Gestione delle identità e degli accessi di Azure per HPC nella produzione

Questo articolo si basa su considerazioni e raccomandazioni descritte nell'articolo Progettazione della gestione delle identità e degli accessi di Azure. Può essere utile esaminare le considerazioni di progettazione per la gestione delle identità e degli accessi specifiche per la distribuzione, in Azure, di applicazioni HPC progettate per il settore manifatturiero.

Microsoft Entra Domain Services (Microsoft Entra Domain Services ) fornisce servizi di dominio gestiti come l'aggiunta a un dominio e Criteri di gruppo. Fornisce anche l'accesso ai protocolli di autenticazione legacy come LDAP (Lightweight Directory Access Protocol) e l'autenticazione Kerberos/NTLM. Microsoft Entra Domain Services si integra con il tenant Microsoft Entra esistente. Questa integrazione consente agli utenti di accedere a servizi e applicazioni connessi al dominio gestito usando le credenziali esistenti in Microsoft Entra ID. È anche possibile usare gruppi e account utente esistenti per proteggere l'accesso alle risorse. Queste funzionalità offrono un trasferimento in modalità lift-and-shift più semplice delle risorse locali in Azure, in particolare per gli ambienti ibridi.

Per altre informazioni, vedere Consigli di progettazione per l'accesso alla piattaforma e l'identità e l'accesso di Azure per le zone di destinazione.

Considerazioni sulla progettazione HPC

A seconda dell'agente di orchestrazione delle risorse di calcolo HPC usato, sono supportati vari metodi di autenticazione, come descritto di seguito.

  • Azure CycleCloud. CycleCloud offre tre metodi di autenticazione: un database predefinito con crittografia, Active Directory e LDAP.
  • Azure Batch. L'accesso all'account Batch supporta due metodi di autenticazione: Chiave condivisa e ID Microsoft Entra.
  • HPC Pack. Attualmente, tutti i nodi HPC Pack devono essere aggiunti a un dominio di Active Directory. Se si distribuisce il cluster HPC Pack in una rete virtuale con una CONNESSIONE VPN da sito a sito o Azure ExpressRoute alla rete aziendale (e le regole del firewall consentono l'accesso ai controller di dominio di Active Directory), in genere esiste già un dominio di Active Directory. Se non si ha un dominio di Active Directory nella rete virtuale, è possibile sceglierne uno promuovendo il nodo head come controller di dominio. Un'altra opzione consiste nell'usare Microsoft Entra Domain Services per consentire ai nodi HPC Pack di essere aggiunti a questo servizio e Active Directory locale controller di dominio. Se i nodi head verranno distribuiti in Azure, è importante determinare se gli utenti remoti in locale inviano processi. Se gli utenti remoti inviano processi, è consigliabile usare Active Directory perché ciò consentirà una migliore esperienza e consente l'uso corretto dei certificati per l'autenticazione. In caso contrario, se Active Directory non viene utilizzato e viene usato Microsoft Entra Domain Services, i client remoti dovranno usare il servizio API REST per inviare processi.

Il diagramma seguente illustra un'architettura di riferimento per la produzione che usa CycleCloud:

Diagram that shows a manufacturing reference architecture, which uses Azure CycleCloud.

Questo diagramma illustra un'architettura di produzione che usa Batch:

Diagram that shows a manufacturing reference architecture, which uses Azure Batch.

Passaggi successivi

Gli articoli seguenti forniscono indicazioni utili in vari punti durante il processo di adozione del cloud. Possono essere utili per avere successo nello scenario di adozione del cloud per gli ambienti HPC di produzione.