对 Azure Batch 帐户使用专用终结点

默认情况下,Azure Batch 帐户具有公共终结点,并且是可以公开访问的。 Batch 服务提供为 Batch 帐户创建专用终结点,以便可以通过专用网络访问 Batch 服务的功能。

通过使用 Azure 专用链接,可以通过专用终结点连接到 Azure Batch 帐户。 专用终结点是虚拟网络中某个子网内的一组专用 IP 地址。 然后,可以通过专用 IP 地址限制对 Azure Batch 帐户的访问。

专用链接允许用户从虚拟网络内或任何对等虚拟网络访问 Azure Batch 帐户。 映射到专用链接的资源也可以通过 VPN 或 Azure ExpressRoute 在本地通过专用对等互连访问。 你可以使用自动或手动审批方法连接到使用专用链接配置的 Azure Batch 帐户。

本文将介绍创建专用终结点以访问 Batch 帐户终结点的步骤。

Batch 帐户支持的专用终结点子资源

Batch 帐户资源支持使用专用终结点访问以下两个终结点:

  • 帐户终结点(子资源:batchAccount):此终结点用于评估 Batch 服务 REST API(数据平面,例如,管理池、计算节点、作业、任务等。

  • 节点管理终结点(子资源:nodeManagement):由 Batch 池节点用来访问 Batch 节点管理服务。 仅当使用简化的计算节点通信时,此终结点才适用。

图表显示了 Batch 专用终结点的子资源。

提示

可以在虚拟网络中为两者之一或两者创建专用终结点,具体取决于批处理帐户的实际使用情况。 例如,如果在虚拟网络中运行 Batch 池,但从其他位置调用 Batch 服务 REST API,则只需在虚拟网络中创建 nodeManagement 专用终结点。

Azure 门户

遵循以下步骤使用 Azure 门户为 Batch 帐户创建专用终结点:

  1. 在 Azure 门户中转到你的 Batch 帐户。
  2. 在“设置”中,选择“网络”并转到“专用访问”选项卡。 然后选择“+ 专用终结点”。 专用终结点连接的屏幕截图。
  3. 在“基本”信息窗格中,输入或选择订阅、资源组、专用终结点资源名称和区域详细信息,然后选择“下一步:资源”。 “创建专用终结点”中“基本信息”窗格的屏幕截图。
  4. 在“资源”窗格中,将“资源类型”设置为“Microsoft.Batch/batchAccounts”。 选择要访问的 Batch 帐户,选择目标子资源,然后选择“下一步: 配置”。 “创建专用终结点”中“资源”窗格的屏幕截图。
  5. 在“配置”窗格中,输入或选择以下信息:
    • 对于“虚拟网络”,请选择虚拟网络。
    • 对于“子网”,请选择你的子网。
    • 对于“专用 IP 配置”,请选择默认的“动态分配 IP 地址”。
    • 对于“与专用 DNS 区域集成”,请选择“是” 。 若要以私密方式连接到专用终结点,需有一条 DNS 记录。 建议将专用终结点与专用 DNS 区域集成。 你也可以使用自己的 DNS 服务器,或者使用虚拟机上的主机文件创建 DNS 记录。
    • 对于“专用 DNS 区域”,请选择“privatelink.batch.chinacloudapi.cn”。 系统会自动确定专用 DNS 区域。 无法使用 Azure 门户更改此设置。

重要

  • 如果现有的专用终结点是使用以前的专用 DNS 区域 privatelink.<region>.batch.chinacloudapi.cn 创建的,请遵循使用现有的 Batch 帐户专用终结点迁移
  • 如果选择了专用 DNS 区域集成,请确保专用 DNS 区域已成功链接到虚拟网络。 Azure 门户允许你选择现有的专用 DNS 区域,该区域可能未链接到虚拟网络,需要手动添加虚拟网络链接
  1. 依次选择“查看 + 创建”,然后等待 Azure 验证你的配置。
  2. 看到“验证通过”消息时,选择“创建” 。

提示

还可以从 Azure 门户中的“专用链接中心”创建专用终结点,或通过搜索“专用终结点”创建新资源。

使用专用终结点

预配专用终结点后,可以在虚拟网络中使用专用 IP 地址访问 Batch 帐户:

  • batchAccount 的专用终结点:可以访问 Batch 帐户数据平面来管理池/作业/任务。

  • nodeManagement 的专用终结点:Batch 池的计算节点可以连接到 Batch 节点管理服务并由其管理。

提示

使用专用终结点时,还建议使用 Batch 帐户禁用公共网络访问,这将仅限专用网络访问。

重要

如果为 Batch 帐户禁用了公用网络访问,则在预配专用终结点的虚拟网络外部执行帐户操作(例如池、作业)将导致 Batch 帐户在 Azure 门户中出现“AuthorizationFailure”消息。

若要从 Azure 门户查看专用终结点的 IP 地址,请执行以下操作:

  1. 选择“所有资源”,
  2. 搜索前面创建的专用终结点。
  3. 选择“DNS 配置”选项卡以查看 DNS 设置和 IP 地址。

专用终结点 DNS 设置和 IP 地址

配置 DNS 区域

在创建专用终结点的子网中使用专用 DNS 区域。 配置终结点,以便将每个专用 IP 地址映射到某个 DNS 条目。

创建专用终结点时,可以将其与 Azure 中的专用 DNS 区域集成。 如果选择使用自定义域,你必须将其配置为为专用终结点保留的所有专用 IP 地址添加 DNS 记录。

使用现有的 Batch 帐户专用终结点迁移

随着 Batch 节点管理终结点的新专用终结点子资源 nodeManagement 的引入,Batch 帐户的默认专用 DNS 区域已从 privatelink.<region>.batch.chinacloudapi.cn 简化为 privatelink.batch.chinacloudapi.cn。 为了保持与以前使用的专用 DNS 区域的向后兼容性,对于具有任何已批准的 batchAccount 专用终结点的 Batch 帐户,其帐户终结点的 DNS CNAME 映射包含两个区域(与上一个区域的优先),例如:

myaccount.east.batch.chinacloudapi.cn CNAME myaccount.privatelink.east.batch.chinacloudapi.cn
myaccount.privatelink.east.batch.chinacloudapi.cn CNAME myaccount.east.privatelink.batch.chinacloudapi.cn
myaccount.east.privatelink.batch.chinacloudapi.cn CNAME <Batch API public FQDN>

继续使用以前的专用 DNS 区域

如果已将以前的 DNS 区域 privatelink.<region>.batch.chinacloudapi.cn 与虚拟网络配合使用,则应继续将其用于现有和新 batchAccount 专用终结点,无需执行任何操作。

重要

使用以前的专用 DNS 区域时,请继续使用它,即使新创建的专用终结点也是如此。 在迁移到新区域之前,请勿将新区域与 DNS 集成解决方案配合使用。

在 Azure 门户中使用 DNS 集成创建新的 batchAccount 专用终结点

如果使用启用了自动 DNS 集成的Azure 门户手动创建新的 batchAccount 专用终结点,它将使用新的专用 DNS 区域 privatelink.batch.chinacloudapi.cn 进行 DNS 集成:创建专用 DNS 区域,将其链接到虚拟网络,并在区域中为专用终结点配置 DNS A 记录。

但是,如果虚拟网络已链接到以前的专用 DNS 区域 privatelink.<region>.batch.chinacloudapi.cn,它将中断虚拟网络中批处理帐户的 DNS 解析,因为新专用终结点的 DNS A 记录已添加到新区域中,但 DNS 解析会先检查上一区域以实现向后兼容性支持。

可以通过以下选项缓解此问题:

  • 如果不再需要以前的专用 DNS 区域,请从虚拟网络取消链接。 无需执行其他操作。

  • 否则,在创建新的专用终结点后:

    1. 确保在新的专用 DNS 区域 privatelink.batch.chinacloudapi.cn 中为自动专用 DNS 集成创建了 DNS A 记录。 例如,myaccount.<region> A <IPv4 address>

    2. 转到以前的专用 DNS 区域 privatelink.<region>.batch.chinacloudapi.cn

    3. 手动添加 DNS CNAME 记录。 例如,myaccount CNAME => myaccount.<region>.privatelink.batch.chinacloudapi.cn

重要

仅当在同一网络中创建新的 batchAccount 专用终结点时(与专用 DNS 集成,此虚拟网络已连接到之前的专用 DNS 区域),才需要采取这种手动缓解措施。

将以前的专用 DNS 区域迁移到新区域

尽管可以将以前的专用 DNS 区域与现有部署过程一起使用,但建议将其迁移到新区域,以便简化 DNS 配置管理:

  • 使用新的专用 DNS 区域 privatelink.batch.chinacloudapi.cn 时,无需使用 Batch 帐户为每个区域配置和管理不同的区域。
  • 开始使用新 nodeManagement 专用终结点(此终结点也使用新的专用 DNS 区域)时,只需为这两类专用终结点管理一个专用 DNS 区域。

可以通过以下步骤迁移以前的专用 DNS 区域:

  1. 创建新的专用 DNS 区域 privatelink.batch.chinacloudapi.cn,并将其连接到虚拟网络。
  2. 将所有 DNS A 记录从以前的专用 DNS 区域复制到新区域:
From zone "privatelink.<region>.batch.chinacloudapi.cn":
    myaccount  A <ip>
To zone "privatelink.batch.chinacloudapi.cn":
    myaccount.<region>  A <ip>
  1. 从虚拟网络取消链接以前的专用 DNS 区域。
  2. 验证虚拟网络中的 DNS 解析,Batch 帐户 DNS 名称应继续解析为专用终结点 IP 地址:
nslookup myaccount.<region>.batch.chinacloudapi.cn
  1. 开始将新的专用 DNS 区域用于新的专用终结点的部署过程。
  2. 迁移完成后,删除以前的专用 DNS 区域。

定价

有关与专用终结点相关的成本详细信息,请参阅 Azure 专用链接定价

当前限制和最佳做法

为 Batch 帐户创建专用终结点时,请记住以下几点:

  • 可以以 Batch 帐户的身份在不同的订阅中创建专用终结点资源,但订阅必须在 Microsoft.Batch 资源提供程序进行注册。
  • Batch 帐户的专用终结点不支持资源移动。
  • 如果将 Batch 帐户资源移到其他资源组或订阅,专用终结点仍可正常工作,但与 Batch 帐户的关联将会中断。 如果删除专用终结点资源,其关联的专用终结点连接仍存在于 Batch 帐户中。 可以从 Batch 帐户中手动删除连接。
  • 若要删除专用连接,请删除专用终结点资源,或删除 Batch 帐户中的专用连接(此操作会断开连接相关的专用终结点资源)。
  • 从 Batch 帐户中删除专用终结点连接时,不会自动删除专用 DNS 区域中的 DNS 记录。 在添加链接到此专用 DNS 区域的新专用终结点之前,必须手动删除 DNS 记录。 如果不清理 DNS 记录,可能会发生意外的访问问题。

后续步骤