Erstellen eines vereinfachten Knotenkommunikationspools ohne öffentliche IP-Adressen

Wenn Sie einen Azure-Batchpool erstellen, können Sie den Konfigurationspool für virtuelle Computer (VM) ohne öffentliche IP-Adresse bereitstellen. In diesem Artikel wird erläutert, wie Sie einen Batchpool ohne öffentliche IP-Adressen einrichten.

Gründe für die Verwendung eines Pools ohne öffentliche IP-Adressen?

Standardmäßig werden allen Computeknoten in einem Azure Batch VM-Konfigurationspool eine öffentliche IP-Adresse zugewiesen. Diese Adresse wird vom Batchdienst verwendet, um ausgehenden Zugriff auf das Internet sowie eingehenden Zugriff auf Computeknoten aus dem Internet zu unterstützen.

Um den Zugriff auf diese Knoten einzuschränken und die Auffindbarkeit dieser Knoten aus dem Internet zu verringern, können Sie den Pool ohne öffentliche IP-Adressen bereitstellen.

Voraussetzungen

• Verwenden Sie die vereinfachte Computeknotenkommunikation. Weitere Informationen finden Sie unter Verwenden der vereinfachten Computerknotenkommunikation.

• Die Batchclient-API muss die Microsoft Entra-Authentifizierung verwenden. Die Azure Batch-Unterstützung für Microsoft Entra-ID wird in Authentifizierungsbatchdienstlösungen mit Active Directory dokumentiert.

• Erstellen Sie Ihren Pool in einem virtuellen Azure-Netzwerk (VNet), und befolgen Sie diese Anforderungen und Konfigurationen. Um ein VNet mit einem oder mehreren Subnetzen im Voraus vorzubereiten, können Sie das Azure-Portal, Azure PowerShell, die Azure Command-Line Interface (Azure CLI) oder andere Methoden verwenden.

  • Das VNet muss sich in demselben Abonnement und derselben Region wie das Batchkonto befinden, das Sie zum Erstellen Ihres Pools verwenden.

  • Das für den Pool angegebene Subnetz muss über genügend nicht zugewiesene IP-Adressen verfügen, um die Anzahl der virtuellen Computer für den Pool aufzunehmen; d. h. die Summe der targetDedicatedNodes Und targetLowPriorityNodes eigenschaften des Pools. Wenn das Subnetz nicht über ausreichend nicht zugewiesene IP-Adressen verfügt, belegt der Pool teilweise die Computeknoten und es tritt ein Anpassungsfehler auf.

  • Wenn Sie beabsichtigen, einen privaten Endpunkt zu verwenden, und Ihr virtuelles Netzwerk über eine richtlinie für private Endpunkte aktiviert ist, stellen Sie sicher, dass die eingehende Verbindung mit TCP/443 mit dem Subnetz des privaten Endpunkts vom Subnetz des Batchpools zugelassen werden muss.

• Aktivieren des ausgehenden Zugriffs für die Batchknotenverwaltung. Für einen Pool ohne öffentliche IP-Adressen ist standardmäßig kein Ausgehender Internetzugriff aktiviert. Wählen Sie eine der folgenden Optionen aus, um Computeknoten den Zugriff auf den Batchknotenverwaltungsdienst zu ermöglichen (siehe Vereinfachte Computeknotenkommunikation):

  • Verwenden Sie den privaten nodeManagement-Endpunkt mit Batchkonten, der privaten Zugriff auf den Batchknotenverwaltungsdienst aus dem virtuellen Netzwerk ermöglicht. Diese Lösung ist die bevorzugte Methode.

  • Alternativ können Sie ihre eigene Unterstützung für ausgehenden Internetzugriff (siehe ausgehenden Zugriff auf das Internet) bereitstellen.

Aktuelle Einschränkungen

1. Pools ohne öffentliche IP-Adressen müssen die Konfiguration virtueller Computer und nicht die Clouddienste-Konfiguration verwenden.
2. Die benutzerdefinierte Endpunktkonfiguration für Batch-Computeknoten funktioniert nicht mit Pools ohne öffentliche IP-Adressen.
3. Da keine öffentlichen IP-Adressen vorhanden sind, können Sie ihre eigenen angegebenen öffentlichen IP-Adressen nicht mit diesem Pooltyp verwenden.
4. Das Aufgabenauthentifizierungstoken für Batchaufgabe wird nicht unterstützt. Die Problemumgehung besteht darin, den Batchpool mit verwalteten Identitäten zu verwenden.

Erstellen eines Pools ohne öffentliche IP-Adressen im Azure-Portal

1. Erstellen Sie bei Bedarf einen privaten nodeManagement-Endpunkt für Ihr Batchkonto im virtuellen Netzwerk (siehe die Anforderung des ausgehenden Zugriffs in den Voraussetzungen).
2. Navigieren Sie im Azure-Portal zu Ihrem Batchkonto.
3. Wählen Sie im Fenster "Einstellungen" auf der linken Seite "Pools" aus.
4. Wählen Sie im Fenster "Pools" die Option "Hinzufügen" aus.
5. Wählen Sie im Fenster " Pool hinzufügen " die Option aus, die Sie im Dropdownmenü "Bildtyp " verwenden möchten.
6. Wählen Sie das richtige Publisher/Offer/Sku für Ihr Bild aus.
7. Geben Sie die verbleibenden erforderlichen Einstellungen an, einschließlich der Knotengröße, der dedizierten Zielknoten und der Knoten "Zielpunkt/niedriger Priorität".
8. Wählen Sie unter "Optionale Einstellungen" für den Knotenkommunikationsmodus die Option "Vereinfacht" aus.
9. Wählen Sie ein virtuelles Netzwerk und ein Subnetz aus, das Sie verwenden möchten. Dieses virtuelle Netzwerk muss sich am gleichen Speicherort wie der Pool befinden, den Sie erstellen.
10. Wählen Sie im Bereitstellungstyp der IP-Adresse"NoPublicIPAddresses" aus.

Der folgende Screenshot zeigt die Elemente, die zum Erstellen eines Pools ohne öffentliche IP-Adressen geändert werden müssen.

Verwenden der Batch-REST-API zum Erstellen eines Pools ohne öffentliche IP-Adressen

Das folgende Beispiel zeigt, wie Sie die Batchdienst-REST-API verwenden, um einen Pool zu erstellen, der öffentliche IP-Adressen verwendet.

REST-API-URI

POST {batchURL}/pools?api-version=2022-10-01.16.0
client-request-id: 00000000-0000-0000-0000-000000000000

Anforderungstext

"pool": {
     "id": "pool-npip",
     "vmSize": "standard_d2s_v3",
     "virtualMachineConfiguration": {
          "imageReference": {
               "publisher": "Canonical",
               "offer": "0001-com-ubuntu-server-jammy",
               "sku": "22_04-lts"
          },
          "nodeAgentSKUId": "batch.node.ubuntu 22.04"
     },
     "networkConfiguration": {
          "subnetId": "/subscriptions/<your_subscription_id>/resourceGroups/<your_resource_group>/providers/Microsoft.Network/virtualNetworks/<your_vnet_name>/subnets/<your_subnet_name>",
          "publicIPAddressConfiguration": {
               "provision": "NoPublicIPAddresses"
          }
     },
     "resizeTimeout": "PT15M",
     "targetDedicatedNodes": 2,
     "targetLowPriorityNodes": 0,
     "taskSlotsPerNode": 1,
     "taskSchedulingPolicy": {
          "nodeFillType": "spread"
     },
     "enableAutoScale": false,
     "enableInterNodeCommunication": false,
     "targetNodeCommunicationMode": "simplified"
}

Erstellen eines Pools ohne öffentliche IP-Adressen mithilfe der ARM-Vorlage

Sie können diese Azure-Schnellstartvorlage verwenden, um einen Pool ohne öffentliche IP-Adressen mithilfe der Vorlage Azure Resource Manager (ARM) zu erstellen.

Die folgenden Ressourcen werden vom Template bereitgestellt.

• Azure Batch-Konto mit IP-Firewall, das so konfiguriert ist, dass der Zugriff auf das öffentliche Netzwerk auf den Endpunkt für die Batchknotenverwaltung blockiert wird
• Virtuelles Netzwerk mit Netzwerksicherheitsgruppe zum Blockieren des ausgehenden Internetzugriffs
• Privater Endpunkt zum Zugriff auf den Batch-Knotenverwaltungsendpunkt des Kontos
• DNS-Integration für den privaten Endpunkt mithilfe der privaten DNS-Zone, die mit dem virtuellen Netzwerk verknüpft ist
• Im virtuellen Netzwerk und ohne öffentliche IP-Adressen bereitgestellter Batchpool

Wenn Sie mit der Verwendung von ARM-Vorlagen vertraut sind, wählen Sie die Schaltfläche " In Azure bereitstellen " aus. Die Vorlage wird im Azure-Portal geöffnet.

Ausgehender Zugriff auf das Internet

In einem Pool ohne öffentliche IP-Adressen können Ihre virtuellen Computer nicht auf das öffentliche Internet zugreifen, es sei denn, Sie konfigurieren die Netzwerkeinrichtung entsprechend, z. B. mithilfe von NAT für virtuelle Netzwerke. NAT ermöglicht nur ausgehenden Zugriff auf das Internet von den virtuellen Computern im virtuellen Netzwerk. Im Batch erstellte Computeknoten sind nicht öffentlich zugänglich, da ihnen keine öffentlichen IP-Adressen zugeordnet sind.

Eine weitere Möglichkeit zur Bereitstellung ausgehender Verbindungen ist die Verwendung einer benutzerdefinierten Route (UDR). Mit dieser Methode können Sie den Datenverkehr an einen Proxycomputer weiterleiten, der über einen öffentlichen Internetzugriff verfügt, z. B. azure Firewall.

Problembehandlung

Nicht verwendbare Computeknoten in einem Batchpool

Wenn Serverknoten in einem Batch-Pool ohne öffentliche IP-Adressen nicht verwendet werden können, besteht der erste und wichtigste Schritt darin, den ausgehenden Zugriff auf den Batch-Knoten-Verwaltungsdienst zu überprüfen. Sie muss ordnungsgemäß konfiguriert werden, damit Computeknoten über Ihr virtuelles Netzwerk eine Verbindung mit dem Dienst herstellen können.

Verwenden des privaten nodeManagement-Endpunkts

Wenn Sie einen privaten Knotenverwaltungsendpunkt im virtuellen Netzwerk für Ihr Batchkonto erstellt haben:

• Überprüfen Sie, ob der private Endpunkt im richtigen virtuellen Netzwerk erstellt ist, sich im Bereitstellungsstatus Erfolgreich befindet und auch im Status Genehmigt ist.
• Überprüfen Sie, ob die DNS-Konfiguration für den Knotenverwaltungsendpunkt Ihres Batchkontos ordnungsgemäß eingerichtet ist:
  • Wenn Ihr privater Endpunkt mit automatischer Integration privater DNS-Zonen erstellt wird, überprüfen Sie, ob der DNS-A-Eintrag in der privaten DNS-Zone privatelink.batch.azure.comordnungsgemäß konfiguriert ist und die Zone mit Ihrem virtuellen Netzwerk verknüpft ist.
  • Wenn Sie Ihre eigene DNS-Lösung verwenden, stellen Sie sicher, dass der DNS-Eintrag für Den Endpunkt für die Batchknotenverwaltung ordnungsgemäß konfiguriert ist und auf die IP-Adresse des privaten Endpunkts verweist.
• Überprüfen Sie die DNS-Auflösung für den Batch-Knotenverwaltungsendpunkt Ihres Kontos. Sie können dies bestätigen, indem Sie nslookup <nodeManagementEndpoint> in Ihrem virtuellen Netzwerk ausführen, und der DNS-Name sollte in die IP-Adresse des privaten Endpunkts aufgelöst werden.
• Wenn Ihre virtuelle Netzwerkrichtlinie für private Endpunkte aktiviert ist, überprüfen Sie NSG und UDR auf Subnetze des Batchpools und des privaten Endpunkts. Die eingehende Verbindung mit TCP/443 mit dem Subnetz, in dem der private Endpunkt gehostet wird, muss aus dem Subnetz des Batchpools zulässig sein.
• Führen Sie im Subnetz des Batchpools TCP-Ping mit dem Standardmäßigen HTTPS-Port (443) an den Knotenverwaltungsendpunkt aus. Diese Prüfung kann feststellen, ob die private Linkverbindung wie erwartet funktioniert.

# Windows
Test-NetConnection -ComputerName <nodeManagementEndpoint> -Port 443 -InformationLevel Detailed -Verbose
# Linux
nc -v <nodeManagementEndpoint> 443

Wenn der TCP-Ping fehlschlägt (z. B. bei einem Timeout), liegt das in der Regel an der privaten Linkverbindung, und Sie können ein Azure-Support Ticket mit dieser privaten Endpunktressource auslösen. Andernfalls kann dieses Knotenproblem wie bei normalen Batchpools behoben werden, und Sie können ein Supportticket mit Ihrem Batch-Konto auslösen.

Verwenden Ihrer eigenen ausgehenden Internetlösung

Wenn Sie Ihre eigene ausgehende Internetlösung anstelle eines privaten Endpunkts verwenden, führen Sie TCP-Ping an den Knotenverwaltungsendpunkt aus. Wenn dies nicht funktioniert, überprüfen Sie, ob Der ausgehende Zugriff ordnungsgemäß konfiguriert ist, indem Sie detaillierte Anforderungen für die vereinfachte Computeknotenkommunikation ausführen.

Verbindung zu Rechenknoten herstellen

Es gibt keinen internetgebundenen Zugriff auf Computeknoten im Batchpool ohne öffentliche IP-Adressen. Um auf Ihre Computeknoten für das Debuggen zuzugreifen, müssen Sie eine Verbindung aus dem virtuellen Netzwerk herstellen:

• Verwenden Sie den Jumpbox-Computer innerhalb des virtuellen Netzwerks, und stellen Sie dann von dort aus eine Verbindung mit Ihren Computeknoten her.
• Oder versuchen Sie, andere Remoteverbindungslösungen wie Azure Bastion zu verwenden:
  • Erstellen Sie Bastion im virtuellen Netzwerk mit aktivierter IP-basierter Verbindung .
  • Verwenden Sie Bastion, um mithilfe ihrer IP-Adresse eine Verbindung mit dem Computeknoten herzustellen.

Sie können dem Leitfaden "Verbinden mit Computeknoten" folgen, um Benutzeranmeldeinformationen und IP-Adresse für den Ziel-Computeknoten in Ihrem Batchpool abzurufen.

Migration von früherer Vorschauversion von "Keine öffentlichen IP-Pools"

Für vorhandene Pools, die die vorherige Vorschauversion von Azure Batch No Public IP pool verwenden, ist es nur möglich, Pools zu migrieren, die in einem virtuellen Netzwerk erstellt wurden.

1. Erstellen Sie einen privaten Endpunkt für die Batchknotenverwaltung im virtuellen Netzwerk.
2. Aktualisieren Sie den Knotenkommunikationsmodus des Pools auf vereinfacht.
3. Skalieren Sie den Pool auf null Knoten.
4. Skalieren Sie den Pool erneut. Der Pool wird dann automatisch zu der neuen Version migriert.

Nächste Schritte

• Erfahren Sie, wie Sie die vereinfachte Computeknotenkommunikation verwenden.
• Erfahren Sie mehr über das Erstellen von Pools in einem virtuellen Netzwerk.
• Erfahren Sie, wie Sie private Endpunkte mit Batchkonten verwenden.