AWS ParallelCluster em uma única sub-rede sem acesso à Internet - AWS ParallelCluster

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS ParallelCluster em uma única sub-rede sem acesso à Internet

Uma sub-rede sem acesso à Internet não permite conexões de entrada ou saída com a Internet. Essa AWS ParallelCluster configuração pode ajudar os clientes preocupados com a segurança a aprimorar ainda mais a segurança de seus AWS ParallelCluster recursos. AWS ParallelCluster os nós são criados a partir AWS ParallelCluster AMIs disso, incluindo todo o software necessário para executar um cluster sem acesso à Internet. Dessa forma, é AWS ParallelCluster possível criar e gerenciar clusters com nós que não têm acesso à Internet.

Nesta seção, você aprenderá como configurar o cluster. Você também aprenderá sobre as limitações na execução de clusters sem acesso à Internet.

AWS ParallelCluster usando uma sub-rede e sem internet

Configurando endpoints de VPC

Para garantir o funcionamento adequado do cluster, os nós do cluster devem ser capazes de interagir com vários AWS serviços.

Crie e configure os seguintes VPC endpoints para que os nós do cluster possam interagir com os AWS Serviços, sem acesso à Internet:

Commercial and AWS GovCloud (US) partitions
Serviço Nome do serviço Tipo

Amazon CloudWatch

com.amazonaws. region-id.registros

Interface

AWS CloudFormation

com.amazonaws. region-id.formação em nuvem

Interface

Amazon EC2

com.amazonaws. region-id.ec2

Interface

Amazon S3

com.amazonaws. region-id.s3

Gateway

Amazon DynamoDB

com.amazonaws. region-id.dynamodb

Gateway

AWS Secrets Manager**

com.amazonaws. region-id.gerente de segredos

Interface

AWS Balanceamento de carga elástico***

com.amazonaws. region-id. balanceamento de carga elástico

Interface

AWS Dimensionamento automático***

com.amazonaws. region-id.escalonamento automático

Interface
China partition
Serviço Nome do serviço Tipo

Amazon CloudWatch

com.amazonaws. region-id.registros

Interface

AWS CloudFormation

cn.com.amazonaws. region-id.formação em nuvem

Interface

Amazon EC2

cn.com.amazonaws. region-id.ec2

Interface

Amazon S3

com.amazonaws. region-id.s3

Gateway

Amazon DynamoDB

com.amazonaws. region-id.dynamodb

Gateway

AWS Secrets Manager**

com.amazonaws. region-id.gerente de segredos

Interface

AWS Balanceamento de carga elástico***

com.amazonaws. region-id. balanceamento de carga elástico

Interface

AWS Dimensionamento automático***

cn.com.amazonaws. region-id.escalonamento automático

Interface

** Esse endpoint só é necessário quando DirectoryService está habilitado, caso contrário, é opcional.

*** Esses endpoints só são necessários quando LoginNodesestão habilitados, caso contrário, são opcionais.

Todas as instâncias na VPC devem ter grupos de segurança adequados para se comunicar com os endpoints. Você pode fazer isso adicionando grupos de segurança a AdditionalSecurityGroups via HeadNode e AdditionalSecurityGroups via configurações de SlurmQueues. Por exemplo, se os endpoints da VPC forem criados sem especificar explicitamente um grupo de segurança, o grupo de segurança padrão será associado aos endpoints. Ao adicionar o grupo de segurança padrão ao AdditionalSecurityGroups, você ativa a comunicação entre o cluster e os endpoints.

nota

Ao usar políticas do IAM para restringir o acesso aos endpoints da VPC, você deve adicionar o seguinte ao endpoint da VPC do Amazon S3:

PolicyDocument:
  Version: 2012-10-17
  Statement:
    - Effect: Allow
      Principal: "*"
      Action:
        - "s3:PutObject"
      Resource:
        - !Sub "arn:${AWS::Partition}:s3:::cloudformation-waitcondition-${AWS::Region}/*"

Desative o Route 53 e use nomes de EC2 host da Amazon

Ao criar um Slurm cluster, AWS ParallelCluster cria uma zona hospedada privada do Route 53 que é usada para resolver os nomes de host dos nós de computação personalizados, como. {queue_name}-{st|dy}-{compute_resource}-{N} Como o Route 53 não é compatível com endpoints da VPC, esse recurso deve ser desativado. Além disso, AWS ParallelCluster deve ser configurado para usar os EC2 nomes de host padrão da Amazon, comoip-1-2-3-4. Aplique as seguintes configurações à configuração do seu cluster:

...
Scheduling:
  ...
  SlurmSettings:
    Dns:
      DisableManagedDns: true
      UseEc2Hostnames: true
Atenção

Para clusters criados com SlurmSettings/Dns/DisableManagedDns e UseEc2Hostnames definidos como true, o Slurm NodeName não é resolvido pelo DNS. Em vez disso, use Slurm NodeHostName.

nota

Esta nota não é relevante a partir da AWS ParallelCluster versão 3.3.0.

Para versões AWS ParallelCluster compatíveis anteriores à 3.3.0:

Quando UseEc2Hostnames definido comotrue, o arquivo Slurm de configuração é definido com os epilog scripts AWS ParallelCluster prolog e:

  • O prolog é executado para adicionar informações sobre nós ao /etc/hosts nos nós de computação quando cada trabalho é alocado.

  • O epilog é executado para limpar o conteúdo escrito pelo prolog.

Para adicionar scripts personalizados prolog ou epilog, adicione-os às pastas /opt/slurm/etc/pcluster/prolog.d/ ou /opt/slurm/etc/pcluster/epilog.d/, respectivamente.

Configuração do cluster

Saiba como configurar seu cluster para ser executado em uma sub-rede sem conexão com a Internet.

A configuração para essa arquitetura requer as seguintes definições:

# Note that all values are only provided as examples
...
HeadNode:
  ...
  Networking:
    SubnetId: subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints
    AdditionalSecurityGroups:
      - sg-abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints
LoginNodes: # optional, if enabled, requires creation and configuration of VPC endpoints for AWS Elastic Load Balancing (ELB) and Auto Scaling services
  Pools:
    - ...
      Networking:
        SubnetIds:
          - subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints attached
        AdditionalSecurityGroups:
          - sg-1abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints
Scheduling:
  Scheduler: Slurm # Cluster in a subnet without internet access is supported only when the scheduler is Slurm.
  SlurmSettings:
    Dns:
      DisableManagedDns: true
      UseEc2Hostnames: true
  SlurmQueues:
    - ...
      Networking:
        SubnetIds:
          - subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints attached
        AdditionalSecurityGroups:
          - sg-1abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints

  • SubnetId(s): A sub-rede sem acesso à Internet.

    Para permitir a comunicação entre AWS ParallelCluster e AWS os Serviços, a VPC da sub-rede deve ter os VPC endpoints conectados. Antes de criar seu cluster, verifique se a atribuição automática de IPv4 endereço público está desativada na sub-rede para garantir que os pcluster comandos tenham acesso ao cluster.

  • AdditionalSecurityGroups: o grupo de segurança que permite a comunicação entre o cluster e os endpoints da VPC.

    Opcional:

    • Se os endpoints da VPC forem criados sem especificar explicitamente um grupo de segurança, o grupo de segurança padrão da VPC será associado. Portanto, forneça o grupo de segurança padrão em AdditionalSecurityGroups.

    • Se grupos de segurança personalizados forem usados ao criar o cluster, and/or os VPC endpoints serão desnecessários, desde AdditionalSecurityGroups que os grupos de segurança personalizados permitam a comunicação entre o cluster e os VPC endpoints.

  • Scheduler: O programador do cluster.

    slurm é o único valor válido. Somente o agendador do Slurm é compatível com o cluster em uma sub-rede sem acesso à internet.

  • SlurmSettings: as configurações do Slurm.

    Consulte a seção anterior Desative o Route53 e use nomes de host da Amazon. EC2

Limitações

  • Conectando-se ao nó principal via SSH ou Amazon DCV: ao se conectar a um cluster, verifique se o cliente da conexão consegue acessar o nó principal do cluster por meio de seu endereço IP privado. Se o cliente não estiver na mesma VPC do nó principal, use uma instância de proxy em uma sub-rede pública da VPC. Esse requisito se aplica às conexões SSH e DCV. O IP público de um nó principal não fica acessível se a sub-rede não tiver acesso à Internet. Os comandos pcluster ssh e dcv-connect usam o IP público, se existir, ou o IP privado. Antes de criar seu cluster, verifique se a atribuição automática de IPv4 endereço público está desativada na sub-rede para garantir que os pcluster comandos tenham acesso ao cluster.

    O exemplo a seguir mostra como você pode se conectar a uma sessão DCV em execução no nó principal do seu cluster. Você se conecta por meio de uma EC2 instância proxy da Amazon. A instância funciona como um servidor do Amazon DCV para o PC e como cliente para o nó principal na sub-rede privada.

    Conecte-se por DCV por meio de uma instância de proxy em uma sub-rede pública:

    1. Crie uma EC2 instância da Amazon em uma sub-rede pública, que está na mesma VPC da sub-rede do cluster.

    2. Certifique-se de que o cliente e o servidor Amazon DCV estejam instalados na sua EC2 instância da Amazon.

    3. Anexe uma política de AWS ParallelCluster usuário à EC2 instância proxy da Amazon. Para obter mais informações, consulte AWS ParallelCluster exemplo de políticas pcluster de usuário.

    4. Instale AWS ParallelCluster na EC2 instância proxy da Amazon.

    5. Conecte-se via DCV à EC2 instância proxy da Amazon.

    6. Use o comando pcluster dcv-connect na instância do proxy para se conectar ao cluster contido na sub-rede sem acesso à Internet.

  • Interagindo com outros AWS serviços: Somente os serviços estritamente exigidos pelo AWS ParallelCluster estão listados acima. Se seu cluster precisar interagir com outros serviços, crie os endpoints da VPC correspondentes.