプライベート リンクを有効にすると、Azure サービス リソースが仮想ネットワークにセキュリティで保護されます。 サービス エンドポイントは、仮想ネットワーク内のプライベート IP アドレスが Azure サービスのエンドポイントに到達できるようにすることで、セキュリティを強化します。
CycleCloud アプリケーションとクラスター ノードは、インターネット アクセスが制限された環境で動作できますが、開いたままにする必要がある TCP ポートの数は最小限です。 Azure Firewall または HTTPS プロキシを構成せずに CycleCloud VM からの送信インターネット アクセスを制限するには、CycleCloud 仮想マシンのサブネット用に厳密な Azure ネットワーク セキュリティ グループを構成します。 この構成を行う最も簡単な方法は、サブネットまたは VM レベルのネットワーク セキュリティ グループで サービス タグ を使用して、必要な送信 Azure アクセスを許可することです。 セキュリティ規則を作成するときは、特定の IP アドレスの代わりにサービス タグを使用します。 対応するサービスのトラフィックを許可または拒否できます。