Nodos de inicio de sesión - AWS ParallelCluster

A partir de la versión 3.7.0, los administradores de clústeres de AWS ParallelCluster pueden aprovisionar nodos de inicio de sesión que se pueden utilizar para proporcionar acceso a los usuarios para ejecutar trabajos, en lugar de acceder directamente al nodo principal del clúster. Los usuarios del clúster con los permisos adecuados pueden usar Active Directory o su credencial SSH para iniciar sesión y para enviar y administrar sus trabajos. Como resultado, se puede mejorar la administración de clústeres y se pueden minimizar las posibilidades de agotar los recursos del nodo principal que Slurm necesita para administrar el clúster. Los usuarios que hayan iniciado sesión también tendrán acceso a todo el almacenamiento compartido del clúster montado en los nodos de inicio de sesión. Si es necesario detener la sesión de un nodo de inicio de sesión, se notificará previamente a los usuarios a través de la sesión de shell activa que estén utilizando.

Los nodos de inicio de sesión se especifican como grupos, donde un grupo define un grupo de nodos de inicio de sesión que tienen la misma configuración de recursos. Todos los nodos de inicio de sesión de un grupo están configurados para formar parte de un equilibrador de carga de red que permite distribuir las sesiones entre los nodos de inicio de sesión de forma sucesiva. La presente implementación permite especificar un grupo de nodos de inicio de sesión que contiene varios nodos de inicio de sesión.

Seguridad

Los nodos de inicio de sesión heredan la configuración de AllowedIPs AllowedIps del nodo principal. De esta forma, los administradores del clúster pueden restringir la seguridad del clúster especificando el CIDR de origen o una lista de prefijos desde la que se permiten las conexiones SSH.

En la presente implementación, el acceso al nodo principal no se restringe automáticamente al habilitar los nodos de inicio de sesión. Si es necesario, un administrador de clústeres puede restringir este acceso actualizando la configuración SSH del nodo principal mediante comandos estándar de Linux. Esto también se puede lograr especificando grupos de seguridad personalizados en el nodo principal mediante la configuración de AdditionalSecurityGroups en la sección del nodo principal del archivo YAML de ParallelCluster para denegar las conexiones de usuarios no autorizados.

Redes

Los nodos de inicio de sesión se aprovisionan con una única dirección de conexión al equilibrador de carga de red configurado para el grupo de nodos de inicio de sesión. La configuración de conectividad de la dirección se basa en el tipo de subred especificado en la configuración del grupo de nodos de inicio de sesión.

Si la subred es privada, la dirección será privada y, para permitir el acceso a los nodos de inicio de sesión, el administrador del clúster debe aprovisionar un host bastión.
Si la subred es pública, la dirección será pública.

El equilibrador de carga de red administra todas las solicitudes de conexión mediante el enrutamiento por turnos.

Almacenamiento

Todo el almacenamiento compartido configurado en el clúster mediante ParallelCluster, incluido el almacenamiento administrado, se montará en todos los nodos de inicio de sesión.

Recuperación de la información de los nodos de inicio de sesión

Para recuperar la dirección de la conexión única aprovisionada para acceder a los nodos de inicio de sesión, el administrador del clúster puede ejecutar el comando describe-cluster. El comando también proporcionará más información sobre el estado de los nodos de inicio de sesión.

Los nodos de inicio de sesión son un nuevo tipo de nodo compatible con ParallelCluster que se puede especificar con el comando describe-cluster-instances al consultar el estado de un tipo de nodo específico.

La disponibilidad de una dirección de conexión única para el grupo de nodos de inicio de sesión no impide el acceso directo a un nodo de inicio de sesión específico. Sin embargo, no se recomienda utilizar la conexión directa para evitar las advertencias del cliente SSH. El cliente SSH almacena los identificadores de host de forma local para cada dirección de destino. Como el identificador de host es específico de cada grupo, el uso de diferentes direcciones IP o de una sola dirección de conexión puede tener el mismo identificador de host asociado a diferentes direcciones de destino, lo que puede provocar una advertencia por parte del cliente SSH, ya que el mismo identificador de host está asociado a varios destinos.

Propiedades del IMDS

El acceso al IMDS del nodo de inicio de sesión (y a las credenciales del perfil de la instancia) está restringido al usuario raíz, al usuario administrador del clúster (pc-cluster-admin de forma predeterminada) y al usuario predeterminado específico del sistema operativo (ec2-user en Amazon Linux 2 y RedHat, ubuntu en Ubuntu 18.04 y centos en CentOS 7).

Para restringir el acceso al IMDS, AWS ParallelCluster administra una cadena de iptables.

nota

Cualquier personalización de las reglas iptables o ip6tables puede interferir con el mecanismo utilizado para restringir el acceso al IMDS en el nodo de inicio de sesión. Consulte también Imds property setting.

Ciclo de vida de los nodos de inicio de sesión

Actualmente, no hay ningún comando dedicado a detener e iniciar los nodos de inicio de sesión de un grupo. Para detener los nodos de inicio de sesión de un grupo, el administrador del clúster debe actualizar la configuración del clúster especificando un cero en el recuento de nodos de inicio de sesión (Count: 0) y, a continuación, ejecutar un comando pcluster.update-cluster-v3.

nota

Los usuarios que han iniciado sesión reciben una notificación sobre la finalización de la instancia específica y sobre el periodo de gracia correspondiente. Durante el periodo de gracia, no se permitirán nuevas conexiones, excepto las del usuario predeterminado del clúster. El administrador del clúster puede personalizar el mensaje que se muestra desde el nodo principal o desde un nodo de inicio de sesión que edita el archivo /opt/parallelcluster/shared_login_nodes/loginmgtd_config.json.

Para iniciar el grupo de nodos de inicio de sesión, el administrador del clúster debe restaurar el valor Count anterior de la configuración del clúster y, a continuación, ejecutar un comando update-cluster.

Permisos necesarios para ejecutar el grupo de nodos de inicio de sesión

Para administrar el grupo de nodos de inicio de sesión, el administrador del clúster debe tener los siguientes permisos adicionales:



            - Action:
              - autoscaling:DeleteAutoScalingGroup
              - autoscaling:DeleteLifecycleHook
              - autoscaling:Describe*
              - autoscaling:PutLifecycleHook
              - autoscaling:UpdateAutoScalingGroup
              - elasticloadbalancing:CreateListener
              - elasticloadbalancing:CreateTargetGroup
              - elasticloadbalancing:DeleteListener
              - elasticloadbalancing:DeleteLoadBalancer
              - elasticloadbalancing:DeleteTargetGroup
              - elasticloadbalancing:Describe*
              - elasticloadbalancing:ModifyLoadBalancerAttributes
            Resource: '*'
            Condition:
              ForAllValues:StringEquals:
                aws:TagKeys: [ "parallelcluster:cluster-name" ]
            - Action:
              - autoscaling:CreateAutoScalingGroup
              - elasticloadbalancing:AddTags
              - elasticloadbalancing:CreateLoadBalancer
            Resource: '*'
            Effect: Allow

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuraciones de red

Acciones de arranque personalizadas