叢集中的節點需要與 Azure CycleCloud 伺服器通訊,以進行監視、狀態報告、服務同步處理和自動調整等活動。 HTTPS 和AMQP通訊協定都分別與預設 TCP 埠搭配使用(分別 443 和 5672)。
如果您在與計算叢集相同的虛擬網路中部署 Azure CycleCloud 伺服器,您通常會符合連線需求。 不過,如果您的網路拓撲或防火牆封鎖直接通訊,請考慮下列替代方案:
- 指定傳回 Proxy
- 設定虛擬網路對等互連
在內部安裝 CycleCloud 應用程式伺服器的情況下:
- VPN 連線
- Bastion 伺服器
設定傳回 Proxy
如果網路拓撲或防火牆防止 Azure CycleCloud 伺服器與叢集節點之間的通訊,您可以將叢集中的節點指定為 傳回 Proxy。 透過此設定,Azure CycleCloud 伺服器上的接聽埠會透過 SSH 通道轉送。 叢集節點會透過 Proxy 上的埠 37140 和 37141 連線到 CycleCloud 伺服器。 典型的部署具有指定為傳回 Proxy 的叢集前端節點,但任何持續性節點都可以扮演相同的角色。
如需設定傳回 Proxy 的詳細資訊,請參閱 傳回 Proxy。
虛擬網路對等互連
虛擬網路對等互連可讓您連線 Azure 虛擬網路。 一旦對接,虛擬網路就會被視為一個整體以便連線。 對等互連虛擬網路中虛擬機之間的流量會透過Microsoft骨幹基礎結構路由傳送。 如同在相同虛擬網路中的虛擬機器之間路由傳送的流量,流量只會透過私人 IP 位址路由傳送。
如需設定虛擬網路對等互連的指示,請參閱 Azure 虛擬網路文件頁面。
VPN
如果您在內部網路中部署 Azure CycleCloud 伺服器,請使用此方法來啟用應用程式伺服器與叢集節點之間的連線。 您的 Azure CycleCloud 伺服器可以直接連線到 Azure 虛擬網路內的叢集節點。
如需了解如何在 Azure 和 VPN 之間建立連線,請參閱 站對站連線 文件(或您雲端供應商的相關文件)。
Bastion 伺服器
除了將公司網路直接連線到虛擬設定之外,下一個最佳選項是使用可公開存取的靜態 IP 位址來建立外部對向伺服器(也稱為防禦伺服器或跳躍方塊)。 Azure 在其 網路安全性最佳做法 檔中提供數個案例。 選擇最適合您環境的案例。
代理節點
您可以設定叢集中的其中一個節點作為 Proxy,以便與 Azure CycleCloud 通訊,而不是使用專用堡壘伺服器。 若要使用此選項,請將公用子網設定為自動指派公用IP位址。
[cluster htcondor]
[[node proxy]]
# this attribute configures the node to act as a proxy
IsReturnProxy = true
credentials = cloud
MachineType = Standard_A1
# this is the public subnet
subnetid = /ResourceGroupName/VnetName/PublicSubnetName
ImageName = cycle.image.centos7
[[node private]]
# this is the private subnet
subnetid = /ResourceGroupName/VnetName/PrivatebnetName
proxy 此叢集範本中的節點只會代理從節點到 CycleCloud 的通訊。 它不會對較大的因特網進行 Proxy 通訊。