Grupos de seguridad en AWS PCS - AWS PCS
Requisitos del grupo de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Grupos de seguridad en AWS PCS

Los grupos de seguridad de Amazon EC2 actúan como firewalls virtuales para controlar el tráfico entrante y saliente a las instancias. Usa una plantilla de lanzamiento para que un grupo de nodos de AWS PCS cómputo añada o elimine grupos de seguridad en sus instancias. Si la plantilla de lanzamiento no contiene ninguna interfaz de red, úsala SecurityGroupIds para proporcionar una lista de grupos de seguridad. Si la plantilla de lanzamiento define las interfaces de red, debe usar el Groups parámetro para asignar grupos de seguridad a cada interfaz de red. Para obtener más información acerca de las plantillas de inicialización, consulte Uso de plantillas de EC2 lanzamiento de Amazon con AWS PCS.

nota

Los cambios en la configuración del grupo de seguridad en la plantilla de lanzamiento solo afectan a las nuevas instancias lanzadas una vez actualizado el grupo de nodos de procesamiento.

Requisitos y consideraciones sobre los grupos de seguridad

AWS PCScrea una interfaz de red elástica (ENI) multicuenta en la subred que especifique al crear un clúster. Esto proporciona al HPC programador, que se ejecuta en una cuenta administrada por AWS, una ruta para comunicarse con las EC2 instancias lanzadas por. AWS PCS Debe proporcionar un grupo de seguridad ENI que permita la comunicación bidireccional entre el programador ENI y las instancias del clúster. EC2

Una forma sencilla de lograrlo consiste en crear un grupo de seguridad autorreferenciado y permisivo que permita el tráfico TCP /IP en todos los puertos entre todos los miembros del grupo. Puede adjuntarlo tanto al clúster como a las instancias del grupo de nodos. EC2

Ejemplo de configuración permisiva de un grupo de seguridad

Tipo de regla Protocolos Puertos Origen Destino
Entrada Todos Todos Auto
Salida Todos Todos

0.0.0.0/0
Salida Todos Todos Auto

Estas reglas permiten que todo el tráfico fluya libremente entre el controlador Slurm y los nodos, permiten que todo el tráfico saliente se dirija a cualquier destino y habilitan el tráfico. EFA

Ejemplo de configuración restrictiva de un grupo de seguridad

También puede limitar los puertos abiertos entre el clúster y sus nodos de procesamiento. En el caso del programador de Slurm, el grupo de seguridad adjunto al clúster debe permitir los siguientes puertos:

  • 6817: habilita las conexiones entrantes desde y hacia las instancias slurmctld EC2

  • 6818: habilita las conexiones salientes desde slurmctld y hasta que se ejecuten en las instancias slurmd EC2

El grupo de seguridad adjunto a sus nodos de procesamiento debe permitir los siguientes puertos:

  • 6817: habilita las conexiones salientes slurmctld desde EC2 las instancias.

  • 6818: habilita las conexiones entrantes y salientes desde y hacia las instancias slurmd del grupo de slurmctld nodos slurmd

  • 60001—63000: conexiones entrantes y salientes entre instancias de grupos de nodos para admitir srun

  • EFAtráfico entre instancias de grupos de nodos. Para obtener más información, consulte Preparar un grupo de seguridad EFA habilitado en la Guía del usuario de instancias de Linux

  • Cualquier otro tráfico entre nodos que requiera su carga de trabajo