本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的安全组 AWS PCS
Amazon 中的安全组EC2充当虚拟防火墙,用于控制实例的入站和出站流量。使用 AWS PCS计算节点组的启动模板向其实例添加或移除安全组。如果您的启动模板不包含任何网络接口,SecurityGroupIds请使用提供安全组列表。如果您的启动模板定义了网络接口,则必须使用Groups参数为每个网络接口分配安全组。有关启动模板的更多信息,请参阅将 Amazon EC2 启动模板与 AWS PCS。
注意
对启动模板中安全组配置的更改仅影响在更新计算节点组后启动的新实例。
安全组要求和注意事项
AWS PCS在创建集群时指定的子网中创建跨账户弹性网络接口 (ENI)。这为在由 AWS管理的账户中运行的HPC调度程序提供了与启动的EC2实例进行通信的路径。 AWS PCS您必须为此提供一个安全组ENI,允许调度程序ENI和您的集群实例EC2之间进行双向通信。
实现这一目标的一种直接方法是创建一个允许的自引用安全组,允许该组所有成员之间的所有端口上TCP的 /IP 流量。您可以将其连接到集群和节点组EC2实例。
许可安全组配置示例
| Rule type | 协议 | 端口 | 来源 | 目标位置 |
|---|---|---|---|---|
| 入站 | 全部 | 全部 | 自身 | |
| 出站 | 全部 | 全部 |
0.0.0.0/0 |
|
| 出站 | 全部 | 全部 | 自身 |
这些规则允许所有流量在 Slurm 控制器和节点之间自由流动,允许所有出站流量到达任何目的地,并启用EFA流量。
限制性安全组配置示例
您还可以限制集群与其计算节点之间的开放端口。对于 Slurm 调度程序,连接到集群的安全组必须允许以下端口:
-
6817-启用
slurmctld从EC2实例到的入站连接 -
6818 — 启用从
slurmctld到实例上slurmdEC2运行的出站连接
连接到计算节点的安全组必须允许以下端口:
-
6817 — 启用
slurmctld从EC2实例到的出站连接。 -
6818 — 启用与节点组实例之间的入
slurmd站slurmctldslurmd和出站连接 -
60001—63000 — 要支持的节点组实例之间的入站和出站连接
srun -
EFA节点组实例之间的流量。有关更多信息,请参阅 Linux 实例用户指南中的准备EFA已启用安全组
-
您的工作负载所需的任何其他节点间流量
