HPC Pack 群集中 Azure 资源的访问控制

如果 完全在 Azure中创建 HPC Pack 群集，或者想要 通过将 Azure IaaS VM 创建为计算节点将本地 HPC Pack 群集扩展到 Azure，则需要授予头节点（s）访问权限来管理 Azure VM 计算节点。 HPC Pack 支持两种方法来管理 Azure 资源：

• 使用证书Azure 服务主体：从 HPC Pack 2012 R2 Update 3 开始，适用于 Azure VM 头节点和本地头节点

• Azure 托管标识：从 HPC Pack 2019 开始，仅适用于 Azure VM 头节点

Azure 资源管理器对 Azure 资源使用 基于角色的访问控制（RBAC）。 根据是要创建新的 Azure IaaS 计算节点，以及是否要创建新的资源组，可以有三种方案，下面是每个方案应授予 Azure 服务主体或 Azure 托管标识的最低访问权限：

1. 如果 没有计划将新的 Azure IaaS 计算节点 添加到 HPC Pack 群集，只需管理现有的 Azure VM 计算节点。

• 要在其中创建计算节点的资源组 虚拟机参与者。

• Azure VM 计算节点加入的虚拟网络的读取器。

2. 如果要使用 HPC Pack 群集管理器在 预先创建的 资源组中创建新的 Azure IaaS 计算节点。

• 要在其中创建计算节点的资源组 虚拟机参与者。

• Azure VM 计算节点加入的虚拟网络的网络参与者。

• 创建 Azure Key Vault 证书的 Azure Key Vault 的密钥保管库参与者。

3. 如果要使用 HPC Pack 群集管理器在 新的 资源组中创建新的 Azure IaaS 计算节点。

• 在 Azure 订阅级别 参与者。