مشاركة عبر

إنشاء نظام مجموعة Service Fabric في Azure باستخدام مدخل Azure

  • مقالة

يوجهك هذا الدليل الإرشادي خلال خطوات إعداد مجموعة Service Fabric (نظام Linux أو Windows) في Azure باستخدام مدخل Azure. يرشدك هذا الدليل خلال الخطوات التالية:

  • إنشاء نظام مجموعة في Azure من خلال مدخل Azure.
  • مصادقة المسؤولين باستخدام الشهادات.

إشعار

للحصول على خيارات أمان أكثر تقدما، مثل مصادقة المستخدم باستخدام معرف Microsoft Entra وإعداد شهادات لأمان التطبيق، قم بإنشاء نظام المجموعة باستخدام Azure Resource Manager.

أمان نظام المجموعة

تستخدم الشهادات في Service Fabric لتوفير المصادقة والتشفير لتأمين جوانب مختلفة من نظام المجموعة وتطبيقاتها. لمزيد من المعلومات حول كيفية استخدام الشهادات في Service Fabric، راجع سيناريوهات أمان نظام مجموعة Service Fabric.

إذا كانت هذه هي المرة الأولى التي تقوم فيها بإنشاء نظام مجموعة لـ Service Fabric أو تقوم بتوزيع مجموعة لأحمال عمل الاختبار، يمكنك التخطي إلى القسم التالي (إنشاء مجموعة في مدخل Azure) وجعل النظام يقوم بإنشاء الشهادات اللازمة للمجموعات التي تقوم بتشغيل أحمال عمل الاختبار. إذا كنت تقوم بإعداد نظام مجموعة لأحمال عمل الإنتاج، فتابع القراءة.

شهادة نظام المجموعة والخادم (مطلوبة)

هذه الشهادة مطلوبة لتأمين نظام مجموعة ومنع الوصول غير المصرح به إليه. يوفر أمان نظام المجموعة بطريقتين:

  • مصادقة نظام المجموعة: تقوم بمصادقة اتصال العقدة إلى العقدة لاتحاد نظام المجموعة. يمكن فقط للعقد التي يمكنها إثبات هويتها باستخدام هذه الشهادة الانضمام إلى المجموعة.
  • مصادقة الخادم: تقوم بمصادقة نقاط نهاية إدارة نظام المجموعة إلى عميل إدارة، بحيث يعرف عميل الإدارة أنه يتحدث إلى نظام المجموعة الحقيقي. توفر هذه الشهادة أيضاً بروتوكول أمان طبقة النقل لواجهة برمجة تطبيقات إدارة HTTPS ومستكشف Service Fabric عبر HTTPS.

لخدمة هذه الأغراض، يجب أن تستوفي الشهادة المتطلبات التالية:

  • يجب أن تحتوي الشهادة على مفتاح خاص.
  • يجب إنشاء الشهادة لتبادل المفاتيح، قابلة للتصدير إلى ملف Exchange معلومات شخصية (.pfx).
  • يجب أن يتطابق اسم موضوع الشهادة مع المجال المستخدم للوصول إلى نظام مجموعة Service Fabric. تستلزم هذه المطابقة تقديم TLS لنقاط النهاية لإدارة HTTPS الخاصة بنظام المجموعة ومستكشف Service Fabric. لا يمكنك الحصول على شهادة TLS/SSL من مرجع مصدق (CA) للمجال .cloudapp.azure.com. الحصول على اسم مجال مخصص لنظام المجموعة لديك. عند طلب شهادة من مرجع مصدق، يجب مطابقة اسم موضوع الشهادة مع اسم مجال نظام المجموعة المخصص الذي تستخدمه لنظام المجموعة لديك.
  • يجب أن تتضمن قائمة أسماء DNS للشهادة اسم المجال المؤهل بالكامل (FQDN) لنظام المجموعة.

شهادات مصادقة العميل

تقوم شهادات العميل الإضافية بمصادقة المسؤولين لمهام إدارة نظام المجموعة. يحتوي Service Fabric على مستويين للوصول: المسؤول والمستخدم للقراءة فقط. كحد أدنى، يجب استخدام شهادة واحدة للوصول الإداري. للوصول الإضافي على مستوى المستخدم، يجب توفير شهادة منفصلة. لمزيد من المعلومات حول أدوار الوصول، راجع التحكم في الوصول المستند إلى الأدوار لعملاء Service Fabric.

لا تحتاج إلى تحميل شهادات مصادقة العميل إلى Key Vault للعمل مع Service Fabric. يجب توفير هذه الشهادات فقط للمستخدمين المصرح لهم بإدارة نظام المجموعة.

إشعار

معرف Microsoft Entra هو الطريقة الموصى بها لمصادقة العملاء لعمليات إدارة نظام المجموعة. لاستخدام معرف Microsoft Entra، يجب إنشاء نظام مجموعة باستخدام Azure Resource Manager.

شهادات التطبيق (اختياري)

يمكن تثبيت أي عدد من الشهادات الإضافية على نظام مجموعة لأغراض أمان التطبيق. قبل إنشاء نظام المجموعة، ضع في اعتبارك سيناريوهات أمان التطبيق التي تتطلب تثبيت شهادة على العقد، مثل:

  • تشفير وفك تشفير قيم تكوين التطبيق
  • تشفير البيانات عبر العقد أثناء النسخ المتماثل

لا يمكن تكوين شهادات التطبيق عند إنشاء نظام مجموعة من خلال مدخل Azure. لتكوين شهادات التطبيق في وقت إعداد نظام المجموعة، يجب إنشاء نظام مجموعة باستخدام Azure Resource Manager. يمكنك أيضاً إضافة شهادات التطبيق إلى نظام المجموعة بعد إنشائها.

إنشاء نظام مجموعة في مدخل Azure

يتضمن إنشاء نظام مجموعة إنتاج لتلبية احتياجات التطبيق بعض التخطيط، لمساعدتك في ذلك، يوصى بشدة بقراءة وفهم مستند اعتبارات تخطيط نظام مجموعة Service Fabric.

البحث عن مورد نظام مجموعة Service Fabric

سجل الدخول إلى مدخل Azure. حدد إنشاء مورد لإضافة قالب مورد جديد. ابحث عن قالب نظام مجموعة Service Fabric في Marketplace ضمن كل شيء. حدد نظام مجموعة Service Fabric من القائمة.

search for Service Fabric cluster template on the Azure portal.

انتقل إلى جزء نظام مجموعة Service Fabric، وانقر فوق إنشاء.

يحتوي جزء إنشاء نظام مجموعة Service Fabric على الخطوات الأربع التالية:

1. الأساسيات

Screenshot of creating a new resource group.

في جزء «الأساسيات»، تحتاج إلى توفير التفاصيل الأساسية لنظام مجموعتك.

  1. أدخل اسم نظام مجموعتك.

  2. أدخل اسم المستخدم وكلمة المرور لسطح المكتب البعيد للأجهزة الظاهرية.

  3. تأكد من تحديد الاشتراك الذي تريد توزيع نظام مجموعتك فيه، خاصة إذا كانت لديك اشتراكات متعددة.

  4. قم بإنشاء مجموعة موارد جديدة. من الأفضل إعطائها نفس اسم نظام المجموعة، لأنها تساعد في العثور عليه لاحقاً، خاصة عندما تحاول إجراء تغييرات على التوزيع أو حذف نظام مجموعتك.

    إشعار

    على الرغم من أنه يمكنك أن تقرر استخدام مجموعة موارد موجودة، فإنه من الممارسات الجيدة إنشاء مجموعة موارد جديدة. يجعل هذا من السهل حذف أنظمة المجموعات وجميع الموارد التي تستخدمها.

  5. حدد الموقع الذي تريد إنشاء نظام المجموعة فيه. إذا كنت تخطط لاستخدام شهادة حالية سبق لك تحميلها إلى مخزن مفاتيح، يجب عليك استخدام المنطقة نفسها التي يوجد فيها مخزن المفاتيح.

2. تكوين نظام المجموعة

Create a node type

تكوين عقد نظام المجموعة. تحدد أنواع العقد أحجام الأجهزة الظاهرية، وعدد الأجهزة الظاهرية وخصائصها. يمكن أن يحتوي نظام المجموعة على أكثر من نوع عقدة واحد، ولكن يجب أن يحتوي نوع العقدة الأساسي (النوع الأول الذي تقوم بتعريفه على المدخل) على خمسة أجهزة ظاهرية على الأقل، لأن هذا هو نوع العقدة حيث يتم وضع خدمات نظام Service Fabric. لا تقم بتكوين خصائص الموضع لأنه تتم إضافة خاصية موضع افتراضية "NodeTypeName" تلقائياً.

إشعار

هناك سيناريو شائع لأنواع العقد المتعددة يتمثل في تطبيق يحتوي على خدمة الواجهة الأمامية وخدمة الواجهة الخلفية. تريد وضع خدمة الواجهة الأمامية على أجهزة ظاهرية أصغر (أحجام أجهزة ظاهرية مثل D2_V2) مع منافذ مفتوحة على الإنترنت، ووضع خدمة الواجهة الخلفية على أجهزة ظاهرية أكبر (مع أحجام أجهزة ظاهرية مثل D3_V2، وD6_V2، وD15_V2 وما إلى ذلك) مع عدم فتح منافذ مواجهة للإنترنت.

  1. اختر اسماً لنوع العقدة (يتكون من حرف واحد إلى 12 حرفاً ويحتوي على أحرف وأرقام فقط).
  2. يتم تشغيل الحد الأدنى لحجم الأجهزة الظاهرية لنوع العقدة الأساسية بواسطة طبقة القدرة على الصمود التي تختارها لنظام المجموعة. الإعداد الافتراضي لطبقة القدرة على الصمود هو البرونز. لمزيد من المعلومات حول القدرة على الصمود، راجع كيفية اختيار القدرة على الصمود لنظام مجموعة Service Fabric.
  3. حدد حجم الجهاز الظاهري. تحتوي الأجهزة الظاهرية من الفئة D على محركات أقراص SSD، ويوصى بها بشدة للتطبيقات ذات الحالة. لا تستخدم أي وحدة SKU للجهاز الظاهري تحتوي على ذاكرات أساسية جزئية أو تحتوي على سعة أقل من 10 غيغابايت من سعة القرص المتوفرة. راجع مستند اعتبارات تخطيط نظام مجموعة Service Fabric للحصول على المساعدة في تحديد حجم الجهاز الظاهري.
  4. نظام مجموعة أحادي العقدة وأنظمة مجموعات ثلاثية العقد مخصصة للاستخدام التجريبي فقط. وهي غير مدعومة لأي أحمال عمل إنتاج قيد التشغيل.
  5. اختر سعة مجموعة مقياس الجهاز الظاهري الأولي لنوع العقدة. يمكنك تغيير حجم نطاق عدد الأجهزة الظاهرية زيادة ونقصانًا في نوع العقدة لاحقاً، ولكن في نوع العقدة الأساسية، يكون الحد الأدنى خمسة لأحمال عمل الإنتاج. يمكن أن تحتوي أنواع العقد الأخرى على جهاز ظاهري واحد على الأقل. يعمل الحد الأدنى لعدد الأجهزة الظاهرية لنوع العقدة الأساسية على زيادة موثوقية نظام مجموعتك.
  6. قم بتكوين نقاط النهاية المخصصة. يسمح لك هذا الحقل بإدخال قائمة مفصولة بفواصل من المنافذ التي تريد عرضها من خلال موازن تحميل Azure إلى الإنترنت العام لتطبيقاتك. على سبيل المثال، إذا كنت تخطط لتوزيع تطبيق ويب على نظام مجموعتك، فأدخل "80" هنا للسماح بنسبة استخدام الشبكة على المنفذ 80 إلى مجموعتك. لمزيد من المعلومات حول نقاط النهاية، راجع التواصل مع التطبيقات
  7. تمكين الوكيل العكسي. يساعد الوكيل العكسي لـ Service Fabric الخدمات المصغرة التي تعمل في نظام مجموعة Service Fabric على اكتشاف الخدمات الأخرى التي تحتوي على نقاط نهاية http والاتصال بها.
  8. مرة أخرى في جزء تكوين نظام المجموعة، ضمن +إظهار الإعدادات الاختيارية، قم بتكوين تشخيصات نظام المجموعة. بشكل افتراضي، يتم تمكين التشخيصات على نظام مجموعتك للمساعدة في استكشاف الأخطاء وإصلاحها. إذا كنت تريد تعطيل التشخيصات، فقم بتغيير مفتاح تبديل الحالة إلى إيقاف. لا ينصح بإيقاف تشغيل التشخيصات. إذا كان لديك مشروع Application Insights تم إنشاؤه بالفعل، فقم بإعطاء مفتاحه، بحيث يتم توجيه آثار التطبيق إليه.
  9. تضمين خدمة DNS. تعد خدمة DNS خدمة اختيارية تمكنك من العثور على خدمات أخرى باستخدام بروتوكول DNS.
  10. حدد وضع ترقية Fabric الذي تريد تعيين نظام مجموعتك إليه. حدد تلقائي، إذا كنت تريد أن يسجل النظام تلقائياً أحدث إصدار متوفر، ويحاول ترقية نظام مجموعتك إليه. قم بتعيين الوضع إلى يدوي، إذا كنت تريد اختيار إصدار مدعوم. لمزيد من التفاصيل حول وضع ترقية Fabric، راجع مستند ترقية نظام مجموعة Service Fabric.

إشعار

نحن ندعم فقط أنظمة المجموعات التي تقوم بتشغيل الإصدارات المدعومة من Service Fabric. من خلال تحديد الوضع اليدوي، فإنك تتحمل مسؤولية ترقية مجموعتك إلى إصدار مدعوم.

3. الأمان

Screenshot of security configurations on Azure portal.

لتسهيل إنشاء نظام مجموعة اختبار آمن لك، قمنا بتوفير الخيار أساسي. إذا كانت لديك بالفعل شهادة وقمت بتحميلها إلى مخزن المفاتيح (وقمت بتمكين مخزن المفاتيح للتوزيع)، فاستخدم الخيار مخصص

الخيار الأساسي

اتبع الشاشات لإضافة مخزن مفاتيح موجود أو إعادة استخدامه وإضافة شهادة. تعد إضافة الشهادة عملية متزامنة، لذا سيتعين عليك الانتظار حتى يتم إنشاء الشهادة.

قاوم إغراء التنقل بعيداً عن الشاشة حتى تكتمل العملية السابقة.

Screenshot shows the Security page with Basic selected with the Key vault pane and Create key vault pane.

الآن، بعد إنشاء مخزن المفاتيح، حرر نهج الوصول لمخزن المفاتيح.

Screenshot shows the Create Service Fabric cluster pane with option 3 Security selected and an explanation that the key vault is not enabled.

انقر فوق تحرير نهج الوصول، ثم إظهار نهج الوصول المتقدمة وتمكين الوصول إلى أجهزة Azure الظاهرية للتوزيع. يوصى بتمكين توزيع القالب أيضاً. بمجرد إجراء تحديداتك، لا تنسَ النقر فوق الزر حفظ، وإغلاق جزء نهج الوصول.

Screenshot shows the Create Service Fabric cluster pane with the Security pane open and the Access policies pane open.

أدخل اسم الشهادة، وانقر فوق موافق.

Screenshot shows the Create Service Fabric cluster pane with Security selected as before but without the explanation that the key vault is not enabled.

خيار مخصص

تخطَ هذا القسم، إذا كنت قد قمت بالفعل بتنفيذ الخطوات الموجودة في الخيار أساسي.

Screenshot shows the Security Configure cluster security settings dialog box.

تحتاج إلى مخزن مفتاح المصدر وعنوان URL للشهادة ومعلومات بصمة إبهام الشهادة لإكمال صفحة الأمان. إذا لم يكن ذلك في متناول يديك، فافتح نافذة مستعرض أخرى، وفي مدخل Azure، قم بما يلي

  1. انتقل إلى خدمة مخزن المفاتيح.

  2. حدد علامة التبويب "خصائص"، وانسخ "معرف المورد" إلى "مخزن المفاتيح المصدر" في نافذة المتصفح الأخرى

    Screenshot shows the Properties window for the key vault.

  3. الآن، حدد علامة التبويب "الشهادات".

  4. انقر فوق بصمة إبهام الشهادة، التي تنقلك إلى صفحة «الإصدارات».

  5. انقر فوق «معرفات GUID» التي تراها في «الإصدار» الحالي.

    Screenshot shows the Certificate window for the key vault

  6. يجب أن تكون الآن على الشاشة كما هو موضح أدناه. انسخ بصمة الإبهام SHA-1 السداسية العشرية إلى "بصمة إبهام الشهادة" في نافذة المستعرض الأخرى

  7. انسخ "المعرف السري" إلى "عنوان URL للشهادة" في نافذة المستعرض الأخرى.

    Screenshot shows the Certificate Version dialog box with an option to copy the Certificate Identifier.

حدد المربع تكوين الإعدادات المتقدمة لإدخال شهادات العميل لعميل المسؤول وعميل للقراءة فقط. في هذه الحقول، أدخل بصمة إبهام شهادة عميل المسؤول، وبصمة إبهام شهادة عميل المستخدم للقراءة فقط، إن وجدت. عندما يحاول المسؤولون الاتصال بنظام المجموعة، يتم منحهم حق الوصول فقط إذا كانت لديهم شهادة ببصمة إبهام تتطابق مع قيم بصمة الإبهام التي تم إدخالها هنا.

4. الملخص

أنت الآن جاهز لتوزيع نظام المجموعة. قبل القيام بذلك، قم بتنزيل الشهادة، وابحث داخل مربع المعلومات الأزرق الكبير عن الارتباط. تأكد من الاحتفاظ بالشهادة في مكان آمن. تحتاج إليها للاتصال بنظام مجموعتك. نظراً لأن الشهادة التي قمت بتنزيلها لا تحتوي على كلمة مرور، فمن المستحسن إضافة كلمة واحدة.

لإكمال إنشاء نظام المجموعة، انقر فوق إنشاء. يمكنك اختيارياً تنزيل القالب.

Screenshot shows the Create Service Fabric cluster Summary page with a link to view and download a certificate.

يمكنك الاطلاع على تقدم الإنشاء في الإعلامات. (انقر على أيقونة "الجرس" بالقرب من شريط الحالة في أعلى يسار الشاشة.) إذا قمت بالنقر فوق تثبيت على لوحة بدء التشغيل أثناء إنشاء نظام المجموعة، فسترى توزيع نظام مجموعة Service Fabric مثبتًا على لوحة البدء. قد تستغرق هذه العملية بعض الوقت.

لتنفيذ عمليات الإدارة على نظام مجموعتك باستخدام PowerShell أو CLI، تحتاج إلى الاتصال بنظام مجموعتك، وقراءة المزيد حول كيفية الاتصال بنظام مجموعتك.

عرض حالة نظام المجموعة

Screenshot of cluster details in the dashboard.

بمجرد إنشاء نظام مجموعتك، يمكنك فحص نظام مجموعتك في المدخل:

  1. انتقل إلى استعراض، وانقر فوق أنظمة مجموعات Service Fabric.
  2. حدد موقع نظام مجموعتك وانقر فوقه.
  3. يمكنك الآن الاطلاع على تفاصيل مجموعتك في لوحة المعلومات، بما في ذلك نقطة النهاية العامة للمجموعة وارتباط إلى مستكشف Service Fabric.

يشير قسم مراقبة العقدة الموجود على جزء لوحة معلومات نظام المجموعة إلى عدد الأجهزة الظاهرية السليمة وغير السليمة. يمكنك العثور على مزيد من التفاصيل حول سلامة نظام المجموعة في مقدمة نموذج سلامة Service Fabric.

إشعار

تتطلب أنظمة مجموعات Service Fabric عدداً معيناً من العقد لتكون دائماً للحفاظ على التوافر والحفاظ على الحالة - يشار إليها باسم "الحفاظ على الزخم القانوني". لذلك، عادة ما يكون من غير الآمن إيقاف تشغيل كافة الأجهزة في نظام المجموعة ما لم تقم أولاً بإجراء نسخة احتياطية كاملة من حالتك.

الاتصال عن بعد بمثيل مجموعة مقياس جهاز ظاهري أو عقدة نظام مجموعة

ينتج عن كل نوع من NodeTypes الذي تحدده في نظام مجموعتك إعداد مجموعة مقياس الجهاز الظاهري.

الخطوات التالية

في هذه المرحلة، يكون لديك نظام مجموعة آمن باستخدام شهادات لمصادقة الإدارة. بعد ذلك، اتصل بمجموعتك واكتشف كيفية إدارة البيانات السرية للتطبيقات. تعرف أيضًا على خيارات دعم Service Fabric.