Поделиться через

Создайте пул Batch без общедоступных IP-адресов (предварительная версия)

  • Статья

Предупреждение

Эта предварительная версия будет прекращена 31 марта 2023 г. и будет заменена пулом обмена данными с упрощенным узлом без общедоступных IP-адресов. Дополнительные сведения см. в руководстве по миграции на пенсию.

Это важно

  • Поддержка пулов без общедоступных IP-адресов в пакетной службе Azure в настоящее время доступна в общедоступной предварительной версии для следующих регионов: Центральная Франция, Восточная Азия, Западно-Центральный США, Южно-Центральный США, Запад США 2, Восток США, Северная Европа, Восток США 2, Центральный США, Западная Европа, Северо-Центральный США, Запад США, Восточная Австралия, Восточная Япония, Западная Япония.
  • Эта предварительная версия предоставляется без соглашения об уровне обслуживания и не рекомендована для использования в производственной среде. Некоторые функции могут не поддерживаться или их возможности могут быть ограничены.
  • Дополнительные сведения см. в дополнительных условиях использования для предварительных версий Microsoft Azure.

При создании пула пакетной службы Azure можно подготовить пул конфигурации виртуальных машин без общедоступного IP-адреса. В этой статье объясняется, как создать пул Batch без публичных IP-адресов.

Зачем использовать пул без общедоступных IP-адресов?

По умолчанию всем вычислительным узлам в пуле конфигурации виртуальных машин пакетной службы Azure назначается общедоступный IP-адрес. Этот адрес используется пакетной службой для планирования задач и взаимодействия с вычислительными узлами, включая исходящий доступ к Интернету.

Чтобы ограничить доступ к этим узлам и уменьшить возможность обнаружения этих узлов из Интернета, вы можете подготовить пул без общедоступных IP-адресов.

Предпосылки

  • Проверка подлинности. Чтобы использовать пул без общедоступных IP-адресов в виртуальной сети, клиентское API Batch должно использовать аутентификацию Microsoft Entra. Поддержка пакетной службы Azure для идентификатора Microsoft Entra задокументирована в службе проверки подлинности пакетной службы Azure с помощью идентификатора Microsoft Entra. Если вы не создаете пул в виртуальной сети, можно использовать проверку подлинности Microsoft Entra или проверку подлинности на основе ключей.

  • Виртуальная сеть Azure. Если вы создаете пул в виртуальной сети, следуйте этим требованиям и конфигурациям. Чтобы подготовить виртуальную сеть с одной или несколькими подсетями заранее, можно использовать портал Azure, Azure PowerShell, Azure CLI или другие методы.

    • Виртуальная сеть должна находиться в той же подписке и регионе, что и учетная запись Batch, используемая для создания пула.

    • Количество виртуальных машин, запланированных для пула, должно быть размещено в указанной подсети, которая должна иметь достаточно неназначенных IP-адресов; то есть, сумма свойств targetDedicatedNodes и targetLowPriorityNodes пула. Если в подсети недостаточно свободных IP-адресов, пул выделяет вычислительные узлы частично, что приводит к ошибке изменения размера.

    • Необходимо отключить службу Private Link и сетевые политики конечной точки. Это действие можно выполнить с помощью Azure CLI:

      az network vnet subnet update --vnet-name <vnetname> -n <subnetname> --resource-group <resourcegroup> --disable-private-endpoint-network-policies --disable-private-link-service-network-policies

Это важно

Для каждого 100 выделенных или точечных узлов пакетная служба выделяет одну службу приватного канала и одну подсистему балансировки нагрузки. Эти ресурсы ограничены квотами ресурсов подписки. Для больших пулов может потребоваться запросить увеличение квоты для одного или нескольких этих ресурсов. Кроме того, блокировки ресурсов не должны применяться к любому ресурсу, созданному пакетной службой, так как это предотвращает очистку ресурсов в результате действий, инициированных пользователем, таких как удаление пула или изменение размера до нуля.

Текущие ограничения

  1. Пулы без общедоступных IP-адресов должны использовать конфигурацию виртуальной машины, а не конфигурацию облачных служб.
  2. Конфигурация пользовательской конечной точки для Batch вычислительных узлов не работает с пулами без общедоступных IP-адресов.
  3. Так как общедоступных IP-адресов нет, вы не можете использовать собственные общедоступные IP-адреса с этим типом пула.
  4. Базовый размер виртуальной машины не работает с пулами без общедоступных IP-адресов.

Создание пула без общедоступных IP-адресов на портале Azure

  1. Перейдите к учетной записи Batch на портале Azure.
  2. В окне "Параметры " слева выберите "Пулы".
  3. В окне пулы выберите Добавить.
  4. В окне "Добавить пул" выберите параметр, который вы планируете использовать в раскрывающемся списке "Тип изображения ".
  5. Выберите правильный издатель, предложение или номер Sku изображения.
  6. Укажите оставшиеся необходимые параметры, включая размер узла, выделенные узлы целевого объекта и узлы с низким приоритетом и любые необходимые необязательные параметры.
  7. При необходимости выберите виртуальную сеть и подсеть, которую вы хотите использовать. Эта виртуальная сеть должна находиться в той же группе ресурсов, что и для создаваемого пула.
  8. В типе подготовки IP-адресов выберите NoPublicIPAddresses.

Снимок экрана: экран добавления пула с выбранным параметром NoPublicIPAddresses.

Используйте пакетный REST API для создания пула без общедоступных IP-адресов.

В приведенном ниже примере показано, как использовать REST API пакетной службы для создания пула, использующего общедоступные IP-адреса.

URI REST API (универсальный код ресурса)

POST {batchURL}/pools?api-version=2020-03-01.11.0
client-request-id: 00000000-0000-0000-0000-000000000000

Основное содержание запроса

"pool": {
     "id": "pool2",
     "vmSize": "standard_a1",
     "virtualMachineConfiguration": {
          "imageReference": {
               "publisher": "Canonical",
               "offer": "UbuntuServer",
               "sku": "20.04-lts"
          },
          "nodeAgentSKUId": "batch.node.ubuntu 20.04"
     }
     "networkConfiguration": {
          "subnetId": "/subscriptions/<your_subscription_id>/resourceGroups/<your_resource_group>/providers/Microsoft.Network/virtualNetworks/<your_vnet_name>/subnets/<your_subnet_name>",
          "publicIPAddressConfiguration": {
               "provision": "NoPublicIPAddresses"
          }
     },
     "resizeTimeout": "PT15M",
     "targetDedicatedNodes": 5,
     "targetLowPriorityNodes": 0,
     "taskSlotsPerNode": 3,
     "taskSchedulingPolicy": {
          "nodeFillType": "spread"
     },
     "enableAutoScale": false,
     "enableInterNodeCommunication": true,
     "metadata": [
          {
               "name": "myproperty",
               "value": "myvalue"
          }
     ]
}

Это важно

Этот документ ссылается на версию выпуска Linux, которая приближается или находится в конце жизни(EOL). Пожалуйста, рассмотрите возможность обновления до более текущей версии.

Исходящий доступ к Интернету

В пуле без общедоступных IP-адресов виртуальные машины не смогут получить доступ к общедоступному Интернету, если вы не настроите настройку сети соответствующим образом, например с помощью NAT виртуальной сети. NAT разрешает только исходящий доступ к Интернету из виртуальных машин в виртуальной сети. Созданные пакетом вычислительные узлы не будут общедоступными, так как у них нет общедоступных IP-адресов.

Другим способом обеспечения исходящего подключения является использование определяемого пользователем маршрута (UDR). Этот метод позволяет направлять трафик на прокси-компьютер с общедоступным доступом к Интернету.

Дальнейшие шаги