مشاركة عبر

نظرة عامة على أنظمة مجموعات Service Fabric على Azure

  • مقالة

مجموعة Service Fabric هي مجموعة متصلة بالشبكة من الأجهزة الظاهرية أو الفعلية التي يتم فيها نشر الخدمات المصغرة وإدارتها. يعرف الجهاز أو الجهاز الظاهري الذي يشكل جزءًا من نظام مجموعة باسم «عقدة نظام المجموعة». يمكن توسيع نطاق المجموعات إلى آلاف العقد. إذا قمت بإضافة عقد جديدة إلى نظام المجموعة، يقوم "تصميم الخدمة" بإعادة توازن المثيلات والنسخ المتماثلة لقسم الخدمة عبر العدد المتزايد من العقد. يتحسن الأداء العام للتطبيق، ويقل التنافس للوصول إلى الذاكرة. إذا لم يتم استخدام العقد في المجموعة بكفاءة، يمكنك تقليل عدد العقد في المجموعة. يقوم «تصميم الخدمة» مرة أخرى بإعادة توازن النسخ المتماثلة للقسم والمثيلات عبر العدد المنخفض من العقد للاستفادة بشكل أفضل من الأجهزة الموجودة على كل عقدة.

يحدد نوع العقدة الحجم والرقم والخصائص لمجموعة العقد (الأجهزة الظاهرية) في نظام المجموعة. يمكن بعد ذلك توسيع نطاق كل نوع من أنواع العُقد أو خفضه بشكل مستقل، وفتح مجموعات مختلفة من المنافذ به، ويمكن أن يكون له مقاييس قدرة إنتاجية مختلفة. تستخدم أنواع العقد لتحديد أدوار لمجموعة من عقد نظام المجموعة، مثل «الواجهة الأمامية» أو «الواجهة الخلفية». يمكن أن يحتوي نظام المجموعة على أكثر من نوع عقدة واحد، ولكن يجب أن يحتوي نوع العقدة الأساسي على خمسة أجهزة ظاهرية على الأقل لأنظمة مجموعات الإنتاج (أو ثلاثة أجهزة ظاهرية على الأقل لأنظمة مجموعات الاختبار). يتم وضع خدمات نظام Service Fabric على العقد من نوع العقدة الأساسية.

مكونات نظام المجموعة ومواردها

نظام مجموعة Service Fabric على Azure هي مورد Azure يستخدم موارد Azure الأخرى ويتفاعل معها:

  • الأجهزة الظاهرية وبطاقات الشبكة الظاهرية
  • مجموعات تغيير حجم الأجهزة الظاهرية
  • الشبكات الظاهرية
  • موازنات التحميل
  • حسابات التخزين⁧
  • عناوين IP العامة

Service Fabric Cluster

جهاز ظاهري

يسمى الجهاز الظاهري الذي يشكل جزءاً من نظام مجموعة عقدة على الرغم من أنه من الناحية الفنية، فإن عقدة نظام المجموعة هي عملية وقت تشغيل Service Fabric. يتم تعيين اسم عقدة (سلسلة) لكل عقدة. تتسم العقد باحتوائها على خصائص، مثل خصائص الموضع. يحتوي كل جهاز أو جهاز ظاهري على خدمة بدء التشغيل التلقائي، FabricHost.exe، التي تبدأ في العمل في وقت التشغيل ثم تبدأ في تشغيل اثنين من الملفات التنفيذية، Fabric.exe وFabricGateway.exe، والتي تُشكل العقدة. توزيع الإنتاج هو عقدة واحدة لكل جهاز فعلي أو ظاهري. لاختبار السيناريوهات، يمكنك استضافة عدة عقد على جهاز أو جهاز ظاهري عن طريق تشغيل عدة مثيلات من Fabric.exe وFabricGateway.exe.

يرتبط كل جهاز ظاهري ببطاقة واجهة شبكة ظاهرية (NIC) ويتم تعيين عنوان IP خاص لكل NIC. يتم تعيين جهاز ظاهري لشبكة ظاهرية وموازن محلي من خلال بطاقة واجهة الشبكة الظاهرية.

يتم وضع كافة الأجهزة الظاهرية في نظام مجموعة في شبكة ظاهرية. يتم وضع جميع العقد في نفس نوع العقدة/مجموعة المقاييس على نفس الشبكة الفرعية على الشبكة الظاهرية. تحتوي هذه العقد على عناوين IP خاصة فقط ولا يمكن عنونتها مباشرة خارج الشبكة الظاهرية. يمكن للعملاء الوصول إلى الخدمات الموجودة على العقد من خلال موازن تحميل Azure.

نوع مجموعة المقاييس/العقدة

عند إنشاء نظام مجموعة، يمكنك تعريف نوع عقدة واحد أو أكثر. العقد أو الأجهزة الظاهرية في نوع العقدة لها نفس الحجم والخصائص مثل عدد المعالجات والذاكرة وعدد الأقراص وإدخال/إخراج القرص. على سبيل المثال، يمكن أن يكون نوع عقدة واحد للأجهزة الظاهرية الصغيرة ذات الواجهة الأمامية مع منافذ مفتوحة على الإنترنت بينما يمكن أن يكون نوع عقدة آخر للأجهزة الظاهرية الكبيرة ذات الواجهة الخلفية التي تعالج البيانات. في أنظمة مجموعات Azure، يتم تعيين كل نوع عقدة لـ مجموعة مقاييس الأجهزة الظاهرية.

يمكنك استخدام مجموعات المقاييس لتوزيع وإدارة مجموعة من الأجهزة الظاهرية كمجموعة. يقوم كل نوع عقدة تقوم بتعريفه في نظام مجموعة Azure Service Fabric بإعداد مجموعة مقاييس منفصلة. يتم تمهيد وقت تشغيل Service Fabric على كل جهاز ظاهري في مجموعة المقاييس باستخدام ملحقات Azure VM. يمكنك تغيير حجم كل نوع عقدة لأعلى أو لأسفل بشكل مستقل، وتغيير وحدة حفظ المخزون لنظام التشغيل التي تعمل على كل عقدة نظام مجموعة، وفتح مجموعات مختلفة من المنافذ، واستخدام مقاييس سعة مختلفة. تحتوي مجموعة المقاييس على خمسة نطاقات ترقية وخمسة نطاقات خطأ ويمكن أن تحتوي على ما يصل إلى 100 جهاز ظاهري. يمكنك إنشاء أنظمة مجموعات من أكثر من 100 عقدة عن طريق إنشاء مجموعات مقاييس/أنواع عقد متعددة.

هام

يعد اختيار عدد أنواع العقد لنظام المجموعة الخاص بك وخصائص كل نوع من أنواع العقدة (الحجم، الأساسي، مواجهة الإنترنت، عدد الأجهزة الظاهرية، إلخ) مهمة هامة. لمزيد من المعلومات الإضافية، يرجى قراءة اعتبارات التخطيط لسعة نظام المجموعة.

لمزيد من المعلومات، يرجى قراءة أنواع عقد Service Fabric ومجموعات مقاييس الجهاز الظاهري.

موازن تحميل Azure

يتم ضم مثيلات الجهاز الظاهري خلف موازن تحميل Azure، والذي يرتبط بـ عنوان IP عام وتسمية DNS. عند توفير نظام مجموعة بالتنسيق <clustername>, the DNS name, <clustername>.<location>.cloudapp.azure.com هو تسمية DNS المقترنة بموازن التحميل أمام مجموعة المقاييس.

تحتوي الأجهزة الظاهرية في نظام مجموعة على عناوين IP خاصة فقط. يتم توجيه نسبة استخدام الشبكة للخدمة والإدارة من خلال موازن التحميل المواجه للجمهور. يتم توجيه نسبة استخدام الشبكة إلى هذه الأجهزة من خلال قواعد NAT (يتصل العملاء بعقد/مثيلات محددة) أو قواعد موازنة التحميل (تنتقل نسبة استخدام الشبكة إلى الأجهزة الظاهرية بترتيب دوري). يحتوي موازن التحميل على عنوان IP عام مقترن باسم DNS بالتنسيق: <clustername>.<location>.cloudapp.azure.com. عنوان IP العام هو مورد Azure آخر في مجموعة الموارد. إذا قمت بتعريف أنواع عقد متعددة في نظام مجموعة، يتم إنشاء موازن تحميل لكل نوع عقدة/مجموعة مقاييس. أو يمكنك إعداد موازن تحميل واحد لأنواع العُقد المتعددة. يحتوي نوع العقدة الأساسية على تسمية DNS <clustername>.<location>.cloudapp.azure.com، وتحتوي أنواع العقد الأخرى على تسمية DNS<clustername>-<nodetype>.<location>.cloudapp.azure.com.

حسابات التخزين⁧

يتم دعم كل نوع عقدة نظام مجموعة بواسطة حساب تخزين Azure وأقراص مدارة.

أمان نظام المجموعة

نظام مجموعة Service Fabric هو مورد تملكه. تقع على عاتقك مسؤولية تأمين أنظمة المجموعات الخاصة بك للمساعدة في منع المستخدمين غير المصرح لهم من الاتصال بها. تعد المجموعة الآمنة مهمة بشكل خاص عند تشغيل أحمال عمل الإنتاج على المجموعة.

أمان العقدة إلى العقدة

أمان عقدة إلى عقدة يؤمن الاتصال بين الأجهزة الظاهرية أو أجهزة الكمبيوتر في نظام مجموعة. يضمن سيناريو الأمان هذا أن أجهزة الكمبيوتر المصرح لها بالانضمام إلى نظام المجموعة فقط يمكنها المشاركة في استضافة التطبيقات والخدمات في المجموعة. تستخدم خدمة "Service Fabric" شهادات X.509 لتأمين مجموعة وتوفير ميزات أمان التطبيق. مطلوب شهادة نظام المجموعة لتأمين نسبة استخدام الشبكة لنظام المجموعة وتوفير مصادقة نظام المجموعة والخادم. يمكن استخدام الشهادات الموقعة ذاتياً لأنظمة مجموعات الاختبار، ولكن يجب استخدام شهادة من مرجع مصدق موثوق به لتأمين أنظمة مجموعات الإنتاج.

لمزيد من المعلومات، اقرأ أمان عقدة إلى عقدة

أمان العميل إلى العقدة

يقوم الأمان من عميل إلى عقدة بمصادقة العملاء ويساعد على تأمين الاتصال بين العميل والعقد الفردية في نظام المجموعة. يساعد هذا النوع من الأمان على ضمان وصول المستخدمين المصرح لهم فقط إلى المجموعة والتطبيقات التي يتم نشرها على المجموعة. يتم التعرف على العملاء بشكل فريد من خلال بيانات اعتماد أمان شهادة X.509 الخاصة بهم. يمكن استخدام أي عدد من شهادات العميل الاختيارية لمصادقة عملاء المسؤول أو المستخدم باستخدام نظام المجموعة.

بالإضافة إلى شهادات العميل، يمكن أيضا تكوين معرف Microsoft Entra لمصادقة العملاء مع نظام المجموعة.

لمزيد من المعلومات، اقرأ أمان عميل إلى عقدة

التحكم في الوصول استناداً إلى الدور

يسمح لك التحكم في الوصول استناداً إلى دورAzure (Azure RBAC) بتعيين عناصر تحكم وصول تفصيلية على موارد Azure. يمكنك تعيين قواعد وصول مختلفة للاشتراكات ومجموعات الموارد والموارد. يتم توريث قواعد Azure RBAC على طول التدرج الهرمي للموارد ما لم يتم تجاوزها على مستوى أقل. يمكنك تعيين أي مستخدم أو مجموعات مستخدمين على معرف Microsoft Entra الخاص بك باستخدام قواعد Azure RBAC بحيث يمكن للمستخدمين والمجموعات المعينة تعديل مجموعتك. لمزيدٍ من المعلومات، اقرأ نظرة عامة على التحكم في الوصول استناداً إلى دور Azure.

يدعم نظام Service Fabric أيضاً التحكم في الوصول للحد من الوصول إلى عمليات نظام مجموعة معينة لمجموعات مختلفة من المستخدمين. هذا يساعد على جعل نظام المجموعة أكثر أماناً. يتم دعم نوعين من عناصر التحكم في الوصول للعملاء الذين يتصلون بنظام مجموعة: دور المسؤول ودور المستخدم.

لمزيد من المعلومات، اقرأ التحكم في الوصول المستند إلى دور Service Fabric.

مجموعات أمان الشبكات

تتحكم مجموعات أمان الشبكة (NSGs) في نسبة استخدام الشبكة الواردة والصادرة لشبكة فرعية أو جهاز ظاهري أو بطاقة واجهة شبكة محددة. بشكل افتراضي، عندما يتم وضع أجهزة ظاهرية متعددة على نفس الشبكة الافتراضية، يمكنهم التواصل مع بعضهم البعض من خلال أي منفذ. إذا كنت ترغب في تقييد الاتصالات بين الأجهزة، فيمكنك تحديد مجموعات أمان الشبكة لتقسيم الشبكة أو عزل الأجهزة الظاهرية عن بعضها البعض. إذا كان لديك أنواع عقد متعددة في نظام مجموعة، يمكنك تطبيق مجموعات أمان الشبكة على الشبكات الفرعية لمنع الأجهزة التي تنتمي إلى أنواع مختلفة من العقد من الاتصال ببعضها البعض.

لمزيد من المعلومات، اقرأ معلومات حول مجموعات الأمان

تغيير الحجم

تتغير متطلبات التطبيق بمرور الوقت. قد تحتاج إلى زيادة موارد نظام المجموعة لتلبية حمل عمل التطبيق المتزايد أو نسبة استخدام الشبكة أو تقليل موارد نظام المجموعة عند انخفاض الطلب. بعد إنشاء نظام مجموعة Service Fabric، يمكنك قياس نظام المجموعة أفقياً (تغيير عدد العُقد) أو رأسياً (تغيير موارد العقد). يمكنك قياس المجموعة في أي وقت، حتى عندما يتم تشغيل أحمال العمل بالمجموعة. مع تغيير حجم نظام المجموعة، تتغير تطبيقاتك تلقائياً أيضاً.

لمزيد من المعلومات، اقرأ تحجيم أنظمة مجموعات Azure.

ترقية

يعد نظام مجموعة Azure Service Fabric مورداً تحت تصرفك، ولكن تتم إدارته جزئياً بواسطة Microsoft. تتحمل Microsoft مسؤولية التحديث الجزئي لنظام التشغيل الأساسي وإجراء ترقيات وقت تشغيل Service Fabric على نظام المجموعة الخاص بك. يمكنك تعيين نظام المجموعة الخاص بك لتلقي ترقيات وقت التشغيل التلقائية، عندما تصدر Microsoft إصداراً جديداً، أو اختيار تحديد إصدار وقت تشغيل مدعوم تريده. بالإضافة إلى ترقيات وقت التشغيل، يمكنك أيضاً تحديث تكوين نظام المجموعة، مثل الشهادات أو منافذ التطبيقات.

لمزيد من المعلومات، اقرأ ترقية أنظمة المجموعات.

أنظمة التشغيل المدعومة

الرجاء الرجوع إلى الإصدارات المدعومة في Azure للحصول على معلومات إضافية

الخطوات التالية

اقرأ المزيد حول تأمين وتحجيم وترقية أنظمة مجموعات Azure.

تعرف على خيارات دعم «تصميم الخدمة».