Compartir a través de

Creación de un grupo de Batch sin direcciones IP públicas (versión preliminar)

Advertencia

Esta versión preliminar se retirará el 31 de marzo de 2023 y se reemplazará por el grupo de comunicación de nodos simplificado sin direcciones IP públicas. Para obtener más información, consulte la Guía de migración de retirada.

Importante

  • La compatibilidad con grupos sin direcciones IP públicas en Azure Batch está actualmente en versión preliminar pública para las siguientes regiones: Centro de Francia, Este de Asia, Centro-oeste de EE. UU., Centro-sur de EE. UU., Oeste de EE. UU. 2, Este de EE. UU., Norte de Europa, Centro de EE. UU., Oeste de EE. UU., Este de Australia, Este de Japón, Japón Occidental.
  • Esta versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas.
  • Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

Al crear un grupo de Azure Batch, puede aprovisionar el grupo de configuración de máquinas virtuales sin una dirección IP pública. En este artículo se explica cómo configurar un grupo de Batch sin direcciones IP públicas.

¿Por qué usar un grupo sin direcciones IP públicas?

De forma predeterminada, a todos los nodos de proceso de un grupo de configuración de máquina virtual de Azure Batch se les asigna una dirección IP pública. El servicio Batch usa esta dirección para programar tareas y para la comunicación con nodos de proceso, incluido el acceso saliente a Internet.

Para restringir el acceso a estos nodos y reducir la detectabilidad de estos nodos desde Internet, puede aprovisionar el grupo sin direcciones IP públicas.

Prerrequisitos

  • Autenticación. Para usar un grupo sin direcciones IP públicas dentro de una red virtual, la API de cliente de Batch debe usar la autenticación de Microsoft Entra. La compatibilidad de Azure Batch con microsoft Entra ID se documenta en Autenticación de servicios de Azure Batch con el identificador de Microsoft Entra. Si no va a crear su pool dentro de una red virtual, se puede usar ya sea la autenticación de Microsoft Entra o la autenticación basada en claves.

  • Una red virtual de Azure. Si va a crear el grupo en una red virtual, siga estos requisitos y configuraciones. Para preparar una red virtual con una o varias subredes de antemano, puede usar Azure Portal, Azure PowerShell, la CLI de Azure u otros métodos.

    • La VNet debe estar en la misma suscripción y región que la cuenta de Batch que utilices para crear tu grupo de nodos.

    • La subred especificada para el grupo debe tener suficientes direcciones IP sin asignar para acomodar el número de máquinas virtuales destinadas al grupo; es decir, la suma de las propiedades targetDedicatedNodes y targetLowPriorityNodes del grupo. Si la subred no tiene suficientes direcciones IP sin asignar, el conjunto asigna parcialmente los nodos de cálculo, y se produce un error de redimensionamiento.

    • Debe deshabilitar el servicio de enlace privado y las directivas de red de punto de conexión. Esta acción se puede realizar mediante la CLI de Azure:

      az network vnet subnet update --vnet-name <vnetname> -n <subnetname> --resource-group <resourcegroup> --disable-private-endpoint-network-policies --disable-private-link-service-network-policies

Importante

Para cada 100 nodos dedicados o de spot, Batch asigna un servicio de vínculo privado y un equilibrador de carga. Estos recursos están limitados por las cuotas de recursos de la suscripción. En el caso de los grupos grandes, es posible que tenga que solicitar un aumento de cuota para uno o varios de estos recursos. Además, no se deben aplicar bloqueos de recursos a ningún recurso creado por Batch, ya que esto impide la limpieza de recursos como resultado de acciones iniciadas por el usuario, como eliminar un grupo o cambiar el tamaño a cero.

Limitaciones actuales

  1. Los grupos sin direcciones IP públicas deben usar la configuración de máquina virtual y no la configuración de Cloud Services.
  2. La configuración del punto de conexión personalizado en los nodos de cálculo de Batch no funciona con conjuntos sin direcciones IP públicas.
  3. Dado que no hay ninguna dirección IP pública, no puede usar sus propias direcciones IP públicas especificadas con este tipo de grupo.
  4. El tamaño de máquina virtual básico no funciona con grupos sin direcciones IP públicas.

Creación de un grupo sin direcciones IP públicas en Azure Portal

  1. Vaya a la cuenta de Batch en Azure Portal.
  2. En la ventana Configuración de la izquierda, seleccione Grupos.
  3. En la ventana Piscinas, seleccione Agregar.
  4. En la ventana Agregar grupo, seleccione la opción que quiere usar en la lista desplegable Tipo de imagen .
  5. Seleccione el Publicador/Oferta/SKU correcto de tu imagen.
  6. Especifique la configuración necesaria restante, incluido el tamaño del nodo, los nodos dedicados de destino y los nodos de acceso puntual o de prioridad baja, y cualquier configuración opcional deseada.
  7. Opcionalmente, seleccione una red virtual y una subred que quiera usar. Esta red virtual debe estar en el mismo grupo de recursos que el grupo que está creando.
  8. En Tipo de aprovisionamiento de direcciones IP, seleccione NoPublicIPAddresses.

Captura de pantalla de la pantalla Agregar grupo con la opción NoPublicIPAddresses seleccionada.

Uso de la API REST de Batch para crear un grupo sin direcciones IP públicas

En el ejemplo siguiente se muestra cómo usar la API rest del servicio Batch para crear un grupo que use direcciones IP públicas.

URI DE LA API REST

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

Cuerpo de la solicitud

"pool": {
     "id": "pool2",
     "vmSize": "standard_a1",
     "virtualMachineConfiguration": {
          "imageReference": {
               "publisher": "Canonical",
               "offer": "UbuntuServer",
               "sku": "20.04-lts"
          },
          "nodeAgentSKUId": "batch.node.ubuntu 20.04"
     }
     "networkConfiguration": {
          "subnetId": "/subscriptions/<your_subscription_id>/resourceGroups/<your_resource_group>/providers/Microsoft.Network/virtualNetworks/<your_vnet_name>/subnets/<your_subnet_name>",
          "publicIPAddressConfiguration": {
               "provision": "NoPublicIPAddresses"
          }
     },
     "resizeTimeout": "PT15M",
     "targetDedicatedNodes": 5,
     "targetLowPriorityNodes": 0,
     "taskSlotsPerNode": 3,
     "taskSchedulingPolicy": {
          "nodeFillType": "spread"
     },
     "enableAutoScale": false,
     "enableInterNodeCommunication": true,
     "metadata": [
          {
               "name": "myproperty",
               "value": "myvalue"
          }
     ]
}

Importante

En este documento se hace referencia a una versión de lanzamiento de Linux cercana o al final del ciclo de vida (EOL). Considere la posibilidad de actualizar a una versión más actual.

Acceso saliente a Internet

En un grupo sin direcciones IP públicas, las máquinas virtuales no podrán acceder a la red pública de Internet a menos que configure la configuración de red correctamente, como mediante NAT de red virtual. NAT solo permite el acceso saliente a Internet desde las máquinas virtuales de la red virtual. Los nodos de cálculo creados por procesamiento por lotes no serán accesibles públicamente, ya que no tienen direcciones IP públicas asociadas.

Otra manera de proporcionar conectividad saliente es usar una ruta definida por el usuario (UDR). Este método le permite enrutar el tráfico a una máquina proxy que tiene acceso público a Internet.

Pasos siguientes

  • Last updated on