FCP-Suite开启审批网络架构说明文档

基于审批架构的 FCP-Suite 部署是由审批架构、FCP-Suite速石栈 这两个部分组合起来的。

FCP-Suite 是把一堆本地节点构建成高性能计算集群的速石栈；

审批架构是在 FCP-Suite 速石栈上套一个数据保护的壳；它是一个基础设施的部署架构。

一、基于审批架构的 FCP-Suite 部署介绍

基于审批架构的速石栈的使用是这样的：用户在本地登录 VPN，通过 VPN 建立的通道，连接到远程桌面（VDI），在远程桌面中访问速石 portal。除了使用 DM(Data-manager) 工具下载审批通过的数据外，其他数据的流向边界限制在远程桌面。

审批架构通过网络划分和防火墙规则限制来限定数据流向的边界。

在设计中，审批架构划分了 3 层网络，第一层是称为 VPN 层网络，第二层称为 VDI 层网络，第三层称为速石栈网络，速石栈网络还会包含其他构成 HPC 集群的子网；

VPN 层网络主要规划用于搭建 VPN，入口请求（inbound）只允许被外部网络(0.0.0.0/0) 访问 VPN 端口；

VDI 层网络主要规划用于搭建 VDI，入口请求（inbound）只允许被 VPN 层网络访问远程桌面端口；

速石栈网络规划主要用于搭建速石栈和高性能集群，其中规划的子网有管理节点子网，审批集群子网，高性能集群子网，高性能集群登录节点子网等；

速石栈网络中，用于部署速石栈系统的主机称为管理节点，规划到管理节点子网中，速石栈网络中的其他主机称为集群节点，按需求规划到对应的子网中。

具体部署架构图如下：

二、基于审批架构的 FCP-Suite 基础设施规划

1. 网络规划
2. 各层网络中主机规划
3. 各级网络、资源的防火墙规则规划

2.1. 网络规划

规划 3 层网络及对应的网络层的子网，并创建所有网络

VPN 层网络 cidr 规划为：10.0.1.0/24；

VDI 层网络 cidr 规划为：10.0.2.0/24；

速石栈网络规划的子网：管理节点子网(10.0.3.0/24)，审批集群子网(10.0.4.0/24)，高性能集群子网(10.0.16.0/20)，高性能集群登录节点子网(10.0.7.0/24)

2.2 各层网络中主机规划

2.2.1 VPN 层网络主机和 VDI 层网络主机规划

VPN 和 VDI 主机资源、操作系统等不做建议，按需规划。

Note: 分别把用于 VPN 和 VDI 部署的主机规划到 VPN 网络和 VDI 网络

2.2.2 FCP-Suite 速石栈部署主机规划

FCP-Suite速石栈部署要求提供

1. 部署速石栈需要的资源
   1. NAS 共享存储
   2. [可选] 定制的认证服务，如 LDAP,NIS,AD 等
   3. [可选] 定制的 ntp server 时间同步服务器
2. 管理节点
3. 集群节点

2.3. 部署速石栈需要的资源

2.3.1. NAS 共享存储

主机资源、操作系统等不做建议，按需规划。

要求提供3个共享目录：/fastone, fastone-audited, /fastone-audited

警告

如果规划了审批集群子网(10.0.4.0/24)，需要确保审批挂载 /fastone-auditing, /fastone-audited 只能被审批子网下的节点挂载；

可以通过设置 nfs allowcidr 来限制

2.3.2 [可选] 定制的认证服务，如 LDAP,NIS,AD 等

提供定制的认证服务认证方式

LDAP,NIS 提供: ldap_uri, ldap_base, readonly_binddn, readonly_bindpw (readonly_binddn, readonly_bindpw 可选)

nis 提供：nis_server, nis_domain

2.3.3 [可选] 定制的 ntp server 时间同步服务器

提供定制的 ntp server uri，在速石栈部署时使用

2.3.4 速石栈网络中的管理节点规划

1. 管理节点机器资源要求:

要求2台管理节点的登录用户拥有免密sudo权限，并拥有相同的登录密码或秘钥

管理节点中按各节点部署服务的不同分为：Fastone-Core, Fastone-Monitor 节点

测试环境最低配置要求，生产环境配置建议通过sizing工具进行测算

节点	操作系统	配置	磁盘
Fastone-Monitor	ubuntu 22.04	4核8G	100GiB
Fastone-Core	ubuntu 22.04	4核16G + 8G swap	100GiB

2. 集群节点机器资源要求:

要求批量部署的集群节点的登录用户拥有免密sudo权限，并拥有相同的登录密码或秘钥

集群节点最小配置要求，生产环境配置建议通过sizing工具进行测算

节点	操作系统	配置	磁盘
Compute Node	ubuntu 18.04, ubuntu 22.04, centos/redhat 6.10, centos/redhat 7.9	2核4G	50GiB
Head Node	ubuntu 18.04, ubuntu 22.04, centos/redhat 6.10, centos/redhat 7.9	4核16G	50GiB
Login Node	ubuntu 18.04, ubuntu 22.04, centos/redhat 6.10, centos/redhat 7.9	2核4G	50GiB

2.4. 各级网络、资源的防火墙规则规划

2.4.1 VPN,VDI 层防火墙规则规划

VPN 层网络(10.0.1.0/24)：入口请求（inbound）只允许被外部网络(0.0.0.0/0) 访问 VPN 端口

VDI 层网络(10.0.2.0/24)：入口请求（inbound）只允许被 VPN 网络 (10.0.1.0/24) 访问远程桌面端口

2.4.2 速石栈网络层防火墙规则规划

以下所有防火墙规则除特殊标识说明外，默认的防火墙规则协议是 tcp

1. NAS 共享存储：

要求 nfs 端口如 2049(nfs), 111(port-mapper) 等 nfs 相关端口 被速石栈网络(管理节点子网(10.0.3.0/24)，审批集群子网(10.0.4.0/24)，高性能集群子网(10.0.16.0/20)，高性能集群登录节点子网(10.0.7.0/24))访问

防火墙规则列表可能如下：

服务	方向	策略	协议	源地址(source)	端口范围
nfs server ip	ingress(入方向)	allow	tcp	10.0.3.0/24, 10.0.4.0/24, 10.0.7.0/24, 10.0.16.0/20	2049(nfs), 111(port-mapper)

警告

如果规划了审批集群子网(10.0.4.0/24)，那么需要确保审批挂载 /fastone-auditing, /fastone-audited 只能被审批子网下的节点挂载；

可以通过设置 nfs allowcidr 来限制

2. [可选] 客户提供的认证服务，如 LDAP,NIS,AD 等的防火墙规则规划：

1. 客户提供的认证服务(LDAP,NIS,AD)所在节点需对管理节点网络(10.0.3.0/24)放开端口(ad(389),ldap(389),nis(111,617-618,834-836))访问；
2. 客户提供的认证服务(LDAP,NIS,AD)所在节点需对集群节点网络(10.0.4.0/24, 10.0.16.0/20，10.0.7.0/24)放开端口(ad(389),ldap(389),nis(111,617-618,834-836))访问；

防火墙规则列表可能如下：

服务	方向	策略	协议	源地址(source)	端口范围
外置认证服务	ingress(入方向)	allow	tcp	10.0.3.0/24, 10.0.4.0/24, 10.0.7.0/24, 10.0.16.0/20	ad(389),ldap(389),nis(111,617-618,834-836)

3. [可选] 客户提供的 ntp server 的防火墙规则规划：

1. 客户提供的 ntp server 所在节点需对管理节点网络(10.0.3.0/24)放开端口(123, udp协议)访问；
2. 客户提供的 ntp server 所在节点需对集群节点网络(10.0.4.0/24, 10.0.16.0/20，10.0.7.0/24)放开端口(123, udp协议)访问；

防火墙规则列表可能如下：

服务	方向	策略	协议	源地址(source)	端口范围
ntp	ingress(入方向)	allow	udp	10.0.3.0/24, 10.0.4.0/24, 10.0.7.0/24, 10.0.16.0/20	123

4. 外发邮件的邮件服务器的防火墙规则规划：

fastone-core 节点防火墙允许邮件相关出口请求(25, 465)到外部邮件服务器(smtp.mxhichina.com)

防火墙规则列表可能如下：

目标	方向	策略	协议	源地址(source)	端口范围
fastone-core	egress(出方向)	allow	tcp	smtp.mxhichina.com	25, 465

5. 管理节点防火墙规则规划：

1. 管理节点间内全端口互通
2. fastone-core 节点需要对 VDI 层网络(10.0.2.0/24)开放端口: 80, 433, 2000(ra), 8000(dm)
3. fastone-core 节点对 VPN 层网络(10.0.1.0/24)放开端口 8000
4. fastone-core 对集群节点网络(10.0.4.0/24, 10.0.16.0/20，10.0.7.0/24)放开端口: 5432(pg), 9000(api), 50121(loki),123(ntp，udp协议), 389(ldap), 445(samba，可选), 3333(slurm-accounting-agent), 6819(slurmdbd)

防火墙规则列表可能如下：

目标	方向	策略	协议	源地址(source)	端口范围
10.0.3.0/24	all	allow	all	10.0.3.0/24	all
fastone-core	ingress(入方向)	allow	tcp	10.0.2.0/24	80, 433, 2000(ra), 8000(dm)
fastone-core	ingress(入方向)	allow	tcp	10.0.1.0/24	8000
fastone-core	ingress(入方向)	allow	tcp	10.0.4.0/24, 10.0.16.0/20，10.0.7.0/24	5432(pg), 9000(api), 50121(loki), 123(ntp，udp协议), 389(ldap), 445(samba，可选), 3333(slurm-accounting-agent), 6819(slurmdbd)

6. 集群节点防火墙规则规划：

1. 集群节点网络(10.0.4.0/24, 10.0.16.0/20，10.0.7.0/24)内全端口互通
2. 除审批集群，集群节点网络(10.0.16.0/20，10.0.7.0/24)之间全端口互通
3. 集群节点网络(10.0.4.0/24, 10.0.16.0/20，10.0.7.0/24)内的节点对 VDI 层网络(10.0.2.0/24)放开端口: 2000(ra), 5901-5999(vnc port)
4. 集群节点网络(10.0.4.0/24, 10.0.16.0/20，10.0.7.0/24)内的节点对管理节点网络(10.0.3.0/24)放开端口列表如下:

服务	ssh	remote-access svc	rdp	rpc-statd	vnc	slurmctld	scheduler	loki	fs-scale	billing-mgr
端口	22	2000	3389	4003-4004	5900-5999	6817	7000	25057-25058	50023	5000-5001

服务	sge-master/sge-exec	slurmExporterPort	pbsproExporterPort	sge-exporter	lsfExporterPort	nodeExporterPort	wmiExporterPort	dcgmExporterPort
端口	6444-6445	8010	8020	8040	8060	9100	9182	9400

防火墙规则列表可能如下：

目标	方向	策略	协议	源地址(source)	端口范围
10.0.4.0/24	all	allow	all	10.0.4.0/24	all
10.0.16.0/20	all	allow	all	10.0.16.0/20，10.0.7.0/24	all
10.0.7.0/24	all	allow	all	10.0.16.0/20，10.0.7.0/24	all
10.0.4.0/24, 10.0.16.0/20，10.0.7.0/24	ingress(入方向)	allow	tcp	10.0.2.0/24	2000(ra), 5901-5999(vnc port)
10.0.4.0/24, 10.0.16.0/20，10.0.7.0/24	ingress(入方向)	allow	tcp	10.0.3.0/24	22,3389,4003-4004,5901-5999,6817,7000,25057-25058,50023,5000-5001,8010,8020,8060,9100,9182,9400,8040,6444,6445

7. 新增的集群子网的防火墙规则规划：

假设新增的子网是：10.0.8.0/24

1. fastone-core 对新增子网(10.0.8.0/24)放开端口: 5432(pg), 9000(api), 50121(loki), 123(ntp，udp协议), 389(ldap), 445(samba，可选), 3333(slurm-accounting-agent), 6819(slurmdbd)
2. [可选] 如果使用了客户提供的外置认证系统，则：
   1. 客户提供的认证服务(LDAP,NIS,AD)所在节点需对新增子网(10.0.8.0/24)放开端口(ad(389),ldap(389),nis(111,617-618,834-836))访问
3. [可选] 如果使用了客户提供的外置nfs-server，则：
   1. 客户提供的 ntp server 所在节点需对新增子网(10.0.8.0/24)放开端口(123, udp协议)访问
4. 新增子网(10.0.8.0/24)内全端口互通
5. 新增子网(10.0.8.0/24)与集群节点网络(10.0.16.0/20,10.0.7.0/24)之间全端口互通
6. 新增子网(10.0.8.0/24)内的节点对 VDI 层网络(10.0.2.0/24)放开端口: 2000(ra), 5901-5999(vnc port)
7. 新增子网(10.0.8.0/24)内的节点对管理节点网络(10.0.3.0/24)放开端口列表如下:

服务	ssh	remote-access svc	rdp	rpc-statd	vnc	slurmctld	scheduler	loki	fs-scale	billing-mgr
端口	22	2000	3389	4003-4004	5900-5999	6817	7000	25057-25058	50023	5000-5001

服务	sge-master/sge-exec	slurmExporterPort	pbsproExporterPort	sge-exporter	lsfExporterPort	nodeExporterPort	wmiExporterPort	dcgmExporterPort
端口	6444-6445	8010	8020	8040	8060	9100	9182	9400

防火墙规则列表可能如下：

目标	方向	策略	协议	源地址(source)	端口范围
fastone-core	ingress	allow	tcp	10.0.8.0/24	5432(pg), 9000(api), 50121(loki), 123(ntp，udp协议), 389(ldap), 445(samba，可选), 3333(slurm-accounting-agent), 6819(slurmdbd)
[可选] 客户提供的认证服务(LDAP,NIS,AD)所在节点	ingress	allow	tcp	10.0.8.0/24	ad(389),ldap(389),nis(111,617-618,834-836)
[可选] 如果使用了客户提供的外置nfs-server	ingress(入方向)	allow	udp	10.0.2.0/24	123
10.0.8.0/24	all	allow	all	10.0.8.0/24	all
10.0.8.0/24	all	allow	all	10.0.16.0/20,10.0.7.0/24	all
10.0.8.0/24	ingress	allow	tcp	10.0.2.0/24	2000(ra), 5901-5999(vnc port)
10.0.8.0/24	ingress	allow	tcp	10.0.3.0/24	22,3389,4003-4004,5901-5999,6817,7000,25057-25058,50023,5000-5001,8010,8020,8060,9100,9182,9400,8040,6444,6445