Grupos de segurança no AWS PCS - AWS PCS
Requisitos para grupos de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Grupos de segurança no AWS PCS

Os grupos de segurança na Amazon EC2 atuam como firewalls virtuais para controlar o tráfego de entrada e saída para as instâncias. Use um modelo de execução para um grupo de nós de computação do AWS PCS para adicionar ou remover grupos de segurança de suas instâncias. Se seu modelo de lançamento não contiver nenhuma interface de rede, use SecurityGroupIds para fornecer uma lista de grupos de segurança. Se seu modelo de execução definir interfaces de rede, você deverá usar o Groups parâmetro para atribuir grupos de segurança a cada interface de rede. Para obter mais informações sobre modelos de inicialização, consulte Usando modelos de EC2 lançamento da Amazon com AWS PCS.

nota

As alterações na configuração do grupo de segurança no modelo de execução afetam somente as novas instâncias lançadas após a atualização do grupo de nós de computação.

Requisitos e considerações do grupo de segurança

AWS O PCS cria uma interface de rede elástica (ENI) entre contas na sub-rede que você especifica ao criar um cluster. Isso fornece ao agendador de HPC, que está sendo executado em uma conta gerenciada por AWS, um caminho para se comunicar com EC2 instâncias lançadas pelo AWS PCS. Você deve fornecer um grupo de segurança para essa ENI que permita a comunicação bidirecional entre a ENI do agendador e suas instâncias de cluster. EC2

Uma maneira simples de fazer isso é criar um grupo de segurança autorreferenciado permissivo que permita o TCP/IP tráfego em todas as portas entre todos os membros do grupo. Você pode anexar isso tanto ao cluster quanto às EC2 instâncias do grupo de nós.

Exemplo de configuração permissiva de grupo de segurança

IPv4
Tipo de regra Protocolos Portas Origem Destino
Entrada Todos Todos Self
Saída Todos Tudo

0.0.0.0/0
Saída Todos Todos Self
IPv6
Tipo de regra Protocolos Portas Origem Destino
Entrada Todos Todos Self
Saída Todos Tudo

::/0
Saída Todos Todos Self

Essas regras permitem que todo o tráfego flua livremente entre o controlador Slurm e os nós, permitem que todo o tráfego de saída chegue a qualquer destino e habilite o tráfego EFA.

Exemplo de configuração restritiva de grupo de segurança

Você também pode limitar as portas abertas entre o cluster e seus nós de computação. Para o agendador do Slurm, o grupo de segurança anexado ao seu cluster deve permitir as seguintes portas:

  • 6817 — habilite conexões de entrada para instâncias de origem slurmctld EC2

  • 6818 — habilite conexões de saída slurmctld para slurmd execução em instâncias EC2

O grupo de segurança conectado aos seus nós de computação deve permitir as seguintes portas:

  • 6817 — habilite conexões de saída para instâncias slurmctld de EC2 origem.

  • 6818 — habilitar conexões de entrada e saída de e para slurmd instâncias de slurmctld grupos slurmd de nós

  • 60001—63000 — conexões de entrada e saída entre instâncias de grupos de nós para oferecer suporte srun

  • Tráfego EFA entre instâncias de grupos de nós. Para obter mais informações, consulte Preparar um grupo de segurança habilitado para EFA no Guia do usuário para instâncias Linux

  • Qualquer outro tráfego entre nós exigido pela sua carga de trabalho