Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # AWS ParallelCluster dans un seul sous-réseau sans accès à Internet Un sous-réseau sans accès à Internet n'autorise pas les connexions entrantes ou sortantes vers Internet. Cette AWS ParallelCluster configuration peut aider les clients concernés par la sécurité à renforcer davantage la sécurité de leurs AWS ParallelCluster ressources. AWS ParallelCluster les nœuds sont créés AWS ParallelCluster AMIs à partir de ceux-ci et incluent tous les logiciels nécessaires pour exécuter un cluster sans accès à Internet. De cette façon, AWS ParallelCluster vous pouvez créer et gérer des clusters avec des nœuds qui n'ont pas accès à Internet. Dans cette section, vous découvrirez comment configurer le cluster. Vous découvrirez également les limites liées à l'exécution de clusters sans accès à Internet. ![\[AWS ParallelCluster en utilisant un sous-réseau et sans Internet\]](http://docs.aws.amazon.com/fr_fr/parallelcluster/latest/ug/images/networking_single_subnet_no_internet.png) **Configuration des points de terminaison VPC** Pour garantir le bon fonctionnement du cluster, les nœuds du cluster doivent être en mesure d'interagir avec un certain nombre de AWS services. Créez et configurez les [points de terminaison VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) suivants afin que les nœuds de cluster puissent interagir avec les AWS services, sans accès à Internet : ------ #### [ Commercial and AWS GovCloud (US) partitions ] | Service | Nom du service | Type | | --- | --- | --- | | Amazon CloudWatch | com.amazonaws. *region-id*.journaux | Interface | | CloudFormation | com.amazonaws. *region-id*.formation sur le cloud | Interface | | Amazon EC2 | com.amazonaws. *region-id*.ec2 | Interface | | Amazon S3 | com.amazonaws. *region-id*.s3 | Passerelle | | Amazon DynamoDB | com.amazonaws. *region-id*.dynamodb | Passerelle | | AWS Secrets Manager\$1\$1 | com.amazonaws. *region-id*.secretsmanager | Interface | | AWS Équilibrage de charge élastique\$1\$1\$1 | com.amazonaws. *region-id*. équilibrage de charge élastique | Interface | | AWS Mise à l'échelle automatique\$1\$1\$1 | com.amazonaws. *region-id*.mise à l'échelle automatique | Interface | ------ #### [ China partition ] | Service | Nom du service | Type | | --- | --- | --- | | Amazon CloudWatch | com.amazonaws. *region-id*.journaux | Interface | | CloudFormation | cn.com.amazonaws. *region-id*.formation sur le cloud | Interface | | Amazon EC2 | cn.com.amazonaws. *region-id*.ec2 | Interface | | Amazon S3 | com.amazonaws. *region-id*.s3 | Passerelle | | Amazon DynamoDB | com.amazonaws. *region-id*.dynamodb | Passerelle | | AWS Secrets Manager\$1\$1 | com.amazonaws. *region-id*.secretsmanager | Interface | | AWS Équilibrage de charge élastique\$1\$1\$1 | com.amazonaws. *region-id*. équilibrage de charge élastique | Interface | | AWS Mise à l'échelle automatique\$1\$1\$1 | cn.com.amazonaws. *region-id*.mise à l'échelle automatique | Interface | ------ \$1\$1 Ce point de terminaison n'est requis que lorsqu'il [`DirectoryService`](DirectoryService-v3.md#DirectoryService-v3.properties)est activé, sinon il est facultatif. \$1\$1\$1 Ces points de terminaison ne sont nécessaires que lorsqu'ils [LoginNodes](LoginNodes-v3.md)sont activés, sinon ils sont facultatifs. Toutes les instances du VPC doivent disposer de groupes de sécurité appropriés pour communiquer avec les points de terminaison. Vous pouvez le faire en ajoutant des groupes de sécurité [`AdditionalSecurityGroups`](HeadNode-v3.md#yaml-HeadNode-Networking-AdditionalSecurityGroups)sous [`HeadNode`](HeadNode-v3.md)et [`AdditionalSecurityGroups`](Scheduling-v3.md#yaml-Scheduling-SlurmQueues-Networking-AdditionalSecurityGroups)sous les [`SlurmQueues`](Scheduling-v3.md#Scheduling-v3-SlurmQueues)configurations. Par exemple, si les points de terminaison VPC sont créés sans spécifier explicitement de groupe de sécurité, le groupe de sécurité par défaut est associé aux points de terminaison. En ajoutant le groupe de sécurité par défaut à`AdditionalSecurityGroups`, vous activez la communication entre le cluster et les points de terminaison. **Note** Lorsque vous utilisez des politiques IAM pour restreindre l'accès aux points de terminaison VPC, vous devez ajouter les éléments suivants au point de terminaison VPC Amazon S3 : ``` PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: "*" Action: - "s3:PutObject" Resource: - !Sub "arn:${AWS::Partition}:s3:::cloudformation-waitcondition-${AWS::Region}/*" ``` **Désactivez Route 53 et utilisez les noms d'hôte Amazon EC2** Lors de la création d'un Slurm cluster, AWS ParallelCluster crée une zone hébergée Route 53 privée qui est utilisée pour résoudre les noms d'hôte des nœuds de calcul personnalisés, tels que`{queue_name}-{st|dy}-{compute_resource}-{N}`. Route 53 ne prenant pas en charge les points de terminaison VPC, cette fonctionnalité doit être désactivée. En outre, AWS ParallelCluster il doit être configuré pour utiliser les noms d'hôte Amazon EC2 par défaut, tels que. `ip-1-2-3-4` Appliquez les paramètres suivants à la configuration de votre cluster : ``` ... Scheduling: ... SlurmSettings: Dns: DisableManagedDns: true UseEc2Hostnames: true ``` **Avertissement** Pour les clusters créés avec [`SlurmSettings`[`Dns`](Scheduling-v3.md#Scheduling-v3-SlurmSettings-Dns)](Scheduling-v3.md#Scheduling-v3-SlurmSettings)//[`DisableManagedDns`](Scheduling-v3.md#yaml-Scheduling-SlurmSettings-Dns-DisableManagedDns)et [`UseEc2Hostnames`](Scheduling-v3.md#yaml-Scheduling-SlurmSettings-Dns-UseEc2Hostnames)définis sur`true`, le DNS Slurm `NodeName` ne résout pas le problème. Utilisez Slurm `NodeHostName` plutôt le. **Note** **Cette note n'est pas pertinente à partir de AWS ParallelCluster la version 3.3.0.** Pour les versions AWS ParallelCluster prises en charge avant la version 3.3.0 : Lorsqu'il `UseEc2Hostnames` est défini sur`true`, le fichier Slurm de configuration est défini avec les `epilog` scripts AWS ParallelCluster `prolog` et : `prolog`s'exécute pour ajouter des informations `/etc/hosts` sur les nœuds aux nœuds de calcul lorsque chaque tâche est allouée. `epilog`s'exécute pour nettoyer le contenu écrit par`prolog`. Pour ajouter des `epilog` scripts personnalisés `prolog` ou personnalisés, ajoutez-les respectivement aux `/opt/slurm/etc/pcluster/epilog.d/` dossiers `/opt/slurm/etc/pcluster/prolog.d/` or. **Configuration du cluster** Découvrez comment configurer votre cluster pour qu'il s'exécute dans un sous-réseau sans connexion Internet. La configuration de cette architecture nécessite les paramètres suivants : ``` # Note that all values are only provided as examples ... HeadNode: ... Networking: SubnetId: subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints AdditionalSecurityGroups: - sg-abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints LoginNodes: # optional, if enabled, requires creation and configuration of VPC endpoints for AWS Elastic Load Balancing (ELB) and Auto Scaling services Pools: - ... Networking: SubnetIds: - subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints attached AdditionalSecurityGroups: - sg-1abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints Scheduling: Scheduler: Slurm # Cluster in a subnet without internet access is supported only when the scheduler is Slurm. SlurmSettings: Dns: DisableManagedDns: true UseEc2Hostnames: true SlurmQueues: - ... Networking: SubnetIds: - subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints attached AdditionalSecurityGroups: - sg-1abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints ``` + [`SubnetId(s)`](HeadNode-v3.md#yaml-HeadNode-Networking-SubnetId): le sous-réseau sans accès à Internet. Pour permettre la communication entre AWS ParallelCluster et les AWS services, les points de terminaison du VPC doivent être attachés au VPC du sous-réseau. Avant de créer votre cluster, vérifiez que l'[attribution automatique de l' IPv4 adresse publique est désactivée](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip) dans le sous-réseau pour garantir que les `pcluster` commandes ont accès au cluster. + [`AdditionalSecurityGroups`](HeadNode-v3.md#yaml-HeadNode-Networking-AdditionalSecurityGroups): le groupe de sécurité qui permet la communication entre le cluster et les points de terminaison VPC. Facultatif : + Si les points de terminaison du VPC sont créés sans spécifier explicitement de groupe de sécurité, le groupe de sécurité par défaut du VPC est associé. Par conséquent, indiquez le groupe de sécurité par défaut à`AdditionalSecurityGroups`. + Si des groupes de sécurité personnalisés sont utilisés lors de la création du cluster, and/or les points de terminaison VPC ne `AdditionalSecurityGroups` sont pas nécessaires tant que les groupes de sécurité personnalisés permettent la communication entre le cluster et les points de terminaison VPC. + [`Scheduler`](Scheduling-v3.md#yaml-Scheduling-Scheduler): Le planificateur de clusters. `slurm`est la seule valeur valide. Seul le Slurm planificateur prend en charge un cluster dans un sous-réseau sans accès à Internet. + [`SlurmSettings`](Scheduling-v3.md#Scheduling-v3-SlurmSettings): Les Slurm paramètres. Consultez la section précédente *Désactiver Route53 et utiliser les noms d'hôte Amazon EC2*. **Limites** + *Connexion au nœud principal via SSH ou Amazon DCV :* lors de la connexion à un cluster, assurez-vous que le client de la connexion peut atteindre le nœud principal du cluster via son adresse IP privée. Si le client ne se trouve pas dans le même VPC que le nœud principal, utilisez une instance de proxy dans un sous-réseau public du VPC. Cette exigence s'applique à la fois aux connexions SSH et DCV. L'adresse IP publique d'un nœud principal n'est pas accessible si le sous-réseau n'a pas accès à Internet. Les `dcv-connect` commandes `pcluster ssh` et utilisent l'adresse IP publique si elle existe ou l'adresse IP privée. Avant de créer votre cluster, vérifiez que l'[attribution automatique de l' IPv4 adresse publique est désactivée](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip) dans le sous-réseau pour garantir que les `pcluster` commandes ont accès au cluster. L'exemple suivant montre comment vous connecter à une session DCV exécutée dans le nœud principal de votre cluster. Vous vous connectez via une instance proxy Amazon EC2. L'instance fonctionne en tant que serveur Amazon DCV pour votre PC et en tant que client pour le nœud principal du sous-réseau privé. Connectez-vous via DCV via une instance de proxy dans un sous-réseau public : 1. Créez une instance Amazon EC2 dans un sous-réseau public, qui se trouve dans le même VPC que le sous-réseau du cluster. 1. Assurez-vous que le client et le serveur Amazon DCV sont installés sur votre instance Amazon EC2. 1. Attachez une politique AWS ParallelCluster utilisateur à l'instance proxy Amazon EC2. Pour de plus amples informations, veuillez consulter [AWS ParallelCluster exemples de politiques `pcluster` utilisateur](iam-roles-in-parallelcluster-v3.md#iam-roles-in-parallelcluster-v3-example-user-policies). 1. Installez AWS ParallelCluster sur l'instance proxy Amazon EC2. 1. Connect via DCV à l'instance proxy Amazon EC2. 1. Utilisez la `pcluster dcv-connect` commande sur l'instance de proxy pour vous connecter au cluster à l'intérieur du sous-réseau sans accès à Internet. + *Interaction avec d'autres AWS services :* seuls les services strictement requis par AWS ParallelCluster sont répertoriés ci-dessus. Si votre cluster doit interagir avec d'autres services, créez les points de terminaison VPC correspondants.