次の方法で共有

Windows HPC クラスターでの Azure ノードの使用に関するセキュリティに関する考慮事項

このトピックでは、Windows HPC クラスターに追加された Azure worker ロール インスタンス (Azure の "バースト" シナリオ) にジョブをデプロイして実行するためのセキュリティに関する考慮事項について説明します。

Azure プラットフォームのセキュリティの背景情報については、Azure セキュリティの概要参照してください。

ユーザー アカウント

オンプレミスの HPC クラスターにジョブとタスクを送信するために使用されるドメイン参加済みユーザー アカウントは、Azure ノードでジョブとタスクを実行するために使用されません。 Azure ノードで実行される各ジョブは、ローカル ユーザー アカウントとパスワードを作成します。 これにより、Azure でのジョブ プロセスの分離が確保されます。

手記

クラスター ユーザーのドメイン資格情報の変更または有効期限が切れると、キューに置かれたジョブがオンプレミスノードで失敗しても、そのユーザーによってキューに登録されたジョブは Azure ノードで失敗しません。

ファイアウォール ポートとプロトコル

Azure ノードのデプロイとジョブの実行に使用されるファイアウォール ポートとプロトコルは、Azure ノードとの通信に使用されるファイアウォール ポート にまとめられています。 内部サービスの実行を可能にするオンプレミス クラスター内の Windows ファイアウォールの構成については、「付録 1: HPC クラスター ネットワーク」を参照してください。

手記

HPC Pack 2008 R2 SP3 以降では、ポート 443 は、すべての Azure ノードのデプロイとジョブのスケジュール操作に使用されます。 これにより、以前のバージョンの HPC Pack と比較して、Azure ノードを使用するために必要なポートのセットが簡略化されます。

証明 書

X.509 v3 証明書は、オンプレミスのクラスター ノードと Azure ノード間の通信をセキュリティで保護するために使用されます。 別の信頼された証明書で署名することも、自己署名することもできます。 Azure ホスト型サービスに Azure ノードをデプロイし、それらに対してジョブを実行するには、管理証明書とサービス証明書の両方を構成する必要があります。 通常、管理証明書には手動で構成する必要があります。 サービス証明書は HPC Pack によって自動的に構成されます。

管理証明書

Azure 管理証明書は、Azure サブスクリプション、ヘッド ノード、および Azure クラウド サービスへの接続に使用される任意のクライアント コンピューターで構成する必要があります。 Azure サブスクリプションに接続するクライアントには秘密キーがあります。 管理証明書を構成する手順については、「Azure Burst Deployments用に Azure 管理証明書を構成するオプション」を参照してください。

管理証明書は、次のような操作をセキュリティで保護するために使用されます。

  • Azure ノードのデプロイに使用できる Azure ノード テンプレートを作成する

  • Azure ノードをプロビジョニングする

  • Azure Storage にファイルをアップロードする (たとえば、hpcpack コマンドを使用)

注意

自己署名管理証明書は、テスト目的または概念実証のデプロイに使用できます。 ただし、運用環境のデプロイにはお勧めしません。

サービス証明書

次の 2 つの公開キー サービス証明書は、Azure ノードのプロビジョニング時に HPC Pack から Azure クラウド サービスに自動的にアップロードされます。 これらは、オンプレミスのヘッド ノードと、すべてのデプロイで自動的にプロビジョニングされる Azure プロキシ ノードの間で相互認証を許可するために使用されます。

  • Microsoft HPC Azure サービス

  • Microsoft HPC Azure クライアント

これらの証明書は、HPC Pack によって次のように構成されます。

  • オンプレミスのヘッド ノードは、Microsoft HPC Azure クライアント証明書 (秘密キー付き) と Microsoft HPC Azure サービス証明書を使用して構成されます

  • Azure のプロキシ ノードは、Microsoft HPC Azure サービス証明書 (秘密キー付き) と Microsoft HPC Azure クライアント証明書で構成されます

貯蔵

Azure ストレージ アカウントに対する操作にはアカウント キーが必要です。アカウントキーは、アカウントの作成時に自動的に構成されます。 HPC Pack は、Azure ノードのプロビジョニング中にストレージ操作を実行するために、このキーを自動的に取得します。

オンプレミスと Azure コンポーネントの対話のためのセキュリティ モデル

次の図は、オンプレミスの HPC Pack コンポーネントと、クラスター ジョブの実行に使用される Azure 内のコンポーネントの相互作用の詳細を示しています。 この図は、HPC Pack (HPC Pack 2008 R2 SP3 以降) および HPC Pack 2008 R2 SP1 または SP2 での通信に使用されるポート、プロトコル、およびエンドポイントを示しています。 存在するオンプレミス コンポーネントは、HPC クラスターの構成によって異なります。

HPC Pack 2008 R2 と少なくとも SP3、またはそれ以降のバージョンの HPC Pack

HPC Server 2008 R2 SP3 を使用した Windows Azure Burst の

HPC Pack 2008 R2 SP1 または SP2

HPC Server 2008 R2 SP2 を使用した Windows Azure バーストの

その他の参照

  • Microsoft HPC Pack を使用した Azure Worker インスタンスへのバーストの

  • Windows HPC クラスター 内の Azure ノードへのアプリケーションのデプロイ