Grupos de segurança em AWS PCS - AWS PCS
Requisitos para grupos de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Grupos de segurança em AWS PCS

Os grupos de segurança na Amazon EC2 atuam como firewalls virtuais para controlar o tráfego de entrada e saída para as instâncias. Use um modelo de execução para um grupo de nós de AWS PCS computação para adicionar ou remover grupos de segurança de suas instâncias. Se seu modelo de lançamento não contiver nenhuma interface de rede, use SecurityGroupIds para fornecer uma lista de grupos de segurança. Se seu modelo de execução definir interfaces de rede, você deverá usar o Groups parâmetro para atribuir grupos de segurança a cada interface de rede. Para obter mais informações sobre modelos de inicialização, consulte Usando modelos de EC2 lançamento da Amazon com AWS PCS.

nota

As alterações na configuração do grupo de segurança no modelo de execução afetam somente as novas instâncias lançadas após a atualização do grupo de nós de computação.

Requisitos e considerações do grupo de segurança

AWS PCScria uma interface de rede elástica (ENI) entre contas na sub-rede que você especifica ao criar um cluster. Isso fornece ao HPC agendador, que está sendo executado em uma conta gerenciada por AWS, um caminho para se comunicar com as EC2 instâncias iniciadas pelo AWS PCS. Você deve fornecer um grupo de segurança para isso ENI que permita a comunicação bidirecional entre o agendador ENI e suas instâncias de clusterEC2.

Uma maneira simples de fazer isso é criar um grupo de segurança autorreferenciado permissivo que permita tráfego TCP /IP em todas as portas entre todos os membros do grupo. Você pode anexar isso tanto ao cluster quanto às EC2 instâncias do grupo de nós.

Exemplo de configuração permissiva de grupo de segurança

Tipo de regra Protocolos Portas Origem Destino
Entrada Todos Todos Self
Saída Todos Tudo

0.0.0.0/0
Saída Todos Todos Self

Essas regras permitem que todo o tráfego flua livremente entre o controlador Slurm e os nós, permitem que todo o tráfego de saída chegue a qualquer destino e habilite o tráfego. EFA

Exemplo de configuração restritiva de grupo de segurança

Você também pode limitar as portas abertas entre o cluster e seus nós de computação. Para o agendador do Slurm, o grupo de segurança anexado ao seu cluster deve permitir as seguintes portas:

  • 6817 — habilite conexões de entrada para instâncias de origem slurmctld EC2

  • 6818 — habilite conexões de saída slurmctld para slurmd execução em instâncias EC2

O grupo de segurança conectado aos seus nós de computação deve permitir as seguintes portas:

  • 6817 — habilite conexões de saída para instâncias slurmctld de EC2 origem.

  • 6818 — habilitar conexões de entrada e saída de e para slurmd instâncias de slurmctld grupos slurmd de nós

  • 60001—63000 — conexões de entrada e saída entre instâncias de grupos de nós para oferecer suporte srun

  • EFAtráfego entre instâncias do grupo de nós. Para obter mais informações, consulte Preparar um grupo EFA de segurança habilitado no Guia do usuário para instâncias Linux

  • Qualquer outro tráfego entre nós exigido pela sua carga de trabalho