Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel erläutert die Voraussetzungen, die mittels Konfiguration hergestellt werden müssen, bevor Sie ein Azure Managed Lustre-Dateisystem erstellen.
Netzwerkvoraussetzungen
Sie stellen das virtuelle Netzwerk und das Subnetz für das azure Managed Lustre-Netzwerk bereit. Dadurch erhalten Sie die vollständige Kontrolle darüber, welche Netzwerksicherheitsmaßnahmen Sie anwenden möchten, einschließlich der Berechnung und anderer Dienste, die auf Azure Managed Lustre zugreifen können. Stellen Sie sicher, dass Sie die Netzwerk- und Sicherheitsrichtlinien befolgen, die für Azure Managed Lustre bereitgestellt werden. Umfassen das Zulassen erforderlicher Verbindungen für wichtige Dienste wie das Lustre-Protokoll, technische und Diagnoseunterstützung, Azure Blob Storage und Sicherheitsüberwachung. Wenn Ihre Netzwerkeinstellungen einen der wesentlichen Dienste deaktivieren, führt sie zu einer beeinträchtigten Produkterfahrung oder reduziert die Supportfähigkeiten von Microsoft.
Sie können ein Dateisystem nach dem Erstellen nicht aus einem Netzwerk oder Subnetz in ein anderes verschieben.
Azure Managed Lustre akzeptiert nur IPv4-Adressen. ICv6 wird nicht unterstützt.
Anforderungen an die Netzwerkgröße
Die erforderliche Größe des Subnetzes hängt von der Größe des zu erstellenden Dateisystems ab. Die folgende Tabelle enthält eine grobe Schätzung der mindestens erforderlichen Subnetzgröße für Azure Managed Lustre-Dateisysteme unterschiedlicher Größen.
| Speicherkapazität | Empfohlener CIDR-Präfixwert |
|---|---|
| 4 TiB bis 16 TiB | /27 oder größer |
| 20 TiB bis 40 TiB | /26 oder größer |
| 44 TiB bis 92 TiB | /25 oder größer |
| 96 TiB bis 196 TiB | /24 oder größer |
| 200 TiB bis 400 TiB | /23 oder größer |
Weitere Überlegungen zur Netzwerkgröße
Wenn Sie das virtuelle Netzwerk und das Subnetz planen, müssen Sie die Anforderungen der anderen Dienste berücksichtigen, die im Azure Managed Lustre-Subnetz oder im virtuellen Azure Managed Lustre-Netzwerk platziert werden sollen.
Wenn Sie einen Azure Kubernetes Service (AKS)-Cluster mit dem Azure Managed Lustre-Dateisystem verwenden, kann der AKS-Cluster in demselben Subnetz wie das Dateisystem platziert werden. In diesem Fall müssen Sie ergänzend zum Adressraum für das Lustre-Dateisystem genügend IP-Adressen für die AKS-Knoten und -Pods bereitstellen. Wenn Sie mehr als einen AKS-Cluster im virtuellen Netzwerk verwenden, muss die Kapazität des virtuellen Netzwerks für alle Ressourcen in allen Clustern ausreichen. Weitere Informationen zu Netzwerkstrategien für Azure Managed Lustre und AKS finden Sie unter AKS-Subnetzzugriff.
Wenn Sie beabsichtigen, die Compute-VMs in demselben virtuellen Netzwerk zu hosten, ermitteln Sie die Anforderungen für diesen Prozess, bevor Sie das virtuelle Netzwerk und das Subnetz für das Azure Managed Lustre-System erstellen. Bei der Planung mehrerer Cluster in einem Subnetz muss ein Adressraum verwendet werden, dessen Größe für die Anforderungen aller Cluster insgesamt ausreicht.
Subnetzzugriff und Berechtigungen
Standardmäßig müssen für die Aktivierung von Azure Managed Lustre keine spezifischen Änderungen vorgenommen werden. Wenn Ihre Umgebung eingeschränkte Netzwerk- oder Sicherheitsrichtlinien enthält, muss Folgendes berücksichtigt werden:
| Zugriffstyp | Erforderliche Netzwerkeinstellungen |
|---|---|
| DNS-Zugriff | Standard: Verwenden Sie den azurebasierten DNS-Server. Erweitert: Richtlinien für die Konfiguration mit einem benutzerdefinierten DNS-Server. |
| Zugriff zwischen Hosts im Azure Managed Lustre-Subnetz | Gestatten Sie den Zugriff auf ein- und ausgehenden Datenverkehr zwischen Hosts im Azure Managed Lustre-Subnetz. Für die Clusterbereitstellung ist beispielsweise Zugriff auf TCP-Port 22 (SSH) erforderlich. |
| Zugriff auf den Azure-Clouddienst | Konfigurieren Sie Ihre Netzwerksicherheitsgruppe, damit das Azure Managed Lustre-Dateisystem über das Azure Managed Lustre-Subnetz auf Azure-Clouddienste zugreifen kann. Fügen Sie eine Sicherheitsregel für ausgehenden Datenverkehr mit folgenden Eigenschaften hinzu: - Port: Beliebig - Protokoll: Beliebig - Quelle: Virtuelles Netzwerk - Ziel: Diensttag „AzureCloud“ - Aktion: Zulassen Hinweis: Durch das Konfigurieren des Azure-Clouddiensts wird auch die erforderliche Konfiguration des Azure-Warteschlangendiensts aktiviert. Weitere Informationen finden Sie unter Diensttags für virtuelle Netzwerke. |
| Lustre-Zugriff (TCP-Ports 988, 1019-1023) |
Ihre Netzwerksicherheitsgruppe muss eingehenden und ausgehenden Datenverkehr für TCP-Port 988 und TCP-Portbereich 1019-1023 zulassen. Diese Regeln müssen zwischen Hosts im Azure Managed Lustre-Subnetz und zwischen allen Client-Subnetzen und dem Azure Managed Lustre-Subnetz zulässig sein. Andere Dienste dürfen diese Ports in den Lustre-Clients weder reservieren noch nutzen. Die Standardregeln 65000 AllowVnetInBound und 65000 AllowVnetOutBound erfüllen diese Anforderung. |
Eine ausführliche Anleitung zum Konfigurieren einer Netzwerksicherheitsgruppe für Azure Managed Lustre-Dateisysteme finden Sie unter Erstellen und Konfigurieren einer Netzwerksicherheitsgruppe.
Bekannte Einschränkungen
Die folgenden bekannten Einschränkungen gelten für die virtuellen Netzwerkeinstellungen für Azure Managed Lustre-Dateisysteme:
- Azure Managed Lustre- und Azure NetApp Files-Ressourcen können nicht gemeinsam ein Subnetz nutzen. Wenn Sie den Dienst Azure NetApp Files verwenden, müssen Sie das Azure Managed Lustre-Dateisystem in einem separaten Subnetz erstellen. Die Bereitstellung schlägt fehl, wenn Sie versuchen, ein Azure Managed Lustre-Dateisystem in einem Subnetz zu erstellen, das Azure NetApp Files-Ressourcen enthält oder enthalten ist.
- Wenn Sie den Daemon
ypbindauf Clients zum Verwalten der Bindungsdaten für Network Information Services (NIS) verwenden, darfypbindnicht Port 988 reservieren. Sie können die vonypbindreservierten Ports entweder manuell anpassen oder müssen sicherstellen, dass die Systemstartinfrastruktur die Lustre-Clientbereitstellung vorypbindstartet.
Note
Nach der Erstellung des Azure Managed Lustre-Dateisystems enthält die Ressourcengruppe des Dateisystems mehrere neue Netzwerkschnittstellen. Deren Namen beginnen mit amlfs- und enden mit -snic. Ändern Sie keine Einstellungen dieser Schnittstellen. Lassen Sie insbesondere den Standardwert Aktiviert für die Einstellung Beschleunigter Netzwerkbetrieb unverändert. Wenn Sie den beschleunigten Netzwerkbetrieb für diese Netzwerkschnittstellen deaktivieren, wird die Leistung des Dateisystems beeinträchtigt.
Voraussetzungen für die Blobintegration (optional)
Wenn Sie das Azure Managed Lustre-Dateisystem und Azure Blob Storage integrieren möchten, müssen vor der Erstellung des Dateisystems die folgenden Voraussetzungen hergestellt werden.
Weitere Informationen zur Blobintegration finden Sie unter Verwenden von Azure Blob Storage mit einem Azure Managed Lustre-Dateisystem.
Azure Managed Lustre arbeitet mit Speicherkonten, die einen aktivierten hierarchischen Namespace haben, und mit Speicherkonten mit einem nicht-hierarchischen oder flachen Namespace. Die folgenden geringfügigen Unterschiede anwenden:
- Für ein Speicherkonto mit hierarchischem Namespace aktiviert, liest Azure Managed Lustre POSIX-Attribute aus dem Blob-Header.
- Für ein Speicherkonto, das nicht über einen aktivierten hierarchischen Namespace verfügt, liest Azure Managed Lustre POSIX-Attribute aus den Blob-Metadaten. Eine separate, leere Datei mit dem gleichen Namen wie der Inhalt Ihres Blob-Containers wird erstellt, um die Metadaten zu halten. Diese Datei ist ein Geschwister des aktuellen Datenverzeichnisses im verwalteten Azure Lustre-Dateisystem.
Um Azure Blob Storage und das Azure Managed Lustre-Dateisystem integrieren zu können, müssen Sie die folgenden Ressourcen vor der Erstellung des Dateisystems erstellen oder konfigurieren:
Speicherkonto
Sie müssen ein Speicherkonto erstellen oder ein vorhandenes auswählen. Das Speicherkonto muss folgende Einstellungen aufweisen:
- Kontotyp: ein kompatibler Speicherkontotyp. Weitere Informationen finden Sie unter Unterstützte Speicherkontotypen.
- Zugriffsrollen: Rollenzuweisungen, die dem Azure Managed Lustre-System das Ändern von Daten gestatten. Weitere Informationen finden Sie unter Erforderliche Zugriffsrollen.
- Zugriffsschlüssel: Für das Speicherkonto muss die Zugriffseinstellung für den Speicherkontoschlüssel Aktiviert lauten.
- Subnetzzugriff – Auf das Speicherkonto muss über das Azure Managed Lustre-Subnetz zugegriffen werden kann. Weitere Informationen finden Sie unter "Aktivieren des Subnetzzugriffs".
Unterstützte Speicherkontotypen
Folgende Speicherkontotypen können mit Azure Managed Lustre-Dateisystemen verwendet werden:
| Speicherkontotyp | Redundancy |
|---|---|
| Standard | Lokal redundanter Speicher (LRS) oder georedundanter Speicher (GRS) Zonenredundanter Speicher (ZRS), georedundanter Speicher mit Lesezugriff (RAGRS), georedundanter Speicher (GZRS), geozonenredundanter Speicher mit Lesezugriff (RA-GZRS) |
| Premium – Blockblobs | LRS, ZRS |
Weitere Informationen zu Speicherkontentypen finden Sie unter Speicherkontentypen.
Zugriffsrollen für die Blobintegration
Azure Managed Lustre benötigt eine Autorisierung für den Zugriff auf das Speicherkonto. Verwenden Sie die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC), um dem Dateisystem Zugriff auf den Blobspeicher zu gewähren.
Ein Speicherkontobesitzer muss vor der Erstellung des Dateisystems folgende Rollen hinzufügen:
Important
Sie müssen diese Rollen hinzufügen, bevor Sie das Azure Managed Lustre-Dateisystem erstellen. Wenn das Dateisystem nicht auf den Blobcontainer zugreifen kann, schlägt die Dateisystemerstellung fehl. Die vor dem Erstellen des Dateisystems erfolgende Validierung kann Probleme mit Containerzugriffsrechten nicht erkennen. Es kann bis zu fünf Minuten dauern, bevor die Rolleneinstellungen in der Azure-Umgebung verfügbar sind.
Führen Sie die folgenden Schritte durch, um die Rollen für den Dienstprinzipal HPC Cache-Ressourcenanbieter hinzuzufügen:
- Navigieren Sie zum Speicherkonto, und wählen Sie im linken Navigationsbereich die Option Zugriffssteuerung (IAM) aus.
- Wählen Sie Hinzufügen>Hinzufügen role assignment , um die Seite Hinzufügen role assignment zu öffnen.
- Weisen Sie die Rolle zu.
- Fügen Sie dieser Rolle HPC Cache-Ressourcenanbieter hinzu.
Tip
Wenn Sie den HPC Cache-Ressourcenanbieter nicht finden, suchen Sie stattdessen nach storagecache. storagecache-Ressourcenanbieter lautete der Name des Dienstprinzipals, bevor das Produkt allgemein verfügbar gemacht wurde.
- Wiederholen Sie die Schritte 3 und 4 für jede hinzuzufügende Rolle.
Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
Aktivieren des Subnetzzugriffs
Konfigurieren Sie den Netzwerkzugriff des Speicherkontos, um den öffentlichen Zugriff von allen Netzwerken oder aus dem Subnetz zu ermöglichen, das mit dem Azure Managed Lustre-System konfiguriert ist. Wenn Sie den öffentlichen Zugriff auf das Speicherkonto (private Endpunkte) deaktivieren möchten, lesen Sie private Endpunkte.
Führen Sie die folgenden Schritte aus, um den Speicherkontozugriff über das Azure Managed Lustre-Subnetz zu aktivieren:
- Navigieren Sie in Ihrem Speicherkonto, und erweitern Sie "Sicherheit + Netzwerk " im linken Navigationsbereich.
- Wählen Sie "Netzwerk" aus.
- Klicken Sie unter „Öffentlicher Netzwerkzugriff“ auf das Optionsfeld Öffentlichen Zugriff mit ausgewählten virtuellen Netzwerken und IP-Adressen aktivieren (empfohlen) oder Öffentlichen Zugriff aus allen Netzwerken aktivieren. Wenn Sie den öffentlichen Zugriff aus ausgewählten virtuellen Netzwerken und IP-Adressen aktivieren, fahren Sie mit den nachstehenden Schritten fort. Wenn Sie den öffentlichen Zugriff über alle Netzwerke aktivieren, springen Sie zum letzten Schritt unten zum Speichern.
- Klicken Sie unter "Virtuelle Netzwerke " auf "Vorhandenes virtuelles Netzwerk hinzufügen".
- Wählen Sie auf der rechten Seite die virtuellen Netzwerke und Subnetze aus, die von Azure Managed Lustre verwendet werden.
- Klicken Sie auf Aktivieren.
- Klicken Sie oben links auf "Speichern".
BLOB-Container
Sie benötigen im betreffenden Speicherkonto zwei separate Blobcontainer, die folgenden Zwecken dienen:
- Datencontainer: Ein Blobcontainer im Speicherkonto, der die im Azure Managed Lustre-Dateisystem zu verwendenden Dateien enthält.
- Protokollierungscontainer: Ein zweiter Container für die Import-/Exportprotokolle des Speicherkontos. Die Protokolle müssen in einem anderen Container als dem Datencontainer gespeichert werden.
Note
Dateien können dem Dateisystem später von den Clients hinzugefügt werden. Dateien, die dem ursprünglichen BLOB-Container hinzugefügt wurden, nachdem Sie das Dateisystem erstellt haben, werden jedoch nicht in das Azure Managed Lustre-Dateisystem importiert, es sei denn, Sie erstellen einen Importauftrag.
Private Endpunkte (optional)
Wenn Sie einen privaten Endpunkt mit der Blobeinrichtung verwenden, müssen Sie die Einstellung Mit privater DNS-Zone integrieren für private Endpunkte bei der Erstellung eines neuen Endpunkts aktivieren, damit Azure Managed Lustre den SA-Namen auflösen kann
- Mit privater DNS-Zone integrieren: Der Wert muss Ja sein.
