Creación de un grupo de comunicación de nodos simplificado sin direcciones IP públicas

Al crear un grupo de Azure Batch, puede aprovisionar el grupo de configuración de máquina virtual (VM) sin una dirección IP pública. En este artículo se explica cómo configurar un grupo de Batch sin direcciones IP públicas.

¿Por qué usar un grupo sin direcciones IP públicas?

De forma predeterminada, a todos los nodos de proceso de un grupo de configuración de máquina virtual de Azure Batch se les asigna una dirección IP pública. El servicio Batch usa esta dirección para admitir el acceso saliente a Internet, así como el acceso entrante a los nodos de proceso desde Internet.

Para restringir el acceso a estos nodos y reducir la detectabilidad de estos nodos desde Internet, puede aprovisionar el grupo sin direcciones IP públicas.

Prerrequisitos

• Utiliza la comunicación simplificada del nodo de cálculo. Para obtener más información, consulte Uso de la comunicación simplificada de nodos de proceso.

• La API de cliente de Batch debe usar la autenticación de Microsoft Entra. La compatibilidad de Azure Batch con microsoft Entra ID se documenta en Autenticación de soluciones de servicio de Batch con Active Directory.

• Cree el grupo en una red virtual (VNet) de Azure, siga estos requisitos y configuraciones. Para preparar una red virtual con una o varias subredes de antemano, puede usar Azure Portal, Azure PowerShell, la interfaz de Azure Command-Line (CLI de Azure) u otros métodos.

  • La red virtual debe estar en la misma región y suscripción que la cuenta de Batch que se utiliza para crear el grupo.

  • La subred especificada para el grupo debe tener suficientes direcciones IP no asignadas para alojar la cantidad de máquinas virtuales destinadas al grupo; es decir, la suma de las propiedades targetDedicatedNodes y targetLowPriorityNodes del grupo. Si la subred no tiene suficientes direcciones IP sin asignar, el grupo asigna parcialmente los nodos de cómputo y se produce un error de redimensionamiento.

  • Si tiene previsto usar un punto de conexión privado y la red virtual tiene habilitada la directiva de red de punto de conexión privado, asegúrese de que la conexión entrante con TCP/443 a la subred que hospeda el punto de conexión privado se permite desde la subred del grupo de Batch.

• Habilite el acceso saliente para la administración de nodos de Batch. Un grupo sin direcciones IP públicas no tiene habilitado el acceso saliente a Internet de forma predeterminada. Elija una de las siguientes opciones para permitir que los nodos de proceso accedan al servicio de administración de nodos de Batch (consulte Uso de la comunicación simplificada de nodos de proceso):

  • Use el punto de conexión privado nodeManagement con cuentas de Batch, que proporciona acceso privado al servicio de administración de nodos de Batch desde la red virtual. Esta solución es el método preferido.

  • Como alternativa, proporcione su propio soporte para el acceso saliente a Internet (consulte Acceso saliente a Internet).

Limitaciones actuales

1. Los grupos sin direcciones IP públicas deben usar la configuración de máquina virtual y no la configuración de Cloud Services.
2. La configuración de punto de conexión personalizado para los nodos de proceso de Batch no funciona con grupos sin direcciones IP públicas.
3. Dado que no hay ninguna dirección IP pública, no puede usar sus propias direcciones IP públicas especificadas con este tipo de grupo.
4. No se admite el token de autenticación de tareas para la tarea batch. La solución consiste en usar el grupo de Batch con identidades administradas.

Creación de un grupo sin direcciones IP públicas en Azure Portal

1. Si es necesario, cree un punto de conexión privado nodeManagement para la cuenta de Batch en la red virtual (consulte el requisito de acceso saliente en los requisitos previos).
2. Vaya a la cuenta de Batch en Azure Portal.
3. En la ventana Configuración de la izquierda, seleccione Grupos.
4. En la ventana Pools, seleccione Agregar.
5. En la ventana Agregar grupo, seleccione la opción que quiere usar en la lista desplegable Tipo de imagen .
6. Seleccione la Publicador/Oferta/SKU correcta de su imagen.
7. Especifique la configuración necesaria restante, incluido el tamaño del nodo, los nodos dedicados de destino y los nodos de acceso puntual o de prioridad baja.
8. En Modo de comunicación de nodo, seleccione Simplificado en Configuración opcional.
9. Seleccione una red virtual y una subred que quiera usar. Esta red virtual tiene que estar en la misma ubicación que el grupo que está creando.
10. En Tipo de aprovisionamiento de direcciones IP, seleccione NoPublicIPAddresses.

En la siguiente captura de pantalla se muestran los elementos que deben modificarse para crear un grupo sin direcciones IP públicas.

Uso de la API REST de Batch para crear un grupo sin direcciones IP públicas

En el ejemplo siguiente se muestra cómo usar la API REST del servicio Batch para crear un grupo que use direcciones IP públicas.

URI DE LA API REST

POST {batchURL}/pools?api-version=2022-10-01.16.0
client-request-id: 00000000-0000-0000-0000-000000000000

Cuerpo de la solicitud

"pool": {
     "id": "pool-npip",
     "vmSize": "standard_d2s_v3",
     "virtualMachineConfiguration": {
          "imageReference": {
               "publisher": "Canonical",
               "offer": "0001-com-ubuntu-server-jammy",
               "sku": "22_04-lts"
          },
          "nodeAgentSKUId": "batch.node.ubuntu 22.04"
     },
     "networkConfiguration": {
          "subnetId": "/subscriptions/<your_subscription_id>/resourceGroups/<your_resource_group>/providers/Microsoft.Network/virtualNetworks/<your_vnet_name>/subnets/<your_subnet_name>",
          "publicIPAddressConfiguration": {
               "provision": "NoPublicIPAddresses"
          }
     },
     "resizeTimeout": "PT15M",
     "targetDedicatedNodes": 2,
     "targetLowPriorityNodes": 0,
     "taskSlotsPerNode": 1,
     "taskSchedulingPolicy": {
          "nodeFillType": "spread"
     },
     "enableAutoScale": false,
     "enableInterNodeCommunication": false,
     "targetNodeCommunicationMode": "simplified"
}

Creación de un grupo sin direcciones IP públicas mediante una plantilla de ARM

Puede usar esta plantilla de inicio rápido de Azure para crear un grupo sin direcciones IP públicas mediante la plantilla de Azure Resource Manager (ARM).

La plantilla implementará los siguientes recursos:

• La cuenta de Azure Batch con firewall de IP configurado para bloquear el acceso de red pública al punto de conexión de administración de nodos de Batch
• Red virtual con grupo de seguridad de red para bloquear el acceso saliente a Internet
• Punto de conexión privado para acceder al punto de conexión de administración de nodos de Batch de la cuenta
• Integración de DNS para el punto de conexión privado mediante la zona DNS privada vinculada a la red virtual
• Grupo de Batch implementado en la red virtual y sin direcciones IP públicas

Si está familiarizado con el uso de plantillas de ARM, seleccione el botón Implementar en Azure . La plantilla se abrirá en Azure Portal.

Acceso saliente a Internet

En un grupo sin direcciones IP públicas, las máquinas virtuales no podrán acceder a la red pública de Internet a menos que configure la configuración de red correctamente, como mediante NAT de red virtual. NAT solo permite el acceso saliente a Internet desde las máquinas virtuales de la red virtual. Los nodos de cómputo creados en lote no serán accesibles públicamente, ya que no tienen direcciones IP públicas asociadas.

Otra manera de proporcionar conectividad saliente es usar una ruta definida por el usuario (UDR). Este método le permite enrutar el tráfico a una máquina proxy que tiene acceso público a Internet, por ejemplo , Azure Firewall.

Solución de problemas

Nodos de cómputo no utilizables en un grupo de Batch

Si los nodos de proceso se ejecutan en un estado inutilizable en un grupo de Batch sin direcciones IP públicas, la primera y la comprobación más importante es comprobar el acceso saliente al servicio de administración de nodos de Batch. Debe configurarse correctamente para que los nodos de proceso puedan conectarse al servicio desde la red virtual.

Uso de nodeManagement como punto de conexión privado

Si creó un punto de conexión privado para la administración de nodos en la red virtual de su cuenta de Batch:

• Compruebe si el punto de conexión privado se ha creado en la red virtual correcta, en estado de aprovisionamiento Exitoso y también en estado Aprobado.
• Compruebe si la configuración de DNS está configurada correctamente para el punto de conexión de administración de nodos de la cuenta de Batch:
  • Si el punto de conexión privado se crea con la integración automática de la zona DNS privada, compruebe que el registro A de DNS esté configurado correctamente en la zona privatelink.batch.azure.comDNS privada y que la zona esté vinculada a la red virtual.
  • Si usa su propia solución DNS, asegúrese de que el registro DNS del punto de conexión de administración de nodos de Batch esté configurado correctamente y apunte a la dirección IP del punto de conexión privado.
• Compruebe la resolución DNS del punto de conexión de administración de nodos de Batch de su cuenta. Para confirmarlo, ejecute nslookup <nodeManagementEndpoint> desde dentro de la red virtual y el nombre DNS se debe resolver en la dirección IP del punto de conexión privado.
• Si la red virtual tiene habilitada la directiva de red de punto de conexión privado, compruebe el NSG y el UDR en busca de subredes del grupo de Batch y del punto de conexión privado. La conexión entrante con TCP/443 a la subred que hospeda el punto de conexión privado debe permitirse desde la subred del grupo de Batch.
• Desde la subred del grupo de Batch, ejecute un ping de TCP en el punto de conexión de administración de nodos mediante el puerto HTTPS predeterminado (443). Este sondeo puede indicar si la conexión de vínculo privado funciona según lo previsto.

# Windows
Test-NetConnection -ComputerName <nodeManagementEndpoint> -Port 443 -InformationLevel Detailed -Verbose
# Linux
nc -v <nodeManagementEndpoint> 443

Si se produce un error en el ping de TCP (por ejemplo, se agotó el tiempo de espera), normalmente es un problema con la conexión de vínculo privado y puede generar una incidencia de soporte técnico de Azure con este recurso de punto de conexión privado. De lo contrario, este problema inutilizable de nodo puede ser un problema como grupos normales de Batch y puede generar una incidencia de soporte técnico con su cuenta de Batch.

Uso de su propia solución de salida de Internet

Si usa su propia solución de salida de Internet en lugar de un punto de conexión privado, ejecute el ping de TCP en el punto de conexión de administración de nodos. Si no funciona, compruebe si el acceso saliente está configurado correctamente siguiendo los requisitos detallados para la comunicación simplificada de nodos de proceso.

Conectar a nodos de cómputo

No hay acceso entrante a Internet a los nodos de proceso del grupo de Batch sin direcciones IP públicas. Para acceder a los nodos de proceso para la depuración, deberá conectarse desde dentro de la red virtual:

• Utilice la máquina jumpbox dentro de la red virtual y, desde allí, conéctese a los nodos de cálculo.
• O bien, pruebe a usar otras soluciones de conexión remota como Azure Bastion:
  • Cree Bastion en la red virtual con la conexión basada en IP habilitada.
  • Use Bastion para conectarse al nodo de proceso mediante su dirección IP.

Puede seguir la guía Conexión a nodos de proceso para obtener las credenciales de usuario y la dirección IP del nodo de proceso de destino en el grupo de Batch.

Migración desde la versión preliminar anterior de grupos sin direcciones IP públicas

En el caso de los grupos existentes que usan la versión preliminar anterior del grupo de direcciones IP públicas de Azure Batch No, solo es posible migrar grupos creados en una red virtual.

1. Cree un punto de conexión privado para la administración de nodos de Batch en la red virtual.
2. Actualice el modo de comunicación de nodo del grupo para simplificarlo.
3. Reduzca verticalmente el grupo a cero nodos.
4. Vuelva a escalar horizontalmente el grupo. A continuación, el grupo se migra automáticamente a la nueva versión.

Pasos siguientes

• Aprenda a usar la comunicación simplificada de nodos de proceso.
• Obtenga más información sobre la creación de grupos en una red virtual.
• Aprenda a usar puntos de conexión privados con cuentas de Batch.