Grupos de seguridad en AWS PCS - AWS PCS
Requisitos del grupo de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Grupos de seguridad en AWS PCS

Los grupos de seguridad de Amazon EC2 actúan como firewalls virtuales para controlar el tráfico entrante y saliente a las instancias. Utilice una plantilla de lanzamiento para un grupo de nodos de cómputo de AWS PCS para añadir o eliminar grupos de seguridad en sus instancias. Si la plantilla de lanzamiento no contiene ninguna interfaz de red, utilícela SecurityGroupIds para proporcionar una lista de grupos de seguridad. Si la plantilla de lanzamiento define las interfaces de red, debe usar el Groups parámetro para asignar grupos de seguridad a cada interfaz de red. Para obtener más información acerca de las plantillas de inicialización, consulte Uso de plantillas de EC2 lanzamiento de Amazon con AWS PCS.

nota

Los cambios en la configuración del grupo de seguridad en la plantilla de lanzamiento solo afectan a las nuevas instancias lanzadas una vez actualizado el grupo de nodos de procesamiento.

Requisitos y consideraciones sobre los grupos de seguridad

AWS PCS crea una interfaz de red elástica (ENI) entre cuentas en la subred que especifique al crear un clúster. Esto proporciona al programador de HPC, que se ejecuta en una cuenta administrada por AWS, una ruta para comunicarse con las EC2 instancias lanzadas por PCS. AWS Debe proporcionar un grupo de seguridad para ese ENI que permita la comunicación bidireccional entre el ENI del programador y las instancias del clúster. EC2

Una forma sencilla de lograrlo consiste en crear un grupo de seguridad autorreferenciado permisivo que permita el tráfico TCP/IP en todos los puertos entre todos los miembros del grupo. Puede adjuntarlo tanto al clúster como a las instancias del grupo de nodos. EC2

Ejemplo de configuración permisiva de un grupo de seguridad

Tipo de regla Protocolos Puertos Origen Destino
Entrada Todos Todos Auto
Salida Todos Todos

0.0.0.0/0
Salida Todos Todos Auto

Estas reglas permiten que todo el tráfico fluya libremente entre el controlador Slurm y los nodos, permiten que todo el tráfico saliente se dirija a cualquier destino y habilitan el tráfico EFA.

Ejemplo de configuración restrictiva de un grupo de seguridad

También puede limitar los puertos abiertos entre el clúster y sus nodos de procesamiento. En el caso del programador de Slurm, el grupo de seguridad adjunto al clúster debe permitir los siguientes puertos:

  • 6817: habilita las conexiones entrantes desde y hacia las instancias slurmctld EC2

  • 6818: habilita las conexiones salientes desde slurmctld y hasta que se ejecuten en las instancias slurmd EC2

El grupo de seguridad adjunto a sus nodos de procesamiento debe permitir los siguientes puertos:

  • 6817: habilita las conexiones salientes slurmctld desde EC2 las instancias.

  • 6818: habilita las conexiones entrantes y salientes desde y hacia las instancias slurmd del grupo de slurmctld nodos slurmd

  • 60001—63000: conexiones entrantes y salientes entre instancias de grupos de nodos para admitir srun

  • Tráfico de EFA entre instancias de grupos de nodos. Para obtener más información, consulte Preparar un grupo de seguridad habilitado para EFA en la Guía del usuario para instancias de Linux

  • Cualquier otro tráfico entre nodos que requiera su carga de trabajo