Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Thema werden Sicherheitsüberlegungen für die Bereitstellung und Ausführung von Aufträgen in Azure-Workerrolleninstanzen beschrieben, die einem Windows HPC-Cluster (einem Azure-Szenario "burst") hinzugefügt wurden.
Hintergrundinformationen zur Azure-Plattformsicherheit finden Sie unter Azure-Sicherheitsübersicht.
Benutzerkonten
Die in die Domäne eingebundenen Benutzerkonten, die zum Übermitteln von Aufträgen und Aufgaben an einen lokalen HPC-Cluster verwendet werden, werden nicht zum Ausführen von Aufträgen und Aufgaben auf Azure-Knoten verwendet. Jeder Auftrag, der auf einem Azure-Knoten ausgeführt wird, erstellt ein lokales Benutzerkonto und kennwort. Dadurch wird die Trennung von Auftragsprozessen in Azure sichergestellt.
Anmerkung
Eine Änderung oder das Ablaufen von Domänenanmeldeinformationen für einen Clusterbenutzer führt nicht dazu, dass ein Auftrag, der von diesem Benutzer in die Warteschlange gestellt wird, auf Azure-Knoten fehlschlägt, auch wenn die in die Warteschlange eingereihten Aufträge auf lokalen Knoten fehlschlagen.
Firewallports und Protokolle
Die Firewallports und Protokolle, die zum Bereitstellen von Azure-Knoten und zum Ausführen von Aufträgen verwendet werden, werden in Firewallports zusammengefasst, die für die Kommunikation mit Azure-Knotenverwendet werden. Informationen zur Konfiguration der Windows-Firewall im lokalen Cluster, die die Ausführung interner Dienste ermöglicht, finden Sie in Anhang 1: HPC Cluster Networking.
Anmerkung
Ab HPC Pack 2008 R2 mit SP3 wird Port 443 für alle Bereitstellungs- und Auftragsplanungsvorgänge von Azure-Knoten verwendet. Dies vereinfacht die Anzahl der Ports, die für die Verwendung von Azure-Knoten erforderlich sind, im Vergleich zu früheren Versionen von HPC Pack.
Atteste
X.509 v3-Zertifikate werden verwendet, um die Kommunikation zwischen lokalen Clusterknoten und Azure-Knoten zu sichern. Sie können von einem anderen vertrauenswürdigen Zertifikat signiert werden oder selbstsigniert werden. Zum Bereitstellen von Azure-Knoten in einem von Azure gehosteten Dienst und zum Ausführen von Aufträgen müssen sowohl ein Verwaltungszertifikat als auch ein Dienstzertifikat konfiguriert werden. Das Verwaltungszertifikat erfordert in der Regel eine manuelle Konfiguration. Die Dienstzertifikate werden automatisch von HPC Pack konfiguriert.
Verwaltungszertifikat
Ein Azure-Verwaltungszertifikat muss im Azure-Abonnement, auf dem Kopfknoten und auf jedem Clientcomputer konfiguriert werden, der zum Herstellen einer Verbindung mit dem Azure-Clouddienst verwendet wird. Der Client, der eine Verbindung mit dem Azure-Abonnement herstellt, verfügt über den privaten Schlüssel. Verfahren zum Konfigurieren des Verwaltungszertifikats finden Sie unter Optionen zum Konfigurieren des Azure-Verwaltungszertifikats für Azure Burst-Bereitstellungen.
Das Verwaltungszertifikat wird verwendet, um die Sicherheit von Vorgängen wie den folgenden zu unterstützen:
Erstellen einer Azure-Knotenvorlage, die zum Bereitstellen von Azure-Knoten verwendet werden kann
Bereitstellen von Azure-Knoten
Hochladen von Dateien in Azure Storage (z. B. mithilfe des befehls hpcpack)
Vorsicht
Ein selbstsigniertes Verwaltungszertifikat kann zu Testzwecken oder Machbarkeitsbereitstellungen verwendet werden. Es wird jedoch nicht für Produktionsbereitstellungen empfohlen.
Dienstzertifikate
Die folgenden beiden Public Key-Dienstzertifikate werden automatisch aus HPC Pack in den Azure-Clouddienst hochgeladen, wenn Azure-Knoten bereitgestellt werden. Sie werden verwendet, um die gegenseitige Authentifizierung zwischen dem lokalen Headknoten und den Azure-Proxyknoten zu ermöglichen, die automatisch in jeder Bereitstellung bereitgestellt werden.
Microsoft HPC Azure Service
Microsoft HPC Azure Client
Diese Zertifikate werden von HPC Pack wie folgt konfiguriert:
Der lokale Kopfknoten ist mit dem Microsoft HPC Azure Client-Zertifikat (mit dem privaten Schlüssel) und dem Microsoft HPC Azure Service-Zertifikat konfiguriert.
Die Proxyknoten in Azure sind mit dem Microsoft HPC Azure Service-Zertifikat (mit dem privaten Schlüssel) und dem Microsoft HPC Azure Client-Zertifikat konfiguriert.
Lagerung
Vorgänge für ein Azure-Speicherkonto erfordern einen Kontoschlüssel, der beim Erstellen des Kontos automatisch konfiguriert wird. HPC Pack ruft diesen Schlüssel automatisch ab, um Speichervorgänge während der Bereitstellung von Azure-Knoten auszuführen.
Sicherheitsmodell für die Interaktion von lokalen und Azure-Komponenten
Die folgenden Abbildungen enthalten Details zu den Interaktionen lokaler HPC Pack-Komponenten und der komponenten in Azure, die für die Ausführung von Clusteraufträgen verwendet werden. Die Abbildungen geben die Ports, Protokolle und Endpunkte an, die für die Kommunikation in HPC Pack (beginnend mit HPC Pack 2008 R2 mit SP3) sowie in HPC Pack 2008 R2 mit SP1 oder SP2 verwendet werden. Die lokalen Komponenten, die vorhanden sind, hängen von der Konfiguration des HPC-Clusters ab.
HPC Pack 2008 R2 mit mindestens SP3 oder einer höheren Version von HPC Pack
HPC Pack 2008 R2 mit SP1 oder SP2
