Ikhtisar grup keamanan Port yang diperlukan untuk operasi cluster Membuat grup keamanan khusus Mengkonfigurasi grup keamanan dalam konfigurasi cluster Menggunakan titik akhir VPC di lingkungan terbatas Praktik terbaik untuk konfigurasi grup keamanan Memecahkan masalah grup keamanan

Mengkonfigurasi grup keamanan untuk lingkungan terbatas

Secara default, AWS ParallelCluster membuat dan mengonfigurasi grup keamanan yang memungkinkan semua lalu lintas antar node cluster. Di lingkungan yang sangat terbatas, Anda mungkin perlu membatasi akses jaringan hanya ke port yang diperlukan untuk operasi cluster. Bagian ini menjelaskan cara mengonfigurasi grup keamanan khusus dengan akses terbatas untuk AWS ParallelCluster penerapan Anda.

Ikhtisar grup keamanan

AWS ParallelCluster menggunakan grup keamanan untuk mengontrol lalu lintas jaringan antara node kepala, node komputasi, dan node login (jika dikonfigurasi). Secara default, ketika AWS ParallelCluster membuat cluster, itu menciptakan grup keamanan yang memungkinkan semua lalu lintas antar node dalam cluster. Di lingkungan dengan persyaratan keamanan yang ketat, Anda dapat menyediakan grup keamanan khusus yang membatasi lalu lintas hanya ke port yang diperlukan.

Grup keamanan dapat dikonfigurasi di bagian berikut dari konfigurasi klaster Anda:

HeadNode/Networking- Mengontrol akses ke dan dari node kepala
Scheduling/SlurmQueues/Networking- Mengontrol akses ke dan dari node komputasi
LoginNodes- Mengontrol akses ke dan dari node login (jika dikonfigurasi)

Untuk masing-masing bagian ini, Anda dapat menentukan:

SecurityGroups- Menggantikan grup keamanan default yang AWS ParallelCluster akan membuat
AdditionalSecurityGroups- Menambahkan grup keamanan selain yang default yang dibuat oleh AWS ParallelCluster

Port yang diperlukan untuk operasi cluster

Saat mengonfigurasi grup keamanan khusus, Anda harus memastikan bahwa port berikut terbuka di antara node yang sesuai:

Port yang diperlukan untuk node kepala
Port	Protokol	Arahan	Tujuan
22	TCP	Ke dalam	Akses SSH ke node kepala (dari rentang IP yang diizinkan)
6817-6819	TCP	Ke dalam	Port pengontrol slurm (dari node komputasi dan login)
6817-6819	TCP	Ke luar	Port pengontrol slurm (untuk menghitung dan login node)
8443	TCP	Ke dalam	NICE DCV (jika diaktifkan, dari rentang IP yang diizinkan)
111, 2049	TCP/UDP	Ke dalam	NFS (dari node komputasi dan login, jika menggunakan NFS untuk penyimpanan bersama)
443	TCP	Ke luar	Akses HTTPS ke AWS layanan (jika tidak menggunakan titik akhir VPC)

Port yang diperlukan untuk node komputasi
Port	Protokol	Arahan	Tujuan
22	TCP	Ke dalam	Akses SSH (dari node kepala dan node login)
6818	TCP	Ke dalam	Port daemon slurm (dari simpul kepala)
6817-6819	TCP	Ke luar	Port pengontrol slurm (ke node kepala)
111, 2049	TCP/UDP	Ke luar	NFS (ke node kepala, jika menggunakan NFS untuk penyimpanan bersama)
443	TCP	Ke luar	Akses HTTPS ke AWS layanan (jika tidak menggunakan titik akhir VPC)

Jika Anda menggunakan EFA (Elastic Fabric Adapter), Anda juga harus mengizinkan semua lalu lintas antara node komputasi yang mengaktifkan EFA:

Semua lalu lintas TCP dan UDP antara node komputasi dengan EFA
Semua lalu lintas pada perangkat EFA antara node komputasi dengan EFA

catatan

Jika Anda menggunakan sistem penyimpanan bersama seperti FSx untuk Lustre, Amazon EFS, atau solusi penyimpanan lainnya, Anda harus memastikan bahwa port yang sesuai juga terbuka untuk layanan tersebut.

Membuat grup keamanan khusus

Untuk membuat grup keamanan khusus untuk AWS ParallelCluster penerapan Anda, ikuti langkah-langkah berikut:

Buat grup keamanan untuk node kepala, node komputasi, dan node login (jika ada) menggunakan AWS Management Console, AWS CLI, atau. AWS CloudFormation
Konfigurasikan aturan grup keamanan untuk mengizinkan hanya lalu lintas yang diperlukan seperti yang diuraikan di bagian sebelumnya.
Referensikan grup keamanan ini di file konfigurasi klaster Anda.

Berikut adalah contoh cara membuat grup keamanan menggunakan AWS CLI:


# Create security group for head node
aws ec2 create-security-group \
  --group-name pcluster-head-node-sg \
  --description "Security group for ParallelCluster head node" \
  --vpc-id vpc-12345678

# Create security group for compute nodes
aws ec2 create-security-group \
  --group-name pcluster-compute-node-sg \
  --description "Security group for ParallelCluster compute nodes" \
  --vpc-id vpc-12345678

# Add rules to allow necessary traffic between head and compute nodes
# (Add specific rules based on the required ports listed above)

Mengkonfigurasi grup keamanan dalam konfigurasi cluster

Setelah membuat grup keamanan kustom, Anda dapat mereferensikannya di file konfigurasi cluster Anda:


# Example cluster configuration with custom security groups
HeadNode:
  ...
  Networking:
    SubnetId: subnet-12345678
    SecurityGroups:
      - sg-headnode12345  # Custom security group for head node
    # Or use AdditionalSecurityGroups if you want to keep the default security groups
    # AdditionalSecurityGroups:
    #   - sg-additional12345
  ...

Scheduling:
  Scheduler: slurm
  SlurmQueues:
    - Name: queue1
      ...
      Networking:
        SubnetIds:
          - subnet-12345678
        SecurityGroups:
          - sg-computenode12345  # Custom security group for compute nodes
        # Or use AdditionalSecurityGroups if you want to keep the default security groups
        # AdditionalSecurityGroups:
        #   - sg-additional12345
      ...

# If using login nodes
LoginNodes:
  Pools:
    - Name: login-pool
      ...
      Networking:
        SubnetIds:
          - subnet-12345678
        SecurityGroups:
          - sg-loginnode12345  # Custom security group for login nodes
        # Or use AdditionalSecurityGroups if you want to keep the default security groups
        # AdditionalSecurityGroups:
        #   - sg-additional12345
      ...

Saat menggunakanSecurityGroups, hanya AWS ParallelCluster akan menggunakan grup keamanan yang Anda tentukan, menggantikan yang default. Saat menggunakanAdditionalSecurityGroups, AWS ParallelCluster akan menggunakan kedua grup keamanan default yang dibuatnya dan yang tambahan yang Anda tentukan.

Awas

Jika Anda mengaktifkan Elastic Fabric Adapter (EFA) untuk instans komputasi, pastikan instans berkemampuan EFA Anda adalah anggota grup keamanan yang memungkinkan semua lalu lintas masuk dan keluar ke dirinya sendiri. Ini diperlukan agar EFA berfungsi dengan baik.

Menggunakan titik akhir VPC di lingkungan terbatas

Di lingkungan yang sangat terbatas, Anda mungkin ingin menyebarkan AWS ParallelCluster di subnet tanpa akses internet. Dalam hal ini, Anda harus mengonfigurasi titik akhir VPC untuk memungkinkan cluster berkomunikasi dengan layanan. AWS Untuk petunjuk mendetail, lihat AWS ParallelCluster dalam satu subnet tanpa akses internet.

Saat menggunakan titik akhir VPC, pastikan grup keamanan Anda mengizinkan lalu lintas ke dan dari titik akhir VPC. Anda dapat melakukan ini dengan menambahkan grup keamanan yang terkait dengan titik akhir VPC ke AdditionalSecurityGroups konfigurasi untuk node kepala dan node komputasi Anda.


HeadNode:
  ...
  Networking:
    SubnetId: subnet-1234567890abcdef0
    AdditionalSecurityGroups:
      - sg-abcdef01234567890  # Security group that enables communication with VPC endpoints
  ...

Scheduling:
  Scheduler: slurm
  SlurmQueues:
    - ...
      Networking:
        SubnetIds:
          - subnet-1234567890abcdef0
        AdditionalSecurityGroups:
          - sg-1abcdef01234567890  # Security group that enables communication with VPC endpoints

Praktik terbaik untuk konfigurasi grup keamanan

Saat mengonfigurasi grup keamanan AWS ParallelCluster di lingkungan terbatas, pertimbangkan praktik terbaik berikut:

Prinsip hak istimewa terkecil: Hanya buka port yang diperlukan untuk operasi cluster.
Gunakan referensi grup keamanan: Jika memungkinkan, gunakan referensi grup keamanan (memungkinkan lalu lintas dari grup keamanan lain) daripada blok CIDR untuk membatasi lalu lintas antar komponen cluster.
Batasi akses SSH: Batasi akses SSH ke node kepala hanya untuk rentang IP yang membutuhkannya menggunakan konfigurasi HeadNode//Ssh. AllowedIps
Batasi akses DCV: Jika menggunakan NICE DCV, batasi akses hanya ke rentang IP yang membutuhkannya menggunakan HeadNode konfigurasi//. DcvAllowedIps
Uji secara menyeluruh: Setelah mengonfigurasi grup keamanan khusus, uji secara menyeluruh semua fungsionalitas klaster untuk memastikan bahwa semua jalur komunikasi yang diperlukan berfungsi.
Dokumentasikan konfigurasi Anda: Pertahankan dokumentasi konfigurasi grup keamanan Anda, termasuk port mana yang terbuka dan mengapa diperlukan.

Memecahkan masalah grup keamanan

Jika Anda mengalami masalah setelah mengonfigurasi grup keamanan khusus, pertimbangkan langkah-langkah pemecahan masalah berikut:

Periksa log klaster: Tinjau log cluster di CloudWatch Log untuk mengetahui kesalahan koneksi apa pun.
Verifikasi aturan grup keamanan: Pastikan semua port yang diperlukan terbuka di antara node yang sesuai.
Uji konektivitas: Gunakan alat seperti telnet atau nc untuk menguji konektivitas antar node pada port tertentu.
Perluas aturan untuk sementara: Jika Anda mengalami kesulitan mengidentifikasi port mana yang diperlukan, izinkan sementara semua lalu lintas antar node cluster dan kemudian secara bertahap batasi saat Anda mengidentifikasi port yang diperlukan.
Periksa konfigurasi titik akhir VPC: Jika Anda menggunakan titik akhir VPC, pastikan bahwa mereka dikonfigurasi dengan benar dan bahwa grup keamanan mengizinkan lalu lintas ke dan dari mereka.

Jika Anda terus mengalami masalah, Anda dapat kembali menggunakan grup keamanan default yang dibuat AWS ParallelCluster dengan menghapus SecurityGroups konfigurasi dari file konfigurasi cluster Anda.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menegakkan TLS 1.2

Didukung Wilayah AWS