Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # AWS ParallelCluster in un'unica sottorete senza accesso a Internet Una sottorete senza accesso a Internet non consente connessioni in entrata o in uscita a Internet. Questa AWS ParallelCluster configurazione può aiutare i clienti interessati alla sicurezza a migliorare ulteriormente la sicurezza delle proprie risorse. AWS ParallelCluster AWS ParallelCluster vengono creati nodi AWS ParallelCluster AMIs che includono tutto il software necessario per eseguire un cluster senza accesso a Internet. In questo modo, AWS ParallelCluster puoi creare e gestire cluster con nodi che non dispongono di accesso a Internet. In questa sezione, imparerai come configurare il cluster. Scopri anche le limitazioni nell'esecuzione di cluster senza accesso a Internet. ![AWS ParallelCluster utilizzando una sottorete e nessuna connessione Internet](http://docs.aws.amazon.com/it_it/parallelcluster/latest/ug/images/networking_single_subnet_no_internet.png) **Configurazione degli endpoint VPC** Per garantire il corretto funzionamento del cluster, i nodi del cluster devono essere in grado di interagire con una serie di servizi. AWS Crea e configura i seguenti [endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) in modo che i nodi del cluster possano interagire con i AWS Servizi, senza accesso a Internet: ------ #### [ Commercial and AWS GovCloud (US) partitions ] | Servizio | Nome del servizio | Tipo | | --- | --- | --- | | Amazon CloudWatch | com.amazonaws. {{region-id}}.registri | Interfaccia | | CloudFormation | com.amazonaws.it. {{region-id}}. formazione di nuvole | Interfaccia | | Amazon EC2 | com.amazonaws. {{region-id}}.ec2 | Interfaccia | | Simple Storage Service (Amazon S3) | com.amazonaws.it. {{region-id}}.s3 | Gateway | | Amazon DynamoDB | com.amazonaws. {{region-id}}.dinamodb | Gateway | | Gestione dei segreti AWS\*\* | com.amazonaws. {{region-id}}. gestore dei segreti | Interfaccia | | AWS Elastic Load Balancing\*\*\* | com.amazonaws. {{region-id}}. bilanciamento elastico del carico | Interfaccia | | AWS Scalabilità automatica\*\*\* | com.amazonaws. {{region-id}}.scalabilità automatica | Interfaccia | ------ #### [ China partition ] | Servizio | Nome del servizio | Tipo | | --- | --- | --- | | Amazon CloudWatch | com.amazonaws. {{region-id}}.registri | Interfaccia | | CloudFormation | cn.com.amazonaws. {{region-id}}. formazione di nuvole | Interfaccia | | Amazon EC2 | cn.com.amazonaws. {{region-id}}.ec2 | Interfaccia | | Simple Storage Service (Amazon S3) | com.amazonaws.it. {{region-id}}.s3 | Gateway | | Amazon DynamoDB | com.amazonaws. {{region-id}}.dinamodb | Gateway | | Gestione dei segreti AWS\*\* | com.amazonaws. {{region-id}}. gestore dei segreti | Interfaccia | | AWS Elastic Load Balancing\*\*\* | com.amazonaws. {{region-id}}. bilanciamento elastico del carico | Interfaccia | | AWS Scalabilità automatica\*\*\* | cn.com.amazonaws. {{region-id}}.scalabilità automatica | Interfaccia | ------ \*\* Questo endpoint è richiesto solo quando è abilitato, altrimenti [`DirectoryService`](DirectoryService-v3.md#DirectoryService-v3.properties)è facoltativo. \*\*\* Questi endpoint sono necessari solo quando [LoginNodes](LoginNodes-v3.md)sono abilitati, altrimenti sono opzionali. Tutte le istanze nel VPC devono disporre di gruppi di sicurezza adeguati per comunicare con gli endpoint. È possibile farlo aggiungendo gruppi di sicurezza nelle configurazioni [`HeadNode`](HeadNode-v3.md)e [`AdditionalSecurityGroups`[`AdditionalSecurityGroups`](Scheduling-v3.md#yaml-Scheduling-SlurmQueues-Networking-AdditionalSecurityGroups)](HeadNode-v3.md#yaml-HeadNode-Networking-AdditionalSecurityGroups)nelle configurazioni. [`SlurmQueues`](Scheduling-v3.md#Scheduling-v3-SlurmQueues) Ad esempio, se gli endpoint VPC vengono creati senza specificare esplicitamente un gruppo di sicurezza, il gruppo di sicurezza predefinito viene associato agli endpoint. Aggiungendo il gruppo di sicurezza predefinito a`AdditionalSecurityGroups`, si abilita la comunicazione tra il cluster e gli endpoint. **Nota** Quando utilizzi le policy IAM per limitare l'accesso agli endpoint VPC, devi aggiungere quanto segue all'endpoint VPC Amazon S3: ``` PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: "*" Action: - "s3:PutObject" Resource: - !Sub "arn:${AWS::Partition}:s3:::cloudformation-waitcondition-${AWS::Region}/*" ``` **Disattiva Route 53 e usa i nomi host di Amazon EC2** Quando si crea un Slurm cluster, AWS ParallelCluster crea una zona ospitata privata sulla Route 53 che viene utilizzata per risolvere i nomi host dei nodi di calcolo personalizzati, ad esempio. `{queue_name}-{st|dy}-{compute_resource}-{N}` Poiché Route 53 non supporta gli endpoint VPC, questa funzionalità deve essere disabilitata. Inoltre, AWS ParallelCluster deve essere configurato per utilizzare i nomi host predefiniti di Amazon EC2, ad esempio. `ip-1-2-3-4` Applica le seguenti impostazioni alla configurazione del cluster: ``` ... Scheduling: ... SlurmSettings: Dns: DisableManagedDns: true UseEc2Hostnames: true ``` **avvertimento** Per i cluster creati con [`SlurmSettings`](Scheduling-v3.md#Scheduling-v3-SlurmSettings)/[`Dns`](Scheduling-v3.md#Scheduling-v3-SlurmSettings-Dns)/[`DisableManagedDns`](Scheduling-v3.md#yaml-Scheduling-SlurmSettings-Dns-DisableManagedDns)e [`UseEc2Hostnames`](Scheduling-v3.md#yaml-Scheduling-SlurmSettings-Dns-UseEc2Hostnames)impostati su`true`, Slurm `NodeName` non viene risolto dal DNS. Usa invece. Slurm `NodeHostName` **Nota** **Questa nota non è rilevante a partire dalla AWS ParallelCluster versione 3.3.0.** Per le versioni AWS ParallelCluster supportate precedenti alla 3.3.0: Quando `UseEc2Hostnames` è impostato su`true`, il file Slurm di configurazione viene impostato con gli `epilog` script AWS ParallelCluster `prolog` and: `prolog`viene eseguito per aggiungere informazioni `/etc/hosts` sui nodi ai nodi di calcolo quando ogni lavoro viene allocato. `epilog`viene eseguito per pulire i contenuti scritti da. `prolog` Per aggiungere `epilog` script `prolog` o personalizzati, aggiungili rispettivamente alle `/opt/slurm/etc/pcluster/epilog.d/` cartelle `/opt/slurm/etc/pcluster/prolog.d/` o. **Configurazione del cluster** Scopri come configurare il cluster per l'esecuzione in una sottorete senza connessione a Internet. La configurazione per questa architettura richiede le seguenti impostazioni: ``` # Note that all values are only provided as examples ... HeadNode: ... Networking: SubnetId: subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints AdditionalSecurityGroups: - sg-abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints LoginNodes: # optional, if enabled, requires creation and configuration of VPC endpoints for AWS Elastic Load Balancing (ELB) and Auto Scaling services Pools: - ... Networking: SubnetIds: - subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints attached AdditionalSecurityGroups: - sg-1abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints Scheduling: Scheduler: Slurm # Cluster in a subnet without internet access is supported only when the scheduler is Slurm. SlurmSettings: Dns: DisableManagedDns: true UseEc2Hostnames: true SlurmQueues: - ... Networking: SubnetIds: - subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints attached AdditionalSecurityGroups: - sg-1abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints ``` + [`SubnetId(s)`](HeadNode-v3.md#yaml-HeadNode-Networking-SubnetId): La sottorete senza accesso a Internet. Per abilitare la comunicazione tra AWS ParallelCluster e AWS Servizi, il VPC della sottorete deve avere gli endpoint VPC collegati. Prima di creare il cluster, verifica che l'[assegnazione automatica IPv4 dell'indirizzo pubblico sia disabilitata](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip) nella sottorete per garantire che i `pcluster` comandi abbiano accesso al cluster. + [`AdditionalSecurityGroups`](HeadNode-v3.md#yaml-HeadNode-Networking-AdditionalSecurityGroups): il gruppo di sicurezza che abilita la comunicazione tra il cluster e gli endpoint VPC. Facoltativo: + Se gli endpoint VPC vengono creati senza specificare esplicitamente un gruppo di sicurezza, viene associato il gruppo di sicurezza predefinito del VPC. Pertanto, fornisci il gruppo di sicurezza predefinito a. `AdditionalSecurityGroups` + Se durante la creazione del cluster vengono utilizzati gruppi di sicurezza personalizzati, and/or `AdditionalSecurityGroups` gli endpoint VPC non sono necessari purché i gruppi di sicurezza personalizzati consentano la comunicazione tra il cluster e gli endpoint VPC. + [`Scheduler`](Scheduling-v3.md#yaml-Scheduling-Scheduler): Lo scheduler del cluster. `slurm`è l'unico valore valido. Solo lo Slurm scheduler supporta un cluster in una sottorete senza accesso a Internet. + [`SlurmSettings`](Scheduling-v3.md#Scheduling-v3-SlurmSettings): Le impostazioni. Slurm Consulta la sezione precedente *Disattiva Route53 e usa i nomi host di Amazon EC2*. **Limitazioni** + *Connessione al nodo principale tramite SSH o Amazon DCV:* quando ti connetti a un cluster, assicurati che il client della connessione possa raggiungere il nodo principale del cluster tramite il suo indirizzo IP privato. Se il client non si trova nello stesso VPC del nodo principale, utilizza un'istanza proxy in una sottorete pubblica del VPC. Questo requisito si applica sia alle connessioni SSH che a quelle DCV. L'IP pubblico di un nodo principale non è accessibile se la sottorete non dispone di accesso a Internet. I `dcv-connect` comandi `pcluster ssh` and utilizzano l'IP pubblico, se esistente, o l'IP privato. Prima di creare il cluster, verifica che l'[assegnazione automatica IPv4 dell'indirizzo pubblico sia disabilitata](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip) nella sottorete per garantire che i `pcluster` comandi abbiano accesso al cluster. L'esempio seguente mostra come è possibile connettersi a una sessione DCV in esecuzione nel nodo principale del cluster. Ti connetti tramite un'istanza proxy Amazon EC2. L'istanza funziona come server Amazon DCV per il tuo PC e come client per il nodo principale nella sottorete privata. Connect tramite DCV tramite un'istanza proxy in una sottorete pubblica: 1. Crea un'istanza Amazon EC2 in una sottorete pubblica, che si trova nello stesso VPC della sottorete del cluster. 1. Assicurati che il client e il server Amazon DCV siano installati sulla tua istanza Amazon EC2. 1. Allega una AWS ParallelCluster User Policy all'istanza proxy di Amazon EC2. Per ulteriori informazioni, consulta [AWS ParallelCluster esempi di politiche `pcluster` utente](iam-roles-in-parallelcluster-v3.md#iam-roles-in-parallelcluster-v3-example-user-policies). 1. Installa AWS ParallelCluster sull'istanza proxy Amazon EC2. 1. Connect tramite DCV all'istanza proxy Amazon EC2. 1. Usa il `pcluster dcv-connect` comando sull'istanza proxy per connetterti al cluster all'interno della sottorete senza accesso a Internet. + *Interazione con altri AWS servizi:* solo i servizi strettamente richiesti da AWS ParallelCluster sono elencati sopra. Se il cluster deve interagire con altri servizi, crea gli endpoint VPC corrispondenti.