保护您的HPC云的最佳实践-第一部分
随着HPC工作负载找到云彩的方式,HPC用户越来越多地面临与其企业对方类似的安全相关的疑虑。好消息是,大多数云提供商提供丰富的工具和设施,以帮助安全云和混合云集群部署。考虑安全的好方法是想象一系列分层防御。如果恶意演员可以违反一层,理想情况下应该是可检测的违规行为,而其他分层防御应该保持应用和数据安全。bob电竞官方如果您想找到,有许多公司可以帮助网络监控这里有更多信息。
要框架特定于HPC的云安全讨论,我们将从他们的凝聚网中的视觉创建2016的博客。我们已经不同地绘制了不同的层,以强调部署基于云或混合云HPC群集的管理员的兴趣主题。在这篇三部分文章中,我们将通过上面了解的层次。
在第一篇文章中,我们将重点讨论外围和网络安全。在第2部分中,我们将讨论关于身份和访问管理(IAM)的考虑因素,并建议保持云安全的最佳实践。在第3部分中,我们将介绍帮助保护实例和应用程序的附加措施。bob电竞官方
为了使我们的示例更加具体,我们将在Amazon Web Services (AWS)上下文中讨论安全性。同样的概念也适用于其他主要的公共云提供商,但是一些工具和术语是不同的。我们将从云服务提供商提供的外围级别保护开始。
云提供商边缘保护
分布式拒绝服务攻击是互联网上最常见的攻击向量之一。据称暗示,DDOS攻击通过通过网络流量泛滥,使网站或云资源无法访问。DDOS攻击可能发生在多层中OSI网络模型从网络层到应用层。包括UDP反射攻击(网络层)、SYN flood攻击(传输层)、DNS查询或HTTP flood攻击(应用层)。
如果你正在运行在一个封闭的社区访问云中的私人HPC集群,DDoS攻击可能不是一个大问题。如果您的HPC环境正在呈现一个公共接口就像一个网站,门户或API许多日益做,DDoS攻击可能对您的环境造成威胁。
好消息是,大多数云服务提供商提供了针对DDoS攻击的强大保护。在AWS中,客户受益于自动保护AWS盾标准为消耗AWS云服务的客户无需收费。对于许多HPC用户来说,这种基本的保护水平就足够了。
对于高流量,可公开可访问的站点和使用AWS弹性负载平衡(ELB),Amazon CloudFront,Amazon Route 53或AWS API网关来部署可扩展API的HPC用户,提供了一个标题的WhitePaperAWS适用于DDOS弹性的做法提供有关各种DDOS缓解技术的详细信息。
VPC级网络配置
下一层防御是在网络层。当HPC管理员将集群部署到公共云时(使用类似于Navops发射那AWS CfnCluster或自定义工具),实例连接到逻辑上分离的虚拟网络,称为a虚拟私有云(VPC)。虽然云提供商将尝试将良好的默认选择作出良好的选择,但了解VPCS工作如何对保护环境至关重要。
虚拟私有云可以使用IPv4或IPv6 IP地址无类域间路由(CIDR)。例如,我可以在一个带有IPv4 CIDR块(例如172.31.0.0/16,最多65534个IP地址)的区域内配置一个VPC,其中前两个字节指定网络。如果有多个HPC集群,我可能会将我的VPC划分为16个子网(在本例中),每个子网最多包含4094个IP地址。熟悉CIDR的读者可以通过创建子网172.31.0.0/20、172.31.16.0/20、172.31.32.0/20等来实现。)
对于每个VPC或子网,可以进行如下配置:
- 一种路由表,可能包括一个因特网网关
- 允许或拒绝按类型,协议或端口范围拒绝流量的网络ACL
- 一个DHCP选项集(在VPC级)
在创建子网时,子网会继承路由表、网络acl和internet网关设置的默认属性,但为了保证环境安全,需要对这些属性进行调整。
路由器和互联网网关设置
默认情况下,从每个VPC和子网到因特网网关的路由典型地被配置,以便通信可以自由地流入和流出由附机实例互联网。还为每个子网创建的VPC级网络的ACL(访问控制列表)的默认设置。默认ACL设置通常容许如下所示允许流量从所有来源自由地流动到所有其它网络。这使得环境易于设置和排除故障,但它肯定不是从安全角度来看的最佳做法。
在生产环境中,用户可能会在不同的vpc或子网中部署多个集群。有必要花一些时间来考虑一些基本问题,比如每个集群是否需要访问互联网,一个集群上的用户是否需要访问其他集群不同的vpc或子网。限制对单个vpc或子网的访问越多;环境就会越安全。
如果您不将互联网网关与VPC或子网关联,集群也会更安全,但集群用户通常出于合法原因需要访问公共互联网。一个好的退路位置可以是仅使用一个出口的互联网网关(对于IPv6流量)或一个Nat Gateway.(IPv4流量)。NAT网关允许在专用子网机实例连接到互联网或其他AWS服务,但防止互联网上的演员从发起连接返回到连接到您的VPC实例。一旦NAT网关创建,您可以更新通过NAT网关而不是默认提供的互联网网关与室性早搏或子网相关联的通信路由的路由表。
考虑在单独的子网或VPC上分段不同的组。对于多个集群所需的公共服务(许可证服务器,Naveps启动服务器,共享文件服务器等)考虑将这些驻留在其自己的VPC上,没有相关的Internet网关,只能由需要连接到它们的VPC或子网上的节点。
VPC凝视是群集管理员可能有用的另一个功能。VPC凝视允许管理员使用不同的IP寻址方案连接两个VPC,并允许每个VPC上的实例通信,就像它们在同一网络上共享数据或用于其他目的一样。可以在AWS数据中心或多个AWS帐户中配置VPC窥视。
网络加密和VPN
HPC环境中的一个常见需求是提供一个虚拟专用网(VPN),将IP流量从本地数据中心隧道到一个或多个由云提供商运营的vpc。vpn对于云爆满的场景很有用,在这种场景中,本地集群的容量可能会动态地扩展到云中,以处理峰值工作负载。它的另一个有用之处在于,它为网络上的客户机工作站提供了对基于云的集群节点的无缝访问。等网站CompareMyVPN让你找到所有之间选择,你必须在您的处置的最佳VPN选项。
AWS提供多种VPN解决方案。与一个AWS VPN管理创建虚拟私有网关并与VPC关联。虚拟私有网关与客户网关配对,该客户网关是本地数据中心中的物理设备或软件,它是通过静态IP地址或NAT设备后面访问的Internet。那些正在寻找虚拟专用网络的人可能想要查看最好的vpn加拿大来保护他们的网络。在AWS中创建指向本地网关的客户网关资源,并配置路由表以允许流量通过VPN。通过AWS web控制台创建VPN的过程(在创建虚拟专用网关并将其与vpc_关联之后)如下所示:
指定像虚拟专用网关的ID的详细信息,如图内客户网关的地址,AWS将创建VPN连接,如下所示,自动提供两个Internet访问IP地址以及隧道端点的内部IP地址。
建立VPN隧道后,可以从客户网关启动IPSec安全连接,以将群集节点连接到附加到VPC。数据包自动加密,因为它们会使数据中心留下并在隧道的云端解密(反之亦然)。使用VPN隧道进行网络加密,使用适当的内部部署防火墙和适当的VPC和子网有助于将群集从云提供商网络内部和外部的威胁中保护群集。类似的网站有很多不同的VPN评论makeawebsitehub因此,找不到适合您和您需求的解决方案并不难。
AWS直接连接另一种方式是客户可以从本地数据中心创建直接连接到AWS(绕过互联网服务提供商),允许通过标准以太网光缆提供安全通信,提供1 Gbps或10 Gbps传输速度。
实例级防火墙设置(安全组)
我们本可以在实例级安全性的上下文中讨论实例级防火墙,但是由于本文处理网络安全,因此在此处涵盖它似乎是合适的。大多数Linux管理员都熟悉防火墙。使用内部部署群集,防火墙通常由像路由器等网络元素或需要明确配置的OS级软件实现(iptables例如)。
在云中,防火墙是虚拟构造,在虚拟私有云(VPC)的级别实现,该控制控制的流量可以进入和退出附加到VPC的每台计算机实例。
前面我们讨论了网络acl如何控制进入或离开VPC或云子网的流量。安全组是类似的,但这些定义了在实例级别控制到VPC的流量的防火墙策略。安全组提供上面的另一层防御,超出VPC或子网级网络ACL。
在HPC环境中可能会有几十甚至几百机实例。配置各节点的防火墙策略将是乏味的。幸运的是,一个安全组可以被定义一次,并应用于多个机实例。
Altair网格引擎集群的示例安全组如下所示。安全组与群集机器实例附加到的VPC关联,并定义网络流量的入站和出站规则。
将安全组应用到集群节点可以使环境更加安全,因为集群节点只接受特定授权的端口上的流量。例如,我们允许在端口22(用于SSH)上进行外部连接,端口8080(用于Web GUI)上进行外部连接,以及一些特定服务所需的其他端口。您打开的端口将取决于您的应用程序环境,但一般来说,只打开需要打开的端口是一个好主意。
管理员可以通过应用于不同类型的群集节点来使环境更安全。例如,头节点或主机主机可能具有不同的防火墙策略,而不是可视化节点或计算主机,因为不同类型的主机暴露不同的服务。
与运行工作负载管理软件的HPC集群(如Altair网格引擎,MPI,NFS或其他分布式应用程序)可能需要在群集节点之间需要打开通信。某些应用程序协商端口在运行时动态进行通信,因此端口号并不总是bob电竞官方知识提前。
幸运的是,有一种简单的方法可以打开集群内的通信,但仍然可以保护节点不受集群外的IP地址的影响。我们可以简单地创建入站规则,如下所示。使用这种技术,Security Group定义引用自身,允许所有附加到安全组的机器实例公开通信。
在这篇文章的第2部分,我们将超越网络安全和谈论的云提供商既级和HPC环境中涉及到的授权认证和身份识别和访问管理安全最佳实践。
