Pré-requisitos para o Azure HPC Cache

Antes de criar um novo Azure HPC Cache, certifique-se de que o seu ambiente cumpre estes requisitos.

Subscrição do Azure

Recomenda-se uma subscrição paga.

Infraestrutura de rede

Estes pré-requisitos relacionados com a rede precisam de ser definidos antes de poderes usar a tua cache:

• Uma sub-rede dedicada para a instância de cache do Azure HPC
• Suporte DNS para que a cache possa aceder a armazenamento e outros recursos
• Acesso a partir da sub-rede a serviços adicionais de infraestrutura Microsoft Azure, incluindo servidores NTP e o serviço Azure Queue Storage.

Sub-rede de cache

O Azure HPC Cache necessita de uma sub-rede dedicada com as seguintes qualidades:

• A sub-rede deve ter pelo menos 64 endereços IP disponíveis.
• A comunicação dentro da sub-rede deve ser irrestrita. Se usares um grupo de segurança de rede para a sub-rede de cache, certifica-te de que permite todos os serviços entre endereços IP internos.
• A sub-rede não pode alojar outras VMs, nem sequer para serviços relacionados como máquinas clientes.
• Se usares múltiplas instâncias de cache HPC do Azure, cada uma precisa da sua própria subrede.

A melhor prática é criar uma nova sub-rede para cada cache. Pode criar uma nova rede virtual e uma sub-rede como parte da criação da cache.

Ao criar esta sub-rede, tenha cuidado para que as suas definições de segurança permitam o acesso aos serviços de infraestrutura necessários mencionados mais adiante nesta secção. Pode restringir a ligação à internet de saída, mas certifique-se de que existem exceções para os itens aqui documentados.

Acesso ao DNS

A cache precisa de DNS para aceder a recursos fora da sua rede virtual. Dependendo dos recursos que está a usar, pode ser necessário configurar um servidor DNS personalizado e configurar o encaminhamento entre esse servidor e os servidores DNS Azure:

• Para aceder aos endpoints de armazenamento Azure Blob e outros recursos internos, precisa do servidor DNS baseado em Azure.
• Para aceder ao armazenamento local, precisa de configurar um servidor DNS personalizado que possa resolver os nomes de host do seu armazenamento. Tens de fazer isto antes de criares a cache.

Se só usares armazenamento Blob, podes usar o servidor DNS predefinido fornecido pelo Azure para a tua cache. No entanto, se precisar de acesso a armazenamento ou outros recursos fora do Azure, deve criar um servidor DNS personalizado e configurá-lo para encaminhar quaisquer pedidos de resolução específicos do Azure para o servidor DNS do Azure.

Para usar um servidor DNS personalizado, precisa de fazer estes passos de configuração antes de criar a sua cache:

• Crie a rede virtual que irá alojar o Azure HPC Cache.

• Crie o servidor DNS.

• Adicione o servidor DNS à rede virtual da cache.

  Siga estes passos para adicionar o servidor DNS à rede virtual no portal Azure:

  1. Abra a rede virtual no portal Azure.
  2. Escolhe servidores DNS no menu Definições na barra lateral.
  3. Selecionar Personalizado
  4. Introduza o endereço IP do servidor DNS no campo.

Um simples servidor DNS também pode ser usado para equilibrar a carga das ligações dos clientes entre todos os pontos de montagem de cache disponíveis.

Saiba mais sobre redes virtuais Azure e configurações de servidores DNS em Resolução de Nomes para recursos em redes virtuais Azure.

Acesso NTP

A Cache HPC necessita de acesso a um servidor NTP para funcionamento regular. Se restringir o tráfego de saída das suas redes virtuais, certifique-se de permitir o tráfego para pelo menos um servidor NTP. O servidor padrão é time.windows.com, e a cache contacta este servidor na porta UDP 123.

Cria uma regra no grupo de segurança da tua rede de cache que permita o tráfego de saída para o teu servidor NTP. A regra pode simplesmente permitir todo o tráfego de saída na porta UDP 123, ou ter mais restrições.

Este exemplo abre explicitamente o tráfego de saída para o endereço IP 168.61.215.74, que é o endereço usado por time.windows.com.

Certifique-se de que a regra NTP tem prioridade superior a quaisquer regras que neguem amplamente o acesso de saída.

Mais dicas para acesso ao NTP:

• Se tiveres firewalls entre o teu HPC Cache e o servidor NTP, certifica-te de que esses firewalls também permitem o acesso NTP.

• Podes configurar qual o servidor NTP que o teu HPC Cache usa na página de Rede . Leia Configurar definições adicionais para mais informações.

Azure Queue Storage Acesso

A cache deve conseguir aceder de forma segura ao serviço Azure Queue Storage a partir da sua sub-rede dedicada. O Azure HPC Cache utiliza o serviço de filas ao comunicar informação de configuração e estado.

Se a cache não conseguir aceder ao serviço de fila, pode ver uma mensagem CacheConnectivityError ao criar a cache.

Existem duas formas de fornecer acesso:

• Crie um endpoint de serviço Azure Storage na sua sub-rede de cache. Leia Adicionar uma sub-rede virtual para obter instruções sobre como adicionar o ponto final do serviço Microsoft.Storage.

• Configure individualmente o acesso ao domínio de serviço de fila de armazenamento Azure no seu grupo de segurança de rede ou noutros firewalls.

  Adicionar regras para permitir o acesso nestas portas:

  • Porta TCP 443 para tráfego seguro para qualquer host no domínio queue.core.windows.net (*.queue.core.windows.net).

  • Porta TCP 80 - usada para verificação do certificado do lado do servidor. Isto é por vezes referido como verificação da lista de revogação de certificados (CRL) e comunicações online do protocolo de estado de certificado (OCSP). Todos os *.queue.core.windows.net usam o mesmo certificado e, portanto, os mesmos servidores CRL/OCSP. O nome do host é armazenado no certificado SSL do lado do servidor.

  Consulte as dicas de regras de segurança no acesso NTP para mais informações.

  Este comando lista os servidores CRL e OCSP que precisam de ter acesso autorizado. Estes servidores devem ser resolvíveis por DNS e aceitáveis na porta 80 a partir da sub-rede de cache.

  
  openssl s_client -connect azure.queue.core.windows.net:443 2>&1 < /dev/null | sed -n '/-----BEGIN/,/-----END/p' | openssl x509 -noout -text -in /dev/stdin |egrep -i crl\|ocsp|grep URI
  
  

  O resultado é algo assim, e pode mudar se o certificado SSL for atualizado:

  OCSP - URI:http://ocsp.msocsp.com
  CRL - URI:http://mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
  CRL - URI:http://crl.microsoft.com/pki/mscorp/crl/Microsoft%20RSA%20TLS%20CA%2002.crl
  

Pode verificar a conectividade da sub-rede usando este comando de uma VM de teste dentro da subrede:

openssl s_client -connect azure.queue.core.windows.net:443 -status 2>&1 < /dev/null |grep "OCSP Response Status"

Uma ligação bem-sucedida dá a seguinte resposta:

OCSP Response Status: successful (0x0)

Acesso ao servidor de eventos

O Azure HPC Cache utiliza os endpoints do servidor de eventos Azure para monitorizar a saúde da cache e enviar informação de diagnóstico.

Certifique-se de que a cache pode aceder de forma segura aos hosts no domínio events.data.microsoft.com – ou seja, abra a porta TCP 443 para tráfego para *.events.data.microsoft.com.

Permissions

Verifique estes pré-requisitos relacionados com permissões antes de começar a criar a sua cache.

• A instância de cache precisa de ser capaz de criar interfaces de rede virtuais (NICs). O utilizador que cria a cache deve ter privilégios suficientes na subscrição para criar NICs.

• Se estiver a usar armazenamento Blob, o Azure HPC Cache precisa de autorização para aceder à sua conta de armazenamento. Use o controlo de acesso baseado em papéis do Azure (Azure RBAC) para permitir que a cache aceda ao seu armazenamento Blob. São necessários dois papéis: Colaborador de Conta de Armazenamento e Colaborador de Dados de Blob de Armazenamento.

  Siga as instruções em Adicionar alvos de armazenamento para adicionar as funções.

Infraestrutura de armazenamento

A cache suporta contentores Azure Blob, exportações de armazenamento em hardware NFS e contentores ADLS Blob montados em NFS. Adicione alvos de armazenamento depois de criar a cache.

Cada tipo de armazenamento tem pré-requisitos específicos.

Requisitos de Armazenamento Blob

Se quiser usar armazenamento Azure Blob com a sua cache, precisa de uma conta de armazenamento compatível e de um contentor Blob vazio ou de um contentor preenchido com dados formatados em Azure HPC Cache, conforme descrito em Mover dados para armazenamento Azure Blob.

Crie a conta antes de tentar adicionar um destino de armazenamento. Podes criar um novo contentor quando adicionares o alvo.

Para criar uma conta de armazenamento compatível, use uma destas combinações:

A conta de armazenamento tem de ser acessível a partir da sub-rede privada da sua cache. Se a sua conta usar um endpoint privado ou público restrito a redes virtuais específicas, certifique-se de permitir o acesso a partir da sub-rede da cache. ( Não é recomendado um endpoint público aberto.)

Leia Trabalhar com endpoints privados para dicas sobre como usar endpoints privados com alvos de armazenamento em cache HPC.

É uma boa prática usar uma conta de armazenamento na mesma região Azure da tua cache.

Também deve dar à aplicação de cache acesso à sua conta de armazenamento Azure, conforme mencionado nas Permissões, acima. Siga o procedimento em Adicionar alvos de armazenamento para atribuir à cache os papéis de acesso necessários. Se não fores o dono da conta de armazenamento, faz com que o proprietário faça este passo.

Requisitos de armazenamento NFS

Se estiver a usar um sistema de armazenamento NFS (por exemplo, um sistema NAS de hardware local), certifique-se de que cumpre estes requisitos. Pode ser necessário trabalhar com os administradores de rede ou gestores de firewalls do seu sistema de armazenamento (ou centro de dados) para verificar estas definições.

Mais informações estão incluídas em Resolução de Problemas de Configuração de NAS e Issues de Destino de Armazenamento NFS.

• Conectividade de rede: A Cache HPC Azure necessita de acesso de rede de alta largura de banda entre a sub-rede de cache e o centro de dados do sistema NFS. Recomenda-se o acesso ExpressRoute ou semelhante. Se estiver a usar uma VPN, pode ser necessário configurá-la para fixar o TCP MSS em 1350 para garantir que pacotes grandes não são bloqueados. Leia as restrições de tamanho dos pacotes de VPN para mais ajuda na resolução de problemas das definições de VPN.

• Acesso a portas: A cache precisa de acesso a portas TCP/UDP específicas no seu sistema de armazenamento. Diferentes tipos de armazenamento têm requisitos de portas diferentes.

  Para verificar as definições do seu sistema de armazenamento, siga este procedimento.

  • Emita um rpcinfo comando ao seu sistema de armazenamento para verificar as portas necessárias. O comando abaixo lista as portas e formata os resultados relevantes numa tabela. (Use o endereço IP do seu sistema em vez do <termo storage_IP> .)

    Pode emitir este comando a partir de qualquer cliente Linux que tenha infraestrutura NFS instalada. Se usar um cliente dentro da sub-rede do cluster, também pode ajudar a verificar a conectividade entre a sub-rede e o sistema de armazenamento.

    rpcinfo -p <storage_IP> |egrep "100000\s+4\s+tcp|100005\s+3\s+tcp|100003\s+3\s+tcp|100024\s+1\s+tcp|100021\s+4\s+tcp"| awk '{print $4 "/" $3 " " $5}'|column -t
    

  Certifique-se de que todas as portas devolvidas pela rpcinfo consulta permitem tráfego irrestrito da sub-rede da cache HPC do Azure.

  • Se não conseguir usar o rpcinfo comando, certifique-se de que estas portas mais usadas permitem tráfego de entrada e saída:

    Protocolo	Porto	Serviço
    TCP/UDP	111	rpcbind
    TCP/UDP	2049	NFS
    TCP/UDP	4045	nlockmgr
    TCP/UDP	4046	Montado
    TCP/UDP	4047	estado

    Alguns sistemas usam números de porta diferentes para estes serviços – consulte a documentação do seu sistema de armazenamento para ter a certeza.

  • Verifique as definições do firewall para garantir que permitem tráfego em todas estas portas necessárias. Certifique-se de verificar os firewalls usados no Azure, bem como os firewalls on-premises no seu data center.

• O armazenamento back-end NFS deve ser uma plataforma de hardware/software compatível. O armazenamento deve suportar a Versão 3 do NFS (NFSv3). Contacte a equipa de Cache HPC do Azure para mais detalhes.

Requisitos de armazenamento de blob montados no NFS (ADLS-NFS)

O Azure HPC Cache também pode usar um contentor de blob montado com o protocolo NFS como alvo de armazenamento.

Leia mais sobre esta funcionalidade no suporte ao protocolo NFS 3.0 no armazenamento Azure Blob.

Os requisitos da conta de armazenamento são distintos para um destino de armazenamento blob ADLS-NFS e para um destino de armazenamento blob padrão. Siga as instruções no armazenamento Mount Blob utilizando cuidadosamente o protocolo Network File System (NFS) 3.0 para criar e configurar a conta de armazenamento com NFS.

Esta é uma visão geral dos passos. Estes passos podem mudar, por isso consulte sempre as instruçõesADLS-NFS para detalhes atuais.

1. Certifique-se de que as funcionalidades de que precisa estão disponíveis nas regiões onde planeia trabalhar.

2. Ative a funcionalidade do protocolo NFS para a sua subscrição. Faz isto antes de criares a conta de armazenamento.

3. Crie uma rede virtual segura (VNet) para a conta de armazenamento. Deves usar a mesma rede virtual para a tua conta de armazenamento com NFS e para a tua cache HPC Azure. (Não use a mesma sub-rede da cache.)

4. Crie a conta de armazenamento.

   • Em vez de usar as definições da conta de armazenamento para uma conta de armazenamento blob padrão, siga as instruções no documento prático. O tipo de conta de armazenamento suportada pode variar consoante a região Azure.

   • Na secção de Rede, escolha um endpoint privado na rede virtual segura que criou (recomendada), ou escolha um endpoint público com acesso restrito ao VNet seguro.

     Leia Trabalhar com endpoints privados para dicas sobre como usar endpoints privados com alvos de armazenamento em cache HPC.

   • Não se esqueça de completar a secção Avançada, onde ativa o acesso NFS.

   • Dê à aplicação de cache acesso à sua conta de armazenamento Azure conforme mencionado nas Permissões, acima. Podes fazer isto na primeira vez que criares um alvo de armazenamento. Siga o procedimento em Adicionar alvos de armazenamento para atribuir à cache os papéis de acesso necessários.

     Se não fores o dono da conta de armazenamento, faz com que o proprietário faça este passo.

Saiba mais sobre a utilização de ADLS-NFS alvos de armazenamento com o Azure HPC Cache em Use armazenamento blob montado no NFS com o Azure HPC Cache.

Trabalhar com endpoints privados

O Azure Storage suporta endpoints privados para permitir acesso seguro a dados. Pode usar endpoints privados com Azure Blob ou alvos de armazenamento de blob montados no NFS.

Saiba mais sobre endpoints privados

Um endpoint privado fornece um endereço IP específico que a Cache HPC utiliza para comunicar com o seu sistema de armazenamento back-end. Se esse endereço IP mudar, a cache não pode restabelecer automaticamente uma ligação com o armazenamento.

Se precisar de alterar a configuração de um endpoint privado, siga este procedimento para evitar problemas de comunicação entre o armazenamento e a Cache HPC:

1. Suspenda o destino de armazenamento (ou todos os alvos de armazenamento que utilizam este endpoint privado).
2. Faz alterações ao endpoint privado e guarda essas alterações.
3. Coloque o destino de armazenamento de volta em serviço com o comando "continuar".
4. Atualize a definição de DNS do alvo de armazenamento.

Leia Visualizar e gerir alvos de armazenamento para aprender como suspender, retomar e atualizar o DNS para alvos de armazenamento.

Configurar Azure CLI access (opcional)

Se quiser criar ou gerir o Azure HPC Cache a partir da CLI do Azure, precisa de instalar o Azure CLI e a extensão hpc-cache. Siga as instruções em Set up Azure CLI for Azure HPC Cache.

Passos seguintes

• Criar uma instância Azure HPC Cache a partir do portal Azure