【IT168 专稿】不同操作系统和作业计划程序之间的互操作性是很多 HPC 部署中的关键需求。Windows HPC Server 2008 支持开放网格论坛 (OGF)(高性能计算基本配置文件)中的基于 Web 服务的标准,借助于该标准,可以使用 Web 服务协议访问 HPC 作业计划程序服务。使用适当的客户端,可以从其他语言和操作系统访问 Windows HPC Server 2008 资源。
默认情况下,HPC 基本配置文件 Web 服务安装在 Windows HPC Server 2008 群集的头节点上,但默认情况下不激活该服务。
(一)保证 HPC 基本配置文件 Web 服务的安全
HPC 基本配置文件 Web 服务将安全传输层(安全超文本传输协议 (HTTPS))用于服务和客户端之间的所有通信。此服务支持一个选项,即可将 X.509 公钥证书提供给客户端来保证与服务器进行通信的安全。客户端使用其已从受信任源获取的相应证书颁发机构 (CA) 证书验证服务器证书。对于您自己的企业发布的证书或者来自主要商业提供者的证书,这些 CA 证书通常需要就位;但是,您可以将其他证书(如自签名证书)导入到本地证书存储中。
1、使用自签名证书
您可以使用自签名证书保证 HPC 基本配置文件 Web 服务的安全。以下过程描述如何使用 Internet 信息服务 (IIS) 管理器生成、导出和绑定自签名证书。
生成、导出和绑定自签名证书
您可以使用 Windows Server 2008 中的 Internet 信息服务 (IIS) 管理器生成自签名证书。虽然可以激活 IIS 以生成证书,但是 HPC 基本配置文件 Web 服务不会使用 IIS 对 Web 服务进行操作。除非头节点的其他用途明确需要,否则在生成、导出和绑定证书后应停止 IIS Web 服务器。
您必须从服务器导出 X.509 证书的公用组件,这样才能将其用于将要连接到 Web 服务的 Web 服务客户端。此操作在客户端与服务器之间建立信任链。
生成、导出和绑定自签名证书的步骤
以具有管理员权限的用户身份登录到头节点。
从服务器管理器控制台启用头节点上的 Web 服务器角色。
打开服务器管理器控制台的步骤:单击"开始",指向"管理工具",然后单击"服务器管理器"。
打开 IIS 管理器:
单击"开始",指向"管理工具",然后单击"Internet 信息服务 (IIS) 管理器"。
在头节点上生成证书:
在"连接"窗格中,选择头节点。
在视图窗格中,双击"服务器证书"图标。
在"操作"窗格中,单击"创建自签名证书"。
在"创建自签名证书"对话框中,键入证书的友好名称,然后单击"确定"。
导出公用证书:
在视图窗格中,选择您创建的证书。
在"操作"窗格中,单击"查看"。
在"证书"属性表中,在"详细信息"选项卡上,单击"复制到文件"。
完成"证书导出向导"中的步骤,选择选项"不,不要导出私钥"和格式"DER 编码二进制 X.509(.CER)"。
在"证书"属性表中,单击"确定"。
将证书绑定到特定端口和协议:
在导航窗格中,展开头节点的节点,然后单击"站点"。
在视图窗格中,选择"默认网站"。
在"操作"窗格中,单击"绑定"。此操作将提供一个对话框,该对话框列出用于所选网站的协议。
在"站点绑定"对话框中,单击"添加"。
在"添加站点绑定"对话框中,在"类型"下拉列表中,选择 https。
在"SSL 证书"下拉列表中,选择所导出的证书。
如果您计划在 443(安全超文本传输协议 (HTTPS) 协议的标准)之外的端口上对 Web 服务进行操作,请提供新端口号。
单击"确定"添加站点绑定并返回到"站点绑定"对话框。
在"站点绑定"对话框中,单击"关闭"。
停止 Web 服务器:
在导航窗格中,选择头节点。
在"操作"窗格中,单击"停止"。
2、使用证书颁发机构中的证书
您可以使用内部证书颁发机构提供的证书或者通过已确立的外部服务保证 HPC 基本配置文件 Web 服务的安全。以下过程描述如何使用 Internet 信息服务 (IIS) 管理器导入、导出和绑定自签名证书。
导入、导出和绑定 CA 证书
您可以将证书导入到 Windows Server 2008 中的 Internet 信息服务 (IIS) 管理器。虽然可以激活 IIS 以导入证书,但是 HPC 基本配置文件 Web 服务不会使用 IIS 对 Web 服务进行操作。除非头节点的其他用途明确需要,否则在生成、导出和绑定证书后应停止 IIS Web 服务器。
导入、导出和绑定 CA 证书的步骤
以具有管理员权限的用户身份登录到头节点。
从服务器管理器控制台启用头节点上的 Web 服务器角色。
打开服务器管理器控制台的步骤:单击"开始",指向"管理工具",然后单击"服务器管理器"。
打开 IIS 管理器:
单击"开始",指向"管理工具",然后单击"Internet 信息服务 (IIS) 管理器"。
将证书导入到 IIS 管理器中:
在"连接"窗格中,选择头节点。
在视图窗格中,双击"服务器证书"图标。
在"操作"窗格中,单击"导入"。
在"导入证书"对话框中,提供证书文件位置和用于在证书文件中保证私钥安全的密码,然后单击"确定"。
导出公用证书:
在视图窗格中,选择您创建的证书。
在"操作"窗格中,单击"查看"。
在"证书"属性表中,在"详细信息"选项卡上,单击"复制到文件"。
完成"证书导出向导"中的步骤,选择选项"不,不要导出私钥"和格式"DER 编码二进制 X.509(.CER)"。
在"证书"属性表中,单击"确定"。
将证书绑定到特定端口和协议:
在导航窗格中,展开头节点的节点,然后单击"站点"。
在视图窗格中,选择"默认网站"。
在"操作"窗格中,单击"绑定"。此操作将提供一个对话框,该对话框列出用于所选网站的协议。
在"站点绑定"对话框中,单击"添加"。
在"添加站点绑定"对话框中,在"类型"下拉列表中,选择 https。
在"SSL 证书"下拉列表中,选择所导出的证书。
如果您计划在 443(安全超文本传输协议 (HTTPS) 协议的标准)之外的端口上对 Web 服务进行操作,请提供新端口号。
单击"确定"添加站点绑定并返回到"站点绑定"对话框。
在"站点绑定"对话框中,单击"关闭"。
停止 Web 服务器:
在导航窗格中,选择头节点。
在"操作"窗格中,单击"停止"。
(二)配置和取消配置 HPC 基本配置文件 Web 服务
默认情况下,HPC 基本配置文件 Web 服务安装在 Windows HPC Server 2008 群集的头节点上,但默认情况下不激活该服务。首次启动服务时,必须配置服务。
若要删除对头节点所做的更改以配置 HPC 基本配置文件 Web 服务,可以取消配置服务。
配置 HPC 基本配置文件 Web 服务
取消配置 HPC 基本配置文件 Web 服务
配置 HPC 基本配置文件 Web 服务
可以运行已提供的 PowerShell 脚本 %CCP_HOME%\bin\hpcbpws.ps1 来配置和激活 HPC 基本配置文件 Web 服务。默认情况下,该脚本配置 HPC 基本配置文件 Web 服务以:
在端口 443(使用安全超文本传输协议 (HTTPS) 的网络流量默认端口)上执行操作。
通过头节点的完全限定域名 (FQDN) 从外部进行访问。默认的 URL 基于头节点的计算机名(例如,https://<computerName>/HPCBasicProfile,其中,computerName 是头节点的 FQDN)。
若要在不同的端口号上对 Web 服务进行操作,或者通过不同 FQDN 从外部网络访问服务(例如,当头节点位于防火墙后时),可以在配置服务时指定端口和外部访问网络地址。此信息会添加到 HPC 基本配置文件的配置文件中。有关详细信息(包括其他配置选项),请参阅了解 HPC 基本配置文件 Web 服务的配置选项。
要点:您必须在头节点的证书存储中拥有用于服务的 X.509 证书。证书中使用的名称必须与将使用 Web 服务客户端连接到 Web 服务的计算机的 FQDN 相匹配。在多数情况下,此名称将是头节点的 FQDN,但是如果头节点位于防火墙后,它将是指定用于公开服务的 URL。有关证书的详细信息,请参阅保证 HPC 基本配置文件 Web 服务的安全。
配置 HPC 基本配置文件 Web 服务的步骤
以具有管理员权限的用户身份登录到头节点。
单击"开始",指向"所有程序",单击 Microsoft HPC Pack,右键单击 HPC PowerShell,然后单击"以管理员身份运行"。
运行 hpcbpws.ps1 PowerShell 脚本:
要点:头节点上的 Windows PowerShell 执行策略必须允许脚本运行。有关详细信息,请参阅 get-help about_signing。
若要使用当前主机名和默认端口安装服务,请键入:
hpcbpws.ps1 install
或者,若要为服务指定 URL 和端口号,请键入(其中,myExternalAddress 是将用于公开服务的 URL,portNumber 是将使用的端口):
hpcbpws.ps1 install https://<myExternalAddress:portNumber>/HPCBasicProfile
提示时,从可用证书的列表中选择证书。
注意:如果所需证书不可用,或者不存在可用证书,则需退出脚本并确保有适当的证书可用。有关详细信息,请参阅保证 HPC 基本配置文件 Web 服务的安全。
取消配置 HPC 基本配置文件 Web 服务
若要删除对头节点所做的更改以配置 HPC 基本配置文件 Web 服务,请以卸载模式运行 %CCP_HOME%\bin\hpcbpws.ps1 脚本。以卸载模式运行此脚本:
停止 HPCBP Web 服务,并且在重新启动计算机时不启动该服务。
删除提供 HPCBP Web 服务访问的本地防火墙异常。
删除以前安装的 https 证书绑定(可选)。
要点:头节点上的 Windows PowerShell 执行策略必须允许脚本运行。在 HPC PowerShell 窗口中,查看 get-help about_signing 以获取详细信息。
取消配置 HPC 基本配置文件 Web 服务的步骤
以具有管理员权限的用户身份登录到头节点。
单击"开始",指向"所有程序",单击 Microsoft HPC Pack,右键单击 HPC PowerShell,然后单击"以管理员身份运行"。
键入 hpcbpws.ps1 uninstall
提示时,选择要删除的端口绑定,或者键入 0 以跳过。
其他考虑事项
可以通过加载证书管理单元在 Microsoft 管理控制台 (MMC) 中检查证书存储的内容。如果所需证书不可用,或者不存在可用证书,则可以创建或导入证书。
(三)验证 HPC 基本配置文件 Web 服务是否已激活
若要验证是否成功激活 HPC 基本配置文件 Web 服务以及是否在客户端与 Web 服务之间建立信任关系,请使用 Web 浏览器导航到通过 PowerShell 脚本激活 HPC 基本配置文件 Web 服务期间指定的 URL。如果未指定 URL,则默认 URL 将基于头节点计算机名(例如,https://<computerName>/HPCBasicProfile,其中,computerName 是头节点的完全限定域名)。
常规 Windows Communication Foundation (WCF) 服务页应在浏览器中显示,且不存在证书验证错误。
如果未显示该页,则验证是否正在运行该服务,方法是通过 Microsoft 管理控制台 (MMC) 管理单元和系统事件日志检查已安装的服务。尝试在启用 WCF 日志记录时手动启动该服务可提供更多诊断信息。
如果出现证书验证警告,则验证客户端计算机的证书存储中是否存在服务器上的主机证书使用的证书颁发机构证书。
注意:验证服务的正确操作是否需要使用借助 HPC 基本配置文件协议与服务进行通信的客户端。
(四)启动和停止 HPC 基本配置文件 Web 服务
首次启动 HPC 基本配置文件 Web 服务时,请按照配置和取消配置 HPC 基本配置文件 Web 服务中的配置服务步骤执行操作。配置服务后,您可以在任何时间停止或启动它,或者将服务配置为自动启动。如果对 HPC 基本配置文件 Web 服务的配置文件做出了更改,请停止并稍后重新启动服务以确保更改生效。
注意:若要删除提供 HPC 基本配置文件 Web 服务访问的本地防火墙异常,或者删除已安装的安全超文本传输协议 (HTTPS) 证书绑定,请按照取消配置服务中的步骤执行。有关详细信息,请参阅配置和取消配置 HPC 基本配置文件 Web 服务。
以下过程演示如何通过使用服务管理单元或从命令提示符启动或停止服务:
启动 HPC 基本配置文件 Web 服务
停止 HPC 基本配置文件 Web 服务
启动 HPC 基本配置文件 Web 服务
您可以使用"服务"管理单元或者从命令提示符启动 HPC 基本配置文件 Web 服务。此外,您还可以选择配置服务,使其在服务器启动时自动启动。
使用服务管理单元启动 HPC 基本配置文件 Web 服务的步骤
以具有管理员权限的用户身份登录到头节点。
单击"开始",指向"管理工具",然后单击"服务"。
右键单击"HPC 基本配置文件 Web 服务",然后单击"启动"。
此外,还可以选择设置 HPC 基本配置文件 Web 服务,使其在每次服务器重新启动时自动启动:
右键单击"HPC 基本配置文件 Web 服务",然后单击"属性"。
在"常规"选项卡上,使用下拉菜单将启动选项更改为"自动",然后单击"确定"。
从命令提示符启动 HPC 基本配置文件 Web 服务的步骤
以管理员身份登录到头节点上,并打开命令提示符。
键入 net start HPCBasicProfile,然后按 Enter。
此外,还可以选择设置 Microsoft HPC 基本配置文件 Web 服务,使其在每次服务器重新启动时自动启动:
键入 sc config HPCBasicProfile start= auto,然后按 Enter。
停止 HPC 基本配置文件 Web 服务
您可以使用"服务"管理单元或者从命令提示符停止 HPC 基本配置文件 Web 服务。
使用服务管理单元停止 HPC 基本配置文件 Web 服务的步骤
以具有管理员权限的用户身份登录到头节点。
单击"开始",指向"管理工具",然后单击"服务"。
右键单击"HPC 基本配置文件 Web 服务",然后单击"停止"。
从命令提示符停止 HPC 基本配置文件 Web 服务的步骤
以管理员身份登录到头节点上,并打开命令提示符。
键入 net stop HPCBasicProfile,然后按 Enter。
(五)了解 HPC 基本配置文件 Web 服务的配置选项
HPC 基本配置文件 Web 服务配置文件位于 %CCP_HOME%\bin\HPCBasicProfile.exe.config 中。您可以在 <appSettings> 标记中添加元素来定义可选配置设置。如果更改配置文件,则应停止并稍后重新启动服务。
以下 XML 示例显示您可以在 <appSettings> 标记中添加的元素及其默认值:
<appSettings>
<add key="externalBaseAddress" value="https://<computerName>:443/HPCBasicProfile" />
<add key="maxNumberOfActivitiesToReturn" value="512" />
<add key="maxNumberOfNodesToReturn" value="512" />
<add key="clusterName" value="localhost" />
<add key="fileStagerExe" value="{CCP_HOME}\bin\HpcBasicProfileFileStager.exe" />
<add key="ftpsTrustedDNs" value="" />
<add key="fileStagerNodeGroup" value="" />
</appSettings>
HPC 基本配置文件 Web 服务的配置选项
externalBaseAddress: 定义要在访问服务时使用的端口号和外部 URL。默认的 URL 基于头节点的完全限定域名 (FQDN)(例如,https://<computerName>/HPCBasicProfile,其中,computerName 是计算机的 FQDN)。使用 https 协议的网络流量的默认端口号是 443。注意,如果您在运行脚本以配置服务时指定 URL 和端口号,则此参数将会被添加到配置文件中。
maxNumberOfActivitiesToReturn: 控制随 GetFactoryAttributesDocument 操作返回的活动数。默认值为 512。GetFactoryAttributesDocument 操作返回已在 Windows HPC Server 2008 群集上运行的所有任务的详细信息。HPC 基本配置文件规范定义"BasicFilter"元素,该元素指定是否应返回活动。使用"AdvancedFilter"规范(目前为公开网格论坛的 HPC 配置文件工作组的规范草案),可以进一步定义此操作返回的活动类型。
maxNumberOfNodesToReturn: 控制随 GetFactoryAttributesDocument 操作返回的节点数。默认值为 512。GetFactoryAttributesDocument 操作返回 Windows HPC Server 2008 群集中所有计算节点的详细信息。HPC 基本配置文件规范定义"BasicFilter"元素,该元素指定是否应返回节点的详细信息。"AdvancedFilter"规范定义"DynamicNode"元素,该元素提供与计算节点的配置和运行的任务相关的更多详细信息。
clusterName: 定义运行 HPC 作业计划程序服务的计算机的名称。Microsoft? HPC Pack 2008 中的 HPC 基本配置文件 Web 服务的默认部署在头节点上;因此,默认情况下,此参数的值为"localhost"。
fileStagerExe: 指定承担文件暂存任务的可执行文件。此元素允许群集管理员指定支持 Windows HPC Server 2008 中默认情况下不支持的协议的替代文件暂存可执行文件的绝对路径。HPC Pack SDK 中提供与文件暂存可执行文件相关的示例代码。
ftpsTrustedDNs: 定义可接受远程文件传输协议 (FTP) 服务器提供的哪些证书。此元素的值是以空格分隔的、可接受证书的可分辨名称的列表。例如,若要将可接受证书限制为发布给"microsoft.com"和任何"edu"域的证书,请指定:
<add key="ftpsTrustedDNs" value="microsoft.com edu" />
fileStagerNodeGroup: 定义将文件暂存可执行文件限制为在其上运行的节点组。如果没有指定节点组,且 HPC 基本配置文件暂存作业指定一组资源,则将文件暂存任务限制为在为主要应用程序任务指定的资源上运行。
