Groupes de sécurité dans AWS PCS - AWS PCS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Groupes de sécurité dans AWS PCS

Les groupes de sécurité d'Amazon EC2 agissent comme des pare-feux virtuels pour contrôler le trafic entrant et sortant vers les instances. Utilisez un modèle de lancement pour un groupe de nœuds de AWS PCS calcul afin d'ajouter ou de supprimer des groupes de sécurité à ses instances. Si votre modèle de lancement ne contient aucune interface réseau, utilisez-le SecurityGroupIds pour fournir une liste de groupes de sécurité. Si votre modèle de lancement définit des interfaces réseau, vous devez utiliser le Groups paramètre pour attribuer des groupes de sécurité à chaque interface réseau. Pour plus d'informations sur les modèles de lancement, consultezUtilisation des modèles EC2 de lancement Amazon avec AWS PCS.

Note

Les modifications apportées à la configuration du groupe de sécurité dans le modèle de lancement concernent uniquement les nouvelles instances lancées après la mise à jour du groupe de nœuds de calcul.

Exigences et considérations relatives aux groupes de sécurité

AWS PCScrée une interface réseau élastique (ENI) entre comptes dans le sous-réseau que vous spécifiez lors de la création d'un cluster. Cela fournit au HPC planificateur, qui s'exécute dans un compte géré par AWS, un chemin pour communiquer avec les EC2 instances lancées par. AWS PCS Pour cela, vous devez fournir un groupe de sécurité ENI qui autorise la communication bidirectionnelle entre le planificateur ENI et vos instances de cluster. EC2

Une méthode simple consiste à créer un groupe de sécurité autoréférencé permissif qui autorise le trafic TCP /IP sur tous les ports entre tous les membres du groupe. Vous pouvez l'associer à la fois au cluster et aux EC2 instances du groupe de nœuds.

Exemple de configuration de groupe de sécurité permissive

Type de règle Protocoles Ports Source Destination
Entrant Tous Tous Auto-utilisateur
Sortant Tous Tous

0.0.0.0/0

Sortant Tous Tous Auto-utilisateur

Ces règles permettent à tout le trafic de circuler librement entre le contrôleur Slurm et les nœuds, autorisent tout le trafic sortant vers n'importe quelle destination et autorisent le trafic. EFA

Exemple de configuration restrictive d'un groupe de sécurité

Vous pouvez également limiter les ports ouverts entre le cluster et ses nœuds de calcul. Pour le planificateur Slurm, le groupe de sécurité rattaché à votre cluster doit autoriser les ports suivants :

  • 6817 — activer les connexions entrantes vers les instances depuis slurmctld EC2

  • 6818 — active les connexions sortantes depuis et en cours d'slurmdexécution slurmctld sur les instances EC2

Le groupe de sécurité attaché à vos nœuds de calcul doit autoriser les ports suivants :

  • 6817 — active les connexions sortantes vers des instances à slurmctld partir EC2 d'instances.

  • 6818 — activer les connexions entrantes et sortantes vers slurmctld et slurmd depuis des instances de groupes slurmd de nœuds

  • 60001—63000 — connexions entrantes et sortantes entre les instances de groupes de nœuds à prendre en charge srun

  • EFAtrafic entre les instances de groupes de nœuds. Pour plus d'informations, voir Préparer un groupe de sécurité EFA activé dans le Guide de l'utilisateur pour les instances Linux

  • Tout autre trafic inter-nœuds requis par votre charge de travail