Sicherheitsgruppen in AWS PCS - AWS PCS
Anforderungen an Sicherheitsgruppen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitsgruppen in AWS PCS

Sicherheitsgruppen in Amazon EC2 agieren als virtuelle Firewalls, um den ein- und ausgehenden Datenverkehr zu Instances zu kontrollieren. Verwenden Sie eine Startvorlage für eine AWS PCS Compute-Knotengruppe, um Sicherheitsgruppen zu ihren Instances hinzuzufügen oder zu entfernen. Wenn Ihre Startvorlage keine Netzwerkschnittstellen enthält, verwenden Sie diese, SecurityGroupIds um eine Liste von Sicherheitsgruppen bereitzustellen. Wenn Ihre Startvorlage Netzwerkschnittstellen definiert, müssen Sie den Groups Parameter verwenden, um jeder Netzwerkschnittstelle Sicherheitsgruppen zuzuweisen. Weitere Informationen zu Startvorlagen finden Sie unterVerwenden von EC2 Amazon-Startvorlagen mit AWS PCS.

Anmerkung

Änderungen an der Sicherheitsgruppenkonfiguration in der Startvorlage wirken sich nur auf neue Instances aus, die nach der Aktualisierung der Compute-Knotengruppe gestartet werden.

Anforderungen und Überlegungen zur Sicherheitsgruppe

AWS PCSerstellt ein kontoübergreifendes Elastic Network Interface (ENI) in dem Subnetz, das Sie bei der Erstellung eines Clusters angeben. Dadurch erhält der HPC Scheduler, der in einem von verwalteten Konto ausgeführt wird AWS, einen Pfad für die Kommunikation mit EC2 Instances, die von gestartet wurden. AWS PCS Sie müssen dafür eine Sicherheitsgruppe bereitstellen, ENI die eine bidirektionale Kommunikation zwischen dem Scheduler ENI und Ihren Cluster-Instances ermöglicht. EC2

Eine einfache Möglichkeit, dies zu erreichen, besteht darin, eine permissive, selbstreferenzierende Sicherheitsgruppe zu erstellen, die TCP /IP-Verkehr auf allen Ports zwischen allen Mitgliedern der Gruppe zulässt. Sie können dies sowohl an die Cluster- als auch an die Knotengruppeninstanzen anhängen. EC2

Beispiel für eine permissive Sicherheitsgruppenkonfiguration

Regeltyp Protokolle Ports Quelle Ziel
Eingehend Alle Alle Selbst
Ausgehend Alle Alle

0.0.0.0/0
Ausgehend Alle Alle Selbst

Diese Regeln ermöglichen den freien Fluss des gesamten Datenverkehrs zwischen dem Slurm-Controller und den Knoten, lassen den gesamten ausgehenden Verkehr zu einem beliebigen Ziel zu und ermöglichen den Datenverkehr. EFA

Beispiel für eine restriktive Sicherheitsgruppenkonfiguration

Sie können auch die offenen Ports zwischen dem Cluster und seinen Rechenknoten einschränken. Für den Slurm-Scheduler muss die mit Ihrem Cluster verbundene Sicherheitsgruppe die folgenden Ports zulassen:

  • 6817 — aktiviert eingehende Verbindungen zu externen Instanzen slurmctld EC2

  • 6818 — aktiviert ausgehende Verbindungen von slurmctld zu Instances, die auf Instances ausgeführt werden slurmd EC2

Die mit Ihren Rechenknoten verbundene Sicherheitsgruppe muss die folgenden Ports zulassen:

  • 6817 — ermöglicht ausgehende Verbindungen zu slurmctld externen EC2 Instanzen.

  • 6818 — ermöglicht eingehende und ausgehende Verbindungen slurmd von slurmctld und zu Knotengruppen-Instances slurmd

  • 60001—63000 — Unterstützung eingehender und ausgehender Verbindungen zwischen Knotengruppen-Instances srun

  • EFAVerkehr zwischen Knotengruppen-Instanzen. Weitere Informationen finden Sie unter Prepare an EFA -enabled Security Group im Benutzerhandbuch für Linux-Instances

  • Jeder andere Datenverkehr zwischen den Knoten, der für Ihren Workload erforderlich ist