Administración de un clúster de HPC Pack en Azure mediante Azure Active Directory

Microsoft HPC Pack 2016 (y versiones posteriores) admite la integración con Azure Active Directory (Azure AD) para los administradores que implementan un clúster de HPC Pack en Azure.

Siga los pasos de este artículo para las siguientes tareas de alto nivel:

Integración manual del clúster de HPC Pack con el inquilino de Azure AD
Administración y programación de trabajos en el clúster de HPC Pack en Azure

La integración de una solución de clúster de HPC Pack con Azure AD sigue los pasos estándar para integrar otras aplicaciones y servicios. En este artículo se da por supuesto que está familiarizado con la administración básica de usuarios en Azure AD. Para obtener más información y antecedentes.

Ventajas de la integración

Azure Active Directory (Azure AD) es un servicio de administración de identidades y directorios basado en la nube multiinquilino que proporciona acceso de inicio de sesión único (SSO) a soluciones en la nube.

La integración de un clúster de HPC Pack con Azure AD puede ayudarle a lograr los siguientes objetivos:

Quite el controlador de dominio de Active Directory tradicional del clúster de HPC Pack. Esto puede ayudar a reducir los costos de mantenimiento del clúster si no es necesario para su empresa y acelerar el proceso de implementación.
Aproveche las siguientes ventajas que aporta Azure AD:
- Inicio de sesión único
- Uso de una identidad de AD local para el clúster de HPC Pack en Azure

Requisitos previos

clúster de HPC Pack 2016 implementado en máquinas virtuales de Azure: para ver los pasos, consulte Implementación de un clúster de HPC Pack 2016 en Azure. Necesita el nombre DNS del nodo principal y las credenciales de un administrador de clústeres para completar los pasos descritos en este artículo.

Nota:

La integración de Azure Active Directory no se admite en versiones de HPC Pack antes de HPC Pack 2016.
equipo cliente: necesita un equipo cliente de Windows o Windows Server para ejecutar utilidades de cliente de HPC Pack. Si solo desea usar el portal web de HPC Pack o la API REST para enviar trabajos, puede usar cualquier equipo cliente de su elección.
utilidades de cliente de HPC Pack: instale las utilidades de cliente de HPC Pack en el equipo cliente mediante el paquete de instalación gratuito disponible en el Centro de descarga de Microsoft.

Paso 1: Registro del servidor de clúster de HPC con el inquilino de Azure AD

Inicie sesión en Azure Portal.
Si su cuenta le proporciona acceso a más de un inquilino de Azure AD, haga clic en su cuenta en la esquina superior derecha. A continuación, establezca la sesión del portal en el inquilino deseado. Debe tener permiso para acceder a los recursos del directorio.
Haga clic en de Azure Active Directory en el panel de navegación de servicios izquierdo, haga clic en Usuarios y gruposy asegúrese de que ya haya cuentas de usuario creadas o configuradas.
En azure Active Directory, haga clic en registros de aplicaciones >nuevo registro de aplicación. Especifique la siguiente información:
- Nombre - HPCPackClusterServer
- Tipo de aplicación: seleccione aplicación web o api
- dirección URL de inicio de sesión: la dirección URL base del ejemplo, que es de forma predeterminada https://hpcserver
- Haga clic en Crear.
Una vez agregada la aplicación, selecciónela en la lista Registros de aplicaciones. A continuación, haga clic en Configuración>Propiedades. Especifique la siguiente información:
- Seleccione sí para multiinquilino.
- Cambie URI de identificador de aplicación a https://<Directory_name>/<application_name>. Reemplace <Directory_name> por el nombre completo del inquilino de Azure AD, por ejemplo, hpclocal.onmicrosoft.comy reemplace <application_name> por el nombre que eligió anteriormente, por ejemplo, HPCPackClusterServer.

Haga clic en Save(Guardar). Cuando se complete el guardado, en la página de la aplicación, haga clic en Manifiesto. Edite el manifiesto localizando la configuración de appRoles y agregando el siguiente rol de aplicación y, a continuación, haga clic en Guardar:

"appRoles": [
    {
    "allowedMemberTypes": [
        "User",
        "Application"
    ],
    "displayName": "HpcAdminMirror",
    "id": "61e10148-16a8-432a-b86d-ef620c3e48ef",
    "isEnabled": true,
    "description": "HpcAdminMirror",
    "value": "HpcAdminMirror"
    },
    {
    "allowedMemberTypes": [
        "User",
        "Application"
    ],
    "description": "HpcUsers",
    "displayName": "HpcUsers",
    "id": "91e10148-16a8-432a-b86d-ef620c3e48ef",
    "isEnabled": true,
    "value": "HpcUsers"
    }
],

En azure Active Directory, haga clic en Aplicaciones empresariales>Todas las aplicaciones. Seleccione HPCPackClusterServer en la lista.
Haga clic en Propiedadesy cambie asignación de usuario necesaria a Sí. Haga clic en Save(Guardar).
Haga clic en Usuarios y grupos>Agregarde usuario . Seleccione un usuario y seleccione un rol y haga clic en Asignar. Asigne uno de los roles disponibles (HpcUsers o HpcAdminMirror) al usuario. Repita este paso con usuarios adicionales en el directorio. Para obtener información general sobre los usuarios del clúster, consulte Administración de usuarios de clúster.

Paso 2: Registro del cliente de clúster de HPC con el inquilino de Azure AD

Inicie sesión en Azure Portal.
Si su cuenta le proporciona acceso a más de un inquilino de Azure AD, haga clic en su cuenta en la esquina superior derecha. A continuación, establezca la sesión del portal en el inquilino deseado. Debe tener permiso para acceder a los recursos del directorio.
En azure Active Directory, haga clic en registros de aplicaciones >nuevo registro de aplicación. Especifique la siguiente información:
- nombre- HPCPackClusterClient
- Tipo de aplicación: seleccione native
- URI de redirección - https://hpcclient
- Haga clic en Crear.
Una vez agregada la aplicación, selecciónela en la lista Registros de aplicaciones. Copie el id. de aplicación y guárdelo. Lo necesitará más adelante al configurar la aplicación.
Haga clic en Configuración>Permisos necesarios>Agregar>Seleccione una API. Busque y seleccione la aplicación HpcPackClusterServer (creada en el paso 1).
En la página Habilitar acceso, seleccione Access HpcClusterServer. A continuación, haga clic en Listo.

Paso 3: Configuración del clúster de HPC

Conéctese al nodo principal de HPC Pack 2016 en Azure.
Inicie HPC PowerShell.

Ejecute el siguiente comando:


Set-HpcClusterRegistry -SupportAAD true -AADInstance https://login.microsoftonline.com/ -AADAppName HpcPackClusterServer -AADTenant <your AAD tenant name> -AADClientAppId <client ID> -AADClientAppRedirectUri https://hpcclient

Dónde

AADTenant especifica el nombre del inquilino de Azure AD, como hpclocal.onmicrosoft.com
AADClientAppId especifica el identificador de aplicación de la aplicación creada en el paso 2.

Realice una de las siguientes acciones, en función de la configuración del nodo principal:
- En un único clúster de HPC Pack de nodo principal, reinicie el servicio HpcScheduler.
- En un clúster de HPC Pack con varios nodos principales, ejecute los siguientes comandos de PowerShell en el nodo principal para reiniciar el servicio hpcSchedulerStateful de :
```
Connect-ServiceFabricCluster

Move-ServiceFabricPrimaryReplica –ServiceName "fabric:/HpcApplication/SchedulerStatefulService"
```

Paso 4: Administrar y enviar trabajos desde el cliente

Para instalar las utilidades de cliente de HPC Pack en el equipo, descargue los archivos de instalación de HPC Pack 2016 (instalación completa) desde el Centro de descarga de Microsoft. Al iniciar la instalación, elija la opción de instalación de las utilidades de cliente de HPC Pack de .

Para preparar el equipo cliente, instale el certificado usado durante configuración del clúster de HPC en el equipo cliente. Use procedimientos estándar de administración de certificados de Windows para instalar el certificado público en los certificados de : usuario actual>Entidades de certificación raíz de confianza almacén.

Sugerencia

Durante la configuración del cliente, es posible que tenga que elegir la validación cn si el CN del certificado no coincide con la dirección URL del programador". También puede elegir "omitir la comprobación de CA y CN" para que no sea necesario importar el certificado en el equipo cliente.

omitir ca y comprobación de CN

Ahora puede ejecutar los comandos de HPC Pack o usar la GUI del administrador de trabajos de HPC Pack para enviar y administrar trabajos de clúster mediante la cuenta de Azure AD. Para ver las opciones de envío de trabajos, consulte Envío de trabajos de HPC a un clúster de HPC Pack en Azure.

Nota:

Al intentar conectarse al clúster de HPC Pack en Azure por primera vez, aparece una ventana emergente. Escriba las credenciales de Azure AD para iniciar sesión. A continuación, el token se almacena en caché. Las conexiones posteriores al clúster de Azure usarán el token almacenado en caché a menos que se borren los cambios de autenticación o la memoria caché.

Por ejemplo, después de completar los pasos anteriores, puede consultar trabajos desde un cliente local de la siguiente manera:

Get-HpcJob –State All –Scheduler https://<Azure load balancer DNS name> -Owner <Azure AD account>

Cmdlets útiles para el envío de trabajos con la integración de Azure AD

Administración de la caché de tokens local

HPC Pack 2016 proporciona los siguientes cmdlets de POWERShell de HPC para administrar la caché de tokens local. Estos cmdlets son útiles para enviar trabajos de forma no interactiva. Observe el ejemplo siguiente:

Remove-HpcTokenCache

$SecurePassword = "<password>" | ConvertTo-SecureString -AsPlainText -Force

Set-HpcTokenCache -UserName <AADUsername> -Password $SecurePassword -scheduler https://<Azure load balancer DNS name>

Establecimiento de las credenciales para enviar trabajos mediante la cuenta de Azure AD

A veces, es posible que desee ejecutar el trabajo en el usuario del clúster de HPC (para un clúster de HPC unido a un dominio, ejecutarse como un usuario de dominio; para un clúster de HPC no unido a un dominio, ejecute como un usuario local definido en todos los nodos principales).

Use los siguientes comandos para establecer las credenciales:

$localUser = "<username>"

$localUserPassword="<password>"

$secpasswd = ConvertTo-SecureString $localUserPassword -AsPlainText -Force

$mycreds = New-Object System.Management.Automation.PSCredential ($localUser, $secpasswd)

Set-HpcJobCredential -Credential $mycreds -Scheduler https://<Azure load balancer DNS name>

A continuación, envíe el trabajo como se indica a continuación. El trabajo o la tarea se ejecuta en $localUser en los nodos de proceso.

$emptycreds = New-Object System.Management.Automation.PSCredential ($localUser, (new-object System.Security.SecureString))
...
$job = New-HpcJob –Scheduler https://<Azure load balancer DNS name>

Add-HpcTask -Job $job -CommandLine "ping localhost" -Scheduler https://<Azure load balancer DNS name>

Submit-HpcJob -Job $job -Scheduler https://<Azure load balancer DNS name> -Credential $emptycreds

Si no se especifica –Credential con Submit-HpcJob, el trabajo o la tarea se ejecuta en un usuario asignado local como cuenta de Azure AD. (El clúster de HPC crea un usuario local con el mismo nombre que la cuenta de Azure AD para ejecutar la tarea).

A partir de HPC Pack 2016 Update 2, no es necesario establecer datos extendidos para credenciales, ya que la clave de confianza mutua se generará automáticamente para que el usuario ejecute el trabajo de MPI entre nodos. Pero si todavía usa la versión anterior, puede establecer datos extendidos para la cuenta de Azure AD como se indica a continuación:
- Establecimiento de datos extendidos para la propia cuenta de Azure AD
```
Set-HpcJobCredential -Scheduler https://<Azure load balancer DNS name> -ExtendedData <data> -AadUser
```
- Establecimiento de datos extendidos y ejecución como usuario de clúster de HPC
```
Set-HpcJobCredential -Credential $mycreds -Scheduler https://<Azure load balancer DNS name> -ExtendedData <data>
```

Last updated on 2024-10-18

Compartir a través de