Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # AWS ParallelCluster en una sola subred sin acceso a Internet Una subred sin acceso a Internet no permite conexiones entrantes ni salientes a Internet. Esta AWS ParallelCluster configuración puede ayudar a los clientes preocupados por la seguridad a mejorar aún más la seguridad de sus AWS ParallelCluster recursos. AWS ParallelCluster los nodos se crean a partir AWS ParallelCluster AMIs de los cuales se incluye todo el software necesario para ejecutar un clúster sin acceso a Internet. De esta forma, AWS ParallelCluster puede crear y administrar clústeres con nodos que no tienen acceso a Internet. En esta sección, aprenderá a configurar el clúster. También obtendrá información sobre las limitaciones de la ejecución de clústeres sin acceso a Internet. ![\[AWS ParallelCluster utilizando una subred y sin Internet\]](http://docs.aws.amazon.com/es_es/parallelcluster/latest/ug/images/networking_single_subnet_no_internet.png) **Configuración de puntos de conexión de VPC** Para garantizar el correcto funcionamiento del clúster, los nodos del clúster deben poder interactuar con varios AWS servicios. Cree y configure los siguientes [puntos finales de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) para que los nodos del clúster puedan interactuar con los AWS Servicios sin acceso a Internet: ------ #### [ Commercial and AWS GovCloud (US) partitions ] | Servicio | Nombre del servicio | Tipo | | --- | --- | --- | | Amazon CloudWatch | com.amazonaws. *region-id*.logs | Interfaz | | CloudFormation | com.amazonaws. *region-id*.formación en la nube | Interfaz | | Amazon EC2 | com.amazonaws. *region-id*.ec2 | Interfaz | | Amazon S3 | com.amazonaws. *region-id*.s3 | Puerta de enlace | | Amazon DynamoDB | com.amazonaws. *region-id*.dynamodb | Puerta de enlace | | AWS Secrets Manager\$1\$1 | com.amazonaws. *region-id*.administrador de secretos | Interfaz | | AWS Equilibrio de carga elástico\$1\$1\$1 | com.amazonaws. *region-id*.balanceo de carga elástico | Interfaz | | AWS Escalado automático\$1\$1\$1 | com.amazonaws. *region-id*.escalado automático | Interfaz | ------ #### [ China partition ] | Servicio | Nombre del servicio | Tipo | | --- | --- | --- | | Amazon CloudWatch | com.amazonaws. *region-id*.logs | Interfaz | | CloudFormation | cn.com.amazonaws. *region-id*.formación de nubes | Interfaz | | Amazon EC2 | cn.com.amazonaws. *region-id*.ec2 | Interfaz | | Amazon S3 | com.amazonaws. *region-id*.s3 | Puerta de enlace | | Amazon DynamoDB | com.amazonaws. *region-id*.dynamodb | Puerta de enlace | | AWS Secrets Manager\$1\$1 | com.amazonaws. *region-id*.administrador de secretos | Interfaz | | AWS Equilibrio de carga elástico\$1\$1\$1 | com.amazonaws. *region-id*.balanceo de carga elástico | Interfaz | | AWS Escalado automático\$1\$1\$1 | cn.com.amazonaws. *region-id*.escalado automático | Interfaz | ------ \$1\$1 Este punto de conexión solo es obligatorio cuando está activado [`DirectoryService`](DirectoryService-v3.md#DirectoryService-v3.properties); de lo contrario, es opcional. \$1\$1\$1 Estos puntos finales solo son necesarios cuando [LoginNodes](LoginNodes-v3.md)están activados; de lo contrario, son opcionales. Todas las instancias de la VPC deben tener los grupos de seguridad adecuados para comunicarse con los puntos de conexión. Para ello, agregue grupos de seguridad a [`AdditionalSecurityGroups`](HeadNode-v3.md#yaml-HeadNode-Networking-AdditionalSecurityGroups) en el [`HeadNode`](HeadNode-v3.md) y los [`AdditionalSecurityGroups`](Scheduling-v3.md#yaml-Scheduling-SlurmQueues-Networking-AdditionalSecurityGroups) y en las configuraciones de las [`SlurmQueues`](Scheduling-v3.md#Scheduling-v3-SlurmQueues). Por ejemplo, si los puntos de conexión de VPC se crean sin especificar un grupo de seguridad de forma explícita, el grupo de seguridad predeterminado se asociará a los puntos de conexión. Al agregar el grupo de seguridad predeterminado a `AdditionalSecurityGroups`, se habilita la comunicación entre el clúster y los puntos de conexión. **nota** Cuando utilice políticas de IAM para restringir el acceso a los puntos de conexión de VPC, debe añadir lo siguiente al punto de conexión de VPC de Amazon S3: ``` PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: "*" Action: - "s3:PutObject" Resource: - !Sub "arn:${AWS::Partition}:s3:::cloudformation-waitcondition-${AWS::Region}/*" ``` **Deshabilitar Route 53 y utilizar nombres de host de Amazon EC2** Al crear un Slurm clúster, AWS ParallelCluster crea una zona alojada privada de Route 53 que se utiliza para resolver los nombres de host de los nodos de cómputo personalizados, por ejemplo. `{queue_name}-{st|dy}-{compute_resource}-{N}` Como Route 53 no admite puntos de conexión de VPC, esta característica debe estar deshabilitada. Además, AWS ParallelCluster debe configurarse para utilizar los nombres de host predeterminados de Amazon EC2, como. `ip-1-2-3-4` Aplique los siguientes ajustes a la configuración del clúster: ``` ... Scheduling: ... SlurmSettings: Dns: DisableManagedDns: true UseEc2Hostnames: true ``` **aviso** En el caso de los clústeres creados con los ajustes [`SlurmSettings`](Scheduling-v3.md#Scheduling-v3-SlurmSettings)/[`Dns`](Scheduling-v3.md#Scheduling-v3-SlurmSettings-Dns)/[`DisableManagedDns`](Scheduling-v3.md#yaml-Scheduling-SlurmSettings-Dns-DisableManagedDns) y [`UseEc2Hostnames`](Scheduling-v3.md#yaml-Scheduling-SlurmSettings-Dns-UseEc2Hostnames) establecidos en `true`, el DNS no resuelve el `NodeName` de Slurm. En su lugar, utilice el `NodeHostName` de Slurm. **nota** **Esta nota no es relevante a partir de la AWS ParallelCluster versión 3.3.0.** Para las versiones AWS ParallelCluster compatibles anteriores a la 3.3.0: Cuando `UseEc2Hostnames` se establece en`true`, el archivo Slurm de configuración se establece con los `epilog` scripts AWS ParallelCluster `prolog` y: `prolog` se ejecuta para añadir información de los nodos a `/etc/hosts` sobre los nodos de computación cuando se asigna cada trabajo. `epilog` se ejecuta para limpiar el contenido escrito por `prolog`. Para añadir los scripts `prolog` o `epilog` personalizados, agréguelos a las carpetas `/opt/slurm/etc/pcluster/prolog.d/` o `/opt/slurm/etc/pcluster/epilog.d/`, respectivamente. **Configuración del clúster** Aprenda a configurar el clúster para que se ejecute en una subred sin conexión a Internet. La configuración de esta arquitectura requiere los siguientes valores de configuración: ``` # Note that all values are only provided as examples ... HeadNode: ... Networking: SubnetId: subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints AdditionalSecurityGroups: - sg-abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints LoginNodes: # optional, if enabled, requires creation and configuration of VPC endpoints for AWS Elastic Load Balancing (ELB) and Auto Scaling services Pools: - ... Networking: SubnetIds: - subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints attached AdditionalSecurityGroups: - sg-1abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints Scheduling: Scheduler: Slurm # Cluster in a subnet without internet access is supported only when the scheduler is Slurm. SlurmSettings: Dns: DisableManagedDns: true UseEc2Hostnames: true SlurmQueues: - ... Networking: SubnetIds: - subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints attached AdditionalSecurityGroups: - sg-1abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints ``` + [`SubnetId(s)`](HeadNode-v3.md#yaml-HeadNode-Networking-SubnetId): la subred sin acceso a Internet. Para habilitar la comunicación entre AWS ParallelCluster los AWS servicios, la VPC de la subred debe tener los puntos finales de la VPC conectados. Antes de crear el clúster, compruebe que la [asignación automática de IPv4 direcciones públicas esté deshabilitada](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip) en la subred para garantizar que los `pcluster` comandos tengan acceso al clúster. + [`AdditionalSecurityGroups`](HeadNode-v3.md#yaml-HeadNode-Networking-AdditionalSecurityGroups): el grupo de seguridad que habilita la comunicación entre el clúster y los puntos de conexión de VPC. Opcional: + Si los puntos de conexión de VPC se crean sin especificar un grupo de seguridad de forma explícita, se asociará el grupo de seguridad predeterminado de la VPC. Por lo tanto, proporcione el grupo de seguridad predeterminado a `AdditionalSecurityGroups`. + Si se utilizan grupos de seguridad personalizados al crear el clúster, `AdditionalSecurityGroups` los puntos finales de and/or la VPC no son necesarios siempre que los grupos de seguridad personalizados permitan la comunicación entre el clúster y los puntos finales de la VPC. + [`Scheduler`](Scheduling-v3.md#yaml-Scheduling-Scheduler): el programador de clústeres. `slurm` es el único valor válido. Solo el programador Slurm admite un clúster en una subred sin acceso a Internet. + [`SlurmSettings`](Scheduling-v3.md#Scheduling-v3-SlurmSettings): la configuración de Slurm. Consulte la sección anterior *Deshabilitar Route 53 y utilizar nombres de host de Amazon EC2*. **Limitaciones** + *Conexión al nodo principal a través de SSH o Amazon DCV*: al conectarse a un clúster, asegúrese de que el cliente de la conexión pueda llegar al nodo principal del clúster a través de su dirección IP privada. Si el cliente no está en la misma VPC que el nodo principal, use una instancia de proxy en una subred pública de la VPC. Este requisito se aplica a las conexiones SSH y DCV. No se puede acceder a la IP pública de un nodo principal si la subred no tiene acceso a Internet. Los comandos `pcluster ssh` y `dcv-connect` utilizan la IP pública, si existe, o la IP privada. Antes de crear el clúster, compruebe que la [asignación automática de IPv4 direcciones públicas esté deshabilitada](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip) en la subred para garantizar que los `pcluster` comandos tengan acceso al clúster. El siguiente ejemplo muestra cómo puede conectarse a una sesión de DCV que se ejecute en el nodo principal del clúster. La conexión se realiza a través de una instancia de Amazon EC2 del proxy. La instancia funciona como un servidor Amazon DCV para su PC y como cliente para el nodo principal de la subred privada. Conéctese a través de DCV a través de una instancia proxy en una subred pública: 1. Cree una instancia de Amazon EC2 en una subred pública, que esté en la misma VPC que la subred del clúster. 1. Asegúrese de que el cliente y el servidor Amazon DCV estén instalados en la instancia de Amazon EC2. 1. Adjunte una política de AWS ParallelCluster usuario a la instancia proxy de Amazon EC2. Para obtener más información, consulte [AWS ParallelCluster ejemplos `pcluster` de políticas de usuario](iam-roles-in-parallelcluster-v3.md#iam-roles-in-parallelcluster-v3-example-user-policies). 1. Instálelo AWS ParallelCluster en la instancia proxy de Amazon EC2. 1. Conéctese a través de DCV a la instancia de Amazon EC2 del proxy. 1. Utilice el comando `pcluster dcv-connect` de la instancia del proxy para conectarse al clúster dentro de la subred sin acceso a Internet. + *Interacción con otros AWS servicios:* arriba solo se AWS ParallelCluster enumeran los servicios estrictamente necesarios. Si el clúster debe interactuar con otros servicios, cree los puntos de conexión de VPC correspondientes.