Поделиться через

Использование частных конечных точек с учетными записями службы Azure Batch

По умолчанию учетные записи пакетной службы Azure имеют общедоступные конечные точки и общедоступны. Пакетная служба предоставляет возможность создавать частную конечную точку для учетных записей пакетной службы, позволяя частной сети получать доступ к пакетной службе.

С помощью Приватного канала Azure можно подключиться к учетной записи пакетной службы Azure через частную конечную точку. Частная конечная точка — это набор частных IP-адресов в подсети в виртуальной сети. Затем можно ограничить доступ к учетной записи пакетной службы Azure через частные IP-адреса.

Приватный канал позволяет пользователям получать доступ к учетной записи пакетной службы Azure из виртуальной сети или из любой одноранговой виртуальной сети. Ресурсы, сопоставленные с Private Link, также доступны на локальной сети через частный пиринг с использованием VPN или Azure ExpressRoute. Вы можете подключиться к учетной записи пакетной службы Azure, настроенной с помощью приватного канала, с помощью автоматического или ручного метода утверждения.

В этой статье описываются шаги по созданию частной конечной точки для доступа к конечным точкам Batch акаунта.

Вложенные ресурсы частной конечной точки, поддерживаемые для учетной записи пакетной службы

Ресурс учетной записи Batch имеет две конечные точки, совместимые с приватными конечными точками.

  • Конечная точка учетной записи (вложенный ресурс: batchAccount): эта конечная точка используется для доступа к REST API пакетной службы (плоскости данных), например управлению пулами, вычислительными узлами, заданиями, задачами и т. д.

  • Конечная точка управления узлами (вложенный ресурс: nodeManagement): используется узлами пула Batch для доступа к службе управления узлами Batch. Эта конечная точка применима только при использовании упрощенного взаимодействия с вычислительным узлом.

Схема, на которой показаны подресурсы для частных конечных точек Batch.

Подсказка

Вы можете создать частную конечную точку для одной из них или обеих в вашей виртуальной сети, в зависимости от фактического использования учетной записи Batch. Например, если вы запускаете пул пакетной службы в виртуальной сети, но вызываете REST API пакетной службы из другого места, вам потребуется только создать частную конечную точку nodeManagement в виртуальной сети.

Портал Azure

Выполните следующие действия, чтобы создать частную конечную точку с учетной записью Batch в портале Azure:

  1. Перейдите к учетной записи Batch в портале Azure.
  2. В разделе "Параметры" выберите "Сеть" и перейдите на вкладку "Закрытый доступ". Затем выберите +Частная конечная точка. Снимок экрана: подключения к частной конечной точке.
  3. В области "Основные сведения" введите или выберите подписку, группу ресурсов, имя ресурса частной конечной точки и сведения о регионе, а затем нажмите кнопку "Далее: Ресурс". Снимок экрана: создание частной конечной точки — область
  4. В области ресурсов задайте тип ресурсаMicrosoft.Batch/batchAccounts. Выберите учетную запись пакетной службы, к которой вы хотите получить доступ, выберите целевой вложенный ресурс, а затем нажмите кнопку "Далее: Конфигурация". Снимок экрана: создание частной конечной точки — область ресурсов.
  5. В области конфигурации введите или выберите следующие сведения:
    • Для параметра Виртуальная сеть выберите свою виртуальную сеть.
    • Для Подсеть выберите вашу подсеть.
    • Для конфигурации частного IP-адреса выберите динамически выделенный IP-адрес по умолчанию.
    • Для параметра Интеграция с частной зоной DNS выберите Да. Для частного подключения к частной конечной точке требуется запись DNS. Рекомендуется интегрировать частную конечную точку с частной зоной DNS. Вы также можете использовать собственные DNS-серверы или создавать записи DNS с помощью файлов узлов на виртуальных машинах.
    • Для частной зоны DNS выберите privatelink.batch.azure.com. Частная зона DNS определяется автоматически. Этот параметр нельзя изменить с помощью портала Azure.

Это важно

  1. Выберите "Проверить и создать", а затем дождитесь проверки конфигурации Azure.
  2. При появлении сообщения Проверка пройдена нажмите кнопку Создать.

Подсказка

Вы также можете создать частную конечную точку из Центра частных подключений на портале Azure или создать новый ресурс, выполнив поиск частная конечная точка.

Использование частной конечной точки

После создания частной конечной точки можно получить доступ к учетной записи Batch с помощью частного IP-адреса в виртуальной сети.

  • Частная точка подключения для batchAccount: может получить доступ к плоскости данных учетной записи пакетной службы для управления пулами, заданиями и задачами.

  • Частная конечная точка для nodeManagement: вычислительные узлы пула Batch могут подключаться к службе управления узлами Batch и управляться ею.

Подсказка

Рекомендуется также отключить доступ к общедоступной сети с учетной записью пакетной службы при использовании частных конечных точек, что ограничивает доступ только к частной сети.

Это важно

Если доступ к общедоступной сети отключен с помощью учетной записи пакетной службы, выполнение операций учетной записи (например, пулов, заданий) за пределами виртуальной сети, в которой подготовлена частная конечная точка, приведет к возникновению сообщения "AuthorizationFailure" для учетной записи пакетной службы на портале Azure.

Чтобы просмотреть IP-адреса для частной конечной точки на портале Azure, выполните следующие действия.

  1. Выберите все ресурсы.
  2. Найдите частную конечную точку, созданную ранее.
  3. Перейдите на вкладку "Конфигурация DNS ", чтобы просмотреть параметры DNS и IP-адреса.

Параметры DNS частной конечной точки и IP-адреса

Настройка зон DNS

Используйте частную зону DNS в подсети, в которой вы создали частную конечную точку. Настройте конечные точки таким образом, чтобы каждый частный IP-адрес был сопоставлен с записью DNS.

При создании частной конечной точки вы можете интегрировать ее с частной зоной DNS в Azure. Если вы решили использовать личный домен, необходимо настроить его для добавления записей DNS для всех частных IP-адресов, зарезервированных для частной конечной точки.

Миграция с существующими частными конечными точками Batch учетной записи

При введении нового дочернего ресурса nodeManagement для управления узлами через частную конечную точку, частная зона DNS по умолчанию для учетной записи Batch упрощается с privatelink.<region>.batch.azure.com до privatelink.batch.azure.com. Чтобы обеспечить обратную совместимость с ранее используемой частной зоной DNS, для учетной записи пакетной службы с любой утвержденной частной конечной точкой batchAccount, сопоставления DNS CNAME учетной записи содержат обе зоны (с предыдущей зоной, указанной первой), например:

myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>

Продолжить использование предыдущей частной зоны DNS

Если вы уже использовали предыдущую зону privatelink.<region>.batch.azure.com DNS с виртуальной сетью, ее следует продолжать использовать для существующих и новых частных конечных точек batchAccount , и никаких действий не требуется.

Это важно

При существующем использовании предыдущей частной зоны DNS продолжайте использовать ее даже с недавно созданными частными конечными точками. Не используйте новую зону с решением интеграции DNS, пока не сможете перейти в новую зону.

Создание частной конечной точки batchAccount с интеграцией DNS на портале Azure

Если создать частную конечную точку batchAccount вручную с помощью портала Azure с включенной автоматической интеграцией DNS, она будет использовать новую частную зону privatelink.batch.azure.com DNS для интеграции DNS: создайте частную зону DNS, свяжите ее с виртуальной сетью и настройте запись DNS A в зоне для частной конечной точки.

Однако, если ваша виртуальная сеть уже связана с предыдущей частной зоной privatelink.<region>.batch.azure.com, это нарушит разрешение DNS для учетной записи в пакетной службе вашей виртуальной сети. Это происходит потому, что запись DNS типа A для новой частной конечной точки добавляется в новую зону, но для поддержки обратной совместимости разрешение DNS сначала проверяет предыдущую зону.

Эту проблему можно устранить с помощью следующих параметров:

  • Если вам больше не нужна предыдущая частная зона DNS, отмените связь с виртуальной сетью. Дополнительные действия не требуются.

  • В противном случае после создания новой частной конечной точки:

    1. Убедитесь, что автоматическая частная интеграция DNS содержит запись DNS A, созданную в новой частной зоне privatelink.batch.azure.comDNS. Например: myaccount.<region> A <IPv4 address>.

    2. Перейдите к предыдущей частной зоне privatelink.<region>.batch.azure.comDNS.

    3. Вручную добавьте запись DNS CNAME. Например: myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Это важно

Это устранение рисков вручную необходимо только при создании новой частной конечной точки batchAccount с частной интеграцией DNS в той же виртуальной сети, которая уже связана с предыдущей частной зоной DNS.

Перенос предыдущей частной зоны DNS в новую зону

Хотя вы можете использовать предыдущую частную зону DNS с существующим процессом развертывания, рекомендуется перенести ее в новую зону для простоты управления конфигурацией DNS:

  • При использовании новой частной зоны privatelink.batch.azure.comDNS вам не нужно настраивать разные зоны для каждого региона с помощью учетных записей пакетной службы.
  • При запуске использования новой частной конечной точки nodeManagement, которая также использует новую частную зону DNS, вам потребуется только управлять одной частной зоной DNS для обоих типов частных конечных точек.

Чтобы перенести предыдущую частную зону DNS, выполните следующие действия.

  1. Создайте и свяжите новую частную зону privatelink.batch.azure.com DNS с виртуальной сетью.
  2. Скопируйте все записи DNS A из предыдущей частной зоны DNS в новую зону:
From zone "privatelink.<region>.batch.azure.com":
    myaccount  A <ip>
To zone "privatelink.batch.azure.com":
    myaccount.<region>  A <ip>
  1. Отсоедините предыдущую частную зону DNS от вашей виртуальной сети.
  2. Проверьте разрешение DNS в виртуальной сети, и DNS-имя учетной записи Batch должно продолжать разрешаться в IP-адрес частной конечной точки.
nslookup myaccount.<region>.batch.azure.com
  1. Начните использовать новую частную зону DNS в процессе развертывания для новых частных конечных точек.
  2. Удалите предыдущую частную зону DNS после завершения миграции.

Pricing

Дополнительные сведения о затратах, связанных с частными конечными точками, см. в разделе о ценах на Приватный канал Azure.

Текущие ограничения и рекомендации

При создании частной конечной точки для вашего аккаунта Batch помните следующее:

  • Объекты частной конечной точки можно создавать в разных подписках, чем учетная запись Batch, но подписка должна быть зарегистрирована у поставщика ресурсов Microsoft.Batch.
  • Перемещение ресурсов не поддерживается для частных конечных точек с Batch учетными записями.
  • Если ресурс учетной записи пакетной службы перемещается в другую группу ресурсов или подписку, частные конечные точки по-прежнему могут работать, но связь с учетной записью пакетной службы прерывается. Если удалить ресурс частной конечной точки, то подключение к связанной частной конечной точке всё ещё останется в вашем аккаунте Batch. Вы можете вручную удалить подключение из вашей учетной записи Batch.
  • Чтобы удалить частное подключение, удалите ресурс частной конечной точки или удалите частное подключение в учетной записи пакетной службы (это действие отключает связанный ресурс частной конечной точки).
  • Записи DNS в частной зоне DNS не удаляются автоматически при удалении подключения частной конечной точки из учетной записи Azure Batch. Перед добавлением новой частной конечной точки, связанной с этой частной зоной DNS, необходимо вручную удалить записи DNS. Если вы не очищаете записи DNS, могут возникнуть непредвиденные проблемы с доступом.
  • Если для учетной записи пакетной службы включена частная конечная точка, маркер проверки подлинности задачи пакетной службы не поддерживается. Решением является использование Batch-пула с управляемыми удостоверениями.

Дальнейшие шаги

  • Last updated on