Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento kurz je první částí série. Naučíte se nasadit cluster Azure Service Fabric se systémem Windows do virtuální sítě Azure a skupiny zabezpečení sítě pomocí PowerShellu a šablony. Po dokončení máte cluster spuštěný v cloudu, do kterého můžete nasazovat aplikace. Pokud chcete vytvořit cluster s Linuxem, který používá Azure CLI, přečtěte si téma Vytvoření zabezpečeného linuxového clusteru v Azure.
Tento kurz popisuje produkční scénář. Pokud chcete vytvořit menší cluster pro účely testování, přečtěte si téma Vytvoření testovacího clusteru.
V tomto kurzu se naučíte:
- Vytvoření virtuální sítě v Azure pomocí PowerShellu
- Vytvoření trezoru klíčů a nahrání certifikátu
- Nastavení ověřování Microsoft Entra
- Konfigurace kolekce diagnostiky
- Nastavení služby EventStore
- Nastavení protokolů služby Azure Monitor
- Vytvoření zabezpečeného clusteru Service Fabric v Azure PowerShellu
- Zabezpečení clusteru pomocí certifikátu X.509
- Připojení ke clusteru pomocí PowerShellu
- Odebrání clusteru
V této sérii kurzů se naučíte:
- Vytvoření zabezpečeného clusteru v Azure
- Sledujte cluster
- Škálování clusteru nahoru nebo dolů
- Upgrade běhového prostředí clusteru
- Odstranění clusteru
Poznámka:
K interakci s Azure doporučujeme použít modul Azure Az PowerShell. Začněte tím, že si projdete téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Požadavky
Než začnete s tímto kurzem:
- Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet.
- Nainstalujte Service Fabric SDK a modul PowerShell.
- Nainstalujte Azure PowerShell.
- Projděte si klíčové koncepty clusterů Azure.
- Naplánujte nasazení produkčního clusteru a připravte se na nasazení produkčního clusteru.
Následující postupy vytvoří cluster Service Fabric se sedmi uzly. Pomocí cenové kalkulačky Azure můžete vypočítat náklady vzniklé spuštěním clusteru Service Fabric v Azure.
Stažení a prozkoumání šablony
Stáhněte si následující soubory šablon Azure Resource Manageru:
Tato šablona nasadí zabezpečený cluster sedmi virtuálních počítačů a tří typů uzlů do virtuální sítě a skupiny zabezpečení sítě. Další ukázkové šablony najdete na GitHubu. azuredeploy.json nasadí řadu prostředků, včetně následujících.
Clusteru Service Fabric
V prostředku Microsoft.ServiceFabric/clusters je cluster s Windows nakonfigurovaný s následujícími vlastnostmi:
- Tři typy uzlů.
- Pět uzlů v primárním typu uzlu (konfigurovatelné v parametrech šablony) a jeden uzel v každém z ostatních dvou typů uzlů.
- Operační systém: Windows Server 2016 Datacenter s kontejnery (konfigurovatelné v parametrech šablony).
- Certifikát je zabezpečený (konfigurovatelný v parametrech šablony).
- Reverzní proxy server je povolený.
- Je povolená služba DNS.
- Úroveň stálosti bronzu (konfigurovatelná v parametrech šablony).
- Úroveň spolehlivosti Silver (konfigurovatelné v parametrech šablony).
- Koncový bod připojení klienta: 19000 (konfigurovatelný v parametrech šablony).
- Koncový bod brány HTTP: 19080 (konfigurovatelný v parametrech šablony).
Azure Load Balancer (zátěžový vyrovnávač)
V prostředku Microsoft.Network/loadBalancers je nakonfigurovaný nástroj pro vyrovnávání zatížení. Sondy a pravidla jsou nastavené pro následující porty:
- Koncový bod připojení klienta: 19000
- Koncový bod brány HTTP: 19080
- Port aplikace: 80
- Port aplikace: 443
- Reverzní proxy server Service Fabric: 19081
Pokud jsou potřeba další porty aplikace, budete muset upravit prostředek Microsoft.Network/loadBalancers a prostředek Microsoft.Network/networkSecurityGroups tak, aby umožňoval přenosy.
Virtuální síť, podsíť a skupina zabezpečení sítě
Názvy virtuální sítě, podsítě a skupiny zabezpečení sítě jsou deklarovány v parametrech šablony. Adresní prostory virtuální sítě a podsítě se také deklarují v parametrech šablony a konfigurují se v prostředku Microsoft.Network/virtualNetworks :
- Adresní prostor virtuální sítě: 172.16.0.0/20
- Adresní prostor podsítě Service Fabric: 172.16.2.0/23
V prostředku Microsoft.Network/networkSecurityGroups jsou povolena následující pravidla příchozího provozu. Hodnoty portů můžete změnit změnou proměnných šablony.
- ClientConnectionEndpoint (TCP): 19000
- HttpGatewayEndpoint (HTTP/TCP): 19080
- SMB: 445
- Internodecommunication: 1025, 1026, 1027
- Rozsah dočasných portů: 49152 až 65534 (vyžaduje minimálně 256 portů).
- Porty pro použití aplikace: 80 a 443
- Rozsah portů aplikace: 49152 až 65534 (používaný pro komunikaci mezi službami. Ostatní porty se neotevře v nástroji pro vyrovnávání zatížení).
- Blokovat všechny ostatní porty
Pokud jsou potřeba další porty aplikace, budete muset upravit prostředek Microsoft.Network/loadBalancers a prostředek Microsoft.Network/networkSecurityGroups tak, aby umožňoval přenosy.
Windows Defender
Ve výchozím nastavení je antivirový program v programu Windows Defender nainstalovaný a funkční na Windows Serveru 2016. Uživatelské rozhraní se ve výchozím nastavení instaluje na některé skladové položky, ale není povinné. Pro každý typ uzlu nebo škálovací sadu virtuálních počítačů deklarovanou v šabloně se rozšíření Azure VM Antimalware používá k vyloučení adresářů a procesů Service Fabric:
{
"name": "[concat('VMIaaSAntimalware','_vmNodeType0Name')]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "IaaSAntimalware",
"typeHandlerVersion": "1.5",
"settings": {
"AntimalwareEnabled": "true",
"Exclusions": {
"Paths": "D:\\SvcFab;D:\\SvcFab\\Log;C:\\Program Files\\Microsoft Service Fabric",
"Processes": "Fabric.exe;FabricHost.exe;FabricInstallerService.exe;FabricSetup.exe;FabricDeployer.exe;ImageBuilder.exe;FabricGateway.exe;FabricDCA.exe;FabricFAS.exe;FabricUOS.exe;FabricRM.exe;FileStoreService.exe"
},
"RealtimeProtectionEnabled": "true",
"ScheduledScanSettings": {
"isEnabled": "true",
"scanType": "Quick",
"day": "7",
"time": "120"
}
},
"protectedSettings": null
}
}
Nastavení parametrů šablony
Soubor parametrůazuredeploy.parameters.json deklaruje mnoho hodnot používaných k nasazení clusteru a přidružených prostředků. Následující jsou parametry k úpravě vašeho nasazení:
| parameter | Příklad hodnoty | poznámky |
|---|---|---|
| adminUživatelskéJméno | vmadmin | Uživatelské jméno správce pro virtuální počítače clusteru Požadavky na uživatelské jméno pro virtuální počítač |
| heslo administrátora | Heslo č. 1234 | Heslo správce pro virtuální počítače clusteru Požadavky na heslo pro virtuální počítač |
| Název clusteru | mysfcluster123 | Název clusteru. Může obsahovat pouze písmena a číslice. Délka může být 3 až 23 znaků. |
| místo | southcentralus | Umístění clusteru. |
| otisk certifikátu | Hodnota by měla být prázdná, pokud vytváříte certifikát podepsaný svým držitelem nebo poskytujete soubor certifikátu. Pokud chcete použít existující certifikát dříve nahraný do trezoru klíčů, vyplňte hodnotu kryptografického otisku SHA1 certifikátu. Například "AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00". |
|
| certificateUrlValue | Hodnota by měla být prázdná, pokud vytváříte certifikát podepsaný svým držitelem nebo poskytujete soubor certifikátu. Pokud chcete použít existující certifikát, který jste dříve nahráli do trezoru klíčů, vyplňte adresu URL certifikátu. Například "https://mykeyvault.vault.azure.net:443/secrets/mycertificate/02bea722c9ef4009a76c5052bcbf8346". |
|
| sourceVaultValue | Hodnota by měla být prázdná, pokud vytváříte certifikát podepsaný svým držitelem nebo poskytujete soubor certifikátu. Pokud chcete použít existující certifikát, který jste dříve nahráli do trezoru klíčů, vyplňte hodnotu zdrojového trezoru. Například "/subscriptions/333cc2c84-12fa-5778-bd71-c71c07bf873f/resourceGroups/MyTestRG/providers/Microsoft.KeyVault/vaults/MYKEYVAULT". |
Nastavení ověřování klienta Microsoft Entra
U clusterů Service Fabric nasazených ve veřejné síti hostované v Azure doporučujeme vzájemné ověřování mezi klienty:
- Pro identitu klienta použijte ID Microsoft Entra.
- Použijte certifikát pro identitu serveru a šifrování TLS komunikace HTTP.
Nastavení ID Microsoft Entra pro ověřování klientů pro cluster Service Fabric musí být provedeno před vytvořením clusteru. Microsoft Entra ID umožňuje organizacím (označované jako tenanti) spravovat přístup uživatelů k aplikacím.
Cluster Service Fabric nabízí několik vstupních bodů pro správu, včetně webového Service Fabric Explorer a Visual Studio. V důsledku toho vytvoříte dvě aplikace Microsoft Entra pro řízení přístupu ke clusteru: jednu webovou aplikaci a jednu nativní aplikaci. Po vytvoření aplikací přiřadíte uživatele k rolím jen pro čtení a správcům.
Poznámka:
Před vytvořením clusteru je nutné provést následující kroky. Vzhledem k tomu, že skripty očekávají názvy a koncové body clusteru, měly by se hodnoty naplánovat, a ne hodnoty, které jste už vytvořili.
V tomto článku předpokládáme, že jste už vytvořili tenanta. Pokud jste to neudělali, začněte tím, že si přečtete , jak získat tenanta Microsoft Entra.
Abychom zjednodušili kroky, které se týkají konfigurace ID Microsoft Entra s clusterem Service Fabric, vytvořili jsme sadu skriptů Windows PowerShellu. Stáhněte si skripty do počítače.
Vytváření aplikací Microsoft Entra a přiřazování uživatelů k rolím
Vytvořte dvě aplikace Microsoft Entra pro řízení přístupu ke clusteru: jednu webovou aplikaci a jednu nativní aplikaci. Po vytvoření aplikací, které budou představovat váš cluster, přiřaďte uživatelům role podporované Service Fabric: jen pro čtení a správce.
Spusťte SetupApplications.ps1a jako parametry zadejte ID tenanta, název clusteru a adresu URL odpovědi webové aplikace. Zadejte uživatelská jména a hesla pro uživatele. Například:
$Configobj = .\SetupApplications.ps1 -TenantId '<MyTenantID>' -ClusterName 'mysfcluster123' -WebApplicationReplyUrl 'https://mysfcluster123.eastus.cloudapp.azure.com:19080/Explorer/index.html' -AddResourceAccess
.\SetupUser.ps1 -ConfigObj $Configobj -UserName 'TestUser' -Password 'P@ssword!123'
.\SetupUser.ps1 -ConfigObj $Configobj -UserName 'TestAdmin' -Password 'P@ssword!123' -IsAdmin
Poznámka:
Pro národní cloudy (například Azure Government, Microsoft Azure provozovaný společností 21Vianet, Azure Germany) zadejte -Location parametr.
ID tenanta nebo id adresáře najdete na webu Azure Portal. Vyberte Microsoft Entra ID>Vlastnosti a zkopírujte hodnotu ID adresáře.
ClusterName slouží k předponě aplikací Microsoft Entra vytvořených skriptem. Nemusí přesně odpovídat skutečnému názvu clusteru. Usnadňuje to mapování artefaktů Microsoft Entra na používaný cluster Service Fabric.
WebApplicationReplyUrl je výchozí koncový bod, který microsoft Entra ID vrátí vašim uživatelům po dokončení přihlášení. Nastavte tento koncový bod jako koncový bod Service Fabric Exploreru pro váš cluster, což je ve výchozím nastavení:
<https://cluster_domain>:19080/Explorer
Zobrazí se výzva k přihlášení k účtu, který má oprávnění správce pro tenanta Microsoft Entra. Po přihlášení skript vytvoří webové a nativní aplikace, které představují váš cluster Service Fabric. V aplikacích tenanta na webu Azure Portal by se měly zobrazit dvě nové položky:
- Název clusteru_Cluster
- Název clusteru_Client
Skript při vytváření clusteru vytiskne JSON vyžadovaný šablonou Resource Manageru, takže je vhodné nechat okno PowerShellu otevřené.
"azureActiveDirectory": {
"tenantId":"<guid>",
"clusterApplication":"<guid>",
"clientApplication":"<guid>"
},
Přidání konfigurace Microsoft Entra pro použití ID Microsoft Entra pro klientský přístup
V azuredeploy.jsonnakonfigurujte ID Microsoft Entra v části Microsoft.ServiceFabric/clusters . Přidejte parametry pro ID tenanta, ID aplikace clusteru a ID klientské aplikace.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json",
"contentVersion": "1.0.0.0",
"parameters": {
...
"aadTenantId": {
"type": "string",
"defaultValue": "0e3d2646-78b3-4711-b8be-74a381d9890c"
},
"aadClusterApplicationId": {
"type": "string",
"defaultValue": "cb147d34-b0b9-4e77-81d6-420fef0c4180"
},
"aadClientApplicationId": {
"type": "string",
"defaultValue": "7a8f3b37-cc40-45cc-9b8f-57b8919ea461"
}
},
...
{
"apiVersion": "2018-02-01",
"type": "Microsoft.ServiceFabric/clusters",
"name": "[parameters('clusterName')]",
...
"properties": {
...
"azureActiveDirectory": {
"tenantId": "[parameters('aadTenantId')]",
"clusterApplication": "[parameters('aadClusterApplicationId')]",
"clientApplication": "[parameters('aadClientApplicationId')]"
},
...
}
}
Do souboru parametrů azuredeploy.parameters.json přidejte hodnoty parametrů. Například:
"aadTenantId": {
"value": "0e3d2646-78b3-4711-b8be-74a381d9890c"
},
"aadClusterApplicationId": {
"value": "cb147d34-b0b9-4e77-81d6-420fef0c4180"
},
"aadClientApplicationId": {
"value": "7a8f3b37-cc40-45cc-9b8f-57b8919ea461"
}
Konfigurace sběru diagnostických dat v clusteru
Pokud používáte cluster Service Fabric, je vhodné shromáždit protokoly ze všech uzlů v centrálním umístění. Když máte protokoly v centrálním umístění, můžete analyzovat a řešit problémy v clusteru nebo problémy v aplikacích a službách spuštěných v daném clusteru.
Jedním ze způsobů, jak nahrát a shromáždit protokoly, je použít rozšíření Azure Diagnostics (WAD), které nahrává protokoly do služby Azure Storage a má také možnost odesílat protokoly do Azure Application Insights nebo Event Hubs. Externí proces můžete také použít ke čtení událostí z úložiště a jejich umístění do produktu analytické platformy, jako jsou protokoly služby Azure Monitor nebo jiné řešení analýzy protokolů.
Pokud sledujete tento kurz, kolekce diagnostiky je už v šabloně nakonfigurovaná.
Pokud máte existující cluster, který nemá nasazenou diagnostiku, můžete ho přidat nebo aktualizovat pomocí šablony clusteru. Upravte šablonu Resource Manageru, která se používá k vytvoření existujícího clusteru nebo stažení šablony z portálu. Upravte soubor template.json provedením následujících úloh:
Do sekce zdrojů v šabloně přidejte nový prostředek úložiště:
"resources": [
...
{
"apiVersion": "2015-05-01-preview",
"type": "Microsoft.Storage/storageAccounts",
"name": "[parameters('applicationDiagnosticsStorageAccountName')]",
"location": "[parameters('computeLocation')]",
"sku": {
"accountType": "[parameters('applicationDiagnosticsStorageAccountType')]"
},
"tags": {
"resourceType": "Service Fabric",
"clusterName": "[parameters('clusterName')]"
}
},
...
]
Dále přidejte parametry pro název účtu úložiště a zadejte do oddílu parametrů šablony. Zástupný název textového účtu úložiště nahraďte názvem účtu úložiště, který chcete.
"parameters": {
...
"applicationDiagnosticsStorageAccountType": {
"type": "string",
"allowedValues": [
"Standard_LRS",
"Standard_GRS"
],
"defaultValue": "Standard_LRS",
"metadata": {
"description": "Replication option for the application diagnostics storage account"
}
},
"applicationDiagnosticsStorageAccountName": {
"type": "string",
"defaultValue": "**STORAGE ACCOUNT NAME GOES HERE**",
"metadata": {
"description": "Name for the storage account that contains application diagnostics data from the cluster"
}
},
...
}
Dále přidejte rozšíření IaaSDiagnostics do pole rozšíření vlastnosti VirtualMachineProfile každého prostředku Microsoft.Compute/virtualMachineScaleSets v clusteru. Pokud používáte ukázkovou šablonu, existují tři škálovací sady virtuálních počítačů (jeden pro každý typ uzlu v clusteru).
"apiVersion": "2018-10-01",
"type": "Microsoft.Compute/virtualMachineScaleSets",
"name": "[variables('vmNodeType1Name')]",
"properties": {
...
"virtualMachineProfile": {
"extensionProfile": {
"extensions": [
{
"name": "[concat(parameters('vmNodeType0Name'),'_Microsoft.Insights.VMDiagnosticsSettings')]",
"properties": {
"type": "IaaSDiagnostics",
"autoUpgradeMinorVersion": true,
"protectedSettings": {
"storageAccountName": "[parameters('applicationDiagnosticsStorageAccountName')]",
"storageAccountKey": "[listKeys(resourceId('Microsoft.Storage/storageAccounts', parameters('applicationDiagnosticsStorageAccountName')),'2015-05-01-preview').key1]",
"storageAccountEndPoint": "https://core.windows.net/"
},
"publisher": "Microsoft.Azure.Diagnostics",
"settings": {
"WadCfg": {
"DiagnosticMonitorConfiguration": {
"overallQuotaInMB": "50000",
"EtwProviders": {
"EtwEventSourceProviderConfiguration": [
{
"provider": "Microsoft-ServiceFabric-Actors",
"scheduledTransferKeywordFilter": "1",
"scheduledTransferPeriod": "PT5M",
"DefaultEvents": {
"eventDestination": "ServiceFabricReliableActorEventTable"
}
},
{
"provider": "Microsoft-ServiceFabric-Services",
"scheduledTransferPeriod": "PT5M",
"DefaultEvents": {
"eventDestination": "ServiceFabricReliableServiceEventTable"
}
}
],
"EtwManifestProviderConfiguration": [
{
"provider": "cbd93bc2-71e5-4566-b3a7-595d8eeca6e8",
"scheduledTransferLogLevelFilter": "Information",
"scheduledTransferKeywordFilter": "4611686018427387904",
"scheduledTransferPeriod": "PT5M",
"DefaultEvents": {
"eventDestination": "ServiceFabricSystemEventTable"
}
}
]
}
}
},
"StorageAccount": "[parameters('applicationDiagnosticsStorageAccountName')]"
},
"typeHandlerVersion": "1.5"
}
}
...
]
}
}
}
Konfigurace služby EventStore
Služba EventStore je možnost monitorování v Service Fabric. EventStore poskytuje způsob, jak porozumět stavu clusteru nebo úloh v daném časovém okamžiku. EventStore je stavová služba Service Fabric, která udržuje události z clusteru. Tato událost je vystavena prostřednictvím Service Fabric Exploreru, REST a rozhraní API. EventStore se dotazuje clusteru přímo na získání diagnostických dat na libovolnou entitu v clusteru a měl by se použít k tomu, aby vám pomohl:
- Diagnostikujte problémy ve vývoji nebo testování, nebo tam, kde byste mohli využívat monitorovací kanál.
- Ověřte, že se správně zpracovávají akce správy, které v clusteru provádíte.
- Získání "snímku" způsobu interakce Service Fabric s konkrétní entitou
Chcete-li povolit službu EventStore ve vašem clusteru, přidejte následující do vlastnosti fabricSettings prostředku Microsoft.ServiceFabric/clusters :
"apiVersion": "2018-02-01",
"type": "Microsoft.ServiceFabric/clusters",
"name": "[parameters('clusterName')]",
"properties": {
...
"fabricSettings": [
...
{
"name": "EventStoreService",
"parameters": [
{
"name": "TargetReplicaSetSize",
"value": "3"
},
{
"name": "MinReplicaSetSize",
"value": "1"
}
]
}
]
}
Nastavení protokolů služby Azure Monitor pro cluster
Protokoly služby Azure Monitor jsou naším doporučením k monitorování událostí na úrovni clusteru. Pokud chcete nastavit protokoly služby Azure Monitor pro monitorování clusteru, musíte mít povolenou diagnostiku pro zobrazení událostí na úrovni clusteru.
Pracovní prostor musí být připojený k diagnostickým datům přicházejícím z vašeho clusteru. Tato data protokolu jsou uložená v účtu úložiště applicationDiagnosticsStorageAccountName v tabulkách WADServiceFabric*EventTable, WADWindowsEventLogsTable a WADETWEventTable.
Přidejte pracovní prostor Azure Log Analytics a přidejte řešení do pracovního prostoru:
"resources": [
...
{
"apiVersion": "2015-11-01-preview",
"location": "[parameters('omsRegion')]",
"name": "[parameters('omsWorkspacename')]",
"type": "Microsoft.OperationalInsights/workspaces",
"properties": {
"sku": {
"name": "Free"
}
},
"resources": [
{
"apiVersion": "2015-11-01-preview",
"name": "[concat(variables('applicationDiagnosticsStorageAccountName'),parameters('omsWorkspacename'))]",
"type": "storageinsightconfigs",
"dependsOn": [
"[concat('Microsoft.OperationalInsights/workspaces/', parameters('omsWorkspacename'))]",
"[concat('Microsoft.Storage/storageAccounts/', variables('applicationDiagnosticsStorageAccountName'))]"
],
"properties": {
"containers": [],
"tables": [
"WADServiceFabric*EventTable",
"WADWindowsEventLogsTable",
"WADETWEventTable"
],
"storageAccount": {
"id": "[resourceId('Microsoft.Storage/storageaccounts/', variables('applicationDiagnosticsStorageAccountName'))]",
"key": "[listKeys(resourceId('Microsoft.Storage/storageAccounts', variables('applicationDiagnosticsStorageAccountName')),'2015-06-15').key1]"
}
}
},
{
"apiVersion": "2015-11-01-preview",
"type": "datasources",
"name": "sampleWindowsPerfCounter",
"dependsOn": [
"[concat('Microsoft.OperationalInsights/workspaces/', parameters('omsWorkspacename'))]"
],
"kind": "WindowsPerformanceCounter",
"properties": {
"objectName": "Memory",
"instanceName": "*",
"intervalSeconds": 10,
"counterName": "Available MBytes"
}
},
{
"apiVersion": "2015-11-01-preview",
"type": "datasources",
"name": "sampleWindowsPerfCounter2",
"dependsOn": [
"[concat('Microsoft.OperationalInsights/workspaces/', parameters('omsWorkspacename'))]"
],
"kind": "WindowsPerformanceCounter",
"properties": {
"objectName": "Service Fabric Service",
"instanceName": "*",
"intervalSeconds": 10,
"counterName": "Average milliseconds per request"
}
}
]
},
{
"apiVersion": "2015-11-01-preview",
"location": "[parameters('omsRegion')]",
"name": "[variables('solution')]",
"type": "Microsoft.OperationsManagement/solutions",
"dependsOn": [
"[concat('Microsoft.OperationalInsights/workspaces/', parameters('omsWorkspacename'))]"
],
"properties": {
"workspaceResourceId": "[resourceId('Microsoft.OperationalInsights/workspaces/', parameters('omsWorkspacename'))]"
},
"plan": {
"name": "[variables('solution')]",
"publisher": "Microsoft",
"product": "[Concat('OMSGallery/', variables('solutionName'))]",
"promotionCode": ""
}
}
]
Dále přidejte parametry.
"parameters": {
...
"omsWorkspacename": {
"type": "string",
"defaultValue": "mysfomsworkspace",
"metadata": {
"description": "Name of your OMS Log Analytics Workspace"
}
},
"omsRegion": {
"type": "string",
"defaultValue": "West Europe",
"allowedValues": [
"West Europe",
"East US",
"Southeast Asia"
],
"metadata": {
"description": "Specify the Azure Region for your OMS workspace"
}
}
}
Dále přidejte proměnné:
"variables": {
...
"solution": "[Concat('ServiceFabric', '(', parameters('omsWorkspacename'), ')')]",
"solutionName": "ServiceFabric"
}
Přidejte rozšíření agenta Log Analytics do každé škálovací sady virtuálních počítačů v clusteru a připojte agenta k pracovnímu prostoru služby Log Analytics. To umožňuje shromažďovat diagnostická data o kontejnerech, aplikacích a monitorování výkonu. Když ho přidáte jako rozšíření prostředku škálovací sady virtuálních počítačů, Azure Resource Manager zajistí, že se nainstaluje na každý uzel i při škálování clusteru.
"apiVersion": "2018-10-01",
"type": "Microsoft.Compute/virtualMachineScaleSets",
"name": "[variables('vmNodeType1Name')]",
"properties": {
...
"virtualMachineProfile": {
"extensionProfile": {
"extensions": [
{
"name": "[concat(variables('vmNodeType0Name'),'OMS')]",
"properties": {
"publisher": "Microsoft.EnterpriseCloud.Monitoring",
"type": "MicrosoftMonitoringAgent",
"typeHandlerVersion": "1.0",
"autoUpgradeMinorVersion": true,
"settings": {
"workspaceId": "[reference(resourceId('Microsoft.OperationalInsights/workspaces/', parameters('omsWorkspacename')), '2015-11-01-preview').customerId]"
},
"protectedSettings": {
"workspaceKey": "[listKeys(resourceId('Microsoft.OperationalInsights/workspaces/', parameters('omsWorkspacename')),'2015-11-01-preview').primarySharedKey]"
}
}
}
...
]
}
}
}
Nasazení virtuální sítě a clusteru
Dále nastavte síťovou topologii a nasaďte cluster Service Fabric. Šablona azuredeploy.json Resource Manageru vytvoří virtuální síť, podsíť a skupinu zabezpečení sítě pro Service Fabric. Šablona také nasadí cluster s povoleným zabezpečením certifikátů. Pro produkční clustery použijte jako certifikát clusteru certifikát od certifikační autority. Certifikát podepsaný svým držitelem je možné použít k zabezpečení testovacích clusterů.
Šablona v tomto článku nasadí cluster, který používá kryptografický otisk k identifikaci clusterového certifikátu. Žádné dva certifikáty nemohou mít stejný kryptografický otisk, což ztěžuje správu certifikátů. Přepnutí nasazeného clusteru z kryptografických otisků certifikátů na běžné názvy certifikátů zjednodušuje správu certifikátů. Informace o tom, jak aktualizovat cluster tak, aby používal běžné názvy certifikátů pro správu certifikátů, najdete v tématu Změna clusteru na správu běžných názvů certifikátů.
Vytvoření clusteru pomocí existujícího certifikátu
Následující skript používá rutinu New-AzServiceFabricCluster a šablonu k nasazení nového clusteru v Azure. Cmdlet vytvoří nový trezor klíčů v Azure a nahraje váš certifikát.
# Variables.
$groupname = "sfclustertutorialgroup"
$clusterloc="southcentralus" # Must match the location parameter in the template
$templatepath="C:\temp\cluster"
$certpwd="q6D7nN%6ck@6" | ConvertTo-SecureString -AsPlainText -Force
$clustername = "mysfcluster123" # Must match the clustername parameter in the template
$vaultname = "clusterkeyvault123"
$vaultgroupname="clusterkeyvaultgroup123"
$subname="$clustername.$clusterloc.cloudapp.azure.com"
# Sign in to your Azure account and select your subscription
Connect-AzAccount
Get-AzSubscription
Set-AzContext -SubscriptionId <guid>
# Create a new resource group for your deployment, and give it a name and a location.
New-AzResourceGroup -Name $groupname -Location $clusterloc
# Create the Service Fabric cluster.
New-AzServiceFabricCluster -ResourceGroupName $groupname -TemplateFile "$templatepath\azuredeploy.json" `
-ParameterFile "$templatepath\azuredeploy.parameters.json" -CertificatePassword $certpwd `
-KeyVaultName $vaultname -KeyVaultResourceGroupName $vaultgroupname -CertificateFile $certpath
Vytvoření clusteru pomocí nového certifikátu podepsaného svým držitelem
Následující skript používá rutinu New-AzServiceFabricCluster a šablonu k nasazení nového clusteru v Azure. Rutina vytvoří nový trezor klíčů v Azure, přidá do trezoru klíčů nový certifikát podepsaný svým držitelem a stáhne soubor certifikátu místně.
# Variables.
$groupname = "sfclustertutorialgroup"
$clusterloc="southcentralus" # Must match the location parameter in the template
$templatepath="C:\temp\cluster"
$certpwd="q6D7nN%6ck@6" | ConvertTo-SecureString -AsPlainText -Force
$certfolder="c:\mycertificates\"
$clustername = "mysfcluster123"
$vaultname = "clusterkeyvault123"
$vaultgroupname="clusterkeyvaultgroup123"
$subname="$clustername.$clusterloc.cloudapp.azure.com"
# Sign in to your Azure account and select your subscription
Connect-AzAccount
Get-AzSubscription
Set-AzContext -SubscriptionId <guid>
# Create a new resource group for your deployment, and give it a name and a location.
New-AzResourceGroup -Name $groupname -Location $clusterloc
# Create the Service Fabric cluster.
New-AzServiceFabricCluster -ResourceGroupName $groupname -TemplateFile "$templatepath\azuredeploy.json" `
-ParameterFile "$templatepath\azuredeploy.parameters.json" -CertificatePassword $certpwd `
-CertificateOutputFolder $certfolder -KeyVaultName $vaultname -KeyVaultResourceGroupName $vaultgroupname -CertificateSubjectName $subname
Připojení k zabezpečenému clusteru
Připojte se ke clusteru pomocí modulu Service Fabric PowerShell nainstalovaného se sadou Service Fabric SDK. Nejprve nainstalujte certifikát do osobního úložiště (My) aktuálního uživatele na vašem počítači. Spusťte následující příkaz PowerShellu:
$certpwd="q6D7nN%6ck@6" | ConvertTo-SecureString -AsPlainText -Force
Import-PfxCertificate -Exportable -CertStoreLocation Cert:\CurrentUser\My `
-FilePath C:\mycertificates\mysfcluster20170531104310.pfx `
-Password $certpwd
Teď jste připraveni se připojit ke svému zabezpečenému clusteru.
Modul Service Fabric PowerShell poskytuje mnoho rutin pro správu clusterů, aplikací a služeb Service Fabric. Pomocí rutiny Connect-ServiceFabricCluster se připojte k zabezpečenému clusteru. Podrobnosti o kryptografickém otisku SHA1 certifikátu a koncovém bodu připojení najdete ve výstupu z předchozího kroku.
Pokud jste dříve nastavili ověřování klienta Microsoft Entra, spusťte následující příkaz:
Connect-ServiceFabricCluster -ConnectionEndpoint mysfcluster123.southcentralus.cloudapp.azure.com:19000 `
-KeepAliveIntervalInSec 10 `
-AzureActiveDirectory `
-ServerCertThumbprint BB22CC33DD44EE55FF66AA77BB88CC99DD00EE11
Pokud jste nenastavili ověřování klienta Microsoft Entra, spusťte následující příkaz:
Connect-ServiceFabricCluster -ConnectionEndpoint mysfcluster123.southcentralus.cloudapp.azure.com:19000 `
-KeepAliveIntervalInSec 10 `
-X509Credential -ServerCertThumbprint BB22CC33DD44EE55FF66AA77BB88CC99DD00EE11 `
-FindType FindByThumbprint -FindValue BB22CC33DD44EE55FF66AA77BB88CC99DD00EE11 `
-StoreLocation CurrentUser -StoreName My
Pomocí rutiny Get-ServiceFabricClusterHealth zkontrolujte, že jste připojení a že je cluster v pořádku.
Get-ServiceFabricClusterHealth
Čištění zdrojů
Další články v této sérii kurzů používají cluster, který jste vytvořili. Pokud se hned nepřesunete k dalšímu článku, možná budete chtít cluster odstranit , abyste se vyhnuli poplatkům.
Další kroky
V následujícím kurzu se dozvíte, jak škálovat cluster.
- Vytvoření virtuální sítě v Azure pomocí PowerShellu
- Vytvoření trezoru klíčů a nahrání certifikátu
- Nastavení ověřování Microsoft Entra
- Konfigurace kolekce diagnostiky
- Nastavení služby EventStore
- Nastavení protokolů služby Azure Monitor
- Vytvoření zabezpečeného clusteru Service Fabric v Azure PowerShellu
- Zabezpečení clusteru pomocí certifikátu X.509
- Připojení ke clusteru pomocí PowerShellu
- Odebrání clusteru
V dalším kurzu se dozvíte, jak monitorovat cluster.