Groupes de sécurité dans AWS PCS - AWS PCS
Exigences de groupe de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Groupes de sécurité dans AWS PCS

Les groupes de sécurité d'Amazon EC2 agissent comme des pare-feux virtuels pour contrôler le trafic entrant et sortant vers les instances. Utilisez un modèle de lancement pour un groupe de nœuds de calcul AWS PCS afin d'ajouter ou de supprimer des groupes de sécurité à ses instances. Si votre modèle de lancement ne contient aucune interface réseau, utilisez-le SecurityGroupIds pour fournir une liste de groupes de sécurité. Si votre modèle de lancement définit des interfaces réseau, vous devez utiliser le Groups paramètre pour attribuer des groupes de sécurité à chaque interface réseau. Pour en savoir plus sur l’utilisation des modèles de lancement, consultez Utilisation des modèles de lancement Amazon EC2 avec PCS AWS.

Note

Les modifications apportées à la configuration du groupe de sécurité dans le modèle de lancement concernent uniquement les nouvelles instances lancées après la mise à jour du groupe de nœuds de calcul.

Exigences et considérations relatives aux groupes de sécurité

AWS PCS crée une interface réseau élastique (ENI) entre comptes dans le sous-réseau que vous spécifiez lors de la création d'un cluster. Cela fournit au planificateur HPC, qui s'exécute dans un compte géré par AWS, un chemin pour communiquer avec les instances EC2 lancées par PCS. AWS Vous devez fournir un groupe de sécurité pour cette ENI qui autorise la communication bidirectionnelle entre le planificateur ENI et les instances EC2 de votre cluster.

Un moyen simple d'y parvenir consiste à créer un groupe de sécurité autoréférencé permissif qui autorise le TCP/IP trafic sur tous les ports entre tous les membres du groupe. Vous pouvez l'associer à la fois au cluster et aux instances EC2 du groupe de nœuds.

Exemple de configuration de groupe de sécurité permissive

IPv4
Type de règle Protocoles Ports Source Destination
Entrant Tous Tous Self
Sortant Tous Tous

0.0.0.0/0
Sortant Tous Tous Self
IPv6
Type de règle Protocoles Ports Source Destination
Entrant Tous Tous Self
Sortant Tous Tous

::/0
Sortant Tous Tous Self

Ces règles permettent à tout le trafic de circuler librement entre le contrôleur Slurm et les nœuds, autorisent tout le trafic sortant vers n'importe quelle destination et activent le trafic EFA.

Exemple de configuration restrictive d'un groupe de sécurité

Vous pouvez également limiter les ports ouverts entre le cluster et ses nœuds de calcul. Pour le planificateur Slurm, le groupe de sécurité rattaché à votre cluster doit autoriser les ports suivants :

  • 6817 — activer les connexions entrantes slurmctld depuis des instances EC2

  • 6818 — active les connexions sortantes depuis et en cours d'slurmdexécution sur slurmctld les instances EC2

Le groupe de sécurité attaché à vos nœuds de calcul doit autoriser les ports suivants :

  • 6817 — active les connexions sortantes slurmctld depuis des instances EC2.

  • 6818 — activer les connexions entrantes et sortantes vers slurmctld et slurmd depuis des instances de groupes slurmd de nœuds

  • 60001—63000 — connexions entrantes et sortantes entre les instances de groupes de nœuds à prendre en charge srun

  • Trafic EFA entre les instances de groupes de nœuds. Pour plus d'informations, voir Préparer un groupe de sécurité compatible EFA dans le Guide de l'utilisateur pour les instances Linux

  • Tout autre trafic inter-nœuds requis par votre charge de travail