Descripción general de los grupos de seguridad Puertos necesarios para el funcionamiento del clúster Crear grupos de seguridad personalizados Configuración de grupos de seguridad en la configuración del clúster Uso de puntos finales de VPC en entornos restringidos Prácticas recomendadas para la configuración de grupos de seguridad Solución de problemas con los grupos de seguridad

Configuración de grupos de seguridad para entornos restringidos

De forma predeterminada, AWS ParallelCluster crea y configura grupos de seguridad que permiten todo el tráfico entre los nodos del clúster. En entornos muy restringidos, es posible que deba limitar el acceso a la red únicamente a los puertos necesarios para el funcionamiento del clúster. En esta sección se describe cómo configurar grupos de seguridad personalizados con acceso restringido para su AWS ParallelCluster implementación.

Descripción general de los grupos de seguridad

AWS ParallelCluster usa grupos de seguridad para controlar el tráfico de red entre el nodo principal, los nodos de cómputo y los nodos de inicio de sesión (si están configurados). De forma predeterminada, cuando AWS ParallelCluster crea un clúster, crea grupos de seguridad que permiten todo el tráfico entre los nodos del clúster. En entornos con requisitos de seguridad estrictos, puede proporcionar grupos de seguridad personalizados que limiten el tráfico únicamente a los puertos necesarios.

Los grupos de seguridad se pueden configurar en las siguientes secciones de la configuración del clúster:

HeadNode/Networking- Controla el acceso hacia y desde el nodo principal
Scheduling/SlurmQueues/Networking- Controla el acceso hacia y desde los nodos de cómputo
LoginNodes- Controla el acceso desde y hacia los nodos de inicio de sesión (si están configurados)

Para cada una de estas secciones, puede especificar:

SecurityGroups- Sustituye los grupos de seguridad predeterminados que se AWS ParallelCluster crearían
AdditionalSecurityGroups- Añade grupos de seguridad además de los predeterminados creados por AWS ParallelCluster

Puertos necesarios para el funcionamiento del clúster

Al configurar grupos de seguridad personalizados, debe asegurarse de que los siguientes puertos estén abiertos entre los nodos correspondientes:

Puertos necesarios para el nodo principal
Puerto	Protocolo	Dirección	Finalidad
22	TCP	Entrada	Acceso SSH al nodo principal (desde los rangos de IP permitidos)
6817-6819	TCP	Entrada	Puertos del controlador Slurm (desde los nodos de procesamiento e inicio de sesión)
6817-6819	TCP	Salida	Puertos de controlador Slurm (para calcular e iniciar sesión en los nodos)
8443	TCP	Entrada	NICE DCV (si está activado, desde los rangos de IP permitidos)
111, 2049	TCP/UDP	Entrada	NFS (desde los nodos de procesamiento e inicio de sesión, si se utiliza NFS para el almacenamiento compartido)
443	TCP	Salida	Acceso HTTPS a los AWS servicios (si no se utilizan puntos de enlace de VPC)

Puertos necesarios para los nodos de cómputo
Puerto	Protocolo	Dirección	Finalidad
22	TCP	Entrada	Acceso SSH (desde el nodo principal y los nodos de inicio de sesión)
6818	TCP	Entrada	Puerto Slurm daemon (desde el nodo principal)
6817-6819	TCP	Salida	Puertos del controlador Slurm (al nodo principal)
111, 2049	TCP/UDP	Salida	NFS (al nodo principal, si se utiliza NFS para almacenamiento compartido)
443	TCP	Salida	Acceso HTTPS a los AWS servicios (si no se utilizan puntos de enlace de VPC)

Si utilizas EFA (Elastic Fabric Adapter), también debes permitir todo el tráfico entre los nodos de cómputo que tengan habilitada la EFA:

Todo el tráfico TCP y UDP entre los nodos de cómputo con EFA
Todo el tráfico del dispositivo EFA entre los nodos de cómputo con EFA

nota

Si utiliza sistemas de almacenamiento compartido, como FSx Lustre, Amazon EFS u otras soluciones de almacenamiento, tendrá que asegurarse de que los puertos adecuados también estén abiertos para esos servicios.

Crear grupos de seguridad personalizados

Para crear grupos de seguridad personalizados para su AWS ParallelCluster implementación, siga estos pasos:

Cree grupos de seguridad para el nodo principal, los nodos de procesamiento y los nodos de inicio de sesión (si corresponde) mediante la consola AWS de administración, la AWS CLI o AWS CloudFormation.
Configure las reglas del grupo de seguridad para permitir solo el tráfico necesario, tal como se describe en la sección anterior.
Haga referencia a estos grupos de seguridad en el archivo de configuración del clúster.

A continuación, se muestra un ejemplo de cómo crear grupos de seguridad mediante la AWS CLI:


# Create security group for head node
aws ec2 create-security-group \
  --group-name pcluster-head-node-sg \
  --description "Security group for ParallelCluster head node" \
  --vpc-id vpc-12345678

# Create security group for compute nodes
aws ec2 create-security-group \
  --group-name pcluster-compute-node-sg \
  --description "Security group for ParallelCluster compute nodes" \
  --vpc-id vpc-12345678

# Add rules to allow necessary traffic between head and compute nodes
# (Add specific rules based on the required ports listed above)

Configuración de grupos de seguridad en la configuración del clúster

Una vez que haya creado los grupos de seguridad personalizados, puede hacer referencia a ellos en el archivo de configuración del clúster:


# Example cluster configuration with custom security groups
HeadNode:
  ...
  Networking:
    SubnetId: subnet-12345678
    SecurityGroups:
      - sg-headnode12345  # Custom security group for head node
    # Or use AdditionalSecurityGroups if you want to keep the default security groups
    # AdditionalSecurityGroups:
    #   - sg-additional12345
  ...

Scheduling:
  Scheduler: slurm
  SlurmQueues:
    - Name: queue1
      ...
      Networking:
        SubnetIds:
          - subnet-12345678
        SecurityGroups:
          - sg-computenode12345  # Custom security group for compute nodes
        # Or use AdditionalSecurityGroups if you want to keep the default security groups
        # AdditionalSecurityGroups:
        #   - sg-additional12345
      ...

# If using login nodes
LoginNodes:
  Pools:
    - Name: login-pool
      ...
      Networking:
        SubnetIds:
          - subnet-12345678
        SecurityGroups:
          - sg-loginnode12345  # Custom security group for login nodes
        # Or use AdditionalSecurityGroups if you want to keep the default security groups
        # AdditionalSecurityGroups:
        #   - sg-additional12345
      ...

Cuando los utiliceSecurityGroups, AWS ParallelCluster utilizará solo los grupos de seguridad que especifique y sustituirá a los predeterminados. Cuando lo utiliceAdditionalSecurityGroups, AWS ParallelCluster utilizará tanto los grupos de seguridad predeterminados que cree como los adicionales que especifique.

aviso

Si habilita Elastic Fabric Adapter (EFA) para sus instancias informáticas, asegúrese de que las instancias habilitadas para EFA sean miembros de un grupo de seguridad que permita que todo el tráfico entrante y saliente entre sí. Esto es necesario para que la EFA funcione correctamente.

Uso de puntos finales de VPC en entornos restringidos

En entornos muy restringidos, es posible que desee realizar la implementación AWS ParallelCluster en una subred sin acceso a Internet. En este caso, tendrás que configurar los puntos de conexión de la VPC para permitir que el clúster se comunique con los servicios. AWS Para obtener instrucciones detalladas, consulta AWS ParallelCluster en una sola subred sin acceso a Internet.

Cuando utilice puntos de enlace de VPC, asegúrese de que sus grupos de seguridad permitan el tráfico hacia y desde los puntos de enlace de VPC. Para ello, agregue los grupos de seguridad asociados a los puntos finales de la VPC a la AdditionalSecurityGroups configuración del nodo principal y de los nodos de procesamiento.


HeadNode:
  ...
  Networking:
    SubnetId: subnet-1234567890abcdef0
    AdditionalSecurityGroups:
      - sg-abcdef01234567890  # Security group that enables communication with VPC endpoints
  ...

Scheduling:
  Scheduler: slurm
  SlurmQueues:
    - ...
      Networking:
        SubnetIds:
          - subnet-1234567890abcdef0
        AdditionalSecurityGroups:
          - sg-1abcdef01234567890  # Security group that enables communication with VPC endpoints

Prácticas recomendadas para la configuración de grupos de seguridad

Al configurar grupos de seguridad para entornos restringidos, tenga AWS ParallelCluster en cuenta las siguientes prácticas recomendadas:

Principio de privilegios mínimos: abra únicamente los puertos que sean necesarios para el funcionamiento del clúster.
Utilice referencias a grupos de seguridad: siempre que sea posible, utilice referencias a grupos de seguridad (lo que permite el tráfico desde otro grupo de seguridad) en lugar de bloques CIDR para limitar el tráfico entre los componentes del clúster.
Restrinja el acceso SSH: limite el acceso SSH al nodo principal solo a los rangos de IP que lo necesiten mediante la configuración HeadNode//Ssh. AllowedIps
Restrinja el acceso al DCV: si utiliza NICE DCV, limite el acceso solo a los rangos de IP que lo necesiten mediante HeadNodela configuraciónDcv//AllowedIps.
Realice pruebas exhaustivas: después de configurar los grupos de seguridad personalizados, pruebe minuciosamente todas las funciones del clúster para asegurarse de que todas las rutas de comunicación necesarias funcionan.
Documente la configuración: guarde la documentación de la configuración del grupo de seguridad, incluidos los puertos que están abiertos y por qué son necesarios.

Solución de problemas con los grupos de seguridad

Si tiene problemas después de configurar los grupos de seguridad personalizados, tenga en cuenta los siguientes pasos de solución de problemas:

Compruebe los registros del clúster: revise los registros del clúster en los CloudWatch registros para ver si hay errores de conexión.
Compruebe las reglas del grupo de seguridad: asegúrese de que todos los puertos necesarios estén abiertos entre los nodos correspondientes.
Pruebe la conectividad: utilice herramientas como telnet o nc para probar la conectividad entre los nodos de puertos específicos.
Amplíe temporalmente las reglas: si tiene problemas para identificar qué puertos son necesarios, permita temporalmente todo el tráfico entre los nodos del clúster y, después, restríngalo gradualmente a medida que identifique los puertos necesarios.
Compruebe la configuración de los puntos de enlace de la VPC: si utiliza puntos de enlace de la VPC, asegúrese de que estén configurados correctamente y de que los grupos de seguridad permitan el tráfico hacia y desde ellos.

Si sigue teniendo problemas, puede volver a utilizar los grupos de seguridad predeterminados creados AWS ParallelCluster eliminando la configuración del archivo de SecurityGroups configuración del clúster.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Aplicación de TLS 1.2

Compatible Regiones de AWS