Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo explica cómo habilitar TLS 1.3 en los clústeres de Service Fabric. TLS ayuda a administrar los puntos de conexión HTTP de los clústeres.
Si solo usa certificados y no necesita definir puntos de conexión para los clústeres, solo tiene que habilitar el modo de autenticación exclusivo. Para habilitar este modo, solo tiene que completar los pasos Actualizar a la última versión del tiempo de ejecución de Service Fabric y Habilitar el modo de autenticación exclusiva. Las llamadas se realizan cuando proceda. Si más adelante decide habilitar la autenticación basada en tokens, debe completar los pasos omitidos.
Nota:
Los pasos de este artículo son para máquinas Windows. Linux no se admite en este momento.
Nota:
La compatibilidad con TLS 1.3 se introdujo con la versión 10.1CU2 de Service Fabric (10.1.1951.9590). Sin embargo, TLS 1.3 no se habilitará cuando se utilice TLS 1.3 para puntos de conexión de Service Fabric Transport de aplicaciones de usuario que se ejecuten en modo de compatibilidad con Windows 8. En este escenario, el modo de compatibilidad de Windows 10 debe declararse en los manifiestos de aplicación de Windows para que TLS 1.3 se habilite correctamente.
Requisitos previos
- Determine la versión en tiempo de ejecución de Service Fabric del clúster. Para ver la versión en tiempo de ejecución del clúster, inicie sesión en Azure Portal, vea el clúster en Service Fabric Explorer o conéctese al clúster a través de PowerShell.
- Asegúrese de que todos los nodos del clúster se actualizan a Windows Server 2022.
- En el caso de los clústeres administrados, puede seguir los pasos descritos en la sección Modificar el SKU del sistema operativo para un tipo de nodo de la guía práctica Tipos de nodo de clústeres administrados de Service Fabric.
- En el caso de los clústeres clásicos, puede seguir los pasos descritos en Escalar verticalmente un tipo de nodo principal del clúster de Service Fabric.
- Determine si usa la autenticación basada en tokens. Puede comprobarlo en el portal o revisar el manifiesto de su clúster en el Service Fabric Explorer. Si usa autenticación basada en token, la configuración de Microsoft Entra ID aparece en el manifiesto de clúster.
- Use la versión de API correcta para las implementaciones, en función del tipo de clúster:
- Para clústeres administrados, use
2023-12-01-previewo superior - Para clústeres clásicos, use
2023-11-01-previewo superior
- Para clústeres administrados, use
Una vez completados estos pasos previos, está listo para habilitar TLS 1.3 en los clústeres de Service Fabric.
Actualización a la versión más reciente del entorno de ejecución de Service Fabric
En este paso, actualizará la versión en tiempo de ejecución del clúster a la versión más reciente, que admite TLS 1.3.
Siga los pasos descritos en Actualización de la versión de Service Fabric que se ejecuta en el clúster. Cuando haya terminado, vuelva a este artículo.
Si no usa autenticación basada en token para autenticarse en sus clústeres, debería omitir los dos pasos siguientes. En su lugar, continúe con Habilitar el modo de autenticación exclusivo. Si usa la autenticación basada en tokens para autenticarse en los clústeres, continúe con el siguiente paso.
Definición de un nuevo punto de conexión HTTP
Nota:
Si no usa la autenticación basada en tokens para autenticarse en los clústeres, debe omitir este paso y el siguiente. En su lugar, continúe con Habilitar el modo de autenticación exclusivo.
En este paso, definirá un nuevo punto de conexión HTTP que se usará para la autenticación basada en tokens en el clúster. Debe definir un nuevo punto de conexión porque TLS 1.3 no admite fácilmente la autenticación de modo mixto, en la que se utilizan tanto certificados X.509 como tokens de portador OAuth 2.0. Los puntos de conexión de administración de clústeres de Service Fabric suelen usar la autenticación en modo mixto, por lo que habilitar TLS 1.3 sin crear un nuevo punto de conexión interrumpiría los puntos de conexión de administración de clústeres.
Defina un nuevo punto de conexión dedicado exclusivamente a la autenticación basada en tokens y hágalo para cada tipo de nodo de su clúster. En el siguiente fragmento de código JSON, se muestra cómo definir un punto de conexión en un manifiesto de clúster con un número de puerto de ejemplo de 19079:
"nodeTypes": [
{
"name": "parameters('vmNodeType0Name')]",
...
"httpGatewayTokenAuthEndpointPort": "19079",
...
}
]
Puede usar cualquier número de puerto. Debe ser el mismo valor en todo el clúster y debe seleccionarse del rango de puertos reservados para el tiempo de ejecución de Service Fabric.
Para implementar el nuevo punto de conexión, tiene dos opciones:
- Actualización de la configuración de un clúster existente mediante el nuevo manifiesto
- Definición del punto de conexión en el momento de la implementación de un nuevo clúster
Actualización de la configuración del clúster para un existente
Puede seguir los pasos descritos en Personalización de la configuración del clúster mediante la sección Plantillas de Resource Manager de la sección Actualización de la configuración de un clúster en Azure. Al editar el JSON en el paso 4, asegúrese de actualizar el elemento properties para incluir la nueva definición de punto de conexión anteriormente detallada en un fragmento JSON de ejemplo.
Implemente un nuevo clúster
Puede seguir los pasos del inicio rápido adecuado para el tipo de clúster de Service Fabric que use. Asegúrese de editar la plantilla para incluir la nueva definición de punto de conexión detallada anteriormente en el fragmento JSON de ejemplo.
- Inicio rápido de clústeres administrados de Service Fabric
- Inicio rápido de clústeres clásicos de Service Fabric
Migrar al nuevo punto de conexión de autenticación de token
Nota:
Si no usa autenticación basada en token para autenticarse en sus clústeres, debería omitirse este paso y debería haberse omitido el paso anterior. En su lugar, continúe con Habilitar el modo de autenticación exclusivo.
En este paso, debe buscar y actualizar todos los clientes que usaron la autenticación basada en tokens para tener como destino el nuevo punto de conexión de autenticación de tokens. Estos clientes realizaron scripts, código o servicios. Los clientes que siguen direccionando el puerto de puerta de enlace anterior cuando el puerto comienza a aceptar conexiones TLS 1.3. Tenga en cuenta también que este puerto se podría parametrizar o tener un valor diferente al predeterminado definido por Service Fabric.
Algunos ejemplos de cambios que deben realizarse:
- Aplicaciones de Microsoft Entra ID
- Cualquier script que haga referencia al punto de conexión existente
- Equilibrador de carga (LB) entrante Traducción de direcciones de red (NAT), sondeo de estado y reglas de LB que hacen referencia al punto de conexión existente
- Reglas del grupo de seguridad de red (NSG)
También debe migrar el tráfico que requiere autenticación basada en tokens al nuevo punto de conexión.
Habilitación del modo de autenticación exclusivo
En este paso, habilitará el modo de autenticación exclusivo. Como mecanismo de seguridad, TLS 1.3 no se ofrece en el punto de conexión de puerta de enlace HTTP predeterminado hasta que el propietario del clúster habilita el modo de autenticación exclusivo.
enableHttpGatewayExclusiveAuthMode es una nueva configuración con un valor predeterminado de false. Para establecer esta nueva configuración en true. Si usa la autenticación basada en tokens, puede establecer enableHttpGatewayExclusiveAuthMode al mismo tiempo que la nueva definición de punto de conexión en los pasos anteriores. Esta actualización de configuración solo se introdujo secuencialmente para minimizar la posibilidad de interrupciones.
Advertencia
Si los usuarios no se migran completamente al nuevo conjunto de puntos de conexión, se trata de un cambio importante.
Importante
El tiempo de ejecución de Service Fabric bloquea la activación del modo de autenticación exclusiva si la autenticación basada en tokens está activada en su clúster pero aún no se ha especificado un punto de conexión independiente para la autenticación basada en tokens.
Sin embargo, nada del clúster puede detectar interrupciones en clientes externos que intentan autenticarse mediante tokens en el puerto de puerta de enlace HTTP predeterminado recién exclusivo.
Después de introducir esta nueva configuración en la configuración del clúster, perderá el acceso basado en tokens al punto de conexión anterior. Puede acceder a Service Fabric Explorer a través del nuevo puerto que definió si completó el paso Definir un nuevo punto de conexión HTTP.
Para actualizar la configuración enableHttpGatewayExclusiveAuthMode, tiene dos opciones:
- Actualización de la configuración de un clúster existente mediante el nuevo manifiesto
- Definición del punto de conexión en el momento de la implementación de un nuevo clúster
Actualización de la configuración del clúster para un existente
Puede seguir los pasos descritos en Personalización de la configuración del clúster mediante la sección Plantillas de Resource Manager de la sección Actualización de la configuración de un clúster en Azure. Al editar el JSON en el paso 4, asegúrese de actualizar el elemento properties para incluir la nueva configuración que se muestra en el siguiente fragmento de código JSON.
"enableHttpGatewayExclusiveAuthMode": true
Implemente un nuevo clúster
Puede seguir los pasos del inicio rápido adecuado para el tipo de clúster de Service Fabric que use. Asegúrese de editar la plantilla para incluir la nueva definición de punto de conexión detallada anteriormente en el fragmento JSON de ejemplo.
- Inicio rápido de clústeres administrados de Service Fabric
- Inicio rápido de clústeres clásicos de Service Fabric
Pasos siguientes
No hay ningún paso específico que necesite completar después de migrar el clúster a TLS 1.3. Sin embargo, algunos artículos relacionados útiles se incluyen en los siguientes vínculos: