As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # AWS ParallelCluster em uma única sub-rede sem acesso à Internet Uma sub-rede sem acesso à Internet não permite conexões de entrada ou saída com a Internet. Essa AWS ParallelCluster configuração pode ajudar os clientes preocupados com a segurança a aprimorar ainda mais a segurança de seus AWS ParallelCluster recursos. AWS ParallelCluster os nós são criados a partir AWS ParallelCluster AMIs disso, incluindo todo o software necessário para executar um cluster sem acesso à Internet. Dessa forma, é AWS ParallelCluster possível criar e gerenciar clusters com nós que não têm acesso à Internet. Nesta seção, você aprenderá como configurar o cluster. Você também aprenderá sobre as limitações na execução de clusters sem acesso à Internet. ![\[AWS ParallelCluster usando uma sub-rede e sem internet\]](http://docs.aws.amazon.com/pt_br/parallelcluster/latest/ug/images/networking_single_subnet_no_internet.png) **Configurando endpoints de VPC** Para garantir o funcionamento adequado do cluster, os nós do cluster devem ser capazes de interagir com vários AWS serviços. Crie e configure os seguintes [VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) para que os nós do cluster possam interagir com os AWS Serviços, sem acesso à Internet: ------ #### [ Commercial and AWS GovCloud (US) partitions ] | Serviço | Nome do serviço | Tipo | | --- | --- | --- | | Amazon CloudWatch | com.amazonaws. *region-id*.registros | Interface | | CloudFormation | com.amazonaws. *region-id*.formação em nuvem | Interface | | Amazon EC2 | com.amazonaws. *region-id*.ec2 | Interface | | Amazon S3 | com.amazonaws. *region-id*.s3 | Gateway | | Amazon DynamoDB | com.amazonaws. *region-id*.dynamodb | Gateway | | AWS Secrets Manager\$1\$1 | com.amazonaws. *region-id*.gerente de segredos | Interface | | AWS Balanceamento de carga elástico\$1\$1\$1 | com.amazonaws. *region-id*. balanceamento de carga elástico | Interface | | AWS Dimensionamento automático\$1\$1\$1 | com.amazonaws. *region-id*.escalonamento automático | Interface | ------ #### [ China partition ] | Serviço | Nome do serviço | Tipo | | --- | --- | --- | | Amazon CloudWatch | com.amazonaws. *region-id*.registros | Interface | | CloudFormation | cn.com.amazonaws. *region-id*.formação em nuvem | Interface | | Amazon EC2 | cn.com.amazonaws. *region-id*.ec2 | Interface | | Amazon S3 | com.amazonaws. *region-id*.s3 | Gateway | | Amazon DynamoDB | com.amazonaws. *region-id*.dynamodb | Gateway | | AWS Secrets Manager\$1\$1 | com.amazonaws. *region-id*.gerente de segredos | Interface | | AWS Balanceamento de carga elástico\$1\$1\$1 | com.amazonaws. *region-id*. balanceamento de carga elástico | Interface | | AWS Dimensionamento automático\$1\$1\$1 | cn.com.amazonaws. *region-id*.escalonamento automático | Interface | ------ \$1\$1 Esse endpoint só é necessário quando [`DirectoryService`](DirectoryService-v3.md#DirectoryService-v3.properties) está habilitado, caso contrário, é opcional. \$1\$1\$1 Esses endpoints só são necessários quando [LoginNodes](LoginNodes-v3.md)estão habilitados, caso contrário, são opcionais. Todas as instâncias na VPC devem ter grupos de segurança adequados para se comunicar com os endpoints. Você pode fazer isso adicionando grupos de segurança a [`AdditionalSecurityGroups`](HeadNode-v3.md#yaml-HeadNode-Networking-AdditionalSecurityGroups) via [`HeadNode`](HeadNode-v3.md) e [`AdditionalSecurityGroups`](Scheduling-v3.md#yaml-Scheduling-SlurmQueues-Networking-AdditionalSecurityGroups) via configurações de [`SlurmQueues`](Scheduling-v3.md#Scheduling-v3-SlurmQueues). Por exemplo, se os endpoints da VPC forem criados sem especificar explicitamente um grupo de segurança, o grupo de segurança padrão será associado aos endpoints. Ao adicionar o grupo de segurança padrão ao `AdditionalSecurityGroups`, você ativa a comunicação entre o cluster e os endpoints. **nota** Ao usar políticas do IAM para restringir o acesso aos endpoints da VPC, você deve adicionar o seguinte ao endpoint da VPC do Amazon S3: ``` PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: "*" Action: - "s3:PutObject" Resource: - !Sub "arn:${AWS::Partition}:s3:::cloudformation-waitcondition-${AWS::Region}/*" ``` **Desabilitar o Route 53 e usar nomes de host do Amazon EC2** Ao criar um Slurm cluster, AWS ParallelCluster cria uma zona hospedada privada do Route 53 que é usada para resolver os nomes de host dos nós de computação personalizados, como. `{queue_name}-{st|dy}-{compute_resource}-{N}` Como o Route 53 não é compatível com endpoints da VPC, esse recurso deve ser desativado. Além disso, AWS ParallelCluster deve ser configurado para usar os nomes de host padrão do Amazon EC2, como. `ip-1-2-3-4` Aplique as seguintes configurações à configuração do seu cluster: ``` ... Scheduling: ... SlurmSettings: Dns: DisableManagedDns: true UseEc2Hostnames: true ``` **Atenção** Para clusters criados com [`SlurmSettings`](Scheduling-v3.md#Scheduling-v3-SlurmSettings)/[`Dns`](Scheduling-v3.md#Scheduling-v3-SlurmSettings-Dns)/[`DisableManagedDns`](Scheduling-v3.md#yaml-Scheduling-SlurmSettings-Dns-DisableManagedDns) e [`UseEc2Hostnames`](Scheduling-v3.md#yaml-Scheduling-SlurmSettings-Dns-UseEc2Hostnames) definidos como `true`, o Slurm `NodeName` não é resolvido pelo DNS. Em vez disso, use Slurm `NodeHostName`. **nota** **Esta nota não é relevante a partir da AWS ParallelCluster versão 3.3.0.** Para versões AWS ParallelCluster compatíveis anteriores à 3.3.0: Quando `UseEc2Hostnames` definido como`true`, o arquivo Slurm de configuração é definido com os `epilog` scripts AWS ParallelCluster `prolog` e: O `prolog` é executado para adicionar informações sobre nós ao `/etc/hosts` nos nós de computação quando cada trabalho é alocado. O `epilog` é executado para limpar o conteúdo escrito pelo `prolog`. Para adicionar scripts personalizados `prolog` ou `epilog`, adicione-os às pastas `/opt/slurm/etc/pcluster/prolog.d/` ou `/opt/slurm/etc/pcluster/epilog.d/`, respectivamente. **Configuração do cluster** Saiba como configurar seu cluster para ser executado em uma sub-rede sem conexão com a Internet. A configuração para essa arquitetura requer as seguintes definições: ``` # Note that all values are only provided as examples ... HeadNode: ... Networking: SubnetId: subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints AdditionalSecurityGroups: - sg-abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints LoginNodes: # optional, if enabled, requires creation and configuration of VPC endpoints for AWS Elastic Load Balancing (ELB) and Auto Scaling services Pools: - ... Networking: SubnetIds: - subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints attached AdditionalSecurityGroups: - sg-1abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints Scheduling: Scheduler: Slurm # Cluster in a subnet without internet access is supported only when the scheduler is Slurm. SlurmSettings: Dns: DisableManagedDns: true UseEc2Hostnames: true SlurmQueues: - ... Networking: SubnetIds: - subnet-1234567890abcdef0 # the VPC of the subnet needs to have VPC endpoints attached AdditionalSecurityGroups: - sg-1abcdef01234567890 # optional, the security group that enables the communication between the cluster and the VPC endpoints ``` + [`SubnetId(s)`](HeadNode-v3.md#yaml-HeadNode-Networking-SubnetId): A sub-rede sem acesso à Internet. Para permitir a comunicação entre AWS ParallelCluster e AWS os Serviços, a VPC da sub-rede deve ter os VPC endpoints conectados. Antes de criar seu cluster, verifique se a [atribuição automática de IPv4 endereço público está desativada](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip) na sub-rede para garantir que os `pcluster` comandos tenham acesso ao cluster. + [`AdditionalSecurityGroups`](HeadNode-v3.md#yaml-HeadNode-Networking-AdditionalSecurityGroups): o grupo de segurança que permite a comunicação entre o cluster e os endpoints da VPC. Opcional: + Se os endpoints da VPC forem criados sem especificar explicitamente um grupo de segurança, o grupo de segurança padrão da VPC será associado. Portanto, forneça o grupo de segurança padrão em `AdditionalSecurityGroups`. + Se grupos de segurança personalizados forem usados ao criar o cluster, and/or os VPC endpoints serão desnecessários, desde `AdditionalSecurityGroups` que os grupos de segurança personalizados permitam a comunicação entre o cluster e os VPC endpoints. + [`Scheduler`](Scheduling-v3.md#yaml-Scheduling-Scheduler): O programador do cluster. `slurm` é o único valor válido. Somente o agendador do Slurm é compatível com o cluster em uma sub-rede sem acesso à internet. + [`SlurmSettings`](Scheduling-v3.md#Scheduling-v3-SlurmSettings): as configurações do Slurm. Consulte a seção anterior *Desativar o Route53 e usar nomes de host do Amazon EC2*. **Limitações** + *Conectando-se ao nó principal via SSH ou Amazon DCV*: ao se conectar a um cluster, verifique se o cliente da conexão consegue acessar o nó principal do cluster por meio de seu endereço IP privado. Se o cliente não estiver na mesma VPC do nó principal, use uma instância de proxy em uma sub-rede pública da VPC. Esse requisito se aplica às conexões SSH e DCV. O IP público de um nó principal não fica acessível se a sub-rede não tiver acesso à Internet. Os comandos `pcluster ssh` e `dcv-connect` usam o IP público, se existir, ou o IP privado. Antes de criar seu cluster, verifique se a [atribuição automática de IPv4 endereço público está desativada](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip) na sub-rede para garantir que os `pcluster` comandos tenham acesso ao cluster. O exemplo a seguir mostra como você pode se conectar a uma sessão DCV em execução no nó principal do seu cluster. Você se conecta por meio de uma instância proxy do Amazon EC2. A instância funciona como um servidor do Amazon DCV para o PC e como cliente para o nó principal na sub-rede privada. Conecte-se por DCV por meio de uma instância de proxy em uma sub-rede pública: 1. Crie uma instância do Amazon EC2 em uma sub-rede pública, que esteja na mesma VPC que a sub-rede do cluster. 1. Verifique se o cliente e o servidor Amazon DCV estão instalados na instância do Amazon EC2. 1. Anexe uma política de AWS ParallelCluster usuário à instância proxy do Amazon EC2. Para obter mais informações, consulte [AWS ParallelCluster exemplo de políticas `pcluster` de usuário](iam-roles-in-parallelcluster-v3.md#iam-roles-in-parallelcluster-v3-example-user-policies). 1. Instale AWS ParallelCluster na instância proxy do Amazon EC2. 1. Conecte-se via DCV à instância proxy do Amazon EC2. 1. Use o comando `pcluster dcv-connect` na instância do proxy para se conectar ao cluster contido na sub-rede sem acesso à Internet. + *Interagindo com outros AWS serviços:* Somente os serviços estritamente exigidos pelo AWS ParallelCluster estão listados acima. Se seu cluster precisar interagir com outros serviços, crie os endpoints da VPC correspondentes.