Azure CycleCloud를 실행하려면 유효한 Azure 구독 및 가상 네트워크가 필요합니다.
일반적으로 비즈니스 의사 결정자는 Azure 테넌트 및 구독 만들기 및 구성을 처리합니다. 그러나 HPC 및 대형 컴퓨팅 애플리케이션은 많은 리소스를 사용하므로 청구를 추적하고, 사용 제한을 설정하고, 리소스 및 API 사용을 격리하는 전용 구독을 만드는 것이 좋습니다. Azure 테넌트 및 구독 디자인에 대한 자세한 내용은 Azure 구독 관리를 참조하세요.
가상 네트워크 구성
기존 Azure Virtual Network 및 서브넷을 선택하거나 CycleCloud VM 및 CycleCloud가 관리하는 컴퓨팅 클러스터를 실행하는 새 가상 네트워크를 만듭니다.
가상 네트워크를 아직 만들지 않은 경우 제공된 CycleCloud ARM 템플릿 배포부터 시작하는 것이 좋습니다. CycleCloud ARM 템플릿은 배포 중에 CycleCloud 및 컴퓨팅 클러스터에 대한 새 가상 네트워크를 만듭니다. 또는 다음 지침에 따라 새 가상 네트워크를 만들 수 있습니다.
다음으로, 가상 네트워크에 대해 Express Route 또는 VPN을 아직 구성하지 않은 경우 공용 인터넷을 통해 가상 네트워크에 연결할 수 있습니다. 그러나 VPN Gateway를 구성하는 것이 좋습니다.
서브넷 및 네트워크 보안 그룹 구성
CycleCloud에는 일반적으로 컴퓨팅 클러스터와는 다른 네트워크 보안 요구 사항 및 액세스 정책이 있으므로 클러스터와 다른 Azure 서브넷에서 Azure CycleCloud를 실행하는 것이 좋습니다.
권장되는 모범 사례는 두 개 이상의 서브넷을 사용하는 것입니다. 하나는 CycleCloud VM 및 동일한 액세스 정책을 사용하는 다른 VM과 컴퓨팅 클러스터에 대한 추가 서브넷입니다. 그러나 큰 클러스터의 경우 서브넷의 IP 범위가 제한 요소가 될 수 있습니다. 따라서 일반적으로 CycleCloud 서브넷은 작은 CIDR 범위를 사용해야 하며 컴퓨팅 서브넷은 커야 합니다.
가상 네트워크에서 하나 이상의 서브넷을 만들려면 연결된 문서의 지침을 따릅니다.
컴퓨팅에 여러 서브넷 사용
모든 VM이 클러스터 내에서 그리고 CycleCloud( 반환 프록시를 통해)와 통신할 수 있는 한 여러 서브넷에서 노드 및 노드 배열을 실행하도록 CycleCloud 클러스터를 구성할 수 있습니다. 예를 들어 실행 노드와 다른 보안 규칙을 사용하여 서브넷에서 스케줄러 노드 또는 제출자 노드를 시작하는 것이 유용한 경우가 많습니다. CycleCloud의 기본 클러스터 유형은 전체 클러스터에 대해 단일 서브넷을 가정하지만 노드 템플릿의 특성을 사용하여 SubnetId 각 노드 또는 노드 배열에 대한 서브넷을 구성할 수 있습니다.
그러나 CycleCloud 클러스터에 적용되는 기본 호스트 파일 기반 호스트 이름 확인은 노드의 서브넷에 대한 호스트 파일만 생성합니다. 따라서 여러 서브넷에 걸쳐 있는 클러스터를 만드는 경우 클러스터에 대한 호스트 이름 확인을 사용자 지정해야 합니다.
여러 컴퓨팅 서브넷을 지원하려면 두 가지 기본 클러스터 템플릿을 변경해야 합니다.
- 클러스터의
SubnetId기본 서브넷에 없는 각 노드 또는 노드 배열에서 특성을 설정합니다. - 다음의 방법 중 하나를 통해 모든 서브넷에 대한 호스트 이름 확인을 구성합니다.
- Azure DNS 영역 사용 및 기본 호스트 파일 기반 해결 사용 안 함
CycleCloud.hosts.standalone_dns.subnets특성을 VNet의 CIDR 범위 또는 각 서브넷에 대한 CIDR 범위의 쉼표로 구분된 목록으로 설정합니다. 자세한 내용은 노드 구성 참조 를 참조하세요.
CycleCloud 서브넷에 대한 네트워크 보안 그룹 설정
보안을 위해 Azure Virtual Network를 구성하는 것은 이 문서의 범위를 벗어나는 광범위한 항목입니다.
CycleCloud 및 CycleCloud 클러스터는 잠긴 환경에서 실행할 수 있습니다. 구성 세부 정보는 잠긴 네트워크에서 실행 및 프록시 뒤에서 실행을 참조하세요.
그러나 덜 제한적인 네트워크의 경우 다음 일반적인 지침을 따르세요. 먼저 CycleCloud GUI 사용자는 HTTPS를 통해 CycleCloud VM에 액세스해야 하며 관리자는 SSH 액세스가 필요할 수 있습니다. 클러스터 사용자는 일반적으로 컴퓨팅 클러스터의 제출 노드에 대한 SSH 액세스 및 Windows 클러스터용 RDP와 같은 기타 액세스 권한이 필요합니다. 마지막 일반적인 규칙은 필요한 최소값으로 액세스를 제한하는 것입니다.
만든 각 서브넷에 대한 새 네트워크 보안 그룹을 만들려면 네트워크 보안 그룹 만들기를 참조하세요.
인바운드 보안 규칙
중요합니다
다음 규칙은 가상 네트워크가 프라이빗 네트워크 액세스를 위해 ExpressRoute 또는 VPN으로 구성되어 있다고 가정합니다. 공용 인터넷을 통해 실행되는 경우 원본을 공용 IP 주소 또는 회사 IP 범위로 변경합니다.
CycleCloud VM 서브넷
| 이름 | 우선권 | 출처 | 서비스 | 프로토콜 | 포트 범위 |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | 관습 | TCP | 22 (이십이) |
| HTTPS | 110 | VirtualNetwork | 관습 | TCP | 443 |
| HTTPS | 110 | VirtualNetwork | 관습 | TCP | 9443 |
컴퓨팅 서브넷
| 이름 | 우선권 | 출처 | 서비스 | 프로토콜 | 포트 범위 |
|---|---|---|---|---|---|
| SSH | 100 | VirtualNetwork | 관습 | TCP | 22 (이십이) |
| RDP | 110 | VirtualNetwork | 관습 | TCP | 3389 |
| Ganglia | 120 | VirtualNetwork | 관습 | TCP | 8652 |
아웃바운드 보안 규칙
일반적으로 CycleCloud VM 및 컴퓨팅 클러스터는 패키지 설치 및 Azure REST API 호출을 위해 인터넷에 액세스해야 합니다.
보안 정책에서 아웃바운드 인터넷 액세스를 차단하는 경우 잠긴 네트워크에서 실행 및 프록시 뒤에서 실행 의 지침에 따라 구성 세부 정보를 확인합니다.