Grupos de seguridad en AWS PCS - AWS PCS
Requisitos del grupo de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Grupos de seguridad en AWS PCS

Los grupos de seguridad de Amazon EC2 actúan como firewalls virtuales para controlar el tráfico entrante y saliente a las instancias. Utilice una plantilla de lanzamiento para un grupo de nodos de cómputo de AWS PCS para añadir o eliminar grupos de seguridad en sus instancias. Si la plantilla de lanzamiento no contiene ninguna interfaz de red, utilícela SecurityGroupIds para proporcionar una lista de grupos de seguridad. Si la plantilla de lanzamiento define las interfaces de red, debe usar el Groups parámetro para asignar grupos de seguridad a cada interfaz de red. Para obtener más información acerca de las plantillas de inicialización, consulte Uso de plantillas de lanzamiento de Amazon EC2 con PCS AWS.

nota

Los cambios en la configuración del grupo de seguridad en la plantilla de lanzamiento solo afectan a las nuevas instancias lanzadas una vez actualizado el grupo de nodos de procesamiento.

Requisitos y consideraciones sobre los grupos de seguridad

AWS PCS crea una interfaz de red elástica (ENI) entre cuentas en la subred que especifique al crear un clúster. Esto proporciona al programador de HPC, que se ejecuta en una cuenta administrada por AWS, una ruta para comunicarse con las instancias EC2 lanzadas por PCS. AWS Debe proporcionar un grupo de seguridad para ese ENI que permita la comunicación bidireccional entre el ENI del programador y las instancias EC2 del clúster.

Una forma sencilla de lograrlo consiste en crear un grupo de seguridad autorreferenciado permisivo que permita el TCP/IP tráfico en todos los puertos entre todos los miembros del grupo. Puede adjuntarlo a las instancias EC2 del clúster y del grupo de nodos.

Ejemplo de configuración de grupo de seguridad permisiva

IPv4
Tipo de regla Protocolos Puertos Origen Destino
Entrada Todos Todos Auto
Salida Todos Todos

0.0.0.0/0
Salida Todos Todos Auto
IPv6
Tipo de regla Protocolos Puertos Origen Destino
Entrada Todos Todos Auto
Salida Todos Todos

::/0
Salida Todos Todos Auto

Estas reglas permiten que todo el tráfico fluya libremente entre el controlador Slurm y los nodos, permiten que todo el tráfico saliente se dirija a cualquier destino y habilitan el tráfico EFA.

Ejemplo de configuración restrictiva de un grupo de seguridad

También puede limitar los puertos abiertos entre el clúster y sus nodos de procesamiento. En el caso del programador Slurm, el grupo de seguridad adjunto al clúster debe permitir los siguientes puertos:

  • 6817: habilita las conexiones entrantes desde instancias EC2 slurmctld

  • 6818: habilita las conexiones salientes desde slurmctld y hasta que se ejecuten en las instancias EC2 slurmd

El grupo de seguridad adjunto a sus nodos de cómputo debe permitir los siguientes puertos:

  • 6817: habilita las conexiones salientes slurmctld desde instancias EC2.

  • 6818: habilita las conexiones entrantes y salientes desde y hacia las instancias slurmd del grupo de nodos slurmctld slurmd

  • 60001—63000: conexiones entrantes y salientes entre instancias de grupos de nodos para admitir srun

  • Tráfico de EFA entre instancias de grupos de nodos. Para obtener más información, consulte Preparar un grupo de seguridad habilitado para EFA en la Guía del usuario para instancias de Linux

  • Cualquier otro tráfico entre nodos que requiera su carga de trabajo