Partager via

Gérer un cluster HPC Pack dans Azure à l’aide d’Azure Active Directory

Microsoft HPC Pack 2016 (et version ultérieure) prend en charge l’intégration à Azure Active Directory (Azure AD) pour les administrateurs qui déploient un cluster HPC Pack dans Azure.

Suivez les étapes décrites dans cet article pour les tâches de haut niveau suivantes :

  • Intégrer manuellement votre cluster HPC Pack à votre locataire Azure AD
  • Gérer et planifier des travaux dans votre cluster HPC Pack dans Azure

L’intégration d’une solution de cluster HPC Pack à Azure AD suit les étapes standard pour intégrer d’autres applications et services. Cet article part du principe que vous connaissez la gestion des utilisateurs de base dans Azure AD. Pour plus d’informations et d’arrière-plan.

Avantages de l’intégration

Azure Active Directory (Azure AD) est un service d’annuaire et de gestion des identités multilocataire qui fournit un accès à l’authentification unique (SSO) aux solutions cloud.

L’intégration d’un cluster HPC Pack à Azure AD peut vous aider à atteindre les objectifs suivants :

  • Supprimez le contrôleur de domaine Active Directory traditionnel du cluster HPC Pack. Cela peut vous aider à réduire les coûts de maintenance du cluster si cela n’est pas nécessaire pour votre entreprise et accélérer le processus de déploiement.
  • Tirez parti des avantages suivants apportés par Azure AD :

    • Authentification unique

    • Utilisation d’une identité AD locale pour le cluster HPC Pack dans Azure

      Environnement Azure Active Directory

Conditions préalables

  • Cluster HPC Pack 2016 déployé dans des machines virtuelles Azure : pour obtenir des étapes, consultez Déployer un cluster HPC Pack dans Azure. Vous avez besoin du nom DNS du nœud principal et des informations d’identification d’un administrateur de cluster pour effectuer les étapes décrites dans cet article.

    Remarque

    L’intégration d’Azure Active Directory n’est pas prise en charge dans les versions de HPC Pack avant HPC Pack 2016.

  • Ordinateur client : vous avez besoin d’un ordinateur client Windows ou Windows Server pour exécuter des utilitaires clients HPC Pack. Si vous souhaitez uniquement utiliser le portail web HPC Pack ou l’API REST pour envoyer des travaux, vous pouvez utiliser n’importe quel ordinateur client de votre choix.

  • Utilitaires clients HPC Pack - Installez les utilitaires clients HPC Pack sur l’ordinateur client, à l’aide du package d’installation gratuit disponible à partir du Centre de téléchargement Microsoft.

Étape 1 : Inscrire le serveur de cluster HPC auprès de votre locataire Azure AD

  1. Connectez-vous au portail Azure.

  2. Si votre compte vous donne accès à plusieurs locataires Azure AD, cliquez sur votre compte dans le coin supérieur droit. Définissez ensuite votre session portail sur le locataire souhaité. Vous devez avoir l’autorisation d’accéder aux ressources dans le répertoire.

  3. Cliquez sur Microsoft Entra ID dans le volet de navigation Services gauche, cliquez sur Utilisateurs et groupes, puis vérifiez qu’il existe déjà des comptes d’utilisateur déjà créés ou configurés.

  4. Dans Microsoft Entra ID, cliquez sur Inscriptions d’applications>Nouvelle inscription d’application. Entrez les informations suivantes :

    • Nom - HPCPackClusterServer
    • Types de comptes pris en charge - Sélectionner des comptes dans n’importe quel annuaire organisationnel (n’importe quel locataire Microsoft Entra ID - Multilocataire)
    • Type d’application - Sélectionner une application web /API
    • URL de redirection : URL de base de l’exemple, qui est par défaut https://hpcserver
    • Cliquez sur Créer.

  5. Une fois l’application ajoutée, sélectionnez-la dans la liste des inscriptions d’applications . Cliquez ensuite sur Exposer une API. Entrez les informations suivantes :

    • Modifiez l’URI de l’ID d’application en https://<Directory_name>/<application_name>. Remplacez <Directory_name> par le nom complet de votre locataire Azure AD, par exemple, hpclocal.onmicrosoft.comet remplacez <application_name> par le nom que vous avez choisi précédemment.HPCPackClusterServer

    • Cliquez sur Ajouter une étendue, entrez les informations suivantes.

      ** Nom de l’étendue - user_impersonation.

      ** Qui peut donner son consentement - Sélectionner des administrateurs et des utilisateurs.

      ** Nom d’affichage du consentement administrateur et description du consentement administrateur : entrez le nom et la description.

  6. Cliquez sur Enregistrer. Une fois l’enregistrement terminé, dans la page de l’application, cliquez sur Manifeste. Modifiez le manifeste en localisant le appRoles paramètre et en ajoutant le rôle d’application suivant, puis cliquez sur Enregistrer :

    "appRoles": [
    {
    "allowedMemberTypes": [
        "User",
        "Application"
    ],
    "displayName": "HpcAdminMirror",
    "id": "61e10148-16a8-432a-b86d-ef620c3e48ef",
    "isEnabled": true,
    "description": "HpcAdminMirror",
    "value": "HpcAdminMirror"
    },
    {
    "allowedMemberTypes": [
        "User",
        "Application"
    ],
    "description": "HpcUsers",
    "displayName": "HpcUsers",
    "id": "91e10148-16a8-432a-b86d-ef620c3e48ef",
    "isEnabled": true,
    "value": "HpcUsers"
    }
],

  7. Dans Microsoft Entra ID, cliquez sur Applications d’entrepriseToutes les applications>. Sélectionnez HPCPackClusterServer dans la liste.

  8. Cliquez sur Propriétés et modifiez l’attribution d’utilisateur requise pour Oui. Cliquez sur Enregistrer.

  9. Cliquez sur Utilisateurs et groupes>Ajouter un utilisateur. Sélectionnez un utilisateur et sélectionnez un rôle, puis cliquez sur Affecter. Attribuez l’un des rôles disponibles (HpcUsers ou HpcAdminMirror) à l’utilisateur. Répétez cette étape avec d’autres utilisateurs dans le répertoire. Pour plus d’informations sur les utilisateurs du cluster, consultez Gestion des utilisateurs du cluster.

Étape 2 : Inscrire le client de cluster HPC auprès de votre locataire Azure AD

  1. Connectez-vous au portail Azure.

  2. Si votre compte vous donne accès à plusieurs locataires Azure AD, cliquez sur votre compte dans le coin supérieur droit. Définissez ensuite votre session portail sur le locataire souhaité. Vous devez avoir l’autorisation d’accéder aux ressources dans le répertoire.

  3. Dans Microsoft Entra ID, cliquez sur Inscriptions d’applications>Nouvelle inscription d’application. Entrez les informations suivantes :

    • Nom - HPCPackClusterClient
    • Type d’application - Sélectionner native
    • URI de redirection - https://hpcclient
    • Cliquez sur Créer.

  4. Une fois l’application ajoutée, sélectionnez-la dans la liste des inscriptions d’applications . Copiez la valeur de l’ID d’application et enregistrez-la. Vous en avez besoin ultérieurement lors de la configuration de votre application.

  5. Cliquez sur Autorisations> d’APIAjouter une API d’autorisation>que mon organisation utilise. Recherchez et sélectionnez l’application HpcPackClusterServer (créée à l’étape 1). Cliquez sur Autorisations déléguées, sélectionnez user_impersonation, puis cliquez sur Ajouter des autorisations.

  6. Dans la page de l’application, cliquez sur Manifeste. Modifiez le manifeste en localisant le allowPublicClient paramètre et en modifiant la valeur true, puis cliquez sur Enregistrer.

Étape 3 : Configurer le cluster HPC

  1. Connectez-vous au nœud principal HPC Pack 2016 dans Azure.

  2. Démarrez HPC PowerShell.

  3. Exécutez la commande suivante:

    
Set-HpcClusterRegistry -SupportAAD true -AADInstance https://login.microsoftonline.com/ -AADAppName HpcPackClusterServer -AADTenant <your AAD tenant name> -AADClientAppId <client ID> -AADClientAppRedirectUri https://hpcclient

    • AADTenant spécifie le nom du locataire Azure AD, par exemple hpclocal.onmicrosoft.com
    • AADClientAppId spécifie l’ID d’application de l’application créée à l’étape 2.

  4. Effectuez l’une des opérations suivantes, en fonction de la configuration du nœud principal :

    • Dans un cluster HPC Pack à nœud principal unique, redémarrez le service HpcScheduler.

    • Dans un cluster HPC Pack avec plusieurs nœuds principaux, exécutez les commandes PowerShell suivantes sur le nœud principal pour redémarrer le service HpcSchedulerStateful :

    Connect-ServiceFabricCluster

Move-ServiceFabricPrimaryReplica –ServiceName "fabric:/HpcApplication/SchedulerStatefulService"

Étape 4 : Gérer et envoyer des travaux à partir du client

Pour installer les utilitaires clients HPC Pack sur votre ordinateur, téléchargez les fichiers d’installation HPC Pack 2016 (installation complète) à partir du Centre de téléchargement Microsoft. Lorsque vous commencez l’installation, choisissez l’option d’installation pour les utilitaires clients HPC Pack.

Pour préparer l’ordinateur client, installez le certificat utilisé lors de la configuration du cluster HPC sur l’ordinateur client. Utilisez des procédures de gestion de certificats Windows standard pour installer le certificat public dans le magasinCertificats – Autorités de certification racines approuvéespar l’utilisateur> actuel.

Conseil / Astuce

Pendant la configuration du client, vous devrez peut-être choisir la validation CN si votre cn de certificat ne correspond pas à l’URL du planificateur ». Vous pouvez également choisir « ignorer l’autorité de certification et la vérification CN » afin que vous n’ayez pas besoin d’importer le certificat sur votre ordinateur client.

Ignorer l’autorité de certification et la vérification CN

Vous pouvez maintenant exécuter les commandes HPC Pack ou utiliser l’interface graphique utilisateur du gestionnaire de travaux HPC Pack pour envoyer et gérer des travaux de cluster à l’aide du compte Azure AD. Pour connaître les options d’envoi de travaux, consultez Envoyer des travaux HPC à un cluster HPC Pack dans Azure.

Remarque

Lorsque vous essayez de vous connecter au cluster HPC Pack dans Azure pour la première fois, une fenêtre contextuelle s’affiche. Entrez vos informations d’identification Azure AD pour vous connecter. Le jeton est ensuite mis en cache. Les connexions ultérieures au cluster dans Azure utilisent le jeton mis en cache, sauf si l’authentification change ou si le cache est effacé.

Par exemple, après avoir effectué les étapes précédentes, vous pouvez rechercher des travaux à partir d’un client local comme suit :

Get-HpcJob –State All –Scheduler https://<Azure load balancer DNS name> -Owner <Azure AD account>

Applets de commande utiles pour la soumission de travaux avec l’intégration d’Azure AD

Gérer le cache de jetons local

HPC Pack 2016 fournit les applets de commande POWERShell HPC suivantes pour gérer le cache de jetons local. Ces applets de commande sont utiles pour envoyer des travaux de manière non interactive. Consultez l’exemple suivant :

Remove-HpcTokenCache

$SecurePassword = "<password>" | ConvertTo-SecureString -AsPlainText -Force

Set-HpcTokenCache -UserName <AADUsername> -Password $SecurePassword -scheduler https://<Azure load balancer DNS name>

Définir les informations d’identification pour l’envoi de travaux à l’aide du compte Azure AD

Parfois, vous pouvez exécuter le travail sous l’utilisateur du cluster HPC (pour un cluster HPC joint à un domaine, exécuter en tant qu’utilisateur de domaine ; pour un cluster HPC non joint à un domaine, exécuter en tant qu’utilisateur local défini sur tous les nœuds principaux).

  1. Utilisez les commandes suivantes pour définir les informations d’identification :

    $localUser = "<username>"

$localUserPassword="<password>"

$secpasswd = ConvertTo-SecureString $localUserPassword -AsPlainText -Force

$mycreds = New-Object System.Management.Automation.PSCredential ($localUser, $secpasswd)

Set-HpcJobCredential -Credential $mycreds -Scheduler https://<Azure load balancer DNS name>

  2. Envoyez ensuite le travail comme suit. Le travail/tâche s’exécute sous $localUser sur les nœuds de calcul.

    $emptycreds = New-Object System.Management.Automation.PSCredential ($localUser, (new-object System.Security.SecureString))
...
$job = New-HpcJob –Scheduler https://<Azure load balancer DNS name>

Add-HpcTask -Job $job -CommandLine "ping localhost" -Scheduler https://<Azure load balancer DNS name>

Submit-HpcJob -Job $job -Scheduler https://<Azure load balancer DNS name> -Credential $emptycreds

    S’il –Credential n’est pas spécifié avec Submit-HpcJob, le travail ou la tâche s’exécute sous un utilisateur mappé local en tant que compte Azure AD. (Le cluster HPC crée un utilisateur local portant le même nom que le compte Azure AD pour exécuter la tâche.)

  3. À compter de HPC Pack 2016 Update 2, vous n’êtes pas obligé de définir des données étendues pour les informations d’identification, car la clé d’approbation mutuelle sera générée automatiquement pour que l’utilisateur exécute le travail MPI entre nœuds. Toutefois, si vous utilisez toujours la version antérieure, vous pouvez définir des données étendues pour le compte Azure AD comme indiqué ci-dessous :

    • Définir des données étendues pour le compte Azure AD lui-même

      Set-HpcJobCredential -Scheduler https://<Azure load balancer DNS name> -ExtendedData <data> -AadUser

    • Définir des données étendues et s’exécuter en tant qu’utilisateur de cluster HPC

      Set-HpcJobCredential -Credential $mycreds -Scheduler https://<Azure load balancer DNS name> -ExtendedData <data>
  • Last updated on